办公数据保护DLP解决方案检测外发文件保障数据安全_办公安全平台(SASE)-阿里云帮助中心

为了避免企业员工在日常办公中，通过多种渠道（例如即时通讯、邮件通道等）外发敏感文件导致业务遭受重大损失，建议您通过SASE的办公数据保护功能（DLP）及时对外发的文件进行检测和管控，使您能够实时掌握敏感数据外发动态，监控数据泄露风险。本文介绍如何配置文件外发检测策略、以及外发数据的统计结果。

前提条件

已购买SASE互联网访问安全的办公数据保护版。更多信息，请参见计费概述、购买办公安全平台。
已添加企业员工及部门信息。更多信息，请参见对接LDAP身份源、设置用户组。

配置文件外发检测策略

SASE敏感文件检测功能通过敏感数据元素作为敏感文件的特征进行自动化识别，通过数据元素、数据类型、敏感定级组成数据模板，再结合处置动作等条件形成检测策略帮您识别企业员工外发的文件是否为敏感文件。

SASE内置了多种数据模板（包含常见的公司数据、客户数据、个人数据），如果这些数据模板无法覆盖您的业务，可以重新创建敏感数据元素搭建数据模板。

（可选）第一步：创建敏感数据元素

登录办公安全平台控制台。
在左侧导航栏，选择办公数据保护 > 检测策略。
在敏感数据定义 > 数据元素页签，单击添加数据元素。

在新增数据元素面板，配置如下信息。然后单击确定。

配置项	说明
元素名称	支持长度为2~32个字符，包含汉字、字母、数字、短划线（-）和下划线（_）。
元素类型	文件名或者文件内容选择文件名或者文件内容时，需要设置元素组成，取值：选择关键词时，需要自定义关键词。自定义关键词可以是满足自定义的所有条件，也可以满足任意一个条件即可。配置多个条件，最多可添加100个条件。选择正则表达式时，需要输入有效的正则表达式。例如，正则表达式([A-Za-z0-9]+)表示识别所有包含数字和字母的字符串。除了设置元素组成，还需要设置生效文件类型，取值：全部类型 SASE为您内置的所有文件都是生效文件。指定类型 SASE为您内置了多种文件类型（例如办公类PDF文件、图像类BPG图像文件、邮件类EML文件等），您可以指定其中一种或者多种作为生效文件。数据后缀 SASE为您内置了多种类型的文件后缀（例如.tsv、.wpd、.xps等），您可以指定其中一种或者多种作为生效文件。如果内置的文件类型无法满足当前业务需要，您可以单击添加自定义后缀添加新的文件类型。文件属性选择文件属性时，需要设置元素组成，取值：文件类型可选的文件类型包含全部类型、指定类型、数据后缀。具体范围同上述文件名和文件内容。文件加密选择文件加密时，需要设置是否保留加密文件。文件加密作为文档应用的自带功能，可被利用于规避企业的敏感数据检测，SASE可以留存加密的文件供企业审计。除了设置元素组成，还需要设置文件大小。可选范围：0 KB~30 MB。

（可选）第二步：根据敏感数据元素搭建数据模板

在敏感数据定义 > 数据模板页签，单击添加模板。

在添加模板面板，配置如下信息。然后单击确定。

配置项	说明
模板名称	策略的名称。支持长度为2~32个字符，包含汉字、字母、数字、短划线（-）和下划线（_）。
敏感等级	配置文件的等级。取值： L4：机密数据客户在企业业务内的敏感个人信息；基于单一部门或跨部门聚合加工后所产生的宏观特征数据、预测数据、信用数据等；在公司内部被严禁非业务相关人员讨论和传播，非授权的泄露将直接对企业业务造成严重不利影响，甚至是对业务造成系统性风险，牵扯到重大法律责任的信息；其他特定人员涉及公司重大管理决策、投融资过程等沟通记录信息。 L3：保密/隐私数据企业经营过程中所产生的客户信息、部门级别经过聚合加工后所产生的业务数据。如果因非授权的泄露，将直接或间接对企业、客户或者员工造成不利影响或风险，给客户或公司造成经济损失、商业损失、声誉损失，并可能发生潜在的法律责任的信息。 L2：内部数据仅限员工或者签署了保密协议的三方人员可查阅使用的企业数据和客户信息，或所有者同意对指定人群公开的信息。如果因非授权的泄露，可能会对企业客户或企业部分业务、员工造成较小或者不显著的负面影响。 L1：可公开数据可以被公共访问或被企业客户设置为公开发布的数据，且公开传播不会产生安全或法律问题。
数据类型	配置检测的数据类型。取值：公司数据业务数据个人数据
数据元素	配置敏感数据元素检测规则。例如，配置的规则为“手机号码大于5”，表示检测文件中，如果电话号码出现5次以上，则会触发敏感文件检测。建议您配置多条规则，以便检测策略能够按照您的业务需求，准确、全面地匹配文件内容。您可以设置多条规则之间的条件关系为“AND”、“OR”。

第三步：创建检测策略关联合适的数据模板

在检测策略页签，单击创建策略。

在创建策略面板，配置如下信息。然后单击确定。

配置项		说明
策略信息	策略名称	策略的名称。
	策略描述	策略的补充说明。
	动作	默认为只审计，暂时不支持修改。
	源文件保留	设置是否保留源文件信息。
	状态	配置策略的状态。取值：开启：表示策略生效，SASE会根据策略检测文件。关闭：表示策略不生效。
数据模板配置	数据模板	选择您已配置的数据模板。
数据模板配置	传输通道	选择数据的传输通道。当您选择某种传输通道时，当员工通过该通道传输文件时，会触发敏感文件检测行为。支持的传输通道如下，您可以全选或者选择部分通道。即时通讯邮件通道 HTTP通道 FTP通道共享通道打印通道刻录通道移动存储其他通道
生效范围	用户组	选择策略生效的用户组。

查看敏感文件检测统计结果

策略配置完成后，办公数据保护功能会自动检测企业员工传输的文件，并根据检测结果为您分析最近30天、7天、24小时触发的敏感文件外发行为和异常事件行为。

敏感文件检测可帮您检测企业员工外发小于等于30 MB的敏感文件，并对触发Top 5的敏感文件类型及其占比进行统计。

异常事件可帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为，但是文件不会被检测，需要重点关注异常事件，手动检测文件是否涉及敏感信息。异常事件类型的具体说明如下：

异常事件类型	说明
外发大文件	外发大文件分为在线和离线，主要是网络连接正常和断开时，企业员工发送大于30 MB及以上文件的行为。如果存在离线外发大文件，您应该重点关注该员工的行为，避免业务遭受重大损失。
外设拷贝文件	外设拷贝文件分为在线和离线，主要是网络连接正常和断开时，企业员工通过外设拷贝30 MB以下文件的行为。如果存在离线外设拷贝文件，您应该重点关注该员工的行为，避免业务遭受重大损失。
外发超出阈值	同一个用户在网络断开情况下外发多次文件，文件总和超过1 GB。如果存在外发超出阈值的情况，您应该重点关注该员工的行为，避免业务遭受重大损失。

在左侧导航栏，选择办公数据保护 > 敏感行为检测。
在敏感行为发现区域，查看指定时间段统计到企业员工的敏感行为。

查看敏感文件外发记录

SASE可对企业员工外发小于等于30 MB的文件检测是否涉及敏感信息，并为您记录外发的敏感文件信息。您可以根据敏感文件外发记录，再次确认外发的敏感文件内容。

在敏感行为检测页面，查看企业员工外发敏感文件列表。

单击操作列详情，在敏感文件外发记录页签，查看指定员工外发敏感文件的数据统计以及文件列表。

功能名称	说明
时间周期（图示①）	支持自定义查询时间。
数据统计（图示②）	展示指定时间段内统计的外发敏感文件的数量、通道、大小等信息。
敏感文件列表（图示③）	展示外发敏感文件列表，以及外发的敏感文件等级、数据类型、命中数据模板、命中次数等信息。您也可以通过条件筛选框选择您需要的数据。单击下载，将敏感文件下载到本地查看。单击详情，在详情面板查看当前敏感文件包含的关键信息、敏感文件（包含文件预览等）、取证截图、命中的策略以及外发该文件的终端信息、外发途径等。

查看异常事件记录

SASE可以帮您记录企业员工外发文件大于30 MB、通过外接设备拷贝的文件、同一用户外发文件综合超过1 GB的行为，需要您重点关注存在异常事件的企业员工，避免业务遭受重大损失。对于外发文件大于30 MB时，需要您自行检测该文件内容是否涉及敏感信息。

在敏感行为检测页面，查看企业员工触发的异常事件。
单击异常事件列的值，在异常事件记录页签，查看指定用户的异常事件记录。
您也可以单击操作列详情，在异常事件记录页签，查看相关记录。

配置检测结果保存时长

SASE默认将您的检测结果保存7天，如果您开通了日志存储服务，可以将您的检测结果保存30天。具体信息，请参见计费概述。

配置敏感文件存储空间

SASE默认为您开启空间为1 GB的免费存储功能。

如果您需要更多的存储空间，单击右上角扩容，购买文件存储容量。具体价格，请参见计费概述。
如果您不需要对敏感文件存储，在右上角关闭存储开关即可。关闭后已存储的敏感文件不会被删除，但是不再存储新的敏感文件。
如果您需要清空已存储的敏感文件，单击右上角清空，对检测结果按时间段清空或者清空全部日志。

通过检测外发文件保障数据安全