亿赛通电子文档安全管理系统V50系统管理员使用手册.docx

1、亿赛通电子文档安全管理系统V50系统管理员使用手册文档类型： 文档编号：亿赛通电子文档安全管理系统 管理员使用手册北京亿赛通科技发展有限责任公司2016年1月1. 引言1.1 编写目的本手册指导使用者进行用户管理、业务流程申请与审批管理、文档管理、策略管理、日志管理、终端管理、后台配置等CDG系统各个模块的业务操作。本手册的使用对象：公司技术支持部、销售部、市场部、测试部和使用（CDG）系统产品的客户。1.2 系统背景系统名称及版本号：亿赛通电子文档安全管理系统 ；任务提出者：北京亿赛通科技发展有限责任公司；任务承接者及实施者：北京亿赛通科技发展有限责任公司；系统使用者：使用亿赛通电子文档安全

2、管理系统产品的用户；1.3 术语定义CDG：Cobra Document Guard，文档安全防护。1.4 参考资料编写本手册时参考的文档如下：亿赛通电子文档安全管理系统_需求规格说明书亿赛通电子文档安全管理系统_概要设计规格说明书亿赛通电子文档安全管理系统_详细设计规格说明书亿赛通电子文档安全管理系统_技术白皮书1.5 版权声明本手册以及所提及的数据、图标、名称等信息，所有权皆属于亿赛通公司所有。未得到亿赛通公司的正式许可，任何人或组织均不得以任何手段与形式对本手册内容进行复制、转印和传播。本手册中的内容，亿赛通科技发展有限责任公司拥有最终解释权。1.6 最终用户许可协议本许可协议是您与北京

3、亿赛通科技发展有限责任公司之间关于亿赛通软件产品的法律协议。在使用本软件前，您必须同意以下条款和条件以及所附文档中的所有其他条款和条件。如果您不同意此处包含的条款和条件，请不要进行安装或使用。“亿赛通软件产品”包括计算机软件、光盘、相关的使用说明性材料、电子文档。您如果安装、复制、或以其他方式使用“亿赛通软件产品”，就表示您同意接受本协议各项条款的约束。1.6.1 授权许可亿赛通公司在此授予您使用所附软件和相关文档的非排它的、不可转让的许可，软件程序以及附件文档是亿赛通公司的专有产品，受版权法和现行适用法律的保护。您仅拥有该软件产品的使用权，并不拥有软件本身，亿赛通公司是软件本身的拥有者，并保

4、留这种独家所有权，受中华人民共和国著作权法及国际著作权条约和中国其他知识产权法和其他国际知识产权条约的保护。 对一份软件产品，亿赛通公司只授权您在一台电脑上使用，出于备份或档案管理的目的您可以制作该软件副本，但您不可通过任何途径以任何形式将本软件产品分发转让到其他的电脑上使用。如果您需要将本软件产品转让给他人，您必须遵守以下几项要求：1) 您同意将本协议、本软件和与本软件捆绑的所有资料一并转让给他人；2) 您不对任何副本进行留存，包括电脑上的存储的备份和副本；3) 接收方接受本协议的条款和条件以及您合法购买本软件时接受的任何其他条件和条款。1.6.2 知识产权保护本软件及亿赛通公司授权您制作的

5、任何副本均为亿赛通公司的产品，其知识产权全部归亿赛通公司所有。本软件的结构、组织和代码均为亿赛通公司的有价商业机密信息。本软件受中华人民共和国著作权法、相关国家法律法规以及国际条约条款的保护。您不得在本协议许可的范围之外复制本软件，否则将构成对亿赛通公司知识产权的侵犯。您必须同意决不通过任何方法和途径获取本软件源代码、对本软件进行修改、重新编程、编译、反编译或其他逆向解析。1.6.3 有限保证1) 自购买之日起15天正常使用期限内，传递软件的介质载体和工艺方面无缺损；2) 自收到软件之日起15天内，软件运行良好，但如果因意外事故、滥用、误用导致的软件失败和造成的损失，亿赛通公司不承担任何责任。

6、在此保证亿赛通公司的唯一义务和对您的唯一的补救措施，不论是民事的侵权行为，还是合同、严格的责任或其他方面，都将按照亿赛通公司的选择执行。亿赛通公司不保证软件所包含的功能可以完全满足您的要求，包括软件操作不会终断或无错误。亿赛通公司对因计算机硬件操作特性的改变以及软件发行后计算机操作系统的改变所引起的问题不负责任，也不负责本软件与其他非亿赛通公司软件因交互作用而出现的问题。由本许可协议、软件、随软件所附的书面材料引起的亿赛通公司的全部赔偿金额不超过购买本软件所付的全部金额。除上述保证外，就现行法律允许的最大程度，亿赛通公司或软件的供应商或分销商提供的本软件是没有任何明示或暗示的保证，包括但不限于

7、为特定目的做出经销和使用的暗示保证。就现行法律允许的最大程度，在任何情况下，亿赛通公司及其分销商或供应商绝不因特殊、偶然或必然损失承担责任，包括数据丢失、重新生成已丢失数据的开销、利益或商业信息损失、商业中断或其他经济损失，不管是否已经告知亿赛通公司可能导致此类损失。 1.6.4 您应保证1) 在安装和使用亿赛通软件产品之前、以及使用亿赛通软件产品过程中，已经将您电脑使用的所有文件或重要文件保留了备份；2) 按照亿赛通软件产品的使用手册正确地安装和操作亿赛通软件产品，并对其运行情况进行适时监控。本许可协议自您打开包装的密封或使用本软件之日起生效，并且一直有效至协议终止。您可用销毁本软件以及所附

8、书面材料和所有副本的方式随时终止本协议。如果您违反本许可协议的任何条款和条件，本许可协议也将自动终止，不论是何种原因引起使用本软件的终止，您都必须删除并销毁本软件的所有副本以及所提供的所有文档。当亿赛通公司要求时，您必须提供此类销毁的书面证明。 除非在亿赛通公司书面签署的情况下，本许可协议不做修改。如果发现本许可协议的任何条款不可行，则按现行法律许可的最大程度解释该条款。亿赛通公司否认与本许可协议的陈述或许诺不同的，或本许可协议的陈述或许诺之外的任何保证、陈述或许诺。 阅读并同意本许可协议的条款和条件后，才能使用本软件。 如果您对本协议存有疑问，请写信给北京亿赛通科技发展有限责任公司。2. 软

9、件概述2.1 软件特性亿赛通电子文档安全管理系统是基于驱动层智能动态加解密技术，通过文档透明加密、文档权限管理、文档外发控制、业务流程申请和审批、融合身份认证、日志审计、终端管理、移动存储设备和系统容灾管理等功能，实现非结构化数据和结构化数据的全面防护； 本系统可应用于各个领域和所有客户群。2.2 CDG功能结构欢迎您使用亿赛通电子文档安全管理系统，它是亿赛通公司推出的基于B/S和C/S架构的文档安全管理系统，是CDG产品体系中的一种，通过IE可以以基于Web的方式来访问CDG系统；亿赛通电子文档安全管理系统B/S和C/S架构。由客户端软件和服务器构成，结构如下图：在网络中的用户需要安装CDG

10、Client客户端软件，并且至少有一台CDG服务器提供认证等服务。在CDG系统中，用户信息和文件权限信息等存储在数据库中，数据库类型可以选用MSSQL 2000、MSSQL 2005、MSSQL 2008等。3. 软件使用说明3.1 登录启动浏览器，在地址栏中输入服务端的IP地址(IP地址+端口号如：，进入服务端欢迎使用界面，表示服务启动正常，如下图所示：在欢迎页面内，点击【进入】按钮，页面跳转到登录界面，如图所示：输入用户ID和密码（用户ID：systemadmin 默认密码：），点击登录按钮进入管理平台管理界面。备注：（1） 该产品支持本地认证和AD域认证，管理员SystemAdmin只支

11、持本地认证。（2）点击“客户端下载”下载客户端安装包，下载前客户端安装包应提前上传到服务器。安装包格式及命名：安装包路径：C:Program Files (x86)ESAFENETCDocGuard Servertomcat（64）webappsCDGServer3clientinstall3.2 系统首页【系统首页】功能说明：此模块功能包含：【首页】、【修改密码】、【退出】。正确登录系统，进入到系统的首页，如下图所示：3.2.1 修改密码点击【修改密码】功能按钮，可以修改用户的密码，如下图所示：在【旧密码】输入框内，首先输入旧密码，然后输入新的密码和确认密码，当点击【保存】按钮时，密码修改成

12、功。在没有点击【保存】按钮之前，当点击【重置】按钮时，所输入的密码信息将会被清空，用户可以重新输入信息。3.2.2 退出在首页中点击右上角【退出】功能按钮时，系统将注销当前登录用户，系统返回到登录页面。3.3 组织管理组织管理模块中包含【用户管理】、【登录管理】、【激活管理】模块。内置管理用户，【系统管理员/systemadmin】、【安全管理员/secadmin】、【文档管理员/docadmin】、【日志管理员/logadmin】四个账户，除可自主修改密码外，不提供任意属性修改功能；系统内置帐号不占用Licence许可，不提供密码重置、帐号冻结、帐号删除等帐号管理功能，3.3.1 用户管理用

13、户管理功能用于创建数据泄露防护系统用户认证体系及关联用户安全策略，包括用户组织架构、用户（创建、删除、修改）、选取策略、同步用户（AD域）。3.3.1.1. 本地组织架构组织架构栏提供管理员维护组织架构功能，主要包含功能项：【新建】、【修改】、【删除】、【查询】； 新建组织架构点击“组织架构”，选择“新建”，输入“名称”后选择保存，完成新建组织机构。 修改组织架构选择要修改的组织架构，点击“修改”按钮，在操作框输入要修改的名称，选择“保存“，完成组织架构修改。 删除组织架构选择要选错的组织机构，点击“删除“按钮，确认提示框选择”确定“，完成组织架构删除。备注：（1）组织架构中包含用户，则无法删

14、除。 查询组织架构点击“组织架构“，选择”查询“，输入要查询的组织架构名称，点击”查询按钮“，完成组织架构查询。3.3.1.2. AD域组织架构AD域组织架构，同步于客户AD域，同步组织架构与AD域相同，组织架构和用户的添加、删除、修改，依赖于AD域。 AD域配置（1）登录配置管理页面登录页面，选择“配置”，输入管理员用户名和密码（管理员：configadmin 默认密码：123456）（2）选择AD域配置，配置AD域信息根据“AD域配置”页面示例，根据实际情况填写AD域信息。连接测试成功后，点击“保存”按钮，完成AD域配置。 组织架构及用户同步用户管理，选择“同步用户”，完成AD域组织架构及

15、用户同步。在导航栏选择【组织管理】模块，点击【用户管理】子模块，页面跳转到【用户管理】界面。该页面内功能提供管理员维护用户管理，管理员可以完成同步用户、选取策略、添加用户、删除用户、冻结用户、修改用户属性等功能，如下图所示：3.3.1.3. 添加用户在组织架构中选择一个组，点击【添加用户】按钮，页面切换到添加用户的详细页面内，在对应的标识输入框内输入相关信息，点击【保存】按钮，用户添加成功，如下图所示：3.3.1.4. 删除用户除SystemAdmin、Secadmin、LogAdmin、Docadmin以外其他用户都可以删除。管理员进入要删除用户的【详细设置】页面内，点击【删除帐号】，该用户

16、将删除。3.3.1.5. 组选取策略选中一个组，点击页面内【选取策略】按钮，页面切换到选取策略页面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示：应用到子组：勾选【应用到该组及其子组内的策略例外用户】功能将设置的策略应用到子组中，子组的每个组和组中的成员都更新为新设置的策略。3.3.1.6. 单个用户添加策略点击用户列表内的【关联策略】，弹出策略选择界面，选中一个策略，点击【保存】按钮，策略选取成功，如下图所示：备注：单个用户添加策略，安全管理员在用户角色中需要为用户分配“策略例外权限”。3.3.1.7. 用户启用用户启用状态默认为：未启用。点击【用户启用】按钮，启用状态由未启用状

17、态自动变换为已启用状态，【用户启用】按钮自动变换为【用户冻结】；点击【用户冻结】按钮，启用状态自动变换为已冻结状态，【用户冻结】按钮再次变换为【用户启用】状态。 【未启用】状态表示：该用户为初始状态。 【已启用】状态表示：该用户已经启用，可以正常使用。 【已冻结】状态表示：该用户已经被冻结，不可用，解冻后可以继续使用，用户的属性不受冻结影响。3.3.1.8. 重置密码用户的密码丢失，管理员可以通过密码重置功能将用户的密码重置到默认密码状态，系统初始化的默认密码是。3.3.1.9. 查询用户在【用户管理】界面，通过【用户ID】、【姓名】、【用户来源】、【认证方式】、【在线状态】、【用户状态】、【

18、关联策略】等查询项，查询对应的用户；可精确查询本组成员，也可模糊查询。3.3.2 登录管理用于控制客户端登录模式以及客户端登录记录管理控制。3.3.2.1. 客户端用户登录模式管理用于控制客户端登录模式，分为手动登录和AD域单点登录。该功能在有多种登录模式时生效，如用户为本地用户只有手动登录模式（即客户端一次需手动登录）。 手动登录模式选择手动登录模式，客户端安装后第一次登录需要手动输入账号和密码进行登录。 AD单点登录模式选择AD单点登录模式，对于AD域用户，客户端安装后，随操作系统用户单点登录。3.3.2.2. 客户端用户登录记忆管理用于设置在线或离线情况下，客户端登录方式，分为自动登录和

19、手动登录。 在线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。 离线状态登录记忆管理在线状态下，选择自动登录，每次重启电脑后客户端自动登录，选择手动登录，重启电脑后需要用户手动输入用户名密码进行登录。3.3.3 激活管理激活管理是针对AD域或其他第三方认证系统同步用户进行统一激活管理，方便用户在批量添加用户的需要。在导航栏选择【组织管理】模块，点击【激活管理】子模块，进入到激活管理页面，如下图所示： 左侧的目录树显示为：未激活状态的组/用户； 右侧的目录数显示为：已激活状态的组/用户； 支持单个用户或者整个组

20、激活，激活后的用户将显示在用户列表，取消激活，用户将从用户列表内删除； 用户激活后，在组织管理/用户管理中，【启用状态】默认设置为【未启用】、一旦用户成功登录，【启用状态】将更新为【已启用】； 激活用户数量受授权用户数量限制，激活用户数量超过授权数量时会弹出超出授权的提示。3.4 终端管理终端管理是集成通讯平台，控制客户端是否在线以及客户端登录用户的信息。可以与在线客户端建立消息会话，可以针对客户端版本升级、卸载、删除终端等操。可以针对客户端进行离线补时设置及补时码导出功能功能主要包括：【批量删除】、【升级所有终端】、【批量卸载】、【终端导出】、【终端会话】、【终端补时】、【终端调试】、【终端

21、卸载】、【终端升级】、【终端删除】等功能。在导航栏选择【终端管理】模块，点击【终端管理】，跳转到【终端机器查询】列表页面，如下图所示：3.4.1 终端管理【批量删除】：当客户端处于未使用或者已卸载状态时，管理员点击该【批量删除】按钮，将把列表内终端信息删除。信息删除后，客户端需要再次登录，才可以再次显示在该列表内；【升级所有终端】：批量升级所有客户端的版本，使客户端版本保持版本统一。【批量卸载】：批量卸载所有终端的客户端程序。客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端导出】：将终端列表完整属性导出为Excel csv报表格式。【终端会话】：与在线客户端建立消息会话，可以完成

22、会话信息推送和客户端显示功能，主要完成点对点消息推送。选中用户，点击【终端会话】按钮。在消息栏内输入需要发送的消息，点击【发送】，客户端即可接到会话消息信息，如下图所示：【终端补时】：客户端终端离线时间到期，管理员通过终端补时功能延长终端离线时间。点击【终端补时】，设置离线时间，生成离线补时文件，下载后发送给客户端，导入后即可延续离线时间。生成补时文件页面如下图所示：【终端调试】：是指可以针对客户端进行调试控制，如【客户端全模块关闭】、【仅客户端控制台关闭】、【仅客户端驱动关闭】等，实现客户端运维调试管理，如下图所示：【终端卸载】：卸载指定终端的客户端程序。该【卸载】功能等于直接审批终端卸载，

23、客户端接收到冒泡通知可以不用输入卸载码就可以卸载客户端；【终端删除】：是指把终端信息列表内的信息从列表内删除。【终端升级】：点击【升级】按钮可以针对选中客户端进行升级；3.4.2 终端统计终端统计功能，采用统计图表方式对终端进行统计,一目了然的显示所属终端、在线终端、客户端版本等信息；可将统计图表导出为Excel报表。【客户端在线统计】：客户端在线用户数进行统计：【终端总数】、【在线终端数】、【离线终端数】统计图表，如下图所示：【客户端版本统计】：针对客户端版本进行统计：【终端总数】、【版本终端数】、【版本终端数】统计图表，如下图所示：【客户端操作系统版本统计】：针对客户端操作系统版本进行统计

24、：【终端总数】、【操作系统版本终端数】、【操作系统版本终端数】统计图表，如下图所示：3.4.3 终端维护终端维护功能，实现对客户端冗余记录的自动维护，设置终端维护任务自动执行日期，设置终端维护任务自动执行目标，如定期清理连续10天未在线的冗余终端记录。终端数目预警机制提示等功能。在导航栏选择【终端管理】模块，点击【终端维护】，页面跳转到【终端维护】页面内，如下图所示： 一旦成功执行终端维护任务，将触发预警功能，系统自动对管理员发送终端维护日志; 当剩余Licence数量低于5个时，每新增加一条终端Licence记录，将触发预警功能，系统自动对管理员发送Licence容量预警日志，提醒管理员执行

25、Licence管理。3.5 我的工作台我的工作台模块中包含【我的流程】、【我的模版】、【我的文档】三个个模块。实现对电子流表单的集中化管控；模版的定制和使用；权限文件的分发及管理；3.5.1 我的流程流程审批平台，实现对电子流表单的集中化管控；采用表单管控原则，提供【我的申请】、【我的待办】和【我的已办】等模块功能。记录当前用户所提交的所有电子流申请，采用电子流任务列表方式进行管理；审批范围包含：【文档解密流程】、【文档还原流程】、【文档外发流程】、【邮件外发流程】、【离线办公流程】、【权限申请流程】等在导航栏选择【我的工作台】模块，点击【我的申请】，页面跳转到审批列表页面内，如下图所示：【我

26、的申请】： 用户本人提交的申请表单；【我的待办】：只有审批员才能在此列表内看到信息，表内的信息为其他用户提交的申请流程表单。【流程明细】页面，可以完整显示该流程任务明细；【流程审批执行】包含：【通过，流程自动执行】、【通过，强制结束本级流程】、【通过，强制流程终止】、【退回，强制流程终止】。不同的申请流程表单稍有不同，本处以离线申请为例，如下图所示：【我的已办】：用户作为审批员审批过的表单信息；3.5.2 我的模版权限模板：已经选定了用户、组并给用户、组授予一定的权限，在用户制作权限文件的时候，用户只需选择一个或者多个权限模板，可以完成一种授权模式。用户每次制作权限文件，需要把这个文件授予特定

27、的用户、组时，应用权限模板可以快速便捷的完成授权。【添加权限模板】在导航栏选择【我的工作台】模块，点击【我的模版】，跳转到【模版列表】界面，如下图所示：点击【添加】按钮，进入到【添加权限模板】界面，在【模板名称】中输入名称，【权限模板描述】中输入模板描述，选择【机密等级】。点击【保存】后，权限模板添加成功，如下图所示：【删除权限模板】：点击操作栏中的删除按钮，选定权限模板即被删除，如下图所示：【修改权限模板】：点击【操作】列的修改按钮，修改权限模板的信息，点击【保存】后权限模板修改成功，页面返回到权限模板界面。 如图所示，【添加授权对象】：1) 选中模版，点击【操作】列的【添加授权对象】按钮，

28、进入到添加授权对象页面。2) 在添加授权对象页面，点击【添加授权对象】按钮，页面跳转到选择用户的列表中。选择用户、组，点击【添加】按钮，完成用户添加。如下图所示：3) 选定的用户进入到权限模板列表内，管理员可以修改选定用户的权限，如下图所示：如果要设置该用户的详细权限，点击【详细】按钮，可以设置该用户对权限文件的只读次数、起始时间、截止时间，详细情况见下图：3.5.3 我的文档【收件箱】：用户可看到自己具有权限的权限文件。包括其它人员给该用户授权的权限文件。1) 在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面，如下图所示：2) 选择文件，单击【再授权】，进入再授权界面

29、，可查看文件的授权信息。3) 单击【详情】，可查看文件的相关信息。4) 单击【下载】，可对已上传文件进行下载。【发件箱】：用户自己制作的权限文件收集在该文件箱中。用户在客户端制作的权限文件，可在发件箱中查看及进行再授权操作。1) 在导航栏选择【我的工作台】模块，点击【我的文档】，跳转到【我的文档】界面，如下图所示：2) 点击操作列的【再授权】，进入授权界面，可以给用户再授权。3) 单击操作列的【详情】按钮，可以查看文件的相关信息。4) 点击操作列的【下载】按钮可以下载用户上传的文件，如下图所示：5) 点击操作列的【生命周期】，可以设置文档的生命周期，如下图所示：6) 【权限缓存】是用户在脱机情

30、况下对文件的操作模式，包括打开次数、打开时长。点击操作列的【权限缓存】，可以针对该文件进行设置打开次数、打开时长，如下图所示：3.6 策略管理3.6.1 管理策略策略管理模块用以创建、维护策略组。策略组是用来管理控制用户文件类型、制作CDG格式、安全策略等的模块。每个策略组包含【策略推送控制】、【加密控制策略】、【安全增强策略】、【内容安全策略】、【水印控制策略】、【权限控制策略】、【邮件控制策略】、【打印控制策略】、【网络控制策略】、【日志控制策略】、【文件备份策略】、【外发控制策略】、【存储控制策略】、【辅助控制策略】、【策略库】等项目。 3.6.1.1. 安全策略组导入导出安全策略组导入

31、导出用于导入和导出安全策略组。使用方法如下： 安全策略组导出步骤1: 安全策略组中，选取要导出的策略组步骤2: 导出策略在操作框，选择“导出”按钮，导出策略组。 安全策略组导入步骤1: 选择策略组导入位置，点击导入步骤2: 选取策略组，点击“提交”，导入策略备注：导入策略时，可以选择“安全策略组”或具体的策略组进行策略导入。选择“安全策略组”导入策略时，会生成一个新的策略组（如有重名策略组无法导入），选择“具体策略组”导入策略时，会在现有策略组上进行策略导入（如有重名策略则无法导入）。原则上建议导入策略时不能有重名。3.6.1.2. 策略推送控制策略推送控制：通过策略主动推送的方式下发策略信息，确认客户端执行策略情况，确保执行策略的准确性，如下图所示： 策略推送控制，点击【策略推送】时方才下发策略，推送方式采用【立即生效】、【重启后生效】两种方式，策略推送只能按策略组推送。 推送策略的同时重置【策略更新状态】为NO，客户端获取到策略后，【策略更新状态】自动更新为Yes，同时更新末次更新时间。当策略更新状态显示为Yes状态，表示客户端