配置文件外发策略,文件外发检测_办公安全平台(SASE)-阿里云帮助中心

本文档介绍管理员如何通过办公安全平台SASE（Secure Access Service Edge）配置办公数据保护功能，帮助企业实时掌握敏感数据外发动态，监控数据泄露风险，并保障企业办公数据的安全性。

适用场景

敏感文件外发检测：防止员工通过即时通讯工具、邮件、网盘等渠道外发敏感文件。
审计日志查看：记录并分析敏感文件外发行为，及时发现潜在的数据泄露风险。

前提条件

已购买SASE互联网访问安全的办公数据保护版。更多信息，请参见办公安全平台计费概述、新手指引。
企业办公终端安装的SASE App的版本不低于4.3.1。

操作步骤

步骤一：添加身份源

身份源主要是为企业员工提供身份认证功能，SASE支持第三方和自建的身份认证系统。目前支持LDAP、钉钉、企业微信、飞书、IDaaS、自定义身份源。如果您的业务涉及多种身份源，可以一次性配置多种身份源信息（即多身份源），以便于您以不同的身份源使用SASE服务。

本文为了快速验证功能，以自定义身份源为例为您介绍。

登录办公安全平台控制台。
在左侧导航栏，选择身份认证 > 身份接入。
选择身份同步页签，并单击新增身份源。
在新增身份源面板中，选择自定义身份源，然后单击开始配置。

在基础配置中，参考下表设置身份源名称和身份源状态，然后单击下一步。

配置项

说明

身份源名称

自定义身份源的名称信息。

长度为2~100个字符，中文字符、英文字母、阿拉伯数字、短划线（-）和下划线（_）。

身份源状态

根据需要设置配置状态。取值：

已开启：如果当前没有启用其他自定义身份源，您可以直接开启创建的自定义身份源。
已关闭：如果当前存在已启用其他自定义身份源，您可以将创建的自定义身份源设置为禁用状态。待您将其他自定义身份源设置为禁用状态后，再开启新创建的自定义身份源。
重要
关闭自定义身份源配置状态开关，会导致终端用户使用SASE App无法访问内网应用。请谨慎操作。

在登录配置中，设置登录方式，

配置项

说明

电脑设备登录方式

支持账号密码登录和无密码登录。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启后，您需要选择OTP令牌模式，目前支持如下三种模式：
  - 允许SASE移动端展示令牌：即SASE自带OTP，需要员工安装SASE移动端App。
  - 允许第三方App令牌：需确保OTP客户端时钟同步正常，目前支持标准及常见的OTP认证软件，例如阿里云App等。
  - 允许企业自有令牌：若需兼容企业自研OTP，请在技术人员支持下进行配置。
- 验证码认证：支持短信验证码和邮箱验证码。确保配置的身份源中每个用户都已录入手机号或者邮箱号。
使用无密码登录方式时，需要先下载并登录SASE移动端App，然后进行扫码认证。

移动设备登录方式

支持账号密码登录和指纹或人脸识别认证。

使用账号密码登录方式时，您可以开启双因素认证，取值：
- OTP认证：开启OTP认证前，需开启PC端OTP认证并选择允许第三方APP绑定令牌或者允许企业自有令牌，移动端令牌配置与电脑设备配置一致。
- 验证码认证：开启验证码认证前，需确保配置的身份源中每个用户都已录入手机号或邮箱。
使用指纹或人脸识别认证方式时，首次登录SASE App时仍需要输入账号名与密码。

单击确认，完成配置。

步骤二：添加用户组

登录办公安全平台控制台。
在左侧导航栏，选择身份认证 > 身份接入。
在用户组管理页签，单击添加用户组。

在添加用户组面板，按照下表的配置项说明添加用户组信息。

配置项	说明
用户组名称	用户组的名称。
描述	用户组的说明。
组范围	设置用户组的范围，取值：组织架构：当您设置为组织架构时，下方展示已有的组织架构信息，您根据需要勾选对应的架构信息。账户名称：当您设置为账户名称时，下方展示配置账户名称输入框。邮箱：当您设置为邮箱时，下方展示配置邮箱输入框。手机号：当您设置为手机号时，下方展示配置手机号输入框。
配置关系	设置用户组的配置关系。取值：等于不等于

单击确定。

步骤三：查看文件分类分级识别规则

SASE内置了多种识别规则，用于识别常见的公司数据、客户数据和个人数据等。您可以查看这些内置规则以了解其覆盖范围。如果您需要自定义识别规则。例如您需要检测包含个人简历相关内容的文件外发。

登录办公安全平台控制台。
在左侧导航栏，选择数据保护 > 分类分级。
在分类分级 > 识别规则页签中，页面左侧数据分类区域查看系统内置的个人简历识别规则具体内容。

步骤四：配置文件外发策略

SASE敏感文件检测功能通过敏感数据元素作为敏感文件的特征进行自动化识别，通过数据元素、数据类型、敏感等级组成数据模板，再结合处置动作等条件形成检测策略帮您识别企业员工外发的文件是否为敏感文件。

登录办公安全平台控制台。
在左侧导航栏，选择数据保护 > 策略中心。
在策略中心 > 外发管理页签中，单击创建策略。

在创建策略面板中，根据如下配置创建文件外发策略。并单击确定。

配置项		说明
策略信息	策略名称	策略的名称。
	策略描述	策略的补充说明。
	风险等级	支持设置如下四种策略风险等级：极高：待离职用户组外发事件、极高危用户组外发事件、L4文件外发事件等。高：高危用户组外发事件、L3文件外发事件等。中：中危用户组外发事件、L2文件外发事件等。低：全量外发兜底事件。
	动作	支持设置如下三种策略动作：只审计拦截并提示拦截不提示如果您设置拦截并提示或者拦截不提示的动作，您还需要选择阻断类型，即全量阻断还是智能阻断。全量阻断：SASE App会针对所有外发文件行为进行实时拦截，并审计。智能阻断：SASE App会根据数据模板定义的敏感文件特征进行实时拦截，为保障拦截的实效性，SASE App会提前对终端文件进行扫描及敏感等级打标，在扫描任务完成前会默认执行全量阻断（阻断策略不生效），扫描及打标均在终端进行，不做上报处理。
	源文件保留	设置是否保留源文件信息。
	截图取证文件保留	设置是否保留截图取证文件信息。
	状态	配置策略的状态。取值：开启：表示策略生效，SASE会根据策略检测文件。关闭：表示策略不生效。
数据识别规则配置	数据识别规则	选择您已配置的识别规则。配置识别规则的具体操作，请参见配置外发文件分类分级检测规则。
数据识别规则配置	传输通道	选择数据的传输通道。当您选择某种传输通道时，当员工通过该通道传输文件时，会触发敏感文件检测行为。支持的传输通道类型如下，您可以全选或者选择部分通道。即时通讯（软件）、邮箱（软件）、FTP通道、网络共享、打印、移动存储、网盘（软件）、云笔记（软件）、远程桌面、代码托管（软件）、大模型（软件）、网盘（网页版）、邮箱（网页版）、代码托管（网页版）、云笔记（网页版）、云博客、大模型（网页版）、社交、即时通讯（网页版）、其他等。
生效范围	用户组	选择策略生效的用户组。
审批流配置		当存在文件外发风险时，可以配置是否支持企业员工进行报备。如果选择支持员工报备审批，您需要选择合适的审批流程。关于如何创建审批流程，请参见配置审批流程。
弹窗提示配置		设置拦截文件外发的提示信息。支持设置中文和英文两种提示信息。

步骤五：查看审计日志

配置完成后，您可以通过审计日志查看敏感文件外发的检测结果。

在左侧导航栏，选择日志分析 > 日志审计。
在日志审计 > 敏感文件检测页签中，查看最近一小时、最近六小时、最近一天、最近七天、最近一月的审计日志。
单击操作列详情，查看文件的敏感报文、截图取证、命中策略、办公终端、外发途径及账号信息等。

管理员首次配置数据保护指南