支持此功能的版本:一线员工标准版和一线员工 Plus 版;企业标准版和企业 Plus 版;教育基础版、教育标准版和教育 Plus 版。 版本对比
Gmail 的数据泄露防护功能也可供符合以下条件的 Cloud Identity 专业版用户使用:这些用户还获得了包括 Gmail 在内的 Google Workspace 版本的许可。
您可以在 Google 管理控制台中创建数据泄露防护 (DLP) 规则,以管理用户在电子邮件中分享的敏感内容。借助 Gmail 数据泄露防护功能,规则适用于发送给组织内外人员的邮件。使用规则识别敏感信息,并帮助防止其被不当共享。
本页内容
- Gmail 的数据泄露防护功能
- Gmail 的数据泄露防护功能如何发挥作用?
- 同步扫描和异步扫描简介
- 同步扫描和异步扫描的结果
- 系统会扫描哪些内容?
- 支持的附件文件类型
- 多个附件
- 数据泄露防护功能如何与其他电子邮件规则配合使用?
- Gmail 数据泄露防护和群组
- 为 Gmail 创建数据泄露防护规则
- 使用安全调查工具来调查数据泄露防护规则事件
- 使用 BigQuery 导出 DLP 违规问题
- 欢迎分享反馈
Gmail 的数据泄露防护功能
借助 Gmail 数据泄露防护功能,您可以:
- 为 Gmail 或其他使用数据泄露防护功能的 Google Workspace 应用(包括 Gmail、Google Chat 和 Google 云端硬盘)创建数据泄露防护规则。
- 使用 DLP 规则针对违规行为触发适当的措施:
- 屏蔽邮件 - 阻止电子邮件递送,并向用户发送通知。
- 警告用户 - 警告用户邮件中检测到敏感信息,但允许用户照常发送邮件。
- 隔离邮件 - 隔离邮件,以便管理员在发送或返回邮件之前进行审核。
- 仅记入审核日志 - 发送邮件并记录 DLP 事件,以供日后审核来评估新规则的影响。
- 使用文本字符串以及预定义和自定义检测器(例如关键字和正则表达式)定义条件。
- 添加规则,以便系统根据您指定的条件自动为新邮件添加分类标签。例如,如果邮件包含敏感信息、财务信息或个人身份信息,请应用分类标签机密。
- 检测何时为邮件启用机密模式,并使用机密模式状态作为条件,允许用户发送包含敏感内容的邮件。
- 为特定组织部门、群组或整个组织强制执行规则。
- 在提醒中心内提醒管理员注意违规事件,以便他们可以进行调查。
- 使用光学字符识别 (OCR) 技术扫描所有邮件附件中的图片文字。
Gmail 的数据泄露防护功能如何发挥作用?
当用户发送电子邮件时,数据泄露防护功能会扫描邮件是否包含敏感内容。如果邮件或附件违反了规则,系统便会对邮件执行规则中定义的操作。
流程摘要:
- 添加数据泄露防护规则,以定义敏感内容以及对包含敏感内容的邮件执行的操作。
- 当用户发送电子邮件时,数据泄露防护功能会扫描内容是否与规则匹配。
- 如果匹配到规则,DLP 会应用规则中定义的操作。
- 所有事件都会记录在规则日志事件中以供审核。
同步扫描和异步扫描简介
使用 Gmail 的数据泄露防护功能时,系统可以同步或异步扫描规则:
同步扫描 - 用户点击发送时会扫描数据泄露防护规则。用户会在邮件离开邮箱之前收到包含敏感内容的通知。网页版 Gmail 和 Gmail 移动应用会执行同步扫描。
异步扫描 - 邮件离开发件人邮箱后,系统会扫描数据泄露防护规则。在邮件递送给收件人之前,用户会收到邮件被阻止或隔离的通知。异步扫描会在用户使用第三方电子邮件应用发送邮件或同步扫描失败时执行。
同步扫描和异步扫描的结果
同步扫描:网页版或移动版 Gmail
当包含屏蔽邮件操作的规则被触发时:
- 系统会显示一条提醒,说明邮件在当前状态下无法发送。您可以在此提醒的规则中添加自定义消息。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 用户修改并重新发送邮件后,系统会根据所有适用规则再次扫描并检查该邮件。
当包含警告用户操作的规则触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 此提醒包含仍然发送选项,允许用户发送当前状态的邮件。
当包含隔离邮件操作的规则被触发时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户选择返回修改邮件,并更新或移除敏感内容。
- 该框包含一个提交以供审核按钮,允许用户将邮件发送给管理员或其他授权用户审核。管理员审核邮件后,可以批准发送给收件人,或阻止其发送。
当包含仅记入审核日志操作的规则被触发时:
- 用户不会看到任何提醒,邮件将递送给收件人。
- 系统会在审核日志中记录消息事件。
注意:作为额外的安全措施,系统可能会异步再扫描同步扫描的邮件。这可能会导致消息被屏蔽,即使在同步扫描期间未显示任何对话框也是如此。
异步扫描:Gmail(使用 SMTP)和第三方电子邮件应用
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户操作的规则触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
- 对于使用通过 SMTP 与 Gmail 连接的第三方电子邮件应用发送的邮件,采用警告用户操作的规则的行为方式与采用屏蔽邮件操作的规则相同。
当系统触发包含隔离邮件操作的规则时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 如果邮件未发送,发件人可能会收到提醒,说明邮件已被隔离。您可以在此提醒的规则中添加自定义消息。
当包含仅记入审核日志操作的规则被触发时:
- 发件人不会收到通知,并且邮件会递送给收件人。
异步扫描:网页版或移动版 Gmail
当您在网页版或移动应用中使用 Gmail 时,系统会出于额外的安全考虑,再次异步扫描邮件。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在此提醒的规则中添加自定义消息。
当包含警告用户操作的规则触发时,系统会发送消息:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则被触发时:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 如果审核员阻止了邮件发送,收件人日后可能会收到通知。
当包含仅记入审核日志操作的规则被触发时:
- 发件人不会收到任何通知,并且邮件会递送给收件人。
其他 Google 产品自动创建的消息
Gmail 会发送由其他 Google 和 Google Workspace 服务(包括 Google 日历、文档和云端硬盘)创建的自动通知和邮件。例如,当某人在 Google 日历中创建活动并邀请嘉宾时,系统会创建一封包含活动详细信息的 Gmail 邮件,并将其发送给活动参与者。系统会在服务器端扫描邮件。如果邮件内容符合任何规则中的条件,系统就会应用相应规则操作。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会收到一封邮件,告知邮件已屏蔽。您可以在相应规则中为此通知添加自定义消息。
当包含警告用户操作的规则触发时:
- 消息已发送。
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则被触发时:
- 如果审核员阻止了发件人发送消息,发件人日后可能会收到通知。
当包含仅记入审核日志操作的规则被触发时:
- 消息已发送。
- 发件人不会收到任何通知。
系统会扫描哪些内容?
系统只会扫描外发的邮件。规则中添加的要扫描的内容类型条件决定系统会扫描邮件中的哪些部分:
所有内容 - 系统会同步扫描邮件的主题、收件人、发件人、密送、抄送和正文。系统会异步扫描附件。附件包括文件和图片。系统还会扫描附件文件名。如需了解详情,请参阅本页面上的支持的文件类型。
附件不能用作应用警告操作的条件,因为附件始终以异步方式扫描。重要提示:所有内容选项仅会扫描 5 种标头类型:主题、收件人、发件人、密送和抄送。这些标头可以立即用于同步扫描。如需扫描所有邮件标头,我们建议使用以下任一选项:
- 使用 OR 运算符添加条件,以扫描电子邮件标头
- 创建专门用于扫描电子邮件标头的单独规则
电子邮件标头 - 电子邮件标头中的内容。虽然大多数标头都是异步扫描的,但“主题”“收件人”“发件人”“密送”和“抄送”标头都是异步兼同步扫描的。为避免影响用户,请勿对不可用的电子邮件标头设置否定匹配条件(即 NOT 条件)。系统会扫描电子邮件标头,以检查是否存在敏感信息。
正文 - 系统会同步扫描邮件正文,并异步扫描附件。
主题 - 系统会同步扫描主题。
分类标签:由用户手动应用或通过 DLP 规则自动应用的分类标签。规则不能同时将分类标签用作条件和将应用分类标签用作操作。
机密模式状态 - 邮件是否启用了机密模式。我们建议将此条件与其他规则条件搭配使用。例如,如果邮件正文包含纳税人识别号,且邮件未采用机密模式,则系统会阻止发送该邮件。如需了解详情,请参阅使用机密模式保护 Gmail 邮件。
支持的附件文件类型
数据泄露防护规则会扫描以下附件类型:
- 文档文件类型 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 图片文件类型(当 OCR 处于开启状态时)- EPS、BMP、GIF、JPEG、PNG 以及 PDF 文件中的图片
- 压缩文件类型 - BZIP、RAR、TAR、ZIP
- 自定义文件类型 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
多个附件
如果邮件包含多个附件,那么只要其中任何一个附件符合规则条件,就会触发相应规则。有时,这会导致包含 NOT 条件的规则产生意外结果。例如,如果使用了 NOT(content contains SSN) 条件,并且其中一个附件包含 SSN,则该条件为 true,并且不会触发相应规则。
数据泄露防护功能如何与其他电子邮件规则配合使用?
数据泄露防护规则会在内容合规性规则和转送规则之前进行评估。
如果数据泄露防护规则不接受对邮件执行屏蔽或隔离操作,则系统会根据内容合规性规则和路由规则对邮件进行评估。如果内容合规性或转送规则应用了会创建邮件另一个副本的操作(例如,添加新的收件人),DLP 会先扫描邮件的新副本,然后再将其发送。
如需了解详情,请参阅设置高级邮件内容过滤的规则。
Gmail 数据泄露防护和群组
本部分介绍了 Gmail 数据泄露防护规则如何与群组互动。
只有在为整个组织设置数据泄露防护规则时,这些规则才会应用于群组。数据泄露防护规则仅支持针对群组执行“拒绝”操作。不支持对群组执行“警告”和“隔离”操作。
为 Gmail 创建数据泄露防护规则
-
依次点击“菜单”图标
规则 > 创建规则 > 数据保护。
需要拥有查看和管理数据泄露防护规则的特权。
- 为规则输入名称并酌情输入说明。
- 在应用部分中,针对 Gmail,点击发送了消息复选框。
- (可选)如要验证 OCR 功能是否已启用,请点击检查,然后勾选 Gmail 复选框,以便为 Gmail 启用 OCR 功能。
- 点击继续。
在操作部分的 Gmail 下,选择一个选项。
所有操作都会记录在规则日志事件中。
- 屏蔽邮件 - 不立即发送邮件,并向发件人显示邮件中可能包含敏感信息的提醒。发件人可以修改邮件内容并重新发送。
- 警告用户 - 暂不发送邮件,并向发件人显示提醒。发件人可以按原样发送邮件,也可以修改邮件内容并重新发送。
注意:附件始终以异步方式扫描,因此无法在规则中将附件用作警告用户操作的条件。 - 隔离邮件 - 不立即发送邮件,并向发件人显示提醒。发件人可以按原样发送邮件,也可以将邮件提交给管理员或其他合格人员审核。您必须从隔离条件菜单中选择一个选项。
- 仅记入审核日志 - 系统会发送邮件。系统不会显示任何提醒。系统会根据规则扫描消息,并将其记录为事件,以供管理员日后查看。
- 应用分类标签 - 为符合条件的邮件应用分类标签。您必须从标签字段和字段选项菜单中分别选择一个选项。
- 添加自定义备注 - 为匹配的电子邮件添加自定义页眉或页脚。
在选择何时执行此操作部分,选择是应将此操作应用于内部邮件、外部邮件还是两者。
(可选)如需创建自定义提醒,请在用户邮件中,勾选自定义邮件复选框,然后输入提醒文本。提醒可以包含网址,最多可包含 300 个字符(包括网址中的字符)。如果您未创建自定义邮件,该框会显示默认邮件。
(可选)如需设置报告的邮件事件的严重程度,请针对提醒选择严重程度:低、中或高。严重程度会记录在规则日志事件中,可用于调查突发事件。
(可选)如需发送有关邮件事件(由此规则触发的邮件)的提醒,请勾选提醒中心复选框。您还可以使用所有超级用户选项向超级用户发送提醒通知。输入要发送给其他收件人的其他提醒通知。
点击继续。
在范围部分,选择一个选项:
- 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户。
- 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。
对于内容条件,请点击添加条件,然后选择要扫描的邮件内容。
重要提示:如果您创建的数据泄露防护规则没有任何条件,该规则将扫描邮件的所有部分,并对每封 Gmail 邮件应用指定的操作。
- 所有内容 - 扫描邮件的标头、主题、正文和附件。
- 正文 - 扫描邮件正文和附件。
- 分类标签 - 扫描已应用于邮件的分类标签。
- 机密模式状态 - 扫描邮件是否已启用机密模式。
- 电子邮件标头 - 扫描邮件标头和主题。如果邮件在发送时使用了 Google Workspace 客户端加密功能 (CSE),系统只能扫描电子邮件标头的内容(包括主题)。
- 主题 - 仅扫描邮件主题。
点击要扫描的内容,并选择相应的扫描选项和属性。如需详细了解每个字段,请参阅本页上的“要扫描的内容”选项和属性简介。
点击继续并查看规则详情。
为规则选择状态:
- 活跃 - 规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与他人共享。如需稍后触发该规则,请在管理控制台中前往安全性访问权限和数据控制数据保护管理规则,将状态更改为活跃点击确认。
点击创建。
“要扫描的内容”选项和属性简介
要扫描的内容选项会根据您选择的内容类型而有所不同。对于 Gmail 规则条件,您可以扫描以下内容:
- 与预定义的数据类型匹配(推荐)
- 包含文本字符串
- 包含字词
- 与正则表达式匹配
- 与字词表中的字词匹配
- 是否为分类标签
- 是否已启用或停用(仅限机密模式状态)
您可以搭配使用“与”、“或”或“非”运算符和多个条件。如需详细了解如何将这些运算符与条件结合使用,请参阅使用嵌套条件运算符的 DLP 规则示例。
| 要扫描的内容 | 属性 |
|---|---|
| 与预定义的数据类型匹配 |
数据类型 - 选择一个预定义的数据类型。如需了解详情,请参阅如何使用预定义的内容检测器。 可能性阈值 - 选择可能性阈值。可用的阈值如下:
这些阈值反映了数据泄露防护系统对匹配结果的置信度。一般来说,将阈值设为“很高”会匹配较少的内容,并且更精确。阈值为“非常低”时,预期会匹配更多文件,但精确度较低。 不重复匹配次数下限 - 输入匹配结果在文档中必须唯一出现的最少次数,才能触发操作。 相符项目数下限 - 输入匹配结果在文档中必须出现的最少次数,才能触发操作。 “相符项目数下限”和“不重复匹配数量下限”的工作原理是什么?假设存在两个社会保障号列表:第一个列表包含 50 个相同的数字副本,而第二个列表包含 50 个不同的号码。如果相符项目数下限设为 10,则两个列表都会触发操作,因为它们各自至少包含 10 个匹配项。但是,如果不重复匹配数量下限的值等于 10,并且最低相符项目数的值等于 1,则只有第二个列表中的结果会触发操作,因为其中包含了 10 个互不相同的匹配项。 |
| 包含文本字符串 | 输入要匹配的内容 - 输入子字符串、数字或要搜索的其他字符。请指定内容是否区分大小写。以子字符串为例,若规则中包含单词“key”,且文档中也出现该单词,则视为匹配。 |
| 包含字词 | 输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。 |
| 与正则表达式匹配 |
正则表达式名称 - 一个正则表达式自定义检测器。 正则表达式被检测到的次数下限 - 输入正则表达式所表示的模式在文档中必须出现的最少次数,才能触发操作。 |
| 与字词表中的字词匹配 |
字词表名称 - 选择一个自定义的字词表。 匹配模式 - 选择匹配任意字词或匹配所要求最低数量的不重复字词。 任意字词被检测到的总次数下限 - 输入某个字词必须被检测到的最少次数,才能触发操作。 检测到的不重复字词的数目下限 - 输入必须检测到的唯一字词数才能触发操作(仅适用于匹配不重复字词数下限选项)。 |
使用安全调查工具调查数据泄露防护规则事件
搜索规则日志事件
以下示例会运行搜索,以调查触发了数据泄露防护规则的 Gmail 邮件。您可以在搜索中使用其他条件,也可以完全不设条件。
-
在 Google 管理控制台中,依次点击“菜单”图标
安全性安全中心调查工具。需要拥有“安全中心”管理员权限。
- 依次点击数据源规则日志事件。
- 依次点击条件构建器添加条件属性规则类型。
- 选择 DLP。
- 点击搜索。
在页面底部的搜索结果中,您可以查看事件列表,以及每个事件的详细信息。注意:Gmail 的数据泄露防护不支持显示敏感内容片段。因此,即使邮件包含已触发数据泄露防护规则的敏感内容,包含敏感内容列也会显示“错误”。
- 滚动到资源 ID 列,然后点击“菜单”图标
,以显示 Gmail 日志事件和邮件 ID。 - 点击搜索以打开一个新的搜索页,其中 Gmail 日志事件为数据源。
- 如需查看更多详细信息,请点击搜索结果中任意行的邮件 ID。此时会显示一个侧边栏,其中包含有关此次调查的更多详细信息。
- 如果系统提示,请输入查看 Gmail 内容的业务需求,然后点击确认。
使用 BigQuery 导出 DLP 违规问题
您可以将记录在规则日志事件中的 DLP 违规行为导出到自定义表格,以便进一步调查。如需了解详情,请参阅设置将服务日志导出至 BigQuery 的功能。
分享您的反馈
在管理控制台中的任何数据保护页面上,点击发送反馈。