♦ 客户端

　　设置了端口加密后可以保证连接到服务器上的客户端都是在加密环境中的，但对客户端自身来说是无法确定服务器端是否安全的，所以涉密信息无法上传到OA服务器。为了解决这一问题，我们需要设置可信安全区域。

　　1. 打开secWall集控服务管理器，在客户端的oacli用户下设置“可信安全区域”（右键属性→高级→可信安全区域），输入安装OA服务器的机器的IP地址及端口号，勾选“连接后涉密”，点击“确定”按钮。 
　　如果用户没有设置可信安全区域，加密信息无法上传到服务器。如果用户勾选了“连接后涉密”，则客户端上传到服务器端的指定涉密文件是解密的，而从服务器端下载这些类型的文件则是加密的。

图3 添加安全区域

图4 可信安全区域

　　勾选了“连接后涉密”选项后，OA服务器就有了涉密属性，而浏览器在默认情况下是以隔离方式运行的，所以以普通方式启动的浏览器是不能访问OA服务器的。必须设置浏览器以涉密运行的方式启动。

　　2. 打开用户权限一栏，勾选“允许网络应用涉密运行”，点击“确定”按钮。

图5 用户权限设置

　　3. 勾选了“允许网络应用涉密运行”后，右键点击浏览器（如IE），在“万华数据安全墙”菜单下有“涉密运行”操作，以该权限启动后，IE就可以访问OA服务器了。

图6 浏览器涉密运行

　　每次访问OA服务器时，都需要先启用涉密运行很麻烦。因此用户可以使用两种浏览器，比如IE和360浏览器。将IE设置为默认以涉密运行方式启动，访问OA服务器时可以直接打开IE，需要访问外网时就使用360浏览器，这样就方便很多。

　　4. 在集控服务管理器中打开安全策略（按住shift键的同时点击“文件”按钮→“编辑安全策略”）， “用户策略”只更改选中用户的策略，其它用户按原有策略。 “全局策略”则更改所有用户的策略。

图7 编辑安全策略

图8 编辑用户安全策略

　　5. 如果出现下面的对话框，则说明此用户还没有单独的用户策略，点击“是”为此用户创建独立的安全策略。

图9 创建用户安全策略

　　6. 打开“网络应用进程”标签栏，网络应用进程默认是以隔离运行的方式启动，在浏览器中删除“iexplore.exe”，点击“确定”。更改策略后，IE浏览器默认就以涉密运行的方式启动，用户需要访问OA的时候，直接打开IE浏览器就可以了。

图10 网络应用进程

关联文档

• 泛微OA系统secWall保密方案（一）
   
• 泛微OA系统secWall保密方案（三）