您必须拥有 Chrome 企业进阶版加购项才能使用此功能。
您可以将 Chrome 企业进阶版与数据泄露防护 (DLP) 规则搭配使用,以监控用户在 Chrome 浏览器以及 Windows、Mac、Linux 和 ChromeOS 设备上的操作。您可以扫描文件中的文本内容(最多 10 MB),以自动检测已打开、上传、下载、粘贴或传输的数据。将 DLP 规则与 Chrome 企业进阶版搭配使用,可控制社会保障号或信用卡号等敏感信息。
准备工作
设置 Chrome 企业版接口政策。如需了解相关步骤,请参阅为 Chrome 企业进阶版设置 Chrome 企业版接口政策。
了解用户事件(触发器)
在定义规则应查找的内容或上下文之前,您必须指定启动扫描过程的用户事件。此事件是整个规则的触发条件。您选择的事件决定了规则可用的要扫描的内容类型选项。
您可以选择以下用户事件之一:
- 文件上传 - 用户在 Chrome 浏览器中从自己的设备上传文件。
- 文件下载 - 用户将文件下载到自己的设备。
- 粘贴内容 - 用户将内容粘贴到网页中。
- 打印内容 - 用户打印网页的内容。
- 访问网址 - 用户前往某个网址。
了解数据泄露防护条件
创建 DLP 规则时,您需要指定用于定义要扫描的内容或活动的条件。您可以组合使用多个条件来创建特定规则。
可用的要扫描的内容类型选项会根据所选的用于启动扫描的用户事件而变化,例如文件上传、文件下载、粘贴内容、打印内容、访问网址等。
| 要扫描的内容类型 | 要扫描的内容 | 详细信息与用法 |
|---|---|---|
| 所有内容 | 与预定义的数据类型匹配 | 扫描所有内容,查找与预定义数据类型(例如“全球 - 邮箱”或“美国 - 社会保障号”)匹配的敏感信息。您可以为唯一匹配项或总匹配项设置可能性阈值和最小值。 |
| 正文 |
包含文本字符串 与字词表中的字词匹配 与正则表达式匹配 |
扫描网页或文件的正文内容,查找特定文本、自定义列表中的字词或由正则表达式定义的模式。 |
| 文件大小 |
大于 小于 等于 |
设置文件大小阈值(以字节为单位),以根据您设置的比较条件触发规则。 |
| 文件类型 |
与系统文件类别匹配 与特定 MIME 类型匹配 |
按预定义的文件类别(例如“图片”或“可执行文件”)或按特定 MIME 类型过滤要扫描的内容。详细了解按文件类别划分的 MIME 类型。 |
| 来源 Chrome 上下文环境 | 与 Chrome 浏览器相关的特定属性 | 扫描内部 Chrome 属性以定义浏览器的环境或状态。如果上下文是以下值之一,则应用此规则:隐身、剪贴板或其他个人资料。 |
| 源网址 |
包含文本字符串 与字词表中的字词匹配 与正则表达式匹配 |
扫描内容来源网址,查找特定文本、自定义列表中的字词或模式。 |
| 源网址类别 |
选择类别 |
与用户事件(例如“粘贴内容”)搭配使用,以检查来源网址是否属于预定义的类别(例如“社交网络”或“新闻”)。 |
| 标题 |
包含文本字符串 与字词表中的字词匹配 与正则表达式匹配 |
扫描操作所涉及的网页或文档的标题,以查找特定文本、自定义列表中的字词或模式。 |
| 网址 |
包含文本字符串 与字词表中的字词匹配 与正则表达式匹配 |
扫描操作所涉及的网址,查找特定文本、自定义列表中的字词或模式。此扫描包括任何嵌入式 iframe 中加载的内容的网址。 |
| 网址类别 | 选择类别 | 检查操作所涉及的网址是否属于预定义的类别,例如社交网络、游戏或赌博。此扫描包括任何嵌入式 iframe 中加载的内容的网址。 |
注意:“访问的网址”触发器不会扫描嵌入式 iframe 中的网址或其对应的类别。
了解数据泄露防护操作
当满足条件时,规则可以强制执行以下任一操作:
| 操作(适用于 Chrome 浏览器和 ChromeOS) | 说明 | 可选设置 |
|---|---|---|
| 屏蔽 | 阻止用户完成操作,例如上传文件。用户会收到错误消息或自定义消息。 | 自定义消息:向用户显示自定义消息(最多 300 个字符,支持超链接),说明操作被屏蔽的原因。 |
| 允许共享且显示警告 | 允许用户在收到警告消息后继续操作。用户选择继续操作的决定会记录在日志事件中。 |
自定义消息:显示自定义警告消息。 在网页内容上添加水印:对于“访问网址”操作,在网页上叠加半透明水印和“机密”文本或自定义消息。 限制屏幕截图和屏幕共享内容:对于 Mac 和 Windows 上的“访问网址”操作,禁止在关联的网页上截取屏幕截图和进行屏幕共享。在屏幕截图中,内容会被涂黑 (Windows) 或消失 (Mac)。 |
| 仅记入审核日志 | 允许用户不受干扰地继续操作,并记录该事件以供审核。 |
在网页内容上添加水印:对于“访问网址”操作,在网页上叠加半透明水印和“机密”文本或自定义消息。 限制屏幕截图和屏幕共享内容:对于 Mac 和 Windows 上的“访问网址”操作,禁止在关联的网页上截取屏幕截图和进行屏幕共享。在屏幕截图中,内容会被涂黑 (Windows) 或消失 (Mac)。 |
重要提示:对于文件上传和粘贴内容用户事件,屏蔽行为取决于 Chrome 企业版接口政策的延后文件上传和延后输入文本设置。如需了解详情,请参阅上传内容分析和批量分析文字内容。
选择数据区域
您可以将数据泄露防护和恶意软件扫描结果存储在特定区域,例如美国或欧洲。您可以选择一个区域来实现数据驻留,这是许多合规性协议的要求。有关详情,请参阅选择存放数据的地理区域。
开启 OCR
您需要开启光学字符识别 (OCR),以便 Chrome 扫描文件和 PDF 中的图片并检测敏感内容。OCR 会扫描上传、下载和打印的 BMP、GIF、JPEG、PNG 和 TIF 文件。启用 OCR 后,该设置将应用于所有数据泄露防护规则。您无法选择将 OCR 应用于特定规则。
如需开启 OCR,请执行以下操作:
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 前往数据保护设置,然后点击光学字符识别 (OCR)。
- 开启适用于 Google Chrome。
- 点击保存。
创建数据泄露防护规则
启用 OCR 并确定规则的条件和操作后,您就可以创建 DLP 规则了。如需了解详情,请参阅创建数据泄露防护规则。
常见使用场景
下表提供了一些示例,说明如何将用户事件(触发条件)、条件(检查内容)和特定操作(强制执行)结合起来,以定义数据泄露防护政策。如需使用此表格,您必须:
- 选择一个用户事件。
- 将条件值映射到相应选项。
- 选择一项操作。
| 使用情形 | 用户事件 | 条件 | 操作 |
| 屏蔽从 Google 云端硬盘下载文件的操作 | 下载了文件 |
内容类型:网址* 匹配:包含文本字符串 值:drive.google.com |
屏蔽 |
| 如果下载的文件包含超过 30 个邮箱,则向用户发出警告 | 下载了文件 |
内容类型:所有内容 匹配:与预定义的数据类型匹配 设置:数据类型:全球 - 邮箱,中等可能性,唯一匹配项数下限:30 |
允许共享且显示警告 |
| 屏蔽向社交媒体网站上传文件的操作 | 上传文件 |
内容类型:网址类别 匹配:选择类别 值:社交网络 |
屏蔽 |
| 屏蔽大于 10 KB 的图片文件的下载操作 | 下载了文件 |
条件 1:文件大小 匹配:大于 值:10,000 字节 AND 条件 2:文件类型 匹配:与系统文件类别匹配 值:图片 |
屏蔽 |
| 记录 ChromeOS 中通过文件传输美国社会保障号的情况 | 文件传输 |
内容类型:所有内容 匹配:与预定义的数据类型匹配 设置:数据类型:美国 - 社会保障号,中等可能性,唯一匹配项数下限:1,匹配项数下限:1 |
仅记入审核日志 |
| 屏蔽用户粘贴从 Gmail (mail.google.com) 复制的内容 | 粘贴了内容 |
内容类型:源网址* 匹配:包含文本字符串 值:mail.google.com |
屏蔽 |
| 针对指定敏感网站的访问操作,应用水印或限制屏幕截图 | 访问过的网址 |
内容类型:网址*或网址类别 匹配:选择合适的匹配项 值:具体的敏感网址或类别 |
允许并显示警告/仅审核(已选择“添加水印”和/或“限制屏幕截图”) |
查看、监控和调查提醒
创建 DLP 规则后,您可以查看用户在 Chrome 浏览器中的操作,例如上传和下载数据或复制粘贴数据。然后,您可以:
- 您可以在安全信息中心内查看报告。与 Chrome 企业高级版相关的报告包括:
- Chrome 威胁防护措施摘要报告
- Chrome 数据保护措施摘要报告
- 高风险 Chrome 用户报告
- 高风险 Chrome 网域报告
- 如需了解详情,请参阅使用安全信息中心。
- 使用安全调查工具调查数据共享违规事件提醒。有关详情,请参阅关于安全调查工具。
- 在规则日志事件中查看突发事件的详细信息。
- 调查 DLP 规则违规行为,以确定它们是真实事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容。