使用 Chrome Enterprise 进阶版为 Chrome 集成数据泄露防护功能

Chrome Enterprise 进阶版能够为 Chrome 集成数据泄露防护功能

Chrome Enterprise Premium threat and data protection 功能仅面向已购买 Chrome Enterprise Premium 的客户提供。

借助 Chrome Enterprise Premium threat and data protection,您可以为 Chrome 集成数据泄露防护 (DLP) 功能,以便对上传和下载的文件以及粘贴或拖放的内容实现敏感数据检测。 将 DLP 与 Chrome 集成后,系统会扫描并报告从每个文件中提取的最多 10MB 文本内容中的发现结果。

通过此项集成,您可以控制 Chrome 用户可以共享哪些数据,例如社会保障号或信用卡号。此项集成仅适用于 Windows、Mac、Linux 和 Chrome 操作系统上的 Chrome 浏览器。其他平台目前不受支持。

Chrome Enterprise Premium 与数据泄露防护功能的集成

Chrome 的数据泄露防护功能集成包含在 Cloud Platform 安全性的 Chrome Enterprise Premium 功能套件中。如要配置数据泄露防护功能集成,请使用 Google Workspace 功能。

Chrome Enterprise Premium 包含:

  • 使用 Chrome 管理功能
  • Chrome 接口的配置
  • Google Workspace 安全性中的 DLP 规则配置(如本文所述)
  • Chrome 生成的安全性事件(例如恶意软件或敏感数据检测、网上诱骗或社会工程学,或重复使用密码)的提醒和调查

如要详细了解如何实施 Chrome Enterprise Premium,请参阅使用 Chrome Enterprise Premium threat and data protection 功能保护 Chrome 用户

为 Chrome Enterprise Premium 设置数据泄露防护功能的步骤

如要实施和使用整套 Chrome Enterprise Premium 数据泄露防护功能,您必须执行以下操作:

创建 DLP 规则后,当用户上传、下载数据或将数据复制粘贴到浏览器中时,这些操作可以触发事件。您可以:

扫描图片是否存在敏感内容

您必须以超级用户身份登录,才能执行此任务。

使用光学字符识别 (OCR) 功能,Chrome 数据泄露防护功能可扫描图片文件中的文本和 PDF 中的图片,看是否存在敏感内容。这包括在 Chrome 中上传和下载的文件以及打印的内容。

支持的附件文件类型

系统会扫描以下图片文件类型(如果已启用 OCR):BMP、GIF、JPEG、PNG、TIFF 以及 PDF 文件中的图片。

开启 OCR
  1. 使用超级用户账号登录 Google 管理控制台。

    如果您使用的不是超级用户账号,则无法完成这些步骤。

  2. 在管理控制台首页,转到安全性 接着点击 访问权限和数据控件 接着点击 数据保护
  3. 数据保护设置部分,点击光学字符识别 (OCR)。Google Chrome 的默认状态为关闭。请选择关闭并将其滑动到开启
  4. 点击保存。这会为应用于 Google Chrome 的数据保护规则开启 OCR。

注意:启用 OCR 设置后,该设置将应用于所有 Chrome 数据泄露防护规则。您无法选择将其应用于特定规则。

在创建数据保护规则时检查 OCR 是否已开启
  1. 使用超级用户账号登录 Google 管理控制台。

    如果您使用的不是超级用户账号,则无法完成这些步骤。

  2. 依次点击“菜单”图标  接着点击  规则
  3. Classify and protect your sensitive content(对敏感内容进行分类和保护)部分,点击创建规则
  4. 点击名称,然后输入规则名称和(可选)说明。
  5. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 <域名>domain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。
  6. 点击继续
  7. 应用下方,为 Google Chrome 勾选上传了文件
  8. 点击横幅中的检查,确保 OCR 已开启,以便扫描图片和 PDF 中的文本。如果未勾选 Chrome,请勾选 Chrome 复选框,为 Chrome 开启 OCR。
  9. 点击继续以完成规则的创建。

支持 Chrome Enterprise Premium 与 Chrome 集成的数据泄露防护规则示例

  • 在使用 Chrome 设置创建数据泄露防护规则之前,请务必更新 Chrome 企业版接口政策,确保其支持 Chrome Enterprise Premium 功能和数据泄露防护集成。如要了解详情,请参阅为 Chrome Enterprise Premium 设置 Chrome 企业版接口政策
  • 如需了解创建 DLP 规则的一般步骤,请参阅创建云端硬盘 DLP 规则和自定义内容检测器
  • 如果您创建的数据泄露防护规则未设置任何条件,则该规则会将指定的操作应用于所选触发器的每个 Chrome 事件,这些事件可能是文件或内容传输或网址导航事件。

数据泄露防护功能与 Chrome Enterprise Premium 的集成 - 数据传输规则示例

下面提供了一些示例,展示了如何根据网址禁止文件下载、针对包含多个电子邮件地址的下载发出警告、禁止向特定类别的网址上传内容以及根据文件大小禁止下载。

打开此部分  |  全部收起并转至页首

示例 1:禁止下载来自 drive.google.com 的文件

此示例展示了如何使用规则设置来禁止文件下载。在本示例中,如果下载来自 drive.google.com,则系统会禁止下载。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name 如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 点击继续
  7. 应用中,为 Chrome 选择文件已下载
  8. 点击继续
  9. 条件部分,点击添加条件并选择以下值:重要提示:Google 云端硬盘需要使用第三方 Cookie 来下载内容,以提高浏览器安全性并确保只有您自己可以下载数据。Google 云端硬盘会使用 googleusercontent.com 这个 Google 网域,但会将它视作第三方网域,用于递送文件并进一步提高安全性。googleusercontent.com
    1. 要扫描的内容类型 - 网址
    2. 要扫描的内容 - 包含文本字符串
    3. 要匹配的内容 - drive.google.com
      注意标签页网址 (drive.google.com) 和下载网址 (googleusercontent.com) 可能会触发规则。
  10. 点击继续。在操作部分的“Chrome”下,选择屏蔽
    1. (可选)选择要向最终用户显示的自定义消息。
      • 选中自定义消息
      • 输入要向最终用户显示的消息。消息长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  11. 点击继续以查看规则详情。
  12. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  13. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 2:为包含超过 30 个电子邮件地址的 Chrome 下载发出警告

下例介绍了如何使用规则设置在特定条件下触发用户警告。在此示例中,如果用户尝试一次下载超过 30 个电子邮件地址,系统会发出警告。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 在“范围”部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 应用中,为 Chrome 选择文件已下载
  7. 点击继续
  8. 条件部分,点击添加条件并选择以下值:
    1. 要扫描的内容类型 - 所有内容
    2. 要扫描的内容 - 与预定义的数据类型匹配
    3. 数据类型 - 全局 - 电子邮件地址
    4. 可能性阈值 - 中
    5. 不重复匹配数量下限 - 30
    6. 最低匹配计数 - 30
  9. 点击继续。在操作部分的“Chrome”下,选择允许共享且显示警告。。用户会收到警告,但可以选择无视规则,继续操作。如果用户在收到警告后选择继续操作,规则审核日志会记录此操作。
    1. (可选)选择要向最终用户显示的自定义消息。
      • 选中自定义消息
      • 输入要向最终用户显示的消息。消息长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  10. 点击继续以查看规则详情。
  11. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  12. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 3:禁止向社交媒体网站上传文件

此示例展示了如何使用规则设置来禁止将文件上传到特定类型的网站。在此示例中,如果用户尝试将文件上传到社交媒体网站(例如 Facebook),系统会阻止上传。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name 如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 点击继续
  7. 应用中,为 Chrome 选择文件已上传

    注意:对于文件已上传内容已粘贴触发器,禁止行为取决于为 Chrome Enterprise Premium 设置 Chrome 企业版接口政策中指定的延后文件上传设置。如果延后文件上传设置设为允许直接上传,系统会在扫描过程中上传文件。如要阻止用户在扫描期间上传文件或内容,请将延后文件上传设置设为分析结束后再上传文件

  8. 点击继续
  9. 条件部分,点击添加条件并选择以下值:
    1. 要扫描的内容类型 - 网址类别
    2. 选择类别 - 在线社区接着点击社交网络
  10. 点击继续。在“操作”部分的“Chrome”下,选择屏蔽
    1. (可选)选择要向最终用户显示的自定义消息。
      • 选中自定义消息
      • 输入要向最终用户显示的消息。消息长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  11. 点击继续以查看规则详情。
  12. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  13. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 4:禁止下载大于 10 KB 的图片文件

此示例展示了如何使用规则设置来根据文件类型和大小禁止文件下载。在此示例中,如果用户尝试下载大于 10 KB 的图片文件,则系统会禁止下载。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则接着点击添加规则接着点击新建规则
  4. 添加规则的名称和说明。
  5. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 应用中,为 Chrome 选择文件已下载
  7. 点击继续
  8. 条件部分,点击添加条件并选择以下值:
    1. 要扫描的内容类型 - 文件大小
    2. 要扫描的内容 - 大于
    3. 输入文件大小(字节) - 10000
  9. 点击添加条件并选择以下值:

    如要了解每个系统文件类别中包含的 MIME 类型,请点击此处

    1. 要扫描的内容类型 - 文件类型
    2. 要扫描的内容 - 与系统文件类别匹配
    3. 系统文件类别 - 图片
  10. 点击继续。在“操作”部分,对于 Chrome,选择屏蔽
    1. (可选)如需向最终用户显示自定义消息,请执行以下操作:
      1. 选中自定义消息
      2. 输入要向最终用户显示的消息,长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  11. 点击继续以查看规则详情。
  12. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  13. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 5:报告包含美国社会保障号的 ChromeOS 文件传输

此示例展示了如何使用规则设置来报告 ChromeOS 中包含美国社会保障号的文件传输。ChromeOS 文件应用是唯一扫描文件的位置,设置这些规则需要 Chrome 企业版升级。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 点击名称,然后输入规则名称和(可选)说明。
  5. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 <域名>domain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 点击继续
  7. 应用中,对于 ChromeOS,选择文件传输
  8. 点击继续
  9. 条件部分,点击添加条件并选择以下值:
    • 要扫描的内容类型 - 所有内容
    • 要扫描的内容 - 与预定义的数据类型匹配(推荐)
    • 选择数据类型 - 美国 - 美国社会保障号
    • 可能性阈值 - 中
    • 不重复匹配数量下限 - 1
    • 最低相符项目数 - 1
  10. 点击继续。在操作部分的 ChromeOS 下方,选择仅记入审核日志
  11. (可选)如需在管理控制台中选择如何报告此规则触发的事件的严重程度,请针对提醒选择。 严重程度会记录在规则日志事件中,您可以使用它来调查突发事件。
  12. (可选)如需选择此规则触发的事件是否应同时向提醒中心发送相关提醒,请勾选发送至提醒中心复选框,如需将有关提醒的通知发送给所有超级用户,请勾选所有超级用户复选框。您也可以输入其他电子邮件收件人来接收通知。
  13. 点击继续以查看规则详情。
  14. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  15. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

示例 6:屏蔽从特定来源粘贴的文本(Beta 版)

此示例展示了如何使用规则设置来屏蔽从 mail.google.com 粘贴的文本。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 前往数据保护规则和检测器,然后点击管理规则
  4. 点击添加规则接着点击新建规则
  5. 点击名称,然后输入规则名称和(可选)说明。
  6. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 <域名>domain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。 组织部门可以包含设备、用户或设备和用户的组合。
  7. 点击继续
  8. 应用中,为 Chrome 勾选粘贴的内容复选框。

    您屏蔽粘贴的内容的方式取决于为 Chrome 企业进阶版设置 Chrome 企业版接口政策中指定的延后输入文本设置。如果您允许直接上传,系统会在扫描过程中粘贴文本。如要阻止用户在扫描期间粘贴内容,请改用分析结束后才能输入文本

  9. 点击继续
  10. 点击添加条件
    1. 点击所有内容,然后选择源网址
    2. 点击要扫描的内容,然后选择包含文本字符串
    3. 点击输入要匹配的内容,然后输入 mail.google.com
  11. 点击继续
  12. 操作部分中,对于 Chrome,选择屏蔽
  13. (可选)如要向用户发送自定义消息,请勾选自定义消息复选框,然后输入消息。如需添加网址,请选择文本,然后点击插入链接
  14. (可选)如需向安全信息中心报告事件,请在提醒部分中选择严重程度级别,勾选相应复选框以向提醒中心或超级用户发送提醒消息,并添加其他提醒消息收件人。
  15. 点击继续
  16. 查看规则详情,然后为规则状态选择一个选项:
    • 如需立即运行规则,请选择已启用
    • 如需在执行前查看规则并与团队成员共享它,请选择未启用
    • 稍后如要启用该规则,请前往管理规则(本页面上文中的步骤),选择已启用,然后点击确认
  17. 点击创建

更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情

数据泄露防护功能与 Chrome Enterprise Premium 的集成 - 网址导航规则示例

在这些示例中,系统将禁止前往特定网址类别的网站,以及您创建的一系列自定义网址。

打开此部分  |  全部收起并转至页首

示例 1:在 Chrome 转到与“游戏/赌博”网址类别匹配的网站时发出警告

此示例展示了如何使用规则设置在用户尝试转到包含赌博内容的网站时触发用户警告。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  4. 添加规则的名称和说明。
  5. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name 如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  6. 点击继续
  7. 应用中的 Chrome 下,选择访问过的网址
  8. 点击继续
  9. 条件部分,点击添加条件并选择以下值:
    1. 要扫描的内容类型 - 网址类别
    2. 选择类别 - 游戏/赌博
  10. 点击继续。在操作部分的“Chrome”下,选择允许共享且显示警告。用户会看到警告,但可以选择继续执行触发规则的操作。如果用户选择继续执行操作,该操作将记录在 Chrome 日志中。
    1. (可选)选择要向最终用户显示的自定义消息。
      • 选中自定义消息
      • 输入要向最终用户显示的消息。消息长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  11. 点击继续以查看规则详情。
  12. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  13. 点击创建

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

示例 2:禁止 Chrome 转到一系列自定义网址

此示例展示了如何使用规则设置在用户尝试转到自定义列表中的某个网址时阻止用户。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 创建一个自定义字词表检测器,其中添加了要阻止的网址的列表,以英文逗号分隔。例如:“example.com,example2.com”。如要了解具体说明,请参阅创建自定义检测器
  4. 点击管理规则。然后,点击添加规则 接着点击 新建规则
  5. 添加规则的名称和说明。
  6. 范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。domain.name 如果单位部门和群组在包含或排除设置上存在冲突,以群组的设置为准。 组织部门可以包含设备、用户或设备和用户的组合。
  7. 点击继续
  8. 应用中的 Chrome 下,选择访问过的网址
  9. 点击继续
  10. 条件部分,点击添加条件并选择以下值:
    1. 要扫描的内容类型 - 网址
    2. 要扫描的内容 - 与字词表中的字词匹配
    3. 字词表名称 - 您在第 3 步中创建的字词表的名称。
    4. 匹配模式 - 匹配任意字词
    5. 任意字词被检测到的最少总次数 - 1。
  11. 点击继续。在操作部分的“Chrome”下,选择屏蔽
    1. (可选)选择要向最终用户显示的自定义消息。
      1. 选中自定义消息
      2. 输入要向最终用户显示的消息。消息长度不得超过 300 个字符。允许使用超链接,但超链接会计入字符数限制。
    2. (可选)在提醒部分:
      • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
      • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  12. 点击继续以查看规则详情。
  13. 为规则选择状态:
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性 接着点击 访问权限和数据控件 接着点击 数据保护 接着点击 管理规则。点击该规则的未启用状态,然后选择活跃。启用后,系统会立即执行该规则,数据泄露防护功能会扫描敏感内容。
  14. 点击创建

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

示例 3:使用水印审核或警告网址导航

此示例展示了如何使用规则设置在用户尝试前往特定网站时触发用户警告或通过叠加水印来审核用户活动。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

不妨详细了解管理员权限以及如何创建自定义管理员角色

第 1 步:添加新规则

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则
  4. 点击添加规则接着点击新建规则
  5. 添加规则的名称和说明。
  6. 范围部分,选择一个选项,然后点击继续
    • 选择 <域名> 中的所有用户,以将规则应用于整个组织。
    • 搜索要包含在规则中或从规则中排除的组织部门或群组。如果用户同时属于您包含的组织部门和您排除的群组,则以群组为准。组织部门可以包含设备、用户或设备和用户的组合。
  7. 应用中的 Chrome 下,选择访问过的网址
  8. 点击继续

第 2 步:为规则设置条件和操作

  1. 点击添加条件,为要添加水印的网址或网址类别选择值,然后点击继续
  2. 操作部分的 Chrome 下,选择一个选项:
    • 允许共享且显示警告 - 向用户显示警告,但用户可以继续访问网站。如果用户继续操作,该操作将记录在规则和 Chrome 日志事件中。如需在网页内容上显示半透明水印文本,请勾选在网页内容上添加水印复选框。
    • 仅记入审核日志 - 在 Chrome 中的网页内容上显示水印,并在规则和 Chrome 日志事件中创建新事件。
  3. (可选)默认水印消息为机密。如需创建自定义水印消息,请勾选自定义水印消息复选框,然后输入消息。
  4. 对于提醒,选择您的设置,然后点击继续
    • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
    • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  5. 点击继续以查看规则详情。
  6. 选择规则状态,然后点击创建
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性接着点击访问权限和数据控件接着点击数据保护接着点击管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

示例 4:禁止在特定网站上截取屏幕截图和共享屏幕

此示例展示了如何使用规则设置来禁止屏幕截图(Mac 和 Windows)和屏幕共享(仅限 Windows)。在 Windows 设备上,页面内容会在屏幕截图中被涂黑;在 Mac 设备上,页面内容会消失。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

不妨详细了解管理员权限以及如何创建自定义管理员角色

第 1 步:添加新规则

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理规则
  4. 点击添加规则接着点击新建规则
  5. 添加规则的名称和说明。
  6. 范围部分,选择一个选项,然后点击继续
    • 选择 <域名> 中的所有用户,以将规则应用于整个组织。
    • 搜索要包含在规则中或从规则中排除的组织部门或群组。如果用户同时属于您包含的组织部门和您排除的群组,则以群组为准。 组织部门可以包含设备、用户或设备和用户的组合。
  7. 应用中的 Chrome 下,选择访问过的网址
  8. 点击继续

第 2 步:为规则设置条件和操作

  1. 点击添加条件,为要禁止截取屏幕截图和屏幕共享的网址或网址类别选择值,然后点击继续
  2. 操作部分的 Chrome 下,选择一个选项:
    • 允许共享且显示警告 - 向用户显示警告,但用户可以继续访问网站。如果用户继续操作,该操作将记录在规则和 Chrome 日志事件中。如需禁止在关联的网页上截取屏幕截图和进行屏幕共享,请勾选限制屏幕截图和屏幕共享内容复选框。
    • 仅记入审核日志 - 允许用户在 Chrome 中继续访问网站,该操作会记录在规则和 Chrome 日志事件中。如需禁止在关联的网页上截取屏幕截图和进行屏幕共享,请勾选限制屏幕截图和屏幕共享内容复选框。
  3. 对于提醒,选择您的设置,然后点击继续
    • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
    • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  4. 点击继续以查看规则详情。
  5. 选择规则状态,然后点击创建
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性接着点击访问权限和数据控件接着点击数据保护接着点击管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则将无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

示例 5:审核前往与正则表达式匹配的网址的 Chrome 导航

此示例展示了如何使用规则设置在用户尝试前往与正则表达式匹配的网址时审核用户的网址导航。

准备工作:登录超级用户账号或拥有以下权限的管理员账号:

  • 单位部门
  • 群组
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

不妨详细了解管理员权限以及如何创建自定义管理员角色

第 1 步:创建正则表达式

  1. 使用管理员账号登录 Google 管理控制台。

    如果您使用的不是管理员账号,则无法访问管理控制台。

  2. 依次点击“菜单”图标 接着点击 安全性 > 访问权限和数据控件 > 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  3. 点击管理检测器
  4. 依次点击添加检测器接着点击正则表达式
  5. 为正则表达式添加名称和说明,然后输入与一组网址子集匹配的表达式。
    例如,表达式 [?|&]page_id=123 会与包含名为 page_id 且值为 123 的查询参数的网址匹配。如需了解详情,请参阅正则表达式示例
  6. 点击测试表达式以验证相应正则表达式。
  7. 点击创建

第 2 步:添加新规则

  1. 点击管理规则
  2. 点击添加规则接着点击新建规则
  3. 添加规则的名称和说明。
  4. 范围部分,选择一个选项,然后点击继续
    • 选择 <域名> 中的所有用户,以将规则应用于整个组织。
    • 搜索要包含在规则中或从规则中排除的组织部门或群组。如果用户同时属于您包含的组织部门和您排除的群组,则以群组为准。 组织部门可以包含设备、用户或设备和用户的组合。
  5. 应用中,对于 Chrome 选择访问过的网址,然后点击继续
  6. 点击添加条件,选择以下值,然后点击继续。 
    • 要扫描的内容类型 - 网址
    • 要扫描的内容 - 与正则表达式匹配
    • 正则表达式名称 - 在第 1 步中创建的正则表达式的名称
    • 正则表达式被检测到的最少次数 - 1
  7. 操作部分的 Chrome 下,选择审核
  8. 对于提醒,选择您的设置,然后点击继续
    • 请选择严重程度级别(“低”“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
    • 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
  9. 点击继续以查看规则详情。
  10. 选择规则状态,然后点击创建
    • 活跃 - 您的规则会立即生效。
    • 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性接着点击访问权限和数据控件接着点击数据保护接着点击管理规则来启用该规则。点击该规则的“未启用”状态,然后选择活跃。启用后,系统会立即执行该规则,DLP 会扫描敏感内容。

注意:如果您最近访问过要过滤的网址,则系统会将其缓存几分钟,并且在清除该网址的缓存之前,新的(或修改后的)规则可能无法成功过滤该网址。请等待大约 5 分钟,然后再测试新规则或修改后的规则。

相关主题

Chrome 日志事件

该内容对您有帮助吗?

您有什么改进建议?

需要更多帮助?

请尝试以下步骤:

向帮助社区发帖 向社区成员寻求答案
与我们联系 向我们提供更多信息,以便我们帮您解决问题
true
立即开始免费试用 14 天

专业电子邮件地址、在线存储空间、共享日历、视频会议等工具一应俱全。立即开始免费试用 G Suite

搜索
清除搜索内容
关闭搜索框
主菜单
15183368976816116686
true
搜索支持中心
true
true
true
true
true
73010
false
false
false