零信任访问控制系统aTrust

深信服零信任访问控制系统aTrust(简称aTrust),是深信服基于零信任安全理念推出的一款以“流量身份化”和“动态自适应访问控制“为核心的创新安全产品。产品通过网络隐身、动态自适应认证、终端动态环境检测、全周期业务准入、智能权限基线、动态访问控制、多源信任评估等核心能力,满足新形势下多场景的企业应用安全访问需求。
点击可切换产品版本
知道了
不再提醒
aTrust v2.2.16
{{sendMatomoQuery("零信任访问控制系统aTrust","审批模板配置")}}

审批模板配置

更新时间:2023-06-15

设备提供自动审批和人工审批两种方式,自动审批适用于仅需要对外发文件进行审计和备份记录而无需人工干预的场景;人工审批适用于文件外发需要进行严格流程管控的场景;本文将对两种审批方式的都进行配置说明。

 配置准备:

1)文件外发审批功能从aTrust 2.2.16版本开始支持,需先部署好aTrust 2.2.16或以上版本的设备,确保用户可正常登陆零信任并访问资源;

2)部署好零信任日志中心,版本要求SDP-Logger4.0.1或以上,确保零信任日志中心能正常登陆,且控制中心/综合网关、代理网关与日志中心正常通信;

3)设备和零信任日志中心对接完成,在零信任控制中心[审计中心/零信任日志中心/UEM审计日志输出]配置正确,且连通性检测成功;参考<章节 8.2.1零信任日志中心>

4)[系统管理/系统配置/消息推送配置]启用移动端消息推送配置,并确保连通性检测成功,然后保存配置;参考<章节7.2.6消息推送配置>

配置思路:

1)创建两个审批模板,自动审批和人工审批各一个,自动审批关联给user1,人工审批关联给user2;人工审批设置两个审批节点,第一个审批节点需要leader2leader3或签,第二个审批节点需要leader1审批;

2)在内置工作空间新建两个发布策略分别关联给user1user2,均开启文件导出审批功能,审批模板分别设置为自动审批和人工审批;

3)进行功能效果验证,自动审批、人工审批、PC审批、移动端审批均进行完整的验证;

5.9.4.1.1.配置指导

新建自动审批模板

步骤1[UEM/审批模板管理]新增审批模板

步骤2选择审批模式为自动审批,完成名称、文件安全配置,然后保存配置

新建人工审批模板

1、人工审批节点最多支持10级;

2、审批人仅支持选择已导入的用户,不支持选择组织架构,单个审批节点最多选择50人;

3、审批人超过1人时,需配置“多人审批方式”,可选择或签(任意一人同意即通过该节点)、会签(所有人同意才通过该节点);

4、不同审批节点不允许同一人出现;

步骤1[UEM/审批模板管理]新增审批模板

步骤2审批方式选择人工审批,完成名称、文件安全配置;

步骤3在审批流程中配置审批节点1,选择审批人为leader2leader3,多人审批方式为或签(任意一名审批人同意即可)

步骤3新增审批节点2,审批人选择leader1,然后保存配置;

安全规范配置

[UEM/审批管理/审批模板管理]点击[安全规范配置]可以进入安全规范配置页面,对安全规定宣导和文件密级进行配置。

安全规定宣导

①勾选在终端展示文件外发相关规定;

②自定义安全宣导语,根据实际情况进行编写;

③上传安全规定文档,支持*.txt*.doc*.docx*.pdf,最大支持10MB

配置完后可以在右侧预览效果。

文件密级设置

     启用此功能后,用户提交文件外发申请时需要标记外发文档的密级,便于审批人快速识别文档重要性,密级名称和描述都可以自定义,密级描述将在终端显示,便于用户理解对应密级的含义。

     注意:密级的标记完全取决于申请人的自觉意识,仅作为参考,不代表密级标记一定准确,请提醒审批人注意甄别。

文件外发审批策略配置

步骤1[UEM/PC端数据安全/工作空间管理]编辑内置工作空间,或者新增工作空间;

步骤2在基本信息中选择适用平台为Winows,适用应用分类按需配置;

文件外发审批功能当前仅支持Windows工作空间;

步骤3[发布与策略]中新增发布方式,名称为“文件外发自动审批”,用户选择user1,在Windows空间策略的【文件导入导出控制】中勾选[允许导出文件至个人空间/需审批后导出],审批模板选择章节3.1.1创建的“自动审批”模板;

步骤3、与步骤2一样新增名称为“文件外发人工审批”的发布策略,用户选择user2,文件外发审批模板选择章节3.1.2创建的“人工审批”模板;

5.9.4.1.2.功能效果

用户文件外发申请

自动审批效果

步骤1user1登录零信任,打开工作空间,新建一个文本文档,文件名和内容均为user1文件外发测试;

步骤2选择文件右键,可以点击申请导出至个人空间;

发起文件导出申请有三个入口:

①文件右键菜单选项-发起申请;

②托盘-文件审批中心-已发起-发起申请;

③空间面板-设置-文件审批中心-已发起-发起申请

步骤3填写文件外发申请单,填好文件密级、申请原因,点击提交;

步骤4提交之后,由于是自动审批,审批流程直接自动完成,跳转到审批完成的界面,右下角会弹窗提醒下载审批通过的文件。

     文件下载与导出操作请参考<章节4.4 审批完成导出文件>

手动审批效果

步骤1user2登录零信任,打开工作空间,新建一个文本文档,文件名和内容均为user2文件外发测试;

步骤2在工[作空间面版-设置-文件审批中心-已发起]点击发起申请;

Ps: 4.1.1介绍了右键发起申请,此章节介绍从文件审批中心发起申请;

发起文件导出申请有三个入口:

①文件右键菜单选项-发起申请;

②托盘-文件审批中心-已发起-发起申请;

③空间面板-设置-文件审批中心-已发起-发起申请

步骤3进入到发起申请页面后,我们可以看到<章节3.1.3>设置好的安全规定宣导语和文件密级的描述,点开查看手册可以直接调用本地程序查看;

               

步骤4将外发的文件上传到申请单,当申请单最多上传5个文件;

步骤5完成文件外发申请单填写,填好文件密级、申请原因,点击提交;

步骤6、申请单提交后跳转到文件审批中心,可以看到当前流程状态,需要谁审批;

审批人PC端审批

1、PC端审批,仅在审批人登录零信任之后,用户处于在线状态时才能收到提醒;

2、审批预览文件会调用内置工作空间在沙箱内以只读的方式打开,如果审批人没有安装过工作空间,则会提示安装工作空间组件,安装沙箱组件之后需要重启电脑;

3、内置审批空间安全策略:文件加密(一文一密)、文件隔离、禁止文件导入/导出、禁止拷贝、窗口水印、无痕模式、禁止打印、禁用USB存储器、禁止蓝牙传输,审批空间不会受空间最大数、空间ACL的限制;

4、未关联工作空间策略的审批人不占用UEM标准版/移动版授权;

步骤1审批人leader2登录零信任后,当有新的文件外发申请提交时,会立即收到审批提醒,右下角托盘弹窗提示,如图所示;

步骤2点击[前往处理]或者右键托盘点击[文件审批中心]打开文件审批中心页面,可以在【待处理】中看到当前文件外发申请;

步骤3点击安全预览,安全预览需要在工作空间内进行,如果审批人PC已经安装过工作空间组件会直接在工作空间内调用程序打开文件;

如果审批人终端没用安装过沙箱组件,会提示安装工作空间组件,安全完会提示重启电脑,需要重启电脑后再登录零信任进行预览查看;

步骤4审批人确认文件可以外发后,点击同意,填写审批意见后确定;

user2用户端可以看到审批流程现在到了leader1(张三)这里;

审批人移动端(IOS/安卓/鸿蒙)审批

1、移动端审批支持外发文件的安全预览,预览的文件被沙箱保护(文件加密、文件隔离、禁止拷贝、禁止分享、应用水印、安卓/鸿蒙禁止截屏、IOS截屏审计、IOS截屏1次后阻断),支持预览的文件格式包含docdocxpptpptxxlsxlsxpdftxtpngjpp/jpegpnggif(无动效)

2、aTrust app门户/接入模式支持审批消息离线通知:aTrust app即使没有运行,也可以收到消息通知,iOS端安全预览默认开启了截屏审计策略,建议配置【UEM审计日志输出】,以便终端侧可以正常上报审计内容至数据中心;

1)未启用移动消息推送配置时,Leader1(张三)手机app在线状态,收到消息提醒,atrust app上有角标提示,处理过程如图所示;

 

2)开启移动端消息推送配置后,atrust app处于离线状态,通知栏会收到审批消息,从通知栏点击审批消息可以直接进入审批处理页面,处理流程如图所示;

 

3)审批时,点击文件可以进行安全预览,预览的文件被沙箱保护(如禁止截屏、水印、禁止复制粘贴等),iOS端安全预览默认开启了截屏审计策略,建议配置【UEM审计日志输出】,以便终端侧可以正常上报审计内容至数据中心;

审批完成导出文件

1)审批通过后,申请人会收到弹窗消息提醒,点击立即下载会跳转到【已审批通过文件列表】中查看;审批通过的文件可统一在【审批中心】-【已审批通过文件列表】中查看,【已审批通过文件列表】中可搜索、查看、下载已审批通过的文件;

2)在【审批通过文件列表】中文件下载完成后会有下载完成字样提示,并且在操作中出现[在文件夹中显示],点击可以打开文件所在文件夹,下载后的文件在个人空间文件夹;

3)默认下载位置可以自己定义,操作过程如图: