希拓加密产品使用说明书

产品说明书希拓数据防泄密系统KDS金盾卫士V3.5南京希拓科技有限公司NanjingHitopTechnologyCo.,Ltd版权声明南京希拓科技有限公司版权全部，并保留对本文档及本声明的最终说明权和修改权。本文档中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特殊注明外,其著作权或其他相关权利均属于南京希拓科技有限公司。未经南京希拓科技有限公司书面同意，任何人不得以任何方式或形式对本手册内的任何部分进行复制、摘录、备份、修改、传播、翻译成其它语言、将其全部或部分用于商业用途。免责条款本文档依据现有信息制作，其内容如有更改，恕不另行通知。南京希拓科技有限公司在编写该文档的时候已尽最大努力保证其内容精确牢靠，但南京希拓科技有限公司不对本文档中的遗漏、不精确、或错误导致的损失和损害担当责任。信息反馈您可以访问希拓科技网站：获得最新技术和产品信息。目录TOC\o"1-4"\h\z\u第一章：系统主要名词说明 4其次章：系统运用 51、服务端的运用 52、限制台的运用 62.1名词说明 62.2操作界面 62.3基本设置 8登陆限制台 8修改密码 8设置管理组 8设置组加密信息 9设置客户端权限 10文件备份设置 12帐号设置及管理 13系统运行配置 142.4文件加解密 15邮件自动解密 15解密审批 16硬盘文件加密解密 17本地文件加解密 18远程文件加解密 192.5客户端管理 20客户端离线 20生成客户端 212.6日志管理 222.7远程监视及远程限制 222.8卸载删除客户端 233、客户端的运用 233.1开关客户端 233.2邮件解密 243.3申请解密 253.4文件权限 25第三章：留意事项 27第四章：常见问题FAQ 29第一章：系统主要名词说明服务端用于存放配置信息、负责网络通讯以及验证客户端的程序，运行于后台。在系统运行过程中要确保服务端始终处于运行状态。服务端在整个系统中有唯一性，系统的授权信息也是存放在服务端。限制台限制台是用于配置系统的子程序，用户可以通过限制台配置系统，是干脆面对用户的系统接口。限制台在系统运行期间可以是关闭的，可以安装多个限制台。客户端客户端是安装在涉密的计算机上，负责文档的自动加解密功能，以及执行相关操作。用户组（部门）用户组是一个虚拟的名称，是由一部分客户端组成的集合。在同一个用户组下面的文档利用该组的加密策略。密钥密钥是用来加密算法运用，在系统中密钥很重要，每个用户组拥有一个唯一的密钥。用户组建立以后密钥将会随机产生，一旦密钥启用，不要随意修改。其次章：系统运用1、服务端的运用运行服务端，将须要添加授权文件，假如你没有授权文件，请与我们我们公司联系。添加注册文件后系统将正常运行，不须要其他配置。服务端要保持始终运行的状态，否则客户端和限制台将会无法正常运用，假如条件允许请保持24小时运行。2、限制台的运用限制台是管理系统的平台，供应应管理人员运用，系统设置都须要通过限制台来完成。2.1名词说明管理组：管理组是客户端的管理对象，每个管理组有不同的密钥，在同一个管理组的客户端计算机之间加密的文档能够流通。加密类型：当前管理组须要自动加密的文档集合，例如OFFICE、CAD图纸等。只有当前组选择了加密类型，这些文档才能够自动加密解密。加密等级：依据保密制度和策略，通过部门、密级、文档类型的相关联，细化到各部门加密的不同文件类型，划分“公开”、“一般”、“私密”、“保密”、“机密”、“绝密”六个等级，这样，只能是具有相应访问权限的人才能访问该部门的某种类型文件。2.2操作界面限制台操作主要分三个区域，如下图标记（A左视图，B右视图，C上视图）。A左视图选择对象（组或客户端），鼠标左键点击，B右视图将会出现相关的操作界面或者信息。吩咐功能系统维护菜单锁定系统限制台最小化到系统托盘，打开界面须要重新输入密码修改密码修改当前用户登录密码刷新系统更新客户端在线状态系统退出退出限制台系统设置菜单运行配置对断线时间、U_KEY验证进行设置帐号管理添加管理员帐号，修改管理员权限，删除管理员帐号组信息查看组的信息，包括名称、密钥、加密策略客户端信息查看客户端的信息，包括描述、所属组、IP、在线状态客户端加密等级查看添加客户端访问策略程序黑名单添加/删除禁止运行程序的策略邮件自动解密管理添加/编辑/删除邮件自动解密策略文件备份设置设置客户端文件备份加密管理菜单硬盘文件加密对所选客户端文件批量加密硬盘文件解密对所选客户端文件批量解密客户端离线管理客户端离线时间及验证方式进行设置生成单机客户端依据策略生成单机客户端安装程序生成老板客户端生成老板客户端安装程序信息审计菜单文件审计信息查看客户端文件操作日志打印审计信息查看客户端打印日志解密审批信息查看解密审批日志文件加解密菜单本地文件加/解密限制台本地文件的手工加解密操作远程文件加/解密远程客户端文件的手工加解密操作远程管理菜单远程限制对在线的远程客户端进行限制远程监视对在线的远程客户端进行监视日志管理菜单删除操作日志删除操作日志删除文件审计删除文件审计日志删除打印审计删除打印审计日志帮助菜单帮助文档查看帮助文档关于系统查看系统版本信息2.3基本设置2.3.1登陆限制台首次运用限制台，系统默认管理员的帐号为admin，密码为123456。进入限制台后请立刻修改admin帐号的密码。服务端的IP指的是安装服务端的计算机的IP地址。2.3.2修改密码首次登陆限制台以后，肯定要修改密码，爱护你的帐户平安。“系统维护”菜单选择“修改密码”。2.3.3设置管理组A左视图上选择组对象。右键菜单选择“新建组”。2.3.4设置组加密信息A左视图选中组对象，B右视图出现设置界面。设置界面有两个部分组成，组基本信息和加密策略。组基本信息显示组的名称及密钥。加密策略显示组当前所应用的策略。点击“修改信息”按钮，选择组的加密类型，这个组下面的客户端将自动加密所选的类型文件。选择确定以后，客户端加密策略马上生效，无需重启客户端。系统几乎支持全部的文档类型，假如列表里面没有你的须要的加密类型，请与我们联系，我们会进行配置。2.3.5设置客户端权限安装好的客户端，将会自动上线，假如客户端在线图标就是“亮“的，如下图的客户端（）。假如客户端不在线图标就是“灰”的，如下图的客户端()。修改基本信息A左视图选中客户端对象，B右视图会出现设置界面。在“客户端基本信息”区域点击“修改信息”按钮，出现如下图的对话框，可以对客户端的外设，审计信息限制等进行管理。其中，USB存储指的是USB存储设备；USB设备指的是USB存储、USB打印机、USB鼠标等与USB接口有关的设备。开关客户端，启动该功能，可以对客户端文件进行有选择的加解密。开启加解密时，策略内的公司文件仍旧自动加密；关闭加解密时，公司文件就无法打开，同时保证私人的文档不会加密。允许剪切板，勾选表示加密文件内容可以复制到非加密文件中。启用文件审计，当客户端机器有文件修改时候自动记录日志。启用打印审计，在安装打印机的客户端记录下打印的信息日志。假如选择审计功能，服务器须要有足够的存储空间，审计产生的日志数据量很大，会给服务器造成压力。客户端加密等级A左视图中选中某客户端，在“系统设置”菜单里选“客户端加密等级”，就可以设置当前客户端访问策略。如下图，设置的客户端就拥有查看开发部“公开”、“一般”等级文件的权限。程序黑名单程序黑名单指的是，禁止客户端机器运行指定的程序，比如QQ、MSN等。首先在系统设置程序黑名单里面增加你须要禁用的程序列表如下图。增加好了以后要选择保存。A左视图选择客户端对象，然后在“客户端程序黑名单”区域点击“修改信息”，来设置某个客户端的程序黑名单。确定后生效，客户端计算机将无法运行这些程序。.文件备份设置“系统设置”菜单选择“文件备份设置”。如下图，勾选“启用加密文件备份”，则备份功能生效。选择须要备份的客户端，及备份的文件类型，完成设置就可以对所选类型加密文件进行备份。2.3.7帐号设置及管理名词说明手工加密组：系统有自动加密的部分和手工加密的部分。自动加密是由客户端来完成，手工加密由限制台来完成。由于登陆限制台的是某个账号，加密是通过密钥来完成，而密钥存放在组信息里面。所以就有了手工加密组的概念，归根究竟就是获得这个组的密钥来加密文件。管理组：系统可以由几个管理员来管理，管理员能够管理各个组的客户端，这样管理组的概念就产生了。通过管理组可以设置特定的账号来安排管理的权限。比如说财务部门有管理员，设计部有管理员，在给他们设置管理组的时候可以选择相对应的部门。这样这个管理员只能看到自己部门的客户端，同时管理员也可以拥有不同的管理权限。在“系统设置”菜单选择“帐号管理”，如下图：须要留意的是，假如在安装客户端的计算机运用账号登陆限制台，这个时候假如此账号的手工加密组和客户端的组不是同一个组，那么假如这个时候运用限制台来加密本地文件，这些加密文件客户端有可能无法打开，因为他们运用加密文件的密钥不同。2.3.8系统运行配置断线运行时间：当客户端和服务端网络无法连接的时候，为了保证不影响客户端计算机的工作，可以设置在多长时间内客户端能够正常运用加密文件，一旦网络连接上以后断线时间将重新起先计算。客户端离线运用U_KEY验证：须要出差的时候，可以通过把系统的加密以及配置信息写入到U_KEY里面，这样U_KEY就是一个简洁的服务端程序，能够保证出差的客户端机器能够运用加密文件。限制台运用U_KEY验证：用U_KEY来验证帐号的登陆身份。假如你没有U_KEY，请不要选择这个选项，不然会造成无法登陆限制台。2.4文件加解密2.4.1邮件自动解密邮件解密设置：“系统设置”菜单“邮件自动解密管理”选项。B右视图出现策略列表，右键选择新增/编辑/删除策略。通过三种限制方式：只验证发件人，只验证收件人和同时验证发件人收件人。胜利发送出去的文件就会自动解密。只验证发件人，是指只要发件人在授权列表中，就可以发给任何人以进行解密。只验证收件人，是指内部任何人发往授权列表中的收件人，文件将解密。更为严格的方式就是同时验证收发者，两者都在授权列表才能胜利发送解密。另外还可以设置备份抄送邮箱，这样就能了解发送出去的文件，留做记录。2.4.2解密审批申请解密设置：A左视图右键须要设置的客户端对象，选择“解密审批设置”。这里有两种方式：依次审批和共同审批。依次审批就是只要某一个管理员同意即可进行文件解密；共同审批就是须要全部管理员都同意才能解密。同时可以设置审批时间，超时则未通过审批。客户端发送解密申请，登录限制台具有审批权限的管理员能够收到信息。如下图，管理员可以查看申请解密的文件内容，作为审批依据。审批结果会反馈给客户端。2.4.3硬盘文件加密解密硬盘文件加密，对某一客户端硬盘中某一类型的全部文件加密，可以选择对客户端整个硬盘文件进行搜寻加密指定的类型，目的是第一次运用本系统的时候进行初始化，加密原来的文档，安装系统以后产生的文档将会自动加密。留意运用这个功能要谨慎，请输入的确要加密的文档类型，比如须要初始化加密CAD图纸，可以输入dwg格式的文档类型。不要输入一些系统文件类型，比如dll，ini等。由于此功能须要搜寻整个硬盘所以须要耐性等待，而且保证客户端在线。在加密过程中不要关闭客户端的计算机。一般来说加密10G的数据硬盘须要大约20分钟左右。同时你可以通过远程文件的功能查看是否须要初始化加密的类型是否已经加密。运用说明：“加密管理”菜单选择“硬盘文件加密”。如下图，“选择客户端”添加须要初始化加密的客户端，所选客户端必需是在线的，输入须要加密的文档类型，点击“执行”按钮。在加密的过程中请不要关闭客户端机器。硬盘文件解密操作与之类似。2.4.4本地文件加解密本地文件指的是当前登陆限制台的计算机文件，管理员可以通过此功能加密解密指定的文件。本地文件加密运用的密钥就是账号里面的手工加密组的密钥。手工加密能够加密任何格式的文件，须要留意的是不要加密系统书目的系统文件，以免系统受到破坏。当公司有重要的文件封存的时候，也可以采纳此功能来实现对文件的爱护。本地文件加密解密，可以针对单个文件、多个文件、书目、磁盘来进行加密解密。运用说明：“文件加解密”菜单选择“本地文件加解/密”，或干脆在C上视图点击“本地文件”按钮。文件加密解密，选择一个或者多个文件，右键点击，然后选择加密解密。文件夹加密解密选择一个文件夹右键点击，然后选择加密解密。2.4.5远程文件加解密远程文件加密解密是针对的是客户端的文件，管理人员可以通过远程文件来阅读限制客户端的文件。可以对指定的文件进行加密解密，能把远程计算机的文件拷贝到本机上。远程文件加密采纳的是客户端所属组的密钥，而不是当前帐号的手工加密组。缘由就是客户端的机器自动加密采纳的是客户端所属组的密钥，那么这个时候远程加密也应当采纳相同的密钥，否则客户端机器会出现无法打开远程文件加密的问题。运用说明：A左视图选择一个在线的客户端对象。“文件加解密”菜单选择“远程文件加解/密”或者在C上视图工具栏点击“远程文件”。须要留意的是假如客户端计算机正在运用当前文件，不要加密他运用的这个文件，以免产生错误。2.5客户端管理2.5.1客户端离线出差或者其他须要脱离服务器运行的状况，可以采纳客户端离线功能。“加密管理”菜单选择“客户端离线管理”。如下图，选择须要离线运行的客户端，然后选择离线的日期，在这段时间内客户端机器可以正常运用加密文件。采纳U_KEY验证没有时间的限制。运用U_KEY验证时，加密的文件只有在插入U_KEY时才能正常运用，拔下U_KEY就不能打开。假如客户端不在线，可以生成一个离线包，将离线包放到系统书目的System32书目，启动机器生效，一旦连接到网络离线功能将失效。假如客户端在线，那么可以干脆下发，马上生效，计算机脱离服务端能够自动运行，一旦连接到网络离线功能将失效。2.5.2生成客户端包括生成单机客户端与生成老板客户端。单机客户端包含加密策略，可以不连接服务器而实行自动加解密。“加密管理”菜单选择“生成单机客户端”。老板客户端的这台客户机上，可以查看加密文件，而不须要加密本机的文件，通过老板客户端打开的文件就成为未加密状态。“加密管理”菜单选择“生成老板客户端”。注：二者安装都须要授权。2.6日志管理日志管理包括文件审计信息、打印审计信息、操作日志信息以及解密审批信息。系统设立特地的日志管理员对“操作日志信息”、“解密审批信息”进行管理。操作日志包括全部手动加解密操作，全部系统设置信息。解密审批信息包括全部客户端申请解密的操作，审批状态，申请解密的文件。2.7远程监视及远程限制远程监视能够监控客户端计算机，能够了解客户端计算机实时的操作状况，了解员工在做什么。远程限制是在远程监视的基础上加上操作限制客户端计算机。2.8卸载删除客户端客户端卸载可以通过限制台完成。选择须要卸载删除的客户端，然后选择删除客户端，运用此功能时确保客户端在线。也可以利用软件自带的客户端卸载工具进行卸载。3、客户端的运用客户端安装在须要加密的机器上，不须要任何设置。3.1开关客户端限制台允许“开关客户端”的时候，客户端电脑系统托盘会出现图标，右击出现菜单，可以开启/关闭自动加解密。3.2邮件解密右击加密的文件，在快捷菜单出现邮件解密的选项添加须要解密的文件为附件，填写正确信息，即可发送邮件。在授信列表中的客户端，胜利发送邮件，文件将解密。3.3申请解密右击加密的文件，在快捷菜单出现申请解密的选项申请解密之后，管理员进行审批，结束后反馈信息给客户端。审批通过之后，就可以接收文件。此时的得到文件就是未加密的。3.4文件权限右击加密的文件，在快捷菜单出现文件权限的选项通过文件授权的功能，授权加密后的文件，这样只有授权列表中的人才能查看该文件。可以对某个组授权，也可以某个人授权。第三章：留意事项客户端网络连接客户端安装完毕，通过以下几种方式可以检测是否安装胜利：从限制台查看：安装完成的客户端会自动上线，在限制台列表中出现（A左视图）。在客户端机器上通过系统吩咐查看：起先菜单——运行——输入cmd——吩咐行输入netstat，该吩咐可查看客户端连接状况。注：客户端连接端口为10018，对应信息：ESTABLISHED表示连接上服务端，客户端安装胜利。SYN-SENT表示客户端发送信息无反馈，连接不上服务端。缘由可能是防火墙将端口阻挡，须要在防火墙设置里将端口开放。管理员帐号平安本系统可以设立多个管理员，通过设置不同权限，达到分级别分组管理的效果。管理员可以拥有文件解密、远程限制、信息审计等权限，所以账户的平安尤为重要。默认的系统管理员，登录帐号为admin，初始密码为123456；日志管理员，登录帐号为logadmin，初始密码为123456；新建的帐号密码默认为111。设置好帐号后第一时间应修改密码，保证管理员帐号平安。加密平安系统依据硬盘号和随机密钥来加密文件。防止硬件损坏或者操作系统崩溃引起的客户端文件无法自动加解密，事先应做好如下备份：授权文件——产品正式注册的授权文件硬盘号——包括服务端及客户端（硬盘号会自动保存在数据库中）随机密钥——系统第一次运行产生的加密密钥，限制文件加解密（随机密钥保存在数据库中）组加密密钥——每新建一个组，系统会安排一个密钥，假如要修改该密钥，需先把组下面全部客户端加密文件先解密（组加密密钥保存在数据库中）文件平安软件最新版本在权限上做了细分，即可以对每一个客户端设置访问权限，限制其访问其他部门文件。对于加密后的文件，在没有权限、未经授权、自动加密策略取消或者客户端脱离服务端等状况下，强行打开出现的会是乱码或根本无法打开。这时，若是对文件修改保存，文件格式就会破坏，导致无法解密，数据丢失。日志与备份系统可以对客户端文件操作、加解密操作、打印操作等进行记录，以便追根溯源，保留泄密证据。系统能对客户端加密文件备份，确保文件平安。日志与备份均保存在服务端的机器上，假如启用这些功能，需保证服务端硬盘有足够空间。其他不要对系统文件加密（exe、dll、ini等），这样会导致操作系统崩溃。第四章：常见问题FAQ1、系统对运用的操作系统有要求吗？答：对于全部的windows系统没有要求，系统支持全部的Windows操作系统，包括NT/2000/XP/2003。2、系统对运用的硬件有要求吗,须要服务器支持？答：没有硬件要求，一般的PC就能满意服务器的要求。启用文件审批及备份功能须要服务端机器有足够的硬盘空间。3、安装运用后，对目前的操作有什么变更？答：和以前操作一样，无需任何变更，系统采纳动态透亮加密的方式，运行于无形之中。4、系统目前支持哪些文件类型？答：系统几乎能够支持随意的类型，如当前没有您须要的，我们