支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。比较您的版本
借助 Gmail 的数据泄露防护 (DLP) 功能,您可以创建数据保护规则,以便管理用户在电子邮件中分享的敏感内容。借助 Gmail 的数据泄露防护功能,规则适用于发送给组织内外人员的邮件,也适用于从组织内外人员收到的邮件。
Gmail 的数据泄露防护功能如何发挥作用?
当用户发送或接收电子邮件时,数据泄露防护功能会扫描邮件是否包含敏感内容。如果邮件或附件违反了规则,系统便会对邮件执行规则中定义的操作。
Gmail 的数据泄露防护流程
- 添加数据保护规则,以定义敏感内容以及对包含敏感内容的邮件执行的操作。
- 当用户发送或接收电子邮件时,数据泄露防护功能会扫描内容是否与规则匹配。
- 如果匹配到规则,DLP 会应用规则中定义的操作。
- 所有事件都会记录在规则日志事件中以供审核。
支持的附件文件类型
数据保护规则会扫描以下附件类型:
- 文档文件类型 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 图片文件类型(当 OCR 处于开启状态时)- EPS、BMP、GIF、JPEG、PNG 以及 PDF 文件中的图片
- 压缩文件类型 - BZIP、RAR、TAR、ZIP
- 自定义文件类型 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
注意:除了扫描附件中的内容外,DLP 还会评估文件元数据,例如文件名和文件扩展名。
多个附件
如果邮件包含多个附件,那么只要其中任何一个附件符合规则条件,就会触发相应规则。有时,这会导致包含 NOT 条件的规则产生意外结果。例如,如果使用了 NOT(content contains SSN) 条件,并且其中一个附件包含 SSN,则该条件为 true,并且不会触发相应规则。
了解触发器
在定义规则应查找的内容之前,您需要指定启动扫描过程的触发器。对于 Gmail 数据泄露防护功能,触发器包括:
- 已发送的邮件 - 系统会扫描外发邮件和附件。
- 收到邮件 - 系统会扫描收到的邮件和附件。
了解数据泄露防护操作
当检测到敏感内容时,规则会强制执行相应操作。您可以从下表中列出的操作中进行选择。
如果您创建的规则类似,但响应操作有所不同,那么系统将执行其中更严格的响应操作。例如,如果一条规则是在检测到社会保障号 (SSN) 时向用户发出警告,而另一条规则是禁止用户使用 SSN,那么系统将触发禁止规则,并且用户将无法发送或接收相应电子邮件。
如果您选择收到邮件作为触发条件,则唯一可用的操作是仅记入审核日志和应用分类标签。
| 操作 | 说明 |
|---|---|
| 屏蔽邮件 |
仅限出站邮件。阻止电子邮件递送,并向用户发送通知。(可选)您可以为用户添加自定义消息。系统会记录相应活动。 |
| 警告用户 |
仅限出站邮件。允许用户在收到警告消息后继续操作。(可选)您可以为用户添加自定义警告消息。 用户选择继续操作的决定会记录在日志事件中。 |
| 隔离邮件 |
仅限发出的邮件。将邮件放入隔离区,以便管理员在邮件发送或退回之前进行审核。您可以选择应用隔离条件或为用户添加自定义消息。 有关详情,请参阅设置电子邮件隔离。 |
| 仅记入审核日志 |
允许用户不受干扰地继续操作,并记录该事件。 您可以选择审核来自外部发送者、内部发送者或两者的消息。 |
| 应用分类标签 |
将现有分类标签应用于匹配的电子邮件。仅支持字段类型为选项列表的标记标签和标准标签。您可以选择为外部发件人、内部发件人或同时为这两类发件人发送的邮件应用分类标签。 数据保护规则不能同时将分类标签用作条件和操作。 如需了解详情,请参阅 Gmail 数据泄露防护和自动分类标签。 |
| 添加自定义备注 |
仅限出站邮件。为匹配的电子邮件添加自定义页眉或页脚。 如需了解详情,请参阅 向外发邮件添加分类备注。 |
了解数据泄露防护条件
您可以创建不含条件的数据保护规则。在这种情况下,该规则适用于所有已发送的消息、所有已接收的文件,或同时适用于两者(具体取决于您选择的触发条件)。
或者,您可以在数据保护规则中指定条件,以便定义要扫描的内容或活动。您可以使用预定义的数据类型,也可以创建自己的自定义内容检测器。您还可以使用 AND、OR 或 NOT 运算符组合多个条件。您可以使用邻近匹配来定义数据敏感度,以便仅当内容出现在其他关键字或模式的特定距离内时才进行检测。
如需了解详情,请参阅如何使用预定义的内容检测器、创建自定义检测器以及使用嵌套条件运算符的规则示例。
注意:基于文件名、文件扩展名或文件类型的条件仅适用于电子邮件附件。系统不会扫描电子邮件正文或主题行中的这些属性。
| 要扫描的内容类型 | 要扫描的内容 | 详细信息与用法 |
|---|---|---|
| 所有内容 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描所有内容是否含有敏感信息。 所有内容选项仅会扫描 5 种标头类型:主题、收件人、发件人、密送和抄送。这些标头可以立即用于同步扫描。如需扫描所有邮件标头,我们建议使用以下任一选项:
|
| 正文 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描邮件正文和附件中是否包含敏感信息。 系统会同步扫描邮件正文,并异步扫描附件。 |
| 分类标签 | Is |
邮件是否已应用分类标签。如需了解详情,请参阅 Gmail 数据泄露防护和自动分类标签。 数据保护规则不能同时将分类标签用作条件和操作。 |
| 机密模式状态 | 已启用 已停用 |
邮件是否启用了机密模式。如需了解详情,请参阅 使用机密模式保护 Gmail 邮件。 |
| 电子邮件标头 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描电子邮件标头以检查是否存在敏感信息。 虽然大多数标头都是异步扫描的,但“主题”“收件人”“发件人”“密送”和“抄送”标头都是异步兼同步扫描的。 为避免影响用户,请勿对不可用的电子邮件标头设置否定匹配条件(即 |
| 主题 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
同步扫描电子邮件主题,以检查是否存在敏感信息。 |
| 文件名 |
包含文本字符串 包含字词 |
扫描电子邮件附件的字面文件名。此条件不会扫描电子邮件正文或主题行。 |
| 文件扩展名 |
等于任意文本字符串 |
扫描电子邮件附件的文件扩展名。 请勿添加句点(输入 pdf,而不是 .pdf)。 |
| File type |
与通用 MIME 类型匹配 与自定义 MIME 类型匹配 与系统文件类别匹配 |
扫描电子邮件附件的结构性文件类型 (MIME 类型),以识别特定的媒体格式或系统文件类别,无论扩展名文本如何显示。此条件不会扫描电子邮件正文或主题行。 |
创建规则
确定规则的用途后,您就可以创建规则了。如需了解详情,请参阅创建数据保护规则。
常见使用场景
下表提供了一些示例,说明如何将触发器(用户执行的操作)、条件(检查的内容)和特定操作(强制执行)结合起来,以定义数据泄露防护政策。如需使用此表格,您必须:
- 选择触发器。
- 将条件值映射到相应选项。
- 选择一项操作。
| 应用场景 | 触发器 | 条件 | 操作 |
|---|---|---|---|
| 当 Gmail 邮件或附件包含信用卡号时,向用户显示警告 | Google Gmail  已发送消息 |
内容类型:所有内容 匹配:与预定义的数据类型匹配 数据类型:全球 &mdash 信用卡号 可能性阈值:高 不重复匹配数量下限:1 最低相符项目数:1 |
警告用户 |
| 当 Gmail 邮件正文包含美国个人税号,且邮件未采用机密模式时,系统会阻止发送该邮件 | Google Gmail 已发送消息 |
条件 1: 内容类型:正文 匹配:与预定义的数据类型匹配 数据类型:美国 - 个人纳税人识别号
条件 2: 内容类型:机密模式状态 值:已停用 |
屏蔽邮件 |
| 审核入站电子邮件 | Google Gmail 收到消息 |
内容类型:电子邮件标头 匹配:与正则表达式匹配 值:内部 &mdash 工具 正则表达式重复的最少次数:1 |
仅记入审核日志 |
了解数据泄露防护规则优先级和冲突
当电子邮件触发一项或多项数据泄露防护 (DLP) 规则时,Gmail 会采取措施来保护电子邮件中的数据。如果一封邮件触发了多条规则,Gmail 会按照一组优先级步骤来确保首先执行最重要或最具保护性的操作。
例如,如果有多项规则适用于同一封邮件,则 Gmail 会屏蔽该邮件,而不是将其隔离;会隔离该邮件,而不是发出警告。这样可确保敏感数据始终按照适用于相应邮件的最严格规则进行处理。
DLP 操作类型
操作会根据其对消息或用户的影响进行分类。下表中使用了一些术语:
- 客户端 - 在用户撰写邮件时,Gmail“撰写”视图中发生的操作,例如警告对话框。
- 服务器端 - 用户在新邮件中点击“发送”后,在 Gmail 的传送系统处理邮件时发生的操作。
- 冲突 - 当两条不同的规则应用于同一电子邮件时。例如,一条规则是警告用户,另一条规则是阻止发送消息。
| 操作类别 | 说明 | 发生这种情况时 | 示例 |
| 投放控制 | 更改电子邮件是否实际发送。这些是最重要的。 | 撰写时和发送后 | 屏蔽、隔离、向用户发出警告 |
| 报告和日志 | 记录活动,以便您日后查看,而不会干扰消息 | 撰写时和发送后 | 仅审核 |
| 消息元数据变更 | 更新电子邮件中的隐藏信息或标签(例如敏感度标签) | 撰写时和发送后 这些操作始终针对消息执行,不受任何其他已激活的操作影响。标签是在用户撰写消息时添加的,但通常在消息已存储在系统中后无法更改。 |
应用标签 |
| 电子邮件更改 | 在实际电子邮件中添加或更改文本 | 仅发送后 | 添加页脚 |
| 提醒 | 向管理员或特定人员发送通知 | 撰写时和发送后 | 提醒中心通知 |
Gmail 如何管理数据泄露防护规则的优先级和冲突
如果一封邮件触发了多项规则,Gmail 会使用以下逻辑来决定如何将规则应用于该邮件:
投放优先级 - 从最严格到最不严格
如果有多条规则适用于同一封邮件,Gmail 只会应用限制最严格的规则。邮件操作的优先级如下:
- 屏蔽邮件(最高优先级) - 系统会立即阻止发送邮件,并向用户发送邮件未发送的提醒。
- 隔离邮件 - 电子邮件会被保留,等待管理员批准或拒绝发送,用户会收到提醒。
- 警告用户 - 用户会收到一条提醒,警告其消息内容存在问题。他们可以选择照常发送消息。
如果某封邮件触发了多条具有相同操作(例如屏蔽邮件)的数据泄露防护规则,Gmail 只会应用其中一条规则。Gmail 会应用规则资源名称按字母顺序排列的第一条规则。例如,如果某封邮件触发了两条屏蔽规则,一条规则的资源名称为 policies/abb7a1e4c9f2d8a,另一条规则的资源名称为 policies/bb7aa1e4c9f2d8a,则 Gmail 只会应用 policies/abb7a1e4c9f2d8a 规则,而忽略另一条规则。
如何查找规则的资源名称
如需查找数据泄露防护规则的规则资源名称,请使用安全调查工具 (SIT)。在“规则详情页面”的左侧,点击调查规则以打开相应规则的 SIT 页面。规则资源名称显示在 Rule ID 字段中,格式如下:policies/resource-name
解决标签冲突 - 系统标签和用户标签
如果规则尝试应用标签(例如“公开”或“机密”):
- DLP 和 DLP - 如果新 DLP 规则应用的标签与旧 DLP 规则应用的标签不同,系统会优先应用新标签并替换旧标签。
- 用户和数据泄露防护 - 如果用户手动选择了一个标签,并且已激活的数据泄露防护规则允许用户替换,那么 Gmail 不会将用户选择的标签替换为自动数据泄露防护标签。
消息内容方面的变化
通过数据泄露防护规则进行的邮件内容更改的优先级低于数据泄露防护传递操作规则(警告、隔离、屏蔽)。邮件内容更改的示例包括为邮件添加页脚和为邮件主题添加前缀。
如果某封邮件触发了多条添加页脚的规则,Gmail 会根据每条规则的资源名称按字母顺序应用这些规则,并添加所有页脚。了解如何查找规则的资源名称。
记录和提醒
- 报告:Gmail 会记录每条已激活的规则,即使由于另一条规则具有优先权而跳过了相应操作,也会进行记录。
- 提醒:只有在实际发生特定操作时,用户才会收到提醒。例如,如果设置了隔离操作,但邮件实际上被屏蔽了,用户就不会收到隔离提醒。
同步扫描和异步扫描简介
发送 Gmail 邮件时,系统可以同步或异步扫描规则:
同步扫描 - 用户点击发送时会触发数据保护规则扫描。系统会在邮件离开用户邮箱之前通知用户是否包含敏感内容。网页版 Gmail 和 Gmail 移动应用会执行同步扫描。
注意:系统还会扫描用户保存为草稿的电子邮件,并就任何敏感内容通知用户。
异步扫描 - 邮件离开发件人邮箱后,系统会扫描数据保护规则。在邮件递送给收件人之前,用户会收到邮件被阻止或隔离的通知。当用户使用第三方电子邮件应用发送邮件且同步扫描失败时,系统会执行异步扫描。
收到 Gmail 邮件后,系统会在将邮件递送到收件人的邮箱之前扫描规则。
同步扫描和异步扫描对已发送邮件的结果
同步扫描:网页版或移动版 Gmail
当包含屏蔽邮件操作的规则被触发时:
- 系统会显示一条提醒,说明邮件在当前状态下无法发送。您可以在此提醒的规则中添加自定义消息。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 用户修改并重新发送邮件后,系统会根据所有适用规则再次扫描并检查该邮件。
当包含警告用户操作的规则触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 此提醒包含仍然发送选项,允许用户发送当前状态的邮件。
当包含隔离邮件操作的规则触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户选择返回修改邮件,并更新或移除敏感内容。
- 该框包含一个提交以供审核按钮,允许用户将邮件发送给管理员或其他授权用户审核。管理员审核邮件后,可以批准发送给收件人,或阻止其发送。
当触发了具有仅记入审核日志操作的规则时:
- 用户不会看到任何提醒,邮件将递送给收件人。
- 系统会在审核日志中记录消息事件。
注意:作为额外的安全措施,系统可能会异步再扫描同步扫描的邮件。这可能会导致消息被屏蔽,即使在同步扫描期间未显示任何对话框也是如此。
异步扫描:Gmail(使用 SMTP)和第三方电子邮件应用
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户操作的规则触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
- 对于使用通过 SMTP 与 Gmail 连接的第三方电子邮件应用发送的邮件,采用警告用户操作的规则的行为方式与采用屏蔽邮件操作的规则相同。
当系统触发包含隔离邮件操作的规则时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 如果邮件未发送,发件人可能会收到提醒,说明邮件已被隔离。您可以在此提醒的规则中添加自定义消息。
当触发了具有仅记入审核日志操作的规则时:
- 发件人不会收到通知,并且邮件会递送给收件人。
异步扫描:网页版或移动版 Gmail
当您在网页版或移动应用中使用 Gmail 时,系统会出于额外的安全考虑,再次异步扫描邮件。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户操作的规则触发时,系统会发送消息:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则触发时:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 如果审核员阻止了邮件发送,收件人日后可能会收到通知。
当触发了具有仅记入审核日志操作的规则时:
- 发件人不会收到任何通知,并且邮件会递送给收件人。
其他 Google 产品自动创建的消息
Gmail 会发送由其他 Google 和 Google Workspace 服务(包括 Google 日历、文档和云端硬盘)创建的自动通知和邮件。例如,当某人在 Google 日历中创建活动并邀请嘉宾时,系统会创建一封包含活动详细信息的 Gmail 邮件,并将其发送给活动参与者。系统会在服务器端扫描邮件。如果邮件内容符合任何规则中的条件,系统就会应用相应规则操作。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在相应规则中为此通知添加自定义邮件。
当包含警告用户操作的规则触发时:
- 邮件已发送。
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则触发时:
- 如果审核员阻止了发件人发送消息,发件人日后可能会收到通知。
当触发了具有仅记入审核日志操作的规则时:
- 邮件已发送。
- 发件人不会收到任何通知。
Gmail 的数据泄露防护功能互动
数据泄露防护功能如何与其他电子邮件规则配合使用?
数据保护规则会在内容合规性规则和转送规则之前进行评估。
如果数据保护规则不接受对邮件执行屏蔽或隔离操作,则系统会根据内容合规性规则和路由规则对邮件进行评估。如果内容合规性规则或路由规则应用了会创建邮件另一个副本的操作(例如,添加新的收件人),DLP 会先扫描邮件的新副本,然后再将其发送。
如需了解详情,请参阅设置高级电子邮件内容过滤的规则。
Gmail 的数据泄露防护功能如何与群组互动?
只有在为整个组织设置数据保护规则时,这些规则才会应用于群组。对于已发送的邮件,数据保护规则仅支持针对群组执行屏蔽邮件操作。警告用户和隔离邮件操作不支持应用于群组。
对于收到的邮件,数据保护规则适用于群组收到的原始副本。如果邮件应用了分类标签,那么所有群组成员收到的邮件副本都将具有相同的分类。
使用安全调查工具调查数据保护规则事件
搜索规则日志事件
以下示例会运行搜索,以调查触发了数据保护规则的 Gmail 邮件。您可以在搜索中使用其他条件,也可以完全不设条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性
安全中心
调查工具。需要拥有安全中心管理员权限。
- 依次点击数据源 规则日志事件。
- 依次点击条件构建器 添加条件 属性 规则类型。
- 选择数据泄露防护。
- 点击搜索。
在页面底部的搜索结果中,您可以查看事件列表,以及每个事件的详细信息。注意:Gmail 的数据泄露防护不支持显示敏感内容片段。因此,即使邮件包含已触发数据保护规则的敏感内容,是否包含敏感内容列也会显示“否”。
- 滚动到资源 ID 列,然后点击“菜单”图标
以显示 Gmail 日志事件和邮件 ID。 - 点击搜索以打开一个新的搜索页,其中 Gmail 日志事件为数据源。
- 如需查看更多详细信息,请点击搜索结果中任意行的邮件 ID。此时会显示一个侧边栏,其中包含有关此次调查的更多详细信息。
- 如果系统提示,请输入查看 Gmail 内容的业务需求,然后点击确认。
使用 BigQuery 导出 DLP 违规问题
您可以将记录在规则日志事件中的 DLP 违规行为导出到自定义表格,以便进一步调查。如需了解详情,请参阅设置将服务日志导出至 BigQuery 的功能。
分享反馈
在管理控制台中的任何数据保护页面上,点击发送反馈。