支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。比较您的版本
使用 Chat 数据泄露防护功能,您可以控制聊天话题中的敏感数据共享。借助 Google Chat 数据泄露防护功能 (DLP),您可以创建数据保护规则,防止 Google Chat 和附件(例如上传的文件和图片)发生数据泄露。
Chat 数据泄露防护功能的工作原理是什么?
用户发送 Chat 消息时,数据泄露防护功能会使用您创建的规则扫描该消息以检测是否存在敏感内容。如果消息或附件违反了 规则,系统会在消息发出时应用规则的操作(例如警告或屏蔽)。
您可以创建适用于 Chat 或 Chat 和其他 Google 应用(例如 Google 云端硬盘或 Gmail)的数据保护规则。
Chat 数据泄露防护功能流程
- 您可以创建数据保护规则来保护敏感内容,包括在违反规则时采取的操作。您可以将这些规则应用于消息和附件。
- 用户发送 Chat 消息时,数据泄露防护功能会使用您的规则扫描消息。 系统会在上传时扫描附件。
- 如果消息或附件违反了规则,数据泄露防护功能会触发您在创建规则时 配置的操作。
系统会扫描哪些内容?
- 系统只会扫描已发送的消息。不会扫描收到的消息。
- 系统会扫描消息和附件(包括文件和图片)。 您还可以创建规则来专门评估文件名、扩展名和附件文件类型。
- 即使聊天 记录功能处于关闭状态,系统也会扫描 1 对 1 聊天、群聊和聊天室中的消息。有关详情,请参阅在 Google Chat 中开启或关闭聊天记录功能。
- Chat 数据泄露防护违规事件会记录在 规则审核
日志中。在某些情况下,日志中会包含消息内容。消息内容在日志中可见的时长取决于您的 Chat 聊天记录设置,以及您为 Chat 配置的消息保留期限。
- 如果开启聊天记录,管理员可以在您配置的保留期限内查看消息。
- 如果关闭聊天记录,管理员可以在 24 小时内查看消息。
扫描的文件类型
数据泄露防护功能会扫描以下文件类型:
- 文档文件类型:.txt、.doc、.docx、.rtf、.html、.xhtml、.xml、.pdf、.ppt、 .pptx、.odp、.ods、.odt、.xls、.xlsx、.ps、.css、.csv、.json、.sh
图片文件类型:.eps
注意:如果启用了光学字符识别 (OCR),系统还会扫描 .bmp、.gif、 .jpeg 和 .png 文件,以及 PDF 文件中的图片。
压缩文件类型:.zip
自定义文件类型:.hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.wml、.xps
注意:除了扫描文件内容外,数据泄露防护功能还会评估文件元数据,例如文件名和文件扩展名。
内容限制
有关详情,请参阅 Google Chat 数据泄露防护功能内容限制。
已知限制
不会扫描链接的内容
一般而言,系统会扫描链接,但不会扫描链接的内容。
云端硬盘文件受云端硬盘规则约束
通过云端硬盘共享的文件受云端硬盘数据保护规则约束。 如需了解详情,请参阅关于数据泄露防护。
Chat 和延迟时间
Chat 是对延迟时间敏感的应用,因此我们设计了 Chat,以免降低最终用户体验。
- 对于消息,数据泄露防护功能会在给定的时间内进行扫描。根据检测器的复杂性和数量,部分检测器可能无法及时完成检测,系统不会强制执行。DLP 扫描状态会包含在所发送的消息和上传的附件的 Google Chat 审核日志中。
- 以下预定义的检测器可能需要更多时间来完成扫描。
在 Chat 数据保护规则中使用这些检测器会增加扫描超时的风险:
- 出生日期
- 人员姓名
- 给与附件更多扫描时间。
.csv 文件中的表格数据视为纯文本
系统会将逗号分隔值 (.csv) 文件视为纯文本。因此,您在查看文件数据时可在列中发现的明显的违规内容,数据泄露防护功能可能无法发现。
用户需要使用最新版 Gmail 和 Chat
确保用户的 Gmail 和 Google Chat 应用是最新版本。 在旧版 Gmail 和 Chat 中,可能会触发警告的内容会被屏蔽。
了解触发器
在定义规则应查找的内容之前,您需要指定启动数据泄露防护扫描过程的触发器 :
- 消息已发送 \- 用户使用 Google Chat 发送消息。
- 文件已上传—用户使用 Google Chat 上传文件。
了解数据泄露防护操作
当检测到敏感内容时,规则会强制执行操作。您可以从下表中列出的操作中进行选择。
如果您创建的规则类似,但响应操作有所不同,那么系统将执行其中更严格的响应操作。例如,如果一条规则是在检测到社会保障号 (SSN) 时向用户发出警告,而另一条规则是禁止用户使用 SSN,那么系统将强制执行禁止规则,用户将无法发送消息。
| 操作 | 说明 |
|---|---|
| 屏蔽邮件 |
阻止递送 Chat 消息和附件,并向用户发送通知。(可选)您可以添加自定义消息。系统会记录相应活动。 |
| 警告用户 |
允许用户在收到警告消息后继续操作。(可选)您可以添加自定义警告消息。 系统会记录用户的选择。 |
| 仅记入审核日志 |
允许用户不受干扰地继续操作,并记录该活动。 |
选择数据保护规则操作后,您可以选择要涵盖的话题类型(例如外部人员拥有的聊天室或启用了访客访问权限的对话)。 您还可以选择是否将规则应用到聊天室、群聊和 1 对 1 聊天:
了解数据泄露防护条件
您可以创建不设置任何条件的数据保护规则。在这种情况下,该规则适用于所有 已发送的消息、所有已上传的文件,或同时适用于两者(具体取决于您选择的触发器)。
或者,您可以在数据保护规则中指定条件,以便定义要扫描的内容或活动。您可以使用预定义的数据类型,也可以创建自己的自定义内容检测器。
您还可以使用 AND、OR 或 NOT 运算符组合多个条件。
您可以使用邻近匹配来定义数据敏感度,以便仅在内容出现在其他关键字或格式的特定距离内时检测内容。
如需了解详情,请参阅如何使用预定义的内容检测器、 创建自定义检测器以及使用嵌套条件运算符的规则示例。
| 要扫描的内容类型 | 要扫描的内容 | 详细信息与用法 |
|---|---|---|
| 所有内容 |
与预定义的数据类型匹配 包含文本字符串 与正则表达式匹配 与字词表中的字词匹配 |
扫描所有内容,如果发现敏感信息符合以下任一项,则采取相应行动:
|
| 文件名 |
包含文本字符串 包含字词 |
扫描 Chat 附件的字面文件名。此条件不会扫描 Chat 消息。 |
| 文件扩展名 |
等于任意文本字符串 |
扫描 Chat 附件的文件扩展名。 请勿添加句点(输入 pdf,而不是 .pdf)。 |
| 文件类型 |
与通用 MIME 类型匹配 与自定义 MIME 类型匹配 与系统文件类别匹配 |
扫描 Chat 附件的结构性文件类型(MIME 类型),以识别特定的媒体格式或系统文件类别,无论扩展名文本是什么。此条件不会扫描 Chat 消息。 |
创建规则
确定规则要执行的操作后,您就可以创建规则了。如需了解详情,请参阅创建数据保护规则。
常见使用场景
下表提供了一些示例,说明如何将触发器(用户执行的操作)、条件(检查的内容)、 和特定操作(强制执行)结合起来,以定义数据泄露防护政策。如需使用此表格,您必须:
- 选择触发器。
- 将条件值映射到相应选项。
- 选择一项操作。
| 应用场景 | 触发器 | 条件 | 操作 |
|---|---|---|---|
| 在共享美国社会保障号时屏蔽 Chat 消息 | Google Chat 和 Google Chat |
内容类型: 所有内容 匹配: 与预定义的数据类型匹配 数据类型: 美国 - 社会保障号 可能性阈值: 高 最低不重复匹配数: 1 最低匹配数: 1 |
屏蔽邮件 |
| 禁止与外部人员共享云端硬盘内容,以及屏蔽包含护照号码的 Chat 消息附件 | Google Chat 和 Google Chat |
内容类型: 所有内容 匹配: 与预定义的数据类型匹配 数据类型: 全球 - 护照号码 可能性阈值: 高 最低不重复匹配数: 1 最低匹配数: 1 |
Google 云端硬盘:禁止与外部共享 Google Chat:屏蔽邮件 |
| 在 Chat 消息中提及项目代号或缩略词时记录日志 | Google Chat 文件已上传 |
条件 1: 匹配: 包含文本字符串 值: SpiderWeb
条件 2: 匹配: 包含文本字符串 值: SpdW |
仅记入审核日志 |
告知用户预期的结果
在执行 Chat 数据泄露防护规则前,应告知最终用户预期的结果。告知他们查看贵组织关于可在 Chat 消息中共享的信息类型的政策。阐明系统会屏蔽违反这些政策的消息或发出警告。这样,如果消息被屏蔽或用户收到警告,他们就不会感到意外。
屏蔽消息的用户体验
以下是 Chat 消息或附件被屏蔽时用户会收到的默认提醒:
- 您的消息无法发送
- 您的消息无法更新
根据贵组织的政策,您的消息可能包含不得分享的敏感内容(例如信用卡号)。请根据需要进行修改;如有任何问题,请与管理员联系。
消息被屏蔽后,用户可以关闭对话框、修改消息文本或移除违规附件。
关于触发警告的消息的用户体验
当 Chat 消息或附件触发警告时,用户会收到以下默认提醒:
- 检查您的消息
根据贵组织的政策,您的消息可能包含不得分享的敏感内容(例如信用卡号)。请根据需要进行修改;如有任何问题,请与管理员联系。
收到警告后,用户可以修改消息文本、原样发送文本或关闭对话框。
调查 Chat 数据泄露防护违规事件
设置 Chat 数据保护规则后,系统会在 规则 日志 中记录违反规则的行为。您可以使用安全调查工具搜索规则日志,获取有关违规 Chat 消息或附件的具体信息,包括:
- 触发的数据保护规则的名称
- 消息发送者
- 发送消息的日期
- 话题类型(例如 1 对 1 聊天或聊天室)。
- 消息内容(具体取决于您的消息保留 设置)。
如需了解完整步骤,请参阅调查 Chat 消息以审核内容并保护您的 数据。
调查工具限制
在以下情况下,您无法查看违规消息或附件:
- 消息未发送(遭到屏蔽)。只能查看已发送且违反仅记入审核日志规则的内容。
- 消息是在其他组织所拥有的话题中发送的。
- 消息超过了保留期限。