安得卫士服务中心

# 2.4 工作台

图片

TIP

管理员将通过该板块,对整个产品的相关功能的配置和使用的管理。其中“基础应用”就是对特定的信息进行跟踪,查看和分析。加解密应用主要完成了对相关的文档操作软件的配置和管理。水印相关应用主要是将相关的敏感信息进行特殊化标记,使得用户可以快速识别该内容属于客户自己的敏感数据。

# 2.4.1 基本应用

# 2.4.1.1 授权管理

通过列表用户可以查看每个应用的占用情况,当客户端有授权相关提醒时,可以了解系统的应用使用情况。 图片 点击列表中的任意一个应用,即可看到该应用的授权占用详情。 如下图所示: 图片

# 2.4.1.2 流程管理

系统内置解密申请和邮件审批流程,此页面为管理员查看全部流程情况。 进入配置

# 2.4.1.3 日志管理

查看系统相关业务日志和系统操作日志. 服务器日志,如下图所示,根据列表上方的操作按钮,可以进行日志的查询 图片 客户端日志,如下图所示,根据列表上方的操作按钮,可以进行日志的查询 图片

# 2.4.1.4 离线工作管理

# 2.4.1.4.1 制作授权

管理人员,登录安全管理平台,进入“工作台”,然后选择基本功能的“离线工作”图标,如图所示:

图片

进入后将看到授权列表,如下图所示: 图片 如图说明,操作进入设备配置管理界面,如下图:

图片 根据图中说明,将客户端导出的key文件,此文件来源于客户端安装后导出,见离线工作,将从客户的导出的KEY文件在此导入,然后将生成如下图的表格。

图片 表格中的“导出授权”按钮,是可以重复导出的,所以对用户的应用分配进行调整后,即可为用户重新导出授权。

图片 如上图中提示操作,导出此客户端的授权文件,然后将文件拷贝到对应的离线客户端设备上。

此处导出离线授权文件时,对于“解密”和不解密操作一定要慎重,尤其选择解密的后果,将导致设备原有的对应已取消分配的应用, 已经加密文件全部解密。用户需要充分了解这个后果,谨慎操作。

注意,首次针对该终端进行授权导出时,请选择“不解密”,因为新终端未进行过应用产生文件的加密处理,所以无需进行解密操作。,

# 2.4.1.4.2 授权回收

管理员拿到客户端导出的归还授权文件key,进入如下界面进行配置: 图片 根据上面图中的操作说明,即可将key文件对应的客户端授权将被管理平台回收。导入后,设备信息记录将被清除。 如果通过上面的导入按钮“导入终端Key”,则列表不会有变化,需要再次点击下方授权设备列表中对应的设备的“接触绑定”按钮,即可完成 授权设备解除。

注意:key文件只可以导入一次,不可重复导入。

# 2.4.1.5 计划任务

“计划任务”应用的主要目的是系统提供的一个可以定时执行的工作任务,根据业务需求客户可进行灵活配置。 配置列表如下图所示:

图片

在此页面中可对计划任务进行建立,分配,启动,暂停,停止和删除等操作。

# 2.4.1.5.1 建立计划任务

新增计划任务,如下图所示:

图片

计划任务目前只有全盘扫描类型的计划任务,后续会根据业务的扩充进行不断的迭代更新,敬请期待! 全盘扫描类型任务主要实现对客户端磁盘已存在的文件进行全盘加密或者解密。

# 2.4.1.5.2 计划任务分配

任务建好后,首先要将任务进行分配,点击任务列表每一行的“分配”按钮,即可是实现对任务的分配。如下图所示,

图片 图片 如上图进行操作,即可实现计划任务的分配。

# 2.4.1.5.3 计划任务启动,暂停,停止

任务建好后,首先要将任务进行分配,点击任务列表每一行的“分配”按钮,即可是实现对任务的分配。如下图所示,

图片 计划任务分配好之后,即可对计划任务进行启动、停止和暂停等批量操作。操作按钮位于页面上方。

# 2.4.1.5.4 计划任务执行情况查看

任务建好后,首先要将任务进行分配,点击任务列表每一行的“分配”按钮,即可是实现对任务的分配。如下图所示,

图片

这个执行列表,即下发的扫描任务的执行终端的相关信息,每个接受任务的终端执行扫描后,上报扫描的结果信息。

点击列表后面的执行结果,即可查看此终端设备扫描上报的结果,如下图所示: 图片

# 2.4.2 加解密服务

支持文件类型有:word、excel、pdf、catia、solidwords、caxa、cad、ppt、project、coredraw、3dmax、ug。 内容控制:功能有内容拷贝、鼠标拖拽内容、另存为、文件内插入文件、远程、截屏。细粒度的管理受保护的文件类型和软件的功能。 图片

接下来,将进入详情页面的配置。 图片

在工作台可以,对该应用服务进行默认配置,同时也可以点击该应用服务的图标,进入定制配置列表对其进行定制配置。

# 2.4.2.1 默认配置

首先点击工作台上需要配置的应用的右上角,将会出现“默认配置”按钮,如下图所示: 图片 点击即可进入服务详情配置

# 2.4.2.2 定制配置

其次,点击需要配置的应用图标,如下图: 图片 即可进入定制配置列表,如下图提示进行操作,便可以进入详情配置,完成对应部门,或者用户的个性化安全配置。 图片

# 2.4.2.3 详细配置

根据页面提示内容进行设置,通常没有特殊需求的客户,直接点击“确认”按钮即可。 如下图所示: 图片 图片

配置选项解析:

  • 是否自动加密
    此选项意思是,当选择选项“是”,用户只要操作了相关的文件(编辑并保存), 系统自动对此类应用软件操作的文件实现加密处理;如果选择“否”,则需要用户自己进行手动加密处理, 即当用户需要对某个文件(或目录)加密,首先选中该文件(或目录),然后通过点击鼠标右键,选择“特权加密”,来完成文件的加密操作。

  • 是否全盘加密
    选择选项“是”,系统将自动扫描整个电脑磁盘,所有与该应用软件相关的文件,并将其自动加密。 选择"否",则不执行全盘加密操作。

  • 是否全盘解密
    选择选项“是”,系统将自动扫描整个电脑磁盘,所有与该应用软件相关的文件,并将其自动解密。 选择"否",则不执行全盘解密操作。

  • 是否控制拷贝
    当选择“是”,客户端软件将限制针对密文内容的复制、粘贴等操作,当选项下方输入框配置例外进程时,例外进程将被允许进行密文内容的复制、粘贴操作; 如果选择“否”,所有针对该软件产生的文件的操作,都不会限制复制、粘贴等操作,这样会存在泄密风险,请谨慎选择。

  • 是否控制拖拽 当选择选项“是”,客户端安全软件将限制密文文件及文件内容的“拖拽”操作。选择“否”,即不限制密文的“拖拽”操作,这样会存在泄密风险,请谨慎选择。

  • 是否控制另存为 当选择选项“是”,客户端安全软件将限制密文文件及文件内容的“另存为”操作。选择“否”,即不限制密文的“另存为”操作,这样会存在泄密风险,请谨慎选择。

  • 是否控制插入 当选择选项“是”,客户端安全软件将限制密文文件及文件内容的“插入”操作。选择“否”,即不限制密文的“插入”操作,这样会存在泄密风险,请谨慎选择

  • 是否控制联网 当选择选项“是”,客户端安全软件将限制密文文件及文件内容的“联网”访问,不允许文件通过网络传输传输到外部网络。选择“否”,即不限制密文的“联网”访问,这样会存在泄密风险,请谨慎选择。

  • 是否控制截屏 当选择选项“是”,客户端安全软件将限制密文文件打开时,执行软件或者系统的“截屏”操作。选择“否”,即不限制密文的被软件或系统的“截屏”操作,这样会存在泄密风险,请谨慎选择

  • 是否控制远程 当选择选项“是”,客户端安全软件将限制远程桌面的使用,不允许通过网络进行远程桌面操作。选择“否”,即不限制“远程”操作,这样会存在泄密风险,请谨慎选择

  • 是否控制打印 当选择选项“是”,客户端安全软件将限制密文文件及文件内容的“打印”操作。选择“否”,即不限制密文的“打印”操作,这样会存在泄密风险,请谨慎选择

以上各选项,如果配置进程例外,即指该应用软件产生的加密文件,在例外列表中的进程读取文件时,将不受限制,而这也就会存在泄密风险,所以请谨慎选择。 如果有特殊业务需要,请确保例外程序软件的安全,其不会导致保密内容泄露,否则建议不要设置此例外的相关内容,以保证保密内容的安全。

# 2.4.2.1 应用分配

点击每个应用跟随鼠标浮动显示的下拉菜单,如下图所示: 图片

选择图中的“分配”菜单,将会出现下面的界面:

图片

打开如上图页面,即可选择此应用可以分配给哪些用户进行使用。选择“全体员工”则不需要进行具体的人员选择,公司所有员工将使用相同配置。 如果此应用只给部分员工使用,选择 “部分员工”选项, 如下图: 图片 点击图片下方的 “选择部门、人员” 部分,将会弹出部门和人员选择的页面,如下图所示:

图片

选择完成后,点击"确认"按钮,返回了上一个页面,回到分配界面,将会看到如下所示的结果:

图片

已选择人员将显示在红色选择区域,再次点击页面右下角的“确认”按钮,即可完成此次的分配操作。

# 2.4.2.1 应用启停

点击每个应用图标的下拉小箭头,即可打开配菜单钮,其中可以选择“停用”,即可停用该应用,如下图所示:

图片

停用后,下拉菜单状态如下图所示:

图片

点击图中的“启用”按钮,即可重新启用该应用,用户即可继续使用该应用的相关配置服务。

# 2.4.3 文档水印管理

# 2.4.3.1 打印水印服务

打印水印,主要实现在打印输出时,将具有保护作用的信息,即水印内容,打印到输出的纸张,或者图片上。此功能主要提供了其水印内容的相关设置。 首先进入水印配置界面,如下图所示:

图片

进入后,可以看到右侧显示一个区域,分配配置水印服务,如下图操作:

图片

# 2.4.3.2 文档阅读水印服务

配置方式与打印水印类似,同上。

完成以上配置之后,被指定的用户,从客户端软件登录以后,客户端安全软件将对被配置的相关应用进行水印的相关控制, 从而保障客户数据的内容带有自身的特殊标识,形成对自身数据资产的保护。 可以参考应用分配

# 2.4.4 云盘加密

该功能主要是保护用户使用的云盘,云笔记的安全存储问题,基于对第三方运营的云盘,云笔记的信任,用户可基于安得提供的此款保护应用产品 对上传到第三方云盘,或者云笔记的内容进行加密处理,防止运营方对涉密内容的窃取。

图片

我们需要对其进行配置才可以正常使用,点击应用的左上角下拉箭头,即可打开配置选项,如下图所示:

图片

# 2.4.4.1 基础配置

如下图所示,可以根据具体的保护需求,进行相关的云盘,云笔记选择。

图片

# 2.4.4.1 云盘分配

通过对该应用的分配,用户可以进行是否对上传内容进行加密的控制。如下图所示,进行该应用的使用分配:

图片

如上图所示,选择相应的分配对象,“全部”,或者“部分员工”,然后点击确认保存即可。

# 2.4.5 应用水印

应用水印模块,主要实现对基于BS架构的应用系统进行加水印防护。当用户访问应用系统时,安全客户端将在用户的浏览器上生成屏幕水印信息,从而对用户形成安全威慑,阻止其通过拍照、截屏、录屏等方式获取涉密信息。 如下图所示: 图片

# 2.4.5.1 默认配置

点击“应用水印”的应用图标右上角小箭头,可以选择点击“默认配置”菜单,即可显示水印配置的详细界面如下图所示:

图片 水印配置主要包含两个部分,一个是水印内容,一个是水印显示的目标。上图中显示了应用可以基于应用软件进程和目标的url地址进行水印显示。 基于进程列表的水印显示,主要是指想保护目标软件的进程名称配置在该字段中:

图片

当我们需要对浏览器访问的具体指向的某个或者某些应用地址进行水印显示时,则进行如下配置:

图片

配置好水印显示的目标信息之后,接下来,我们下拉配置页面,可以看到具体水印内容的配置,如下图所示:

图片

用户可以根据自身的需要进行水印的各种控制参数的配置。

# 2.4.5.2 分配应用

平台所有的分配功能都是类似的,参见应用分配,这里就不再重复介绍了。

# 2.4.5.3 水印效果

当我们分配好应用之后,我们在安装好客户端之后,使用被分配了应用水印的用户登录,然后再系统里打开已配置好的应用, 例如:根据上一步操作配置有道云笔记,其进程名为:YoudaoNote.exe (可以通过桌面图标,然后点击右键,找到其程序名称), 其显示小托如下图所示:

图片

# 2.4.5.4 暂停保护

暂停保护,其实就是将应用停止服务,使得被分配的用户不再受该功能控制。

# 2.4.6 设备管控

设备管控功能,主要实现对受保护的办公计算机设备进行端口及外接设备的管控,核心目标就是防控涉密的信息被通过外接设备拷贝,或者传输出去。 服务的购买请参考购买服务,模块功能如下图所示:

图片

# 2.4.6.1 默认配置

设备管控的配置,主要完成对计算机外设端口及相关的外接设备进行管控,如下图所示:

图片

用户可以通过“启用”和“禁用”实现对相应端口及相关类型设备的管控。基于数据加密保护目标的需求,此功能主要还是针对存储和输出设备的管控。 当配置为“禁用”时,该类型设备将被禁止在用户登录的设备上使用,或者用户登录的设备的连接端口将被禁止,无法连接其他外接设备。

# 2.4.6.2 定制配置

点击应用图标浮动显示的“进入”菜单,即可进入设备管控的高级管理界面,如下图所示:

图片

定制配置与默认配置类似,只是定制配置是针对部分有需要进行单独控制的部门或者个人(用户角色)进行个性化的配置管理,如下图所示: 图片

# 2.4.6.3 设备申请

基于工作的需要,客户可以根据具体的业务场景,针对不同的用户进行可信设备的管理,系统提供了“设备申请”审核处理的功能机制,以满足用户的设备外接需求。用户在端口或者设备类型被禁用时,通过“设备申请”的功能,获取设备的使用权限。 点击“设备管控”应用图标,即可进入,然后在左侧菜单中选择“设备申请”,点击即可查看来自用户客户端发起的设备申请,如下图所示:

图片

系统相关的管理人员可以在此对用户的设备使用申请进行处理:启用、禁用。 当客户端发起的设备使用申请,被通过,即申请的设备被“启用”后,该设备将可以允许使用。后续该设备再被使用将不用再次申请即可直接使用。

# 2.4.6.4 分配应用

平台所有的分配功能都是类似的,参见应用分配,这里就不再重复介绍了。 图片

# 2.4.6.5 暂停保护

暂停保护,其实就是将应用停止服务,使得被分配的用户不再受该功能控制。

# 2.4.7 安得云盒

# 2.4.7.1 应用分配

平台所有的分配功能都是类似的,参见应用分配,这里就不再重复介绍了。 图片

# 2.4.7.2 应用启停

暂停保护,其实就是将应用停止服务,使得被分配的用户不再受该功能控制。

# 2.4.7.3 云盒管理

点击“安得云盒”应用图标,即可进入云盒文件的管理列表,该功能主要是提供给管理员的一个全局管理功能,可对云盒文件的使用情况进行 查看,同时可以对文件的权限进行修改,如下图所示:

图片

# 2.4.8 安全隔离

# 2.4.8.1 功能介绍

此安全应用主要针对客户的安全隔离使用场景,例如:客户的公司某些部门与其他部门的数据是不可共享的,或者涉密等级较高,不可被其他非相关部门查看, 此时就会使用到此功能。 此功能应用属于加解密服务应用的一个扩展应用,不可独立使用的。所以购买了“加解密服务”应用,则该“安全隔离”应用将自动继承过来。

WARNING

注意:此处需要了解一下,主副组的概念:主组,即用户产生了的涉密文件在此组中可互相分享查看,而用户所属副组人员不可查看此用户产生的文件,但用户可以查看副组用户产生的加密文件。 例如:用户A分配到了“安全组A”,同时又分配到了“安全组B”,则此时“安全组A”为用户A的主组,“安全组B”为用户A的副组,当用户A产生涉密文档时,“安全组B”的人员是无法查看用户A的文档;当用户B分配到了“安全组B”,并产生加密文档,那么此时,用户A可以看用户B的文档,但是用户B看不了A的文档。

# 2.4.8.2 解决方案

将需要将相互隔离的部门建立多个安全组,然后将需要隔离的部门以及相关人员分配到此相应的安全组,安全组内的部门和人员将可以相互查看涉密文档,未分配到此安全组的部门人员将无法查看,如需要查看时可以通过两种途径,一个是将需要查看的人分配到此安全组,一个是将文件转换为目标用户所在安全组。

# 2.4.8.3 操作步骤

首先,点击应用图标,进入“安全隔离”应用,将显示安全组列表,如下图所示:

图片

点击列表最上方的“新建”按钮,打开页面建立一个安全组,如下图所示操作:

图片

然后,进行安全组的分配,点击列表中对应的安全组的 行尾的“分配”按钮,即可进入分配页面,其操作与工作台软件分配操作类似,可参考应用分配,此处不再详细介绍。

分配之后,可通过列表后面的“组关联”按钮进行分配关系的查看和主副组的关系转换。 如下图所示:

图片

如上图所示,根据提示可对安全组中的对象的关系进行切换。

WARNING

此处注意只可将副组切换为主组,因为主组对用户和部门来说是唯一的。也就是一个用户的主组只可有一个,副组可以有多个。当用户或者部门未分配安全组则首次分配即为主组,当已存在安全组则默认为副组。后续可进行主副组的切换操作。

# 2.4.9 安得SDK开发工具包

基于开发工具包,客户可以通过安得SDK开发包进行服务器端的开发,将文件进行自主控制的加解密处理。 具体的开发接口文档,请联系客服人员。

2.5 企业数据