《安瑞科廊坊集成公司电子文档安全系统管理员操作指引v10.docx》由会员分享,可在线阅读,更多相关《安瑞科廊坊集成公司电子文档安全系统管理员操作指引v10.docx(57页珍藏版)》请在三一办公上搜索。
1、中集文档安全系统管理员使用手册适用范围本使用手册指导安瑞科(廊坊)集成公司文档安全管理人员,用于指导文档安全管理员正确使用文档加密系统,其中包括:文档安全管理员操作手册,密钥制作与管理等方面的内容。如果文档安全系统软件更新,或者操作及规范更新,请及时更新本使用手册。 关于本手册 本手册包括文档安全系统服务器环境的准备,服务器的搭建,平台的维护与管理,密钥管理的操作指引。目录中集文档安全系统1适用范围2关于本手册3目录4版本控制61.文档安全管理系统简介72文档安全管理员使用手册72.1服务器的搭建和设置82.1.1系统的运行环境82.1.2数据库安装注意事项(SQL2005)92.1.3安装C
2、DGServer102.1.4服务器设置122.2系统管理员操作指引152.2.1登录文档安全系统152.2.2组织人员162.2.2.1用户管理162.2.2.2用户高级212.2.2.4角色管理222.2.3申请及审批252.2.3.1管理员设置262.2.3.2申请272.2.3.3解密审批282.2.3.4卸载审批302.2.3.5离线审批312.2.4.2公共文档管理332.2.5终端管理332.2.5.1删除客户端342.2.5.2卸载客户端342.2.5.3升级客户端342.2.6策略管理352.2.6.1管理策略352.2.6.2策略库编辑432.2.6.3管理密钥462.2.
3、7日志管理462.2.7.1服务器日志462.2.7.2终端日志502.2.8系统维护502.2.8.1补丁管理502.2.8.2数据库管理512.2.8.3系统公告522.2.8.4进程校验542.2.8.5应用无效进程552.2.9首页552.2.9.1个人信息552.2.9.2个人消息562.2.9.3退出57 版本信息版本控制版本作者日期描述V1.1文档安全项目组2009/08/17创建V1.2文档安全项目组2009/08/21修改1.文档安全管理系统简介文档安全管理系统可以保护中集重要文档的安全,保证公司的核心知识产权和重要的经营信息的安全。亿赛通文档安全管理系统的主要原理是对重要文
4、档进行加密保护,其主要作用可以分为对外保护和对内保护两个方面。在公司内部进行加密保护的文档,如果被非法拿出公司,将无法打开。另外,文档安全系统会对文件进行全生命周期的跟踪审计,有权限使用文档的人,对文档的查看、打印、编辑、还原等操作都会记录在服务器日志里,可以进行跟踪审计。本操作手册会对文档安全系统的使用进行详细的介绍,文档安全系统的主要管理思想可以简单描述如下:1) 员工自己产生的文档或者接收来自其它事业部或者合作伙伴的文档,需根据本部门的规定,对重要文档进行加密保护,并对其使用者进行授权。2) 需要将加密的文件还原成明文,如:要将文档发送给客户,需向文档管理员提交还原申请,由文档管理员根据
5、文件内容判断是否能将文件还原成明文文件外发给客户。3) 对于离职的员工或者工作岗位变化的员工,系统也可回收以前授予给这个员工的权限,部门的相关人员有责任对该员工的权限进行回收。4) 移动办公或者长期在外出差的员工,使用自己的笔记本也可在公司外对加密文件进行操作,操作的途径有:通过VPN接入到公司内网,通过外网认证服务器进行身份认证,或者对需要使用的文档申请离线申请。5) 文档的创建者或者有还原明文权限的员工有机会得到明文的文件,对明文文件的妥善保管或者及时销毁是员工的基本义务,对因此造成的文件泄密负有责任。2文档安全管理员使用手册文档安全管理员的主要工作职能是:前期服务器环境的准备,服务器的搭
6、建和设置;后期是对组织架构的维护,文档的管理,终端的管理,策略的管理,日志的管理,系统的日常维护等、2.1服务器的搭建和设置服务器的搭建和设置包括服务器的运行环境、数据库的安装、服务器的安装、服务器的设置。2.1.1系统的运行环境安装客户端程序的计算机的基本要求:l 操作系统:WINDOWS 2000/XP/2003/VISTA及SERVERl 最低配置:Pentium /Cleron/128MB 内存/10G 可用硬盘空间l 建议配置:Pentium III 500/256MB 内存/20GMB 以上安装服务器的计算机的基本要求:l 操作系统:WINDOWS 2003 SP2l 最低配置:P
7、entium 4 500/256MB 内存/10GB 可用硬盘空间l 建议配置:Pentium 4 3.0/1000MB 内存/50GB 以上根据客户端数量规模建议服务器端计算机配置:客户端规模服务器建议配置50台以下1G内存,CPU 2.0,中高档PC50-100台1G内存,CPU 2.0以上,高档PC100-200台1G内存,CPU 3.0以上,高档PC200-500台2G内存,CPU 3.0以上,PC服务器500-1000台4G内存,双CPU,CPU 3.0以上,PC服务器1000台以上4G内存,双CPU,CPU 3.0以上,高档PC服务器注:1、 以上仅为参考值,具体应用会有相应调整。
8、2、 对要求7x24小时系统运行要求,可采用双机热备方式部署服务器。2.1.2数据库安装注意事项(SQL2005)如果服务器端还没有安装数据库软件,下面以SQL2005数据库为例(注:安装SQL2005数据库前,需SP2的系统补丁)安装SQL数据库软件,选择安装SQL2005企业版,这里有两点注意:1 选择服务帐号时一定要选择使用本系统帐户。 2 身份验证模式选择混合模式安装。 选择完成后,单击下一步进行安装。2.1.3安装CDGServer1找到SETUP.EXE文件,双击即可弹出软件安装界面,如下图所示:2输入客户信息,单击下一步3选择CDG服务器的安装目录,默认是C盘3 安装时可以根据用
9、户的需求可以选择不同的安装类型,建议使用“典型”安装。4 点击下一步开始正式安装。6点击完成表明CDGServer安装成功并完成安装。2.1.4服务器设置完成服务器的安装,就要对服务器进行设置,打开浏览器窗口,输入服务器IP地址,显示3.0服务器界面。点击“配置”,界面跳转到“登录界面”输入 “用户ID”和“用户密码”,管理员ID为“configadmin”,单击“确定”按钮,进入后台配置界面2.1.4.1数据库配置 文档安全系统安装后,进入数据库配置界面,数据库用户名默认为“root”需修改为SQL管理员“sa”,修改数据库密码,选择数据库类型“MS-SQL”,及修改数据库的安装地址2.1.
10、4.2数据库备份还原设置数据库备份机密钥备份地址(管理员自定义),及启用数据库备份机制,设置备份周期单位(小时、天、月、年),及自动备份周期设定;2.1.4.3 AD域配置宏图为AD域架构,“域名”的路径应指向AD域的IP地址;修改系统管理员的密码和AD域同步节点,详细信息参见下图:2.1.4.4其他“其他”模块只需将修改 “是否导入用户”的值,“是否导入用户”模块改为“导入”模式即“1”,详细信息参见下图:待配置文件修改完毕后,单击“退出”,到计算机“管理”重启“CDG服务”,重启后即可登陆文档安全系统。2.2系统管理员操作指引 系统管理员操作指引是对文档安全系统的“组织人员”、“申请及审批
11、”、“文档管理”、“终端管理”、“策略管理”、“日志管理”、“系统维护”、“首页”8个模块的功能进行性详细解释和操作方面的指引。2.2.1登录文档安全系统打开浏览器窗口,输入10.99.17.3后就能显示3.0界面。点击“进入”,界面跳转到登录界面 输入系统管理员的“用户ID”和“用户密码”,管理员ID为“systemadmin”,单击“确定”按钮,进入系统管理员登录界面在左边导航“组织人员”,单击用户管理,进入用户管理界面2.2.2组织人员系统管理员在“组织人员”模块可以管理组织架构、安全策略的下发以及用户权限设定的功能2.2.2.1用户管理用户管理可定义用户组织结构,对用户可按照用户ID或
12、姓名查找,授权、冻结、用户组定义、添加安全策略等。单击组织结构,再单击“导入用户”按钮后,用户信息将导入文档安全系统单击用户ID列的用户ID,跳转到修改人员信息界面修改人员信息后,单击保存,页面跳转到用户管理界面单击操作列的“添加策略”,进入添加策略界面。选取用户策略,单击保存。单击确定按钮完成添加策略操作。冻结用户,单击操作列的“冻结”, 弹出提示信息,用户冻结成功用户被冻结之后,操作列的“冻结”字变成“启用”被冻结用户登录服务器,会弹出提示信息如解除冻结,单击操作栏的“启用”系统弹出信息提示,用户启用成功单击操作列的“授权”,进入授权界面。勾选复选框,弹出设置成功界面,单击确定完成授权操作
13、。为用户组添加安全策略,单击添加策略按钮,进入添加策略界面。选择主策略,策略应用设置,单击保存。弹出提示信息,单击确定完成添加操作。2.2.2.2用户高级系统管理员可以在用户高级模块为用户设定允许流转,允许加密,允许解密,允许外发,允许制作CDG和允许管理公共文档功能。单击组织管理的用户高级,进入用户高级界面,勾选复选框,单击修改按钮,完成允许权限操作。-2.2.2.4角色管理角色管理模块可以为角色,增加角色,删除角色,设定角色人员和设定角色权限。单击组织管理的角色管理,进入角色管理界面1.增加角色单击增加按钮,进入增加角色界面。输入角色名称及备注,单击“保存信息”按完成添加。增加角色成功,页
14、面跳转到角色管理界面,显示新建角色。勾选角色,单击修改按钮,进入修改界面。修改完成,单击保存按钮,页面跳转到角色管理界面,显示修改后信息。2.删除角色勾选所要删除角色,单击删除按钮,弹出提示信息,单击确定按钮,完成删除角色操作。删除完成,页面返回到角色管理界面。 3.设定角色勾选角色名,单击设定角色人员界面,进入设定角色人员界面, 单击添加,进入选择用户界面,在所有成员选择用户,单击右移按钮,确认,完成添加用户。单击选择,弹出选择用户界面, 在角色管理页面,勾选角色名,单击设定角色权限。4.设定角色权限进入设定角色权限界面,勾选权限,单击提交按钮,完成设定角色权限操作。2.2.3申请及审批文档
15、安全管理系统支持卸载、离线、脱机、解密等审批功能,管理员可按照组织结构设定用户审批权限。2.2.3.1管理员设置审批员设置模块,具有为用户设置审批子组,解密审批,卸载审批,离线审批和启用终端通知等功能。单击申请及审批的“审批员设置”,进入审批员设置界面, 单击操作列的“管理员设置”,弹出设置界面, 根据实际情况,分配用户权限管理员权限分为:“审批设置”、“权限设置”、“应用设置”“审批设置”分为:“可否解密审批”、“可否卸载审批”、“可否离线审批”和“可否非接触性解密审批”,“权限设置”分为:“可否管理文档”、“可否解密文档”“应用设置”分为:“可否审批子组”、“启用终端通知”“全局解密时限设
16、置”分为:“可全局解密起始时间”设定和“可全局解密结束时间”设定“全局文档管理设置”分为“是否全局管理” 勾选复选框,单击设置按钮,完成设置操作。2.2.3.2申请申请模块,具有为客户端提出离线申请、卸载申请功和非例行解密申请的功能。单击左边导航申请及审批的“申请”,进入离线申请界面。输入需要离线的时间和备注,添加客户端。单击提交按钮,完成离线申请。单击卸载申请按钮,显示卸载申请界面。输入备注和添加客户端,单击提交按钮,完成卸载申请。单击非例行解密申请按钮,显示非例行申请界面。用户即可填写解密申请(带*的为必填栏),具体信息参见下图:2.2.3.3解密审批解密申请可以审批用户提交的文件解密申请
17、。 单击左边导航申请及审批的“解密审批”,显示已审批的解密审批界面。单击操作列的“删除”,弹出确认删除界面,单击确定完成删除。单击操作列的“详情”,可以查看文件信息。单击未审批按钮,显示未审批界面。单击操作列的“全部通过”,弹出确认提示信息。单击确定按钮,完成解密审批。单击操作列的“全部否决”,弹出确认提示信息。单击操作列的“详情”,查看未审批文件详细信息。可在操作列里对该文件进行“通过”,“否决”,“稍候处理”和“上传”审批操作。单击页面上方的“已删除”按钮,显示已删除解密审批界面。2.2.3.4卸载审批卸载审批可以审批用户提交的卸载客户端申请单击左边导航申请及审批的“卸载审批”,显示已审批
18、的卸载审批界面。单击操作列的“删除”,弹出确认删除界面,单击确定完成删除。单击未审批按钮,显示未审批界面。单击操作列的“通过”,对文件进行审批。弹出确认提示。 单击确定按钮,完成批准卸载操作。单击操作列的“否决”,对文件进行审批,弹出确认提示信息。单击确定按钮,完成否决卸载操作。单击页面上方的“已删除”按钮,显示已删除卸载审批界面。可对已删除信息进行查看。2.2.3.5离线审批离线审批可以审批用户提交的离线申请单击左边导航申请及审批的“离线审批”,显示已审批界面。单击操作列的“删除”,弹出确认删除界面,单击确定完成删除。2.2.3.5.1离线补时单击操作列的“离线补时”,显示离线补时界面。输入
19、时长,单击生成补时文件按钮,生成补时文件。生成补时文件界面单击下载按钮,弹出提示信息。单击确定按钮,再单击保存按钮,完成补时文件下载。单击页面上方的“已删除”按钮,显示已删除界面。单击确定按钮,完成批准卸载操作。单击操作列的“否决”,对文件进行审批,弹出确认提示信息。2.2.4.2公共文档管理创建公共文件夹,管理上传文件单击公共文档,显示公共文档界面;创建公共文件夹单击授权,添加对公共文件夹具有使用权限的用户,具体操作参见下图2.2.5终端管理终端管理模块,具有删除,卸载客户端,为客户端升级补丁和查看客户端历史记录功能。单击终端管理的“终端管理”,进入终端管理界面, 单击组织架构,显示客户端信
20、息 2.2.5.1删除客户端单击操作列的删除,弹出提示信息,单击确定按钮完成删除操作。 2.2.5.2卸载客户端单击操作列的卸载,弹出卸载提示信息,单击确定完成卸载操作。2.2.5.3升级客户端单击操作列的“升级”,进入升级管理界面。选择补丁,单击保存按钮,升级完成,页面跳转到终端管理页面。单击操作列的查看历史,可以查看客户端的更新信息及补丁号。2.2.6策略管理策略管理包括管理策略、策略库编辑、管理密钥、密钥高级四个模块。2.2.6.1管理策略管理策略模块,具有增加和修改安全策略组的加解密策略,打印策略,一般限制和应用安全控制,全盘初始化,硬件控制,CDG控制,拷贝控制的功能。单击左边导航策
21、略管理的“管理策略”,进入管理策略界面。1.加解密控制加密控制模块具有添加加解密策略组名、密钥选择、策略排序的功能单击新建按钮,新建安全策略组。添加安全策略名,添加完毕,单击保存即可。创建了安全策略组,然后向安全策略组添加“加解密策略组名”选择“策略组名”选择密钥设置,单击提交按钮,完成添加操作,页面跳转回到加解密策略界面,显示新添加的策略。单击排序按钮,进入排序界面。单击操作列的上移,下移按钮,完成排序操作。单击返回,返回到加解密策略界面。2.打印控制打印控制具有对“动态加解密”、“权限加解密”文件打印时添加水印的功能。单击打印策略按钮,进入打印策略界面。勾选应用水印,输入水印内容,深浅设置
22、,选择图片,单击添加按钮,水印设置完成。勾选或去掉勾选“只允许白名单”,弹出提示信息单击确定按钮,完成打印控制设置。单击添加打印策略,进入添加界面。输入进程名称,选择策略类型,策略描述,单击提交按钮。添加打印策略界面策略添加成功,打印策略界面,显示新添加的打印策略。3.一般限制一般限制是应对网络中断时,客户端连接不到服务器,客户端开始计时,在默认的容灾时间内不影响用户的工作。单击脱机策略按钮,进入脱机策略管理界面。输入脱机时长,单击提交按钮,完成脱机策略设置。策略设置针对用户是否能注销用户,避免用户在初次登陆后,注销用户不获取加密策略;4应用安全控制应用安全控制具有对应用层七个模块的设置功能。
23、复制粘贴控制:根据安全策略,对被保护文档内容的复制粘贴进行安全控制,禁止将保护内容粘贴至其他非受控文档或粘贴为乱码;拖拽控制:根据安全策略,对被保护文档内容的拖拽进行安全控制,禁止将保护内容拖拽至其他非受控文档或拖拽为乱码;另存为控制:根据安全策略,对被保护文档*.*另存为强制加密保护,防止泄密;网络发送控制:根据安全策略,对保护文档的网络发送功能进行屏蔽;打印控制:根据安全策略,对被保护文档进行打印控制及水印装填;对象插入控制:根据安全策略,对保护文档的内容不能插入到不其他非受控文件中;拷屏控制:根据安全策略,对保护文档进行拷屏操作,截图软件失效;单击应用安全控制,进入应用安全控制管理界面。
24、输入进程名称,单击查询,可查询到相关进程信息。单击添加模块白名单按钮,进入添加白名单界面,输入进程名称,选择钩子类型及描述,单击提交按钮,完成添加模块白名单操作。5全盘初始化全盘初始化可针对电脑上的所有文件进行加解密操作单击全盘初始化,进入全盘初始化界面单击“全盘加密”添加“全盘加密”的文件类型,添加完毕,单击确定即可。6硬件控制 针对计算机上的“软驱”、“光驱”、“串口”、“移动存储设备”等硬件设备的端口进行管控,勾选上则该设备将在加密客户端环境下不能使用。7拷贝控制加密软件原理加密文件内容不能拷贝到非加密文件里。如用户有需求要将加密文件内容某一片段或内容拷贝拷贝到其他业务系统,可对其加密软
25、件的拷贝字节数进行控制,允许用户将加密文件的某一片段或一段内容进行拷贝,其文件的大小不超过设置的拷贝字节数。2.2.6.2策略库编辑策略库编辑模块,具有添加,编辑策略库,为策略组添加编辑加解密策略的功能。为安全组策略添加加解密策略提供策略。单击左边导航策略管理的策略库编辑,进入策略库编辑界面。策略库编辑界面单击“策略库”,单击新建,输入策略组名, 单击保存按钮,新建策略组完成。单击策略组名,单击新建,输入新建策略名称,编辑策略 ,添加“策略内容”、“关联进程”,选择“执行动作”、“加解密类别”,添加完毕,单击“提交”即可。2.2.6.3管理密钥密钥管理模块具有随机密钥,组合密钥,和备份密钥的功
26、能。单击左边导航策略管理的管理密钥,进入密钥管理界面单击组合密钥,添加密钥名称,选择密钥组合,选择完毕后,单击添加即可。密钥添加完成,返回到管理密钥页面,并显示新添加的密钥。2.2.7日志管理日志管理是一系列的日志条目,记录系统事件、用户IP地址、用户操作、时间、异常等信息。2.2.7.1服务器日志服务器日志模块,具有查看用户类日志,客户端类日志,审批类日志,系统类日志和策略类日志的功能。单击左边导航日志管理的服务器日志,显示界面单击用户类日志,显示用户类日志界面。可以根据点选所要查看的日志项复选框、今天或无限期时间选择,来查看日志信息,还可以在查找框输入用户ID,姓名或备注进行模糊查找日志信
27、息,单击查找按钮,查看相关日志信息。 单击下载日志按钮,弹出下载文件界面。单击保存,完成下载。单击客户端类日志,显示客户端类日志界面。根据点选所要查看的日志项复选框、今天或无限期时间选择,来查看日志信息,还可以在查找框输入用户ID,姓名或备注进行模糊查找日志信息,单击查找按钮,查看相关日志信息。单击审批类日志,显示审批类日志界面, 单击离线申请,显示离线申请日志查询界面,输入机器名或IP地址,单击查询,查找相关离线日志信息。单击卸载申请,显示卸载申请界面。输入机器名,IP地址,单击查询,查找相关卸载申请日志信息。单击解密申请,显示界面申请界面。输入机器名,IP地址,查找相关解密申请日志信息。单
28、击服务器日志的“系统类日志”,显示系统日志类界面。根据点选所要查看的日志项复选框、今天或无限期时间选择,来查看日志信息,还可以在查找框输入用户ID,姓名或备注进行模糊查找日志信息,单击查找按钮,查看相关日志信息。 单击服务器日志的“策略类日志”,显示策略类日志界面。根据点选所要查看的日志项复选框、今天或无限期时间选择,来查看日志信息,还可以在查找框输入用户ID,姓名或备注进行模糊查找日志信息,单击查找按钮,查看相关日志信息。 显示策略类日志信息界面2.2.7.2终端日志终端日志模块用于查找客户端相关日志信息。单击左边导航日志管理的终端日志,显示终端日志界面。根据点选所要查看的日志项复选框、今天
29、或无限期时间选择,来查看日志信息,还可以在查找框输入用户IP,机器名称或进程名称查找日志信息,单击查找按钮,查看相关日志信息。2.2.8系统维护系统维护有补丁管理、数据库管理、系统公告、文件类型管理、进程校验的功能2.2.8.1补丁管理补丁管理模块,用于上传补丁,为客户端及服务器升级补丁提供使用。单击左边导航系统维护的补丁管理,显示管理界面。单击上传补丁按钮,输入上传描述,选择补丁文件, 单击确定上传,上传成功,返回到补丁管理界面,显示新上传补丁。单击操作列的删除,弹出确认删除提示框,单击确定完成删除。单击操作列的详细信息,查看补丁详细信息。2.2.8.2数据库管理数据库管理模块具有还原数据库
30、和备份数据库功能。单击左边导航系统维护的数据库管理,显示管理界面。单击“备份数据库”,系统开始备份数据库,备份完成系统会提示“数据库备份成功”单击“还原数据库”,系统开始还原数据库,备份完成系统会提示“数据库还原成功”2.2.8.3系统公告系统公告模块,具有发布公告功能。单击左边导航系统维护的系统公告,显示系统公告界面。单击添加按钮,进入添加界面。输入标题,内容,选择输入副标题,关键字,是否上传附件。单击添加按钮。添加成功,系统公告管理界面,显示新添加的公告。单击操作列的开始发布,开始发布字变为“停止发布”,在首页公告栏看到发布的公告。2.2.8.4进程校验进程校验模块,具有校验EXE文件的校
31、验值的功能。单击左边导航的系统维护的进程校验,显示进程校验界面。单击添加按钮,显示添加界面。选择EXE文件路径,选择输入备注,单击提交。进程校验完成,返回页面显示新添加进程名信息。2.2.8.5应用无效进程应用无效进程是对客户端提示无窗口进程进行应用层放过不做控制,当客户端提示“*进程未加载”,可在此处添加未加载进程。2.2.9首页 首页包括“个人信息”、“个人消息”、“退出”三个模块单击页面上方的“首页”,页面显示首页信息。2.2.9.1个人信息 显示登录用户的个人信息单击页面上方的“个人信息”,显示登录用户个人信息,可以对信息进行修改。输入要修改的个人信息,单击保存信息,提示更新用户信息成功。2.2.9.2个人消息 单击页面上边的“个人消息”,显示已发送的消息界面, 单击已收到消息按钮,查看已收到消息。单击消息草稿箱按钮,查看放入草稿箱的消息。单击写消息按钮,输入标题,内容,添加接收人,单击发送或保存或保存到草稿箱。2.2.9.3退出单击“退出”按钮,退出登录显示文档安全界面。
