通过管理外接设备保障数据安全

为了避免企业员工在日常办公中,通过外接设备(例如U盘、蓝牙等)外发敏感文件导致业务遭受重大损失,建议您通过SASE的办公数据保护功能(DLP)及时对外接设备进行管控,使您能够实时掌握敏感数据外发动态,监控数据泄露风险。本文介绍如何配置管控策略、查看敏感行为的检测结果,以及如何设置外接设备白名单用户。

支持管控的外接设备

操作系统

支持的外接设备和设备接口

说明

Windows

  • 支持的外接设备:U盘及USB存储打印机便携设备读卡器光驱

  • 支持的设备接口:蓝牙

只有U盘及USB存储支持设置的访问权限包含:禁止使用读写使用只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。

如果您配置的U盘及USB存储读写使用,当企业员工通过U盘或者USB传输内部文件时,会触发敏感行为检测。

macOS

  • 支持的外接设备:U盘及USB存储

  • 支持的设备接口:蓝牙AirDrop

前提条件

配置外接设备的管控策略

  1. 登录办公安全平台控制台

  2. 在左侧导航栏,选择办公数据保护 > 策略中心

  3. 选择外设管理页签,单击添加策略

  4. 新增策略面板,参考下表信息,配置相关数据。

    配置项

    说明

    策略名称

    策略的名称。

    支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。

    策略描述

    策略的说明信息。

    状态

    策略状态:开启或者关闭。

    策略只有在开启状态才能生效。

    优先级

    策略的优先级。

    策略优先级取值范围:1~10,数值越小,表示优先级越高。

    生效用户

    策略管控的用户或者用户组。

    Windows

    • 支持配置的外接设备:U盘及USB存储打印机便携设备读卡器光驱

    • 支持配置的设备接口:蓝牙

    只有U盘及USB存储支持设置的访问权限包含:禁止使用读写使用只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。

    macOS

    • 支持配置的外接设备:U盘及USB存储

    • 支持配置的设备接口:蓝牙AirDrop

    只有U盘及USB存储支持设置的访问权限包含:禁止使用读写使用只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。

    审批流配置

    当外接设备存在安全风险时,可以配置是否支持企业员工进行报备。

    如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程

    弹窗提示配置

    设置拦截外接设备访问的提示信息。支持设置中文和英文两种提示信息。

  5. 单击确定

    创建完成后,您创建的策略信息在策略列表中显示。办公数据保护功能会根据您的配置,管控外接设备。

查看敏感行为检测结果

如果您配置的U盘及USB存储读写使用,企业员工通过U盘或者USB传输内部文件时,会触发敏感行为检测,并根据检测结果为您分析最近30天、7天、24小时的数据。

  1. 在左侧导航栏,选择办公数据保护 > 敏感行为检测

  2. 敏感行为检测页面,查看指定时间段统计到企业员工通过U盘及USB存储外发的敏感文件数据。

  3. 在敏感文件外发涉及的企业员工列表,单击详情,可查看企业员工外发敏感文件的具体信息。

  4. 单击指定目标文件右侧操作列详情,可查看该文件的敏感报文、命中策略、办公终端以及外发途径等信息。

配置外接设备白名单

如果您需要SASE不对企业中个别员工使用办公设备的外发行为进行审计与管控,可以通过配置办公数据保护的外接设备白名单,对个别员工实行宽松的放行策略。

  1. 外设管理页面,单击外设白名单

  2. 白名单页签,添加需要设置白名单的员工。

    image.png

  3. 单击提交

调整策略优先级

如果您需要调整外接设备的管控策略优先级,单击编辑图标修改数字即可。优先级范围:1~10,数字越小优先级越高。

image.png

关闭策略

如果当前业务暂时不需要该策略,您可以将策略开关关闭。关闭后策略内容仍保留,后续业务需要时直接开启策略开关即可。

删除策略

当后续业务不再需要该策略,您可以单击删除,删除策略内容。

重要

策略删除后不可以恢复,请谨慎操作。

相关文档