希拓加密产品使用说明书文档格式.doc
《希拓加密产品使用说明书文档格式.doc》由会员分享,可在线阅读,更多相关《希拓加密产品使用说明书文档格式.doc(30页珍藏版)》请在冰点文库上搜索。
2.5客户端管理 20
2.5.1客户端离线 20
2.5.2生成客户端 21
2.6日志管理 22
2.7远程监视及远程控制 22
2.8卸载删除客户端 23
3、客户端的使用 23
3.1开关客户端 23
3.2邮件解密 24
3.3申请解密 25
3.4文件权限 25
第三章:
注意事项 27
第四章:
常见问题FAQ 29
系统主要名词说明
1.服务端
用于存放配置信息、负责网络通讯以及验证客户端的程序,运行于后台。
在系统运行过程中要确保服务端一直处于运行状态。
服务端在整个系统中有唯一性,系统的授权信息也是存放在服务端。
2.控制台
控制台是用于配置系统的子程序,用户可以通过控制台配置系统,是直接面对用户的系统接口。
控制台在系统运行期间可以是关闭的,可以安装多个控制台。
3.客户端
客户端是安装在涉密的计算机上,负责文档的自动加解密功能,以及执行相关操作。
4.用户组(部门)
用户组是一个虚拟的名称,是由一部分客户端组成的集合。
在同一个用户组下面的文档利用该组的加密策略。
5.密钥
密钥是用来加密算法使用,在系统中密钥很重要,每个用户组拥有一个唯一的密钥。
用户组建立以后密钥将会随机产生,一旦密钥启用,不要随便修改。
系统使用
1、服务端的使用
运行服务端,将需要添加授权文件,如果你没有授权文件,请与我们我们公司联系。
添加注册文件后系统将正常运行,不需要其他配置。
服务端要保持一直运行的状态,否则客户端和控制台将会无法正常使用,如果条件允许请保持24小时运行。
2、控制台的使用
控制台是管理系统的平台,提供给管理人员使用,系统设置都需要通过控制台来完成。
2.1名词说明
1.管理组:
管理组是客户端的管理对象,每个管理组有不同的密钥,在同一个管理组的客户端计算机之间加密的文档能够流通。
2.加密类型:
当前管理组需要自动加密的文档集合,例如OFFICE、CAD图纸等。
只有当前组选择了加密类型,这些文档才能够自动加密解密。
3.加密等级:
根据保密制度和策略,通过部门、密级、文档类型的相关联,细化到各部门加密的不同文件类型,划分“公开”、“普通”、“私密”、“保密”、“机密”、“绝密”六个等级,这样,只能是具有相应访问权限的人才能访问该部门的某种类型文件。
2.2操作界面
控制台操作主要分三个区域,如下图标记(A左视图,B右视图,C上视图)。
A左视图选择对象(组或客户端),鼠标左键点击,B右视图将会出现相关的操作界面或者信息。
命令
功能
系统维护菜单
锁定系统
控制台最小化到系统托盘,打开界面需要重新输入密码
修改密码
修改当前用户登录密码
刷新系统
更新客户端在线状态
系统退出
退出控制台
系统设置菜单
运行配置
对断线时间、U_KEY验证进行设置
帐号管理
添加管理员帐号,修改管理员权限,删除管理员帐号
组信息
查看组的信息,包括名称、密钥、加密策略
客户端信息
查看客户端的信息,包括描述、所属组、IP、在线状态
客户端加密等级
查看添加客户端访问策略
程序黑名单
添加/删除禁止运行程序的策略
邮件自动解密管理
添加/编辑/删除邮件自动解密策略
文件备份设置
设置客户端文件备份
加密管理菜单
硬盘文件加密
对所选客户端文件批量加密
硬盘文件解密
对所选客户端文件批量解密
客户端离线管理
客户端离线时间及验证方式进行设置
生成单机客户端
根据策略生成单机客户端安装程序
生成老板客户端
生成老板客户端安装程序
信息审计菜单
文件审计信息
查看客户端文件操作日志
打印审计信息
查看客户端打印日志
解密审批信息
查看解密审批日志
文件加解密菜单
本地文件加/解密
控制台本地文件的手工加解密操作
远程文件加/解密
远程客户端文件的手工加解密操作
远程管理菜单
远程控制
对在线的远程客户端进行控制
远程监视
对在线的远程客户端进行监视
日志管理菜单
删除操作日志
删除文件审计
删除文件审计日志
删除打印审计
删除打印审计日志
帮助菜单
帮助文档
查看帮助文档
关于系统
查看系统版本信息
2.3基本设置
2.3.1登陆控制台
首次使用控制台,系统默认管理员的帐号为admin,密码为123456。
进入控制台后请马上修改admin帐号的密码。
服务端的IP指的是安装服务端的计算机的IP地址。
2.3.2修改密码
首次登陆控制台以后,一定要修改密码,保护你的帐户安全。
“系统维护”菜单选择“修改密码”。
2.3.3设置管理组
A左视图上选择组对象。
右键菜单选择“新建组”。
2.3.4设置组加密信息
A左视图选中组对象,B右视图出现设置界面。
设置界面有两个部分组成,组基本信息和加密策略。
组基本信息显示组的名称及密钥。
加密策略显示组当前所应用的策略。
点击“修改信息”按钮,选择组的加密类型,这个组下面的客户端将自动加密所选的类型文件。
选择确定以后,客户端加密策略立即生效,无需重启客户端。
系统几乎支持所有的文档类型,如果列表里面没有你的需要的加密类型,请与我们联系,我们会进行配置。
2.3.5设置客户端权限
安装好的客户端,将会自动上线,如果客户端在线图标就是“亮“的,如下图的客户端(192.168.1.3)。
如果客户端不在线图标就是“灰”的,如下图的客户端(192.168.1.5)。
1.修改基本信息
A左视图选中客户端对象,B右视图会出现设置界面。
在“客户端基本信息”区域点击“修改信息”按钮,出现如下图的对话框,可以对客户端的外设,审计信息控制等进行管理。
其中,USB存储指的是USB存储设备;
USB设备指的是USB存储、USB打印机、USB鼠标等与USB接口有关的设备。
开关客户端,启动该功能,可以对客户端文件进行有选择的加解密。
开启加解密时,策略内的公司文件仍然自动加密;
关闭加解密时,公司文件就无法打开,同时保证私人的文档不会加密。
允许剪切板,勾选表示加密文件内容可以复制到非加密文件中。
启用文件审计,当客户端机器有文件修改时候自动记录日志。
启用打印审计,在安装打印机的客户端记录下打印的信息日志。
如果选择审计功能,服务器需要有足够的存储空间,审计产生的日志数据量很大,会给服务器造成压力。
2.客户端加密等级
A左视图中选中某客户端,在“系统设置”菜单里选“客户端加密等级”,就可以设置当前客户端访问策略。
如下图,设置的客户端就拥有查看开发部“公开”、“普通”等级文件的权限。
3.程序黑名单
程序黑名单指的是,禁止客户端机器运行指定的程序,比如QQ、MSN等。
首先在系统设置程序黑名单里面增加你需要禁用的程序列表如下图。
增加好了以后要选择保存。
A左视图选择客户端对象,然后在“客户端程序黑名单”区域点击“修改信息”,来设置某个客户端的程序黑名单。
确定后生效,客户端计算机将无法运行这些程序。
.
2.3.6文件备份设置
“系统设置”菜单选择“文件备份设置”。
如下图,勾选“启用加密文件备份”,则备份功能生效。
选择需要备份的客户端,及备份的文件类型,完成设置就可以对所选类型加密文件进行备份。
2.3.7帐号设置及管理
名词说明
1.手工加密组:
系统有自动加密的部分和手工加密的部分。
自动加密是由客户端来完成,手工加密由控制台来完成。
由于登陆控制台的是某个账号,加密是通过密钥来完成,而密钥存放在组信息里面。
所以就有了手工加密组的概念,归根到底就是获取这个组的密钥来加密文件。
2.管理组:
系统可以由几个管理员来管理,管理员能够管理各个组的客户端,这样管理组的概念就产生了。
通过管理组可以设置特定的账号来分配管理的权限。
比如说财务部门有管理员,设计部有管理员,在给他们设置管理组的时候可以选择相对应的部门。
这样这个管理员只能看到自己部门的客户端,同时管理员也可以拥有不同的管理权限。
在“系统设置”菜单选择“帐号管理”,如下图:
需要注意的是,如果在安装客户端的计算机使用账号登陆控制台,这个时候如果此账号的手工加密组和客户端的组不是同一个组,那么如果这个时候使用控制台来加密本地文件,这些加密文件客户端有可能无法打开,因为他们使用加密文件的密钥不同。
2.3.8系统运行配置
断线运行时间:
当客户端和服务端网络无法连接的时候,为了保证不影响客户端计算机的工作,可以设置在多长时间内客户端能够正常使用加密文件,一旦网络连接上以后断线时间将重新开始计算。
客户端离线使用U_KEY验证:
需要出差的时候,可以通过把系统的加密以及配置信息写入到U_KEY里面,这样U_KEY就是一个简单的服务端程序,能够保证出差的客户端机器能够使用加密文件。
控制台使用U_KEY验证:
用U_KEY来验证帐号的登陆身份。
如果你没有U_KEY,请不要选择这个选项,不然会造成无法登陆控制台。
2.4文件加解密
2.4.1邮件自动解密
邮件解密设置:
“系统设置”菜单“邮件自动解密管理”选项。
B右视图出现策略列表,右键选择新增/编辑/删除策略。
通过三种控制方式:
只验证发件人,只验证收件人和同时验证发件人收件人。
成功发送出去的文件就会自动解密。
1.只验证发件人,是指只要发件人在授权列表中,就可以发给任何人以进行解密。
2.只验证收件人,是指内部任何人发往授权列表中的收件人,文件将解密。
3.更为严格的方式就是同时验证收发者,两者都在授权列表才能成功发送解密。
另外还可以设置备份抄送邮箱,这样就能了解发送出去的文件,留做记录。
2.4.2解密审批
申请解密设置:
A左视图右键需要设置的客户端对象,选择“解密审批设置”。
这里有两种方式:
顺序审批和共同审批。
顺序审批就是只要某一个管理员同意即可进行文件解密;
共同审批就是需要所有管理员都同意才能解密。
同时可以设置审批时间,超时则未通过审批。
客户端发送解密申请,登录控制台具有审批权限的管理员能够收到信息。
如下图,管理员可以查看申请解密的文件内容,作为审批依据。
审批结果会反馈给客户端。
2.4.3硬盘文件加密解密
硬盘文件加密,对某一客户端硬盘中某一类型的所有文件加密,可以选择对客户端整个硬盘文件进行搜索加密指定的类型,目的是第一次使用本系统的时候进行初始化,加密原来的文档,安装系统以后产生的文档将会自动加密。
注意使用这个功能要谨慎,请输入确实要加密的文档类型,比如需要初始化加密CAD图纸,可以输入dwg格式的文档类型。
不要输入一些系统文件类型,比如dll,ini等。
由于此功能需要搜索整个硬盘所以需要耐心等待,而且保证客户端在线。
在加密过程中不要关闭客户端的计算机。
一般来说加密10G的数据硬盘需要大约20分钟左右。
同时你可以通过远程文件的功能查看是否需要初始化加密的类型是否已经加密。
使用说明:
“加密管理”菜单选择“硬盘文件加密”。
如下图,“选择客户端”添加需要初始化加密的客户端,所选客户端必须是在线的,输入需要加密的文档类型,点击“执行”按钮。
在加密的过程中请不要关闭客户端机器。
硬盘文件解密操作与之类似。
2.4.4本地文件加解密
本地文件指的是当前登陆控制台的计算机文件,管理员可以通过此功能加密解密指定的文件。
本地文件加密使用的密钥就是账号里面的手工加密组的密钥。
手工加密能够加密任何格式的文件,需要注意的是不要加密系统目录的系统文件,以免系统受到破坏。
当公司有重要的文件封存的时候,也可以采用此功能来实现对文件的保护。
本地文件加密解密,可以针对单个文件、多个文件、目录、磁盘来进行加密解密。
“文件加解密”菜单选择“本地文件加解/密”,或直接在C上视图点击“本地文件”按钮。
1.文件加密解密,选择一个或者多个文件,右键点击,然后选择加密解密。
2.文件夹加密解密选择一个文件夹右键点击,然后选择加密解密。
2.4.5远程文件加解密
远程文件加密解密是针对的是客户端的文件,管理人员可以通过远程文件来浏览控制客户端的文件。
可以对指定的文件进行加密解密,能把远程计算机的文件拷贝到本机上。
远程文件加密采用的是客户端所属组的密钥,而不是当前帐号的手工加密组。
原因就是客户端的机器自动加密采用的是客户端所属组的密钥,那么这个时候远程加密也应该采用相同的密钥,否则客户端机器会出现无法打开远程文件加密的问题。
A左视图选择一个在线的客户端对象。
“文件加解密”菜单选择“远程文件加解/密”或者在C上视图工具栏点击“远程文件”。
需要注意的是如果客户端计算机正在使用当前文件,不要加密他使用的这个文件,以免产生错误。
2.5客户端管理
2.5.1客户端离线
出差或者其他需要脱离服务器运行的情况,可以采用客户端离线功能。
“加密管理”菜单选择“客户端离线管理”。
如下图,选择需要离线运行的客户端,然后选择离线的日期,在这段时间内客户端机器可以正常使用加密文件。
1.采用U_KEY验证没有时间的限制。
使用U_KEY验证时,加密的文件只有在插入U_KEY时才能正常使用,拔下U_KEY就不能打开。
2.如果客户端不在线,可以生成一个离线包,将离线包放到系统目录的System32目录,启动机器生效,一旦连接到网络离线功能将失效。
3.如果客户端在线,那么可以直接下发,立即生效,计算机脱离服务端能够自动运行,一旦连接到网络离线功能将失效。
2.5.2生成客户端
包括生成单机客户端与生成老板客户端。
1.单机客户端包含加密策略,可以不连接服务器而实行自动加解密。
“加密管理”菜单选择“生成单机客户端”。
2.老板客户端的这台客户机上,可以查看加密文件,而不需要加密本机的文件,通过老板客户端打开的文件就成为未加密状态。
“加密管理”菜单选择“生成老板客户端”。
注:
二者安装都需要授权。
2.6日志管理
日志管理包括文件审计信息、打印审计信息、操作日志信息以及解密审批信息。
系统设立专门的日志管理员对“操作日志信息”、“解密审批信息”进行管理。
操作日志包括所有手动加解密操作,所有系统设置信息。
解密审批信息包括所有客户端申请解密的操作,审批状态,申请解密的文件。
2.7远程监视及远程控制
远程监视能够监控客户端计算机,能够了解客户端计算机实时的操作情况,了解员工在做什么。
远程控制是在远程监视的基础上加上操作控制客户端计算机。
2.8卸载删除客户端
客户端卸载可以通过控制台完成。
选择需要卸载删除的客户端,然后选择删除客户端,使用此功能时确保客户端在线。
也可以利用软件自带的客户端卸载工具进行卸载。
3、客户端的使用
客户端安装在需要加密的机器上,不需要任何设置。
3.1开关客户端
控制台允许“开关客户端”的时候,客户端电脑系统托盘会出现图标,右击出现菜单,可以开启/关闭自动加解密。
3.2邮件解密
右击加密的文件,在快捷菜单出现邮件解密的选项
添加需要解密的文件为附件,填写正确信息,即可发送邮件。
在授信列表中的客户端,成功发送邮件,文件将解密。
3.3申请解密
右击加密的文件,在快捷菜单出现申请解密的选项
申请解密之后,管理员进行审批,结束后反馈信息给客户端。
审批通过之后,就可以接收文件。
此时的得到文件就是未加密的。
3.4文件权限
右击加密的文件,在快捷菜单出现文件权限的选项
通过文件授权的功能,授权加密后的文件,这样只有授权列表中的人才能查看该文件。
可以对某个组授权,也可以某个人授权。
注意事项
1.客户端网络连接
客户端安装完毕,通过以下几种方式可以检测是否安装成功:
l从控制台查看:
安装完成的客户端会自动上线,在控制台列表中出现(A左视图)。
l在客户端机器上通过系统命令查看:
开始菜单——运行——输入cmd——命令行输入netstat,该命令可查看客户端连接状况。
客户端连接端口为10018,对应信息:
ESTABLISHED表示连接上服务端,客户端安装成功。
SYN-SENT表示客户端发送信息无反馈,连接不上服务端。
原因可能是防火墙将端口阻止,需要在防火墙设置里将端口开放。
2.管理员帐号安全
本系统可以设立多个管理员,通过设置不同权限,达到分级别分组管理的效果。
管理员可以拥有文件解密、远程控制、信息审计等权限,所以账户的安全尤为重要。
默认的系统管理员,登录帐号为admin,初始密码为123456;
日志管理员,登录帐号为logadmin,初始密码为123456;
新建的帐号密码默认为111。
设置好帐号后第一时间应修改密码,保证管理员帐号安全。
3.加密安全
系统根据硬盘号和随机密钥来加密文件。
防止硬件损坏或者操作系统崩溃引起的客户端文件无法自动加解密,事先应做好如下备份:
l授权文件——产品正式注册的授权文件
l硬盘号——包括服务端及客户端(硬盘号会自动保存在数据库中)
l随机密钥——系统第一次运行产生的加密密钥,控制文件加解密(随机密钥保存在数据库中)
l组加密密钥——每新建一个组,系统会分配一个密钥,如果要修改该密钥,需先把组下面所有客户端加密文件先解密(组加密密钥保存在数据库中)
4.文件安全
软件最新版本在权限上做了细分,即可以对每一个客户端设置访问权限,控制其访问其他部门文件。
对于加密后的文件,在没有权限、未经授权、自动加密策略取消或者客户端脱离服务端等情况下,强行打开出现的会是乱码或根本无法打开。
这时,若是对文件修改保存,文件格式就会破坏,导致无法解密,数据丢失。
5.日志与备份
系统可以对客户端文件操作、加解密操作、打印操作等进行记录,以便追根溯源,保留泄密证据。
系统能对客户端加密文件备份,确保文件安全。
日志与备份均保存在服务端的机器上,如果启用这些功能,需保证服务端硬盘有足够空间。
6.其他
不要对系统文件加密(exe、dll、ini等),这样会导致操作系统崩溃。
常见问题FAQ
1、系统对使用的操作系统有要求吗?
答:
对于所有的windows系统没有要求,系统支持全部的Windows操作系统,包括NT/2000/XP/2003。
2、系统对使用的硬件有要求吗,需要服务器支持?
没有硬件要求,普通的PC就能满足服务器的要求。
启用文件审批及备份功能需要服务端机器有足够的硬盘空间。
3、安装使用后,对目前的操作有什么改变?
和以前操作一样,无需任何改变,系统采用动态透明加密的方式,运行于无形之中。
4、系统目前支持哪些文件类型?
系统几乎能够支持任意的类型,如当前没有您需要的,我们会为您配置。
5、服务器如果瘫痪,以前加密的文件是否能够正常使用?
答:
如果服务器瘫痪,需要重新安装服务器端,回复原来系统的密钥策略,就能够跟以前一样正常运行。
6、如果网络不稳定,系统会不会受到影响?
不会受到影响,系统提供了最多3个小时的网络断线正常运行。
7、可否在局域网内不同组之间(按部门)分别设置不同的策略信息,能够控制不同权限的人员访问文件的权限呢?
可以的,可以通过组的设置以及权限管理来实现。
8、加密的文件别人能够破解?
不可能,系统采用的双重密钥,系统随机产生的密钥和客户自定义密钥,让破解者无法获取。
9、对于试用期版本的软件,试用期结束后原来加密的文件是否能打开?
不可以。
试用期结束后,针对于加密的文件,就相当于文件被盗走,你将无法打开原来加密的文件。
所以在你试用期结束前,请你解密你的加密文件,然后卸载软件。
10、工作中可能需要外出,怎样才能够在出差的时候能够使用加密文件呢?
系统有脱机使用的策略,你可以采用我们系统的脱机专用USBKey,来验证文件,只有插入USBkey加密文件才能够使用。
11、重新安装操作系统后,对加密文件有影响?
只要安装操作系统后,重新安装客户端,就可以打开原来的加密文件。
12、当客户端不能打开加密文件时(打开显示是乱码),这个时候强制打开保存会对文件有什么影响?
当客户端由于断线超过设定的时间,或者文件拷贝到没有安装客户端的机器,或者你没有打开这个文件的权限,这个时候强制打开这个文件,显示的将是一些看不明白的“乱码”,如果这个时候修改里面的内容并且保存,由于文件存放的是密文,这个时候增加一下不可识别的文字,哪么这个文件将会损坏。
所以当打开一个文件是“乱码的时候”,请不要往里面写入数据保存。
13、该加密软件是否能加密OA系统里面的文件?
能,OA产生的文件也能够正常加密解密,需要提供OA的程序版本。
14、通过邮件、FTP、QQ等发送的文件会造成文件泄密吗?
不会,文件处于加密状态,文件如果没有经过管理人员来解密,发送出去的也只是加密后的文件,文件依然无法打开。
升级会员 