系统管理员使用手册范本.docx

1、系统管理员使用手册范本DLP系统 系统管理员使用手册一、 系统登陆DLP系统采用B/S的管理模式，管理端口为：8080。登陆服务器网址为：http：/（服务器IP地址）:8080。系统登陆需用【系统管理员】用户登陆系统做客户端管理配置。系统管理员主要负责WEB平台服务器端的管理，管理所有的客户端用户，给各用户分配不同的策略、权限等。系统管理员使用超级管理员设置用户名和密码。二、 运维管理1.1名词解释安装包：生成客户端安装程序。卸载包：生成客户端卸载程序。原始包：生成客户端程序所需资源。跟生成安装包一块结合来用。如果服务器没有客户端程序所需的资源，则需先上传原始包，才能制作客户安装包。如果服务

2、器端有客户端程序所需的资源，就不需要再上传原始包，直接制作安装包即可。升级包：用于升级客户端程序。客户端升级配置：针对客户端升级环境（32位操作系统、64位操作系统）、升级版本的配置管理。客户端升级配置一定要结合升级包上传来使用。首先上传升级包，然后再做客户端升级配置。登陆服务器网址为：http：（服务器IP地址）:8080。用系统初始化中建立的用户登录。登录后点击菜单栏中【运维管理】下的【安装包制作】1.2 制作安装包a) 业务流程运维管理安装包制作制作安装包确认b) 操作明细点击【运维管理】下的【安装包制作】在安装包制作的右侧会列出安装包制作窗口，点击其中的“制作安装包”会弹出如下界面：c

3、) 制作安装包 安装包名称：给安装包定义一个名称。一般用便与理解的名字来制作安装包。默认为：客户端安装包+日期。 总控中心通信地址：客户和服务通的通信地址。根据本单位的实际情况填写服务器的IP地址。 总控中心通信端口：客户端与服务器通讯端口。默认为60000。一般不建议修改。 总控中心通信协议：客户端与服务器是通过那种协议进行通讯的。DLP系统可以从TCP或SSL协议中任选一种进行通讯。 部署环境：客户端支持操作系统环境。DLP系统既可以支持32位操作系统又可以支持64位操作系统。 主机默认安装部门：制作的客户端默认安装在那个部门下，以便安装时减轻用户手工填写部门的麻烦。 安装程序运行模式：客

4、户端执行方式。客户端分为两种执行方式：交互、静默。交互需要用户根据提示一步一步进行安装。静默：该模式下用户不需填写任何信息即可完成安装。 办公地点是否填写：根据本单位的实际情况来确定安装客户端时是否填写该用户的办公地点。 联系是否必填：根据本单位的实际情况来确定安装客户端时是否填写该用户的联系方式。 电子是否必填：根据本单位的实际情况来确定安装客户端时是否填写该用户的电子。1.3 制作卸载包d) 业务流程运维管理安装包制作制作卸载包确认e) 操作明细点击【运维管理】下的【安装包制作】在安装包制作的右侧会列出有关安装包窗口，点击其中的“制作卸载包”会弹出如下界面：f) 制作卸载包 卸载包名称：给

5、卸载包定义一个名称。一般用便与理解的名字来制作卸载包。默认为：客户端卸载包+日期。 总控中心通信地址：客户和服务通的通信地址。根据本单位的实际情况填写服务器的IP地址。 总控中心通信端口：客户端与服务器通讯端口。默认为60000。一般不建议修改。 总控中心通信协议：客户端与服务器是通过那种协议进行通讯的。DLP系统可以从TCP或SSL协议中任选一种进行通讯。 部署环境：客户端支持操作系统环境。DLP系统既可以支持32位操作系统又可以支持64位操作系统。 将客户端信息从服务器端删除：如果选择是则删除客户端程序的同时也将该客户端在服务器端的信息删除。如果选择否则只删除用户的客户端程序。 删除客户端

6、信息失败继续卸载：如果选择“是”则继续卸载客户端。如果选择“否”则停止卸载客户端。建议选择“是”。1.4 原始包上传g) 业务流程运维管理安装包制作原始包上传确认h) 操作明细点击【运维管理】下的【安装包制作】在安装包制作的右侧会列出有关安装包窗口，点击其中的“原始包上传”会弹出如下界面：i) 上传原始包 资源格式：如果选择32位，则上传32位操作系统所需资源。如果选择64位，则上传64位操作系统所需资源。 选择文件：跟资源格式一块配合来使用。如果选择32位资源格式，则只能上传32位操作系统所需文件。如选择64位资源格式，则只能上传64位操作系统所需文件。1.5 升级包上传j) 业务流程运维管

7、理安装包制作升级包上传确认k) 操作明细点击【运维管理】下的【安装包制作】在安装包制作的右侧会列出有关安装包相关窗口，点击其中的“升级包上传”会弹出如下界面：l) 上传升级包 资源格式：如果选择32位，则上传32位操作系统所需资源。如果选择64位，则上传64位操作系统所需资源。 选择文件：跟资源格式一块配合来使用。如果选择32位资源格式，则只能上传32位操作系统所需文件。如选择64位资源格式，则只能上传64位操作系统所需文件。1.6 客户端升级配置m) 业务流程运维管理安装包制作客户端升级配置确认n) 操作明细点击【运维管理】下的【安装包制作】在安装包制作的右侧会列出有关安装包窗口，点击其中的

8、“客户端升级配置”会弹出如下界面：o) 客户端升级配置 升级包环境：如果选择32位，则升级32位操作系统客户端。如果选择64位，则升级64位操作系统客户端。 升级包名称：是由升级包上传得来的。通过下拉列表框来选择客户端升级到那个版本。 版本号：客户端的版本号。由客户端升级包名称来决定客户端版本号。1.7密钥导入导出p) 业务流程 运维管理密钥导入导出确认q) 操作明细点击【运维管理】下的【密钥导入导出】右侧会列出有导入导出密钥窗口，点击“密钥导入导出”会弹出如下界面：r) s) t) u) v) w) x) y) zz) 图（密钥导入导出）a) 密钥导入导出 密钥导出：服务器安装完成，管理员备

9、份服务器密钥。 密钥导入：服务器重新安装或者更换新服务器时导入备份密钥。三、 制定策略(文档管理)文档管理：针对加密文档的管理。其中设计到文档管理策略、文档交流（部交流通过授权和互访。外部交流通过解密）。2.1名词解释加密模版：制定应用程序（软件）加密模版。加密策略是根据应用程序（软件）的进程+该应用程序所处理的文档类型（后缀）来指定。因此DLP系统中的加密策略可以对所有软件进行加解密。这是DLP系统的一大特色。审批流程模版：制作审批流程。加密文档的解密、打印都需要走相关的审批流程。DLP系统中的审批流程指定较为灵活，可以根据本单位的实际情况进行制定。应用审批流程：把制作好的审批流程应用起来。

10、应用审批流程和审批流程模版一定要配合使用，首先要制作审批流程，然后才能应用审批流程。就像一个单位首先要制定规章制度，然后才能应用规章制度一样。2.2 制作加密模版下边主要针对如何制定加密策略做详述。对加密策略编辑、删除、导出、查询等不做累述。a) 业务流程文档管理加密模版添加加密模版确认b) 操作明细点击【文档管理】下的【加密模版】在加密模版的右侧会列出有关加密模版相关窗口，点击其中的“添加加密模版”会弹出如下界面：c) 添加加密模版 模版名称：给加密模版定义一个名称。一般使用用户便与理解的名字来定义模版。 目标进程名：填写要进行加密的软件的进程名。如果该软件有多个进程名则用“|”隔开。比如办

11、公软件word的进程名为：winword.exe。 目标MD5值：填写要进行加密软件的MD5值。如果该软件有多个MD5值则用“|”隔开。 应用到子进程：把加解密也应用到该软件的子进程中。如果选择“是”则用于该软件的子进程中。如果选择“否”则只用于该软件的主进程中。如果一个软件具有多个子进程。建议选择“是”选项。 策略密级：给策略定义一种级别。为了便于用户对加密文档管理，DLP系统分为两种级别：部公开和部受控。部公开：加密文件在用户整个单位可以畅通无阻交流，脱离单位受控。部受控：加密文件在用户单位不同部门之间或不同密级之间是受控制的。 访问强加密文件扩展名：指定加密进程所处理文件的扩展名，并且在

12、访问时做强加密处理。如果该软件处理的文件有多个扩展名则用“|”隔开。访问指的是针对该加密软件以前所处理该类型文件，并非新建的文件。 新建文件加密类型：针对加密进程所涉及到新建文件时做那种加密处理。加密所有文件：针对加密进程涉及到的所有新建的文件做加密处理。加密指定扩展类型文件：针对加密进程中指定的扩展类型做加密处理。不加密新建文件：针对加密进程涉及到的所有新建的文件不做加密处理。 访问文件解密类型：针对加密进程在访问涉及到的文件时做何种解密处理。解密所有文件：针对加密进程在访问涉及到的所有文件时做解密处理。解密指定扩展类型文件：针对加密进程在访问涉及到指定类型的文件时做解密处理。不解密所有文件

13、：针对加密进程在访问涉及到的所有文件时都不做解密处理。 不加密路径列表：在该路径下的所有文件都不做加密处理。仅支持以*开头和*结尾的路径如：*windowssystem32*。2.3制定审批流程下边主要针对如何制定审批流程中的制定解密流程做详述。对审批流程编辑、删除、等不做累述。d) 业务流程文档管理审批流程模版添加互访组确认e) 操作明细点击【文档管理】下的【审批流程模版】在审批流程的右侧会列出审批流程流程模版列表，点击其中的“添加”会弹出“添加审批流程”界面：f) 添加审批流程 审批流程名称：为该审批流程定义一个名称。 审批流程类型：为该审批流程选择一种类型。DLP系统有三种审批流程可供选

14、择。分别为：文档解密、文档打印。 追加节点：在当前选中节点的后边加入下一级流程。 插入节点：在当前选中节点的前边加入上一级流程。 删除节点：删除当前选中的节点。2.3.1添加审批人员双击“添加审批流程”中的节点(一级审批)即可弹出“编辑节点”窗口如下图所示： 节点名称：为该节点定义一个名称。 审批人员：添加此节点中的审批人员。 审批规则：DLP系统分为两种审批规则。单人审批：只需此节点中任何一个审批人员通过即可。全部审批：需要此节点中所有审批人员通过。2.4应用审批流程应用审批流程和审批流程模版一定要配合使用，首先要制作审批流程，然后才能应用审批流程。g) 业务流程文档管理应用审批流程选择应用

15、的目标(围)确定h) 操作明细点击【文档管理】下的【应用审批流程】在应用审批流程的右侧会列出应用审批流程模版列表，点击其中的“应用流程”会弹出“应用XXX流程模版”界面： 选择要应用的目标：DLP系统应用的目标分为两种。主机和部门及主机。主机：安装客户端的计算机。部门及主机：部门及其部门下的所有主机。3.1分发策略（策略管理）DLP系统中按照策略分发围来说可以分为三种类型：单位策略、部门策略、主机策略。 单位策略：把制定好的策略分发给指定的单位。 部门策略：把制定好的策略分发给指定的部门。 主机策略：把制定好的策略分发给指定的计算机。DLP系统中按照策略的分发模式来说分为三种类型：在线策略、离

16、线策略、外出策略。 在线策略：客户端与服务器正常通信时，所执行的策略。 离线策略：客户端与服务器不能正常通信时，所执行的策略。比如：客户端由于网络的原因，不能与服务器联通；服务器由于维护等原因，暂停对外服务等等。 外出策略：安装了DLP系统的计算机要脱离当前的办公环境时，所执行的策略。比如：部员工要带安装了DLP系统的计算机出差等。DLP系统无论做何种围的策略分发都会涉及模式分发。DLP系统无论做何种的模式分发到会涉及到分发围。也就是说围分发和模式分发是一种交集。3.2运行策略的分发运行策略是DLP系统中的基本策略。运行策略包括与服务器地址、服务器采用通信协议、端口、策略更新检查周期、审计日志

17、上报日期、离线策略生效时间、客户端升级相关设置、客户端卸载密码等。运行策略是DLP系统默认开启的策略。以下主要【部门策略中包含在线策略中的运行策略】做详细操作描述。注意：对【部门策略中包含离线策略中的文档策略】不做描述，唯一不同就是策略选择模式不同，该策略的选择模式为离线。对【单位策略中包含在线策略中的文档策略】不做描述，与【部门策略中包含在线策略中的运行策略】不同就是选择不是部门而是单位，选择部门以及选择部门下的所有主机。 运行策略i) 业务流程策略管理部门策略选中指定的部门选择一种策略模式（在线策略、离线策略、外带策略）选择运行的策略保存选择分发的策略模块（运行）完成j) 操作明细点击菜单

18、栏上的【策略管理】，在左上角弹出策略管理菜单，点击【部门策略】此时中间会列出DLP系统中所有策略窗口，点击其中的“在线策略”按钮，选中DLP系统中所有策略窗口中的“运行策略”会弹出如下界面：图3.2.1（部门策略运行策略分发主界面）（备注：每个单独模块右上角会有不同颜色的小方块。灰色小方块代表系统默认启用策略；红色小方块代表目前还没下发过该策略；绿色小方块代表该策略已经被下发过）双击“运行策略”模块后，会弹出配置运行策略界面，如下图所示：图3.2.2（部门策略、在线策略、运行策略主界面）k) 部门策略【在线策略、运行策略】 启用状态（启用、停用）：当前策略是否启用。选择启用证明要启用运行策略；

19、选择停用证明要停用运行策略。注意：不建议停用运行策略。 总控中心通信地址：总控制平台的地址。根据DLP系统实际安装地址填写。 总控中心通信端口：总控中心对外提供服务的端口。DLP系统默认总控中心的端口为：60000。注意：不建议修改总控制的端口。 总控中心通信协议（TCP、SSL）：总控制中心通过那种协议对外提供服务。DLP系统支持TCP协议和SSL协议。 连接服务器超时时间：策略切换时间。如果客户端与服务器不能通信时，开始计算机这个时间，达到这个时间后，客户端将进行策略的切换。可以切换的策略有：离线策略和外出策略。 策略变更检查周期：服务器自己多久去数据库搜索一次，看目前是否有新的策略，如果

20、有则推送新的策略。 审计事件事件上报周期：客户端多久把审计日志上报到服务器。 客户端卸载码：卸载客户端的密码。 客户端自动升级（启用、停用）：开启或关闭客户端的升级功能。 客户端升级地址：规定客户端从那个地址获取升级文件。 客户端升级周期：客户端多久检查一次更新。在图3.2.3运行（部门策略、在线策略、运行策略主界面）点击“保存”按钮，在浏览器上方会提示策略保存成功。策略保存成功后再点击“分发策略”按钮，选择“运行策略”模块，点击“下一步”会弹出“部门分发目标”界面，如下图所示：图3.2.3（部门分发目标界面）l) 策略分发 选择分发目标（单位、部门、主机）：对何种围做策略分发。选择单位表示对

21、单位下发策略；选择部门表示对部门下发策略；选择主机表示对主机下发策略。 同时分发到部门下的所有主机：把策略分发给部门下的所有主机。点击图3.2.3（部门分发目标界面）中“下一步”按钮，会弹出“策略分发汇总信息”界面。如下图所示：图3.2.4运行策略（分发汇总信息）m) 策略分发 分发模块：一共分发了几个模块。 分发的对象（单位、部门、主机）：从中可以看出对几个单位、几个部门、几个主机分发了策略。点击【完成】按钮。表示完成了【部门策略、在线策略、运行策略】下发。3.3文档管理策略的分发文档管理指的是对加密文档的管理。文档管理策略的分发是把3.2中制作的加密模板分发到指定的围。其中还包含的更为细腻

22、的权限控制。控制权限包括：只读、复制、截屏、打印、批量加解密、加密文件大小、不加密路径等等。以下主要【单位策略中包含在线策略中的文档策略】做详细操作描述。注意：对【单位策略中包含离线策略中的文档策略】不做描述，唯一不同就是策略选择模式不同，该策略的选择模式为离线。对【部门策略中包含在线策略中的文档策略】不做描述，与【单位策略中包含在线策略中的文档策略】不同就是选择不是单位而是部门，以及选择部门下的所有主机。对【部门策略中包含离线策略中的文档策略】不做描述，与【单位策略中包含在线策略中的文档策略】不同就是策略选择模式和围不同，该策略的选择模式为离线，该策略选择围是部门。 单位策略n) 业务流程策

23、略管理单位策略选中指定的单位选择一种策略模式（在线策略、离线策略、外带策略）选择文档管理的策略保存选择分发的策略模块（文档管理）完成o) 操作明细点击菜单栏上的【策略管理】，在左上角弹出策略管理菜单，点击【单位策略】此时中间会列出DLP系统中所有策略窗口，点击其中的“在线策略”按钮，选中DLP系统中所有策略窗口中的“文档管理”会弹出如下界面：图3.3.1（单位策略文件管理策略分发主界面）（备注：每个单独模块右上角会有不同颜色的小方块。灰色小方块代表系统默认启用策略；红色小方块代表目前还没下发过该策略；绿色小方块代表该策略已经被下发过）双击“文档管理”模块后，会弹出配置文档管理界面，如下图所示：

24、图3.3.2（单位策略、在线策略、文档策略主界面）p) 单位策略【在线策略、文档管理】 启用状态（启用、停用）：当前策略是否启用。选择启用证明要启用文档管理策略；选择停用证明要停用文档管理策略。 透明加密策略：DLP系统应用透明加解密来实现对文件保护。选择要下发的加密策略模板。详细设置见如下图3.3.3。 批量加解密策略：DLP系统支持全盘加解密策略。通过管理员设置某种类型文件策略来实现。详细设置见下图图3.3.4。 用户操作权限控制：对用户使用加密文件做了细粒度的权限控制。详细设置见如下图3.3.5。单击“透明加解密策略”前的三角形，会弹出设置透明加解密策略的界面，如下图4.2.3（透明加解

25、密策略）所示：图3.3.3（透明加解密策略）q) 透明加解密策略 策略组：策略的集合。一个策略组中可以包含多种不同软件的加解密策略。 模板列表：列出2.2中制作的所有加密模板。 删除全部：删除所有选择的加解密策略。单击“批量加解密策略”前的三角形，会弹出设置批量加解密策略的界面，如下图所示：图3.3.4（批量加解密策略）r) 批量加解密策略 批量加解密（启用、停用）：批量加解密的开关。选择“启用”表示打开批量加解密。选择“停用”表示关闭批量加解密。 批量加解密类型（批量加密、批量解密）：选择是批量加密；还是批量解密 批量加密文件后缀：批量加密的文件类型。多个批量加密的文件类型用“|”分隔。 批

26、量解密文件后缀：批量解密的文件类型。多个批量解密的文件类型用“|”分隔。 不加密文件目录：不加密路径。该路径下的文件不做加密。单击“用户操作权限控制”前的三角形，会弹出设置用户操作权限控制的界面，如下图所示：图3.3.5（用户操作权限控制）s) 用户操作权限控制 加解密文件大小上限：定义加解密文件的大小。如果大于设定的围则该文件不会加解密。 禁用核（启用、停用）：客户是否加解密的开关。停用表示客户开启加解密。启用表示停用客户端加解密。 剪贴、粘贴（允许、禁止）：开启或关闭剪贴、粘贴功能。允许表示可以剪贴、粘贴。禁止表示不可以剪贴、粘贴。 打印（允许、禁止）：开启或关闭打印功能。允许表示可以打印

27、。禁止表示不可以打印。 截屏（允许、禁止）：开启或关闭截屏功能。允许表示可以截屏。禁止表示不可以截屏。 手工加密（启用、停用）：开启或关闭手工加密功能。启用表示为客户端打开手工加密功能。停用表示关闭客户端手工加密功能。 手动定级（启用、停用）：开启或关闭手动定级功能。启用表示为客户端打开手动定级功能。停用表示关闭客户端手动定级功能。 超级解密（启用、停用）：开启或关闭超级解密功能。启用表示为客户端打开超级解密功能。停用表示关闭客户端超级解密功能。点击图3.3.2（单位策略、在线策略、文档策略主界面）中“保存”按钮，在浏览器上方会提示策略保存成功。策略保存成功后再点击“分发策略”按钮，选择“文档

28、管理”模块，点击“下一步”会弹出“单位分发目标”界面，如下图所示：图3.3.6（单位分发目标）t) 策略分发 选择分发目标（单位、部门、主机）：对何种围做策略分发。选择单位表示对单位下发策略；选择部门表示对部门下发策略；选择主机表示对主机下发策略。 同时分发到单位下的所有部门：把策略分发给该单位下的所有部门。 同时分发到部门下的所有主机：把策略分发给部门下的所有主机。注意：如果下发的是单位策略必须勾选同时分发到单位下的所有部门和同时分发到部门下的所有主机。点击图3.3.6（单位分发目标界面）中“下一步”按钮，会弹出“策略分发汇总信息”界面。如下图所示：图3.3.7（策略分发汇总信息）u) 策略

29、分发 分发模块：一共分发了几个模块。 分发的对象（单位、部门、主机）：从中可以看出对几个单位、几个部门、几个主机分发了策略。点击【完成】按钮。表示完成了【单位策略、在线策略、文档策略】下发。 3.4打印监控设置【打印监控】不仅能够监视本地打印机，而且还能监视网络中共享的打印机，打印文档审批。通过对打印行为进行监控审计、打印水印，并且可以备份打印容，从而防止企业或个人信息通过打印机外泄出去。【打印监控】可设置打印监控响应方式。一旦发现客户端违规操作行为发生，则系统及时给予响应，响应方式包括：忽略、记录、报警、关机、重新启动计算机、注销、锁定计算机等。 打印监控 业务流程 选择需进行打印监控的对象

30、启用【打印监控】选择监控的类型选择监控的响应方式确认 操作明细在【打印监控】中双击选择需要应用打印监控策略的对象，点击管理界面中的【打印监控】功能详见下图3.4.1图3.4.1打印监控 打印监控 启用状态（启用、停用）：当前策略是否启用或者停用。 打印监视（启用、停用）：是否启用审计打印容(PDF快照)。 是否允许打印 (允许不限制时间、允许限制时间、禁止)：选择打印设置类型。 是否允许虚拟机打印（允许、禁止）：客户端打印文档需审批，选择允许虚拟打印机。 打印水印：客户打印是否增加打印水印。 水印叠加模式（前景、背景）：选择打印效果。 水印样式（平铺、居中）：选择打印效果。 水印文字字体：选择打印效果。 水印文字行数：选择打印效果。 水印文字颜色：选择打印效果。 水印文字大小：选择打印效果。 水印文字倾斜度：选择打印效果。 是否镂空水印文字：选择打印效果。 水印文字容：打印文档时显示的背景容。 打印监控响应方式：客户端检测到打印监控时响应方式（记录、报警、关机、重新启动计算机、注销、锁定计算机）。3.5介质管理【介质管理】可为用户提供外部移动存储介质统一监控、安全管理、