5.3.1000版本改进说明

1. 许可变化

一、5.3.1000版本许可控制
增加许可版本v3.0，以及5.3产品版本。
制作许可勾选v3.0和对应的5.3产品版本（本次为5.3.1000版本，因此选择5.3产品版本）。需注意服务器版本需和产品版本保持一致，不能窜版本。

二、新增一条数据发现DDLP许可。制作许可时只要1点即可。

1. 有DDLP许可时，菜单项显示“分类分级管理”、“分类分级记录”，响应动作包含“分类分级”。
2. 无DDLP许可时，菜单项不显示“分类分级管理”、“分类分级记录”，响应动作不包含“分类分级”。
3. 有“分类分级”的响应动作，客户端上传分类分级记录，没有分类分级的，客户端不上传分类分级记录。

三、新增一条许可数量检测LIC_NUM许可。制作许可时只要1点即可。
该许可对于产品功能本身没有控制作用，仅检测当前服务器任一单产品点数是否超过50点。
a. 任一单点许可大于等于51，有这个许可才可导入。无该许可导入失败，提示：当前许可无效，请联系厂商制作含有LIC_NUM的许可！
b. 产品许可点数均小于等于50时，有无该许可都可正常导入。

2. 浏览器支持

新增IE11浏览器的支持

3. 服务器安装包大小调整

1. 缩减了服务器安装包大小（在1.94G左右，将tomcat相关依赖包整合，不影响使用功能）。
2. 安装包与更新包不再区分，发布时只有一个整包。服务器升级也使用安装包进行更新，执行命令不变，仍然是./setup.sh --upgrade
   

4. 服务器初始化内容改进

1. 在原始的源数据初始化界面之前，新增系统设置初始化界面，用于设置初始化界面，包括公司LOGO、首页图片、产品名称、背景色、日志存储数据库。其中选择日志存储数据库暂时对文件操作日志生效，选择并保存设置后不可修改。
2. 服务器升级，从7002升级到到5.3.1000也会弹出此页面。
3. 选择MongoDB用于日志存储数据库可将原先存储在mysql数据库中的数据迁移到MongoDB中。

5. 域同步管理

新增支持用户组导入

6. 客户端授权字样可设置

默认是授权，根据项目需要修改授权字样，如改为标密。修改之后，客户端所有的密级文件名称为标密文件。

7. 日志事件维护

除了按照设置的时间删除日志，5.3.1000版本增加对文件本身的删除，以免文件附件随着日期的延长增加服务器存储负担。随日期更新删除设置的xx天前的日志和附件文件。

8. TDLP终端长时间离线进行点数回收；DES、DRM、TDLP账号长时间不登录回收安全策略

1. 包括DES、DRM、TDLP的点数回收
2. 系统可设置多久未连接服务器的终端自动清除终端信息（离线状态下才可以删除）
3. TDLP点数回收机制：终端删除即释放TDLP点数
4. DES、DRM点数回收机制：当用户没有关联任何一台终端时，回收点数
5. 新增全局开关LicenseReclaim，控制删除终端时是否回收关联账号的安全策略和点数。
   启用表示删除终端即回收关联账号的安全策略和点数，即组织架构中终端关联的账号策略为无，此时点数DES、DRM点数回收。
   禁用删除终端但不回收关联账号的安全策略和点数，即组织架构中终端关联的账号策略还保留，即点数DES、DRM点数不回收。
   

   9. syslog集成

   2.1 syslog配置发送匹配项时，发送一个json串，将总匹配项、策略匹配项、规则匹配项等发送到服务器。默认全部字段均发送，由接收方过滤需要的内容。
   
   其中syslog中的json串字段包括如下：
   
   {
   "terminalInfo": {

    "account":"账号名",  
    "userName": "用户名",  
    "computerName": "计算机名称",  
    "ip": "IP",  
    "mac": "MAC地址"  
   

   },
   "deptUrls":["组织架构\浙江移动公司\信息技术部\数字化运营研发部\合作伙伴","组织架构\浙江移动公司\信息技术部\数字化运营研发部\合作伙伴2"],
   "totalMatchCount":10,
   "matchPolicys": [

    {  
        "policyName": "策略名称",  
        "matchCount": 10,  
        "matchRuleInfos": [  
            {  
                "matchRuleName": "策略规则",  
                "matchCount": 10                     
            }  
        ]  
    }, 
   

   ],
   "fileInfo": {

    "name": "文件名",  
    "path": "文件路径名",  
    "size": 21,  
    "type": "文件类型",  
    "md5": "文件MD5"  
   

   },
   "occurrenceTime": "发生时间",
   "incidentId": "2564",
   "incidentDetail": "事件详情URL",
   "incidentSeverity": "高",//事件严重等级
   "process": "应用程序名",
   "monitorObjectType":1 ,//监控对象类型,0(应用程序访问), 1(移动介质), 2（打印机），3（截屏），4（剪切板），5（网络共享），6（SMTP）,7（IM/QQ）8(IM/微信)，9（IM/TIM），10(IM/钉钉)
   "actionType": 1,//0,监控;1,阻断;2,分类分级
   "incidentSource": 0,//事件来源:0(terminal),1(network),2(server),
   "operationDetail":"操作说明"
   }

10. 工作流程审批

• 发起流程时，流程主题自动填写，默认值为“流程类型-当前时间-发起人” ，且此默认流程主题可以修改为其他值。
  选择原因 默认为空，来源于configmanager中添加的原因字典。
  申请原因必填项，检查校验非空才可发起流程。
  

• 支持发起人勾选审批人：即发起人可以勾选各个步骤中的审批人，所有流程均支持。

• 支持文件本地解密：解密审批流程，流程解密之后无需下载解密后的明文，直接本地解密，满足审批人可以预览文件但审批通过之后，接收人无需再次web端下载文件。
  仅支持文件解密审批，接收方式是发起人的情况下。
  

11. TDLP文件发送审批附加明文水印

4.1 审批流程上增加一个选项
4.2 水印固定：（申请人）帐号+日期时间
4.3 如果文件已经添加了明文水印，则覆盖此水印
4.4 API需要修改，web的返回值中需要增加一个是否加水印的信息
4.5 添加明文水印有两种情形：

• 不上传文件，在客户端添加水印，审批通过后，websocket消息发到客户端，客户端调用api，根据返回值，若需要添加水印，则为此明文附加水印，并将附加水印后的md5缓存下来
• 上传文件，在服务器端添加水印，审批通过后，websocket消息发到客户端，客户端调用api，根据返回值（不需要添加水印），将文件md5缓存下来
  4.6 审批页面需显示命中策略名。客户端触发过策略后显示命中的策略。
  另外一种场景：若文件虽然是敏感文件，但本地未触发过命中的策略则命中策略仍然是无。
  
  4.7 原因字典
  
  4.8 文件发送审批时文档水印勾选项
  

12. 增加自动更新和源数据下载的并发数设置

文件下载接口限制并发，包括自动更新、手动更新、源数据下发。同时只对设置数量的终端下发，如10台，同时对10个终端进行下发，每已发一台再增加一台终端下发。

13. 授权文件保密期限到期发送电子邮件

勾选此选项，当授权文件到期当前，若2021-10-12到期，那么设置的到期前1天，即2021-10-11号授权文件的作者将会收到一封系统发送过来的电子邮件。

1. 由系统设置中-邮箱和告警设置的发件人邮箱发给授权文件的作者（收件为作者个人设置中的邮箱，若个人未设置邮箱就不会收到该邮件提醒）。
2. 若授权文件的作者被修改后，按照邮件发送时授权文件当前的作者。
   
   

14. 客户端上传日志间隔可配置LogUploadInterval

configmanager中全局参数设置时间，一般设置60秒或者120秒，且此字段需手动添加，不作为产品出厂设置。客户端日志按照设置的时间间隔进行上传。

15. 终端列表增加“包含子部门”选项，勾选后可显示该部门包含子部门的所有终端信息，方便对部门统一设置防泄漏策略

16. 用户个人设置中邮箱设置的改进

1. 用户个人设置中去掉邮箱密码、smtp服务器、ssl加密连接项的校验等，只保留邮箱，用于接收邮件，去掉通过用户邮箱发送邮件的功能。
   邮件解密审批发送该设置的邮箱中。
   

2. 系统设置中，“告警设置”，改为“邮箱和告警设置”。
   发件人、收件人分别为此处的设置项，包括： 页面上勾选的告警规则设置，从发件人到收件人； 许可到期前15天发送邮件提醒，从发件人到收件人；
   组织架构域同步用户失败告警提醒，从发件人到收件人；
   终端防泄漏响应动作为发送邮件通知，此发件人发送告警邮件，从发件人到收件人；
   邮件解密审批流程中的发件人为此处设置的发件人；
   授权文件到期提醒的发件人等。
   

邮件解密审批流程邮件发送（包括所有使用用户邮箱发送邮件），统一使用系统设置中的邮箱账号发送邮件，并将发送者信息写到邮件正文中，以便于接收者回复邮件。

缺省的邮件正文： 此邮件由系统发出,请勿直接回复 本解密审批流程由姓名（邮箱）发起，如需回复，请点击此邮箱回复

17. 授权文件查看改进

1. 客户端查看授权文件可以查看到文件ID
   
2. 新增授权文件ID字段，可通过授权文件ID查找授权文件,在授权文件详情中可以复制文件ID
3. 点击授权文件，可对授权文件作者做修改操作。
   
4. 文件操作日志中授权文件ID在授权文件打印、打开、制作、变更、复制、移动、还原、下载等操作中显示授权文件ID。粉碎授权文件不显示文件ID。其中授权文件下载是在含有DWM（中间件）许可时才有效。
5. 授权文件默认还原为普通密文，考虑到有些场景如只有DRM许可，还原成普通密文不符合实际使用，因此增加手动配置还原成普通密文/明文的开关。
   启用此开关授权文件还原成明文；
   禁用此开关授权文件还原成对应的普通密文。
   名称：RestoreAuthFileToPlainText
   描述：授权文件还原成明文

18. 扫描落地监控改进

扫描落地监控策略可进行多样化识别，识别方式新增：数据库指纹匹配、文档指纹匹配、数据字典匹配、数据标识符匹配、语义模型、图章匹配、文件大小匹配、文件名匹配。

1. 5.3.1000版本后扫描加解密与分类分级可在服务器上同时实现，对应的扫描或者落地策略响应动作可以有多条，即加密一条动作，分类分级一条动作。
2. 扫描加密和落地监控加密成授权文件时可根据系统模板设置的角色权限加密成授权文件。

19. 分类分级记录

1. 审计中心-扫描记录修改为分类分级记录。
2. 扫描、落地监控策略动作中含有分类分级响应动作时，匹配的文件被分类分级，上传分类分级日志。点击具体的日志可以查看文件详情。
   

20. 文件操作日志改进

1. dsm_only许可也就是只有加密产品情况下，新增密文复制日志，在configmanager配置管理员中，新增全局开关ContentCopyLog，开启时将监控从受控进程拷贝到非受控进程的内容，显示在文件操作日志中。详情中显示复制的具体内容和复制字数。
   
   
2. 授权文件下载日志
   中间件产品连接加密服务器，下载文件触发生成授权文件下载日志，如图。
   

21. 新增图章检测识别

防泄漏策略、扫描策略、落地监控策略新增图章检测识别方式，支持图章文件检测、支持文档内图章检测。用户可根据设定的图章（图片）检测文档中的图章（图片）是否匹配，进行防泄漏、扫描、落地监控。

22. 安全网址

受控的浏览器访问的安全网址实现上传解密下载加密。
受控程序属性中，增加一个属性wb，表示这是一个浏览器（web browser）
其他配置中在增加一个全局配置：SafeUrl wb受控程序：允许访问SafeUrl，不允许访问 Not SafeUrl 其他受控程序：允许访问SafeUrl，允许访问 Not SafeUrl 非受控程序：不允许访问SafeUrl，允许访问 Not SafeUr

23. 服务器卸载

服务器执行卸载命令后，卸载成功不删除相关的数据，即不删除DSMServer 文件夹。可以根据实际手动去删除数据。

24. 修复了已知BUG

1. 服务器导入含有tdlp许可失败的bug
2. 客户端在扩展屏情况下，截屏水印不显示的bug
3. 客户端含有tdlp模块安装后导致蓝牙驱动不可用的bug

25. mac客户端内核支持

1. 更新支持到macos12.2.1系统，包为dsm-mac_5.2.6001.102_sp.pkg，支持范围10.15到12.2.1
2. dsm-mac_5.2.6001.102.pkg，无防复制 新增支持macos 12.2.1 (支持范围10.15-12.2.1)