支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較
您可以透過 Gmail 的資料遺失防護 (DLP) 功能建立資料保護規則,管理使用者在電子郵件訊息中分享的機密內容。使用 Gmail 資料遺失防護功能時,規則會套用到傳送給組織內外人士的郵件,以及從這些人士收到的郵件。
Gmail 的資料遺失防護功能如何運作?
使用者傳送或接收電子郵件訊息時,資料遺失防護功能會掃描郵件是否含有機密內容。如果郵件或附件違反規則,系統就會對郵件套用規則中定義的動作。
Gmail 資料遺失防護流程
- 新增資料保護規則,定義敏感內容,以及如何處理含有敏感內容的郵件。
- 使用者傳送或接收電子郵件訊息時,資料遺失防護功能會掃描內容,檢查是否符合規則條件。
- 如果符合,資料遺失防護功能就會套用規則中定義的動作。
- 所有事件都會記錄在規則記錄事件中以供審查。
支援的附件檔案類型
資料保護規則會掃描下列類型的附件:
- 文件檔案類型:TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 圖片檔案類型 (啟用 OCR 功能時):EPS、BMP、GIF、JPEG、PNG 和 PDF 檔案中的圖片
- 壓縮檔案類型:BZIP、RAR、TAR、ZIP
- 自訂檔案類型:HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
注意:除了掃描附件中的內容,資料遺失防護功能還會評估檔案中繼資料,例如檔案名稱和副檔名。
多個附件
如果郵件有多個附件,只要任一附件符合規則條件,就會觸發規則。如果規則包含 NOT 條件,這可能會導致預料之外的結果。舉例來說,如果使用「NOT(content contains SSN)」條件,且其中一個附件包含社會安全號碼 (SSN),則條件為 true,系統不會觸發規則。
瞭解觸發條件
在設定規則要檢查哪些內容之前,您需要先指定觸發條件,也就是啟動掃描程序的事件。Gmail 資料遺失防護的觸發條件如下:
- 已傳送郵件:掃描外寄郵件和附件。
- 收到郵件:掃描內送郵件和附件。
瞭解資料遺失防護動作
當系統偵測到機密內容,規則會強制執行動作。你可以從下表所列的動作中選擇。
如果某個情況同時觸發多項規則,但各規則設定的處理動作不同,系統將優先執行「最嚴格」的動作。舉例來說,如果某項規則是在偵測到社會安全號碼 (SSN) 時對使用者發出警告,而另一項規則是禁止使用 SSN,系統便會觸發後者,讓使用者無法傳送或接收電子郵件。
如果選取「收到郵件」做為觸發條件,則只能選擇「僅限稽核」和「套用分類標籤」動作。
| 動作 | 說明 |
|---|---|
| 封鎖訊息 |
僅限外寄郵件。禁止發送電子郵件,並向使用者傳送通知。您也可以選擇為使用者加入自訂訊息。系統會記錄該事件。 |
| 警告使用者 |
僅限外寄郵件。顯示警告訊息後,允許使用者繼續操作。您也可以選擇為使用者加入自訂警告訊息。 如果使用者選擇繼續操作,系統會將此動作記錄在記錄事件中。 |
| 隔離郵件 |
僅限外寄郵件。將郵件放入隔離區,供管理員審查,再決定要傳送或退回郵件。您也可以選擇套用隔離條件,或為使用者新增自訂訊息。 詳情請參閱「 設定電子郵件隔離區」。 |
| 僅限稽核 |
允許使用者繼續操作不間斷,並記錄事件。 您可以選擇稽核外部寄件者、內部寄件者或兩者的郵件。 |
| 套用分類標籤 |
將現有分類標籤套用至相符的電子郵件。系統僅支援設有「選項清單」欄位類型的標記標籤和標準標籤。您可以選擇對外部寄件者、內部寄件者或兩者的郵件套用分類標籤。 資料保護規則無法同時以分類標籤做為條件和動作。 詳情請參閱「 Gmail 資料遺失防護和自動分類標籤」。 |
| 新增自訂附註 |
僅限外寄郵件。在相符的電子郵件訊息中,新增自訂標頭或註腳。 詳情請參閱「 在外寄郵件中新增分類附註」。 |
瞭解資料遺失防護功能的條件
您可以建立無條件的資料保護規則。在這種情況下,規則會套用至所有傳送的郵件、所有收到的檔案,或兩者皆是 (視您選取的觸發條件而定)。
您也可以在資料保護規則中指定條件,讓系統只掃描符合條件的內容或活動。您可以選擇使用預先定義的資料類型,或是建立自訂內容偵測器。您也可以使用 AND、OR 或 NOT 運算子,組合多個條件。您可以使用鄰近比對定義資料機密程度,讓系統只在內容出現在其他關鍵字或模式的特定距離內時偵測內容。
詳情請參閱「如何使用預先定義的內容偵測工具」、「建立自訂偵測工具」和「使用巢狀條件運算子的規則範例」。
注意:根據檔案名稱、副檔名或檔案類型設定的條件,僅適用於電子郵件附件。系統不會掃描電子郵件郵件內文或主旨行中的這些屬性。
| 掃描內容類型 | 掃描用途 | 詳細資訊與用途 |
|---|---|---|
| 所有內容 |
與預先定義的資料類型相符 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
掃描所有內容是否含有私密資訊。 「所有內容」選項只會掃描 5 種標頭類型:主旨、收件者、寄件者、密件副本和副本。這些標頭可立即同步掃描。如要掃描所有郵件標頭,建議採用下列任一做法:
|
| 內文 |
比對預先定義的資料類型 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
掃描郵件內文和附件是否含有機密資訊。 系統會同步掃描郵件內文,並對附件執行非同步掃描。 |
| 分類標籤 | Is |
郵件是否已套用分類標籤。詳情請參閱「 Gmail 資料遺失防護和自動分類標籤」。 資料保護規則無法同時以分類標籤做為條件和動作。 |
| 機密模式狀態 | 已啟用 已停用 |
郵件是否已啟用機密模式。詳情請參閱「 使用機密模式保護 Gmail 郵件」。 |
| 電子郵件標頭 |
比對預先定義的資料類型 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
掃描電子郵件標頭是否含有機密資訊。 雖然系統會以非同步方式掃描大部分標頭,但會以同步和非同步方式掃描主旨、收件者、寄件者、密件副本和副本標頭。 為避免干擾使用者,請勿對無法使用的電子郵件標頭設定排除比對條件 ( |
| 主旨 |
比對預先定義的資料類型 包含文字字串 包含字詞 符合規則運算式 與字詞清單中的字詞相符 |
同步掃描電子郵件主旨是否含有私密資訊。 |
| 檔案名稱 |
包含文字字串 包含字詞 |
掃描電子郵件附件的實際檔案名稱。這項條件不會掃描電子郵件內文或主旨行。 |
| 副檔名 |
等於任何文字字串 |
掃描電子郵件附件的副檔名。 請勿加上句號 (輸入 pdf,而非 .pdf)。 |
| 檔案類型 |
符合常見的 MIME 類型 符合自訂 MIME 類型 符合系統檔案類別 |
掃描電子郵件附件的結構性檔案類型 (MIME 類型),找出特定媒體格式或系統檔案類別,無論副檔名為何。這項條件不會掃描電子郵件內文或主旨。 |
建立規則
決定規則的用途後,即可開始建立規則。詳情請參閱「建立資料保護規則」。
常見用途
請參考下表範例,瞭解如何將觸發條件 (使用者的操作)、檢查條件 (系統判定的標準) 和執行動作 (規則的處理方式) 結合,設定您的資料遺失防護政策。這張表格的使用步驟如下:
- 選取觸發條件。
- 將條件值對應至相應選項。
- 選取動作。
| 用途 | 觸發 | 條件 | 動作 |
|---|---|---|---|
| 在 Gmail 郵件或附件含有信用卡號碼時發出警告 | Google Gmail  訊息已傳送 |
內容類型:所有內容 比對項目:預先定義的資料類型 資料類型:全域 &mdash 信用卡號碼 可能性門檻:高 不重複相符項目數下限:1 相符項目數下限:1 |
警告使用者 |
| 如果 Gmail 郵件內文含有美國個人稅號,且郵件未採用機密模式,系統就會禁止寄出該郵件 | Google Gmail 訊息已傳送 |
條件 1: 內容類型:內文 比對項目:預先定義的資料類型 資料類型:美國 - 個人納稅識別號碼
條件 2: 內容類型:機密模式狀態 值:已停用 |
封鎖訊息 |
| 稽核內送電子郵件 | Google Gmail 收到郵件 |
內容類型:電子郵件標頭 比對:符合規則運算式 值:內部 &mdash 工具 模式重複次數下限:1 |
僅限稽核 |
瞭解資料遺失防護規則的優先順序和衝突
如果電子郵件觸發一或多項資料遺失防護 (DLP) 規則,Gmail 會採取行動保護電子郵件中的資料。如果單一郵件觸發多項規則,Gmail 會按照一組優先順序步驟,確保系統優先採取最重要或最能保護資料的行動。
舉例來說,如果郵件適用多項規則,Gmail 會封鎖郵件,而不是隔離郵件;隔離郵件,而不是發出警告。這樣一來,系統就能確保敏感資料一律會根據適用郵件的最嚴格規則處理。
資料遺失防護動作類型
系統會根據動作對郵件或使用者的影響進行分類。下表使用了一些術語,說明如下:
- 用戶端:使用者撰寫郵件時,在 Gmail 撰寫檢視畫面中發生的動作,例如警告對話方塊。
- 伺服器端:使用者點選新郵件中的「傳送」後,Gmail 傳送系統處理郵件時執行的動作。
- 衝突:當兩項不同的規則套用至同一封電子郵件訊息時,舉例來說,一項規則是警告使用者,另一項規則是禁止傳送郵件。
| 動作類別 | 說明 | 發生時機 | 範例 |
| 放送控制選項 | 變更電子郵件是否實際傳送。這些是最重要的。 | 撰寫郵件時和傳送郵件後 | 封鎖、隔離、警告使用者 |
| 報表和記錄 | 保留事件記錄,供您日後查看,不會干擾訊息傳送 | 撰寫郵件時和傳送郵件後 | 僅稽核 |
| 訊息中繼資料變更 | 更新電子郵件中的隱藏資訊或標籤 (例如機密性標籤) | 撰寫郵件時和傳送郵件後 這些動作一律會對訊息執行,與啟用的其他動作無關。標籤是在使用者撰寫郵件時新增,但郵件儲存在系統後通常無法變更。 |
套用標籤 |
| 電子郵件變更 | 在實際電子郵件中新增或變更文字 | 僅在傳送後 | 新增頁尾 |
| 快訊 | 傳送通知給管理員或特定使用者 | 撰寫郵件時和傳送郵件後 | 快訊中心通知 |
Gmail 如何管理資料遺失防護規則的優先順序和衝突
如果郵件觸發多項規則,Gmail 會使用下列邏輯決定如何將規則套用至郵件:
放送優先順序 - 最嚴格到最寬鬆
如果郵件適用多項規則,Gmail 只會套用限制最嚴格的規則。郵件動作的優先順序如下:
- 封鎖郵件 (最高優先順序):系統會立即封鎖郵件,使用者會收到郵件未傳送的警示。
- 隔離郵件:系統會暫緩傳送電子郵件,等待管理員核准或拒絕,使用者則會收到快訊。
- 警告使用者:使用者會收到警示,提醒他們郵件含有機密內容。他們可以選擇繼續傳送訊息。
如果郵件觸發多項動作相同的 DLP 規則 (例如封鎖郵件),Gmail 只會套用其中一項規則。Gmail 會依規則資源名稱的字母順序套用第一項規則。舉例來說,如果郵件觸發 2 項封鎖規則,規則資源名稱分別為 policies/abb7a1e4c9f2d8a 和 policies/bb7aa1e4c9f2d8a,Gmail 只會套用 policies/abb7a1e4c9f2d8a 規則,並忽略其他規則。
如何找出規則的資源名稱
如要找出資料遺失防護規則的規則資源名稱,請使用安全調查工具 (SIT)。在「規則詳細資料」頁面左側,按一下「調查規則」,開啟該規則的 SIT 頁面。規則資源名稱會顯示在「規則 ID」欄位中,格式如下:policies/resource-name
解決標籤衝突 - 系統和使用者
如果規則嘗試套用標籤 (例如「公開」或「機密」):
- 資料遺失防護和資料遺失防護:如果新資料遺失防護規則套用的標籤與舊規則不同,系統會優先套用新標籤,並取代舊標籤。
- 使用者和資料遺失防護:如果使用者手動選取標籤,且啟用的資料遺失防護規則允許使用者覆寫,Gmail 就不會以自動資料遺失防護標籤取代使用者選取的標籤。
訊息內容異動
相較於 DLP 傳送動作規則 (警告、隔離、封鎖),透過 DLP 規則變更郵件內容的優先順序較低。郵件內容變更的例子包括在郵件中新增註腳,以及在郵件主旨中新增前置詞。
如果郵件觸發多項會加入註腳的規則,Gmail 會根據每項規則的資源名稱,依字母順序套用規則,並加入所有註腳。瞭解如何找出規則的資源名稱。
記錄和快訊
- 報表:Gmail 會記錄每個啟用的規則,即使動作因其他規則優先而遭到略過,也會一併記錄。
- 快訊:只有在實際發生特定動作時,使用者才會收到快訊。舉例來說,如果設定了隔離動作,但郵件遭到封鎖,使用者就不會收到隔離快訊。
關於同步和非同步掃描
傳送 Gmail 郵件時,系統會以同步或非同步方式掃描規則:
同步掃描:系統會在使用者點選「傳送」時,掃描資料保護規則。如果郵件含有敏感內容,使用者會在郵件離開信箱前收到通知。系統會同步掃描 Gmail 網頁版和 Gmail 行動應用程式。
注意:系統也會掃描使用者儲存為草稿的電子郵件,並通知使用者是否有任何敏感內容。
非同步掃描:系統會在郵件離開寄件者信箱後掃描資料保護規則。使用者會收到訊息,說明郵件在傳送給收件者之前遭到封鎖或隔離。如果使用者透過第三方電子郵件應用程式傳送郵件,且同步掃描失敗,系統就會執行非同步掃描。
收到 Gmail 郵件時,系統會先掃描規則,再將郵件傳送到收件者的信箱。
已傳送郵件的同步和非同步掃描結果
同步掃描:Gmail 網頁版或行動版
觸發含有「封鎖訊息」動作的規則時:
- 系統會顯示快訊,指出無法傳送當前狀態的郵件。您可以在規則中自訂這則快訊的內容。
- 快訊中會顯示「返回編輯」選項,方便使用者返回編輯郵件,並更新或移除機密內容。
- 使用者編輯完畢並重新傳送時,系統會再次掃描,檢查郵件是否符合所有適用規則。
觸發含有「警告使用者」動作的規則時:
- 系統會顯示快訊,指出訊息可能含有機密內容。您可以在規則設定選項中新增自訂快訊。
- 快訊中會顯示「返回編輯」選項,方便使用者返回編輯郵件,並更新或移除機密內容。
- 快訊中會顯示「仍要傳送」選項,允許使用者不經修改直接傳送郵件。
觸發含有「隔離郵件」動作的規則時:
- 系統會顯示快訊,指出訊息可能含有機密內容。您可以在規則設定選項中新增自訂快訊。
- 方塊中會顯示「返回編輯」選項,使用者可視需要返回編輯郵件,並更新或移除機密內容。
- 方塊中也會顯示「提交審查」按鈕,方便使用者將郵件傳送給管理員或其他授權使用者審查。審查完畢後,管理員可以核准將郵件傳送給收件者,或是封鎖郵件並禁止傳送。
觸發含有「僅限稽核」動作的規則時:
- 使用者不會收到快訊,郵件會傳送給收件者。
- 郵件事件會記錄在稽核記錄中。
注意:即使郵件已經過同步掃描,系統仍可能以非同步方式再次掃描,做為額外的安全措施。這可能會導致系統封鎖郵件,即使在同步掃描期間沒有顯示對話方塊也一樣。
非同步掃描:Gmail (使用 SMTP) 和第三方電子郵件應用程式
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
觸發含有「警告使用者」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
- 如果使用透過 SMTP 連線至 Gmail 的第三方電子郵件應用程式傳送郵件,則含有「警告使用者」動作的規則會執行「封鎖郵件」規則的動作。
觸發含有「隔離郵件」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 如果郵件未傳送,寄件者會收到快訊,指出郵件遭到隔離。您可以在規則中自訂這則快訊的內容。
觸發含有「僅限稽核」動作的規則時:
- 寄件者不會收到通知,郵件會傳送給收件者。
非同步掃描:Gmail 網頁版或行動版
透過網頁或行動應用程式使用 Gmail 時,系統會以非同步方式再次掃描郵件,提供額外的安全防護。
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
觸發含有「警告使用者」動作的規則時,郵件會正常送出:
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 郵件事件會記錄在規則記錄事件中
觸發含有「隔離郵件」動作的規則時:
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 如果審查人員禁止傳送郵件,寄件者可能會在稍後收到通知。
觸發含有「僅限稽核」動作的規則時:
- 寄件者不會收到任何通知,郵件會傳送給收件者。
由其他 Google 產品自動建立的郵件
Gmail 會傳送其他 Google 和 Google Workspace 服務 (包括 Google 日曆、文件和雲端硬碟) 自動建立的通知和郵件。舉例來說,如果有人在 Google 日曆中建立活動並邀請賓客,系統會建立含有活動詳細資料的 Gmail 郵件,並傳送給活動參與者。郵件會在伺服器端接受掃描,如果內容符合任何規則的條件,系統就會套用規則動作。
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則通知的內容。
觸發含有「警告使用者」動作的規則時:
- 郵件會照常傳送。
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 郵件事件會記錄在規則記錄事件中
觸發含有「隔離郵件」動作的規則時:
- 如果審查人員禁止傳送郵件,寄件者可能會在稍後收到通知。
觸發含有「僅限稽核」動作的規則時:
- 郵件會照常傳送。
- 寄件者不會收到任何通知。
Gmail 資料遺失防護互動
資料遺失防護與其他電子郵件規則之間的互動情形為何?
系統會先評估資料保護規則,再評估內容規範規則和轉送規則。
如果資料保護規則不允許封鎖或隔離郵件,系統會依據內容規範和轉送規則評估郵件。如果內容規範或轉送規則套用某項會建立郵件副本的動作 (例如新增收件者),資料遺失防護功能會在傳送新郵件副本前先行掃描。
詳情請參閱「設定進階電子郵件內容篩選規則」。
Gmail 的資料遺失防護功能如何與群組互動?
只有在為整個組織設定規則時,資料保護規則才會套用至群組。針對傳送的郵件,資料保護規則只支援對群組執行「封鎖郵件」動作,不支援「警告使用者」和「隔離郵件」動作。
對於收到的郵件,資料保護規則會套用至群組收到的原始副本。如果郵件套用了分類標籤,所有群組成員收到的郵件副本都會有相同的分類。
使用安全調查工具調查資料保護規則事件
針對「規則記錄事件」執行搜尋
下列範例將執行搜尋作業,調查觸發資料保護規則的 Gmail 郵件。您可以在搜尋條件中使用其他條件,或不設定任何條件。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」
「調查工具」。必須擁有安全中心管理員權限。
- 依序按一下「資料來源」「規則記錄事件」。
- 依序點選「條件建構工具」「新增條件」「屬性」「規則類型」。
- 選取「資料遺失防護」。
- 按一下 [搜尋]。
在頁面底部的搜尋結果中,您可以查看事件清單和各事件的詳細資料。注意:Gmail 資料遺失防護功能不支援機密內容摘要。因此,即使郵件含有觸發資料保護規則的機密內容,「含有機密內容」欄仍會顯示「否」。
- 捲動至「資源 ID」欄,然後按一下「選單」圖示
,即可查看「Gmail 記錄事件」和「郵件 ID」。 - 按一下「搜尋」即可開啟新的搜尋頁面,其中資料來源為「Gmail 記錄事件」。
- 如要查看其他詳細資料,請點選搜尋結果中任一行的「郵件 ID」。側邊面板會顯示與調查相關的其他詳細資料。
- 如果出現提示,請輸入需要查看 Gmail 內容的業務需求,然後按一下「確認」。
使用 BigQuery 匯出資料遺失防護違規記錄
您可以將規則記錄事件中的資料遺失防護違規事件匯出至自訂表格,以便進一步調查。詳情請參閱「設定將服務記錄匯出到 BigQuery」。
提供意見
在管理控制台中的任意資料保護頁面上,按一下「提供意見」。