天锐绿盾加密系统是做什么用的？

天锐绿盾数据防泄密系统产品功能规格表

功能模块

功能说明

备注

应用场景

系统平台

服务器端

标准平台

Windows Server 2003/2008/2012 32位及64位操作系统。

【服务器部署】
系统服务器可以安装在windows2003/2008/2012等主流操作系统上，还可以兼容Windows 7/8 /10等操作系统。并且可以和主流杀毒软件一起安装，不会出现兼容问题。

兼容支持

Windows 7/8 /10 32位及64位操作系统。

杀毒软件

支持现有最新主流杀毒软件，如麦咖啡、卡巴斯基、NOD32、赛门铁克(诺顿、SEP)、趋势、江民、360等单机和 络版本。

客户端

标准平台

Windows XP/7/8/10 32位及64位操作系统。

【客户端部署】
系统客户端可以部署在windows 7/8 /10等主流操作系统上，还可以兼容Windows 2003/2008/2012等操作系统。并且可以和主流杀毒软件一起安装，不会出现兼容问题。

兼容支持

Windows server 2003/2008/2012 32位及64位操作系统。

杀毒软件

支持现有最新主流杀毒软件，如麦咖啡、卡巴斯基、NOD32、赛门铁克(诺顿、SEP)、趋势、瑞星、江民、360等单机和 络版本。

移动终端

兼容支持

支持IOS、Android系统移动设备。

【移动办公】
公司员工下班时间或者外出没有带电脑时，可以在安卓、苹果手机上查看加密文件。

终端信息

终端管理

对天锐绿盾终端进行管理，包括升级终端程序、卸载终端程序、查看终端详细信息、检查终端安装情况、设置终端功能模块信息、同步终端昵称为计算机名。

【终端维护管理】
1、管理员可在控制台轻松远程升级、卸载终端。
2、控制台精确展现终端安装情况以及详细信息，方便统一管理。
3、灵活的功能模块分配，可使功能模块利用率最大化，管理最精细化。

审批接入

接入日志

终端接入系统的情况会以日志方式记录下来。

模块过滤

可以对指定的用户关闭掉一些功能模块。

【模块过滤】
如果一些用户需要过滤掉一些功能，比如领导的电脑不开启屏幕监控，可以通过模块过滤进行设置。

组织架构管理

支持AD域结合管理；支持进行分组排序；支持批量删除组织架构；支持手动导入组织架构。

【与企业AD域结合】
大多数企业都部署了AD域，进行统一的用户以及权限管理，本系统可以与AD结合，同步AD与的组织与用户，方便统一管理。也可以手动进行组织结构的维护。

信息搜集

终端安装过程中要求输入相关信息，如果终端程序安装完成可以下发任务收集Windows终端的部门以及姓名信息。

【终端信息收集与管理】
通过信息的收集，明确各个终端的所有者以及所属部门，便于管理。
对于加密以及桌管审计系统的部署，很多企业不希望让员工知道，这时可以隐藏终端的图标、进程等，不让员工察觉。

终端设置

设置天锐绿盾终端的一些基本信息，包括：无键盘鼠标输入时切换终端状态、隐藏终端图标、隐藏终端进程、关闭终端运行日志、关闭终端生成授权码菜单等。

系统选项

系统设置

系统设置选项中包含服务器、控制台、终端、新用户接入认证选项，主要是一些系统运行参数的设置。

【系统管理配置】
1、常用的操作通过快捷键设置，可以方便地呼出使用，提高办公效率。
2、对于较大规模企业，内部管理往往是分级授权的，比如一个公司由一个管理员进行管理，总部管理员或者领导负责统筹规划。在本系统中设置多个管理员，分别负责不同的管理范围以及管理职能，在分担管理压力的同时规范管理权限，提高管理效率。
3、在发生管理过失的时候，可以查看审计日志，追溯管理员在系统的所有操作，明确责任人。

热键设置

对导入离线策略文件、系统维护、显示终端图标、隐藏终端图标和截屏进行热键设置。

管理员信息

添加其他管理人员，并授权设置相关权限。

审计日志

查询控制台管理员登录控制台后的操作记录，可按时间、操作员、类型、结果进行查询。

注册信息

注册系统或查看注册信息。

【注册授权】
系统安装后进行系统的注册，试用延期以及试用转正式。

天锐绿盾数据防泄密系统（Windows端专业版）

文件安全基础包

规则中心

规则中心的设置包括：
1) 添加不同类型的终端操作员信息，并设置相应的权限及密级；
2）为不同类型的终端操作员添加不同的受控程序策略、安全选项配置信息、文件外发限定信息。其中安全选项配置信息包括：加密类型、剪切板设置、短期离线策略、截屏设置、终端图标设置、其他设置等；
3）支持策略复制，导入导出功能；
4）受控程序按照windows、mac、linux分开配置。

【系统自主管理】
企业可自主添加用户，选择或添加需要加密的程序以及对于安全选项的精细配置。实现系统的完全自主管理与程序的无限扩展。

企业密钥

1)绿盾加密包括3个密钥：主密钥、企业密钥和文件密钥。
2)每个文件加密时，都采用三个密钥同时参与运算；每个文件解密时，也必须三个密钥同时验证。
3)企业密钥由用户自己设置，并支持修改，这是为了保证当知道密钥的内部人员离职时，用户可以重新修改密钥，确保密文的安全，而企业密钥由用户自行掌握，厂商并不知晓，就算厂商获取了密文也无法解密。

【文件防破解】
每个文件加密都采用三重密钥，安全性极高，其中企业密钥由用户企业自主设置与保管，确保厂商也无法解密用户企业的加密文件。

加密模式

透明加密

1）通过驱动层动态加解密技术，对企业内部所有涉密文档进行强制加密处理，从文件创建开始即可自动加密保护。
2）加密文档在加密前后对于数据合法使用者无任何差异，不增加用户负担、不改变任何工作流程及使用习惯。
3）文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。

【文档加密保护】
将设计图纸、开发代码、财务信息、客户资料等重要的电子文档在完全不改变用户的习惯下进行自动加密，若这些文档被非法带离企业，则无法解密和应用。

半透明加密

1）通过驱动层动态加解密技术，对企业内部所有涉密文档进行强制加密处理，从文件创建开始即可自动加密保护。
2）加密文档在加密前后对于数据合法使用者无任何差异，不增加用户负担、不改变任何工作流程及使用习惯。
3）文件的保存加密、打开解密完全由后台加解密驱动内核自动完成，对用户而言完全透明、无感知。

【非核心部门半透明加密】
对于企业支撑部门或管理部门来说，他们往往不是数据的生产者，但由于业务需要，会是数据的使用者。因此，不需要加密电脑上的文件，只希望能够打开加密文件就可以，这个时候就可以采用半透明加密的模式。

落地加密

支持指定类型文档从任意途径传输过来落地即自动加密

智能加密

文档内容保护

禁止复制粘贴

加密的文件内容不能复制到非受控的程序中，防止复制粘贴加密文件内容导致泄密。

【文档内容保护】
对文件内容进行安全管控，防止用户通过剪切板、插对象、截录屏等途径进行泄密。

【防止拍照泄密】
支持在屏幕上显示水印信息，通过照片追溯泄密者信息。

【进程防伪冒】
防止员工伪造进程，违规读取加密文件，防止泄密事件发生。

禁止截屏

任何截屏工具、prtsc截屏都被禁止，截屏不能使用或者截取出来是黑屏；为方便客户使用，支持禁止所有截屏软件的情况下，允许指定软件截屏。

禁止OLE插入

设置后，该终端用户将不能在应用程序（如Word、Excel等）里通过插入对象的方法将加密文档另存为明文文档，或点击Word等菜单栏中的“文件”-“发送”将文件通过outlook发到企业外部。可以排除部分程序，使之不受此限制。

禁止受控程序改名

设置后不允许终端受控程序改名，或其他进程改名为受控程序。系统能区分是否为假冒程序，且假冒的进程会被结束掉。

隐藏终端进程

设置后终端电脑的任务管理器里将不显示天锐绿盾终端进程，起到进程保护的作用。

自带截屏工具

可以使用绿盾自带截屏工具，但是截取的图片只能粘贴到加密文件中。

屏幕水印

1）可自定义设置屏幕水印的类型，支持进程水印和桌面水印
2）可自定义设置屏幕水印的形式，支持文字水印和点阵水印
3）可自定义水印内容、字体大小、颜色和透明度等。

部门阅读权限控制

可根据实际需求，进行部门阅读权限隔离管理，未授权部门之间的文档无法进行直接交互阅读；

【部门文档隔离】
根据企业不同的部门，如市场部、技术部等创建不同的安全区域，确保不能跨部门访问加密文档，实现文档的部门隔离

文档解密

全盘加解密

在系统部署上线时，天锐绿盾对企业所有电脑现有需要加密保护的文件，可通过管理员统一下发全盘加密策略，对终端上的文件进行全盘扫描加密。在卸载天锐绿盾终端程序之前需要先把终端电脑上的加密文件进行解密，也可以通过控制台上的“全盘加解密”功能进行全盘解密。另外，系统支持“目录过滤”功能，对不需要进行全盘加解密的目录可进行过滤，全盘解密完成之后，在后台有统计日志。

【全盘加解密】
可根据工作需要，特别是在首次安装客户端的时候，对终端电脑上重要格式文件进行全盘加密。在电脑转做其他用途或者要卸载终端的时候，可以对电脑上所有文件进行全盘解密。

批量解密

具有较高权限的人员可以一次性将多个加密文件进行批量解密成明文后外发，不需要审批。

【文档外发】
对于工作中需要外发的文档，可以进行解密。高级领导可以直接对文件进行解密。普通员工需要进行申请，经过领导同意后，文档自动解密。

申请解密外发

普通终端可以向在线的上级管理人员申请解密外发。

文档外发管理

申请制作受控外发

对一些需发给客户的安全性要求比较高的重要文件，可以申请把它们制作成受控外发文件。外发文件可以控制文件的操作权限，其中包括：打开次数、生存周期、密码验证、修改限制、截屏限制、打印限制、过期自毁等，超出限制将无法打开文件，防止外发文档二次扩散，确保信息安全。

【防止二次泄密】
授予客户、合作伙伴等外部对象有限查看加密文件的权限，限制其在指定机器上打开加密文档，规定使用加密文档的时间、打开次数、修改权限、打印权限、截屏权限、水印警示等，并可以详细记录用户外发情况，防止解密后外发导致的二次泄密。

机器码白名单

每台电脑有唯一一个机器码，针对经常联系、可信任的外部电脑，可以设定其机器码至白名单列表，不需要输入授权码即可打开外发文件。

信任软件列表

制作需要信任软件才能打开的外发文件，在打开时需要验证打开软件的信息，验证为信任软件才能正常打开。

外发水印

1）支持设置外发屏幕水印及外发打印水印，
2) 支持设置打印时间、操作员名称及自设内容。
3) 支持设置水印内容的字体类型、大小、颜色、位置也可以自定义，
4) 支持根据需要设置图层前景或背景显示。
5）支持图片水印。

文件外发记录

查看终端用户的文件外发情况，了解内部文件的外发去向。

终端离线管理

短期离线

对突发性、频繁性、短期性的离线办公，无需审批（比如回家加班、短期节假日），可设置短期离线策略，比如72小时，则在72小时内加密文件依旧正常打开，文件落地依旧加密，与在公司一样的使用效果

【出差办公】
对于需要出差的同事，给予有限的离线授权，允许外出继续使用加密文档，文档仍能保持加密状态，不影响正常办公。
【无 络连接环境】
对与无法跟服务器进行 络连接的电脑，采用离线终端，可以查看权限范围内的加密文件，生成的文件都都是加密的，防止外泄。

长期离线

1）出差时间超过默认离线时间的，出差前需要提出申请，离线申请通过后，就可以在申请的时间范围内正常使用加密文件，超出授权的时间，则加密文件无法正常打开；
2）永久离线终端支持共享管理、打印水印、软件安装包限制、其他设备限制、程序限制、窗口限制、软件版本限制的管控。

离线终端

对在分公司或办事处用户，可使用永久离线授权，保证总部与分部之间的资料都是加密的，可以互相访问，又可以控制分部的资料，防止外泄。

离线申请日志

对于终端计算机的操作员申请离线的情况进行记录，便于后期的审计。

审批管理

审批流程设置

1）可以根据需要，自定义审批流程，根据自定义的流程进行申请离线、申请解密、申请打印外发、申请直接外发等。
2)支持Mac、Web、windows、APP及控制台设置流程审批委托人(独立审批特有)
3）支持智能审批：申请人在一定时间内或累计申请次数/申请文件大小在一定条件内，可设置为自动审批通过，不需要手动审批。（独立审批特有）
4）支持打印审批：没有打印权限的用户可申请临时放开打印权限（独立审批特有，需与桌管系统的打印限制功能配套使用）

【多样化审批方式】
当员工申请解密、外发、离线等审批的时候，审批员可以在客户端、WEB端以及手机端进行审批。也可以通过验证码进行审批，多样化的审批方式，大大提高了办公效率，并且对于审批有详细的日志审计。

审批流程管理

审批流程支持按分组分类、支持批量删除、支持按模板导入审批流程、支持审批流程导出为 表

审批流程分配

根据自定义的审批流程分配该审批流程用于何种方式的审批，其中包括解密审批、离线审批、打印外发审批、直接外发审批

WEB审批

即使用 页访问方式对终端操作员提交的解密、打印外发、直接外发和离线等申请进行审批，其审批的效果和审批人员在终端审批是完全一样的。

验证码审批

在终端跟服务器无法通讯的情况下，可以通过验证码的方式进行审批。

审批日志

特殊目录设置

设置文件或者目录含有某字符时文件自动解密。

【非敏感信息解密】
企业内部某些文档，比如含有“公开”关键字的都属于非敏感信息，可以设置自动解密。

批量加解密记录

记录终端用户的加解密记录并进行加解密文件个数统计，包括操作员姓名、加解密的时间、加解密类型、加解密的文件总数、成功个数和不成功个数。

【跟踪文件加解密】
企业可查看终端用户文档加解密的详细情况。

解密预警

管理员可设定具备解密权限的用户某一时间段内可解密的文件数量，当超过预设值，系统会自动生成 警日志， 警日志可支持邮件提醒、控制台提醒。方便管理员及时审计用户是否有异常解密行为发生。

【解密 警】
防止有解密权限用户随意对文件解密。

密级管理

密级设置

可对公司的人员、文件进行5个等级划分，低密级用户无法打开高密级文档；

【加强文档安全】
企业内部文档，根据其内容的涉密程度不同，对涉密文档和使用者进行密级标识，以控制涉密文档的安全性，防止越权查看。

密级标示

支持修改密级描述（“公开文件”“内部资料文件”“秘密文件”“机密文件”“绝密文件”）、自定义密级级数、并提供多套密级图标。

批量密级转换

具备密级转换权限的用户，能够进行单个或批量档密级转换，且只能将文档转换成比自己低的密级。

申请密级转换

普通用户需要查看高于自己密级的文档或者需要提高文档密级，以增加文件浏览的人员限制时，可通过走申请文档密级转换流程，待审批通过后下载查看。

密级转换日志

管理员可在控制台查询用户进行文档密级转换的日志记录。

备份功能

终端文件自动备份

终端文件备份记录

可查询用户当天的文件备份情况。备份记录信息包括：终端计算机、操作员（申请外发的终端用户）、备份时间、文件大小（KB）、文件名、文件原始路径。

服务端策略配置信息备份

支持管理员手动备份策略配置信息以及根据时间、备份天数、保存路径等自动备份策略配置信息。

邮件白名单

邮件白名单设置

1）对于经常联系且可信任的客户的邮箱，可添加至邮件白名单列表处，发送加密文件至这些白名单邮件，文件自动解密成明文，不需要审批。
2）支持Exchange和SSL两个加密传输协议
3）持邮件客户端软件：Outlook的07，10，13，16，19，365的32位和64位版本

【邮件便捷交互】
针对企业外发给固定供应商、核心的代理公司的文件，相对比较多，且是比较信赖的合作伙伴，对外发的邮件，无需经过反复审批的方式，可通过邮件白名单的方式直接解密。

服务器白名单

服务器白名单设置

1）与应用服务器结合，实现服务器白名单，可以灵活设置加密文件（上传、下载）加密或者解密。
2）支持HTTPS协议
3）支持GZIP压缩传输
4）与HTML无关，支持特殊的上传下载协议，并且不需要为特殊协议的应用系统做二次开发

【防止服务器文档泄密】
确保从ERP、OA等服务器下载的文档进行强制加密，防止服务器文档下载泄密。

应用安全接入管理

应用安全接入设置

通过在核心应用服务器与终端用户之间部署天锐绿盾应用服务器安全接入系统（需另外购买），实现只有安装天锐绿盾加密软件客户端才允许访问核心应用系统，并配合天锐绿盾加密软件透明加密技术及服务器白名单功能，实现用户对应用服务器访问时的文档上传解密、下载加密的安全集成需求。支持包括windowsMACLinux的终端类型。

【终端安全准入】
对于涉密级别高的应用服务器，只有经过授权的用户才能访问，并可设置下载加密，保障内部应用服务器的数据安全。

U盘终端管理

U盘终端管理

插入U盘终端能打开加密文件，拔出U盘终端则不能打开加密文件，不用另外安装绿盾客户端。

【便捷办公】
对于在外出差或未安装天锐绿盾终端程序的领导，可用过U盘终端即可查看加密文件。

授权解密Key

授权解密Key

对于企事业单位内高层人员在外出差或无安装天锐绿盾终端程序，但需要查看加密文件可通过授权解密Key来查看加密文件。

【领导便捷解密】
对于在外出差或未安装天锐绿盾终端程序的领导，可通过授权解密Key来查看加密文件。

外发U盘管理

外发U盘授权

设置外发U盘允许使用的部门或指定操作员，并设置授权用户是否具备文档导出权限。

【数据临时外带】
企业员工在出差或者需要携带文档外出的时候，可以使用外发U盘，外发U盘可以对其内部文件做细致的权限控制，防止泄密事件的发生。