中软安全审批管理系统用户手册

SecDocAP，Copyright©2008byCS&S，中国软件与技术服务中软安全文档管理系统软件与技术服务自主研发的受法律保护的商业软件。遵律是共同的责任，任何人人，不得以或方法及出于 ：邮箱 第一章系统概 第二章体系结构和运行环 第三章系统的安 管理工 第四章安全文档管理 管 数据管 管 统 第五章安全文档工作 外件包的申请制 外发包的过 过程与UEM系统....................................................................................................... 我的文 委托的使 安全文档申请（客户端 安全文档邮件（客户端 第六章安全文档外发包中 第七章外发浏览器的使 7.1验证外发包的使 第八章移动终端的操 安装平台 安装平台 安装平台 中 待申请 已申请 委 待申请单（委托 第九章技术支 附件一：......................................................................................................................................................... 管理系统包括服务器（外发服务器、控制台和外发浏览器三部分，由系次使用外发包时，能够实时获取使用权限。对于离线使用的外发包，可通过USBKEY 用户启用安全文档加密策略后，生成的安全文档、文件（个人、强制密级文件等第二章2-1SecDocAP制作外发包和权限文件等。平台可通过UEM服务器向UEM客户端发送相关的消息通知。又称外发服务器，主要服务于外件包、权限文件、邮件等的申请、和控制台是与外发服务器交互的界面，包括三部分：管理台、工作台和客户中心。其中，管理台负责对用户、角色、、外发包、流制作等过程；中心为有权限的客户提供登录外件包的功能。USBKeyWindowsServerWindowsServer2008WindowsServer2008R2SQLServer2000SQLServer2005SQLServer2008WindowsXPWindows732Windows83264Windows103264Windows2000WindowsXP32位Windows732Windows83264Windows103264无系 件外件包可以从外发服务器也可以通过其他介质带出。带出后的外件包只可以在安装了(自动或手动安装)外发浏览器的计算机中打开。外发浏览器根据具体的外件包验证方式来决定打开 第三章将硬件加密锁插入服务器，在安装光盘SecDocAP(Build8.0.xx.xxx) 发服务器的安装程序SecDocAPInst.exe，双击开始安装，如图3-1所示。3-1外发服务器安装程序3-2安装外发服务器欢迎界面3-3和制作，外件服务器用于文件包使用时的权限验证。在内情况下， 选择安装主程序，外件服务器默认安装在“C:\ProgramFiles\CSS\SecDocAP可以单击“浏览”按钮，可改变安装路径，如图3-53-5选择安装程序3-6完成安装前设置3-7安装圣天诺加密锁驱动图3-8接受安装加密锁的协3-9选择安装模式3-10运行加密锁驱动程序3-11加密锁驱动程序运行完成3-12外发服务器数据库连接配置3-13新建数据库名3-14设置初始用户图3-15设置系统默认图3-16初始化流程查模储的地方，上传文件统一在指定盘符下的FileStore中，在这里可以配置多个图3-17配置服务器空输入服务器所在计算机IP地址、端，以及web地址的端口。然后，单击“完成”按钮，如图3-18所示。 3-19外发服务器完成完成了整个服务器的安装，在能够正常通讯的机器上，在IE浏览器地址栏中输入或（其中10.26.17.128为服务器IP地址，即可转到安全文档管理系统登录界面。参见系统管理章节“SecDocAP菜单项，进入数据备份与恢复界面，如图3-203-20示。单击“选择”按钮，选择输出路径。通过数据规模右侧的下拉框，选择导出数据提示再停止主服务CSSSecDocAPService，保证导出数据的完整性。3-21备份与恢复工具——数据导出3-22config001.zipdb001.zipindex.idx是索引文件。fileBackup下备份包及做包源文件。这些文件和不要分3-233-243-25 在服务器中，单击“开始→程序→CSS→SecDocAP→管理工具”菜单项，进入License配置界面，如图3-27所示。图3- 文件（KEY（3）UEMLicenseUEM服务器地址和端口3-28图3- （*.ctp（*.exe在安装光盘 中，找到外发浏览器的安装程 钮，可以更改安装路径。单击“开始”按钮，开始安装，如图3-30所示。3-303-31第四章安全文档管理本信息的添加和分类管理、外发包流程制定和应用、外发包权限的更改，以及外发包使用日志的上传等；权限管理包含管理、日志管理、模板管理和参数配置；安全文档（业务系统数据防）包含U盘回家模式和日志管理。下面我们按菜单顺序一一介绍，有关联的章节按跳在浏览器地址栏中输入或（其10.26.17.128为服务器IP地址即可转到系统登录主界面，如图4-1所示。选择“管理台”，以初始化帐户（用户名：admin：a，大小写要匹配登录系统，进入管理台。4-1系统登录主界面息，如图4-2所示。角色分两种：内置角色和非内置角色。内置角色是系统初始化时内置的基本角4-2角色管理界面4-3添加角色4-4角色列表4-5删除新增角色4-6删除角色失败4-7修改角色4-8角色查询围，管理员只能在其的组织结构范围内对分组和人员进行管理，只能给其范围内的组织结admin，以及它所属的角色名称、管理范围不受限，如图4-9所示。4-9用户管理界面不可能当前登录用户的管理范围。用户不需要设置口令，默认为a，登录后请及时4-104-11的用户，后面我们以此用户登录，介绍文档外发、管理和权限管理等功能，详见后面的章节。4-124-134-144-15输入新、旧，确定后即可更改。单击右上方的“退出”按钮，test01用户将以新的登提示：单击“退出”按钮，退出到 4-16 4-17all的角色名都搜索了出来。4-184-194-20UEM系统是中软自主研发的统一终端安全管理系统，是内网安全的主品。当UEM系统的所以，需要用户事先导入UEM。UEM证书默认位置在服务器C:\CSS\UEM\WBServer\Conf\wbserver.cer，请用户将4-21UEM示。这里显示用户编号、用户名称、产品使用截止时间和用户数量等。用户数是具有外发功能的用户总数量，超过此限制数，将在CODM系统中单独添加用户。上有改变请重新登录控制台；如果只是更改了人数或者截止日期无需重新登录。图图4-22产 4-23图4- 单击“发件服务器配置”按钮，输入SMTP服务器地址、发件人邮箱地址、帐户名和等，SSL465，可以手动修改。单击“邮件发送测试”按钮，测试通过后配置可用。单击“确定”按钮，保存发件服务器配置，如图4-24所示。4-24POPSSL协议，默认端口为务器配置，如图4-25所示。提示：1.配置收件服务器成功后，收件箱中的邮件在后被删除，其他非邮件4-25系统将通过发件服务器向员发送邮件通知。完成后，系统也向申请人发送邮件通知。通知临时登录地址只生效一次，单击成功登录一次后，再用此地址登录无效。如果启用邮件方式审批，直接回复邮件可进行，毋须登录系统。在“服务器管理→磁盘空间不足通知设置”中，如果设置了磁盘空间不足邮件通知方式，那么当服务器总的空间达到临界面点时，会向收件人邮箱发送邮件。如果没有及时清理服务4.1.2.4中心配安全文档管理系统支持员，或者登录移动平台进行，这需要事先在服务器端接入设备，正确安装驱动，测试通讯是否正常。然后在管理台单击“系统参数设接收者号码和内容，单击“测试”按钮，测试能否正确接收。另外，可以启用余额不足提醒设置，输入余额不足值，接收的号和接收邮件的地址。最后，单击“确定”按钮，保图4-26中心配提示：（1） 配置”进行设置。（2）余额不足提醒可设置多个号，中间用“逗号”隔开，每天收到一次4-27控制台操作日志界面4-28按条件查询操作日志4-29逐条查看操作日志详情4-30导出保存操作日志信息4-31删除日志信息4-32选择日志信息显示列4-33所示。在此可以看到当前磁盘空间信息，不同的图标代表含义。上都是指过程中上传文件的地方，上传文件统一在指定盘符的FileStore

图4-33服务器管理界4-34磁盘空间清理“磁盘空间清理”能够按照类型有选择的清理空间中的做包源文件，或者包及做包源邮件通知，当服务器总的空间达到临界面点时，会向收件人邮箱发送邮件。如果没有及时清理4-35磁盘空间不足通知功能设置这个提醒是针对某个具体的管理员，如A管理员设置为不提醒，并不影响B管理员登录时弹出提示框，此处提醒只保存于中，如果删除浏览器的缓存，之前的提醒选择项将被清空。4-36邮件服务器配置 服务器空间是过程中上传文件的地方，上传文件统一在指定盘符的FileStore中。初始化时已经配置了默认的空间，用户在实际工作中，还可以在这里配置多个图4-37添加服务器空系统服务器制作外发包或权限文件时主动检查剩余空间，当前剩余空间不足以制作时，自动在其它中制作；如果没有其它，或者其它剩余空间也不足以上的服务器空间，如图4-38所示。4-38删除服务器动文件、邮件单，单击“开始清理”按钮，将对选定类型的数据进行全部清理，包括申请4-39数据库数据清理4-40服务器升级管理界面时升级的设置清除。服务器定时升级配置，如图4-41所示。

4-41服务器定时升级配置4-42服务器管理界面设置成默认地址127.0.0.1，否则更改服务器地址后系统异常。服务器服务CSSSecDocAPService。4-44服务重启4-45服务器重启台设置界面，如图4-46所示。图4-46平台管系统的员工具有特殊的含义，它是登录系统工作台，申请、制作文件或外发包，样将员工进行群组化管理。新建的员工，如果属于某个员工分组，它就自动具有这个分组的流4-47组织结构管理界面 4-494-50提示：如果登录用户为受限用户，选择管理范围外的组织修改分组时，将提示“您当前的新的分组。系统将提示用户选择：单独应用过流程的员工，保持原来的流程不变，还是应4-51直接删除该分组下的员工信息时，如果该分组下的员工有请求或者任务没有完成，则员工帐户，是登录安全文档工作台的帐户，只具有文档外发功能，只能提交文档外发和外发包默认a。邮箱地址和必须是真实有效的，如果该员工是员，系统将向该邮箱发送通知，或者用此进行。选择员工角色和文件级别，是定义该员工的4-52 员工单独应用过流程，将提示用户选择：保持原来的流程不变，还是应用新分组的流程？如果员工没有单独应用过流程，将自动应用新分组的流程。4-54修改员工信息钮，系统进行删除前的数据验证，如果该员工为非员和同步员工既可立即删除。 图4- 个人的流程，然后再删除该员工，系统提示信息如图4-57所示。 删除员提示信 重置员们的整个数据库同步过来，省去一个个添加帐户的麻烦，如图4-59所示。提示：1.受限的管理员用户，无法关联组织结构，提示“您当前的组织节点范围无法4-59选择关联UEM组织结构时，需输入UEM数据库IP地址、数据库用户和等，如图4-604-60UEM平台的流程。如果UEM中删除的用户是员，该员下有待流程，则当前流程进行的流程按当前规则继续执行；如果UEM中用户迁移了组织，对当前正在进行的提示：如果管理台中有新建员工帐号的话，关联组织结构前，会将UEM中员工帐号与只会检查UEM数据库，因此有可能产生同步重名的问题。4-61钮，为员工设置文档外发功能、角色和文件级别，如图4-62所示。4-624-63所示。默认情况下，只要产品用户数量够，所有同步过来的用户都具有文档外发功能。4-63帐户名（支持模糊查询4-64所示。只有赋予了角色的员工，才有可能成为图4- 图4- 同步员工级别设的角色流程，使不同层级的员工由下而上逐级提交单，有利于企业过程的有级有序化 工角色，如图4-68所示。图4-67添加角图4- 图4- 图4- 图4- 4-72所示。图4- 间有经过几个环节，这由规则确定。在实际使用过程中，我们首先建立流程模板，然后应4-73选择类型为员工，并勾选业务类型，如图4-74所示。图4- 设置好基本信息后，单击步骤下面的加号，在添加步骤界面，输入步骤名称，选择审选择人时，可以单击后面的加号加载组织结构，从整个组织结构中任意选择人。也门限制，上下级限制。同一步骤也可以有多个人，次序没有先后之分。最多可添加20个步骤，每个步骤不能重名。图4- 添加步个步骤出现，就会将申请单打回到未提交状态。申请人可以查看理由，修改后再次提交。图4-76新建员工流程模板——步图4-77修改步图4-78删除步否可通过方式或邮件方式，并启用单级结束等，如图4-79所示。图4-79新建员工流程模板——附加设 超时处理针对整套流程中的所有员和所有步骤，应用该模板的每个员，如果在每个步骤的规定时间内没有及时处理单，系统将按设置的“自动”或“自动通过”进行超时处理。处理结果会有日志记录，并注释是正常处理或超时处理。如果自动通过方式设置为这样通过设置基本信息、添加步骤、选择附加设置等一系列操作，建立一个完整的刚刚建立的新模板，如图4-80所示。图4-80流程模板库——新建员工流程模4-81流程模板库——制作模板副本提示：统一超时处理，只针对“员工”类型作用。4-82统一设置超时处理4-83流程模板库——修改模板角色方式是将组织结构中不同层级的员工赋予不同的角色，不同的角色定义不同的任务，设置一个有级别的角色流程，使不同层级的员工由下而上逐级提交单。角色与员工不同，人一般是申请人上级角色的员工，也可跨部门随意选择。下面讲角色模板的选择类型为角色，并勾选业务类型，如图4-84所示。 批方式和人，如图4-85所示。 添加角色步如果该模板启用了超时自动，可以选择该步骤禁用超时处理，必须由人亲自处理最多可添加20个步骤。图4-86新建角色模板——步 图4-87修改步图4-88删除步 员等，如图4-89所示。4-89新建角色模板——附加设置启用逐级选择员是指每一级的员在通过时，必须选择下一个员。如果不启用逐级选择员，则申请人在提交申请单时，选择人。角色启用逐级选择员时启用方式，需要事先进行中心配置，如果没有配置，系统会弹出提示信息。启用方式后，员可以通过回复方式进行。启用邮件方式，需要事先在系统参数设置中进行邮件服务器配置，并在参数设置中开启邮件消息通知。启用邮件方式后，审批员可以通过邮件回复方式进行。邮件的有效时间为一周，过期后将无法通过邮件方式进“自动通过”进行超时处理。处理结果会有日志记录，并注释是正常处理或超时处理。如果自这样通过设置基本信息、添加步骤、选择附加设置等一系列操作，建立一个完整的刚刚建立的新模板，如图4-90所示。4-90流程模板库——新建的角色模板4-91流程模板库——修改角色模板流程模板建立以后，需要应用到分组或员工，才能使分组或员工具有相应的流程。如果模板有所变动，也需重新应用到分组或员工，才能使分组或员工具有新的流程。同一分组，图4-92流程配置界业务、流程。确定后，将之应用于所选的分组或员工，该分组或员工的将自动执行模板所图4-93为分组或员工应用流如果选择的分组存在子部门，那么会在弹出的应用流程界面多一个附加选项“应用到子图4-94流程应用到子部门及员4-95所示。选择覆盖：分组中全部员工使用当前模板的流程，分组中全部人员所有正在进行中的申请单回滚到未提交状态。选择不覆盖：分组中单独应用流程的员工继续使用原来流程，分组图4-95是否覆盖员工单独设置的流图4-96单独应用流程的员工列图4-97为员工分组设置的流4-98更换模板提示信息任务将终止执行，申请单打回到未提交状态，须申请人重新提交后，应用新模板的流程。如果流程模板的应用是以员工为单位的，同一分组的不同员工可以具有相同的流程，也可以具有不同的流程，可能出现申请人也是员的现象。就是说某些时候，申请人可以自己自模板的应用很灵活，同一分组或员工，可以应用不同的模板，实现不同业务应用不同的流程。也就是说，同一分组或员工，既可走角色，也可走员工，一部分图4-99为员工或分组应用不同的模图4-100多业 设置默认流程后，员工所在的分组即使没有配置任何流程，依然可以提交申请单，按默认流程进行；更改默认流程后，正在使用默认流程的单自动回到未提交状提示：受限的管理用户，无法设置默认流程，提示“您当前的组织节点范围无图4-101配置默认流别别别别 图4-102级别字样设级级别字样最好与UEM中系统参数设置中“安全等级字样”一致。图4-103新建级别流图4-104添加级别步启用邮件方式，需要事先在系统参数设置中进行邮件服务器配置，并在参数设置中开启邮件消息通知。启用邮件方式后，员可以通过邮件回复方式进行。邮件的有效图4-105建立不同文件密级的流4-106文件类型等级设置级别流程建立完成后，它的优先级高于员工和角色。如果员工提交的文件类型定义了文件等级，将走对应的级别流程；如果提交的文件类型没有定义文件等级，将按业务类型走员工或角色。在这种情况下，只有提交的主动申请单和申请单定义了文件密级，并且有对应的级别流程，将走级别。提示：者定义的文件等级不同的，系统将按照文件等级最高的级别流程。图4-107参数配置界端，系统将通过UEM服务器向客户端发送相关消息通知。在过程中，员（UEM客户端）有待申请单时，系统将向员客户端发送消息通知。完成后，系统也向申请人客户端发送消息通知。通知消息中有临时登录地址。临时登录地单击“配置邮件通知登录地址”按钮，填写登录本系统服务器地址和端。不配置的话，系统默认的是安装初始化时CODM服务器地址和端。在过程中，员有待申请单时，系统将通过发件人邮箱向员发送邮件通知。审（1～1024M到平台的所有日志，包括文件外发、文档、、邮件、离线策略、外发包制作工具等，如图4-108所示。前状态、方式等这些显示列。单击下面的“选择列”按钮，从弹出的选择界面中，将隐藏的显4-109选择显示标题列 详情图形展示等，如图4-110所示。图4-110查看日志详查看文件，可以阅览文件的具体内容。对于申请的文件，如果在参数配置图4-111查看文名称、时间、申请人及当前状态；将鼠标悬浮于时光轴的某个节点时，会显示该节点的方式及步骤名称；将鼠标悬浮于某个小人上时，会显示该人的名称、结果和时间，如图4-112所示图4-112详情图形展4-113 空间的目的，如图4-114所示。图4-114删除全部日出”按钮，将根据用户输入的过滤条件导出符合要求的日志，如图4-116所示。列出的条数一致。申请单有几个文件、几个步骤，就显示几个文件名称、几个步骤，4-115根据过滤条件显示日志信息4-116导出的日志信息图4-117数据清“磁盘空间清理”能够按照类型有选择的清理时提交的文件，以及通过后制4-118申请单清理开使用。另外，添加客户帐户，只有具备帐户的客户才能登录安全文档中心，外4-119客户分组界面4-120添加客户分组4-1214-1224-1234-124入添加、修改、删除和查询界面，如图4-125所示。图4-125界4-126图4-127所示。根据实际情况，用户可添加多个。4-1274-1284-128在列表中，选择某客户，单击上方的“删除”按钮，出现删除客户确认框，确定后4-129单击“”列表项下面的空白框，输入查询条件，单击“查询”按钮或回车键，可以在制作外件包时，有时需要对外件的使用范围做限制，指定它只能在某些客户的计算客户的计算机标识和移动介质标识，并生成标识文件。然后，通过管理系统导入这些标识4-130所示。将此程序拷贝到欲提取标识信息的客户计算机上，双击运行。 获取工2564-131 获 下保存出CODMMachineInfo.xml文件，该文件可通过 下已存在同名的提示：硬盘序列号和CPU序列号的Hash值。 文件可通过管理系统导入到管理中（参见导入客户U盘信息。若当前下已存在同名的xml文件，则提示用户文件已存在，允许用户改变路径或换名保存。 计算机信息获取工具可以成功获取到不同客户的计算机信息，并生成标识文件。管理系统 4-134选择导入计算机信息4-135显示导入的计算机信息4-136修改计算机属性4-137迁移计算机标识信息4-138在某些情况下，需要对客户的移动介质做限制，规定外件包只能在指定的移动介质中打开使用。这就需要我们利用计算机信息获取工具提取客户的移动介质信息，并生成标识息进行管理，包括U盘标识的导入、迁移、修改、删除等基本操作。户UU4-139 选择导入单击“确定”按钮，出现“成功导入U盘标识文件”提示信息，在U盘信息管理中可以看到刚导入的信息，如图4-141所示。使用相同的方法，可以导入多个U盘标识文件。相同的标识只能导入一次，不能再次导入到相同的客户或不同的客户下。如果一个标识文件里有多个U盘标识，部分标识已经导入过，那么系统 UUU盘属 UUU盘标4-143迁移U在U盘标识信息列表中，选择某U盘信息，单击上方的“删除”按钮，弹出“确认删除”提示框，确定后即可删除，如图4-144所示。4-144删除U自行添加。这里添加的客户帐户，是登录系统外发包中心的帐户，请用户记好。参见安全文档外发包中心章节。图4-145客户帐户界4-146的客户帐户，如图4-147所示。根据实际需要，用户可添加多个客户 4-147图4-148修改客户帐4-1494-150置新建的客户帐户可以登录安全文档外发包中心，登录后请及时更改。如果客户遗忘了修改后的，可以申请系统管理员在这里重置。在客户帐户列表中选择某帐户，单击置图4-151重置客户帐息写入外发包。这样，将USBKEY与外发包关联起来，防止别人使用离线外发包。在安装光盘Tools_CODM8.0(BuildX.X.XX.XXX) 在“USBKey信息获取”界面，机器可自动获取当前USBKey的“厂商”和“标识”号，用 CODMUSBKeyInfo.xml文件，该文件可通过管理系统导入到USBKey信息管理中。若当前下已存在同名的xml文件，则提示用户文USBKey信息，追加到一个已存在的USBKey标识文件中，形成一个大的标识文件，便于集中管理。 的USBKey标识文件，如图4-154所示。4-154USBKey155USBKey与外发包进行了关联，能在下方看到关联的外USBKey验证的有使用次数限制的外发包进行回收，回收后的USBKey不能再次验证原来绑定的外发包。详见USBKEY验证外发包章节。USBKey标识文件。相同的标识只能导入一次。如果一个标识文件里有多个USBKey标识，部分标识已经导入过，那么系统会提示“导入结果：几个成功，几个USBKey信息管理中，保证了标识的唯一性。 制造商和序列号，确定后，添加到USBKey信息列表中。 4-158USBKey信息时，如果该USBKey与外发包4-158删除USBKey客户再次打开外发包时，按新的权限验证执行。另外，系统管理员还可以更改外发包的帐户和日期，清理制作外发包时在服务器上文件内容。4-159外发包权限管理界面4-160查看外发包权限信息线验证外发包进行权限销毁后，将无法打开使用。USBKey验证外发包和不启用验证方式的外发包4-161外发包权限销毁如图4-162所示。单击页，修改基础权限、计算机范围和U盘范围。确定后，提示更改权图4-162修改外发包权提示：如果原来的最大打开次数是5，需要再增加3次，就需要把“限制最大打开次数”改为8，53大打开次数”改为3。图4-163条件查询验证外发单击“权限导入”按钮，替换服务器验证外发包的使用权限，如图4-164所示。4-164选择列表显示列外发包管图4-165外发包管理界后日期，如图4-166所示。图4-166修改外发包截止日 图4-167添加可客图4-168删除可的客 4-169外发包文件管理本地打开，或到本地保存，如图4-170所示。图4-170外发包中文4-171所示。参见服务器空间章节。4-171清理外发包源文件4-172全部清理外发包内源文件清理外发包空间。4-173删除外发包如果用户所在单位的内，需要部署内网服务器和服务器。用户在内网服务器上完成外件包的申请、和制作，带出使用时需要通过服务器验证“外发包”的使用权限，该界面是在内网外发服务器上，设置服务器的IP地址，如图4-174所示。如果用户所在单位的内没有，只需在上布署一台内网外发服务器即可。那时，在此界面设置的是内网外发服务器IP地址。4-174外发服务器地址配置图4-175外发包日文件、基础权限、附限、详情和详情图形展示等，如图4-176所示。 名称、时间、申请人及当前状态；将鼠标悬浮于时光轴的某个节点时，会显示该节点的方式及步骤名称；将鼠标悬浮于某个小人上时，会显示该人的名称、结果和时间，如图4-178所示。图4-178查看文图4-179选择外发包日志显示出”按钮，将根据用户输入的过滤条件导出符合要求的日志，如图4-181所示。列出的条数一致。申请单有几个文件、几个步骤，就显示几个文件名称、几个步骤，图4-180按条件查询外发包日图4-181导出的外发包日4-182外发包使用日志4-183按条件查询外发包使用日志4-1844-185导出外发包使用日志4-186外发包权限操作日志4-187按条件查询外发包权限操作日志4-188删除权限操作日志4-189导出外发包权限操作日志4-190外发包权限获取日志4-191删除外发包权限获取日志4-192导出外发包权限获取日志如果申请制作外发包制作工具时，没有勾选“必须使用”选项，那么制作成功的外发包制4-1934-194删除外发包制作工具做包日志4-195文件权限管理是管理员对那些主动文件进行的后期管理，包括权限修改、权限锁 图4-196文件权限管理界4-197查看权限文件者（制作人）和使用人操作该文件时，将受修改后的权限制约。4-198权限修改主动文件列表中选择某一个或几个文件，单击“权限锁定”菜单，可以对该文4-199权限锁定4-200解除锁定4-201文件冻结恢复到正常状态，可以打开使用，如图4-2024-202解除文件冻结4-203权限销毁转移给别人。这时，在组织结构中选择某员工，然后选择该员工制作的或者有权使用的某些文如果接收人有某个文件的权限信息，又转移给他一个权限信息，这时，系统会自动将两个权限信息做比较，将每项权限叠加后授予接收人。例如：接收人不允许打印某文件，转移的权提示：选择接收文件权限人员时，可以在下面的组织结构中选择，也可以在上方的搜素框4-204权限转移如果员工要离职或者工作有变动，需要将他的主动文件或者他有权使用的主动文4-205全部权限转移

4-206全部权限转移确认些文件删除，清除空间。文件删除后，权限没有删除，不影响对其权限的更改。对已经的图4-207文件删文

图4-208文程就能提交申请单，提交申请单时有流程就走流程，没有流程则自动通过。如果用户图图4-209文 统都会检查文件附加属性中的计算机属性与路径属性，当发现与实际的属性不一致时，自径、不同计算机上的运行轨迹，并正向或逆向追踪文件的来龙去脉。4-210轨迹追踪文件列表界面可以看到该文件在不同计算机或同一机器不同路径下的流径情况，如图4-211所示。每个流转4-211轨迹追踪图的动画演示过程，如图4-212所示。4-212轨迹追踪动画演示4-213来源追踪

4-214去向追踪默认情况下，制作主动文件时，低密级的用户不允许打开高密级的主动文件。如果有4-215权限管理参数配置4-216低密级员工打开高密级文件4-217公共模板库界面4-218选择模板权限信息4-219建立公共模板4-220公共模板推送到系统管理员推送下来的公共模板，如图4-2214-221员工接收的公共模板4-222已推送的公共模板不能删除4-223取消推送公共模板 图4-224日志列文件、权限设置、详情和详情图形展示，如图4-225所示。图4-225查看详图4-226选 图4-227按条件查询日图4-228导出日4-229权限操作日志信息除”按钮，清除所有权限操作日志，如图4-230所示。4-230删除权限操作日志4-231按条件查询权限操作日志图4-232导出文件权限操作日安全文档脱离UEM环境无法打开，限制员工带出使用。现在，可以由管理员制作一种特定格式“回家模式UU4-233所示。4-234回家模式权限信息4-235U用此U盘持贝使用人的安全文档或文件，回家后插入家用电脑。首次使用回家模式UU盘上加密文档，在权限范围内使用。这里说明一下，退出U盘回家模式，可以卸载“U盘回家模式”客户端。但是卸载完后，下次图4-237日图4-238查看安全文档详图4-239按条件查询日图4-240导出日图4-241文件审计界图4-242按条件查询文4-243所示。图4-243查看文图4-244导出全部文件日图4-245邮件日志界图4-246查看邮件日图4-247条件查询邮件日列出的条数一致。申请单有几个文件、几个步骤，就显示几个文件名称、几个步骤，图4-248导出邮件日“查询”按钮或回车键，可以实现按条件查询，如图4-249所示。图4-249离线策略日志界内容、详情和详情图形展示，如图4-250所示。单击“返回”按钮，返回上一界面。图4-250查看离线策略详图4-251导出离线策略日工、今日中的申请单、七天内已通过申请单数量趋势变化，如图4-252所示。55名人员名称，按照申请单通图4-252统计界第五章安全文档工作在浏览器地址栏中输入或（其中作台登录界面，如图5-1所示。以组织结构管理中建立的员工帐户登录工作台。图5-1工作台登录界5-2我的申请单——概览界面如果管理系统员工帐户为关联UEM组织结构同步过来的用户，那么在UEM客户跳转至申请页面，并自动加载上传文件，省去登录和上传文件过程，如图5-3所示。5-3通过右键菜单登录工作台5-4新建申请单界面5-5新建申请单使用。验证包通过外发服务器获取实时权限信息，USBKey验证包自身带有权限信息，通过KEY进行认证。的使用权限，使用者这些文件时受使用权限限制。它不包含浏览器，需要事先安装外发浏览器；EXE

5-6我的申请申7所示。图5-7我ltui的申请单——文1G，可一次上传多个文件，也可逐个追加上传。上传压缩包时，我们需要事先把要上传的文件或ziprar4G验证，如图5-8所示。5-8我的申请单——选择验证方式5-9我的申请申——使用限制 5-10我的申请申——附加限制U盘使用范围，就要选择“启用U盘范围限制”。单击UU导出客户硬件信息和导入客户U盘信息章节。U“查看”按钮，可以查看添加U盘的详细信息。到使用范围内的U就不能再修改，进入状态。

5-11我的申请申——提交申请单的文件类型和业务自动判断。人按流程规则，由下而上逐级即可。参见流程图5-12员工所在分组的流状态等，如图5-13所示。图5-13待的申请员可以在不装UEM客户端、没有安全文档策略的情况下，仍然能够查看属于其范5-14查看申请单详细内容 图5-15通过申请击“通过”，如图5-16所示。员bbb和aaa是同一步骤的两个人，他们的过程没有先后次序之分。但是 过程中，申请人登录工作台，在“我的申请单”→“中的申请单”选择步骤，如图5-17所示。时，会显示该人的名称、结果和时间。图5-17查看当前流程状申请单是“通过”状态，系统也将自动制作外发包，如图5-18所示。图5-18申请单通图5-19申请人可使 中 图5-20员申请请单，如图5-21所示。单击查看理由，修改后可再次提交。图5-21申请人查看的申请5-22未提交的申请单例如：申请人的流程如图5-23所示，提交的文档外发申请单都需要三个步骤，三图5-23员工所在组的角色流以不是自己的上级。不同层级的员工按照流程，由下而上逐级提交单。参见角色5-24提交申请单--角色请单进行。通过后，选择下一级人，如图5-25所示。提示：人默认按汉语拼音规则排序。特殊字符按顺序排在最前面，其次是数字图5-25选择下一级接通过，省去后面的麻烦，如图5-26所示。图5-26员直接通过5-27我的文件包图5-28级别流5-29右键申请制作外发包5-30填写收件人邮箱图5-31选择行，如图5-32所示。5-32申请单的5-33制作外发包下面举列说明一下例如申请人aaa提交的申请单流程如图5-34所示员收到申请后，可通过回复方式进行。如果员多时没，可单击后面的提醒图标，图5-34中的申请员收到申请后，查看申请人的申请类型和申请单名称后，如果感到没什么异议，可回复P”通过。*号是申请单列号，如果没被用，一般按字从往大列通后员将到功信息如图5-35提示：时，员只能从内容中看到申请单尾号、申请人、申请类图5-35通如果员查看申请后，感到有问题不能通过，可回复“SPN*”审批。*号同样是指申请单序列号，员将收到申请单成功的提示信息，如图5-36所5-36提示：如果在过程中某一步骤的员有多个，只要有一个通过就通过。邮件方式需要事先在系统参数设置中进行邮件服务器配置，并在参数设置中开启邮件消息通知，如图5-37、5-38所示。提示：员邮箱需要在组织结构管理的员工帐号中添加，如果员对应的员工帐号是从5-37邮件服务器配置5-38邮件消息通知如图5-39所示。图5-39员工所在的流期将失效，如图5-40所示。提示：邮件时，员只能从邮件内容中看到申请单编号、申请人、申请类5-40邮件方式如果员想查看文件，可单击下边的地址登录平台进行电脑， 电脑方式按照步骤，每个员可根据自己喜好选择邮件方式或电脑方式。审批通过后，申请人将收到邮件通知，如图5-42所示。 申请单通过通后一个员的方式，如图5-43所示。 日需输入用户名登录工作台，可直接通过客户端右键菜单进行文件和申请单的提示：过程与UEM系统需做几项设置：a.UEM服务器配置关联的CODM服务器(系统参数设置-平台服务器配置中设置)；b.CODM服务器配置关联的UEM服务器组织结构5-45申请单详情信息图5-46UEM客户端——我的和管理系统是一样的，如图5-47所示。图5-47UEM客户端——我 单（选择下级员（看到可使用的外发包，如图5-48所示。5-48我的文件包列表图5-49我的文件 流程，如图5-50所示。5-50查看外发包详情5-51删除外发包USBKey验证外发包与验证外发包的申请、制作和使用过程稍有不同，这里特别说1.申请人（员工）USBKey验证方式。在“附加限USBKeyUSBKey5-52USBKey信息是通过系统管理员导入的，参见USBKey管理章节。5-52设置申请单USBKey用户提交USBKey验证外发包请求时，如果使用权限中限制了使用次数，系统会检制作完成后将需要手动对USBKey进行，否则外发包无法使用；在插入正确USBKey情况下提交申请单，制作完成后将次数自动写入USBKey。如果该外发包绑定了多个系统只能对一个USBKey自动，其它USBKEY需要在制作完成后，手动。5-53我的申请申——提交申请单申请单提交后，按照申请人所在的流程进行。每个步骤的员都要登录5-54申请单的全部完成后，系统自动完成外发包的制作。如果系统有异常，没能制作出外发将单中已申面作5555-55制作外发包的外件包，则无需进行。5-56我的外发包列表使用，如图5-57所示。包时就要USBKey中的时间进行校验。图5-57离线带KEY与“USBKeyUSBKey，可通过系统管理员回收，解除USBKey管理章节。5-58USBKey5-59新建申请单5-605-60设置申请单权限信息5-61提交申请单“中心”中选择“待的申请单”进行，如图5-62所示。图5-62申请单的过具到本地使用，默认保存为SelfApproveTool.zip。图5-63我的工eSelfApproveTool.zip5-64外发包制作工具——基础信息在外件列表中添加文件或整个，添加多个散文件时，不必在同一下。在外前USBKey信息自动显示在KEY列表中。览器默认打开的文件格式，它不包含浏览器，需要事先安装外发浏览器；EXE5-65外发包制作工具——权限信息 5-665-66外发包制作工具——计算机信息 是在制作离线工具时，从服务器，里面包含客户U盘信息。然后，从列表框中勾选具体的U盘，设置外发包的U盘使用范围。那么，外发包只能在客户指定的那些U盘上使用，不能在指定范围外的U盘上打开外发包，如图5-67所示。5-67图5-68自外发包制作完5-69新建申请单5-70我的申请单1G，可一次上传多个文件，也可逐个追加上传。上传压缩包时，我们需要事先把要上传的文件或ziprar4G依次增高，可在“级别管理”→“文件密级级别字样设置”中设置。UEM客户端用户密级也分为四级，可在UEM控制台“系统参数设置”→“客户端参数配置”→“安全等级如果申请人所在组配置了级别流程，申请人在文件申请单中选择了文件密级，使用方式：文件类型分为文件和离线文件。用户使用文件如果UEM控制台没有向客户端下发“自控制”策略，客户端不能通过右键菜5-71提交申请单图5-72中的申请74所示。员可以在包内文件列表中选择某一文件，单击“查看文件”按钮，将文件打 员通过申请如果人是关联组织结构同步过来的UEM用户，无需登录工作台，单击客户按钮，可以查看待的文件。双击某申请单，可以看到申请文件的权限信息，如图5-76所示。 的文件”→“发件箱”看到这些文件列表，可自行使用，如图5-78所示。图5-78我的文件列 单”，当某个步中只有一个员时，这个员可以修改单的内容（权限信息，但不能修改上传文图5-79员申请 的申请单，如图5-80所示。单击查看 图5-80申请人查看的申请选择人的流程，不能采用批量通过或批量。 批量处理 图5-82发件箱文件列5-83退出，以后使用人操作该文件时，将受修改后的权限制约。5-845-85任何人（包括作者和管理员）都5-855-86解除权限锁定件进行操作，如图5-87所示。5-87图5-88所示。这些文件的作者不是自己，是别人授予自己使用的主动 图5-88收件箱文件列5-89提示：在添加特殊权限范围界面增加搜索框，可以输入员工真实名或帐户名（支5-90使用人操作文件时受权限限制，如果感到某个文件的权限不合适，不能满有的权限，写明申请理由，向作者发起申请，如图5-91所示。5-91申请权限变更5-92我的变更申请文件列表5-93权限变更文件列表提示：锁定和冻结的文件，不能进行权限变更。如果变更，请写明理由， 5-94权限变更详情查看的那个权限，也是作者给申请者开通的特殊权限，如图5-95所示。5-95查看变更后权限图5-96转发箱里主动文件列5-97进行的权限修改，都会反映在文件的权限信息中。5-985-99回收自己重新的权限信息，以及其允许他人重新的权限信息。到自己保存或添加的权限模板，如图5-100所示。5-100权限模板列表5-101添加新模板 编辑模5-103查看权限模板详情 委托”菜单，启用，选择截止时间和被委托人，如图5-106所示。自动失去权限。图5-106委托设5-107被委托的历史记录委托中看到单，他可以代替人进行申请单的，如图5-108所示。图5-108待申请单 图5-109UEM客户端——我的 选 文提示：1.文件申请在级别 图5-111文件自申请界按照申请人所在组的流程，由员登录工作台进行，如图5-112所图5-112 “我的单”进行，无需登录工作台，如图5-113所示。图5-113UEM客户端—我的图5-114查看后的文客户端启用安全文档加密策略后，生成的普通加密文件（安全文档、文件、强制提示：1.邮件支持普通加密文件、申请人自已制作的文件、有权使用的密 5-115新建申请单5-116我的申请单页面邮件支持压缩包，上传文件可以是含有加密文件的（ZIP或RAR）压缩包，如图5-117所示。压缩包设置了口令，上传压缩包时系统不做提示，通过后，包内的加密文件无法。图5-117邮件支持压缩上传文件过程，如图5-118所示。图5-118邮件右键菜图5-119员过“我的单”进行，无需登录工作台，如图5-120所示。5-120UEM申请单通过后，将上传的加密文件或者压缩包内普通加密文件成明文，并5-121数据安全界面5-122离线策略申请单按照申请人所在组的流程，由员登录工作台进行，如图5-123所图5-123员过“我的单”进行，无需登录工作台，如图5-124所示。5-124UEM第六章安全文档外发包中 图6-2我的申请申——信外发包制作完成后，用制作外发包时添加的客户帐户登录中心图6-3客户登录中心界 到本地使用，如图6-4所示。图6-4客户外发除可的客户帐户，修改截止日期，如图6-5所示。详见外发包管理章节。图6-5添加或删除客户 第七章印