亿赛通电子文档安全管理系统V--系统管理员使用手册V1

1、文档类型:文档编号:管理员使用手册北京亿赛通科技发展有限责任公司亿赛通电子文档安全管理系统V5.02016年1月目录1.1.弓I言4 41.1编写目的41.2系统背景41.3术语定义41.4参考资料41.5版权声明51.6最终用户许可协议51.6.1授权许可51.6.2知识产权保护61.6.3有限保证61.6.4您应保证72.2.软件I述8 82.1软件特性82.2CDG功能结构83.3.软件使用说明9 93.1登录93.2系统首页103.2.1修改密码113.2.2退出113.3组织管理113.3.1用户管理123.3.2登录管理183.3.3激活管理193.4终端管理203.4.1终端管理

2、203.4.2终端统计223.4.3终端维护233.5我的工作台243.5.1我的流程243.5.2我的模版253.5.3我的文档283.6策略管理303.6.1管理策略303.6.2签名准入513.6.3签名策略库513.6.4检测配置533.7预警管理643.8流程管理663.8.1表单管理663.8.2流程模版663.9算法管理693.9.1指纹库管理693.10系统维护723.10.1升级管理723.10.2数据库管理723.10.3应用无效进程733.11后台配置733.12帮助761.1.引言1.1编写目的本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日

3、志管理、终端管理、后台配置等CDG系统各个模块的业务操作。本手册的使用对象：公司技术支持部、销售部、市场部、测试部和使用（CDG）系统产品的客户。1.2系统背景系统名称及版本号：亿赛通电子文档安全管理系统V5.0;任务提出者：北京亿赛通科技发展有限责任公司；任务承接者及实施者：北京亿赛通科技发展有限责任公司；系统使用者：使用亿赛通电子文档安全管理系统产品的用户；1.3术语定义CDG:CobraDocumentGuard1.4参考资料编写本手册时参考的文档如下:,文档安全防护。亿赛通电子文档安全管理系统需求规格说明书一亿赛通电子文档安全管理系统概要设计规格说明书一亿赛通电子文档安全管理系统详细设

4、计规格说明书一亿赛通电子文档安全管理系统技术白皮书 一1.5版权声明本手册以及所提及的数据、图标、名称等信息，所有权皆属于亿赛通公司所有。未得到亿赛通公司的正式许可，任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。本手册中的内容，亿赛通科技发展有限责任公司拥有最终解释权。1.6最终用户许可协议本许可协议是您与北京亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。在使用本软件前，您必须同意以下条款和条件以及所附文档中的所有其他条款和条件。如果您不同意此处包含的条款和条件，请不要进行安装或使用。“亿赛通软件产品”包括计算机软件、光盘、相关的使用说明性材料、电子文档。您

5、如果安装、复制、或以其他方式使用“亿赛通软件产品”，就表示您同意接受本协议各项条款的约束。.1授权许可亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可，软件程序以及附件文档是亿赛通公司的专有产品，受版权法和现行适用法律的保护。您仅拥有该软件产品的使用权，并不拥有软件本身，亿赛通公司是软件本身的拥有者，并保留这种独家所有权，受中华人民共和国著作权法及国际著作权条约和中国其他知识产权法和其他国际知识产权条约的保护。对一份软件产品，亿赛通公司只授权您在一台电脑上使用，出于备份或档案管理的目的您可以制作该软件副本，但您不可通过任何途径以任何形式将本软件产品分发转让到

6、其他的电脑上使用。如果您需要将本软件产品转让给他人，您必须遵守以下几项要求：1）您同意将本协议、本软件和与本软件捆绑的所有资料一并转让给他人;2）您不对任何副本进行留存，包括电脑上的存储的备份和副本；3）接收方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他条件和条款。.2知识产权保护本软件及亿赛通公司授权您制作的任何副本均为亿赛通公司的产品，其知识产权全部归亿赛通公司所有。本软件的结构、组织和代码均为亿赛通公司的有价商业机密信息。本软件受中华人民共和国著作权法、 相关国家法律法规以及国际条约条款的保护。 您不得在本协议许可的范围之外复制本软件，否则将构成对亿赛通公司

7、知识产权的侵犯。您必须同意决不通过任何方法和途径获取本软件源代码、对本软件进行修改、重新编程、编译、反编译或其他逆向解析。.3 T T限保证1）自购买之日起15天正常使用期限内，传递软件的介质载体和工艺方面无缺损；2）自收到软件之日起15天内，软件运行良好，但如果因意外事故、滥用、误用导致的软件失败和造成的损失，亿赛通公司不承担任何责任。在此保证亿赛通公司的唯一义务和对您的唯一的补救措施，不论是民事的侵权行为，还是合同、严格的责任或其他方面，都将按照亿赛通公司的选择执行。亿赛通公司不保证软件所包含的功能可以完全满足您的要求，包括软件操作不会终断或无错误。亿赛通公司对因计算机硬件

8、操作特性的改变以及软件发行后计算机操作系统的改变所引起的问题不负责任，也不负责本软件与其他非亿赛通公司软件因交互作用而出现的问题。由本许可协议、软件、随软件所附的书面材料引起的亿赛通公司的全部赔偿金额不超过购买本软件所付的全部金额。除上述保证外，就现行法律允许的最大程度，亿赛通公司或软件的供应商或分销商提供的本软件是没有任何明示或暗示的保证，包括但不限于为特定目的做出经销和使用的暗示保证。就现行法律允许的最大程度，在任何情况下，亿赛通公司及其分销商或供应商绝不因特殊、偶然或必然损失承担责任，包括数据丢失、重新生成已丢失数据的开销、利益或商业信息损失、商业中断或其他经济损失，不管是否已经告知亿赛

9、通公司可能导致此类损失。.4您应保证1)在安装和使用亿赛通软件产品之前、以及使用亿赛通软件产品过程中，已经将您电脑使用的所有文件或重要文件保留了备份；2)按照亿赛通软件产品的使用手册正确地安装和操作亿赛通软件产品，并对其运行情况进行适时监控。本许可协议自您打开包装的密封或使用本软件之日起生效，并且一直有效至协议终止。您可用销毁本软件以及所附书面材料和所有副本的方式随时终止本协议。如果您违反本许可协议的任何条款和条件，本许可协议也将自动终止，不论是何种原因引起使用本软件的终止，您都必须删除并销毁本软件的所有副本以及所提供的所有文档。当亿赛通公司要求时，您必须提供此类销毁的书面证明

10、。除非在亿赛通公司书面签署的情况下，本许可协议不做修改。如果发现本许可协议的任何条款不可行，则按现行法律许可的最大程度解释该条款。亿赛通公司否认与本许可协议的陈述或许诺不同的，或本许可协议的陈述或许诺之外的任何保证、陈述或许诺。阅读并同意本许可协议的条款和条件后，才能使用本软件。如果您对本协议存有疑问，请写信给北京亿赛通科技发展有限责任公司。2 2 . .软件概述2.1软件特性亿赛通电子文档安全管理系统是基于驱动层智能动态加解密技术，通过文档透明加密、文档权限管理、文档外发控制、业务流程申请和审批、融合身份认证、日志审计、终端管理、移动存储设备和系统容灾管理等功能，实现非结构化数据和结构化数据

11、的全面防护；本系统可应用于各个领域和所有客户群。2.2 CDG功能结构欢迎您使用亿赛通电子文档安全管理系统，它是亿赛通公司推出的基于B/S和C/S架构的文档安全管理系统，是CDG产品体系中的一种，通过IE可以以基于Web的方式来访问CDG系统；亿赛通电子文档安全管理系统B/S和C/S架构。由客户端软件和服务器构成，结构如下图：客户端软件，并且至少有一台CDG服务器提供认证等服务。在CDG系统中，用户信息和文件权限信息等存储在数据库中，数据库类型可以选用MSSQL2000、MSSQL2005、MSSQL2008等。在网络中的用户需要安装CDGClient3 3 . .软件使用说明3.1登录启动浏

12、览器，在地址栏中输入服务端的IP地址（IP地址+端口号如：33:8080）,进入服务端欢迎使用界面，表示服务启动正常，如下图所示：玳迎使用亿赛通电子文档安全管理系统在欢迎页面内，点击【进入】按钮，页面跳转到登录界面，如图所示:用户登录USERLOGON输入用户ID和密码（用户ID：systemadmin默认密码：12345678），点击登录按钮进入管理平台管理界面。备注:客户端下罚（1）该产品支持本地认证和AD域认证，管理员SystemAdmin只支持本地认证。(2)点击“客户端下载”下载客户端安装包，下载前客户端安装包应提前上传到服务器。安装包格式及命名：V

13、3.8S_Client.rar安装包路径:C:ProgramFiles(x86)ESAFENETCDocGuardServertomcat(64)webappsCDGServer3clientinstall3.2系统首页【系统首页】功能说明：此模块功能包含：【首页】、【修改密码】、【退出】。正确登录系统，进入到系统的首页，如下图所示：电丈衿安生臂理系妩V5.0V5.0取wtwt胖.1修改密码点击【修改密码】功能按钮，可以修改用户的密码，如下图所示:在【旧密码】输入框内，首先输入旧密码，然后输入新的密码和确认密码，当点击【保存】按钮时，密码修改成功。在没有点击【保存】按钮之前，当

14、点击【重置】按钮时，所输入的密码信息将会被清空，用户可以重新输入信息。3.2.纯出在首页中点击右上角【退出】功能按钮时，系统将注销当前登录用户，系统返回到登录页面。3.3组织管理组织管理模块中包含【用户管理】、【登录管理】、【激活管理】模块。内置管理用户，【系统管理员/systemadmin】、【安全管理员/secadmin】、【文档管理员/docadmin】、【日志管理员/logadmin四个账户，除可自主修改密码外，不提供任意属性修改功能；系统内置帐号不占用Licence许可，不提供密码重置、帐号冻结、帐号删除等帐号管理功能，.1用户管理用户管理功能用于创建数据泄露防护系统

15、用户认证体系及关联用户安全策略，包括用户组织架构、用户（创建、删除、修改）、选取策略、同步用户（AD域）。组织架构栏提供管理员维护组织架构功能，主要包含功能项：【新建】、【修改】、【删除】、【查询】；操作- -A A组织架相司（域俎）-testatesta噬）,12345,12345（域组）事则试式嶙目）日今加或。1 1（域组）itit电式道域蛆j j5t5t2c2c懂组）总式3 3（域组）新建组织架构,选择“新建”，输入“名称”后选择保存，完成新建组织机构。点击“组织架构”,完成组织架构修改。删除组织架构选择要选错的组织机构，点击“删除“按钮，确认提示框选择”确定“，完成组织架构删除。操作蓟

16、建I I修改修除堡 9 9组期架构4 4亿赛通备注：(1)组织架构中包含用户，则无法删除。选择要修改的组织架构，点击“修改”按钮,在操作框输入要修改的名称，选择“保存修改组织架构查询组织架构点击“组织架构“，选择”查询“，输入要查询的组织架构名称，点击”查询按钮完成组织架构查询。撵作Final..AD域组织架构AD域组织架构，同步于客户AD域，同步组织架构与AD域相同，组织架构和用户的添加、删除、修改，依赖于AD域。ADAD域配置(1)(1)登录配置管理页面登录页面，选择配置，输入管理员用户名和密码(管理员：configadminconfigadmin默认密码:12

17、3456)123456)欢迎使用亿赛通电子文档安全管理系统后台配置CONFIGUSERLOCON操作新建用户工。：返团首度(2)(2)选择ADAD域配置，配置ADAD域信息根据“人四配置”页面示例，根据实际情况填写ADAD域信息。连接测试成功后，点击保存”按钮，完成ADAD域配置。 1 1糖库电酶原，：如:二打哮的LDAP 口/旧 1堆怏口味工市口电匕 KHLtmM_Au,否L0AF 且 MH 鼻蚂：皿耳：TyiM：hjE_tivL-3P9 用培本！北 JUfit4 加 hzJZ4*小时夫=|年LaAPfeJJti口,武乱 AUStrnntiire*-ADLEW 金书年在曲洋山C-atrC-a

18、traZ3.ADiLBniiryaZ3.ADiLBniiryA-LDAPKetCaSnLfi.BZlST11 叩川空 1 蜚|切LMJ 将定连陵名：C2tit工 H.Jkll.XjriLidi 电 ii.皿 F 帘住县却：C3DTflM.MJA.TF-LTiFC3DTflM.MJA.TF-LTiF4545LDAF?aiMteim：ErSLDAPFAniTts-u/jtri1illllljCHl-evp,dc_6Cpk-匚口 11 白田日土 0J 千三段卢占二褴七加 WF 吊一点一：C：,rOr.%-urziil但-节争Ci-brsZ.wfhE#se1ri=crj,dctrr.-比:ue7.组织

19、架构及用户同步用户管理，选择同步用户”，完成ADAD域组织架构及用户同步。WINWIN*IH1N*IH1NWMWMMMMM在导航栏选择【组织管理】模块，点击【用户管理】子模块，页面跳转到【用户管理】界面。该页面内功能提供管理员维护用户管理，管理员可以完成同步用户、用户、删除用户、冻结用户、修改用户属性等功能，如下图所示:gEgEUMIIUMII BlBlH H皿*3i.w3i.w.El.ElU U此 kH H；E.E. = = K K+ +星群，3T3T- -H rLKJISg户G G史BinBin展T,T,yqtvx彳*MMMM邕vmivmi话期H Hj1 1JSnJSn： JuriJuri

20、.413.413本曰住1 1y y F FM M11i=n3E EV VX XM MFJFJE EI IswwswwWlHWlH士人1 1V VV VE EM M11J4A9J4A9| |1 13838fehUfehUSHiiMtoiriSHiiMtoiriEHEH*EJ*EJ1 1VifMlVifMl1 1dWEIfdWEIfELcr!ELcr! .lied.lied4 4rl!rl!Z=KZ=K 。嶂4 4中静1ft1ftL LHMHML LEaCLEaCL*曰任A ABMl*ss*ssa*a*ja0j1W 9 9h.-Hh.-HJ J- -F-HF-H选取策略、添加身牝MTOTT号杉Mi

21、lMil幄.144s.w144s.w 向钵册uni#uni#lAillAil慝寸口镇M M谒修例匕去1 11 1EheXtobBEheXtobBMMMMF稿档正1 1amDW册”却此密1 1口组型 piapia证已砒iD*(4ult*1*1曲3 3* *岬血餐”系却胆要稿证A A日目同DWmk国第金4 4masmasS Sl l vdvdI*吕力DWH-舟超UftUft6 6tMUtMUMriQR年1 1MRMR盘T TMHME1 1iMMBiMMBV VXnBXnB工成 n.正a aMAS沙朝湖量, ,iMuriMurlivilTlivilTWEt t“日必MHEBMHEB|0|0mJmJt

22、HUtHUArtWArtWEnfi诙1 1-ult中幅电餐口圣眄 L 皿具工罚上-0I1 一口时一电”..添加用户在组织架构中选择一个组，点击【添加用户】按钮，页面切换到添加用户的详细页面内,在对应的标识输入框内输入相关信息，点击【保存】按钮，用户添加成功，如下图所示:..删除用户除SystemAdmin、Secadmin、LogAdmin、Docadmin以外其他用户都可以删除。管理员进入要删除用户的【详细设置】页面内，点击【删除帐号】，该用户将删除。..组选取策略选中一个组，点击页面内【选取策略】按钮，页面

23、切换到选取策略页面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示:应用到子组：勾选【应用到该组及其子组内的策略例外用户】功能将设置的策略应用到子组中，子组的每个组和组中的成员都更新为新设置的策略。..单个用户添加策略点击用户列表内的【关联策略】，弹出策略选择界面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示:备注：单个用户添加策略，安全管理员在用户角色中需要为用户分配“策略例外权限”。..用户启用用户启用状态默认为：未启用。点击【用户启用】按钮，启用状态由未启用状态自动变换为已启用状态，【用户启用】按钮自动变换为【

24、用户冻结】；点击【用户冻结】按钮，启用状态自动变换为已冻结状态，【用户冻结】按钮再次变换为【用户启用】状态。【未启用】状态表示：该用户为初始状态。【已启用】状态表示：该用户已经启用，可以正常使用。【已冻结】状态表示：该用户已经被冻结，不可用，解冻后可以继续使用，用户的属性不受冻结影响。..重置密码用户的密码丢失，管理员可以通过密码重置功能将用户的密码重置到默认密码状态，系统初始化的默认密码是12345678。..查询用户在【用户管理】界面，通过【用户ID】、【姓名】、【用户来源】、【认证方式】、【在线状态】、【用户状态】、【关联策略】等查

25、询项，查询对应的用户；可精确查询本组成员，也可模糊查询。.10.用于控制客户端登录模式以及客户端登录记录管理控制。.客户端用户登录模式管理用于控制客户端登录模式，分为手动登录和AD域单点登录。该功能在有多种登录模式时生效，如用户为本地用户只有手动登录模式（即客户端一次需手动登录）。手动登录模式选择手动登录模式，客户端安装后第一次登录需要手动输入账号和密码进行登录。AD单点登录模式选才iAD单点登录模式，对于AD域用户，客户端安装后，随操作系统用户单点登录。.客户端用户登录记忆管理用于设置在线或离线情况下，客户端登录方式，分为自动登录和手动

26、登录。在线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。离线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。3.3.3a3.3.3a活管理激活管理是针对AD域或其他第三方认证系统同步用户进行统一激活管理，方便用户在批量添加用户的需要。在导航栏选择【组织管理】模块，点击【激活管理】子模块，进入到激活管理页面，如卜图所示:左侧的目录树显示为：未激活状态的组/用户;右侧的目录数显示为：已激活状态的组/用户;支持单个用户或者整个组激活

27、，激活后的用户将显示在用户列表，取消激活，用户将从用户列表内删除;用户激活后，在组织管理/用户管理中，【启用状态】默认设置为【未启用】、一旦用户成功登录，【启用状态】将更新为【已启用】；激活用户数量受授权用户数量限制，激活用户数量超过授权数量时会弹出超出授权的提示。3.4终端管理终端管理是集成通讯平台，控制客户端是否在线以及客户端登录用户的信息。可以与在线客户端建立消息会话，可以针对客户端版本升级、卸载、删除终端等操。可以针对客户端进行离线补时设置及补时码导出功能功能主要包括：【批量删除】、【升级所有终端】、【批量卸载】、【终端导出】、【终端会话】、【终端补时】、【终端调试】、【终端卸载】、【

28、终端升级】、【终端删除】等功能。在导航栏选择【终端管理】模块，点击【终端管理】，跳转到【终端机器查询】列表页面，如下图所示:.1终端管理【批量删除】：当客户端处于未使用或者已卸载状态时，管理员点击该【批量删除】按钮，将把列表内终端信息删除。信息删除后，客户端需要再次登录，才可以再次显示在该列表内;【升级所有终端】：批量升级所有客户端的版本，使客户端版本保持版本统一。【批量卸载】：批量卸载所有终端的客户端程序。客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端导出】：将终端列表完整属性导出为Excelcsv报表格式。【终端会话】：与在线客户端建立消息会话，可以完成会话

29、信息推送和客户端显示功能，主要完成点对点消息推送。选中用户，点击【终端会话】按钮。在消息栏内输入需要发送的消息，点击【发送】客户端即可接到会话消息信息，如下图所示:【终端补时】：客户端终端离线时间到期，管理员通过终端补时功能延长终端离线时间。点击【终端补时】，设置离线时间，生成离线补时文件，下载后发送给客户端，导入后即可延续离线时间。生成补时文件页面如下图所示:【终端调试】：是指可以针对客户端进行调试控制，如【客户端全模块关闭】、【仅客户端控制台关闭】、【仅客户端驱动关闭】等，实现客户端运维调试管理，如下图所示:年出I信三【终端卸载】：卸载指定终端的客户端程序。该【卸载】功能等于直接审批终端卸

30、载，客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端删除】：是指把终端信息列表内的信息从列表内删除。【终端升级】：点击【升级】按钮可以针对选中客户端进行升级;3.4.锻端统计终端统计功能，采用统计图表方式对终端进行统计，一目了然的显示所属终端、在线终端、客户端版本等信息；可将统计图表导出为Excel报表。【客户端在线统计】：客户端在线用户数进行统计：【终端总数】、【在线终端数】、【离线终端数】统计图表,如下图所示：I I畀“可【客户端版本统计】针对客户端版本进行统计：【终端总数】、【版本终端数】、【版本终端数】统计图表，如卜图所示:【客户端操作系统版本统计】针对客户端操作系统版本

31、进行统计：【终端总数】、【操作系统版本终端数】、【操作系统版本终端数】统计图表，如下图所示:.3终端维护终端维护功能，实现对客户端冗余记录的自动维护，设置终端维护任务自动执行日期，设置终端维护任务自动执行目标，如定期清理连续10天未在线的冗余终端记录。终端数目预警机制提示等功能。在导航栏选择【终端管理】模块，点击【终端维护】，页面跳转到【终端维护】页面内,如下图所示:骂端电护一旦成功执行终端维护任务，将触发预警功能，系统自动对管理员发送终端维护日志当剩余 LicenceLicence 数量低于 5 5 个时，每新增加一条终端 LicenceLicence 记录，将触发预警功能，

32、系统自动对管理员发送 LicenceLicence 容量预警日志，提醒管理员执行 LicenceLicence 管理。3.5我的工作台我的工作台模块中包含【我的流程】、【我的模版】、【我的文档】三个个模块。实现对电子流表单的集中化管控；模版的定制和使用；权限文件的分发及管理；.1我的流程流程审批平台，实现对电子流表单的集中化管控；采用表单管控原则，提供【我的申请】、【我的待办】和【我的已办】等模块功能。记录当前用户所提交的所有电子流申请，采用电子流任务列表方式进行管理；审批范围包含：【文档解密流程】、【文档还原流程】、【文档外发流程】、【邮件外发流程】、【离线办公流程】、【权限

33、申请流程】等在导航栏选择【我的工作台】模块，点击【我的申请】，页面跳转到审批列表页面内，如下图所示：【我的申请】：用户本人提交的申请表单；【我的待办】：只有审批员才能在此列表内看到信息，表内的信息为其他用户提交的申请流程表单。【流程明细】页面，可以完整显示该流程任务明细；【流程审批执行】包含：【通过,流程自动执行】、【通过，强制结束本级流程】、【通过，强制流程终止】、【退回，强制流程终止】。不同的申请流程表单稍有不同，本处以离线申请为例，如下图所示:【我的已办：用户作为审批员审批过的表单信息;.2我的模版权限模板：已经选定了用户、组并给用户、组授予一定的权限，在用户制作权限文件

34、的时候，用户只需选择一个或者多个权限模板，可以完成一种授权模式。出隼温床号忐毕宾刚阳浩日期申曲AIDAID丁姓名F5N-2012103130540a禹城和父忑根表年2013：QQ47市电明很FSN-20121U2a43265文档好战光也表甲20121024513：47；05阀1抵的申宙益的性赤功，页面返回到权限模板界面。如图所示,用户每次制作权限文件，需要把这个文件授予特定的用户、组时，应用权限模板可以快速便捷的完成授权。【添加权限模板】在导航栏选择【我的工作台】模块，点击【我的模版】，跳转到【模版列表】界面,如下图所示:点击【添加】按钮，进入到【添加权限模板】界面，在【模板名称】中输入名称，

35、【权限模板描述】中输入模板描述，选择【机密等级】。点击【保存】后，权限模板添加成功，如下图所示:点击操作栏中的删除按钮，选定权限模板即被删除，如下图所示:【修改权限模板】点击【操作】列的修改按钮，修改权限模板的信息，点击【保存】后权限模板修改成【添加授权对象】1）选中模版，点击【操作】列的【添加授权对象】按钮，进入到添加授权对象页面。2）在添加授权对象页面，点击【添加授权对象】按钮，页面跳转到选择用户的列表中。选择用户、组，点击【添加】按钮，完成用户添加。如下图所示:天二 I 可冕器包里声行供桂叵3）选定的用户进入到权限模板列表内，管理员可以修改选定用户的权限，如下图所示:如果要设置该用户的详

36、细权限，点击【详细】按钮，可以设置该用户对权限文件的只读次数、起始时间、截止时间，详细情况见下图:详细权限:.球的文档【收件箱】：用户可看到自己具有权限的权限文件。包括其它人员给该用户授权的权限文件。1)在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面,如下图所示:2)选择文件，单击【再授权】，进入再授权界面，可查看文件的授权信息。3)单击【详情】，可查看文件的相关信息。4)单击【下载】，可对已上传文件进行下载。【发件箱】：用户自己制作的权限文件收集在该文件箱中。用户在客户端制作的权限文件，可在发件箱中查看及进行再授权操作。1)在导航栏选择【我的工作台】模

37、块，点击【我的文档】，跳转到【我的文档】界面，如下图所示:2）点击操作列的【再授权】，进入授权界面，可以给用户再授权。3）单击操作列的【详情】按钮，可以查看文件的相关信息。4）点击操作列的【下载】按钮可以下载用户上传的文件，如下图所示:5）点击操作列的【生命周期】，可以设置文档的生命周期，如下图所示:6）【权限缓存】是用户在脱机情况下对文件的操作模式，包括打开次数、打开时长。点击操作列的【权限缓存】，可以针对该文件进行设置打开次数、打开时长，如下图所示:sys-doa2(312-10-32(312-10-31 11922:D1922:D 再度权,详憎： 下雎：生金1 1柢0脑S拜MEdgocc

38、po7rfr2M210-31H21:37融机:i_生他触视 i 糖存目vi.dooCDflrt2012-10-JiIf21：JJ跳餐序用下虹.洞1 1何膝存但即2012-IC2012-IC311 变 1 比ma用同札|一怡席堂|1 黑用时期建Z 性 tad:匚际:件2012-10-311 除归【详暂 H1 生匐1司呵廿 5 号苒】阿拄】向R：艮遂存上一百/T-KSHH：2D11-06-3017=013.6策略管理.1管理策略策略管理模块用以创建、维护策略组。策略组是用来管理控制用户文件类型、制作CDG格式、安全策略等的模块。每个策略组包含【策略推送控制】、【加密控制策略】、【安全

39、增强策略】、【内容安全策略】、【水印控制策略】、【权限控制策略】、【邮件控制策略】、【打印控制策略】、【网络控制策略】、【日志控制策略】、【文件备份策略】、【外发控制策略】、【存储控制策略】、【辅助控制策略】、【策略库】等项目。.安全策略组导入导出安全策略组导入导出用于导入和导出安全策略组。使用方法如下:安全策略组导出步骤1：安全策略组中，选取要导出的策略组步骤2:导出策略在操作框，选择“导出”按钮，导出策略组。当前位置：主页策略管理管理策略操作操作Flggs加密控制第昭加密控制第昭安全安全删除豆制打印控制策略打印控制策略辅助控制策略辅助控制策略同络控制箫啼同络控制箫啼瑞口管控策

40、略瑞口管控策略日匐第昭第昭ftft安全第畤姐#Defaultf5ystemA.dnninJJL-rr44(iystemAdmin)rr44(iystemAdmin)当前箫略编相健改i i已矣成第喘推送，推送第郎推法二立即生效 n:安全策略组导入步骤i：选择策略组导入位置，点击导入用户直询（输入用户ID，姓名/部门）;遍,二宜之一a aqbqb、“油 J*E4 4m4m4功亏hMFEhMFE禺drviadrviar?5tt 国 NEidgM 位置L 台画网瓯ftfa 后/1/1 rHHMMrHHMMM M电.4M4Mm m内带要受IMMWHEMlHEIMMWHEMlHEg gM*M*血fKWWt

41、tfKWWttW W同胤姓忡*T TI IJXimMJXimMT T文.怕IMIM， 好凄僧IEIE4 4砧，主电内FAMFAM值叫?f f+ +端口整修卡1rWk步骤2:选取策略组，点击“提交”，导入策略当前位置主页策略管理管理策略导入新策略文件：匚4*211030,4*211030,浏览I吃I350操作H安全策略组, ,Default(SyslemAdmin)Default(SyslemAdmin)rr44(5Y5teiTiAdmirirr44(5Y5teiTiAdmiri._._4i:3统唯三！克睚#重启散曲.神隘|做拄耐用E 峰尿片用户TDTD用户总名R 周交我状布市就帮春盅涮$ $1

42、 11 1LJST22,localwpxwpx：2 2NONO2D12-11-2S2D12-11-2S学2 2usaru.lodalusaru.lodalWpxlWpxlNDND2012-11-292012-11-291l&1l&：23!5623!563 3userluserl1 1.local.localWpMlWpMlYESYES2D12-11-302D12-11-3011:4m5g.11:4m5g.伟室用口虻幸飞门用口2中哂一用户松宓:闰*三王t t彳二1 15 5|一百.-n.-n策略推送控制，点击【策略推送】时方才下发策略，推送方式采用【立即生效】、【重启事西报注幡制

43、、*永林建1国跟田惮r配件持制的1解口俺每璇路L日志愕弟曾女件替曲钏外烹1 1外1 1第酶,帝加丽郦曲啸而用潜”管1字第通口巨 1 坦弟翔革国插法褓世湖寸目而用修 Q 时目三股排柞苴昭洋序m 出或，存进程签名配置用于签名进程收集和进程签名应用，防止伪造进程非法读取密文数据。签名收集：默认关闭，开启后客户端会自动搜集加解密策略中对应进程信息，并上传到服务器。签名应用：应用进程签名控制。策略推送后，进程签名策略生效。第匐游诲用制安全侬钏RTOtaseRTOtase水晞制第册打印役*博嚏,网塔控乜器畴R R蓬使也希喷”空件标附赤犯呼青控制击咯1,存看曾卷描,条相应用诉喷看的力审廉-司口管中amam一

44、第第痒:这冏忙犯花郎帽氏：监三法曲名将弟栈龄寸巧场他棒k k阚鼻陆1 1至捕即 V 荒电2015-03-2715r552015-03-2715r55：lSlS洋牌网国i iT2 2CDGCDG互融晒2D2D150315032715:3J;4115:3J;41丽HIHI柞iiii 3 3OFFlCtALLOFFlCtALL2015-03-2715:55:342015-03-2715:55:51误情HWrHWritit二度篌H H：建算上拜EKI透明加解密策略设置透明加解密策略，是整个软件策略核心，该策略设置关乎到整个系统是否平稳运行。一条完整加解密策略包括策略名称、策略描述、策略类别、策略密钥、

45、关联类型、关联程序六部分组成，具体如下：、(1)策略名称本条策略命名，一般与应用软件名称保持相同。(2)策略描述对本条策略设置内容进行详细描述，可不填写。(3)策略类别用于设置驱动加解密方式，一般根据安全保护需求进行灵活设置。透明加解密标准加解密关联程序操作的文件，符合该策略的文件被关联程序读写时将被加解密落地加密策略跟踪新建的指定类型的文件，加密所有的或指定进程新建的与策略匹配路径匹配的文件。删除备份策略通过该策略备份被删除的指定类型的文件，该策略只有在文件被删除时才进行备份。文件例外策略放过策略匹配路径中的文件透明加解密子进程除加解密关联进程操作的文件外，还加解密关联进程的子进程操作的文件

46、透明加解密半透明用于扪开本地加密文件，而本地明文小强制加密透明加解密网络主要是用来网络进程上传和下载精确保护，传输文件为主，一般不是文件编辑程序HOOKHOOK 例外策略放过策略匹配路径中的 DLL,DLL,允许这些 DLLDLL 注入到关联进程中进程例外策略放过策略匹配路径中的进程名，允许这些进程访问已经打开的解密文件，川附十存放杀毒软件等。落地解密策略自动解密所有的或指定进程与策略匹配路径匹配的文件策略导入导出用来对加解密策略进行导入导出，在进行策略导入时，如果导入策略名称与当前策略中名称相同，导人时不进行覆盖，维持当前策略状态。每一个策略组只能选择一个密钥，根据加解密策略不同在添加策略时

47、注意顺序（CDGCDG 策略需要放在动态加解密策略前）。历史数据初始化，策略执行完毕后，应及时关闭，避免重复执行。策略的顺序非常重要，匹配的原则是：从上到下优先匹配，如果一条策略没有匹配成功，则继续匹配下一条策略，直到匹配成功或所有策略均已匹配完毕。策略列表内的顺序可以点击策略排序栏的降级、提高来调整。.智能加密策略该功能模块主要用于配置智能加密策略，通过配置敏感内容检测规则，下发到客户端后，客户端根据敏感内容检测规则对文档进行智能识别，从而实现包含敏感数据内容文档自动加密；智能加密策略包括智能加密开启与关闭、基础配置、DLP策略三部分，各部分操作与说明如下：智能加密开启与关闭该

48、项配置用于设置智能加密功能开启与关闭，智能加密功能默认为关闭”状态。开启：启用智能加密功能;关闭：关闭智能加密功能;注意事项:(1)智能加密功能默认为关闭状态，未开启状态下功能不生效；(2)智能加密当前版本主要适用于办公楼文档，如OFFICE/PDF/WPS;基础配置策略列表基础配置策略，主要用于设置智能加密方式、文件分类(全盘扫描文件类型)、全盘(历史数据)扫描、文件变动监控配置；基础配置策略根据实际需求选择，配置详情请参照“检测规则”中的“基础配置”。注意事项：(1)基础配置策略包括智能加密方式、全盘(历史数据)扫描文件类型及开启、文件变动监控，请根据实际需要做好选择，负责会影响智能加密效

49、果。如不设置文件变动监控，新建文档包含敏感数据时不会不加密等；DLPDLP策略DLP策略主要为文档内容检测规则，客户端内容识别引擎根据这些检测规则进行内容识别与匹配，对陪陪规则的敏感数据文档自动加密；一条策略组(智能加密策略)可以包含一条检测规则或多条检测规则，根据实际需要勾选对应策略即可;注意事项：2 1)DLP策略列表中的检测规则来源于“检测配置”中的策略列表，配置DLP策略前，请先在“检测配置”中设置好对应的检测规则策略。,安全增强策略安全增强策略可以控制用户在注销状态以及异常脱机状态的使用控制；控制文件、注册表的使用；控制文件的内容过滤以及应用加固，更全面的适应用户的使用

50、习惯，如下图所示:用用病用芾超例注时目口， |小砧三201(I6：2r rxnisidsnxnisidsntn上住到不制内轩费全苫丁索谢姓作.和，*冽的，-柳段制 M 霜,打UN里制#幡一网蜡评FH音控制a，作手冲品黑:三H由停瓶.辅|用S阴步,受乐用=11A出室：不如空不型*RMI电不屈密只#说止库可一基止谓向JJEfla哨里异意脱田,41鬓；不加春一距iF31色不冤正H4屋上传职承上由可壬曲乐生二,二子与克制：.博祠曲旭.初证词；A方导御般幽用I,印时同I军描悻不1弓1町谪帘医1布总灶访问控制策略由策略类型、控制类型和策略、策略匹配路径（注册表键值匹配名称和注册表匹配项名称）几部分组成。访

51、问策略策略与具体的进程无关，在用户注销后不加密不解密模式，不影响用户的正常使用，但是存在泄密风险；在用户注销后只加密不解密模式，驱动将不再解密任何加密文件，这种处理方式虽然能够防止泄密，但也存在坏文件的风险；在用户注销后只读禁止保存模式，关联进程可以打开受保护的文件，但驱动不会解密，同时也禁止保存操作。在用户保存文件后会引起“延迟缓冲写入失败”的系统错误提示。.内容安全策略内容安全策略可以设置辅助的应用安全模块，系统中提供六种应用安全模块，【拷贝控制】、【拖拽控制】、【另存为控制】、【插入控制】、【连接控制】、【截屏控制】，每项内容安全控制均提供开关式控制机制，如下图所示:笛|窿

52、国控制触但!器典要至神学*J J内科安望*1加控KK1KK1U U甲任加卜r丽修VIK”日受除朝犀玷,交件杳酎第0 0育HIHI型 3 席,立!9储有.【例外设置】详解如下:【拷贝控制】：关联进程拷贝控制例外设置：【关联进程内容拷贝至其他任意进程时均不受控】；非关联进程拷贝控制例外设置：【关联进程内容拷贝至该非关联进程时不受控】；上述控制基础上，均可设置允许拷贝字节数控制，默认任意字节。【拖拽控制】：关联进程拖拽控制例外设置：【关联进程内容拖拽至其他任意进程时均不受控】；非关联进程拖拽控制例外设置：【关联进程内容拖拽至该非关联进程时不受控】；【另存控制】：关联进程另存控制例外设置：【关联进程执

53、行另存时客户端不强制加密控制】；【插入控制】：关联进程插入控制例外设置：【关联进程执行对象插入或被插入时均不受控】；非关联进程插入控制例外设置：【非关联进程执行对象插入或被插入时均不受控】；【连接控制】：关联进程连接控制例外设置：【关联进程执行网络连接时不受控】。【截屏控制】：【截屏控制】一旦开启，默认所有截屏软件均禁止截屏。截屏白名单设置：【白名单内截屏软件允许截屏】；截屏黑名单设置：【黑名单内截屏软件禁止启动】；,水印控制策略用于设置文档水印内容，对于SmartSec、DRM模块支持阅读浮水印和打印浮水印，其中阅读水印支持屏幕水印和文档水印，打印水印分为可视水印和盲水印。应用

54、模块用于设置水印控制启用模块，根据应用需求进行勾选，水印应用模块选择，最后点击“保存”按钮完成设置。阅读浮水印用于设置文档阅读水印，支持屏幕水印和文档水印，根据需求进行选择即可。阅读模式每个策略组只能启用一种。最后点击“保存”按钮完成设置。针对水印显示位置，提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置，每一个坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式；应同糜：牌smartsecsmartsec*印制士jfiffljfiffl彳启用周苣在,酷那：*幽踊 M 稣 if.府章星上周.H计茸情自腕卢修自定食标口SfflE本位悟 Ki,累；阿本善上

55、*H用口免闰“1P&MAC曲片AEd自庐宣严:印1启用岑正中身自中口天已自定攵插 D硬料式显示无平凡T扉等工样日用口湖节日珈自市宜标 11殖林用向用ffl.nftfiasv,Dasv,D打印浮水印用于设置文档打印水印，水印格式支持可视水印和盲水印。打句性到书薛日志性，鹏史旭成用濡略?*?中的邮司口恰件制6 6诺蜀际步总强泗曰中*|羊$支强曰鼻物卜两衣我先节吗11根中依格件1中相芾川RtvKNm*RtvKNm*r日之胜丫畀裳ft*ft*唯 G 介的删仲,雷他液用暗功曲仲的*端门/怦舸1r悔K席针对水印显示位置，提供5个坐标点设置功能、每一个坐标点水印内容、水印深浅度都可以详细设置，每一个

56、坐标点均提供【默认内容】和【自定义内容】配置功能。提供文字、图片两种格式;图片及深浅度设置，0 0 值表示最深，255255 表示最浅；上传不能超过 50KB50KB 的 bmpbmp 图片，文件物理路径不能超过 253253 个字符;字体设置请不要过大，超过 5050 会超出边界；备注：盲水印功能默认不启用，如需启用请参照特殊功能产品配置手册。.权限控制策略权限控制策略，针对关联进程制作成权限文件，赋予用户的控制类型以及安全类别做一定的限制；指定可以制作权限文件的类型，控制用户对权限问价的操作范围和时间，界面如卜图所示:【只读】、【打印】、【修改】、【复制】权限，默认为勾选，不

57、可修改;【拷贝控制】、【拖拽控制】、【另存控制】、【插入控制】、【截屏控制】、【连接控制】等，默认全部勾选状态，不可修改;,邮件控制策略邮件控制策略是为了防止通过邮件通信功能，发送密文而导致泄密，而采用的一种有效策略控制；策略中可以控制邮件源地址、目的地址白名单；邮件发送审批附件查看等机制；如下图所示：【邮件白名单设置区】，分别设置源地址和目的地址白名单。源地址：发件人地址。目的地址：收件人地址。【邮件审批设置区】，针对【SMTP】协议进行邮件审批启用控制。【邮件审计设置区】，仅支持对SMTP协议邮件进行完整审计。三个控制区均可独立及组合执行，所有邮件均可审计；【权限文件类型】权

58、限文件支持类型;【权限控制类型】【内容安全类型】当【用户角色】中具备特权权限【邮件自解密权限】时，系统仅执行邮件审计控制。0.打印控制策略打印黑白名单管理、打印审计，该模块分为两个控制区，第一个为【打印权限设置区】，分别对【虚拟打印】、【物理打印】进行允许/禁止控制；第二个为【打印审批设置区】，针对【物理打印】启用是否执行审批控制；如下图所示：打印审计为独立控制体系，只要执行成果【物理打印】均可审计；执行【物理】和【虚拟】打印时需校验水印控制策略，如开启【打印水印】，则需根据水印策略内容完成水印装填。1.网络控制策略该模块是控制应用准入策略配置。通过配置终端应用程序

59、、服务器端口以及地址之间关系，实现对客户端非法访问、用户仿冒服务器等一些非法操作，进行有效访问阻断，达到控制非法访问服务器的目的。网络控制策略包含：网络准入控制策略、网络访问控制策略、LinuxSVN网络控制策略,如下图所示：【TDI网络准入控制】、【基于Linux版本控制策略区】协议类型支持 TCPTCP；执行动作包含：DeniedDenied、PassPass、ProxyProxy、TransferTransfer 四个选项;所有进程在控制范围内都执行当前规则;定义 IPIP 地址作用区间，结束地址必须大于等于开始地址，如果地址相等则只对当前地址有效。格式：xxx.xxx.xxx.xxxx

60、xx.xxx.xxx.xxx, ,xxxxxx 为 0 0 到 255255 之间的 ASCIIASCII 字符；*表示所有 IPIP 地址区间，等同于 F||55F||55，用*号表示，而不是*|*|*或者F|*oF|*o定义端口地址作用区间，结束端口必须大于等于开始端口，如果端口地址相等则只对当前端口有效。格式 0 0 至1 1J J6553565535 之间的 ASCIIASCII 字符【NDIS网络访问控制】该策略控制进程能够访问的网络路径，防止通过该进程将解密的文件传输到网络上；控制访问网络共享；访问指定的网络；控制进程不能够