关于文档安全

文档安全确保只有授权用户才能使用您的文档。 使用文档安全,您可以安全地分发您以支持格式保存的任何信息。 支持的文件格式包括:

  • Adobe PDF文件
  • Microsoft® Word、Excel和PowerPoint文件

有关策略如何保护受支持文件类型的详细信息,请参阅更多文档安全信息

使用文档安全性,您可以轻松地创建、存储文档并对文档应用预定义的保密设置。 为防止信息在您的范围之外传播,您还可以监控和控制在您分发文档后收件人如何使用您的文档。

您可以使用策略保护文档。 策略​是包含机密性设置和授权用户列表的信息的集合。您在策略中指定的保密性设置决定了收件人如何使用您应用策略的文档。 例如,您可以指定收件人是否可以打印或复制文本、编辑文本,或向受保护的文档添加签名和注释。

文档安全用户通过最终用户网页创建策略。 管理员使用文档安全网页创建包含可供所有授权用户使用的共享策略的策略集。

虽然策略以文档安全性存储,但您可以通过客户端应用程序将它们应用到文档。 Acrobat Help​中详细描述了如何将策略应用于PDF文档。 有关使用其他应用程序(如Microsoft® Office)来应用策略的说明,请参阅应用程序的​Acrobat Reader DC扩展帮助​中。

将策略应用于文档时,策略中指定的机密性设置将保护文档包含的信息。 保密性设置还可保护PDF文档中的任何文件(文本、音频或视频)。 您可以将受策略保护的文档分发给受策略授权的收件人。

文档访问控制和审核

使用策略保护文档,即使在您分发文档后,也可以持续控制该文档。 您可以监视文档、更改策略、阻止用户继续访问文档,以及切换应用于文档的策略。

通过文档安全,您可以监视受策略保护的文档并跟踪事件,例如,当授权或未授权用户尝试打开文档时。

组件

文档安全包括服务器和用户界面:

服务器: 文档安全通过中心组件执行事务,如用户身份验证、策略的实时管理和应用保密性。服务器还为策略、审计记录和其他相关信息提供中央存储库。

网页: 在此界面中创建策略、管理受策略保护的文档并监视与受策略保护的文档关联的事件。管理员还可以配置全局选项(如受邀用户的用户身份验证、审核和消息传送),并管理受邀的用户帐户。

rm_psworkflow

图中的步骤如下所示:

  1. 文档所有者使用网页创建策略。 文档所有者可以创建仅供他们访问的个人策略。 管理员和策略集协调员可以在授权用户可访问的策略集中创建共享策略。
  2. 文档所有者应用策略,然后保存并分发文档。 文档可通过电子邮件、网络文件夹或网站进行分发。
  3. 收件人在相应的客户端应用程序中打开文档。 收件人可以根据其策略使用文档。
  4. 文档所有者、策略集协调者或管理员可以使用网页跟踪文档并修改对文档的访问权限。

关于文档安全用户

各种类型的用户使用文档安全功能完成不同的任务:

  • 系统管理员或其他信息系统(IS)人员安装和配置文档安全。 此人还可能负责为服务器、网页、策略和文档配置全局设置。

    这些设置可能包括,例如,基础文档安全URL、审核和隐私通知、受邀用户注册通知和默认离线租用期。

  • 文档安全管理员创建策略和策略集,并根据需要为用户管理受策略保护的文档。 他们还创建受邀的用户帐户,并监视系统、文档、用户、策略、策略集和自定义事件。 他们还可能负责与系统管理员一起配置全局服务器、网页和策略设置。

    管理员可以在管理控制台的“用户管理”区域中为用户分配以下角色。 分配了这些角色的用户在管理控制台的文档安全用户界面区域中执行其任务。

    文档安全超级管理员

    具有此角色的用户有权访问管理控制台中的所有文档安全设置。 这些权限与角色关联:

    • 管理配置
    • 管理策略
    • 管理策略集
    • 管理文档
    • 管理文档发布者
    • 管理受邀用户和本地用户
    • 查看事件
    • 委派
    • 邀请外部用户

    文档安全管理员

    具有此角色的用户可以使用管理控制台文档安全部分的“配置”页配置文档安全服务器。 此权限与角色“管理配置”相关联。

    注意

    具有此角色的用户还必须具有管理控制台用户角色,才能登录到管理控制台并编辑任何与配置相关的设置。

    文档安全策略集管理员

    具有此角色的用户可以使用管理控制台的文档安全部分来编辑其他用户的策略,以及创建、编辑和删除策略集。 当策略集管理员创建策略集时,他们可以为该策略集分配策略集协调器。 这些权限与角色关联:

    • 管理策略
    • 管理策略集
    • 管理文档
    • 管理文档发布者
    • 查看事件
    • 委派
    注意

    具有此角色的用户还必须具有管理控制台用户角色,才能登录到管理控制台并编辑任何与配置相关的设置。

    文档安全管理受邀用户和本地用户

    具有此角色的用户可以执行管理相关文档安全网页上所有受邀用户和本地用户所需的任务。 这些权限与角色关联:

    • 管理受邀用户和本地用户
    • 邀请外部用户
    • 访问最终用户网页
    注意

    具有此角色的用户还必须具有管理控制台用户角色,才能登录到管理控制台并编辑任何与配置相关的设置。

    文档安全邀请用户

    具有此角色的用户可以邀请用户。 这些权限与角色关联:

    • 邀请外部用户
    • 访问最终用户网页

    文档安全最终用户

    具有此角色的用户可以访问文档安全最终用户网页。 此角色也可以分配给管理员,以允许管理员使用最终用户页面创建策略。 此权限与角色访问最终用户网页相关联。

  • 组织内拥有有效文档安全帐户的用户创建自己的策略,使用策略保护文档,跟踪和管理其受策略保护的文档,以及监控与其文档相关的事件。

  • 策略集协调员管理文档、查看事件并管理其他策略集协调员(根据其权限)。 管理员将用户指定为特定策略集的策略集协调器。

  • 对您的组织外部(例如,业务合作伙伴)的用户,如果他们位于文档安全文档安全目录中,或者管理员为他们创建帐户,或者他们通过自动电子邮件邀请流程通过文档安全注册,则可以使用受策略保护的文档。 根据管理员如何启用访问设置,受邀用户还可能有权将策略应用于文档、创建、修改和删除其策略,以及邀请其他外部用户使用其受策略保护的文档。

  • 开发人员使用AEM Forms SDK将自定义应用程序与文档安全相集成。

文档安全管理员可以使用用户管理中的以下权限创建自定义角色:

  • 文档安全管理配置
  • 文档安全管理受邀用户和本地用户
  • 文档安全管理策略集
  • 文档安全管理策略集
  • 文档安全查看服务器事件
  • 文档安全更改策略所有者

策略和受策略保护的文档

policy​定义一组保密设置以及可以访问应用了策略的文档的用户。 策略还允许动态更改文档的权限。 它为文档保护人授予更改机密性设置的权限,以撤消对文档的访问权限或切换策略。

使用Adobe Acrobat® Pro和Acrobat Standard,可以将策略保护应用于PDF文档。 策略保护可以应用于其他文件类型,如Microsoft® Word、Excel和PowerPoint文件,方法是使用安装了相应Acrobat Reader DC扩展的客户端应用程序。

策略的工作方式

策略包含有关授权用户的信息以及要应用于文档的保密性设置。 用户可以是您组织中的任何用户,也可以是您组织外部拥有帐户的人员。 如果管理员启用了用户邀请功能,则甚至可以将新用户添加到策略中,从而启动注册邀请电子邮件流程。

策略中的保密性设置决定了收件人如何使用文档。 例如,您可以指定收件人是否可以打印或复制文本、进行更改或向受保护文档添加签名和注释。 同一策略还可以为特定用户指定不同的保密设置。

注意

通过策略应用的机密性设置会使用密码或证书安全选项覆盖可能已应用于Acrobat中PDF文档的任何设置。 (有关更多信息,请参阅Acrobat帮助。)

用户和管理员通过文档安全网页创建策略。 一次只能对文档应用一个策略。 您可以使用以下方法之一来应用策略:

  • 在Acrobat或其他客户端应用程序中打开文档,然后选择一个策略以保护文档。
  • 在Microsoft® Outlook中以电子邮件附件的形式发送文档。 在这种情况下,您可以从策略列表中选择策略,或选择Acrobat使用一组默认保密设置创建的自动生成策略,以仅保护电子邮件收件人的文档。

可以使用客户端应用程序从文档中删除策略。

rm_psonline_policy

图中的步骤如下所示:

  1. 文档所有者使用允许在线使用的策略从受支持的客户端应用程序中保护文档。
  2. 文档安全性会创建文档许可证和文档密钥,并加密策略。 文档许可证、加密策略和文档密钥将返回给客户端应用程序。
  3. 文档将使用文档密钥进行加密,并丢弃文档密钥。 文档现在嵌入许可证和策略。 这些任务在支持的客户端应用程序中执行。

在对文档应用策略时,文档包含的信息(包括PDF文档中的任何包含文件(文本、音频或视频))将受策略中指定的机密性设置的保护。 文档安全性生成许可证和加密信息,然后将其嵌入到文档中。 当您分发文档时,文档安全可以验证尝试打开文档的收件人,并根据策略中指定的权限授权访问。

如果启用了离线使用,则收件人还可以在策略中指定的时间段内脱机使用受策略保护的文档(没有活动的Internet或网络连接)。

受策略保护的文档的工作原理

要打开和使用受策略保护的文档,策略必须包括您作为收件人的姓名,并且您必须拥有有效的文档安全帐户。 对于PDF文档,您需要Acrobat或Adobe Reader®。 对于其他文件类型,您需要为安装了Acrobat Reader DC扩展名的文件提供相应的应用程序。

当您尝试打开受策略保护的文档时,Acrobat、Adobe Reader或Acrobat Reader DC扩展会连接到文档安全以验证您的身份。 然后,您可以继续登录。 如果正在审核文档使用情况,则会显示通知消息。 在文档安全确定要授予哪些文档权限后,它会管理文档的解密。 然后,您可以根据策略保密性设置使用文档。

rm_psopen_online

图中的步骤如下所示:

  1. 文档用户在支持的客户端应用程序中打开文档,并与服务器进行验证。 文档标识符被发送到文档安全服务器。
  2. 文档安全性验证用户,检查授权策略并创建凭证。 凭证(包含文档密钥和权限)将返回到客户端应用程序。
  3. 使用文档密钥解密文档,并丢弃文档密钥。 然后,可以根据策略的保密性设置来使用文档。 这些任务在支持的客户端应用程序中执行。

您可以在以下条件下继续使用文档:

  • 无限期地或在策略中指定的有效期内
  • 在管理员或应用策略的人员撤销对文档的访问权限或更改策略之前

如果策略允许脱机访问,则还可以脱机使用受策略保护的文档(无Internet或网络连接)。 必须先登录文档安全才能同步文档。 然后,您可以在策略中指定的脱机租用期内使用文档。

脱机租用期结束时,您必须再次将文档与文档安全同步,方法是联机并打开受策略保护的文档,或者使用客户端应用程序中的命令。 (有关详细信息,请参阅​Acrobat Help​或相应的​Acrobat Reader DC扩展帮助。)

如果使用“保存”或“另存为”菜单命令保存受策略保护的文档的副本,则将自动为新文档应用并强制执行该策略。 此外,还将审核并记录诸如尝试打开新文档之类的事件,以供原始文档使用。

策略集

策略 集用于对一组具有共同业务目的的策略进行分组。然后,系统中的部分用户可以使用这些策略集。

每个策略集可以具有一个或多个关联的策略集协调器。 策略集协调器是管理员或具有更多权限的用户。 策略集协调器​通常是组织中最能创作特定策略集中策略的专家。

策略集协调员可以执行以下任务:

  • 创建新策略
  • 编辑和删除策略集中的任何策略
  • 编辑策略集设置
  • 添加和删除策略集协调器
  • 查看策略集中任何策略或文档的策略和文档事件
  • 撤消对文档的访问
  • 切换文档的策略。
注意

使用getAllPolicysetnames() API可以从数据库中检索最多1000个策略集名称。

策略集由有权执行此操作的管理员和策略集协调员在文档安全管理网页中创建和删除。

策略集通常通过指定域中哪些用户或组可以使用策略集中的策略来保护文档,从而对有限数量的用户可用。

安装文档安全后,将创建一个名为​全局策略集​的默认策略集。 安装软件的管理员将管理此策略设置。

最佳实践

策略是可以应用于各种文档的可重用权限集和用户组。 保护文档。 这些策略可确保只有授权用户才能使用允许的功能。 随着部门内不同用户角色和文档的增加,策略和策略集的数量预计会增加。 以下是创建和管理策略的一些注意事项和最佳实践:

  • 创建可重用策略: Adobe建议在各种文档之间重用策略。它有助于将策略数量保持在最低,提供最佳性能,并且更便于管理策略。 要创建可重复使用的策略,请执行以下操作:
  1. 在部门和组织级别确定并定义访问控制要求。

  2. 创建用户群组并将用户添加到这些群组。

  3. 创建策略集。

  4. 打开策略集并创建策略。 添加用户组并设置策略的机密性(访问控制)设置。

将用户组添加到策略中,而不是单个用户。 它使管理策略和将策略应用于大量用户变得更加容易。

  • 创建自定义策略集: 策略集将多个策略组合到一个可管理的实体中。为您的组织或部门创建自定义策略集,使用这些策略集对相关策略进行分组,并将其提供给系统中的部分用户。

    使用策略集可以更轻松地为组织或部门中的特定用户分配和管理相关策略。 例如,财务和人力资源部门的单独政策集可以帮助轻松管理相关政策并将其应用于为相应部门指定的文件。

  • 使用外部授权程序动态应用权限: 您可以使用 外部授 权程序根据外部条件评估和动态应用权限。在根据外部条件动态评估权限时,您可以:

    • 为组织中的文档提供集中的访问控制。

    • 通过动态确定用户是否可以访问受策略保护的文档来控制对受策略保护文档的访问。 例如,动态确定用户是否可以打印受策略保护的文档。

    • 使用内容管理系统所使用的访问控制机制以及标准策略评估过程。 例如,当服务确定用户是否可以打印受策略保护的文档时,它可以使用内容管理系统所使用的标准策略评估过程和访问控制机制。

    虽然可以用外部授权处理程序完全替换文档安全策略评估过程,但建议将外部授权处理程序与策略评估过程结合使用。 因此,文档访问可以由内容管理系统所使用的相同控制机制进行控制。 例如,当文档安全服务确定用户是否可以打印受策略保护的文档时,它使用标准策略评估过程和内容管理系统所使用的访问控制机制。 有关更多信息,请参阅创建外部授权处理程序

  • 将策略集保留为有限数量: 若干因素会导致策略集和策略集的持续增长。一些常见因素包括:

    • 在某个组织内增加用户角色、部门和文档。
    • 组织各部门孤立工作,严格控制部门的政策。 这会导致组织内的策略相同。

    Adobe建议将策略和策略集的数量保持在最低。 它有助于轻松管理策略和策略集并提供更好的性能。 要将数字保持为最小值,请执行以下操作:

    • 创建可重复使用的策略。 这些资源可以在多个部门之间共享。
    • 如果某些策略适用于多个部门,而不是适用于每个部门的单个策略集,请考虑创建组织范围的策略集。
    • 策略集中的组相关策略。 请勿为每个策略创建单独的策略集。
    • 使用外部授权器动态控制用户权限。
    注意

    您可以使用[getAllPolicysetnames()] ((https://helpx.adobe.com/cn/experience-manager/6-5/forms/programlc/javadoc/com/adobe/livecycle/rightsmanagement/client/PolicyManager.html)) API检索最多1000个策略集名称。 在内部,API会检索API调用者具有文档发布者权限的最多1000个策略,然后创建并返回与检索的策略关联的唯一策略集名称列表。 例如,当API检索1000个策略并且检索到的策略与总共200个策略集关联时,API仅返回200个策略集名称。

在此页面上