DLP数据防泄密使用说明

产品使用说明书DLP数据防泄密系统

目录

第一章：系统安装 (4)

1、系统主要名词说明 (4)

2、系统安装环境及软硬件要求 (4)

2.1服务端 (4)

2.2控制台 (5)

2.3客户端 (5)

第二章：系统使用 (6)

1、服务端的使用 (6)

2、控制台的使用 (7)

2.1名词说明 (7)

2.2操作界面 (8)

2.3基本设置 (10)

2.3.1登陆控制台 (10)

2.3.2修改密码 (10)

2.3.3设置管理组 (10)

2.3.4设置加密策略 (11)

2.3.5设置客户端权限 (14)

2.3.6文件备份设置 (16)

2.3.7帐号设置及管理 (17)

2.4文件加解密 (18)

2.4.1邮件自动解密 (18)

2.4.2解密审批 (20)

2.4.3硬盘文件加密解密 (24)

2.4.4本地文件加解密 (25)

2.5客户端管理 (27)

2.5.1客户端离线 (27)

2.5.2生成客户端 (28)

2.6日志管理 (30)

2.6.1操作日志管理 (30)

2.6.2文件审计信息 (31)

2.6.3打印审计信息 (32)

2.6.4解密审批信息 (32)

2.6.5客户端解密审批信息 (33)

2.7远程监视及远程控制 (33)

2.8卸载客户端 (33)

3、客户端的使用 (34)

3.1开关客户端 (34)

3.2邮件解密 (35)

3.3申请解密 (35)

3.4文件权限 (36)

第三章：注意事项 (37)

1、客户端网络连接 (37)

2、管理员帐号安全 (37)

3、加密安全 (37)

4、文件安全 (38)

5、日志与备份 (38)

6、其他 (38)

第四章：常见问题FAQ (39)

第一章：系统安装

1、系统主要名词说明

1.服务端

用于存放配置信息、负责网络通讯以及验证客户端的程序，运行于后台。在系统运行过程中要确保服务端一直处于运行状态。服务端在整个系统中有唯一性，系统的授权信息也是存放在服务端。

2.控制台

控制台是用于配置系统的子程序，用户可以通过控制台配置策略，是直接面对用户的系统接口。控制台在系统运行期间可以是关闭的，可以安装多个控制台。

3.客户端

客户端是安装在涉密的计算机上，负责文档的自动加解密功能，以及执行相关操作。

4.用户组（部门）

用户组是一个虚拟的名称，是由一部分客户端组成的集合。在同一个用户组下面的文档利用该组的加密策略。

5.密钥

密钥是用来加密算法使用，在系统中密钥很重要，每个用户组拥有一个唯一的密钥。用户组建立以后密钥将会随机产生，一旦密钥启用，不要随便修改。

2、系统安装环境及软硬件要求

2.1服务端

安装要求备注

操作系统Windows 2000 / Windows XP / Windows 2003 / Windows Vista / Windows 7/Windows 2008

数据库系统自带存放在软件安装目录内存要求建议128MB以上

CPU 建议800MHz以上

磁盘空间根据备份文件大小估算（备份路径可以通过配置文件更改）2.2控制台

安装要求备注

操作系统Windows 2000 / Windows XP / Windows 2003 / Windows Vista / Windows 7

数据库不需要数据库，使用网络通讯内存要求建议128MB以上

CPU 建议700MHz以上

磁盘空间50MB或以上空间

2.3客户端

安装要求备注

操作系统Windows 2000 / Windows XP / Windows 2003 / Windows Vista / Windows 7

数据库不需要数据库，使用网络通讯内存要求建议64MB以上

CPU 建议800MHz以上

磁盘空间500MB或以上空间

第二章：系统使用

1、服务端的使用

（1）首次启动服务端后，系统会提示添加注册码：

添加注册码提示框

（2）导入我们公司提供的合法授权文件（xxxx.areg）后，会有授权成功提示，系统将正常启动服务端：

授权成功

运行服务端，将需要添加授权文件，如果你没有授权文件，请与我们公司联系。添加注册文件后系统将正常运行，不需要进行其他配置。

正常运行服务端会在服务端计算机右下角托盘处会有服务端的一个小图标的，右击该图标可以查看当前授权信息和版本号。

查看当前授权信息

当前服务端的授权信息，如果需要更换授权文件点击<修改>，导入新的授权文件即可服务端尽量保持一直运行的状态，否则控制台将会无法正常使用，如果条件允许的情况下请保持24小时运行。

服务端在系统中具有唯一性，不要安装多个服务端。

2、控制台的使用

控制台是管理系统的平台，提供给管理人员使用，系统设置，策略管理，客户端信息查看等都需要通过控制台来完成，可以安装多个控制台。

2.1名词说明

1.管理组：管理组是管理员的管理对象，同一个组的客户端使用相同的加密策略。

2.用户：安装好客户端的电脑，会自动出现在控制台列表，可对其分组管理。

3.加密策略：当前管理组需要自动加密的文档集合，例如Word、Excel、CAD图纸等。

只有当前组选择了加密类型，该组客户端对应文档才能够自动加密。

4.加密等级：根据保密制度和策略，通过部门、密级、文档类型的相关联，细化到各部门

加密的不同文件类型，划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级，这样，只能是具有相应访问权限的人才能访问该部门的某种类型文件。

2.2操作界面

控制台总界面

控制台菜单功能简介：

菜单功能介绍

系统维护菜单

锁定系统控制台最小化到系统托盘，打开界面需要重新输入密码修改密码修改当前用户登录密码

选项设置控制台自动锁定时间设置

刷新系统更新客户端当前在线状态

系统退出退出当前用户控制台

系统设置菜单

帐号管理添加管理员帐号，修改管理员权限，删除管理员帐号组信息查看组的信息，包括名称、密钥、加密策略

客户端信息查看客户端的信息，包括描述、所属组、IP、在线状态解密审批设置批量设置客户端解密审批

邮件自动解密管理添加/编辑/删除邮件自动解密策略

文件备份设置设置客户端需要备份类型的文件（默认备份的文件会自动放在服务器端安装目录下面的BackupFile文件夹中）也可以通过配置文件修改备份路径

加密管理菜单

硬盘文件加密对所选客户端文件初始化批量加密操作

硬盘文件解密对所选客户端文件初始化批量解密操作

加密/解密消息查看客户端当前硬盘加解密消息

客户端离线管理客户端离线时间及验证方式进行设置

生成单机客户端根据策略生成单机客户端安装程序（无网络的客户端）生成老板客户端生成授权服务器下老板客户端的安装程序

信息审计菜单

文件审计信息查看客户端文件操作日志

打印审计信息查看客户端打印日志

解密审批信息查看客户端解密审批日志

操作日志信息查看管理员加解密文件的日志

文件加解密菜单

本地文件加/解密控制台本地文件的手工加解密，查看文件等操作

远程文件加/解密远程客户端文件的手工加解密，查看文件等操作

远程管理菜单

远程控制对在线的远程客户端进行控制

远程监视对在线的远程客户端进行监视

日志管理菜单

删除操作日志删除操作日志

删除文件审计删除文件审计日志

删除打印审计删除打印审计日志

帮助菜单

帮助文档查看帮助文档

关于系统查看系统版本信息

2.3基本设置

2.3.1登陆控制台

系统默认管理员的帐号为admin （不可修改），密码为123456（可以修改）。默认日志管理员的帐号为logadmin（不可修改），密码为123456（可以修改）。服务端IP填写服务端所在计算机的IP地址（服务端必须为固定IP地址）。

控制台登陆界面

2.3.2修改密码

首次登陆控制台以后，建议修改密码，保证管理员帐户的安全。

点击菜单[系统维护(S)/修改密码(M)]，如下：

修改密码对话框

2.3.3设置管理组

A左视图上选择组对象。右键菜单选择[新建组]。如下图，选择新建组的上级组，并对新建组命名。

新建组对话框

2.3.4设置加密策略

A左视图点击要设置加密策略的“组对象”，B右视图出现设置界面。

设置界面有两个标签组成，“组基本信息”和“加密策略”。组基本信息显示并设置组的名称、隶属关系、外设管理策略、日志审计信息等。加密策略显示并设置该组应用的策略。

“组基本信息”标签

1.“设备信息设置”部分打钩表示禁止使用相应的设备，例如：禁止光驱，禁止打印，

禁止USB存储设备，禁止截屏（默认是可以截屏的，打钩表示不允许执行截屏操

作）等操作。

设备信息设置

注意：使用相应的功能是在客户端下次重新启动后才会生效。其中USB设备是包括所有通过USB连接的设备（包括USB鼠标，USB键盘，USB接口的打印机，U盘，移动硬盘等所有的USB设备），USB存储包括（U盘，USB接口的移动硬盘等通过USB设备连接的存储设备）。

友情提醒：禁止USB设备禁止光驱等操作后，如果想重新启用该设备需要把[设备策略启用]那一项给打钩，控制端保存后，客户端会在下次重新启动计算机后对应的设备会正常使用。

2.“信息审计设置”部分打钩表示启用该信息审计功能，系统将记录相应操作的日志

用于审计，例如：文件操作日志，打印日志，允许剪切板功能等。

信息审计设置

剪切板使用：默认加密文档中的文件是不能被拷贝到非加密的区域，如果将该剪切板打钩则表示可以将加密文档中的文件拷贝到非加密区域中。

3.“其它信息设置”对需要离线（与服务端断开连接，包括服务器瘫痪导致的离线）

的客户端进行的设置。

其他信息设置

包括离线运行时间，允许拷贝的数量等操作，离线运行时间默认的时间是分钟，就是当客户端离线（与服务器失去连接）超过你所设置的分钟数后，加密的文件会无法打开，如下图就是离线超过设置的时间后打开加密的WORD文档出现的状况：

离线后文件失效后打开word提示

当你正常与服务器连接后会在几秒钟之内就可以正常使用该文件。

“加密策略设置”标签

点击<新增策略> 按钮，出现下图所示新增策略，用以新建加密策略。

新增策略对话框

注意：设置好相应的自动加密格式文件后要点击<保存策略> 保存，要是今后不想使用之前使用过加密该策略，选择好不想使用的策略名称，然后点击<删除策略>

删除不需要的策略，最后再点击<保存策略> 保存即可，不过要记得把之前加密好的文件进行解密，否则之前自动加密的文件就不能被打开。

“策略选择”列表，显示目前系统支持的加密类型，根据需要选择相应的类型。系统几乎支持所有的文档类型，如果列表里面没有你所需要的加密类型，请与我们公司联系，我们会尽快为你进行配置。

“加密等级”列表，可选择“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”6个机密等级，它们之间是平行关系，作为权限标记，用于控制内部用户与用户之间的数据访问。

注意事项：如果在某个客户端上点击<新增策略> 后如果弹出如下的对话框，是因为客户端默认是继承上层组策略的策略设置信息的。

客户端策略使用继承时新建策略出现的提示

记得把客户端的<继承上层组策略> 的勾去掉，然后点击<保存策略> 后再新增策略即可，如下图：

去掉<继承上层组策略>

2.3.5设置客户端权限

安装好的客户端，将会自动出现在用户列表。

如果客户端在线，图标就是“亮”的，如下图的客户端（小武）。如果客户端不在线图标就是“灰”的，如下图的客户端(小文)就是不在线客户。

控制台显示客户端的状态

1.修改基本信息

A左视图选中“用户对象”，B右视图“客户端基本信息”标签出现设置界面。

“客户端基本信息”查看与设置，可以修改客户端的描述，所属管理组。

注意：修改计算机描述请输入你需要描述的名称后将光标移动到其它地方后点击<保

存> 按钮即可完成对客户端的描述的修改，客户端的描述会显示在左边对应的客户端，要是两个管理员同时登陆该账户，那么前登陆的管理员会自动退出，如下图：

控制台自动退出提示

“设备信息设置”与管理组设置相同，客户端可以选择继承管理组的设置，如果选择了继承上层组策略后就不能进行单独设置了，也就是说上层用了什么加密策略本组也会自动和上层一样的策略。

如果把<继承上层组策略>复选框不打勾，就可以单独对客户端进行个性化的设置，如下图。

开关客户端，启动该功能，该客户端可以对文件进行有选择的加解密。开启加解密时，策略内的公司文件会自动加解密；关闭加解密时，公司文件就无法打开，同时保证私人的文档不会加密，在此状态下新建的文件都是不加密的。一般不建议对普通员工使用开关客户端这个功能。

允许剪切板，打钩选中表示加密文件内容可以被复制到非加密区域中。

启用文件审计，当客户端机器有文件修改时候自动记录日志。启用打印审计，在安装打印机的客户端记录下打印的信息日志。如果选择审计功能，服务器需要有足够的存储空间，审计产生的日志数据量很大，会给服务器硬盘空间造成压力。

2.客户端权限等级

A左视图中选中某“用户”，B右视图“客户端权限等级”标签出现设置界面。

权限设置

如下图，设置的客户端就拥有查看开发部“公开”、“普通”等级文件的权限。

注意：要使用该功能需要把[客户端基本设置]中的[信息审计设置]里面的启用文件权限打钩，如下图：

启用文件权限

注意：关于打印审计要注意的是安装打印机的那台计算机必须要安装客户端，否则打印审计信息是不会被记录下来的。

2.3.6文件备份设置

点击菜单[系统设置(M)/文件备份设置]。

如下图，勾选“启用加密文件备份”，则备份功能启用。点击对话框底部<客户端>按钮，选择需要启用备份的客户端。填写备份的文件类型（类型必须以半角英文输入法状态下的逗号结束），然后点击客户端（就是对需要备份文件的客户端），好了再点击<确定> 按钮即可完成设置，客户端对所选类型加密文件进行自动备份。

备份好的文件会自动上传到服务器的安装目录下的BackupFile文件夹中，打开进去后会看到备份文件所在的组，文件夹路径的所有信息，可以方便你随时查看你所需要备份的文件。一般不建议使用该功能，因为客户端备份文件，文件很多很大会对公司网络造成一定的压力。

执行硬盘文档加密

2.3.7帐号设置及管理

名词说明

1.手工加密组：系统有自动加密的部分和手工加密的部分。自动加密是由客户端来完成，

手工加密由控制台来完成。

2.管理组：系统可以由几个管理员来管理，管理员能够管理各个组的客户端，这样管理组

的概念就产生了。通过管理组可以设置特定的账号来分配管理的权限。比如说财务部门有管理员，设计部有管理员，在给他们设置管理组的时候可以选择相对应的部门。这样这个管理员只能看到自己部门的客户端，同时管理员也可以拥有不同的管理权限。

点击菜单[系统设置(M)/帐号管理]，出现如下图的对话框。

账号管理

点击对话框底部<新增>按钮，可以新建管理员帐号，新增帐号密码默认为123456。选中列表中新增的管理员帐号（系统默认管理员帐号不允许修改），点击<修改>按钮，可对管理员权限进行相关设置修改。点击<删除>按钮，可将当前管理员帐号删除。

点击<写入U_KEY>按钮，在有U_KEY接入电脑的情况下，选中的帐号信息就会保存于U_KEY中，在菜单[系统设置(M)/运行配置]里，勾选“客户端使用U_KEY验证登陆”选项，控制台就必须有帐号U_KEY才能登陆。

新增管理员帐号权限设置信息如下图对话框。

编辑账号

管理组里面可以选择你需要管理组里的所有成员，下面的权限设置是对新增管理员赋予的各种权限。

部分权限设置介绍：

远程文件管理：对于管理客户端的远程文件的查看等操作。

文件加密：通过控制台对本地和远程文件进行加密。

文件解密：通过控制台对本地和远程文件进行解密。

注意：<设置为日志管理员>和<操作日志信息> 两项不能同时选上。

2.4文件加解密

2.4.1邮件自动解密

点击菜单[系统设置(M)/邮件自动解密管理]。

B右视图出现策略列表，右键弹出菜单，可以选择[新增]、[编辑]、[删除策略]。

邮件解密管理

通过三种控制方式：只验证发件人，只验证收件人和同时验证发件人收件人。成功发送出去邮件的附件就会自动解密。

1.只验证发件人，是指只要发件人在授权列表中，并且在客户端列表中的客户端用户

发给任何人的文件都是自动解密发出去的。

2.只验证收件人，是指只要收件人在授权列表中，从客户端列表发出去的文件该收件

人收到的都是不加密的。

3.同时验证收发者，两者都在授权列表才能成功发送解密。

另外还可以设置备份抄送邮箱，这样可以对发送出去的文件留有记录。以方便管理者来查看。

右键菜单选择[新增]，弹出如下图对话框，在此设置邮件解密策略。对话框右侧点击[选择客户端]，添加客户端即可应用该策略。

邮件解密设置

备注：<备份抄送邮件>就是所设置的客户端没发送一个自动解密的文件会同时往备份抄送邮件中发送一个副本，以备公司后期查用。

2.4.2解密审批

A左视图右键需要设置的“用户对象”，选择弹出菜单[系统设置[M]/解密审批设置]。