华途电子文档安全管理系统 | |
5.3.1001 | |
系统管理员使用手册 | |
浙江华途信息安全技术股份有限公司 |
第一章 系统概述
1.1产品概述
随着电子信息化程度的不断提高,政府军工、企事业单位等各类组织机构越来越多地利用计算机来处理一些机密信息,加强交流、方便沟通的同时增加了信息的非法泄露及内部越权使用等安全风险。传统电子文档几乎不受任何权限限制,明文存放、随意阅读、修改、复制、打印或分发等,纵观近年来国内外数据泄露事件,互联网接入单位由于内部重要机密通过网络途径泄露而造成重大损失的事件中,99%都是由于内部泄露行为导致的。《中华人民共和国网络安全法》及《中华人民共和国数据安全法》明确地对个人隐私数据和国家重要数据提出了保护要求,把网络信息和数据安全上升到国家战略层面。
面对源自企业内部的安全威胁以及法律法规的严格要求,基于防止外部入侵窃密和内部无意泄露需求的华途电子文档安全管理系统应势而生。
华途电子文档安全管理系统(Document Security Management System,简称Vamtoo-DSM)是华途信息自主研发的通用文档安全管理软件,从核心数据本身、数据交互、移动办公、移动介质、终端外设等多场景多维度全面保障文档安全,通过灵活的策略管控体系,基于人工智能的丰富管控手段,来满足客户不同场景的安全管控需求,防止重要数据泄露,落实数据安全具体条例要求,轻松应对审查及行业规范要求。
华途电子文档安全管理系统采用动态文档透明加密技术、虚拟化技术、深度内容识别技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,对重要数据进行精细化细粒度管理。
1.2产品功能模块
华途电子文档安全管理系统由基于Web界面的综合管理平台和八大功能模块组成。管理平台可配置基于用户角色的访问控制和系统管理选项,用户通过管理平台可依据需求统一制定安全管控策略,并集中下发到各模块,从而实现对企事业单位重要数据的全方位保护。
(1) 电子文档智能加密模块
电子文档智能加密模块以透明加密技术为核心,采用高强度加密算法实现强制透明加密;基于内容识别技术,实现智能扫描落地加密;此外,用户可自主选择对文档加解密,确保重要数据被强制加密,非重要数据不被过分加密。
(2) 电子文档权限管控模块
结合权限管理、综合集成身份认证、动态窗口抓取等多项前沿技术,实现对受控文档的精确权限控制,有效控制用户对核心数据文档的阅读、修改、打印、授权、解密等操作权限,从根源上防止文档的非法共享而导致的数据泄露。
(3) 电子文档安全外发模块
外发包以文件虚拟化技术为核心,结合透明加密、权限管理、多桌面(MultiDesktop)技术等多项前沿技术,在毫不影响用户操作习惯和工作效率的同时,保障数据资产对外交互的安全性。
(4) 移动终端安全模块
包括了数据库、身份认证服务器、接入控制服务器、管理控制平台、移动端app等邮件,可实现合法用户通过授权移动设备接入系统后,就可在移动设备上正常、安全地浏览涉密文档内容,同时也可以选择性对移动设备上的文件进行加密处理。保障用户在享受移动设备便捷性时的数据资产安全。
(5) U盘加密系统模块
免安装、无需外带电脑,只需外带一个安装了加密系统的U盘,用户即可完成对文档加解密处理,防止重要数据资产外泄。
(6) 应用安全网关
通过对访问服务器的计算机进行安全控制,实现服务器数据下载强制加密,防止服务器机密外泄。提供双机热备、准入控制、数据转发、文件加解密、负载均衡(http协议)、https链路加密功能以及https数据转发功能等多层服务与防护。
(7) 数据安全中间件
采用了先进的中间件技术,可方便、快速地与企事业单位其他业务系统无缝对接,赋予业务系统数据加密、数据解密、权限控制、文件内容防复制、防截屏、浮水印、打印控制等数据安全能力。在不影响用户操作习惯,不改变客户网络框架的前提下,解决业务系统的数据安全问题,有效保障数据资产安全。
(8) 终端防泄漏模块
扫描并发现终端上的敏感信息分布和不当存储,监控用户对敏感信息的使用并进行实时保护(如复制敏感信息到U盘等可移动存储上,通过QQ、微信、个人邮箱外发敏感信息等,或者将其发至网盘、BBS等公共互联网),排除数据从终端泄露的风险。
1.3系统体系结构
系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式,服务器采用B/S工作模式,客户端采用C/S工作模式。组件的通信是采用HTTP/HTTPS加密传输方式。
- 服务器:安装在专业的数据服务器上,包括数据库安装、文件服务器安装、缓存服务器安装、DSM产品安装。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。灵活的实现对文件的加解密和用户权限的划分,终端数据防泄漏策略和配置的设置。
- 客户端:安装在受保护的终端计算机上,实时监控客户用户行为和安全状态。实现客户端安全策略管理和终端防泄漏安全。
- 控制台:基于Web的人机交互界面,简单易懂的操作界面。通过安全认证建立与服务器的信任连接,实现策略的制定下发和管理。
第二章 管理控制台
在浏览器地址栏中输入https://服务器ip:9444/dsm (其中服务器IP为电子文档安全管理系统的IP地址),即可转到系统的登录界面,如图所示:
登录界面显示当前服务器管理控制台、数据库版本信息。管理控制台支持中英文切换。
注:本系统推荐使用Google浏览器、火狐浏览器。
管理控制台存在以下几个默认账号,默认账号登录后,请及时修改密码:
名称 | 账号 | 初始密码 |
---|---|---|
超级管理员 |
admin |
admin |
日志管理员 |
logadmin |
logadmin |
配置管理员 |
configmanager |
configmanager |
安全管理员 |
secadmin |
secadmin |
系统管理员 |
sysadmin |
sysadmin |
程序配置管理
1、使用configmanager账号登录系统后,在“配置管理”-“程序配置管理”中导入程序配置(其中:程序配置来源于“云配置管理系统”。即:所有程序配置在“云配置管理系统”中在线管理,需将程序配置从“云配置管理系统”中导出后,再导入至“电子文档安全管理系统”中)
首次导入程序配置:通过“云配置管理系统”导出对应程序配置,再“手动导入配置”。
程序配置导入成功后,在有外网的情况下,可通过点击“从云配置导入配置”同步“云配置管理系统”的程序配置,选择对应的版本进行同步。
备注:
- 云配置管理系统的使用,参见“云配置管理系统使用手册”。
防泄漏应用程序管理
使用configmanager账号登录系统后,在“配置管理”-“防泄漏应用程序管理”中设置防泄漏应用程序。 1.添加/修改应用程序分类:点击添加分类/分类右侧的修改图标,可添加/修改分类。 2.添加应用程序:点击“应用程序管理”-“添加应用程序”,可添加新的应用程序。 3.添加进程:点击“进程管理”-“添加进程”,可添加新的进程。一般按照进程名称添加即可。有些场景下以防进程伪装,可以改用进程原始文件名或进程产品名称,如图。
2.1首页
使用admin账号登录系统控制台后,左边为功能模块,右边为仪表盘。窗口右上角”我的账号”点开后可查看账号信息并修改账号密码。
2.1.1仪表盘
管理员、分级管理员登录管理控制台显示首页,统计显示数据包括加解密运维统计(加密文档数量、解密文档数量、外发文档数量、用户登录状态、审批流程数量、授权文档数量)和泄漏事件统计(严重等级分布、策略分布top10、违规者top10、响应动作分布、终端位置分布、泄漏途径分布),能够有效地审计出用户常规操作事件、泄漏事件情况,展现产品运维数据,体现产品价值。
点击“加解密运维统计”进入加解密运维仪表盘。
2.1.1.1加密文件数量统计
该模块根据安全域排序统计整个系统客户端的加密文件数量。
备注:客户端默认不执行加密文件数量统计,此处需要展示统计信息时,可通过配置管理员进行设置,执行加密文件数量统计。
使用配置管理员登录(账号:configmanager;密码:configmanager)登录电子文档安全管理系统。在“配置管理”—>“全局/局部权限设置”中,将“客户端不执行加密文件数量统计”功能禁用。
在首页加密文件数量统计模块,点击“查看详情”
在详情页面,选择组织机构节点显示整个系统客户端的加密文件数量;
选择组织架构下的部门节点,显示当前所选部门下所有客户端的加密文件数量;
选择部门节点下的终端,显示所选客户端的加密文件数量。
2.1.1.2解密文件数量统计
该模块根据解密操作用户排序统计显示整个系统运行至今解密文档的数量,解密文档数量包含客户端右键手动解密、客户端扫描解密、客户端落地解密、客户端邮件解密、移动终端解密,审批流程解密、邮件解密流程。
在首页解密文件数量统计模块,点击“查看详情”;
进入详情页,分块显示客户端解密文件数量、审批流程解密数量。
客户端解密数量统计:
用于显示客户端客户端右键手动解密、客户端扫描解密、客户端落地解密、客户端邮件解密、移动终端解密,且解密成功的文件数量。
点击组织架构根节点,显示所有用户的客户端解密数量;
点击组织机客构下的部门,显示该部门下所有用户的户端解密文件数量;
点击列表下的解密文件数量,即可查看解密文件日志。默认按照账号、客户端右键解密、目录监控解密、批量加解密工具解密作为筛选条件,显示查询结果,如下图:
审批流程解密数量统计:
用于显示通过解密审批、邮件解密审批流程,且已审批通过的文件数量。
点击组织架构根节点,显示所有用户的审批流程解密数量;
点击组织机构下的部门,显示该部门下所有用户的审批流程解密文件数量;
点击列表下的解密密文件数量,即可查看解密审批信息。默认按照申请人、文件解密审批、邮件解密审批、当前步骤归档或提前完成作为查询条件,显示查询结果,如下图:
2.1.1.3外发文件数量统计
该模块根据外发操作用户排序统计显示整个系统运行至今外发文档的数量,外发文档数量包含客户端外发文档数量及外发审批流程生成的外发文档数量。
在首页外发文件数量统计模块,点击“查看详情”。
进入详情,分块显示客户端外发文件数量、审批流程外发数量。
客户端外发数量统计:
用于显示客户端通过右键制作外发文件的文件数量。
点击组织架构根节点,显示所有用户通过客户端制作的外发文件数量;
点击组织机构下的部门,显示该部门下所有用户通过客户端制作的外发文件数量;
点击列表下的外发文件数量,即可查看外发文件日志。默认以账号和客户端右键外发作为查询条件,显示查询结果。
审批流程外发数量统计:
用于显示通过外发审批流程,且该流程审批通过的外发文件数量。
点击组织架构根节点,显示所有用户通过外发审批流程制作的外发文件数量;
点击组织机构下的部门,显示该部门下所有用户通过外发审批流程制作的外发文件数量;
点击列表下的外发文件数量,即可查看外发审批信息。默认以申请人、文件外发审批、流程归档或提前完成作为查询条件,显示查询结果。
2.1.1.4用户登录状态统计
该模块用于显示用户登录状态统计信息,从未登录用户数、正常用户数、禁用用户数量,从而有效、快捷的远程监控客户端的运行状态。
点击“查看详情”,即可查看组织架构或者某个部门下的用户登录状态。
用户列表展示状态,部门与用户管理处,显示初始(从未登录)、正常、禁用
|用户状态|从未登录|正常|禁用|
|--|--|--|--|
|标志
|
|
|
|
初始:当用户从未在终端登录时,用户状态为初始 正常:当用户登录过终端,且未被删除或禁用,则该用户状态为正常 禁用:当用户被禁用时,用户状态为禁用
数量统计处展示已登录数、未登录数、从未登录数
已登录数:统计当前有多少个用户已经登录终端(windows、linux、mac、移动端中的任意一个)
未登录数:统计当前有多少个用户未登录终端(windows、linux、mac、移动端均未登录)
从未登录数:统计服务器安装至今,从没有登录过终端的用户的个数
2.1.1.5审批流程数量统计
该模块根据流程模板名称排序统计显示整个系统运行至今“已办“、“待办”的所有流程数量。
在首页审批流程数量统计模块,点击”查看详情”,即可查看所有审批流程。
2.1.1.6授权文件数量统计
该模块根据密级排序统计当前系统中的授权文档数量。
在首页授权文件数量统计模块,点击“查看详情”
在详情页面,选择组织机构节点显示整个系统客户端的授权文件数量;
选择组织架构下的部门节点,显示当前所选部门下所有客户端的授权文件数量;
选择部门节点下的终端,显示所选客户端的授权文件数量。
2.1.1.7泄露事件统计
点击“泄露事件统计”进入泄露事件统计仪表盘。
该模块根据严重等级分布、策略分布top10、违规者top10、响应动作分布、终端位置分布、泄漏途径分布显示终端防泄漏事件的各项统计情况。
点击左上角下拉框,可以选择查看具体事件端的终端防泄漏事件各项统计情况。
在事件趋势中,显示选定时间下的每天泄漏事件按严重等级分布的波形图。
2.1.2 客户端安装包下载
用户登录至电子文档安全管理系统控制台页面,服务器初始化没有客户端安装包需先上传,上传后鼠标悬浮至“下载客户端安装包”即可下载客户端安装程序。
备注:管理员需先在“客户端安装包上传” 模块(详细操作参见2.9.5章节),上传各终端类型客户端安装包后,才能在此处进行客户端安装包下载。
终端根据客户端操作系统类型,点击下方的“下载”按钮,选择保存路径,即可下载客户端安装程序(包括windows客户端、linux客户端、mac客户端)。
2.1.3我的账号与注销
用户登录管理控制平台后,左上角显示登录用户姓名,鼠标悬浮姓名上方,弹窗显示“我的账号”、“注销”按钮。
2.1.3.1我的账号
(1)基本信息
点击“我的账号”,默认进入我的账号→基本信息子页面,如下图所示:
页面显示当前账号的基本信息,内容包含:姓名、账号、所属部门、所属域、所属安全域、所属密级、所属角色、所属用户组、允许离网时长信息,信息无法修改。
- 个人安全策略
在我的账号页面,进入个人安全策略页面,页面显示当前账号安全策略信息,包含内容:基本信息、用户权限、受控程序策略、文件安全域权限、内容复制控制、打印水印设置、浮水印设置、文件外发控制、用户离网策略。页面仅作安全策略信息展示,无法修改。
(3)个人设置
该页面可以修改密码、设置邮箱、设置审批代理人信息。进入我的账号→个人设置页面。
修改密码: 用以修改当前登录用户密码信息。在个人设置页面修改密码区域,输入原始密码、新密码、确认新密码后,点击“保存”,完成当前登录用户的修改密码操作。
个人邮箱设置: 配置当前用户邮箱信息,用于发送邮件。在个人设置页面邮箱设置区域,正确输入邮箱信息后,点击“设置”,提示操作成功即可。
备注:SMTP服务器信息需根据配置的邮箱信息正确填写。SSL加密连接根据邮箱设置确定是否勾选。在起草邮件审批申请时,一定要设置个人邮箱信息,否则不能起草邮件审批申请。
代理审批人设置:
适用场景:当领导业务繁忙或其他原因无法及时处理审批流程时,为保障审批业务的及时性,可设置助理或其他人员进行代理审批。
设置当前用户的代理审批人,当前用户的所有待审批的工作,代理审批人会收到待审批消息并且可以进行审批操作。
在个人设置页面代理审批人设置区域,勾选“启用代理审批人”,将弹出组织架构,在组织架构中选择对应人员即可(备注:代理审批人,只能设置一个)。
(4)联系人设置:
添加保存当前登录用户的邮件联系人,用于“邮件解密审批”收件人邮箱管理。点击“联系人设置”,进入联系人设置页面:
新增联系人: 点击“新增”,弹出新增联系人页面,输入联系人姓名、邮箱信息后,点击“确定”即可。
修改联系人: 点击需修改联系人对应的修改按钮,如图所示。
进入修改联系人页面,修改完成后,点击“确定”即可。
删除联系人: 可单个或批量删除联系人。勾选需删除的联系人,鼠标悬浮“联系人设置”上方,点击“删除选中”按钮,确定即可。
针对单条联系人执行删除操作,可直接点击对应联系人信息处的删除按钮进行删除操作。
2.1.3.2注销
用于注销当前账号。鼠标悬浮姓名上方,点击“注销”按钮即可注销当前账号。
账号注销后,页面返回到登录页面:
2.2组织架构管理
2.2.1部门与用户管理
根据政企事业单位的组织结构,建立部门和用户,也可直接从域服务器或第三方导入用户信息。
在左侧导航区域展开“组织架构管理”模块菜单,点击“部门与用户管理”,进入如下图所示界面:
部门与用户管理页面分为两部分:用户状态统计及操作区域、系统用户信息显示区域。
2.2.1.1新增/修改/删除部门
- 新增部门
根据政企事业单位的组织架构,添加部门信息。在部门与用户管理页面,选择组织架构或部门节点处右键显示菜单,或选择节点在页面点击“新增部门”,进入新增窗口:
输入部门名称后,点击“确定”,新增成功的部门显示在对应节点处。 - 修改部门
部门信息可以修改。选中组织架构部门节点右键显示菜单,或选择节点在页面点击“修改部门”,进入修改部门页面:
修改部门名称或描述信息后,点击“确定”,完成修改操作。 - 删除部门
删除多余的部门信息。选中组织架构部门节点右键显示菜单,或选择节点在页面点击“删除部门”,弹出删除部门的提示界面:
当部门下存在人员或子部门,系统给出以下提示:
点击“是”,则删除该部门下所有部门信息以及用户信息。点击否,则取消删除操作。
2.2.1.2设置成员
设置成员包括对部门用户的移动、移除操作。选择部门右键菜单或在页面点击“设置成员”,可显示操作列表。
- 移动用户
对部门用户的移动操作,若用户不属于当前部门或属于多个部门时,可通过该操作将用户移动到所属部门。
选择部门节点,勾选要移动用户后,点击“移动用户”,进入移动用户界面,如图所示:
在组织架构中选择用户需要的新部门节点,点击“确定”操作成功。
勾选“是否保留原用户部门关系”用户移动到新部门后,同时保留在原部门(即用户将属于两个部门:原部门、新部门)。
(2)移除用户
对部门用户的移除操作,由某部门移除后的用户,不再属于该部门。若用户含有其他部门,则在其他部门可看到用户信息;若用户没有其他部门,则用户属于组织架构。
选择部门节点,勾选要移除的用户,点击“移除用户”弹出移除用户提示:
点击“确定”,则移除当前部门下用户,点击“取消”,则取消移除操作。
备注:由部门节点右键菜单进行移动用户、移除用户操作是针对部门所有用户。
2.2.1.3新增/修改/删除用户
- 新增用户
根据政企事业单位用户,添加用户信息。在部门与用户管理页面,选择部门节点,点击“新增用户”,进入新增用户→基本设置子页面:
在基本设置子页面输入用户姓名、账号、密码信息;点击“高级设置”,进入高级设置子页面:
在高级设置子页面,设置用户所属安全域、所属密级、所属角色、所属安全策略、用户是否禁用信息后,点击“确定”,完成新增用户操作。 - 修改用户
管理员可以修改用户所属安全域、所属密级、所属策略、密码等信息。在用户列表中选择需要修改信息的用户,点击用户账号,即可进入修改用户页面,修改用户信息。与新增用户界面相似,不再详细说明。 - 删除用户
单个或批量删除用户。在用户列表勾选单个或多个用户,点击“删除用户”弹出删除用户的提示界面:
点击“确定”,操作成功。当用户同时隶属于两个部门,则删除人员后,两部门下的用户都被删除。 - 查询用户
根据部门查询用户:在组织架构中点击部门节点,页面显示该部门节点下的用户。
根据账号或姓名查询:页面查询框中输入用户账号或姓名信息进行查询,页面显示符合查询条件的用户列表。
2.2.1.4批量设置用户
管理员可根据实际业务场景,勾选对应用户进行批量设置操作。选择部门右键菜单显示,或在部门与用户管理页面点击“批量设置用户”,显示操作菜单:
备注:由部门节点右键菜单进行批量设置操作是针对部门所有用户。
- 所属角色
批量设置用户角色信息。在用户列表中勾选多个用户,点击“所属角色”,进入如下界面:
在下拉角色列表选择对应角色,点击“确定”,操作成功,选择的用户角色均已配置。 - 所属安全域
批量设置用户所属安全域信息。在用户列表中勾选多个用户,点击“所属安全域”,进入如下页面:
在下拉安全域列表选择对应安全域,点击“确定”,操作成功,选择的用户安全域均已设置。 - 所属密级
批量设置用户所属密级信息,选择多个用户,点击“所属密级”,进入密级设置页面:
在密级列表中选择对应的密级,点击“确定”,完成操作,选择的用户密级均已正确设置。 - 当前安全策略
批量设置用户所属的当前安全策略。选择多个用户,点击“当前安全策略”,进入设置安全策略页面:
在安全策略列表中选择对应的策略信息,点击“确定”,完成操作,选择的用户安全策略均已正确设置。 - 用户禁用状态
批量设置用户状态是否禁用。选择多个用户,点击“用户禁用状态”,进入如下图所示页面:
选择“启用”,设置用户状态为启用;选择“禁用”,用户状态为禁用,禁用后的用户将无法再登录客户端。设置用户状态后,点击“确定”完成操作。 - 修改登录密码
批量设置用户登录密码。选择用户,点击“修改密码登录”,进入如下图所示页面:
输入新密码、确认新密码,点击“确定”完成操作。被修改密码的用户须使用新密码登录管理控制台或客户端。 - 密码修改设置
批量设置用户修改密码设置权限。设置允许用户修改密码权限,用户可以自己修改登录密码;设置首次登录修改密码权限,用户首次登录管理控制台或客户端需先修改密码再登录。
备注:设置不允许用户修改密码权限后,首次登陆修改密码隐藏,无法设置。
2.2.1.5导入组织
本系统支持导入组织结构及用户功能,分为“从文件导入”、“从域导入”和“从第三方导入”。在部门与用户管理页面,点击“导入”,显示操作菜单:
- 从文件导入
支持从文件导入组织结构及用户信息,导入为xls格式的excel文件。单击“从文件导入”按钮,弹窗“文件导入”窗口。如图所示:
点击“浏览”,选择预导入的文件,点击确认即可。
同步新用户设置:
所属安全域:选择对应安全域,同步后,新导入的用户的所属安全域为选择的对应安全域。
所属密级:选择对应密级,同步后,新导入的用户的所属密级为选择的对应密级。
所属角色:选择对应角色,同步后,新导入的用户的所属角色为选择的对应角色。
所属安全策略:选择对应安全策略,同步后,新导入的用户的所属安全策略为选择的对应安全策略。备注:设置所属安全策略时,请确保许可点数充足。
备注:在部门与用户管理页面右上角有“文件导入用户示例”,点击该链接显示从文件导入用户的操作步骤。
- 从域导入
在系统配置域服务器的前提下,可从域服务器导入组织结构及域用户。点击“从域导入”,进入下图页面:
选择域信息,点击“确定”,将域服务器的组织结构及用户信息导入到系统对应的组织架构。如何配置域服务器信息参考2.2.5章节。 - 从第三方导入
在系统配置成功第三方应用管理的前提下,可以选择从第三方导入组织架构及用户。点击“从第三方导入”,进入下图页面:
选择第三方应用信息,点击“确定”,将第三方应用的组织结构及用户信息导入到系统对应的组织架构。如何配置第三方应用管理参考2.2.6章节。
2.2.1.6导出组织
在部门与用户管理页面,点击“导入/导出”按钮,选择“导出”,即导出为excel文件。
备注:导出的文件中显示组织架构下所有部门,包括导入的域部门和第三方应用部门;用户只会导出用户源是系统用户的用户,若要导出所有类型的用户,需要先将域用户和第三方用户转化为系统用户。
2.2.1.7转换为系统用户
在部门与用户管理页面,点击“转换为系统用户”按钮,可将“域同步”或“第三方应用”用户转换为系统用户进行管理维护。转换为系统用户后,将会自动删除“域同步策略”或者“第三方应用同步策略”,不再进行用户同步操作。
(1)用户源类型包括:域同步、第三方应用;
(2)用户源名称:为域名称或者第三方应用名称。如无同步策略,则用户源名称显示:”无“。
备注:
- 转换为系统用户后,将无法再从同步策略中进行组织架构的同步;
- 对应的同步策略也将被删除。
- 点击”转换为系统用户“前,先进行”从域导入“或”从第三方导入“操作,用户导入到系统后,再进行转换。
2.2.2系统角色管理
该模板是对系统所有角色信息的管理,并设置角色对管理控制台权限信息。在导航菜单依次点击“组织架构管理”→“系统角色管理”,进入系统角色管理页面:
系统出厂有6个内置角色:超级管理员、系统管理员、安全管理员、安全审计员、普通用户、配置管理员;
内置角色右侧无删除按钮,非内置角色右侧有删除按钮;
可以新增非内置角色和删除非内置角色。
2.2.2.1新增/修改/删除角色
- 新增角色
根据控制权限需要可添加不同的角色信息。在角色管理页面,点击“新增”,进入新增角色页面:
输入角色名称,根据实际业务勾选对应权限模块后,点击“确定新增”即可。
新增角色界面内容包含:角色名称、角色描述、特殊权限、管理范围、可使用功能。
(1)、特殊权限:针对工作流审批,勾选部门审批管理员权限,用户使用该角色后,部门的员工发起审批流程,且该审批流程审批类型为部门审批管理员时,该角色的管理员的待办事宜里收到待办事宜。
(2)、管理范围:组织架构、本部门(含子部门)、指定部门、无。新增角色时管理范围默认勾选本部门(含子部门)。
勾选组织架构:管理的是整个组织架构及成员;
勾选本部门(含子部门): 管理的是自己部门及子部门及成员;
勾选指定部门: 管理的是代管员设置的部门及成员;
勾选无: 没有部门及成员管理权限,但是可以发起我的流程(私有数据)。
注意:
勾选管理范围为无,可使用功能模块无法勾选。
(3)、可使用功能:用于勾选用户所具有的管理控制台对应模块操作权限。勾选一级菜单,会默认勾选上所有二级菜单,不会自动勾选子功能:整个组织架构导入/导出,系统模板、个人模板。自由勾选上子功能菜单,一二级菜单都被勾选上。
设置可使用功能后,将角色赋予用户,对应角色的用户显示勾选的模块菜单及数据。
注意:
除代管员设置特殊外,只有系统管理员和超级管理员显示并勾选代管员设置,其它角色都不允许勾选该项。
- 修改角色
角色对应的管理控制台权限可修改。点击需要修改的角色名称,进入修改角色页面:
根据实际业务修改对应权限模块、角色名称后,点击“确定修改”即可。内置角色不可修改。 - 删除角色
删除系统中已添加的角色,可单个或多个删除。勾选需删除的角色,点击“删除”,在确认删除提示页面,点击“确定”,完成删除操作。内置角色不可删除。
若要删除的角色正在被使用,则无法删除。
2.2.2.2角色关联/查询
查看系统中已添加的角色管理的用户。选择需查看关联用户的角色,点击关联对象按钮,页面显示出角色关联的用户信息,如下图所示:
查询用户:角色关联较多用户时,可输入用户姓名或账户关键字查询用户信息。不可以通过点击用户名称进行修改用户信息。
查询角色:当系统角色信息较多时,在系统角色管理页面,右上角输入框中输入角色名称关键字,可查询角色信息。
2.2.2.3系统角色管理员设置
系统角色创建者可以设置多个管理员,拥有管理员权限的用户对系统角色具有管理权限。在系统角色列表,选择需要设置管理员的信息,在对应管理者列点击,进入管理员设置页面,如下图所示:
可选用户列表中显示组织架构下所有部门,展开部门节点显示对应的部门管理员,勾选需要设置为管理员的用户,点击“>”,已选用户区域显示设置的管理员列表;设置管理员后,点击“确定”,完成操作。
取消管理员权限:在管理员设置页面,已选用户列表勾选需要取消管理员权限的用户,点击“<”,保存设置即可。
管理员权限生效:拥有管理员权限的用户登录管理控制台,进入系统角色页面显示有管理权限的角色信息,可对角色信息进行修改、删除操作。
管理员查看:选择系统角色,在对应的管理者列点击“”,显示系统角色对应的管理员信息。
备注:
(1)管理员设置页面,可选用户列表中不显示用户自己及admin信息;出厂时普通用户的管理者默认为系统管理员,其它内置角色的管理者默认为空
(2)超级管理员admin默认具有管理控制台全部操作权限;
(3)超级管理员管理范围默认“勾选组织架构”,特殊权限默认勾选“部门审批管理员”,可使用功能默认勾选所有功能,且置灰不可修改。系统管理员、安全管理员、安全审计员的管理范围为“组织架构”,“部门审批管理员”默认不勾选,可使用功能只勾选相应的模块。
(4)“普通用户”角色默认不勾选“部门审批管理员”,管理范围为“无”,默认勾选模块“个人模板”、“我的流程”。
2.2.3代管员设置
代管员设置便于管理指定部门,实现跨部门管理。如将IT运维人员原属运维部门,可以设置指定管理研发部、财务部、市场部等多个部门,甚至可以设置全组织架构下的所有部门,设置灵活管理方便。
该模块是对系统所需设置代管员信息的管理,包括代管员的设置、删除、搜索以及代管员的列表显示等功能。在导航菜单依次点击“组织架构管理”→“代管员设置”,进入代管员设置页面。
备注:只有超级管理员和系统管理员及具有系统管理员和超级管理员角色的用户才具用“代管员设置”选项。
2.2.3.1设置代管员
在代管员设置页面,首先点击左侧组织架构“+”方框展开系统组织架构,选中左侧需要代管理部门,这时选中部门左侧方框以“√”号显示,然后点击“设置代管员”进入选择人员弹框:
在选择人员界面,勾选需要设置为代管员的账号,点击“选择人员”相应人员显示在已选内容当中,点击“完成选择”系统提示“操作成功”并返回代管员设置页面,代管员信息显示在代管员显示列表当中。
备注:
(1)选择人员列表当中只显示所属角色管理范围为“指定部门”的用户,用户角色管理范围为“指定部门”后不可再次修改;
(2)选择账号亦可根据左侧组织架构部门和搜索功能进行选择,点击“清除选择”可清除所有已选账号;
(3)当前设置d和h代管11、department2、department4、department5、department6部门,可在列表-查看全部代管员菜单页查看。
2.2.3.2再次/多次设置代管员
- 同一账号
具有代管员设置权限的账号登录管理控制台,选择需要代管理的部门,按最终选择的部门并集显示。
例1:a账号代管理b、c、d三个部门,再次设置代管员时选择b部门,选择a账号,点击“完成选择”,则a代管取并集,最终代管理b、c、d三个部门。 例2:a账号代管理b、c、d三个部门,再次设置代管员时选择e部门,选择a账号,点击“完成选择”则a代管取并集,即b、c、d、e四个部门。 例3:a账号代管理b、c、d三个部门,再次设置代管员时选择b、c、d、e、f部门,点击“完成选择”则a代管理b、c、d、e、f五个部门 备注:
按部门覆盖即同一账号多次代管部门,以代管理部门多的显示; 不同账号
(1)用户选择部门与已有账号选择部门相同/所选部门比已有部门多,则按账号覆盖,以最后一次选择的账号为准;
(2)用户选择部门比已有账号选择部门少/再次选择部门与前一次选择部门有交叉,则最后一次代管理账号所选与已有账号交叉重复的部门被覆盖,即已有代管账号不在显示与最后一次选择的账号的代管理部门重复的部分。两账号都显示在管理员列表中,显示的代管理部门如前所诉。例:a账号代管部门b、c、d,再次选择部门b、c、e、f,选择账号g,则代管员列表中显示账号a代管部门为d,账号g代管理部门显示为b、c、e、f。
(3)代管理部门包含组织架构的不同账号都分别显示在代管员列表中;例:已有a账号代管理b部门,选择c账号代管理b部门和组织架构,则b账号不覆盖a账号,两个账号分别显示。
备注:
再次勾选代管理部门时之前勾选的部门不取消,勾选代管理部门时不自动勾选子部门,但当代管员登录系统时显示子部门。2.2.3.3删除代管员
在代管员设置页面,点击“部门代管员列表”,进入对应部门的代管员删除页面:
点击显示页面的删除图标即可删除代管员。
备注:
只有在部门代管员列表能删除代管员,删除后在全部代管员列表中不在显示此代管员。2.2.3.4 代管员列表显示及查询
- 部门代管员列表
点击“部门代管员”列表显示如下:
包括账号、所在部门、代管理部门以及操作,选择左侧的部门则部门代管员列表只显示代管本部门的代管员信息,其他部门代管员信息不显示,选中部门高蓝显示。 - 查看全部代管员列表
点击“查看全部代管员”列表显示如下:
包括账号、所在部门、代管理部门以及操作,操作内容为空即在查看全部代管员中不可删除代管员,在此页面显示设置的全部代管员信息。
备注:
当已有代管员时,从“组织架构管理”→“代管员设置”进入代管员设置页面时,默认显示代管组织架构的账号信息。 - 搜索代管员
鼠标悬停在左侧搜索框,输入需要搜索的内容点击搜索,支持模糊查询,搜索页面如下:
备注:
输入内容为空进行搜索,在全部代管员页面显示全部代管员信息,在部门代管员页面显示相应代管员信息,输入错误的内容,则显示无数据。
2.2.4用户组管理
该模块是对系统用户进行分组管理。用于在“流程模板管理”中进行用户组设置,即设置哪些用户组的人员“可使用”、“可审批”或“可接收”该流程。
备注:新增或修改用户组时,无法选择被禁用的用户。
在导航菜单中点击“用户组管理”,进入用户组页面,默认显示已有的用户组列表:
(1)新增用户组
在用户组管理页面,点击“新增”,进入新增用户组页面:
输入用户组名称,展开组织架构根据实际业务勾选对应用户后,点击“>”可将用户分配到已选用户列(即用户组关联的用户)。点击“确定新增”完成操作。
(2)修改用户组
修改用户组名称、关联的用户等信息。点击需修改的用户组名称,进入修改用户组页面修改用户组信息,确定修改即可。
(3)用户组关联用户
关联用户:新增或修改用户组页面,展开可选用户组织架构列表,勾选对应用户,点击“>”关联用户到用户组;
取消关联用户:新增或修改用户组页面,可选用户列表勾选用户,点击“<”,取消对应用户与用户组的关联。点击“《”取消全部已选用户与用户组的关联。
(4)删除/查询用户组
删除用户组:删除系统配置的用户组信息,可单个或多个删除。勾选需删除的用户组,点击删除,确定即可。
查询用户组:用户组管理页面查询输入框输入用户组名称或名称关键字,可查询用户组,支持模糊查询。
(5)用户组管理员设置
用户组管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
2.2.5外协单位管理
外协单位管理是对外协部门及外协用户的管理与维护。外协用户仅在“文件外发审批”时使用。在左侧导航中依次点击“组织架构管理”→“外协单位管理”,进入如下页面:
2.2.5.1新增/修改/删除外协部门
(1)新增外协部门
系统可包含多个外协部门用以管理外协用户。在外协单位管理页面,点击“新增部门”,进入新增部门页面:
输入部门名称及描述信息后,点击“确定”,新增外协部门节点显示在外协单位架构节点下。
(2)修改外协部门
外协部门信息可以修改。在外协单位架构节点下选择外协部门节点或右键外协部门节点,点击“修改部门”,进入外协部门修改页面:
修改部门名称或描述信息后,点击“确定”,完成修改操作。
(3)删除外协部门
删除多余的外协部门信息。选中组织架构部门节点右键显示菜单,或选择节点在页面点击“删除部门”,弹出删除部门的提示界面:
点击“确定”,当部门下存在人员或子部门,系统给出以下提示:
点击“是”,则删除该部门下所有部门信息以及外协用户信息。点击否,则取消删除操作。
2.2.5.2新增/修改/删除外协用户
- 新增外协用户
外协部门中允许存在多个外协用户,在外协单位架构节点,选择外协部门节点,点击“新增用户”,进入新增用户页面:
正确输入外协用户账号、姓名、密码信息后,点击“确定”,完成外协用户信息操作,外协用户添加至对应的外协部门节点下。
(2)修改外协用户
外协用户信息需要修改时,点击外协用户账号,进入修改用户页面,正确修改用户信息后,点击“确定”,即可完成修改。
(3)删除外协用户
单个或批量删除外协用户。在外协用户列表勾选单个或多个用户,点击“删除用户”弹出删除用户的提示界面:
点击“确定”,完成外协用户删除操作,外协单位架构中不再包含删除的用户。
2.2.6域同步管理
域同步策略管理:用于进行AD域或LDAP域信息设置,将域用户同步至组织架构中。
配置域服务器信息,可以配置AD域和LDAP域两种域同步策略,系统中允许配置多个域同步策略。在导航菜单中点击“域同步策略管理”,进入如下页面:
2.2.6.1新增域同步策略
(1)新增AD域同步策略
在域同步策略管理页面,点击“新增策略”,默认选择添加“AD域”,进入如下图所示页面:
输入对应域服务器、登录账号、登录密码后,点击“测试连接”,自动获取域名信息。测试通过后,“测试连接”按钮变为“确定新增”按钮,同步选项、自动同步设置子页取消禁用。
(2)新增LDAP域同步策略
在新增域同步策略页面,选择连接的域类型为“LDAP域”,输入ldap域服务器的IP地址、账号、账号密码、域名信息,如下图所示:
备注:
①ldap域登录账号根据账号在ldap域中的组织结构正确填写。如cn=admin,dc=test,dc=domain,dc=com或uid=a1,ou=Adm,dc=test,dc=domain,dc=com,字段之间使用英文逗号隔开。cn是ldap域服务器管理员(admin)或ou节点下的用户(cn=test或uid=user1);dc是ldap域服务器的域名(如ldap域名为test.domain.com,此处需填写为dc=test,dc=domain,dc=com);
②ldap域支持在根节点下新建模板ou及子ou,在ou下建立cn和uid(只支持cn和uid作为用户方式的同步);
Ldap域服务器基本信息填写完成后,进行用户信息对应设置,如下图所示:
备注:
①用户唯一标识符:填写用户唯一标识符,推荐使用entryUUID,若entryUUID不唯一则使用其他唯一标识符;
②用户账号:推荐使用LDAP域中的uid、cn,也可使用其他作为用户账号;
③用户姓名:推荐使用LDAP域中的uid、cn,也可使用其他作为用户姓名;
④部门唯一标识符:填写部门唯一标识符,推荐使用entryUUID,若entryUUID不唯一则使用其他唯一标识符;
⑤部门:荐使用LDAP域中的ou, 也可使用其他作为部门;
⑥用户过滤器:需要导入的用户过滤。例如:(|(objectClass=account)),即表示只导入objectClass=account的用户。
⑦部门过滤器:需要导入的部门过滤。例如:(|(objectClass=organizationalUnit)),即表示只导入objectClass= organizationalUnit的部门。
Ldap“基本信息“和“用户信息对应”设置完成后,点击“测试连接”,自动获取域名信息。测试通过后,“测试连接”按钮变为“确定新增”按钮,同步选项、自动同步设置子页取消禁用。
(3)同步选项设置
1、成功连接AD域服务器后,点击“同步选项”,进入同步选项子页面。
同步选项有2个选择按钮,选择同步部门、选择同步用户组。
同步用户组主要用于只需要同步一个部门中的部分用户,把这些用户分配到各组中,域同步按照组来同步。
①同步部门选择某个域部门同步到组织架构下,页面如下图所示:
②同步用户组选择域用户组同步到组织架构下,页面如下图所示:
用户组属性输入组信息,点击添加,内容保存到下面的保存框内;选择某条用户组,点击删除按钮即可删除该用户组。当保存框满时,滚动条显示。
- 支持多用户组导入
- 多用户组导入后,按照组名称显示在系统中的组织架构中
- 支持部门与用户切换导入
a 先部门已导入,再切换到用户组场景,原部门用户均保留,用户组账号导入。原部门用户被删除、移动、禁用等不再同步过来。 b 先部门已导入,再切换到用户组导入,部门与用户组有用户重叠,将某个重叠用户从用户组移除,用户组同步后,该账号在用户组被删除,在部门中还保留。 点击确认修改时或者保存时,需检测用户组信息的正确性,当有错误时提示“获取用户组失败”,新增或修改失败
备注:用户组属性和属性编辑器的distinguishedName参数是一致的,用户组属性输入的值和distinguishedName参数不一致时,点击“添加”按钮,会提示:"获取用户组失败!" 另外,域系统默认没有属性编辑器,当没有出现属性编辑器时,打开“Active Directory 用户和计算机”,在“查看”菜单上,确保选中“高级功能”
2、成功连接LDAP域服务器后,点击“同步选项”,进入同步选项子页面,设置同步部门及同步到部门后域用户的安全域等信息:
选择同步部门:显示获取的域组织结构(AD域支持获取到组织单元及容器结构,LDAP域支持获取到ou及子ou节点),用户根据需要勾选需要同步到本系统的节点。当前三态选择部门节点,勾选(包含子部门)、点选(不包含子部门)部门时注意。
同步到:显示本系统内的组织架构信息,选择需要同步到的部门。
校验方式:勾选“域校验”则同步后,同步账号需要以域校验方式验证,不勾选则默认“系统验证”。
所属安全域:选择对应安全域,同步后,新导入的域用户的所属安全域为选择的对应安全域(以前导入成功的域用户的所属安全域不发生变化)。
所属密级:选择对应密级,同步后,新导入的域用户的所属密级为选择的对应密级(以前导入成功的域用户的所属密级不发生变化)。
所属角色:选择对应角色,同步后,新导入的域用户的所属角色为选择的对应角色(以前导入成功的域用户的所属角色不发生变化)。
所属安全策略:选择对应安全策略,同步后,新导入的域用户的所属安全策略为选择的对应安全策略(以前导入成功的域用户的所属安全策略不发生变化)。备注:设置所属安全策略时,请确保许可点数充足。
(4)自动同步设置
成功连接AD域或ldap域服务器后,进入自动同步设置子页面,设置自动同步功能:
自动同步设置:勾选“开启自动同步”,系统根据设置的规则,定期将对应域组织架构同步至本系统(同步至“部门与用户管理”模块的组织架构中)。不勾选“开启自动同步”,则不生效自动同步功能。
设置域同步策略基本信息、同步选项等信息后,点击“确定新增”,完成新增域策略操作,新增数据显示在域同步策略管理列表中。
备注:同一台域服务器不能重复添加。
2.2.6.2修改/删除域同步策略
修改域同步策略:可修改配置的域同步策略信息。点击需修改的域同步策略名称,进入修改域同步策略页面,修改信息后,点击“确定修改”即可。与新增域同步策略步骤相似,可参考上一章节,这里就不再作详细说明。
删除域同步策略:删除系统中已添加的域同步策略。在域同步策略管理页面,勾选需删除的域同步策略,点击“删除策略”,弹出提示界面,点击“确定”即可。
2.2.7第三方应用管理
第三方应用管理:用于设置第三方应用,将第三方应用的部门和用户同步到组织架构中。
第三方应用管理的具体配置需要研发人员来进行配置。
新增成功后的第三方应用管理如下图所示:
同步新用户设置:
所属安全域:选择对应安全域,同步后,新导入的用户的所属安全域为选择的对应安全域。
所属密级:选择对应密级,同步后,新导入的用户的所属密级为选择的对应密级。
所属角色:选择对应角色,同步后,新导入的用户的所属角色为选择的对应角色。
所属安全策略:选择对应安全策略,同步后,新导入的用户的所属安全策略为选择的对应安全策略。备注:设置所属安全策略时,请确保许可点数充足。
备注:删除第三方应用管理时,若第三方应用有进行过同步操作,则无法删除,有下图提示信息:
2.3策略中心
该模块是对系统安全域、密级、安全策略、扫描策略、落地策略、响应规则等信息的管理。
2.3.1安全域管理
文档安全管理系统中,每一个用户都有一个默认的安全域,根据安全域,可以将政企事业单位内部用户创建的文件,划分为不同的安全域,不同安全域产生的文件不能相互打开,如开发部不能打开财务部的文件。
单击模块“安全策略中心” “安全域管理”。
新增安全域 :系统可以存在多个安全域。在安全域管理页面,单击“新增安全域”,进入新增页面:
在新增安全域窗口输入安全域名称,如“安全域3”,点击“确定”新增的安全域显示在页面列表中。
删除安全域:单个或多个删除安全域。在安全域管理页面列表中选择需要删除的安全域,单击“删除”按钮,在弹出的删除窗口中点击“确定”完成删除操作。
若安全域正在被用户使用,则无法删除。
修改安全域: 在安全域管理页面列表中点击需要修改的安全域名称,进入修改安全域页面,修改对应信息,确定修改即可。
设置用户所属安全域: 将安全域与用户进行关联。可选择单个用户进入修改用户页面设置所属安全域,也可同时选择多个用户批量设置所属安全域信息。具体如何设置在章节2.2.1.3、章节2.2.1.4中可查看。
安全域管理员设置: 管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
2.3.2密级管理
实现系统管理员可预先设置好密级及其对应的访问权限范围,普通用户根据密级的访问权限使用授权文档;系统出厂时内置三个密级:“核心商密”、“普通商密”、“内部公开”, 最高保密年限分别为30年、20年、10年。 单击模块 “安全策略中心” “密级管理”,进入密级管理页面:
注:序号值越小说明密级权限越高。
新增密级: 系统可以添加多个不同等级的密级。在密级管理页面,单击 “新增密级”按钮,进入新增密级页面:
输入密级名称、密级序号、最高保密年限(输入为0,表示年限不受限制)、备注,点击”确定”,操作成功,新增密级信息显示在列表中。
修改密级: 在密级管理页面,选择一条密级点击密级名称,进入到修改页面,修改相关参数后,点击“修改”即可。
删除密级: 在密级管理页面,选择一条或者多条密级,单击 “删除密级”按钮,弹出删除提示窗口,点击确定即可。
注:删除密级时,无法删除全部密级,必须保留一条密级;删除密级时当前密级正在使用中,则无法删除。
密级管理员设置:管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
设置用户密级: 将密级与用户进行关联,可单个或批量设置密级信息。具体如何设置在章节2.2.1.3、章节2.2.1.4中可查看。
备注:
(1)密级与用户关联后,密级序号值越小表示用户密级越高;
(2)客户端制作授权文件选择密级时,作者只可以选择低于或者等于作者的密级;
(3)授权文档只有密级,无用户权限设置时,用户密级高于或等于文档密级时才可打开使用;
(4)客户端离网时,授权文档只有密级,无用户权限设置时,用户密级高于或等于文档密级时才可打开使用(离网后,只有离网前打开成功过的授权文件才能正常使用);
(5)新建密级时,输入的最高保密年限不为0,如为6,则最高保密年限为6年,客户端用户制作授权文件时,选择的保密年限为1个月-6年之间,不可超过6年。
2.3.3用户安全策略管理
安全策略管理主要用于用户的权限、策略设置。一个用户只有一个安全策略,系统中可以含有多个不同权限的安全策略。
该模块可以对安全策略进行添加、修改、复制、删除操作。在导航菜单中点击安全策略中心 安全策略管理,进入安全策略管理页面。
新增安全策略: 在安全策略管理页面,单击“新增”按钮,在弹出新增安全策略窗口输入安全策略名称(如研发安全策略),并对用户权限、受控程序、安全域权限、内容复制控制、打印管理、文件外发控制等策略进行设置,单击“确定新增”按钮即可。
修改安全策略: 点击需修改的安全策略名称,进入修改安全策略页面,修改用户权限或其他控制策略后,点击“确定修改”即可。
删除安全策略: 在安全策略管理页面,勾选需要删除的安全策略,点击“删除”按钮即可。
复制安全策略: 在安全策略管理页面,勾选需要复制的安全策略,点击“复制策略”按钮,弹窗复制安全策略框,输入策略名称,点击“确定”即可复制与原策略权限信息相同的策略。
安全策略内容包含:基本信息、用户权限、受控程序设置、文件安全域权限、内容复制控制、移动介质控制、打印管理、浮水印设置、文件安全外发控制、邮件白名单设置、用户离网控制、网关Web服务器配置。在新增或修改安全策略页面可进行配置相关控制权限。下面具体描述各权限控制操作:
2.3.3.1基本信息/用户权限
(1)基本信息: 用于填写安全策略名称、策略描述。
(2)用户权限: 用于配置当前安全策略具有的用户权限,用户权限内容默认包含:制作授权文件、允许截屏、允许OLE嵌入、允许拖拽、工作模式切换、程序禁用例外、允许删除密文、半透明模式、允许登录移动终端。
制作授权文件: 控制客户端是否可右键制作授权文件;
允许截屏: 控制客户端是否允许对受控程序进行截屏操作;
允许OLE嵌入: 控制客户端是否可以使用OLE嵌入操作;
允许拖拽: 无拖拽权限时,不能将受控程序文件内容拖拽到非受控程序;有无拖拽权限时,均可以进行文件拖拽操作,拖拽后文件保持原属性(明文或密文)。(备注:SVN受控,有拖拽权限,svn上拖拽下来的文件为明文;无拖拽权限,svn上禁止拖拽操作)
工作模式切换: 控制客户端是否可以切换客户端模式,从而到达生效不同策略的效果(备注:该功能Linux、Mac客户端也支持);
备注:安全策略中含有企鹅logo的地方表示linux客户端支持;和苹果log的地方表示mac客户端支持。
程序禁用例外: 控制客户端是否可以启动“程序黑名单”中的程序;
允许删除密文: 控制客户端是否可以“删除或粉碎“加密文件;
半透明模式: 勾选(即半透明模式):受控程序不会透明加密,但是可以打开加密文件;不勾选(即透明模式):受控程序透明加密。
允许登录移动终端: 控制对应账号是否可以在移动终端上登录(说明:勾选“允许登陆移动终端”则占用MTS产品许可点数)。
以上所有权限,鼠标悬停在某个权限上详细展示该权限的作用与功能。
2.3.3.2受控程序/安全域权限
(1)受控程序设置: 为将政企事业单位中的文件强制透明加密,需要对创建文件的应用程序进行控制,这些应用程序的控制策略,称为应用程序策略。
备注:受控程序默认为空,需先从“云配置管理系统”中直接导入或者先从云配置管理系统中导出程序配置,再通过“配置管理员”登录“电子文档安全管理系统”导入至“程序配置管理”中。具体操作参见“云配置管理系统用户使用手册”2.4.9章节。
导入成功,管理员成功登录管理控制台,在安全策略管理界面勾选对应程序,被勾选的程序在客户端表现为软件受控后,文件会透明加密(即对受控软件产生的文件,编辑保存后会自动加密),如登录客户端的用户A,该用户对应安全策略,其应用程序策略中包含“办公类.WPS”,在客户端通过WPS新建一个word文件,对该文件内容进行编辑保存,保存后的文件为密文。
在受控程序设置界面,选择相应的应用程序(如选择应用程序:办公类.WPS),点击“>”移动到已选策略列表。
允许使用普通密文:控制客户端是否可以生成、打开、使用普通密文;(说明:勾选“允许使用普通密文”则占用DES产品许可点数)
允许使用授权密文:控制客户端是否可以打开、使用授权文件;(说明:勾选“允许使用授权密文”则占用DRM产品许可点数)
策略模式:分为启动加密模式、停止加密模式。
无“工作模式切换”的账号只生效启用加密模式对应勾选的策略;
有“工作模式切换”的账号可通过切换工作模式的方式,分别对“启动加密模式”、“停止加密模式”中添加的受控策略生效。
(2)文件安全域权限: 用于当前安全策略对关联各安全域的操作权限设置,权限包含:打开、打印、解密、调整。
打开权限:对应安全域文件是否能够打开。
打印权限:对应安全域文件是否能够打印。
解密权限:对应安全域文件是否能够解密。
调整权限:对应安全域文件是否能够调整文件安全域,可调整范围、调整后范围为用户当前安全策略关联的安全域。
2.3.3.3内容复制/用户离网控制
(1)内容复制控制: 控制终端用户是否允许将受控程序中的内容复制到非受控程序,且控制可允许复制的字数。
勾选“允许内容复制”选项,则启用内容复制策略,表示允许将受控程序中的内容复制到非受控程序;反之则表示不允许将受控程序中的内容复制到非受控程序上;
限制文字数:允许将受控程序中的内容复制到非受控程序上单次复制的最大文字数量,输入字数为0表示不限制复制文字数量。勾选“允许内容复制”选项时生效。
备注:mac和linux客户端允许复制限制文字数未实现,即允许复制可以复制超过设置的字数。
(2)用户离网控制: 设置当前安全策略的用户离网控制权限。用户进入离网状态可以正常使用透明加密、文件外发、打开/打印密文等操作;不能切换账号,不能制作授权文件(只能打开本地缓存的授权文件)。
允许离网时长:当客户端与服务器失去连接时,进入离网状态。默认离网时长1440分钟。离网时长范围:1至525600分钟
2.3.3.4移动介质控制
管控移动存储介质的使用:对已注册、未注册移动存储介质进行操作权限控制,并对移动介质使用记录进行审计,从而有效地保证移动存储介质管理的安全性。
备注:使用移动介质控制功能,需保证加密客户端已经安装“HM-硬件管控模块”。“HM-硬件管控模块”推送更新操作见2.7.1、2.7.2章节。(客户端基础安装包不包括“HM-硬件管控模块”,需通过自动更新推送到客户端进行安装)。如下图所示,可查看到具体某个用户是否安装“硬件管控模块”。所需搜索哪些用户安装了“硬件管控模块”,参见2.7.3章节
在“安全策略管理”->“移动介质控制”中,对当前安全策略的移动介质信息进行设置,展开移动介质控制子页面,如下图所示:
未注册移动介质管控和已注册移动介质管控项均为单选,可选择“只读、读写、无法识别”其中一项;
上传移动介质使用记录:上传移动介质接入客户端的接入日志。
文件写入加密:可选择性勾选“文件写入加密”,一旦勾选文件写入加密,通过复制、剪切、移动、拖拽、另存到移动介质的文件均被加密。同时,在移动介质中新建文件也会加密。
备注:任意方式写入压缩包文件只对压缩包本身处理,不穿透进行加密。
2.3.3.5打印/浮水印设置
(一)打印管理
对当前安全策略用户受控程序的打印日志控制、打印机白名单、打印水印设置。
打印日志管理:在打印日志管理页面,启用“上传打印日志”、“上传打印快照”,当前安全策略用户打印受控程序文件时会上传日志、快照信息。
打印机管理:设置打印机白名单,白名单以外的打印机不能打印受控程序文件。在打印机管理页面,点击“新增”,进入新增打印机页面,输入型号即可完成操作。
打印水印管理:是对受控程序文件打印水印的设置。包括水印图片、文字、二维码、点阵设置。启用显示打印水印功能,当前安全策略用户打印受控程序文件后,页面显示水印信息。
(1)水印图片设置: 点击“水印图片设置”,进入图片设置页面,设置图片信息后,点击“确定”即可:
点击“浏览”,可以上传显示打印图片。
显示方式:设置水印图片的显示方式。分为居中、拉伸、平铺三种方式。
透明度:设置水印图片显示的透明度,范围为0-100
图层设置:设置水印图片图层显示方式。分为“置于顶层”、“置于底层”两种。
(2)水印文字设置: 打印水印文字设置。进入水印文字设置页面,可以设置文字内容、显示方式、字体、大小、透明度、颜色。
斜式水印:启用该功能,设置的文字斜式显示。
显示方式:分为“平铺”、“拉伸”“居中”三种方式。设置为“平铺方式后,可以设置平铺行数(默认为9行)。
水印文字字体和大小设置:通过下拉列表设置水印文字字体、文字大小。默认水印文字字体为:宋体;文字大小为14磅。
透明度:设置水印图片显示的透明度,范围为0-100。默认为85。
选择颜色:点击输入框设置文字显示颜色。默认为“#000000”
显示文字设置:点击“新增”,进入设置显示文字页面,可以在列表中选择文字类型(计算机名、IP地址、公司名称、当前账号、当前时间、自定义文字(需输入文字内容)),允许添加多个文字类型,勾选文字显示方位后,点击“确定”即可完成添加显示文字操作。
备注:文字水印设置“当前工作模式”为浮水印特有。
(3)二维码水印设置: 设置水印二维码显示位置、包含内容(可自定义文字)、透明度、颜色、尺寸信息(分为20 20、40 40、60 60)。进入二维码水印设置页面,设置信息后,点击“确定”即可:
备注:二维码水印设置为打印水印特有。
*(4)点阵水印设置: 启用该功能,打印的文件会显示点阵水印信息。进入点阵水印设置页面,勾选启用点阵水印、设置点阵边长、边距大小、圆点大小、显示颜色后,点击“确定”完成设置操作:
点阵水印工具解析出当前打印文件的作者(账号、姓名)和时间。
(二)浮水印设置
浮水印是指具有当前策略的用户所登录客户端的水印信息设置。浮水印策略分为窗口浮水印、屏幕浮水印和截屏水印。
窗口浮水印:针对受控程序打开窗口显示浮水印。
屏幕浮水印:客户端开机后,显示屏幕浮水印。(与是否打开受控程序无关)
截屏水印:截屏水印针对的是受控程序开启截屏水印策略的情况下,在截屏(有截屏权限)时添加水印用于震慑用户不能随意泄密,并可实现追踪。具体实现效果:
- 当用户具有截屏水印的策略时,用户对受控程序进行截屏,受控程序的截图将附带水印;
- 当截图范围包含非受控程序时,非受控程序的内容无水印,受控程序的内容仍然附带水印信息。
透明度:设置浮水印显示的透明度,范围为0-100
浮水印设置包括水印图片设置、水印文字设置、点阵水印设置。设置过程与打印水印一致(备注:文字水印、图片水印、点阵水印的透明度设置统一在水印预览处进行设置),此处不再详细说明。
说明: mac终端的浮水印显示只支持窗口浮水印中的水印文字设置,其他暂不支持。
2.3.3.6外发文件控制
文件外发控制是对当前安全策略的文件外发控制权限设置。
允许外发算号:制作外发文件时设置了硬件绑定或授权码信息时,启用该项可以使用客户端“外发算号”菜单获取授权码,打开外发文件。反之,不能打开外发文件。
允许外发打印:启用该项可以对外发文件进行打印操作。
外发打开次数:设置打开外发文件的限制次数。如设置10次,制作外发文件时打开次数设置不能大于10次,即打开次数最多10次;如输入为0,表示打开次数不受限制,制作的外发文件默认打开次数为9999999.
外发文件打开天数:设置打开外发文件的限制天数。如设置2天,制作外发文件时打开时间限制区域不能超过2天,即超过截止日期,不能打开外发文件;如输入为0,表示打开天数不受限制。
(说明:文件外发控制的已选安全域列表有安全域,则占用ODC产品许可点数)
2.3.3.7邮件白名单设置
启用邮件白名单功能,用户通过Outlook/Foxmail(smtp和exchange协议)发送邮件,发送者邮箱地址/接收者邮箱地址在邮件白名单内,实现发送邮件附件自动解密。
备注:使用邮件白名单功能,需保证加密客户端已经安装“NF-网络模块”。“NF-网络模块”推送更新操作见2.7.1、2.7.2章节。(客户端基础安装包不包括“NF-网络模块”,需通过自动更新推送到客户端进行安装)
在“安全策略管理”->“邮件白名单设置”中,对当前安全策略的邮件白名单信息进行设置,展开邮件白名单子页面,如下图所示:
启用邮件白名单: 勾选,则启用邮件白名单,生效邮件白名单功能。不勾选,则邮件白名单不生效。
发件人白名单: 填写发件人白名单邮箱信息,输入邮箱格式不受限制,支持通配符(例如test1@example.com,可以设置为example),输入邮箱个数不受限制,多个邮箱地址换行填写并显示。可对邮箱地址进行搜索查找(支持模糊搜索)。备注:发件人白名单,即发件人为白名单邮箱,则发送的邮件附件自动解密。
收件人白名单: 填写收件人白名单邮箱信息,输入邮箱格式不受限制,支持通配符(例如test1@example.com,如example),输入邮箱个数不受限制,多个邮箱地址换行填写并显示。可对邮箱地址进行搜索查找(支持模糊搜索)。备注:收件人白名单,即收件人为白名单邮箱,则发送的邮件附件自动解密。
仅在白名单的收件人收到的附件解密: 当收件人邮箱有多个时:(1)勾选该选项,则多个收件人(收件人、抄送人、密送人)邮箱地址,仅有收件人白名单邮箱地址,收到的附件(满足安全域、文件类型条件)是自动解密的,其他非白名单收件人收到的附件是密文。【特别说明:此时白名单的收件人将接收到两封邮件,一封附件未解密,另一封附件解密。】(2)不勾选该选项,则只要多个收件人(收件人、抄送人、密送人)中有任意一个是收件人白名单邮箱,则所有收件人收到的附件(满足安全域、文件类型条件)都是自动解密的。
文件类型: 启用邮件白名单时,邮件白名单发送符合文件类型的普通密文时实现邮件附件自动解密;反之,邮件附件不符合文件类型的普通密文不会被解密;文件类型允许输入的个数最多100个,多个类型之间使用“|”隔开,默认输入为,即所有类型。
支持通配符,如设置.xls 表示.xlsx和.xls文件均可以被解密。
备注:邮件白名单不支持穿透压缩包。
可解密安全域文件: 启用邮件白名单时,邮件白名单发送符合安全域的普通密文实现邮件附件自动解密; 反之,邮件附件不属于解密安全域的普通密文不会被解密。已选安全域配置为空时,对任意安全域的普通密文均不会解密。
2.3.3.8 网关Web服务器配置
当前安全策略配置网关信息后,客户端获取到网关上对应的http、tcp策略后,可以实现文件上传解密,下载加密功能。
该功能结合应用网关服务器使用。在ASG服务器配置具体的http策略、tcp策略过程此处不做介绍。
点击“新增”,进入应用安全网关配置页面,输入网关服务器地址或域名、端口信息后,确定添加即可:
网关Web服务器地址:填写ASG的地址;
备注:若网关使用热备部署,此处填写热备的虚拟地址。
端口:填写为9999。
2.3.3.9安全策略管理员设置
管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
2.3.4 落地监控策略管理
落地监控策略管理主要用于终端的落地监控策略和策略组的设置和管理。落地到终端上的文件中是否包含敏感或涉密信息,实现针对敏感或涉密信息的针对性安全管控,从而避免过度管控,影响用户工作效率。
系统管理员可在管理控制台上新增、编辑策略后,将落地监控策略组与DSM客户端终端绑定,从而实现基于内容更精准的加密方式。关键字和正则表达式支持文档格式包括:
.doc、.docx、.xls、.xlsb、.xlsx、.ppt、.pptx、.rtf、.odt、.ods、.odp、.odg、.pages、.numbers、.key、.fodp、.fods、.fodt、.pdf、.eml、.html、.txt、.et、.wps、*.dps。
该模块可以对落地监控策略进行“新增策略”、“修改策略”、“复制策略”、“删除策略”操作。在导航菜单中点击终策略中心-落地监控策略管理,进入策略管理页面。
2.3.4.1 落地监控策略设置
只有加密许可
落地客户端磁盘上的文档,对符合落地规则的文件进行加密或解密处理。
扫描解密策略,解密包括安全域文件和授权文件。
有DDLP许可,无加密许可时
对文件进行分类分级处理,对应匹配中的文件打上分类分级标签属性
所有许可都有的情况,即加密和DDLP均包含时
既可以对文件加密或解密处理,也对文件分类分级处理,即对应匹配中的文件被加密同时打上标签属性。
落地监控策略:落地是指新建、修改、复制、拷贝、下载文件到该客户端,对符合落地监控规则的文件进行加密或解密以及分类分级处理。
落地监控加密策略,主要适用于落地到PC端的敏感数据进行加密,防止终端敏感数据或核心数据外发泄密。解密反之。
落地分类分级,主要适用于资产梳理,对应的文件按照严重等级进行分级,按照设置的分类策略进行分类。
- 新增落地监控策略:
系统中可以有多个落地监控策略。管理控制台单击模块 “策略中心” “落地监控策略管理”,点击TAB页“落地监控策略”。
在落地监控策略管理页面,单击“新增策略”按钮,进入到新增落地监控策略页面:
所属落地监控策略组: 选择该条落地监控策略归属的落地监控策略组(备注:落地监控策略以“落地监控策略组”的形式赋予终端,所以需要将落地监控策略归属到“落地监控策略组”中。“落地监控策略组”来源于“策略中心” “落地监控策略管理”中的第二个TAB“落地监控策略组”模块)
状态: 默认启用,点击可禁用/启用该条落地监控策略,启用则生效该条策略,禁用后不生效该条策略。 分类: 默认显示无,分类分级管理菜单中创建分类数据标签,点击分类列表就会显示出来,选择对应分类标签。
文件分类标签:分类若选择无,文件分类标签值为空。分类若选择一个值,匹配的文件分类为设置的分类名称。
文件分级标签:检测规则中对应的严重等级 和 响应规则-响应条件中的严重等级一致,且响应规则包含分类分级,对应匹配的文件被分级为严重程度对应的分级名称。
注:若响应规则-响应条件为空,即不需要满足任何条件,均可按照分类分级动作响应。
若响应规则-响应条件为匹配数,按照实际匹配数计算是否命中,命中后分类分级。
整体原则:先判断检测规则,符合后,再判断响应规则,符合响应规则条件后,对应的文件被分类分级 - 文件匹配中多个策略,且该策略包含不同分类分级响应规则,文件同时命中多个策略,分类含有多个分类名称。
- 分级名称最多只有一个,按照最高严重等级生效。
- 压缩包若命中了分类分级属性,且管理控制台-分类分级管理菜单含有分类与分级名称,右键压缩包属性有分类分级标签,分类属性值为空,只显示分级属性(上传的日志中也不显示分类属性)
- 压缩包若命中了分类分级属性,且管理控制台-分类分级管理菜单没有分级名称,右键属性没有分类分级标签(并且不上传日志)
监控路径: 设置客户端磁盘的监控路径。针对落地到“监控路径下”的文档进行识别,并对符合落地监控策略规则的目标文档进行处理。监控路径支持:全路径或指定路径设置,且可填写多个路径。
排除路径: 设置客户端磁盘的监控排除路径。针对落地到“监控排除路径下”的文档不进行识别和处理。排除路径支持:全路径或指定路径设置,且可填写多个路径。排除路径优先监控路径。
检测规则: 配置实现扫描规则的检测规则,包含匹配规则、例外规则,且例外规则优先级高于匹配规则。规则类型分为按照内容(关键字、正则匹配、数据库指纹匹配、文档指纹匹配、数据字典匹配、数据标识符匹配、语义模型、图章匹配);按照文件属性(根据文件类型、文件大小、文件名匹配)。鼠标点击“下一步”按钮,进入新增规则页面,选择规则类型:
以下只举例常见匹配类型,其它类型的匹配详细说明请参考防泄漏2.3.6章节
(1)关键字匹配:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
关键字:是指根据文件名称或文件内容含有关键字匹配内容后进行落地处理。可以含有多个关键字,多个关键字内容以“|”分割,表示:关键字之间关系为“或”,即只要匹配任一关键字即可。关键字1、2与间距的关系是,关键字1和关键字2,关键字字数小于或等于间距数,即命中关键字对。关键字与关键字对也是“或”的关系。
是否区分大小写:关键字中含有英文时,启用该功能,可以严格根据内容大小写匹配。
匹配条件:检查是否存在(不计算多个匹配项),存在匹配数是1,即命中;不存在匹配数是0,没有命中。计算所有匹配项,命中多少次,匹配数是多少。对所有唯一匹配项进行计数,多个重复的关键字匹配数是1。
匹配位置:默认都勾选,关键字存在信封、主题、正文、消息、文件,都将进行匹配。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。
(2)文件(邮件附件)类型匹配:
文档类型:文档类型来源于“源数据管理”-“文档类型”,一般用于根据文档后缀进行匹配的场景。如勾选了办公类文件“.doc"类型,文件后缀是".doc"落地将会被命中
- 支持文件防篡改,即文件后缀被人为修改后仍然可以被监控到。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件后缀匹配规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述文件后缀规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个规则。
(3)正则匹配:
正则表达式:是指根据某个正则表达规则对文件进行落地处理。可以含有多个正则表达式,多个正则表达式以“|”分割,表示:正则表达式规则之间关系为“或”,即只要匹配任一正则表达式规则即可。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上正则表达式匹配规则,同时满足此处添加的规则。若同时匹配选择“正则匹配”,则上述正则表达式匹配规则与同时匹配的正则表达式匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 添加例外规则与匹配规则步骤一致。多条匹配规则关系为“或”即客户端文件只要匹配任意一条匹配规则即可触发落地策略;
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
响应规则: 设置落地监控策略的响应规则。响应规则:即触发监控落地策略后,对符合落地监控策略规则的文件按照设置的响应规则进行处理。(处理规则包括:加密、解密、分类分级。其中加密又分为:普通密文、授权密文)
(“响应规则”来源于“策略中心” “响应规则管理”模块)
备注:
①落地监控策略既包含“匹配规则”,又包含“例外规则”:优先匹配“例外规则 ”。匹配到例外规则时,则文件不处理;未匹配到例外规则并匹配到“匹配规则”,则文件按照响应规则进行处理。
②落地监控策略只包含“匹配规则”:则匹配上任意一条“匹配规则”,则文件按照响应规则进行处理;未匹配上任意一条“匹配规则”,则文件不处理。
- 修改落地监控策略:
在落地监控策略管理页面,选择一条策略点击策略名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:策略名称、描述、所属落地监控策略组、状态、分类、监控路径、排除路径、检测规则(匹配规则、例外规则)、响应规则,详细操作请参考新增扫描策略部分。 - 复制落地监控策略:
在落地监控策略管理页面,勾选需要复制的策略,点击“复制策略”按钮,弹窗复制策略框,输入策略名称,点击“确定”即可复制与原策略信息相同的策略。复制的策略自动展开可再对其修改保存。
- 删除落地监控策略:
在落地监控策略管理页面,选择一条或者多条落地监控策略,单击“删除”按钮,弹出删除提示窗口,确定即可。
- 全局排除路径设置:
点击“全局排除路径设置”,设置所有的落地监控策略均需要排除监控的路径。排除监控的路径:客户端针对落地到这些路径下的文档不进行识别和处理。一般设置系统路径,以防系统文件被加密引起操作系统异常。
策略管理员设置:
管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。2.3.4.2 落地监控策略组
落地监控策略组按照组的方式对落地监控策略进行管理,然后以落地监控组的形式对各终端下发。从而实现对终端下发多条落地监控策略的效果。同时,不同部门不同人员文档涉密程度不同,涉密内容不同;则可按照落地监控策略组的形式,针对不同部门不同人员下发不同的策略组,从而高效识别终端文档内容。
该模块可以对策略组进行“新增”、“修改”、“删除”操作。在导航菜单中点击终端策略管理 策略组管理,进入策略组管理页面。
可以实现落地文件加密成授权文件、普通文件或者解密,解密包括安全域文件和授权文件。新增落地监控策略组: 系统中可以有多个落地监控策略组,管理控制台单击模块 “策略中心” “落地监控策略管理”,点击TAB页“落地监控策略组”,其中默认一个预设落地监控策略组。
在落地监控策略组管理页面,单击“新增策略组”按钮,进入到新增落地监控策略组页面:
输入策略组名称、描述、策略组选项,点击确定新增即可。
策略组选项: 勾选“穿透压缩包”后可以对压缩包中的文档进行落地监控识别、处理;反之,不可以对压缩包中的文档进行落地监控识别、处理。
落地监控策略列表: 新增落地监控策略组时,落地监控策略列表默认为空。(备注:“落地监控策略列表”的内容来源于“落地监控策略”,将落地监控策略设置一个所属落地监控策略组)
- 修改落地监控策略组: 在落地监控策略组管理页面,选择一条落地监控策略组点击策略名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:策略名称、描述、策略组选项(是否穿透压缩包)、调整落地监控策略优先级。
落地监控策略列表中:从上往下的策略排序:优先级从高到低。可调整策略优先级顺序,优先级高的策略终端优先进行响应。(备注:一旦匹配上优先级高的策略,将不再匹配其他策略。) - 删除落地监控策略组: 在落地监控策略组管理页面,选择一条或者多条落地监控策略组,单击“删除策略组”按钮,弹出删除提示窗口,确定即可。
备注: - 当落地监控策略组有关联策略时,不可删除,提示正在使用中;
- 当落地监控策略组(与组内是否有落地监控策略无关)已下发终端时,不可删除,提示正在使用中;
2.3.5 扫描策略管理
2.3.5.1 扫描策略
扫描客户端磁盘上的文档,对符合扫描规则的文件进行分类分级、加解密等操作,对符合条件的不同文件添加相应的分类分级属性和加密属性。
加密许可
扫描客户端磁盘上的文档,对符合扫描规则的文件进行加密或解密处理。
扫描加密策略,主要适用于历史文档的批量扫描加密,从而防止历史文档外发泄密。
扫描解密策略,解密包括安全域文件和授权文件。
有DDLP许可,无加密许可时
对文件进行分类分级处理,对应匹配中的文件打上分类分级标签属性
所有许可都有的情况,即加密和DDLP均包含时
既可以对文件加密或解密处理,也对文件分类分级处理,即对应匹配中的文件被加密同时打上标签属性。
备注:扫描能成功解密只针对文件属性:文件类型匹配、文件大小匹配、文件名匹配。
1、新增扫描策略: 系统中可以有多个扫描策略。管理控制台单击模块 “策略中心” “扫描策略管理”,点击TAB页“扫描策略”,在扫描策略管理页面,单击“新增策略”按钮,进入到新增扫描策略页面:
所属扫描策略组: 选择该条扫描策略归属的扫描策略组(备注:扫描策略以“扫描策略组”的形式赋予终端,所以需要将扫描策略归属到“扫描策略组”中。“扫描策略组”来源于“终端管理策略” “策略组管理”模块)
状态: 默认启用,点击可禁用/启用该条扫描策略,启用则生效该条策略,禁用后不再生效该条策略。
分类: 默认显示无,分类分级管理菜单中创建分类数据标签,点击分类列表就会显示出来,选择对应分类标签。
文件分类标签:分类若选择无,文件分类标签值为空。分类若选择一个值,匹配的文件分类为设置的分类名称。
文件分级标签:检测规则中对应的严重等级 和 响应规则-响应条件中的严重等级一致,且响应规则包含分类分级,对应匹配的文件被分级为严重程度对应的分级名称。
注:若响应规则-响应条件为空,即不需要满足任何条件,均可按照分类分级动作响应。
若响应规则-响应条件为匹配数,按照实际匹配数计算是否命中,命中后分类分级。
整体原则:先判断检测规则,符合后,再判断响应规则,符合响应规则条件后,对应的文件被分类分级
- 文件匹配中多个策略,且该策略包含不同分类分级响应规则,文件同时命中多个策略,分类含有多个分类名称。
- 分级名称最多只有一个,按照最高严重等级生效。
- 压缩包若命中了分类分级属性,且管理控制台-分类分级管理菜单含有分类与分级名称,右键压缩包属性有分类分级标签,分类属性值为空,只显示分级属性(上传的日志中也不显示分类属性)
- 压缩包若命中了分类分级属性,且管理控制台-分类分级管理菜单没有分级名称,右键属性没有分类分级标签(并且不上传日志)
扫描路径:: 设置客户端磁盘的扫描路径。针对扫描路径下的文档进行扫描,并对符合扫描策略规则的文档进行处理。扫描路径支持:全路径或指定路径设置,且可填写多个路径。 排除路径:: 设置客户端磁盘的扫描排除路径。针对扫描排除路径下的文档不进行扫描和处理。排除路径支持:全路径或指定路径设置,且可填写多个路径。
检测规则: 配置实现扫描规则的检测规则,包含匹配规则、例外规则,且例外规则优先级高于匹配规则。规则类型分为按照内容(关键字、正则匹配、数据库指纹匹配、文档指纹匹配、数据字典匹配、数据标识符匹配、语义模型、图章匹配);按照文件属性(根据文件类型、文件大小、文件名匹配)。鼠标点击“下一步”按钮,进入新增规则页面,选择规则类型:
响应规则: 配置实现具体的响应动作,即触发扫描规则后,对符合扫描规则的文件按照设置的响应规则进行处理。结合"策略中心"-"响应规则管理"使用,新增或修改响应规则时调用"策略中心"-"响应规则管理"中设置的响应规则。
对扫描策略可生效的响应动作为“分类分级”。
修改响应规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除响应规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
根据内容匹配有以下8种规则
(1)关键字匹配:
关键字是指根据文件内容含有关键字匹配内容后进行匹配。
其中关键字:是指根据文件内容含有关键字匹配内容后进行匹配。可以含有多个关键字,多个关键字内容以“|”分割,表示:关键字之间关系为“或”,即只要匹配任一关键字即可。
关键字对:是指根文件内容含有关键字对匹配内容后进行匹配。关键字对,就是一对关键字,中间间距多少个间距。间距包括汉字、空格、符号等,其中1个汉字、空格、符号均算1个间距。
是否区分大小写:关键字中含有英文时,启用该功能,可以严格根据内容大小写匹配。
匹配规则
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之,不存在。
- 计算所有匹配项:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。 - 计算所有匹配项且权重阈值达到[]时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾选。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。
检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之。
- 计算所有匹配项:文档中的关键字或关键字对,出现设置的所有次数(包括重复的次数)满足设置的匹配数,即匹配命中。
- 对所有唯一匹配项进行计数:文档中的关键字或关键字对,出现设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。
计算所有匹配项并仅报告至少有多少个匹配项的事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,满足设置的个数为匹配项,否则未匹配上。
匹配位置:根据内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾上。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。 删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(2)正则匹配:
正则匹配是指根据某个正则表达规则对文件进行扫描,可以含有多个正则表达式,多个正则表达式以“|”分割,表示:正则表达式规则之间关系为“或”,即只要匹配任一正则表达式规则即可。。
常用正则:
身份证:[1-9]\d{5}(18|19|20)\d{2}((0[1-9])|(1[0-2]))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx]
银行卡:(?<!\d)\d{6}\d{8,13}(?!\d)|(?<!\d)\d{6}[-. ]\d{8,13}(?!\d)
手机号:(\D|\b)(?!(17[37]0000)|(1490000))((1[358][0-9])|(14[579])|(17[013678]))-?\d{4}-?\d{4}(?=\D|\b)
Email地址:\w+([-+.]\w+)@\w+([-.]\w+).\w+([-.]\w+)
中国邮政编码:[1-9]\d{5}(?!\d)
ipv4地址:\d+.\d+.\d+.\d+
*匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设为低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 检查是否存在(不计算多个匹配项):文档中存在设置的正则,即匹配命中,存在。 反之,不存在。
- 计算所有匹配项:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:文档中的正则匹配的内容,文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,设置身份证正则,同一个身份证信息重复出现10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾选。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上正则表达式匹配规则,同时满足此处添加的规则。若同时匹配选择“正则匹配”,则上述正则表达式匹配规则与同时匹配的正则表达式匹配规则形成“与”关系,需要同时满足两个规则。
检查是否存在(不计算多个匹配项):文档中存在设置的正则,即匹配命中,存在。 反之。
- 计算所有匹配项:文档中的正则匹配的内容,出现设置的所有次数(包括重复的次数)满足设置的匹配数,即匹配命中。
- 对所有唯一匹配项进行计数:文档中的正则匹配的内容,出现设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,设置身份证正则,同一个身份证信息重复出现10次,那么计算所有唯一匹配项为1。
计算所有匹配项并仅报告至少有多少个匹配项的事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,满足设置的个数为匹配项,否则未匹配上。
匹配位置:根据内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾上。 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上正则表达式匹配规则,同时满足此处添加的规则。若同时匹配选择“正则匹配”,则上述正则表达式匹配规则与同时匹配的正则表达式匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(3)数据库指纹匹配:
又称EDM,数据库指纹来源于“源数据管理”-“数据库指纹”,一般用于检测企业数据库信息,主要用于结构化数据(各类表格)进行精确匹配。将企业或客户数据库表通过数据库指纹工具转化导入到源数据管理中,通过数据库指纹类型的扫描策略来达到管控目的。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择数据库指纹:选择所需要的数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 主要列:选择的数据库指纹制作时勾选的主要列。
- 选择列:显示数据库指纹中所有的列,其中主要列默认勾选上(置灰)且不可去掉,其他列自定义勾选,检测主要列和勾选列。
- 匹配条件:计算所有匹配项并仅报告至少有多少个匹配项的事件,且计算所有匹配项包括重复的次数。
- 匹配位置:选择内容匹配的位置,默认主题、正文、消息、文件(置灰项无应用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据库指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“数据库指纹”,则上述数据库指纹匹配规则与同时匹配的数据库指纹匹配规则形成“与”关系,需要同时满足两个规则。
匹配条件:
- 选择数据库指纹:选择其中一个数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 主要列:为选择的数据库指纹制作时勾选的主要列。
- 选择列:显示数据库指纹中所有的列,其中主要列默认勾选上(置灰)且不可去掉,其他列自定义勾选,检测主要列和勾选列,满足勾选的选择列为匹配的文件。
- 匹配条件:计算所有匹配项并仅报告至少有多少个匹配项的事件,且计算所有匹配项包括重复的次数。
匹配位置:根据内容匹配的位置,包括主题、正文、消息、文件,默认全部勾上。 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据库指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“数据库指纹”,则上述数据库指纹匹配规则与同时匹配的数据库指纹匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(4)文档指纹匹配:
文档指纹:又称IDM,文档指纹来源于“源数据管理”-“文档指纹”,一般用于检测企业文档库信息,将企业或客户文档库通过文档指纹工具转化导入到源数据管理中,根据某个文档指纹规则,对文档内容进行模糊(体现在相似度)匹配,对匹配文档指纹的文件进行扫描。
主要用于检测各种非结构化的文档与样本文档的相似度。通过系统提供的工具获取样本文档中数据的指纹信息,对待检测文档的内容进行快速查询并匹配,如果达到设置的相似度阈值,则认定该文档中的内容满足匹配条件,系统将根据策略设置采取后续动作。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 选择文档指纹:选择其中一个数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 匹配相似度:基于待发文档内容提取后,与指纹内容匹配相似度,达到设置的相似度阈值,则认为该文档敏感。
匹配条件:
检测是否存在:检测文档和指纹样本文档是否存在匹配项,有则匹配中。匹配后产生的审计事件记录的匹配数为1。
计算所有匹配项,假设文档指纹文件有1000个指纹,将检测的文档一个个的比对,匹配中10个。匹配成功成,产生的审计事件记录的匹配数为10。
故检测是否存在和计算所有匹配项,重点是为了事件审计中具体的匹配数。匹配位置:选择内容匹配的位置,默认文件(其他项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文档指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“文档指纹”,则上述文档指纹匹配规则与同时匹配的文档指纹匹配规则形成“与”关系,需要同时满足两个规则。
匹配位置:根据内容匹配的位置,默认文件(其他项置灰没有适用的场景)。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文档指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“文档指纹”,则上述文档指纹匹配规则与同时匹配的文档指纹匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(5)数据字典匹配:
数据字典来源于“源数据管理”-“数据字典”,是一组具有不同权重的关键字集合,每个关键字称为一个字典项。关键字可以根据需要定义一个正值倍数的权重。主要用于无法用简单的关键字组合来定义文档内容的场景。 如“绝密”、“秘密”关键字,但认为“秘密”权重比较轻为1,对于“绝密”关键字更加重要一些,定义绝密权重为3。实际文件中出现绝密3次,那么计算匹配项为9(次数权重),秘密出现3次,计算匹配项为3。
*匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择数据字典:选择需要管控内容相应的数据字典(来源于“源数据管理”-“数据字典”)
- 匹配条件:
检测是否存在(不计算多个匹配项):文档中存在此字典中的任意一个关键字即可命中。 计算所有匹配项:文档中的关键字,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:对文档中的关键字,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“垃圾广告-非法买卖个人信息”字典,文档中实际出现该类关键字10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择匹配的位置,默认正文、消息和文件(项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据字典匹配规则,同时满足此处添加的规则。若同时匹配选择“数据字典”,则上述字典规则与同时匹配的字典匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整
(6)数据标识符匹配:
数据标识符是将模式匹配与数据验证器相结合来进行内容检测的算法。模式类似于正则表达式,但更加有效,因为它们已经过优化,可精确匹配数据。验证器用于进行准确性检查,这种检查着重于检测范围并确保遵从性,使用数据标识符,可快速实现精确、简短格式的数据匹配。数据标识符来源于“源数据管理”-“数据标识符”,内置数据标识符包括各类银行卡、身份证、IPV4、国际移动设备识别码等。支持自定义添加数据标识符(.zip类型)
匹配规则:
条件:
- 选择数据标识符:选择需要管控内容的相应数据标识符(来源于“源数据管理”-“数据标识符”)。
- 匹配条件:
检测是否存在(不计算多个匹配项):文档中存在设置的数据标识符,即匹配命中,存在。 反之,不存在。 计算所有匹配项:文档中的数据标识符,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:对文档中的数据标识符,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“ABC Banking Corporationg Ltd-银行借记卡”数据标识符,该类银行卡实际出现10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择匹配的位置,默认正文、消息和文件(项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据标识符匹配规则,同时满足此处添加的规则。若同时匹配选择“数据标识符”,则上述文档数据标识符与同时匹配的数据标识符匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(7)语义模型匹配:
语义模型匹配模型来源于“源数据管理”-“语义模型”,一般用于对大量企业文档进行分类,将企业或客户文档库通过语义模型工具进行文档特征学习后导入到源数据管理中,通过语义模型类型的扫描策略来进行扫描。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择语义模型:选择所需模型(来源于“源数据管理”-“语义模型”)。
- 选择类别:展示制作该语义模型时的所有分类,根据需要勾选需要检测的文档类别。
- 设置阈值:基于待发文档内容提取后,与勾选的模型类别中的文档内容进行匹配,达到设置的相似度阈值,则认为该文档敏感。
- 匹配位置:选择内容匹配的位置,默认正文、消息、文件,可根据需求勾选其他匹配位置项。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上语义模型匹配规则,同时满足此处添加的规则。若同时匹配选择“语义模型”,则上述语义模型匹配规则与同时匹配的语义模型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(8)图章匹配
图章匹配模型来源于“源数据管理”-“图章检测”,内容识别支持图章检测,用户可根据设定的图章(图片)检测文档中的图章(图片)是否匹配,进行防泄漏、扫描、落地监控。将图章(图片:.jpg/.png/.bmp/.tif)制作成zip格式压缩包,导入到源数据管理中,通过图章匹配类型的扫描策略来进行扫描;与系统参数设置-识别设置-开启图章检测有关
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择图章:选择所需模型(来源于“源数据管理”-“图章检测”)。
- 匹配位置:选择内容匹配的位置,默认文件,可根据需求勾选其他匹配位置项。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上图章匹配规则,同时满足此处添加的规则。若同时匹配选择“图章匹配”,则上述图章匹配规则与同时匹配的图章匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
根据文件属性匹配有以下3种规则
(1)文件/邮件附件类型匹配:
文件/邮件附件类型匹配:是指根据文件/邮件附件的类型匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
文档类型:文档类型来源于“源数据管理”-“文档类型”,一般用于根据文档后缀进行匹配的场景,且支持类型伪装识别。如勾选了办公类文件“.doc"类型,用户将该文件后缀修改为".txt",系统仍然能识别到该文档原类型,并在泄露事件详情中高亮显示该信息。
条件:
- 选择匹配类型:页面可选择文档类型来源于“源数据管理”-“文档类型”,根据管控需求选择所需匹配类型,仅对勾选的文件类型进行监控检测。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件类型匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件类型匹配”,则上述类型匹配规则与同时匹配的类型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(2)文件/邮件附件大小匹配:
文件/邮件附件大小匹配:是指根据文件/邮件附件大小进行匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择单个文件大小:设置单个文件的范围。如图中所示,设定范围最小为10k,最大为20m,则只检测文件大小在该范围内(包含临界值)的文件,超出该范围的文件不做检测。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件大小匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述大小匹配规则与同时匹配的类型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(3)文件/邮件附件名匹配:
文件/邮件附件名匹配:是指根据文件/邮件附件的名称进行匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 文件名:设置文件名称,支持多个文件名(使用“|”隔开,逻辑为“或”),可用通配符“*”进行模糊匹配,图中所示,即管控文件名称为“test.doc”的文件或者所有后缀是“.ppt”的文件。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件名匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述名称匹配规则与同时匹配的文件大小匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
备注:
①扫描策略既包含“匹配规则”,又包含“例外规则”:优先匹配“例外规则 ”。匹配到例外规则时,则文件不处理;未匹配到例外规则并匹配到“匹配规则”,则文件按照响应规则进行处理。
②扫描策略只包含“匹配规则”:则匹配上任意一条“匹配规则”,则文件按照响应规则进行处理;未匹配上任意一条“匹配规则”,则文件不处理。
- 修改扫描策略: 在扫描策略管理页面,选择一条策略点击策略名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:策略名称、描述、所属扫描策略组、状态、扫描路径、排除路径、检测规则(匹配规则、例外规则)、响应规则,详细操作请参考新增扫描策略部分。 - 复制扫描策略: 在扫描策略管理页面,勾选需要复制的策略,点击“复制策略”按钮,弹窗复制策略框,输入策略名称,点击“确定”即可复制与原策略信息相同的策略,同时进入复制后的策略修改页面,可对策略进行修改保存。
- 扫描策略只能复制为扫描策略
- 删除扫描策略: 在扫描策略管理页面,选择一条或者多条扫描策略,单击“删除”按钮,弹出删除提示窗口,确定即可。
- 全局排除路径设置: 点击“全局排除路径设置”,设置所有的扫描策略均需要排除扫描的路径。排除扫描的路径:客户端针对这些路径不做文档扫描处理。
- 策略管理员设置: 管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
2.3.5.2 扫描策略组
扫描策略组按照组的方式对扫描策略进行管理,然后以扫描策略组的形式对各终端下发。从而实现对终端下发多条扫描策略的效果。同时,不同部门不同人员文档涉密程度不同,涉密内容不同;则可按照扫描策略组的形式,针对不同部门不同人员下发不同的策略组,从而高效识别终端文档内容。
该模块可以对扫描策略组进行“新增”、“修改”、“删除”操作。在导航菜单中点击策略中心 > 扫描策略管理 > 扫描策略组tab页,进入扫描策略组管理页面。
2.3.6 防泄漏策略管理
防泄漏策略用于终端防泄漏产品,设置响应的防泄漏策略(组)下发到终端,配合终端防泄漏配置控制,对外泄行为进行管控。
防泄漏是指通过聊天工具发送文件或消息、邮件发送文件或消息、浏览器上传文件、移动介质拷贝文件等方式将敏感数据外泄,防止终端将敏感数据或核心数据外泄进行管控。
2.3.6.1 防泄漏策略设置
防泄漏策略:防泄漏是指将客户端本地敏感或核心文件通过各种外泄途径外泄出去,对符合防泄漏检测规则的文件按照响应规则(阻止、上传文件、发送邮件通知)处理。
- 新增防泄漏策略:
系统中可以有多个防泄漏策略。管理控制台单击模块 “策略中心” “防泄漏策略管理”,点击TAB页“防泄漏策略”。
在防泄漏策略管理页面,单击“新增策略”按钮,进入到新增防泄漏策略页面:
所属防泄漏策略组: 选择该条防泄漏策略归属的防泄漏策略组(备注:防泄漏策略以“防泄漏策略组”的形式赋予终端,所以需要将防泄漏策略归属到“防泄漏策略组”中。“防泄漏策略组”来源于“策略中心” “防泄漏策略管理”中的第二个TAB“防泄漏策略组”模块)
匹配模式: 快速匹配和完全匹配。
快速匹配:执行时,按照检测规则先后顺序检测,一旦检测到文件匹配即命中按照响应处理,后续未执行的检测规则不再执行。
完全匹配:执行时,按照所有的检测规则均检测一遍,即命中第一条规则按照响应处理,命中第二、三......条仍然按照响应动作处理。 状态: 默认启用,点击可禁用/启用该条防泄漏策略,启用则生效该条策略,禁用后不生效该条策略。
检测规则: 配置实现防泄漏策略的检测规则,包含匹配规则、例外规则,且例外规则优先级高于匹配规则。规则类型分为按照内容(关键字、正则匹配、数据库指纹匹配、文档指纹匹配、数据字典匹配、数据标识符匹配、语义模型、图章匹配);按照文件属性(根据文件类型、文件大小、文件名匹配);按照终端监控目标(终端传输通道、终端应用程序);按照终端位置(在公司网络内、在公司网络外)。鼠标点击“新增”按钮,进入新增规则页面,选择规则类型:
响应规则: 配置实现终端防泄漏具体的响应动作,即触发防泄漏策略后,对符合防泄漏策略规则的文件按照设置的响应规则进行处理。结合"策略中心"-"响应规则管理"使用,新增或修改响应规则时调用"策略中心"-"响应规则管理"中设置的响应规则。
同时可以对响应规则进行调整顺序,从上到下依次执行响应动作。 修改响应规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。 删除响应规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
根据内容匹配有以下8种规则
(1)关键字匹配:
关键字是指根据文件内容含有关键字匹配内容后进行外泄管控。
其中关键字:是指根据文件内容含有关键字匹配内容后进行外泄管控。可以含有多个关键字,多个关键字内容以“|”分割,表示:关键字之间关系为“或”,即只要匹配任一关键字即可。
关键字对:是指根文件内容含有关键字对匹配内容后进行外泄管控。关键字对,就是一对关键字,中间间距多少个间距。间距包括汉字、空格、符号等,其中1个汉字、空格、符号均算1个间距。
是否区分大小写:关键字中含有英文时,启用该功能,可以严格根据内容大小写匹配。
匹配规则
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之,不存在。
- 计算所有匹配项:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到[]时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。 - 计算所有匹配项且权重阈值达到[]时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾选。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。
检查是否存在(不计算多个匹配项):文档中存在设置的关键字或关键字对,即匹配命中,存在。 反之。
- 计算所有匹配项:文档中的关键字或关键字对,出现设置的所有次数(包括重复的次数)满足设置的匹配数,即匹配命中。
- 对所有唯一匹配项进行计数:文档中的关键字或关键字对,出现设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“态度”关键字,实际出现10次,唯一项计数为1。图中设置的“效率”关键字,实际出现8次,唯一项计数为1。图中设置的关键字对未出现,那么计算所有唯一匹配项为2。
计算所有匹配项并仅报告至少有多少个匹配项的事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,满足设置的个数为匹配项,否则未匹配上。
匹配位置:根据内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾上。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上关键字规则,同时满足此处添加的规则。若同时匹配选择“关键字匹配”,则上述关键字规则与同时匹配的关键字规则形成“与”关系,需要同时满足两个关键字规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。 删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(2)正则匹配:
正则匹配是指根据某个正则表达规则对文件进行外泄管控,可以含有多个正则表达式,多个正则表达式以“|”分割,表示:正则表达式规则之间关系为“或”,即只要匹配任一正则表达式规则即可。。
常用正则:
身份证:[1-9]\d{5}(18|19|20)\d{2}((0[1-9])|(1[0-2]))(([0-2][1-9])|10|20|30|31)\d{3}[0-9Xx]
银行卡:(?<!\d)\d{6}\d{8,13}(?!\d)|(?<!\d)\d{6}[-. ]\d{8,13}(?!\d)
手机号:(\D|\b)(?!(17[37]0000)|(1490000))((1[358][0-9])|(14[579])|(17[013678]))-?\d{4}-?\d{4}(?=\D|\b)
Email地址:\w+([-+.]\w+)@\w+([-.]\w+).\w+([-.]\w+)
中国邮政编码:[1-9]\d{5}(?!\d)
ipv4地址:\d+.\d+.\d+.\d+
*匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设为低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 检查是否存在(不计算多个匹配项):文档中存在设置的正则,即匹配命中,存在。 反之,不存在。
- 计算所有匹配项:文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:文档中的正则匹配的内容,文档中的关键字或关键字对,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,设置身份证正则,同一个身份证信息重复出现10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾选。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上正则表达式匹配规则,同时满足此处添加的规则。若同时匹配选择“正则匹配”,则上述正则表达式匹配规则与同时匹配的正则表达式匹配规则形成“与”关系,需要同时满足两个规则。
检查是否存在(不计算多个匹配项):文档中存在设置的正则,即匹配命中,存在。 反之。
- 计算所有匹配项:文档中的正则匹配的内容,出现设置的所有次数(包括重复的次数)满足设置的匹配数,即匹配命中。
- 对所有唯一匹配项进行计数:文档中的正则匹配的内容,出现设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,设置身份证正则,同一个身份证信息重复出现10次,那么计算所有唯一匹配项为1。
计算所有匹配项并仅报告至少有多少个匹配项的事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,满足设置的个数为匹配项,否则未匹配上。
匹配位置:根据内容匹配的位置,包括信封、主题、正文、消息、文件,默认全部勾上。 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上正则表达式匹配规则,同时满足此处添加的规则。若同时匹配选择“正则匹配”,则上述正则表达式匹配规则与同时匹配的正则表达式匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(3)数据库指纹匹配:
又称EDM,数据库指纹来源于“源数据管理”-“数据库指纹”,一般用于检测企业数据库信息,主要用于结构化数据(各类表格)进行精确匹配。将企业或客户数据库表通过数据库指纹工具转化导入到源数据管理中,通过数据库指纹类型的防泄漏策略来达到管控目的。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级设置的指导思想:结合匹配条件设置严重等级。如匹配条件至少有2个匹配项的事项,默认为低严重等级,实际有5个事项匹配,可以设置为中,实际有10个匹配项,可以设置为高。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择数据库指纹:选择所需要的数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 主要列:选择的数据库指纹制作时勾选的主要列。
- 选择列:显示数据库指纹中所有的列,其中主要列默认勾选上(置灰)且不可去掉,其他列自定义勾选,检测主要列和勾选列。
- 匹配条件:计算所有匹配项并仅报告至少有多少个匹配项的事件,且计算所有匹配项包括重复的次数。
- 匹配位置:选择内容匹配的位置,默认主题、正文、消息、文件(置灰项无应用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据库指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“数据库指纹”,则上述数据库指纹匹配规则与同时匹配的数据库指纹匹配规则形成“与”关系,需要同时满足两个规则。
匹配条件:
- 选择数据库指纹:选择其中一个数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 主要列:为选择的数据库指纹制作时勾选的主要列。
- 选择列:显示数据库指纹中所有的列,其中主要列默认勾选上(置灰)且不可去掉,其他列自定义勾选,检测主要列和勾选列,满足勾选的选择列为匹配的文件。
- 匹配条件:计算所有匹配项并仅报告至少有多少个匹配项的事件,且计算所有匹配项包括重复的次数。
匹配位置:根据内容匹配的位置,包括主题、正文、消息、文件,默认全部勾上。 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据库指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“数据库指纹”,则上述数据库指纹匹配规则与同时匹配的数据库指纹匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(4)文档指纹匹配:
文档指纹:又称IDM,文档指纹来源于“源数据管理”-“文档指纹”,一般用于检测企业文档库信息,将企业或客户文档库通过文档指纹工具转化导入到源数据管理中,根据某个文档指纹规则,对文档内容进行模糊(体现在相似度)匹配,对匹配文档指纹的文件进行外泄管控。
主要用于检测各种非结构化的文档与样本文档的相似度。通过系统提供的工具获取样本文档中数据的指纹信息,对待检测文档的内容进行快速查询并匹配,如果达到设置的相似度阈值,则认定该文档中的内容满足匹配条件,系统将根据策略设置采取后续动作。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
匹配条件:
- 选择文档指纹:选择其中一个数据库指纹(来源于“源数据管理”-“数据库指纹”)
- 匹配相似度:基于待发文档内容提取后,与指纹内容匹配相似度,达到设置的相似度阈值,则认为该文档敏感。
匹配条件:
检测是否存在:检测文档和指纹样本文档是否存在匹配项,有则匹配中。匹配后产生的审计事件记录的匹配数为1。
计算所有匹配项,假设文档指纹文件有1000个指纹,将检测的文档一个个的比对,匹配中10个。匹配成功成,产生的审计事件记录的匹配数为10。
故检测是否存在和计算所有匹配项,重点是为了事件审计中具体的匹配数。匹配位置:选择内容匹配的位置,默认文件(其他项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文档指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“文档指纹”,则上述文档指纹匹配规则与同时匹配的文档指纹匹配规则形成“与”关系,需要同时满足两个规则。
匹配位置:根据内容匹配的位置,默认文件(其他项置灰没有适用的场景)。
同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文档指纹匹配规则,同时满足此处添加的规则。若同时匹配选择“文档指纹”,则上述文档指纹匹配规则与同时匹配的文档指纹匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(5)数据字典匹配:
数据字典来源于“源数据管理”-“数据字典”,是一组具有不同权重的关键字集合,每个关键字称为一个字典项。关键字可以根据需要定义一个正值倍数的权重。主要用于无法用简单的关键字组合来定义文档内容的场景。 如“绝密”、“秘密”关键字,但认为“秘密”权重比较轻为1,对于“绝密”关键字更加重要一些,定义绝密权重为3。实际文件中出现绝密3次,那么计算匹配项为9(次数权重),秘密出现3次,计算匹配项为3。
*匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择数据字典:选择需要管控内容相应的数据字典(来源于“源数据管理”-“数据字典”)
- 匹配条件:
检测是否存在(不计算多个匹配项):文档中存在此字典中的任意一个关键字即可命中。 计算所有匹配项:文档中的关键字,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:对文档中的关键字,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“垃圾广告-非法买卖个人信息”字典,文档中实际出现该类关键字10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择匹配的位置,默认正文、消息和文件(项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据字典匹配规则,同时满足此处添加的规则。若同时匹配选择“数据字典”,则上述字典规则与同时匹配的字典匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整
(6)数据标识符匹配:
数据标识符是将模式匹配与数据验证器相结合来进行内容检测的算法。模式类似于正则表达式,但更加有效,因为它们已经过优化,可精确匹配数据。验证器用于进行准确性检查,这种检查着重于检测范围并确保遵从性,使用数据标识符,可快速实现精确、简短格式的数据匹配。数据标识符来源于“源数据管理”-“数据标识符”,内置数据标识符包括各类银行卡、身份证、IPV4、国际移动设备识别码等。支持自定义添加数据标识符(.zip类型)
匹配规则:
条件:
- 选择数据标识符:选择需要管控内容的相应数据标识符(来源于“源数据管理”-“数据标识符”)。
- 匹配条件:
检测是否存在(不计算多个匹配项):文档中存在设置的数据标识符,即匹配命中,存在。 反之,不存在。 计算所有匹配项:文档中的数据标识符,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(包括重复的次数),即匹配命中。
对所有唯一匹配项进行计数:对文档中的数据标识符,数量满足在“计算所有匹配项且权重阈值达到多少时报告事件”中设置的次数(不包括重复的次数)。注意唯一的意思,计算时不包括重复的次数,即图中设置的“ABC Banking Corporationg Ltd-银行借记卡”数据标识符,该类银行卡实际出现10次,那么计算所有唯一匹配项为1。 - 计算所有匹配项且权重阈值达到多少时报告事件:结合计算所有匹配项、对所有唯一匹配项进行计数使用,只有满足设置的数量时才报告事件,并在泄露事件详情中显示所有匹配项数量或者唯一匹配项数量的信息。
- 匹配位置:选择匹配的位置,默认正文、消息和文件(项置灰没有适用的场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上数据标识符匹配规则,同时满足此处添加的规则。若同时匹配选择“数据标识符”,则上述文档数据标识符与同时匹配的数据标识符匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(7)语义模型匹配:
语义模型匹配模型来源于“源数据管理”-“语义模型”,一般用于对大量企业文档进行分类,将企业或客户文档库通过语义模型工具进行文档特征学习后导入到源数据管理中,通过语义模型类型的防泄漏策略来达到管控目的。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择语义模型:选择所需模型(来源于“源数据管理”-“语义模型”)。
- 选择类别:展示制作该语义模型时的所有分类,根据需要勾选需要检测的文档类别。
- 设置阈值:基于待发文档内容提取后,与勾选的模型类别中的文档内容进行匹配,达到设置的相似度阈值,则认为该文档敏感。
- 匹配位置:选择内容匹配的位置,默认正文、消息、文件,可根据需求勾选其他匹配位置项。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上语义模型匹配规则,同时满足此处添加的规则。若同时匹配选择“语义模型”,则上述语义模型匹配规则与同时匹配的语义模型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(8)图章匹配
图章匹配模型来源于“源数据管理”-“图章检测”,内容识别支持图章检测,用户可根据设定的图章(图片)检测文档中的图章(图片)是否匹配,进行防泄漏、扫描、落地监控。将图章(图片:.jpg/.png/.bmp/.tif)制作成zip格式压缩包,导入到源数据管理中,通过图章匹配类型的扫描策略来进行扫描;与系统参数设置-识别设置-开启图章检测有关
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择图章:选择所需模型(来源于“源数据管理”-“图章检测”)。
- 匹配位置:选择内容匹配的位置,默认文件,可根据需求勾选其他匹配位置项。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上图章匹配规则,同时满足此处添加的规则。若同时匹配选择“图章匹配”,则上述图章匹配规则与同时匹配的图章匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
根据文件属性匹配有以下5种规则
(1)文件/邮件附件类型匹配:
文件/邮件附件类型匹配:是指根据文件/邮件附件的类型匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
文档类型:文档类型来源于“源数据管理”-“文档类型”,一般用于根据文档后缀进行匹配的场景,且支持类型伪装识别。如勾选了办公类文件“.doc"类型,用户将该文件后缀修改为".txt",系统仍然能识别到该文档原类型,并在泄露事件详情中高亮显示该信息。
条件:
- 选择匹配类型:页面可选择文档类型来源于“源数据管理”-“文档类型”,根据管控需求选择所需匹配类型,仅对勾选的文件类型进行监控检测。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件类型匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件类型匹配”,则上述类型匹配规则与同时匹配的类型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(2)文件/邮件附件大小匹配:
文件/邮件附件大小匹配:是指根据文件/邮件附件大小进行匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 选择单个文件大小:设置单个文件的范围。如图中所示,设定范围最小为10k,最大为20m,则只检测文件大小在该范围内(包含临界值)的文件,超出该范围的文件不做检测。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件大小匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述大小匹配规则与同时匹配的类型匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(3)文件/邮件附件名匹配:
文件/邮件附件名匹配:是指根据文件/邮件附件的名称进行匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 文件名:设置文件名称,支持多个文件名(使用“|”隔开,逻辑为“或”),可用通配符“*”进行模糊匹配,图中所示,即管控文件名称为“test.doc”的文件或者所有后缀是“.ppt”的文件。
- 匹配位置:选择内容匹配的位置,默认仅文件(其他置灰项无适用场景)。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上文件名匹配规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述名称匹配规则与同时匹配的文件大小匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(4)终端监控目标匹配:
终端监控目标匹配:对终端所需要监控的目标通道进行检测监控。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 终端传输通道:根据需要勾选需监控的通道,当用户将文件移动到勾选的通道位置时,进行监控检测。
- 终端应用程序:勾选启动应用程序访问后,当应用程序访问文件或内容时进行监控。该项生效的前提是已在“终端防泄漏配置”-“应用程序配置”中配置了所需要监控的应用程序名单。如在"应用程序配置"-“监控-审计应用程序”中配置了“QQ”应用程序,一般情况下,“QQ”在访问命中防泄漏策略的敏感文档时,系统才记录事件,而勾选本项匹配规则后,系统对“QQ”访问的所有文件或内容都进行监控并记录事件。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上终端监控目标规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述终端监控目标匹配规则与同时匹配的文件大小匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
(5)终端位置匹配:
终端位置匹配:根据终端在公司网内/网外进行匹配。
匹配规则:
严重等级:系统默认4个严重等级,高中低信息。也可以自定义根据实际匹配数来定义严重等级,大于等于设为高、两者之间设为中、小于等于设置低。根据匹配条件中的匹配数适当的设置。
严重等级结合响应规则使用,即根据严重等级条件响应某种响应动作。
条件:
- 位置:根据需要勾选在公司网络内或网络外,若勾选了在公司网络外,则当用户网络不是公司网络时(即终端离线状态下)才进行监控检测。
- 同时匹配:点击“添加规则”,可同时匹配其他规则,形成“与”关系,即:需满足以上终端位置规则,同时满足此处添加的规则。若同时匹配选择“文件/邮件附件大小匹配”,则上述终端位置规则与同时匹配的文件大小匹配规则形成“与”关系,需要同时满足两个规则。
例外规则: 例外规则如匹配规则设置,不再赘述。但例外规则优先级高于匹配规则。
修改规则: 选择一条规则,点击“修改”图标,可对规则信息进行修改。
删除规则: 选择一条规则,点击“删除”图标,在弹窗中确认删除即可。
调整规则: 选择一条规则,点击“上下箭头”图标,可对规则顺序进行调整。
备注:
①防泄漏策略既包含“匹配规则”,又包含“例外规则”:优先匹配“例外规则 ”。匹配到例外规则时,则文件不处理;未匹配到例外规则并匹配到“匹配规则”,则文件按照响应规则进行处理。
②防泄漏策略只包含“匹配规则”:则匹配上任意一条“匹配规则”,则文件按照响应规则进行处理;未匹配上任意一条“匹配规则”,则文件不处理。
- 修改防泄漏策略:
在防泄漏策略管理页面,选择一条策略点击策略名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:策略名称、描述、所属防泄漏策略组、匹配模式、状态、检测规则(匹配规则、例外规则)和响应规则,详细操作请参考新增防泄漏策略部分。 - 复制防泄漏策略:
在防泄漏策略管理页面,勾选需要复制的策略,点击“复制策略”按钮,出现复制策略弹窗,输入策略名称,点击“确定”即可复制与原策略信息相同的策略,复制的策略自动展开可再对其修改保存。
- 删除防泄漏策略:
在防泄漏策略管理页面,,单击“删除”图标,弹出删除提示窗口(若策略在使用中,窗口信息会提示),点击确定即可。
- 策略管理员设置:
管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
2.3.6.2 防泄漏策略组
终端防泄漏策略组按照组的方式对防泄漏策略进行管理,然后以防泄漏组的形式对各终端下发。从而实现对终端下发多条防泄漏策略的效果。同时,不同部门不同人员文档涉密程度不同,涉密内容不同;则可按照防泄漏策略组的形式,针对不同部门不同人员下发不同的策略组,从而高效识别终端文档内容。
该模块可以对策略组进行“新增”、“修改”、“删除”操作。在管理控制台中点击“策略中心”-“防泄露策略管理”-“终端防泄漏策略组”,进入策略组管理页面。
- 新增终端防泄漏策略组: 系统中可以有多个终端防泄漏策略组,管理控制台单击 “策略中心” “防泄漏策略管理”,点击TAB页“终端防泄漏策略组”,其中默认一个预设防泄漏策略组。
在防泄漏策略组管理页面,单击“新增策略组”按钮,进入到新增防泄漏策略组页面:
输入策略组名称、描述、策略组选项,点击确定新增即可。
策略组选项: 勾选“穿透压缩包”后可以对压缩包中的文档进行防泄漏识别、处理;反之,不可以对压缩包中的文档进行防泄漏识别、处理。
防泄漏策略列表: 新增防泄漏策略组时,防泄漏策略列表默认为空。(备注:“防泄漏策略列表”的内容来源于“防泄漏策略”,将防泄漏策略设置一个所属防泄漏策略组) - 修改防泄漏策略组: 在防泄漏策略组管理页面,选择一条防泄漏策略组点击策略名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:策略名称、描述、策略组选项(是否穿透压缩包)、调整防泄漏策略优先级。
防泄漏策略列表中:从上往下的策略排序:优先级从高到低。可调整策略优先级顺序,优先级高的策略终端优先进行响应。 - 删除防泄漏策略组: 在防泄漏策略组管理页面,单击“删除”图标,弹出删除提示窗口,确定即可。
- 设为默认防泄漏策略组: 在防泄漏策略组管理页面,勾选需要复制的策略,点击“设为默认防泄漏策略组”,弹出确定提示窗口,确定即可。其中,默认防泄漏策略组只能设定一个,新注册的终端默认在“默认防泄漏策略组”中。
- 清除默认防泄漏策略组: 在防泄漏策略组管理页面,单击“清除默认防泄漏策略组”按钮,弹出删除提示窗口,确定即可。
备注: - 当防泄漏策略组有关联策略时,不可删除,提示正在使用中;
- 当防泄漏策略组(与组内是否有防泄漏策略无关)已下发终端时,不可删除,提示正在使用中;
2.3.7 响应规则管理
响应规则管理主要用于触发扫描落地监控策略、防泄漏策略,客户端执行的响应动作设置。扫描落地监控、防泄漏策略模块具有不同的响应规则可选择,不同策略可设置不同的响应规则。其中,同一条策略下若设置多条响应规则,则按从上到下的优先级依次执行。
该模块可以对下响应规则进行“新增”、“修改”、“删除”操作。在导航菜单中点击“策略中心”-“响应规则管理”,进入响应规则管理页面。
1、新增响应规则: 系统中可以有多个响应规则。管理控制台单击模块 “策略中心” “响应规则管理”。
在响应规则管理页面,单击“新增响应规则”按钮,进入到新增响应规则页面:
自定义添加响应规则的名称和描述。
类型: 目前有扫描监控落地响应规则、防泄漏响应规则响应规则二大类型响应规则,可被落地监控策略、防泄漏策略和扫描策略调用。
响应条件: 点击新增按钮可增加响应条件。不添加响应条件的情况下,外泄文档匹配策略内容即执行响应动作;添加响应条件后,外泄文档匹配策略内容且满足响应条件才执行响应动作,若外泄文档匹配策略内容但不满足响应条件,不执行响应动作,默认执行审计。
- 严重等级:系统默认4个严重等级,高、中、低、信息,此严重等级和防泄漏策略-检测规则-严重等级中,默认/添加的严重等级一致,选择“属于”时,外泄文档敏感等级满足策略中设定的严重等级时执行响应动作,选择“不属于”时,外泄文档敏感等级不满足策略中设定的严重等级时执行响应规则。
- 匹配数:是策略中所有检测规则的匹配项数量之和。逻辑如下:如某策略所有检测规则定义的匹配数和为20,文档中匹配项和数量刚好为30:当此处选择匹配数“小于”-“20”,则外泄文档匹配策略内容后只审计;此处选择匹配数“大于”-“25”,则外泄文档匹配策略内容后执行响应动作。其他逻辑同理。 上述四种响应条件可随意多项组合使用,逻辑“与”。
响应动作: 响应动作--点击“新增”按钮,添加响应规则。
- 类型选择扫描落地监控响应规则: 响应动作: 加密、解密、分类分级 备注:选择“加密”,则对文件做加密处理;选择“解密”,则对文件做解密处理。(如需执行扫描策略中的“解密”响应规则,许可必须包含DES(SDD)解密许可,才能正常使用扫描解密功能。且扫描成功解密只针对文件属性:文件类型匹配、文件大小匹配、文件名匹配);选择“分类分级”,则对文件做分类分级处理。(如需执行扫描策略中的“分类分级”响应规则,许可必须包含DDLP许可,才能正常使用分类分级功能)。 另外:响应动作里的分类分级仅做动作开关使用,具体的分类分级需在“策略中心”-“分类分级管理”中设置,并在“策略中心”-“落地扫描策略管理”中选择配置。 效果: 文档匹配落地扫描策略内容并满足响应条件,落地扫描结束后,右键点击文档属性,可查看该文档的分类分级标签信息。
其中,加密类型包括:普通密文、授权密文。
①选择“普通密文”,选择密文所属安全域。所属安全域来源于“安全策略中心” “安全域管理”。
②选择“授权密文”,选择授权密文所属安全域、所属密级。所属安全域来源于“安全策略中心” “安全域管理”。所属密级来源于“安全策略中心” “密级管理”。权限模板默认是全体人员权限模板,来源于"权限模板管理-系统模板"。
备注:选择加密类型后,执行扫描加密策略或者落地加密策略,触发策略,则将文件加密成 对应安全域的普通密文 或者 对应密级的授权密文。
备注:“响应规则管理”中的响应规则,被用于“策略中心” “扫描策略、落地监控策略”中响应规则的添加调用)
- 类型选择防泄漏策略响应规则: 包括响应条件和响应动作两部分。
响应条件 :点击新增按钮可增加响应条件。不添加响应条件的情况下,外泄文档匹配策略内容即执行响应动作;添加响应条件后,外泄文档匹配策略内容且满足响应条件才执行响应动作,若外泄文档匹配策略内容但不满足响应条件,不执行响应动作,默认执行审计。
- 严重等级:系统默认4个严重等级,高、中、低、信息,此严重等级和防泄漏策略-检测规则-严重等级中,默认/添加的严重等级一致,选择“属于”时,外泄文档敏感等级满足策略中设定的严重等级时执行响应动作,选择“不属于”时,外泄文档敏感等级不满足策略中设定的严重等级时执行响应规则。
- 终端位置:选择“属于”-“公司网络内”,外泄文档匹配策略内容且终端在公司网络内时执行响应动作;选择“属于”-“公司网络外”,外泄文档匹配策略内容且终端不在公司网络内时执行响应规则。选择“不属于”,反之。
- 终端监控目标:监控目标包括QQ、WeChat、TIM、钉钉、移动介质、打印机、网络共享、应用程序访问--来源于“终端防泄露配置”-“应用程序配置”中的设置),可勾选一项或多项,选择“属于”-“所需的监控目标”,则外泄文档匹配策略内容且目标为上述通道时执行响应动作。选择“不属于”,反之。
- 匹配数:是策略中所有检测规则的匹配项数量之和。逻辑如下:如某策略所有检测规则定义的匹配数和为20,文档中匹配项和数量刚好为30:当此处选择匹配数“小于”-“20”,则外泄文档匹配策略内容后只审计;此处选择匹配数“大于”-“25”,则外泄文档匹配策略内容后执行响应动作。其他逻辑同理。 上述四种响应条件可随意多项组合使用,逻辑“与”。
响应动作 :包括阻止、发送电子邮件通知、上传文件三种。
- 阻止 选择阻止的响应动作,出现弹窗,可根据需求勾选是否要显示终端告警弹窗,若勾选,告警弹窗内容可自定义显示内容(可选择插入一个或多个变量,点击“策略名称”、“文件名称"、“协议”、“应用程序”,相应变量会自动插入到弹框内光标定位处)。 效果: 文档匹配防泄漏策略内容并满足响应条件后,外泄时会被实时阻断,若勾选显示告警弹窗,阻断的同时会在桌面显示弹窗气泡,内容为自定义的告警信息。
- 发送电子邮件 选择发送电子邮件的响应动作,出现弹窗,可选择是否发送到部门审批管理员,可自定义收件人、抄送者、邮件主题,邮件正文(可选择插入一个或多个变量,点击“机算机名”、“策略名称”、“MAC地址”、“ip账号”、“姓名”、“策略规则”,相应变量会自动插入到弹框内光标定位处)。 效果: 文档匹配防泄漏策略内容并满足响应条件后,外泄时会及时发送电子邮件通知收件人和抄送人,若勾选发送部门审批管理员,则部门审批员也会收到该邮件通知,邮件内容为自定义的告警信息。
- 上传文件 选择上传文件的响应动作,点击即可建立该动作。 效果: 文档匹配防泄漏策略内容并满足响应条件后,外泄后在泄露事件详情中可点击“下载"原文档,便于追溯审计。(默认情况下敏感文档外协后,原文档不上传至服务器)。
注意 :
- 扫描落地监控响应规则中,一条响应规则建议只设置一条响应动作。若设置多条动作同为加密,如加密成A安全域,加密成B安全域动作。同一个文件不会被二次处理且所有文件只会被加密成同一个安全域,随机加密成A或B安全域(动作没有顺序的概念);若设置的多条动作同为解密,不影响使用,最终匹配的文件均解密;若设置的多条动作互斥即存在加密又解密,如加密成A安全域,解密动作。存在文件被加密又解密的矛盾现象,会导致结果不可预期,请不要如此设置。
2、修改响应规则: 在响应规则管理页面,选择一条响应规则,点击规则名称,进入到修改页面,修改相关参数后,点击“确定修改”即可。
修改内容包括:名称、描述、响应条件(扫描落地监控响应规则无此项)、响应动作修改。其中,类型无法修改 ,系统默认置灰。
备注:进入到响应规则修改页面,进行相应规则修改有两种方式:
(1)选中单条响应动作,点击右侧删除图标,或同时选中多条响应动作,点击上方删除按钮进行批量删除,成功删除后,再进行重新添加响应动作(添加响应规则方式:见新增响应动作步骤)
(2)直接点击 编辑 按钮,进行编辑修改响应动作。
3、删除响应规则: 在响应规则管理页面,在需要删除规则操作列上,单击“删除”图标,弹出删除提示窗口,确定即可。
备注:响应规则被落地监控策略或者扫描策略或者防泄漏策略调用时不可删除,提示正在被使用,删除失败!
2.3.7.1 各响应动作现象
- 阻止 例如防泄漏配置-监控审计应用程序,已选应用程序是“QQ”;响应动作是阻止;当在QQ发送的文件或者消息内容命中检测规则和响应规则后,会成功阻止文件或者消息通过QQ发送出去;且客户端会有告警弹窗显示。
- 发送电子邮件通知 例如收件人邮箱账号登录在“foxmail”应用程序上,响应动作是发送电子邮件通知,当命中检测规则后,则foxmail的该收件人邮箱账号会收到一封电子邮件。
- 上传文件
具体日志审计权限的用户可以查看泄漏事件。例如防泄漏配置-监控审计应用程序,已选应用程序是“QQ”;响应动作是上传文件;当在QQ发送的文件命中检测规则和响应规则后,泄漏事件的事件详情上传的文件,会有下载按钮。
2.3.8 终端防泄漏配置
该模块的配置内容是防泄漏策略的总开关,用于设置数据防泄漏的途径进行管控。
1、新增配置: 系统中可以有多个防泄漏配置。管理控制台单击模块 “策略中心”-“终端防泄漏配置” 配置名称 和 配置描述 :输入该配置名称和描述。 - 应用程序配置: 该项中的应用程序名单来自configmanager中的配置;若某一程序如果在“监控-审计应用程序”中被选择了,则不能在其他TAB页的列表中再次选择。
监控-审计应用程序: 系统会对该配置中选择的应用程序使用敏感文件/信息时进行监控审计。
点击TAB页监控-审计应用程序,在左侧“可选应用程序”中选择需要监控审计的应用程序,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序中”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需监控审计的程序名称。 监控-阻断应用程序: 系统会禁止该配置中选择的应用程序使用敏感文件/信息。 点击TAB页监控-阻断应用程序,在左侧“可选应用程序”中选择需要阻断的应用程序,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需监控阻断的程序名称。 其中:若勾选监控QQ、WeChat、TIM、钉钉对话框内的敏感信息,会对这些工具的对话框信息进行监控 白名单: 系统会对该配置中选择的应用程序使用敏感文件/信息进行放行,即不做处理。 点击TAB页白名单,在左侧“可选应用程序”中选择需要放行的应用程序,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需放行的程序名称。
黑名单: 系统会禁止该配置中选择的应用程序在终端运行。
点击TAB页黑名单,在左侧“可选应用程序”中选择需要禁用的应用程序,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需禁用的程序名称。
注:若勾选了“监控QQ、WeChat、TIM、钉钉对话框内的敏感信息”,除黑名单设置外(QQ、WeChat、TIM、钉钉程序直接将无法运行),系统都会对这些工具的 对话框内信息 进行监控。
- 设备配置: 根据需求对一些设备进行禁用。
在左侧“可选应用程序”中选择需要禁用的设备,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需禁用的设备。 - 移动介质配置:
禁止运行移动介质上的应用程序: 勾选后可禁止运行U盘或者移动硬盘上的应用程序。
禁止保存文件到移动介质: 勾选后可阻止将数据从硬盘驱动器传输到可移动介质上。 移动介质监控: 允许资源管理器保存文件到移动介质,并启用防泄漏策略进行监控,其他应用程序均不允许保存文件到移动介质。即explorer行为到优盘的文件,能够根据是否是敏感文件按照响应动作响应。非explorer写U盘操作是被禁用。 - 剪贴板配置:
勾选“启用剪贴板监控”选项后,若策略中设定监控的敏感信息被剪贴到在“已选应用程序”中的程序,将会进行管控。在左侧“可选应用程序”中选择需要管控的程序,点击中间“向右”移动图标,即可添加;在右侧“已选应用程序”选择某一应用程序,点击中间“向左”移动图标,即可移除已添加的程序。其中双层箭头图标可一次性添加/移除所有程序。搜索框可通过搜索关键字快速找到需禁用的程序。 - 网络共享配置:
勾选“监控本地文件到网络路径”后,若从本地移动、复制、拖拽到网络路径的文档内容满足策略内容,则会对其进行监控并执行相应的响应动作。 打印配置:
勾选“允许使用打印机”选项后,才可以正常使用打印机,若不勾选,系统会禁止用户使用打印机,则不许要再设置该配置的其他内容。
勾选“ 启用打印监控 ”选项后,可在“打印监控程序列表”左侧“可选软件”中选择需要管控的软件,点击中间“向右”移动图标,即可添加;在右侧“已选软件”选择某一软件,点击中间“向左”移动图标,即可移除已添加的软件。其中双层箭头图标可一次性添加/移除所有软件。搜索框可通过搜索关键字快速找到需禁用的软件。
勾选“ 启用打印水印 ”选项后,打印监控程序列表中的程序打印满足策略的敏感文件时,将会附加水印。其中,蓝色框内可预览水印文字设置效果。
水印文字设置:
点击“水印文字设置”,出现设置弹框,点击“新增”按钮,可对新增文字进行设置:
显示文字设置 点击“文字类型”右侧下拉框,可选择需要的文件类型,其中,选择“计算机名”“IP地址”“当前账号”“公司名称”“当前时间”后,系统都会自动获取到上述信息,无须再进行额外设置;选择“自定义文字”,可在“文字内容”栏添加内容,默认限制16个字符。注:同一类型不能重复添加,系统会提示错误。
点击“显示位置”:可根据需求勾选“居中”“左上”“左下”“右上”“右下”中的一个或者多个位置。注:该位置显示与“显示方式”中的选择有关。
在增加完的文字设置列表右侧点击“编辑”图标或“删除”图标可直接对该项设置进行修改或删除。
斜式水印 : 勾选该项后,水印显示方向为斜45度。
显示方式 :选择“平铺”,则无论“显示位置”选择哪个位置,“文字类型”对应的水印内容都会满屏幕显示;选择“居中”,则水印显示地方根据“显示位置”中选择的位置,进行显示;选择“拉伸”,则水印显示地方根据“显示位置”中选择的位置,进行拉伸显示;
水印文字 :可按需选择“宋体”“黑体”“仿宋”“微软雅黑”。
文字大小 :可按需选择“5磅-42磅”中的任一大小。
透明度 :可按需设置0-100的水印透明度。
选择颜色 :点击右侧框,会出现色彩选择框,色彩编号会根据鼠标光标点击处进行变化,也可以直接输入色彩编号。
URL白名单配置: 系统会对该项设置中URL进行放行处理。
输入URL后,点击“添加”按钮,添加成功的URL会在下方的列表中显示,选择其中一行,点击右侧“删除”按钮,可成功删除。
注:URL需一条条添加,支持通配符,如“10.10.1.*”代表从“10.10.1.0”-“10.10.0.255”都进行放行。
2.3.9 分类分级管理
该模块用于分类分级的定义以及管理,在扫描策略设置时调用该模块的数据。
新增分类分级: 点击左上角新增,进入新增分类分级界面。
- 选择分类时,输入分类名称,点击确定新增分类。
- 选择分级时,输入分级名称,选择该分级对应的严重程度,点击确定新增分级。
修改分类分级: 点击分类分级名称,进入修改分类分级界面。修改时不可修改分类/分级类别,分类只允许修改名称;分级可修改名称与严重程度。
删除分类分级: 点击分类分级右侧删除图标,将分类分级删除。
分类分级说明: 设置分类分级时,分类与分级的名称之间也不允许相同;一个分级对应一个严重程度,当所有的严重程度都被设置完后,新增分级时由于不能选择严重程度,不允许再新增分级。
2.4 终端管理
2.4.1终端列表
该模块是各个类型的终端信息的展示以及对终端客户端的准入控制、绑定管理、扫描策略组设置、落地监控策略组设置、防泄漏策略组设置、防泄漏配置设置、设置终端密级、设置灰度更新终端、终端客户端卸载权限。
2.4.1.1Windows终端
此模块为查看windows系统安装有加密客户端的终端信息。在菜单中依次点击“终端管理”→“终端列表”,进入终端列表页面,默认显示windows终端子页面:
1、设置显示列: 设置终端信息在列表中要显示的列。点击”选择列“,勾选需要显示的列表信息。勾选设置完成,则列表中只显示勾选的列,其他列信息不显示。
2、查询终端信息:
(1)根据不同的条件组合查询终端信息。查询条件包括计算机名、系统版本、IP地址、账号/姓名、绑定状态(已绑定、未绑定)、绑定账号、最近访问时间[调用登录接口或最后一次登录接口时状态刷新(如点击登录按钮、更新策略、关机)] 、连接状态(在线、离线 [终端被强制下线(如:挤掉线)、websocket自动检测未收到消息设置离线] )、终端状态(初始、已登录、未登录[许可到期]、未登录[禁止接入]、未登录[账号异常(账号删除)]、未登录[其他原因]、未登录[绑定关系异常]、卸载)、扫描策略组、扫描状态(未扫描、扫描中、已扫描、已暂停、下发中)、落地监控策略组、防泄漏策略组、防泄漏配置、防泄漏状态、密级、卸载权限、最近离线时间。
(2)根据部门查询终端信息,在组织结构中选择部门,只显示部门终端信息。
3、绑定管理: 在终端列表管理页面,选择一台或者多台客户端,单击 “绑定管理”按钮,显示“绑定当前用户、绑定用户、解除绑定”。
(1)批量选择终端点击“绑定当前用户”,所选终端将绑定当前登录的用户。(备注:仅绑定关系匹配的账号可登录该终端,绑定的账号只能在对应绑定的终端上登录;未做绑定的账号可登录未做绑定的终端)
弹出“绑定当前用户”窗口,点击”确定”即可绑定当前用户。设置完成之后,终端列表的绑定状态显示”已绑定”。
- 批量选择终端点击“绑定用户”,可新增、修改绑定终端的用户,可绑定多个用户。(备注:仅绑定关系匹配的账号可登录该终端,绑定的账号只能在对应绑定的终端上登录;未做绑定的账号可登录未做绑定的终端)
弹出“选择绑定人员”窗口,勾选需要绑定的人员,点击“选择人员”,再点击”完成选择”即可绑定用户。设置完成之后,终端列表的绑定状态显示”已绑定”。
(3)批量选择终端点击“解除绑定”,删除当前终端绑定的用户。弹出解除绑定设置窗口,点击”确定”即可解除绑定。设置完成之后,终端列表的绑定状态显示”未绑定”。
4、删除终端信息: 在终端列表页面,选择需要删除的终端信息,点击“删除终端”,在提示界面,确定删除即可。(备注:在线终端无法删除终端信息,离线终端可正常删除终端信息。)
5、设置接入 :客户端是否允许被接入设置。勾选需要设置接入的终端信息,点击“设置接入”按钮,如图所示:
设置准入界面选择“是”,点击确定即可。
备注:
(1)勾选“允许接入”后,即客户端允许接入,显示标志为√;勾选“不允许接入”后,即客户端不允许接入,显示标志为×。
(2)若客户端设置不允许接入,那么将不能运行所有受控程序,并且提示“加密客户端已启用准入功能,当前不允许准入”。
6、下发扫描任务: 在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“下发扫描任务”按钮,弹出”下发扫描任务“窗口。完成扫描策略组、扫描执行配置的设置,点击”确定”即可。
- 点击”扫描策略组“后的下拉框选择扫描策略组,如选择预设扫描策略组。(备注:选择的扫描策略组:来源于”终端策略管理“ ”策略组管理“中的扫描策略组。)
- 点击”扫描执行配置“后的下拉框选择扫描执行配置,配置包括:立即执行(立即执行:终端接收到扫描策略后,立即执行文档扫描处理)和其他扫描执行配置(备注:其他扫描执行配置来源于”终端管理“ ”扫描执行配置“中的配置。)
设置完成之后,该客户端对应的“扫描策略组”显示”下发扫描任务“中设置的扫描策略组。
当客户端接收到扫描策略后,客户端设置列表下所选客户端的”扫描状态”显示扫描状态(未扫描、扫描中、已扫描、已暂停、下发中);扫描完成后,显示扫描状态为“已扫描”。
7、删除扫描任务 :在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“删除扫描任务”按钮,在确定提示框中点击”确定”即可。
确定删除后,该客户端对应的“扫描策略组”显示“无”,扫描状态显示“未扫描”,客户端刷新权限后,扫描策略即不生效。
8、暂停扫描 :在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“暂停扫描”按钮,在确定提示框中点击”确定”即可。
确定暂停后,该客户端对应的“扫描状态”显示“已暂停”,客户端刷新权限后,扫描策略即不生效,扫描暂停。
9、继续扫描 :在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“继续扫描”按钮,在确定提示框中点击”确定”即可。
确定继续后,该客户端对应的“扫描状态”显示“扫描中”,客户端刷新权限后,扫描策略按照扫描执行配置进行生效。
10、设置落地监控策略组: 在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“设置落地监控策略组”按钮,弹出设置落地监控策略组窗口。设置落地监控策略组,点击”确定”即可。
- 点击”落地监控策略组“后的下拉框选择落地监控策略组,如选择预设落地监控策略组。(备注:选择的落地监控策略组:来源于”终端策略管理“ ”策略组管理“中的落地监控策略组。)
设置完成之后,该客户端对应的“落地监控策略组”显示”设置的落地策略组名称。当客户端接收到落地监控策略后,落地监控功能生效。
11、删除落地监控策略组 :在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“删除落地监控策略组”按钮,在确定提示框中点击”确定”即可。
确定删除后,该客户端对应的“落地监控策略组”显示“无”,客户端刷新权限后,落地监控策略即不生效。
12、设置防泄漏策略组:在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“设置防泄漏策略组”按钮,弹出设置防泄漏策略组窗口。设置防泄漏策略组,点击”确定”即可。
13、删除防泄漏策略组:在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“删除防泄漏策略组”按钮,在确定提示框中点击”确定”即可。
14、设置防泄漏配置:在在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“设置防泄漏配置”按钮,弹出设置防泄漏配置窗口。设置防泄漏配置,点击”确定”即可。
15、删除防泄漏配置:在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—>“删除防泄漏配置”按钮,在确定提示框中点击”确定”即可。
16、设置灰度更新: 设置终端为:灰度更新终端后,当自动更新任务的发布范围为灰度发布时,更新任务只针对设置的灰度更新终端生效。在终端列表管理页面,选择一台或者多台客户端,单击“更多设置”—> “设置灰度更新”按钮,弹出设置灰度更新窗口,是否灰度更新选择“是”,完成设置。
17、设置终端密级 :设置终端密级。终端设置密级后,低密级用户登录高密级终端,属于用户违规操作,管理员可接收到告警邮件(前提:告警设置页面有勾选用户违规告警)。在终端列表管理页面,选择一台或者多台客户端,点击“更多设置”—>““设置终端密级”按钮,弹出设置终端密级窗口(说明:终端密级选项来源于“密级管理”模块),通过点击“选择密级”后的下拉框选择密级,如选择“内部公开”,点击”确定”即可。
设置完成之后,该客户端对应的“终端密级”显示“内部公开”。
18、删除终端密级 :在终端列表设置页面,选择一台或者多台终端,点击 “更多设置”—>“设置卸载权限”按钮,在确定提示框中点击”确定”即可。
确定删除后,该客户端对应的“终端密级”显示“无”。
19、设置卸载权限 :终端上客户端是否能卸载,勾选一台或者多台终端,点击 “更多设置”—>“设置卸载权限”按钮,在设置卸载权限框中单选“是”或“否”,点击确定即可。
- 默认不允许卸载,点击“是”,终端上客户端可以被正常卸载掉。
- 从老版本升级到7001版本的服务器,由于卸载权限位置的变化,客户端原先安全策略中拥有卸载权限,升级后默认无卸载权限,需重新手动设置卸载权限。
20、包含子部门 :终端列表增加“包含子部门”选项,勾选后可显示该部门包含子部门的所有终端信息,方便对部门统一设置防泄漏策略。
21、导出终端列表信息 :在客户端设置页面,选择一台或者多台客户端,点击 “导出”—>选择“导出选中”或“导出全部”按钮即可。
- 当勾选部分终端,选择“导出选中”,可导出选择的终端信息;
- 当筛选部门或者筛选具体条件时,选择“导出全部”,则导出筛选的所有终端的信息;
- 当选中组织架构,选择“导出全部”,则导出所有的终端的信息。
2.4.1.2 MAC终端
此模块用于查看MAC终端信息。在终端列表,进入MAC终端子页面:
- 查询终端信息:(1)根据不同的条件组合查询终端信息。查询条件包括计算机名、系统版本、IP地址、账号/姓名、绑定状态(已绑定、未绑定)、绑定账号、终端版本、最近访问时间、连接状态(在线、离线)、终端状态(初始、已登录、未登录[授权到期]、未登录[禁止接入]、未登录[账号异常]、未登录[其他原因]、未登录[绑定关系异常]、卸载)、卸载权限(允许、不允许)、最近离线时间。
(2)根据部门查询终端信息,在组织结构中选择部门,只显示部门终端信息。
绑定管理、删除终端信息、设置接入、更多设置、导出 与2.4.1.1章节中相同。
2.4.1.3 linux终端
此模块用于查看安装了Linux客户端信息。在终端列表,进入linux终端子页面:
查询终端信息:(1)根据不同的条件组合查询终端信息。查询条件包括计算机名、系统版本、IP地址、账号/姓名、绑定状态(已绑定、未绑定)、绑定账号、终端版本、最近访问时间、连接状态(在线、离线)、终端状态(初始、已登录、未登录[授权到期]、未登录[禁止接入]、未登录[账号异常]、未登录[其他原因]、未登录[绑定关系异常]、卸载)、卸载权限(允许、不允许)、最近离线时间。
(2)根据部门查询终端信息,在组织结构中选择部门,只显示部门终端信息。
绑定管理、删除终端信息、设置接入、更多设置、导出与2.4.1.1章节中相同。
2.4.1.4移动终端
此模块用于查看移动终端信息。在终端列表,进入移动终端子页面:
查询终端信息:(1)根据不同的条件组合查询终端信息。查询条件包括设备名、账号/姓名、绑定状态(已绑定、未绑定)、绑定账号、设备型号、系统版本、最近访问时间、终端状态(初始、已登录、未登录[授权到期]、未登录[禁止接入]、未登录[账号异常]、未登录[其他原因]、未登录[绑定关系异常]、卸载)、终端版本。(2)根据部门查询终端信息,在组织结构中选择部门,只显示部门终端信息。
清空文件操作密码:终端设置文件操作密码后,可在此处清空密码。选择终端,点击“清空文件操作密码”,在提示界面,确定删除即可。
绑定管理、删除终端信息、导出 与2.4.1.1章节中相同。
2.4.1.5 U盘加密系统
此模块用于查看U盘加密系统终端信息。在终端列表,进入U盘加密系统子页面:
查询终端信息:(1)根据不同的条件组合查询终端信息。查询条件包括计硬件号、U盘类型、账号/姓名、绑定机器码、资源包版本、使用截止时间、制作人、制作时间;(2)根据部门查询终端信息,在组织结构中选择部门,只显示部门终端信息。
导出与2.4.1.1章节中相同。
2.4.2移动介质管理
2.4.2.1移动介质绑定用户
管理员通过移动介质管理页面对注册并绑定的移动介质进行绑定用户操作。
(1)注册并绑定的移动介质绑定用户后,接入到客户端环境下,使用绑定用户登录客户端,则按照用户安全策略实施管控;
(2)使用非绑定用户登录客户端,则计算机无法识别此移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开。
管理员进入移动介质管理页面,单选或多选移动介质,点击“设置绑定”,弹出绑定用户窗口,如图
选中要绑定的用户,点击选择人员按钮,点击完成选择按钮,确定绑定,如图
绑定完成,查看列表对应移动介质信息,绑定信息下更新为“已绑定”,点击“已绑定”,可查看对应移动介质的绑定用户,如图。
2.4.2.2移动介质删除绑定用户
管理员通过移动介质管理页面对注册并绑定且已绑定用户的移动介质进行删除绑定用户操作。
- 移动介质删除部分绑定用户:①使用剩余绑定用户,正常接入到客户端环境;②使用已删除的用户登录客户端,计算机无法识别此移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开。
- 移动介质删除全部绑定用户,为未绑定状态,接入到客户端环境下,组织结构下任一用户登录客户端,计算机均无法识别此移动介质。
管理员进入移动介质管理页面,单选或多选移动介质,点击删除绑定按钮,弹出是否确认删除,如图
点击确定删除,删除成功,查看列表对应移动介质信息,绑定信息下更新为“未绑定”
2.4.3扫描执行配置
扫描执行配置:针对智能扫描策略,设置扫描任务的扫描周期。实现对安装加密客户端的终端进行磁盘文档的定期扫描处理。
该模块可以对”扫描执行配置“进行“新增”、“修改”、“删除”操作。在导航菜单中点击终端管理 扫描执行配置,进入扫描执行配置管理页面。
1、新增扫描执行配置: 系统中可以有多个扫描执行配置。管理控制台单击模块 “终端管理” “扫描执行配置”。
在扫描执行配置管理页面,单击“新增扫描执行配置”按钮,进入到新增扫描执行配置页面:
(1)扫描时间段: 设置扫描的开始时间、结束时间。
备注:
①设置扫描时间段后,扫描策略下发后,只在该时间段内进行扫描处理;
②若当天扫描未完成,将在第二天同一时间段进行续扫描。
(2)扫描周期: 即设置扫描策略执行的间隔周期。下个扫描周期,将对磁
盘的明文进行重新扫描处理。
备注:
①扫描周期:默认为停用;
②若开启扫描周期。可按照每周或每月进行设置。每周:则可设置周一到周日;每月则可设置1号到31号。注意:若设置31号,则没有31号的月份扫描任务直接跳过,不执行。
特别说明:”扫描执行配置”用于”终端列表“中下发扫描任务时,进行扫描执行配置的调用。(可参照下图)
2、修改扫描执行配置: 在扫描执行配置页面,选择一条扫描执行配置,点击配置名称,进入到修改页面,修改相关参数后,点击“确认”即可。
修改内容包括:配置名称、描述、扫描时间段、扫描周期。
3、删除扫描执行配置: 在扫描执行配置管理页面,选择一条或者多条扫描执行配置,单击“删除扫描执行配置”按钮,弹出删除提示窗口,确定即可。
备注:当扫描执行配置未被调用时,可正常删除。一旦被调用,则不可删除。
2.4.4 终端策略同步状态
终端策略同步状态:监控防泄漏策略组、防泄漏配置、源数据是否正常下发至终端。可查看终端防泄漏策略组合终端防泄漏配置是否正常运行。 选择左侧阻止架构树,点击相应部门查看部门下终端策略同步状态。 筛选条件中,点击“计算机名”、“系统版本”、“IP地址”、“姓名”、“账号”,在输入框中输入关键字,进行相应条件下的模糊匹配查询。 终端上的防泄漏策略组、防泄漏配置、源数据(数据标识符、数据库指纹、文档指纹、数据字典、文档类型、语义模型)与管理平台中的一致时,对应的状态显示为“已同步”; 当终端上的防泄漏策略组、防泄漏配置、源数据(数据标识符、数据库指纹、文档指纹、数据字典、文档类型、语义模型)与管理平台中的不一致时,对应的状态显示为“未同步”;导致未同步的原因可能有终端离线、策略下发失败等,可通过登录终端账号、刷新策略来从服务器获取最新的终端策略状态
2.5 源数据管理
源数据管理用于终端落地产品,与策略中心-防泄漏策略管理联动使用。包含数据标识符、数据库指纹、文档指纹、数据字典、文档类型、语义模型和图章检测。
数据标识符(DataIdentifier)通过预置大量常用的正则表达式以及相应的校验脚本,可以大大加快DLP的部署;
数据库指纹比对 (也称精确数据比对,Exact Data Matching, EDM)
文档指纹比对 (Indexed Document Matching, IDM)
数据字典是关键字的一种组合形式,数据字典内置了很多已知的关键字及权重,DLP引擎可以通过对多个关键字的检测和权重计算,判断出待检测内容是否包含特定敏感信息;
文档类型检测主要是对文档的类型,文档的类型的检测是基于文件格式进行检测,不是简单的基于后缀名检测,对于修改后缀名的场景,文件类型检测可以准确的检测出被检测文件的类型,目前支持多种标准文件类型,并且可以通过自定义特征,去识别特定文件格式的文档;
语义模型 (Semantic Model,SM) 对文档集进行聚类分类后来检测目标文档和语义模型的相似度,来判断目标文件是否和聚类中的分类匹配,达到按照分类进行对文档的检测。
图章检测 内容识别支持图章检测,用户可根据设定的图章(图片)检测文档中的图章(图片)是否匹配,进行防泄漏、扫描、落地监控。
EDM 通常用于保护结构化数据,例如客户或员工的数据库记录。IDM和SM 用于保护非结构化的数据,例如 Microsoft Word 或 PowerPoint 文档。对于 EDM、IDM、SM 而言,敏感数据会先由企业标识出来,然后再由DLP工具提取特征,以进行精准的持续检测,一般有以下三个过程:
- 文档内容提取
- 根据不同的检测方式,采用不同的算法(人工智能),对内容进行处理,生成指纹或模型
- 使用不可逆的HASH数据,避免原始样本数据的泄露。
2.5.1 数据标识符
数据标识符通过预置大量常用的正则表达式以及相应的校验脚本,可以大大加快DLP的部署;
系统中初始化存在各银行数据标识符。此数据标识符被策略中心-落地策略选择类型时调用,根据设置的数据标识符进行匹配敏感文件。
导入数据标识符
非初始化熟初始化的数据可以自定义导入,点击导入数据标识符,添加zip文件。
备注:zipfile包括TdlpDI.json,json中包括匹配数据的正则表达式以及校验脚本文件,来达到检测敏感文件的目的。
2.5.2 数据库指纹
也称精确数据比对,Exact Data Matching, EDM,EDM 通常用于保护结构化数据,例如客户或员工的个人信息数据库记录。
导入数据库指纹
点击导入数据库指纹,可以导入数据库指纹到服务器,在防泄漏策略使用到数据库指纹匹配时,将从此处调用源数据。
制作数据库指纹: 点击下载工具,下载EDM制作工具。
点击EDMTools.exe进入数据库指纹工具,点击选择源文件-浏览,选择需要制作数据库指纹的文件(要求格式为.CSV,UTF-8编码);选中文件后,解析出列项后选择主列并设置主列的正则表达式,主列的作用是在检索的时候优先按照正则检索主列,提高检索速度;点击选择保存路径-浏览,选择保存的路径,点击生成指纹完成制作
2.5.3 文档指纹
Indexed Document Matching, IDM。通常用于保护非结构化数据,例如各类合同文档、论文等文件。
导入文档指纹
点击导入文档指纹,可以导入文档指纹到服务器,在防泄漏策略使用到文档指纹匹配时,将从此处调用源数据。
制作文档指纹: 点击下载工具,下载IDM制作工具。
解压IDMTool.zip,进入IDMTool目录下,点击IDMTool.exe,进入文档指纹制作界面。
选择需要制作成文档指纹的文件夹(将解析改文件夹下所有文件),选择保存路径,点击生成指纹完成制作。选择保存路径时不要选择制作文档指纹文件夹的路径,否则将生成一个制作失败的.db指纹。
使用较小的文件制作文档指纹会导致识别度降低,建议使用大文件制作文档指纹(至少含有64字符的文件)
制作文档指纹的文件中如果包含有相同的文件,则选择其中一个进行指纹提取,其余的文件显示制作失败。
不建议使用压缩文件制作文档指纹,可能导致制作失败。
制作文档指纹的文件中如果包含有空文件时,空文件将显示制作失败。
所有制作失败的文件都不影响改文档指纹的成功制作,只是将制作失败的文件从文档指纹中去除。
2.5.4 数据字典
是关键字的一种组合形式,数据字典内置了很多已知的关键字及权重,防泄漏引擎可以通过对多个关键字的检测和权重计算,判断出待检测内容是否包含特定敏感信息; 新增/修改分类: 点击新增分类/点击已有类别右侧的修改按钮,弹出新增/修改分类弹窗,填写分类名称、分类描述后点击确定,完成新增/修改分类。 添加字典: 点击添加字典,弹出添加字典弹窗,输入字典名称、点击字典内容中的添加按钮添加关键字与权重,可重复添加。选择分类,输入描述。点击确定后新增字典成功。 导入字典: 点击导入字典,在弹框中选择导入的字典(.zip文件)进行导入。 导出字典: 点击导出字典,可选择导出全部字典和导出选中字典。 其他操作: 点击字典右侧的修改图标可修改字典分类。 点击字典分类右侧删除可删除字典分类,如果该分类下有数据字典存在时则不允许删除。 点击非内置字典右侧的导出图标可导出字典;点击非内置字典右侧的删除图标可删除字典。
- 内置字典不可导出,不可删除。
2.5.5 文档类型
检测主要是对文档的类型,文档的类型的检测是基于文件格式进行检测,不是简单的基于后缀名检测,对于修改后缀名的场景,文件类型检测可以准确的检测出被检测文件的类型,目前支持多种标准文件类型,并且可以通过自定义特征,去识别特定文件格式的文档。 添加/修改分类: 点击添加分类/点击已有类别右侧的修改按钮,弹出新增/修改分类弹窗,填写分类名称、分类描述后点击确定,完成新增/修改分类。 添加文档类型: 点击文档类型,弹出添加文档类型弹窗,输入名称、点击特征中的添加按钮添加特征值和偏移量,可重复添加。选择分类,输入文档类后缀(例如docx,注意不需要点,不是.docx),输入描述。点击确定后新增文档类型成功。 特征信息可以防止修改后缀来逃避检测的文件泄漏,如果不输入特征信息只有文件后缀,则按照文件后缀来检测文件类型。 导入文件类型: 点击导入文件类型,在弹框中选择导入的文件(.zip文件)进行导入。 导出字典: 点击导出文档类型,可选择导出全部文档类型和导出选中的文档类型。 其他操作: 点击文档类型右侧的修改图标可修改字典分类。 点击文档类型分类右侧删除可删除文档类型分类,如果该分类下有文档类型存在时则不允许删除。 点击非内置文档类型右侧的导出图标可导出文档类型;点击非内置文档类型右侧的删除图标可删除文档类型。
- 内置文档类型不可导出,不可删除。
2.5.6语义模型
对文档集进行聚类分类后来检测目标文档和语义模型的相似度,来判断目标文件是否和聚类中的分类匹配,达到按照分类进行对文档的检测。
导入语义模型: 点击导入语义模型,输入名称、选择语义模型,点击确定,把语义模型导入到源数据下。
制作语义模型: 点击下载工具,下载语义模型制作工具。 解压semanticTool.zip,进入semanticTool目录下,点击semanticTool.exe,进入语义模型工具。
选择文档集: 选择未分类文档集制作语义模型:点击路径,选择一个文件夹,会将文件夹下所有文件导入到左侧列表中形成一个分类,中间显示单个选中文件的正文。 选择已分类文档集制作语义模型:点击路径,选择一个文件夹,会将文件夹下所有文件导入到左侧列表中形成多个分类,分类按照第一个子文件夹的名称命名,中间显示单个选中文件的正文。
自动聚类: 将选择的未分类文档集进行聚类,聚类完成后将生成多个分类。已分类文档集不需要自动聚类。
手动操作: 对聚类完成的文档可进行手动修改达到预期效果。
- 修改类别名称:右击类别,选择重命名,可修改类别名称
- 新增类别:右击类别,选择新增类别,可新增类别
- 删除类别:右击类别,选择删除类别,可删除类别
- 合并类别:右击类别,选择合并类别,选择合并至的类别,将该类别与其合并。
- 移动文件:右击某个分类下的文件,右击选择移动文件,选择需要移动至的类别下,将文件移动到该类别下。
- 删除文件:右击某个分类下的文件,右击删除文件,将文件从该分类下删除。
- 加载:点击加载,可将制作好保存的json文件加载到分类信息中
- 保存:点击保存,可将该聚类保存为json文件,可供其他模型调用
参数设置: 根据聚类的需要可以修改聚类设置,点击右侧设置按钮,修改相关参数。
- 聚类数量:设置文档集聚类后的分类数量,选择为-1时由系统自动决定
- 关键词数量:设置显示最高识别的关键词的数量,默认为50
- 自验证阈值:设置对模型文件自验证的匹配阈值
生成关键字: 当分类内容进行人为修改后,点击生成关键字后,可更新右侧关键字以及权重列表。
生成模型: 当聚类分类完成之后,点击生成模型,选择保存路径,将把该聚类分类信息生成可识别的.zip语义模型文件,用于源数据上传。
自验证: 聚类分类完成后,点击自验证,在左侧列表中显示分类下各个文件和该分类的匹配程度,其中标红的文件为未达到自验证匹配阈值的文件。
验证其他模型: 该功能用于比对某文件在语义模型识别下的匹配程度。点击验证其他模型,选择需要使用的语义模型。 选择完成后,点击验证文件/验证文件夹,选择需要进行匹配的文件或者文件集,将用选择的语义模型进行验证匹配度。
2.5.7图章检测
内容识别支持图章检测,用户可根据设定的图章(图片)检测文档中的图章(图片)是否匹配,进行防泄漏、扫描、落地监控。 导入图章: 将图片(.jpg/.png/.bmp/.tif)制作成zip格式的压缩包,点击导入图章-选择该zip文件,点击确定,进行新增导入。
生效相关: 图章识别增加识别开关控制,需要web页面开启图章检测(默认不开启)
使用相关: 图章检测显示项为图章名称、文件名称;操作中,修改可以修改图章名称和文件,不可以删除正在使用的图章
2.6工作流审批
2.6.1我的流程
我的流程包括模块:待办事宜、发起流程、我的请求、已办事宜、我的接收、草稿箱。
2.6.1.1待办事宜
待办事宜记录了登录用户所有未处理的审批流程。用户根据需要处理审批流程,或者对流程信息进行筛选查询后进行审批操作。进入“我的流程”→“待办事宜”页面,显示了所有未处理审批流程如下图所示:
备注:
流程中的发起人被删除、会签的某个审批人被删除、非会签审批人全部被删除,所有接收人或者发起人指的所有接收人、审批人指定的所有接收人全部被删除,则该流程进入异常。该流程主题中显示告警图标,当前步骤为流程异常的那一步。同时,右侧出现“删除”按钮,可删除该记录。
1、当流程异常时,点击异常流程主题,进入流程详情页面:
①若发起人被删除,则在流程主题处显示告警图标,并写明原因:发起人被删除!
②若部分会签审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
③若非会签所有审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
④若接收人被删除,则在流程主题处显示告警图标,并写明原因:接收人被删除!
2、选择正常待审批的流程,点击流程主题,进入流程详情页面:
备注:
(1)若管理员开启“流程审批预览”功能,则流程审批的“待办事宜”和”已办事宜”点击“预览”按钮,可以图片的方式预览审批文件,并添加水印(水印默认显示公司名称、当前账号、当前时间,水印显示方式默认为斜式平铺),用于拍照、录屏的泄密追溯。若取消“流程审批开启预览”的功能,则流程审批中“待办事宜”、“已办事宜”不显示预览按钮。
(2)若管理员开启“流程审批禁止下载文件”功能,则流程审批中“我的请求”、“待办事宜”、“已办事宜”(待处理和已处理)中均不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
(3)若管理员开启“邮件通知审批人”,有待审批人审批的流程时,会邮件提示审批人。
(4)若流程模板中启动快速审批,所有文件均符合速审批条件的,流程直接审批通过(归档),不在审批人待办事宜中。
审批人进行审批:
点击“批准”,输入审批审批意见(审批意见:必填项),完成当前步骤的流程审批,按照流程走向进入下一步骤审批(若无下一步骤,流程归档)。
点击"提前完成”(提前完成取决于审批模板是否设置提前完成项,若未设置则不显示该按钮),在流程提前结束界面,输入审批审批意见(审批意见:必填项),提前结束流程,后续步骤审批人不会再收到审批消息,不需再审批,直接归档。
点击"驳回”,出现驳回弹窗,若含有多个审批步骤,选择具体驳回到第几步骤,并输入驳回意见(审批意见:必填项),点击“确定”完成审批。
驳回到某一步骤的审批人会再次收到审批提醒。
3、选择任一类型的审批流程,如"文件解密审批"的流程,点击流程主题,进入流程详情页面:
待办事宜流程详情界面--“待处理文件”:符合“上传文件过滤”规则的文件,并通过客户端右键选中文件发起的解密审批文件不上传至服务器,并显示“文件无需上传”,“下载”按钮和“预览”按钮不显示。
2.6.1.2发起流程
该子模块显示当前登录用户所有可使用的审批流程模板,包含 “文件解密审批”、“文件外发审批”、“邮件解密审批”、“文件安全域调整审批”、“离网补时审批”“授权文件制作审批”、“授权文件修改审批”、“授权文件权限申请”申请。进入发起流程页面如下图所示,此处的审批模板需要管理员在流程模板管理中进行创建。
特别说明:起草申请界面通过点击模板名称打开该模板的起草申请页面,或客户端上右键文档审批选中审批模板链接可以打开该模板的起草申请界面。起草申请界面中需要正确填写和添加审批数据后,点击“发起”就成功发起审批流程到审批人。
不同的审批类型起草界面不同、输入的参数也不相同,下面详细说明,各类型审批中重复的数据不做重复说明。
2.6.1.2.1文件发送审批
客户端用户在发送敏感文件被拦截时,想要继续发送这个敏感文件,可通过文件发送审批完成。通过流程后的敏感文件可以正常发送,可设置允许发送的次数和限制可发送的时间。
选择审批模板后,选择审批模板后,直接进入审批系统发起流程页面,申请人为当前登录客户端账号,输入流程主题、选择原因、申请原因、添加文件、输入限制发送次数和限制发送时间后,点击“发起”,如下图所示:
申请人 :此项默认为当前发起审批用户的姓名[账号]。
流程主题: 填写后主要给审批人查看该条流程的主题内容,无格式限制,也可在申请查询中查看到。
选择原因: 下拉框数据来源于配置管理-原因字典,审批原因是开启状态,即可在审批中显示。
申请原因: 填写后主要给审批人查看申请此项审批的原因,无格式限制,也可在申请查询中查看到。
待发送文件 :在审批文件列表中显示所有已上传添加的待审批文件,并显示文件大小和MD5码。由web点击“添加文件”按钮添加的文件均上传至服务器,通过客户端右键选中文件发起审批并符合“上传文件过滤”规则的文件,不上传至服务器,并显示“文件无需上传”。
限制发送次数:填写后,待发送的文件将有发送次数限制。超过发送次数后的文件将不再默认放行。
限制发送时间:选择日期后,待发送文件只在选定的日期内发送放行,不在选中日期内的时间段发送文件将按照防泄漏策略组设置进行处理。
添加文档水印:勾选添加文档水印,只支持doc,docx.xls,xlsx,ppt,pptx,pdf格式的文件,查看已处理的文件,有文档水印显示。
文件上传方法:
①点击“添加文件”,在弹出的加载文件界面,选择需要发送的文件(可以上传多个文件)。“文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批“文件上传方法相同。
②客户端右键选中文件发起审批,并自动上传文件。文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批“文件上传方法相同。
③客户端右键选中文件发起审批,并符合“上传文件过滤”规则的文件,针对“文件发送审批”无需上传文件。
审批步骤: 显示当前审批模板走完审批需要执行的审批步骤,及每个步骤中的审批人信息。当审批步骤设置“审批人可选”时,这里可以选择一个或多个审批人。
发起: 正确添加所有必需的数据后,点击发送可以发起审批,当审批文件比较大时会显示发起进度条,此时可以点击取消按钮,取消审批的发起操作。
保存草稿: 点击“保存草稿”,可保存到草稿箱,流程可在我的草稿中显示。
2.6.1.2.2文件解密审批
客户端用户对某一个或多个文件普通密文或授权密文无查看或解密权限时,想查看或解密该密文时,可通过解密审批流程完成。通过解密审批生成解密后的明文,任何人都可以正常查看。
选择审批模板后,直接进入审批系统发起流程页面,申请人为当前登录客户端账号,输入流程主题、选择原因、申请原因、添加文件后,点击“发起”,如下图所示:
申请人 :此项默认为当前发起审批用户的姓名[账号]。
流程主题: 填写后主要给审批人查看该条流程的主题内容,无格式限制,也可在申请查询中查看到。
选择原因: 下拉框数据来源于配置管理-原因字典,审批原因是开启状态,即可在审批中显示。
申请原因: 填写后主要给审批人查看申请此项审批的原因,无格式限制,也可在申请查询中查看到。
待发送文件 :在审批文件列表中显示所有已上传添加的待审批文件,并显示文件大小。由web点击“添加文件”按钮添加的文件均上传至服务器,通过客户端右键选中文件发起审批并符合“上传文件过滤”规则的文件,不上传至服务器,并显示“文件无需上传”。
文件上传方法:
①点击“添加文件”,在弹出的加载文件界面,选择需要解密的文件(可以上传多个文件)。“文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批“文件上传方法相同。
②客户端右键选中文件发起审批,并自动上传文件。文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批“文件上传方法相同。
③客户端右键选中文件发起审批,并符合“上传文件过滤”规则的文件,针对“文件解密审批”无需上传文件。
审批步骤: 显示当前审批模板走完审批需要执行的审批步骤,及每个步骤中的审批人信息。当审批步骤设置“审批人可选”时,这里可以选择一个或多个审批人。
发起: 正确添加所有必需的数据后,点击发送可以发起审批,当审批文件比较大时会显示发起进度条,此时可以点击取消按钮,取消审批的发起操作。
保存草稿: 点击“保存草稿”,可保存到草稿箱,流程可在我的草稿中显示。
备注: 使用文件发送审批,必须要有tdlp许可,安装incident、MongoDB模块。没有tdlp许可是不能新建文件发送审批;不安装incident、MongoDB,就不能使用文件发送审批。
2.6.1.2.3文件外发审批
当普通密文或授权密文需要给政企事业单位外部人员查看,且同时又无客户端外发权限时,可通过文件外发审批来完成。点击外发审批流程名称,进入发起流程页面:
密码验证: 勾选该项,设置密码后,该审批流程生成的外发包文件需密码验证才可以打开;不勾选时使用外发文件不需要密码校验。(备注:“密码验证”和“外协人员校验“只能选其一)
设置外协人员: 勾选该项,设置需绑定的外协人员,该审批流程生成的外发包文件需外协人员账号密码校验通过后才可以打开;不勾选时使用外发文件不需要外协人员校验。(备注:“密码验证”和“外协人员校验”只能选其一)
限制打开次数: 输入外发文件打开次数,0表示不限制打开次数,数字限定0-9999
限制打开时间: 不勾选时,该外发包打开时间不受限制。勾选时,可以选择需要的打开时间区间。
只读:不勾选时,生成的外发包文件使用时可对外发文件进行编辑保存。勾选“只读”权限,生成的外发包文件使用时只能查看该外发文件,无法对外发文件进行编辑操作。
允许打印外发文件: 不勾选时,生成的外发包文件使用时无法进行打印操作。勾选时,可以对外发文件进行打印操作。
水印设置: 当configmanager登录控制台,手动添加SetOutGoingWaterMark开关并启用后,显示水印设置勾选项:公司名称、IP地址、计算机名、当前时间、当前账号,勾选后,审批通过的外发文件显示该水印。开关禁用或者没有此开关,不显示水印设置勾选项。
待外发文件: 显示所有的待外发审批的文件,审批成功时将所有的外发文件添加到一个外发压缩包中。在我的接收中可以进行下载此外发包。
2.6.1.2.4邮件解密审批
邮件解密审批与文件解密审批区别在于邮件审批流程处理完可以把解密后的明文发送到指定邮箱。邮件解密审批和文件解密审批均可处理普通密文和授权密文。
注:起草邮件审批时,需要先在个人信息设置加正确的邮箱参数。如未添加邮箱数据进入邮件审批起草申请界面时会跳出提示,且无法进行起草申请。在个人信息设置中正确添加邮箱信息后,方可进入邮件审批的起草界面。
点击邮件解密审批模板名称,进入发起流页面如下图:
收件人: 填写需要发送邮件的接收邮箱地址。
添加抄送: 点击添加抄送,弹窗抄送地址界面
联系人:点击联系人可选择“我的账号”—“联系人设置”中添加的联系人
邮件主题: 发送邮件的主题。
邮件正文: 邮件正文内容。
待发送文件:邮件的附件即添加上传需要解密的密文,邮件审批成功后接收者邮件的附件是解密后的明文。
备注:邮件解密审批,附件限制20M大小,若是超过20M,将收不到邮件或者收到的邮件不解密等等情况出现。
2.6.1.2.5调整文件安全域审批
客户端无调整文件安全域的用户可通过安全域审批来完成。点击文件安全域调整审批模板名称,进入发起流页面如下图:
调整安全域为: 选择文件需要转换成的安全域(备注:可调整的安全域---为该流程模板中已经“设定好的安全域范围”)。
待发送文件: 待调整安全域审批的加密文件。
2.6.1.2.6离网补时审批
客户端用户离网时长快耗尽,还需继续离网时,可通过离网补时审批流程来完成。通过离网补时审批得到一个补时授权码,延长离网时长。
获取补时申请码:在离网的客户端电脑上右键客户端图标,由“离网补时”进入离网补时界面,输入补时时长,点击“生成申请码”,自动生成补时申请码,如下图所示:
进入发起流程页面,选择“离网补时审批模板”,进入起草流程页面,如下图所示:
在离网补时管理界面复制申请码到申请页面,或自动获取到补时时长、账号、设备信息。点击“发起”即可。
流程审批完成后,申请人在我的接收页面可查看流程信息,进入流程详情页面获得补时码,如下图所示:
复制补时码到离网补时管理界面,点击“导入”,完成补时操作。
补时成功后,点击客户端图标,可看到补时信息。
2.6.1.1.7授权文件制作审批
授权文件制作审批是文档作者将终端非授权文件(明文、普通密文)通过审批方式转换成授权文件。
在发起流程页面通过点击授权文件制作审批流程模板进入起草申请页面,或在客户端环境右键“发起流程“选择授权文件制作审批流程模板进入起草申请界面。进入授权文件制作审批起草流程页面,申请人为当前登录账号,如下图所示:
待发送文件: 上传单个或多个文件(明文、普通密文)制作为授权文件。但不允许上传压缩包文件(压缩包文件不支持制作为授权文件)
设定文件密级: 设置授权文件密级,显示密级低于或等于当前登录账号密级列表。审批制作的授权文件密级为此处设定的文件密级。
保密期限: 设置授权文件保密期限。保密期限默认当前选择密级对应的最高保密期限,输入范围不得高于当前默认值。
选择模板: 便于快速设置知悉范围,可以选择个人模板/系统模板。若存在模板选择模板后快速设置知悉范围。若无可以选择无即不使用模板中的范围,知悉范围为空,然后通过添加部门或人员的方式手动添加。
设置知悉范围: 用以设置使用授权文件用户,设置的知悉范围包括部门和人员,部门是所有组织架构树、人员是所有组织架构中的所有人员。
添加部门: 通过添加部门选择器设置知悉范围,加载系统中存在的所有部门,已选部门为知悉范围。后续在部门该部门中增加子部门或人员,均会在知悉范围内。
添加人员: 通过人员选择器设置授权文件知悉范围。点击"添加人员”,进入选择人员界面,显示整个系统组织架构,可选用户范围为所有人员,如下图所示:
选择用户后,点击"完成选择”,添加的人员显示在知悉范围列表,显示用户所属密级信息。
备注:授权文件知悉范围到人员和范围,若部门与人员重叠,优先到个人,按照个人的权限生效。
用户权限设置: 添加的用户默认只有只读权限。文档作者可给用户设置不同的使用权限,如编辑、打印、内容复制、分发、完全控制等。若同时选择了只读、编辑权限,按照编辑生效。
设置使用次数: 文档作者可设置添加用户使用授权文件的次数。勾选用户,点击"设置使用次数”,进入设置次数页面:
选择"无限制”,用户使用授权文件无次数限制。
选择“设置使用次数”,输入次数,用户超过使用次数,无法再打开、使用授权文件。
备注:不可以对部门设置使用次数。
设置使用期限: 文档作者设置添加部门或用户使用授权文件的期限。勾选部门或用户,点击“设置使用期限",进入设置使用次数页面:
选择“无限制”,用户使用授权文件无期限限制;
选择“限制使用期限”,通过时间控件设置使用期限,用户只能在有效时间段内使用授权文件。
删除: 在知悉范围用户和部门列表中勾选用户或部门,点击“删除”,可取消用户或部门使用授权文件权限。
在发起流程页面,输入流程主题、申请原因、添加待处理文件、设定文件密级、保密期限、知悉范围信息后,点击“发起”,授权文件制作审批发起成功,流程流转至审批人待办事宜列表。
2.6.1.1.8授权文件修改审批
授权文件作者或对该文件具有分发权限,可以通过授权文件修改审批修改授权文件密级、保密期限、知悉范围或知悉范围权限。
在发起流程页面通过点击授权文件修改审批流程模板进入起草申请页面,或在客户端环境右键“发起流程“选择授权文件修改审批流程模板进入起草申请界面。进入授权文件修改审批起草流程页面,申请人为当前登录账号,如下图所示:
待处理文件: 只能上传一个授权文件,且当前登录用户为授权文件作者或发起者对该文件具有分发权限,若非不满足此条件页面显示。
备注:
(1)上传文件为非授权文件时不能上传。
(2)当前登录账号非授权文件作者或当前账号对该授权文件不具有分发权限时提示报错,如上图第一个文件。
待处理文件上传成功后,自动获取授权文件密级、保密期限、知悉范围并正确显示在发起流程页面。
(3) 选择模板后,知悉范围切换为模板设置值。
在发起流程页面修改文件密级、保密期限、选择模板或知悉范围权限后,点击“发起”,授权文件修改审批流程发起成功,流程流转至审批人待办事宜列表。
备注:文件密级、保密期限、选择模板、知悉范围及权限设置操作与发起授权文件制作审批时一致,此处不再做介绍。
2.6.1.1.9授权文件权限申请审批
用户无授权文件某些操作权限时,通过授权文件权限申请审批流程获取授权文件对应使用权限。
在发起流程页面通过点击授权文件权限申请审批流程模板进入起草申请页面,或在客户端环境“发起流程“选择授权文件权限申请审批流程模板进入起草申请界面。进入授权文件权限申请审批起草流程页面,申请人为当前登录账号,如下图所示:
待发送文件: 只能上传一个授权文件,且当前登录账号密级必须高于或等于授权文件密级。
待处理文件上传成功后,自动获取授权文件密级、保密期限、文件安全域信息并正确显示在发起流程页面;自动获取当前登录用户对授权文件的使用权限、打开次数、使用期限信息。
申请权限: 申请对授权文件的使用权限。其中只读、编辑权限不可同时申请,申请完全控制权限,默认勾选编辑、打印、内容复制、分发权限。
打开次数: 若当前登录用户打开授权文件次数被限制,上传授权文件后,自动获取限制打开次数信息,勾选“设置打开次数”,显示使用次数信息。若当前登录用户打开授权文件次数未限制,上传授权文件后,勾选“无限制”。
使用期限: 若当前登录用户使用授权文件期限被限制,上传授权文件后,自动获取限制时间段信息,勾选“限制使用期限”,显示有效时间段信息。若当前登录用户使用授权文件期限未被限制,上传授权文件后,勾选“无限制”。
在发起流程页面,正确输入流程主题,上传授权文件、申请使用权限、打开次数、使用期限信息后,点击“发起”,授权文件权限申请审批流程发起成功,流程流转至审批人待办事宜列表。
2.6.1.3我的请求
我的请求记录了当前登录用户发起的流程信息,并可查询发起的流程信息。进入我的请求页面,如下图所示:
可根据流程主题、模版类型、模版名称、申请时间、当前步骤筛选申请结果。
点击流程主题,可查看流程详情,并可下载待处理文件。
备注:
- 流程中的发起人被删除、会签的某个审批人被删除、非会签审批人全部被删除,所有接收人或者发起人指的所有接收人、审批人指定的所有接收人全部被删除,则该流程进入异常。该流程主题中显示告警图标,当前步骤为流程异常的那一步。同时,右侧出现“删除”按钮,可删除该记录。
- 当流程异常时,点击异常流程主题,进入流程详情页面:
①若审批人被删除,则在流程主题处显示告警图标,并写明原因:发起人被删除!
②若部分会签审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
③若非会签所有审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
④若接收人被删除,则在流程主题处显示告警图标,并写明原因:接收人被删除! - 当该流程启用快速审批时,在流程监控处,该流程主题前用绿色圆块标明为快速审批,当前步骤为归档。
- 若管理员开启“流程审批禁止下载文件”功能,则流程审批中“我的请求”流程详情中不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
2.6.1.4我的接收
该子模块记录了当前登录用户接收审批后的流程信息。只有接收人才能接收到审批完成的流程,接收人的设置在创建模板的过程中设定;并可根据筛选条件查询接收到的流程信息,进入我的接收页面,如下图所示:
可根据流程主题、模板类型、模板名称、申请人、接收日期、当前步骤查询流程信息,显示查询结果。
点击流程主题,进入流程详情页面,可全部下载或单个下载已处理文件。如下图所示:
备注:“文件解密审批”:通过客户端右键选中文件发起审批并符合“上传文件过滤”规则的文件,不上传至服务器,并显示“文件无需上传”。审批完成,在我的接收中,该文档无“下载”按钮,本地磁盘文件已经解密,无须进行下载。
2.6.1.5已办事宜
记录了当前登录用户审批的流程信息,并可查询当前登录用户曾经办理过的审批信息。进入已办事宜页面,如下图所示:
可根据流程主题、模版类型、模版名称、申请人等筛选申请结果。
点击流程主题,可以查看流程详情。若审批人不是接收人,只可下载待处理文件。
备注:
- 选择“文件解密审批”的流程,点击流程主题,进入流程详情页面。“待处理文件”:符合“上传文件过滤”规则的文件,并通过客户端右键选中文件发起的解密审批文件不上传至服务器,并显示“文件无需上传”,“下载”按钮和“预览”按钮不显示。
- 若管理员开启“流程审批预览”功能,则流程审批的”已办事宜”点击“预览”按钮,可以图片的方式预览审批文件,并添加水印(水印默认显示公司名称、当前账号、当前时间,水印显示方式默认为斜式平铺),用于拍照、录屏的泄密追溯。若取消“流程审批开启预览”的功能,则流程审批中“待办事宜”、“已办事宜”不显示预览按钮。
- 若管理员开启“流程审批禁止下载文件”功能,则流程审批中“已办事宜”(待处理和已处理)中均不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
2.6.1.6我的草稿
该子模块用以保存未编辑完的审批申请。用户在审批起草申请时未编辑完信息,点击“保存草稿”,该审批被保存在我的草稿中,在我的草稿中可查看到所有的草稿。
可根据流程主题、模版状类型、模版名称、保存时间筛选申请结果。选择保存的流程,可进入草稿箱详情页面,完善流程信息后,可发起流程。如下图所示:
2.6.2流程模板管理
流程模板管理是对审批流程模板配置管理操作。包括文件发送审批、文件解密审批、文件外发审批、离网补时审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限申请审批模板。在导航菜单点击“工作流审批”→“流程模板管理”,进入流程模板管理页面,如下图所示:
2.6.2.1流程模板设置
(1)新增流程模板: 点击“新增模板”进入新增流程模板页面,如下图所示:
模板类型: 默认为文件发送审批,可以在下拉框中选择其他类型,分别为“文件解密审批”、“文件外发审批”、“离网补时审批”、“邮件解密审批”、“调整文件安全域审批”、“授权文件制作审批“、“授权文件修改审批” 、“授权文件权限申请审批”。
模板名称: 创建的模板名称,必填项。
模板描述: 可以对模板进行描述,方便模板的管理。
接收方式: 有四种接收方式来设置接收人。分别为发起人(发起人作为接收人)、模板指定(由模板指定接收人)、发起人指定(流程申请人指定接收人)、审批人指定(流程审批人指定接收人)
可使用者: 可以使用该模板的申请人,可设置所有人、指定人使用模板;
允许自己审批 :该流程是否可以由发起人自己审批。
发起人勾选审批人 :默认不勾选。勾选表示发起人来勾选各流程节点下的审批人,由发起人选择流程各节点时,发起的时候必须全部勾上每个节点的审批人,若存在未勾选的节点,发起时弹框提示“请勾选审批人”。
启动快速审批: 流程快速自动审批的设置。一旦启用快速审批,则流程的所有步骤均无需审批,直接批准。
①当勾选快速审批时,可设置快速审批的文件大小阀值,周几以及相应的时间段可进行快速审批。
②文件小于默认为0K,表示不限制文件大小,均可快速审批。文件大小单位设置包括:K、M、G
③快速审批时间默认勾选周一、周二、周三、周四、周五、周六、周日,时间段默认为空。当时间段默认为空时:即所有时间段通过该模板发起审批流程,均可快速自动审批。
④点击“+”可增加其他快速审批时间段设置。
上传文件过滤: 通过客户端右键选中文件发起流程审批时,文件大小超过多少K/M/G时,文件无需上传服务器。默认为0M,表示通过客户端右键选中文件发起流程审批均不用上传文件。(备注:仅“文件解密审批”模板且“接收方式为:发起人”时,则支持该功能;不支持压缩包过滤)
上传无需下载: 勾选文件无需下载的流程,我的接收界面“文件列表”处,显示文件全路径、大小和“打开目录”按钮,点击该按钮直接打开该文件所在的目录。
流程步骤设置: 流程模板须配置流程步骤,可设置单个或多个审批步骤。流程步骤详细设置可参考2.6.2.2章节介绍说明。
根据流程使用要求,正确配置流程信息后,点击“确定新增”,完成新增操作。
(2)人员选择器使用
指定接收人(模板指定、发起人指定、审批人指定)或使用人时,可通过使用人员选择器选择用户。如下图所示
进入人员选择页面,可按组织或按分组选择用户。
①默认是按组织选择用户,进入页面,显示系统组织架构,选择部门,显示对应部门的用户列表,如图:
备注:当“可使用者”为“指定人”时,可按组织选择部门,默认勾选“选中部门包含所有子部门” ;
勾选“选中部门包含所有子部门”含义:选择的可使用部门包含子部门;
不勾选“选中部门包含所有子部门”含义:选择的可使用部门不包含子部门;
另外,修改流程模板时,不允许修改“选中部门包含所有子部门”状态;
选择某个部门后,该组织架构的部门若添加用户,则自动变为可使用者。
②选择指定接收人进入人员选择页面,按分组选择用户,进入页面,显示
系统用户组列表,选择用户组,显示对应用户组关联的用户列表,如图:
通过流程模板指定可使用者进入人员选择页面,选择按分组,进入页面,显示系统用户组列表,勾选用户组,点击“选择”,完成选择使用人操作,只有指定用户组关联用户可以使用该模板,如下图所示:
(3)修改流程模板: 可对系统已存在的流程模板信息进行修改操作。配置内容与新增流程模板一致。
(4)删除流程模板: 单个或多个删除流程模板操作。
(5)流程模板管理员设置: 管理员设置过程可参考章节2.2.2.3的说明,此处不再做介绍。
(6)查询流程模板: 流程模板太多时,可根据模板名称或名称关键字快速查询模板,支持模糊查询。
2.5.2.2流程步骤设置
审批流程模板设置时必须配置流程步骤。
- 新增流程步骤: 进入新增或修改流程模板页面,在步骤设置菜单中,点击“新增”,弹出新增步骤页面,如图所示:
审批类型: 包括指定审批人和部门审批管理员。设置部门管理员审批时,申请人所属部门含有部门审批管理员权限时,由部门管理员审批;申请人所属部门无部门管理员时,由父级部门管理员审批,若父级部门也没有管理员,就父级的父级部门审批,若一直没有则由模板创建者审批。
审批模式: 非会签指审批人为“或“关系,其中一个人审批完成可进入下一步骤;会签指审批人之间为”与“关系,必须多个审批人审批完成才可进入下一步骤。
审批人可选: 含有多个审批人时,启用该项,发起流程时可选择审批人审批,主要针对多个审批人。
流程提前完成: 启用该功能,对应步骤审批人可提前结束流程。
①审批模式设置为“非会签”,启用提前完成,审批流程时可提前结束流程。
②审批模式设置为“会签”,且只有单个审批人时,审批流程时可提前结束流程(含有多个审批人时,不可提前结束流程)。
输入步骤名称、选择审批类型、选择审批人、审批模式后,点击“确定”完成审批步骤添加操作,显示在流程步骤列表。
(2)修改流程步骤: 在流程步骤列表中选择需要修改的步骤,点击其对应的图标,进入修改步骤页面,如图所示:
修改流程步骤信息后,点击“确定”,完成修改操作。
(3)删除流程步骤: 在流程步骤列表中选择需要删除的步骤,点击其对应的图标,弹出确认删除步骤提示,如下图所示:
点击“确定”完成删除操作。
2.6.2.3流程模板管理员设置
流程模板创建者可以设置多个管理员,拥有管理员权限的用户对该流程模板具有管理权限。在流程模板列表,选择需要设置管理员的模板,在对应管理者列点击,进入管理员设置页面,如下图所示:
可选用户列表中显示组织架构下所有部门,展开部门节点显示对应的部门管理员,勾选需要设置为管理员的用户,点击“>”,已选用户区域显示设置的管理员列表;设置管理员后,点击“确定”,完成操作。
取消管理员权限:在管理员设置页面,已选用户列表勾选需要取消管理员权限的用户,点击“<”,保存设置即可。
管理员权限生效:拥有管理员权限的用户登录管理控制台,进入流程模板管理页面显示有管理权限的流程模板信息,可对流程模板信息进行修改、删除操作。
管理员查看:选择流程模板管理,在对应的管理者列点击“”,显示流程模板对应的管理员信息。
备注:
(1)管理员设置页面,可选用户列表中不显示用户自己及admin信息;
(2)超级管理员admin默认具有管理控制台全部操作权限;
2.6.3流程监控
该模块主要实现对整个审批流程的监控,记录了所有的审批流程。只有超级管理员默认可以使用该模块。进入流程监控页面,如下图所示:
查询流程: 可以根据流程主题、模板类型、模板名称、当前步骤、申请人、申请时间作为查询条件查询,也可几个条件结合查询。
查看流程详情: 点击流程主题,进入流程详情页面,查看流程信息。
备注:
- 当该流程启用快速审批时,在流程监控处,该流程主题前用绿色圆块标明为快速审批,当前步骤为归档。
- 流程中的发起人被删除、会签的某个审批人被删除、非会签审批人全部被删除,所有接收人或者发起人指的所有接收人、审批人指定的所有接收人全部被删除,则该流程进入异常。该流程主题中显示红色告警图标,当前步骤为流程异常的那一步。当流程异常时,点击异常流程主题,进入流程详情页面:
①若审批人被删除,则在流程主题处显示告警图标,并写明原因:发起人被删除!
②若部分会签审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
③若非会签所有审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
④若接收人被删除,则在流程主题处显示告警图标,并写明原因:接收人被删除!
2.7 终端更新管理
2.7.1自动更新包管理
Windows客户端模块需要进行更新时,可通过自动更新包管理模块上传客户端更新模块。在菜单中点击终端更新管理” “自动更新包管理”可进入模块包管理页面。
上传客户端模块包: 在自动更新包管理页面,点击“上传”,选中需上传的客户端模块包:
备注:
- 待上传的客户端模块包,勿修改模块包名称。
- 可上传的默认模块包包括:客户端模块、核心模块、保护模块、目录监控模块、外发模块、网络模块、硬件管控模块、杀毒支持模块、公共组件,共9个模块。
- Windows基础安装包中,已包括:客户端模块、核心模块、保护模块、目录监控模块、外发模块、公共组件,共6个模块。其他三个模块(网络模块、硬件管控模块、杀毒支持模块)需通过自动更新任务下发。
- 网络模块:支持邮件白名单功能,应用安全网关转发功能;
- 硬件管控模块:支持移动介质管控功能;
- 杀毒支持模块:支持杀毒软件读写加密文件的驱动模块。
客户端模块包上传完成后,自动更新包管理界面显示如上图所示。
删除客户端模块包: 在自动更新包管理页面,可选择模块包进行删除
备注:“正在使用“状态的模块包以及有下发更新过的模块包无法删除。
2.7.2自动更新任务管理
Windows客户端模块需要进行更新时,上传完模块包后,可通过“自动更新任务管理“下发自动更新任务,并显示各模块的更新记录。在菜单中点击终端更新管理” “自动更新任务管理”可进入自动更新任务管理页面。
创建自动更新任务: 在自动更新任务管理页面,点击“创建更新任务”,进入创建更新任务页面:
选择模块:模块选项来源于“自动更新包管理“已上传的各模块(例如:网络模块);
选择版本:版本选项来源于“自动更新包管理“已上传模块的各版本。
发布范围:
(1)灰度发布:对“灰度更新终端“进行任务下发、更新。
(2)正式发布:对”灰度更新终端“以外的所有终端进行任务下发、更新。
(3)灰度发布、正式发布多选,则是对所有终端进行任务下发、更新。
任务下发成功,在任务列表中,显示各模块正式发布、灰度发布的“当前版本“、”任务进度“、”历史记录“。
备注:当计算机处于关机、网络断线状态时,计算机开机或网络连接后将继续收到更新通知、执行更新操作。另外,客户端模块、硬件管控模块、网络模块、杀毒软件支持模块更新成功后有提示重启终端信息,且需要重启后相关功能才会生效。杀毒软件支持模块不支持WinXP系统。
查看更新进度详情: 查看更新进度及终端更新详情。
可根据计算机名称、IP地址、用户账号、用户姓名查询终端更新记录。
查看历史更新记录: 查看各模块历史版本更新记录。显示模块更新的版本号、更新任务执行时间。
停止模块更新任务: 点击“停止”按钮,则终端中止更新操作。
2.7.3模块版本列表
此模块为查看windows终端安装加密客户端的各模块及模块版本信息。在菜单中依次点击“终端更新管理”→“模块版本管理”,进入模块版本列表页面。
查看终端信息: 默认显示“客户端模块“、”核心模块“、”目录监控模块“、”外发模块“、”公共组件“6个基础模块的版本信息。其他模块只能通过查询进行显示。
查询终端信息:
(1)根据不同的条件组合查询终端信息。查询条件包括计算机名、系统版本、IP地址、账号/姓名、模块类型。
(2)模块类型筛选:①一次只能筛选一个模块:不清除“模块类型“筛选条件,无法二次筛选其他模块。②只选择模块,不输入版本:则筛选出装了该模块的所有终端。③选择模块并输入版本:则筛选出装了该模块并符合版本号的终端(版本号只支持精确识别)
2.7.4手动更新
客户端组件存在更新时,可通过手动更新模块上传更新组件,并执行客户端组件更新操作。在菜单中点击终端更新管理” “手动更新”可进入程序包管理页面。
新增程序包: 在程序包管理页面,点击“新增”,进入新增程序包页面:
输入程序包名称、选择终端类型(windows、linux、mac)后,进入组件信息页面:
点击“新增”,进入新增组件页面:
组件类型分为下发运行、更新替换两种。下发运行组件是指可以运行的组件(如.exe .msi文件,一般情况下更新可执行软件);更新替换组件是指可直接替换不需运行的组件(如.dll组件,基本上很少用)
下发运行:命令行-q;
组件版本:版本填写实际版本也可不填;
浏览文件待更新的文件添加,执行即可;
说明:当选择适用终端类型为Linux或Mac后,新增组件页面中,只显示组件版本和选择文件,不显示组件类型和命令行,如下图:
程序包新增完成后,程序包管理界面显示如下图所示:
执行程序包: 在程序包列表中,点击待更新的程序包对应的“执行”按钮。进入执行程序包页面:
勾选需要更新的终端,点击“选择执行终端”,确认待更新终端选择完成后,点击“执行”按钮:
弹窗设置生效方式界面,选择此次更新终端生效方式,点击“确定”,开始客户端的更新组件操作:
重启生效: 执行更新策略后,更新计算机将收到某产品进行了更新需要重启计算机的提示,点击“是”后计算机将会重启,计算机重启后组件更新成功;点击“否”后,计算机不会重启并且不会对组件进行更新操作。
即时生效: 执行更新策略后,更新的组件直接下发到更新计算机中,计算机不会收到更新通知,即无需进行更新操作即可完成更新。
备注:被进行计算机处于关机、网络断线状态时,计算机开机或网络连接后将继续执行更新操作或者收到更新通知。
说明:Linux客户端无论是重启生效还是即时生效,客户端都要重启才能生效。
Mac客户端推动的包到终端,客户端执行覆盖安装,覆盖安装后自动重启电脑,也是重启生效。
Linux和Mac配置的时候可任意选择更新方式,但终端都会自动重启生效。且支持手动更新的客户端版本从DSM5.2.5发布的版本开始支持,以前的客户端版本均不可。
删除选择的更新终端:鼠标悬浮“查看已选终端”按钮上方,即可显示已选择待更新的终端信息,可在此界面删除误选的终端。
修改/删除程序包 :在程序包管理页面,可选择程序包修改或删除。
2.7.5手动更新记录
管理控制平台中单击“终端更新管理” “手动更新记录”,显示对应程序包更新记录:
查询更新记录: 可根据程序包名称、适用终端类型、执行时间、执行状态查询更新记录。
删除更新记录: 在更新操作记录页面,选择记录,点击“删除”即可完成删除操作。
查看更新操作详情: 点击对应记录的完成度,可查看更新操作详情:
中止执行: 点击“中止执行”按钮,则终端中止更新操作,原“中止执行”按钮处显示“继续执行”,更新操作记录界面处,对应执行状态显示中止
继续执行: 点击“继续执行“”后,终端继续执行更新操作,更新操作记录界面处,对应执行状态显示“执行中”
删除更新操作: 勾选对应终端信息,点击删除按钮,即可删除该终端更新指令。
未更新终端删除后,将不再执行更新操作,且对应终端信息被删除。
2.8 授权文件管理
授权文件管理记录了系统所有授权文件信息和授权权限模板,可以创建个人和系统模板(模板的作用便于快速设置知悉范围),并可查看授权文件权限信息。在导航菜单中依次点击“授权文件管理”→“授权文件查看”、“权限模板管理”。
2.8.1 授权文件查看
授权文件查看记录了系统所有授权文件信息,进入如下图所示页面:
查询授权文件: 授权文件较多时可快速查询到文件。查询条件包括:文件名称、作者、密级、修改者、文件ID、创建时间、最后修改时间,用户根据要求自由组合查询条件进行查询操作。
授权文件查看: 选择要查看的授权文件,点击文件名称,弹出授权文件查看页面,如下图所示:
可以查看授权文件密级、安全域、用户权限等信息。文件ID可以复制,作者可以修改。点击“修改”按钮,如下图所示:
2.8.2 权限模板管理
权限模板管理是对授权文件模板配置管理操作。包括系统模板和个人模板。在导航菜单点击“授权文件管理”→“权限模板管理”,进入权限模板管理页面,如下图所示:
2.8.2.1系统权限模板设置
系统模板可设置可使用者、可使用部门,根据是否在可使用者、可使用部门的范围内,可使用者或部门在制作授权文件、修改授权文件、授权文件权限申请等功能,选择模板是调取系统权限模板,达到快速设置知悉范围的目的。
(1)新增系统权限模板: 点击“系统模板”→“新增模板”进入新增流程模板页面,如下图所示:
模板名称: 创建的模板名称,必填项。
模板描述: 可以对模板进行描述,方便模板的管理。
用户权限: 可以使用该授权文件的人和部门,可设置组织架构(所有员工适用)、部门、员工的权限,权限包括只读、修改、打印、内容复制、分发、完全控制(快捷方式即全选只读、修改、打印、内容复制、分发等)以及操作限制(操作限制包括打开次数和时间限制)
备注:用户权限的选择用户页面,不显示被禁用的用户
1)对部门不可设置打开次数(默认不限制次数),只可单独设置时间限制;
2)对用户可设置打开次数和时间限制。
选择可使用者: 可以使用该模板的人,与可使用部门两者必填其一;
选择可使用部门: 可以使用该模板的部门,与可使用者两者必填其一;
(2)修改权限模板: 可对系统已存在的权限模板信息进行修改操作。配置内容与新增权限模板一致。
(3)删除权限模板: 单个删除权限模板操作。
(4)复制权限模板: 可对系统已存在的权限模板进行复制操作,除模板名称外都一致。
(5)查询权限模板: 权限模板太多时,可根据模板名称或名称关键字快速查询模板,支持模糊查询。
2.8.2.2个人权限模板设置
个人模板只能创建者使用,属于私有数据。不可设置可使用者、可使用部门。
(1)新增系统权限模板: 点击“个人模板”→“新增模板”进入新增流程模板页面,如下图所示:
模板名称: 创建的模板名称,必填项。
模板描述: 可以对模板进行描述,方便模板的管理。
用户权限: 可以使用该授权文件的人和部门,可设置组织架构(所有员工适用)、部门、员工的权限,权限包括只读、修改、打印、内容复制、分发、完全控制(快捷方式即全选只读、修改、打印、内容复制、分发等)以及操作限制(操作限制包括打开次数和时间限制)
备注:用户权限的选择用户页面,不显示被禁用的用户
1)对部门不可设置打开次数,只可以设置时间限制; 2)对用户可设置打开次数和时间限制。
(3)修改权限模板: 可对系统已存在的权限模板信息进行修改操作。配置内容与新增权限模板一致。
(4)删除权限模板: 单个删除权限模板操作。
(5)查询权限模板: 权限模板太多时,可根据模板名称或名称关键字快速查询模板,支持模糊查询。
2.8.2.3系统模板模板管理员设置
系统模板创建者可以设置多个管理员,拥有管理员权限的用户对该权限模板具有管理权限。在系统模板列表,选择需要设置管理员的模板,在对应管理者列点击,进入管理员设置页面,如下图所示:
可选用户列表中显示组织架构下所有部门,展开部门节点显示对应的部门管理员,勾选需要设置为管理员的用户,点击“>”,已选用户区域显示设置的管理员列表;设置管理员后,点击“确定”,完成操作。
取消管理员权限:在管理员设置页面,已选用户列表勾选需要取消管理员权限的用户,点击“<”,保存设置即可。
管理员权限生效:拥有管理员权限的用户登录管理控制台,进入系统模板管理页面显示有管理权限的系统权限模板信息,可对权限模板信息进行修改、删除操作。
管理员查看:选择系统权限模板管理,在对应的管理者列点击“”,显示流程模板对应的管理员信息。
备注:
(1)管理员设置页面,可选用户列表中不显示用户自己及admin信息;
(2)超级管理员admin默认具有管理控制台全部操作权限;
2.9系统设置
2.9.1客户端连接设置
设置验证服务器、消息服务器、审批服务器。主要用于客户端的连接。设置各服务器的IP和端口(也可以填写服务器的计算名或域名)。
单击模块 “系统设置” “客户端连接地址”,将弹出服务器设置窗口,默认保存本地服务器IP和端口,点击修改图标即可进行编辑操作,根据实际填写即可。
注:请确保端口号没有被其它软件禁用或占用。
2.9.2系统参数设置
系统参数设置分为八个模块:客户端文案设置、客户端登录设置、安全设置、告警设置、日志事件维护、识别设置、流程设置、其他设置
- 客户端文案设置: 客户端开启关闭选项及弹框描述(中英文)。单击模块“系统设置” “系统参数设置”,将弹出系统参数设置窗口。如下图,其中客户端授权字样默认是授权,根据项目需要修改授权字样,如改为标密。修改之后,客户端所有的密级文件名称为标密文件。
- 客户端登录设置: 设置域账号是否单点登录。单击模块“系统设置” “系统参数设置””客户端登录设置”,将弹出客户端登录设置窗口,见下图:
域账号单点登录:勾选,则用户通过域账号成功登录windows操作系统后,自动登录加密客户端,无需手动输入账号和密码。不勾选,则需手动输入域账号和密码进行加密客户端登录。 - 安全设置: 设置是否启用密码检测,是否启用账号锁定以及密码允许错误次数和锁定时长。单击模块“系统设置” “系统参数设置””安全设置”,将弹出安全设置设置窗口,见下图:
启用密码强度检测功能:用户设置密码时会检测输入的密码信息,需要符合密码强度验证才可以设置密码。
启用控制台账号锁定:用户登录控制台时密码连续错误次数达到设置次数,账号会被锁定,且超过锁定时长可再次登录。 - 邮箱和告警设置: 告警邮箱及告警规则设置。设置告警信息后,终端触发设置的告警规则后,系统即发送告警邮件,同时系统记录违规记录,易于追溯告警来源。
邮箱设置:发件人邮箱、发件人密码、收件人邮箱等信息有效可用,且输入正确后可保存信息。
说明:
a、许可到期前15天开始,每天早上9点发送提醒邮件给管理员;
b、用户导入失败,会发送提醒邮件给管理员;
其他告警邮件通知:
用户违规登录告警: 启用该项,当终端登录账号密级低于当前终端所属密级,发送告警邮件,生成用户违规登录告警类型的违规记录;
账号密码错误超限告警: 启用该项,须设置密码错误次数;当用户登录管理控制台或登录终端时密码错误次数等于或高于设定值,发送告警邮件,生成账号密码错误超限类型的违规记录;
授权文件违规流转告警: 启用该项,当终端保存文件所属密级高于当前终端所属密级时,发送告警邮件,生成授权文件违规流转告警类型日志;
外发文件超限告警: 启用该项,须设置外发文件阈值;当某用户制作外发包的文件个数(包括:客户端制作、流程审批制作)当天(00:00-23:59)累计数量达到或超过设定阈值时,发送告警邮件,生成外发文件超限告警类型的违规记录。 - 日志事件维护: 用于设置日志文件存储路径、是否启用日志删除功能。单击“系统设置----系统参数设置----日志事件维护”,将进入日志事件维护设置窗口,见下图:
自动删除日志: 启用该功能,可自动删除系统日志信息。启用后,默认设置自动删除1095天前的日志。用户可以根据实际情况,设置删除日志天数(如设置为30天前,则自动删除30天前的日志,达到删除天数时间,凌晨生效),
维护日志类型: 勾选需要自动删除的日志类型。 - 识别设置: 用于扫描和终端防泄漏功能设置。
扫描/落地监控识别设置: 开启图片文字识别:勾选后,扫描文件将识别并提取图片中的文字内容进行匹配。 开启图章检测:勾选后,下发图章匹配策略,才能识别处理。 超过(含)文件大小放行:输入后,超过该大小的文件在落地或扫描中将不做处理。 识别时间超时放行:输入后,扫描某个文件识别时间超过后,将不对该文件进行处理。
防泄漏识别设置: 开启图片文字识别:勾选后,防泄漏识别将识别并提取图片中的文字内容进行匹配。 开启图章检测:勾选后,下发图章匹配策略,才能识别处理。 超过(含)文件大小放行:输入后,防泄漏策略组将不处理超过该大小的文件。 识别时间超时放行:输入后,防泄漏识别某个文件超时后,将不对该文件进行处理。 识别超时产生泄漏事件:出现识别时间超时放行情况后,将会产生一条泄露事件。
- 流程设置: 用于设置流程审批预览文件、流程审批文件下载、邮件通知审批人功能。单击模块“系统设置” “系统参数设置””流程设置”,将进入流程设置窗口,见下图:
流程审批开启预览: 默认启用该功能。启用后,则流程审批的“待办事宜”和”已办事宜”可以图片的方式预览审批文件。并添加水印(水印默认显示公司名称、当前账号、当前时间,水印显示方式默认为斜式平铺),用于拍照、录屏的泄密追溯。若取消“流程审批开启预览”的功能,则流程审批中“待办事宜”、“已办事宜”不显示预览按钮。
特别说明: - 支持的文件类型有:常用办公类、文本类、pdf类、图片类。支持的文件后缀如(doc, docx, xls, xlsx, ppt, pptx, pdf, txt, jpg, png, gif ,sql,log,java, js, css, py, c, h, cpp, hpp,md, psd)。
- 支持查看具有安全域权限的普通密文、授权文件。
- 建议预览图片最多显示页不要设置过大,否则会影响服务器的性能。仅支持100M以下的文件预览。
流程审批禁止下载文件: 默认不启用该功能。勾选启用后,则流程审批中“我的请求”、“待办事宜”、“已办事宜”(待处理和已处理文件)中均不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
特别说明:“我的接收”处可正常下载文件。
邮件通知审批人: 默认不启用该功能。勾选启用后,有待审批人审批的流程时,会邮件提示审批人。
特别说明:流程审批人的“个人设置”-“邮箱设置”需设置自己的邮箱地址。 - 其他设置: 用于定时清理审批流程预览文件时产生的临时图片、自动删除离线时长超长的终端、导出(终端列表模块的导出)数量限制。
单击模块“系统设置” “系统参数设置”-“其他设置”,将进入临时文件清理窗口,见下图:
临时文件清理:默认设置自动删除180天以前的临时文件。用户可以根据实际情况,设置定期清理临时文件的天数(如设置为30天前,则自动删除30天前的临时文件,达到删除天数时间,凌晨生效)。
自动删除离线终端:默认时长超过90天的终端被删除。根据终端列表中最近离线时间计算到当前时间,超过或等于设置的值即删除该终端。关联全局开关LicenseReclaim,控制删除终端时是否回收关联账号的安全策略和点数。(5.3.1000新增)
最大导出条目数量:终端管理-终端列表等模块的导出数量限制。 自动更新下载最大并发数:件下载接口限制并发,包括自动更新、手动更新、源数据下发。同时只对设置数量的终端下发,如10台,同时对10个终端进行下发,每已发一台再增加一台终端下发。(5.3.1000新增) 授权文件保密期限到期发送电子邮件:勾选此选项,授权文件到期当前,例如2022-1-20号到期,那么设置到期的前1天,即2022-1-19号授权文件的作者将会收到1封系统发送的电子邮件。(5.3.1000新增)
备注:“审计中心-管理日志、泄露事件、文件操作日志、用户登录日志、移动介质使用记录、违规记录、分类分级记录”不受该设置的限制。
2.9.3 syslog配置
syslog配置发送匹配项时,发送一个json串,将总匹配项、策略匹配项、规则匹配项等发送到服务器。默认全部字段均发送,由接收方过滤需要的内容。 是否启用syslog推送:启用或停用 syslogIP或域名:要推送的IP或域名 syslog端口:要推送的端口号 syslog传输协议:有2种形式,UPD、TCP 级别:错误、调试、警告、通知、严重错误 推送周期:输入推送的时间
2.9.4自定义登录界面
自定义管理控制台界面,可对公司LOGO、登录页面图片、设置背景色进行修改和替换操作。单击模块“系统设置” “自定义登录界面”,点击“浏览”按钮添加需要自定义的公司LOGO及登录页面图片,及选择背景色,点击”保存设置”即可。如下图:
点击“重置”恢复默认图片等信息。
修改后的登录首页面公司logo、登录页面图片、背景色替换效果如下:
注:上传logo图片或首页图片大小不能大于1M,且按照标记的尺寸大小添加,否则页面显示比例失调。
2.9.5许可证管理
许可证管理页面可查询许可到期时间以及许可替换操作,将申请码发送给销售人员制作加密狗或者许可文件。插入加密狗或导入许可文件后会切换到正常的登录页面。操作界面见下图:
备注: 管理控制台端在导入许可时,必须统一版本才能导入,即产品产品为5.3就必须导入5.3的许可。产品升级时,如从5.3升级到5.4后,会检测到许可无效,由销售或者技术申请产品版本为5.4的许可
- DSM5.3.1000产品,许可版本选择3.0(不勾选:热备版),根据实际情况选择是否是热备版本;
- 制作申请的时候需注意DES、ODC、DRM、UES、MTS、TDLP、DDLP、DES_受控程序可编辑、LIC_NUM、DES_SDD等所有产品版本均为5.3版本;
- 若需要数据防泄漏功能,选择TDLP(一个终端占用一个TDLP点数); 如需扫描解密功能:许可必须包含DES(SDD)解密许可,才能正常使用扫描解密功能。许可DES(SDD)申请点数:1个即可。
- 如需“程序配置自主管理”(即:可在“电子文档管理系统”后台进行程序配置编辑):许可必须包含DES受控程序配置可编辑许可,才能在“电子文档安全管理系统”后台编辑管理程序配置。许可DES受控程序可编辑,申请点数:1个即可。
- 若需分类分级功能,许可必须包含DDLP许可,才能正常使用分类分级功能,即落地或扫描客户端文件并打上对应的分类分级标签。
- 新增一条许可数量检测LIC_NUM许可。制作许可时只要1点即可。 该许可对于产品功能本身没有控制作用,仅检测当前服务器任一单产品点数是否超过50点。 a. 任一单点许可大于等于51,有这个许可才可导入。无该许可导入失败,提示:当前许可无效,请联系厂商制作含有LIC_NUM的许可! b. 产品许可点数均小于等于50时,有无该许可都可正常导入。
- 双机热备只支持软许可,不支持硬狗。
2.9.6客户端安装包上传
通过此模块上传Windows、Linux、Mac客户端安装包。上传完成后,普通用户通过自己的账号登录管理控制台,才能通过管理控制台下载对应客户端安装包。
在菜单中点击“系统设置” “客户端安装包上传”可进入客户端安装包上传页面。
显示Windows终端、Linux终端、Mac终端可进行客户端安装包上传。
验证服务器IP或域名:填写验证服务器IP或域名。
分别上传Windows、Linux、Mac客户端安装包。
如需重新上传客户端安装包,可覆盖上传或删除安装包后再上传。
管理员将客户端安装包上传成功后,普通用户登录管理控制台,可通过管理控制台下载客户端安装包。
2.9.7文件服务器列表
通过此模块可显示文件服务器的“总容量“和“剩余容量”大小,从而判断服务器是否需要进行扩容处理。具体扩容方法:参见扩容手册
2.10 审计中心
2.10.1 管理日志
此模块用于记录系统管理日志(如添加用户、修改策略、导出日志、用户登录等各类操作日志)。单击模块“日志审计”“管理日志”,显示管理日志管理窗口:
查询日志:(1)可根据不同的查询条件(账号、姓名、IP地址、操作时间、操作类型、操作类型)组合,查询用户管理日志;(2)可根据组织架构选择部门查询日志;(3)根据是否包含子部门中的数据进行查询。
删除: 可以单个或多个删除日志信息。勾选需删除的日志,点击“删除”按钮,即可删除所选日志。
导出: (1)支持导出明文excel文件。(2)支持根据组织架构选择部门导出日志,同时支持勾选的部门是否包含子部门数据进行导出。
导出成功后,可在保存路径中看到对应的文件,若日志较多分文件导出,文件以zip压缩包的形式。
2.10.2 泄漏事件(7002新增)
此模块用于记录终端防泄漏事件的信息,登录管理控制台,依次点击“日志审计”→“泄漏事件”进入泄漏事件界面,如下图所示:
按部门查询: 点击左侧组织架构树(可隐藏),选择响应的部门,即可看到对应部门下所有泄露事件。
筛选日期: 可对不同时间段的泄漏事件进行筛选,包括全部时间、今天、昨天、最近七天、最近30天、当月、当季度、当年分、上个月、上个季度、去年和自定义。选择自定义时,选择起始时间和结束时间,显示选择的时间段内的泄漏事件。
筛选隐藏/未隐藏: 根据事件是否隐藏进行筛选,可同时选择两者。
筛选严重程度: 根据事件的严重程度进行筛选,严重程度包括高、中、低、信息。严重程度的设置详见2.3.4.1 防泄漏策略设置 匹配规则——严重程度。
筛选条件设置完成后点击右上角“应用”按钮即可按照设置的条件进行筛选。
筛选条件: 点击“添加条件”,可添加不同的筛选条件,包括:策略、策略组、响应规则、终端位置、文件名、文件大小、事件ID、事件操作者、事件匹配数、事件匹配内容、事件注释、泄漏途径、用户[账号]、计算机IP、计算机名称、应用程序名称、处理状态。再次点击“添加条件”可以重复添加筛选条件,筛选条件之间的逻辑关系为“和”,即筛选出满足所有筛选条件的泄漏事件
筛选条件详解:
策略:选择策略名称,筛选命中这条/这几条策略的泄漏事件,可选择多条策略,它们之间的逻辑关系为“或”。将判断条件“为任一”改为“都不是”,可实现反选效果。
策略组:选择策略组名称,筛选命中这个/几个策略组的泄漏事件,可选择多条策略组,它们之间的逻辑关系为“或”。将判断条件“为任一”改为“都不是”,可实现反选效果。
响应规则:选择响应规则,筛选选择一条/多条响应规则,可选择多条响应规则,它们之间的逻辑关系为“或”。将判断条件“为任一”改为“都不是”,可实现反选效果。
响应动作:选择响应动作,筛选选择一条/多条响应动作,可选择多条响应动作,它们之间的逻辑关系为“或”。将判断条件“为任一”改为“都不是”,可实现反选效果。
终端位置:选择终端位置为“在公司网络内”或者“在公司网络外”进行筛选。
文件名:输入文件名中包含的关键字进行筛选,可输入多个关键字,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入匹配的文件名内容。
文件大小:选择逻辑判断条件为“小于”、“大于”或者“介于”,输入对应的文件大小,如从1K到10K ,即可筛选敏感文件在对应文件大小范围的泄漏事件。
事件ID:输入事件ID进行筛选,可输入多个事件ID,它们之间的逻辑关系为“或”,将判断条件“为任一”改为“都不是”,可实现反选效果。
事件操作者:输入事件操作者进行筛选,可输入多个事件操作者,它们之间的逻辑关系为“或”。
事件匹配数:选择逻辑判断条件为“小于”、“大于”或者“介于”,输入对应的匹配数,如大于5 ,即可筛选敏感文件匹配数量在对应范围的泄漏事件。
事件匹配项内容:输入事件匹配项内容进行筛选,可输入多个事件匹配项内容,它们之间的逻辑关系为“或”。可筛选出匹配项内容符合的泄漏事件。
事件注释:输入注释内容进行筛选,可输入多个事件注释,它们之间的逻辑关系为“或”。可筛选出事件注释内容符合的泄漏事件。
泄漏途径:选择泄漏途径进行筛选,泄漏途径包括IM/QQ、IM/Wechat、IM/钉钉、IM/TIM、应用程序访问、可移动存储、打印机、截屏、剪贴板、网络共享路径、邮件客户端。可选择多个泄漏途径,它们之间的逻辑关系为“或”,将筛选出通过选定泄漏途径泄漏敏感文件的泄漏事件。将判断条件“为任一”改为“都不是”,可实现反选效果。
用户[账号]:输入泄漏事件产生的用户[账号]中包含的关键字进行筛选,可输入多个关键字,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入关键字。
计算机IP:输入需要查找产生泄漏事件产生的计算机IP进行筛选,可输入多个IP,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”。
计算机名称:输入需要查找产生泄漏事件产生的计算机名称进行筛选,可输入多个计算机名称,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”。
应用程序名称:输入需要查找产生泄漏事件泄漏的应用程序进行筛选,可输入多个应用程序名称,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入关键字。
处理状态:选择“已处理”或者“未处理”,查询该状态下的泄漏事件。
选择好筛选条件后,点击右上角“应用”即可看到筛选后的结果
显示列: 点击右侧显示列,可以自定义显示的内容,包括姓名[账号]、时间、IP地址、设备名、泄漏途径、响应动作、文件名称、事件ID、关联策略、严重性、匹配项、处理状态。其中事件ID默认不显示,其余的列默认显示
操作-删除:选择泄漏事件,点击“操作-删除”,确认后将选中的泄漏事件删除
操作-设置为隐藏/不隐藏: 选择泄漏事件,点击“操作-设置为隐藏”,将事件的状态设置成隐藏,此时事件在筛选条件未勾选隐藏时不可见;点击“操作-设置为不隐藏”,将事件的状态设置成不隐藏。
操作-设置严重性: 选择泄漏事件,点击“操作-设置严重性”,选择严重性,确定后将事件的严重性设置成选中的结果。
操作-添加注释: 选择泄漏事件,点击“操作-添加注释”,输入注释,点击确定后将对泄漏事件添加注释。
对泄漏事件进行设置隐藏、设置不隐藏、设置严重性或者添加注释操作后,处理状态将会变为“已处理”
导出: 点击导出按钮,将事件以Excel表格的形式导出。
2.10.2.1 事件详情
点击泄漏事件进入事件详情界面,事件界面包括三个部分,事件详细信息、匹配详情信息、备注信息,分别对应图中标号为①②③的部分
事件详情操作:
点击右上角“返回”,返回至泄漏事件菜单;
点击右上角“上一条”,查看上一条泄漏事件;
点击右上角“下一条”,查看下一条泄漏事件;
点击右上角“导出”,导出这条泄漏事件;
事件详细信息: 事件详细信息显示事件的GUID、泄漏途径、隐藏/非隐藏、严重性、响应动作、上传时间、发生时间、姓名[账号]、所在部门、操作说明、应用程序、计算机名、计算机IP、MAC地址、终端位置、文件路径、文件大小、文件类型。不同类别的泄漏事件详情也会不同。
隐藏/不隐藏:点击隐藏右侧的勾选框,可选择将该条泄漏事件隐藏或者不隐藏。
严重性:点击严重性右侧的下拉框,选择严重程度,可以设置该条泄漏事件的严重程度。
响应动作:点击详情,查看该条响应动作详情。
根据泄漏途径不同,事件详细信息也会不同,下图所示分别为通过应用程序(QQ)泄漏文件、通过IM(QQ)聊天消息泄漏、通过剪贴板泄漏、通过打印泄漏、通过可移动存储泄漏、通过网络共享途径泄漏。
匹配详情信息: 匹配详情信息显示泄漏事件的匹配内容、匹配数等信息。其中,匹配内容以黄底红字高亮。当存在匹配多条策略时,将显示每个策略的匹配项,点击策略右侧查看详情,跳转到防泄漏策略界面查看命中的策略。
特殊的匹配项:
以文档指纹为识别方式识别的策略命中时,显示匹配项信息为命中指纹文件名称和匹配度。
以语义模型为识别方式识别的策略命中时,显示匹配项信息为命中类别和匹配度。
发送加密码文件/超大文件/识别超时文件时,显示匹配项信息为疑似密码加密文件
开启OCR识别,发送图片中的文件含有敏感信息时,显示的匹配项为图片中敏感文字的提取,高亮命中内容。
备注信息: 点击右侧箭头展开备注信息。
对事件进行设置隐藏、隐藏事件设置为不隐藏、对事件进行注释、修改事件的严重程度会显示在操作历史中。
点击事件关联右侧下拉框,选择时间查看对应时段的事件关联情况。姓名[账号]表示该用户在这段时间内一共有多少条泄漏事件产生;终端表示该终端上在这段时间内一共有多少条泄漏事件产生;策略表示该条策略在这段时间内一共被命中了多少次。
在添加注释框中输入注释,点击确定后完成注释的添加。
2.10.3 文件发送日志
此模块用于记录通过文件发送审批的敏感文件并再次通过防泄漏配置中监控的程序(如:钉钉、TIM等)发送的敏感文件信息,可以通过电子文档管理系统-审计中心-文件发送日志进入此模块页面,页面显示如下图所示:
筛选条件:包括姓名、账号、时间、IP地址、设备名、MD5码以及发送途径;除发送途径外,其他项输入相应信息,点击确定后系统会自动筛选出含有相应匹配信息的日志,外发途径则为勾选后自动筛选出含有相应匹配信息的日志。
清除全部:点击则清除所有已筛选的条件。
筛选页面如下图所示:
删除日志、导出日志操作 与章节2.10.1相同。
2.10.4 文件操作日志
此模块用于记录通过客户端右键解密、客户端调整文件安全域、文件解密流程解密、邮件解密流程解密、客户端落地监控解密、客户端扫描解密、工作流调整文件安全域、移动终端解密、客户端邮件解密、客户端右键外发、文件外发流程外发、密文打印、授权文件打开、授权文件打印、授权文件制作、授权文件变更、授权文件复制、授权文件移动、粉碎文件、授权文件还原、文件发送审批、密文复制(5.3.1000新增)、授权文件下载的操作日志。单击模块 “审计中心”“文件操作日志”,显示文件日志管理窗口:
查询日志: (1)可根据不同的查询条件(姓名、账号、IP地址、设备名、文件ID(所有操作类型和授权文件有关的日志详情都展示文件ID)、时间、操作类型)组合,查询加密系统中文件日志;(2)可根据组织架构选择部门查询日志;(3)根据是否包含子部门中的数据进行查询。
删除日志、导出日志操作 与章节2.10.1相同。
备注:文件操作日志中,操作类型增加2种操作类型:密文复制、授权文件下载(5.3.1000新增)。 密文复制点击查看详情可查看复制内容(显示256个字符)和复制字数。如下图所示:
授权文件下载,中间件产品连接加密服务器,下载授权文件触发生成授权文件下载日志,如下图所示:
2.10.5 用户登录日志
此模块管理用户登录日志,记录用户登录客户端、管理控制台、移动终端的日志。单击模块“日志审计”“用户登录日志”,显示用户登录日志窗口。
查询日志: (1)可根据不同的查询条件(账号、姓名、IP地址、登录时间、登录类型(客户端、管理控制台、移动终端)、登录结果(成功、失败))组合,查询用户登录日志;(2)可根据组织架构选择部门查询日志;(3)根据是否包含子部门中的数据进行查询。
删除日志、导出日志操作 与章节2.10.1相同。
2.10.6 移动介质使用记录
此模块用于记录在客户端环境下接入已注册或未注册的移动介质,上传移动介质接入日志。管理员登录管理控制台,进入移动介质管理记录界面,如图:
查询日志: (1)可根据不同的查询条件(注册序列号、注册类型(已注册、未注册)、管理类型(无法识别、只读、读写)、账号、姓名、计算机名、IP地址、记录时间)组合,查询移动介质管理记录;(2)可根据组织架构选择部门查询日志;(3)根据是否包含子部门中的数据进行查询。
删除日志、导出日志操作 与章节2.10.1相同。
2.10.7 违规记录
此模块用于记录终端“授权文件违规流转”、“用户违规登录”、“外发文件次数超限”、“账号密码错误超限”生成违规记录日志。登录管理控制台,依次点击“日志审计”→“违规记录”,进入违规记录页面,如下图所示:
查询日志: (1)可根据不同的查询条件(账号、姓名、IP地址、MAC地址、设备名、操作时间、操作类型、操作内容)组合查询违规记录;(2)可根据组织架构选择部门查询违规记录;(3)根据是否包含子部门中的数据进行查询。
删除日志、导出日志操作 与章节2.10.1相同。
2.10.8 分类分级记录
此模块用于记录落地扫描产生的信息,登录管理控制台,依次点击“审计中心”→“分类分级记录”进入落地扫描事件界面,如下图所示:
按部门查询: 点击左侧组织架构树(可隐藏),选择响应的部门,即可看到对应部门下所有分类分级记录。
筛选日期: 可对不同时间段的分类分级记录进行筛选,包括全部时间、今天、昨天、最近七天、最近30天、当月、当季度、当年分、上个月、上个季度、去年和自定义。选择自定义时,选择起始时间和结束时间,显示选择的时间段内的分类分级记录。
筛选严重程度: 根据分类分级记录的严重程度进行筛选,严重程度包括高、中、低、信息。严重程度的设置详见2.3.5.1 扫描策略 匹配规则——严重程度。
筛选条件设置完成后点击右上角“应用”按钮即可按照设置的条件进行筛选。
筛选条件: 点击“添加条件”,可添加不同的筛选条件,包括:姓名、账号、IP地址、设备名、文件名称、关联策略、匹配项、事件ID、操作类型。再次点击“添加条件”可以重复添加筛选条件,筛选条件之间的逻辑关系为“和”,即筛选出满足所有筛选条件的分类分级记录
筛选条件详解:
姓名:输入落地扫描产生的用户姓名中包含的关键字进行筛选,可输入多个关键字,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入关键字。
账号:输入落地扫描产生的用户账号中包含的关键字进行筛选,可输入多个关键字,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入关键字。
IP地址:输入需要查找落地扫描产生的计算机IP进行筛选,可输入多个IP,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”。
设备名:输入需要查找落地扫描产生的计算机名称进行筛选,可输入多个计算机名称,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”。
文件名称:输入文件名中包含的关键字进行筛选,可输入多个关键字,以英文逗号分隔。逻辑判断条件可选择“包含任一”、“为任一”、“都不是”、“始于”、“结束于”、“为空”。选择“为空”时,不需要输入匹配的文件名内容。
关联策略:选择策略名称,筛选命中这条/这几条策略的扫描记录,可选择多条策略,它们之间的逻辑关系为“或”。将判断条件“为任一”改为“都不是”,可实现反选效果。
匹配项:选择逻辑判断条件为“小于”、“大于”或者“介于”,输入对应的匹配数,如介于1和5之间 ,即可筛选敏感文件匹配数量在对应范围的泄漏事件。
事件ID:默认隐藏,显示列勾选上或者点开事件详情,即可查看到事件ID。
操作类型:只有2种类型:扫描或者落地监控。
选择好筛选条件后,点击右上角“应用”即可看到筛选后的结果
显示列: 点击右侧显示列,可以自定义显示的内容,包括姓名[账号]、时间、IP地址、设备名、响应动作、文件名称、事件ID、关联策略、操作类型、严重性、匹配项。其中事件ID默认不显示,其余的列默认显示
操作-删除:选择一条或者多条分类分级记录,点击“操作-删除”,确认后将选中的落地监控和扫描事件删除。
导出: 点击导出按钮,将事件以Excel表格的形式导出。
分类分级记录详情
点击分类分级记录进入分类分级记录详情界面,事件界面包括两个部分,分类分级记录详情、匹配详情信息,分别对应图中标号为①②的部分
分类分级记录详情操作:
点击右上角“返回”,返回至分类分级记录菜单;
点击右上角“上一条”,查看上一条分类分级记录;
点击右上角“下一条”,查看下一条分类分级记录;
点击右上角“导出”,导出这条分类分级记录;
分类分级记录详情: 分类分级记录详情显示事件的GUID、响应动作、上传时间、发生时间、姓名[账号]、所在部门、操作说明、计算机名、计算机IP、MAC地址、终端位置、文件路径、文件大小、文件类型。
响应动作:点击详情,查看该条响应动作详情。
匹配详情信息: 匹配详情信息显示分类分级记录的匹配内容、匹配数等信息。其中,匹配内容以黄底红字高亮。当存在匹配多条策略时,将显示每个策略的匹配项,点击策略右侧查看详情,跳转到扫描策略界面查看命中的策略。
特殊的匹配项:
以文档指纹为识别方式识别的策略命中时,显示匹配项信息为命中指纹文件名称和匹配度。
以语义模型为识别方式识别的策略命中时,显示匹配项信息为命中类别和匹配度。
扫描到加密码文件时,显示匹配项信息为疑似密码加密文件。
开启OCR识别,对图片也进行扫描,显示的匹配项为图片中敏感文字的提取,高亮命中内容。
第三章 UES客户端管理
备注:本次版本迭代基于UES 1.1版本基础上,增加普通U盘制作UES客户端功能。支持文档安全管理系统版本。支持文档安全管理系统版本DSM 5.2及以上版本。
如果合并移动介质注册工具使用时,需将当前客户端的移动介质控制策略设置为“未注册:读写”,或者直接在未安装客户端的环境中进行初始化。
3.1用户登录
1、系统管理员可在技术人员处或云配置平台中获取初始化工具“Initialize U-Client.exe”。在第一次运行U盘初始化管理工具“Initialize U-Client.exe”程序时,系统将弹出登录对话框,如下图所示:
2、U盘初始化管理工具为管理员使用工具,因此该工具只允许超级管理员账号登录操作(admin为加密服务器默认的账号)。另外,U盘初始化管理工具设置加密服务器的网络地址与端口,可通过点击“连接设置”来完成设置,如下图所示:
设置完IP地址与端口(端口默认为9445),可以点击“连接测试”,检验与加密服务器有通讯是常正常,并弹出相应的提示:
“连接测试”成功后,点击确定,返回登录对话框,输入账户admin与密码,点击“登录”,即可完成用户登录操作。
3.2初始化工具
用户登录成功,将进入U盘加密系统初始化工具主界面,它由当前资源包版本号、资源包导入、资源包烧录、数据清除、策略管理、关闭以及U盘信息等信息组成。
默认工具已导入资源包,进入U盘加密系统初始化工具会直接显示资源包版本号;而U盘信息,管理员需要等U盘加载完成后,在初始化工具界面手动点击刷新按钮,列表显示U盘信息,并显示相应的检测结果,检测结果的类型如下:
1、未检测到U盘或者不是指定类型的U盘,将不显示U盘信息,如下图所示:
2、安全U盘经过华途股份的初始化处理,将显示未初始化未绑定,如下图所示:
3、U盘已经完成资源包烧录处理,将显示已初始化未绑定状态,如下图所示:
4、U盘已经完成资源包烧录处理以及策略导入,将显示已初始化已绑定状态,同时显示绑定的账号信息,如下图所示:
3.3资源包导入
资源包导入具体操作方法如下(文档安全管理系统5.2及以上版本,服务器安装路径下的初始化工具默认自带资源包,此版本无需执行资源包导入,可直接进行烧录操作。当前版本的资源包导入用于后续资源包升级操作):
1、点击U盘初始化管理工具的“资源包导入”按钮,点击之后,会变现动态转圈的小圆点, 如下图所示:
2、同时会弹出“选择U盘客户端资源包”窗口,如下图所示;点击“选择文件”,找到厂家提供类似 “UDiskClient_2018-03-08.ht” 的HT文件,点击“确定”,完成导入操作。
3、资源包导入操作一旦成功,U盘初始化管理工具的当前资源包版本将显示具体的版本号信息,同时系统弹窗显示“资源包导入成功!”的信息,如下图所示。
3.4资源包烧录
资源包烧录具体操作如下:
1、在U盘初始化工具所在的电脑插入经过初始化的安全U盘;
2、点击U盘初始化管理工具的“资源包烧录”按钮,点击之后,会变现动态转圈的小圆点, 如下图所示:
3、资源包烧录操作一旦成功,U盘初始化管理工具系统弹窗显示“烧录程序成功!”的信息,如下图所示。
另外U盘信息状态显示已初始化,如下图所示:
3.5策略管理
U盘客户端程序完成烧录后,需要为该U盘导入相应的策略以及绑定特定的用户账号,同时也支持U盘客户端绑定终端使用。具体的操作方法通过策略管理来实现:
1、在U盘初始化工具所在的电脑插入经过初始化的安全U盘;
2、点击U盘初始化管理工具的“策略管理”按钮,点击之后,会变现动态转圈的小圆点, 如下图所示:
3、在策略管理界面输入需要绑定的用户账号,管理员只需输入账号信息,初始化工具会自动从加密服务器获取该账号的权限信息;另外管理员也可以为该账号设置离线时间控制策略,离线时间提供两种方式,一种为“无限制”,另外一种为“截止时间”。
- 设置好账号信息与时间信息后,点击“策略导入”,初始化工具将策略信息以加密方式写入到U盘的指定区域,导入成功将提示下图所示信息。
备注:服务器ues可使用授权点数=0时,未绑定的U盘无法绑定用户;已绑定的U盘可绑定其他用户。服务器ues可使用授权点数>0,未绑定的U盘可绑定用户,绑定成功后,ues已使用点数扣除1;已绑定的U盘绑定其他用户,ues已使用点数不变。
另外U盘信息状态显示已初始化;已绑定,并显示绑定账号信息,如下图所示:
5、在策略管理界面,点击“终端绑定管理”,输入终端机器码,点击“机器码导入”,完成“U盘客户端终端绑定”操作。只有绑定终端可正常使用制作好的U盘客户端,非绑定终端无法使用该U盘客户端。(备注:非必需操作。如需绑定U盘客户端使用的终端,可进行该步操作)
说明: - 终端绑定机器码:在需要绑定的终端双击运行“GetMachineCode.exe
工具,获取终端的机器码。再将“机器码”复制到策略管理的“终端绑定管理”界面;
(2)可绑定多个终端:输入多个机器码。多个机器码之间用英文分号(;)隔开。绑定多个终端,则U盘客户端可在绑定的这些终端上正常使用,其他非绑定终端无法使用。
(3)输入机器码,点击“机器码导入”,导入成功将提示上图所示信息。
绑定用户、绑定终端后,管理控制台-终端管理-终端列表-U盘加密系统列表下新增此条终端信息,如下图所示:
6、另外,策略管理还提供策略导出功能;策略导出无须插入U盘,它可为提定U盘及指定账号提供一种离线策略追加与U盘客户端策略导入的功能,例如为指定用户追加离线时间策略等。具体操作方法如下:
A、输入账号与时间策略,点击“策略导出”,弹出选择策略文件保存路径,如下图所示:注意该账号信息与U盘绑定账号信息要一致,否则在U盘客户端无法通过账号与策略文件的一致性。
B、选择导出路径后,点击“确定”按钮
C、系统弹出策略导出成功信息,如下图所示:
3.6数据清除
当U盘客户端介质回收后,需要重新授权或重新绑定用户,或者U盘客户端资源包更新了新的版本,可能会涉及到对U盘原有数据的清除操作,“数据清除”操作只会对引导分区与指定区域的数据做清除处理,对普通分区的数据不做清除操作。注意:引导分区普通用户无法删除数据,只能通过工具处理,而普通分区的数据普通用户可以随意删除。
数据清除具体的操作方法如下:
1、在U盘初始化工具所在的电脑插入需要数据清除的安全U盘;
2、点击U盘初始化管理工具的“数据清除”按钮,点击之后,会变现动态转圈的小圆点, 如下图所示:
- 选择清理数据类型:“程序清理”是指删除U盘客户端的程序文件;“策略清理”是指删除用户绑定信息、策略信息以及离线时间信息。选择清理数据类型(工具支持多选方式),点击“确定”,将完成数据清除工作。
备注:ues策略清理成功后,服务器ues可使用授权点数增1,管理控制台-终端管理-终端列表-ues加密系统列表删除对应ues终端信息。
3.7关闭
U盘初始化工具提供“关闭”退出按钮,如下图所示,鼠标点击“关闭”,将退出U盘初始化工具窗口界面。
第四章 移动介质工具注册管理
1.移动介质注册工具使用前,必须先退出杀毒软件,如有安装赛门铁克须卸载。
2.已经在DSM5.2.4之前的版本注册为安全类型移动介质,插入到5.2.4的环境中为无法识别,需要重新注册才能使用。
4.1管理员登录移动介质
1.管理员获取移动介质工具“Usb-registration-tool.exe”。
2.移动介质可在未安装客户端的电脑上独立使用,也可在安装有客户端的电脑上使用。
在第一次运行移动介质注册工具“Usb-registration-tool.exe”程序时,系统将弹出工具运行缺少驱动的对话框,如下图所示:
点击确定,工具会自动安装驱动,驱动安装成功后,会弹出对话框,如下提示:
点击确定,重启电脑,再次运行“Usb-registration-tool.exe”,进入工具登录界面。反之,点击取消,驱动将不会加载,直接进入登录界面,没有驱动将不能进行注册和注销操作。
如下图所示:
点击连接设置,进入服务器连接页面,输入正确的服务器IP地址(比如10.10.1.162)和端口号(默认9445),如下图:
点击确定,弹窗提示连接测试成功。
等待5s或者点击弹窗右上角的关闭按钮,会重新回到登录界,输入正确的管理员账号和密码以及所属域点击登录按钮,进入到移动介质注册界面。
超级管理员或者所属角色里勾选了移动介质管理模块的部门管理员,都可以登录使用该工具,支持选择域用户。必须连接测试成功,且已导入域用户,所属域才能选择域用户。
4.2管理员注册移动介质
管理员登录后进入移动介质注册界面,见下图:
移动介质未插入时进入移动介质注册界面,注册列表为空。插入移动介质并等移动介质信息加载完毕后,手动点击刷新按钮,注册列表会显示已插入的U盘信息,包含硬件号、名称、厂家、容量、注册状态和注册序列号,注册状态包含“未注册、仅注册和注册并绑定”。未注册的U盘注册序列号为空。如果先插入U盘并已加载好U盘信息,再打开移动介质工具,列表会自动显示插入的U盘信息。有U盘被拔出时,需要手动点击刷新按钮,刷新列表信息。
勾选准备注册的U盘(一次最多能注册5个),点击注册按钮(未安装驱动时,无法进行注册和注销等操作),弹出对话框,如下图:
选择注册类型“仅注册”或者“注册并绑定”,输入备注信息(非必填),点击确定,弹出对话框“移动介质注册中,请勿拔出……”如下图:
备注:
(1)注册为“仅注册”类型:注册后的移动介质,在加密环境下可使用,在非加密环境下不能使用;
(2)注册为“注册并绑定”类型:注册后的移动介质,在加密并绑定用户环境下可使用,在非绑定用户或非加密环境下均不能使用;(注意:“注册并绑定”类型的移动介质,不绑定用户不能使用)
注册完成后弹出对话框“注册成功”。
5s后,会自动跳转服务器移动介质管理界面,并自动将刚刚注册的移动介质按照“注册序列号”和“注册状态”筛选出来,可直接勾选注册并绑定的移动介质,进行用户绑定,绑定用户操作见第2.4.2.2章节。如下图:
4.3管理员注销移动介质
管理员勾选准备注销的移动介质,点击注销按钮,弹窗弹出提示“注销移动介质将格式化所有数据,请确认已经将重要数据备份!”,如下图:
点击确定,进行注销,弹出对话框“移动介质注销中请勿拔出”。反之点击取消,移动介质不会被注销。见下图:
注销成功后,弹框提示注销成功。
4.4管理员绑定管理操作
管理员打开工具列表,刷新注册列表,勾选状态为注册并绑定的U盘,点击绑定管理,跳转到web服务器移动介质管理界面。勾选未注册和仅注册状态的U盘点击绑定管理不会进行跳转。跳转之后进行用户绑定,具体操作详见第2.4.2.1章节。
第五章 配置管理员
配置管理员登录进入管理控制台,设置程序控制管理、全局/策略权限设置、全局开关设置、全局参数设置、系统集成配置、模块字段。根据实际需要新建、修改全局或局部的配置权限。
5.1 共享路径下文件上传解密下载加密
configmanager登录进入管理控制台-配置管理-全局参数设置页面,点击新增配置。
配置名称:UncSafePath0
描述:可自定义
自定义值:\??\UNC\192.168.1.150
此配置全局下发,下发到客户端后,访问到共享路径192.168.1.150后,上传文件解密下载文件加密功能。
5.2 安全网址
受控浏览器实现上传解密下载加密功能。
configmanager登录进入管理控制台-受控程序管理,点击新增受控浏览器添加wb属性和safeurl属性。受控浏览器,通过该浏览器访问设置的url白名单实现上传文件解密,下载文件加密。
受控程序属性中,增加一个属性wb,表示这是一个浏览器(web browser)
wb受控程序:允许访问SafeUrl,不允许访问 Not SafeUrl
其他受控程序:允许访问SafeUrl,允许访问 Not SafeUrl
非受控程序:不允许访问SafeUrl,允许访问 Not SafeUrl
- 受控浏览器,如受控谷歌浏览器,配置需要加密的文件类型;
- 编辑属性,添加属性名wb,属性值1;
- 其他配置中添加如下safeurl配置。
谷歌浏览器访问172.168.149.129和19.168.149.212白名单上传解密下载加密。<SafeUrl> <S ip="192.168.149.129"> <P>*</P> </S> <S ip="192.168.149.212"> <P>*</P> </S> </SafeUrl>
ip段根据现场实际修改,支持域名。p当前配置为*表示所有端口,也可根据现场端口去修改。
5.3 授权文件还原成普通密文/明文开关
需手动添加,启用此开关,表示授权文件还原成明文。授权文件默认还原为普通密文,考虑到有些场景如只有DRM许可,还原成普通密文不符合实际使用,因此增加手动配置还原成普通密文/明文的开关。 名称:RestoreAuthFileToPlainText 描述:授权文件还原成明文
5.4 不限制账号和部门来源开关
组织架构可以存在系统用户、域用户或第三方用户。系统初始化禁用此开关,禁用情况下可以删除域用户或者第三方用户,其他操作均不允许。
开启状态下,表示不限制用户来源。域用户可以进行其删除、移动、移除到其他系统组织架构下;可以在域部门下新增、修改部门部门。
5.5 拷贝日志开关
只有加密许可的情况下生效,即存在防泄漏产品时该配置不生效。
需手动添加,开启此开关,将记录从受控的普通密文/授权密文复制到非受控程序的日志,不记录非受控程序到受控程序/非受控程序的复制日志,不记录受控密文复制到受控进程的日志。最大记录1000个字。
名称:ContentCopyLog
描述:密文内容复制产生操作日志
5.6 回收离线终端点数开关
管理员设置管理控制台-系统参数-其他配置中的自动删除离线时长超过
xx天的终端。该功能需手动添加,开启此删除终端时回收关联账号的安全策略配置。超过天数后,系统会自动删除终端,且会回收关联账号的安全策略和点数。
名称:LicenseReclaim
描述:终端被自动删除,安全策略和点数被回收
对应的账号绑定的安全策略显示为无,对应的许可点数释放。
5.7 制作授权文件删除原始文件开关
需手动添加,开启此开关,表示制作授权文件删除原始文件;禁用表示保留原始文件。 名称:DeleteOriginalFileForAuthFile 描述:制作授权文件删除原始文件
5.8 设置用户组时勾选部门快捷全选部门下用户开关
需手动添加OptionalDepartment开关并启用后,admin或者拥有相关权限的用户,创建用户组时可以勾选部门进行快捷勾选该部门下的所有用户 名称:OptionalDepartment 描述:编辑用户组可勾选部门(可自定义) 当开启OptionalDepartment ,编辑用户组可勾选部门; 当禁用OptionalDepartment ,编辑用户组不可勾选部门进行移动用户; 出厂不带此开关仍然不能勾选,当用户遇到想勾选部门进行移动用户时,开启此开关。开启开关后实现以下效果,当开启此开关后,仍然建议一次勾选不超过500个用户设置用户组 。
5.9 工作外发工作流审批外发文字水印可设置开关
需手动添加SetOutGoingWaterMark开关并启用后,发起外发审批流程后,发起人可以自由选择需要添加水印字段,审批人可见水印字段,并进行判断是否给与通过。 名称:SetOutGoingWaterMark 描述: 外发审批流程显示水印字段
5.10 目录监控开关
需要手动增加全局开关 TurnOffAllDiskDirectoryMonitor ,服务器上手动添加此开关启用后,客户端不执行目录监控(落地加解密),降低磁盘读写导致消耗系统性能。 支持禁用开关,再次执行目录监控(落地加解密) 名称:TurnOffAllDiskDirectoryMonitor 描述:目录监控(落地加解密)
5.11 客户端上传日志间隔可配置LogUploadInterval
configmanager中全局参数设置时间,一般设置60秒或者120秒,且此字段需手动添加,不作为产品出厂设置。客户端日志按照设置的时间间隔进行上传。
5.12 sc配置:通过设置属性以及黑白名单地址和端口,来控制允许访问的范围
修改属性,可设置黑白名单全部打开关闭等。如svn只能访问特定的地址,其他地址不允许访问。
修改属性为白名单
修改属性为白名单后,点击添加子节点,添加白名单ip地址。支持通配符,此设置允许172.16.23.所有网段的svn,其他网段的svn服务器访问不到。
ip地址添加完成之后,选中ip节点添加子节点来设置端口,支持通配符
以上完成设置
5.13 域同步特殊字符
新增域同步-5.3.1版本加密组织结构域同步用户里面含有,_等特殊字符时候可以正常域同步过来。现在支持域中特殊字符,导入到系统中用下划线代替,客户端和web登录时也用下换线代替特殊字符
5.14 产品初始化自定义界面
产品初始化名称和系统设置-自定义登录界面,中不再支持产品名称自定义。 注:若要自定义,需厂家二开
5.15 放开上传解密下载加密的unc路径的数量限制,并支持正则表达式,兼容以前的非正则配置
最大支持100个路径,即从UncSafePath0-99。为了最大化支持路径,同时支持路径通配符
5.16 安全网址
如下图,安全网址进行优化,受控浏览器可以访问到安全网址 注: 只支持chrome、firefox和chromium内核的msedge浏览器 核心模块在5.2.6001.193之后版本,DF客户端模块在5.2.7004.r38之后版本支持。