希拓加密产品使用说明书

产品阐明书希拓数据防泄密系统KDS金盾卫士V3.5南京希拓科技有限企业NanjingHitopTechnologyCo.,Ltd版权声明南京希拓科技有限企业版权所有，并保留对本文档及本申明最终解释权和修改权。本文档中出现任何文字论述、文档格式、插图、照片、措施、过程等内容，除另有尤其注明外,其著作权或其他有关权利均属于南京希拓科技有限企业。未经南京希拓科技有限企业书面同意，任何人不得以任何方式或形式对本手册内任何部分进行复制、摘录、备份、修改、传播、翻译成其他语言、将其所有或部分用于商业用途。免责条款本文档根据既有信息制作，其内容如有更改，恕不另行告知。南京希拓科技有限企业在编写该文档时候已尽最大努力保证其内容精确可靠，但南京希拓科技有限企业不对本文档中遗漏、不精确、或错误导致损失和损害承担责任。信息反馈您可以访问希拓科技网站：获得最新技术和产品信息。目录TOC\o"1-4"\h\z\u第一章：系统重要名词阐明 4第二章：系统使用 51、服务端使用 52、控制台使用 62.1名词阐明 62.2操作界面 62.3基本设置 82.3.1登陆控制台 82.3.2修改密码 82.3.3设置管理组 82.3.4设置组加密信息 92.3.5设置客户端权限 102.3.6文献备份设置 122.3.7帐号设置及管理 132.3.8系统运行配置 142.4文献加解密 152.4.1邮件自动解密 152.4.2解密审批 162.4.3硬盘文献加密解密 172.4.4当地文献加解密 182.4.5远程文献加解密 192.5客户端管理 202.5.1客户端离线 202.5.2生成客户端 212.6日志管理 222.7远程监视及远程控制 222.8卸载删除客户端 233、客户端使用 233.1开关客户端 233.2邮件解密 243.3申请解密 253.4文献权限 25第三章：注意事项 27第四章：常见问题FAQ 29第一章：系统重要名词阐明服务端用于寄存配置信息、负责网络通讯以及验证客户端程序，运行于后台。在系统运行过程中要保证服务端一直处在运行状态。服务端在整个系统中有唯一性，系统授权信息也是寄存在服务端。控制台控制台是用于配置系统子程序，顾客可以通过控制台配置系统，是直接面对顾客系统接口。控制台在系统运行期间可以是关闭，可以安装多种控制台。客户端客户端是安装在涉密计算机上，负责文档自动加解密功能，以及执行有关操作。顾客组（部门）顾客组是一种虚拟名称，是由一部分客户端构成集合。在同一种顾客组下面文档运用该组加密方略。密钥密钥是用来加密算法使用，在系统中密钥很重要，每个顾客组拥有一种唯一密钥。顾客组建立后来密钥将会随机产生，一旦密钥启用，不要随便修改。第二章：系统使用1、服务端使用运行服务端，将需要添加授权文献，假如你没有授权文献，请与我们我们企业联络。添加注册文献后系统将正常运行，不需要其他配置。服务端要保持一直运行状态，否则客户端和控制台将会无法正常使用，假如条件容许请保持24小时运行。2、控制台使用控制台是管理系统平台，提供应管理人员使用，系统设置都需要通过控制台来完毕。2.1名词阐明管理组：管理组是客户端管理对象，每个管理组有不一样密钥，在同一种管理组客户端计算机之间加密文档可以流通。加密类型：目前管理组需要自动加密文档集合，例如OFFICE、CAD图纸等。只有目前组选择了加密类型，这些文档才可以自动加密解密。加密等级：根据保密制度和方略，通过部门、密级、文档类型有关联，细化到各部门加密不一样文献类型，划分“公开”、“一般”、“私密”、“保密”、“机密”、“绝密”六个等级，这样，只能是具有对应访问权限人才能访问该部门某种类型文献。2.2操作界面控制台操作重要分三个区域，如下图标识（A左视图，B右视图，C上视图）。A左视图选择对象（组或客户端），鼠标左键点击，B右视图将会出既有关操作界面或者信息。命令功能系统维护菜单锁定系统控制台最小化到系统托盘，打开界面需要重新输入密码修改密码修改目前顾客登录密码刷新系统更新客户端在线状态系统退出退出控制台系统设置菜单运行配置对断线时间、U_KEY验证进行设置帐号管理添加管理员帐号，修改管理员权限，删除管理员帐号组信息查看组信息，包括名称、密钥、加密方略客户端信息查看客户端信息，包括描述、所属组、IP、在线状态客户端加密等级查看添加客户端访问方略程序黑名单添加/删除严禁运行程序方略邮件自动解密管理添加/编辑/删除邮件自动解密方略文献备份设置设置客户端文献备份加密管理菜单硬盘文献加密对所选客户端文献批量加密硬盘文献解密对所选客户端文献批量解密客户端离线管理客户端离线时间及验证方式进行设置生成单机客户端根据方略生成单机客户端安装程序生成老板客户端生成老板客户端安装程序信息审计菜单文献审计信息查看客户端文献操作日志打印审计信息查看客户端打印日志解密审批信息查看解密审批日志文献加解密菜单当地文献加/解密控制台当地文献手工加解密操作远程文献加/解密远程客户端文献手工加解密操作远程管理菜单远程控制对在线远程客户端进行控制远程监视对在线远程客户端进行监视日志管理菜单删除操作日志删除操作日志删除文献审计删除文献审计日志删除打印审计删除打印审计日志协助菜单协助文档查看协助文档有关系统查看系统版本信息2.3基本设置2.3.1登陆控制台初次使用控制台，系统默认管理员帐号为admin，密码为123456。进入控制台后请立即修改admin帐号密码。服务端IP指是安装服务端计算机IP地址。2.3.2修改密码初次登陆控制台后来，一定要修改密码，保护你帐户安全。“系统维护”菜单项选择择“修改密码”。2.3.3设置管理组A左视图上选择组对象。右键菜单项选择择“新建组”。2.3.4设置组加密信息A左视图选中组对象，B右视图出现设置界面。设置界面有两个部分构成，组基本信息和加密方略。组基本信息显示组名称及密钥。加密方略显示组目前所应用方略。点击“修改信息”按钮，选择组加密类型，这个组下面客户端将自动加密所选类型文献。选择确定后来，客户端加密方略立即生效，无需重启客户端。系统几乎支持所有文档类型，假如列表里面没有你需要加密类型，请与我们联络，我们会进行配置。2.3.5设置客户端权限安装好客户端，将会自动上线，假如客户端在线图标就是“亮“，如下图客户端（）。假如客户端不在线图标就是“灰”，如下图客户端()。修改基本信息A左视图选中客户端对象，B右视图会出现设置界面。在“客户端基本信息”区域点击“修改信息”按钮，出现如下图对话框，可以对客户端外设，审计信息控制等进行管理。其中，USB存储指是USB存储设备；USB设备指是USB存储、USB打印机、USB鼠标等与USB接口有关设备。开关客户端，启动该功能，可以对客户端文献进行有选择加解密。启动加解密时，方略内企业文献仍然自动加密；关闭加解密时，企业文献就无法打开，同步保证私人文档不会加密。容许剪切板，勾选表达加密文献内容可以复制到非加密文献中。启用文献审计，当客户端机器有文献修改时候自动记录日志。启用打印审计，在安装打印机客户端记录下打印信息日志。假如选择审计功能，服务器需要有足够存储空间，审计产生日志数据量很大，会给服务器导致压力。客户端加密等级A左视图中选中某客户端，在“系统设置”菜单里选“客户端加密等级”，就可以设置目前客户端访问方略。如下图，设置客户端就拥有查看开发部“公开”、“一般”等级文献权限。程序黑名单程序黑名单指是，严禁客户端机器运行指定程序，例如QQ、MSN等。首先在系统设置程序黑名单里面增长你需要禁用程序列表如下图。增长好了后来要选择保留。A左视图选择客户端对象，然后在“客户端程序黑名单”区域点击“修改信息”，来设置某个客户端程序黑名单。确定后生效，客户端计算机将无法运行这些程序。.2.3.6文献备份设置“系统设置”菜单项选择择“文献备份设置”。如下图，勾选“启用加密文献备份”，则备份功能生效。选择需要备份客户端，及备份文献类型，完毕设置就可以对所选类型加密文献进行备份。2.3.7帐号设置及管理名词阐明手工加密组：系统有自动加密部分和手工加密部分。自动加密是由客户端来完毕，手工加密由控制台来完毕。由于登陆控制台是某个账号，加密是通过密钥来完毕，而密钥寄存在组信息里面。因此就有了手工加密组概念，归根究竟就是获取这个组密钥来加密文献。管理组：系统可以由几种管理员来管理，管理员可以管理各个组客户端，这样管理组概念就产生了。通过管理组可以设置特定账号来分派管理权限。例如说财务部门有管理员，设计部有管理员，在给他们设置管理组时候可以选择相对应部门。这样这个管理员只能看到自己部门客户端，同步管理员也可以拥有不一样管理权限。在“系统设置”菜单项选择择“帐号管理”，如下图：需要注意是，假如在安装客户端计算机使用账号登陆控制台，这个时候假如此账号手工加密组和客户端组不是同一种组，那么假如这个时候使用控制台来加密当地文献，这些加密文献客户端有也许无法打开，由于他们使用加密文献密钥不一样。2.3.8系统运行配置断线运行时间：当客户端和服务端网络无法连接时候，为了保证不影响客户端计算机工作，可以设置在多长时间内客户端可以正常使用加密文献，一旦网络连接上后来断线时间将重新开始计算。客户端离线使用U_KEY验证：需要出差时候，可以通过把系统加密以及配置信息写入到U_KEY里面，这样U_KEY就是一种简朴服务端程序，可以保证出差客户端机器可以使用加密文献。控制台使用U_KEY验证：用U_KEY来验证帐号登陆身份。假如你没有U_KEY，请不要选择这个选项，否则会导致无法登陆控制台。2.4文献加解密2.4.1邮件自动解密邮件解密设置：“系统设置”菜单“邮件自动解密管理”选项。B右视图出现方略列表，右键选择新增/编辑/删除方略。通过三种控制方式：只验证发件人，只验证收件人和同步验证发件人收件人。成功发送出去文献就会自动解密。只验证发件人，是指只要发件人在授权列表中，就可以发给任何人以进行解密。只验证收件人，是指内部任何人发往授权列表中收件人，文献将解密。更为严格方式就是同步验证收发者，两者都在授权列表才能成功发送解密。此外还可以设置备份抄送邮箱，这样就能理解发送出去文献，留做记录。2.4.2解密审批申请解密设置：A左视图右键需要设置客户端对象，选择“解密审批设置”。这里有两种方式：次序审批和共同审批。次序审批就是只要某一种管理员同意即可进行文献解密；共同审批就是需要所有管理员都同意才能解密。同步可以设置审批时间，超时则未通过审批。客户端发送解密申请，登录控制台具有审批权限管理员可以收到信息。如下图，管理员可以查看申请解密文献内容，作为审批根据。审批成果会反馈给客户端。2.4.3硬盘文献加密解密硬盘文献加密，对某一客户端硬盘中某一类型所有文献加密，可以选择对客户端整个硬盘文献进行搜索加密指定类型，目是第一次使用本系统时候进行初始化，加密本来文档，安装系统后来产生文档将会自动加密。注意使用这个功能要谨慎，请输入确实要加密文档类型，例如需要初始化加密CAD图纸，可以输入dwg格式文档类型。不要输入某些系统文献类型，例如dll，ini等。由于此功能需要搜索整个硬盘因此需要耐心等待，并且保证客户端在线。在加密过程中不要关闭客户端计算机。一般来说加密10G数据硬盘需要大概20分钟左右。同步你可以通过远程文献功能查看与否需要初始化加密类型与否已经加密。使用阐明：“加密管理”菜单项选择择“硬盘文献加密”。如下图，“选择客户端”添加需要初始化加密客户端，所选客户端必须是在线，输入需要加密文档类型，点击“执行”按钮。在加密过程中请不要关闭客户端机器。硬盘文献解密操作与之类似。2.4.4当地文献加解密当地文献指是目前登陆控制台计算机文献，管理员可以通过此功能加密解密指定文献。当地文献加密使用密钥就是账号里面手工加密组密钥。手工加密可以加密任何格式文献，需要注意是不要加密系统目录系统文献，以免系统受到破坏。当企业有重要文献封存时候，也可以采用此功能来实现对文献保护。当地文献加密解密，可以针对单个文献、多种文献、目录、磁盘来进行加密解密。使用阐明：“文献加解密”菜单项选择择“当地文献加解/密”，或直接在C上视图点击“当地文献”按钮。文献加密解密，选择一种或者多种文献，右键点击，然后选择加密解密。文献夹加密解密选择一种文献夹右键点击，然后选择加密解密。2.4.5远程文献加解密远程文献加密解密是针对是客户端文献，管理人员可以通过远程文献来浏览控制客户端文献。可以对指定文献进行加密解密，能把远程计算机文献拷贝到本机上。远程文献加密采用是客户端所属组密钥，而不是目前帐号手工加密组。原因就是客户端机器自动加密采用是客户端所属组密钥，那么这个时候远程加密也应当采用相似密钥，否则客户端机器会出现无法打开远程文献加密问题。使用阐明：A左视图选择一种在线客户端对象。“文献加解密”菜单项选择择“远程文献加解/密”或者在C上视图工具栏点击“远程文献”。需要注意是假如客户端计算机正在使用目前文献，不要加密他使用这个文献，以免产生错误。2.5客户端管理2.5.1客户端离线出差或者其他需要脱离服务器运行状况，可以采用客户端离线功能。“加密管理”菜单项选择择“客户端离线管理”。如下图，选择需要离线运行客户端，然后选择离线日期，在这段时间内客户端机器可以正常使用加密文献。采用U_KEY验证没有时间限制。使用U_KEY验证时，加密文献只有在插入U_KEY时才能正常使用，拔下U_KEY就不能打开。假如客户端不在线，可以生成一种离线包，将离线包放到系统目录System32目录，启动机器生效，一旦连接到网络离线功能将失效。假如客户端在线，那么可以直接下发，立即生效，计算机脱离服务端可以自动运行，一旦连接到网络离线功能将失效。2.5.2生成客户端包括生成单机客户端与生成老板客户端。单机客户端包括加密方略，可以不连接服务器而实行自动加解密。“加密管理”菜单项选择择“生成单机客户端”。老板客户端这台客户机上，可以查看加密文献，而不需要加密本机文献，通过老板客户端打开文献就成为未加密状态。“加密管理”菜单项选择择“生成老板客户端”。注：两者安装都需要授权。2.6日志管理日志管理包括文献审计信息、打印审计信息、操作日志信息以及解密审批信息。系统设置专门日志管理员对“操作日志信息”、“解密审批信息”进行管理。操作日志包括所有手动加解密操作，所有系统设置信息。解密审批信息包括所有客户端申请解密操作，审批状态，申请解密文献。2.7远程监视及远程控制远程监视可以监控客户端计算机，可以理解客户端计算机实时操作状况，理解员工在做什么。远程控制是在远程监视基础上加上操作控制客户端计算机。2.8卸载删除客户端客户端卸载可以通过控制台完毕。选择需要卸载删除客户端，然后选择删除客户端，使用此功能时保证客户端在线。也可以运用软件自带客户端卸载工具进行卸载。3、客户端使用客户端安装在需要加密机器上，不需要任何设置。3.1开关客户端控制台容许“开关客户端”时候，客户端电脑系统托盘会出现图标，右击出现菜单，可以启动/关闭自动加解密。3.2邮件解密右击加密文献，在快捷菜单出现邮件解密选项添加需要解密文献为附件，填写对信息，即可发送邮件。在授信列表中客户端，成功发送邮件，文献将解密。3.3申请解密右击加密文献，在快捷菜单出现申请解密选项申请解密之后，管理员进行审批，结束后反馈信息给客户端。审批通过之后，就可以接受文献。此时得到文献就是未加密。3.4文献权限右击加密文献，在快捷菜单出现文献权限选项通过文献授权功能，授权加密后文献，这样只有授权列表中人才能查看该文献。可以对某个组授权，也可以某个人授权。第三章：注意事项客户端网络连接客户端安装完毕，通过如下几种方式可以检测与否安装成功：从控制台查看：安装完毕客户端会自动上线，在控制台列表中出现（A左视图）。在客户端机器上通过系统命令查看：开始菜单——运行——输入cmd——命令行输入netstat，该命令可查看客户端连接状况。注：客户端连接端口为10018，对应信息：ESTABLISHED表达连接上服务端，客户端安装成功。SYN-SENT表达客户端发送信息无反馈，连接不上服务端。原因也许是防火墙将端口制止，需要在防火墙设置里将端口开放。管理员帐号安全本系统可以设置多种管理员，通过设置不一样权限，到达分级别分组管理效果。管理员可以拥有文献解密、远程控制、信息审计等权限，因此账户安全尤为重要。默认系统管理员，登录帐号为admin，初始密码为123456；日志管理员，登录帐号为logadmin，初始密码为123456；新建帐号密码默认为111。设置好帐号后第一时间应修改密码，保证管理员帐号安全。加密安全系统根据硬盘号和随机密钥来加密文献。防止硬件损坏或者操作系统瓦解引起客户端文献无法自动加解密，事先应做好如下备份：授权文献——产品正式注册授权文献硬盘号——包括服务端及客户端（硬盘号会自动保留在数据库中）随机密钥——系统第一次运行产生加密密钥，控制文献加解密（随机密钥保留在数据库中）组加密密钥——每新建一种组，系统会分派一种密钥，假如要修改该密钥，需先把组下面所有客户端加密文献先解密（组加密密钥保留在数据库中）文献安全软件最新版本在权限上做了细分，即可以对每一种客户端设置访问权限，控制其访问其他部门文献。对于加密后文献，在没有权限、未经授权、自动加密方略取消或者客户端脱离服务端等状况下，强行打开出现会是乱码或主线无法打开。这时，若是对文献修改保留，文献格式就会破坏，导致无法解密，数据丢失。日志与备份系统可以对客户端文献操作、加解密操作、打印操作等进行记录，以便追根溯源，保留泄密证据。系统能对客户端加密文献备份，保证文献安全。日志与备份均保留在服务端机器上，假如启用这些功能，需保证服务端硬盘有足够空间。其他不要对系统文献加密（exe、dll、ini等），这样会导致操作系统瓦解。第四章：常见问题FAQ1、系统对使用操作系统有规定吗？答：对于所有windows系统没有规定，系统支持所有Windows操作系统，包括NT//XP/。2、系统对使用硬件有规定吗,需要服务器支持？答：没