电子文档安全管理系统使用手册

文档安全管理系统
用
户
手
册
目录
一、系统初始化 (4)
1.1. 组织机构定义 (4)
1.2. 客户端定义 (5)
1.3. 员工帐户定义 (6)
1.4. 密钥创建 (7)
二、分配用户角色 (8)
2.1. 角色定义 (8)
2.2. 分配系统操作员角色 (9)
2.3. 分配审计员角色 (10)
2.4. 分配审批员角色 (10)
2.5. 分配普通用户 (11)
三、审批流程配置 (12)
3.1 定义流程类型 (12)
3.2 定义表单 (12)
3.3 定义工作流程 (14)
四、策略配置 (19)
4.1. 应用策略 (19)
4.2. 进程策略 (20)
4.3. 通信策略 (22)
4.4. 终端策略 (23)
4.5. 补丁分发 (23)
4.6. 策略备份 (23)
五、策略的查看与管理 (24)
5.1. 用户策略的查看 (24)
5.2. 策略的修改 (25)
六、监控管理 (26)
七、系统管理 (27)
7.1. 权限管理 (27)
7.2. 辅助功能 (29)
7.3. 系统参数 (29)
7.4. 菜单维护 (29)
八、文档管理 (30)
8.1. 客户端文档授权 (31)
8.2. 集中存储文件 (32)
8.3. 上传文件授权 (32)
8.4. 授权文件权限回收 (32)
九、申请流程操作 (32)
9.1. 文档外发 (33)
9.2. 文档解密 (35)
9.3. 计算机离线 (37)
十、审计管理 (38)
10.1. 安全日志 (38)
10.2. 管理员日志 (38)
10.3. 审计日志 (38)
10.4. 流程审计日志 (39)
10.5. U盘日志 (39)
十一、系统管理员操作手册 (43)
文档安全管理系统是基于角色的一种管理方式，不同的角色赋予不同权限因此系统初始
化首先需要对管理系统的角色做初始化配置。

系统默认角色有：
系统管理员（用户名：superadmin,密码：superadmin）：
◆定义系统角色并给员工分配角色
◆设置分级管理权限
系统操作员（用户名：，密码：）：
◆建立企业组织架构将员工和客户端及帐户做对应信息绑定
◆给企业员工设置管理策略
◆设置申请表单、审批流程
审计管理员（用户名：，密码：）：
◆审计管理员、审批员、U盘操作日志
审批员：
◆负责系统审批流转环节中文档的审批工作
◆酷卫士文档安全管理系统是对本地计算机存储文档做加密保护，经加密的文档脱
离本地计算机及网络环境后不能正常使用，因为文档需要流转或计算机需要外出
需经审批流程，经相关审批员同意后文档可正常使用。

该系统需审批的环节包括：
内部文档授权、文档解密、文档外出、计算机离线。

普通用户：
◆设置授权文件
◆申请文档外出、文档解密、计算机离线
系统角色定义灵活、方便可根据客户需求新增不同权限的不同角色。

一、系统初始化
酷卫士文档安全管理系统采用B/S的管理模式，服务器占有8091端口。

登陆服务器网址为：http;//（服务器IP地址）:8091/security。

系统初始化需默认【系统操作员】用户登陆系统做信息初始化。

1.1.组织机构定义
组织机构定义是创建系统中员工基本信息，当员工和帐号创建后需将该员工安装代理的计算机IP地址做相应绑定，员工、帐号、IP地址绑定后就可对该员工的计算机下发相应的加密保护策略。

●增加公司、部门、员工
◆业务流程
组织机构――>增加下级――>增加公司、部门、员工――>保存
◆操作明细
默认系统管理员（superadmin）登陆(密码默认和用户名一样)，点击【组织机构】，在部门管理集团公司弹出如下界面：
✧增加下级：可增加公司部门、员工详细信息。

✧选择下级：定位鼠标到选择下级的位置
✧下级排序：可将新建部门、员工调整顺序
✧修改：修改部门、员工信息
✧删除：删除部门、员工信息。

部门下没有员工时才可以对部门删除。

1.2.客户端定义
安装文档安全管理系统客户端的IP地址会自动提交到服务器端，系统管理员需新建客户端将IP地址和员工信息绑定，对本地文档加密就可通过给IP对于的员工下发策略来实现。

●增加客户端
◆业务流程
系统管理员（登陆）――>监控管理――>增加客户端――>保存
◆操作明细
点击【监控管理】在部门右键增加下级，选择客户端，弹出如下界面：
注：
姓名/名称：该字段建议与组织机构中员工名称相同
IP地址：系统会搜索已装代理端计算机IP地址，选择该员工所属IP地址
负责人：选择组织机构中员工的真实名称
密级：
1.3.员工帐户定义
创建员工后需建一个帐号作为系统识别该用户的唯一标识，也是该用户登陆系统的用户名。

●增加帐户
◆业务流程
系统管理――>用户管理――>右键――>增加用户――>创建点击【系统管理】选择用户管理，弹出如下界面：
✧增加用户：帐号是系统唯一识别的标识
注：
帐户：是做为员工登陆系统的唯一标识，每个帐户对应一个员工的真实信息
中文名称：从组织机构中选择员工名称
密码：登陆系统的密码
安全级别：
允许创建的最大会话数：该用户可以同时登录该系统的数目。

该处填写的是大
于等于-1的整数，其中填入-1表示最大会话数的个数不受限制，可以是任意多
个会话数
状态：用户登录设定的次数失败后，即锁定用户，用户无法登录，需要找管理
员解锁
✧修改：
✧变更所属部门
1.4.密钥创建
酷卫士文档安全管理系统通过对不同部门设置不同密钥来防止部门、单机之间通过网络或其它方式互访文件。

只有机器的密钥相同且下发相同策略的计算机才可互访文件。

江民科技酷卫士文档管理系统支持企业级密钥、部门级密钥、单机密钥，可根据企业的管理要求设置不同级别的密钥。

●业务流程
⏹密钥管理――>增加密钥――>密钥备份
●操作明细
默认系统管理员登陆，点击【密钥管理】，弹出如下界面：
◆增加密钥
✧增加：定义密钥名称，系统会随机生成密钥，密钥长度为256位
✧修改：修改密钥名称。

✧删除：删除新建密钥
◆密钥备份：可将密钥导入、导出。

二、分配用户角色
系统初始化完成后【系统管理员】登陆系统分配角色。

系统默认的角色有：系统管理员、审批员、审计员，普通用户。

不同角色有不同的操作权限，对于管理员和审计员可设置管理范围实现分级管理的管理模式。

2.1.角色定义
●业务流程：
⏹系统管理――>角色管理――>角色列表（右键）――>增加角色
●操作明细
点击【增加角色】，即可进入角色增加界面如下图所示，填写角色名称
◆定义新增加角色的基本信息
在定义角色的基本信息中输入“角色名称”和“角色业务含义”，“是否系统管理员”可以由用户自己选择，若是系统管理员则在后面的方框中点击一下出现对号
即可，若不选择系统默认不是系统管理员。

◆定义新增加角色的继承的角色
点击中间定义角色一栏中的【角色】，此时会出现为角色授予已有角色的界面。

用户此时可以将系统中已经存在的角色授予新增加的角色，具体操作方法是：
在可用角色中选中将要授予新增加角色的角色，然后鼠标点击界面中间中最上方的
一个按钮即可（该操作也可以通过鼠标双击右面选中的角色来实现），完成后新添
加的角色就拥有了授予的角色的操作权限。

点击【创建】，完成对角色的创建。

切
换到如下界面：
◆定义新增加角色的操作权限
鼠标右击界面中的【功能模块列表】，此时系统会出现为新增加角色设置操作权限的界面，如下图所示：
✧增加角色的操作权限
右键菜单提供了：【按模块增加】、【按功能增加】、【按资源增加】、【删除】选项，增加操作权限可按模块/功能/资源进行增加，如，点击【按模块增加】，此时
系统会弹出增加角色操作权限的选择，用户只需逐层选择后选中要增加的角色操作
权限，点击网页对话框中的【确定】。

✧删除角色的操作权限
如果角色已经拥有了部分操作权限，如果想删除其中的部分操作，只需指向要删除的操作权限，然后右键，点击【删除】菜单，此时系统会弹出一个提示删除操作无法恢复的提示窗口，如果确定要删除选中的操作权限，点击提示窗口中的【确定】即可；如果决定不删除选中的操作，点击提示窗口中的【取消】即可。

2.2.分配系统操作员角色
●增加系统操作员
◆业务流程
系统管理――>用户管理
◆操作明细
点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：
在【角色】中选择系统操作员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统操作员创建成功。

2.3.分配审计员角色
●增加审批员
◆业务流程
系统管理――>用户管理
◆操作明细
点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：
在【角色】中选择系统审计员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统审计员创建成功。

2.4.分配审批员角色
系统在使用前需设定好相关环节的审批员。

●增加审批员
◆业务流程
系统管理――>用户管理
◆操作明细
点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：
在【角色】中选择系统审批员角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统审批员创建成功。

2.5.分配普通用户
●增加普通用户
◆业务流程
系统管理――>用户管理
◆操作明细
点击【用户管理】显示帐户信息，在对应员工帐户上右键菜单【修改】选择【角色】，弹出如下界面：
在【角色】中选择普通用户角色添加，在【组织机构权限】中选择管理的企业部门，点击【创建】系统普通用户角色员创建成功。

分配用户角色后【系统管理员】的操作结束，之后需要【系统操作员】对系统进行管
理配置。

三、审批流程配置
审批流程配置是由【系统操作员】定义配置的。

审批流程主要是定义客户端加密文档授权、解密、外出及计算机离线时提交申请如何保证文档及计算机正常外出。

申请提交后经相应环节审批同意后文档才可以做相应操作。

系统支持自定义表单和流程，可根据客户需要灵活定义表单，系统默认四种申请表单可根据申请方式直接使用。

●定义流程
◆业务流程
系统操作员（登陆）――>审批流程管理――>流程类型――>表单管理――>工作流程――>载入
3.1定义流程类型
●增加流程类型
◆业务流程
流程类型――>增加――>保存
点击【流程类型】，弹出如下界面：
类型名称：填写该流程的名称，如：申请外出
组织机构：可选择该表单应用的部门，整个集团公司或某几个部门
3.2定义表单
●增加流程类型
◆业务流程
表单管理――>增加――>保存
表单主要应用与流程中，因此定义表单需跟流程关联。

点击【表单管理】增加表单，需选择相应流程弹出如下界面：
选择一种类型，确定后进入新建该类型的表单编辑页面（如图3-5），其中红色框内的区域是表单操作栏，红色方框下面的区域是表单编辑区。

图3-5
功能描述：
编辑表单:如图3-5在表单编辑页面，在表单操作栏中可以对表单进行各种的操作。

(1)更改表单属性。

填写表单名称，表单数据表名可不用填写，系统会自动给出。

填
写完毕保存返回。

(2)更改表格属性。

可以设定表格的宽度、对齐方式、边框宽度以及颜色等，单击确
定，保存更改。

(3)合并单元格。

选择一组单元格，单击“合并单元格”，将选中的单元格合并为一
个大单元格。

(4)拆分单元格。

选择要拆分的大单元格，单击“拆分单元格”按钮，可将合并的单
元格恢复初始状。

(5)插入一行或一列。

选择想要插入的地方，单击“插入一行”按钮，在相应位置插
入空白一行；单击“插入一列”按钮，在相应位置插入一列。

(6)删除一行或一列。

单击想要删除的行或列，单击“删除一行”按钮，删除相应的
一行：单击“删除一列”按钮，删除相应的一列。

注意,删除时，此行或列内的内容将被一并删除，请谨慎操作。

3.3定义工作流程
操作说明：
在流程列表页面中点击“增加”按钮，进入新建列表页面（如图4-2）：
图4-2
根据需要选择相应的属性，【确定】后进入流程设计界面（在进入之前会在浏览器下边显示正在加载一个java小程序的提示）（如图4-3）：
图4-3
注：将鼠标停留在操作栏的按钮上，就可以看到此按钮的相应提示。

设置流程属性
操作说明：
在流程列表中点击“流程属性”，出现流程属性对话框（如图4-4）：
图4-4
功能描述：
在基本信息和监控者设置中用户可以根据需要设置值，其中id不用自己设，系统可自动指定。

优先级是用来说明流程的重要程度，数字越大重要性越高。

持续时间单位是流程定义里所使用的时间单位。

在监控者条件下，不建议在一般下选择所有人。

可选择其中一个机构或人进行设置。

在安全级别中，因为每个角色都有自己的安全级别，这里是指只有达到要求的才可以进行操作。

只读操作，是指在只读状态下的操作，如在待办、在办、已办，结束的状态下的操作。

设置环节属性
操作说明：
在图4-5中，选中一个环节双击，进入环节属性对话框（如图4-6）：
图4-6
功能描述：
环节信息包括环节操作、正文权限、环节任务等，可进行页与页的切换设置信息
基本信息。

如图4-6，环节名称中填入可用的信息。

开始、结束方式为【自动】时，环节任务才有效，即环节任务只对自动环节有效。

【是否会签环节】，如果选中说明该环节是多人处理环节。

【会签是否顺序执行】，如果选中说明委派是按顺序送交多人处理的，否则按并序送交多人处理。

环节操作（如图4-7）：
图
4-7
在这里选择的操作就是当在流程被执行时，表单中所显示的操作命令按钮。

选择一个操作名称，如保存，点击“选择显示条件”弹出操作条件对话框，（如图4-8）载入流程
操作说明：
点击功能模块区的载入流程按钮执行载入操作（如图4-19）：
图4-19
功能描述：
定制流程完毕，点击载入流程，返回流程列表页面，新建的流程名称将显示在列表
上。

流程载入后即可使用此流程定义新建此流程的任务
工作流程
用户可以使用定制好的流程，来完成业务的需求。

也可根据需要自己定义。

四、策略配置
策略配置作为文档安全管理系统的核心模块，由【系统操作员】登陆设置完成。

4.1.应用策略
应用策略主要设置内核是否启用，是否允许打印，是否允许复制、粘贴，是否允许截屏，设置离线时间。

●增加应用进程策略
◆业务流程
策略管理――>应用策略管理
点击【应用策略管理】弹出如下界面：
注：
是否禁用内核：下发加密策略如禁用内核则加密策略不起作用
是否允许打印：下发加密策略的受控文件是否允许打印
是否允许复制、粘贴：下发加密策略的受控文件是否允许与非受控文件之间的复制、粘贴
是否允许截屏：下发加密策略的受控文件是否允许截屏
离线时间：下发加密策略的受控文件允许在计算机断开时正常读写
操作明细
组织机构――>员工(右键) ――>修改――>应用策略――>增加（如下图）
在组织机构下选中添加应用策略的员工右键点击【修改】，点击【应用策略】弹出如下界面：
设置对应项点击【确定】后单击【保存】可将应用策略下发到员工的所属计算机。

4.2.进程策略
进程策略是实现本地计算机上文件加密存储。

文件加密策略可针对不同进程生成的相应文件类型设置加密策略。

业务流程：策略管理――>进程策略管理（如下图）
◆进程策略的添加
选择文件类型（如：）单击“”按钮。

自定义策略名称，相应的进程与文件类型的后缀名，同时可设置读写、打印、剪切、批量加解密等权限。

然后单击“”按钮。

◆进程策略的下发
勾选要下发的进程策略——单击“”选择要下发的部门或者员工，单击“”。

4.3.通信策略
通信策略是设置邮箱白名单，给白名单邮箱发送加密文件时会自动脱密。

设置为邮箱白名单时接收邮箱不受加密策略的影响。

●增加邮箱白名单
◆业务流程
通信策略――>增加――>保存
◆操作明细
在通信策略中点击【增加】填写相应信息，弹出如下界面：
●下发通信策略
组织机构――>员工(右键) ――>修改――>通信策略――>增加（如下图）
在组织机构下选中添加应用策略的员工右键点击【修改】，点击【应用策略】弹出如下界面：
设置对应项点击【确定】后单击【保存】可将应用策略下发到员工的所属计算机。

4.4.终端策略
终端管理功能可以对客户机上的移动存储介质进行管理与控制。

可以做到普通U盘只读或者禁用，可控制注册U盘的只读与读写功能。

业务流程：策略管理——终端管理
4.5.补丁分发
补丁分发功能是针对客户机所存在的系统漏洞进行的补丁更新与下发。

业务流程：策略管理——补丁分发——分发补丁
4.6.策略备份
备份下发的系统策略，可将下发的策略直接导入系统。

业务流程
策略管理——策略导入导出——进程策略导出——选择要备份的进程策略然后单击“”按钮。

（如下图）
五、策略的查看与管理
通过【系统操作员】登陆系统可查看部门或员工的相应策略信息，同时可对策略进行修改。

5.1.用户策略的查看
●查看策略信息
◆业务流程：组织机构――>部门员工管理――>选择要查看的部门或者员工
◆操作明细
例：员工XXX的策略信息――>基本信息
➢进程策略信息
➢应用策略信息➢通信策略信息
5.2.策略的修改
●修改员工策略
◆业务流程：组织机构――>部门员工管理――>选择要修改的员工或者部门
◆操作明细
选择修改的员工右键菜单点击【修改】，弹出如下界面
选择要修改的策略（如下图）可对策略进行增加或者删除
六、监控管理
监控管理可查看客户端在线情况
◆业务流程：监控管理――>选择相应的部门或者员工――>监控信息
◆操作明细
在【监控管理】菜单项下选择员工右侧弹出如下界面：可查看部门或单机的在线情况。

七、系统管理
权限管理
权限管理包括用户管理，角色管理，功能资源管理，修改密码。

用户管理：给用户分配不同的角色权限。

一般信息：可以修改用户的密码，以及是否锁定。

角色：赋予用户相应的角色权限。

代理用户：设置此用户可以代替另一个用户的权限。

组织结构权限：赋予用户可查看的组织机构。

辅助功能
辅助功能包括组织机构导入，LDAP同步用户，用户数字证书映射。

辅助功能包括组织机构导入，LDAP同步用户，用户数字证书映射。

系统参数
系统参数包括客户端获取策略的间隔时间，客户端连接限制时间，用户登录错误限制次数，申请离线时间。

菜单维护
菜单维护可以自定义系统菜单的位置。

自定义菜单的添加
例：在进程策略下添加“office类”目录为例
系统管理——菜单管理——进程策略管理——右键增加
名称：office类提示信息：可以自定义，
值：appployquery_page_init.cmd?PROCESS_TYPE=01 （TYPE后面的值必须根据以前表的顺序顺延）目标：main 单击“保存”然后单击“”。

八、文档管理
文档管理分为文档授权和文件存储两类功能。

安装代理端的计算机右键菜单项可操作【文档授权】实现对部门、员工授权。

同时具有【普通用户】权限的员工在IE页面中可显示文档管理模块，主要实现文件存储、通过页面做文件授权及授权文件下载功能。

通过【普通用户】帐户登陆服务器端可显示文档管理模块，弹出如下界面
8.1.客户端文档授权
1业务流程
文件右键――>文档授权
2操作明细
客户端选中文件右键菜单弹出如下界面：
弹出文件授权界面（下图）
点击【确定】后文件自动上传到服务器端，拥有文件访问权限的用户可通过帐户、密码登陆到服务器下载文件。

注：
文档授权：打开、打印、修改、剪切、销毁、离线操作、使用次数、打印次数、使用期限、使用时段、离线时间、密级控制
8.2.集中存储文件
通过员工帐户登录可将本地客户端存储的重要文件集中到服务器端保存。

●上传文件
◆业务流程
普通用户登陆――>文档管理――>上传
◆操作明细
在文档管理菜单项点击【上传】，弹出如下界面：
点击【上传】可将文档存储到服务器端集中保存。

8.3.上传文件授权
本地帐户上传文件可通过服务器端将文档授权给其他用户。

◆操作明细
在文档管理菜单项可显示所有上传的文件，点击【授权】后单击【添加用户】可对企业其他员工授权，弹出如下操作：
8.4.授权文件权限回收
对于本地帐户授权的文件可将授权文件更改或回收，修改权限后用户只能按照新的权限策略访问文件。

◆操作明细
在文档管理菜单项可显示所有上传的文件，点击【销毁】可将授权文件权限销毁
九、申请流程操作
客户端接收到加密策略编辑的文件会自动加密，文件脱离计算机环境不能正常打开，计算机脱离内网环境不能正常打开计算机上存储的文件。

因此对于员工需文档外出或计算机外
出办公等操作都必须通过提交申请，经系统相关审批人员同意后操作才可继续。

申请审批分为：文档解密、文档外出、计算机离线
9.1.文档外发
文档外发是指外出的文件依然可以控制它的使用时间、使用周期及使用次数。

◆业务流程
安装代理端的客户选中文件右键菜单项可申请解密
◆操作明细
右键菜单项连接到服务器页面，输入客户端帐户、密码弹出如下界面：单击审批流程管理――>权限申请――>选择右边所要使用的申请表。

如图：
填写表单上的申请项如：外发。

通过“附件”增加需要外发的文档，单击发送。

审批通过后就可以设置外发权限了。

选择文件右键——选择“文档外发”。

如图：
弹出如下窗口。

设置文件访问密码、密级。

设置文件的使用期限、使用权限（包括只读、读写、内容防复制）使用次数、使用时间段。

权限确认
单击“确定”完成。

系统会自动生成一个同名的EXE文件，此文件为外发文件生成后的文件如图：，该文件即可以外出。

9.2.文档解密
文档解密是指文档直接解密，解密后的文件不做任何控制功能
操作明细
右键菜单项连接到服务器页面，输入客户端帐户、密码弹出如下界面：
单击审批流程管理――>权限申请――>选择右边所要使用的申请表。

如图：
填写表单上的申请项如：外发。

通过“附件”增加需要外发的文档，单击发送。

审批通过后就可以设置外发权限了。

选择文件右键——选择“文档外发”。

如图：
9.3.计算机离线
申请计算机离线的时间
操作明细
登陆服务器页面，输入客户端帐户、密码弹出如下界面：单击审批流程管理――>权限申请――>选择右边所要使用的申请表。

如图：
选择需要申请外出的时间，设置后点击【发送】后【确定】
申请会自动发送到相应审批人员，审批人员批准后计算机可离线。

十、审计管理
10.1.安全日志
安全日志包括员工日志，管理员日志和审计员日志。

员工日志
10.2.管理员日志
10.3.审计日志。