V3-3053-Chinasec(安元)可信网络安全平台V3.0用户手册V2.1

Chinasec（安元）可信网络安全平台系列产品

用户手册

2013 年5 月

版权声明

Chinasec 可信系统基础平台V3.0 系列产品用户手册

Version 2.1

尊敬的用户：非常感谢您查看本手册，本手册详细介绍了Chinasec（安元）可信网络安全平台V3.0系列产品的使用

方法，为用户在使用本系统时提供参考。

Copyright ? 2005-2012 by Wondersoft，北京明朝万达科技有限公司版权所有。未经书面许可，用户不得使用任何形式或任何途径，包括使用影印、录制在内的电子或机械手段以及

其他信息储存和恢复系统等对本手册的任何部分进行复制或传播。

警告和承诺：

本手册用于提供"Chinasec（安元）可信网络安全平台”系列产品的操作使用信息。尽管我们做了大量的努力使本手册尽可能的完备和准确，但疏漏和缺陷之处在所难免。

任何人或实体由于本手册提供的信息造成的任何损失或损害，北京明朝万达科技有限公司不承担任何义务或责任。

系统版权：中文名称：Chinasec（安元）可信网络

安全平台开发单位：北京明朝万达科技有限公司

系统版权单位：北京明朝万达科技有限公

司地址：北京市海淀区太月园3号楼

6层电话：010-********

传真：010-********-8021 邮箱：support@https://www.doczj.com/doc/254105146.html, Chinasec（安元）可信网络安全平台是北京明朝万达科技有限公司自主研发的受法律保护的商业软件。

遵守法律是共同的责任，任何人未经授权人许可，不得以任何形式或方法及出于任何目的复制或传播本软件，否则权利人将追究侵权者责任并保留要求赔偿的权利。

反馈信息：如果您对本手册有任何疑问、意见或建议，请以邮件或电话的方式与我们联系。感谢您对我们的支持

和帮助。

目录

1. 产品概述 (3)

2. 系统架构图 (4)

3. 系统基本操作 (5)

3.1. WEB 控制台基本操作 (5)

3.1.1. WEB 控制台登录 (5)

3.1.2. WEB 控制台全局变量配置 (6)

3.1.3. WEB 控制台策略生效 (18)

3.1.4. WEB 控制台注销 (19)

3.2. 客户端基本操作 (19)

3.2.1. 客户端登录 (20)

3.2.2. 客户端密码修改 (21)

3.2.3. 客户端注销 (22)

4. Chinasec 终端数据防泄密系统 (22)

4.1. 邮件智能控制系统 (22)

4.1.1. 功能简介 (22)

4.1.2. 策略配置步骤 (23)

4.1.3. 用户操作说明 (29)

4.1.4. 注意事项 (30)

4.2. 应用程序外发控制 (30)

4.2.1. 功能简介 (30)

4.2.2. 策略配置步骤 (31)

4.2.3. 系统实现效果 (38)

4.2.4. 注意事项 (38)

4.3. HTTP 外发加密 (38)

4.3.1. 功能简介 (38)

4.3.2. 策略配置步骤 (38)

4.3.3. 系统实现效果 (46)

4.3.4. 注意事项 (46)

4.4. 禁用应用程序网络连接 (46)

4.4.1. 功能简介 (46)

4.4.2. 策略配置步骤 (46)

4.4.3. 实现效果 (52)

4.4.4. 注意事项 (52)

4.5. 移动存储设备管理 (52)

4.5.1. 功能简介 (52)

4.5.2. 配置未注册移动存储设备策略 (53)

4.5.3. 注册移动存储设备 (56)

4.5.4. 配置已注册移动存储设备策略 (69)

4.5.6. 注意事项 (72)

4.6. 外设管理 (73)

4.6.1. 功能简介 (73)

4.6.2. 策略配置步骤 (73)

4.6.3. 实现效果 (78)

4.6.4. 注意事项 (78)

4.7. 硬盘加密 (78)

4.7.1. 功能简介 (78)

4.7.2. 策略配置步骤 (78)

4.7.3. 用户操作说明 (85)

4.7.4. 实现效果 (96)

4.7.5. 注意事项 (96)

4.8. 虚拟安全域 (97)

4.8.1. 功能简介 (97)

4.8.2. 策略配置步骤 (98)

4.8.3. 实现效果 (101)

4.8.4. 注意事项 (101)

4.9. 工作模式 (101)

4.9.1. 功能简介 (101)

4.9.2. 策略配置步骤 (102)

4.9.3. 实现效果 (105)

5. Chinasec 文档安全管理系统 (106)

5.1. 文档主动加密系统 (106)

5.1.1. 功能简介 (106)

5.1.2. 策略配置步骤 (106)

5.1.3. 用户操作说明 (113)

5.2. 文档自动加密系统 (129)

5.2.1. 功能简介 (129)

5.2.2. 策略配置步骤 (130)

5.2.3. 用户操作说明 (137)

5.3. 保密磁盘 (140)

5.3.1. 功能简介 (140)

5.3.2. 策略配置步骤 (141)

5.3.3. 实现效果 (144)

6. Chinasec 应用系统保护系统 (144)

6.1. 功能简介 (144)

6.2. 策略配置步骤 (145)

6.2.1. 配置应用保护系统名单 (145)

6.2.2. 配置应用系统文件加密密级 (146)

6.2.4. 配置密级使用权限 (151)

6.3. 用户操作说明 (154)

6.3.1. 访问应用保护系统 (154)

6.3.2. 应用系统互通 (154)

7. Chinasec 文档审批系统 (156)

7.1. 功能简介 (156)

7.2. 配置加密文件提权和外发审批步骤 (156)

7.2.1. 配置加密文件提权和外发流程 (156)

7.2.2. 用户操作说明 (158)

7.3. 配置明文文件外发审批步骤 (167)

7.3.1. 配置明文文件外发审批流程 (167)

7.3.2. 用户操作说明 (169)

7.4. 注意事项 (174)

8. Chinasec 桌面管理系统 (176)

8.1. 文件操作记录 (176)

8.1.1. 功能简介 (176)

8.1.2. 策略配置步骤 (176)

8.2. 即时消息软件审计 (179)

8.2.1. 功能简介 (179)

8.2.2. 策略配置步骤 (179)

8.2.3. 实现效果 (181)

9. 平台其他功能 (182)

9.1. 负载服务器 (182)

9.1.1. 功能简介 (182)

9.1.2. 部署过程 (182)

9.1.3. 策略配置步骤 (182)

9.1.4. 实现效果 (185)

9.1.5. 注意事项 (185)

9.2. 开放服务器 (185)

9.2.1. 功能简介 (185)

9.2.2. 策略配置步骤 (186)

9.2.3. 实现效果 (190)

9.2.4. 注意事项 (190)

1. 产品概述

数据泄密严重、管理困难、难以追溯、审计困难等问题困扰着越来越多的企事业单位管理人员和运维

人员。据权威机构调查显示，在电子文档泄密事件中，70%为内部人员主动泄露。因此，如何有效地制止电子文档泄露（尤其是内部人员主动泄密），并对相关文件进行审计，将成为一项重点关注的问题。目前，企事业单位的数据安全、内网安全已经成为信息安全领域备受关注的焦点之一。

Chinasec（安元）可信网络安全平台基于以上热点问题进行研发，产品采用领先的设计理念和成熟的安全技术，系统部署、操作简单方便，兼容性强，产品采用B/S 与C/S 架构相结合的方式。在基本不影响用户使用习惯的前提下，最大程度上保证了企事业单位的文档安全。

随着产品功能的不断延伸与发展，Chinasec（安元）可信网络安全平台被广泛应用于政府、军工、金融、能源、运营商等行业。Chinasec（安元）系列产品历经市场淬炼和各行业用户检验，已成为国内数据保密领域市场占有率最高的产品。Chinasec（安元）也成为了内网安全与数据保密领域的第一品牌。2. 系统架构图

Chinasec（安元）可信网络安全平台由服务器、控制台和客户端组成。产品采用软件的形式提供，在基本不改变用户方网络拓扑架构的前提下，为用户构筑安全的网络环境。保证企事业单位的数据安全。

系统的架构图。如图2.1 所示：

图2.1

3. 系统基本操作

3.1.WEB 控制台基本操作

WEB 控制台用于系统的用户体系管理、安全策略制订与下发、对象管理、系统参数配置、日志管理以及升级维护。具有WEB 控制台登录权限的管理员登录WEB 管理平台后，即可根据实际需要进行参数配置。服务器与WEB 控制台安装在同一台计算机中，服务器用来提供系统的所有数据支持（客户端日志，重要文件等），是整个系统的核心。服务器的相关参数通过WEB 管理平台配置(推荐用户在IE8 或以上的版本上登录控制台)。

3.1.1. WEB 控制台登录

1) 用户打开浏览器后，在浏览器地址栏中输入http://服务器IP 地址：50088 即可成功打开WEB 管

理平台，如图3.1.1 所示：

图3.1.1

2) 在用户名/ 密码信息输入框中输入正确的用户名和密码信息后，点击【LOGIN】按钮将成功登录WEB 管理界面，如图3.1.2 所示：

图3.1.2

备注：

1：此处支持部署服务器端系统初始化的管理员/操作员/审计员的登录。

2：此处也可以支持二级管理员/操作员/审计员的登录。

3.1.2. WEB 控制台全局变量配置

Chinasec（安元）可信网络安全平台的全局变量配置将影响整个系统的运维以及功能使用。管理员需要用户根据实际应用场景，对系统参数配置、管理员配置、审批流程配置、应用程序库和授权信息进行配置和查看。此处设置的配置项均为系统全局变量配置，对所有连接该服务器的客户端均生效。

3.1.2.1. 系统参数配置

系统参数配置项内提供客户端相关配置参数。

3.1.2.1.1. 应用保护配置

此项设置是实现应用保护系统策略下发的前提条件，必须在配置项内录入相关参数后生成应用保护系统名称。同时，可设置多个安全应用系统的数据可互通（互通为单向互通）。

配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【应用保护配置】—【应

用保护定义】功能项，填写相关参数。如图3.1.3 所示：

图3.1.3

?参数说明：

应用名称（必填项）：应用系统的名称（如OA、ERP、CRM 等）

应用URL（必填项）：应用系统的访问URL，支持通配符，如：http://*；

应用IP（必填项）：应用系统服务器的IP 地址,支持单个 IP 地址和地址段，如：192.168.1.20 或192.168.1.1-192.168.1.254；

端口号（必填项）：应用系统使用的端口号，支持单个端口和端口段，如：80 或80-65535；

进程名称：访问应用系统的进程名称，如：iexplore.exe；

可信的应用：应用系统的加密文件可以单向互通。

2) 填写完成后，请您依次点击【生成参数】按钮和【完成】按钮，即可成功完成参数配置。如图3.1.4

所示：

图3.1.4

?注意事项：

此配置项是应用保护系统策略下发的前提条件；

用户可以添加多个应用系统；

通过在新建应用系统的过程中，勾选已添加的【可信的应用】，可以使得应用系统之间的加密文件实现单向互通，单向互通指的是，主系统可以接收可信应用系统的加密文件，但可信应用系统不能接收主系统的加密文件。如：主系统为A,此时将B 添加为A 的可信应用，那么从B 系统下载的加密文件可以上传到 A 系统，但从A 下载的加密文件不可以上传到 B 系统，如果需要彼此互通加密文件的话，则需要设置彼此为互通应用。

用户如果需要修改已添加应用系统的参数，点击已添加应用系统对应行的编辑按钮（），即可修改曾经的参数。

3.1.2.1.2. 密级配置

此项设置是为系统添加一对随机的加解密密钥，系统内主动加密、自动加密、应用程序外发、HTTP 协议外发和移动存储设备加密等加密功能所需要的加解密密钥需要在此处添加，所以此类策略下发的前提条件是，必须在密级配置内添加一条密级。

配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【密级配置】—【密级】

功能项，在右侧的输入框中输入密级名称以及密级级别。输入成功后，请您点击【生成参数】按钮。

确认完成后，将会在下方列表产生用户输入的新密级。如图3.1.5 所示：

图3.1.5

?参数说明：

密级名称（必填项）：制作或外发文件策略所需的密级；

密级级别（必填项）：密级的对应级别，从小到大密级级别越高，此处主要应用在文件级权限控制中“拷贝”权限，即具有拷贝权限的用户，可以将低密级的文档内容复制拷贝到高密级文档内，

但高密级的文档内容无法复制拷贝到低密级文档内。

2) 点击界面下方的【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图3.1.6

所示：

图3.1.6

?注意：

密级可生成多个；

【密级级别】参数仅可以输入数字；

用户只能删除当前未在策略中应用的密级，如果用户试图删除正在策略中使用的密级时，将会弹出提示窗口，如图3.1.7 所示：

图3.1.7

3.1.2.1.3. 用户配置

用于设置客户端用户的登录密码错误次数和是否强制客户端修改密码，设置客户端密码错误次数后，即客户端密码输入次数一旦达到设定值，将被系统锁定。设置强制修改密码后，即客户端登陆后必须强制修改客户端登陆密码。

登录密码错误次数配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【用户配置】—【密码尝

试次数】功能项，在右侧的输入框中输入用户密码错误次数，输入成功后，点击【生成参数】按钮，

生成成功后，将会在下方列表中，产生密码尝试失败次数阈值。如图3.1.8 所示：

图3.1.8

?参数说明：

用户密码失败次数：客户端登录密码错误的限制次数，超过限制次数后的客户端将被锁定，被锁定的客户端在登录时将会弹出提示信息，如图3.1.9 所示：

图3.1.9

2) 点击【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图3.1.10 所示：

图3.1.10

?注意事项：

密码尝试次数只允许一条配置项；

当计算机输入密码错误达到上限后，账号被锁定后，需要管理员进入系统在对象管理中用户管理内，通过搜索或在节点上查找该用户，然后在登录方式内选择相应的登录方式，然后在账号状态内解锁用户即可；

强制修改密码配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【用户配置】—【强制修

改密码】功能项，在右侧的输入框中选择是或否，然后点击【生成参数】按钮，生成成功后，将会在下方列表中，产生强制修改密码项。如图3.1.11 所示：

图3.1.11

?参数说明：

启用：强制客户端修改密码；

禁用：不强制客户端修改密码；

2) 点击【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图3.1.12 所示：

图3.1.12

?注意事项：

强制修改密码只允许一条配置项；

3.1.2.1.

4. 客户端配置客户端配置组功能用来设置客户端的注册参数，客户端的日志量设置

以及用户切换的开关。配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【客户端设置】—【关联

配置】功能项，在右侧相关项输入成功后，点击【生成参数】按钮，如图3.1.13 所示：

图3.1.13

?参数说明

强制关联：强制客户端登陆系统用户名和密码，登陆成功后自动关联当前用户；

关联第一个用户：不强制客户端关联用户，但用户成功登陆客户端后，系统自动将该用户与客户端关联；

不关联：计算机不与任何用户关联。

强制关联提示间隔：强制关联用户，客户端不关联用户时提示的时间间隔。

强制关联提示间隔单位：强制关联用户，客户端不关联用户时提示的时间间隔的时间单位。

2) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【客户端配置】—【日志

存储配置】功能项，在右侧界面的输入框中输入日志存储空间大小、日志附件存储空间大小等参数。

输入成功后，请您点击【生成参数】按钮。操作完成后，将会在下方产生管理员设置的参数信息。如图3.1.14 所示：

图3.1.14

?参数说明：

存储空间大小（必填项）：设置客户端存储日志的预留硬盘空间容量（单位：MB）；

日志附件存储空间大小（必填项）：设置客户端存储日志类附件的预留硬盘空间容量（单位：MB）；

单个附件大小最大值（必填项）：设置客户端存储单个附件文件大小限制（单位：MB），系统关于附件审计大小的阈值均在此处设置。

3) 用户点击界面下方的【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图

3.1.15 所示：

图3.1.15

4) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【客户端设置】—【账号

切换设置】功能项。根据实际需要，在右侧的输入框中选择是否允许用户切换，选择成功后，点击【生成参数】按钮，如图3.1.16 所示：

图3.1.16

5) 点击【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图3.1.17 所示：

图3.1.17

3.1.2.1.5. 兼容性配置兼容性设置组用来设置某些兼容性进程，用

于提高客户端的性能。配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】标签页，点击左侧的【系统参数配置】—【用户

设置组】—【网络层进程配置】功能项。根据实际需要，在右侧的输入框中选输入兼容性进程名称，选择成功后，点击【生成参数】按钮，如图3.1.18 所示：

图3.1.18

备注：兼容性进程一般由厂商技术人员或代理商技术人员进行设置，非专业人员勿进行添加操作。

2) 点击【完成】按钮，将弹出操作成功窗口，点击【确定】按钮后即可完成设置，如图3.1.19 所示：

图3.1.19

3.1.2.1.6. DLP 控制策略

DLP 客户端配置功能用来设置客户端邮件全文加密提示信息和审批流程强制输入备注。管理员可通过【邮件全文加密提示信息】功能项中的参数配置，设置未安装客户端的计算机或无邮件

智能加密邮件全文解密策略的客户端用户收到全文加密邮件时，邮件正文的显示内容。

配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【DLP 控制策略】—【邮

件全文加密提示信息】功能项，在右侧界面的输入框中输入邮件被全文加密后，未安装客户端的计算机或无邮件智能加密邮件全文解密策略的客户端用户收到全文加密邮件时，邮件正文的显示信息。输入成功后，请您点击【生成参数】按钮。操作完成后，将会在下方产生管理员设置的参数信息。如图

3.1.20 所示：

图3.1.20

?参数说明：

邮件全文加密提示信息（必填项）：未安装客户端的计算机或无邮件智能加密邮件全文解密策略的客户端用户收到全文加密邮件时，邮件正文的显示内容；

2) 添加成功后，请您点击界面下方的【完成】按钮，操作成功后将弹出操作成功窗口，点击【确定】按

钮后即可完成设置，如图3.1.21 所示：

图3.1.21

?注意：邮件全文加密提示信息参数仅可生成一个。管理员可通过【审批流程强制输入备注】配置

项中的参数配置，设置客户端用户进行提权或外发流程

时，是否需要填写备注信息。

配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【DLP 控制策略】—【审

批流程强制输入备注】功能项，请您在右侧界面的下拉菜单中，选择是否需要用户在发起提权申请时，需要输入提权。选择成功后，请您点击【生成参数】按钮。操作完成后，将会在下方产生管理员设置的参数信息。如图3.1.22 所示：

图3.1.22

?参数说明：

审批流程强制输入备注（必填项）：设置客户端用户进行提权或外发流程时，是否需要强制填写备注信息。

2) 添加成功后，请您点击界面下方的【完成】按钮，操作成功后将弹出操作成功窗口，点击【确定】按

钮后即可完成设置，如图3.1.23 所示：

图3.1.23

3.1.2.2. 管理员配置

管理员配置提供二级管理的设置，在大型网络中部署Chinasec（安元）可信网络安全平台，单个管理员管理成千上百台计算机和用户显然是不可能的，必须要具备灵活的授权管理机制和分级管理机制。Chinasec（安元）可信网络安全平台服务器分级管理模块提供了分级管理的支持。系统的超级管理员可以将具体每个分组或者用户组的管理权限下放给一个普通的用户，该普通用户可

以对其权限范围内的用户和计算机进行管理，并且可以通过进一步划分用户组，将权限再下放给具体的用

户，从而实现层层分级管理，灵活地适应各种复杂管理模型的需要。

3.1.2.3. 审批流程配置

审批流程配置提供支持按照管理员设置的用户、用户组或角色进行审批，申请者可以根据需要来选择审批流程。每个流程可包含多级审批，每级审批可有多个审批者，但每级只能审批一次，审批完后自动转至下级审批。当最后一级审批者审批允许通过后，文件转至申请人员处，由申请者外带外发文件；当任何一级审批者拒绝审批，拒绝信息会自动反馈给申请者，审批流程结束。整个审批流程中，管理员可查看当前所有审批状态的外带申请。具体的流程配置请参见本文档《第六章节Chinasec 文件审批系统》

3.1.2.

4. 应用程序库

应用程序库为系统进程识别库，防止客户端伪造或修改进程名逃脱管理，用于禁止应用程序网络连接和进程控制等策略的基础功能，应用程序库提供官方自带库和用户自定义库，官方自带库为厂商预定义的应用程序，用户自定义库为用户自行添加的应用程序，官方自带库不提供添加、删除和修改等功能，用户自定义库提供添加、删除和修改功能。

官方自带库更新配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【应用程序库】功能项，在右上方有导入选项，此功能为厂商提供的应用程序库升级文件进入导入，导入后应用程序库更新为新导入应用程序的应用程序，此处更新规则为：先删除原有的应用程序库内应用程序，然后将新的应用程序列表导入。如图3.1.24 所示：

图3.1.24

用户自定义库添加配置过程：

1) 管理员登录可信网络安全平台后，进入【系统配置】—【系统参数配置】—【应用程序库】—【用户自定义】功能项，在右上方有导出和新建应用程序功能，如图3.1.25 所示：

图3.1.25

2) 新建应用程序功能提供用户自定义添加应用程序，点击新建应用程序功能，如图3.1.26 所示：

图3.1.26

?参数说明：

应用名（必填项）：应用程序的标识项，下述的三个参数至少输入一个参数项；

进程名称：非必填项，进程名称；

数字签名：非必填项，进程的签名；

MD5 值：非必填项，通过MD5 查看工具查看进程的MD5 值；

3.1.3. WEB 控制台策略生效

1) 用户一旦创建新策略或者修改原有策略的内容后，管理平台的右上角将弹出提示窗口，如图3.1.27 所

示：

图3.1.27

2) 用户点击【同步数据】功能项后，将弹出操作成功提示窗口，点击【确认】按钮后，即可使新创建的

策略或已修改的策略生效，如图3.1.28 所示：

图3.1.28