為了避免企業員工在日常辦公中,通過外接設備(例如U盤、藍牙等)外發敏感文件導致業務遭受重大損失,建議您通過SASE的辦公數據保護功能(DLP)及時對外接設備進行管控,使您能夠實時掌握敏感數據外發動態,監控數據泄露風險。本文介紹如何配置管控策略、查看敏感行為的檢測結果,以及如何設置外接設備白名單用戶。
支持管控的外接設備
操作系統 | 支持的外接設備和設備接口 | 說明 |
Windows |
| 只有U盤及USB存儲支持設置的訪問權限包含:禁止使用、讀寫使用和只讀使用。其他的選項只有禁止使用的選項,勾選后表示企業員工無法使用相應的設備或者接口傳輸數據。 如果您配置的U盤及USB存儲為讀寫使用,當企業員工通過U盤或者USB傳輸內部文件時,會觸發敏感行為檢測。 |
macOS |
|
前提條件
已購買SASE互聯網訪問安全的辦公數據保護版。更多信息,請參見辦公安全平臺計費概述、購買辦公安全平臺。
配置外接設備的管控策略
登錄辦公安全平臺控制臺。
在左側導航欄,選擇。
選擇外設管理頁簽,單擊添加策略。
在新增策略面板,參考下表信息,配置相關數據。
配置項
說明
策略名稱
策略的名稱。
支持長度為2~32個字符,包含漢字、字母、數字、短劃線(-)和下劃線(_)。
策略描述
策略的說明信息。
狀態
策略狀態:開啟或者關閉。
策略只有在開啟狀態才能生效。
優先級
策略的優先級。
策略優先級取值范圍:1~10,數值越小,表示優先級越高。
生效用戶
策略管控的用戶或者用戶組。
Windows
支持配置的外接設備:U盤及USB存儲、打印機、便攜設備、讀卡器、光驅。
支持配置的設備接口:藍牙。
只有U盤及USB存儲支持設置的訪問權限包含:禁止使用、讀寫使用和只讀使用。其他的選項只有禁止使用的選項,勾選后表示企業員工無法使用相應的設備或者接口傳輸數據。
macOS
支持配置的外接設備:U盤及USB存儲。
支持配置的設備接口:藍牙、AirDrop。
只有U盤及USB存儲支持設置的訪問權限包含:禁止使用、讀寫使用和只讀使用。其他的選項只有禁止使用的選項,勾選后表示企業員工無法使用相應的設備或者接口傳輸數據。
審批流配置
當外接設備存在安全風險時,可以配置是否支持企業員工進行報備。
如果選擇支持員工報備審批,您需要選擇合適的審批流程。關于如何創建審批流程,請參見配置審批流程。
彈窗提示配置
設置攔截外接設備訪問的提示信息。支持設置中文和英文兩種提示信息。
單擊確定。
創建完成后,您創建的策略信息在策略列表中顯示。辦公數據保護功能會根據您的配置,管控外接設備。
查看敏感行為檢測結果
如果您配置的U盤及USB存儲為讀寫使用,企業員工通過U盤或者USB傳輸內部文件時,會觸發敏感行為檢測,并根據檢測結果為您分析最近30天、7天、24小時的數據。
在左側導航欄,選擇。
在敏感行為檢測頁面,查看指定時間段統計到企業員工通過U盤及USB存儲外發的敏感文件數據。
在敏感文件外發涉及的企業員工列表,單擊詳情,可查看企業員工外發敏感文件的具體信息。
單擊指定目標文件右側操作列詳情,可查看該文件的敏感報文、命中策略、辦公終端以及外發途徑等信息。
配置外接設備白名單
如果您需要SASE不對企業中個別員工使用辦公設備的外發行為進行審計與管控,可以通過配置辦公數據保護的外接設備白名單,對個別員工實行寬松的放行策略。
在外設管理頁面,單擊外設白名單。
在白名單頁簽,添加需要設置白名單的員工。
單擊提交。
調整策略優先級
如果您需要調整外接設備的管控策略優先級,單擊
圖標修改數字即可。優先級范圍:1~10,數字越小優先級越高。
關閉策略
如果當前業務暫時不需要該策略,您可以將策略開關關閉。關閉后策略內容仍保留,后續業務需要時直接開啟策略開關即可。
刪除策略
當后續業務不再需要該策略,您可以單擊刪除,刪除策略內容。
策略刪除后不可以恢復,請謹慎操作。
相關文檔
查看并追溯外發敏感文件的日志詳情,請參見敏感文件檢測日志。
通過檢測企業員工外發文件來保障數據安全,請參見通過檢測外發文件保障數據安全。
通過管控企業員工屏幕水印和打印水印來保障數據安全,請參見通過管理水印保障數據安全。