5.2.6002版本改进说明
1. 服务器
1.1、服务器安装在linux(centos7.7)系统上,将 Tomcat、MySql 、redis、fastdfs等应用以及依赖包进行打包到轻量级、可移植的Docker容器中。
1.2、服务器上不在存放工具,工具统一放到“云配置管理系统”上去自行获取。
1.3、服务器运行内存要求8G及以上。
1.4、服务器上不支持手动生成客户端安装包。
1.5、服务器上不自带客户端安装包,客户端安装包统一从“云配置管理系统”上获取后,通过控制台页面上传至服务器。
2. 管理控制台
2.1、当用户禁用时,不计算license点数;当禁用的用户重新启用时,重新计算license的点数。
2.2、“程序配置管理”界面,程序默认为空,需从“云配置管理系统”中导入程序配置。 支持“手动导入配置”、“从云配置导入配置”。
2.3、客户端安装包下载默认为空,只有成功上传客户端安装包后,才可下载。系统设置菜单下新增“客户端安装包上传”子菜单,点击“添加”按钮,填写对应的服务器ip或域名,上传对应终端的安装包,支持对Windows客户端、Linux客户端、Mac客户端安装包的上传。
2.4、“授权管理”改为“许可证管理”,将部门与用户管理界面的“授权文件使用情况”移至“许可证”管理界面。
2.5、组织架构管理增加“外协单位管理”子菜单,可添加或删除外协人员。用户发起文件外发审批流程时,可选择已添加的外协人员,制作成功的外发文件,需要输入外协人员的账号和密码才能打开外发文件。
2.6、域同步策略管理”新增/修改域同步策略时,域登录账号支持不输入域名,域名需手动输入。
2.7、Ldap域同步策略管理中,支持手动进行“用户信息对应设置”,可选用不同的标签作为账号、姓名或部门,导入到电子文档管理系统的组织架构中。
2.8、“安全策略管理”>新增/修改安全策略,
①用户权限处,增加“制作授权文件”,具有该权限的用户,才能在客户端右键制作授权文件;
②移除“使用授权文件”,在受控程序设置处增加“允许使用授权密文”复选框,勾选了允许使用授权文件的用户,才可以使用通过客户端制作或者通过审批流程制作的授权文件(授权文件的程序类型需包含在受控程序之内)。
③受控程序设置处,增加“允许使用普通密文”复选框,勾选该项,可以实现受控程序的文件透明加解密、半透明加解密,浮水印策略生效,打印水印策略生效,内容防复制,防截屏,OLE嵌入,允许拖拽等。
2.9、“安全策略管理”>新增/修改安全策略, 移动介质控制处,
①去除“写入加密”“扫描加密”功能;
②增加“上传移动介质使用记录”复选框,默认不勾选,即不上传移动介质使用记录(日志审计处原命名为移动介质管理记录,现改为移动介质使用记录);如果勾选了“上传移动介质使用记录”,则用户使用移动介质的接入记录将会上传。
2.10、“安全策略管理”>新增/修改安全策略>“浮水印设置”,调整透明度设置位置(去除水印图片和水印文字、点阵水印中的透明度设置),达到调整透明度可直接在水印预览窗口直观显示水印效果。
2.11、“安全策略管理”>新增/修改安全策略,用户离网控制中去除“主动离网时长”,将“故障离网时长”修改为“允许离网时长”。
2.12、“安全策略管理”>新增/修改安全策略,网关Web服务器配置处去除“安全网址设置”、“客户端跳转”配置。
2.13、Windows终端列表处,
①筛选条件处增加“密级”筛选项,可筛选符合密级条件的终端;
②筛选条件处修改“连接状态”筛选项,筛选条件包括:在线、离线;
③筛选条件处增加“终端状态”筛选项,筛选条件包括:初始、已登录、未登录(授权到期)、未登录(禁止接入)、未登录(账号异常)、未登录(其他原因)、卸载;
④增加“设置终端密级”、“删除终端密级”按钮,可给终端设置密级(可选密级为“密级管理”处添加的密级)或者删除终端密级,设置密级后,授权文件在终端上违规使用或者用户违规登录终端将会告警通知;
⑤增加“设置灰度更新终端”,可将已登录终端设置为灰度更新终端,用作对客户端模块自动更新时的灰度测试。
⑥列表增加“终端密级”列,用于显示当前终端密级;
⑦增加“灰度更新终端”列用于显示终端是否为灰度更新终端;
⑧增加“终端版本”列,可查看每个已登录终端的各个模块的版本使用情况。
2.14、日志审计:
①将文件日志、外发日志、打印日志、授权文件日志合并到文件日志, 操作类型包含:客户端右键解密操作、客户端调整文件安全域、文件解密流程解密、邮件解密流程解密、目录监控解密、批量加解密工具解密、工作流调整文件安全域、移动终端解密、客户端邮件解密、客户端右键外发、文件外发流程外发、密文打印、授权文件打印、授权文件打开、授权文件制作、授权文件变更、授权文件复制、授权文件移动、授权文件复制、授权文件还原、文件粉碎。
②去除操作内容列,通过查看详情查看文件名称和操作详情。
2.15、日志审计>“移动介质管理记录”改为“移动介质使用记录”。
2.16、日志审计增加了“违规记录”,可按部门搜索部门的违规记录,可筛选条件查询违规记录,违规记录包含用户违规登录、账号密码错误超限、授权文件违规流转、外发文件超限。
2.17、“流程模板管理”>新增/修改模板,
①模板类型增加了“授权文件制作审批、授权文件修改审批、授权文件权限修改审批”,支持通过流程审批来制作授权文件、修改授权文件的权限和申请授权文件的权限;
②文件解密审批支持对授权文件的解密审批,可上传授权文件进行解密审批;
③文件外发审批支持对授权文件的外发审批,可上传授权文件发起审批制作外发包。
2.18、“系统设置”>“客户端连接设置”,审批服务器的默认端口是9444,验证服务器的默认端口为9445,消息服务器的默认端口为9092。
2.19、“系统设置”>“系统参数设置”>客户端设置处,去除客户端自动刷新策略时间的设置,服务器端的策略采用websocket方式实时下发。
2.20、“系统设置”>系统参数设置,
①增加了“告警设置”,包含发件人“邮箱设置”,“收件人邮箱”和“告警规则设置”,一旦触犯告警规则,将由发件人邮箱发送相应的告警信息至收件人邮箱;
②告警规则包含“用户违规登录告警”(低密级用户在高密级终端上登录属于违规登录,会邮件发送告警通知)、“账号密码错误超限告警”(当登录管理控制台或客户端时,账号密码输入次数超过限定次数时,会邮件发送告警通知)、“授权文件违规流转告警”(高密级文件流转在低密级终端上,会邮件发送告警通知)、“外发文件超限告警”(当通过客户端制作外发文件或者通过文件外发流程制作外发文件上传的文件数量超过阈值,会邮件发送告警通知)。
2.21、终端更新管理处,
①“补丁包管理”更名为“手动更新”,“更新操作记录”更名为“手动更新记录”
②增加“自动更新包管理”“自动更新任务管理”“模块版本列表”。
2.22、“自动更新包管理”用于上传各个模块的各个版本的更新包。
2.23. “自动更新任务管理”用于创建模块的更新任务,可选择不同模块不同版本进行任务创建,可灰度更新,也可正式更新,更新任务的状态将在列表中展示,可查看任务的当前版本号、任务更新进度,可查看历史更新记录,任务更新过程中可停止任务。
2.24. “模块版本列表”用于展示各个终端不同模块的版本使用情况,可根据终端名、终端IP、登录账号、姓名、终端模块、模块版本号进行筛选查询。
2.25. 增加“文件服务器列表”用于查看文件服务器的总容量大小、剩余容量大小,从而判断是否进行扩容操作。
2.26. “部门与用户管理”中,禁用用户,则该用户将不占用相应功能的许可点数。
2.27. 手动更新支持“linux”“mac”支持整包推送更新,更新重启生效。
2.28. “配置管理”>“程序控制管理”的配置是
①通过云配置管理添加后,导入到该系统中;
②导入配置时可单独导入某个终端(如windows终端)、也可同时导入多个终端的配置。
③特殊配置和全局配置整合到windows终端配置的“其他配置”中,去除“AutoExplorerUNC”和“BlackExplorerUNC”配置,共享文件夹上传解密、下载加密功能将不再生效。
2.29. “配置管理”>“全局/局部权限设置”中增加配置“控制终端账号右键可以进行文件处理操作”,可全局或者局部启用,没有该权限的用户无法通过客户端进行文件处理
2.30. “配置管理”>“全局/局部权限设置”中增加配置“控制终端账号右键可以进行外发处理操作”,可全局或者局部启用,没有该权限的用户无法通过客户端制作外发文件
2.31. “配置管理”>“全局/局部权限设置”中增加配置“控制终端账号是否能右键制作授权文件”,可全局或者局部启用,没有该权限的用户无法通过客户端右键制作授权文件;客户端使用授权文件仅通过策略来控制,不受该配置影响。去除原有的“客户端右键可以进行文件授权操作”配置。
2.32. “配置管理”中去除配置“打印使用全快照”,上传的打印快照默认均为全快照。
2.33. “配置管理”>“全局/局部权限设置”中增加配置“控制终端进行移动介质拷贝文件操作时,是否上传附件”,可全局启用或禁用。具有该权限的用户将授权文件复制或移动到移动介质时,会上传附件。
2.34. “配置管理”>“全局/局部权限设置”中增加配置“控制用户是否可以把受控程序的内容以OLE方式嵌入到其它的非受控程序”。
2.35. “配置管理”>“全局/局部权限设置”中增加配置“控制用户是否可以把受控程序内容以拖拽的方式进入非受控程序”。
2.36. “配置管理”>“全局/局部权限设置”中增加配置“控制客户端是否可以以自由开关的模式运行”,具有该权限的用户客户端可以切换工作模式。
2.37. “配置管理”>“全局/局部权限设置”中增加配置“控制用户是否可以把文件从磁盘删除”,具有该权限有的用户可删除密文或者右键粉碎文件。
2.38. “配置管理”>“全局/局部权限设置”中增加配置“上传授权文件数量”,启用时,会统计所有终端的授权文件数量,并在管理控制台首页展示。
2.39. “配置管理”>“全局权限设置”中增加配置“删除文件日志支持金库模式”,全局启用时,管理员删除文件日志需要输入三方管理员的密码才可删除。
2.40. “配置管理”>“全局/局部权限设置”中增加配置“控制客户端右键显示文件粉碎插件”,全局启用时,用户可在客户端显示文件粉碎插件。
2.41. “配置管理”>“全局权限设置”中增加配置“授权文件落地自动刷新权限”,全局启用时,授权文件落地到终端则自动刷新权限信息。
2.42.“配置管理”>“全局权限设置”中增加配置“邮件客户端发送邮件自动解密”(默认:启用),禁用时,管理控制台“安全策略中心”->”安全策略管理”中,不显示邮件白名单设置。
3. Windows客户端
3.1. 客户端默认安装包包含“核心模块、保护模块、目录监控模块、外发模块、公共组件、客户端模块”,其他的模块如“网络模块”“杀毒模块”“硬件管控模块”等需要通过服务器端以自动更新任务的方式下发到客户端运行。
3.2. 客户端连接设置可手动输入验证服务器、审批服务器、消息服务器、更新服务器的IP地址,IP地址也可通过客户端安装包名称中读取。
3.3. 客户端托盘右键菜单增加版本信息,显示各个模块对应的版本信息。安装后默认显示“核心模块”、“保护模块”、“目录监控模块”、“外发模块”、“公共组件”、“客户端模块”的版本号,其他模块的版本号会在服务器端下发自动更新任务运行成功后显示。
3.4. 右键制作外发文件:程序配置增加配置“控制终端账号右键可以进行外发处理操作”,没有该权限的用户,即使下发了外发策略,依然无法通过客户端进行右键外发制作外发包。
3.5. 右键制作授权文件:程序配置增加配置“控制终端账号是否能右键制作授权文件”,具有该权限的用户可通过客户端进行右键制作授权文件;右键制作授权文件时,按照作者的打开、打印和复制权限来给其他用户赋予权限。
3.6. 使用授权文件:具有“允许使用授权密文”的用户,可以使用授权文件(只读、编辑、复制、打印);安全策略中配置了受控程序的类型的授权文件才能打开,否则不能打开使用;使用授权文件时按照作者赋予的权限(打开、复制、打印)来使用,不再受安全域策略的约束。
3.7. 右键制作授权文件:增加“保存模板”、“选择模板”功能,用户在本地计算机设置用户及权限信息模板,该模板可反复使用。
3.8. 去除共享文件夹上传解密下载加密功能。
3.9. 去除时钟锁功能。
3.10. 屏幕浮水印支持多屏显示。
3.11. 允许粉碎文件:程序配置增加配置“控制用户是否可以把文件从磁盘删除”,具有该权限的用户可删除密文(包括授权文件),可右键点击“文件粉碎”从磁盘彻底粉碎文件(明文、密文、授权文件)。
3.12. 客户端托盘右键菜单去除“授权离网”功能,保留“离网补时”功能。
3.13. 右键制作外发文件:去除“加密狗绑定”和“加密狗硬件绑定”,水印选项包括“文字水印”和“图片水印”。①文字水印:文字水印信息(包含公司名称、IP地址、计算机名、当前账号、当前时间。②图片水印:可自定义图片水印。
3.14. 客户端离线状态,针对已刷新权限的授权文件,可正常打开、使用。
3.15. 客户端点击文件右键发起流程审批,文件直接上传,无需再流程中再次上传文件。
3.16. 客户端发起流程审批,所使用的浏览器非谷歌或火狐浏览器时,提示使用谷歌或火狐浏览器。
4. Mac客户端
4.1. Mac客户端支持内容防复制功能:控制用户是否可以将受控程序的内容复制粘贴到另一个非受控程序,造成数据泄密。
4.2. 在线状态时:托盘菜单只显示“显示登录界面”和“审批流程”;离线状态时:托盘菜单只显示“显示登录界面”和“离网补时”,去除“授权离网”功能,保留“离网补时”功能。
4.3. 客户端托盘右键菜单去除“授权离网”功能,保留“离网补时”功能。
5. Linux客户端
5.1. Linux客户端支持卸载防护功能:提供客户端卸载防护,没有卸载授权将无法正常卸载程序。
5.2. 在线状态时:托盘菜单只显示“显示登录界面”和“审批流程”;离线状态时:托盘菜单只显示“显示登录界面”和“离网补时”,去除“授权离网”功能,保留“离网补时”功能。
5.3. 客户端托盘右键菜单去除“授权离网”功能,保留“离网补时”功能。
