优簿企业大数据自生长系统操作说明书

1、第一章 系统概述1.1系统介绍随着信息化建设的逐渐深入，商业企业、政府机构、事业单位等组织内部的信息和数据大多以为电子文档的形式进行存储和传递。从设计图纸到客户信息，从财务数据到无纸化公文，文档的电子化大大加快了信息的流动与共享，加速了组织的业务流程。但同时，也给信息安全工作带来了巨大的挑战。电子文档本身所具有的易获取、易复制、易传播的开放性特征，使得用户能以多种形式，通过多种渠道在组织内部以及组织之间进行数据的交换与转移。发达的互联网应用，随处可见的移动存储设备，都是电子文档安全防护过程中不可回避的难题。实践中，组织想控制住所有的电子文档传播渠道并不现实，安全性与可用性之间也可能顾此失彼。“

2、数据信息加密系统”正是为了解决上述难题而研发的一体化电子文档安全解决方案。它跳出了传统的单一控制文档传播渠道的文档安全保护思路，转以对电子文档本身的加密保护为核心，构建包含内部用户、合作伙伴、移动办公在内的完整文档保密体系。通过应用智能化的透明加密技术，组织重要的电子文档从创建的一刻开始就自动经由数据信息加密系统强制加密。通过在内部网络部署客户端，内部用户可以按原有的业务流程使用和共享电子文档，非法流出组织之外的电子文档因为以密文的形式存在，会得到有力的保护。同时，“数据信息加密系统”的权限控制机制，允许在组织内按部门归属和职务级别建立二维的文档保密体系，从而使得保密不仅有内外之分，内部分级保

3、密也成为可能。另外，“数据信息加密系统”还创造性的将需要与组织进行文档交流的外部用户纳入到文档保密体系中，加密文档离开了组织环境之后也能得到完整的保护，保密体系也因此而得到外延。“数据信息加密系统”采用多种先进技术保证文档的完整性和可用性；同时，高速缓冲技术的加入也使其对系统性能的损耗微乎其微。具有高安全性、高稳定性、高可用性特点的数据信息加密系统文档透明加密系统，适合各种规模的商业企业、政府机构、事业单位、科研院所等保护其机密信息。1.2操作流程启用加密功能1) 安装客户端2) 在控制台启用加密授权3) 在控制台设置加密权限，含授权软件、安全区域和级别等申请与审批1) 客户端申请解密/外发2

4、) 控制台进行审批3) 客户端执行解密/外发外发查看器1) 安装外发查看器2) 控制台对外发查看器进行授权3) 外发查看器导入授权4) 客户端生成外发文档5) 外发查看器查看外发文档1.3 技术环境1. 硬件环境n CPU：主频1.5G以上；n 内存：512MB以上；n 硬盘：硬盘不低于8G；2. 软件环境n 操作系统： 服务器版本为windows server 2003版本以上。第二章 系统功能介绍2.1 服务器配置右键单击【服务控制器】，选择“工具-注册”输入管理员密码进入注册界面。如图2-1所示。图2-1 注册第一次安装服务器后，会自动生成一个有30天试用期的演示序列号，演示序列号不含有

5、加密功能。管理员点击【升级】按钮，主序列号和加密序列号栏会变为可编辑状态，输入购买的正式主序列号和加密序列号，再单击【确定】按钮，如果您输入的序列号无误，系统会提示“序列号升级成功”并且提示您需要激活产品。您必须通过产品注册得到注册码来激活您的产品。如果所在服务器可以连接互联网，有2种注册方法：在线注册在产品注册对话框中填写您公司的信息，包括公司名称、联系人、联系电话和邮件地址，点击【在线注册】会自动返回注册码，单击【注册】按钮，提示“注册成功”即可；邮件注册您也可以使用邮件注册。在产品注册对话框中填写您公司的信息，包括公司名称、联系人、联系电话和邮件地址，点击【发送邮件】，系统会弹出发送邮件

6、窗口，请确认填写信息无误后发送邮件。我们会将注册码发到您填写的电子邮件地址，收到后请将注册码复制到相应地方，点击【注册】按钮，系统提示“注册成功”就完成了整个注册的过程。如果因为网络或别的问题，无法在线注册或即时发送邮件获得注册码，您也可以在其他可上网的机器上将注册信息和识别码发送邮件给我们进行处理。 2.2控制台u 移动解密装了客户端的计算机，需要经过管理员授权才能使用加密功能。以防止非法人员安装客户端查看加密文档。客户端的加密授权状态，可以从计算机树和计算机的基本信息中查看。已授权的客户端，在计算机树上的图标左下角有个小锁标志。在计算机的基本信息中有一行显示加密授权状态，为已启用或已禁用。

7、客户端默认是未启用加密授权的。如需启用或禁用加密授权，可在控制台上的计算机栏、基本信息和计算机管理中进行操作。如图2-2所示。图2-2 移动解密u 计算机管理：在控制台中，选择菜单“工具-计算机”进入计算机管理查看窗口。选择一个或多个计算机，点击【启用加密】按钮，则对目标计算机启用加密授权。点击【禁用加密】按钮，取消目标计算机的加密授权。 注意 禁用客户端的加密授权后，计算机中的加密文档将无法查看。如需要禁用加密授权，请先把计算机中的加密文档全部解密。如图2-3所示。图2-3 授权2.3帐户管理选择菜单“工具-账户”，系统管理员可以查看和添加新的加密管理员。如图2-4所示。图2-4账户管理图标

8、按钮操作添加管理员帐号，也可输入描述信息；删除管理员帐号，系统管理员“Admin”无法删除加密管理员管理权限拥有四大模块。包括：常规，计算机组，用户组和加密功能。管理权限内容常规指定管理员的类型，管理员登录的模式等；计算机/用户组指定非系统管理员所能管理的范围，计算机组和用户组只能指定其中一种，假如指定了计算机组，就不能指定用户组；如果指定全部计算机组，则默认也是全部用户组。加密功能指定非系统管理员帐户拥有的加密功能的权限。包括管理权限和安全区域。常规：常规权限说明系统管理员只有系统管理员能查看和管理授权软件和安全区域。具有加密功能管理权限选择此项才能对加密系统进行管理。只允许以代理管理员方式

9、登录只能在加密客户端上登录代理管理员进行管理，不能在控制台上登录。只允许登录到加密管理系统能从控制台上登录，登录后直接显示加密管理系统界面，不能使用控制台上除加密以外的功能。加密功能：管理权限说明审计日志查看文档操作日志的权限。包括：查看加密文档操作日志，查看备份的加密文档，查看解密申请和审批情况，查看外发申请和审批情况。操作权限主要是对加密文档的操作权限。包括：远程管理加密文档，解密权限，外发权限。审批权限主要是对解密申请和外发申请进行审批的权限。包括：解密审批权限，外发审批权限。图2-5 账户管理安全区域说明全部安全区域和级别能管理所有安全区域和级别的文档。全部安全区域的指定级别能管理所有

10、安全区域的指定级别以下的文档。安全级别共有五个等级：普通、内部、秘密、机密和绝密。如指定级别为秘密，则能管理普通、内部和秘密级别的文档。指定安全区域与相应的级别能管理指定的安全区域与相应级别以下的文档。2.4客户端在控制台上对客户端启用加密授权，客户端就会启用加密功能，在系统托盘处显示图标。如图2-4所示。图标状态说明启动；停止；离线； 离线授权。图2-6 客户端图标状态导入授权文件在系统托盘的客户端图标处，选择右键菜单“导入授权文件”，选择一个由控制台生成的离线授权文件导入，即可获得离线权限。右键菜单在资源管理器中，信息加密的图标右下角有个小锁标志。在文件属性对话框中，有加密选项卡，可查看和

11、设置信息加密的访问权限和设置权限，具体操作见4.5。选择信息加密，使用右键菜单，还可以进行解密、申请解密、外发、申请外发等操作。扫描工具在客户端系统托盘处，选择右键菜单“扫描本地文件”，可启动扫描工具。扫描工具可以扫描信息加密，并执行加密、解密、申请解密、外发、申请外发和修改文档属性等操作。如图2-5所示。图2-7 扫描文件修改文档安全属性在资源管理器中，打开信息加密的属性对话框，在加密选项卡中可以修改文档安全属性。图2-8 属性设置权限，是指能修改文档安全属性的权限。只能有一个安全区域和级别。访问权限，是指能打开、编辑此加密文档的权限。可以有多个安全区域和级别。解密与加密直接解密：有解密权限

12、的客户端，可以使用右键菜单或扫描工具把加密文档解密成普通文档。手工加密：有解密权限的客户端，也具有加密的权限。可以使用扫描工具把非加密文档进行加密。加密时可设置文档的加密安全属性，含设置权限和访问权限。申请解密：没有解密权限的客户端，可以使用右键菜单或扫描工具，选择申请解密，填写申请理由并提交。客户端在线时，申请解密后控制台能马上收到通知并审批。客户端离线时，申请解密后，还需要在客户端的查看申请窗口，导出申请文件，把申请文件发给管理员，管理员在控制台导入后进行审批。审批具体操作见3.9。外发直接生成外发：有直接外发权限的客户端，可以使用右键菜单或扫描工具生成外发文档。并可指定可查看外发文档的外

13、发对象，文档的有效期，是否允许外发文档打印、虚拟打印、截屏、复制等功能。图2-9 创建外发文档申请外发：没有直接外发权限的客户端，可以使用右键菜单或扫描工具，选择申请外发。申请外发时需填写申请理由，并指定发外对象和文档的使用权限。客户端在线时，申请外发后控制台能马上收到通知并审批。客户端离线时，申请外发后，还需要在客户端的查看申请窗口，导出申请文件，把申请文件发给管理员，管理员在控制台导入后进行审批。审批具体操作见3.10。查看申请信息在客户端系统托盘，选择右键菜单“查看申请情况”，可查看解密和外发的申请和审批情况。文字按钮说明查看查看解密申请和离线申请的详细信息。导入审批离线时，导入控制台提

14、供的审批文件，以获取审批结果。离线申请生成离线申请文件，发给控制台进行审批。取消申请取消解密/外发申请。解密申请可查看解密申请的时间、状态、文件名、大小、数量、安全区域和级别等信息。图2-10 申请和审批情况双击申请记录，可查看申请的详细信息。并可执行解密、生成离线申请文件、取消申请等操作。如图2-11所示。图2-11解密申请信息已批准的申请，可点击【解密】按钮进行解密，可选择解密到原文件，也可以到其他目录。离线时提交的解密申请，点击【生成离线申请文件】按钮，生成申请文件，发给控制台进行审批。外发申请可查看外发申请的时间、状态、文件名、大小、数量、安全区域和级别等信息。图2-12申请和审批情况

15、双击申请记录，可查看申请的详细信息。并可执行创建外发、生成离线申请文件、取消申请等操作。已批准的申请，可点击【创建外发】按钮生成外发文件，可选择生成目录。离线时提交的外发申请，点击【生成离线申请文件】按钮，生成申请文件，发给控制台进行审批。安全密码为防止有别人使用此客户端非法解密文件，客户端应该要设置一个密码对文件解密或者外发进行控制，在每次解密或者外发时需要输入密码。在客户端系统托盘的右键菜单“设置密码”处设置安全密码。代理管理员管理员可以在安装客户端的计算机上登录代理控制台，进行审批解密申请和外发申请。登录有允许登录代理管理员权限的客户端，可在系统托盘的客户端图标上，选择右键菜单“登录代理

16、管理员”，并输入管理员帐户和密码，即可登录代理控制台。如图2-13所示。图2-13登录审批管理代理控制台的审批管理功能和控制台一样，可以查看解密/外发申请、审批申请、导入申请文件和导出审批文件。图2-14代理控制台锁定为防止他人使用代理控制台进行审批，管理员离开时可锁定代理控制台。锁定后代理控制台仍能收到解密申请和外发申请的气泡通知，需要输入密码登录才能进行审批。锁定有三种方式：直接锁定、离开后锁定和最小化锁定直接锁定：选择菜单“操作-锁定”进行锁定。离开后锁定：选择菜单“申请管理-选项”进行设置，勾选“用户离开后自动锁定”，并可设置离开后多少分钟进行锁定，默认为15分钟。最小化锁定：选择菜单

17、“申请管理-选项”进行设置，勾选“最小化到托盘后锁定”。第三章 系统帮助3.1 常见问题Q1:信息加密适合你吗?许多客户在项目完成后,总会抱怨信息加密本身存在的一些问题:信息加密的一部分残留内容是明文格式的;文件在预期加密区外面保存起来;文件在加密期间被锁定起来，因而没有经过加密。如果这些问题让你烦心，不妨考虑采用卷加密或者全盘加密。如今出现的一股趋势是倾向于这些数据保护方法，而不是逐个文件的加密。加强密钥归档,可以通过数据恢复事件的成功来衡量加密项目的长远成功。人们可能会忘记口令短语而丢失密钥;他们可能会破坏经过加密的卷;公司的CEO在出差途中可能访问不了数据。所以事先做好规划，确保你的数据

18、恢复方法完美无缺、随时可以访问数据。首先就是要确保在默认情况下，加密密钥每次都会自动归档。不要把归档工作交给最终用户，也不能允许整个过程存在什么缺陷。开始部署之前要再三测试。Q2:数据在哪里?调查一下你的数据保存在哪里、传送到哪里。要是你连自己的数据在什么地方都不知道，开始制订数据保护方案又从何谈起?如今，数据不但放在硬盘(服务器、工作站和笔记本电脑)上，还放在USB闪存盘、光盘和备份磁带等设备上。要确定你需要对哪里的数据进行加密，然后选择合适的解决方案。Q3：考虑到传输中的数据了吗?大多数据加密项目针对的是静态信息场景。你如何保护在网络上或者广域网上传输的数据?这部分数据经过加密了吗?我参与

19、过的项目大部分针对的目标是静态数据(硬盘和USB闪存盘等)，却完全疏忽了传输中数据。这没什么你总得从某个地方开始入手，但不要忽视了第二个问题。在大多数情况下，你需要另外的解决方案来保护传输中数据，不过你往往可以依靠SSL/TSL和IPSec这些传统的可靠标准。Q4：你的应用软件与加密软件兼容吗?有些读者对此可能会觉得惊讶，但你确信现有的应用软件不会介意加密操作吗?实施的加密系统大部分可以在后台无缝运行，但它们无一例外地需要特殊的磁盘驱动程序和API调用。许多老式程序可能无法使用预期的磁盘调用，绕开了加密程序，从而破坏了数据。你对数据进行加密之后，应当全面测试一下所有程序，查明有没有交互方面的问题。当然，还要确保数据备份程序具有兼