關於檔案安全性

檔案安全性可確保只有授權的使用者才能使用您的檔案。 使用文檔安全性,您可以安全地分發以支援格式保存的任何資訊。 支援的檔案格式包括:

  • Adobe PDF檔案
  • Microsoft® Word、Excel和PowerPoint檔案

有關策略如何保護支援的檔案類型的詳細資訊,請參閱更多文檔安全資訊

使用文檔安全性,您可以輕鬆建立、儲存預定義的機密設定,並將其應用於文檔。 為防止資訊傳播到您的觸及範圍之外,您還可以監視和控制在您分發文檔後收件人使用文檔的方式。

您可以使用策略保護文檔。 原則​是包含機密性設定和授權用戶清單的資訊集合。您在策略中指定的機密設定決定了收件人如何使用應用策略的文檔。 例如,您可以指定收件者是否可以打印或複製文本、編輯文本,或向受保護的文檔添加簽名和注釋。

文檔安全用戶通過最終用戶網頁建立策略。 管理員使用文檔安全網頁來建立包含所有授權用戶都可用的共用策略的策略集。

雖然策略儲存在文檔安全中,但您可以通過客戶端應用程式將它們應用於文檔。 如需如何將原則套用至PDF檔案的詳細說明,請參閱​Acrobat說明。 有關應用程式的​Acrobat Reader DC擴展幫助,將記錄使用其他應用程式(如Microsoft® Office)應用策略。

將策略應用於文檔時,策略中指定的機密設定將保護文檔包含的資訊。 機密設定也可保護PDF檔案中的任何檔案(文字、音訊或視訊)。 您可以將受策略保護的文檔分發給受策略授權的收件人。

文檔訪問控制和審核

使用策略保護文檔,即使您在分發該文檔後,也能持續控制該文檔。 您可以監視文檔、對策略進行更改、阻止用戶繼續訪問文檔,以及切換應用到文檔的策略。

通過文檔安全,您可以監視受策略保護的文檔並跟蹤事件,例如當授權或未經授權的用戶嘗試開啟文檔時。

元件

檔案安全性包含伺服器和使用者介面:

伺服器: 檔案安全性用來執行事務(如用戶驗證、策略的即時管理和保密應用)的中央元件。伺服器還為策略、審核記錄和其他相關資訊提供一個中央儲存庫。

網頁: 在其中建立策略、管理受策略保護的文檔以及監視與受策略保護的文檔關聯的事件的介面。管理員還可以配置全局選項,如用戶驗證、審核和受邀用戶的消息傳送,以及管理受邀用戶帳戶。

rm_psworkflow

圖中的步驟如下:

  1. 文檔所有者使用網頁建立策略。 文檔所有者可以建立只有他們才能訪問的個人策略。 管理員和策略集協調者可以在授權用戶可訪問的策略集中建立共用策略。
  2. 文檔所有者應用該策略,然後保存並分發該文檔。 檔案可透過電子郵件、網路資料夾或網站進行分發。
  3. 收件者會在適當的用戶端應用程式中開啟檔案。 接收方可以根據其策略使用文檔。
  4. 文檔所有者、策略集協調者或管理員可以使用網頁跟蹤文檔並修改對它們的訪問。

關於檔案安全性使用者

各種類型的用戶使用文檔安全性來完成不同的任務:

  • 系統管理員或其他資訊系統(IS)人員安裝並配置文檔安全。 此人還可能負責配置伺服器、網頁以及策略和文檔的全局設定。

    這些設定可能包括,例如,基礎文檔安全URL、審核和隱私通知、受邀用戶註冊通知和預設離線租用期。

  • 文檔安全管理員建立策略和策略集,並根據需要為用戶管理受策略保護的文檔。 它們還建立受邀用戶帳戶,並監視系統、文檔、用戶、策略集和自定義事件。 他們還可能負責配置全局伺服器,以及與系統管理員一起配置網頁和策略設定。

    管理員可以在管理控制台的「使用者管理」區域中為使用者指派下列角色。 分配了這些角色的用戶在管理控制台的文檔安全用戶介面區域中執行其任務。

    文檔安全超級管理員

    具有此角色的用戶有權訪問管理控制台中的所有文檔安全設定。 這些權限與角色相關聯:

    • 管理配置
    • 管理原則
    • 管理策略集
    • 管理文檔
    • 管理文檔發佈者
    • 管理受邀和本機使用者
    • 檢視事件
    • 委派
    • 邀請外部使用者

    文檔安全管理員

    具有此角色的用戶可以使用管理控制台的文檔安全部分中的「配置」頁配置文檔安全伺服器。 此權限與角色「管理配置」關聯。

    注意

    具有此角色的用戶還必須具有管理控制台用戶角色才能登錄到管理控制台並編輯任何與配置相關的設定。

    文檔安全策略集管理員

    具有此角色的用戶可以使用管理控制台的文檔安全部分來編輯其他用戶的策略以及建立、編輯和刪除策略集。 當策略集管理員建立策略集時,他們可以將策略集協調器分配給該策略集。 這些權限與角色相關聯:

    • 管理原則
    • 管理策略集
    • 管理文檔
    • 管理文檔發佈者
    • 檢視事件
    • 委派
    注意

    具有此角色的用戶還必須具有管理控制台用戶角色才能登錄到管理控制台並編輯任何與配置相關的設定。

    檔案安全性可管理受邀和本機使用者

    具有此角色的用戶可以執行管理相關文檔安全網頁上所有受邀用戶和本地用戶所需的任務。 這些權限與角色相關聯:

    • 管理受邀和本機使用者
    • 邀請外部使用者
    • 訪問最終用戶網頁
    注意

    具有此角色的用戶還必須具有管理控制台用戶角色才能登錄到管理控制台並編輯任何與配置相關的設定。

    檔案安全性邀請使用者

    具有此角色的使用者可邀請使用者。 這些權限與角色相關聯:

    • 邀請外部使用者
    • 訪問最終用戶網頁

    文檔安全最終用戶

    具有此角色的用戶可以訪問文檔安全最終用戶網頁。 此角色也可指派給管理員,以允許管理員使用一般使用者頁面建立原則。 此權限與角色訪問最終用戶網頁相關聯。

  • 組織內具有有效文檔安全帳戶的用戶建立自己的策略,使用策略來保護文檔,跟蹤和管理其受策略保護的文檔,並監視與其文檔相關的事件。

  • 策略集協調員管理文檔、查看事件以及管理其他策略集協調員(根據其權限)。 管理員指定用戶作為特定策略集的策略集協調者。

  • 對您的組織外部(例如,業務合作夥伴)的用戶可以使用受策略保護的文檔(如果這些文檔位於文檔安全文檔安全目錄中、管理員為它們建立了帳戶,或者他們通過自動電子郵件邀請流程向文檔安全註冊)。 根據管理員如何啟用訪問設定,受邀用戶可能還有權將策略應用到文檔、建立、修改和刪除其策略,以及邀請其他外部用戶使用其受策略保護的文檔。

  • 開發人員可使用AEM Forms SDK將自訂應用程式與檔案安全性整合。

檔案安全管理員可在「使用者管理」中使用下列權限來建立自訂角色:

  • 文檔安全管理配置
  • 文檔安全管理受邀用戶和本地用戶
  • 文檔安全管理策略集
  • 文檔安全管理策略集
  • 文檔安全視圖伺服器事件
  • 文檔安全更改策略所有者

策略和受策略保護的文檔

policy​定義了一組機密設定,以及可以訪問應用策略的文檔的用戶。 策略還允許動態更改文檔的權限。 它為確保文檔安全的人員提供了更改機密設定以撤銷對文檔的訪問或切換策略的權限。

使用Adobe Acrobat® Pro和Acrobat Standard,可將原則保護套用至PDF檔案。 策略保護可應用於其他檔案類型,如Microsoft® Word、Excel和PowerPoint檔案,方法是使用安裝了相應Acrobat Reader DC擴展的客戶端應用程式。

原則如何運作

策略包含有關授權用戶和要應用於文檔的機密設定的資訊。 使用者可以是您組織中的任何人,也可以是您組織外部擁有帳戶的人員。 如果管理員啟用了用戶邀請功能,則甚至可以將新用戶添加到策略中,從而啟動註冊邀請電子郵件進程。

策略中的機密性設定決定了收件人如何使用文檔。 例如,您可以指定收件者是否可以打印或複製文本、進行更改,或向受保護的文檔添加簽名和注釋。 同一策略還可以為特定用戶指定不同的機密設定。

注意

透過原則套用的機密性設定,會使用密碼或憑證安全性選項,覆寫可能已套用至Acrobat中PDF檔案的任何設定。 (如需詳細資訊,請參閱Acrobat說明)。

用戶和管理員通過文檔安全網頁建立策略。 一次只能將一個策略應用於文檔。 您可以使用以下方法之一來應用策略:

  • 在Acrobat或其他客戶端應用程式中開啟文檔,並選擇保護文檔的策略。
  • 在Microsoft® Outlook中以電子郵件附件的形式發送文檔。 在這種情況下,您可以從策略清單中選擇策略,或選擇自動生成的策略,該策略由Acrobat使用預設的機密設定集建立,以僅保護電子郵件收件人的文檔。

可以使用客戶端應用程式從文檔中刪除策略。

rm_psonline_policy

圖中的步驟如下:

  1. 文檔所有者使用允許聯機使用的策略從支援的客戶端應用程式中保護文檔。
  2. 文檔安全性會建立文檔許可證和文檔密鑰,並加密策略。 文檔許可證、加密策略和文檔密鑰將返回到客戶端應用程式。
  3. 使用文檔密鑰對文檔進行加密,並捨棄文檔密鑰。 該文檔現在嵌入許可證和策略。 這些任務在支援的客戶端應用程式中執行。

將策略應用於文檔時,文檔包含的資訊(包括PDF文檔中的任何包含的檔案(文本、音頻或視頻))受策略中指定的機密設定的保護。 文檔安全性生成許可證和加密資訊,然後嵌入到文檔中。 當您分發文檔時,文檔安全性可以驗證嘗試開啟文檔的收件人,並根據策略中指定的權限授權訪問權限。

如果啟用了離線使用,則收件者還可以在策略中指定的時間段內離線使用受策略保護的文檔(沒有活動的Internet或網路連接)。

受策略保護的文檔如何工作

要開啟和使用受策略保護的文檔,策略必須包括您作為收件人的姓名,並且您必須具有有效的文檔安全帳戶。 若是PDF檔案,您需要Acrobat或Adobe Reader®。 對於其他檔案類型,您需要為已安裝Acrobat Reader DC副檔名的檔案使用適當的應用程式。

當您嘗試開啟受策略保護的文檔時,Acrobat、Adobe Reader或Acrobat Reader DC擴展將連接到文檔安全性以驗證您。 然後,您可以繼續登入。 如果正在審核文檔使用情況,則會顯示通知消息。 在文檔安全性確定要授予哪些文檔權限後,它會管理文檔的解密。 然後,您可以根據策略機密設定使用該文檔。

rm_psopen_online

圖中的步驟如下:

  1. 文檔用戶在支援的客戶端應用程式中開啟文檔,並與伺服器進行驗證。 文檔標識符被發送到文檔安全伺服器。
  2. 文檔安全性驗證用戶、檢查策略以進行授權並建立憑證。 憑證(包含文檔密鑰和權限)將返回到客戶端應用程式。
  3. 使用文檔密鑰對文檔進行解密,並且捨棄文檔密鑰。 然後,可根據策略的機密設定來使用該文檔。 這些任務在支援的客戶端應用程式中執行。

在以下條件下,您可以繼續使用文檔:

  • 無限期或在原則中指定的有效期間
  • 直到管理員或應用策略的人員撤銷對文檔的訪問或更改策略

如果策略允許離線訪問,則還可以離線使用受策略保護的文檔(沒有Internet或網路連接)。 您必須先登入檔案安全性,才能同步檔案。 然後,您可以在策略中指定的離線租用期間使用文檔。

離線租用期結束時,必須通過聯機開啟受策略保護的文檔或使用客戶端應用程式中的命令,將文檔與文檔安全重新同步。 (如需詳細資訊,請參閱​Acrobat說明​或適當的​Acrobat Reader DC擴充功能說明。)

如果使用「保存」或「另存為」菜單命令保存受策略保護的文檔的副本,則會自動為新文檔應用並強制執行該策略。 還會為原始文檔審計並記錄諸如嘗試開啟新文檔之類的事件。

策略集

略集用於分組具有共同業務目的的一組策略。然後,這些策略集將可供系統中的用戶子集使用。

每個策略集可以有一個或多個關聯的策略集協調器。 策略集協調器是具有更多權限的管理員或用戶。 策略集協調器​通常是組織中的專家,他可以最好地編寫特定策略集中的策略。

策略集協調員可以執行以下任務:

  • 建立新原則
  • 編輯和刪除策略集中的任何策略
  • 編輯策略集設定
  • 添加和刪除策略集協調器
  • 查看策略集中任何策略或文檔的策略和文檔事件
  • 撤消對文檔的訪問
  • 切換文檔的策略。
注意

您可以使用getAllPolicysetnames() API從資料庫中檢索最多1000個策略集名稱。

策略集由有權建立的管理員和策略集協調員在文檔安全管理網頁中建立和刪除。

策略集通常可供有限數量的用戶使用,方法是指定域中哪些用戶或組可以使用策略集中的策略來保護文檔。

安裝文檔安全時,將建立名為​全局策略集​的預設策略集。 安裝軟體的管理員管理此策略集。

最佳實務

策略是可重複使用的權限集和用戶組集,可應用於各種文檔。 保護文檔。 這些原則可確保只有授權的使用者才能使用允許的功能。 隨著部門內不同用戶角色和文檔的增多,策略和策略集的數量預計會增加。 以下是建立和管理原則的一些考量事項和最佳實務:

  • 建立可重複使用的原則: Adobe建議在各個檔案中重複使用原則。它有助於將策略數量保持在最低,提供最佳效能,並使管理策略更加容易。 要建立可重複使用的策略:
  1. 在部門和組織級別確定和定義訪問控制需求。

  2. 建立使用者群組,並將使用者新增至這些群組。

  3. 建立策略集。

  4. 開啟策略集並建立策略。 添加用戶組並設定策略的機密性(訪問控制)設定。

將使用者群組新增至原則,而非個別使用者。 它使管理策略和將策略應用於大量用戶變得更加容易。

  • 建立自定義策略集: 策略集將多個策略組合到一個可管理的實體中。為您的組織或部門建立自定義策略集,使用這些策略對相關策略進行分組,並使這些策略集可供系統中的用戶子集使用。

    使用策略集可以更輕鬆地為組織或部門中的特定用戶分配和管理相關策略。 例如,財務和人力資源部門的單獨政策集可以幫助輕鬆管理和將相關政策應用於為相應部門指定的檔案。

  • 使用外部授權者以動態套用權限: 您可以使用 外部 授權者,根據外部條件評估及動態套用權限。系統會根據外部條件動態評估權限時,您可以:

    • 為貴組織中的文檔提供集中的訪問控制。

    • 通過動態確定用戶是否可以訪問受策略保護的文檔來控制對受策略保護文檔的訪問。 例如,動態地決定用戶是否可以打印受策略保護的文檔。

    • 使用內容管理系統使用的訪問控制機制以及標準策略評估過程。 例如,當服務確定用戶是否可以打印受策略保護的文檔時,它可以使用標準策略評估過程和內容管理系統使用的訪問控制機制。

    雖然可以用外部授權處理程式完全替換文檔安全性策略評估過程,但建議您將外部授權處理程式與策略評估過程結合使用。 因此,文檔訪問可以由內容管理系統使用的相同控制機制控制。 例如,當文檔安全服務確定用戶是否可以打印受策略保護的文檔時,它使用標準策略評估過程和內容管理系統使用的訪問控制機制。 有關詳細資訊,請參閱建立外部授權處理程式

  • 將政策集保持在有限數量: 若干因素導致政策和政策集的持續增長。一些常見因素包括:

    • 組織內一段時間的使用者角色、部門和檔案數量增加。
    • 組織的部門單獨工作,並對特定部門的政策保持嚴密控制。 這會導致組織內有相同的原則。

    Adobe建議將策略和策略集的數量保持在最低。 它有助於輕鬆管理策略和策略集,並提供更好的效能。 要使數字保持最小:

    • 建立可重複使用的原則。 這些功能可以在多個部門之間共用。
    • 如果某些策略適用於多個部門,而不適用於每個部門的單個策略集,請考慮建立整個組織的策略集。
    • 策略集中的組相關策略。 請勿為每個策略建立單獨的策略集。
    • 使用外部授權程式以動態控制使用者權限。
    注意

    您可以使用getAllPolicysetnames() API來檢索最多1000個策略集名稱。 在內部,API最多檢索1000個策略,其中API調用者具有文檔發佈者權限,然後建立並返回與檢索的策略相關聯的唯一策略集名稱清單。 例如,當API檢索1000個策略,且檢索到的策略總共與200個策略集關聯時,API僅返回200個策略集名稱。

本頁內容