| 华途电子文档安全管理系统 | |
| 5.3.1000 | |
| 普通用户使用手册 | |
| 浙江华途信息安全技术股份有限公司 |
第一章 系统概述
1.1 产品概述
随着电子信息化程度的不断提高,政府军工、企事业单位等各类组织机构越来越多地利用计算机来处理一些机密信息,加强交流、方便沟通的同时增加了信息的非法泄密及内部越权使用等安全风险。传统电子文档几乎不受任何权限限制,明文存放、随意阅读、修改、复制、打印或分发等,纵观近年来国内外数据泄露事件,互联网接入单位由于内部重要机密通过网络途径泄露而造成重大损失的事件中,99%都是由于内部泄密行为导致的。《中华人民共和国网络安全法》及《中华人民共和国数据安全法》明确地对个人隐私数据和国家重要数据提出了保护要求,把网络信息和数据安全上升到国家战略层面。
面对源自企业内部的安全威胁以及法律法规的严格要求,基于防止外部入侵窃密和内部无意泄密需求的华途电子文档安全管理系统应势而生。
华途电子文档安全管理系统(Document Security Management System,简称Vamtoo-DSM)是华途信息自主研发的通用文档安全管理软件,从核心数据本身、数据交互、移动办公、移动介质、终端外设等多场景多维度全面保障文档安全,通过灵活的策略管控体系,基于人工智能的丰富管控手段,来满足客户不同场景的安全管控需求,防止敏感数据泄露,落实数据安全具体条例要求,轻松应对审查及行业规范要求。
华途电子文档安全管理系统采用动态文档透明加密技术、虚拟化技术、深度内容识别技术、身份认证技术及硬件绑定技术,结合多维密级和权限管理,针对内部员工和部门差异化及自主管理需求,对重要数据进行精细化细粒度管理。
1.2 产品功能
(1) 电子文档智能加密模块
电子文档智能加密模块以透明加密技术为核心,采用高强度加密算法实现强制透明加密;基于内容识别技术,实现智能扫描落地加密;此外,用户可自主选择对文档加解密,确保核心敏感数据被强制加密,非核心数据不被过分加密。
(2) 电子文档权限管控模块
采用虚拟化技术、结合权限管理、综合集成身份认证、动态窗口抓取等多项前沿技术,实现对受控文档的精确权限控制,有效控制用户对核心数据文档的阅读、修改、打印、授权、解密等操作权限,从根源上防止文档的非法共享而导致的数据泄露。
(3) 电子文档安全外发模块
外发包以文件虚拟化技术为核心,结合透明加密、权限管理、多桌面(MultiDesktop)技术等多项前沿技术,在毫不影响用户操作习惯和工作效率的同时,保障数据资产对外交互的安全性。
(4) 移动终端安全模块
包括了数据库、身份认证服务器、接入控制服务器、管理控制平台、移动端app等邮件,可实现合法用户通过授权移动设备接入系统后,就可在移动设备上正常、安全地浏览涉密文档内容,同时也可以选择性对移动设备上的文件进行加密处理。保障用户在享受移动设备便捷性时的数据资产安全。
(5) U盘加密系统模块
免安装、无需外带电脑,只需外带一个安装了加密系统的U盘,用户即可完成对文档加解密处理,防止核心数据资产外泄。
(6) 应用安全网关
通过对访问服务器的计算机进行安全控制,实现服务器数据下载强制加密,防止服务器机密外泄。提供双机热备、准入控制、数据转发、文件加解密、负载均衡(http协议)、https链路加密功能以及https数据转发功能等多层服务与防护。
(7) 数据安全中间件
采用了先进的中间件技术,可方便、快速地与企事业单位其他业务系统无缝对接,赋予业务系统数据加密、数据解密、权限控制、文件内容防复制、防截屏、浮水印、打印控制等数据安全能力。在不影响用户操作习惯,不改变客户网络框架的前提下,解决业务系统的数据安全问题,有效保障数据资产安全。
(8) 终端防泄漏模块
扫描并发现终端上的敏感信息分布和不当存储,监控用户对敏感信息的使用并进行实时保护(如复制敏感信息到U盘等可移动存储上,通过QQ、微信、个人邮箱外发敏感信息等,或者将其发至网盘、BBS等公共互联网),排除数据从终端泄露的风险。
1.3 系统体系结构
系统分为三个组件:客户端、服务器和控制台,系统采用分布式监控,集中式管理的工作模式,服务器采用B/S工作模式,客户端采用C/S工作模式。组件的通信是采用HTTP/HTTPS加密传输方式。
- 服务器:安装在专业的数据服务器上,包括数据库安装、文件服务器安装、缓存服务器安装、DSM产品安装。通过安全认证建立与多个客户端系统的连接,实现客户端策略的存储和下发、日志的收集和存储。灵活的实现对文件的加解密和用户权限的划分。
- 客户端:安装在受保护的终端上,实时监控客户用户行为和安全状态。实现客户端安全策略和终端策略以及配置管理。
- 控制台:基于Web的人机交互界面,简单易懂的操作界面。通过安全认证建立与服务器的信任连接,实现策略的制定下发和管理。
第二章 Windows客户端功能使用
2.1客户端下载与安装
登录电子文档安全管理系统控制台,在首页点击“下载客户端安装包”进行下载(前提是已在web端-系统设置-客户端安装包上传了windows客户端),如下图所示:
安装客户端前建议先关闭360安全卫士、QQ管家等安全工具,以防止对安装过程产生影响。双击下载的安装包,弹出的安装向导,点击“安装”开始安装,如下图:
安装完成后,弹出如下界面:
选择“是”,重启安装客户端的电脑;反之,不重启。
备注:
- 默认下载的安装包,为基础安装包,不包含“网络模块、硬件管控模块、杀毒支持模块”。
- 网络模块、硬件管控模块、杀毒支持模块:通过“管理控制台”—>”终端更新管理” —>“自动更新”进行推送更新,具体操作方法见“管理员使用手册”2.6.1、2.6.2章节;
- 网络模块:支持邮件白名单功能,应用安全网关转发功能;
- 硬件管控模块:支持移动介质管控功能;
- 杀毒支持模块:支持杀毒软件读写加密文件的驱动模块。
2.2客户端卸载
打开控制面板,进入“卸载或更改程序”界面,选择“文档安全管理系统客户端”,右键点击“卸载/更改”。
弹窗“客户端卸载程序”界面
点击卸载按钮即可进行卸载操作。
备注:客户端登录账号若无卸载权限,会弹窗提示无限制权限,请联系管理员。只有卸载权限的终端方可卸载客户端。
2.3 Windows客户端加密功能
2.3.1 登录客户端
系统内用户登录客户端,实现客户端功能。安装完成,弹出登录界面并且任务栏出现
图标。进入登录界面,如下图所示:
在登录界面,点击“连接设置”,进入设置页面,如下图所示:
在设置界面输入需要连接的服务器地址、端口信息,并连接成功后,点击“确定”,返回到登录界面,输入系统存在的账号和密码,点击“登录”即可。如下图所示:
若登录成功,则鼠标移至右下角图标处会有提示:用户信息(账号)、用户状态(在线):
2.3.2 客户端账号切换
切换不同账号进行登录操作。在任务栏双击客户端托盘
,或右键托盘在菜单中选择“切换用户”,弹出登录界面,输入需要切换的账号信息,点击“登录”即可,如下图:
若切换账号登录成功,则鼠标移至客户端托盘处会浮窗显示切换后的账号信息,如下图:
2.3.3 透明加密功能
在政企事业单位实际应用中,使用文档安全管理系统的用户,可以在不改变原有对文件操作习惯的前提下,通过新建、编辑保存、文件另存为等操作,文件自动加密。从而实现从文件创建到销毁的整个生命周期都对其进行安全保护。
客户端登录用户为在线状态,且对需要加密的文件程序具有受控加密策略,当前用户以受控word为例:新建一个word文件,打开文档,对文件内容进行编辑保存,该文件被加密。如图所示:
加密后的文件会有一个锁图标标识,同时在该文件的右键属性中会新增一个“加密文件属性”,该加密文件属性显示的是当前用户的安全域信息。
2.3.4 外发文件制作及使用
当政企事业单位需要将内部的加密文件发给公司外部或者其他用户查看时,为严控其他用户的使用权限,需要制作外发文件,可根据需要对制作的外发文件打开天数、打开次数等条件进行限制。
2.3.4.1 制作外发文件
(1)制作外发文件作者具有该密文安全域的外发权限。右键需要外发的密文,在菜单中依次选择“外发处理”→“文件外发”
(2)进入文件外发制作页面
密码校验: 用户打开外发文件前需要输入密码,密码验证通过后,方可打开外发文件,默认不设置密码;
限定打开时间: 用户只能在该时间区间内打开外发文件,不在时间区间内无法打开外发文件,默认不限定打开时间;如图限定时间区间为2018/9/27-2018/9/30
限定打开次数: 用户打开外发文件次数有限制,超过打开次数则无法打开,默认限定打开次数为9999999;如图限定打开次数为10
外发只读: 不勾选时,生成的外发包文件使用时可对外发文件进行编辑保存。勾选“外发只读”权限,生成的外发包文件使用时只能查看该外发文件,无法对外发文件进行编辑操作。
允许打印外发文件: 制作外发文件时勾选“允许打印外发文件”后,其他用户打开外发文件时可以对文件进行打印操作;如果未勾选“允许打印外发文件”,则其他用户打开外发文件后进行打印操作时提示不允许该操作。外发文件作者具有允许外发打印权限策略,才可以在制作外发文件时勾选该选项;
压缩外发文件: 勾选“压缩外发文件”,制作后的外发文件为zip格式;不勾选“压缩外发文件”,制作后的外发文件为文件夹格式;
打包模式: 勾选“打包模式”制作的外发文件夹中不包含密文文件;不勾选“打包模式”制作的外发文件夹中包含绿色箭头盾牌的密文。
设置外发文件限定条件后,点击“制作”,开始外发文件制作,制作完成出现如下图提示界面,同时在保存路径可看到生成的压缩包文件。
备注:
- 明文也可制作外发文件;
- 制作外发文件时可通过“高级选项”,设置打开外发文件通过授权码验证,设置外发文件浮水印信息(文字水印、图片水印)。
2.3.4.2 打开外发文件
外发文件可在装有加密客户端的环境下打开,同时可在未安装加密客户端的环境下打开。
- 将生成的外发压缩包复制到计算机,并进行解压。
- 打开外发包文件夹,双击“FilePackage.exe”,若设置了密码,需输入密码;
确定密码信息后,进入文件外发信息界面:
在外发文件信息界面,选择需要打开的文件,双击文件名称或者选择文件,点击“打开文件”,在安全桌面正常打开外发文件,如下图所示:
若文件没有默认打开方式时,选择该文件点击打开文件,会有提示信息:
若选中文件没有默认打开方式或想要修改该文件的打开方式时,可以选择该文件,点击“自定义打开方式”,进入选择外发打开方式,如下图:
- 关闭文件,正常退出安全桌面,且打开次数相应减1,若打开次数为0或超出设置的打开时间区间,则外发文件自动销毁。
2.3.4.3 外发文件还原
对制作的外发文件进行还原操作,还原后的文件安全域与用户安全域一致。右键需要还原的外发文件,在菜单中依次选择“外发处理”→“外发文件还原”,进入外发还原界面,点击“还原”即可,如下图所示(批量还原外发文件):
支持压缩包穿透还原,还原后的文件为密文,安全域信息与当前用户安全域一致。
2.3.5 授权文件制作及使用
用户制作/修改授权文件、查看文档权限、还原授权文件需有“制作授权文件”“使用授权密文”权限策略。客户端离网时,不能制作、修改、查看、还原授权文件。
备注:离线客户端若本地有缓存,即曾经打开、曾经查看过授权文件权限等操作本地留有缓存可以打开、查看授权文件权限。
2.3.5.1 制作授权文件
制作授权文件作者需具有文件的安全域打开权限,且具有“制作授权文件”权限策略。右键需要授权的密文,在菜单中依次选择“授权文档管理”→“制作/修改授权文件”,如下图所示:
点击制作/修改授权文件后,跳转到web端进行制作授权文件。制作授权文件分为“授权给部门”、“授权给用户”、“同时授权给部门与用户”的授权文件。
(1)制作“授权给部门”:
进入授权文档详情页面,选择密级、保密时限、选择部门和权限。如选择密级为核心商密,保密期限为30年,选择部门,进入部门选择器,选择左侧组织架构下的部门,将部门移至右边栏即可选择部门,后给与权限,点击“生成文件”即可。
备注:
- 制作授权文件时,支持批量制作授权文件,且压缩包文件不支持制作授权文件;
- 制作授权文件时只能选择低于等于作者所属密级的密级;保密期限只能设置小于等于当前所选密级的最高保密期限;
- 授权给部门,可选全部组织架构中的部门包括子部门,勾选某个部门后即对部门中所有人员生效。后续在授权的部门中增加用户也生效。
- 部门查询:在添加部门页面可根据部门名称查询,光标移动至目标部门处,会蓝标显示。
- 授权部门不可以设置次数。
(2)制作“授权给用户”权限的授权文件:
在制作授权文件页面,点击“选择账号”,进入如下图所示界面,选择左侧组织架构下的用户,将用户移至右边栏即可。
- 授权用户查询:在添加用户页面可根据可选用户、已选用户账号或姓名查询信息。
- 可选用户查询:左侧查询框中输入用户账号或姓名信息后,点击“查询”,展开第一个目标用户对应的组织节点,光标移动至目标部门或用户处,会蓝标显示。
- 已选用户查询:右侧查询框输入查询条件,可实时显示查询的用户列表;查询条件输入完成后,点击“查询”,显示对应的问用户。
- 选择已选用户后,点击“确定”,返回至授权文件制作页面,完成授权用户的添加操作。
- 选择的用户为组织架构中所有的用户,不判断用户的密级高低。若制作出授权文件的用户密级低,不足以打开文件,由客户端控制提示无法打开,不会造成泄密。
(3)制作“同时授权给部门与用户”的授权文件。
在制作授权文件页面,可以添加部门与用户。
- 部门与用户不重叠,即用户不在部门中,分别生效;
- 部门与用户重叠,即授权用户在授权部门中,个人权限优先生效,即若个人无打印权限,部门有打印权限,最终个人无打印权限;
(4)用户权限 用户权限包括只读、编辑、打印、内容复制、分发、完全控制权限。
- 当前授权文件的作者必须能打开将要授权的文件,即至少有只读,否则也无法对该文件制作授权文件。
- 只读和编辑不冲突。
- 打印、内容复制根据当前授权文件作者对应安全策略中的权限来给与。授权文件的作者不具有内容复制权限,无法给其他用户或部门分配内容复制,授权文件的作者不具有该安全域的文件打印权限时,无法给其他用户或部门分配打印权限。
- 若是明文,打印权限根据授权文件的作者本身安全域来给与打印权限。
- 完全控制权限是个特殊权限,类似于快速全选其他(只读、修改、打印、内容复制、分发)权限。
- 同时选择多个不同安全域的文件制作授权文件,根据权限较低的文件分配权限,如作者对安全域A的文件具有打开、打印、内容复制权限,对安全域B的文件只有打开权限,制作授权文件时只能将只读、编辑、分发权限分配给授权用户与部门。
(5)添加授权部门或用户或部门与用户后,设置授权用户权限(只读、修改、打印、内容复制、分发等权限),还可以对授权用户设置打开次数(如100次)、打开时间(如有效期2021/07/12-2021/07/17),对授权部门设置打开事件(部门不可以设置打开次数)。如下图所示:
备注:
- 授权部门不可以设置打开次数,只能设置打开时间。
- 每打开一次文件文件次数减少一次,直到次数耗尽无法打开。
- 时间有效期内可以打开文件;非设置时间内无法打开文件;若修改客户端系统时间来延长打开时间,打开授权时提示篡改系统时间无法打开授权文件。
(6)保存模板/选择模板:可将已添加的授权用户或部门及权限信息保存为模板。再次制作授权文件可直接选择已保存的模板,则自动加载模板中的用户或部门及权限信息。
填写模板名称,成功保存模板。则,再次制作授权文件可直接选择个人模板,如上图所示。
备注:
- 保存时只能保存为个人模板,因此选择模板时出现在个人模板选择项。
- 个人模板属于私有数据,登录管理控制台可以在“授权文件管理”--“权限模板管理”中查看,也可以在此处新建或者个人模板供以后使用。
- 选择模板中的系统模板,系统模板来源于管理员创建的数据,只有创建者或管理者可修改与查看,只能在选择模板时使用系统模板。
- 当作者权限发生变化(如模板中有打印权限,作者后来无打印权限),选择模板制作授权文件时加载用户权限信息时,自动过滤为无打印权限。
(7)删除:用户和部门列表中勾选用户或部门,点击“删除”,可取消用户或部门使用授权文件权限。
(8)授权文件制作完成:设置需制作授权文件信息及授权部门与用户权限信息后,点击“生成文件”,开始生成授权文件。制作完成后,在生成授权文件路径处新建一个使用蓝色盾牌标识的授权文件,且授权文件的加密文件属性显示文件安全域、密级信息。
2.3.5.2 修改授权文件
(1)非授权范围内用户或无分发权限用户授权文件修改:非授权范围内均不能通过客户端操作修改授权文件(可通过“授权文件修改审批”流程修改授权文件)。选择授权文件,在右键菜单点击“制作/修改授权文档”,无法进入授权文档详情页面,给出如下图所示提示界面:
(2)作者或分发者授权文件修改:作者及有“分发”权限的用户可以通过客户端操作修改授权文件(也可通过“授权文件修改审批”流程修改授权文件)。选择授权文件,在右键菜单点击“制作/修改授权文档”,进入修改授权文件详情界面,如下图所示:
授权文档界面正确显示授权文件密级、保密期限、授权用户列表及对应的权限信息。修改文档信息后,点击“生成文件”即可。
非授权文件作者或没有“分发”权限的用户,无法修改授权文件,点击“制作/修改授权文档”,给出下图所示界面:
备注:只支持单个授权文件的修改。
2.3.5.3 打开授权文件
功能:具有“使用授权密文”权限用户根据授权文件的操作权限,是否允许对该文件进行打开操作。
文档作者及授权用户与部门具有“使用授权密文”权限时可打开授权文件。作者和授权用户以外的其他用户,即使用户所属密级高于等于授权文件密级且具有“使用授权密文”权限,也无法打开授权文件。
备注:
- 授权文件,客户端连接到服务器时可以打开;本地存在缓存(如曾经打开过,右键查看过授权文件权限、接收过该授权文件)可以打开;连接不到服务器若本地也无缓存不可以打开授权文件。
- 打开授权文件是否显示浮水印,与当前用户是否具有显示浮水印策略有关。
- 打开授权文件的进程需受控,若受控能打开,若不受控不能打开授权文件。
2.3.5.4 查看文档权限
用以查看授权文件密级、所属安全域、用户权限等信息。右键授权文档,在菜单中依次选择“授权文档管理”→“查看文档权限”;
进入查看文档权限界面,如下图所示:
备注:
文件ID可以复制;若授权用户或部门,密级低于授权文件密级,用户权限信息中,权限为空。
2.3.5.5 打印授权文件
功能:根据授权文件的操作权限,是否允许对该授权文件进行打印操作。
- 用户具有文件对应安全域的打印权限,制作授权文件时添加授权用户,作者赋予授权用户“打印”权限,授权用户允许打印文件操作。反之,作者未赋予授权用户“打印”权限,授权用户不允许打印文件。
- 用户具有文件对应安全域的打印权限,制作授权文件时添加授权部门,作者赋予授权部门“打印”权限,授权部门中的用户允许打印文件操作。反之,作者未赋予授权部门“打印”权限,授权部门中的用户不允许打印文件。
- 用户不具有文件对应安全域的打印权限,制作授权文件时添加部门/用户,作者不能赋予授权用户“打印”权限,即作者及授权用户均不能打印授权文件。
- 个人权限优先部门权限。
备注:授权部门/用户打印授权文件与用户本身是否具有文件安全域打印权限无关,与授权文件作者是否赋予“打印”权限关联;
2.3.5.6 复制授权文件内容
功能:根据授权文件的操作权限,是否允许将授权文件内容复制到其他文件。
- 用户具有内容复制权限,制作授权文件时添加授权用户,作者赋予授权用户“内容复制”权限,允许授权用户复制文件内容到其他文件。反之,作者未赋予授权用户“内容复制”权限,不允许授权用户复制文件内容到其他文件。
- 用户具有内容复制权限,制作授权文件时添加授权部门,作者赋予授权部门“内容复制”权限,允许授权部门中的用户复制文件内容到其他文件。反之,作者未赋予授权部门“内容复制”权限,不允许授权部门的用户复制文件内容到其他文件。
- 用户不具有内容复制权限,制作授权文件时添加授权部门/用户,作者不能赋予授权部门/用户“内容复制”权限,即作者及授权部门/用户均不能复制文件内容到其他文件。
- 个人权限优先部门权限。
备注:
- 授权用户复制文件内容到其他文件与用户本身是否具有内容复制策略无关,与授权文件作者是否赋予“内容复制”权限关联;
- 用户复制文件内容到其他文件,复制字数不受限制。
2.3.5.7 还原授权文件
授权文件作者可还原授权文件。右键需要查看权限的授权文档,在菜单中依次选择“授权文档管理”→“还原授权文件”,提示还原授权文件成功;还原后的授权文件为密文,以盾牌标识,且文件加密属性显示文件安全域信息(与查看文档权限时显示的安全域一致);
若要还原成明文咨询产品添加全局配置可还原成为明文。
2.3.6 文件处理
包括对密文进行安全域调整、手动解密操作,对明文可以进行手动加密操作。支持穿透压缩包及批量操作。
2.3.6.1 文件加密
用户对需要加密的文件进行手动加密操作。选择需要加密的明文,右键菜单依次选择“文件处理”→“文件加密”,加密成功后,弹出如下提示界面:
文件加密成功后,以盾牌标识显示,查看密文属性安全域信息与当前用户安全域信息一致。若文件为受控程序密文,正常打开;文件为非受控程序密文,打开乱码。
2.3.6.2 文件解密
当需要将加密文件还原成普通明文时,可以通过右键解密方式进行解密操作。用户具有该加密文件所属安全域的解密权限时,选择需要解密的密文,右键菜单依次选择“文件处理”→“文件解密”,解密成功后,弹出如下提示界面:
文件解密成功后,加密盾牌消失,且文件属性无加密属性。
若当前用户不具有加密文件的安全域解密权限,则弹出如下提示:
2.3.6.3 调整文件安全域
对密文所属安全域调整操作。用户具有该加密文件所属安全域的调整权限时,选择需要调整安全域的密文,右键菜单依次选择“文件处理”→“调整文件安全域”,弹出如下界面:
安全域列表中只显示当前用户所属安全策略关联的安全域信息,选择需要调整的安全域,点击“确定”即可。
若用户无该加密文件所属安全域调整权限时,执行调整操作,会弹出如下提示:
2.3.7工作模式切换
用户在客户端状态分为启动加密模式、停止加密模式两种。用户具有工作模式切换权限策略。
- 停止加密模式
停止加密模式:用户对添加到停止加密模式的受控程序产生的文件透明加密。对添加到启动加密模式的受控程序产生的文件不能透明加密,且无法打开查看加密文件;
右键盾牌图标,在菜单中点击“停止加密模式”,进入停止加密模式,盾牌变为灰色。
若点击“停止加密模式”时,有受控程序正在运行时,会出现如下提示:
- 启动加密模式
启动加密模式:用户对添加到启动模式的受控程序产生的文件能透明加密,并且可以打开查看加密文件。
右键盾牌图标,在菜单中点击“启动加密模式”,进入停止加密模式,盾牌变为红色。
切换启动加密模式时,弹出如下提示:
点击“是”即可。客户端加密模式开启后,新建或者修改受控程序软件,文件自动加密。
2.3.8 离网与回到网络
(1)离开网络
用户如需出差或离开网络,自动进入离网模式,在离网时间内,用户仍可以加解密文件。
(2)回到网络
离网用户回到网络,离网时长自动重置。
2.3.9 点阵编码查询工具使用
功能:通过图片导入方式或者编码输入方式,正确识别点阵信息。
(1)获取点阵编码查询工具:
备注:在装有加密客户端的环境下使用,该工具直接从安装目录下获取LatticeCodingQuery.exe即可;如果在未安装加密客户端的环境下使用该工具,需要同时获取libcurl.dll、libeay32.dll、ssleay32.dll这3个组件。
(2)双击打开工具后,点击【连接设置】:
(3)连接设置中输入服务器地址、端口(默认9445):
(4)回到登录界面输入服务器的管理员账号(admin)、密码(admin的密码,默认密码为admin),点击登录:
(5)导入图片查询:点击请选择水印图片后的【浏览器】按钮,选择带水印的图片,图片识别后,查询结果显示处显示对应的账号、姓名、时间(打开或者打印的时间),如图:
备注:
- 导入的图片来源最好以截图方式获取,拍照方式获取的图片目前无法识别;
- 截图时文件带图片、背景图片(如ppt文件带背景模板)、点、线(如excel表格),都会影响到导入时的识别率;当其他水印(文字水印、图片水印)存在时,也会影响水印读取识别。
(6)点阵编码查询:在水印图片上选取以
开始3*3的模块,将下图2-9参考编码查询对照表中的值填入到“请输入点阵编码”文本框内,点击查询,如果填入的数值有效,则查询结果显示出显示对应的账号、姓名、时间(打开或者打印的时间),如图:
注:
①点阵编码手动输入时最大允许输入长度为8位,输入8位查询结果为账号、姓名、时间;也允许输入5位(上图中的2-6对应的编码)查询结果为账号、姓名;
②点阵编码输入时,对应编码查询对照表为英文时,需要填入大写的A-F;
2.3.10 移动介质管控
备注:使用移动介质管控功能,需保证加密客户端已经安装“HM-硬件管控模块”。“HM-硬件管控模块”推送更新操作“管理员使用手册”2.7.1、2.7.2章节。(客户端基础安装包不包括“HM-硬件管控模块”,需通过自动更新推送到客户端进行安装)
2.3.10.1 管控接入的移动介质
备注:
- 可对普通U盘、移动硬盘、华途安全U盘未受保护分区进行管控。
- 客户端处于未登录状态时,移动介质(未注册、已注册)接入客户端均无法使用。
1.未注册移动介质-只读管控:
功能:对未注册的移动介质进行只读管控。
前提:客户端登录的用户对应安全策略-移动介质管控:未注册移动介质管控已勾选【只读】权限,且已生效。
操作流程:插入“未注册”的移动介质→只允许将移动介质中的文件复制、拖拽、保存、另存为、发送到终端。
(1)客户端插入“未注册”的移动介质,计算机可识别该移动介质;
(2)允许将移动介质中的文件复制、拖拽、保存、另存为、发送至终端;
(3)不允许将终端文件复制、剪切、拖拽、保存、另存为、发送文件到移动介质;
(4)不允许对移动介质文件做修改(如:不可重命名文件,或修改文件内容后不能保存在移动介质中,只能保存都非介质位置上),不允许删除操作,只能查看。
2.未注册移动介质-读写管控:
功能:对未注册的移动介质进行读写管控。
前提:客户端登录的用户对应安全策略-移动介质管控:未注册移动介质管控已勾选【读写】权限,且已生效。
操作流程:插入“未注册”的移动介质→可以对移动介质进行读写操作。
(1)客户端插入“未注册”的移动介质,计算机可识别该移动介质;
(2)允许查看、修改、删除移动介质已存在文件;
(3)允许将移动介质中文件复制、剪切、拖拽、保存、另存为、发送文件到终端;
(4)允许将终端文件复制、剪切、拖拽、保存、另存为、发送文件到移动介质。
3.未注册移动介质-无法识别管控:
功能:对未注册的移动介质进行无法识别管控。
前提:客户端登录的用户对应安全策略-移动介质管控:未注册移动介质管控已勾选【无法识别】权限,且已生效。
操作流程:插入“未注册”的移动介质→移动介质无法识别,无法访问。
客户端插入“未注册”的移动介质,计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开。
4.已注册移动介质-只读管控:
功能:对已注册的移动介质进行只读管控。
前提:
①客户端登录的用户对应安全策略-移动介质管控:已注册移动介质管控已勾选【只读】权限,且已生效;
②移动介质“仅注册”、“注册并绑定”未绑定用户、“注册并绑定”绑定当前用户、“注册并绑定”绑定非当前用户。
操作流程:
①插入“仅注册”、“注册并绑定”绑定了当前用户的移动介质→只允许将移动介质中的文件复制、拖拽、保存、另存为、发送到终端;
②插入“注册并绑定”已绑定但未绑定当前用户的移动介质、“注册并绑定”但未绑定任何用户的移动介质→移动介质无法识别。
(1)客户端插入“仅注册”的移动介质,计算机可识别该移动介质,允许将移动介质中的文件复制、拖拽、保存、另存为、发送到终端;不允许将终端文件复制、剪切、拖拽、保存、另存为、发送文件到移动介质;
(2)客户端插入“注册并绑定”的移动介质(未绑定任何用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,拒绝访问无法打开;
(3)客户端插入“注册并绑定”的移动介质(绑定当前用户),计算机可识别该移动介质,允许将移动介质中的文件复制、拖拽、保存、另存为、发送到终端;不允许将终端文件复制、剪切、拖拽、保存、另存为、发送文件到移动介质;
(4)客户端插入“注册并绑定”的移动介质(未绑定当前用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,拒绝访问无法打开。
5.已注册移动介质-读写管控:
功能:对已注册的移动介质进行读写管控。
前提:
①客户端登录的用户对应安全策略-移动介质管控:已注册移动介质管控已勾选【读写】权限,且已生效;
②移动介质“仅注册”、“注册并绑定”未绑定用户、“注册并绑定”绑定当前用户、“注册并绑定”绑定非当前用户。
操作流程:
①插入“仅注册”、“注册并绑定”绑定了当前用户的移动介质→可以对移动介质进行读写操作;
②插入“注册并绑定”且已绑定但未绑定当前用户的移动介质、“注册并绑定”但未绑定用户的移动介质→移动介质无法识别。
(1)客户端插入“仅注册”的移动介质,计算机可识别该移动介质,允许将移动介质文件复制、剪切、拖拽、保存、另存为、发送文件到终端;允许将终端文件复制、剪切、拖拽、保存、另存为、发送文件到该移动介质;
(2)客户端插入“注册并绑定”的移动介质(未绑定任何用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开;
(3)客户端插入“注册并绑定”的移动介质(绑定当前用户),计算机可识别该移动介质,将移动介质中的文件复制到本地,允许复制;将本地中的文件复制或者另存为到该移动介质,允许该操作;
(4)客户端插入“注册并绑定”的移动介质(未绑定当前用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开。
6.已注册移动介质-无法识别管控:
功能:对已注册的移动介质进行无法识别管控。
前提:
①客户端登录的用户对应安全策略-移动介质管控:已注册移动介质管控已勾选【无法识别】权限,且已生效;
②移动介质“仅注册”、“注册并绑定”未绑定用户、“注册并绑定”绑定当前用户、“注册并绑定”绑定非当前用户。
操作流程:
①插入“仅注册”的移动介质→移动介质无法识别;
②插入“注册并绑定”的移动介质→移动介质无法识别。
(1)客户端插入“仅注册”的移动介质,计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,拒绝访问无法打开;
(2)客户端插入“注册并绑定”的移动介质(未绑定任何用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开;
(3)客户端插入“注册并绑定”的移动介质(绑定当前用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开;
(4)客户端插入“注册并绑定”的移动介质(未绑定当前用户),计算机无法识别该移动介质,资源管理器中查看不显示盘符大小,剩余空间大小,双击盘符,无法打开。
2.3.10.2 上传移动介质使用记录
功能:上传接入记录,对移动介质进行审计监督功能。
客户端环境下,接入未注册或各种已注册的移动介质,上传接入日志至服务器-日志审计-移动介质使用记录。
备注:
- 上传的管理类型,上传的当前账号安全策略-移动介质控制给予的管控策略。
- 当客户端未登录、离网超时情况下,不会上传接入日志。
- 当接入移动介质,由于外界因素如USB问题等导致读取移动介质异常时,也不会上传接入日志。
2.3.10.3 移动介质文件写入加密
功能:有读写操作权限的移动介质,在文件写入过程中自动加密。
前提:
①客户端登录的用户对应安全策略-移动介质管控:未注册/已注册移动介质管控:已勾选【读写】权限;
②文件写入加密:勾选【文件写入加密】权限。
操作流程:插入移动介质→将普通文件复制、剪切、拖拽、另存为到该移动介质。
将普通明文复制粘贴、拖拽、剪切、另存为到可识别的移动介质中,文件被自动加密。
备注:
- 写入到移动介质的文件,当文件被打了标识(客户端无解密文件-加密权限时)不能被加密,文件没有打标识(客户端有解密文件-加密权限时)写入到移动介质的文件被写入加密。
- 开启写入加密策略,写入操作包括:复制、剪切、移动、拖拽、另存到移动介质的文件均被加密。同时,在移动介质中新建文件时,也会自动加密。
2.3.11邮件白名单功能
备注:使用邮件白名单功能,需保证加密客户端已经安装“NF-网络模块”。“NF-网络模块”推送更新操作“管理员使用手册”2.7.1、2.7.2章节。(客户端基础安装包不包括“NF-网络模块”,需通过自动更新推送到客户端进行安装)
登录客户端用户所属安全策略启用邮件白名单功能,且策略正常下发后:
1、基于标准smtp或smtps协议的邮件白名单解密:邮件白名单范围内的用户使用Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文,实现邮件附件自动解密的功能;
- 当“安全策略”的邮件白名单设置:不勾选“仅在白名单的收件人收到的收到的附件解密”
- 客户端用户启用邮件白名单策略,发件人属于邮件白名单的邮箱,但所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至收件人,收件人收到的邮件附件为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,但某个收件人(收件人/抄送/密送人)属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,且所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为普通密文。
- 当“安全策略”的邮件白名单设置:勾选“仅在白名单的收件人收到的收到的附件解密”
- 客户端用户启用邮件白名单策略,发件人属于邮件白名单的邮箱,但所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至收件人,收件人收到的邮件附件为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,但某个收件人(收件人/抄送/密送人)属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,有且仅有白名单收件人邮箱收到的附件为明文【特别说明:此时白名单的收件人将接收到两封邮件,一封附件未解密,另一封附件解密。】,其余非白名单收件人邮箱收到的附件均为密文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,且所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook/Foxmail邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为普通密文。
2、基于exhange协议的邮件白名单解密,邮件白名单范围内的用户使用Outlook邮件客户端发送符合文件类型、符合安全域的普通密文,实现邮件附件自动解密的功能。
- 当“安全策略”的邮件白名单设置:不勾选“仅在白名单的收件人收到的收到的附件解密”
- 客户端用户启用邮件白名单策略,发件人属于邮件白名单的邮箱,但所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至收件人,收件人收到的邮件附件为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,但某个收件人(收件人/抄送/密送人)属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,且所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为普通密文。
- 当“安全策略”的邮件白名单设置:勾选“仅在白名单的收件人收到的收到的附件解密”
- 客户端用户启用邮件白名单策略,发件人属于邮件白名单的邮箱,但所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至收件人,收件人收到的邮件附件为明文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,但某个收件人(收件人/抄送/密送人)属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,有且仅有白名单收件人邮箱收到的附件为明文【特别说明:此时白名单的收件人将接收到两封邮件,一封附件未解密,另一封附件解密。】,其余非白名单收件人邮箱收到的附件均为密文。
- 客户端用户启用邮件白名单策略,发件人不属于邮件白名单的邮箱,且所有收件人(收件人/抄送/密送人)都不属于邮件白名单的邮箱:通过Outlook邮件客户端发送符合文件类型、符合安全域的普通密文至多个接收人,所有收件人收到的邮件附件均为普通密文。
2.3.12客户端自检功能
为尽可能避免因为客户端模块包被安全软件拦截等原因导致模块包安装缺失,或者软件冲突导致的内核注入失败,引发的客户端的一系列异常行为,尽量减少技术实施人员和运维人员的工作量,故增加用户手动进行客户端自检的功能。
操作流程:客户端右键托盘->版本信息或开始菜单->ErrDecter,以管理员身份运行。
自检模块包括:AVS、CORE、CU、DF、DM、HM、NF、ODC、PROT、tdlp等所有模块。
1、客户端右键托盘->版本信息,版本信息右下角中的客户端自检按钮,或者点击开始菜单中的开始菜单->ErrDecter以管理员身份运行(此种是方式是为了防止当客户端托盘进程崩溃导致无处找到自检按钮)。如图所示。
2、以管理员身份运行后,自行检查各模块异常情况,如图的杀毒模块异常。
3、针对自检结果自行,点击一键修复或者以后再说(忽略问题不修复)。一键修复自动执行成功修复完成。若一键异常导致修复失败,如图中的AVS异常即自检出的结果是没有avs组件,查看指定的目录下确实没有avs组件,按照提示覆盖安装即可。
注意:NF、HM、AVS模块自检成功后重启电脑生效。
2.3.13终端账号绑定
- 仅绑定关系匹配的账号可登录该终端,绑定的账号只能在对应绑定的终端上登录(未做绑定的账号可登录未做绑定的终端)。
- 账号登录时,若绑定关系不匹配,则登录失败,终端的登录状态变为“未登录(绑定关系异常)”。
2.4 Windows客户端防泄漏功能
当违反管理员设置的规则后,发送的文件内容或者消息内容命中检测规则时,就会产生响应的告警。客户端会有告警弹窗显示,阻止不能发送之后,可以走文件发送审批流程批准后再次发送。
2.5 Windows客户端分类分级功能
扫描策略组下发到终端后,如果文件或者压缩包内容能够命中检测规则,文件右键-属性会增加一列“分类分级属性”,效果如下图:
本标签不会对文件产生任何影响,做一个标记做资产梳理。
第三章 Linux客户端功能使用
3.1 客户端安装包下载
服务器安装完成后,登录电子文档安全管理系统控制台,在首页点击“下载客户端安装包”进行下载,如下图所示:
说明:管理控制台需要上传有linux客户端安装包,才可以点击下载。
3.2 Linux客户端安装
Linux客户端内核支持根据系统版本不同进行分割。
Ubuntu14 支持的内核版本详情列表为: 3.13.0-101-generic 3.13.0-24-generic 3.16.0-67-generic 3.19.0-58-generic 4.2.0-18-generic 3.13.0-110-generic 3.13.0-32-generic 3.16.0-71-generic 3.19.0-59-generic 4.2.0-19-generic 3.13.0-121-generic 3.13.0-40-generic 3.16.0-73-generic 3.19.0-61-generic 4.2.0-21-generic 3.13.0-132-generic 3.13.0-51-generic 3.16.0-77-generic 3.19.0-64-generic 4.2.0-22-generic 3.13.0-141-generic 3.13.0-61-generic 3.19.0-18-generic 3.19.0-65-generic 4.2.0-23-generic 3.13.0-151-generic 3.13.0-70-generic 3.19.0-23-generic 3.19.0-66-generic 4.2.0-25-generic 3.13.0-160-generic 3.13.0-83-generic 3.19.0-26-generic 3.19.0-68-generic 4.2.0-27-generic 3.13.0-162-generic 3.13.0-91-generic 3.19.0-28-generic 3.19.0-69-generic 4.2.0-30-generic 3.13.0-163-generic 3.16.0-25-generic 3.19.0-33-generic 3.19.0-71-generic 4.2.0-34-generic 3.13.0-164-generic 3.16.0-30-generic 3.19.0-37-generic 3.19.0-73-generic 4.2.0-35-generic 3.13.0-165-generic 3.16.0-40-generic 3.19.0-39-generic 3.19.0-74-generic 4.2.0-36-generic 3.13.0-166-generic 3.16.0-50-generic 3.19.0-43-generic 3.19.0-75-generic 4.2.0-38-generic 3.13.0-167-generic 3.16.0-57-generic 3.19.0-47-generic 3.19.0-77-generic 4.2.0-41-generic 3.13.0-168-generic 3.16.0-59-generic 3.19.0-49-generic 3.19.0-78-generic 4.2.0-42-generic 3.13.0-169-generic 3.16.0-60-generic 3.19.0-51-generic 3.19.0-79-generic 3.13.0-170-generic 3.16.0-62-generic 3.19.0-56-generic 3.19.0-80-generic
Ubuntu16 支持的内核版本详情列表为:
4.10.0-14-generic 4.15.0-13-generic 4.4.0-148-generic
4.10.0-20-generic 4.15.0-140-generic 4.4.0-150-generic
4.10.0-30-generic 4.15.0-142-generic 4.4.0-151-generic
4.10.0-40-generic 4.15.0-15-generic 4.4.0-154-generic
4.13.0-16-generic 4.4.0-101-generic 4.4.0-157-generic
4.13.0-21-generic 4.4.0-112-generic 4.4.0-159-generic
4.13.0-31-generic 4.4.0-121-generic 4.4.0-21-generic
4.13.0-39-generic 4.4.0-130-generic 4.4.0-31-generic
4.13.0-41-generic 4.4.0-131-generic 4.4.0-42-generic
4.13.0-43-generic 4.4.0-133-generic 4.4.0-51-generic
4.13.0-45-generic 4.4.0-134-generic 4.4.0-62-generic
4.15.0-107-generic 4.4.0-135-generic 4.4.0-70-generic
4.15.0-112-generic 4.4.0-137-generic 4.4.0-81-generic
4.15.0-115-generic 4.4.0-138-generic 4.4.0-91-generic
4.15.0-117-generic 4.4.0-139-generic 4.8.0-34-generic
4.15.0-120-generic 4.4.0-140-generic 4.8.0-41-generic
4.15.0-122-generic 4.4.0-141-generic 4.8.0-51-generic
4.15.0-123-generic 4.4.0-142-generic 4.8.0-58-generic
4.15.0-128-generic 4.4.0-143-generic
4.15.0-137-generic 4.4.0-145-generic
4.15.0-139-generic 4.4.0-146-generic
Ubuntu18 支持的内核版本详情列表为: 4.15.0-58-generic 5.0.0-41-generic 5.4.0-40-generic 4.18.0-13-generic 5.0.0-43-generic 5.4.0-42-generic 4.18.0-14-generic 5.0.0-44-generic 5.4.0-45-generic 4.18.0-15-generic 5.0.0-47-generic 5.4.0-47-generic 4.18.0-16-generic 5.0.0-48-generic 5.4.0-48-generic 4.18.0-17-generic 5.0.0-52-generic 5.4.0-51-generic 4.18.0-20-generic 5.0.0-53-generic 5.4.0-52-generic 4.18.0-21-generic 5.3.0-19-generic 5.4.0-53-generic 4.18.0-22-generic 5.3.0-22-generic 5.4.0-54-generic 4.18.0-24-generic 5.3.0-23-generic 5.4.0-58-generic 4.18.0-25-generic 5.3.0-24-generic 5.4.0-59-generic 5.0.0-15-generic 5.3.0-26-generic 5.4.0-60-generic 5.0.0-16-generic 5.3.0-28-generic 5.4.0-62-generic 5.0.0-17-generic 5.3.0-40-generic 5.4.0-64-generic 5.0.0-19-generic 5.3.0-42-generic 5.4.0-65-generic 5.0.0-20-generic 5.3.0-45-generic 5.4.0-66-generic 5.0.0-23-generic 5.3.0-46-generic 5.4.0-67-generic 5.0.0-27-generic 5.3.0-51-generic 5.4.0-70-generic 5.0.0-29-generic 5.3.0-53-generic 5.4.0-71-generic 5.0.0-31-generic 5.3.0-59-generic 5.4.0-72-generic 5.0.0-32-generic 5.3.0-61-generic 5.4.0-73-generic 5.0.0-35-generic 5.3.0-62-generic 5.4.0-74-generic 5.0.0-36-generic 5.4.0-37-generic 5.4.0-77-generic 5.0.0-37-generic 5.4.0-39-generic
Ubuntu20 支持的内核版本详情列表为: 5.4.0-37-generic 5.4.0-64-generic 5.8.0-34-generic 5.4.0-39-generic 5.4.0-65-generic 5.8.0-36-generic 5.4.0-40-generic 5.4.0-66-generic 5.8.0-38-generic 5.4.0-42-generic 5.4.0-67-generic 5.8.0-40-generic 5.4.0-45-generic 5.4.0-70-generic 5.8.0-41-generic 5.4.0-47-generic 5.4.0-71-generic 5.8.0-43-generic 5.4.0-48-generic 5.4.0-72-generic 5.8.0-44-generic 5.4.0-51-generic 5.4.0-73-generic 5.8.0-45-generic 5.4.0-52-generic 5.4.0-74-generic 5.8.0-48-generic 5.4.0-53-generic 5.4.0-77-generic 5.8.0-49-generic 5.4.0-54-generic 5.8.0-23-generic 5.8.0-50-generic 5.4.0-58-generic 5.8.0-25-generic 5.8.0-53-generic 5.4.0-59-generic 5.8.0-28-generic 5.8.0-55-generic 5.4.0-60-generic 5.8.0-29-generic 5.8.0-59-generic 5.4.0-62-generic 5.8.0-33-generic
centos7 支持的内核版本详情列表为: 3.10.0-1062.4.3.el7.x86_64 3.10.0-1062.el7.x86_64 3.10.0-1160.45.1.el7.x86_64 3.10.0-121.el7.x86_64 3.10.0-123.el7.x86_64 3.10.0-229.el7.x86_64 3.10.0-327.el7.x86_64 3.10.0-514.el7.x86_64 3.10.0-693.el7.x86_64 3.10.0-862.el7.centos.x86_64 3.10.0-862.el7.x86_64 3.10.0-957.el7.x86_64
测试的内核版本为:ubuntu 5.4.0-77-generic。
3.2.1 检查客户端环境
说明:Linux客户端安装发布版本以服务器下载的为准,文档中截图为测试版,安装卸载命令与发布版本一致,功能一致。
用户通过复制/下载等方式将安装包放入准备安装的linux系统,打开终端,并进入安装包所在目录,如下图所示:
备注:
- 打开终端方式:linux操作系统(ubuntu、centos)通过右键“打开终端(Open Terminal)”或同时按下Ctrl+Alt+T,进入终端界面。
- 进入安装包所在目录:cd 目录安装包文件夹;如上图 cd 下载
- 查看目录包含的文件:ls;如上图客户端安装包在下载目录;
1、赋予客户端安装包权限:
chmod 755 dsm-linux_5.2.6001.5-10.10.0.46-9445.sh
2、检查环境是否支持安装客户端:
./dsm-linux_5.2.6001.5-10.10.0.46-9445.sh -c(执行该命令时无需使用sudo命令)
若出现上图所示提示信息,说明客户端支持在该环境中安装,可继续执行安装步骤。
若出现如下图所示提示,说明客户端不支持在该环境中安装,无需再继续执行安装步骤:
3.2.2 有界面操作系统-安装客户端
检查安装环境后,且当前系统支持安装客户端,在当前目录下执行命令:
./dsm-linux_5.2.6000.4-172.16.23.142-9445.sh -i (执行该命令时无需输入sudo),如下图:
执行安装命令后,终端出现如上图所示提示输入当前终端登录用户的密码,安装完成后会有上述提示重启信息,手动重启终端后系统任务栏显示托盘图标。
3.2.3 无界面操作系统-客户端登录
第一步安装:安装命令./dsm-linux_5.2.6001.5-10.10.0.46-9445.sh -ic
第二步设置参数:dsmCmdClient -s
根据提示设置服务器地址和端口,以及设置账号和密码,如上图。
第三步:测试连接dsmCmdClient -t
第四步:账号登录dsmCmdClient -l
备注:若-l登录的时候,提示打开字符设备失败(open chardev failed error -1),重启电脑,再次登录执行dsmCmdClient -l即可。
3.3 客户端卸载
卸载客户端时,若客户端没有登录用户或当前登录用户没有卸载权限时,输入卸载命令:dsm-uninstall,会有提示信息无法卸载,如下图所示:
若客户端登录的当前用户策略中有卸载权限,输入卸载命令:dsm-uninstall,提示输入系统用户的密码,输入正确后有提示重启信息,代表卸载成功,重启终端后则加密客户端卸载成功,原本的加密文件将无法打开。
注:客户端卸载后,加密文件将无法打开。
3.4 Linux客户端功能
3.4.1 客户端登录
客户端安装完成并已重启计算机,在任务栏点击托盘
,出现操作菜单,点击“显示登录界面”,弹出客户端登录对话框,如下图所示:
连接设置:在登录界面,点击“连接设置”,进入设置客户端需要连接的DSM服务器信息界面,正确输入服务器IP及端口后,点击“连接测试”,提示测试成功即可。如下图所示:
登录客户端:设置连接服务器并测试连接成功,保存设置后返回登录界面,正确输入账号、密码信息,点击“登录”即可,如下图所示:
若登录成功,客户端托盘高亮显示,点击托盘,操作菜单中用户状态显示为在线。
备注:如果从服务器推送新包下来,点击更新后台自动执行更新,服务器设置和账号密码等参数继承更新前的。
3.4.2 透明加密
功能:用户对需要加密的文件编辑保存后,后台对文件自动加密,无需用户干预。
前提:用户对需要加密的文件的程序有加密策略
操作流程:编程受控程序文件并保存→后台自动加密→透明加密成功
以受控Linux.办公类soffice为例,当前登录客户端用户所属安全策略受控程序添加soffice程序,打开soffice文件,编辑文件内容后保存退出,后台对soffice文件自动加密,且显示加密锁图标,如下图所示:
选择带有加密锁图标的文件,右键菜单中包含“查看密文属性”子菜单,可查看当前文件所属的安全域信息,如下图所示:
3.4.3 手动加密
功能:用户对需要加密的文件手动进行加密操作,支持单个或批量加密文件。
操作流程:右键明文→选择加密文件→手动加密成功
选择明文,在右键菜单点击“加密文件”,开始手动加密文件,加密完成后会给出如下图所示提示:
文件手动加密完成,显示加密锁图标,右键查看密文属性,显示当前文件的所属安全域信息,与当前登录客户端用户的安全域一致。
若文件已被加密,执行加密操作时,提示文件已加密,如下图所示:
3.4.4 手动解密
功能:对已经加密的文件,进行解密操作,支持单个及批量文件解密。
前提:
①文件已加密;
②该用户有对该安全域的加密文件解密权限。
操作流程:右键加密文件→选择解密文件→手动解密成功。
选择加密文件,在右键菜单点击“解密文件”,执行文件解密操作,解密完成后给出如下图提示界面:
文件解密成功,加密锁图标消失,文件右键菜单不再显示密文属性。
若用户不具有该文件安全域的解密权限时,无法对当前文件进行解密,并给出提示:
3.4.5 调整文件安全域
功能:对已经加密的文件,进行调整文件安全域操作,支持单个或批量调整文件安全域。
前提:
①文件已加密;
②该用户有对密文安全域进行调整安全域权限。
操作流程:右键加密文件→选择调整安全域→安全域调整成功。
右键加密文件,点击“调整安全域”,进入设置安全域界面,如下图所示:
在选择安全域列表中选择需要调整到的安全域,点击“确定”,开始调整文件安全域,调整完成后给出如下界面:
调整成功后,查看密文属性,文件所属安全域显示为调整后的安全域。若用户不具有该密文对应安全域的调整权限,调整安全域时提示如下图所示:
3.4.6 工作模式切换
功能:用户在客户端状态为2种:启动加密模式和停止加密模式。
启动加密模式:用户对添加到“启动加密模式”下的受控程序策略中的程序所产生的文件能透明加密。
停止加密模式:客户端处于停止加密模式时,受控程序策略不会下发生效(即停止加密模式下停止受控程序策略,文件不会透明加密)。
前提:用户所属的安全策略中勾选了工作模式切换。
操作流程:点击客户端托盘→停止加密模式→启动加密模式。
3.4.6.1 启动加密模式
- 用户不具有“工作模式切换”权限,登录客户端默认为“启动加密模式”,点击客户端托盘,不能通过操作菜单切换工作模式;
- 当前登录客户端用户具有“工作模式切换”权限,且当前客户端处于“停止加密模式”,点击托盘,在操作菜单中选择“启动加密模式”,客户端工作模式由“停止加密模式”切换到“启动加密模式”:
客户端处于启动加密模式时托盘高亮显示
,对“启动加密模式”下添加的受控程序进行编辑保存,实现文件透明加密。
3.4.6.2 停止加密模式
当前登录客户端用户具有“工作模式切换”权限,且当前客户端处于“启动加密模式”,点击托盘,在操作菜单中选择“停止加密模式”,客户端工作模式由“启动加密模式”切换到“停止加密模式”:
客户端处于停止加密模式时托盘置灰显示
,停止下发受控程序策略,不会实现透明加密功能。
备注:
- 停止模式即停止透明加密,安全策略中的受控程序不再生效。
- 客户端拒绝接入、离网超时或被其他终端挤下线状态下,策略不再生效,无法使用密文。
3.4.7 离网与离网补时
功能:当客户端脱离网络或与服务器无法保持通信后,客户端会自动进入离网状态,离网时长与策略中设置的允许离网时长一致。当离网时长耗尽后,则无法再正常使用加密客户端,无法使用密文。
客户端处于离网状态及离网耗尽状态时,可以使用离网补时功能增加离网时长。
3.4.7.1 离网
当前客户端与服务器无法正常通信后,自动进入离网状态,显示离网补时选项和剩余离网时长:
当前客户端处于离线状态且有剩余离网时间时,加密客户端的功能可以正常使用。当客户端处于离网耗尽状态后,加密客户端将无法正常使用密文,如下图:
3.4.7.2 离网补时
当前客户端处于离网状态,并通过离网补时审批获取到补时码,进入离网补时管理界面,复制获取的补时码到输入框,点击“导入”,提示补时成功,如下图所示:
补时成功后,点击托盘,剩余离网时间根据申请的补时时长进行延长。
客户端进入离网状态后,操作菜单中不显示“我的流程”菜单,须通过打开浏览器访问服务器地址,发起离网补时审批。
3.4.8 授权文件 (5.3.1000支持)
功能:支持本地文件制作授权文件,查看,允许使用授权密文,进行修改、还原、查看授权文件权限等。
且支持输入cat /dev/vtdsmdev 命令查看用户安全策略,allowMakeDrmFile值显示用户是否可以制作授权文件,勾选:true,不勾选:false。如下图所示:
3.4.8.1 制作授权文件
支持明文、普通密文制作授权文件,不支持压缩包、授权密文制作授权文件。选择压缩包制作授权文件,提示:压缩包不能制作授权文件。
点击“制作授权文件”按钮后,进入制作授权文件页面,可自己选择密级、保密时限、选择模板、用户权限等信息。
点击"生成文件"按钮,提示操作成功,且原文件路径下自动生成1个授权密文;点击"取消"按钮,不会生成授权密文。
3.4.8.2 修改授权文件
选中授权文件,右键出现“修改授权文件”操作按钮。
支持修改授权文件,修改密级、保密时限、选择模板、用户权限等信息
备注:用户权限目前支持只读、修改、打开次数、时间限制功能。不支持打印功能。由于linux没有实现不能复制、不能分发功能控制,所以,所有用户都可以复制授权文件内容,右键修改授权文件分发操作。作者和其它用户分发操作区别如下图:
3.4.8.3 还原授权文件
选中授权文件,右键出现“还原授权文件”操作按钮。
支持将授权密文还原成普通密文,点击“还原授权文件”按钮后,提示:授权文件还原成功,且授权文件被成功还原成普通密文。
3.4.8.4 查看授权文件权限
选择授权文件,右键出现“查看授权文件权限”操作按钮
支持查看授权文件信息:权限信息、用户权限
3.4.8.5 文件操作日志上传
目前实现结果:只有授权文件变更和授权文件制作数据上传了,授权其它操作类型,没上传到服务器
3.4.9 进程名和受控类型支持通配符*和?(5.3.1000支持)
功能:进程名和受控类型都支持通配符*和?,编程受控程序文件并保存→后台自动加密→透明加密成功。
3.4.9.1 进程名支持通配符*和?
以受控Linux.编辑类gedit为例,将gedit修改为g*或者ge???,当前登录客户端用户所属安全策略受控程序添加gedit程序,编辑保存后缀是.java文件,后台对java文件仍然能够自动加密,且显示加密锁图标。如下图所示:
例如:将进程名gedit修改成ge???,使用命令reboot重启后,再创建文件名称为28.java的文件,编辑保存后,该文件仍然能够自动加密。如下图所示:
3.4.9.2 受控类型支持通配符*和?
以受控Linux.编辑类gedit为例,将受控类型,.java修改为 .j??? 或者 .j* 或者 ??.java,当前登录客户端用户所属安全策略受控程序添加gedit程序,编辑保存符合后缀格式的文件,该文件仍然能够自动加密,且显示加密锁图标。如下图所示:
例如:将受控类型.java修改成.ja??,使用命令reboot重启后,再创建文件名称为7g.jabb的文件,编辑保存后,该文件仍然能够自动加密。如下图所示:
第四章 Mac客户端功能使用
4.1 安装环境检查
(1)客户端安装前检查macOS系统SIP保护机制是否关闭,开机后进入终端查看当前sip状态,使用命令:csrutil status,查看SIP状态,如果已经是disable,就不用特意再去关闭(默认情况下是开启的)。若是enable状态则要关闭,关闭之后才可运行并安装mac客户端。
sip关闭方法可参考百度教程,重点步骤如下:
①开机瞬间,command+R进入修复模式,关闭SIP保护机制
②点击实用工具,进入终端,在终端上输入命令:csrutil disable。
百度教程链接如下:https://jingyan.baidu.com/article/9c69d48ff88b3813c9024e9d.html
③特别说明:M1除了关闭sip外还需要关闭安全策略。
教程链接如下:https://zhuanlan.zhihu.com/p/360720953?ivk_sa=1024320u
(2)支持Macos系统版本和软件
mac系统版本:理论支持MacOS 10.15.0(包括)至MacOs 12.3版本,经测试/10.15.1/10.15.6/11.4/11.5/12.2.1/12.3
| 软件名称 |
版本 |
保存格式 |
|---|---|---|
| Microsoft Word |
Office2016 :16.11(180311) 16.12(180410) 16.11.1(180319) 16.16.3(181015) 16.16.5(181209) Office2019 :16.18(181014) |
docx doc dotx dot odt rtf pdf |
| Microsoft Excel |
Office2016 :16.11 (180311) 16.12(180410) 16.11.1(180319) 16.16.3(181015) 16.16.5(181209) Office2019 :16.18(181014) |
xlsx xls xltx xlt pdf |
| Microsoft PowerPoint |
Office2016 :16.11 (180311) 16.12(180410) 16.11.1(180319) 16.16.3(181015) 16.16.5(181209) Office2019 :16.18(181014) |
pptx ppt potx pot odp pdf |
| Pages |
7.0.1 (5579) 7.1(5683) 7.3(5989) |
docx doc pages |
| Numbers |
7.0.1 (5579) 7.1(5683) 7.3(5989) |
xlsx xls numbers |
| Keynote |
8.0.1 (5579) 8.1(5683) 8.3(5989) |
key ppt pptx |
| Preview(预览.app) |
10.0 10.1 |
pdf png jpg jpeg |
| Adobe Photoshop |
Adobe Photoshop CC 2018(19.1.2版) |
psd |
| Adobe Illustrator |
Adobe Illustrator CC 2018 |
ai |
| WPS Office |
WPS Office1.7.0(2619)、4.0.0(6524) |
docx doc xlsx xls pptx ppt wps |
| Xmind |
Xmind8Update8(R3.7.8.201807240049); Xmind ZEN(201909210108); XmindZEN2020(201911180024); |
xmind |
| Capture One |
Capture One 12 |
bmp png jpg jpeg dng tif tiff psd |
| QuickTime Player |
QuickTime Player |
mp4 mov mpg mpeg mpe m4v aac amr flac mp2 mp3 wav m4a |
| PDF Reader Pro Lite |
PDF Reader Pro Lite 2.8.3 |
pdf |
注意:
① wps受控之后,生成的密文只能保存到本地,不可保存云文档,不能登录云账号。
4.2 安装客户端
登录服务器管理控制台,点击“下载客户端安装包”,选择Mac客户端下载安装包(前提是系统设置-客户端安装包已上传mac终端),如下图所示:
注:在安装前确保已经关闭SIP保护,以防对安装过程和结果产生影响。若安装老版本的客户端(r2.02.06之前的版本)需卸载安装新包(因新包安装路径更换)。
获取到安装包后,双击安装包,弹出的安装向导界面,点击“继续”如下图:
备注:若双击安装包提示不可打开,进入系统偏好设置中--安全性与隐私,点击仍要打开即可正常进入安装界面。
进入重要信息提示界面,用户查看界面提示信息后,确定继续安装客户端,点击“继续”,如下图所示:
备注:系统存在多个盘符时,安装时会进入“目标宗卷”选择界面,须选择系统盘安装。且选择到某个宗卷中安装,客户端就在当前宗卷中生效,未选择安装的宗卷不生效。
进入确定安装客户端向导页面,确定安装点击“安装”,如下图所示:
安装客户端时,需系统用户验证,正确输入mac电脑用户密码信息,点击“安装软件”,如下图所示:
再次弹出确认安装提示界面,点击“继续安装”,如下图所示:
- 开始安装客户端,安装过程大概持续1分钟,安装完成后,进入下图所示界面:
安装完成后,根据提示界面,点击“重新启动”,重启计算机后,右上角显示客户端端托盘,默认离线置灰显示,如下图所示:
点击托盘,出现操作菜单,如下图所示:
客户端安装强制重启电脑后,提示dsm-kext软件更新。务必进入到系统偏好设置-安全性与隐私,解锁,点击“允许”。
点击允许后,按照提示重新启动mac系统。此时完成客户端的安装。
4.3 客户端卸载
客户端账号通过权限卸载来控制卸载,卸载方法:进入系统偏好设置,点击dsm-mac客户端图标,当用户有卸载权限并且获取到卸载权限时,弹出的dsm-mac菜单上,有“卸载”按钮,点击卸载,输入计算机用户密码,然后根据提示重新启动计算机。计算机重启后,检查下,启动台中的客户端图标上带问号 
,此时选中带问号的客户端图标拖动废纸篓即可。
当用户无卸载权限时,弹出的dsm-mac菜单上没有“卸载”按钮,从而控制用户无法卸载客户端的目的。
备注:卸载的截图版本version版本是测试中版本,以最终版为准,功能一致。
4.4 Mac客户端功能
4.4.1 用户登录
(1)连接设置:进入客户端登录界面,点击“连接设置”,输入需要连接的dsm服务器地址和网络端口、消息服务器地址和端口、审批服务器地址和端口(各服务器地址和端口,若从服务器上下载默认带上参数),点击“连接测试”,提示测试成功即可(注:若输入错误地址和端口,点击测试后,提示测试失败),点击“ok”键返回到登录界面,如下图所示:
(2)配置dsm服务器信息后,返回到登录界面后输入正确的账号密码,点击“登录”(注:若输入错误的用户名密码,则登录失败,提示相关错误信息)
(3)登录成功,鼠标移至右上角客户端托盘处浮窗显示:用户xxx在线;点击托盘显示操作菜单,如下图所示:
需要切换账号时,点击“显示登录界面”,输入需要切换的账号后登录客户端即可。
(4)客户端支持域账号和第三方账号登录。
4.4.2文件透明加密
功能:用户对需要加密的文件编辑保存后,后台对文件自动加密,无需用户干预。该加密操作对用户完全透明。
前提:用户对需要加密的文件的程序有加密策略,受控的程序符合版本要求。
操作流程:编程保存文件→后台自动加密→透明加密成功
编辑需加密的文件:
本截图示例为Pages文稿。用户已经对Pages程序添加加密策略
(1)打开Pages文稿,选择任意模板。输入文件内容:
(2)保存退出后,后台对pages自动加密,文件的旁边出现加密盾牌标识(如未出现加密图标请参考“注意所述内容”),以此来辨别密文与明文,不同的排列方式图标的位置不同,如下图:
注意:
密文锁标:文件加密后,密文在文件夹中显示锁标,如果在桌面、在标记、在最近使用、在文件夹画廊下等方式下不显示(mac系统本身不支持)。
密文锁标和右键插件显示:密文锁标和右键加解密调整安全域有时不显示,当不显示时,点击系统偏好设置中的扩展,将dsm-client勾去掉最后再勾上。如果这样操作还是不显示按住option键,选中finder(访达)点击其菜单上的“重新开启”。
客户端密文锁标不及时出现,空白处右键刷新密文锁标。
文件加密的同时在该密文的右键菜单中会新增一个“密文属性”,该密文属性显示的是当前密文的文件属性,如下图所示。选中文件按空格键快速查看该密文不能显示其正文。
当没有权限的用户或者不同权限的用户或者用户没有对此程序受控,去打开此密文的时候会显示如图现象,文件无法打开,如下图所示:
4.4.3右键加密功能
功能:用户对需要加密的文件手动进行加密操作。
操作流程:选中明文或文件夹→右键选择文件加密→手动加密成功
(1)右键明文或多个文件(文件明文或密文)或文件夹,在右键菜单选择“文件加密”,如下图所示:
手动加密完成后,给出下图所示界面:
若选择的文件中含有加密文件,再次手动加密,会给出相应的提示信息,如下图所示:
(2)文件手动加密完成之后,显示密文锁标,选中文件右键查看密文属性,显示当前文件所属的安全域。
备注:密文锁标不能及时显示,使用右键刷新密文锁标功能
4.4.4 右键解密功能
功能:对已经加密的文件,进行解密操作。
前提:
①文件已加密;
②该用户对该安全域的加密文件有解密权限。
操作流程:选中待解密文件→右键选择文件解密→手动解密成功。
(1)选择密文或者多个文件或者文件夹在右键菜单点击“文件解密”,如下图所示:
解密完成后,弹出如下图所示界面:
若选择的解密文件中包含没有解密权限的文件或明文,不会正确解密,并给出下图所示提示:
(2)文件解密成功后,密文锁标消失。此时文件为一份明文,任意用户或者用户未登录或客户端被卸载(未安装)的情况下都可以打开文件。
(3)文件解密成功上传日志至服务器日志管理-文件日志。
注意:
文件加解密调整安全域不穿透压缩包
文件加解密等操作后会影响文件权限(如脚本文件加解密操作后,可能失去执行权限)
授权文件不能解密
4.4.5 调整文件安全域
在文档安全管理系统中,每一个用户都有一个默认的安全域,根据安全域,可以将政企事业单位内部用户创建的文件,划分为不同的安全域,可根据政企事业单位内部实际情况设置不同安全域产生的文件是否可以相互打开,如销售部不能打开财务部的文件,财务可以打开销售部的文件。
服务器操作:进入管理控制台单击“安全策略中心”-“安全域管理”,进入到安全域管理界面。在该界面,单击“新增安全域”按钮,在弹出新增安全域窗口输入安全域名称如“技术安全域”,单击“保存”按钮即可。如下图所示:
“组织架构管理”-“部门与用户管理”,进入到组织架构管理界面。在该界面单击选择一个用户,在弹出修改用户窗口选择安全域如“技术安全域”,单击“保存”按钮,在组织架构下,该用户的默认安全域显示为“技术安全域”,即完成设置单个用户的安全域。或者通过批量设置方式配置用户安全域(详见服务器操作手册)。
客户端调整安全域操作:用户可对有调整安全域权限的密文进行右键调整安全域。
前提:
①文件已加密;
②该用户对该安全域的加密文件有调整安全域权限。
操作流程:选中待调整密文→右键调整安全域→选择安全域→调整安全域成功。
选择密文或者多个文件或文件夹,在右键菜单点击“调整安全域”,如下图所示:
弹出调整安全域处理页面,选择需要调整到的安全域,如下图所示:
选择安全域列表包含了当前用户具有调整权限的安全域,选择安全域后,点击“确定”,调整安全域成功,并给出下图所示界面:
若选择的文件中包含没有调整权限的文件,不会调整文件安全域,并给出下图所示界面:
4.4.6 密文属性
文件被加密(透明加密/右键加密/调整安全域/授权文件/外发文件)之后,右键文件新增“密文属性”菜单。
功能:对已经加密的文件,查看其密文属性。
前提:文件已被加密
操作流程:右键密文属性→可查看该密文文件信息和用户权限信息
4.4.6.1 普通密文/授权密文
普通密文和外发密文图标显示相同为经典红标盾牌,操作步骤如下:
选择单个密文,在右键菜单点击“密文属性”,如下图所示:
点击“密文属性”,进入查看文件属性界面,如下图所示:
查看文件属性界面显示当前密文的文件信息(文件路径、文件安全域、授权文件)和用户权限信息(打开权限、解密权限、调整安全域权限)。
4.4.6.2 授权密文
授权密文图标显示为蓝标盾牌,右击授权密文显示如下:
点击授权文件属性即可查看授权密文信息授权密文信息显示如下:
基本内容包括路径、授权信息以及用户权限。
注意:
- 选择多个文件不显示“密文属性”菜单。
- 授权文件文件均不能打开,当前没对授权文件做控制。
4.4.7右键刷新锁图标
功能:客户端密文锁标不能及时出现,密文所在位置的空白处右键点击刷新锁图标接客显示出密文图标。
备注:目前mac客户端安全策略中支持内容复制控制和浮水印设置,内容复制中暂不支持限制文字数功能,浮水印设置中支持显示窗口浮水印。
4.4.8工作模式切换
功能:用户在客户端状态为2种:启动加密模式和停止加密模式。
启动加密模式:用户对添加到启动加密模式下的受控程序策略中的程序所产生的文件能透明加密。
停止加密模式:客户端处于停止加密模式时,受控程序策略不会下发生效(即停止加密模式下停止受控程序策略,文件不会透明加密)。
前提:用户具有工作模式切换权限。
操作流程:点击托盘盾牌图标→关闭加密模式→启动加密模式。
4.4.8.1 停止加密模式
客户端用户有工作模式切换权限且处于启动加密模式。点击客户端托盘,选择“停止加密模式”菜单:
客户端处于停止加密模式时托盘置灰显示,停止下发受控程序策略,不会实现透明加密功能,密文不能打开。
4.4.8.2启动加密模式
客户端用户有工作模式切换权限且处于停止加密模式。点击客户端托盘,选择“开启加密模式”菜单:
客户端处于启动加密模式时托盘高亮显示,对“启动加密模式”下添加的受控程序进行编辑保存,实现文件透明加密,正常打开受控密文。
登录客户端用户不具有工作模式切换权限,只有启动加密模式,不会进入停止加密模式状态。
备注:
- 文件权限:目前打开文件、解密文件、调整安全域已实现,其他打印文件、外发文件无效。
4.4.9 离网补时
功能:客户如需出差或离开网络,自动进入离网模式(客户端会弹通知进入离网)。在离网时间内,用户仍可以加解密文件,同时,用户离网时长快耗尽,还需继续离网时,可通过离网补时的方式,增加离网时长。
(1)客户端处于离网状态时,进入离网补时界面,输入需要补时时长,点击“生成”,申请码输入框中出现申请码,如下图所示:
用户复制申请码,登录管理控制台,发起离网补时审批流程,流程审批通过归档后获取到补时码,复制补时码到离网管理界面补时码输入框,点击“导入”,导入成功后给出下图所示界面:
补时成功后,客户端离网剩余时间在原基础上增加申请时长。
备注:申请补时后,请勿重启电脑,否则补时码则无效。
4.4.10用户状态
客户端安装之后,鼠标移动到托盘图标处实时显示用户当前处于什么状态。
4.4.10.1 正常在线
当客户端与服务器正常通讯,且设置正确的服务器参数和账号密码,客户端正常在线。此时客户端登录用户的权限策略生效,对受控程序透明加密,根据配置的权限对不同安全域密文能否打开、解密、调整安全域等操作。
4.4.10.2 离网
当客户端与服务器之间通讯异常(断网、服务器断电或者其他特殊原因),用户登录或自动刷新或手动刷新策略,客户端进入离网状态,当鼠标移至托盘处浮窗显示离网状态,如下图:
此时自动继承登录上一次成功登录的用户,客户端权限策略在设定时间内继续生效。
注意:
允许离网时长可在管理控制台上对其设置;
当剩余时间为0分钟,客户端权限策略不再生效;
4.4.10.3 未登录
当服务器设置终端账号开启客户端准入或服务器授权到期或账号被其他终端踢下线,客户端进入离线状态且客户端置灰,如下图:
此时之前权限策略不再生效,右键操作无效并会出现相关提示。
4.4.11文件互通
功能:加密文件与Windows、linux系统互通,狗号密钥相同的服务器下客户端,对密文拥有对应权限
(1)Mac客户端用户A对文件透明加密或右键加密或调整安全域后,将该密文传输到Windows和Linux端。在Windows和Linux客户端上登录的用户B有打开此文件的权限,用户B可正常打开编辑保存(打开操作时密文程序要被受控)该密文,且可对密文右键操作加解密调整安全域等操作。若Windows和Linux端登录的用户没有相应权限,无法打开编辑保存、右键加解密调整安全域等操作。
(2)在Windows和Linux客户端用户A对文件透明加密或右键加密或调整安全域后,将该密文传输到Mac端。在Mac客户端上登录的用户B有打开此文件的权限,用户B可正常打开编辑保存(打开操作时密文程序要被受控)该密文,且可对密文右键操作加解密调整安全域等操作。若Mac端登录的用户没有相应权限,无法打开编辑保存、右键加解密调整安全域等操作。
(3)在Windows制作的外发文件,或者外发审批生成的外发文件,外发密文传到mac终端,当成普通密文处理,根据当前账号权限获取对外发密文的处理。
(4)在Windows制作的授权文件,或者授权审批流程生成的授权文件,授权密文传到mac终端,右键密文属性,会显示是授权文件的属性,无论客户端具备什么权限均不能打开授权密文。
第五章 工作流审批系统使用
工作流审批分为文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、离网补时审批、授权文件制作审批、授权文件修改审批、授权文件权限申请审批、文件发送审批。在实际操作环境中,用户可能需要查看不具有打开该安全域权限的文件或申请离网时间等,需要通过发起审批流程,且审批通过后即可实现。
审批模板类型说明:
| 模板类型 | 功能 |
|---|---|
| 文件解密审批 |
解密普通密文、授权密文 |
| 文件外发审批 |
外发普通密文、授权密文 |
| 调整文件安全域审批 |
调整普通密文安全域 |
| 离网补时审批 |
离网时间将耗尽,再申请补时 |
| 邮件解密审批 |
解密普通密文后并发送至指定邮箱 |
| 授权文件制作审批 |
将普通密文、明文制作成授权文件 |
| 授权文件修改审批 |
对授权文件密级、权限等进行修改 |
| 授权文件权限申请审批 |
申请授权文件权限:只读、读写、打印、内容复制、打开次数、打开时间等 |
| 文件发送审批 |
对发送文件、限制发送次数、限制发送时间 |
5.1系统登录
5.1.1由客户端登录
- windows客户端右键托盘图标,在菜单选择“审批相关”,红框内子菜单均为进入工作流审批系统的快捷入口。
- 选中文件或文件夹,右键选中文档审批,选择某个流程名称后点击即可进入上传文件窗口,上传文件完成后自动跳转到申请页面:
若客户端是英文环境,自动跳转到英文界面上。
linux客户端由客户端托盘发起或接受流程,点击菜单上的审批流程,以当前账号密码登录至web审批页面。
mac客户端由客户端托盘,点击菜单审批流程,以当前账号密码登录至web审批页面。
5.1.2由浏览器登录
用户登录工作流审批系统,输入账号和密码登录后,进入系统:
5.2系统使用
5.2.1我的流程
该模块显示当前登录用户的待办事宜、发起流程、我的请求、已办事宜、我的接收、草稿箱;
5.2.1.1待办事宜
待办事宜记录了登录用户所有未处理的审批流程。用户可以根据需要处理审批流程,也可对流程信息进行筛选查询后进行审批操作。进入“我的流程”→“待办事宜”页面,如下图所示:
备注:
流程中的发起人被删除、会签的某个审批人被删除、非会签审批人全部被删除,所有接收人或者发起人指的所有接收人、审批人指定的所有接收人全部被删除,则该流程进入异常。该流程主题中显示告警图标,当前步骤为流程异常的那一步。
1、当流程异常时,点击异常流程主题,进入流程详情页面:
① 若审批人被删除,则在流程主题处显示告警图标,并写明原因:发起人被删除!
② 若部分会签审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
③ 若非会签所有审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
④ 若接收人被删除,则在流程主题处显示告警图标,并写明原因:接收人被删除!
2、选择正常待审批的流程,点击流程主题,进入流程详情页面:
备注:
- 若管理员开启“ 流程审批预览”功能 ,则流程审批的“待办事宜”和”已办事宜”点击“预览”按钮,可以图片的方式预览审批文件,并添加水印(水印默认显示公司名称、当前账号、当前时间,水印显示方式默认为斜式平铺),用于拍照、录屏的泄密追溯。若取消“流程审批开启预览”的功能,则流程审批中“待办事宜”、“已办事宜”不显示预览按钮。
- 若管理员开启“ 流程审批禁止下载文件”功能 ,则流程审批中“我的请求”、“待办事宜”、“已办事宜”(待处理和已处理)中均不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
- 若管理员开启“ 邮件通知审批人” ,有待审批人审批的流程时,会邮件提示审批人。
审批人进行审批:
点击“批准”,输入审批审批意见(审批意见:必填项),完成当前步骤的流程审批,按照流程走向进入下一步骤审批(若无下一步骤,流程归档)。
点击“提前完成”,在流程提前结束界面,输入审批审批意见(审批意见:必填项),提前结束流程,后续步骤审批人不会再收到审批消息,不需再审批。
点击“驳回”,出现驳回弹窗,若含有多个审批步骤,选择具体驳回到第几步骤,并输入驳回意见(审批意见:必填项),点击“确定”完成审批。
驳回到某一步骤的审批人会再次收到审批提醒。
3、选择“文件解密审批”的流程,点击流程主题,进入流程详情页面:
待办事宜流程详情界面--“待处理文件”:符合“上传文件过滤”规则的文件,并通过客户端右键发起的解密审批文件不上传至服务器,并显示“文件无需上传”,“下载”按钮和“预览”按钮不显示。
5.2.1.2发起流程
该子模块显示当前登录用户所有可使用的审批流程模板,包含 “文件解密审批”、“文件外发审批”、“邮件解密审批”、“文件安全域调整审批”、“离网补时审批”、“授权文件制作审批”、“授权文件修改审批”、“授权文件权限申请审批”、“文件发送审批”、“文件发送审批”申请。
发起流程可通过右击文件,点击文档审批进入审批页面,也可以右键点击客户端托盘图标,弹窗“审批相关”—“发起流程”,进入发起流程页面如下图所示,此处的审批模板需要管理员在流程模板管理中进行创建。
特别说明:
1、起草申请界面通过点击模板名称打开该模板的起草申请页面,或客户端上右键文档审批选中审批模板链接可以打开该模板的起草申请界面。起草申请界面中需要正确填写和添加审批数据后,点击“发起”就成功发起审批流程到审批人。
2、流程模板增加是否勾选发起人勾选审批人功能。勾选即以下9个审批都具有该功能。发起时,步骤中各审批人缺省都不勾选,让发起人来做选择。仅发起人选择流程各节点时,发起的时候必须全部勾上每个节点的审批人,若存在未勾选的节点,发起时弹框提示“请勾选审批人”。勾选发起人选择审批人,发起时发起人选择整个流程走向。步骤中审批人不勾选审批人无法修改流程走向,但步骤中审批人可选则该审批人可以再次选择下一节点审批人。(5.3.1000新增)
不同的审批类型起草界面不同、输入的参数也不相同,下面详细说明,各类型审批中重复的数据不做重复说明。
5.2.1.2.1文件解密审批
客户端用户对某一个或多个文件普通密文或授权密文无查看或解密权限时,想查看或解密该密文时,可通过解密审批流程完成。通过解密审批生成解密后的明文,任何人都可以正常查看。
例如右键待解密文件,在菜单依次选择“文档审批”→“文件解密审批模板”,如下图所示:
备注:客户端右键选中文件发起审批,并符合“解密流程审批模板”的“上传文件过滤”规则的文件,无需上传文件。
选择审批模板后,直接进入审批系统发起流程页面,申请人为当前登录客户端账号,输入流程主题、选择原因、申请原因、添加文件后,点击“发起”,如下图所示:
申请人 :此项默认为当前发起审批用户的姓名[账号]。
流程主题: 填写后主要给审批人查看该条流程的主题内容,无格式限制,也可在申请查询中查看到。
选择原因: 下拉框数据来源于配置管理-原因字典,审批原因是开启状态,即可在审批中显示。
申请原因: 填写后主要给审批人查看申请此项审批的原因,无格式限制,也可在申请查询中查看到。
待发送文件 :在审批文件列表中显示所有已上传添加的待审批文件,并显示文件大小。由web点击“添加文件”按钮添加的文件均上传至服务器,通过客户端右键选中文件发起审批并符合“上传文件过滤”规则的文件,不上传至服务器,并显示“文件无需上传”。
文件上传方法:
①点击“添加文件”,在弹出的加载文件界面,选择需要解密的文件(可以上传多个文件)。“文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批、文件发送审批“文件上传方法相同。
②客户端右键选中文件发起审批,并自动上传文件。文件解密审批、文件外发审批、邮件解密审批、调整文件安全域审批、授权文件制作审批、授权文件修改审批、授权文件权限修改审批、文件发送审批“文件上传方法相同。
③客户端右键选中文件发起审批,并符合“上传文件过滤”规则的文件,针对“文件解密审批”无需上传文件。
审批步骤: 显示当前审批模板走完审批需要执行的审批步骤,及每个步骤中的审批人信息。当审批步骤设置“审批人可选”时,这里可以选择一个或多个审批人。
发起: 正确添加所有必需的数据后,点击发送可以发起审批,当审批文件比较大时会显示发起进度条,此时可以点击取消按钮,取消审批的发起操作。
保存草稿: 点击“保存草稿”,可保存到草稿箱,流程可在我的草稿中显示。
5.2.1.2.2文件外发审批
当普通密文或授权密文需要给政企事业单位外部人员查看,且同时又无客户端外发权限时,可通过文件外发审批来完成。点击外发审批流程名称,进入发起流程页面:
例如右键待审批文件,在菜单依次选择“文档审批”→“文件外发审批模板”,进入发起流程页面如下图:
密码验证: 勾选该项,设置密码后,该审批流程生成的外发包文件需密码验证才可以打开;不勾选时使用外发文件不需要密码校验。(备注:“密码验证”和“外协人员校验“只能选其一)
设置外协人员: 勾选该项,设置需绑定的外协人员,该审批流程生成的外发包文件需外协人员账号密码校验通过后才可以打开;不勾选时使用外发文件不需要外协人员校验。(备注:“密码验证”和“外协人员校验”只能选其一)
限制打开次数: 输入外发文件打开次数,0表示不限制打开次数,数字限定0-9999
限制打开时间: 不勾选时,该外发包打开时间不受限制。勾选时,可以选择需要的打开时间区间。
只读: 不勾选时,生成的外发包文件使用时可对外发文件进行编辑保存。勾选“只读”权限,生成的外发包文件使用时只能查看该外发文件,无法对外发文件进行编辑操作。
允许打印外发文件: 不勾选时,生成的外发包文件使用时无法进行打印操作。勾选时,可以对外发文件进行打印操作。
待外发文件: 显示所有的待外发审批的文件,审批成功时将所有的外发文件添加到一个外发压缩包中。在我的接收中可以进行下载此外发包。
5.2.1.2.3邮件解密审批
邮件解密审批与文件解密审批区别在于邮件审批流程处理完可以把解密后的明文发送到指定邮箱。邮件解密审批只能处理普通密文。文件解密审批可处理普通密文和授权密文。
注:起草邮件审批时,需要先在系统参数,邮件设置加正确的邮箱参数。如未添加邮箱数据进入邮件审批起草申请界面时会跳出提示:没有设置系统邮件发送账号,流程发起失败。且无法进行起草申请。在系统参数邮件设置中正确添加邮箱信息后,方可进入邮件审批的起草界面。
点击邮件解密审批模板名称,进入发起流页面如下图:
例如右键待审批文件,在菜单依次选择“文档审批”→“邮件解密审批模板”,进入发起流页面如下图:
收件人: 填写需要发送邮件的接收邮箱地址。
添加抄送: 点击添加抄送,弹窗抄送地址界面
联系人:点击联系人可选择“我的账号”—“联系人设置”中添加的联系人
邮件主题: 发送邮件的主题。
邮件正文: 邮件正文内容。
待发送文件: 邮件的附件即添加上传需要解密的密文,邮件审批成功后接收者邮件的附件是解密后的明文。
5.2.1.2.4调整文件安全域审批
客户端无调整文件安全域的用户可通过安全域审批来完成。例如右键待审批文件,在菜单依次选择“文档审批”→“文件安全域调整审批模板”,进入发起流页面如下图:
调整安全域为: 选择文件需要转换成的安全域(备注:可调整的安全域---为该流程模板中已经“设定好的安全域范围”)。
待发送文件: 待调整安全域审批的加密文件。
5.2.1.2.5离网补时审批
客户端用户离网时长快耗尽,还需继续离网时,可通过离网补时审批流程来完成。通过离网补时审批得到一个补时授权码,延长离网时长。
获取补时申请码:在离网的客户端电脑上右键客户端图标,由“离网补时”进入离网补时界面,输入补时时长,点击“生成申请码”,自动生成补时申请码,如下图所示:
例如右键客户端图标,在菜单中依次选择“审批相关”→“发起流程”进入发起流程页面,选择“离网补时审批模板”,进入起草流程页面,如下图所示:
在离网补时管理界面复制申请码到申请页面,或自动获取到补时时长、账号、设备信息。点击“发起”即可。
流程审批完成后,申请人在我的接收页面可查看流程信息,进入流程详情页面获得补时码,如下图所示:
复制补时码到离网补时管理界面,点击“导入”,完成补时操作。
补时成功后,点击客户端图标,可看到补时信息。
5.2.1.2.6授权文件制作审批
授权文件制作审批是文档作者将终端非授权文件(明文、普通密文)通过审批方式转换成授权文件。
例如右键待审批文件,在菜单依次选择“文档审批”→“授权文件制作审批模板”,进入发起流页面如下图:
待发送文件: 上传单个或多个文件(明文、普通密文)制作为授权文件。但不允许上传压缩包文件(压缩包文件不支持制作为授权文件)
设定文件密级: 设置授权文件密级,显示密级低于或等于当前登录账号密级列表。审批制作的授权文件密级为此处设定的文件密级。
保密期限: 设置授权文件保密期限。保密期限默认当前选择密级对应的最高保密期限,输入范围不得高于当前默认值。
选择模板: 便于快速设置知悉范围,可以选择个人模板/系统模板。若存在模板选择模板后快速设置知悉范围。若无可以选择无即不使用模板中的范围,知悉范围为空,然后通过添加部门或人员的方式手动添加。
设置知悉范围: 用以设置使用授权文件用户,设置的知悉范围包括部门和人员,部门是所有组织架构树、人员是所有组织架构中的所有人员。
添加部门: 通过添加部门选择器设置知悉范围,加载系统中存在的所有部门,已选部门为知悉范围。后续在部门该部门中增加子部门或人员,均会在知悉范围内。
添加人员: 通过人员选择器设置授权文件知悉范围。点击"添加人员”,进入选择人员界面,显示整个系统组织架构,可选用户范围为所有人员,如下图所示:
选择用户后,点击"完成选择”,添加的人员显示在知悉范围列表,显示用户所属密级信息。
备注:授权文件知悉范围到人员和范围,若部门与人员重叠,优先到个人,按照个人的权限生效。
用户权限设置: 添加的用户默认只有只读权限。文档作者可给用户设置不同的使用权限,如编辑、打印、内容复制、分发、完全控制等。若同时选择了只读、编辑权限,按照编辑生效。
设置使用次数: 文档作者可设置添加用户使用授权文件的次数。勾选用户,点击"设置使用次数”,进入设置次数页面:
选择"无限制”,用户使用授权文件无次数限制。
选择“设置使用次数”,输入次数,用户超过使用次数,无法再打开、使用授权文件。
备注:不可以对部门设置使用次数。
设置使用期限: 文档作者设置添加部门或用户使用授权文件的期限。勾选部门或用户,点击“设置使用期限",进入设置使用次数页面:
选择“无限制”,用户使用授权文件无期限限制;
选择“限制使用期限”,通过时间控件设置使用期限,用户只能在有效时间段内使用授权文件。
删除: 在知悉范围用户和部门列表中勾选用户或部门,点击“删除”,可取消用户或部门使用授权文件权限。
在发起流程页面,输入流程主题、申请原因、添加待处理文件、设定文件密级、保密期限、知悉范围信息后,点击“发起”,授权文件制作审批发起成功,流程流转至审批人待办事宜列表。
5.2.1.2.7授权文件修改审批
授权文件作者或完全控制者通过授权文件修改审批修改授权文件密级、保密期限、知悉范围或知悉范围权限。
例如右键待审批文件,在菜单依次选择“文档审批”→“授权文件修改审批模板”,进入发起流页面如下图:
待处理文件: 只能上传一个授权文件,且当前登录用户为授权文件作者或发起者对该文件具有分发权限,若非不满足此条件页面显示。
备注:
(1)上传文件为非授权文件时不能上传。
(2)当前登录账号非授权文件作者或当前账号对该授权文件不具有分发权限时提示报错,如上图第一个文件。
待处理文件上传成功后,自动获取授权文件密级、保密期限、知悉范围并正确显示在发起流程页面。
(3) 选择模板后,知悉范围切换为模板设置值。
在发起流程页面修改文件密级、保密期限、选择模板或知悉范围权限后,点击“发起”,授权文件修改审批流程发起成功,流程流转至审批人待办事宜列表。
备注:文件密级、保密期限、选择模板、知悉范围及权限设置操作与发起授权文件制作审批时一致,此处不再做介绍。
5.2.1.2.8授权文件权限申请审批
用户无授权文件某些操作权限时,通过授权文件权限申请审批流程获取授权文件对应使用权限。
例如右键待审批文件,在菜单依次选择“文档审批”→“授权文件权限申请审批模板”,进入发起流页面如下图:
待发送文件: 只能上传一个授权文件,且当前登录账号密级必须高于或等于授权文件密级。
待处理文件上传成功后,自动获取授权文件密级、保密期限、文件安全域信息并正确显示在发起流程页面;自动获取当前登录用户对授权文件的使用权限、打开次数、使用期限信息。
申请权限: 申请对授权文件的使用权限。其中只读、编辑权限不可同时申请,申请完全控制权限,默认勾选编辑、打印、内容复制、分发权限。
打开次数: 若当前登录用户打开授权文件次数被限制,上传授权文件后,自动获取限制打开次数信息,勾选“设置打开次数”,显示使用次数信息。若当前登录用户打开授权文件次数未限制,上传授权文件后,勾选“无限制”。
使用期限: 若当前登录用户使用授权文件期限被限制,上传授权文件后,自动获取限制时间段信息,勾选“限制使用期限”,显示有效时间段信息。若当前登录用户使用授权文件期限未被限制,上传授权文件后,勾选“无限制”。
在发起流程页面,正确输入流程主题,上传授权文件、申请使用权限、打开次数、使用期限信息后,点击“发起”,授权文件权限申请审批流程发起成功,流程流转至审批人待办事宜列表。
5.2.1.2.9文件发送审批
用户通过文件发送审批流程时,页面可进行“限制发送次数”和“限制发送时间”设置;文件上传后,显示文件的名称、大小、md5值;在流程监控可记录文件发送详情。
例如右键待审批文件,在菜单依次选择“文件审批”->“文件发送审批模板”,进入发起流程页面如下图:
待发送文件: 支持上传多个文件,压缩包作为一个文件(无须穿透),若后续发送压缩包中的某一个敏感文件进行发送时,不按审批结果生效。
限制发送次数: 发送次数0次表示不限制。
限制发送时间: 勾选限制发送时间,显示时间控件。
在发起流程页面,正确输入流程主题,上传待发送文件、限制发送次数、限制发送时间,点击“发起”,文件发送审批流程发起成功,流程流转至审批人待办事宜列表。
添加文档水印: 勾选添加文档水印,只支持doc,docx.xls,xlsx,ppt,pptx,pdf格式的文件,查看已处理的文件,有文档水印显示。
5.2.1.3我的请求
我的请求记录了当前登录用户发起的流程信息,并可查询发起的流程信息。右键客户端图标,在菜单中依次选择“审批相关”→“我的请求”进入我的请求页面,如下图所示:
可根据流程主题、模版类型、模版名称、申请时间、当前步骤筛选申请结果。
点击流程主题,可查看流程详情,并可下载待处理文件。
备注:
- 流程中的发起人被删除、会签的某个审批人被删除、非会签审批人全部被删除,所有接收人或者发起人指的所有接收人、审批人指定的所有接收人全部被删除,则该流程进入异常。该流程主题中显示告警图标,当前步骤为流程异常的那一步。同时,右侧出现“删除”按钮,可删除该记录。
- 当流程异常时,点击异常流程主题,进入流程详情页面:
- 若审批人被删除,则在流程主题处显示告警图标,并写明原因:发起人被删除!
- 若部分会签审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
- 若非会签所有审批人被删除,则在流程主题处显示告警图标,并写明原因:审批人被删除!
- 若接收人被删除,则在流程主题处显示告警图标,并写明原因:接收人被删除!
- 当该流程启用快速审批时,在流程监控处,该流程主题前用绿色圆块标明为快速审批,当前步骤为归档。
- 若管理员开启“ 流程审批禁止下载文件”功能 ,则流程审批中“我的请求”流程详情中不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
5.2.1.4已办事宜
记录了当前登录用户审批的流程信息,并可查询当前登录用户曾经办理过的审批信息。右键客户端图标,在菜单中依次选择“审批相关”→“已办事宜”进入已办事宜页面,如下图所示:
可根据流程主题、模版类型、模版名称、申请人等筛选申请结果。
点击流程主题,可以查看流程详情。若审批人不是接收人,只可下载待处理文件。
备注:
- 选择“文件解密审批”的流程,点击流程主题,进入流程详情页面。“待处理文件”:符合“上传文件过滤”规则的文件,并通过客户端右键选中文件发起的解密审批文件不上传至服务器,并显示“文件无需上传”,“下载”按钮和“预览”按钮不显示。
- 若管理员开启“ 流程审批预览”功能 ,则流程审批的”已办事宜”点击“预览”按钮,可以图片的方式预览审批文件,并添加水印(水印默认显示公司名称、当前账号、当前时间,水印显示方式默认为斜式平铺),用于拍照、录屏的泄密追溯。若取消“流程审批开启预览”的功能,则流程审批中“待办事宜”、“已办事宜”不显示预览按钮。
- 若管理员开启“ 流程审批禁止下载文件”功能 ,则流程审批中“已办事宜”(待处理和已处理)中均不显示“下载”按钮和“全部下载”按钮,则无法进行文件下载操作,防止文件下载导致数据泄密。
5.2.1.5我的接收
该子模块记录了当前登录用户接收审批后的流程信息。只有接收人才能接收到审批完成的流程,接收人的设置在创建模板的过程中设定。
(1)客户端登录用户进入web页面,点击“我的流程”→“我的接收”,进入我的接收页面,显示接收到的流程列表,如图所示:
可根据流程主题、模板类型、模板名称、申请人、接收日期、当前步骤查询流程信息,显示查询结果。
点击流程主题,进入流程详情页面,可全部下载或单个下载已处理文件。如下图所示:
备注:“文件解密审批”,有以下2点要注意:
1、通过客户端右键选中文件发起审批并符合“上传文件过滤”规则的文件,不上传至服务器,并显示“文件无需上传”。审批完成,在我的接收中,该文档无“下载”按钮,本地磁盘文件已经解密,无须进行下载。
2、勾选文件无需下载的流程,我的接收界面“文件列表”处,显示文件全路径、大小和“打开目录”按钮,点击该按钮直接打开该文件所在的目录。当文件md5码改变(即文件被修改),会有提示:“文件在审批期间被篡改,无法解密。当文件路径被修改或被移除时,会有提示:“文件在审批期间被移动,无法解密。非客户端解密的文件仍然是下载按钮,可以点击下载或者全部下载(全部下载是压缩包形式)到该文件。(5.3.1000新增)
(2)右键客户端图标,在菜单中依次选择“审批相关”→“我的接收”进入我的接收C/S界面,默认显示接收到的全部流程信息,如下图所示:
查询流程: 根据审批流程模板类型及接收时间查询流程。
查看流程详情: 在我的接收界面,点击流程对应的“查看详情”,弹出流程详情B/S界面,如下图所示:
文件下载: 在我的接收C/S界面点击该流程对应的“查看列表”,进入文件列表弹窗,可以单个或全部下载已处理文件。
备注:针对“文件解密审批”流程,并符合“上传文件过滤”规则的文件,通过客户端右键发起的审批文件不上传至服务器,则在我的接收C/S界面文件列表,显示“打开目录”,及可找到本地磁盘已解密的文档。
(3)客户端通过消息提醒,可直接进入流程详情C/S界面,在流程详情界面下载已处理文件或查看流程历史。
5.2.1.6我的草稿
该子模块用以保存未编辑完的审批申请。用户在审批起草申请时未编辑完信息,点击“保存草稿”,该审批被保存在我的草稿中,在我的草稿中可查看到所有的草稿。
可根据流程主题、模版状类型、模版名称、保存时间筛选申请结果。选择保存的流程,可进入草稿箱详情页面,完善流程信息后,可发起流程。如下图所示:
5.2.2个人设置
该模块可以查看用户基本信息和个人安全策略信息、修改密码、设置邮箱信息、联系人设置;具体体现在两个子模块中,分别为“个人设置”、“联系人设置”
5.2.2.1修改密码
修改当前用户登录密码。单击 “个人设置”,在页面修改密码。
输入原始密码、新密码、确认新密码,单击“保存”按钮,完成了当前登录用户修改密码操作。
5.2.2.2个人邮箱设置
配置当前用户邮箱信息,用于接收邮件。在“个人设置”页面,配置当前登录用户邮箱信息。
备注: 用于邮件解密审批流程接收邮件(注:由系统设置中的发件人发送到邮件解密审批中的接收人和发起时输入的邮箱地址中)
5.2.2.3代理审批人设置
设置当前用户的代理审批人,当前用户的所有待审批的工作,代理审批人会收到消息并且可以进行审批操作。在“个人设置”页面,代理审批人设置区域,勾选“启用代理审批人”,将弹出组织架构,在组织架构中选择对应人员即可。
5.2.2.4联系人设置
添加保存当前登录用户的邮件联系人。点击“联系人设置”,进入联系人设置页面:
点击“新增”,弹出新增联系人页面,输入联系人姓名、邮箱信息后,点击“确定”即可。
备注:当邮件审批使用的接收邮箱未添加到邮件联系人中,将会自动将此接收邮箱地址添加到默认联系人分组中。
第六章 移动终端使用手册
6.1移动终端-Android端操作说明
6.1.1安装操作说明
使用应用商城下载安装:
直接在应用商城输入关键字如MTS下载安装,或者直接扫描以下二维码进行扫描安装:
使用安装包下载:
将安装包MTS V2.0.apk拷贝到移动端,点击安装包,进入安装界面,点击安装即可,安装完成之后,桌面即可生成登录图标。
6.1.2登录及相关操作说明
安装完成之后,桌面上生成MTS登录快捷键,如图3-1所示,
图3-1
首次点击该图标先进入安全向导界面,如图3-2所示,
图 32
点击安全向导界面中的马上体验,即可进入到登录界面,如图3-3所示:
图 33
6.1.2.1服务器设置操作
功能: 设置用户账号登陆时连接的服务器IP和端口。
方法: 在登录界面点击【服务器设置】,如图3-4所示:
图 34
即可进入到服务器设置界面,输入相应的服务器IP、端口进行【连接测试】,如输入服务器IP:为172.16.23.56,端口为9445,选择https服务,点击【连接测试】,如:3-5所示:
图 35
连接测试成功之后,自动返回到登录界面,如图3-6所示:
图 36
6.1.2.2系统登录操作
MTS终端登录的用户,其“当前安全策略”的用户权限中有“允许登录移动终端”权限,下图所示(图3.2.2),否则登录失败。
图3.2.2
方法: 在登录界面输入有“允许登录移动终端”权限用户名、密码,如用户名为test,密码为1,如,3-7所示:
图 37
点击【登录】按钮,用户身份校验合法后即可进入到MTS主界面,即文件模块,如图3-8所示:
图 38
注:用户名、密码与在华途电子文档安全管理系统客户端登录的用户名、密码一致。
6.1.3文件处理操作说明
6.1.3.1打开文件操作
功能: 打开并预览文件内容。
方法:
(1)打开密文:
点击模块工具条【文件】【密文】,进入到密文列表界面,如图3-9所示:
图 39
点击密文,如点击文件名为《2016年春季报表.exe》,即可进入到预览界面,如图3-10所示:
图 310
(2)打开明文:
点击模块工具条【文件】【明文】,点击明文,进入到明文预览界面,具体操作可章节 参考3.3.1打开文件操作中密文预览 方式。
(3)第三方软件通过Mts打开文件:
如果对方将密文或者明文通过QQ传输给当前用户,用户登录QQ接收并打开文件,点击左下角的 “用其他应用打开”按钮,选择其他应用打开,如图3-11所示:
图 311
在其他应用中选择用“MTS”导入,如图3-12所示:
图 312
如果该文件是明文,则直接打开该文件,如图3-13所示,且该文件显示到明文列表下。
图 313
如果该文件是密文,打开过程中需要判断该文件等级的打开权限,具有打开权限,则可以直接打开,进入到预览界面,且该文件显示到密文列表下;如果没有打开权限则提示“打开失败”,无法打开该文件。
(4)文件管理器中的文件通过MTS打开:
点击模块工具条【文件】,进入【文件】模块,点击右上角的【
】,如图3-14所示:
图 314
进入到文件管理器,在相应的目录下选择文件,点击【添加到文件列表】,如图3-15所示:
图 315
如果该文件时明文,则自动添加到明文列表下,在明文列表下点击该文件名称,即可打开文件;如果该文件是密文,则自动添加到密文列表,在密文列表下点击文件名称,即可打开。
6.1.3.2解密文件操作
功能: 解密密文文件,解密成功后归为本地明文文件。
方法:
(1)对文件列表下已有文件进行解密操作:
点击模块工具条【文件】【密文】,进入密文列表,点击密文后的【
】按钮,点击【解密】, 如图3-16所示:
图 316
如果当前登录用户具有该文件解密权限,则提示“文件解密成功”如图3-17所示,且该文件显示到明文列表;
图 317
如果当前登录用户不具有该文件解密权限,则提示“等级不匹配,解密文件失败”,如图3-18所示,且该文件没有被解密。
图 318
(2)对文件管理器中的文件进行解密操作:
点击模块工具条【文件】,进入【文件】模块,点击右上角的【】,如图3-19所示:
图 319
进入到文件管理器,在相应的目录下选择文件,点击【添加到文件列表】,如图3-20所示:
图 320
如果具有该文件等级解密权限,还文件解密成功,且显示到明文列表下,如果不具有该文件等级解密权限,提示解密失败。
6.1.3.3加密文件操作
功能: 加密明文文件,加密成功后归为本地密文文件。
方法:
(1)对文件列表下已有文件进行加密操作:
点击模块工具条【文件】【明文】,点击明文后的【】按钮,点击【加密】, 如图3-21所示:
图 321
提示“文件加密成功”,且该文件显示到密文列表。
(2)对文件管理器中的文件进行加密操作:
点击模块工具条【文件】,进入【文件】模块,点击右上角的【】,如图3-22所示:
图 322
点击【加密】按钮,如图3-23所示,文件即可自动加密,且显示到密文列表下。
图 323
6.1.3.4发送文件操作
功能: 将MTS系统文件列表下的文件发生到其他平台。
方法: 点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【发送】,如图3-24所示:
图 324
即可弹出本地已安装的第三方应用软件,如图3-25所示:
图 325
选择第三方应用软件,如QQ,选择分享对象,如图所3-26示,即可将文件发送给目标对象。
图 326
注: MTS系统文件列表下明文的发送方式同密文。
6.1.3.5删除文件操作
功能: 从MTS系统文件列表下删除文件。
方法: 点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【删除】,如图3-27所示:
图 327
在弹出的确认删除对话框中点击【确定】,如图3-28所示,该文件即可从密文列表中删除。
图 328
注: MTS系统文件列表下明文的删除方式同密文。
6.1.3.6对文件开启或者关闭安全设置操作
功能: 设置文件操作权限,设置完成之后,用户做相应的操作时必须先验证操作密码,验证通过后才可以执行相应的操作。
方法
(1)点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【安全设置】,如图3-29所示:
图 329
如果当前用户未设置操作密码,提示如图3-30所示:
图 330
点击【去设置】,操作密码与操作指纹设置参考章节3.5.2设置/修改操作密码与操作指纹。
(2)如果当前用户已设置了操作密码,进入到安全设置界面,如图3-31所示:
图 331
(3)选择部分权限,如勾选解密权限,如图3-32所示,
图 332
点击右上角的【
】进行保存,点击【
】返回到文件列表,即完成该文件的安全设置,安全设置完成之后,【安全设置】按钮显示为亮黄色,如图3-33所示。
图 333
(4)取消文档的安全设置权限,如取消解密权限,在安全设置界面不勾选解密,点击右上角的【】进行保存即可。
注:【安全设置】下勾选解密、预览权限后,该文件在执行解密、预览操作时,需要验证操作密码。
例如已勾选解密,在该文件进行解密操作时,点击【解密】,如图3-34所示:
图 334
显示“请输入操作密码”提示,如图3-35所示,验证通过后,文件才可以解密成功操作;
图 335
6.1.3.7搜索文件操作
功能: 通过输入的关键词,搜索匹配本地文件中文件名包含关键字的所有目标文件。
方法: 点击模块工具条【文件】,进入【文件】模块,点击右上角的【
】按钮,如图3-36所示:
图 336
进入搜索界面,如图3-37所示:
图 337
在输入框中输入关键字,如计划,点击搜索,即可显示文件名与关键字匹配的所有文件,如图3-38所示。
图 338
且可以对文件进行预览、加解密、发送、删除操作、安全设置。
在搜索界面点击右上角的【取消】按钮,即可返回到【文件】模块,如图3-39所示:
图 339
6.1.4审批处理操作说明
功能: 显示【待我审批】、【我的接收】、【已准审批】、【已拒审批】,预览、下载文件,同时可在【待我审批】下进行同意、驳回操作。
审批模块如图3-40所示:
图 340
6.1.4.1审批流程操作
功能: 该模块显示当前登录用户所有待审批的流程信息,点击申请原因或模板类型可查看详细的流程信息,用户可以点击同意或者驳回等进行审批操作
方法:
(1)点击模块工具条【审批】【待我审批】, 进入待我审批列表界面,如图3-41所示:
图 341
(2)例如选择第二条解密审批,进入到审批详情界面,页面如图3-42所示
图 342
(3)点击“预览”,如图3-43所示:
图 343
即可打开文件,如图3-44所示:
图 344
点击左上角【
】按钮,即可回到审批详情界面。
(4)输入审批意见,点击“同意”同意该审批或点击“驳回”拒绝该审批,如图3-45所示。
图 345
6.1.4.2查看我接收的流程操作
功能: 该子模块可以接收审批后的文件。只有成为该文件的接收人才能接收到,接收人的设置在创建模板的过程中设定
方法: 点击模块工具条【审批】【我的接收】, 进入我的接收列表界面,如图3-46所示:
图 346
例如选择第二条审批,进入审批详情界面,如图3-47所示:
图 347
点击“下载”按钮,如图3-48所示:
图 348
下载完成后显示“打开”,如图3-49所示
图 349
点击“打开”显示文件详情,如图3-50所示,且该文件显示到文件列表下。
图 350
6.1.4.3查看已办流程操作
查看已准审批流程操作:
功能: 查询当前登录用户曾经办理过同意的审批信息。
方法: 点击模块工具条【审批】【已准审批】, 进入已准审批列表界面,如图3-51所示:
图 351
例如选择第二条,进入审批详情界面,查看审批信息,如图3-52所示:
图 352
点击【查看审批历史】,如图3-53所示:
图 353
进入到审批历史详情界面,可以查看审批信息,如图3-54所示:
图 354
点击左上角【
】按钮,即可返回到审批详情界面。
查看已拒审批流程操作:
功能: 查询当前登录用户曾经办理过驳回的审批信息
方法: 点击模块工具条【审批】【已拒审批】, 进入已拒审批列表界面,如图3-55所示:
图 355
例如选择第一条解密审批,即可进入到详情详情,查看审批信息,如图3-56所示:
图 356
点击查看审批历史,如图3-57所示:
图 357
进入到审批历史详情界面,可以查看审批信息,如图3-58所示:
图 358
6.1.4.4搜索审批流程操作
功能: 通过输入的关键词,搜索审批类型、模板名称、申请人、接收人种包含关键字的所有审批信息。
方法: 点击模块工具条【审批】,点击搜索框,进入搜索界面,如图3-59所示:
图 359
在输入框中输入关键字,即可显示审批类型、模板名称、申请人、接收人种任意一项包含关键字的所有审批信息,如图3-60所示:
图 360
同时,可以根据【全部】、【待我审批】、【已准审批】、【已拒审批】、【我的接收】对搜索结果进行分类查看与操作,如图3-61所示:
图 361
6.1.5个人设置操作说明
6.1.5.1查看个人信息操作
功能: 查看个人信息,如用户名、所属部门、默认文件等级等信息。
方法: 点击模块工具条【我的】,即可查看个人信息,如图3-62所示:
图 362
6.1.5.2设置/修改操作密码
功能: 设置/修改文件操作密码。
方法:
(1)设置操作密码:
点击模块工具条【我的】【操作密码】,进入设置密码界面,如图3-63所示,输入密码与确认密码,点击【
】按钮,即设置完成了当前用户操作密码。
图 363
(2)修改操作密码:
点击模块工具条【我的】【操作密码】,进入设置密码界面,如图3-64所示,输入原、新密码与确认密码,点击【】按钮,即完成了当前登录用户操作密码的修改。
图 364
6.1.5.3开启/取消离网解密权限操作
功能: 设置本地文件离线解密操作是否被允许。
方法:
(1)开启离网解密:
点击模块工具条【我的】,向右滑动离网解密按钮,弹出设置成功提示框,即完成了当前登录用户离网解密权限的开启,权限开启后,如图3-65所示。
图 365
(2)关闭离网解密:
点击模块工具条【我的】,向左滑动离网解密按钮,弹出设置成功提示框,即完成了当前登录用户离网解密权限的关闭,权限关闭后,如图3-66所示。
图 366
注:不具有离网解密权限的用户(即在华途文档安全管理系统权限设置组织架构管理下具有离网状态不能解密权限的用户)向右滑动离网解密按钮时,弹出没有离网权限提示框,如图3-67所示,且无法开启该按钮。
图 367
6.1.5.4退出系统操作
方法: 点击【退出登录】按钮,弹出确定退出提示框,如图3-68所示:
图 368
点击“取消”,即可取消退出登录操作,点击“确定”即可退出到登录界面,且该用户为离线状态。
6.2移动终端-IOS端操作说明
6.2.1安装操作说明
使用APP Store下载安装:
使用APP Store,在搜索框中输入关键字,如移动终端安全系统、MTS、文件加密、数据安全等关键字,点击搜索,如图3-1所示:
图 31
搜索结果下找到MTS-移动终端安全系统,点击获取按钮,如图3-2所示:
图 32
点击安装按钮,如图3-3所示:
图 33
验证Touch ID之后即可下载安装,安装完成之后桌面上即可生成登入图标。
6.2.2登录及相关操作说明
安装完成之后,桌面上生成MTS登录快捷键,如图3-6所示,
图 36
首次点击该图标先进入安全向导界面,如图3-7所示,
图 37
点击安全向导界面中的马上体验,即可进入到登录界面,如图3-8所示:
图 38
6.2.2.1服务器设置操作
功能: 设置用户账号登录时连接的服务器IP和端口。
方法: 在登录界面点击【服务器设置】,如图3-9所示:
图 39
即可进入到服务器设置界面,输入相应的服务器IP、端口进行【连接测试】,如输入服务器IP:为172.16.23.56,端口为9445,选择https服务,点击【连接测试】,如图3-10所示:
图 310
连接测试成功之后,自动返回到登录界面,如图3-11所示:
图 311
6.2.2.2系统登录操作
MTS终端登录的用户,其“当前安全策略”的用户权限中有“允许登录移动终端”权限,下图所示(图3.2.2),否则登录失败。
方法: 在登录界面输入有“允许登录移动终端”权限用户名、密码,如用户名为test,密码为1,如,3-12所示:
图 312
点击【登录】按钮,用户身份校验合法后即可进入到MTS主界面,即文件模块,如图3-13所示:
图 313
注:用户名、密码与在华途文档安全管理系统客户端登录的用户名、密码一致。
6.2.3文件处理操作说明
6.2.3.1打开文件操作
功能: 打开并预览文件内容。
方法:
(1)打开密文:
点击模块工具条【文件】【密文】,进入到密文列表界面,如图3-14所示:
图 314
点击密文,如点击文件名为《2016年春季报表.exe》,即可进入到预览界面,如图3-15所示:
图 315
(2)打开明文:
点击模块工具条【文件】【明文】,点击明文,进入到明文预览界面,具体操作可参考打开文件操作中密文预览方式。
(3)第三方软件通过Mts打开文件:
如果对方将密文或者明文通过QQ传输给当前用户,用户登录QQ接收并打开文件,点击右上角的设置按钮,选择其他应用打开,如图3-16所示:
图 316
在其他应用中选择用“MTS”导入,如图3-17所示:
图 317
如果该文件是明文,则直接打开该文件,如图3-18所示,且该文件显示到明文列表下。
图 318
如果该文件是密文,打开过程中需要判断该文件等级的打开权限,具有打开权限,则可以直接打开,进入到预览界面,且该文件显示到密文列表下;如果没有打开权限则提示“打开失败”,无法打开该文件。
6.2.3.2解密文件操作
功能: 解密密文文件,解密成功后归为本地明文文件。
方法: 点击模块工具条【文件】【密文】,进入密文列表,点击密文后的【】按钮,点击【解密】, 如图3-19所示:
图 319
如果当前登录用户具有该文件解密权限,则提示“文件解密成功”如图3-20所示,且该文件显示到明文列表;
图 320
如果当前登录用户不具有该文件解密权限,则提示“等级不匹配,解密文件失败”,如图3-21所示,且该文件没有被解密。
图 321
6.2.3.3加密文件操作
功能: 加密明文文件,加密成功后归为本地密文文件。
方法: 点击模块工具条【文件】【明文】,点击明文后的【】按钮,点击【加密】, 如图3-22所示:
图 322
提示“文件加密成功”,且该文件显示到密文列表。
6.2.3.4发送文件操作
功能: 将MTS系统文件列表下的文件发生到其他平台。
方法: 点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【发送】,如图3-23所示:
图 323
即可弹出本地已安装的第三方应用软件,如图3-24所示:
图 324
选择第三方应用软件,如QQ,选择分享对象,如图所3-25示,即可将文件发送给目标对象。
图 325
注: MTS系统文件列表下明文的发送方式同密文。
6.2.3.5删除文件操作
功能: 从MTS系统文件列表下删除文件。
方法: 点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【删除】,如图3-26所示:
图 326
在弹出的确认删除对话框中点击【确定】,如图3-37所示,该文件即可从密文列表中删除。
图 327
注: MTS系统文件列表下明文的删除方式同密文。
6.2.3.6对文件开启或者关闭安全设置操作
功能: 设置文件操作权限,设置完成之后,用户做相应的操作时必须先验证操作密码或者操作指纹,验证通过后才可以执行相应的操作。
方法
(1)点击模块工具条【文件】【密文】,点击密文后的【】按钮,点击【安全设置】,如图3-28所示:
图 328
如果当前用户未设置操作密码,提示如图3-29所示:
图 329
点击【去设置】,操作密码与操作指纹设置
(2)如果当前用户已设置了操作密码或者操作指纹,进入到安全设置界面,如图3-30所示:
图 330
选择部分权限,如勾选解密权限,如图3-31所示,
图 331
点击右上角的【】进行保存,点击【】返回到文件列表,即完成该文件的安全设置,安全设置完成之后,【安全设置】按钮显示为亮黄色,如图3-32所示。
图 332
取消文档的安全设置权限,如取消解密权限,在安全设置界面不勾选解密,点击右上角的【】进行保存即可。
注:
【安全设置】下勾选解密、预览、发送、删除权限后,该文件在执行解密、预览、发送、删除操作时,需要验证操作密码或者操作指纹。
例如已勾选解密,在该文件进行解密操作时,点击【解密】,如图3-33所示:
图 333
显示“请输入操作密码”或者“通过Home键验证已有指纹”提示,如图3-34所示,验证通过后,文件才可以解密成功操作;
图 334
个人设置中操作密码与指纹权限同时开启时,优先显示“通过Home键验证已有指纹”提示。
6.2.3.7搜索本地文件操作
功能: 通过输入的关键词,搜索匹配本地文件中文件名包含关键字的所有目标文件。
方法: 点击模块工具条【文件】,进入【文件】模块,点击右上角的【
】按钮,如图3-35所示:
图 335
进入搜索界面,如图3-36所示:
图 336
在输入框中输入关键字,如计划,点击搜索,即可显示文件名与关键字匹配的所有文件,如图3-37所示。
图 337
且可以对文件进行预览、加解密、发送、删除操作、安全设置。
在搜索界面点击右上角的【取消】按钮,即可返回到【文件】模块,如图3-38所示:
图 338
6.2.4审批处理操作说明
功能: 显示【待我审批】、【我的接收】、【已准审批】、【已拒审批】,预览、下载文件,同时可在【待我审批】下进行同意、驳回操作。
审批模块如图3-39所示:
图 339
6.2.4.1审批流程操作
功能: 该模块显示当前登录用户所有待审批的流程信息,点击申请原因或模板类型可查看详细的流程信息,用户可以点击同意或者驳回等进行审批操作
方法:
(1)点击模块工具条【审批】【待我审批】, 进入待我审批列表界面,如图3-40所示:
图 340
(2)例如选择第二条解密审批,进入到审批详情界面,页面如图3-41所示
图 341
(3)点击“预览”,如图3-42所示:
图 342
即可打开文件,如图3-43所示:
图 343
点击左上角【】按钮,即可回到审批详情界面。
(4)输入审批意见,点击“同意”同意该审批或点击“驳回”拒绝该审批,如图3-44所示。
图 344
6.2.4.2查看我接收的流程操作
功能: 该子模块可以接收审批后的文件。只有成为该文件的接收人才能接收到,接收人的设置在创建模板的过程中设定。
方法:
(1)点击模块工具条【审批】【我的接收】, 进入我的接收列表界面,如图3-45所示:
图 345
(2)例如选择第二条审批,进入审批详情界面,如图3-46所示:
图 346
(3)点击“下载”按钮,如图3-47所示:
图 347
下载完成后显示“打开”,如图3-48所示
图 348
点击“打开”显示文件详情,如图3-49所示,且该文件显示到文件列表下。
图 349
6.2.4.3查看已办流程操作
查看已准审批流程操作:
功能: 查询当前登录用户曾经办理过同意的审批信息。
方法: 点击模块工具条【审批】【已准审批】, 进入已准审批列表界面,如图3-50所示:
图 350
例如选择第二条,进入审批详情界面,查看审批信息,如图3-51所示:
图 351
点击【查看审批历史】,如图3-52所示:
图 352
进入到审批历史详情界面,可以查看审批信息,如图3-53所示:
图 353
点击左上角【】按钮,即可返回到审批详情界面。
查看已拒审批流程操作:
功能: 查询当前登录用户曾经办理过驳回的审批信息
方法: 点击模块工具条【审批】【已拒审批】, 进入已拒审批列表界面,如图3-54所示:
图 354
例如选择第一条解密审批,即可进入到详情详情,查看审批信息,如图3-55所示:
图 355
点击查看审批历史,如图3-56所示:
图 356
进入到审批历史详情界面,可以查看审批信息,如图3-57所示:
图 357
6.2.4.4搜索审批流程操作
功能: 通过输入的关键词,搜索审批类型、模板名称、申请人、接收人种包含关键字的所有审批信息。
方法: 点击模块工具条【审批】,点击搜索框,进入搜索界面,如图3-58所示:
图 358
在输入框中输入关键字,即可显示审批类型、模板名称、申请人、接收人种任意一项包含关键字的所有审批信息,如图3-59所示:
图 359
同时,可以根据【全部】、【待我审批】、【已准审批】、【已拒审批】、【我的接收】对搜索结果进行分类查看与操作,如图3-60所示:
图 360
6.2.5个人设置操作说明
6.2.5.1查看个人信息操作
功能: 查看个人信息,如用户名、所属部门、默认文件等级等信息。
方法: 点击模块工具条【我的】,即可查看个人信息,如图3-61所示:
图 361
6.2.5.2设置/修改操作密码与操作指纹
功能: 设置/修改文件操作密码与操作指纹。
方法:
(1)设置操作密码:
点击模块工具条【我的】【操作密码】,进入设置密码界面,如图3-62所示,输入密码与确认密码,点击【】按钮,即设置完成了当前用户操作密码。
图 362
(2)修改操作密码:
点击模块工具条【我的】【操作密码】,进入设置密码界面,如图3-63所示,输入原、新密码与确认密码,点击【】按钮,即完成了当前登录用户操作密码的修改。
图 363
(3)开启操作指纹权限:
点击模块工具条【我的】,向右滑动操作指纹按钮,在弹出如图所示的提示时通过Home键验证指纹信息通过后,即完成了当前登录用户操作指纹的开启。操作指纹开启后,显示如图3-64所示。
图 364
(4)关闭操作指纹权限:
点击模块工具条【我的】,向左滑动操作指纹按钮,在弹出如图所示的提示时通过Home键验证指纹信息通过后,即完成了当前登录用户操作指纹的关闭。操作指纹关闭后,显示如图3-65所示。
图 365
注:操作指纹的使用只支持带有指纹验证功能的移动设备。
6.2.5.3开启/取消离网解密权限操作
功能: 设置本地文件离线解密操作是否被允许。
方法:
(1)开启离网解密:
点击模块工具条【我的】,向右滑动离网解密按钮,弹出设置成功提示框,即完成了当前登录用户离网解密权限的开启,权限开启后,如图3-66所示。
图 366
(2)关闭离网解密:
点击模块工具条【我的】,向左滑动离网解密按钮,弹出设置成功提示框,即完成了当前登录用户离网解密权限的关闭,权限关闭后,如图3-67所示。
图 367
注:不具有离网解密权限的用户(即在华途文档安全管理系统权限设置组织架构管理下具有离网状态不能解密权限的用户)向右滑动离网解密按钮时,弹出没有离网权限提示框,如图3-68所示,且无法开启该按钮。
图 368
6.2.5.4退出系统操作
方法 :点击【退出登录】按钮,弹出确定退出提示框,如图3-69所示:
图 369
点击“取消”,即可取消退出登录操作,点击“确定”即可退出到登录界面,且该用户为离线状态。
第七章 U盘客户端使用手册
7.1客户端启动
(1)将安装了华途U盘加密系统的安全U盘插入到电脑的USB接口,并确认U盘能被操作系统识别。
(2)U盘被识别后,打开显示“U盘加密系统”的U盘盘符,双击运行“StartUSBDriveEncryptSystem.exe”程序文件,如下图所示:
备注:
- 当U盘客户端已绑定终端,双击运行“StartUSBDriveEncryptSystem.exe”程序文件时,校验终端机器码。
- 若机器码不匹配,则无法进入U盘客户端登录界面;并提示“U盘客户端未绑定当前终端,请联系管理员”;
- 若机器码匹配,则正常进入U盘客户端登录界面。
- 当U盘客户端未绑定终端,双击运行“StartUSBDriveEncryptSystem.exe”程序文件时,正常键入U盘客户端登录界面。
(3)双击运行“StartUSBDriveEncryptSystem.exe”程序文件,正常弹出用户登录界面后,输入“账号与密码”(注意域验证域账号和第三方校验的第三方账号密码默认都是123456)信息,点击“登录”完成客户端的登录操作,如下图所示:
(4)用户登录成功后,可以在任务栏右下角看U盘客户端托盘图标“
”,如下图所示:
(5)在弹出“…是否现在重启资源管理器?”提示时,点击“确定”,如下图所示。
备注:重启资源管理器是为了能立刻显示加密文件的“锁”图标信息,便于用户区分哪此是加密文件,哪些不是加密文件,如下图所示(带红色盾牌锁的为加密文件)。
7.2用户登录
用户在第一次运行“运行U盘加密系统.exe”程序时,需要做用户登录操作;另外,在“用户注销”后也可以进行“用户登录”操作,具体方法:
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“用户登录”,如下图所示。
(2)将弹出用户登录界面,输入“账号与密码”信息,点击“登录”完成客户端的登录操作,如下图所示:
(3)输入正确的账号和密码登录成功后,等十几秒会弹出重启资源管理器的提示信息,重启资源管理器后U盘客户端所有功能可以正常使用。
备注:用户登录后,客户端托图标由原来的灰色图标“
”变成亮色图标“”。
7.3用户注销
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“用户注销”,如下图所示。
(2)点击“用户注销”操作时,程序弹出提示信息,如下图所示,点击“确定”完成用户注销操作。
备注:用户注销后,客户端托图标由原来的亮色图标“”变成灰色图标“”。
7.4修改密码
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“修改密码”,如下图所示。
(2)在弹出的密码修改框中输入旧密码、新密码、新密码确认,点击“确认”,如下图所示。
(3)密码修改成功后,系统提示“密码修改成功,下次登录请使用新密码”,如下图所示。
7.5忘记密码
(1)弹出客户端登录界面,点击“忘记密码”,如下图所示。
(2)在策略导入窗口点击“选择文件”,找到策略文件,类似“x11_UDiskConfig_2020-09-15.ht”,如下图所示。
(3)成功导入策略后,密码将重置为策略文件中的密码(即服务器对应账号密码)。
7.6策略导入
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“策略导入”,如下图所示。
(2)在策略导入窗口点击“选择文件”,找到策略文件,类似“x11_UDiskConfig_2020-09-15.ht”,如下图所示。
策略导入成功时,系统“提示策略已导入成功”,如下图所示:
(3)当导入的策略文件与U盘绑定用户不匹配时,将提示“策略与U盘信息不匹配,导入失败”,如下图所示。
7.7系统版本
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“系统版本”,如下图所示。
(2)点击系统版本后,系统显示U盘客户端的版本信息,如下图所示:
7.8安全退出
(1)在任务栏的客户端托盘中,鼠标右击客户端托盘,在弹出托盘菜单,选择“安全退出”,如下图所示。
(2)点击“安全退出”后,系统显示安全退出的告警提示,如下图所示,
(3)安全退出后,系统将自动清除当前操作系统的加密环境。
7.9托盘提醒
当鼠标锁定任务栏的客户端托盘中,系统将显示当前用户信息与截止日期信息,如下图所示。
7.10强退提醒
(1)当用户未做“安全退出”操作,采取直接拔出U盘方式时,系统会自动检测并倒计时提醒,以降低U盘非法操作可能造成的对文件损坏的影响,以及在未及时的关闭加密文件可能造成的涉密风险。
(2)强退倒计时提醒,默认采取30秒倒计时,倒计时10秒时,时间信息字体会加粗、字体颜色变红,以示告警;倒计时时间结束时,会自动关闭已经打开的加密文件窗口。
7.11加密方式
U盘加密系统具体执行透明加密策略还是半透明加密策略,取决于为当前用户所导入的策略决定。
如果当前用户是透明加密策略,则U盘客户端对受控程序执行文档透明加密处理,即提供强制、实时、透明的文件加解密处理,并且不改变用户习惯。
如果当前用户是半透明加密策略,则U盘客户端对受控程序执行文档透明加密处理,即可同时打开同类型的明文和密文、两个文件相互隔离;加密文件经编辑保存后仍处于加密状态、明文文件经编辑保存后仍处于明文状态。
7.12右键解密
针对需要解密文件的操作,如当前用户具有“解密文件”权限,则可以通过以下方式完成文件解密操作:
(1)选择某个已经加密的文件,右键点击“文件处理”,如下图所示:
(2)选择“解密”的选项,点击“应用”即可解密,解密成功后,点击“确定”退出操作界面,文件已完成手动解密,如下图所示:
7.13浮水印
Ues绑定用户策略勾选显示窗口浮水印,登录ues,打开密文,文件打开窗口显示浮水印,其他区域不显示浮水印,备注:浮水印设置含水印图片、水印文字、点阵水印,如图所示:
Ues绑定用户策略勾选显示屏幕浮水印,登录ues,整个屏幕显示浮水印,如图所示:
7.14打印水印
Ues绑定用户策略勾选显示打印水印,打印密文,打印后的纸质文件显示打印水印,打印水印设置含水印图片、水印文字、点阵水印,如图所示
7.15外发处理
针对文件外发控制需求,需要根据用户自定义策略,制作外发文件打开的天数及次数等限制条件与控制措施;如当前用户具有“外发文件”权限,则可以通过以下方式完成文件外发操作:
(1)制作外发文件
选择某个已经加密的文件(明文也可以制作成外发文件),右键点击“文件处理”->“文件外发”,如下图所示:
在外发制作的界面,添加主题、描述以及需限制的时间、限制次数等,如下图所示:
点击“制作”即可完成外发文件制作,如下图所示。
(2)外发文件的使用:
A、将外发文件包随意复制到某个操作平台,解压并打开“FilePackeage.exe”,点击“确定”,如下图所示。
B、点击打开文件,即可打开外发文件,如下图所示:
C、外发文件会在安全桌面中打开,关闭文档即可退出安全桌面,如下图所示: