配置外发文件分类分级检测规则_办公安全平台(SASE)-阿里云帮助中心

为了防止员工通过多种渠道外发敏感文件导致业务损失，建议使用办公安全平台SASE（Secure Access Service Edge）的外发文件检测功能进行实时检测和管控，并配置分类分级检测规则以识别和管理数据泄露风险。本文档介绍了如何配置外发文件的分类分级检测规则。

前提条件

已购买SASE互联网访问安全的办公数据保护版。更多信息，请参见办公安全平台计费概述、新手指引。
企业办公终端安装的SASE App的版本不低于4.3.1。

配置方式介绍

在配置外发文件的分类分级识别规则时，您可以根据实际业务需求，灵活选择以下三种配置方式之一。这种方式不仅能够满足不同场景下的管理需求，还能有效提升规则配置的精准性和效率，确保文件外发的安全性与合规性。

系统内置规则：SASE针对企业常见的文件类型，内置了多种分类分级检测规则，您在创建外发策略时可直接选择适用的规则，从而更高效地管理和保护敏感数据。
自定义规则：您可以根据实际业务需求，从文件内容、文件名、文件后缀以及数据来源等多个维度，自定义识别规则。
智能推荐库：你可以使用智能推荐库中的识别规则直接添加到您设置的数据分类下，从而大幅简化配置流程。
警告
如果您要使用智能推荐库中的识别规则，需先完成资产测绘，并通过大模型对文件进行学习，从而智能生成相应的识别规则。具体操作请参见创建资产地图测绘任务。

配置自定义规则

步骤一：创建数据元素

您可以从多个维度配置数据元素，包括文件内容方面的敏感词库（如字典、正则表达式）、文件后缀、数据来源等。

登录办公安全平台控制台。
在左侧导航栏，选择办公数据保护 > 分类分级。

在分类分级页面，选择数据元素页签。参考如下内容，根据实际业务配置数据元素。

页签	说明	可执行操作

页签	说明	可执行操作
字典正则	配置敏感词库，您可以利用字典或正则表达式对文件内容进行智能检测。	新增词库：单击新增敏感词库。在新增敏感词库面板中，进行如下配置后单击确定。名称：配置敏感词库名称。类型：通过配置字典或正则表达式的方式，对文件内容进行智能验证。字典：自定义字典内容，支持同时添加多个，用英文逗号（,）隔开，可回车确认。正则：输入自定义正则表达式。例如，([A-Za-z0-9]+)，该表达式用于匹配一个或多个英文字母（包括大写和小写）或数字。在配置正则表达式后，您可以单击测试正则表达式，并输入测试字段对表达式进行验证。其他操作：支持按照类型和数据来源等条件筛选数据。单击操作列的删除，删除未关联规则的词库。重要如果该词库已关联识别规则，则需先在识别规则中取消相关配置，方可删除词库。
算法分类	系统内置了多种智能算法分类，在配置识别规则时，您可以为其配置相应的算法分类。SASE将根据所选的智能算法分类，结合文件类型，对文件内容进行高效且精准的检测。	您可以在关联规则列中查看已配置了算法分类的识别规则。
算法分级	系统内置了多种智能算法分级，在配置识别规则时，您可以为其配置相应的算法分级。SASE将根据所选的智能算法分级，结合数据敏感性的通用定义及敏感数据的含量，对文件内容进行高效且精准的检测。	您可以在关联规则列中查看已配置了算法分级的识别规则。
文件后缀	系统内置了多种文件后缀，您也可以自定义文件后缀，基于文件后缀对文件进行检测。	新增文件后缀：单击新增文件后缀。在新增文件后缀面板中，输入文件后缀，并单击确定。其他操作：支持按照数据来源筛选数据。单击操作列的删除，删除自定义的文件后缀。
数据来源	添加Web应用地址，针对从该Web应用下载的文件，在其进行外发操作时，系统将自动触发检测流程。这种方式能够有效监控敏感数据的流转路径，确保从特定来源下载的文件在外发时符合安全策略，从而提升数据防护能力与合规性。	新增应用：单击新增应用。在新增应用面板，进行如下配置：应用名称：设置应用名称。应用地址：设置URL和文件路径。单击添加设置多条应用地址。参考如下配置。 URL：www.baidu.com/haha/text 路径：/haha/text

步骤二：创建自定义识别规则

SASE针对分类分级识别规则内置了常见文件类型的默认规则，您在配置文件外发策略时可直接使用。同时，您也可以根据实际业务需要自定义识别规则，并结合资产地图上报的文件进行验证，以确保规则配置的准确性和适用性。

创建识别规则

登录办公安全平台控制台。
在左侧导航栏，选择办公数据保护 > 分类分级。
在分类分级页面，选择识别规则页签。
在页面左侧数据分类区域，单击新建，并单击新建分类。
在新建分类对话框中设置分类名称，并单击确定。
在创建的数据分类右侧单击新建规则分组。为该数据分类创建识别规则。

在新增分组面板中，配置如下信息。然后单击确定。

配置项	说明

配置项	说明
规则名称	识别规则的名称。支持长度为2~32个字符，包含汉字、字母、数字、短划线（-）和下划线（_）。
数据分类	选择该分组所在的数据分类。
敏感等级	配置文件的等级。取值： L4：机密数据客户在企业业务内的敏感个人信息；基于单一部门或跨部门聚合加工后所产生的宏观特征数据、预测数据、信用数据等；在公司内部被严禁非业务相关人员讨论和传播，非授权的泄露将直接对企业业务造成严重不利影响，甚至是对业务造成系统性风险，牵扯到重大法律责任的信息；其他特定人员涉及公司重大管理决策、投融资过程等沟通记录信息。 L3：保密/隐私数据企业经营过程中所产生的客户信息、部门级别经过聚合加工后所产生的业务数据。如果因非授权的泄露，将直接或间接对企业、客户或者员工造成不利影响或风险，给客户或公司造成经济损失、商业损失、声誉损失，并可能发生潜在的法律责任的信息。 L2：内部数据仅限员工或者签署了保密协议的三方人员可查阅使用的企业数据和客户信息，或所有者同意对指定人群公开的信息。如果因非授权的泄露，可能会对企业客户或企业部分业务、员工造成较小或者不显著的负面影响。 L1：可公开数据可以被公共访问或被企业客户设置为公开发布的数据，且公开传播不会产生安全或法律问题。
规则配置	配置敏感数据检测规则。例如，配置的规则为“文件名包含薪资”，表示检测文件中，如果文件名中存在“薪资”，则会触发敏感文件检测。建议您配置多条规则，以便检测策略能够按照您的业务需求，准确、全面地匹配文件内容。您可以设置多条规则之间的条件关系为“AND”、“OR”。

识别规则参数说明

文件名

选项	逻辑连接	内容
关键词	包含全部、包含任一、都不包含	输入需要检测的文字。
字典	包含全部、都不包含	选择数据元素 > 字典正则页签中敏感词库配置的字典，并设置命中次数。
正则	包含全部、都不包含	选择数据元素 > 字典正则页签中敏感词库配置的正则，并设置命中次数。

文件正文

选项	逻辑连接	内容
关键词	包含全部、包含任一、都不包含	输入需要检测的文字。
字典	包含全部、都不包含	选择数据元素 > 字典正则页签中敏感词库配置的字典，并设置命中次数。
正则	包含全部、都不包含	选择数据元素 > 字典正则页签中敏感词库配置的正则，并设置命中次数。
算法推荐分类	包含全部、包含任一、都不包含	选择数据元素 > 算法分类页签中系统内置的推荐算法分类。
算法推荐分级	包含任一、都不包含	选择数据元素 > 算法分级页签中系统内置的推荐算法分级。

数据来源

逻辑连接

内容

包含任一、都不包含

根据应用类型不同，选择数据来源应用。支持多选。

即时通信应用：包含飞书、钉钉、企业微信、微信、QQ等。
Web应用：选择数据元素 > 数据来源中配置的应用。

文件类型

选项	逻辑连接	内容
文件格式	包含任一、都不包含	选择常见的文件格式。支持多选。
文件后缀	包含任一、都不包含	选择数据元素 > 文件后缀页签配置的文件后缀。

文件大小

逻辑连接	内容
大于等于、小于等于、在[A,B]范围内	输入文件大小检测范围。

文件加密

选项	内容
是否加密	选择是或否。

验证识别规则

对于创建的识别规则，可根据实际业务需求选择不同的验证方式对文件进行校验。规则校验功能旨在验证识别规则的准确性和适用性，不会对规则的实际使用产生影响。

在需要进行规则验证的识别规则，在规则验证区域，单击验证。
在数据验证对话框选择验证方式。并单击确定。
SASE会根据不同验证方式验证的文件，采用配置的识别规则对文件进行筛选验证，并展示符合识别规则的文件。
- 通过生成规则的文件再次验证：对资产地图功能中最新通过大模型学习的文件进行规则校验。
  警告
  如果您需要通过生成规则的文件进行验证，必须先在资产地图功能中对上报文件进行大模型学习。具体操作，请参见智能生成规则。
- 使用最新发现文件进行验证：对资产地图功能中最新通过资产测绘上报的文件进行规则校验。
单击操作列的预览。您可以预览文件信息来确认规则配置的准确性。

其他操作

对于自定义识别规则或通过大模型推荐生成的识别规则，可对其进行编辑、启停设置等操作。同时，还支持在现有识别规则下新建子规则，以实现更精细化的管理和更灵活的配置。

编辑：单击编辑分组信息。查看和修改配置的识别规则。
启停：单击规则启停的开关按钮来开启或关闭识别规则。

使用智能推荐库配置识别规则

SASE支持对终端文件进行测绘并生成资产地图，同时利用大模型对测绘文件进行智能学习，根据文件类型自动生成识别规则。您可从智能推荐库中启用推荐规则，并将其添加至系统内置或自定义数据分类中，从而简化配置流程。

在分类分级页面中，选择智能推荐库页签。
在智能推荐库页签，选择智能生成的识别规则，并单击启用推荐规则。
在启用推荐规则对话框，为该识别规则选择数据分类。启用后，可以在选择的数据分类中进行编辑和重新分类。