优簿企业大数据自生长系统操作说明书V10.docx
《优簿企业大数据自生长系统操作说明书V10.docx》由会员分享,可在线阅读,更多相关《优簿企业大数据自生长系统操作说明书V10.docx(16页珍藏版)》请在冰豆网上搜索。
优簿企业大数据自生长系统操作说明书V10
第一章系统概述
1.1系统介绍
随着信息化建设的逐渐深入,商业企业、政府机构、事业单位等组织内部的信息和数据大多以为电子文档的形式进行存储和传递。
从设计图纸到客户信息,从财务数据到无纸化公文,文档的电子化大大加快了信息的流动与共享,加速了组织的业务流程。
但同时,也给信息安全工作带来了巨大的挑战。
电子文档本身所具有的易获取、易复制、易传播的开放性特征,使得用户能以多种形式,通过多种渠道在组织内部以及组织之间进行数据的交换与转移。
发达的互联网应用,随处可见的移动存储设备,都是电子文档安全防护过程中不可回避的难题。
实践中,组织想控制住所有的电子文档传播渠道并不现实,安全性与可用性之间也可能顾此失彼。
“数据信息加密系统”正是为了解决上述难题而研发的一体化电子文档安全解决方案。
它跳出了传统的单一控制文档传播渠道的文档安全保护思路,转以对电子文档本身的加密保护为核心,构建包含内部用户、合作伙伴、移动办公在内的完整文档保密体系。
通过应用智能化的透明加密技术,组织重要的电子文档从创建的一刻开始就自动经由数据信息加密系统强制加密。
通过在内部网络部署客户端,内部用户可以按原有的业务流程使用和共享电子文档,非法流出组织之外的电子文档因为以密文的形式存在,会得到有力的保护。
同时,“数据信息加密系统”的权限控制机制,允许在组织内按部门归属和职务级别建立二维的文档保密体系,从而使得保密不仅有内外之分,内部分级保密也成为可能。
另外,“数据信息加密系统”还创造性的将需要与组织进行文档交流的外部用户纳入到文档保密体系中,加密文档离开了组织环境之后也能得到完整的保护,保密体系也因此而得到外延。
“数据信息加密系统”采用多种先进技术保证文档的完整性和可用性;同时,高速缓冲技术的加入也使其对系统性能的损耗微乎其微。
具有高安全性、高稳定性、高可用性特点的数据信息加密系统文档透明加密系统,适合各种规模的商业企业、政府机构、事业单位、科研院所等保护其机密信息。
1.2操作流程
启用加密功能
1)安装客户端
2)在控制台启用加密授权
3)在控制台设置加密权限,含授权软件、安全区域和级别等
申请与审批
1)客户端申请解密/外发
2)控制台进行审批
3)客户端执行解密/外发
外发查看器
1)安装外发查看器
2)控制台对外发查看器进行授权
3)外发查看器导入授权
4)客户端生成外发文档
5)外发查看器查看外发文档
1.3技术环境
1.硬件环境
⏹CPU:
主频1.5G以上;
⏹内存:
512MB以上;
⏹硬盘:
硬盘不低于8G;
2.软件环境
⏹操作系统:
服务器版本为windowsserver2003版本以上。
第二章系统功能介绍
2.1服务器配置
右键单击【服务控制器】,选择“工具->注册”输入管理员密码进入注册界面。
如图2-1所示。
图2-1注册
第一次安装服务器后,会自动生成一个有30天试用期的演示序列号,演示序列号不含有加密功能。
管理员点击【升级】按钮,主序列号和加密序列号栏会变为可编辑状态,输入购买的正式主序列号和加密序列号,再单击【确定】按钮,如果您输入的序列号无误,系统会提示“序列号升级成功”并且提示您需要激活产品。
您必须通过产品注册得到注册码来激活您的产品。
如果所在服务器可以连接互联网,有2种注册方法:
在线注册
在产品注册对话框中填写您公司的信息,包括公司名称、联系人、联系电话和邮件地址,点击【在线注册】会自动返回注册码,单击【注册】按钮,提示“注册成功”即可;
邮件注册
您也可以使用邮件注册。
在产品注册对话框中填写您公司的信息,包括公司名称、联系人、联系电话和邮件地址,点击【发送邮件】,系统会弹出发送邮件窗口,请确认填写信息无误后发送邮件。
我们会将注册码发到您填写的电子邮件地址,收到后请将注册码复制到相应地方,点击【注册】按钮,系统提示“注册成功”就完成了整个注册的过程。
如果因为网络或别的问题,无法在线注册或即时发送邮件获得注册码,您也可以在其他可上网的机器上将注册信息和识别码发送邮件给我们进行处理。
2.2控制台
◆移动解密
装了客户端的计算机,需要经过管理员授权才能使用加密功能。
以防止非法人员安装客户端查看加密文档。
客户端的加密授权状态,可以从计算机树和计算机的基本信息中查看。
已授权的客户端,在计算机树上的图标左下角有个小锁标志。
在计算机的基本信息中有一行显示加密授权状态,为已启用或已禁用。
客户端默认是未启用加密授权的。
如需启用或禁用加密授权,可在控制台上的计算机栏、基本信息和计算机管理中进行操作。
如图2-2所示。
图2-2移动解密
◆计算机管理:
在控制台中,选择菜单“工具->计算机”进入计算机管理查看窗口。
选择一个或多个计算机,点击【启用加密】按钮,则对目标计算机启用加密授权。
点击【禁用加密】按钮,取消目标计算机的加密授权。
注意禁用客户端的加密授权后,计算机中的加密文档将无法查看。
如需要禁用加密授权,请先把计算机中的加密文档全部解密。
如图2-3所示。
图2-3授权
2.3帐户管理
选择菜单“工具->账户”,系统管理员可以查看和添加新的加密管理员。
如图2-4所示。
图2-4账户管理
图标按钮
操作
添加管理员帐号,也可输入描述信息;
删除管理员帐号,系统管理员“Admin”无法删除
加密管理员管理权限拥有四大模块。
包括:
常规,计算机组,用户组和加密功能。
管理权限
内容
常规
指定管理员的类型,管理员登录的模式等;
计算机/用户组
指定非系统管理员所能管理的范围,计算机组和用户组只能指定其中一种,假如指定了计算机组,就不能指定用户组;如果指定全部计算机组,则默认也是全部用户组。
加密功能
指定非系统管理员帐户拥有的加密功能的权限。
包括管理权限和安全区域。
常规:
常规权限
说明
系统管理员
只有系统管理员能查看和管理授权软件和安全区域。
具有加密功能管理权限
选择此项才能对加密系统进行管理。
只允许以代理管理员方式登录
只能在加密客户端上登录代理管理员进行管理,不能在控制台上登录。
只允许登录到加密管理系统
能从控制台上登录,登录后直接显示加密管理系统界面,不能使用控制台上除加密以外的功能。
加密功能:
管理权限
说明
审计日志
查看文档操作日志的权限。
包括:
查看加密文档操作日志,查看备份的加密文档,查看解密申请和审批情况,查看外发申请和审批情况。
操作权限
主要是对加密文档的操作权限。
包括:
远程管理加密文档,解密权限,外发权限。
审批权限
主要是对解密申请和外发申请进行审批的权限。
包括:
解密审批权限,外发审批权限。
图2-5账户管理
安全区域
说明
全部安全区域和级别
能管理所有安全区域和级别的文档。
全部安全区域的指定级别
能管理所有安全区域的指定级别以下的文档。
安全级别共有五个等级:
普通、内部、秘密、机密和绝密。
如指定级别为秘密,则能管理普通、内部和秘密级别的文档。
指定安全区域与相应的级别
能管理指定的安全区域与相应级别以下的文档。
2.4客户端
在控制台上对客户端启用加密授权,客户端就会启用加密功能,在系统托盘处显示图标。
如图2-4所示。
图标状态
说明
启动;
停止;
离线;
离线授权。
图2-6客户端图标状态
导入授权文件
在系统托盘的客户端图标处,选择右键菜单“导入授权文件”,选择一个由控制台生成的离线授权文件导入,即可获得离线权限。
右键菜单
在资源管理器中,信息加密的图标右下角有个小锁标志。
在文件属性对话框中,有加密选项卡,可查看和设置信息加密的访问权限和设置权限,具体操作见4.5。
选择信息加密,使用右键菜单,还可以进行解密、申请解密、外发、申请外发等操作。
扫描工具
在客户端系统托盘处,选择右键菜单“扫描本地文件”,可启动扫描工具。
扫描工具可以扫描信息加密,并执行加密、解密、申请解密、外发、申请外发和修改文档属性等操作。
如图2-5所示。
图2-7扫描文件
修改文档安全属性
在资源管理器中,打开信息加密的属性对话框,在加密选项卡中可以修改文档安全属性。
图2-8属性
设置权限,是指能修改文档安全属性的权限。
只能有一个安全区域和级别。
访问权限,是指能打开、编辑此加密文档的权限。
可以有多个安全区域和级别。
解密与加密
直接解密:
有解密权限的客户端,可以使用右键菜单或扫描工具把加密文档解密成普通文档。
手工加密:
有解密权限的客户端,也具有加密的权限。
可以使用扫描工具把非加密文档进行加密。
加密时可设置文档的加密安全属性,含设置权限和访问权限。
申请解密:
没有解密权限的客户端,可以使用右键菜单或扫描工具,选择申请解密,填写申请理由并提交。
客户端在线时,申请解密后控制台能马上收到通知并审批。
客户端离线时,申请解密后,还需要在客户端的查看申请窗口,导出申请文件,把申请文件发给管理员,管理员在控制台导入后进行审批。
审批具体操作见3.9。
外发
直接生成外发:
有直接外发权限的客户端,可以使用右键菜单或扫描工具生成外发文档。
并可指定可查看外发文档的外发对象,文档的有效期,是否允许外发文档打印、虚拟打印、截屏、复制等功能。
图2-9创建外发文档
申请外发:
没有直接外发权限的客户端,可以使用右键菜单或扫描工具,选择申请外发。
申请外发时需填写申请理由,并指定发外对象和文档的使用权限。
客户端在线时,申请外发后控制台能马上收到通知并审批。
客户端离线时,申请外发后,还需要在客户端的查看申请窗口,导出申请文件,把申请文件发给管理员,管理员在控制台导入后进行审批。
审批具体操作见3.10。
查看申请信息
在客户端系统托盘,选择右键菜单“查看申请情况”,可查看解密和外发的申请和审批情况。
文字按钮
说明
查看
查看解密申请和离线申请的详细信息。
导入审批
离线时,导入控制台提供的审批文件,以获取审批结果。
离线申请
生成离线申请文件,发给控制台进行审批。
取消申请
取消解密/外发申请。
解密申请
可查看解密申请的时间、状态、文件名、大小、数量、安全区域和级别等信息。
图2-10申请和审批情况
双击申请记录,可查看申请的详细信息。
并可执行解密、生成离线申请文件、取消申请等操作。
如图2-11所示。
图2-11解密申请信息
已批准的申请,可点击【解密】按钮进行解密,可选择解密到原文件,也可以到其他目录。
离线时提交的解密申请,点击【生成离线申请文件】按钮,生成申请文件,发给控制台进行审批。
外发申请
可查看外发申请的时间、状态、文件名、大小、数量、安全区域和级别等信息。
图2-12申请和审批情况
双击申请记录,可查看申请的详细信息。
并可执行创建外发、生成离线申请文件、取消申请等操作。
已批准的申请,可点击【创建外发】按钮生成外发文件,可选择生成目录。
离线时提交的外发申请,点击【生成离线申请文件】按钮,生成申请文件,发给控制台进行审批。
安全密码
为防止有别人使用此客户端非法解密文件,客户端应该要设置一个密码对文件解密或者外发进行控制,在每次解密或者外发时需要输入密码。
在客户端系统托盘的右键菜单“设置密码”处设置安全密码。
代理管理员
管理员可以在安装客户端的计算机上登录代理控制台,进行审批解密申请和外发申请。
登录
有允许登录代理管理员权限的客户端,可在系统托盘的客户端图标上,选择右键菜单“登录代理管理员”,并输入管理员帐户和密码,即可登录代理控制台。
如图2-13所示。
图2-13登录
审批管理
代理控制台的审批管理功能和控制台一样,可以查看解密/外发申请、审批申请、导入申请文件和导出审批文件。
图2-14代理控制台
锁定
为防止他人使用代理控制台进行审批,管理员离开时可锁定代理控制台。
锁定后代理控制台仍能收到解密申请和外发申请的气泡通知,需要输入密码登录才能进行审批。
锁定有三种方式:
直接锁定、离开后锁定和最小化锁定
直接锁定:
选择菜单“操作->锁定”进行锁定。
离开后锁定:
选择菜单“申请管理->选项”进行设置,勾选“用户离开后自动锁定”,并可设置离开后多少分钟进行锁定,默认为15分钟。
最小化锁定:
选择菜单“申请管理->选项”进行设置,勾选“最小化到托盘后锁定”。
第三章系统帮助
3.1常见问题
Q1:
信息加密适合你吗?
许多客户在项目完成后,总会抱怨信息加密本身存在的一些问题:
信息加密的一部分残留内容是明文格式的;文件在预期加密区外面保存起来;文件在加密期间被锁定起来,因而没有经过加密。
如果这些问题让你烦心,不妨考虑采用卷加密或者全盘加密。
如今出现的一股趋势是倾向于这些数据保护方法,而不是逐个文件的加密。
加强密钥归档,可以通过数据恢复事件的成功来衡量加密项目的长远成功。
人们可能会忘记口令短语而丢失密钥;他们可能会破坏经过加密的卷;公司的CEO在出差途中可能访问不了数据。
所以事先做好规划,确保你的数据恢复方法完美无缺、随时可以访问数据。
首先就是要确保在默认情况下,加密密钥每次都会自动归档。
不要把归档工作交给最终用户,也不能允许整个过程存在什么缺陷。
开始部署之前要再三测试。
Q2:
数据在哪里?
调查一下你的数据保存在哪里、传送到哪里。
要是你连自己的数据在什么地方都不知道,开始制订数据保护方案又从何谈起?
如今,数据不但放在硬盘(服务器、工作站和笔记本电脑)上,还放在USB闪存盘、光盘和备份磁带等设备上。
要确定你需要对哪里的数据进行加密,然后选择合适的解决方案。
Q3:
考虑到传输中的数据了吗?
大多数据加密项目针对的是静态信息场景。
你如何保护在网络上或者广域网上传输的数据?
这部分数据经过加密了吗?
我参与过的项目大部分针对的目标是静态数据(硬盘和USB闪存盘等),却完全疏忽了传输中数据。
这没什么――你总得从某个地方开始入手,但不要忽视了第二个问题。
在大多数情况下,你需要另外的解决方案来保护传输中数据,不过你往往可以依靠SSL/TSL和IPSec这些传统的可靠标准。
Q4:
你的应用软件与加密软件兼容吗?
有些读者对此可能会觉得惊讶,但你确信现有的应用软件不会介意加密操作吗?
实施的加密系统大部分可以在后台无缝运行,但它们无一例外地需要特殊的磁盘驱动程序和API调用。
许多老式程序可能无法使用预期的磁盘调用,绕开了加密程序,从而破坏了数据。
你对数据进行加密之后,应当全面测试一下所有程序,查明有没有交互方面的问题。
当然,还要确保数据备份程序具有兼容性。
3.2信息加密的几种常用方法
方法一:
修改后缀名
严格地说,这并不是一种加密的方法,更像是虚张声势的方法,因为这种方法对高手无用!
但真正的高手是不会关注你的。
这种方法就是将你想保密的文件改为一个任意字符的后缀名。
如:
将123.doc改为456.swc,在别人来看,是很难知道其中的秘密的。
方法二:
目录欺骗法
新建一个目录,把想保密的文件放入该文件夹,然后将文件夹改名为“123.wav.{00020c01-0000-0000-c000-000000000046}”,你会看到你的这个文件夹会变成一个WAV文件的图标,双击它也是打开媒体播放器(但就是无法播放)。
想浏览该文件需要在“资源管理器”里找。
方法三:
使用软件加密
使用一些专业的信息加密软件即可。
这一类软件有很多,用户可以根据自己需要选择。
方法四:
硬件加密
就是利用一些诸如“硬件狗”等这类工具进行相关的设定,使用计算机时必须使用这类硬件才能正常启动电脑和使用。
又如:
现在很多硬件厂商为其主板专门设计的USB接口加密锁,只有当计算机插上这个加密锁之后,才能进入操作系统和正常使用。
不用这个USB加密锁,即使你清空CMOS也无济于事。
方法五:
文件相互捆绑
这种方法就是将你要加密的文件捆绑在另一个文件中,以达到瞒天过海的效果。
这方面的代表软件有图形加密软件,其加密手法就是把文件隐藏在图片格式文件中,除非知道密码并用特殊工具打开,否则你只能看到图片。
这个软件操作起来相当简便,一个加密流程需要的步骤是:
选择伪装图片→选择信息加密→设置加密密码→完成。
升级会员 