天銳綠盾數據防洩密系統産品功能規格表

功能模塊

功能說明

備注

應用場景

系統平台

服務器端

标準平台

Windows Server 2003/2008/2012 32位及64位操作系統。

【服務器部署】系統服務器可以安裝在windows2003/2008/2012等主流操作系統上，還可以兼容Windows 7/8 /10等操作系統。并且可以和主流殺毒軟件一起安裝，不會出現兼容問題。

兼容支持

Windows 7/8 /10 32位及64位操作系統。

殺毒軟件

支持現有最新主流殺毒軟件，如麥咖啡、卡巴斯基、NOD32、賽門鐵克(諾頓、SEP)、趨勢、江民、360等單機和網絡版本。

客戶端

标準平台

Windows XP/7/8/10 32位及64位操作系統。

【客戶端部署】系統客戶端可以部署在windows 7/8 /10等主流操作系統上，還可以兼容Windows 2003/2008/2012等操作系統。并且可以和主流殺毒軟件一起安裝，不會出現兼容問題。

兼容支持

Windows server 2003/2008/2012 32位及64位操作系統。

殺毒軟件

支持現有最新主流殺毒軟件，如麥咖啡、卡巴斯基、NOD32、賽門鐵克(諾頓、SEP)、趨勢、瑞星、江民、360等單機和網絡版本。

移動終端

兼容支持

支持IOS、Android系統移動設備。

【移動辦公】公司員工下班時間或者外出沒有帶電腦時，可以在安卓、蘋果手機上查看加密文件。

終端信息

終端管理

對天銳綠盾終端進行管理，包括升級終端程序、卸載終端程序、查看終端詳細信息、檢查終端安裝情況、設置終端功能模塊信息、同步終端昵稱為計算機名。

【終端維護管理】1、管理員可在控制台輕松遠程升級、卸載終端。2、控制台精确展現終端安裝情況以及詳細信息，方便統一管理。3、靈活的功能模塊分配，可使功能模塊利用率最大化，管理最精細化。

審批接入

“新用戶接入認證”設置為審批接入時由控制台管理人員來審核是否允許其接入。

【終端防私接】為防止公司内外部人員随意接入系統，越權查看加密系統，所有安裝的綠盾終端，需要經過管理員審核，才可以正式接入系統，正常進行文件加解密以及查看加密文件。可定期查看終端接入日志，了解公司終端接入情況，及時發現違規的接入行為，防止越權以及洩密時間的發生。

接入日志

終端接入系統的情況會以日志方式記錄下來。

模塊過濾

可以對指定的用戶關閉掉一些功能模塊。

【模塊過濾】如果一些用戶需要過濾掉一些功能，比如領導的電腦不開啟屏幕監控，可以通過模塊過濾進行設置。

組織架構管理

支持AD域結合管理；支持進行分組排序；支持批量删除組織架構；支持手動導入組織架構。

【與企業AD域結合】大多數企業都部署了AD域，進行統一的用戶以及權限管理，本系統可以與AD結合，同步AD與的組織與用戶，方便統一管理。也可以手動進行組織結構的維護。

信息搜集

終端安裝過程中要求輸入相關信息，如果終端程序安裝完成可以下發任務收集Windows終端的部門以及姓名信息。

【終端信息收集與管理】通過信息的收集，明确各個終端的所有者以及所屬部門，便于管理。對于加密以及桌管審計系統的部署，很多企業不希望讓員工知道，這時可以隐藏終端的圖标、進程等，不讓員工察覺。

終端設置

設置天銳綠盾終端的一些基本信息，包括：無鍵盤鼠标輸入時切換終端狀态、隐藏終端圖标、隐藏終端進程、關閉終端運行日志、關閉終端生成授權碼菜單等。

系統選項

系統設置

系統設置選項中包含服務器、控制台、終端、新用戶接入認證選項，主要是一些系統運行參數的設置。

【系統管理配置】1、常用的操作通過快捷鍵設置，可以方便地呼出使用，提高辦公效率。2、對于較大規模企業，内部管理往往是分級授權的，比如一個公司由一個管理員進行管理，總部管理員或者領導負責統籌規劃。在本系統中設置多個管理員，分别負責不同的管理範圍以及管理職能，在分擔管理壓力的同時規範管理權限，提高管理效率。3、在發生管理過失的時候，可以查看審計日志，追溯管理員在系統的所有操作，明确責任人。

熱鍵設置

對導入離線策略文件、系統維護、顯示終端圖标、隐藏終端圖标和截屏進行熱鍵設置。

管理員信息

添加其他管理人員，并授權設置相關權限。

審計日志

查詢控制台管理員登錄控制台後的操作記錄，可按時間、操作員、類型、結果進行查詢。

注冊信息

注冊系統或查看注冊信息。

【注冊授權】系統安裝後進行系統的注冊，試用延期以及試用轉正式。

天銳綠盾數據防洩密系統（Windows端專業版）

文件安全基礎包

規則中心

規則中心的設置包括：1) 添加不同類型的終端操作員信息，并設置相應的權限及密級；2）為不同類型的終端操作員添加不同的受控程序策略、安全選項配置信息、文件外發限定信息。其中安全選項配置信息包括：加密類型、剪切闆設置、短期離線策略、截屏設置、終端圖标設置、其他設置等；3）支持策略複制，導入導出功能；4）受控程序按照windows、mac、linux分開配置。

【系統自主管理】企業可自主添加用戶，選擇或添加需要加密的程序以及對于安全選項的精細配置。實現系統的完全自主管理與程序的無限擴展。

企業密鑰

1)綠盾加密包括3個密鑰：主密鑰、企業密鑰和文件密鑰。2)每個文件加密時，都采用三個密鑰同時參與運算；每個文件解密時，也必須三個密鑰同時驗證。3)企業密鑰由用戶自己設置，并支持修改，這是為了保證當知道密鑰的内部人員離職時，用戶可以重新修改密鑰，确保密文的安全，而企業密鑰由用戶自行掌握，廠商并不知曉，就算廠商獲取了密文也無法解密。

【文件防破解】每個文件加密都采用三重密鑰，安全性極高，其中企業密鑰由用戶企業自主設置與保管，确保廠商也無法解密用戶企業的加密文件。

加密模式

透明加密

1）通過驅動層動态加解密技術，對企業内部所有涉密文檔進行強制加密處理，從文件創建開始即可自動加密保護。2）加密文檔在加密前後對于數據合法使用者無任何差異，不增加用戶負擔、不改變任何工作流程及使用習慣。3）文件的保存加密、打開解密完全由後台加解密驅動内核自動完成，對用戶而言完全透明、無感知。

【文檔加密保護】将設計圖紙、開發代碼、财務信息、客戶資料等重要的電子文檔在完全不改變用戶的習慣下進行自動加密，若這些文檔被非法帶離企業，則無法解密和應用。

半透明加密

1）通過驅動層動态加解密技術，對企業内部所有涉密文檔進行強制加密處理，從文件創建開始即可自動加密保護。2）加密文檔在加密前後對于數據合法使用者無任何差異，不增加用戶負擔、不改變任何工作流程及使用習慣。3）文件的保存加密、打開解密完全由後台加解密驅動内核自動完成，對用戶而言完全透明、無感知。

【非核心部門半透明加密】對于企業支撐部門或管理部門來說，他們往往不是數據的生産者，但由于業務需要，會是數據的使用者。因此，不需要加密電腦上的文件，隻希望能夠打開加密文件就可以，這個時候就可以采用半透明加密的模式。

落地加密

支持指定類型文檔從任意途徑傳輸過來落地即自動加密

智能加密

1）掃描office、純文本文件是否包含指定關鍵詞或正則表達式，包含則加密該文件，否則不加密。2）支持策略導入導出

【敏感内容加密】當員工編輯的文件中包含敏感信息時才進行加密。智能化判斷，提高辦公效率。

文檔内容保護

禁止複制粘貼

加密的文件内容不能複制到非受控的程序中，防止複制粘貼加密文件内容導緻洩密。

【文檔内容保護】對文件内容進行安全管控，防止用戶通過剪切闆、插對象、截錄屏等途徑進行洩密。【防止拍照洩密】支持在屏幕上顯示水印信息，通過照片追溯洩密者信息。【進程防僞冒】防止員工僞造進程，違規讀取加密文件，防止洩密事件發生。

禁止截屏

任何截屏工具、prtsc截屏都被禁止，截屏不能使用或者截取出來是黑屏；為方便客戶使用，支持禁止所有截屏軟件的情況下，允許指定軟件截屏。

禁止OLE插入

設置後，該終端用戶将不能在應用程序（如Word、Excel等）裡通過插入對象的方法将加密文檔另存為明文文檔，或點擊Word等菜單欄中的“文件”-“發送”将文件通過outlook發到企業外部。可以排除部分程序，使之不受此限制。

禁止受控程序改名

設置後不允許終端受控程序改名，或其他進程改名為受控程序。系統能區分是否為假冒程序，且假冒的進程會被結束掉。

隐藏終端進程

設置後終端電腦的任務管理器裡将不顯示天銳綠盾終端進程，起到進程保護的作用。

自帶截屏工具

可以使用綠盾自帶截屏工具，但是截取的圖片隻能粘貼到加密文件中。

屏幕水印

1）可自定義設置屏幕水印的類型，支持進程水印和桌面水印2）可自定義設置屏幕水印的形式，支持文字水印和點陣水印3）可自定義水印内容、字體大小、顔色和透明度等。

部門閱讀權限控制

可根據實際需求，進行部門閱讀權限隔離管理，未授權部門之間的文檔無法進行直接交互閱讀；

【部門文檔隔離】根據企業不同的部門，如市場部、技術部等創建不同的安全區域，确保不能跨部門訪問加密文檔，實現文檔的部門隔離

文檔解密

全盤加解密

在系統部署上線時，天銳綠盾對企業所有電腦現有需要加密保護的文件，可通過管理員統一下發全盤加密策略，對終端上的文件進行全盤掃描加密。在卸載天銳綠盾終端程序之前需要先把終端電腦上的加密文件進行解密，也可以通過控制台上的“全盤加解密”功能進行全盤解密。另外，系統支持“目錄過濾”功能，對不需要進行全盤加解密的目錄可進行過濾，全盤解密完成之後，在後台有統計日志。

【全盤加解密】可根據工作需要，特别是在首次安裝客戶端的時候，對終端電腦上重要格式文件進行全盤加密。在電腦轉做其他用途或者要卸載終端的時候，可以對電腦上所有文件進行全盤解密。

批量解密

具有較高權限的人員可以一次性将多個加密文件進行批量解密成明文後外發，不需要審批。

【文檔外發】對于工作中需要外發的文檔，可以進行解密。高級領導可以直接對文件進行解密。普通員工需要進行申請，經過領導同意後，文檔自動解密。

申請解密外發

普通終端可以向在線的上級管理人員申請解密外發。

文檔外發管理

申請制作受控外發

對一些需發給客戶的安全性要求比較高的重要文件，可以申請把它們制作成受控外發文件。外發文件可以控制文件的操作權限，其中包括：打開次數、生存周期、密碼驗證、修改限制、截屏限制、打印限制、過期自毀等，超出限制将無法打開文件，防止外發文檔二次擴散，确保信息安全。

【防止二次洩密】授予客戶、合作夥伴等外部對象有限查看加密文件的權限，限制其在指定機器上打開加密文檔，規定使用加密文檔的時間、打開次數、修改權限、打印權限、截屏權限、水印警示等，并可以詳細記錄用戶外發情況，防止解密後外發導緻的二次洩密。

機器碼白名單

每台電腦有唯一一個機器碼，針對經常聯系、可信任的外部電腦，可以設定其機器碼至白名單列表，不需要輸入授權碼即可打開外發文件。

信任軟件列表

制作需要信任軟件才能打開的外發文件，在打開時需要驗證打開軟件的信息，驗證為信任軟件才能正常打開。

外發水印

1）支持設置外發屏幕水印及外發打印水印，2) 支持設置打印時間、操作員名稱及自設内容。3) 支持設置水印内容的字體類型、大小、顔色、位置也可以自定義，4) 支持根據需要設置圖層前景或背景顯示。5）支持圖片水印。

文件外發記錄

查看終端用戶的文件外發情況，了解内部文件的外發去向。

終端離線管理

短期離線

對突發性、頻繁性、短期性的離線辦公，無需審批（比如回家加班、短期節假日），可設置短期離線策略，比如72小時，則在72小時内加密文件依舊正常打開，文件落地依舊加密，與在公司一樣的使用效果

【出差辦公】對于需要出差的同事，給予有限的離線授權，允許外出繼續使用加密文檔，文檔仍能保持加密狀态，不影響正常辦公。【無網絡連接環境】對與無法跟服務器進行網絡連接的電腦，采用離線終端，可以查看權限範圍内的加密文件，生成的文件都都是加密的，防止外洩。

長期離線

1）出差時間超過默認離線時間的，出差前需要提出申請，離線申請通過後，就可以在申請的時間範圍内正常使用加密文件，超出授權的時間，則加密文件無法正常打開；2）永久離線終端支持共享管理、打印水印、軟件安裝包限制、其他設備限制、程序限制、窗口限制、軟件版本限制的管控。

離線終端

對在分公司或辦事處用戶，可使用永久離線授權，保證總部與分部之間的資料都是加密的，可以互相訪問，又可以控制分部的資料，防止外洩。

離線申請日志

對于終端計算機的操作員申請離線的情況進行記錄，便于後期的審計。

審批管理

審批流程設置

1）可以根據需要，自定義審批流程，根據自定義的流程進行申請離線、申請解密、申請打印外發、申請直接外發等。2)支持Mac、Web、windows、APP及控制台設置流程審批委托人(獨立審批特有)3）支持智能審批：申請人在一定時間内或累計申請次數/申請文件大小在一定條件内，可設置為自動審批通過，不需要手動審批。（獨立審批特有）4）支持打印審批：沒有打印權限的用戶可申請臨時放開打印權限（獨立審批特有，需與桌管系統的打印限制功能配套使用）

【多樣化審批方式】 當員工申請解密、外發、離線等審批的時候，審批員可以在客戶端、WEB端以及手機端進行審批。也可以通過驗證碼進行審批，多樣化的審批方式，大大提高了辦公效率，并且對于審批有詳細的日志審計。

審批流程管理

審批流程支持按分組分類、支持批量删除、支持按模闆導入審批流程、支持審批流程導出為報表

審批流程分配

根據自定義的審批流程分配該審批流程用于何種方式的審批，其中包括解密審批、離線審批、打印外發審批、直接外發審批

WEB審批

即使用網頁訪問方式對終端操作員提交的解密、打印外發、直接外發和離線等申請進行審批，其審批的效果和審批人員在終端審批是完全一樣的。

驗證碼審批

在終端跟服務器無法通訊的情況下，可以通過驗證碼的方式進行審批。

審批日志

提供審批的相應記錄，且支持導出Excel，便于後期的審核。

特殊目錄設置

設置文件或者目錄含有某字符時文件自動解密。

【非敏感信息解密】企業内部某些文檔，比如含有“公開”關鍵字的都屬于非敏感信息，可以設置自動解密。

批量加解密記錄

記錄終端用戶的加解密記錄并進行加解密文件個數統計，包括操作員姓名、加解密的時間、加解密類型、加解密的文件總數、成功個數和不成功個數。

【跟蹤文件加解密】企業可查看終端用戶文檔加解密的詳細情況。

解密預警

管理員可設定具備解密權限的用戶某一時間段内可解密的文件數量，當超過預設值，系統會自動生成報警日志，報警日志可支持郵件提醒、控制台提醒。方便管理員及時審計用戶是否有異常解密行為發生。

【解密報警】防止有解密權限用戶随意對文件解密。

密級管理

密級設置

可對公司的人員、文件進行5個等級劃分，低密級用戶無法打開高密級文檔；

【加強文檔安全】企業内部文檔，根據其内容的涉密程度不同，對涉密文檔和使用者進行密級标識，以控制涉密文檔的安全性，防止越權查看。

密級标示

支持修改密級描述（“公開文件”“内部資料文件”“秘密文件”“機密文件”“絕密文件”）、自定義密級級數、并提供多套密級圖标。

批量密級轉換

具備密級轉換權限的用戶，能夠進行單個或批量檔密級轉換，且隻能将文檔轉換成比自己低的密級。

申請密級轉換

普通用戶需要查看高于自己密級的文檔或者需要提高文檔密級，以增加文件浏覽的人員限制時，可通過走申請文檔密級轉換流程，待審批通過後下載查看。

密級轉換日志

管理員可在控制台查詢用戶進行文檔密級轉換的日志記錄。

備份功能

終端文件自動備份

可以根據需要，設置需要自動備份的文件類型。這些類型的文件在新建、或者編輯後會自動備份并上傳到服務器進行保存，防止誤操作或惡意删除帶來的文件丢失。

【操作備份】企業管理者可設置重要文檔在新建和編輯時候進行備份，防止文件誤删除以及惡意删除。

終端文件備份記錄

可查詢用戶當天的文件備份情況。備份記錄信息包括：終端計算機、操作員（申請外發的終端用戶）、備份時間、文件大小（KB）、文件名、文件原始路徑。

服務端策略配置信息備份

支持管理員手動備份策略配置信息以及根據時間、備份天數、保存路徑等自動備份策略配置信息。

郵件白名單

郵件白名單設置

1）對于經常聯系且可信任的客戶的郵箱，可添加至郵件白名單列表處，發送加密文件至這些白名單郵件，文件自動解密成明文，不需要審批。2）支持Exchange和SSL兩個加密傳輸協議3）持郵件客戶端軟件：Outlook的07，10，13，16，19，365的32位和64位版本

【郵件便捷交互】針對企業外發給固定供應商、核心的代理公司的文件，相對比較多，且是比較信賴的合作夥伴，對外發的郵件，無需經過反複審批的方式，可通過郵件白名單的方式直接解密。

服務器白名單

服務器白名單設置

1）與應用服務器結合，實現服務器白名單，可以靈活設置加密文件（上傳、下載）加密或者解密。2）支持HTTPS協議3）支持GZIP壓縮傳輸4）與HTML無關，支持特殊的上傳下載協議，并且不需要為特殊協議的應用系統做二次開發

【防止服務器文檔洩密】确保從ERP、OA等服務器下載的文檔進行強制加密，防止服務器文檔下載洩密。

應用安全接入管理

應用安全接入設置

通過在核心應用服務器與終端用戶之間部署天銳綠盾應用服務器安全接入系統（需另外購買），實現隻有安裝天銳綠盾加密軟件客戶端才允許訪問核心應用系統，并配合天銳綠盾加密軟件透明加密技術及服務器白名單功能，實現用戶對應用服務器訪問時的文檔上傳解密、下載加密的安全集成需求。支持包括windows\MAC\Linux的終端類型。

【終端安全準入】對于涉密級别高的應用服務器，隻有經過授權的用戶才能訪問，并可設置下載加密，保障内部應用服務器的數據安全。

U盤終端管理

U盤終端管理

插入U盤終端能打開加密文件，拔出U盤終端則不能打開加密文件，不用另外安裝綠盾客戶端。

【便捷辦公】對于在外出差或未安裝天銳綠盾終端程序的領導，可用過U盤終端即可查看加密文件。

授權解密Key

授權解密Key

對于企事業單位内高層人員在外出差或無安裝天銳綠盾終端程序，但需要查看加密文件可通過授權解密Key來查看加密文件。

【領導便捷解密】對于在外出差或未安裝天銳綠盾終端程序的領導，可通過授權解密Key來查看加密文件。

外發U盤管理

外發U盤授權

設置外發U盤允許使用的部門或指定操作員，并設置授權用戶是否具備文檔導出權限。

【數據臨時外帶】企業員工在出差或者需要攜帶文檔外出的時候，可以使用外發U盤，外發U盤可以對其内部文件做細緻的權限控制，防止洩密事件的發生。