大中型企业的 IT 管理员应遵循本文中介绍的安全防护最佳做法,以加强公司数据的安全性和私密性。对于本核对清单中的每项最佳做法,您都能在 Google 管理控制台中找到相应的一个或多个设置项。
如果您的企业没有 IT 管理员,不妨看看适用于小微企业(1 至 100 位用户)的安全核对清单是否更适合您的企业。
注意:某些 Google Workspace 版本或 Cloud Identity 版本可能不支持本文所述的部分设置。
安全最佳做法 - 设置
为保护您的企业,Google 会默认启用本核对清单中的许多推荐设置。
超级用户控制着对组织中所有企业数据和员工数据的访问权限,因此保护超级用户的账号尤为重要。
如需查看完整的建议列表,请参阅管理员账号的安全最佳做法。
强制执行多重身份验证
|
|
要求用户执行两步验证 两步验证有助于保护用户账号,避免在发生密码盗用时遭到未经授权的访问。 |
|
|
至少强制要求管理员和其他重要账号使用安全密钥 安全密钥是一种小型硬件设备,可在用户登录时提供双重身份验证,从而防止他们遭受钓鱼式攻击。 |
保护密码
|
|
使用密码防护警示防止重复使用密码 使用密码防护警示,确保用户不会将其公司密码用在其他网站上。 |
|
|
使用独一无二的密码 安全系数高的密码是保护用户和管理员账号安全的第一道防线。使用独一无二的密码可避免他人轻易猜出您的密码。此外,我们建议您不要为不同的账号(如电子邮件账号和网上银行账号)重复使用相同的密码。 |
防止账号遭到盗用以及账号被盗用后的补救措施
|
|
定期查看活动报告和提醒 查看活动报告,了解账号状态、管理员状态和两步验证注册详情。 |
|
|
设置管理员电子邮件提醒 针对有潜在风险的事件(例如可疑的登录尝试、移动设备遭到破解或者其他管理员更改设置)设置电子邮件提醒。 |
|
|
添加用户登录验证 针对可疑的登录尝试设置登录验证。用户必须输入 Google 向其辅助电话号码或辅助邮箱地址发送的验证码,或回答只有账号所有者才能答出来的验证问题。 |
|
|
识别和保护被盗用的账号 如果您怀疑某个账号可能被盗用,请暂停该账号,调查恶意活动并在必要时采取措施。
|
|
|
根据需要关闭 Google 数据下载 如果账号被盗或用户离开公司,请禁止该用户使用 Google 导出下载其所有 Google 数据。 |
 |
防止员工在离职后未经授权地访问数据 为防止数据泄露,请在用户离职时撤消用户对贵组织数据的访问权限。 |
|
|
检查第三方应用对核心服务的访问权限 了解并批准哪些第三方应用可以访问 Gmail 和云端硬盘等 Google Workspace 核心服务。 |
|
禁止访问安全性较低的应用 安全性较低的应用未使用现代安全标准(例如 OAuth),并且会增加账号被盗用或设备被破解的风险。 |
|
|
创建受信任的应用列表 创建一份许可名单,指定哪些第三方应用可以访问 Google Workspace 核心服务。 |
|
控制对 Google 核心服务的访问权限 您可以根据设备的 IP 地址、地理位置来源、安全政策或操作系统来允许或禁止访问 Google 应用,例如 Gmail、云端硬盘和日历。例如,您可以仅允许在特定国家/地区、在公司拥有的设备上使用桌面版云端硬盘。 |
|
为用户的应用数据添加另一层加密 如果贵组织的业务涉及到敏感的知识产权,或是在受到严密监管的行业中开展业务,您可以为 Gmail、Google 云端硬盘、Google Meet 和 Google 日历添加客户端加密功能。 |
|
|
限制日历对外共享 对外共享日历时,仅允许显示有空/忙碌信息。这样可以降低数据泄露风险。 |
|
在用户邀请外部访客时显示警告 默认情况下,Google 日历会在用户邀请外部访客时发出警告。这样可以降低数据泄露的风险。请确保为所有用户启用此警告。 |
|
限制哪些用户可以与外部人员聊天 仅允许有特定需求的用户与组织外部的用户之间发送消息或创建聊天室。这样可以防止外部用户看到之前的内部讨论,从而降低数据泄露风险。 |
|
|
在用户与网域外部用户聊天时显示警告(仅限传统版 Hangouts) 在用户与网域外部用户聊天时显示警告。启用此功能后,当群聊对话中首次有网域外部人员加入讨论时,系统会将对话拆分开来。这样可以防止外部用户看到之前的内部讨论,从而降低数据泄露风险。 Chat 会对外部用户和外部聊天室一律启用“外部”标记。 |
|
|
设置聊天邀请政策 根据贵组织的协作政策确定哪些用户可以自动接受聊天邀请。 |
|
|
及时更新 Chrome 浏览器和 ChromeOS 请允许更新,以确保您的用户获取最新安全补丁。对于 Chrome 浏览器,请始终允许更新。默认情况下,每当有新的 Chrome 版本推出,ChromeOS 设备都会更新到该版本。请确保已为您的所有 ChromeOS 设备用户启用自动更新功能。 为用户或浏览器设置 Chrome 政策 | 管理 ChromeOS 设备上的更新 |
|
强制重新启动以应用更新 设置 Chrome 浏览器和 ChromeOS 设备,以通知用户重新启动浏览器或重启设备来应用更新,并在用户未在设定的时间内采取行动时强制重新启动。 通知用户重启以应用待完成的更新 |
|
|
设置基本的 ChromeOS 设备和 Chrome 浏览器政策 在 Google 管理控制台中设置以下政策:
|
|
|
设置高级 Chrome 浏览器政策 设置以下高级政策,以防止未经授权的访问、危险内容下载和站点之间的数据泄露:
|
|
|
设置 Windows 桌面浏览器政策 如果贵组织希望使用 Chrome 浏览器,但用户仍需要访问要求使用 Internet Explorer 的旧版网站和应用,您可以使用 Chrome 的“旧版浏览器支持”扩展程序让用户在 Chrome 和另外一种浏览器之间自动切换。使用“旧版浏览器支持”扩展程序可为需要使用旧版浏览器的应用提供支持。 |
您可以使用 Google 端点管理功能来保护移动设备、平板电脑、笔记本电脑和计算机上的用户账号及其工作数据。
如需查看完整的建议列表,请参阅设备管理安全核对清单。
限制与网域外部用户共享内容和协作
|
|
为与组织外部人员共享文件设置选项或创建规则 停用共享选项或创建信任规则,将文件共享范围限制在您的网域之内(让您可以更精确地控制共享)。这样可以降低数据泄露和数据渗漏的风险。如果出于业务需要,要与贵组织外部的用户共享文件,您可以为组织部门指定共享方式,或者指定将哪些网域列入许可名单。 |
|
在用户与网域外部人员共享文件时显示警告 如果您允许用户与网域外部用户共享文件,请启用警告,以在他们对外共享文件时显示警告。这样一来,您就可以让用户确认是否确定要执行相应操作,从而降低数据泄露的风险。 |
|
禁止用户在网络上发布文件 停用在网络上发布文件的功能。这样可以降低数据泄露风险。 |
|
|
设置文件共享的常规访问权限选项 将文件共享的默认访问权限选项设为受限。在文件所有者共享文件之前,只有他们自己可以访问相应文件。(可选)为不同部门中的用户创建自定义共享群组(目标对象群组)。 |
|
|
仅允许接收者访问文件 当用户通过文档或云端硬盘以外的 Google 产品共享文件时(例如通过在 Gmail 中粘贴链接共享),访问权限检查工具可以检查共享对象是否拥有访问权限。在访问权限检查工具中将权限设置为仅共享对象。这样一来,您可以掌控他人对您用户共享的链接的访问权限,并降低数据泄露风险。 |
|
防范或限制外部用户发现您组织的群组成员资格的风险 如要禁止使用 Google Workspace 的其他组织的用户发现贵组织的群组成员资格,请勿允许外部组织与您的用户共享文件。或者,如要限制此类风险,请仅允许与许可名单内的网域共享内容。 如您使用 Google 云端硬盘共享设置:对于您希望防范此风险的各组织部门,请执行下列操作之一:
有关详情,请参阅为贵组织管理外部共享。 如您为云端硬盘共享功能使用信任规则:为限制此类风险,请先创建具有以下设置的信任规则:
如需了解详情,请参阅创建信任规则。 接下来,停用名为[默认] 我组织中的用户可以与任何人共享内容以及接收任何人共享的内容,且系统会在向他人共享内容时显示警告的默认规则。如需了解详情,请参阅查看或修改信任规则详细信息。 |
|
|
要求外部协作者使用 Google 登录 要求外部协作者使用 Google 账号登录。如果他们没有 Google 账号,可以免费创建。这样可以降低数据泄露风险。 |
|
|
限制哪些人可以移动共享云端硬盘中的内容 仅允许您组织中的用户将文件从其共享云端硬盘移到其他组织的云端硬盘中。 |
|
|
控制新的共享云端硬盘中的内容共享 限制哪些人可以创建共享云端硬盘、访问内容或更改新的共享云端硬盘的设置。 |
限制云端硬盘数据的本地副本
|
|
停用离线文档访问权限 为了降低数据泄露风险,不妨考虑停用离线文档访问权限。当文档可供离线访问时,系统会在本地存储一份文档副本。如果您因业务原因需要启用离线 Google 文档访问权限,请按组织部门启用此功能,以尽量降低风险。 |
|
|
停用云端硬盘桌面应用的访问权限 用户可以通过 桌面版 Google 云端硬盘 获得云端硬盘桌面应用的访问权限。为了降低数据泄露风险,不妨考虑停用云端硬盘桌面应用的访问权限。如果您决定启用云端硬盘桌面应用的访问权限,请仅为有重要业务需求的用户启用。 |
控制第三方应用对您数据的访问权限
|
|
不允许使用 Google 文档插件 为了降低数据泄露风险,请勿允许用户安装插件商店中的 Google 文档插件。如有特定业务需求,您可以部署符合贵组织政策的特定 Google 文档插件。 |
保护敏感数据
|
阻止共享包含敏感数据的文件或在共享此类文件时显示警告 为降低数据泄露的风险,请设置数据泄露防护规则以扫描文件中的敏感数据,并在用户尝试与外部共享与规则匹配的文件时采取措施。例如,您可以阻止与外部共享包含护照号码的文档,并在尝试共享此类文档时收到电子邮件提醒。 |
设置身份验证和基础架构
|
|
通过 SPF、DKIM 和 DMARC 对电子邮件进行身份验证 SPF、DKIM 和 DMARC 建立的电子邮件验证系统会使用 DNS 设置进行身份验证和数字签名,从而防止其他电子邮件仿冒您的域名。 攻击者有时会伪造电子邮件的“发件人”地址,让邮件看似由您网域中的某个用户发出。为了防止出现这种情况,您可以为所有出站电子邮件设置 SPF 和 DKIM。 在 SPF 和 DKIM 配置完毕后,您可以设置 DMARC 记录,以指定 Google 和其他收件人要如何处理看似来自您的网域,但未经身份验证的电子邮件。 |
|
|
设置与 SPF 搭配使用的入站电子邮件网关 SPF 有助于防止您的外发邮件被发送到“垃圾邮件”文件夹,但网关会影响 SPF 的工作方式。如果您使用电子邮件网关来转送收到的邮件,请务必根据发件人政策框架 (SPF) 正确配置邮件网关。 |
|
|
强制要求合作伙伴网域使用 TLS 您可以调整 TLS 设置,要求与合作伙伴网域收发邮件时使用安全连接。 |
|
|
要求对所有已批准的发件人进行发件人身份验证 如您创建了可绕过垃圾邮件分类的已批准发件人地址列表,则需要进行发件人身份验证。如果停用发件人身份验证功能,Gmail 将无法验证此邮件是否由显示的发件人所发出。要求进行身份验证可降低遭仿冒和钓鱼式攻击/鲸钓攻击的风险。详细了解发件人身份验证。 |
|
|
配置 MX 记录以确保邮件正确递送 建议您将 MX 记录配置为指向 Google 邮件服务器的最高优先级记录,从而确保邮件能正确发送至您的 Google Workspace 网域中的用户。这样可以降低数据遭到删除(因丢失邮件导致)和恶意软件威胁的风险。 |
保护用户和组织
|
|
停用 IMAP/POP 访问权限 借助 IMAP 和 POP 桌面客户端,用户可通过第三方电子邮件客户端访问 Gmail。您可以为没有明确需要 POP 和 IMAP 访问权限的用户停用这项访问权限。这样可以降低数据泄露、数据遭删除和数据渗漏的风险,还可以降低由于 IMAP 客户端可能没有与第一方客户端类似的保护机制而遭到攻击的威胁。 |
|
|
停用自动转发 禁止用户将收到的邮件转发到其他地址。攻击者通常会在电子邮件转发过程中窃取数据,而停用自动转发选项可降低电子邮件转发过程中数据渗漏的风险。 |
|
|
启用综合邮件存储空间 综合邮件存储空间可确保您网域中所有已发送和已接收邮件的副本(包括通过非 Gmail 邮箱收发的邮件)均存储在相关用户的 Gmail 邮箱中。启用此设置可降低数据遭删除的风险,如果您使用 Google 保险柜,还能确保邮件得到保留或保全 |
|
|
不要让内部发件人绕过垃圾邮件过滤器 由于系统会将所有添加到群组的外部地址视为内部地址,因此请停用让内部发件人绕过垃圾邮件过滤器设置。停用此设置可确保系统会对所有用户电子邮件(包括内部发件人发送的邮件)进行过滤,以检测垃圾邮件。这样可以降低遭受仿冒和钓鱼式攻击/鲸钓攻击的风险。 |
|
|
为所有默认转送规则添加垃圾邮件标头设置 垃圾邮件标头有助于最大限度地增强下游电子邮件服务器的过滤能力,并降低遭受仿冒和钓鱼式攻击/鲸钓攻击的风险。设置默认路由规则时,请选中添加 X-Gm-Spam 和 X-Gm-Phishy 标头复选框,以便 Gmail 添加这些标头来指示邮件的垃圾邮件和钓鱼式攻击邮件状态。 例如,借助此信息,下游服务器的管理员可以设置与对待安全邮件不同的规则,从而处理垃圾邮件和钓鱼式攻击邮件。 |
|
|
启用增强型递送前邮件扫描功能 当 Gmail 发现某封电子邮件可能是钓鱼式攻击邮件时,此设置会允许 Gmail 对该邮件进行额外的检查。 |
|
|
启用外部收件人警告 Gmail 会对电子邮件回复中的外部收件人进行检测,了解对方是否经常与用户沟通,或者是否为用户通讯录中的人。配置此设置后,如果 Gmail 检测到外部收件人,就会向用户发送警告,用户也可以选择关闭警告。 |
|
|
启用额外的附件防护设置 即使您不启用额外的恶意附件防护设置,Google 也会对收到的邮件进行扫描以防范恶意软件。启用额外的附件防护设置可找出之前未被识别为恶意邮件的电子邮件。 |
|
|
启用额外的链接和外部内容防护设置 |
|
|
启用额外的仿冒邮件防护设置 即使您不启用额外的仿冒邮件防护设置,Google 也会对收到的邮件进行扫描以防止仿冒邮件。启用额外的仿冒邮件防护和身份验证保护设置有很多好处,例如可以降低攻击者通过相似的域名或员工姓名实施仿冒的风险。 |
Gmail 日常操作的安全注意事项
|
|
覆盖垃圾邮件过滤器时应谨慎操作 为避免垃圾邮件增加,覆盖 Gmail 的默认垃圾邮件过滤器时请谨慎操作。 |
|
|
请勿在已批准的发件人列表中添加网域 如果您已批准特定发件人,并选中了如果邮件发自这些经批准的发件人列表中的地址或网域,则绕过垃圾邮件过滤器复选框,请从已批准的发件人列表中移除所有网域。从已批准的发件人列表中移除网域可降低遭到仿冒和钓鱼式攻击/鲸钓攻击的风险。 |
|
|
请勿将 IP 地址添加到许可名单 一般来说,由许可名单中的 IP 地址发来的邮件不会被标记为垃圾邮件。为了充分利用 Gmail 垃圾邮件过滤服务,并获得最佳的垃圾邮件分类效果,请将您用来将电子邮件转发到 Gmail 的邮件服务器和合作伙伴邮件服务器的 IP 地址添加到入站邮件网关,而不是 IP 许可名单。 |
保护敏感数据
|
扫描和阻止包含敏感数据的电子邮件 为降低数据泄露风险,请使用预定义的数据泄露防护检测器扫描外发电子邮件,以便在用户接收或发送包含敏感内容的邮件时采取措施。例如,您可以阻止用户发送包含信用卡号的邮件,并在出现此类情况时收到电子邮件警报。 |
|
使用从设计上保证安全性的群组 使用安全群组管理用户,从而确保只有选定的用户才能访问敏感的应用和资源。这样可以降低数据泄露风险。 |
|
为管理员角色添加安全条件 仅允许特定管理员控制安全群组。指定只能控制非安全群组的其他管理员。这样可以降低数据泄露和数据遭恶意内部人员威胁的风险。 |
|
|
为群组设置私密访问权限 选择“私密”设置,仅允许您网域内的成员访问群组。(群组成员仍然可以收到来自网域外的电子邮件)。这样可以降低数据泄露风险。 |
|
|
仅允许管理员创建群组 仅允许管理员创建群组。这样可以降低数据泄露风险。 |
|
|
自定义群组访问权限设置 建议:
|
|
|
为内部群组停用部分访问权限设置 以下设置可让互联网上的任何人加入群组、发布帖子以及查看讨论归档。请为内部群组停用这些设置:
|
|
|
为您的群组启用垃圾帖子审核功能 您可以在通知或不通知管理员的情况下将帖子发送到审核队列、立即拒绝垃圾帖子或允许在未经审核的情况下发布帖子。 |
|
|
禁止与网域外的用户共享网站 |
|
|
将拥有保险柜特权的账号视为敏感账号 像保护超级用户账号一样保护分配给保险柜管理员角色的账号。 |
|
|
定期审核保险柜活动 拥有保险柜特权的用户可以搜索和导出其他用户的数据,还可以更改保留规则,这可能会完全清除您需要保留的数据。监控保险柜活动,确保仅应用获得批准的数据访问权限和保留政策。 |
后续步骤 - 监控、调查和修复
|
|
查看安全设置并对活动开展调查 定期访问安全中心,以查看安全状况、调查突发事件,并根据相关信息采取行动。 |
|
|
查看管理控制台审核日志 通过管理控制台审核日志查看在 Google 管理控制台中执行的各项操作的历史记录、执行操作的管理员、日期以及管理员登录时使用的 IP 地址。 |
