- 产品与解决方案
- 行业解决方案
- 服务
- 支持
- 合作伙伴
- 关于我们
手册下载
H3C iMC EFM 用户手册-5W100-整本手册.pdf (14.19 MB)
用户手册
资料版本:5W100-20241217
Copyright © 2024 新华三技术有限公司 版权所有,保留一切权利。
非经本公司书面许可,任何单位和个人不得擅自摘抄、复制本文档内容的部分或全部,并不得以任何形式传播。
除新华三技术有限公司的商标外,本手册中出现的其它公司的商标、产品标识及商品名称,由各自权利人拥有。
本文档中的信息可能变动,恕不另行通知。
目 录
终端文件管理系统(Endpoint File Management,下文简称EFM)是一类内容感知型敏感数据防护产品,系统以内容识别技术为核心,数据安全加密和行为管控为辅助的综合智能数据安全管控平台。
终端文件管理系统通过使用关键字、正则表达式等方式,对运行、存储于主机内或者网络中传输的文件、数据进行内容识别,对数据的操作和移动过程进行监视和控制,以检测、控制、告警、分析为手段,实现对数据以非授权的形式流出安全域进行防护的功能;同时系统还应具有基本的身份鉴别、安全管理和审计功能。
本文档主要介绍关于终端文件管理系统的功能及操作指导,建议在使用本产品前先熟悉产品功能及页面,可以参考2 快速入门和4 其他说明。
· 本文档对于系统各页面的参数不作过多赘述,请根据页面提示及自身需求配置。
· 文中截图仅为示例,不同版本显示或有差异,请以实际环境为准。
EFM系统模块包含Web控制中心、数据服务中心、终端应用程序。
(1) Web控制中心由产品管理员操作管控,只要有浏览器即可访问使用,是产品相关策略信息的配置、审批管理、日志审计界面平台。支持三员管理,分工合理、权限明确,互相监督制衡,为系统提供更安全的管理体系。
(2) 数据服务中心需要运行在不关机的服务器上,处理各种数据交互。进行生效策略计算、数据采集、同步、传输,以及来自客户端的各项验证,避免客户端可以随意安装和使用。服务端程序支持扩容,支持海量数据存储。
(3) 终端应用程序安装于需要进行数据安全管控和保护的主机上,即可根据控制台配置的策略规则对该终端进行数据泄露防护。
(1) 通过两种途径都可打开控制台,进入登录界面:
¡ 双击桌面上终端文件管理系统控制台的快捷方式 
。
¡ 在浏览器地址栏中输入网址:http://{IP}:{port}/。
其中{IP}是网站的IP地址,{port}是网站的访问端口,例如http://127.0.0.1:8080(外部浏览器需要将127.0.0.1替换成具体IP)。
图2-1 登录界面
(2) 在弹出的登录界面中输入管理员账号和密码(若未曾修改过密码,则可以使用默认的账号/密码admin/Admin@2006),单击<登录>按钮跳转至系统首页。
图2-2 系统首页
在使用EFM系统时,主要的使用流程包括系统基础数据配置、终端接入配置、策略配置、策略下发、终端效果验证、系统监控分析(包括日志审计、策略总览、报表生成等)。
用户可以根据自身需求执行部分操作,并非必须执行全流程操作。
(1) 系统基础数据配置
主要是指在“系统管理”模块下配置的数据,例如配置系统权限、组织架构、服务器管理等基础数据,具体配置操作请参见3.1 系统管理。这些配置通常在系统使用初期进行,在后续使用时也可以维护缺失部分。
(2) 终端接入配置
在[终端管理/终端管理/终端接入审批]页面设置接入方式、终端安装接入,详见3.2.2 1. 终端接入审批。
系统支持4种终端接入方式,可根据自身需求选择合适的接入方式:
¡ 禁止新终端接入:无法再有新终端接入。
¡ 允许新终端接入:新终端安装后可直接接入。
¡ 审批接入:终端安装后,需要在终端接入审批菜单做审批操作后才允许接入。
¡ 智能接入:在允许接入的情况下,可配置相关参数,按配置智能接入终端。
(3) 策略配置
策略支持多维度配置,可通过对应功能的菜单入口进入按指定对象配置该功能策略;也可通过策略包按功能大类更加便捷、自由的组合任意该大类下的策略类型并批量应用给对象。
¡ 单入口配置:选择需要的功能菜单,单击进入菜单--选择对象(终端/操作员/终端组/操作员组,支持选择任一节点)--新增策略,详见各功能菜单操作。
¡ 策略包:按所需配置大类(终端行为/网络行为/数据安全),单击进入菜单--新增策略--选择生效对象类型--选择需要的子策略--选择具体生效对象,详情可参见3.3.2 终端行为策略包、3.4.2 网络行为策略包、3.5.2 数据安全策略包。
(4) 策略下发和生效验证
下发策略:策略配置完成后,必须在右上角的消息提示区单击<策略下发>按钮,以便将策略下发至终端。
验证终端的策略生效情况:终端策略生效后,可在终端看到对应策略效果。
· 对于在系统中设置的所有策略,只有启用策略并将其下发至终端后,该策略才会生效,若未启用则该策略在当前对象下仅为一条预定义的策略信息。
· 可以在策略配置完成后立即下发,也可以在完全部策略配置完成后统一下发。
(5) 日志审计与策略总览
系统支持进行日志审计,查看相关操作记录,以确保系统安全和合规性。同时,可以便捷查看指定终端的所有生效策略的详细信息。
(6) 根据系统相关数据生成报表:可以根据报表信息监控和分析系统运行情况,并提供决策参考。
控制台支持超管模式和三员管理模式,其中超管对应的管理员角色是超级管理员,三员对应的管理员角色分别是系统管理员、安全管理员、审计管理员。
· 超级管理员:即系统默认创建的admin用户,拥有系统的所有操作权限。
· 系统管理员:主要负责系统相关基础数据的维护配置,例如组织架构、人员创建、终端接入、服务器管理等。
· 安全管理员:主要负责权限划分、业务功能、策略配置、系统注册等配置。
· 审计管理员:目前是负责划分所有审计日志菜单权限。
三员管理模式将超级管理员权限分配给系统管理员、安全管理员、审计管理员(系统+安全+审计=超级管理员)。“三员”相互独立、相互制约,配合制度建设,可以有效加强涉密信息系统保密管理,减少泄密风险。
控制台支持超管模式和三员管理模式切换,可单击页面右上角的
图标,在下拉框中选择“切换模式”,根据弹框提示输入当前登录管理员密码,单击<确认>按钮即可。
若从“超管模式”切换到“三员模式”,只需要由超级管理员做一次密码输入确认操作即可;若从“三员模式”切换到“超管模式”,则需要对应的三个管理员分别登录输入密码进行确认。
可在[系统管理/系统权限/管理员角色]页面,可便捷维护当前角色下的管理员和权限,对管理员角色新增、删除,并且可修改角色信息和权限设置。
图3-1 管理员角色页面
· 新增角色:单击<新增角色>按钮,在“新增角色”界面中输入角色名称、选择上级角色、选择角色状态”启用/禁用”,选择性输入备注,完成后单击<确认>按钮即可。
· 管理员设置:可批量维护当前角色下的管理员范围,单击列表操作列的<管理员设置>按钮,在“用户管理”界面中勾选管理员账号,单击“>>”即可将信息转入“已选数据”框,此时在已选数据里的管理员则对应拥有该角色的权限。完成后单击<确认>按钮即可。
在“管理员信息”菜单中也可直接指定该管理员属于哪一个角色,系统支持双向配置。
· 分配权限:单击列表操作列的<分配权限>按钮,可维护当前管理员角色拥有的权限,包括管理权限、管理范围。
¡ 管理权限:管理权限对应系统菜单按钮的操作权限,配置后该角色登录才有对应菜单和按钮的操作权限。
¡ 管理范围:管理范围即数据权限,对应公司组织架构的数据,配置后该角色才拥有相关组织架构数据的操作权限。
图3-2 角色权限配置
在[系统管理/系统权限/管理员信息]页面,该管理员可登录管理对应权限下的控制台,支持对管理员账号进行新增、删除,以及批量禁启用管理员;并且可以对管理员账号进行多点登录、密码强度等高级配置;系统还支持登录认证设置。
图3-3 管理员信息页面
· 新增管理员:单击<新增管理员>按钮,在弹窗中配置对应参数即可,可以进行角色绑定(一个账号支持设置多个角色)、设置角色状态等。
图3-4 新增管理员
· 批量禁启用:勾选管理员账号,单击<批量禁启用>按钮,输入管理员密码,可批量禁用、启用管理员账号。
· 高级配置:单击<高级配置>按钮,在高级配置窗口可进行管理员账号和密码的安全设置,
· 登录认证:单击<登录认证>按钮,在配置窗口左侧勾选需要配置多重认证的管理员账号,在右侧可为其配置IP地址、MAC地址、邮箱认证,配置完成后单击<保存并继续>即可。
· 修改管理员信息:单击列表操作列的<修改>按钮,可修改当前管理员相关的所有基本信息,以及启用/禁用状态,完成后单击<确认>即可。
此处可作为修改密码的另一途径,但需要联系管理员操作。初始超级管理员以及三员的账号及权限为系统内置,仅可允许修改账号密码、邮箱、电话和状态等基本信息,完成后单击<确认>即可。
在[系统管理/系统权限/管理员日志]页面,可查询管理员操作相关数据,可按时间、操作用户、类型、菜单路径进行查询。
图3-5 管理员日志页面
模块分配主要用于分配销售模块以及下属的功能给终端,以便控制销售模块的点数。
在[系统管理/模块管理/模块分配]页面,单击<高级配置>按钮,在弹窗中可对具体终端选择分配相关模块,可对所要分配终端勾选要分配的模块,单击<保存>按钮即可。
图3-6 模块分配页面
模块过滤用于过滤终端的所有功能模块,可对指定终端或节点过滤隐藏掉相关功能模块。
图3-7 模块过滤页面
在[系统管理/模块管理/模块过滤]页面,可以指定过滤模块,也可清除自身配置。
· 模块过滤:选中某节点或者具体终端,再勾选具体模块,支持全选、取消全选。
¡ 勾选的模块:该节点下的所有终端或指定的终端将会显示这些模块。
¡ 非勾选的模块:这些模块将被过滤隐藏,不会在终端显示。
· 清除自身配置:模块过滤策略是就近原则生效,如果清除自身策略,则该终端或节点会继承最近上级节点的策略。
在部门管理模块下可以方便的维护部门信息,并且可管理该部门下的终端和操作员。
图3-8 部门管理页面
在[系统管理/组织架构/部门管理]页面,可新增、删除、移动、修改、导入、导出部门信息,同时支持批量维护属于该部门的终端和操作员、手动调整部门节点排序等操作。
· 新增部门:单击<新增部门>按钮,在“新增部门”界面中输入部门名称、选择上级部门、选择性输入备注,完成后单击<确认>按钮即可。
· 删除部门:在数据列表中勾选需要删除的部门,单击<删除部门>按钮,弹出提示,单击确认即可删除。
· 如果先在左边的组织架构树选择了上级部门的节点,则此时单击“新增部门”里面的“上级部门”会默认为选择节点的部门,可不用重复下拉选择。
· 如果选择删除的部门下面有下级部门,则不允许删除。
· 移动部门:在数据列表中勾选需要移动的部门,单击<移动部门>按钮,在弹窗中选择目标部门,单击确认即可将部门移动到新的目标部门下面。
· 导入:单击<导入>按钮,选择重名处理方式;之后可先单击<下载导入模板>,根据模板完善数据;信息填写好后,单击<请选择.xls格式的文件(非加密文件)>上传文件,确认即可。
· 导出:勾选需要导出的数据项,单击<导出>,可直接导出当前选中的部门信息;也可选择分组,导出分组下的所有部门信息。
· 调整排序:单击<调整排序>按钮,在弹出的“调整排序窗口(最高级节点部门无法排序)”窗口,将鼠标移动到某个部门节点上(非最高级节点),将显示“置顶”、“向上”、“向下”、“置底”按钮,单击按钮,节点部门将对应的移动,之后单击<确定>即可生效。
· 修改:可修改当前部门名称以及对应的上级部门,完成后单击<确认>即可。
· 终端管理:可批量维护当前部门下的终端,单击列表操作列的<终端管理>按钮,在“终端管理”界面中勾选终端数据,单击“>>”即可将信息转入“已选数据”框,此时在已选数据里的终端则属于该部门,会在组织架构树中展示,完成后单击<确认>按钮即可。
· 操作员管理:可批量维护当前部门下的操作员,单击列表操作列的<操作员管理>按钮,在“操作员管理”界面中勾选终端数据,单击“>>”即可将信息转入“已选数据”框,此时在已选数据里的操作员则属于该部门,会在组织架构树中展示,完成后单击<确认>按钮即可。
· 在“终端信息”菜单中也可直接指定该终端属于哪一个部门,系统支持双向配置。
· 在“终端操作员”菜单中也可直接指定该操作员属于哪一个部门,系统支持双向配置。
系统提供第三方系统数据源设置,包括IDM数据配置、AD域数据源配置、企业微信数据源配置、钉钉数据源配置等,并提供同步冲突处理。
[系统管理/组织架构/第三方系统数据源设置]页面,可以进行以下配置:
· 基础配置:本系统的组织架构与企业微信或钉钉同步时,通过基础配置界面勾选对应的扫码登录功能,实现终端开启扫描登录方式。
图3-9 基础配置
· 数据源配置:选择“数据源配置”页签,可进行以下操作。
¡ 新增数据源配置:单击<新增>按钮新增数据源配置。选择不同的数据源类型,需配置不同的信息,请根据页面提示进行配置。
支持选择的数据源类型:
- IDM数据源:部分用户部署IDM系统,进行用户以及权限管理,本系统可以与IDM结合,同步IDM系统的组织与用户,方便统一管理。可进行IDM系统配置和ESB系统配置。
- AD域数据源:大多数企业都部署了AD域,进行统一的用户以及权限管理,本系统可以与AD结合,同步AD的组织与用户,方便统一管理。
- 企业微信数据源:需配置企业ID、应用ID、重定向配置及访问密钥,本系统才可获取到企业微信的组织架构数据,以便于同步该数据到本系统中。
- 钉钉数据源:需配置应用ID、应用KEY、重定向地址、应用密钥,本系统才可获取到钉钉的组织架构数据,以便于同步该数据到本系统中。
¡ 过滤设置:可以设置哪些部门下的数据不需要同步。勾选列表信息,然后单击<过滤设置>,在弹窗中勾选对应数据即可。
¡ 高级配置:支持配置选择什么字段来同步组织架构和操作员数据。在数据列表勾选数据(即生效对象),之后单击<高级配置>按钮,选择同步域的字段,根据需要勾选“同步的操作员账号是否包含后缀名”,之后单击<保存>即可。
· 同步数据配置:选择“同步数据配置”页签,可批量处理数据源信息或设置自动处理配置。
单击<自动处理配置>按钮,在弹窗中勾选“若操作员存在多个分组,则自动处理【多个分组中的第一个分组】为所属分组”即可。具体处理策略请参见页面的提示信息,将鼠标悬浮至“功能说明处”右侧的
上即可查看。
图3-10 同步数据配置
· 同步日志:选择“同步日志”页签,可以查看系统中第三方数据源同步的日志信息。
在[系统管理/服务器管理/服务器状态]菜单下,可查看引擎服务器、采集服务器、数据库服务器、文件服务器、审批服务器、检测服务器等的服务器信息。
· 服务器拓扑图概览:在该标签页下,可查看服务器状态是否正常、连线是否正常等信息。将鼠标移动到服务器上方,可查看设备编号、设备名称、在线状态、IP地址等信息。
图3-11 服务器拓扑图概览
· 服务器详细信息:在该标签页下,单击左侧组织架构树上的服务器,可查看服务器的基本信息、计算机基本信息和计算机磁盘信息等。
图3-12 服务器详细信息
· 服务器日志:在该标签页下,支持查看控制台、引擎服务器、采集服务器、文件服务器、检测服务器和文件溯源服务器的日志目录并支持进行日志下载。
图3-13 服务器日志
采集服务器信息维护,类似部门管理,可管理采集服务的分组以及基本信息维护。
在[系统管理/服务器管理/采集服务器]页面,可在界面左边的结构树中新增、修改、删除服务器分组信息;在界面主数据区可新增、删除、修改、授权服务器信息,同时支持采集服务设备管理。
图3-14 采集服务器页面
对于左侧采集组的操作:
· 新增采集组:鼠标移动到界面左边的结构树上的分组节点,可出现“
”新增按钮,单击按钮,在“新增采集组”界面中输入采集组名称、地区、选择是否开启组内负载,完成后单击<确认>按钮即可。
如果创建的采集组,未开启组内负载时,仅作为采集服务器管理组使用;开启组内负载,同一分组内的服务器将进行负载。
图3-15 新增采集组
· 修改采集组:鼠标移动到界面左边的结构树上的下级分组节点,可出现“
”修改按钮,单击按钮,在“修改采集组”界面中可修改采集组名称、地区、是否开启组内负载,完成后单击<确认>按钮即可。
· 删除采集组:鼠标移动到界面左边的结构树上的下级分组节点,可出现“
”删除按钮,单击按钮,弹出提示,单击确认即可删除。
如果选择删除的分组下面有下级分组,则不允许删除。
对于界面主数据区的操作:
· 新增设备:单击<新增设备>按钮,在“新增采集服务器”界面中输入服务器名称、选择采集组、选择性输入备注,同时需要完善下方的“基础信息”和“系统设置”相关信息的填写,完成后单击<确认>按钮即可。
¡ 基础信息:口令即类似密码,安装此采集服务器时要输入此口令,可自行设置;内容地址和端口则为在用的内网地址和端口。
¡ 系统设置:可配置额定连接数、最大连接数、终端IP准入范围(如范围未设置,则默认终端接入地址不限制)。IP准入范围单击界面上的<添加>按钮,在下方的数据表格中手动输入起始IP和截止IP即可。
图3-16 新增采集服务器-基础信息
图3-17 新增采集服务器-系统设置
· 删除设备:在数据列表中勾选需要删除的服务器,单击<删除>按钮,弹出提示,单击确认即可删除。
· 修改:可修改当前采集服务器的服务器名称、选择采集组、备注,以及下方的“基础信息”和“系统设置”相关信息,完成后单击<确认>即可。
· 授权:授权是指允许服务器被接入并使用,可在当前操作区域快速对服务器进行授权、取消授权。
· 设备管理:设备管理用于管理服务器设备,并为各个服务器绑定所需的接入设备。单击<设备管理>按钮,在弹窗左侧架构树中单击相应的服务器(包含采集服务器、审批服务器、文件服务器、检测服务器、数据库服务器),在右侧可设置与其绑定的服务器。
文件服务器是备份文件最终存放的服务器,此菜单可管理文件服务器的基本信息维护。
在[系统管理/服务器管理/文件服务器]页面,可新增、删除、修改服务器信息。
图3-18 文件服务器
新增文件服务器:单击<新增设备>按钮,在“新增文件服务器”界面中进行“基础信息”、“系统配置”、“业务信息”相关信息的填写,完成后单击<确认>即可。
· 基础信息:口令即类似密码,安装此文件服务器时要输入此口令,可自行设置;内网地址和端口则为文件服务器所在PC的内网地址和端口,允许开启配置映射外网IP、端口。
· 系统配置:可配置传输方式、备份主路径、数据端口区间、流量限速等信息。
· 业务信息:业务开关对应的是“日志审计”模块下相关的文件日志菜单,在此处勾选开启后才能在对应的日志菜单页面下载日志文件。
终端生成日志文件后会本地保存7天,在此期间日志会上传至文件服务器进行备份,而控制台中的附件是从文件服务器上获取的,所以在此处开启业务开关后,才能在对应的日志菜单页面下载日志文件。
图3-19 新增文件服务器-基础信息
图3-20 新增文件服务器-业务信息
配置控制台连接的数据平台服务器信息,配置后可连接相关审批服务器进行审批相关事项操作和日志数据查看。
在[系统管理/服务器管理/审批服务器]页面,可配置审批服务器的内外网地址、端口,配置好后单击<测试>按钮测试是否正确即可。
图3-21 配置审批服务器
分配文件服务器:管理通过申请当前审批服务器的审批的文件所上传备份的文件服务器。勾选数据,单击“>>”即可将信息转入“已选数据”框,此时在已选数据里的服务器则为此审批服务器的文件服务器,完成后单击<确认>按钮即可。
图3-22 分配文件服务器
用于配置控制台连接的数据平台服务器信息,用于报表菜单。
在[系统管理/服务器管理/综合报表服务器]页面,可配置综合报表服务器的内外网地址、端口,配置好后单击<测试>按钮测试是否正确即可。
图3-23 综合报表服务器配置
数据库服务器用于保存日志数据,数据库服务器信息需要在控制台上配置。
在[系统管理/服务器管理/数据库服务器]模块,选择不同的页签可对数据库服务器进行不同操作。
· 数据库服务器:在“数据库服务器”页签下,可以配置服务端安装时自带的存储日志的数据库,允许修改IP和新增设备。
单击<新增设备>按钮,在弹窗中设置服务器的信息,包括设备昵称、数据库类型、IP地址、端口等。单击“测试连接”连接成功后单击<确认>按钮即可。
在使用过程中,若服务器IP地址有变动,则需要在此处手动修改IP地址。
图3-24 数据库服务器
· 数据库备份设置:在“数据库备份设置”页签下,可以设置数据备份时间及备份路径,备份路径的类型可以选择本地磁盘备份或共享文件夹。
图3-25 数据库备份设置
· 数据库备份日志:在“数据库备份日志”页签下,可以查看或筛选已存在的数据库备份日志。
· 数据库恢复:在“数据库恢复”页签下,可将已备份文件恢复至系统中。单击<解密工具>按钮,在弹窗中选择备份文件,等待解密完成即可。
图3-26 数据库恢复
检测服务器是敏感内容策略用来检测敏感违规文件的服务器。
安装服务端时选择的服务器会默认展示在[系统管理/服务器管理/检测服务器]页面,同时在此页面还可以配置其他检测服务器信息。
图3-27 检测服务器
邮箱服务器用于发邮件,可以配置邮箱如126、163等。目前以下几个位置会用到邮箱服务器: 管理员找回密码和告警中的邮箱告警。
在[系统管理/服务器管理/邮箱服务器]页面,允许新增、删除、修改服务器相关内容。
图3-28 邮箱服务器
单击<新增设备>按钮,在“新增邮箱服务器”界面中输入服务器名称,选择性输入备注,同时需要完善下方的“服务器设置”和“高级设置”相关信息的填写,完成后单击<确认>按钮即可。
· 服务器设置:设置邮箱账号、邮箱密码、发送服务器、端口信息。
· 高级设置:可配置发信名称、默认抄送、默认密送。
图3-29 新增邮箱服务器-服务器设置
图3-30 新增邮箱服务器-高级设置
在[系统管理/服务器管理/文件溯源服务器]菜单下,可查看文件溯源服务器的内外网IP地址及端口。
图3-31 文件溯源服务器
在[系统管理/服务器管理/网络准入服务器]菜单下,可管理网络准入服务器,支持新增设备、删除设备、配置终端组等。
· 新增设备:单击<新增设备>按钮,在弹出的配置窗口,设置包括服务器名称、内网IPv4地址、内网端口、外网IPv4地址、外网端口等,之后单击<确认>即可。
· 配置终端(组):勾选某条服务器数据,单击<配置终端(组)>按钮,可为该服务器配置终端(组)。
· 删除设备:勾选需删除的数据,单击<删除设备>按钮,弹出删除提示框进行二次确认,单击<确定>按钮即可。
图3-32 网络准入服务器
此模块主要维护系统中终端策略所使用的基础数据。可提前在对应的菜单页面维护,也可在所需界面通过快捷方式链接到对应菜单维护所需数据。
可在此处统一维护系统中所需设置的告警模板,针对全局使用,即系统中的所有告警模板均是引用此处的数据。
在[系统管理/策略基础数据/告警模板库]页面,在左侧结构树中选择子目录,可以查看对应模块下的告警模板。
图3-33 告警模板库
生效时间基础数据库,可在此处统一维护系统中所需设置的生效时间,针对全局使用,即系统中的所有时间需求均是引用此处的数据。
在[系统管理/策略基础数据/生效时间库]页面,可对生效时间进行新增、修改,不允许删除。
单击<新增>按钮,在“新增时间安排表”界面中输入时间表名称,配置当前时间表各个日期时间安排。具体可单击界面上的“
”和“
”增加按钮新增,“
”按钮删除,完成后单击<确认>按钮即可。
图3-34 生效时间库
邮箱信息基础数据库,可在此处统一维护系统中所需的邮箱信息,针对全局使用,即系统中的所有邮箱信息均是引用此处的数据。
在[系统管理/策略基础数据/邮箱信息库]页面,可在界面左边的结构树中新增、删除邮箱分组信息;在界面主数据区可新增、删除、修改、导入、导出邮箱信息。
图3-35 邮箱信息库
网址信息基础数据库,可在此处统一维护系统中所需的网址信息,针对全局使用,即系统中的所有网址信息均是引用此处的数据。
在[系统管理/策略基础数据/网址信息库]页面,在界面左边的结构树中可新增、修改、删除分组信息;在界面主数据区可新增、删除、修改、导入、导出网址信息。
图3-36 网址信息库
服务器信息基础数据库,可在此处统一维护系统中所需的服务器信息,针对全局使用,即系统中的所有服务器信息均是引用此处的数据。
在[系统管理/策略基础数据/服务器信息库]页面,在界面左边的结构树中可新增、修改、删除分组信息;在界面主数据区可新增、删除、修改、导入、导出服务器信息。
图3-37 服务器信息库
USB设备信息基础数据库,可在此处统一维护系统中所需的USB设备信息,针对全局使用,即系统中的所有USB设备信息均是引用此处的数据。
在[系统管理/策略基础数据/USB设备库]页面,在界面左边的结构树中可新增、修改、删除USB设备分组信息;在界面主数据区可审批USB设备接入、删除、修改设备信息。同时支持链接到“存储设备使用控制”菜单做设备授权。
注意:此处的审批同意接入的数据即为USB新增数据。
图3-38 USB设备库
WiFi信息库基础数据库,可在此处统一维护系统中所需的WiFi信息,针对全局使用,即系统中的所有应用的WiFi信息均是引用此处的数据。
图3-39 WiFi信息库
应用程序信息基础数据库,可在此处统一维护系统中所需的应用程序信息,针对全局使用,即系统中的所有应用的程序信息均是引用此处的数据。
在[系统管理/策略基础数据/应用程序库]页面,可在界面左边的结构树中新增、修改、删除应用程序库分组信息;在界面主数据区可添加、删除、移动程序。
图3-40 应用程序库
· 添加程序:单击<添加程序>按钮,在新增程序弹窗中可选择以“扫描目录”或“上传单个文件”的方式添加程序。
¡ 扫描目录:单击<扫描目录>按钮,选择所要扫描的文件夹,待目标文件夹扫描完成后在数据列表勾选需要添加的程序,单击<确认>即可。
图3-41 扫描目录
图3-42 勾选程序
¡ 上传单个文件:单击<上传单个文件>按钮,选择所要上传的程序,上传完成后在数据列表勾选,单击<确认>即可。
图3-43 上传单个文件
文件后缀库用于管理常用文件后缀,需要配置文件后缀的页面可以从文件后缀库中直接导入。
在[系统管理/策略基础数据/文件后缀库]页面,可在界面左边的结构树中新增、删除文件后缀库的分组信息;在界面主数据区可新增、删除、导入、导出文件后缀。
图3-44 文件后缀库
水印模板信息基础数据库,可在此处统一维护系统中所需的水印模板,针对全局使用,即系统中的所有水印模板均是引用此处的数据。
水印模板分为打印水印、屏幕水印、Office文档水印模板。
在[系统管理/策略基础数据/水印模板库]页面,可在界面左边的结构树中新增、修改、删除模板分组信息;在界面主数据区可新增、删除、修改打印水印、屏幕水印和Office文档水印模板信息,同时支持查询点阵码。
图3-45 水印模板库
· 新增模板:进入[系统管理/策略基础数据/水印模板库]页面,选择对应页签,可以新增对应的水印模板。
¡ 新增屏幕水印模板:选择“屏幕水印模板”页签单击<新增模板>按钮,在弹窗中配置模板相关参数,支持效果预览,完成后单击<确认>按钮即可。
图3-46 新增屏幕水印模板
¡ 新增打印水印模板:选择“打印水印模板”页签单击<新增模板>按钮,在弹窗中配置模板相关参数,支持效果预览,完成后单击<确认>按钮即可。
图3-47 新增打印水印模板
¡ 新增Office文档水印模板:选择“Office文档水印模板”页签单击<新增模板>按钮,在弹窗中配置模板相关参数,支持效果预览,完成后单击<确认>按钮即可。
图3-48 新增Office文档水印模板
· 删除模板:选择对应页签在数据列表中勾选需要删除的模板数据,单击<删除模板>按钮,弹出提示,单击确认即可删除。
注意:如果数据已被应用到策略中则不可删除。
· 查询点阵码:在“点阵水印编码”处输入对应编码,单击<查询>按钮,会在点阵图左下角显示点阵水印图案,同时可在下方列表中看到应用该点阵码的终端信息。
图3-49 查询点阵码
违规响应规则基础数据库,可在此处统一维护系统中所需的违规响应规则,针对全局使用,即系统中的所有违规响应规则均是引用此处的数据。
在[系统管理/策略基础数据/违规响应规则库]页面,可新增、删除、修改违规响应规则信息。
图3-50 违规响应规则库
对系统全局的参数配置,配置后则按此规则生效。
在[系统管理/系统配置/全局配置]页面,可对操作员显示方式、终端显示方式、录屏间隔、服务器配置等进行自定义配置,完成后单击<保存>即可。
图3-51 基础配置
图3-52 控制台web服务器配置
在[系统管理/系统配置/终端设置]页面,可以设置终端的一些基本信息,包括是否隐藏终端图标、隐藏终端进程、开启终端自我保护、关闭文件加解密功能后未关闭的受控程序可继承工作多久等常规设置;备份文件大小、终端监控数据保留天数等备份文件设置;是否允许手机MTP拷贝、是否关闭Office受保护视图等高级配置。
· 新增策略:单击<新增策略>按钮,在弹窗中选择生效对象,输入策略名称、备注、是否启用、配置常规设置和高级配置中所需的终端设置选项,完成后单击<确认>按钮即可。
图3-53 终端设置策略-常规设置
图3-54 终端设置策略-备份文件设置
图3-55 终端设置策略-高级设置
· 删除策略:在数据列表中勾选需要删除的策略,单击<删除>按钮,弹出提示,单击确认即可删除。
· 修改策略:可修改当前策略配置页面的所有信息,完成后单击<确认>即可。
· 策略新增成功后,只有启用了当前策略并且在右上角的消息提示区单击“策略下发”后才会下发至终端生效,如未启用则是在当前对象下预定义的一条策略信息。
· 只可删除、修改“来源”于自身的策略数据,因为策略支持继承会在策略数据界面不同来源的策略,这时如果想修改一条非来源于自身的可单击“来源”列下发的具体对象可便捷链接到配置的原对象上,此时可进行修改。
在[系统管理/系统注册/终端菜单管理]页面,可以为指定终端关闭某些功能菜单。
图3-56 终端菜单管理
· 新增终端菜单策略:单击<新增策略>按钮,在终端菜单管理的策略配置界面输入策略名称、是否启用、配置需要关闭的终端功能菜单选项。
图3-57 新增终端菜单策略
· 删除终端菜单策略:在数据列表中勾选需要删除的策略,单击<删除>按钮,弹出提示,单击确认即可删除。
· 修改终端菜单策略:可修改当前策略配置页面的所有信息,完成后单击<确认>即可。
· 策略新增成功后,只有启用了当前策略并且在右上角的消息提示区单击“策略下发”后才会下发至终端生效,如未启用则是在当前对象下预定义的一条策略信息。
· 只可删除、修改“来源”于自身的策略数据,因为策略支持继承会在策略数据界面不同来源的策略,这时如果想修改一条非来源于自身的可单击“来源”列下发的具体对象可便捷链接到配置的原对象上,此时可进行修改。
授权码为随机生成,不可修改,且只在设置效期内可用。
终端分为老板终端和普通终端,安装老板终端时需此授权码。
在[系统管理/系统配置/老板终端授权码]页面对授权码新增、删除。
单击<新增授权码>按钮,在“新增老板终端授权码”的界面设置起始有效期、截止有效期,完成后单击<确认>按钮即会随机生成授权码。
图3-58 老板终端授权码
在[终端管理/策略总览/策略总览]页面,可便捷查看指定终端的所有生效策略的详细信息。
选择“终端”、“操作员”或“策略类型”页签下对应节点,可查到当前生效的策略,并且列表详细信息列可执行以下操作:
· 查看策略信息:单击<查看>按钮可看到当前策略的详细信息。
· 维护策略:如果想修改对应的策略内容,可单击<维护策略>按钮,会跳转到当前策略类型配置菜单页面,这时可维护修改当前策略。
· 导出策略信息:单击<导出>按钮,选择导出类型,可将对应的策略数据导出到Excel文档中,便于报告和展示相关内容。
图3-59 策略总览
在[终端管理/数据总览/违规响应规则总览]页面,支持查看指定终端的所有违规响应规则的详细信息。
单击终端、操作员页签下的对应节点,可查到当前生效的违规响应规则对应的策略信息。如果想修改对应的策略内容,可单击<维护策略>按钮,跳转到当前策略类型的配置菜单页面,即可维护当前策略。
图3-60 违规响应规则总览
在[终端管理/终端管理/终端接入审批]页面,可设置终端接入模式。
新终端接入认证时,若接入方式设置为“审批接入”,则需要由控制台管理人员来审核是否允许其接入。
图3-61 终端接入审批
终端接入设置:可设置终端接入方式、操作员登录模式、推荐分组,以及是否开启智能接入。
系统支持4种终端接入方式,可根据自身需求选择合适的接入方式:
· 禁止新终端接入:无法再有新终端接入。
· 允许新终端接入:新终端安装后可直接接入。
· 审批接入:终端安装后需要管理员审批后才允许接入。
· 智能接入:在允许接入的情况下可配置相关参数可按配置智能接入终端。
图3-62 终端接入设置
终端接入审批:可切换[PC终端]或[移动终端]页签,对所需终端进行审批,支持批量审批和对某一终端单独审批。PC终端、移动终端的审批操作类似。
· 单个操作:单击某终端列表操作列的<审批>按钮,在“终端接入审批”弹窗中选择审批应答,支持选择:使用新节点、使用旧节点、拒绝接入、拒绝接入并卸载终端。如果选择“使用新节点”接入则还需要填入如下图中信息,完成后单击<确认>即可。
图3-63 单个操作
· 批量操作:在数据列表中勾选需要操作的终端,可批量执行接入成新终端、拒绝接入、拒绝接入并卸载终端的操作。
图3-64 批量操作
终端操作员信息维护的菜单,该操作员对应登录终端使用的人员。
在[终端管理/终端管理/终端操作员]页面对操作员新增、删除、修改、导入、导出,支持启用、禁用操作员。
图3-65 终端操作员
· 新增操作员:单击<新增操作员>按钮,在“新增操作员”界面中输入账号、操作员名称、密码、确认密码、选择操作员组、邮箱地址、联系电话、选择启用/禁用状态,完成后单击<确认>按钮即可。
注意:在“新增操作员”配置界面可设置在终端手动登录时是否禁止空密码登录和是否允许移动端解密分享文件。
图3-66 新增操作员
· 删除:在数据列表中勾选需要删除的策略,单击<删除>按钮,弹出提示,单击确认即可删除。
· 修改:可修改当前操作员配置相关的信息,以及启用/禁用状态,完成后单击<确认>即可。
若操作员忘记密码,可联系管理员在此处修改密码。
· 导入:单击<导入>按钮,选择重名处理方式;之后可先单击<下载导入模板>按钮,根据模板完善数据;信息填写好后,单击<请选择.xls格式的文件(非加密文件)>上传文件,确认即可。
· 导出:勾选需要导出的数据项,单击<导出>按钮,可直接导出当前选中的终端操作员信息;也可选择分组,导出分组下的所有终端操作员信息。
在[终端管理/终端管理/终端信息]页面,可查看接入终端文件管理系统的所有终端信息和终端日志。
在[终端管理/终端管理/终端信息]菜单的“终端信息”标签页下,可新增/卸载终端、修改终端信息、对终端远程控制等。
图3-67 终端信息页面
· 新增终端:单击<新增>按钮,可新增Windows永久离线终端和Windows U盘终端,并可为终端设置终端名称、终端组、登录模式等。
· 卸载终端:勾选终端,单击<卸载>按钮,在“卸载终端”界面中,需要输入当前登录管理员密码才可卸载终端,支持选择是否删除终端数据、删除终端关联的自动操作员数据,完成后单击确认即可。
· 远程控制:在“远程控制”下拉框中,支持选择锁屏计算机、解锁计算机、注销计算机、重启计算机、关闭计算机、重启终端程序。勾选终端后选择对应功能即可远程操作。
· 绑定操作员:单击<绑定操作员>,在弹窗中可以勾选绑定于此终端的操作员。
在“更多操作”下拉框中可以执行多种操作:
图3-68 更多操作
· 设置采集服务器:勾选终端,在“更多操作”下拉框中选择<设置采集服务器>,在弹窗中选择添加所要绑定的服务器,支持批量添加和单独添加。添加绑定成功后则终端可通过此采集服务器上传数据等,支持绑定多个。勾选终端(支持全选),单击“批量删除采集服务器绑定”,可取消终端绑定的服务器。
· 修改登录模式:勾选终端,在“更多操作”下拉框中选择<修改登录模式>,可修改终端的手动登录、操作员自动登录、域用户自动登录等登录模式,以及自动登录的操作员。
· 生成终端解锁验证码:选择终端,在“更多操作”下拉框中选择<生成锁屏终端验证码>,在窗口输入随机码和验证码可获取当前终端的锁屏验证码。
“随机码”终端告警锁屏时会给随机码,需要将该码提供给管理员;“验证码”随机码填写后单击<生成验证码>按钮后生成。
· 生成通用解锁验证码:在“更多操作”下拉框中选择<生成锁屏终端验证码>,在弹窗口中单击<生成>按钮,即可生成验证码。
生成的通用解锁验证码在当天有效、对所有终端都有效且不限解锁次数。
· 同步终端和操作员信息:勾选终端,在“更多操作”下拉框中选择<同步终端和操作员信息>,可通同步方式、终端名称/操作员名称搜索查询终端和操作员的同步情况。
· 批量修改终端分组:勾选终端,在“更多操作”下拉框中选择<批量修改终端分组>,可批量移动所选中终端到指定分组。
· U盘终端管理:对于在外出差或未安装终端程序的用户,可用U盘终端查看加密文件。在“更多操作”下拉框中选择<U盘终端管理>,在弹出窗口可对U盘终端进行管理。
a. 制作U盘终端需要先安装终端文件管理系统插件,连接插件,插件状态为正常时即可进行制作。如果插件状态连接失败,请根据以下步骤进行检查:
- 请检查插件是否安装,若未安装请单击“下载插件”下载完成后安装并启动插件
- 若已安装插件,请检查插件是否已启动(计算机桌面右下角任务栏是否有插件图标
);
- 若插件已启动,请查看插件的通信端口与控制台设置的插件端口是否一致;
- 若端口不一致,请在插件和控制台上将端口修改成一致,然后单击下方重新连接按钮。
b. 选择已插入的U盘设备、可为U盘配置策略信息,分配功能模块(注:U盘终端模块分配后不能取消,需要卸载终端才能回收模块),之后可制作和管理U盘终端。
c. 生成重置密码文件:对于U盘绑定终端且需要重置密码的U盘终端,选择U盘终端,设置新密码,单击<生成>按钮,生成并下载文件。将该文件发送到U盘终端,U盘终端登录界面,单击<忘记密码>导入该文件即可重置密码。
图3-69 U盘终端管理
· 永久离线终端管理
d. 在“更多操作”下拉框中选择<永久离线终端管理>,在弹窗左侧组织架构树中选择需要管理的终端,可为终端分配对应的功能模块并进行安装授权。
e. 模块分配:单击<模块分配>按钮,在弹出窗口勾选对应功能模块,之后单击<确定>按钮,即可为该离线终端配置相应的功能模块。
f. 将安装永久离线终端时,终端安装界面生成的6位数字的安装识别码准确填写,之后单击生成许可文件,生成的授权文件可导入对应终端。
· 生成授权文件后,控制台的终端节点将被占用。
· 授权文件只能在生成安装识别码的终端上导入安装,若安装识别码不一致,授权文件将无法成功导入终端。
· 定期清理未上线终端:在“更多操作”下拉框中选择<定期清理未上线终端>按钮,在弹窗中可配置定期清理多少天内未上线终端、是否提醒管理员长期未上线的终端信息。还可以设置被清理终端再次上线时,是否可以自动恢复使用状态。
· 清理终端:选中终端数据,单击<清理终端>按钮,可手动清理终端数据,被清理的终端将移动到“回收站”分组。
· 恢复已清理终端:选择回收站分组的终端,单击<恢复已清理终端>按钮,可恢复终端的使用状态。
· 终端被清理后,将清空终端的所有授权模块,并将终端移动到“回收站”分组。
· 被清理的终端可通过“恢复已清理终端”功能,恢复终端的使用状态。
提取终端的日志到服务器中,管理员可对日志进行下载分析。
在[终端管理/终端管理/终端信息]菜单的“终端日志”标签页下,单击具体终端,可实时查看当前终端的日志信息。
在[终端管理/终端管理/终端分组和名称规范]菜单下,可以实现对终端的分组进行调整和修改,规范终端分组名称。
支持为在线终端新增规范任务,任务下发后,将提示终端登记所属部门和终端名称,控制台收集到终端上传的登记信息后,可对信息进行同步,从而完成终端分组和终端名称的规范。
· 新增规范任务:可为在线终端新增规范任务。
¡ 为选中终端新增任务:勾选终端(可多选),单击<新增规范任务>按钮,选择“为选中终端新增任务”、不同状态终端的处理方式,之后单击确认即可下发收集任务。
¡ 为部门下所有终端新增任务:单击<新增规范任务>按钮,选择终端分组、不同状态终端的处理方式,之后单击确认即可为部门下所有在线终端下发任务。
· 规范分组和名称:单击<规范分组和名称>按钮,选择收集的分组模糊到多个部门的处理方式、同步选项,之后单击开始同步即可。
¡ 收集的分组模糊匹配到多个部门的处理方式:可选择首个匹配或不匹配。
- 首个匹配:匹配到多个部门时,从多个部门中取最早创建的部门作为匹配部门。
- 不匹配:匹配到多个部门时,按没有匹配到处理。
¡ 选择终端:可选择是否勾选“选择终端”。
- 未选择终端时,默认为列表中所有终端(任务状态为“收集完成”的终端)同步数据。
- 选择终端时,只为选择的终端同步数据。
· 重新下发任务:选择需要重新下发规范任务的终端(可多选),单击<重新下发任务>按钮,选择不同状态终端的处理方式,之后单击确认即可重新下发收集任务。
· 删除规范任务:勾选终端规范任务(可多选),单击<删除规范任务>按钮,弹出确认提示,单击“确定”即可。
在[终端管理/终端管理/热键设置]页面,可以配置系统维护、显示终端图标、隐藏终端图标、截屏等功能的热键,可选择使用默认热键或使用自定义热键,也可选择不使用热键。
图3-70 热键设置
若公司内有电脑安装了安全终端,当操作员携带电脑出差或将电脑带回家工作时,安全终端则会脱离终端文件管理系统,打开加密文件就会显示为密文(乱码),操作员无法正常使用加密文件。
为此,终端文件管理系统提供了离线策略功能,即在离线策略时间内终端还可以正常使用加密文件。
离线策略适用于终端电脑需要较长时间脱离公司网络的情况,例如携带电脑出差。如果碰到出差时间延长等情况,可以由管理员在公司内部再制作一个相应时间的离线策略发给该员工,然后重新导入新的离线策略即可。
· 在离线策略时间内,若将终端电脑上的加密文件拷贝至其他没有安装终端或没有权限的电脑上,文件仍会保持加密状态,不可查看。
· 在离线策略时间内,终端不能申请解密,终端的操作记录会暂时保存在本地,当与服务器再次通信时上传到服务器。
在[终端管理/终端管理/离线策略]页面,先在右侧结构树中选择终端,然后根据页面参数设置即可。
图3-71 离线策略
在[终端管理/终端管理/终端在线升级]页面,可以对指定终端进行在线升级,查看对应任务信息,并可进行终端安装包制作。
首先手动上传安装包,将其制作为终端安装包,然后新增升级任务即可。
图3-72 终端在线升级
· 新增升级任务:单击<新增任务升级>按钮,在“新增终端升级任务”界面,选择相应的升级安装包版本,选择需要升级的终端对象,单击确认则任务配置完成。如果列表没有所需安装包版本,可单击界面中的<上传安装包>按钮便捷上传。生效对象旁边的<终端版本信息>按钮可查看当前终端实际的版本信息,方便用户确认是否要升级替换终端的版本。
· 高级配置:在“终端升级”标签页,单击<高级配置>按钮,可设置终端执行完升级后,是否提醒用户重启计算机。
· 安装包管理:在此处维护的安装包数据即配置“新增升级任务”时列表的安装包数据。单击<安装包管理>按钮,“安装包管理”界面单击<上传安装包>即可逐步上传安装包版本,支持上传、删除、重新上传安装包数据。
· 任务执行情况:切换至“任务执行情况”页签,可查看下发的升级任务执行情况。
· 终端安装包制作:切换至“终端安装包制作”页签,可进行静默安装包或普通安装包的制作。
a. 单击<上传安装包>进行上传终端安装包,然后列表操作列的<制作>按钮进行制作。
b. 在“终端安装包制作”界面选择制作类型、输入服务器地址、服务器端口,单击制作即完成当前终端安装包的制作过程。
说明:在终端安装时,如果安装包被制作了静默安装包,双击安装包后会后台自动安装,如果是普通安装包则需要要手动安装。
在[终端管理/终端管理/移动终端分享配置]页面,可为终端(组)配置相应策略,实现对移动终端分享文件的限制。可设置指定文件后缀是否允许分享、指定文件后缀由特定的程序打开等。
图3-73 移动终端分享配置
单击<新增策略>按钮,在弹出的策略配置窗口,设置包括生效对象、策略名称、是否启用、是否允许分享指定文件后缀,而配置完成后单击<确认>按钮即可。
若勾选了“允许分享指定后缀文件”,则共享的文件为明文文件,可能存在泄密风险,请谨慎配置。
配置文件后缀指定打开程序时,文件可以通过指定打开程序分享出去,分享出去的文件为明文文件,可能存在泄密风险,请谨慎配置!
图3-74 新增移动终端分享配置策略
在[终端管理/终端管理/移动终端文档阅读配置]页面,设置文件指定打开程序策略,文件可以通过指定程序打开。
文件通过指定程序打开后,通过指定程序分享出去的文件为明文文件,可能存在泄密风险,请谨慎配置。
支持对指定移动终端进行版本升级,并且可以查看升级状态。
在[终端管理/终端管理/移动终端升级]页面,新增终端(组)升级策略,便可对指定终端(组)升级指定版本,还可查看升级状态。
图3-75 移动终端升级
在[终端管理/终端远程维护/终端系统信息]页面,支持查看当前在线终端的基本信息,包括终端系统、开机时间、登录用户、磁盘使用率等。
在左侧结构树中选择具体的在线终端,即可查看当前终端的系统信息。
图3-76 终端系统信息
· 只可以查看在线的终端系统信息。
· 实时数据收集需要一定的时间才可展示,如终端电脑关机或者不在线等可能会无法收集。
在[终端管理/终端远程维护/终端系统信息]页面,支持查询指定终端正在运行的所有进程信息,对可疑进程进行强制结束,保障终端信息安全。
在左侧结构树中选择具体的在线终端,即可查看当前终端的进程情况。
图3-77 进程管理
在[终端管理/终端远程维护/软件管理]页面,提供对终端电脑的软件管理功能,可查询所有软件信息,并进行卸载操作。
在左侧结构树中选择具体的在线终端,即可查看当前终端的软件情况,包括软件名称、发布者、软件版本、大小、安装路径、安装时间。
图3-78 软件管理
在[终端管理/终端远程维护/资源管理器]页面,支持浏览目标终端电脑的所有硬盘信息以及文档信息,方便用户清楚直观地了解终端计算机的文件信息。
在左侧结构树中选择具体的在线终端,即可查看当前终端的资源占用情况,包括文件大小、修改时间、创建时间、属性。
图3-79 资源管理器
在[终端管理/终端远程维护/设备管理]页面,可查看终端电脑的硬件设备信息,并对这些硬件设备的驱动程序进行启用或者禁用。
在左侧结构树中选择具体的在线终端,即可实时查看终端电脑的硬件设备信息,同时可单击进行“启用/禁用”。
图3-80 设备管理
在[终端管理/终端远程维护/共享管理]页面,可查看共享列表,包括共享名称、共享路径、共享用户数,以及取消共享操作。
单击<查看共享对象>按钮查看,也可以单击<取消共享>按钮取消。
图3-81 共享管理
在[终端管理/终端远程维护/系统服务]页面,支持管理终端计算机上的服务,比如:设置服务失败时的故障恢复操作,可重启设置服务失败时的故障恢复操作,也可以为特定的硬件配置文件启用或禁用服务。
单击列表操作列的停止、启动、重启、自动、手动、禁用等按钮可直接管理对应的服务。
图3-82 系统服务
在[终端管理/终端远程维护/启动项管理]页面,支持对开机启动项、开机服务项、任务计划项进行启用/禁用管理。
通过切换“开机启动项管理/开机服务项管理/任务计划项管理”页签,可分别对相关项做启用/禁用管理。
图3-83 启动项管理
远程协助只对在线的普通终端有效,对老板终端、移动终端、离线终端无效。如果终端电脑被锁屏或者掉线等则无法远程连接。
在[终端管理/终端远程维护/远程协助]页面,支持远程其他的终端电脑,并进行基本操作。单击<远程协助>按钮,在弹框中单击连接即可。
图3-84 远程协助
· 绑定IP地址后,被绑定的电脑将不允许修改IP地址,一旦修改将被禁止访问网络。
· 绑定MAC地址后,被绑定电脑将不允许修改MAC地址,即禁止私下更换网卡。
在[终端管理/终端远程维护/IP/MAC绑定]页面,选择对象,单击<新增策略>按钮在界面完成配置,在系统右上角单击策略下发即可。
· 新增策略:单击<新增策略>按钮,在策略配置界面输入生效对象、策略名称、新增IP/MAC绑定(支持从终端导入),完成后单击确认即可。
· 绑定终端:单击<绑定终端>按钮,在弹窗中勾选组织架构树下已有的终端,之后单击<绑定>按钮,即可实现终端和MAC地址、IP地址都绑定。
图3-85 新增IP/MAC绑定信息
图3-86 绑定终端
在[终端管理/资产管理/硬件资产]页面,系统提供对终端电脑自带的硬件信息的查询。
图3-87 硬件资产信息
· 资产配置:单击列表操作列的<资产配置>按钮,在“硬件配置详细信息”页面,可选择查看对应终端的硬件配置信息。
· 自定义查询:单击<自定义查询>按钮,在弹窗中可添加资产属性和属性值,即可按自定义内容查询出硬件资产的相关信息。
· 自定义列:单击<自定义列>按钮,在“自定义列设置”页面,在源列表中勾选所需的列,单击“
”即可将信息转入“目标列表”框,单击确定后则菜单首页数据只展示所选列。
图3-88 自定义列设置
在[终端管理/资产管理/硬件资产变更报警设置]页面,可配置硬件资产变更报警,硬件资产变更包括设置增加/删除不同的资产类型。
首先勾选“硬件配置变更报警”(不勾选即为不配置告警),然后勾选报警的事件类型和资产类型,并配置违规响应规则,完成后单击<保存>即可。
· 在“违规响应规则”下拉框中选择规则后,单击左侧的展开图标,可展开对应规则的详细信息。
· 若无适合的相应规则,可通过
按钮快速链接到“违规响应规则库”菜单进行规则配置。
图3-89 硬件资产变更报警设置
在[终端管理/软件资产管理/软件资产]页面,详细记录终端电脑安装的软件情况。
可以直接查看终端的软件资产;也可以单击左侧组织架构树节点,查询对应终端的软件资产信息。
图3-90 软件资产信息
在[终端管理/资产管理/软件资产变更报警设置]页面,可配置软件资产变更报警,软件资产变更包括设置增加/删除不同的资产类型。
首先勾选“软件配置变更报警”(不勾选即为不配置告警),然后勾选报警的事件类型和资产类型,并配置违规响应规则,完成后单击<保存>即可。
· 在“违规响应规则”下拉框中选择规则后,单击左侧的展开图标,可展开对应规则的详细信息。
· 若无适合的相应规则,可通过
按钮快速链接到“违规响应规则库”菜单进行规则配置。
图3-91 软件资产变更报警设置
企业管理可以根据实际情况对企业内部采购的软件资产进行记录。
在[终端管理/软件版权管理/软件订单总表]页面,支持查看、新增、修改、删除企业购买的软件订单信息,包括名称、软件版本、编号、采购数、采购总价、采购日期等信息。
单击<新增订单>按钮,在“新增软件订单”界面录入软件信息和订单信息即可。
图3-92 软件订单总表
在[终端管理/软件版权管理/软件订单管理]页面,支持进行订单预警设置,可对订单进行控制管理。
单击<预警设置>按钮,在“软件订单预警设置”界面设置执行规则、响应规则即可。
图3-93 软件订单预警设置
对于存在可分配点数的软件可进行授权操作,对已授权的软件可对其进行回收。
图3-94 软件资产信息
系统支持根据进程特征/程序指纹等限制指定终端禁止、允许安装指定软件。
在[终端管理/软件管理策略/软件安装/卸载限制]页面,可以在“安装限制”、“卸载限制”、“特殊目录放行”三个页签下进行策略的新增、修改。
图3-95 软件安装/卸载限制页面
· 新增安装限制策略:选择“安装限制”页签后,单击<新增策略>按钮,配置策略生效对象、策略名称、检测规则、执行规则等,完成后单击确认即可。
图3-96 新增安装限制策略
· 新增卸载限制策略:选择“卸载限制”页签后,单击<新增策略>按钮,配置策略生效对象,策略名称、检测规则、执行规则等,完成后单击确认即可。
图3-97 新增卸载限制策略
· 新增特殊目录放行策略:选择“特殊目录放行”页签后,单击<新增策略>按钮,配置策略名称、是否启用、配安装程序特殊目录、卸载程序特殊目录。若程序路径包含策略中配置的特殊目录,安装或卸载程序时将不受限制。
图3-98 新增特殊目录放行策略
策略新增成功后,只有启用了当前策略并且在右上角的消息提示区单击“策略下发”后才会下发至终端生效。
企业可对内部进行软件安装运行进行管控,设置黑白名单,当终端/操作员运行或者安装设置的黑白名单软件时进行卸载或告警等。
在[终端管理/软件管理策略/软件黑白名单]页面,支持新增、删除软件黑白名单策略。
图3-99 新增软件黑白名单策略
在[终端管理/软件管理策略/必须安装软件]页面,可新增、删除必须安装软件策略。
在[终端管理/软件管理策略/必须运行软件]页面,可新增、删除必须运行软件策略。
系统支持查看终端软件的安装情况并支持对其创建卸载任务进行卸载,分为(软件模式、计算机模式)查看。
进入[终端管理/软件卸载管理/软件卸载]页面,在“卸载任务”页签下可以看到系统中的卸载任务数据,可在此页面做任务数据删除。
· 计算机模式:切换到“计算机模式”页签,勾选软件,单击<创建卸载任务>按钮,在弹框中选择卸载次数、生效截止时间后,单击<确认>即可完成任务的创建。
注意:这里“创建卸载任务”页面中间的待卸载软件为之前勾选的;此勾选的软件只是指这个软件来源于某个终端,卸载任务里引用该软件。
图3-100 计算机模式-卸载任务
· 软件模式:切换到“软件模式”页签,此模式为先查看软件数据引用。勾选软件,单击<创建卸载任务>按钮,在弹窗中选择卸载次数、生效截止时间,再配置应用对象,单击确认即完成任务的创建。
图3-101 软件模式-卸载任务
本章节将介绍关于终端行为的各类管控操作。
在“终端行为”菜单项下的各个模块对应不同类别的管控操作,均需配置行为策略,在策略生效后,对应的生效对象会受所设策略的限制和管控。
· 新增策略时,注意启用策略。
· 新增策略后,需要在右上角的消息提示区(
)单击<策略下发>按钮,此时该策略才会下发至终端并生效。
· 在创建策略时,若无适合的相应规则,可通过
按钮快速链接到“违规响应规则库”进行规则配置。
各个模块支持的功能或有所不同,请以页面功能为准,但大部分均包括查看、新增、删除、修改策略操作,其步骤大致相似。此处仅简要说明操作步骤,具体请根据页面提示及自身需求配置。
· 查看策略信息:选中终端/操作员,可以查看终端/操作员对应的策略,可以删除或添加新的策略。
· 新增策略:
a. 进入对应页面,先在左侧组织树中选中想要管理的具体对象(支持选择任一节点或者具体终端),再单击<新增策略>按钮。
【说明】也可以先单击<新增策略>按钮,然后在弹窗中选择对应的生效对象,效果一样。
b. 在弹窗中完成对应配置后,单击<确认>按钮,完成策略的新增操作。
c. 然后需要在右上角的消息提示区单击<策略下发>,使该策略下发至终端并生效。
· 删除策略:勾选需删除的策略,单击<删除策略>按钮弹出删除提示框进行二次确认,单击<确定>按钮即可。
· 修改策略:选择需修改的策略,单击<修改>按钮,在弹窗中修改需要修改的内容,单击<确定>按钮即可。
通过策略包可更加便捷、自由的组合任意该大类下的策略类型,并批量应用给对象,节省时间和操作次数,是策略配置的另一种维度。
在[终端行为/终端行为策略包/终端行为策略包]页面,可新增、修改、删除策略包。
新增终端行为策略包:单击<新增策略包>按钮,在“新增终端行为策略包”的策略配置界面,选择策略包生效对象类型,输入策略包名称、备注,选择对应策略类型要使用的子策略,勾选该策略包的生效对象,完成后单击确认即可。
图3-102 终端行为策略包
预定义子策略:在“新增终端行为策略包”弹窗中,单击
按钮可跳转新的页面维护预定义策略。和同类项策略功能的主界面一样,只是这里的数据仅为策略包预定义数据,并非针对全局使用。
图3-103 预定义子策略
· 子策略分为两种:一种是支持为不同终端类型配置不同的策略,支持选择多个子策略;一种是不支持为不同终端类型配置不同的策略,只支持选择单个子策略。
· 策略包里的策略类型按需任意组合即可,并非每个策略类型都要选择子策略。
· 子策略为当前界面通过“
”按钮预定义的,此处为策略包预定义的唯一入口,请注意和主界面同类项策略功能菜单区分。
· 预定义的子策略可事先维护配置策略时直接引用,若配置策略包时没有想要选择的子策略,则可以单击
按钮进行维护。
在[终端行为/程序限制/程序收集]页面,可配置策略按要求收集指定终端的应用程序,收集上来的数据将合并到“应用程序库”里作为相关策略的基础数据使用。
图3-104 程序收集页面
在[终端行为/程序限制/程序收集]页面,可以执行以下操作:
· 新增策略:先在组织架构树中选中想要管理的具体对象(支持选择任一节点或者具体终端),再单击<新增策略>按钮,在“新增程序指纹收集策略”弹窗中配置对应参数完成后单击确认即可。
· 删除策略:在数据列表中勾选需要删除的策略,单击<删除>按钮,弹出提示,单击确认即可删除。
· 查看收集结果:单击<查看收集结果>跳转到“应用程序库”中,可查看详细的程序信息。
图3-105 应用程序库
用户可结合企业管理,对终端电脑使用的应用程序进行限制,可以禁止相应的程序运行。
在[终端行为/程序限制/程序访问限制]页面,可以新增、删除程序访问限制策略。
图3-106 程序访问限制
在[终端行为/程序限制/窗口标题限制]页面,支持设置关键字字符限制终端电脑的窗口事件信息和违规响应。
图3-107 窗口标题限制
在[终端行为/程序限制/程序版本限制]页面,支持对终端(组)/操作员(组)的程序指定版本进行限制及告警,可对程序版本限制策略进行查看、新增、删除。
图3-108 程序版本限制
在[终端行为/程序限制/程序使用记录设置]页面,用户可结合企业管理,对终端/操作员设置需要监视的程序。
图3-109 程序使用记录设置
在[终端行为/程序限制/程序运行时长统计设置]页面,系统可对指定程序进行监控并统计其运行时长。
图3-110 程序运行时长统计设置
在[终端行为/屏幕管控/屏幕录像设置]页面,支持对终端电脑支持设置屏幕录像时间间隔、强制录制间隔。
系统可以设置屏幕水印,支持设置桌面水印、进程水印、WEB页面水印,有效保障了企事业单位资料的版权。
在[终端行为/屏幕管控/屏幕水印设置]页面,选中终端/操作员,可以查看针对某终端/操作员的策略,可以删除或添加新的策略。
单击<新增策略>按钮,弹出“新增屏幕水印设置策略”页面,设置策略名称、是否启用,选择水印模板并设置受控程序,单击<确认>按钮即可。
此处模板引用的是[系统管理/策略基础数据/水印模板库]页面的数据,若配置策略时无可用的水印模板,可以单击<维护水印模板>按钮便捷链接跳转到屏幕水印模板界面维护所需模板,再返回“新增屏幕水印设置策略”窗口,引用模板数据配置策略。
图3-111 新增屏幕水印设置策略
在[终端行为/屏幕管控/屏幕追踪]页面,支持监视终端屏幕的使用情况。选择一个或多个终端,设置追踪单位间隔时间,可对其进行屏幕追踪。
在[终端行为/屏幕管控/程序动作监控]页面,支持设置程序在开启或者读取敏感文件时被监控。目前监控方式支持截屏,可设置截屏次数、间隔、延时时间。
图3-112 程序动作监控页面
在新增程序动作监控策略界面配置截屏次数、截屏间隔、录屏时长、受控程序及监控开启条件等参数。在该策略生效后,该终端用户使用受控程序时触发该策略则会被记录。
图3-113 新增程序动作监控策略
在[终端行为/文件监视/文件监视过滤]页面,支持对监视对象配置文件备份参数、备份文件阈值、磁盘监视类型等。
在创建的策略生效后,该生效对象使用受控文件时会被监视。
图3-114 文件监视过滤策略
在[终端行为/打印控制/打印权限控制]页面,支持设置允许打印的文件后缀、允许打印的进程、允许打印的打印机名称、设置禁止网络打印机打印、设置总开关等。
在[终端行为/打印控制/打印水印设置]页面,支持对终端电脑的指定程序设置打印水印。
图3-115 打印水印设置策略
在[终端行为/便携设备连接管控/蓝牙文件管控]页面,支持对终端使用蓝牙发送文件的行为进行管控。在蓝牙文件管控策略生效后,终端用户使用蓝牙传输文件时会被管控。
图3-116 蓝牙文件管控策略
在[终端行为/便捷设备连接管控/ADB管控]页面,可以管控ADB调试时外发的文件。在ADB管控策略生效后,终端用户使用ADB调试时外发的文件会被管控。
图3-117 ADB管控策略
在[终端行为/便携设备连接管控/MTP管控]页面,可配置MTP传输的明文或密文文件的外发限制和响应规则。
图3-118 MTP管控策略
在[终端行为/存储设备/存储设备使用控制]页面,可限制终端的可移动磁盘、光盘、USB设备等存储设备的使用。
单击<新增策略>按钮,在弹窗中配置存储设备的控制配置,在策略生效后,该终端用户使用的存储设备会被管控。
图3-119 新增存储设备使用控制策略
在[终端行为/存储设备/USB外发文件设置]页面,可以新增、删除、修改USB外发文件设置策略。
单击<新增策略>按钮,在弹窗中配置存储设备的控制配置,在策略生效后,该终端用户使用的存储设备会被管控。
图3-120 USB外发文件设置策略
在[终端行为/刻录控制/刻录机使用管控]页面,可以对终端用户设置是否启用刻录机管控功能,以及刻录备份限制配置。
单击<新增策略>按钮,在刻录机使用管控的策略配置界面输入策略名称、是否启用、执行规则及响应规则。在该策略生效后,该终端用户使用的刻录机会被管控。
图3-121 刻录机使用管控策略
在[终端行为/计算机管理/计算机设置]页面,系统可以对终端用户设置禁用控制面板、计算机管理、系统下的相关功能。
单击<新增策略>按钮,在计算机设置的策略配置界面输入策略名称、是否启用、基础功能限制、生效时间。在该策略生效后,策略中勾选的的基础功能会被限制使用。
图3-122 计算机设置
在[终端行为/计算机管理/计算机告警设置]页面,可以对终端用户设置CPU、磁盘、内存等计算机配置的使用告警。
单击<新增策略>按钮,在计算机告警设置的策略配置界面,勾选左侧的检测项,并配置对应的检测规则、响应规则、执行规则。在该策略生效后,策略中配置的基础功能会被限制使用。
图3-123 计算机告警设置策略
在[终端行为/计算机管理/计算机组策略设置]页面,可以设置关于计算机组的策略。
单击<新增策略>按钮,在计算机组策略设置的策略配置界面输入策略名称、是否启用、显示、安全策略、个性化等属性的设置。在该策略生效后,计算机会根据设置条件限制使用。
图3-124 计算机组策略设置
在[终端行为/其他设备使用控制/设备使用控制]页面,可以对终端用户的以下设备进行使用控制:
· 通讯接口设备:串口、并口、红外线、蓝牙设备、MODEM、1394主控制器、airDrop(Mac终端);
· USB设备:USB鼠标、USB存储设备、USB其他设备、便携设备;
· 网络设备:无线网卡、虚拟网卡、网络连接;
系统还支持自定义限制设备和例外配置。
单击<新增策略>按钮,在策略配置界面输入策略名称、是否启用、选择设备类型、生效时间、可自行选择设置自定义限制和例外配置。
在该策略生效后,已勾选的设备类型及自定义限制设备会被限制使用,例外配置中的设备不被限制。
图3-125 设备使用控制
图3-126 自定义限制/例外配置添加设备界面
在[终端行为/计算机管理/计算机个性化]页面,可为终端(组)设置屏幕保护程序和桌面背景。
单击<新增策略>按钮,在弹窗中,选择生效对象、填写策略名称、是否启用、并进行以下设置:
· 屏幕保护程序:可启用或关闭。启用后可设置屏保启用的等待时间以及在恢复时是否显示登录屏幕;若风格选择“照片”则可以单击<添加>按钮在弹出的图片库窗口中选择图片作为屏保。
· 桌面背景:可启用或关闭。启用后可选择壁纸的契合度,并且需要单击<添加>按钮在弹出的图片库窗口选择图片作为桌面背景。
图3-127 新增计算机个性化策略
在弹出的图片库窗口中,可新增、修改、删除图片分组和图片。
· 新增分组:将鼠标移动至左侧“图片库”上方,单击
可新增图片分组。
· 分组修改和删除:将鼠标移动至左侧分组名称上方,单击
修改分组,单击
删除分组。
· 新增图片:单击<新增>按钮,在弹出 窗口填写图片分组、图片分辨率、图片名称、上传完图片后单击<确认>即可。
· 删除图片:选中图片,单击<删除>即可。
· 修改图片:单击图片列表操作列的<修改>按钮,可修改已上传的图片。
图3-128 图片库
在[终端行为/计算机管理/计算机Windows日志过滤]页面,可以新增、删除、修改计算机Windows日志过滤策略。
单击<新增策略>按钮,在计算机Windows日志过滤配置界面输入策略名称、是否启用、获取的日志类型。在该策略生效后,将获取相关终端或操作员的日志。
图3-129 计算机Windows日志过滤
在[终端行为/计算机管理/计算机节能设置]页面,可以新增、删除、修改计算机节能设置的策略。
单击<新增策略>按钮,在弹窗中配置节能设置,可以设置多少分钟内无任何操作将关闭显示器界面、多少分钟内无任何操作将执行关机等,根据自身需求设置完成后,单击<确认>按钮即可。
在该策略生效后,生效终端会按照策略执行节能操作。
图3-130 计算机节能设置
本章节将介绍关于网络行为的各类管控操作。
在“网络行为”菜单项下的各个模块对应不同类别的管控操作,均需配置行为策略,在策略生效后,对应的生效对象会受所设策略的限制和管控。
· 新增策略时,注意启用策略。
· 新增策略后,需要在右上角的消息提示区(
)单击<策略下发>按钮,此时该策略才会下发至终端并生效。
· 在创建策略时,若无适合的相应规则,可通过
按钮快速链接到“违规响应规则库”菜单进行规则配置。
各个模块支持的功能或有所不同,请以页面功能为准,但大部分均包括查看、新增、删除、修改策略操作,其步骤大致相似。此处仅简要说明操作步骤,具体请根据页面提示及自身需求配置。
· 查看策略信息:选中终端/操作员,可以查看终端/操作员对应的策略,可以删除或添加新的策略。
· 新增策略:
a. 进入对应页面,先在左侧组织树中选中想要管理的具体对象(支持选择任一节点或者具体终端),再单击<新增策略>按钮。
【说明】也可以先单击<新增策略>按钮,然后在弹窗中选择对应的生效对象,效果一样。
b. 在弹窗中完成对应配置后,单击<确认>按钮,完成策略的新增操作。
c. 然后需要在右上角的消息提示区单击<策略下发>,使该策略下发至终端并生效。
· 删除策略:勾选需删除的策略,单击<删除策略>按钮弹出删除提示框进行二次确认,单击<确定>按钮即可。
· 修改策略:选择需修改的策略,单击<修改>按钮,在弹窗中修改需要修改的内容,单击<确定>按钮即可。
在[网络行为/网络行为策略包/网络行为策略包]页面,可新增、修改、删除策略包。
通过策略包可更加便捷、自由的组合任意该大类下的策略类型,并批量应用给对象,节省时间和操作次数,是策略配置的另一种维度。
新增网络行为策略包:单击<新增策略包>按钮,在“新增网络行为策略包”的策略配置界面,选择策略包生效对象类型,输入策略包名称、备注,选择对应策略类型要使用的子策略,勾选该策略包的生效对象,完成后单击确认即可。
图3-131 网络行为策略包
预定义子策略:在“新增网络行为策略包”的策略配置界面,通过单击“
”按钮,可跳转新的页面维护预定义策略。和同类项策略功能的主界面一样,只是这里的数据仅为策略包预定义数据,并非针对全局使用。
图3-132 预定义策略
· 子策略分为两种:一种是支持为不同终端类型配置不同的策略,支持选择多个子策略;一种是不支持为不同终端类型配置不同的策略,只支持选择单个子策略。
· 策略包里的策略类型按需任意组合即可,并非每个策略类型都要选择子策略。
· 子策略为当前界面通过“
”按钮预定义的,此处为策略包预定义的唯一入口,请注意和主界面同类项策略功能菜单区分。
· 预定义的子策略可事先维护配置策略时直接引用,若配置策略包时没有想要选择的子策略,则可以单击
按钮进行维护。
在[网络行为/网页浏览/网页浏览限制]页面,系统支持对某终端/操作员浏览的网页进行限制,可设置禁止浏览所有网站、禁止浏览特定网站、只允许浏览特定网站。
单击<新增策略>按钮,在网页浏览限制的策略配置界面输入策略名称、是否启用、生效时间、策略限制。在策略生效后,该用户生效对象的网页浏览会被管控。
图3-133 新增网页浏览限制策略
系统支持通过监控用户发帖行为,获取用户发帖内容后对其内容进行检测,若含有限制敏感词则限制用户发帖行为。
在[网络行为/网页浏览/网页发送内容限制]页面,单击<新增策略>按钮,在网页发送内容限制的策略配置界面输入策略名称、是否启用、生效时间、策略限制。在该策略生效后,该终端用户的网页发送内容会被管控。
图3-134 网页发送内容限制策略
在[网络行为/网页浏览/网页上传文件管控]页面,单击<新增策略>按钮,在弹窗中配置策略名称、是否启用、生效时间、执行规则和响应规则。在该策略下发后,策略生效终端的网络上传文件会被管控。
图3-135 网页上传文件管控策略
支持对论坛发帖审计网址进行过滤。在[网络行为/网页浏览/论坛发帖网址过滤]页面,支持新增、修改、删除过滤策略。在论坛发帖网址过滤策略生效后,该生效对象的论坛发帖审计网址可被过滤。
图3-136 论坛发帖网址过滤策略
系统支持在有效时间段内设置允许某些账号登入、禁止或允许所有账号登入。
在[网络行为/即时通讯/通讯工具白名单]页面,单击<新增策略>按钮,即可在弹窗中配置策略名称、是否启用、以及通讯工具的生效时间和策略限制。在该策略生效,被管控的账号会被限制或者允许使用对应的通信工具。
图3-137 通讯工具白名单设置
系统支持对使用通讯工具下载/发送的内容进行管控,可设置允许/禁止使用聊天工具发送附件、设置文件容量限制,允许/禁止使用聊天工具下载文件、以及禁止后是否可进行外发的审批申请等等。
在[网络行为/即时通讯/通讯工具管控设置]页面,单击<新增策略>按钮即可在弹窗中配置策略。在该策略生效后,某些通信工具中,被管控的终端用户会被限制/允许上传备份特定大小的文件;明文、密文的外发权限也可灵活配置。
图3-138 通讯工具管控设置
系统支持限制终端电脑禁止使用特定网络端口,起到网络限制作用。
在[网络行为/网络管控/网络端口限制]页面,支持新增限制策略,在该策略生效后,被管控的终端电脑禁止使用指定的网络端口。
系统支持对局域网网段进行设置,可有效区分端口限制是否对局域网网段生效,同时可以过滤访问局域网网段产生的流量不纳入统计。
在[网络行为/网络管控/局域网网段设置]页面,支持新增、删除网段。
系统可根据收集规则将终端/操作员的WiFi信息收集到WiFi信息库并放置于指定分组下。
在[网络行为/网络管控/WiFi信息收集]下,可查看、新增、删除WiFi信息收集策略。
系统支持根据WiFi名称或MAC地址匹配,限制终端(组)/操作员(组)无线网络的连接,并可配置违规响应规则。
在[网络行为/网络管控/WiFi连接限制]页面,可查看、新增、删除WiFi连接限制策略。
流量限制功能可实现对终端上传/下载的流量或者总流量进行限速,目前支持设置的限速模式包括总体限速和自定义限速模式(按IP/端口限速、按进程限速)。
在[网络行为/流量管控/流量限制]页面,可以设置流量限制策略,通过设置限速模式、配置限制的流量大小,可以限制终端的流量速度。
图3-139 流量限制策略
系统支持设置禁止收发含有关键字的邮件,防止企业内部的机密信息通过邮件泄漏到外部。
在[网络行为/邮件管控/邮件内容限制]页面,可以设置邮件内容限制策略,用于管控通过邮件附件外发的文件内容。
在[网络行为/邮件管控/邮件附件限制]页面,可以设置邮件附件限制策略,用于管控通过邮件附件外发的文件。
在[网络行为/邮件管控/邮件抄送]页面,可以设置邮件抄送策略,可在操作员(组)发送邮件时强制抄送给指定的邮箱。
系统支持设置开启或关闭共享文件的管控。
在[网络行为/共享管控/共享文件管控]页面,可以设置共享文件管控策略,在策略中可配置是否允许共享文件及允许共享的配置。
图3-140 共享文件管控策略
在[网络行为/网盘管控/网盘传输备份限制]页面,可以设置网盘传输备份限制策略,目前仅支持设置百度网盘文件备份大小限制。若传输的文件小于等于策略所设的大小,则会将文件备份到服务器。
图3-141 网盘传输备份限制
FTP文件管理系统支持设置Filezilla、FlashFXP、8uFTP三种进程的文件传输限制。
在[网络行为/FTP管控/FTP文件管理]页面,可以设置FTP文件管理策略,在该策略生效后,被管控的终端/操作员会受设置的策略限制。
图3-142 FTP文件管理策略
本章节将介绍关于数据安全的各类管控操作。
在“数据安全”菜单项下的各个模块对应不同类别的管控操作,均需配置行为策略。在策略生效后,对应的生效对象会受所设策略的限制和管控。
· 新增策略时,注意启用策略。
· 新增策略后,需要在右上角的消息提示区(
)单击<策略下发>按钮,此时该策略才会下发至终端并生效。
· 在创建策略时,若无适合的相应规则,可通过
按钮快速链接到“违规响应规则库”菜单进行规则配置。
各个模块支持的功能或有所不同,请以页面功能为准,但大部分均包括查看、新增、删除、修改策略操作,其步骤大致相似。此处仅简要说明操作步骤,具体请根据页面提示及自身需求配置。
· 查看策略信息:选中终端/操作员,可以查看终端/操作员对应的策略,可以删除或添加新的策略。
· 新增策略:
a. 进入对应页面,先在左侧组织树中选中想要管理的具体对象(支持选择任一节点或者具体终端),再单击<新增策略>按钮。
【说明】也可以先单击<新增策略>按钮,然后在弹窗中选择对应的生效对象,效果一样。
b. 在弹窗中完成对应配置后,单击<确认>按钮,完成策略的新增操作。
c. 然后需要在右上角的消息提示区单击<策略下发>,使该策略下发至终端并生效。
· 删除策略:勾选需删除的策略,单击<删除策略>按钮弹出删除提示框进行二次确认,单击<确定>按钮即可。
· 修改策略:选择需修改的策略,单击<修改>按钮,在弹窗中修改需要修改的内容,单击<确定>按钮即可。
通过策略包可更加便捷、自由的组合任意该大类下的策略类型,并批量应用给对象,节省时间和操作次数,是策略配置的另一种维度。
在[数据安全/数据安全策略包/数据安全策略包]页面,可新增、修改、删除策略包。
图3-143 数据安全策略包
新增策略包:单击<新增策略包>按钮,在“新增数据安全策略包”的策略配置界面,选择策略包生效对象类型,输入策略包名称、备注,选择对应策略类型要使用的子策略,勾选该策略包的生效对象,完成后单击确认即可。
预定义子策略:在“新增网络行为策略包”的策略配置界面,通过单击“
”按钮,可跳转新的页面维护预定义策略。和同类项策略功能的主界面一样,只是这里的数据仅为策略包预定义数据,并非针对全局使用。
· 子策略分为两种:一种是支持为不同终端类型配置不同的策略,支持选择多个子策略;一种是不支持为不同终端类型配置不同的策略,只支持选择单个子策略。
· 策略包里的策略类型按需任意组合即可,并非每个策略类型都要选择子策略。
· 子策略为当前界面通过“
”按钮预定义的,此处为策略包预定义的唯一入口,请注意和主界面同类项策略功能菜单区分。
· 预定义的子策略可事先维护配置策略时直接引用,若配置策略包时没有想要选择的子策略,则可以单击
按钮进行维护。
在[数据安全/文件加密/透明加密策略库]页面,可以为文件加密模块下的加密策略提供设置所需的受控程序库,透明加密、智能加密等策略中所用到的受控程序均是引用此处的数据。
图3-144 透明加密策略库
在界面左边的受控程序类别列表中新增、删除、修改程序类别,支持为Windows、Linux、Mac操作系统设置受控程序类别。
· 新增受控程序类别:单击受控程序类别右侧的
弹出“新增程序类别”界面,输入类别名称、选择上级类别,单击<确认>按钮即可。
· 修改受控程序类别:单击受控程序类别右侧的
,可修改类别名称、上级类别,单击<确认>按钮即可。
· 删除受控程序类别:如果当前受控程序类别下有策略则不允许删除。单击受控程序类别右侧的
按钮,则弹出删除提示,单击<确认>即可。
图3-145 受控程序类别
在页面主数据区域,可以新增、删除、修改受控程序策略,支持批量新增、批量修改,同时支持导入、导出等操作。
新增策略:在左侧选择要操作的操作系统后,单击<新增策略>,在弹窗中设置程序文件名(也可以单击
在界面中选择需受控的进程)、程序类别及程序描述,并设置相关的文件后缀,单击<确认>按钮即可。
图3-146 受控程序策略
批量新增:单击<批量新增>按钮弹出“批量添加受控程序”窗口,支持扫描目录添加,也可以通过单个文件上传方式进行批量受控,同理可对上传的进程根据文件后缀对文件进行保护,设置后单击<确认>即可。
导入受控程序策略:在“导入”下拉框中,可以选择从文件中导入、从模板库导入,根据页面提示操作即可。
高级设置:对受控进程的策略进行进一步的条件受控,包括子进程的受控以及对受控程序的高级配置。
仅Windows操作系统支持进行高级配置。
图3-147 高级配置
在[数据安全/文件加密/透明加密]页面,EFM支持为文件设置两种加密模式:
· 透明加解密:指文件自动加密,打开时自动解密。
· 只解密不加密:指不加密文件,但可以读加密文件。
注意:加密类型为“只解密不加密”的终端生成的所有文档都不再加密,对于部分加密文档,重新保存后也可能以明文的形式存储(比如用Word阅读加密文档,编辑后保存,将以明文方式保存)。
在[数据安全/文件加密/透明加密]页面,可对各操作员的透明加密策略进行查看、新增、删除等。
图3-148 透明加密策略信息
· 新增透明加密策略:选择需要对文件加密的对象,在“透明加密策略”页签单击<新增策略>按钮,在弹窗中配置相关的策略信息,支持对Windows、Linux、MAC端进行单独配置或全部配置,加密模式可选择透明加解密或只解密不加密,受控程序可以通过导入和自定义新增的方式进行添加,配置完成后单击<确认>按钮即可。
图3-149 新增透明加密策略
· 新增透明加密高级配置策略:选择应用对象,在“高级配置策略”页签单击<新增策略>按钮,在弹窗中在弹窗中配置相关的策略信息,支持对Windows、Linux、MAC端进行单独配置或全部配置,支持设可执行程序等信息,配置完成后单击<确认>按钮即可。
图3-150 新增透明加密高级配置策略
在[敏感内容识别/内容检测策略/内容检测策略]页面配置敏感检测内容后,可以在[数据安全/文件加密/智能加密]页面设置智能加密策略,系统会扫描文件是否满足内容检测策略,若满足则加密该文件,否则不加密。
图3-151 智能加密
在[数据安全/文件加密/批量加解密]页面,可以赋予操作员批量的加解密权限,操作员可以对文档进行批量的加解密。
在[数据安全/文件加密/全盘扫描]页面,可同时对多台客户端设置扫描任务,实现目标客户端的本地磁盘扫描,并加/解密指定的文件。
在[数据安全/文件加密/加密文件监视过滤]下,可设置对某些进程中的文件后缀进行监视或不监视(过滤)。
文件加密密钥由三部分组成:主密钥、企业密钥和文件密钥。
· 主密钥:自动生成,每个客户拥有唯一的密钥。
· 企业密钥:由客户自行设置,可以修改。若序列号丢失或被他人获取的情况下,他人可以新搭建信息安全管理平台服务端,如果没有得到相应的企业密钥,也是无法对加密的文件进行解密。
· 文件密钥:每个文件加密时会随机生成一个文件密钥,以提高加密的安全性。
在[数据安全/文件安全设置/企业密钥管理]页面,可对企业密钥进行新增、导入导出。
单击<新增企业密钥>按钮,弹出新增企业密钥窗口,输入企业密钥并进行二次输入确认,单击<确认>按钮即可。
设置完企业密钥后及时将密钥导出备份进行妥善保管,一旦服务端程序重新安装,需要导入历史设置过的企业密钥信息。密钥遗失可能会导致文档不能正确解密。
图3-152 企业密钥
在[数据安全/文件安全设置/密级设置]页面,可以根据企业特殊要求设置关于文件密级的密级级别、描述、图标样式等参数。
在[数据安全/文件安全设置/操作员密级设置]页面,可为操作员设置操作密级文件的权限,可以设置关于操作员的密级级别,设置是否开启密级判断和批量转换密级权限。
在[数据安全/文件安全设置/剪切板控制]页面,可以设置对剪切板的数据进行粘贴复制(即是否允许从加密进程粘贴到非加密进程),还可以限制允许复制的最大字节。设置为剪切板加密,受控程序文件内容之间可以相互复制粘贴,但受控程序文件内容不能复制到非受控程序中,如Word为受控,IE为非受控,Word文件内容不能复制到IE里。
在组织架构中选择对象,单击<新增策略>弹出“新增剪切板控制策略”窗口,设置策略名称、是否启用,在“加密剪切控制”和全局剪切控制中设置详细的设置,单击<确认>即可。
图3-153 剪切板控制
在[数据安全/文件安全设置/截屏设置]页面,可以设置终端(组)/操作员(组)的截屏权限,分为:
· 不禁止截屏
· 禁止使用PrtScr键截屏
· 禁止截屏
· 受控窗口显示时禁止截屏
· 指定进程窗口在显示时禁止截屏
· 禁止截屏有可能会导致部分软件不能正常显示。
· 将窗口拖拽到桌面边缘或其他窗口遮挡不属于隐藏窗口
· 其中若设置不禁止截屏、禁止截屏或受控窗口显示时禁止截屏,可设置“例外进程”。
图3-154 截屏设置
在[数据安全/文件安全设置/特殊文件后缀]页面,可以设置新建或编辑时需要自动备份、拷贝时自动加密的文件后缀。
在[数据安全/文件安全设置/特殊目录设置]页面,可以设置指定终端的某个目录或某个文件不加密,包含策略中指定字符的文件或目录则不加密。
系统默认操作员可以阅读整个公司的文件。
在[数据安全/文件安全设置/阅读权限设置]页面,可以设备操作员只能阅读指定部门的加密文件。选中终端操作员,可以查看该终端操作员所拥有的文件阅读权限,可以删除或添加新的权限。
默认情况下,终端不能进行模式切换,可以在策略中设置工作模式在指定的时间段内生效,在时间段外终端将不能切换工作模式。
在[数据安全/文件安全设置/工作模式设置]页面,单击<新增策略>按钮,在弹窗中配置策略信息,可以设置是否允许切换工作模式,默认不允许切换工作模式,当设置允许切换时,还可以勾选“禁止程序”然后设置禁止运行的程序,完成后单击<确认>按钮即可。
· “工作模式程序库”的应用程序是针对当前策略功能私有的,只可在当前策略中引用。
· “应用程序库”是策略基础数据中针对系统全局的基础数据,所有需要引用程序的策略都可引用此数据。
图3-155 工作模式设置策略
加密文件备份功能主要是避免重要文件遭破坏或恶意删除等情况而设置的。
在[数据安全/文件安全设置/加密文件备份设置]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
图3-156 加密文件备份设置
若公司内有电脑安装了安全终端,当操作员携带电脑出差或将电脑带回家工作时,安全终端则会脱离终端文件管理系统,打开加密文件就会显示为密文(乱码),操作员无法正常使用加密文件。
为此,终端文件管理系统提供了离线策略功能,即在离线策略时间内终端还可以正常使用加密文件。
· 在离线策略时间内,若将终端电脑上的加密文件拷贝至其他没有安装终端或没有权限的电脑上,文件仍会保持加密状态,不可查看。
· 在离线策略时间内,终端不能申请解密,终端的操作记录会暂时保存在本地,当与服务器再次通信时上传到服务器。
在[数据安全/文件安全设置/短期离线策略设置]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
图3-157 短期离线策略设置
为了防止终端中的加密文件通过Office邮件泄露出去,可以禁止Office发送邮件、增加OLE插入设置,并设置是否允许Outlook和Foxmail的拖拽。
在[数据安全/文件安全设置/加密参数设置]页面,可以设置终端(组)的加密参数策略。
图3-158 加密参数设置
在指定根目录或者桌面批量加解密时,实现图标自动刷新。
在[数据安全/文件安全设置/加密图标辅助刷新设置]页面,可为终端(组)新增策略,可为指定进程、目录、文件后缀配置辅助刷新,策略下发后即可生效。
图3-159 加密图标辅助刷新设置
在[数据安全/文件安全设置/解密KEY]下,可实现解密key制作、授权或解除解密key的授权等操作。
用户需下载安装并启动插件,插入U盘后,在解密KEY界面可获取USB设备信息,之后可配置解密KEY信息,单击确认后,插件会将解密KEY烧入U盘。
图3-160 解密KEY
可以把一些经常往来的合作单位计算机机器码添加到“外发机器码白名单”,终端用户在制作直接外发文件时,就可以把指定的机器码内置到外发文件中,这些白名单计算机在打开外发文件时无需验证机器码即可直接打开文件,而其他计算机仍需要验证机器码后才能打开。
在[数据安全/外发文件管理/机器码白名单]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
· 计算机机器码获取方法:在“下载工具”下拉框中选择<机器码获取工具>,下载后将“机器码获取工具.exe”发送至客户,运行工具即可获取机器码。
· 添加外发机器码白名单:将获取到的机器码反馈至管理员,由管理员在[数据安全/外发文件管理/机器码白名单]页面,单击<新增策略>按钮,在弹窗中配置添加客户名称及机器码,然后单击<确认>按钮即可将该机器码加入白名单中。
图3-161 机器码白名单
可以将经常使用到的软件添加到“软件白名单列表”里,终端用户在制作直接外发文件时,就可以把指定的软件添加到外发文件中,在打开外发文件时必须使用授权的信用软件才能打开文件。
在[数据安全/外发文件管理/软件白名单]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
· 计算机信任软件信息获取方法:在“下载工具”下拉框中选择<软件白名单获取工具>,下载后将“机器码获取工具.exe”发到终端电脑上运行,运行工具即可获取对应信息。
· 添加软件白名单:在[数据安全/外发文件管理/软件白名单]页面,单击<新增策略>按钮,在弹窗中添加程序并选择验证方式,然后单击<确认>按钮即可将该软件加入白名单中。
图3-162 软件白名单
制作的外发文件需要联网验证才能打开。
终端制作直接外发文件时可以根据需要制作外发屏幕水印或打印水印,通过设置外发水印,嵌入一些比较有价值的信息,能明确文件的重要性、版权归属以及跟踪侵权行为等。
在[数据安全/外发文件管理/外发屏幕水印]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
单击<新增策略>按钮,在弹窗中设置策略名称、是否启用,新增或导入选择水印模板,单击<确认>按钮即可。
此处模板引用的是[策略基础数据/水印模板库]页面的数据。如配置策略时无所需要的模板数据可以单击<水印模板库>按钮便捷链接跳转到屏幕水印模板界面维护所需模板,再返回“新增屏幕水印设置策略”窗口,引用模板数据配置策略。
图3-163 外发屏幕水印策略
终端制作直接外发文件时可以根据需要制作外发屏幕水印或打印水印,通过设置外发水印,嵌入一些比较有价值的信息,能明确文件的重要性、版权归属以及跟踪侵权行为等。
在[数据安全/外发文件管理/外发打印水印]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
单击<新增策略>按钮,在弹窗中设置策略名称、是否启用,新增或导入选择水印模板,单击<确认>按钮即可。
此处模板引用的是[策略基础数据/水印模板库]页面的数据。如配置策略时无所需要的模板数据可以单击<水印模板库>按钮便捷链接跳转到屏幕水印模板界面维护所需模板,再返回“新增屏幕水印设置策略”窗口,引用模板数据配置策略。
图3-164 外发打印水印策略
在[数据安全/外发文件管理/高级设置]页面,可以设置是否允许制作直接外发文件。
管理员可以对外发文件的权限参数进行设置,设置好外发文件参数后,终端制作外发文件时,默认的参数将遵循设置的模板,也可以根据管理员配置的权限进行更改模板。
在[数据安全/外发文件管理/直接外发模板设置]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
单击<新增策略>按钮,在弹窗中设置策略名称、是否启用,新增模板或导入历史模板,单击<确认>按钮即可。
· 新增直接外发模板:在“新增直接外发模板设置”策略窗口,单击<新增>按钮,之后在“新增外发模板”窗口,可设置模板名称,控制选项、权限选项、水印设置等,自定义模板。
图3-165 新增模板
· 导入直接外发模板:在“新增直接外发模板设置”策略窗口,单击<导入>按钮,之后在“导入直接外发模板信息”窗口,可勾选历史模板,历史模板支持修改。
图3-166 导入模板
可以设置收、发邮件白名单,当终端用户使用Outlook、Foxmail或闪电邮往白名单邮箱地址收、发送邮件时,加密的附件就会自动解密,减少解密申请次数,方便用户使用。
在[数据安全/白名单管控/邮件白名单设置]页面,选中操作员,可以查看操作员的策略,可以删除或添加新的策略。
使用收件人白名单邮箱地址接收邮件时,加密的邮件附件会自动解密。
在组织架构中选择终端/操作员,单击<新增策略>弹出“新增收件人白名单策略”窗口,设置策略名称、是否启用,选择模板,设置响应规则,单击<确认>按钮即可。
此处模板引用的是[策略基础数据/邮箱信息库]页面的数据,如配置策略时无所需要的模板数据可以单击<维护邮箱信息库>按钮便捷链接跳转到邮箱信息库界面维护所需模板,再返回“新增收件人白名单策略”窗口,引用模板数据配置策略。
图3-167 收件人白名单
单击<系统设置>按钮,可以据实际使用需求设置邮件白名单的收件配置,设置对所有用户生效。
(1) 在“白名单设置”页签,可设置以下信息:
¡ 收件人列表含有白名单,只解密白名单用户邮件:发件时,收件人中包含白名单地址时,只解密白名单用户邮件,非白名单用户邮件保持原有的加密状态。
¡ 收件人列表含有白名单,解密白名单和非白名单用户邮件:发件时,收件人中包含白名单地址时,白名单用户邮件和非白名单用户邮件都解密。
¡ 设置白名单用户接收解密后邮件的类型,包括以下两种:
- 只接收解密后的邮件,不接收原邮件
- 接收解密后的邮件和原邮件两封邮件
图3-168 系统设置-邮件白名单设置
(2) 在“SSL白名单设置(Outlook)”页签,支持设置SSL白名单的邮件发送方式。可配置“是否允许终端修改发送方式”及“默认发送方式”。
图3-169 系统设置-SSL白名单设置(Outlook)
(3) 在“SSL企业邮箱设置(Foxmail)”页签,可进行SSL企业邮箱配置,设置包括企业邮箱域名地址和发件服务器地址等的白名单信息。
图3-170 系统设置-SSL企业邮箱设置(Foxmail)
使用发件人白名单邮箱地址发送邮件时,加密的邮件附件会自动解密。
在发件人白名单界面中单击<设置发件人白名单>按钮,在弹窗中选择邮箱、设置响应规则,单击<保存>即可。
此处模板引用的是[策略基础数据/邮箱信息库]页面的数据,如配置策略时无所需要的模板数据可以单击<维护邮箱信息库>按钮便捷链接跳转到邮箱信息库界面维护所需模板,再返回“新增发件人白名单策略”窗口,引用模板数据配置策略。
图3-171 配置发件人白名单
服务器白名单可以不改变企业网络架构,不用在应用服务器上安装任何软件的情况下,做到当加密文件上传到OA等应用服务器上时自动解密,下载到终端文件管理系统终端电脑上时自动加密,保证数据在公司内上传、下载安全。
在[数据安全/白名单管控/服务器白名单设置]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
新增策略:在组织架构中选择操作员,在“服务器白名单”界面单击<新增策略>弹出“新增服务器白名单策略”窗口,设置策略名称、是否启用,选择服务器,单击<确认>按钮即可。
此处模板引用的是[策略基础数据/服务器信息库]页面的数据。
文档追踪可以跟踪企业日常对内对外业务中流转的各种业务文档,预防发生文档流失泄露事件。
用户通过IM、邮件、网页等传送文件时,系统在文档中加入流转信息,记录文档在终端及节点上的流转情况。当文件出现泄密时,企业可根据文件的流转信息查询泄密文档涉及人员、操作时间以及流转情况,实现快速精准追踪。
在[数据安全/文件溯源/文档追踪]页面,选中终端/操作员,可以查看终端/操作员的策略,可以删除或添加新的策略。
配置文档追踪策略前,需完成[数据安全/文件溯源/文档追踪]下的高级配置。单击<高级配置>按钮,配置文档追踪策略的默认条件,包括流转方式、文档格式、文档目录、文档内容修改后认为是新文档、备份文档等,
图3-172 文档追踪高级配置
单击<新增策略>按钮,在“新增文档追踪策略”界面中选择生效对象、填写策略名称、是否启用、例外进程等信息,完成后单击<确认>即可(如下图所示)。策略成功下发到终端(组)后,将会按照新建策略和高级配置策略的条件,追踪终端(组)的文档。
图3-173 新增文档追踪策略
利用盲水印绘制技术,对图片添加一些终端和公司的标识信息,从肉眼上无法看出。当企业获取到被泄密的文件时,可通过上传文档截图,系统自动提取水印码,输入提取到的水印码进行有效追溯。
在[数据安全/文件溯源/图片盲水印]菜单下,可为终端(组)或操作员(组)配置图片盲水印策略。
注:目前暂时只支持截图盲水印。
单击<新增策略>按钮,在弹出的“新增盲水印策略”窗口,选择生效对象(也可先在组织树中选择生效对象,再单击<新增策略>按钮)、填写策略名称、是否启用、监控的截图程序等信息,填写完成后单击<确认>即可。
图3-174 图片盲水印
在[数据安全/文件溯源/Office文档水印设置]下为终端(组)/操作员(组)配置了Office文档水印策略后,若触发了策略配置的添加水印方式,水印就会添加到文档中,打开文档即可看到文档中有水印。
此处策略中引用的水印模板是[系统管理/策略基础数据/水印模板库]中的Office文档水印模板。
需要在[敏感内容识别/敏感内容检测配置/敏感内容检测配置]页面先对相关工作做统一的配置或开关管控,后续的策略设置等才可生效。
· 基础设置:内容策略开关,配置后对应模块可开启内容策略检测。
· 高级设置:支持OCR检测配置,特定目录功能相关参数配置。
· 例外设置:支持对USB外发、即时通讯、邮件、网页上传等部分检测类型设置例外规则。
在[敏感内容识别/敏感内容检测配置/敏感内容检测配置]页面,支持查看、新增、删除、修改敏感内容检测配置策略。
单击<新增策略>按钮,在“新增敏感内容检测配置”策略配置界面,输入策略名称、是否启用,以及对基础设置、高级设置、例外设置做相关配置,完成后单击确认即可。
· 基础设置:敏感内容检测策略类型的开关,只有在此处开启了对应泄露方式的开关,则内容检测策略配置的策略才可有效。
图3-175 敏感内容检测配置策略-基础配置
· 高级设置:可配置OCR检测开关,敏感检测共享目录监控设置、敏感检测光盘刻录设置。
图3-176 敏感内容检测配置策略-高级配置
· 例外设置:可以设置某些检测类型的某些进程有不检测或者不阻断的例外操作。
图3-177 敏感内容检测配置策略-例外配置
在[敏感内容识别/敏感内容检测配置/敏感内容文件备份配置]页面,支持新增、删除、修改策略。在此菜单中可以设置敏感文件在多大情况下会将其备份到文件服务器。
图3-178 敏感内容文件备份配置
在[敏感内容识别/内容检测策略/内容检测策略]页面,可新增、删除、导入、修改策略。
配置内容检测策略后,则会对该对象做相关规则的内容检测并响应,支持自由组合规则集、响应规则。还支持在当前界面跳转维护规则集、响应规则。
· 内容检测策略是由多个规则集和多个响应规则组成的。
· 规则集是多个检测规则的集合,负责检测内容。规则集可以在新增策略弹窗中单击
图标直接新增,也可以在新增策略弹窗中单击<维护规则集>按钮跳转至[敏感内容识别/敏感规则/规则集]页面进行配置。
· 响应规则是多种告警方式的集合,负责告警。响应规则可以在新增策略弹窗中单击
图标直接新增,也可以在新增策略弹窗中单击<维护响应规则>按钮跳转至[敏感内容识别/敏感规则/响应规则]页面进行配置。
· “内容检测策略”与“敏感内容检测配置”是相互依赖的两种策略,缺一不可。敏感内容检测配置设置的内容需要使用内容检测策略进行检测,如未设置“敏感内容检测配置”,则内容检测策略无效。
新增策略:单击<新增策略>按钮,在“新增内容检测策略”界面中输入策略名称,选择严重程度、所需规则集、响应规则,完成后单击<确定>按钮即可。
图3-179 新增内容检测策略
导入:支持系统中的策略导出后由此功能导入并应用。单击<导入>按钮,在“导入内容检测策略”弹窗中选择生效对象后,导入制定格式的文件并选择导入数据处理方式,完成后单击<确认>即可。
图3-180 导入内容检测策略
零星检测是指检测将敏感数据通过多次请求分批分次泄露出去的行为(如在一小时内通过5封邮件发送5个信用卡号码)。
配置了零星检测策略则会对该对象做相关规则的检测并响应,支持自由组合规则集、响应规则。还支持在当前界面跳转维护规则集、响应规则。
在[敏感内容识别/内容检测策略/零星检测策略]页面,可新增、删除、修改策略。
· 零星检测策略,是由多个规则集和多个响应规则组成。
· “零星检测策略”与“敏感内容检测配置”是相互依赖的两种策略,缺一不可。“敏感内容检测配置”设置的内容需要使用零星检测策略进行检测,如未设置“敏感内容检测配置”,则零星检测策略无效。
单击<新增策略>按钮,在“新增零星检测策略”界面中输入策略名称,选择严重程度、所需规则集、响应规则,完成后单击<确认>按钮即可。
图3-181 新增零星检测策略
在[敏感内容识别/内容检测策略/敏感文件自检策略]下,可设置对终端(组)或操作员(组)的磁盘或特定后缀的文件自动执行敏感检测,支持新增、删除策略。
图3-182 敏感文件自检策略
规则集是检测规则的集合,检测规则之间的关系有“且”、“或”。主要是为了单一的检测规则无法满足用户的所有需求时可配置多条,以及预定义并复用规则集时可事先通过该功能维护好同类敏感内容检测规则为一个集合,以供配置内容检测策略时使用。
在[敏感内容识别/敏感规则/规则集]页面,可新增、删除、修改规则集。
规则集区分内容检测规则集和零星检测规则集。如果在新增规则集时开启了“零星检测”,则此条配置的是零星检测规则集,若未开启则为内容检测规则集。
· 新增内容规则集:单击<新增规则集>按钮,在“新增规则集”界面中输入规则集名称,不开启“零星检测”根据需要选择检测规则和例外规则即可。
· 此处的检测规则和例外规则来源于“检测规则库”和“高级算法”两个模块下事先配置好的规则,规则可提前在规则库和高级算法菜单页面维护,也可在此界面快速新增所需规则下的检测规则数据。
· 单击<选择规则>按钮,将鼠标悬浮至右侧的规则大类上会出现
按钮,单击即可在该界面快速新增此类的具体规则。
· 若添加了多条规则,单击“或/且”字可切换多条规则之间的逻辑关系。
图3-183 新增内容检测规则集
· 新增零星检测规则集:单击<新增规则集>按钮,开启“零星检测”,配置计数模式、检测规则等,同时还需要单击检测规则的右方的
图标配置零星规则。
图3-184 新增零星检测规则集
在[敏感内容识别/敏感规则/响应规则]页面,可新增、删除、修改响应规则。响应规则可以为不同泄露方式配置不同的响应操作,可事先通过此菜单维护以供配置内容检测策略时使用。
单击<新增规则>按钮,在“新增响应规则”界面中输入规则名称,根据自身需求选择泄露方式(即触发响应规则的条件)、响应操作(即触发响应规则后所执行的操作),完成后单击<确认>按钮即可。
在“违规响应规则”下拉框中选择规则后,会在下方展示规则详细信息;若无合适的规则,可单击
按钮快速链接到“违规响应规则库”进行规则配置。
图3-185 新增响应规则
通过对关键字和关键字对的检测,可以对文档内容进行搜索和匹配,判断文档内容是否包含敏感内容信息。
在[敏感内容识别/检测规则库/关键字规则]页面,可新增、删除、修改关键字规则信息。此处是关键字规则的一个基础数据配置地方,系统中关键字规则的使用均是引用此处。可提前在此菜单页面维护,也可在界面通过快捷方式链接到此菜单维护所需数据。
新增关键字规则:单击<新增规则>按钮,在“新增关键字规则”界面中输入规则名称,根据需要设置关键字或关键字对、例外条件关键字,选择配置匹配类型、匹配计数后,单击<确认>按钮即可。
图3-186 新增关键字规则
针对文档后缀、文档大小、文档名称等属性进行检测,可以判断文档内容是否包含敏感内容信息。
在[敏感内容识别/检测规则库/文件属性规则]页面,可新增、删除、修改文件属性规则信息。此处是文件属性规则的一个基础数据配置地方,系统中文件属性规则的使用均是引用此处。可提前在此菜单页面维护,也可在所需界面通过快捷方式链接到此菜单维护所需数据。
新增文件属性规则:单击<新增规则>按钮,在“新增文件属性规则”界面中输入规则名称,根据需要设置文件名、文件后缀、文件作者、文件大小、文件创建时间、文件修改时间等,完成后单击<确认>按钮即可。
图3-187 新增文件属性规则
将正则表达式匹配与数据验证器相结合,可以监测具备固定格式的内容,实现精确、简短格式的数据匹配以实现对敏感信息内容识别。
在[敏感内容识别/检测规则库/数据标识符规则]页面,可新增、删除、修改规则信息。这个菜单是正则表达式规则的一个基础数据配置地方,系统中正则表达式规则的使用均是引用此处。可提前在此菜单页面维护,也可在所需界面通过快捷方式链接到此菜单维护所需数据。
新增数据标识符规则:单击<新增规则>按钮,在弹窗中输入规则名称,根据需要设置模式以及正则表达式、例外条件关键字,选择配置匹配类型、匹配计数,完成后单击<确认>按钮即可。
其中支持选择的模式:
· 普通模式:此模式即为正则表达式模式,仅需配置正则表达式即可。
· 高级模式:当正则表达式粒度过大或者过于复杂时,可选择高级模式。此模式基于正则表达式基础上更细粒度的检测,需要配置正则表达式和LUA表达式。
图3-188 新增数据标识符规则
在[敏感内容识别/检测规则库/源代码识别规则]页面,可新增、删除、修改规则信息。
在企业日常工作中,可能会有组织内部的成员将源代码通过短消息的形式发送出去,因此对这部分可疑消息需要监控,防止内部人员随意泄露公司的重要源码,保护公司的知识产权利益。
通过源代码识别组件选择对应的模式即可进行阻断或报警,防止代码通过内容或文件的方式外泄,
对于加密文件可直接阻断。
识别模式四,已支持筛选中文,可防止将代码混入中文文件中。
新增源代码识别规则:单击<新增规则>按钮,在弹窗中输入规则名称,根据需要设置敏感代码类型、识别模式,完成后单击<确认>按钮即可。
图3-189 新增源代码识别规则
用户可以根据需要自定义审批流程,根据自定义的流程进行申请离线、申请解密、申请打印外发、申请直接外发等。
根据自定义的审批流程分配该审批流程用于何种方式的审批,其中包括解密审批、离线审批、打印审批、直接外发审批、文件外发审批、定密审批、取消文档水印审批。
在[审批管理/流程设置/审批流程管理]页面,可先编辑流程,再分配流程。支持维护流程分组和流程,对其进行添加、修改、删除等操作。
图3-190 编辑流程页面
· 添加流程分组:在左侧列表中选中流程类型,然后单击<添加流程分组>按钮,在新增流程分组界面,勾选分组要加入的功能类型以及相关分组父节点,再输入分组名称,则该分组会添加到勾选的类型下。
图3-191 添加流程分组
· 添加流程:选择功能类型,单击<添加流程>按钮,在“新增流程”界面中可配置流程的基本信息和高级设置,完成后单击<确定>即可。
¡ 基础设置:需设置流程归属的功能类型、流程类型、流程名称和流程步骤。流程步骤需要设置申请人和审批人:
- 点击设置申请人即可跳出界面设置,在弹窗中选择即可。
- 点击设置审批人即可跳出界面设置,选择审批人后,还可在审批人员的“应答类型”列下拉选择手动审批、所有状态自动审批、终端离线自动审批三种状态。
- 还可单击
按钮新增审批人结点。
¡ 高级设置:不同功能类型的高级设置有所不同,请以实际页面为准。
图3-192 添加流程
· 分配流程:切换至[分配流程]页签,选择左侧组织架构树的具体操作员节点,单击<流程分配>按钮,在弹窗中勾选流程,单击<确认>按钮,即可将流程分配至对应操作员。
图3-193 分配流程
如果某一审批人员因故短期内无法执行审批操作,或者需要他人帮忙分担审批任务,此时可以选择审批流程委托设置,委托其他人员审批该流程。
在[审批管理/流程设置/委托设置]页面,在左侧组织架构树中选择操作员,单击<新增委托>按钮,设置委托审批参数,完成后单击确认即可将其流程转至被委托人名下。
图3-194 委托设置
在[审批管理/审批参数配置/审批参数配置]页面,设置系统中终端的申请参数,包括单次最多可申请的记录次数、单个文件的大小、离线最长时间等。
图3-195 审批参数配置
日志审计模块记录了系统中各类行为的操作日志,以列表的形式展示在对应页面上,方便用户直观的查看,包括告警记录、终端管理记录、硬件设备管理记录、终端行为管控记录、网页管控记录、网络行为管控记录、数据安全管控记录、敏感内容管控记录、审批管理记录。
系统支持获取普通违规告警的基础日志数据,可在[日志审计/告警记录/普通告警记录]页面查看普通告警记录。
系统支持获取敏感内容违规告警的基础日志数据,可在[日志审计/告警记录/敏感告警记录]页面查看敏感告警记录。
系统支持获取终端接入日志信息,包括查看终端名称、接入分组、绑定操作员、IP地址、Mac地址、接入方式、版本号。
在[日志审计/终端管理记录/终端接入记录]页面,可查询终端接入记录。
系统支持获取终端解锁屏的基础日志数据供查询。
在[日志审计/终端管理记录/终端解锁屏记录]页面,可查询终端解锁屏记录。
当设置终端电脑上的硬件资产变更时,控制台会弹出告警信息,并自动生成报警记录。
在[日志审计/终端管理记录/硬件资产变更报警]页面,可按时间段、资产类型、处理状态等字段筛选查看硬件资产变更情况,可单击列表操作列的<处理>按钮进行处理。
系统支持记录终端电脑相关硬件资产的改变信息,监测硬件资产的变更情况。
在[日志审计/终端管理记录/硬件资产变更记录]页面,可查看硬件资产变更记录信息。
当设置终端电脑上的软件资产变更时,控制台会弹出告警信息,并自动生成报警记录。
在[终端管理/终端管理记录/软件资产变更报警]页面,可按时间段、资产类型、处理状态等字段筛选查看软件资产变更情况,可单击列表操作列的<处理>按钮进行处理。
在[日志审计/终端管理记录/软件资产变更记录]页面,可查看软件资产变更记录信息。
系统支持记录终端电脑的软件卸载记录、软件操作情况和软件分发情况,包括卸载时间、终端名称、软件名、卸载结果等。
在[日志审计/终端管理记录/软件卸载记录]页面,可查看软件卸载记录。
系统支持记录终端电脑对于软件安装/卸载的限制记录,包括终端名称、操作员、程序名称等。
在[日志审计/终端管理记录/软件安装/卸载限制记录]页面,可查看对应终端软件安装/卸载限制记录。
文件操作审计支持针对用户在终端电脑上备份用户打印的文档内容。审计内容包括打印时间、终端名称、打印页数、打印份数、打印机名称、文件名称等。
在[日志审计/硬件设备管控记录/打印记录]页面,可以查看终端的打印记录。
系统支持记录终端与蓝牙之间设备配对情况。
在[日志审计/硬件设备管控记录/蓝牙配对记录]页面,可以查看蓝牙配对记录,包括配对时间、终端名称、设备地址、蓝牙名称、设备类型(其他、计算机、手机、LAN、音频/视频、配件、成像、可穿戴、玩具、健康、未分类)、改变类型(添加、删除)。
系统支持对终端使用蓝牙传输文件的行为进行审计操作。审计日志包括传输时间、终端名称、操作员、设备地址、蓝牙名称、设备类型等。
在[日志审计/硬件设备管控记录/蓝牙文件传输记录]页面,可查看使用蓝牙传输文件的传输记录。
系统支持记录终端电脑ADB外发文件的信息,包括文件外发时间、终端名称、操作员、文件路径、文件名称、文件大小等。
在[日志审计/硬件设备管控记录/ADB外发文件记录]页面,可查看ADB外发文件记录。
系统支持记录终端电脑FTP外发文件的信息,包括文件外发时间、终端名称、操作员、文件路径、目标途径等。
在[日志审计/硬件设备管控记录/FTP外发文件记录]页面,可查看FTP外发文件记录。
系统支持记录终端电脑USB接入审批的信息,包括审批时间、终端名称、操作员、设备昵称、设备类型、磁盘类型等。
在[日志审计/硬件设备管控记录/USB接入审批记录]页面,可查看USB接入审批记录。
系统支持记录终端与存储设备配对识别的信息,包括识别时间、终端名称、事件类型(插入,拔出)、设备类型、设备描述。
在[日志审计/硬件设备管控记录/USB设备识别记录]页面,可查看USB设备识别记录。
系统支持记录终端通过USB外发文件的行为信息,包括操作时间、终端、所属部门、USB设备名称、U盘序列号等。
在[日志审计/硬件设备管控记录/USB外发文件记录]页面,可查看USB外发文件记录。
系统支持对终端的所有刻录行为进行详细审计,刻录行为审计包括:刻录时间、刻录文件大小、刻录驱动器名称、刻录盘名称等,有效控制内网敏感信息通过光盘外泄。
此监控只针对EFM客户端自带的的刻录机,因此在实际应用场景下,需要禁止光盘驱动器的配合使用。
在[日志审计/硬件设备管控记录/刻录机使用记录]页面,可查看刻录机使用记录。
在[日志审计/终端行为管控记录/窗口标题记录]页面,可查看终端的窗口事件信息。
在[日志审计/终端行为管控记录/程序使用记录]页面,可查看终端运行应用程序的相关信息。
在[日志审计/终端行为管控记录/程序动作监控记录]页面,可查看终端运行应用程序后所做操作的相关信息。
在[日志审计/终端行为管控记录/程序运行时长统计]页面,可查看程序运行时间相关基础数据。
在[日志审计/终端行为管控记录/屏幕录像记录]页面,可查看屏幕录像文件,也可对其执行以下操作:
· 在“屏幕录像记录”页签下,选中某条记录,单击<开始播放>按钮,即可在线播放录像。
· 在“屏幕录像记录”页签下,选中某条记录,单击<转换MP4视频文件>按钮,会生成一条转换任务。该任务会展示在“MP4视频文件转换任务列表”页签下,转换成功后,可单击<下载视频>按钮,即可将MP4格式的视频下载至本地。
在[日志审计/终端行为管控记录/文件操作记录]页面,可查看终端对文件的操作记录。
在[日志审计/终端行为管控记录/计算机系统日志]页面,可查看终端获取操作系统的日志信息,包括终端名称、日志发生时间、日志记录编号、事件ID、日志等级、日志来源、事件描述等。
在[日志审计/终端行为管控记录/计算机状态变更日志]页面,可查看系统开机、关机、休眠等状态变更的日志信息。
在[日志审计/终端行为管控记录/计算机用户登录日志]页面,可查看计算机用户登录日志。
在[日志审计/终端行为管控记录/计算机应用程序日志]页面,可查看计算机应用程序日志。
在[日志审计/终端行为管控/计算机用户变更记录]页面,可查看计算机用户变更日志。
在[日志审计/终端行为管控/系统分组日志]页面,可查看计算机分组变更日志。
在[日志审计/网页管控记录]模块下,可以查看网页相关操作行为的记录信息,包括网络浏览行为、网页搜索行为、网页粘贴行为、网页上传文件、网页浏览时长、论坛发帖。
在[日志审计/网络行为管控记录]模块下,可以查看终端通过网络进行的操作记录,包括:通讯工具的登录记录、聊天记录、WiFi连接记录、终端的实时网络流量、流量统计、邮件记录、Telnet通讯记录、本地共享记录、网络共享记录、网盘传输记录、FTP文件传输记录。
在[日志审计/数据安全管控记录]模块下,可以查看关于数据安全的行为管控记录,包括文件密级转换记录、批量加解密操作记录、全盘扫描操作记录、加密文件备份记录、文件外发制作记录、文件加密记录、文档溯源记录、文件传播记录、图片盲水印记录。
其中:
· 在[日志审计/数据安全管控记录/文档溯源记录]下,可查看外泄文件的流转链路。
¡ 单击操作列的<流转详情>按钮,可查看对应文档的流转链路及文档流转的基本信息。
¡ 单击<上传文档获取文档ID并搜索>按钮,上传需要溯源的外泄文件,若该文档为系统跟踪文件,可获取到文档ID并搜索到文档的流转记录信息。
· 在[日志审计/数据安全管控记录/文档传播记录]下,可查看文档流经的终端和操作员。
¡ 单击操作列的<传播分析>按钮,可查看对应文档流经的终端信息及操作员信息;在弹出的“传播分析”窗口,单击<传播详情>按钮,可查看具体信息。
¡ 单击<上传文档获取文档ID并搜索>按钮,上传需要查找文档传播记录的文档,若该文档为系统跟踪文档,可获取到文档ID并搜索到文档的传播记录信息。
· 在[日志审计/数据安全管控记录/图片盲水印记录]下,可以查看图片盲水印的溯源信息。
a. 单击<上传图片提取水印码>按钮,上传图片后,系统会对其进行解析并提取出水印码,系统将利用盲水印码获取到其关联的信息,包括操作时间、操作员、终端、原图等信息。
b. 单击解析图可查看放大的图片,在三张解析图中,找到清晰的10位字符盲水印码,在搜索框输入水印码可实现图片溯源。
图3-196 图片水印码提取
在[日志审计/敏感内容管控记录]模块下,可以查看关于敏感内容的违规事件和零星检测的管控记录。
在[日志审计/审批管理记录]模块下,可以查看系统中的审批操作记录和文件外发记录。
要使用报表功能,需先安装H3C综合报表系统。
综合报表系统使用说明:各个报表在系统中的呈现及操作方式基本相似,此处仅以文件操作报表为例进行说明,其他报表的类似操作不再赘述。
· 在报表展示页面
在[报表/文件操作报表/文件操作报表]页面,支持进行以下操作:
¡ 查看报表信息:系统以统计图(饼状图、柱形图、折线图)+列表的形式展示具体的报表信息。可在右上角的下拉框中选择展示形式:“统计图+列表”、“只展示列表”、“只展示统计图”
¡ 筛选报表信息:可通过报表日期、统计类型等进行信息筛选。
¡ 自定义列表参数:支持自定义设置显示列表项,单击<列表设置>按钮,在弹框中勾选列表中需要显示的指标即可。必选其中一项,该设置退出登录后会恢复为默认显示的列表项报表。
¡ 打印报表:单击<打印>按钮,可打印当前的页面信息,并支持设置打印参数。
¡ 导出报表:单击<导出>按钮,可导出ToPN或全部报表信息。
图3-197 报表页面示例
· 在趋势图页面
在[报表/文件操作报表/文件操作趋势图]页面,会基于列表内容生成趋势图,同样支持查看、筛选、列表设置、打印等操作。
图3-198 操作趋势图示例
该报表对应“批量加解密日志”。
在[报表/批量加解密报表/批量加解密报表]页面,可以查询终端/操作员/部门名称、加解密、文件加解密数量、成功个数、失败个数。
在[报表/批量加解密报表/批量加解密趋势图]页面,可以查询一定时间内文件加解密数量趋势图。
图3-199 批量加解密报表
图3-200 批量加解密趋势图
在[报表/数据安全报表/数据安全报表]页面,展示了批量加解密文件数、全盘扫描文件数、外发文件数、文件备份数。
在[报表/数据安全报表/数据安全趋势图]页面,可以查询在一定时间内对文件批量加解密数量、全盘扫描数量、审批数量、外发文件数量的趋势。
图3-201 数据安全报表
图3-202 数据安全趋势图
该报表对应“打印操作审计”。
在[报表/打印报表/打印报表]页面,可以查询终端/操作员/部门名称、打印机名称、打印次数、打印总页数、打印文件大小五个字段。
在[报表/打印报表/打印趋势图]页面,可以查看一定时间内打印份数的趋势图。
图3-203 打印报表
图3-204 打印趋势图
该报表对应“文件操作审计”。
在[报表/文件操作报表/文件操作报表]页面,可以查询终端/操作员/部门名称、文件操作类型、文件操作数量、文件操作大小四个字段。
在[报表/文件操作报表/文件操作趋势图]页面,可以查询一定时间内的文件操作数量趋势图。
图3-205 文件操作报表
图3-206 文件操作趋势图
该报表对应“USB设备识别日志”。
在[报表/移动存储报表/移动存储报表]页面,可以查询设备插入次数、创建文件数量、拷贝文件数量、打开文件数量等移动存储的使用信息。
在[报表/移动存储报表/移动存储趋势图]页面,可以查询一定时间内设备插入次数、创建文件数量、拷贝文件数量、打开文件数量、重命名文件数量、删除文件数量、打开文件、修改文件数量的趋势图。
图3-207 移动存储报表
图3-208 移动存储趋势图
该报表对应“系统日志”。
在[报表/Windows系统日志报表/Windows系统日志报表]页面,可以查询对应终端的Windows系统日志数量。
在[报表/Windows系统日志报表/Windows系统日志趋势图]页面,可以查询一定时间内Windows系统日志的数量及趋势。
图3-209 Windows系统日志报表
图3-210 Windows系统日志趋势图
该报表对应“网页浏览日志”。
在[报表/网页浏览报表/网页浏览报表]页面,可以查询终端/操作员/部门名称、网站名称、网页浏览记录数三个字段。
在[报表/网页浏览报表/网页浏览趋势图]页面,可以查询一定时间内网页浏览记录的数量及趋势。
图3-211 网页浏览报表
图3-212 网页浏览趋势图
在[报表/网页浏览报表/网页浏览时长报表]页面,可以查询终端、部门、网页浏览时长三个字段。
图3-213 网络浏览时长报表
在[报表/网页浏览报表/网页浏览时长趋势图]页面,可以查询一定时间内网页浏览时长的趋势。
图3-214 网络浏览时长趋势图
该报表对应“程序运行时间统计”。
在[报表/应用程序运行时长报表/应用程序运行时长报表]页面,可以查询应用程序运行时长的统计信息。
图3-215 应用程序运行时长报表
在[报表/应用程序运行时长报表/应用程序运行时长趋势图]页面,可以查询一定时间内应用程序运行的时长及趋势。
图3-216 应用程序运行时长趋势图
该报表对应“邮件收发审计”。
在[报表/邮件报表/邮件报表]页面,可以查询终端收发的邮件条数、邮件大小、有附件邮件数量等信息。
图3-217 邮件报表
在[报表/邮件报表/邮件趋势图]页面,可以查询时间、邮件条数、邮件大小、有附件邮件数量及一定时间内的邮件数量及趋势图。
图3-218 邮件趋势图
该报表对应“违规事件”和“零星检测日志”。
在[报表/征兆报表/征兆报表]页面,可以查询终端、数据泄露违规记录数、常规检测-数据泄露违规记录数、零星检测-数据泄露违规记录数。
图3-219 征兆报表
在[报表/征兆报表/征兆趋势图]页面,可以查看一定时间内数据泄露违规记录的数量及趋势。
图3-220 征兆趋势图
该报表对应“通讯工具登录审计”、“通讯工具内容审计”、“通讯工具图片审计”、“通讯文件传输内容审计”。
在[报表/即时通讯报表/即时通讯报表]页面,可以查询终端聊天记录数(包括聊天语句、图片、文件的聊天记录进行的汇总)、语句数、字符数、图片数、文件数等信息。
图3-221 即时通讯报表
在[报表/即时通讯报表/即时通讯趋势图]页面,可以查询一定时间内聊天记录数量及趋势图。
图3-222 即时通讯趋势图
该报表对应“硬件资产变更记录”。
在[报表/资产报表/硬件资产报表]页面,可以查询对应终端的资产变更次数、cpu变更次数、主板变更次数、显卡变更次数等其他资产变更记录。
图3-223 硬件资产报表
在[报表/资产报表/硬件资产趋势图]页面,可以查询一定时间内硬件资产变更的数量及趋势图。
图3-224 硬件资产趋势图
该报表对应“软件资产变更记录”。
在[报表/资产报表/软件资产报表]页面,可以查询对应终端的资产变更次数、操作系统变更次数、杀毒软件变更次数等信息。
图3-225 软件资产报表
在[报表/资产报表/软件资产趋势图]页面,可以查询一定时间内软件资产变更数量及趋势图。
图3-226 软件资产趋势图
该报表对应“文件外发记录”、“文件操作日志”(查询条件移动介质)、“邮件收发审计”、“网页上传文件日志”、“打印操作审计”。
在[报表/综合报表/综合报表]页面,可以查询外发文件数、外发文件大小、移动盘操作文件数、移动盘操作文件大小、邮件数、邮件文件大小、网页上传文件数、网页上传文件大小、打印份数、打印总页数。
图3-227 综合报表
在[报表/综合报表/综合趋势图]页面,可以查询一定时间内外发文件、移动盘操作文件、网页上传文件等数量及趋势图。
图3-228 综合趋势图
该报表对应“审批记录”。
在[报表/审批报表/审批报表]页面,可以查询申请人及其对应的解密审批完成数、直接外发审批完成数、定密审批完成数、离线审批完成数、打印审批完成数等字段。
图3-229 审批报表
在[报表/审批报表/审批趋势图]页面,可以查询一定时间内各类审批的数量及趋势图。
图3-230 审批趋势图
该报表对应“网络行为管控记录/流量统计”。
在[报表/流量统计报表/流量统计报表]页面,可以查询对应终端所用流量的统计信息。
图3-231 流量统计报表
在[报表/流量统计报表/流量统计趋势图]页面,可以查询一定时间内终端所用流量及趋势图。
图3-232 流量统计趋势图
该报表对应“Telnet通讯记录”。
在[报表/Telnet监控报表/Telnet监控报表]页面,可以查询终端的命令行数。
图3-233 Telnet监控报表
在[报表/Telnet监控报表/Telnet监控趋势图]页面,可以查询一定时间内命令行的数量及趋势图。
图3-234 Telnet监控趋势图
该报表对应“软件卸载记录”。
在[报表/软件卸载数量报表/软件卸载数量报表]页面,可以查询终端的软件卸载数量。
图3-235 软件卸载数量报表
在[报表/软件卸载数量报表/软件卸载数量趋势图]页面,可查询一定时间内软件卸载的数量及趋势图。
图3-236 软件卸载数量趋势图
该报表对应“网盘传输记录”。
在[报表/网盘审计报表/网盘审计报表]页面,可以查询终端网盘传输文件的文件数量及文件大小。
图3-237 网盘审计报表
在[报表/网盘审计报表/网盘审计趋势图]页面对报表进行查询。
图3-238 网盘审计趋势图
在[报表/网盘审计报表/敏感关键字报表]页面,可以查询敏感关键字触发的次数。
图3-239 敏感关键字报表
在[报表/网盘审计报表/敏感关键字趋势图]页面,可以查询一定时间内敏感关键字触发的次数及趋势图。
图3-240 敏感关键字趋势图
在终端文件管理系统的大部分页面,页面左侧会显示一个树形结构,代表不同的节点、终端、分组等;右侧为界面主数据区,会显示具体的数据信息及操作功能。
图4-1 页面说明实例
在左侧结构树中,可以进行新增、删除、修改分组操作:
· 新增分组:鼠标移动到界面左边的结构树上的分组节点,会出现“
”新增按钮,单击按钮,在弹窗中配置对应参数,完成后单击确定即可。
· 修改分组:鼠标移动到界面左边的结构树上的下级分组节点,可出现“
”修改按钮,单击按钮,在弹窗中修改对应参数,完成后单击确定即可。
· 删除分组:鼠标移动到界面左边的结构树上的下级分组节点,可出现“
”删除按钮,单击按钮,弹出提示,单击确认即可删除。
如果选择删除的分组下面有下级分组,则不允许删除。
在界面主数据区,可以根据页面支持的功能进行新增、删除、修改等操作,不同模块支持的功能不同,根据页面及自身需求操作即可。
此处介绍以新增操作为例:先在左侧结构树中选中想要管理的具体对象(支持选择任一树节点),然后在界面主数据区域单击<新增>按钮,在弹窗中新增配置,配置的内容则会归属于对应的树节点。也可以先单击<新增>按钮,在弹出的新增配置窗口选择对应的生效对象,此时配置的内容同样会归属于对应的树节点。
系统中存在终端、终端组、操作员、操作员组的组织关系,策略应用存在自身策略、策略包的方式, 当这些组织关系发生变化或这些组织上应用的策略发生变化时,需要根据策略优先级进行计算,以确定最终应用的策略。
策略优先级:
(1) 操作员策略 > 操作员策略包 > 操作员组策略
(2) 操作员组策略 > 操作员组策略包 > 上级操作员组策略
(3) 终端策略 > 终端策略包 > 终端组策略
(4) 终端组策略 > 终端组策略包 > 上级终端组策略
(5) 操作员策略 > 终端策略
故而最终应用到具体对象的策略优先级如下:
操作员策略 > 操作员策略包 > 操作员组策略 > 操作员组策略包 > 上级操作员组策略> 上级操作员组策略包 > 终端策略 > 终端策略包 > 终端组策略 > 终端组策略包 > 上级终端组策略> 上级终端组策略包
鼠标移动到系统主界面左边的菜单栏的具体菜单上,会有“
”图案,鼠标单击点亮星星即可将菜单添加到常用菜单下方,便于快速查找使用相关功能菜单。
图4-2 常用菜单
鼠标单击系统右上方“
”图标,可查看系统的文件下载记录,支持搜索和删除记录。
图4-3 下载
鼠标单击系统右上方“
”图标,会出现菜单搜索框,在其中输入菜单名称,下方会根据输入内容出现相关菜单,可快速搜索整个系统的菜单。
图4-4 菜单搜索框
鼠标单击系统右上方“
”图标,会出现消息提示框,可查看策略变更消息并完成策略下发;查看审批消息及其他消息。
图4-5 消息提示区
鼠标右键标签栏上的任意菜单,会出现“刷新/关闭/关闭其他/关闭所有”四种选项,单击所需选项可以按要求处理标签栏菜单。
图4-6 标签栏
在配置参数时,部分模块会出现“
”图标,鼠标悬浮至该图标上,可以看到对应的参数解释、注意事项或补充说明,可以帮助用户理解。
支持
