鸿智数据安全管理系统.docx

资源描述

《鸿智数据安全管理系统.docx》由会员分享，可在线阅读，更多相关《鸿智数据安全管理系统.docx（97页珍藏版）》请在三一办公上搜索。

1、鸿智数据安全管理系统使用手册上海鸿智安科信息技术有限公司 2010年3月1日版权声明感谢您使用鸿智数据安全管理系统，本软件由上海鸿智安科信息技术有限公司独立开发，版权受中华人民共和国版权法保护，任何单位或个人未经授权不得使用、拷贝、修改和传播本软件及其文档，否则将追究其法律责任。本书约定介绍符号的约定、键盘操作约定、鼠标操作约定以及四类标志。1符号约定带尖括号“ ”表示键名、按钮名以及操作员从终端输入的信息；带方括号“【】”表示人机界面、菜单条、数据表和字段名等，多级菜单用“”隔开。如【文件新建文件夹】多级菜单表示【文件】菜单下的【新建】子菜单下的【文件夹】菜单项。2键盘操作约定格式意义加

2、尖括号的字符表示键名、按钮名。如Enter、Tab、Backspace、a等分别表示回车、制表、退格、小写字母a键1+键2表示在键盘上同时按下几个键。如Ctrl+Alt+A表示同时按下“Ctrl”、“Alt”、“A”这三个键键1，键2表示先按第一键，释放，再按第二键。如Alt，F表示先按Alt键，释放后，紧接着再按F键3鼠标操作约定格式意义单击快速按下并释放鼠标的左键双击连续两次快速按下并释放鼠标的左键右击快速按下并释放鼠标的右键拖动按住鼠标的左键不放，移动鼠标4标志本手册采用说明：对操作过程作补充说明。采用注意：提醒用户操作过程中应该特别注意的地方。目录版权声明2一、产品简介51.1 系统

3、架构51.2 系统使用流程概述61.3 支持的应用程序61.4 系统工作环境要求6二、系统安装与卸载82.1安装步骤92.1.1 .Net框架的安装步骤92.1.2管理中心的安装步骤102.1.3控制台的安装步骤112.1.3客户端的安装步骤132.2卸载步骤142.2.1客户端的卸载步骤142.2.2控制台的卸载步骤152.2.3管理中心的卸载步骤15三、管理体系16四、管理中心的操作说明184.1管理中心登录184.2管理中心配置204.2.1 软件注册214.2.2 首页224.2.3系统设置234.2.4访问控制244.2.5当前用户244.2.6升级补丁254.2.7工具栏25五、控

4、制台的操作说明265.1控制台登录265.2控制台菜单275.2.1工具菜单275.2.2语言菜单275.2.3帮助菜单285.3 分权管理295.4根管理员的管理305.4.1管理授权305.4.2密钥管理325.5系统管理员的管理335.5.1系统管理335.5.2用户管理355.5.3在线管理485.5.4资产管理495.6文件管理员的管理525.6.1文件安全525.6.2打印管理555.6.3安全协同555.7日志管理员的管理595.7.1日志管理59六、客户端的操作说明616.1下拉菜单626.2安全策略626.3资产管理策略626.4文件备份策略636.5端口控制策略656.6系

5、统设置666.7本地日志68七、鸿智数据安全在线管理697.1网络快递697.2鸿智数据在线管理工具707.3文件管理助手73八、常见问题解答77一、产品简介 1.1 系统架构鸿智数据安全管理系统采用C/S 模式由管理中心、控制台和客户端组成：管理中心用于存储系统数据和提供在线认证，控制台是管理员用于对系统进行配置的管理工具，客户端从管理中心下载策略并根据策略完成对机密文件的保护。整套系统基于C/S模式，其实施架构如图1-1：图 1-1 实施架构图1.2 系统使用流程概述安装管理中心，导入正确的授权文件，设置好远程配置端口和在线认证端口等参数；安装控制台，连接管理中心，添加组和用户，设置

6、策略；根据控制台设置的用户账号安装客户端，安全完成以后重启客户端主机，客户端将从管理中心下载对应的安全策略，并根据安全策略对客户端机密文件进行保护。1.3 支持的应用程序说明：到目前为止，鸿智数据安全管理系统已支持100余种软件；如果我们的系统有不支持的软件，我们可以为您度身定制！1.4 系统工作环境要求管理中心项目条件CPUPentium 以上内存最低256M操作系统Windows 2000/XP/2003/vista/windows7硬盘空闲空间1G以上USB至少1个USB接口网卡10到100M网卡控制台项目条件CPUPentium 以上内存最低256M操作系统Windows

7、2000/XP/2003/vista/windows7硬盘空闲空间600M以上USB至少2个USB接口网卡10到100M网卡客户端项目条件CPUPentium 以上内存最低256M操作系统Windows 2000/XP/2003/vista/windows7硬盘空闲空间600M以上网卡10到100M网卡二、系统安装与卸载小提示需要提醒您的是，系统要成功安装或卸载，都必须遵守一定的原则：安装原则（1）安装管理中心，并启动；（2）安装控制台，并添加客户端用户的账号和策略，且保证用户状态为“未安装”；（3）安装客户端需要通过我们提供的“安装/卸载工具”才能完成，输入对应的用户账号，并保证安装程

8、序与管理中心网络连通，即可。警告：在安装客户端之前，一定要登陆控制台创建【用户组】和【用户】，没有用户ID是无法安装客户端。卸载原则（1）登录控制台，并授予客户端用户卸载权限，且保证当前客户端用户的状态不能为“未安装”；（2）卸载客户端需要通过我们提供的“安装/卸载工具”才能完成，输入对应的用户账号，并保证卸载程序与管理中心网络连通，即可；（3）卸载控制台和管理中心同普通软件卸载。说明：如果您需要在卸载客户端时对所有加密文件进行解密操作，那么您必须在卸载客户端之前，首先要控制台设置好卸载之后密文的处理方式（【解密】或者【不解密】），在默认情况下不解密。2.1安装步骤2.1.1 .Net

9、框架的安装步骤点击“安装/卸载.Net框架”，按照系统提示完成安装。“鸿智数据安全管理系统”部分功能需要.Net框架的支持，所以在安装本系统前请先安装.Net框架，再安装其他程序。2.1.2管理中心的安装步骤（1）点击“安装/卸载管理中心”，选择语言，然后按照系统提示，单击“下一步”；（2）点击我接受合约授权的条款，再单击“下一步”；（3）选择程序安装路径，默认为C:Program FilesSmartsecur-Server,点击“下一步”；（4）安装完毕后，选择不重启计算机，退出安装即可开始使用管理中心。双击管理中心图标，会出现一个对话框，如果是试用版，则在对话框中输入“admin

10、user“口令进入管理中心（测试版的口令默认为“adminuser“），如果是正式版，请插入我们配发的根管理员eKey，默认密码为 ”111111”,如下图所示：进入界面后，必须进行以下工作：（1）请点击系统设置查看远程配置端口是多少，例如是4003，记下来，这在安装控制台时有用。查看在线认证端口是多少，例如是12003，这在安装客户端时和设置打包工具时有用。（2）请点击访问控制选择允许所有地址访问，如果右边的ip地址栏没清空，请清空，并记下本机的ip地址，这在安装控制台和客户端时有用。（3）请点击软件注册把界面上显示的机器码发送给我们，我们将返回给您注册码，注册完成后，使用我们发放给您的根

11、eKey导入licence。否则，管理中心无法正常运行。说明：1. 注册码是与主机绑定的，因此，用户只能在与机器码对应的主机上使用注册码，如果主机硬件发生变更，请您与我们联系，我们将为您重新发放注册码；2. 根eKey是与授权文件绑定的，所以请妥善保管您的根eKey。3. 配置端口默认是：4003，控制台连接服务器用到此端口4. 在线认证端口默认：12003，客户端安装、连接、外发打包时用到此端口。2.1.3控制台的安装步骤（1）点击安装控制台的图标，选择语言，再点击“下一步”；（2）点击“我接受授权合约的条款”，再点击下一步；（3）通过“浏览”选择要安装的路径，或者是系统默认为C:Prog

12、ram FilesSmartsecur-Control，然后点击下一步；（4）安装完毕后无需重启计算机，退出安装程序即可。双击控制台图示，第一次登录（或试用版本）直接输入“adminuser”口令进入，正式版则需要插入ekey，填写用户口令（eKey默认密码为“111111“，进入控制台后可重新设置密码），并在管理中心设置栏中填写上步记下的管理中心远程配置端口和IP地址。然后点击确定进入控制台，选择系统管理菜单中的用户管理，如下图所示：因为在安装客户端前要为每个客户端用户分配一个用户名ID，否则，客户端用户无法安装！先选择用户组管理的界面，点击添加，如下图所示：这便是为客户端用户分组，接着选择

13、用户管理界面，选中组用户，点击添加，在对话框中填写用户的名称，例如用户的名称叫andrew，如下图所示点击确定后一个客户端用户便创建完成了！如下图说示：2.1.4客户端的安装步骤(1)双击客户端安装图示，选择语言，再点击 “下一步”；(2)选择点击我接受合约授权的条款，再单击“下一步”； (3)选择隐藏或者不隐藏选项，然后单击下一步；(4) 选择安装路径，默认为C:Program FilesSmartsecur-client，点击“下一步”，弹出如下对话框，填写在控制台分配的用户ID，密码由自己设定(密码位数在616之间)，填写上步记下的管理中心的IP地址和在线认证端口号，也可点击直接查询。然

14、后点击下一步：安装完成后，必须重新启动计算机才能启动客户端。说明：搜索不到管理中心的IP地址有以下几种情况：1. 管理中心没有正常运行。2. 网络有问题：查看客户端是否连接网络？查看服务器是否连接网络？3. 用户ID输入不正确，或者输入的用户ID不存在。2.2卸载步骤前面讲述安装时需要按照顺序，卸载时也要按顺序进行，卸载必须先卸客户端，控制台和管理中心随意！2.2.1客户端的卸载步骤(1)点击；(2 )卸载前请确定是否拥有允许卸载的策略，若没有，需向管理中心申请，若已经被允许则直接点击“下一步”按钮；(3)输入系统管理员提供的用户ID、用户密码（安装时使用的密码）、管理中心IP地址和客户端在

15、线认证端口，确认管理中心工作正常。在填入正确的信息以后，点击“下一步”按钮；(4)询问是否解密如果您选择了“解密”，卸载程序将会对本地硬盘进行全盘扫面解密。如果您选择了“忽略”按钮，那么在系统卸载的时候将不对本地密文进行强制解密，您可以在卸载以后通过控制台对本地加密文档进行解密；(5)点击“完成”按钮，这时会弹出一个安装图标，请不要点击让它自己走完即可，最后卸载成功。2.2.2控制台的卸载步骤一般有两种方法（1）点击控制台安装卸载图标，按照系统指示进行卸载；（2）点击开始菜单-设置-控制面板-增加或删除程序-选择删除控制台即可。2.2.3管理中心的卸载步骤卸载方式与卸载控制台类似。三

16、、管理体系在介绍系统的具体功能之前，我们先来审视下系统的管理体系(其架构如图3-1)，这有助于您更为清楚的掌握整套系统的运转流程。系统采取分级分权的管理体系。在出厂时，我们会为客户提供一个根管理员eKey，这个eKey可以用来为管理中心导入合法的授权文件（只有导入合法的授权文件，系统才能正常运作），持有根管理员eKey的管理员称为根管理员。根管理员属于一级管理员，它可以利用分配eKey的方式授权系统管理员、日志审计员、文件管理员等二级管理员（二级管理员又分为系统级别和组级别，系统级别可以在系统范围内履行其管理权限，而组级别只能在其所在的组履行其管理权限）。需要说明的是，任何管理员eKey都是可

17、以复制的，复制生成的eKey与原eKey有等同的作用，但是出厂时由我们提供的根管理员eKey只能复制其分配eKey的功能，无法复制其导入授权文件的功能，即，只有我们提供的出厂根管理员eKey才能用来导入授权文件。各管理员所承担的职责如下：根管理员：配置管理中心、在管理中心导入授权文件（出厂根管理员eKey），在控制台创建二级管理员，对系统密钥进行管理；系统管理员：配置管理中心，在控制台设置全局选项配置，进行用户及策略管理，查看软、硬件资产信息等；文件管理员：在控制台手动加、解密文件，处理客户端用户在线提请的解密、外发请求，审计客户端用户的远程备份文件、解密文件和外发文件，监控打印等；日

18、志审计员：在控制台对系统日志进行审计和管理，追踪用户行为。图 3-1 系统管理体系四、管理中心的操作说明4.1管理中心登录如图4.1-1，用户必须插入系统管理员eKey，输入正确的密码，才能登录管理中心。图 4.1-1点击“修改口令”按钮，如图4-1-2，输入原口令、新口令和确认口令，用户也可以对eKey口令进行修改。图 4.1-2 说明：以上向您介绍的是“鸿智数据安全管理系统”正式版的登录方法管理中心没有正常运行。无需插入eKey，无需输入用户明，只需输入默认口令“adminuser”即可登录。4.2管理中心配置进入管理中心后，如图4-2-1，我们可以看到管理中心主要分为：【首页】、

19、【系统设置】、【访问控制】、【软件注册】、【当前用户】、【统计信息】、【在线日志】和【升级补丁】几个模块：图 4.2-14.2.1 软件注册用户要成功使用系统，如图4.2-2，必须先提交机器码给上海鸿智安科信息技术有限公司技术支持部门，我们会根据机器码派发注册码给对应的用户。用户输入注册码后，即可导入授权文件，自此，整个软件注册过程宣告完成。如图4.2-2，系统也将显示管理中心的当前状态，一旦状态异常，可能会是以下两种原因造成的：（1）注册失败；（2）Licence过期；（3）管理中心设置的“远程配置端口”和“在线认证端口”与其它应用程序使用的端口冲突，当管理中心启动网络服务时将会失败，系

20、统也将呈现异常状态。提示：注册码是与主机绑定的，因此用户只能在与机器码对应的主机上使用注册码。如果主机硬件发生变更，用户可与我们联系,并重新提供机器码，我们将重新为您发放注册码。图 4.2-24.2.2 首页首页中显示的是“上海鸿智安科信息技术有限公司”相关信息，如图4.2-3。图 4.2-34.2.3系统设置图 4.2-4管理中心名称：管理中心主窗口名称；监听地址：默认为0.0.0.0，表示在本机所有地址上的进行监听；远程配置端口：控制台连接管理中心的端口；在线认证端口：客户端连接管理中心的端口；服务器工作目录：管理中心上存放系统文件的目录；空闲：即在空闲时间内不对管理中心做操作的

21、话，管理中心将最小化为图标，用户必须重新登录，才能操作管理中心；双机热备份：管理中心分为主管理中心和备份管理中心，备份管理中心的数据与主管理中心同步，一旦主管理中心崩溃，备份管理中心将自动切换为主管理中心，保证系统的正常运作。一但启用了双机热备份，当前管理中心也必须配置与之对应的另一个管理中心的相关信息。如当前是主管理中心，如图4.2-4，那也必须填写备份管理中心的信息，如当前是备份管理中心，那就也得填写主管理中心的信息。4.2.4访问控制图 4.2-5 访问控制策略是系统管理员在控制台设置的，其作用是对允许通过控制台访问管理中心的主机IP进行配置。一旦管理员误操作，造成任何主机都无法访问管

22、理中心则会对用户使用造成不便。这时，系统管理员即可直接登录管理中心对错误策略进行修改。4.2.5当前用户管理员可通过该模块查看管理网络传输的相关信息。4.2.6升级补丁图 4.2-6如图4.2-6，通过“浏览”选择升级的“patch”.文件，并将升级文件导入系统。当导入成功后，管理中心、控制台或客户端启动时，将自动更新对应的文件，完成系统升级。4.2.7工具栏点击后，工具栏将变为，表示网络服务已启动：只有管理中心将网络服务启动，控制台和客户端才能连接管理中心；点击后，工具栏将变为，表示网络服务已停止：网络服务停止后，控制台和客户端将无法连接管理中心；五、控制台的操作说明5.1控制台登录

23、如图5.1-1，只有管理员持有对应的管理员eKey才能登录控制台，并且，不同的管理员登录后只能看到与其权限对应的管理选项。当然，管理员登录前，还应设置管理中心的IP地址和连接端口（该端口应是管理中心设置的远程配置端口，如果IP和端口已经设置过，则无需重复设置），如图5.1-2：图 5.1-1 图5.1-25.2控制台菜单5.2.1工具菜单图 5.2-1如图5.2-1，工具菜单包括“修改eKey口令”、“复制eKey”和“管理中心设置”：“修改eKey口令”是指修改用来登录控制台的eKey的口令；“复制eKey”是指将当前登录的管理员eKey的内容复制到另一个eKey，复制eKey与原eKe

24、y有等效的权限，不过，正如前文所说，根管理员eKey用来导入授权文件的功能是不能复制的；“管理中心设置”如图5.1-2，设置管理中心的IP地址和连接端口；“退出”是指退出控制台程序。5.2.2语言菜单图 5.2-2 点击“语言”将可以选择不同的语言下的程序，改变后需要退出程序重新登录方可。5.2.3帮助菜单图 5.2-3 点击“关于控制台程序”将查看到“上海鸿智安科信息技术有限公司”的相关信息。5.3 分权管理图 5.3-1正如前文管理体系所介绍的，系统采用的是分级分权管理体系，不同的管理员登录控制台，将看到不同的管理界面：根管理员权限：管理授权、密钥管理；系统管理员权限：系统管理、资产

25、监控；文件管理员权限：文件管理、打印管理、在线工作流；日志管理员权限：日志管理。如图5.3-1，登录该控制台的eKey应集合了根管理员、系统管理员、文件管理员和日志管理员四大权限，所以可以看到全部的管理界面。5.4根管理员的管理5.4.1管理授权（1）权限设置即根管理员为系统管理员、文件管理员和日志管理员分配标识其身份的管理员eKey，但根管理员eKey是不能被分配的，只能由我们厂家提供。图 5.4-1根管理员首先通过根管理员eKey登录控制台，然后插入被分配eKey，接着开始分配流程，如图5.4-1所示：（1）选择管理员所属的用户组和对应的用户ID；（2）选择管理员级别：系统级别是指管

26、理员可管理整个系统的用户，组级别是指管理员只可管理本组用户；（3）设置管理员类型：根管理员既可以为某个用户指定一个管理员权限，也可以为某个用户同时指定多个管理员权限；（4）有效期设置：设置管理员eKey的有效期，包括无限制、时间授权和次数授权三种；（5）主机绑定：设置管理员eKey是否与主机绑定，一旦设置了主机绑定，eKey将限定在一台主机上使用，即eKey第一次使用的那台主机。点击“登录eKey信息”可查看到当前用于登录的根管理员eKey中存储的信息。点击“授权eKey信息”可查看到被授权eKey的信息。（2）已授权管理员如图5.4-2,该模块用于查询eKey授权信息，eKey分配的历

27、史记录将在这一览无余。而且这些信息还可从系统导出、保存起来。此外，根管理员可以选择某一条授权信息，并插入与之对应的管理员eKey，将其撤销。图 5.4-25.4.2密钥管理图 5.4-3密钥分级一个企业可能在纵向分为很多个层次：如董事长、总经理、副总经理、部门经理员工等等。如果企业对不同等级，有不同的权限要求，那么密钥分级可以很好的解决这个问题。密钥分级支持3-6个等级，例如选择5级，则每个用户可被授权的密钥级别为1-5。密钥级别为1的用户权限最高，可以使用加密级别为1-5的任何文件，密钥级别为5的用户权限最低，只可以使用加密级别为5的文件。用户的密钥级别为多少，生成的加密文件所属的加密级

28、别也为多少。密钥分组一个企业可能在横向分为很多个部门：如技术部、市场部、财务部、产品部等。如果企业希望不同部门之间不能随意交互文件，那么密钥分组将很好的解决这个问题。即如果启用了密钥分组，那么用户默认只能打开本组生成的加密文件（当然，如果启用了密钥分级，用户的密钥级别要小于等于文件的加密级别）。如果某个文件希望其它组的用户能够使用，必须对加密文件进行授权，将对应用户添加到授权序列中来。密钥备份对系统当前密钥进行备份：(1)将密钥备份到eKey中；(2)将密钥成加密文件，存储在硬盘等存储介质上。密钥导入当系统遭到破坏，可导入备份的密钥，以保证整个系统正常运作，增加系统健壮性。5.5系统管理员

29、的管理5.5.1系统管理(1)安全选项如图5.5-1所示：图 5.5-1 控制台访问控制设置可以通过控制台访问管理中心的主机IP。口令保护设置即设置通过eKey登录控制台时，连续多少次输入错误密码，eKey将被锁定。空闲时间设定即设置多久不对控制台进行操作，控制台将被最小化为图标。(2)全局设置图 5.5-2 如图5.5-2所示，该模块对全局生效的一些配置进行设置：客户端任务栏图标激活方式可以选择“永远显示“，也可以选择通过快捷键激活显示。网络快递设置设置客户端是否自动启动“网络快递“，”网络快递“是我们提供的一种局域网通信工具。(3)系统备份当管理员配置好所有用户策略

30、后，可以将策略导出生成备份文件。一旦以后管理中心重装，管理员无需再创建组和用户，配置策略，只需将备份文件导入到系统中即可。如图5.5-3：图5.5-3刷新：从管理中心获取用户信息及策略；清空所有策略：将系统用户信息及策略全部删除。5.5.2用户管理(1)用户组管理图 5.5-4对用户组、用户进行管理和配置。任何用户需要安装客户端必须对应于某个用户ID，而每个用户ID都隶属于某个用户组。系统管理员为每个客户端创建用户组和用户ID。如图5.5-4在“用户组管理”中，管理员可进行设置、添加组、删除选中的组和清空组等操作。 (2)用户管理图 5.5-17如图5.5-17在“用户管理”中，管理员可

31、进行设置、用户查找、添加用户、删除选中的组、用户和清空该组里的用户、导出用户信息、刷新用户信息等操作。选择某一用户条目，点击“设置”，进入该用户的策略信息界面。其操作方法基本和组策略信息界面相同。用户查找如图5.5-18在“用户查找”中，管理员可根据用户名、文件备份策略、端口控制策略、在线解密策略、外发打包策略、打印控制策略、状态信息查找用户。图 5.5-18 (3)导入域用户域相关如果是在域环境下部署“鸿智数据安全管理系统”，管理员可以通过搜索把域作为用户组，域用户作为用户，既方便了系统与原有的域环境相结合，又免去了管理员创建组和用户的工作环节。点击“域相关”，将进入界面图5.5-19，

32、勾选“使能域”。管理员既可以通过自动方式,搜索域和域用户，也可以通过手动方式，输入NetBios名称和绝对路径，搜索域和域用户。图5.5-19(4)外出授权管理员可通过该模块为客户端用户分配外发eKey，客户端用户可利用该eKey在脱离企业内网环境的情况下启动客户端（例如出差）。如图5.5-20：图5.5-20 外发eKey包括以下参数：发放对象：指定被授予eKey的用户所属的组及用户名；有效期设置：包括无限制、时间、次数三种方式；选项设置：包括是否和主机绑定、客户端启动后是否允许eKey被拔出、是否允许离线解密。其工作模式分为以下两种：（1）如果是直接分配外发eKey，管理员在登

33、录控制台后，插入被分配eKey，配置参数，点击“确定”即可；（2）如果是更改已分配eKey的策略，管理员在登录控制台后，根据已分配eKey配置参数，点击“确定”生成授权文件，并将该授权文件发送给对应客户端用户，客户端用户通过eKey启动客户端，导入授权文件，新的策略即生效。系统管理员还可查看“登录管理员eKey信息”、“授权eKey信息”和“所有授权用户信息”。5.5.3 文件安全文件安全1. 加密策略如图5.5-6，组加密策略包括以下内容：图 5.5-6l 客户端工作模式密文生成模式也就是强制加密模式，客户端将对符合安全策略的所有文件进行加密，而不论打开时文件本身是明文还是密文；密文使

34、用模式也就是选择性加密模式，如果打开的文件为文，那么客户端将对其不作任何处理，如果打开的文件为密文，客户端将对其进行保护。l 客户端卸载策略设置客户端用户卸载权限，并且指明在卸载客户端时，是否对本地硬盘上的加密文件进行全盘扫描解密。l 在线文件管理助手在线文件管理助手是客户端用户用于查看文件信息、申请解密文件和申请外发打包文件所需要用到的工具。但是，客户端分为隐藏安装模式和显示安装模式，隐藏安装模式默认情况下文件管理助手也会被隐藏，客户端用户将无法将其启动。而一旦设置了“在线文件管理助手启用”策略，即使隐藏安装模式下，文件管理助手仍然可以被调用。l 加密程序设定客户端需要设定的加密程序。l 控

35、制策略机密文件权限控制，包括密文只读、禁止打印、禁止截屏、剪切板过滤和OLE对象过滤。密文只读是在密文使用模式下生效的，即客户端用户只能阅读加密文件，而不能对加密文件进行修改保存；禁止打印是指客户端用户不能对加密文件进行物理打印，而虚拟打印只有我们提供的两个工具能够打印，并且打印出的文件是密文；禁止截屏是指对截屏键、QQ等工具的截屏功能进行了控制；剪切板过滤和OLE对象过滤是内存控制，防止加密文件的内容读取到内存后被窃取，是强制生效的。2. 备份策略图 5.5-7系统提供本地备份和集中备份（备份文件将被存储在管理中心），明文备份和密文备份。此外，系统还提供多版本备份，用户可同时维护1-5个版

36、本，当需要恢复时，可选择最合适的版本轻松恢复。3. 端口策略如图5.5-8，在“端口策略”中，管理员可以为当前选中的组设置端口控制策略：图 5.5-8系统可对USB端口、光驱、软驱、串口/并口、Modem等进行控制。“禁止使用键盘”和“禁止使用鼠标”可以通过“锁定”用户主机来实现。4. 离线策略客户端分为三种启动模式：网络认证模式、eKey启动模式和离线模式。网络认证模式是指客户端启动时连接管理中心进行认证，认证通过后即可成功启动；eKey启动模式是指系统管理员为客户端用户发放外发eKey，客户端用户可凭借该eKey启动客户端，而无需连接管理中心进行验证，这主要用于员工出差，需要脱离企业网络

37、环境时；离线模式是指，客户端既不需要连接管理中心进行网络验证，也不需要借助外发eKey，就可自然启动的一种方式，这是提供给客户端用户在既连接不到管理中心又没有外发eKey情况下的一种应急措施。如图 5.5-9，系统管理员可以为离线模式设置使用周期，离线模式只在使用周期内有效。此外，客户端启动机制检测是按照eKey模式、网络模式和离线模式的顺序，因此，离线模式是提高系统健壮性的有益补充。系统管理员为每个用户设置有期限的离线策略后，即使管理中心或者网络发生异常，也不会影响整个系统的正常运作，同时，安全性也有保障！图 5.5-95. 打印监控如图5.5-10，管理员可以为当前选中的组设置打印监控策略

38、：图 5.5-10系统监控客户端主机上的所有打印机，可以对打印的文档进行内容审计。6. 在线解密如图5.5-11，管理员可以为当前选中的组设置在线解密策略：配置客户端是否具有在线解密的权限。如果设置了管理中心模式，客户端用户一旦申请在线解密马上可以在同目录下生成对应的解密文件或者目录，并且将申请的源文件将上传到管理中心，留待日志审计员日后审计；如果设置的是管理员模式，必须存在审批流程，在下面的安全协同中，在“设置在线解密审核流程”模块中已经设置的审批流程是系统级别的审批流程，如本组希望有自身的审批流程，可点击“设置在线解密审核流程”按钮，新建组级别的审核流程，即，组级别的流程如果存在，则组级

39、别的流程生效，否则系统级别的流程生效，且在管理员模式下，一定要有一个流程存在，否则，在线解密无法正常工作。（3）卸载控制台和管理中心同普通软件卸载。说明：加密文件名名称如下定义：例如请求解密文件 aaa.doc 那么解密文件为 aaa(DEC).doc;请求解密的目录为 bbb 那么解密目录对应为 bbb(DEC)。图 5.5-117. 设置在线解密流程在线解密包括两种管理模式：管理中心模式和管理员模式。在管理中心模式下，客户端用户一旦申请在线解密，即刻就将获得的在线解密文件，但申请的源文件将上传到管理中心，留待日志审计员日后审计；在管理员模式下，客户端用户如果申请在线解密，必须经过文件

40、管理员流程批准才能解密成功，申请的源文件依然会上传到管理中心，留待日志审计员日后审计，如果被流程中的任何文件管理员“拒绝”，在线解密都将不会执行。而本模块即是设置在线解密的审批流程，参与流程的都是文件管理员，分别享有查看、批准和执行等一项或多项权限。说明：必须说明的是，一个正确的流程必须包含执行权限，否则整个流程无法结束。图 5.5-12如图5.5-12，是一个设置好的三级审批流程。当然，管理员可以对其进行修改，例如删除某一级，或者在流程中再添加一级，或者在某一级增加多个用户（其中只要有一个用户进行了处理即可）等等。添加点击“添加”按钮，如图5.5-13，管理员可将根管理员（我们提供的根管理员集合了文件管理员的权限）或某个用户（必须是文件管理员）加入到审批流程。图 5.5-13清空将整个审批流程清空。其它图 5.5-14如

展开阅读全文