marketplace-res-cbc-cn.obs.cn-north-1.myhuaweicloud.com · Web...

文档类型：

文档编号：

DSIP操作手册

北京亿赛通科技发展有限责任公司

二O一九年一月十六日文档名称

更新历史

编写人

日期

版本号

变更内容

张丹

2017/04/28

V1.0

张丹

2017/06/05

V1.1

修改权限截图

张丹

2018/1/28

V5.3

增加回家办公、外发、盲水印、基础配置、流程管理，修改终端控制策略

李志亮

2018/5/22

V5.5

增加旁路准入控制配置、旁路准入应用日志

张丹

2018/6/14

V5.3

增加文件保险箱

马铁镭

2018/9/17

V5.3

增加安全介质和进程分类管理

冯继续

2018/12/29

V5.5.8

打印控制、多秘钥、邮件白名单、文件备份控制、工作模式控制

目录

1 SIP平台管理员指南7

1.1 概述7

1.2 系统内置管理员简介7

2 平台基础配置8

2.1 系统应用组件8

2.2 AD域同步9

2.3 安全设置11

2.4 高级参数设置12

3 安全密钥管理14

4 基础配置策略16

5 终端敏感数据泄漏防护21

5.1 终端数据泄漏防护21

5.1.1 操作流程21

5.1.2 功能说明23

5.1.3 实例操作23

5.2 终端任务扫描29

5.2.1 操作流程30

5.2.2 实例操作30

6 回家办公42

6.1 操作流程42

6.2 功能说明42

6.3 实例操作42

6.3.1 新建组织结构42

6.3.2 设置密钥43

6.3.3 新建加密策略43

6.3.4 新建回家办公策略44

6.3.5 策略应用44

6.3.6 通知终端更新策略45

6.3.7 终端操作45

6.3.8 离线时长48

7 终端端口管控49

7.1 操作流程50

7.2 实例操作50

7.2.1 创建策略50

7.2.2 策略应用51

8 全盘加密管控52

8.1 操作流程53

8.2 功能说明53

8.3 实例操作53

8.3.1 创建密钥及分配53

8.3.2 创建超级密码53

8.3.3 创建FDE策略包54

8.3.4 策略应用55

8.3.5 终端磁盘加密56

9 介质管控57

9.1 专用介质注册57

9.1.1 操作流程57

9.1.2 功能说明57

9.1.3 实例操作58

9.2 签名介质66

9.2.1 操作流程66

9.2.2 实例操作66

9.3 安全介质注册72

9.3.1 操作流程72

9.3.2 功能说明72

9.3.3 实例操作72

9.4 介质授权81

9.4.1 实例操作81

9.5 黑白名单83

9.5.1 实例操作83

9.6 托管管理85

9.6.1 实例操作86

9.7 离线补时88

9.7.1 实例操作88

10 透明加密90

10.1 操作流程91

10.2 功能说明91

10.3 实例操作92

10.3.1 设置密钥92

10.3.2 配置策略92

10.3.3 策略应用110

10.3.4 通知终端更新策略111

11 权限管理111

11.1 TP模板111

11.1.1 操作流程111

11.1.2 功能说明112

11.1.3 实例操作112

11.2 加密授权-定制117

11.2.1 功能说明117

11.2.2 实例操作117

11.3 权限文件查询129

11.4 文档生命周期图130

12 终端密级管控131

12.1 文档标密、加密及权限文件131

12.1.1 功能说明131

12.1.2 内容识别自动标密131

12.1.3 密级控制加密140

12.2 终端控制策略145

12.2.1 功能说明145

12.2.2 操作实例145

13 外发管控149

13.1 操作流程150

13.2 功能说明150

13.3 实例操作150

13.3.1 创建加密策略150

13.3.2 创建外发策略151

13.3.3 策略应用151

13.3.4 终端制作外发文件152

13.3.5 外发文件还原153

14 盲水印155

14.1 功能说明155

14.2 实例操作155

14.2.1 创建盲水印策略155

14.2.2 策略应用156

14.2.3 盲水印查询156

15 流程管理157

15.1.1 功能说明157

15.1.2 操作实例158

16 检测记录161

17 解密分享162

17.1 功能说明163

17.2 实例操作163

18 违规事件管理165

18.1 事件检索166

18.2 事件展板管理168

19 事件报表管理170

19.1 事件报表管理170

19.1.1 对比分析170

19.1.2 趋势分析171

20 资产分析172

20.1 创建资产分析任务172

20.1.1 创建任务172

20.1.2 任务下发176

20.2 资产信息检索176

20.3 资产信息报表176

21 终端卸载177

22 其他模块179

22.1 业务基础库179

22.1.1 算法管理179

22.2 终端管理181

22.2.1 终端绑定181

22.2.2 终端状态181

22.2.3 终端管理181

22.3 系统管理181

22.3.1 授权管理181

22.3.2 系统维护升级181

22.3.3 升级统计183

22.3.4 平台策略184

22.3.5 数据库备份184

22.3.6 高级参数设置184

22.4 用户管理184

22.4.1 域用户启停184

22.4.2 用户管理184

22.4.3 角色管理185

22.4.4 组织管理185

22.4.5 级别管理185

22.4.6 组织关联IP186

22.4.7 密码锁定管理186

22.5 平台策略186

22.6 进程签名188

22.6.1 签名收集188

22.6.2 签名下发190

22.7 配置策略归属组织192

22.8 进程分类管理192

22.8.1 进程分类设置192

22.8.2 事件检索分类查询194

22.9 镜像准入日志197

DSIP平台管理员指南概述

本章节用于指导用户了解、使用DSIP服务端系统管理员。

欢迎使用DSIP操作手册指南，通过阅读本指南，用户能够了解以下信息：

终端敏感数据泄漏防护

回家办公

终端端口管控

全盘加密管控

介质管控

透明加密

权限管理

终端密级控制

外发管控

盲水印

流程管理

检测记录

解密分享

违规事件管理

事件报表管理

资产分析

终端卸载

其他模块

系统内置管理员简介

内置三种系统角色（也可灵活自定义角色并任意分配角色的菜单功能），一般情况下初始密码都是12345678。具体如下：

· sysAdmin：安全管理员，负责具体的业务、流程、文件管理、密钥管理等。

本文如无特殊说明，一般均指用sysAdmin做操作。

· confAdmin：系统配置管理员，不能负责具体的业务和流程，对系统做初始配置维护。譬如：数据库、系统项配置，参数配置等。

· logAdmin：日志管理员，管理日志。

管理员初始密码都是12345678

此外各个角色享有的菜单在不同版本下，可能因为各定制功能不同而略有差别，但不会影响主体功能的角色划分思路。

平台基础配置

主要介绍DSIP平台的基础配置，如：系统应用组件、AD域同步、系统安全参数配置。

使用confAdmin操作。

系统应用组件

系统应用组件包括：硬件管理、中间件管理、应用服务器管理。

硬件管理指部署DSIP 系统所需硬件，可以集中部署也支持分布部署，下面以集中部署为例，则再硬件管理中配置一条硬件记录即可。

中间件管理指DSIP系统的中间件，包括：redis缓存服务、tomcat应用服务器、openfire服务、mysql数据库。

应用服务器指DSIP 系统所需关联到的应用服务，目前所有的服务包括：邮件DLP服务、网络DLP服务、中间件扫描DLP服务、IDM/SVM服务、补丁列表服务、名单服务、终端上报服务、策略服务、用户信息获取服务、激活检查服务、消息服务、流程服务、检测规则服务、日志规则等。

硬件管理、中间件管理、应用服务器管理均支持手动配置，也支持导入。目前提供XML 导入模板，在端口默认不变情况下，修改XML 中IP 即可。

下面说明导入步骤：

1. 获取XML模板（exportComponent.xml），模板中以192.168.5.234服务为例；

2. 采用winword 、UE 或其他代码编辑工具进行打开此xml文档；

3. 将文档中192.168.5.234的位置均替换为现场DSIP 服务IP；

4. 如果有部分服务独立部署，例如：邮件DLP服务部署在192.168.5.235上；则搜索“邮件DLP服务”将此处的cpVip、cpFip的IP替换为：192.168.5.235；

5. 保存xml 后，点击“系统管理 – 组件 – 硬件管理”；

6. 点击导入，选择xml文件进行导入；

7. 导入后，查看硬件管理、中间件管理中设备状态是否正常。

如果密码没有动的情况下无需改动xml 中密码，如果后续针对服务密码有改动，可在导入xml 后，在界面中修改密。

AD域同步

目前支持AD域用户的同步，用户同步到DSIP平台中，仍以AD域的组织结构展现，可对用户进行启用、停用。

域用户同步到平台后，在WEB或终端登录域用户时，从AD域服务进行密码验证。

域同步步骤：

1. 点击“系统管理-系统配置-域同步管理”界面中新增；

2. 输入域基本信息，如图：

如果终端机器加入域，需采用操作系统域用户单点登录DSIP客户端，则此处域名称必须与域名对应：DLPTEST, 此域实际为dlptest.com。现场配置修改为其对应的域名称。

下面是AD域对照图：

192.168.6.56为AD域服务IP；

AD域端口默认为：389；

ou=test,dc=dlptest,dc=com中，test为域根目录即dlptest.com域的OU节点，域名称为：dlptest.com ；

testSyn为域同步管理用户；

域名称可任意输入，此主要用于区分多域情况。

安全设置

安全设置中支持设置：允许访问WEB的IP地址范围（如果不配置，则默认WEB访问不受任何限制）、邮件服务器配置、密码有效期和密码锁定配置、WEB访问会话超时时间配置、WEB访问验证码启用配置、用户来源配置、客户端登录激活用户配置（默认启用所有用户）。

安全设置界面：系统管理 – 安全设置 – 安全参数配置

1. 允许访问WEB的IP地址范围配置

此配置主要是防止部分非合法网段用户访问WEB服务；

支持添加多个IP 段访问配置，如：192.168.1.11 到192.168.2.11。则此表示1.11到2.11网段直接用户允许访问WEB服务。

2. 邮件服务器配置

此配置主要是用于对部分业务需要邮件发送功能的配置；

可配置邮件发送服务器、邮件发送人，配置如图：

点击“测试”确认此配置是否正确。

3. 密码有效期和密码锁定配置

密码锁定功能默认为不启用，表示对密码输入错误次数不进行限制。

启用后，可设置密码错误次数及锁定时间，如图：

此设置表示：当用户连续输入3次密码错误，则用户被锁定，在20分钟内不允许再登录。

4. WEB访问会话超时时间配置

可设置WEB会话超时时间，默认为45分钟，可任意修改时长，单位为：分钟，建议最优设置为1~60分钟。

5. 验证码启用配置

此配置主要支持启用、停用设置，启用后，在WEB登录界面存在验证码校验项；停用后，在WEB登录界面无此验证码校验项。

6. 用户来源配置

此配置主要支持展示、隐藏设置，展示后，在WEB登录界面存在用户来源项；隐藏后，在WEB登录界面无此用户来源项。

7. 客户端登录激活用户

此处主要用于配置域用户是否在登录时自动激活。此配置启用后，域用户将在登录时自动激活；此配置停用，未激活的域用户无法登录客户端。

高级参数设置

高级参数设置中支持设置：设置日志存储空间、定时删除日志文件、分布式组件管理模式、syslog开关及配置、互斥登录管理配置、客户端返回值管理开关、流程附件明文保存时长配置。

安全设置界面：系统管理 – 系统配置 – 高级参数设置

1. 互斥登录客户端配置

此配置主要支持打开、关闭设置，打开后，同一用户禁止同时登录不同终端；关闭后，同一用户允许同时登录不同终端，如图：

2. 流程附件明文保存时长配置

此配置主要是用于密文进行解密分享后，邮件附件明文保存的期限，默认7天，如图：

3. 服务器互斥登录配置

此配置主要支持打开、关闭设置，打开后，同一用户禁止同时登录服务器；关闭后，同一用户允许同时登录服务器，如图：

4. 其他配置是针对不同项目特定的，请勿修改。

安全密钥管理

安全密钥管理是对各个模块的密钥进行管理。

1.点击“业务基础库-安全密钥管理-密钥生成”，如图：

2.点击“添加密钥加密密钥”，输入密钥名称、描述，点击随机生成，生成密钥值，或手动输入密钥值，如图：

3.点击确定，列表中生成记录，如图：

4.勾选新建的密钥，点击分配密钥加密密钥，分配给不同模块，点击确定，可以多个模块分配一个密钥，也可以不同模块分配不同密钥，如图：

5. 点击查看按钮，查看密钥分配给模块信息，如图：

基础配置策略

1. 点击“敏感数据泄露防护-基础配置策略”

2. 点击新增，输入策略名称、描述，设置各种配置，点击确定，新建成功

策略基础配置包含有：响应模式配置、通道配置、控制开关配置、扫描文件类型配置、加密方式、扫描目录过滤配置、客户端DLP进程白名单配置、事件上下文上报长度配置、OCR识别开关、DLP运行时配置：告警窗口显示时长、智能审计、URL地址过滤、敏感文档密级显示位置

1）响应模式配置及说明

对检测响应模板进行设置：间接响应和直接响应。直接响应是以策略中的响应规则做响应；间接响应是以策略中的响应规则定密级，然后按终端控制策略的配置做响应。

2）通道配置及说明

通道配置是对“光盘刻录”，“打印/传真”，“USB拷贝”，“共享拷贝”，“网络发送”几大类进行防护开启或关闭，勾选则为开启此通道的控制

网络发送都包含：浏览器的文档发送、通过ftp，邮件客户端，IM软件等方式对文档进行网络外发的操作。

如客户无需控制共享及打印，则取消打印、及共享的复选框，点击保存，再从策略应用中给客户端推送即可。

3）控制开关配置及说明

扫描开关是指是否开启客户端中的通用扫描、文件变动监控、剪贴板控制开关、通用扫描日志上报开关、RTX文本；

勾选“扫描开关”，点击编辑，显示如图：

顾名思义，开启通用扫描开关，则表示推送到终端后，客户端自启动通用扫描功能，配合扫描的文件类型配置进行全盘扫描；

开启文件变动监控检测开关，在响应规则为间接响应前提下，对创建、编辑的文档进行监控，符合敏感策略则执行相应的响应动作（如：加密，标密），是否加密则需配合透明加密方式配置进行执行；

剪贴板控制开关，开启后则表示能根据策略响应动作控制复制到剪贴板中的敏感内容（如：放行，阻断等）。

通用扫描日志上报开关，开启后对通用扫描日志进行上报。

RTX文本开关，针对某一项目。

响应模式为间接响应，文件变动监控检测、编辑加密必须开启。

4）扫描文件类型配置及说明

默认选择“全部”，表示扫描时将扫描所有文件类型；若单独勾选其他文件类型。

如office文件，则表示只扫描doc，docx，xls，xlsx，ppt等office类文件类型；

如PDF文件，则表示只扫描PDF文件类型；

如图片文件，表示只扫描jpg，tif，bmp等图片类型；

压缩文件，表示只扫描rar，zip，7z等压缩文件类型；

txt文件，表示只扫描txt文件类型；

5）加密方式及说明

加密方式包含4种：通用扫描加密，编辑加密，阅读加密，外发加密；此配置开启后，需配合策略中的响应动作进行实现。

“通用扫描加密“开启的情况下，如：A策略的响应动作为放行+加密，则通过此策略进行通用扫描时匹配A策略敏感信息时文件将被自动加密；

“编辑加密“开启的情况下，如：A策略的响应动作为放行+加密，则编辑匹配A策略的敏感文件保存后，文件将被自动加密；

“外发加密”开启的情况下，如：A策略的响应动作为放行+加密，则通过对外发送匹配A策略敏感文件时，原文件及目标文件将被自动加密；

加密方式配置默认是所有选项均开启。

此配置需与策略中响应动作进行配合，也需与加密客户端进行一起部署。

配置修改后需点击策略应用中推送到客户端，终端才能接收到修改的配置。

6）扫描目录过滤配置及说明

设置扫描时是否放过客户端中某个目录中文件的检测，目录过滤中配置某目录即不对该目录中得文件进行检测，多个目录之间用“|”分隔。

7）客户端DLP进程白名单配置及说明

就是对设置的客户端白名单进程不检测。下面的设置是对qq的聊天内容不检测。

8） OCR识别开关

就是控制客户端能不能用ocr识别功能。

9）告警窗口显示时长及说明

告警窗口显示时长是对违规外发时弹出告警窗口显示的时长，为-1表示告警窗口不自动关闭，需要手动关闭；输入为5表示告警窗体5秒后自动关闭。

10）智能审计

智能审计是对所有DLP策略的响应规则都为【放行并记录】时，在触发策略后终端先放行，再进行检测。智能审计开启生效条件：满足所有DLP策略响应规则必须都是【放行并记录】

11）URL地址过滤

URL地址过滤是对URL、IP白名单过滤功能，确保通过IE/360/CHROM/Firefox访问时，上传敏感文件，dlp策略不拦截

12）敏感文档密级显示位置

当客户端用户在半透明策略下进行文档标密时，勾选文档正文中显示，标密文档内

部显示密级，不勾选不显示密级；

3. 点击“用户与终端管理-策略应用”；

4. 新增应用，在添加管理策略界面中，选择策略类型为：基础配置策略，在策略列表中勾创建的基础配置策略及应用的对象，如图：

5. 选择策略关联对象后，策略与对象关联创建成功。

6. 点击“用户与终端管理-用户-策略应用”；

7. 在列表界面点击；

服务器默认一条基础配置策略，响应模式为直接响应，所有通道都开启。

部门或用户未下发基础配置策略，系统自动下发默认基础配置策略。给用户或部门下发基础配置策略，以下发基础策略为主

同一部门或用户只有一个基础配置策略

终端敏感数据泄漏防护

终端敏感数据泄漏防护是指防止敏感数据通过打印、刻录、聊天工具、发送邮件、USB、共享访问等终端方式泄漏出去。目前此功能模块主要给终端用户下发敏感数据泄漏防护策略及给终端下发扫描任务。

本章主要介绍如何配置对终端敏感数据进行检测及对应触发的响应规则。

此章节均采用sysAdmin用户操作。

前提说明

配置终端策略前，需先配置基础配置项：如设置需防护的【传输通道】、【检测模板类型】。

终端数据泄漏防护操作流程

下发指纹库匹配、确切数据源匹配策略流程：

下发关键字、正则、文件属性（类型、大小、文件名称）匹配策略流程：

功能说明

终端敏感数据泄漏防护是指防止敏感数据通过刻录、聊天工具、发送邮件、USB、共享、FTP、浏览器等终端访问方式泄漏出去。目前此功能模块主要给终端用户下发敏感数据泄漏防护策略及给终端下发扫描任务。

实例操作

下面以下发检测规则：关键字1与身份证正则同时匹配或匹配关键字2，响应规则：阻断的终端策略。

基础配置策略

1. 点击“敏感数据泄漏防护-基础配置策略”

2. 点击新增，输入策略名称、描述，设置响应模式：直接响应；设置通道，点击确定后新建成功

3. 用户或部门下发基础配置策略

创建检测规则

目前终端检测规则包含：正则表达式、关键字、文件属性（大小、类型、名称）、指纹、确切数据匹配；

1. 点击“敏感数据泄漏防护-检测规则管理”；

2. 点击新增，先创建关键字1检测规则，如图：

配置类型：大小写敏感（即区分关键字中的大小写），大小写不敏感（不区分关键字中的大小写，如设置“大小写敏感”即关键字为：EST亿赛通，则当发送数据中信息为：est亿赛通，则不匹配）

关键字对：指将关键字“亿赛通测试01”拆分为两部分，两部分直接可插入其他信息匹配，目前支持插入内容为：100字节。

匹配全部关键字：

完全匹配，选择此项表示为：必须精确匹配；

非完全匹配，表示为：支持模糊关键字匹配，即如果数据为“亿赛通，测试团队01”也可匹配上“亿赛通测试01”。

3. 点击确定，检测规则创建成功，且关键字设置为：亿赛通测试01；

4. 创建身份证正则，如图：

目前已内置了9个正则表达式：手机号、IP地址、邮箱、电话号码、身份证ID等,如果创建已有的正则规则，则选择预设匹配中对应规则即可，如果无预设正则，可在匹配框中输入对应的正则表达式。

5. 点击确定，身份证正则检测规则创建成功；

6. 再创建关键字2，与关键字1操作步骤一致。

创建检测规则组

检测规则组是对检测规则进行组合，同一个检测规则组内的检测规则表示需同时匹配，不同检测规则组则表示可任意匹配一个规则组。

此处需创建两个规则组，即规则组一包含：关键字1及身份证正则；规则组二包含：关键字1。

1. 点击“敏感数据泄漏防护-检测规则组管理”；

2. 新增检测规则组织，如图：

此处如果需多个检测规则同时匹配，则在此添加多条规则；

规则阈值表示：匹配的次数；如关键字1发对外发送的数据中至少匹配1次，且需同时匹配身份证ID且需匹配至少两次。

3. 确定后，检测规则组一创建成功；

4. 检测规则组二创建步骤一致。

创建响应规则

目前响应规则支持：阻断、警告并允许用户选择是否阻断、告警、放行并记录；

1. 点击“敏感数据泄漏防护-响应规则组管理”；

2. 点击新增，在响应规则界面点击“添加响应操作”，如图：

3. 确定后，“阻断”响应规则创建成功。

创建DLP策略

此功能主要是将相应检测规则采取相应的响应规则进行对应。

1.点击“敏感数据泄漏防护-DLP策略列表”；

2.点击新增，输入策略名称、优先级，选择此策略触发的严重性等级；选择检测规则、响应规则，如图：

支持添加检测例外规则，例外检测规则创建与检测规则的创建步骤一致。

多条检测组之间是或的关系，则表示任意匹配一个检测规则组，则匹配此策略

此处检测规则例外表示：如果匹配例外检测内容，则无论是否匹配检测规则，此处到不做任何响应处理，直接放行，不记录事件。

此处也支持添加局部应用白名单，白名单包括：进程白名单、IP白名单。默认情况下是客户端都执行黑名单，即全部进程、全部IP段终端都进行防护控制。

此处白名单创建参见：其他模块-业务基础库-名单管理。

3.确定后，“关键字1与身份证正则同时匹配或匹配关键字2，响应规则：阻断” 的策略创建完成。

策略应用


9. 新增应用，在添加管理策略界面中，选择策略类型为： DLP策略，在策略列表中勾创建的终端策略及应用的对象，如图：

创建DLP策略时关联多个检测规则组或一个检测规则组关联多个检测规则。检测规则组内规则是同时匹配（与的关系）、检测规则组与组直接是匹配任意一个（或的关系）。


通知终端更新策略



13. 客户端接收到消息后，自动向服务器获取策略。

策略应用查询

列表界面支持多种查询方式：

1. 支持点击，根据具体查询条件进行查询；

2. 也支持选择显示方式，按：组、用户、扫描任务、服务进行分类应用显示。

终端任务扫描

终端扫描是指对于终端磁盘文档进行扫描形成事件，记录终端违规文档并进行审计。下发扫描任务前，需先配置策略并将策略推送到终端。

操作流程

实例操作

下面以下发检测规则：关键字1与身份证正则同时匹配及例外关键字2，响应规则：阻断的终端策略。

5.2.2.1 创建检测规则


1. 点击“终端敏感数据泄漏防护-检测规则管理”；

2. 点击新增，先创建关键字1检测规则，如图：






3. 点击确定，检测规则创建成功，且关键字设置为：亿赛通测试01；

4. 创建身份证正则，如图：

目前已内置了5个正则表达式：手机号、IP地址、邮箱、电话号码、身份证ID,如果创建已有的正则规则，则选择预设匹配中对应规则即可，如果无预设正则，可在匹配框中输入对应的正则表达式。

5. 点击确定，身份证正则检测规则创建成功；

6. 再创建关键字2，与关键字1操作步骤一致。

5.2.2.2 创建检测规则组

检测规则组是对检测规则进行组合，同一个检测规则组内的检测规则表示需同时匹配，不同检测规则组则表示可任意匹配一个规则组。

此处需创建两个规则组，即规则组一包含：关键字1及身份证正则；规则组二包含：关键字1。

1. 点击“终端敏感数据泄漏防护-检测规则组管理”；

2. 新增检测规则组织，如图：


规则阈值表示：匹配的次数；如关键字1发对外发送的数据中至少匹配1次，且需同时匹配身份证ID且需匹配至少两次。

3. 确定后，检测规则组一创建成功；

4. 检测规则组二创建步骤一致。

5.2.2.3创建响应规则

目前响应规则支持：阻断、警告并允许用户选择是否阻断、告警、放行并记录；

1. 点击“终端敏感数据泄漏防护-响应规则组管理”；

2. 点击新增，在响应规则界面点击“添加响应操作”，如图：

3. 确定后，“阻断”响应规则创建成功。

5.2.2.4创建DLP策略

此功能主要是将相应检测规则采取相应的响应规则进行对应。

1. 点击“终端敏感数据泄漏防护-DLP策略列表”；

2. 点击新增，输入策略名称、优先级，选择此策略触发的严重性等级；选择检测规则、响应规则，如图：

再选择例外规则组二（关键字2），如下：

再选择阻断响应规则，如下：

支持添加检测例外规则，例外检测规则创建与检测规则的创建步骤一致。

此处检测规则例外表示：如果匹配例外检测内容，则无论是否匹配检测规则，此处到不做任何响应处理，直接放行，不记录事件。

此处也支持添加局部应用白名单，白名单包括：进程白名单、IP白名单。默认情况下是客户端都执行黑名单，即全部进程、全部IP段终端都进行防护控制。

此处白名单创建参见：其他模块-业务基础库-名单管理。

3. 确定后，“关键字1与身份证正则同时匹配或匹配关键字2，响应规则：阻断” 的策略创建完成。

4. 点击“用户与终端管理-策略应用”，新增应用，在添加管理策略界面中，选择策略类型为： DLP策略，在策略列表中勾创建的终端策略及应用的对象。

5. 在列表界面点击。

5.2.2.5新建扫描任务

1. 点击“敏感数据发现管控-扫描管理”；

2. 点击新增，在新建扫描任务界面，点击“客户端实时扫描”，如图：

3. 弹出客户端实时扫描界面，如图：

4. 扫描范围分为：全部、自定义。自定义可设置用户组和用户，设置的用户组和用户是在DLP策略应用时选择的用户组和用户，具体设置如下。

设置组方法：

1）、点击自定义，在弹出界面中点击请选择要推送的组，如图：

2）、点击添加，在界面中勾选单个或多个用户组，如图：

3）、点击确定，所选定用户组在编辑框中显示，点击保存后，用户组设置完成。

设置用户方法：

1）、点击自定义，在弹出界面中点击请选择要推送的人，如图：

2）、点击添加，在界面中勾选单个或多个用户，如图：

3）、点击确定，所选定用户在编辑框中显示，点击保存后，用户设置完成。

5. 设置扫描目录、上报频率、扫描模式、是否开启策略中响应规则，如图：

扫描文件如被标密或加密，设置“是否开启策略中的响应规则”为：开启，如图：

6. 点击下一步，弹出添加关联策略界面中，点击添加，弹出界面中勾选相应策略，点击确定，如图：

7. 点击确定后，扫描任务新建完成。

创建扫描任务下发的策略、关联的用户或组，必须在策略应用列表中已存在对于关系。

5.2.2.6启动终端扫描任务

1. 点击开始下发按钮，弹出确定窗口，点击确定户，终端扫描任务下发成功，客户端开始进行扫描。

5.2.2.7扫描任务查询

支持点击，根据具体查询条件进行查询；

回家办公

回家办公支持用户采用U 盘客户端进行离线办公。此章节主要介绍如何给终端用户下发回家办公策略、如何制作及使用。

此章节策略配置、应用均采用sysAdmin用户操作。

操作流程

功能说明

新建回家办公策略，推送策略给用户或部门，终端用户具备权限安装U 盘客户端，支持在无加密客户端的终端上对密文文档进行操作。

实例操作新建组织结构

1. 点击用户及终端管理；

2. 新建组织结构、用户；

设置密钥

具体操作参考安全密钥管理章节

新建加密策略

1. 点击“文档安全管控-加密策略管理”；

2．点击新增，输入策略名称、策略描述，点击确定，进入策略详细配置界面，如图：

3. 下拉框中选择加解密密钥，如图：

4. 点击引用策略库，在界面中选择办公类策略组，下拉框中策略类型：透明加解密_半透明，如图：

5. 点击确定，如无需下发其他辅助策略，则点击保存并使策略生效

新建回家办公策略

1. 点击“文档安全管控-回家办公-策略管理”；

2. 点击新增按钮，输入策略名称、启用回家办公、引用U盘加解密、默认密码、默认离线时长、最大离线时长。显示如图：

U盘加解密策略是引用加密策略，加密策略中的所有策略必须是半透明策略。

客户端制作U盘客户端时，登录密码、离线时长是默认获取策略里的默认密码、默认离线时长

策略应用

1．点击“用户与终端管理-策略应用”；

2. 新增应用，在添加管理策略界面中，选择策略类型为：回家办公策略，在策略列表中勾创建的回家办公策略及应用的对象，如图：





3. 客户端接收到消息后，自动向服务器获取策略

终端操作

1. 有制作权限用户登录客户端，在终端机器插入U 盘，打开主面板

2. 点击回家办公，弹出U 盘客户端安装界面，如图所示：

使用者：默认登录客户端用户，支持手动修改

登录密码：默认回家办公策略里的默认密码，密码明文显示，支持手动修改

离线时长：默认回家办公策略里的默认离线时长，支持手动修改，离线时长必须小于等于回家办公策略里的最大离线时长

3．点击制作按钮，制作成功后，弹出成功提示，如图：

4. U盘制作成功的信息在U盘信息管理中产生相应记录，记录U盘ID、容量、品牌、使用者、制作人、制作时间、离线时长、客户端ID，如图：

5. 将U 盘插入未安装DSIP客户端的机器上，打开 U盘，双击回家办公.exe，弹出登录界面，如图所示：

6. 输入正确的密码，则成功登录，登录成功后可正常操作密文。

用户名默认是制作回家办公时的使用者，无法修改。

密码是制作回家办公时的登录密码。

离线时长

1. 点击“文档安全管控-回家办公-U盘信息管理”；

2. 选择U盘信息，点击导出离线补时及加解密策略按钮，如图所示：

3. 输入离线时长，点击导出，导出离线补时文件

4. U盘客户端点击离线时长导入按钮，在界面中选择离线补时文件，点击确定，离线文件导入成功。离线时长采用覆盖方式。离线时长小于8小时，每隔30分钟提示一次。如图所示：

离线时长采用覆盖方式。

离线时长小于8小时，每隔30分钟提示一次。

离线时长导入需验证，非对应Uid不允许导入；同一离线补时文件，只允许导一次

终端端口管控

终端端口管控是指对终端用户计算机各端口进行管控（如：开启、关闭）；开启的端口可正常根据策略防护进行使用，关闭的端口则不允许使用。支持控制的端口有：WIFI 接口、蓝牙设备、红外设备、1394火线、光驱、串口、软驱、调制解调器、并口、USB 移动存储设备、MTP设备、PCMCIA、网络共享。


操作流程

实例操作

新建组织结构不在详细描述。

创建策略

1）点击“终端端口管控-端口管理策略”；

2）添加，输入策略名称、策略描述；

3）设置各端口状态，默认都开启，开启状态各端口正常使用，如图：

策略应用

1）点击“用户与终端管理-策略应用”

2）新增应用，在添加管理策略界面中，选择策略类型为：端口管控策略，在策略列表中勾选刚创建的端口管控策略，如图：

3）再选择相应的应用对象；

4）关闭窗口后，策略应用成功下发到设置的用户组或用户所在的客户端；

5）用户登录客户端，插入U 盘或移动硬盘，不支持识别；其他端口设备正常使用。

端口状态修改后，客户端需重启机器方可生效。

全盘加密管控

全盘加密管控是指对终端机器硬盘进行加解密，主要用于防止在计算机丢失或失窃后硬盘数据的泄密，她不改变用户使用计算机的习惯，除在每次启动计算机时需输入加解密硬盘数据的密码外，用户在正常使用计算机的情况下无感觉全盘加密的存在。

此章节策略创建、应用均采用sysAdmin用户操作。

操作流程

功能说明

主要介绍如何配置加密密钥、密钥分配。

加密密钥主要用于给数据密钥进行加密，每个终端执行全盘加密时，会生成一个数据密钥。

实例操作

新建组织结构不在详细描述。

创建密钥及分配


创建超级密码

超级密码主要用于终端用户在加密磁盘后，后续重新操作系统进入系统前忘记本身客户端登录用户密码时，可采用超级密码进入系统。

1）点击“全盘加密管控- FDE 超级密码”；

2）点击新增，输入密码名称及密码信息，如图：

3）确定后，超级密码创建成功。

此超级密钥在终端机器全盘加密后，重启机器进入系统前可使用的超级密码，此超级密码对应的超级用户名为：sysadmin。

创建FDE策略包

FDE 策略包主要包含：全盘加密、全盘解密两个策略；但每个全盘加密策略可以关联不同的超级密码，且每个全盘加密、解密策略可以下发给不同的用户或部门。一个用户或部门同一时间只能下发加密、解密中一种策略。

1）点击新增，创建全盘加密策略，关联创建的“FDE 超级密码”，如图：

2）确定后全盘加密策略包创建成功。

此处“初始化包括空闲空间的所有扇区（初始化速度慢，但更安全）”启用表示：磁盘加密时对整个硬盘进行加密；不启用表示：加密时只加密已经存在数据的扇区，空扇区暂不加密，在磁盘数据变动时再进行加密。

全盘解密策略创建类似，只是解密策略无需管理超级密码。

策略应用

1）点击“用户与终端管理-策略应用”；

2）新增应用，在添加管理策略界面中，选择策略类型为：FDE策略，在策略列表中勾选创建的全盘加密策略，选择关联对象，如图：

3）关闭窗口，返回的策略应用列表界面，点击“通知终端更新策略”，策略下发给终端用户。

终端磁盘加密

终端登录已下发磁盘加密策略的用户，登录后，获取到全盘加密策略，开始进行加密。

加密过程中，将上报加密信息到平台，在“日志和报表管理-日志管理-全盘加密管控”中显示终端加密状态信息；终端每加密5%则上报一次结果。加密完成后，显示终端状态为已加密。

介质管控

介质管控是对介质访问控制、终端注册授权、介质注册授权、介质使用权限控制、介质使用安全审计进行控制。


专用介质注册操作流程

功能说明

有注册权限策略的用户有权限注册专用介质。专用介质注册分为审批和不审批两种方式。注册后的专用介质在有客户端情况下，介质权限以策略为主；在无客户端情况下，禁止使用专用介质。

实例操作

下面以需审批注册为例。

新建组织架构

1）点击用户及终端管理；

2）新建组织结构、用户；

流程审批设置

1. 点击“流程审批管理-模版管理-模版设置”；

2. 勾选注册介质申请，点击模板设置，设置审批层级，点击保存，如图：

3. 勾选注册介质申请，点击流程设置，设置会签基数，点击保存，如图：

4. 点击添加审批员，在添加界面点击添加按钮，勾选添加的用户，点击确定，如图：

5. 默认审批员范围为本组。自定义设置范围方法为：勾选自定义，在弹出界面中添加审批范围，点击确定，如图：

介质策略

1. 点击“介质管控-介质策略管理”；

2. 点击新增，在弹出界面中输入策略名称、策略描述，设置普通介质、签名介质、专用介质权限；勾选注册专用介质需审批，点击确定，策略新建成功。如图：

介质使用权限：

禁用：表示不允许此类型介质使用

只读：表示只允许对此类型介质进行只读，不允许写入

读写：表示可对此类型介质进行读与写

介质注册审批：

专用介质及签名介质禁止注册：选择此设置的策略下发用户后，不允许用户注册介质

注册专用介质需审批：选择此设置的策略下发用户后，用户注册介质需等审批员审批通过后方完成介质注册功能

注册专用介质不需审批：此设置一般下发给特权用户，用户注册专用介质无需管理员审批

离线设置：

文件审计设置为否：向介质拖拽、拷贝粘贴、新建文件不上传到服务器进行审计。

文件审计设置为是：向介质拖拽、拷贝粘贴、新建文件上传到服务器进行审计。审计文件可下载到本地。

阀值文件个数：用户离线登录向介质中拷贝文件最大数。

阀值：用户离线登录向介质拷贝文件大小总和的最大值。

符号阀值时是否能继续拷贝设置为否：用户离线登录，向介质中拷贝的文件个数或阀值，只要其一超过设置的最大值，介质状态变成只读，禁止向介质拷贝文件；

设置为是：用户离线登录，向介质中拷贝的文件个数或阀值，只要其一超过设置的最大值，也能正常向介质拷贝文件。

策略应用


2. 新增应用，在添加管理策略界面中，选择策略类型为：介质策略，在策略列表中勾创建的终端策略及应用的对象，如图：






策略应用查询




介质注册

1. 有策略用户登录客户端，右键点击打开主界面，如图：

2. 点击“介质管控”，在弹出界面，点击获取介质ID，显示介质ID、介质名称、制作者信息，输入介质描述，勾选专用介质，点击介质注册，如图：

4. 客户端弹出冒泡提示，弹出注册成功提示框，如图：

5. 点击确定后，显示状态信息：磁盘成功注册，如图：

有策略用户允许注册专用介质。

无策略用户禁止注册专用介质。

专用介质注册分审批和不审批两种。

注册不审批：填写介质信息，直接注册成功。

注册审批：填写介质信息，审批员审批通过后，专用介质才注册成功。

审批员审批

1. 流程审批设置的管理员登录服务器，点击“流程审批管理-审批管理-代办任务”，选择需要审批的记录，点击办理，如图：

2. 在弹出界面中，勾选同意，点击确定，审批通过，专用介质正常使用；点击驳回，审批不通过，专用介质无法使用。

介质使用

1. 用户登录客户端，重新插入注册的专用介质，根据策略，客户端弹出用户对该专用介质的使用权限，如图：

2. 介质权限为读写，用户可以对专用介质进行复制、拖拽、新建文件，保存成功。

介质权限为只读，用户对专用介质里的文件具有阅读权限，无法保存。

介质权限为禁用，用户对专用介质无法进行操作。

有客户端情况下，有策略用户使用专用介质，权限按介质策略使用。

无客户端情况禁止使用专用介质。

签名介质

具有注册权限且是介质审批员才有权限进行签名介质注册。签名介质注册不需要审批。注册后的签名介质在有客户端环境下，介质权限以下发的策略为主；在无客户端环境下，签名介质可正常读写，有客户端环境无论在线或离线均已当前介质策略为。

操作流程

实例操作9.2.2.1新建组织架构

1) 点击用户及终端管理；

2) 新建组织结构、用户；

9.2.2.2新建审批员





9.2.2.3介质策略


2. 点击新增，在弹出界面中输入策略名称、策略描述，设置普通介质、签名介质、专用介质权限；点击确定，策略新建成功。如图：

只有注册申请流程中的审批员有权注册签名介质

注册签名介质不需要审批

9.2.2.4策略应用


2. 新增应用，在添加管理策略界面中，选择策略类型为：介质策略，在策略列表中勾创建的终端策略及应用的对象，如图：


9.2.2.5通知终端更新策略




9.2.2.6策略应用查询




9.2.2.7介质注册

1. 注册介质申请流程中设置的审批员登录客户端，右键点击打开主界面，如图：

2. 点击“介质管控”，在弹出界面，点击获取介质ID，显示介质ID、介质名称、制作者信息，输入介质描述，勾选签名介质，点击介质注册，如图：

注册介质申请流程中设置的用户才允许注册签名介质。

9.2.2.8介质使用

1. 用户登录客户端，重新插入注册的签名介质，根据策略，客户端弹出用户对该签名介质的使用权限，如图：

2. 介质权限为读写，用户可以对签名介质进行复制、拖拽、新建文件，保存成功。

介质权限为只读，用户对签名介质里的文件具有阅读权限，无法保存。

介质权限为禁用，用户对签名介质无法进行操作。

有客户端情况下，有策略用户使用签名介质，权限按介质策略使用。

有客户端情况下，无策略用户使用签名介质，具有读写权限。

无客户端情况下使用签名策略，与普通U盘一样，具有读写权限。

安全介质注册操作流程

功能说明

有注册权限策略的用户有权限注册安全介质。安全介质注册分为审批和不审批两种方式。注册后的安全介质在有客户端情况下，介质权限以策略为主；在无客户端情况下，禁止使用安全介质。

实例操作

下面以需审批注册为例。

9.3.3.1新建组织架构

1) 点击用户及终端管理；

2) 新建组织结构、用户；

9.3.3.2流程审批设置





5. 默认审批员范围为本组。自定义设置范围方法为：勾选自定义，在弹出界面中添加审批范围，点击确定，如图：

9.3.3.3介质策略


2. 点击新增，在弹出界面中输入策略名称、策略描述，设置普通介质、签名介质、专用介质权限；勾选注册专用介质需审批，点击确定，策略新建成功。如图：

介质使用权限：

禁用：表示不允许此类型介质使用

只读：表示只允许对此类型介质进行只读，不允许写入

读写：表示可对此类型介质进行读与写

介质注册审批：

安全介质使用专用介质设置项。

专用介质及签名介质禁止注册：选择此设置的策略下发用户后，不允许用户注册介质

注册安全介质需审批：选择此设置的策略下发用户后，用户注册介质需等审批员审批通过后方完成介质注册功能

注册专用介质不需审批：此设置一般下发给特权用户，用户注册安全介质无需管理员审批

离线设置：

文件审计设置为否：向介质拖拽、拷贝粘贴、新建文件不上传到服务器进行审计。

文件审计设置为是：向介质拖拽、拷贝粘贴、新建文件上传到服务器进行审计。审计文件可下载到本地。

阀值文件个数：用户离线登录向介质中拷贝文件最大数。

阀值：用户离线登录向介质拷贝文件大小总和的最大值。

符号阀值时是否能继续拷贝设置为否：用户离线登录，向介质中拷贝的文件个数或阀值，只要其一超过设置的最大值，介质状态变成只读，禁止向介质拷贝文件；

设置为是：用户离线登录，向介质中拷贝的文件个数或阀值，只要其一超过设置的最大值，也能正常向介质拷贝文件。

9.3.3.4策略应用


2. 新增应用，在添加管理策略界面中，选择策略类型为：“介质策略”，在策略列表中勾创建的终端策略及应用的对象，如图：


9.3.3.5通知终端更新策略




9.3.3.6策略应用查询




9.3.3.7介质注册

1. 有策略用户登录客户端，右键点击打开主界面，如图：

2. 点击“介质管控”，在弹出界面，点击获取介质ID，显示介质ID、介质名称、制作者信息，输入介质描述，勾选“安全介质（推荐）”，点击介质注册，如图：

3. 客户端弹出冒泡提示：

弹出提示后点击“是”将对USB存储设备进行格式化，不会保留设备中的数据。

当USB存储设备分区不符合要求时不能注册成功，需要点击“介质格式化”按钮处理，格式化成功后重新插拔即可注册成功。

4. 介质注册中，如图所示：

5. 客户端托盘处弹出冒泡提示，弹出注册成功提示框，如图：

6. 点击确定后，显示状态信息：磁盘成功注册。

有策略用户允许注册安全介质。

无策略用户禁止注册安全介质。

安全介质注册分审批和不审批两种。

注册不审批：填写介质信息，直接注册成功。

注册审批：填写介质信息，审批员审批通过后，安全介质才注册成功。

9.3.3.8审批员审批

1. 流程审批设置的管理员登录服务器，点击“流程审批管理-审批管理-代办任务”，选择需要审批的记录，点击办理，如图：

2. 在弹出界面中，勾选同意，点击确定，审批通过，安全介质正常使用；点击驳回，审批不通过，安全介质无法使用。

9.3.3.9介质使用

1. 用户登录客户端，重新插入注册的安全介质，根据策略，客户端弹出用户对该安全介质的使用权限，如图：

2. 介质权限为读写，用户可以对安全介质进行复制、拖拽、新建文件，保存成功。

介质权限为只读，用户对安全介质里的文件具有阅读权限，无法保存。

介质权限为禁用，用户对安全介质无法进行操作。

有客户端情况下，有策略用户使用安全介质，权限按介质策略使用。

无客户端情况禁止使用专用介质。

无客户端的情况下，禁止使用安全介质隐藏空间部分，不显示安全介质隐藏空间部分。

介质授权

介质授权是对已经注册完成的专用介质进行授权，只有授权的用户或部门允许使用该介质，介质权限按策略使用。

实例操作9.4.1.1 介质授权

1. 点击“介质管控-介质授权”，点击新增，在弹出介质中，选择已注册完成的专用介质，如图：

2. 点击添加，在弹出界面中选择授权的部门，点击确定，如图：

3. 点击应用介质授权,介质授权设置完成。

8.4.1.2 介质使用

1. 授权人员登录客户端，重新插入专用介质，根据策略，客户端弹出用户对该专用介质的使用权限，如图：

2. 介质权限为读写，用户可以对介质进行复制、拖拽、新建文件，保存成功

介质权限为只读，用户对介质里的文件具有阅读权限，无法保存

介质权限为禁用，用户对介质无法进行操作

未授权的用户禁止使用授权专用介质。

黑白名单

策略设置注册专用介质需流程审批，白名单用户注册专用介质，自动注册成功，无需审批；黑名单用户注册专用介质，自动审批不通过，注册失败。

实例操作9.5.1.1设置白名单

1. 点击“流程审批管理-审批管理-黑白名单”；

2. 点击添加白名单，在弹出界面，单击用户名，在弹出界面中选择用户，点击确定，如图：

3. 流程名称下拉框选择注册介质申请，点击确定，如图：

9.5.1.2白名单用户注册

白名单用户登录客户端，注册专用介质，直接注册成功。

9.5.1.3设置黑名单

1. 点击“流程审批管理-审批管理-黑白名单”；

2. 点击添加黑名单，在弹出界面，单击用户名，在弹出界面中选择用户，点击确定，如图：

3. 流程名称下拉框选择注册介质申请，点击确定，如图：

9.5.1.4 黑名单用户注册

黑名单用户登录客户端，注册专用介质，直接审批不通过。重新插入U盘，U盘禁止使用。

托管管理

托管管理是审批员因出差或其他原因无法进行介质审批，委托代理人在一段时间内进行审批。审批员审批范围内的用户提交的专用介质申请，在委托代理人的代办任务中显示。

实例操作9.6.1.1设置托管审批人员

1. 流程审批员登录服务器，点击“流程审批管理-审批管理-托管设置”，点击新增，如图：

2. 单击代理人编辑框，在弹出界面中，点击添加，弹出组织架构，勾选需设置的人员，点击确定，如图：

3. 设置代理审批的开始时间、结束时间，下拉框中选择审批流程，点击确定，委托代理设置完成。如图：

9.6.1.2 审批

1. 审批员审批范围内的用户登录客户端，进行专用介质注册，如图：

2. 代理人登录服务器，点击“审批管理-代办任务”，选择需审批的任务，进行审批，如图：

离线补时

离线补时主要为用户设置离线补时文件，离线补时采用覆盖模式。

实例操作

新建组织结构不再详细描述。

9.7.1.1离线补时文件

1.点击“用户与终端管理-终端-离线补时管理”；

2.点击新增，在弹出界面中输入补时时长、校验密码、选择需要导入离线补时文件的终端，校验密码在客户端导入补时文件时需输入，只有输入正常的校验密码，补时文件才允许导入。如图：

3.点击导出补时文件，保存补时文件。

9.7.1.2 导入补时文件

1.用户登录客户端，右键点击客户端图标，在菜单中选择补时导入，如图：

2.在弹出界面，选择补时文件，输入正确的校验密码，点击导入，提示导入成功，如图：

透明加密

本章主要介绍如何给终端下发透明加密、半透明加密、全盘加解密、钩子控制、水印控制、打印控制、高级权限控制、网络管控策略。


操作流程

功能说明

主要介绍如何配置透明加密、统一控制、任务初始化控制、水印控制、打印控制、

网络控制、高级权限控制、密钥应用策略、邮件白名单、文件备份控制、工作模

式控制。

加密控制主要是设置透明加解密策略、半透明策略、NDIS策略。

统一控制策略主要是设置钩子的控制，主要包括：拷贝控制、另存为、截屏控制、

控制截屏密级数。

任务初始化控制主要是对磁盘中设置的文件类型进行全盘加密或解密。支持对压

缩包进行穿透加密、解密。也支持对设置白名单目录中的文件不加密或不解密。

打印控制主要是设置允许打印、禁止打印。

水印控制主要是设置屏幕水印、文档水印、打印水印的内容及显示格式。

高级权限控制主要是设置特权加密、特权解密、备份还原工具开启或关闭。

网络控制主要与准入网关配置使用。

统一控制内控制截屏密级数是对明文密级文件截屏控制。必须开启截屏控制开关，

控制截屏密级数才生效。小于等于密级数的明文密级文件，不允许截屏。

密钥应用策略内主要是设置智能秘钥模式和添加引用秘钥列表，开启智能秘钥模

式，用户可打开引用秘钥内秘钥创建的加密文档；

邮件白名单主要是设置源地址白名单和目的地址白名单，添加并开启源地址白名

单时，使用源地址白名单发送邮件，密文附件解密发送；添加并开启目的地址白

名单时，向该目的地址白名单发送邮件时，密文附件解密发送，不是目的白名单

的收到的文档不解密。

文件备份控制内主要包括远程备份和本地备份；远程备份可设置根据备份周期及

时间、文件类型设置进行备份；本地备份可根据文件类型进行备份，本地备份内

可设置硬盘容量进行预警；

工作模式控制主要是控制在相应时间段内是否允许客户端用户进行明密文模式切

换；

实例操作设置密钥


配置策略10.3.2.1新建策略

1.点击“文档安全管控-加密策略管理”，如图：

2.点击新增，输入策略名称、策略描述，点击确定，进入策略详细配置界面，如图：

10.3.2.2加密控制

1.下拉框中选择加解密密钥，如图：

2. 点击引用策略库，在界面中选择策略组：Default策略组，如图：

3.点击引用策略库，在界面中选择办公类策略组，下拉框中策略类型：透明加解密_标准（或者透明加解密_半透明），如图：

4.勾选需下发关联类型记录，点击确定，如图：

5.如无需下发其他辅助策略（初始化策略、统一控制策略、网络策略），则点击保存并使策略生效；如需再下发其他策略，则继续操作

10.3.2.3网络控制

1.在编辑策略界面中，点击网络控制，如图：

2.选择密钥，此密钥与准头网关密钥一致，tdi转入控制开关为开启，如图：

3.点击新增，选择协议，策略类型为PROXY，输入进程名称，网关ip、网关端口、如图：

此功能需与准入网关配合使用

IP详情主要用于设置网关IP，端口详情主要用于设置网关端口

此策略配置是指：只允许通过IE进程访问http://192.168.4.234:8888服务；IP:192.168.4.234及端口8888跳转的IP及端口在EGM上做配置

4. 点击保存并使策略生效；如需再下发其他策略，则继续操作。

10.3.2.4任务初始化控制

1. 在编辑策略界面中，点击任务初始化控制，如图：

2.进行详细设置，点击保存。如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发其他策略，则继续操作。

压缩包穿透加、解密开启后，压缩包里的文件加、解密，压缩包本身不加、解密，文件类型设置压缩包类型

目录白名单：设置白名单目录中的文件类型不加解密

10.3.2.5统一控制

1.在编辑策略界面中，点击统一控制，设置拷贝控制、拖拽控制、另存、插入控制、连接控制、截屏控制开启或关闭，输入控制截屏密级数，点击保存，如图

2．如需设置黑白名单进程，点击例外设置，设置例外进程

【例外设置】详解如下：

【拷贝控制】：

1）关联进程例外设置：关联进程内容拷贝至其他任意进程时均不受控；

2）非关联进程例外设置：关联进程内容拷贝至该非关联进程时不受控；

上述控制基础上，均可设置允许拷贝字节数控制，默认任意字节。

【拖拽控制】：

1）关联进程例外设置：关联进程内容拖拽至其他任意进程时均不受控；

【另存为控制】：

1）关联进程例外设置：关联进程执行另存时客户端不强制加密控制；

【插入控制】：

1）关联进程例外设置：关联进程执行对象插入或被插入时均不受控；

【连接控制】：

1）关联进程例外设置：关联进程执行网络连接时不受控；

【截屏控制】：

1）【截屏控制】一旦开启，默认所有截屏软件均禁止截屏。

2）关联进程例外设置，如设置excel进程，可以截取excel密文文件；

3）非关联进程例外设置，如设置QQ进程，通过QQ可以进行截屏；

3.点击保存，如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发其他策略，则继续操作。

必须开启截屏控制开关，控制截屏密级数才生效

控制截屏密级数是控制明文密级文件截屏

文档密级管理-密级管理中，绝密的密级为1，机密的密级数2，公开的密级为3。设置控制截屏密级数为2，结果为<=2的密级不允许截屏，也就是说，密级为绝密、机密的明文文档不允许截屏，密级为公开的明文文档允许截屏。

10.3.2.6水印控制

1. 在编辑策略界面中，点击水印控制，设置smartSec、DRM阅读浮水印（屏幕水印、文档水印）、打印浮水印，如图

2.设置详细信息，点击保存，如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发其他策略，则继续操作。

10.3.2.7打印控制

在编辑策略界面中，点击打印控制，打印权限设置区内打印控制分成两种模式：禁止打印、允许打印，如图：

1）设置禁止打印，打开含有密文进程的文档无法打印，提示禁止打印

2.选择允许打印，打印控制界面如下图：

1）打印审计设置关闭：客户端内正常打印明密文，日志和报表管理—日志管理—打印

审计日志内没有相应的打印记录；

2）打印审计设置开启：客户端内打印密文文档会上报相应的打印记录，如图：

3.点击保存，如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发策略，则继续操作。

10.3.2.8高级权限控制

1. 在编辑策略界面中，点击高级权限控制，设置特权加密、特权解密开关、备份

还原工具开关，如图：

1）开启特权加密，特权解密，下发策略后，客户端右键文档出现特权加密、特权解密，如下图:

客户端用户通过该选项对密文文件进行解密操作，对明文文件进行加密操作；服务器端关闭特权加解密，客户端内右键加解密管理菜单消失；

2）开启备份还原工具开关，客户端内进入主界面，点击文档管控,如下图：

点击备份工具，进入本地备份还原界面，如下图：

此界面内可以看到本地备份的文件，可以对本地备份的文件进行还原、删除的操作；

关闭备份还原工具开关，客户端文档管控界面内点击备份，提示“暂未开启备份还原使用权限，请联系管理员”，如下图：

2.设置信息后，点击保存，如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发其他策略，则继续操作。

特权加密：右键直接对明文进行加密

特权解密：右键直接对密文进行解密

10.3.2.9 多秘钥应用策略

1.在编辑策略界面，点击多密钥应用策略,如下图：

透明加解密主密钥：加密控制内透明加解密密钥一致；智能密钥模式：控制多密钥生效

的开关；

若加密控制内透明加解密密钥修改为single012，如下图：

则密钥应用策略内显示为：

界面内透明加解密主密钥更新为single012，之前主密钥test显示在引用密钥列表内；

引用密钥列表内用户可通过引用密钥添加密钥，点击引用密钥：

界面内用户可根据密钥名称、创建人、密钥类型进行查询，密钥名称、创建人查询输入支

持模糊查；密钥类型支持自动创建和手动创建进行查询，如下图：

A用户透明加解密内主密钥为test，引用秘钥内从密钥如下图:

B用户（单密钥用户）透明加解密内主密钥为x80，如下图：

1） B用户创建的密文文档，A用户可以正常打开该文档；

2） B用户创建的文档A用户打开编辑后，该文档密钥变成A的主密钥，B用户不能打开;

3） A用户创建的密文文档，B用户不能打开；

10.3.2.10邮件白名单

1. 在编辑策略界面，点击邮件白名单,如下图：

2. 邮件白名单开关开启，界面显示如下图：

源地址白名单：此白名单中的邮件发送的邮件附件解密；

目的地址白名单：此白名单中的邮件收取邮件附件解密；

开启或关闭邮件白名单设置情况下，用户可在白名单列表内对邮件白名单进行新

增、删除、查询的操作：

点击新增：

用户在新增界面可以添加邮件白名单地址及邮件白名单概述，添加多个邮件白名

单地址时用“|”隔开；

用户选择单个或多个邮件白名单，点击删除，可对单个或多个邮件进行删除操作；

用户点击查询，可根据邮件白名单地址，邮件白名单描述进行查询，支持模糊查，

如下图：

例如，设置[email protected]为源地址白名单，发送密文文件到其它邮箱，其它邮箱

收到的文件为明文文件，能够正常打开；设置[email protected]为目的白名单，客户端环

境（foxmail/outlook）内发送密文到[email protected]目的邮箱和其它非目的地址邮箱，

[email protected]目的邮箱收到为明文文件，其它非目的地址邮箱收到的为密文；

10.3.2.11文件备份控制

1. 在编辑策略界面中，点击文件备份控制：

文件备份控制分为：远程文件备份、本地文件备份；默认为关闭状态；

1）开启远程文件备份

备份周期及时间：用户可根据月、周、天对远程文件备份开始点进行设置；

远程备份方式：

1> 完整备份：根据策略中配置的“文件类型”对计算机上的符合类型的

所有文档进行备份；

2> 增量备份：对新增和更改的文档进行备份；

文件类型设置：用户可设置需要远程备份的文件类型，如*.docx|*.doc|(数据必须以“|”结尾)；

2）开启本地文件备份

文件类型设置：用户可设置需要本地备份的文件类型，如*.docx|*.doc|(数据必须以“|”结尾)；

文件备份预警：当本地硬盘容量小于设置的备份文件预警时，客户端进行弹框提示；

10.3.2.12NDIS配置

1. 在编辑策略界面中，点击加密控制，如图：

2.ndis控制开关开启，在ndis控制页面中，点击新增按钮，输入详细信息，如图：

4. 点击确定，如无需下发其他辅助策略，则点击保存并使策略生效；如需再下发其他策略，则继续操作.

10.3.2.13工作模式控制

1. 编辑策略内容内点击工作模式控制进入工作模式切换界面,如图：

默认为关闭状态，关闭状态下客户端内不能进行明密文模式的切换；当工作模式的开启时，可控制在一段时间段内是否允许客户端用户进行明、密文模式的切换；

例如，服务器工作模式控制设置如下（客户端当前时间为周二，18点）：

2.客户端时间为周二，9点到22点时间段外客户端菜单右键打开主界面，进入文档管控界面，如图：

1）客户端内没有密文进程打开：密文模式切换到明文模式提示如下图：

点击确定，客户端进入明文模式，客户端对文档不进行管控，不能读取密文文档；

3）客户端内有密文进程打开：密文模式切换到明文模式提示如下图：

密文打开状态下，不能切换到明文，弹框内有打开的相应密文进程，若需切换成明文模式，请先关闭相应密文文档；

4）若当前客户端时间为8点30（客户端处于明文模式），半小时后会自动进入到密文模式；

2. 工作模式周期为周一、周二，9点到22点时间段内不允许用户切换成明文模式；客户端密文模式切换到明文模式，提示如下：

策略应用

1.点击“用户与终端管理-策略应用”

2.点击新增，在添加管理策略界面中，选择策略类型为：文档加密策略，在策略列表中勾选刚创建的加密策略，如图：

3.再选择关联的应用对象，点击应用策略关联；

4.策略应用应成功下发到设置的用户组或用户所在的客户端；


1.点击“用户与终端管理-策略应用”

2.在列表界面点击

3.客户端接收到消息后，自动向服务器获取策略

权限管理

介绍如何配置权限策略、设置权限模板、定制制作权限文件等。


TP模板操作流程

功能说明

支持权限模板创建、授权、修改；已创建并启用的权限模板在终端可根据模板进行授权，授权的文件权限在服务器统一控制；模板授权变更后终端相应模板创建的权限文档权限相应变更。

实例操作设置密钥


配置策略

1.点击“文档安全管控-加密策略管理”，如图：

2.点击新增，在界面中，输入策略名称，点击确定，进入策略详细配置界面，如图：

3. 点击引用策略库，在界面中选择策略组：Default策略组，如图：

4. 点击引用策略库，在界面中选择CDG权限管理策略组，勾选主控策略，点击确定，如图：

5.点击保存并使策略生效，策略配置完成。

6.策略应用具体操作方法请参考9.3.3策略应用

新建TP模板

1.点击“文档安全管控-权限文件管理-权限模版管理”，如图：

2.点击新增，输入模板名称、模板描述，点击保存，如图：

3.勾选已建TP模版，点击授权，在授权界面中添加用户、部门、全员，设置用户或部门权限，点击确定，如图：

4.点击通知终端

模板授权

1.从模板列表记录，选择创建的空模板记录，点击授权，如图：

2. 在授权界面中添加用户、部门、全员，设置用户或部门权限，点击确定，如图：

策略应用

1.点击列表中，下发给客户端TP模版，如图：

2.客户端更新模版。

终端使用TP模版制作

1.用户登录客户端，选择明文或密文文件，右键菜单中选择权限管理-加密授权-模版，如图：

2.在弹出界面中，右上方模板下拉框选择TP模板，还可以设置摘要，备份源文件，如图：

3.点击开始，文件开始制作权限文件，制作过程中有进度条显示，成功后，弹出成功制作窗口，如图：

4.文件被制作成后缀为dsm的权限文件，如图：

加密授权-定制功能说明

通过界面制作权限文件，设置用户、部门、用户级别权限。

实例操作12.2.2.1 设置密钥


12.2.2.2 配置策略

请参考11.1.3.2配置策略。

12.2.2.3 定制

1.用户登录客户端，选择已有的明文或密文，右键菜单中选择权限管理-加密授权-定制，如图：

2.在弹出界面中，添加用户、部门、级别，还可以设置摘要，备份源文件，如图：

3.设置添加用户、部门、级别权限，如图：

4. 点击开始，文件开始制作权限文件，制作过程中有进度条显示，成功后，弹出成功制作窗口，如图：

5.设置用户级别方法：

1)、点击“用户与终端管理-用户-级别管理”，如图：

2)、点击新增，在界面中输入级别名称、级别编码，点击保存，点击通知客户端，客户端更新，如图：

3）、点击“用户与终端管理-用户-用户管理”，点击新增，在用户界面中填写信息，在用户级别下拉框中选择级别，点击确定，用户新建成功，如图

设置用户、部门、级别，三者之间的关系是：用户高于级别，级别高于部门

12.2.2.4 本地模板

1.用户登录客户端，选择已有的明文或密文，右键菜单中选择权限管理-加密授权-定制，如图：

2.在弹出界面中，添加用户、部门、级别，设置权限，如图：

3.点击保存为模板，弹出界面中，输入模板名称，如图：

4.点击确定，模板保存成功，弹出模板保存成功提示框，如图：

5.再次通过定制制作权限文件时，直接选择模板制作，点击模板操作，在弹出界面中选择模板，如图：

模板其他按钮介绍：

1）、编辑：对已有模板的用户权限进行修改

2)、删除：对已有的模板进行删除，删除后模板无法使用

3)、追加：不用模板中的同一用户权限进行累加。

4)、覆盖：只显示当前模板中用户权限

12.2.2.5 权限申请

1. 点击“流程审批管理-模版管理-模版设置”，如图：

2.勾选权限申请，点击模板设置，设置流程审批层数，点击保存，如图：

3.勾选权限申请，点击流程设置，在界面中设置会签基数，添加审批员，设置审批员范围，设置后，点击关闭，如图：

4. 用户登录客户端，选中权限文件，右键菜单选择权限管理-权限申请，如图：

5.在弹出界面中，设置申请权限，默认审批员审批，也可以设置作者审批，点击提交，如图：

6.提交成功，弹出成功窗口，如图：

7.审批员或作者登录服务器，点击“流程审批管理-审批管理-代办任务”，如图：

8.选择审批记录，点击办理，在审批界面中，审批员查看用户申请的权限，申请人、文件内容等信息，可以直接审批，也可以通过单击编辑按钮，修改申请权限，如图：

9.审批员审批结果为同意，点击确定，审批通过，用户权限也随之改变；审批结果为驳回，审批后，用户权限不变。

作者无法进行权限申请

12.2.2.6 权限分发

1.具有分发、完全控制的用户登录客户端，选择权限文件，右键菜单中选择权限管理-定制文件权限分发，如图：

2.在弹出界面中，修改用户权限或新增用户、部门、级别设置权限，设置的权限应小于本身具有的权限，例如：用户郭林具有阅读、编辑、分发权限，郭林给其他用户权限为阅读、编辑，如图：

3.点击确定，弹出修改成功提示框，修改用户的权限变成最新权限，如图：

12.2.2.7 权限查看

1.有权限用户登录客户端，选中权限文件，右键菜单选择权限管理-定制文件权限，如图：

2.在弹出界面中显示用户权限、文件ID、文档作者，如图：

权限文件查询

1.点击“文档安全管控-权限文件管理-权限文件查询”，查看权限文件信息，如图：

2.在列表中选择文件，点击文档授权详情，查看文档授权信息，如图：

文档生命周期图

1.点击“文档安全管控-权限文件管理-权限文件查询”，如图：

2.在列表中选择文件，点击文档生命周期图，查看文档制作、打开、编辑、无权限信息，如图：

终端密级管控

介绍文档手动、自动标密；根据不同密级进行不同处理：加密、授权；根据不同密级文档、权限文件在不同外发途径时做不同响应处理。


文档标密、加密及权限文件功能说明

标密分为三种：自动标密、手动标密、扫描标密。自动标密是根据内容识别对文档进行标密。标密后文件根据实际情况进行加密和制作权限文件。

内容识别自动标密设置密钥


创建文档密级

1.点击“文档安全管控-文档密级管理-密级管理”，如图：

2.点击新增，在界面中输入密级名称，点击保存，新建成功，如图：

密级名称可以修改，密级已关联其他操作后则不允许删除

密级数字越小，密级越高

创建DLP策略


下面主要介绍关键字：

· 创建检测规则

1. 点击“敏感数据泄漏防护-检测规则管理”；

2. 点击新增，先创建关键字1检测规则，选择关键字匹配，输入关键字，如图：






3. 点击确定，检测规则创建成功。

· 创建检测规则组

1. 点击“敏感数据泄漏防护-检测规则组管理”；

2. 新增检测规则组织，选择检测规则，如图：


规则阈值表示：匹配的次数；如关键字1发对外发送的数据中至少匹配1次

3. 点击确定，检测规则组一创建成功。

· 创建响应规则

1. 点击“敏感数据泄漏防护-响应规则组管理”；

2. 点击新增，在响应规则界面，输入响应规则名称，点击添加响应操作，如图：

3. 在响应规则新增界面，选择响应操作为：文件标密，文件密级为：绝密，如图：

4. 点击确定，返回到响应规则新增界面；

5. 点击确定后，“标密为绝密”响应规则创建成功。

· 创建识别标密策略

1. 点击“敏感数据泄漏防护-DLP策略列表”；

2. 点击新增，输入策略名称、优先级，选择此策略触发的严重性等级，如图：

3. 点击“下一步”，选择检测规则组；

4. 再点击“下一步”到选择响应规则，选择：标密为绝密；

5. 点击确定，策略创建成功

策略应用

1.点击“用户与终端管理-策略应用”；

2.点击新增，在添加管理策略界面中，选择策略类型为： dlp策略，在策略列表中勾创建的终端策略及应用的对象，如图：

3.选择策略关联对象后，策略与对象关联创建成功。


1.点击“用户与终端管理-用户-策略应用”；

2.在列表界面点击；

3.客户端接收到消息后，自动向服务器获取策略。

自动标密

1.有策略用户登录客户端，新建word文件，输入敏感信息：亿赛通测试01，编辑保存，关闭文件。文档自动标密成绝密。

2.选中文档，右键属性显示密级，如图：

3.打开文档，文档左上方显示密级水印，如图：

手动标密

1.有策略用户登录客户端，选中明文，右键菜单中选择数据泄露防护系统-文档密级管理，如图：

2.在弹出界面中，下拉框选择密级，点击确定标密成功，如图：

3.右键属性中显示密级，打开文件左上方也显示密级

扫描标密

1.点击“敏感数据发现防护-扫描管理”如图：

2.点击新增-客户端实时扫描，在弹出界面中，输入扫描名称，设置扫描范围：研发部，扫描目录，如图：

扫描范围：表示任务下发启用后，扫描哪些终端用户；支持选择“全部”用户，或自定义选择对应的用户或部门用户

扫描目录：默认不输入的情况表示扫描全盘，如需扫描固定目录则可输入

3.点击下一步，在界面中，点击添加，选择关联策略，点击确定，任务新建成功，如图：

4.点击下发按钮，下发扫描策略，客户端更新策略，扫描目录中含有“亿赛通测试01“字样的文档自动标密，密级为绝密。

密级控制加密13.1.3.1 创建文档密级

参考11.1.3.1

13.1.3.2 创建TP模板

具体操作方法参考10.1.3.1、10.1.3.2、10.1.3.3、10.1.3.4、10.1.3.5

13.1.3.3 加密策略管理

半透明加密策略应用下发，具体操作方法参考9.3

必须下发CDG主控策略

13.1.3.4 创建DLP策略

DLP策略应用下发，具体操作方法参考11.1.3.2、11.1.3.3、11.1.3.4

在根据方法创建正则：手机号，响应规则标密为：机密

13.1.3.5 密级控制加密策略

1.点击“文档安全管控-文档密级管理-密级控制加密策略”，如图：

2.点击新增，在界面中，输入策略名称，如图：

3.绝密选择加密，机密选择权限模板加密，在弹出界面中，选择TP模板，如图：

4.点击保存，设置成功，如图：

13.1.3.6 策略应用

1.点击“用户与终端管理-策略应用”；

2.点击新增，在添加管理策略界面中，选择策略类型为：密级控制加密策略，在策略列表中勾创建的终端策略及应用的对象，如图：

3.选择策略关联对象后，策略与对象关联创建成功。

13.1.3.7 通知终端更新策略

1.点击“用户与终端管理-用户-策略应用”；

2.在列表界面点击；

3.客户端接收到消息后，自动向服务器获取策略。

13.1.3.8 自动加密/授权

1.有策略用户登录客户端，新建word文件，输入敏感信息：亿赛通测试01，编辑保存，关闭文件。文件自动加密变成密文

2.打开密文，文档左上方显示密级水印

3.新建word文件，输入敏感手机号，保存关闭文件，文件自动根据TP模板制作成权限文件

13.1.3.9手动加密/授权

1.有策略用户登录客户端，对已有的明文右键标密，标密成绝密，文件自动加密成密文

2.打开密文，文档文档左上方显示密级水印

3.对已有的文件右键标密，标密成机密，文件自动根据TP模板制作成权限文件

13.1.3.10扫描加密/授权

1.点击“敏感数据发现防护-扫描管理”如图：

2.点击新增-客户端实时扫描，在弹出界面中，输入扫描名称，设置扫描范围：研发部，扫描目录，如图：

扫描范围：表示任务下发启用后，扫描哪些终端用户；支持选择“全部”用户，或自定义选择对应的用户或部门用户

扫描目录：默认不输入的情况表示扫描全盘，如需扫描固定目录则可输入

3.点击下一步，在界面中，点击添加，选择关联策略，点击确定，任务新建成功，如图：

4.点击下发按钮，任务启动后按钮变绿色，下发�

marketplace-res-cbc-cn.obs.cn-north-1.myhuaweicloud.com · Web...

Documents

Transcript of marketplace-res-cbc-cn.obs.cn-north-1.myhuaweicloud.com · Web...