通過檢測外發(fā)文件保障數(shù)據(jù)安全
為了避免企業(yè)員工在日常辦公中,通過多種渠道(例如即時通訊、郵件通道等)外發(fā)敏感文件導(dǎo)致業(yè)務(wù)遭受重大損失,建議您通過SASE的辦公數(shù)據(jù)保護(hù)功能(DLP)及時對外發(fā)的文件進(jìn)行檢測和管控,使您能夠?qū)崟r掌握敏感數(shù)據(jù)外發(fā)動態(tài),監(jiān)控數(shù)據(jù)泄露風(fēng)險。本文介紹如何配置文件外發(fā)檢測策略、以及外發(fā)數(shù)據(jù)的統(tǒng)計結(jié)果。
前提條件
已購買SASE互聯(lián)網(wǎng)訪問安全的辦公數(shù)據(jù)保護(hù)版。更多信息,請參見辦公安全平臺計費概述、新手指引。
已添加企業(yè)員工及部門信息。更多信息,請參見對接LDAP身份源、設(shè)置用戶組。
配置文件外發(fā)檢測策略
SASE敏感文件檢測功能通過敏感數(shù)據(jù)元素作為敏感文件的特征進(jìn)行自動化識別,通過數(shù)據(jù)元素、數(shù)據(jù)類型、敏感定級組成數(shù)據(jù)模板,再結(jié)合處置動作等條件形成檢測策略幫您識別企業(yè)員工外發(fā)的文件是否為敏感文件。
SASE內(nèi)置了多種數(shù)據(jù)模板(包含常見的公司數(shù)據(jù)、客戶數(shù)據(jù)、個人數(shù)據(jù)),如果這些數(shù)據(jù)模板無法覆蓋您的業(yè)務(wù),可以重新創(chuàng)建敏感數(shù)據(jù)元素搭建數(shù)據(jù)模板。
(可選)第一步:創(chuàng)建敏感數(shù)據(jù)元素
登錄辦公安全平臺控制臺。
在左側(cè)導(dǎo)航欄,選擇
。選擇
頁簽,單擊添加數(shù)據(jù)元素。在新增數(shù)據(jù)元素面板,配置如下信息。然后單擊確定。
配置項
說明
元素名稱
支持長度為2~32個字符,包含漢字、字母、數(shù)字、短劃線(-)和下劃線(_)。
元素類型
文件名或者文件內(nèi)容
選擇文件名或者文件內(nèi)容時,需要設(shè)置元素組成,取值:
選擇關(guān)鍵詞時,需要自定義關(guān)鍵詞。自定義關(guān)鍵詞可以是滿足自定義的所有條件,也可以滿足任意一個條件即可。
配置多個條件,最多可添加100個條件。
選擇正則表達(dá)式時,需要輸入有效的正則表達(dá)式。
例如,正則表達(dá)式([A-Za-z0-9]+)表示識別所有包含數(shù)字和字母的字符串。
除了設(shè)置元素組成,還需要設(shè)置生效文件類型,取值:
全部類型
SASE為您內(nèi)置的所有文件都是生效文件。
指定類型
SASE為您內(nèi)置了多種文件類型(例如辦公類PDF文件、圖像類BPG圖像文件、郵件類EML文件等),您可以指定其中一種或者多種作為生效文件。
數(shù)據(jù)后綴
SASE為您內(nèi)置了多種類型的文件后綴(例如.tsv、.wpd、.xps等),您可以指定其中一種或者多種作為生效文件。
如果內(nèi)置的文件類型無法滿足當(dāng)前業(yè)務(wù)需要,您可以單擊添加自定義后綴添加新的文件類型。
文件屬性
選擇文件屬性時,需要設(shè)置元素組成,取值:
文件類型
可選的文件類型包含全部類型、指定類型、數(shù)據(jù)后綴。具體范圍同上述文件名和文件內(nèi)容。
文件加密
選擇文件加密時,需要設(shè)置是否保留加密文件。
文件加密作為文檔應(yīng)用的自帶功能,可被利用于規(guī)避企業(yè)的敏感數(shù)據(jù)檢測,SASE可以留存加密的文件供企業(yè)審計。
除了設(shè)置元素組成,還需要設(shè)置文件大小。可選范圍:0 KB~30 MB。
(可選)第二步:根據(jù)敏感數(shù)據(jù)元素搭建數(shù)據(jù)模板
在
頁簽,單擊添加模板。在添加模板面板,配置如下信息。然后單擊確定。
配置項
說明
模板名稱
策略的名稱。支持長度為2~32個字符,包含漢字、字母、數(shù)字、短劃線(-)和下劃線(_)。
敏感等級
配置文件的等級。取值:
客戶在企業(yè)業(yè)務(wù)內(nèi)的敏感個人信息;基于單一部門或跨部門聚合加工后所產(chǎn)生的宏觀特征數(shù)據(jù)、預(yù)測數(shù)據(jù)、信用數(shù)據(jù)等;在公司內(nèi)部被嚴(yán)禁非業(yè)務(wù)相關(guān)人員討論和傳播,非授權(quán)的泄露將直接對企業(yè)業(yè)務(wù)造成嚴(yán)重不利影響,甚至是對業(yè)務(wù)造成系統(tǒng)性風(fēng)險,牽扯到重大法律責(zé)任的信息;其他特定人員涉及公司重大管理決策、投融資過程等溝通記錄信息。
企業(yè)經(jīng)營過程中所產(chǎn)生的客戶信息、部門級別經(jīng)過聚合加工后所產(chǎn)生的業(yè)務(wù)數(shù)據(jù)。如果因非授權(quán)的泄露,將直接或間接對企業(yè)、客戶或者員工造成不利影響或風(fēng)險,給客戶或公司造成經(jīng)濟(jì)損失、商業(yè)損失、聲譽損失,并可能發(fā)生潛在的法律責(zé)任的信息。
僅限員工或者簽署了保密協(xié)議的三方人員可查閱使用的企業(yè)數(shù)據(jù)和客戶信息,或所有者同意對指定人群公開的信息。如果因非授權(quán)的泄露,可能會對企業(yè)客戶或企業(yè)部分業(yè)務(wù)、員工造成較小或者不顯著的負(fù)面影響。
可以被公共訪問或被企業(yè)客戶設(shè)置為公開發(fā)布的數(shù)據(jù),且公開傳播不會產(chǎn)生安全或法律問題。
數(shù)據(jù)類型
配置檢測的數(shù)據(jù)類型。取值:
公司數(shù)據(jù)
業(yè)務(wù)數(shù)據(jù)
個人數(shù)據(jù)
數(shù)據(jù)元素
配置敏感數(shù)據(jù)元素檢測規(guī)則。
例如,配置的規(guī)則為“手機號碼大于5”,表示檢測文件中,如果電話號碼出現(xiàn)5次以上,則會觸發(fā)敏感文件檢測。
建議您配置多條規(guī)則,以便檢測策略能夠按照您的業(yè)務(wù)需求,準(zhǔn)確、全面地匹配文件內(nèi)容。您可以設(shè)置多條規(guī)則之間的條件關(guān)系為“AND”、“OR”。
第三步:創(chuàng)建檢測策略關(guān)聯(lián)合適的數(shù)據(jù)模板
在檢測策略頁簽,單擊創(chuàng)建策略。
在創(chuàng)建策略面板,配置如下信息。然后單擊確定。
配置項
說明
策略信息
策略名稱
策略的名稱。
策略描述
策略的補充說明。
風(fēng)險等級
支持設(shè)置如下四種策略風(fēng)險等級:
極高:待離職用戶組外發(fā)事件、極高危用戶組外發(fā)事件、L4文件外發(fā)事件等。
高:高危用戶組外發(fā)事件、L3文件外發(fā)事件等。
中:中危用戶組外發(fā)事件、L2文件外發(fā)事件等。
低:全量外發(fā)兜底事件。
動作
支持設(shè)置如下三種策略動作:
只審計
攔截并提示
攔截不提示
如果您設(shè)置攔截并提示或者攔截不提示的動作,您還需要選擇阻斷類型,即全量阻斷還是智能阻斷。
全量阻斷:SASE App會針對所有外發(fā)文件行為進(jìn)行實時攔截,并審計。
智能阻斷:SASE App會根據(jù)數(shù)據(jù)模板定義的敏感文件特征進(jìn)行實時攔截,為保障攔截的實效性,SASE App會提前對終端文件進(jìn)行掃描及敏感等級打標(biāo),在掃描任務(wù)完成前會默認(rèn)執(zhí)行全量阻斷(阻斷策略不生效),掃描及打標(biāo)均在終端進(jìn)行,不做上報處理。
源文件保留
設(shè)置是否保留源文件信息。
狀態(tài)
配置策略的狀態(tài)。取值:
開啟:表示策略生效,SASE會根據(jù)策略檢測文件。
關(guān)閉:表示策略不生效。
數(shù)據(jù)模板配置
數(shù)據(jù)模板
選擇您已配置的數(shù)據(jù)模板。
傳輸通道
選擇數(shù)據(jù)的傳輸通道。當(dāng)您選擇某種傳輸通道時,當(dāng)員工通過該通道傳輸文件時,會觸發(fā)敏感文件檢測行為。支持的傳輸通道如下,您可以全選或者選擇部分通道。
即時通訊
郵件通道
HTTP通道
FTP通道
共享通道
打印通道
刻錄通道
移動存儲
其他通道
生效范圍
用戶組
選擇策略生效的用戶組。
審批流配置
當(dāng)存在文件外發(fā)風(fēng)險時,可以配置是否支持企業(yè)員工進(jìn)行報備。
如果選擇支持員工報備審批,您需要選擇合適的審批流程。關(guān)于如何創(chuàng)建審批流程,請參見配置審批流程。
彈窗提示配置
設(shè)置攔截文件外發(fā)的提示信息。支持設(shè)置中文和英文兩種提示信息。
查看敏感文件檢測統(tǒng)計結(jié)果
策略配置完成后,辦公數(shù)據(jù)保護(hù)功能會自動檢測企業(yè)員工傳輸?shù)奈募⒏鶕?jù)檢測結(jié)果為您分析最近30天、7天、24小時觸發(fā)的敏感文件外發(fā)行為和異常事件行為。
敏感文件檢測可幫您檢測企業(yè)員工外發(fā)小于等于30 MB的敏感文件,并對觸發(fā)Top 5的敏感文件類型及其占比進(jìn)行統(tǒng)計。
異常事件可幫您記錄企業(yè)員工外發(fā)文件大于30 MB、通過外接設(shè)備拷貝的文件、同一用戶外發(fā)文件綜合超過1 GB的行為,但是文件不會被檢測,需要重點關(guān)注異常事件,手動檢測文件是否涉及敏感信息。異常事件類型的具體說明如下:
異常事件類型
說明
外發(fā)大文件
外發(fā)大文件分為在線和離線,主要是網(wǎng)絡(luò)連接正常和斷開時,企業(yè)員工發(fā)送大于30 MB及以上文件的行為。
如果存在離線外發(fā)大文件,您應(yīng)該重點關(guān)注該員工的行為,避免業(yè)務(wù)遭受重大損失。
外設(shè)拷貝文件
外設(shè)拷貝文件分為在線和離線,主要是網(wǎng)絡(luò)連接正常和斷開時,企業(yè)員工通過外設(shè)拷貝30 MB以下文件的行為。
如果存在離線外設(shè)拷貝文件,您應(yīng)該重點關(guān)注該員工的行為,避免業(yè)務(wù)遭受重大損失。
外發(fā)超出閾值
同一個用戶在網(wǎng)絡(luò)斷開情況下外發(fā)多次文件,文件總和超過1 GB。
如果存在外發(fā)超出閾值的情況,您應(yīng)該重點關(guān)注該員工的行為,避免業(yè)務(wù)遭受重大損失。
在左側(cè)導(dǎo)航欄,選擇
。在敏感行為發(fā)現(xiàn)區(qū)域,查看指定時間段統(tǒng)計到企業(yè)員工的敏感行為。
查看敏感文件外發(fā)記錄
SASE可對企業(yè)員工外發(fā)小于等于30 MB的文件檢測是否涉及敏感信息,并為您記錄外發(fā)的敏感文件信息。您可以根據(jù)敏感文件外發(fā)記錄,再次確認(rèn)外發(fā)的敏感文件內(nèi)容。
在敏感行為檢測頁面,查看企業(yè)員工外發(fā)敏感文件列表。
單擊操作列詳情,在敏感文件外發(fā)記錄頁簽,查看指定員工外發(fā)敏感文件的數(shù)據(jù)統(tǒng)計以及文件列表。
功能名稱
說明
時間周期(圖示①)
支持自定義查詢時間。
數(shù)據(jù)統(tǒng)計(圖示②)
展示指定時間段內(nèi)統(tǒng)計的外發(fā)敏感文件的數(shù)量、通道、大小等信息。
敏感文件列表(圖示③)
展示外發(fā)敏感文件列表,以及外發(fā)的敏感文件等級、數(shù)據(jù)類型、命中數(shù)據(jù)模板、命中次數(shù)等信息。您也可以通過條件篩選框選擇您需要的數(shù)據(jù)。
單擊下載,將敏感文件下載到本地查看。
單擊詳情,在詳情面板查看當(dāng)前敏感文件包含的關(guān)鍵信息、敏感文件(包含文件預(yù)覽等)、取證截圖、命中的策略以及外發(fā)該文件的終端信息、外發(fā)途徑等。
查看異常事件記錄
SASE可以幫您記錄企業(yè)員工外發(fā)文件大于30 MB、通過外接設(shè)備拷貝的文件、同一用戶外發(fā)文件綜合超過1 GB的行為,需要您重點關(guān)注存在異常事件的企業(yè)員工,避免業(yè)務(wù)遭受重大損失。對于外發(fā)文件大于30 MB時,需要您自行檢測該文件內(nèi)容是否涉及敏感信息。
在敏感行為檢測頁面,查看企業(yè)員工觸發(fā)的異常事件。
單擊異常事件列的值,在異常事件記錄頁簽,查看指定用戶的異常事件記錄。
您也可以單擊操作列詳情,在異常事件記錄頁簽,查看相關(guān)記錄。
配置檢測結(jié)果保存時長
SASE默認(rèn)將您的檢測結(jié)果保存7天,如果您開通了日志存儲服務(wù),可以將您的檢測結(jié)果保存30天。具體信息,請參見辦公安全平臺計費概述。
配置敏感文件存儲空間
SASE默認(rèn)為您開啟空間為1 GB的免費存儲功能。
如果您需要更多的存儲空間,單擊右上角擴容,購買文件存儲容量。具體價格,請參見辦公安全平臺計費概述。
如果您不需要對敏感文件存儲,在右上角關(guān)閉存儲開關(guān)即可。關(guān)閉后已存儲的敏感文件不會被刪除,但是不再存儲新的敏感文件。
如果您需要清空已存儲的敏感文件,單擊右上角清空,對檢測結(jié)果按時間段清空或者清空全部日志。
相關(guān)文檔
查看并追溯外發(fā)敏感文件的日志詳情,請參見敏感文件檢測日志。
通過管控企業(yè)員工外接設(shè)備來保障數(shù)據(jù)安全,請參見通過管理外接設(shè)備保障數(shù)據(jù)安全。
通過管控企業(yè)員工屏幕水印和打印水印來保障數(shù)據(jù)安全,請參見通過管理水印保障數(shù)據(jù)安全。