支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。 比较您的版本
借助 Gmail 的数据泄露防护 (DLP) 功能,您可以创建数据保护规则 ,以管理用户在电子邮件中共享的敏感内容。借助 Gmail 的数据泄露防护功能 ,规则适用于发送给组织内外人员 或从组织内外人员收到的邮件。
Gmail 的数据泄露防护功能如何发挥作用?
当用户发送或接收电子邮件时,数据泄露防护功能会扫描邮件是否包含敏感内容。如果邮件或附件违反了规则,系统便会对邮件执行规则中定义的操作。
Gmail 的数据泄露防护流程
- 添加数据保护规则,以定义敏感内容以及对包含敏感内容的邮件执行的操作。
- 当用户发送或接收电子邮件时,数据泄露防护功能会扫描内容是否与规则匹配。
- 如果匹配到规则,DLP 会应用规则中定义的操作。
- 所有事件都会记录在规则日志事件中以供审核。
支持的附件文件类型
数据保护规则会扫描以下附件类型:
- 文档文件类型 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 图片文件类型(当 OCR 处于开启状态时)- EPS、BMP、GIF、JPEG、PNG 以及 PDF 文件中的图片
- 压缩文件类型 - BZIP、RAR、TAR、ZIP
- 自定义文件类型 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
多个附件
如果邮件包含多个附件,那么只要其中任何一个附件符合规则条件,就会触发相应规则。有时,这会导致包含 NOT 条件的规则产生意外结果。例如,如果使用了 条件 NOT(content contains SSN),并且其中一个附件 包含 SSN,则该条件为 true,并且不会触发相应规则。
了解触发器
在定义规则应查找的内容之前,您需要指定启动扫描过程的触发器 。使用 Gmail 的数据泄露防护功能时, 触发器包括:
- 邮件已发送 \- 系统会扫描外发邮件和附件。
- 邮件已收到 \- 系统会扫描传入邮件和附件。
了解数据泄露防护操作
当检测到敏感内容时,规则可以强制执行下表中的操作。如果您创建的规则类似,但响应操作有所不同,那么系统将执行其中更严格的响应操作。例如,如果一条规则是在检测到社会保障号 (SSN) 时向用户发出警告,而另一条规则是禁止用户使用 SSN,那么系统会触发禁止规则,用户将无法发送或接收电子邮件。
如果您选择邮件已收到 作为触发器,则唯一可用的操作是仅记入审核日志 和应用分类标签 。
| 操作 | 说明 |
|---|---|
| 屏蔽邮件 |
仅限外发邮件。阻止电子邮件递送,并 向用户发送通知。(可选)您可以为用户添加自定义消息 。系统会记录相应活动。 |
| 警告用户 |
仅限外发邮件。允许用户在收到警告 消息后继续操作。(可选)您可以为用户添加自定义警告消息。 用户选择继续操作的决定会记录在日志事件中。 |
| 隔离邮件 |
仅限外发邮件。将邮件隔离起来,以便管理员在发送或返回邮件之前进行审核。(可选)您可以应用 隔离条件或为用户添加自定义消息。 如需了解详情,请参阅 设置电子邮件隔离区。 |
| 仅记入审核日志 |
允许用户继续操作而不受干扰,并记录相应事件。 您可以选择审核来自外部发件人、内部 发件人或两者的邮件。 |
| 应用分类标签 |
为匹配的电子邮件应用现有分类标签。仅支持字段类型为“选项列表”的标记标签和标准标签。您可以选择对来自外部发件人、内部发件人或两者的邮件应用分类标签。 数据保护规则不能同时将分类标签用作条件和操作。 如需了解详情,请参阅 Gmail 数据泄露防护和自动分类标签。 |
| 添加自定义备注 |
仅限外发邮件。为匹配的电子邮件添加自定义页眉或页脚。 如需了解详情,请参阅 向外发邮件添加分类备注。 |
了解数据泄露防护条件
创建数据保护规则时,您可以指定条件来定义要扫描的内容或活动。
您可以使用预定义的数据类型,也可以创建自己的自定义内容检测器。
您还可以使用 AND、OR 或 NOT 运算符组合多个条件。
如需了解详情,请参阅如何使用预定义的内容检测器、创建自定义检测器以及使用嵌套条件运算符的规则示例。
| 要扫描的内容类型 | 要扫描的内容 | 详细信息与用法 |
|---|---|---|
| 所有内容 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描所有内容以检查是否存在敏感信息。 所有内容 选项仅会扫描 5 种标头类型:主题、收件人、 发件人、密送和抄送。这些标头可以立即用于同步扫描。如需扫描所有邮件标头,我们建议使用以下任一选项:
|
| 正文 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描邮件正文和附件以检查是否存在敏感信息。 系统会同步扫描邮件正文,并异步扫描附件。 |
| 分类标签 | 是 |
是否已为邮件应用分类标签。如需了解详情,请参阅 Gmail 数据泄露防护和自动分类标签。 数据保护规则不能同时将分类标签用作条件和操作。 |
| 机密模式状态 | 已启用 已停用 |
邮件是否启用了机密模式。如需了解详情,请参阅 使用机密模式保护 Gmail 邮件。 |
| 电子邮件标头 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描电子邮件标头以检查是否存在敏感信息。 虽然大多数标头都是异步扫描的,但“主题”“收件人”“发件人” “密送”和“抄送”标头都是异步兼同步扫描的。 为避免影响用户,请勿对不可用的电子邮件标头设置否定匹配条件(即 |
| 主题 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
同步扫描电子邮件主题以检查是否存在敏感信息。 |
创建规则
确定规则的用途后,您就可以创建规则了。如需了解详情,请参阅创建数据保护规则。常见使用场景
下表提供了一些示例,说明如何将触发器(用户执行的操作)、条件(检查的内容)和特定操作(强制执行)结合起来,以定义数据泄露防护政策。如需使用此表格,您必须:
- 选择触发器。
- 将条件值映射到相应选项。
- 选择一项操作。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
| 应用场景 | 触发器 | 条件 | 操作 |
|---|---|---|---|
| 当 Gmail 邮件或附件包含信用卡号时,向用户发出警告 | Google Gmail  邮件已发送 |
内容类型: 所有内容 匹配: 与预定义的数据类型匹配 数据类型: 全球 - 信用卡号 可能性阈值: 高 最低不重复匹配数: 1 最低匹配数: 1 |
警告用户 |
| 当 Gmail 邮件正文包含美国个人税号,且邮件未采用机密模式时,屏蔽该邮件 | Google Gmail 邮件已发送 |
条件 1: 内容类型: 正文 匹配: 与预定义的数据类型匹配 数据类型: 美国 - 个人纳税人识别号
条件 2: 内容类型: 机密模式状态 值: 已停用 |
屏蔽邮件 |
| 审核入站电子邮件 | Google Gmail 邮件已收到 |
内容类型: 电子邮件标头 匹配: 与正则表达式匹配 值: 内部 - 工具 模式重复次数下限: 1 |
仅记入审核日志 |
同步扫描和异步扫描简介
发送 Gmail 邮件时,系统可以同步或 异步扫描规则:
同步扫描—用户 点击发送时会触发数据保护规则扫描。用户会在邮件离开邮箱之前收到包含敏感内容的通知。网页版 Gmail 和 Gmail 移动应用会执行同步扫描。
注意:系统还会扫描用户另存为草稿的电子邮件,并通知用户 是否存在任何敏感内容。
异步扫描—邮件离开 发件人邮箱后,系统会扫描数据保护规则。在邮件递送给收件人之前,用户会收到邮件被 阻止或隔离的通知。异步 扫描会在用户使用第三方电子邮件应用发送邮件 或同步扫描失败时执行。
收到 Gmail 邮件时,系统会在邮件递送至收件人邮箱之前扫描规则。
发送邮件的同步扫描和异步扫描结果
同步扫描:网页版或移动版 Gmail
当包含屏蔽邮件 操作的规则触发时:
- 系统会显示一条提醒,说明邮件在当前状态下无法发送。您可以在此提醒的规则中添加自定义消息。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 用户修改并重新发送邮件后,系统会根据所有适用规则再次扫描并检查该邮件。
当包含警告用户操作的规则触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 此提醒包含仍然发送选项,允许用户发送当前状态的邮件。
当包含隔离邮件操作的规则触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户选择返回修改邮件,并更新或移除敏感内容。
- 该框包含一个提交以供审核按钮,允许用户将邮件发送给管理员或其他授权用户审核。管理员审核邮件后,可以批准发送给收件人,或阻止其发送。
当包含仅记入审核日志 操作的规则触发时:
- 用户不会看到任何提醒,邮件将递送给收件人。
- 系统会在审核日志中记录邮件事件。
注意:作为额外的安全措施,系统可能会异步再扫描同步扫描的邮件。这可能会导致消息被屏蔽,即使在同步扫描期间未显示任何对话框也是如此。
异步扫描:Gmail(使用 SMTP)和第三方电子邮件应用
当包含屏蔽邮件 操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户 操作的规则被触发时:
- 发件人会在其已发邮件 邮箱中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
- 对于使用通过 SMTP 与 Gmail 连接的第三方邮件应用发送的邮件,采用警告用户 操作的规则的行为方式与采用屏蔽邮件 操作的规则相同。
当系统触发包含隔离邮件 操作的规则时:
- 发件人会在其已发邮件 邮箱中看到该邮件。
- 如果邮件未发送,发件人可能会收到提醒,说明邮件已被隔离。您可以在此提醒的规则中添加自定义消息。
当触发了具有仅记入审核日志 操作的规则时:
- 发件人不会收到通知,并且邮件会递送给收件人。
异步扫描:网页版或移动版 Gmail
当您在网页版或移动应用中使用 Gmail 时,系统会出于额外的安全考虑,再次异步扫描邮件。
当包含屏蔽邮件 操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户操作的规则触发时,系统会发送消息:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当系统触发包含隔离邮件 操作的规则时:
- 发件人可以在其已发邮件 文件夹中看到该邮件。
- 如果审核员阻止了邮件发送,收件人日后可能会收到通知。
当触发了具有仅记入审核日志 操作的规则时:
- 发件人不会收到任何通知,并且邮件会递送给收件人。
其他 Google 产品自动创建的消息
Gmail 会发送由其他 Google 和 Google Workspace 服务(包括 Google 日历、文档和云端硬盘)创建的自动通知和邮件。例如,当某人在 Google 日历中创建活动并邀请嘉宾时,系统会创建一封包含活动详细信息的 Gmail 邮件,并将其发送给活动参与者。系统会在服务器端扫描邮件。如果邮件内容符合任何规则中的条件,系统就会应用相应规则操作。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在相应规则中为此通知添加自定义邮件。
当包含警告用户操作的规则触发时:
- 邮件已发送。
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当系统触发包含隔离邮件 操作的规则时:
- 如果审核员阻止了发件人发送消息,发件人日后可能会收到通知。
当触发了具有仅记入审核日志 操作的规则时:
- 邮件已发送。
- 发件人不会收到任何通知。
Gmail 的数据泄露防护互动
数据泄露防护功能如何与其他电子邮件规则配合使用?
数据保护规则会在内容合规性规则和转送规则之前进行评估。
如果数据保护规则不接受对邮件执行屏蔽或隔离操作,则系统会根据内容合规性规则和路由规则对邮件进行评估。如果内容合规性或转送规则应用了会创建邮件另一个副本的操作(例如,添加新的收件人),DLP 会先扫描邮件的新副本,然后再将其发送。
如需了解详情,请参阅设置高级 邮件内容过滤的规则。
Gmail 的数据泄露防护功能如何与群组互动?
只有在为整个组织设置数据保护规则时,这些规则才会应用于群组。对于发送的邮件,数据保护规则仅支持针对群组执行屏蔽邮件 操作。不支持对群组执行警告用户 和隔离邮件 操作。
对于收到的邮件,数据保护规则适用于群组收到的原始副本 。如果为邮件应用了分类标签,则所有群组 成员收到的邮件副本都将具有相同的分类。
使用安全调查工具调查数据保护规则事件
搜索规则日志事件
以下示例会运行搜索,以调查触发数据保护规则的 Gmail 邮件。您可以在搜索中使用其他条件,也可以完全不设条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有安全中心管理员权限。
- 依次点击数据源 规则日志事件。
- 依次点击条件构建器 添加条件 属性 规则类型。
- 选择数据泄露防护 。
- 点击搜索 。
在页面底部的搜索结果中,您可以查看事件列表,以及每个事件的详细信息。注意:Gmail 的数据泄露防护不支持显示敏感内容片段。因此,即使邮件包含已触发数据保护规则的敏感内容,是否包含敏感内容 列也会显示“错误”。
- 滚动到 资源 ID 列,然后点击“菜单”图标
,以显示 Gmail 日志事件 和 邮件 ID 。 - 点击搜索 以打开一个新的搜索页,其中 Gmail 日志事件 为数据源。
- 如需查看更多详细信息,请点击搜索结果中任意行的邮件 ID 。此时会显示一个侧边栏,其中包含有关此次调查的更多详细信息。
- 如果系统提示,请输入查看 Gmail 内容的业务需求,然后点击确认 。
使用 BigQuery 导出 DLP 违规问题
您可以将记录在规则日志事件中的 DLP 违规行为导出到自定义表格,以便进一步调查。如需了解详情,请参阅设置将服务日志导出至 BigQuery的功能。
分享反馈
在管理控制台中的任何数据保护页面上,点击发送反馈。