借助数据泄漏防护规则扫描和保护云端硬盘文件

此功能仅适用于 G Suite 企业版、云端硬盘企业版和 G Suite 教育版。版本对比

作为 G Suite 管理员,您可以禁止用户与单位以外的人共享 Google 云端硬盘或共享云端硬盘中的敏感内容。通过数据泄漏防护 (DLP) 规则,可以扫描文件中的敏感内容。举例来说,如果有用户共享含有银行账户或税号的文件,您可以通过电子邮件告知超级用户。此外,您还可以在用户尝试共享文件时警告他们,或完全禁止单位以外的人访问相应文件。系统只会扫描共享文件。

扫描的云端硬盘文件包括:

  • 表格
  • 文档
  • 幻灯片
系统不会扫描表单。

提示:如要查看敏感内容示例或测试您自己的内容,请参阅数据泄漏防护演示

规则的运作方式

您可以使用预定义的模板,也可以自行创建规则。您可以为您的整个网域、某个单位部门或 Google 网上论坛中的某个群组指定规则。如果要将规则应用于共享云端硬盘文件,您必须将相应规则应用到单位中的所有用户。您可以决定系统在检测到敏感内容时要执行的操作。有关详情,请参阅如何定义规则

创建和修改规则

只有以超级用户的身份登录,才能执行此任务。

使用预定义模板创建规则
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到规则

    您可能需要点击底部的更多控件,才能看到“规则”。

  3. 点击“添加”图标 添加 或顶部的模板以打开模板列表。
  4. 在“数据泄露防护”下方,从预定义的列表中选择一个模板。
  5. (可选)修改规则标题和规则说明。
  6. (可选)在触发器条件操作下方,更改或添加任何设置,然后点击完成。要了解详情,请参阅如何定义规则
  7. 点击创建并激活
使用空白模板创建规则
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到规则

    您可能需要点击底部的更多控件,才能看到“规则”。

  3. 点击“添加”图标 添加 或顶部的模板以打开模板列表。
  4. 在“数据泄露防护”下方,点击空白模板
  5. 在标题字段输入您的规则名称,然后在下方添加规则说明。
  6. 添加触发器条件操作,然后点击完成。要了解详情,请参阅如何定义规则
  7. 点击创建并激活
修改规则
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到规则

    您可能需要点击底部的更多控件,才能看到“规则”。

  3. 点击顶部的管理以查看 DLP 规则列表。
  4. 点击您要修改的规则。
  5. 触发器条件操作下方修改任意设置,然后点击完成。要了解详情,请参阅如何定义规则
  6. 点击保存并激活
如何定义规则

触发器

规则扫描的应用文件 - 目前仅适用于云端硬盘(包括共享云端硬盘)。

条件

自定义将规则应用于用户和内容的方式。

  • 用户 - 您可以将规则应用于某个单位部门和/或 Google 网上论坛中的某个群组。要扫描共享云端硬盘文件,您需要将规则应用于单位中的所有用户(顶级单位)。规则会扫描所选单位或群组中的用户拥有的文件。您也可以将特定群组列为例外。请根据需要将任意数量的群组和单位列为需要和不需要应用规则的对象。如果您不指定任何对象,系统会将规则应用于顶级单位。
  • 内容 - 您可以设置规则触发条件,让系统在检测到符合特定条件(包括预定义内容检测器列表,以及您选择或添加的自定义字词列表或正则表达式)的内容时触发规则。您可以根据需要添加多种类型的内容、字词列表和正则表达式。详细了解预定义内容选择器正则表达式

    注意:如果您在一个过滤条件中添加多种内容类型,那么任何匹配的内容类型都会触发规则。

    如果您选择匹配敏感内容,则需要设置置信度阈值。置信度阈值表示受检测内容满足您所设置条件的可能性。中等阈值表示会有较多文件触发规则指定的操作。如果阈值较高,共享文件触发操作的情形会减少,但可能导致更多文件在不必要的情况下触发操作。

操作

发现问题时,系统根据规则执行的操作。即使您未选择操作,系统也一律会标出符合条件的文件并将其列在报告数据中。

  • 阻止外部访问 - 确保禁止单位以外的任何人访问包含敏感内容的所有文件,即使相应人员已被添加到共享云端硬盘也不例外。
  • 当用户与外部人员共享时发出警告 - 告知用户所共享的文件包含敏感内容。
  • 向超级用户发送电子邮件 - 当用户创建、编辑或上传包含敏感内容的文件时,向超级用户发送电子邮件。只要文件中的敏感内容类型发生变化,系统就会发送电子邮件。系统在两小时内发送的电子邮件数量不会超过 25 封。

提示:如果您发现大量误报情况,请创建两条规则。在第一条规则中,请设置高置信度阈值以添加较严格的操作,例如“阻止外部访问”。然后,为第二条规则设置中等置信度阈值,并添加“当用户与外部人员共享时发出警告”操作。

监控规则或变更

您可以通过数据泄漏防护扫描功能跟踪添加、修改或删除的规则。扫描开始后,您就可以在管理控制台的“任务”部分查看扫描操作的详细信息和任何变更。有关详情,请参阅查看大型任务的状态

  • 如果您添加、修改或删除规则,会触发新的数据泄漏防护扫描操作(和任务)。
  • 如果您在数据泄漏防护扫描过程中修改规则,扫描操作会重新开始。系统会更新与扫描操作相关的任务,并显示修改的内容。
  • 如果其他管理员在数据泄漏防护扫描过程中修改规则,系统会重新开始扫描,并为该管理员创建新的任务。原来的任务将不再跟踪扫描操作。

使用规则审核数据和模板

只有以超级用户的身份登录,才能执行此任务。

查看或导出有关被标出内容的数据
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到规则

    您可能需要点击底部的更多控件,才能看到“规则”。

  3. 点击顶部的审核以查看 DLP 规则审核报告数据。
  4. (可选)要更改显示的条件,请点击“选择列”图标 选择列。系统会保存您所做的任何更改,并在您下次登录时显示这些更改。
  5. 要将表格配置为仅显示特定元素,请在过滤条件部分的以下字段中输入相应名称或选择元素:
    1. 规则名称 - 标出的内容所违反的规则。
    2. 所标出内容的名称 - 规则所标出文件的名称。
    3. 所标出内容的标识符 - 规则所标出文件中的标识符名称。
    4. 内容所有者 - 规则所标出文件的所有者电子邮件地址。
    5. 共享云端硬盘 ID - 规则标出的文件所在的共享云端硬盘编号。
    6. 匹配内容检测工具 - 选择一个自定义或预定义的匹配内容检测工具
    7. 日期和时间范围 - 开始和停止列出事件的日期和时间。
      日志中的每个条目均与单个事件相关联。
  6. 要将报告数据导出至云端硬盘中的 Google 表格文件或者以 CSV 文件格式下载报告数据,请点击“下载”图标 下载。文件最多可包含 20 万个单元格,而行数上限取决于所选列的数量。
查看或过滤 DLP 模板
  1. 登录您的 Google 管理控制台

    请使用您的管理员帐号(帐号的后半部分不是“@gmail.com”)登录。

  2. 在管理控制台首页,转到规则

    您可能需要点击底部的更多控件,才能看到“规则”。

  3. 点击顶部的模板
  4. (可选)要更改显示的条件,请点击“选择列”图标 选择列。系统会保存您所做的任何更改,并在您下次登录时显示这些更改。
  5. (可选)要将表格配置为仅显示特定元素,请在过滤条件部分的以下字段中输入相应名称或选择元素:
    1. 模板名称 - 之前定义的模板的名称。
    2. 模板说明 - 之前定义的模板的说明。
    3. 类别 - 目前,“数据泄露防护”是唯一受支持的类别类型。
    4. 应用 - 规则扫描的应用文件。目前 DLP 规则仅适用于云端硬盘文件。

常见问题解答

哪些预定义的内容检测工具受支持?

云端硬盘的数据泄漏防护功能 (DLP) 支持许多预定义检测工具。随着 DLP 平台的优化,我们会添加更多预定义的检测工具。

检测功能可以保证 100% 没有遗漏吗?

不可以。我们无法保证系统可以检测和标出所有敏感数据。DLP 检测系统会将预定义的模板转译为正则表达式,并使用其他内容参数判断匹配的可能性。许多因素都可能导致系统出现误报和漏报的情况。

用户是否会知道他们为何无法共享文件?

系统会向用户发送一则专门针对 DLP 的消息,告知他们为何无法共享文件。如果用户违反多项规则,消息中会指出符合条件的第一个检测工具。

修改或添加规则后,系统会扫描之前创建的文件吗?

会。无论何时添加或修改规则,系统都会扫描所有文件。扫描文件可能需要几小时、一天或更长时间,具体取决于各种因素(包括网域中的文件数量)。

提示:如果您添加或修改规则,DLP 会扫描以前所上传文件的最新版本。

可能会多次扫描同一文件吗?

可能。为确保系统能扫描到敏感内容,扫描程序有时会扫描文件两次。因此,受规则影响的文件数量在两次扫描结果中可能会有所不同。

该内容对您有帮助吗?
您有什么改进建议?