安全工作空间功能模块清单

互普山河ViaSpace

上海互普鑫渠安全科技有限公司

管理端01PARTONE

管理端—功能清单

模块 功能描述

安全域

新建安全域

支持在安全域页面，点击“新建安全域”，在弹出的对话框中输入安全域名称、描述，选择安全域沙箱类型后，点击“创建”可创建新的安全域。管理员可创建多个安全域。

安全域信息展示 支持安全域创建成功后，在安全域页面，可看到对应的安全域信息，包括安全域名称、创建人、创建时间、描述、及安全域沙箱类型。

修改安全域信息 支持在安全域页面修改安全域名称、描述进行修改。

删除安全域 支持在安全域管理页面对安全域进行删除，删除安全域后该安全域所有相关策略和数据都会被删除。

安全域成员

管理

成员角色

管理员

支持添加管理员管理员，可以使用客户端安全访问域内允许的业务资源；同时可以在控制后台对安全域基本信息、成员、安全策略进行管理，可以对域内审计日志进行审计。

审计员 支持添加审计员，可以使用客户端安全访问域内允许的业务资源；同时可以在控制后台对安全域域内成员登录、安全拦截、数据传输等日志进行审计。策略员 支持添加安全域策略员，可以使用客户端安全访问域内允许的业务资源；同时可以在控制后台对安全域的策略进行管理。

普通用户 支持添加策略员，可以使用客户端安全访问域内允许的业务资源；同时可以在控制后台对安全域的策略进行管理。

添加成员 支持在左侧角色栏中选择对应的角色，在右侧点击“添加成员”，在弹出的对话框中选择需要分配到当前安全域的成员。

查看成员信息 支持添加成员后，可在成员列表中查看，包括成员姓名、手机号、邮箱、部门、职位、角色。可对成员角色进行批量编辑。

删除安全域成员 支持在安全域成员列表中，选择需要删除的成员。

删除成员安全域数据 支持在安全域成员列表中，选择需要删除对应成员的数据，该成员在当前安全域中的数据将被自动清除。

安全域网络

资源

查看网络资源 支持查看管理员分配给安全域的网络资源。在网络资源列表中查看资源信息，包括：资源名称、资源分组、服务器地址、访问入口、人员设置、描述、启用状态。修改网络资源 支持修改网络资源，在弹出的对话框中可对该资源可用的成员范围进行修改。

禁用/开启网络资源 支持网络资源启用状态的修改。

域名IP绑定 支持“域名IP绑定”，则域名白名单表示仅允许解析，若需访问，需添加对应的IP白名单。关闭“域名IP绑定”，则域名白名单表示允许访问该域名对应的所有IP。删除窗口图标 支持选择需要删除的应用，右键菜单，点击“删除”。

修改应用启动参数 支持选择应用，右键菜单中点击“启动参数”，可查看、修改当前应用的启动参数。

安全域应用

配置

开启/关闭域内白名单

策略

支持开启应用白名单，仅白名单中的应用才可在安全域中启动，其余应用将被安全域拦截。

新增应用白名单

支持新增应用白名单，可通过选择白名单应用、成员设置白名单策略。将展示所有白名单仓库中的应用，且每个应用在某个安全域中仅可被设置一次，已经被设置为策略的应用将不能被选中。

查看应用白名单 支持在列表中查看应用白名单内容，包括应用名称、版本号、应用分类、人员设置、备注。

编辑应用策略 支持编辑应用策略，在弹出对话框中可修改应用网络配置、允许使用的成员范围。

删除应用白名单 支持在应用白名单列表中，选择需要删除的白名单。

客户端进程拦截提示 支持当客户端在安全域内启动了非白名单的应用时，客户端将阻止应用启动，并给出拦截提示。

管理端—功能清单

模块 功能描述

安全策略

窗口水印 支持窗口水印，客户端会对安全域中运行的应用程序窗口中添加水印。水印内容支持自定义。禁止截录屏 支持禁止截录屏，当用户尝试对安全域中应用窗口进行截图或录屏时，客户端会自动隐藏安全域中正在运行的应用程序窗口。

禁止域内打印 禁止打印后，用户无法在安全域内使用打印机功能。

禁止域内剪贴板流入 支持禁止安全域内剪切板数据流出至本地后，当用户尝试从安全域内复制文本或图片到本地时，客户端会自动拦截，禁止该操作，建议禁止。

禁止域内剪贴板流出 支持禁止本地剪切板数据流入安全域后，当用户尝试从本地内复制文件、文本或图片到安全域时，客户端会自动拦截，禁止该操作，并弹窗提示用户。禁止域内

打印机

禁止打印 支持安全域内禁止打印，用户无法在安全域内使用打印机功能。默认为开启状态。

打印审批 支持打印审批策略，设置是否“开启域内使用打印机审批”策略。

USB开发联调 支持USB开发联调策略开启后，可设置指定的应用能将数据导出到使用USB口的设备中。

ADB调试文件控制 支持ADB调试文件控制，策略勾选后，会自动填写应用名和进程名。管理员可选择是否开启”禁用文件导出命令“或”对导出文件进行审计“策略。文件传输共享 SMB文件共享 支持SMB文件共享管控，禁止状态下，若用户尝试从安全域内传输或导文件时，客户端会自动拦截支持添加白名单。

禁止域内文件

导出

禁止导出 支持禁止文件导出，用户在客户端文件资源管理器中，点击“导出至本地桌面”和“导出至U盘”时，客户端会自动进行拦截并弹窗提示用户。

文件导出方式配置 支持安全域内文件导出分为 “导出至本地桌面” 和 “导出至U盘” 两种方式。

导出文件限制大小/数

量

支持登录成功后，弹出离线安全域挂件窗口。离线安全域内禁止访问任何网络资源。

导出文件审批 支持文件导出审批，可配置审批的文件类型。

导出审批流程/告警配

置

支持自定义审批流程，告警配置

禁止域外文件导入 支持禁止域外文件导入，若用户拖拽文件至客户端文件资源管理器中时，客户端会自动进行拦截并弹窗提示用户。

在线安全策略 安全策略 支持禁止域内窗口水印、禁止截录屏，USB开发联调，禁止剪切板流出/流入，禁止文件导出/文件导入等

离线安全策略 离线安全策略 支持离线安全域（无网环境下）使用的安全策略。可选择直接获取使用线上的安全策略，或自定义离线安全策略。

审计日志

网络访问 支持查看当前安全域内拦截的非白名单网络访问情况。

日志总览

日志总览

支持默认展示最近1个月内访问非白名单网络访问的统计信息，包括拦截地址、成员、设备、进程的统计数量，拦截次数变化率，拦截地址数量变化率，成员被拦截次数的排行，成员被拦截地址数量的排行。

详细日志 支持查看具体的日志记录。每条记录包括成员、设备、登录地址、登录IP、进程、日期和时间、拦截地址、访问地址、端口、访问结果、拦截原因。1分钟内相同的日志会聚合为1条。其他日志 支持查看程序启动、数据外发、文件导入、数据删除、剪贴板日志等审计查看。

业务中心 共享文件夹 为安全域用户建立共享文件夹，可用于发布公告、信息同步、协同办公等。

网络资源

四层网络 支持控制四层网络，实现对IP/域名/网段级别的网络访问控制

七层网络 支持控制七层网络，实现对URL级别的网络访问控制。

应用市场 统一分发应用 新增应用时，需要上传应用包、填写应用名称、应用版本、应用分类，及应用描述。点击 确认创建，可完成应用的添加。

应用管理

应用白名单 只允许加白的应用在空间内运行

应用黑名单 可设置应用能否在空间外运行。

U盘白名单 U盘管理 可以在U盘白名单内对安全域中允许接入的U盘进行统一管控。

虚拟机管理 虚拟机运行 可设置在线安全域、离线安全域能否在虚拟机内运行。

windows客户端02PARTTWO

客户端—功能清单

功能模块 功能项目 功能描述 功能价值配置方法安全域管

理模块

展示挂件窗口 登录成功后，会自动加载安全域挂件窗口。

满足用户多样化办公部门需求创建安全空间安全空间客户端截屏工具

支持安全域开启“禁止截录屏”策略时，可使用截屏工具在安全域内截屏。

可选择截屏时隐藏安全域挂件窗口。

新建互联网空

间

支持安全空间无法读取个人空间的文件数据。如果在安全空间中打开个人空间的文件，则会在安全空间将生成原始文件的映射文件，所有的改动将保存在安全空间。

空间和本地数据隔离，保护数据安全性管理平台-安全域新建安全空间 支持安全空间可以读取个人空间的文件数据。安全空间与个人空间之间的文件能否互相复制、粘贴等由当前安全域安全策略决定（由管理员在管理后台设置）。

窗口水印 支持窗口水印，客户端会对安全域中运行的应用程序窗口中添加水印。水印内容支持自定义。

终端数据安全防护，防止随意复制粘贴、截录屏、打印等，保障核心数据泄露的风险，数据只进不出安全策略

支持禁止截录屏，当用户尝试对安全域中应用窗口进行截图或录屏时，客户端会自动隐藏安全域中正在运行的应用程序窗口。

禁止打印后，用户无法在安全域内使用打印机功能。

支持禁止安全域内剪切板数据流出至本地后，当用户尝试从安全域内复制文本或图片到本地时，客户端会自动拦截，禁止该操作，建议禁止。

支持禁止本地剪切板数据流入安全域后，当用户尝试从本地内复制文件、文本或图片到安全域时，客户端会自动拦截，禁止该操作，并弹窗提示用户。

支持安全域内禁止打印，用户无法在安全域内使用打印机功能默认为开启状态。

支持打印审批策略，设置是否“开启域内使用打印机审批”策略。

支持USB开发联调策略开启后，可设置指定的应用能将数据导出到使用USB口的设备中。

支持安全空间内运行应用程序的方法，同个人空间相同。双击应用程序图标即可。 若管理员在后台开启域内应用白名单策略，且该应用未在名单内时，则启动时会出现报错

提示。

支持ADB调试文件控制，策略勾选后，会自动填写应用名和进程名。管理员可选择是否开启”禁用文件导出命令“或”对导出文件进行审计“策略。

身份管理

模块

本地账号 支持增删查改本地账号，并可批量通过EXCLE导入以及批量删除。 本地账号的增删查改管理平台-团队配置第三方对接 山河系统支持与微软AD域、LDAP、企业微信、钉钉、飞书进行对接，并支持通过企业微信、钉钉、飞书扫码登录。

提供三方账户体系对接，方便用户认证。短信认证 可对接阿里云短信网关，实现短信认证登录。

提供短信登录方式，提升安全性二次认证 通过OTP、图形验证码的方式实现登录客户端时的二次认证 二次认证，增加安全性角色配置 根据用户管理制度配置管理员、审计员、策略员、普通用户等角色；

灵活配置用户权限，便于用户管理制度开展网络访问

管理模块

网络访问权限

支持用户在安全空间内的网络访问权限受管理员在后台配置的网络资源策略管控。不同安全空间的网络权限也是隔离的，即某些网络仅能在指定的安全空间内访问。若用户访

问未被授权的资源时，会被阻止访问。 精细化访问权限管理，配业务系统访问权限，降低敏感信息暴露面管理平台-业务中心-网络资源网络资源展示

支持在安全域挂件窗口会展示管理员设置可在客户端中访问的网络资源。可在右键菜单中选择打开方式来访问该网络资源，打开方式分为以下两种：

选择“打开”，会使用系统默认的浏览器打开

选择“以浏览器打开”，用户可指定浏览器打开

客户端—功能清单

功能模块 功能项目 功能描述 功能价值配置方法文件资源模

块

全局共享

支持共享文件夹全局共享，分配给该安全域或用户的文件资料，用户可查看文件详情。若管理员分给用户可编辑权限，则用户还

可对文件夹进行编辑。 方便用快速文件共享提高办公效率

管理平台-业务中心-共享文件夹域内共享

支持域内成员之间发送文件和文件夹，发送过程均在山河系统内流转，保证数据安全。

所有发送记录均会记录在管理后台，可随时追溯文件发送记录和文件内容。

安全空间客户端回收站 支持临时存放当前安全域删除的文件和文件夹。可选择恢复或永久删除文件。 提供文件删除功能导入文件

支持将个人空间文件导入安全空间，直接拖拽个人空间中要导入的文件至安全空间的文件资源管理器，或挂件窗口。剪切板复制

粘贴：复制个人空间中要导入的文件，在安全空间的文件资源管理器中点击 粘贴。通过“添加快捷方式”：在安全空间窗口点击

“添加快捷方式”图标，在弹出的本地文件资源管理器窗口中，选择要导入的文件，点击 确定。若安全域为互联网沙箱，且开启

文件导入审批策略，则用户需提交审批，审批通过后需用户手动选择文件导入的路径。

便捷的文件导入导出文

件

导出到U盘 支持在“文件资源管理器”中，选择需要导出的文件，右键菜单点击“导出至U盘”。

文件安全性流转导出到本地

支持在“文件资源管理器”中，选择需要导出的文件，右键菜单点击“导出至本地”，会弹窗显示导出进度条。文件导出位置为

本地桌面。

文件审批

支持管理员开启文件审批策略，用户点击“导出文件至本地”或“导出文件至U盘”时会弹窗提示用户，需要先提交审批，待审

批通过后，文件可从安全域内导出。当用户提交文件导出审批申请后，桌面右下角会弹窗提示设置的审批人，可在web管理后台

进行审批处理。

文件发送 支持在同个安全域内，用户可以互相发送文件或文件夹。

方便用快速文件共享提高办公效率

终端管理模

块

查看终端设备情况 展示所有登录设备，包括设备UUID、设备名、设备类型、在线状态、登录用户、最近登录时间、设备状态。

便于管理员快速了解用户终端管，快速运维

管理平台-终端管理展示设备详情 可查看设备的杀毒软件信息、补丁信息、已安装程序、系统相关信息、进程信息、服务信息、网络信息、启动项等

展示设备异常日志 查看完整性防护、进程防护、安装目录防护、注册表防护

设备锁定和绑定 1.被锁定的设备将无法使用客户端；锁定一个设备后，将释放一个设备授权。

动态访问模

块

信用分设置 信用分数设置处，可为用户设置初始信用分数，以及根据信用分数动态授权的策略。

安全基线核查，每次用户在登陆的时候都会检查准入要求，保障安全

管理平台-全局策略登录限制 支持对登录时间和登录地点进行限制，不在正常登录时间和常用登录地点的行为，可设置动态的处置方式。

登录安全策略 支持对连续登录错误的用户和设备进行锁定，可设置允许连续登录错误的最大次数。

安全访问策略

山河系统支持针对安全基线、用户行为等进行检测，并设置动态访问权限。包括设备启动服务项异常、设备安装杀毒软件异常、

用户在安全域中启动非法软件。

离线安全空

间模块

申请离线安全空间 支持在设置-离线安全域处，申请离线安全域。在弹出的对话框中选择需要离线使用的安全域、填写离线访问时效，及申请原因。

满足在弱网或者无网络环境的情况下使用，场景丰富登录离线安全空间 支持在登录界面访问离线安全域。在弹出的对话框中输入离线安全域密钥。有网和无网环境下，都可以登录离线安全域。 安全空间客户端使用离线安全空间 支持登录成功后，弹出离线安全域挂件窗口。离线安全域内禁止访问任何网络资源。

客户端—功能清单

功能模块 功能项目 功能描述 功能价值 配置方法审批模块

审批配置

配置审批策略。审批策略包括：域内文件导出审批、域内文件打印审批、离线安全域审批、域间文件

发送审批、域外文件导入审批。 对文件的导入导出进行审批管控，实现安全管控。管理界面-审批中心审批通知 在审批通知查看、处理与自己相关的所有审批，包括我发起的，需要我审批的。

其他安全策略

模块

文件传输共享管理

对安全域内文件的传输与共享行为进行动态配置，可配置SMB文件共享在安全域内和域外是否可以访

问

对用户的SMB可以灵活配置管控策略是否在仅在域内运行

管理界面-全局策略-文件传输共享安全空间虚拟机运

行

设置在线安全域、离线安全域能否在虚拟机内运行。

考虑到虚拟机运行安全空间的安全性，同样进行管控

管理界面-全局策略审计模块

网络访问 可查看当前安全域内拦截的非白名单网络访问情况。

记录系统运行过程中发生的事件、操作和错误的记录。

管理界面-安全域-审计日志程序启动 可查看域内程序启动拦截日志。

数据外发 可查看当前安全域内发送的文件/数据等。

文件导入 可查看文件导入安全域中的所有记录。文件导入方式包括：拖拽、剪切板，及 \"添加快捷方式.剪切板日志 可查看当前安全域内成员在安全域内剪切板行为日志。

数据删除 可查看安全域成员数据删除情况及记录。

应用市场模块

查看下载应用 支持展示管理员在后台上传的客户端应用。可点击查看应用详情，以及下载应用。

方便用户安全可信的下载应用使用。 管理平台打开应用下载路径 应用会默认下载至安全域外，点击文件夹图标，可打开文件下载位置。

备份模块

本地备份 可查看本地数据库备份记录。

保障数据安全提供备份机制。

管理界面-系统设置远程备份 可查看远程备份服务器的状态，包括IP地址、在线状态和内存空间信息。 管理界面-系统设置客户端功能模

块

文件传输 支持将本地个人空间数据批量导入至安全空间。

右键小工具提供用户日常使用助手工具安全空间客户端-角标右键托盘更新记录 支持展示客户端最新版本的更新时间、更新内容。 安全空间客户端-右键关于设置工作空间磁盘 支持迁移工作空间磁盘文件位置。

安全空间客户端U盘序列号查询 支持用户在终端插入U盘时，若该U盘已被管理员添加至U盘白名单内，会显示U盘名字及序列号。

修改密码 支持当用户账号为本地帐号时，可修改账号的登录密码。

锁定

支持在右键菜单中，点击“锁定”，可使安全空间窗口为锁定状态，锁定状态下无法使用安全空间。

输入账号登录密码即可解锁。

安全空间程序边框 支持设置安全空间应用程序边框颜色、粗细；以及设置安全空间标识展示状态。

注销登录 支持点击“注销登录”或“退出客户端”按钮，会弹窗提示用户，是否确认注销/退出。

江苏互普科技有限公司

地址：江苏省苏州市姑苏区苏站路1588号苏城

商务中心B座1511室

电话：021-51028848

销售热线：15900681270 汤经理

网站：www.hupu.net

浙江互普科技有限公司地址：浙江省杭州市滨江区信诚路555号B幢1005-1006室电话：021-51028848销售热线：15021214061杜经理网站：www.hupu.net

感谢您的信任和支持！上海互普鑫渠安全科技有限公司（总部）

地址：上海市浦东新区周康路 28 号 (万达国际

商务中心F栋) 26 楼

电话：021-51028848

销售热线：15900681271 刘经理

网站：www.hupu.net

鑫渠公众号