支援這項功能的版本:Frontline Standard 和 Frontline Plus;Enterprise Standard 和 Enterprise Plus;Education Fundamentals、Education Standard 和 Education Plus。版本比較
如果 Cloud Identity 進階版使用者獲得授權的 Google Workspace 版本包含 Gmail,他們就能使用 Gmail 資料遺失防護功能。
您可以在 Google 管理控制台中建立資料遺失防護 (DLP) 規則,管理使用者在電子郵件訊息中分享的機密內容。使用 Gmail 資料遺失防護功能時,規則會套用到傳送給組織內外人士的郵件,用於識別機密資訊並防止不當共用行為。
本頁內容
- Gmail 資料遺失防護功能
- Gmail 的資料遺失防護功能如何運作?
- 關於同步和非同步掃描
- 同步和非同步掃描結果
- 系統會掃描哪些資料?
- 支援的附件檔案類型
- 多個附件
- 資料遺失防護與其他電子郵件規則之間的互動情形為何?
- Gmail 資料遺失防護功能和群組
- 建立 Gmail 資料遺失防護規則
- 使用安全調查工具,調查資料遺失防護規則事件
- 使用 BigQuery 匯出資料遺失防護違規記錄
- 分享意見
Gmail 資料遺失防護功能
透過 Gmail 資料遺失防護功能,您可以執行下列操作:
- 建立 Gmail 的資料遺失防護規則,或為其他使用資料遺失防護功能的 Google Workspace 應用程式 (包括 Gmail、Google Chat 和 Google 雲端硬碟) 建立規則。
- 使用資料遺失防護規則,在發生違規情形時觸發適當動作:
- 封鎖郵件:禁止發送電子郵件,並向使用者傳送通知。
- 警告使用者:警告使用者郵件含有機密資訊,但允許他們傳送郵件。
- 隔離郵件:在郵件寄出或退回前將其隔離,供管理員審核。
- 僅限稽核:傳送郵件並記錄資料遺失防護事件,供日後稽核時評估新規則的影響。
- 使用文字字串和預先定義與自訂的偵測工具 (例如關鍵字和規則運算式) 來定義條件。
- 新增規則,根據您指定的條件,自動對新郵件加上分類標籤。舉例來說,如果郵件含有機密、財務或個人識別資訊,系統就會套用「機密」分類標籤。
- 偵測郵件是否已啟用機密模式,並以機密模式狀態做為條件,允許使用者傳送含有機密內容的郵件。
- 為特定組織單位、群組或整個機構強制執行規則。
- 在快訊中心向管理員發送快訊,通知違規情形以便管理員調查。
- 使用光學字元辨識 (OCR) 技術,掃描所有郵件附件的圖片文字。
Gmail 的資料遺失防護功能如何運作?
使用者傳送電子郵件訊息後,資料遺失防護功能會掃描郵件是否含有機密內容。如果郵件或附件違反規則,系統就會對郵件套用規則中定義的動作。
流程摘要:
- 新增資料遺失防護規則,定義機密內容,以及如何處理含有此類內容的郵件。
- 使用者傳送電子郵件訊息時,資料遺失防護功能會掃描內容,檢查是否符合規則條件。
- 如果符合,資料遺失防護功能就會套用規則中定義的動作。
- 所有事件都會記錄在規則記錄事件中以供審查。
關於同步和非同步掃描
您可以使用 Gmail 資料遺失防護功能,以同步或非同步方式掃描規則:
同步掃描:系統會在使用者點選「傳送」時,掃描資料遺失防護規則。如果郵件含有機密內容,使用者會在郵件離開信箱前收到通知。系統會同步掃描 Gmail 網頁版和 Gmail 行動應用程式。
非同步掃描:系統會在郵件離開寄件者信箱後掃描資料遺失防護規則。使用者會收到訊息,說明郵件在傳送給收件者之前遭到封鎖或隔離。如果使用者透過第三方電子郵件應用程式傳送郵件,且同步掃描失敗,系統就會執行非同步掃描。
同步和非同步掃描結果
同步掃描:Gmail 網頁版或行動版
觸發含有「封鎖訊息」動作的規則時:
- 系統會顯示快訊,指出無法傳送當前狀態的郵件。您可以在規則中自訂這則快訊的內容。
- 快訊中會顯示「返回編輯」選項,方便使用者返回編輯郵件,並更新或移除機密內容。
- 使用者編輯完畢並重新傳送時,系統會再次掃描,檢查郵件是否符合所有適用規則。
觸發含有「警告使用者」動作的規則時:
- 系統會顯示快訊,指出訊息可能含有機密內容。您可以在規則設定選項中新增自訂快訊。
- 快訊中會顯示「返回編輯」選項,方便使用者返回編輯郵件,並更新或移除機密內容。
- 快訊中會顯示「仍要傳送」選項,允許使用者不經修改直接傳送郵件。
觸發含有「隔離郵件」動作的規則時:
- 系統會顯示快訊,指出訊息可能含有機密內容。您可以在規則設定選項中新增自訂快訊。
- 方塊中會顯示「返回編輯」選項,使用者可視需要返回編輯郵件,並更新或移除機密內容。
- 方塊中也會顯示「提交審查」按鈕,方便使用者將郵件傳送給管理員或其他授權使用者審查。審查完畢後,管理員可以核准將郵件傳送給收件者,或是封鎖郵件並禁止傳送。
觸發含有「僅限稽核」動作的規則時:
- 使用者不會收到快訊,郵件會傳送給收件者。
- 郵件事件會記錄在稽核記錄中。
注意:即使郵件已經過同步掃描,系統仍可能以非同步方式再次掃描,做為額外的安全措施。這可能會導致系統封鎖郵件,即使在同步掃描期間沒有顯示對話方塊也一樣。
非同步掃描:Gmail (使用 SMTP) 和第三方電子郵件應用程式
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
觸發含有「警告使用者」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
- 如果使用透過 SMTP 連線至 Gmail 的第三方電子郵件應用程式傳送郵件,則含有「警告使用者」動作的規則會執行「封鎖郵件」規則的動作。
觸發含有「隔離郵件」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 如果郵件未傳送,寄件者會收到快訊,指出郵件遭到隔離。您可以在規則中自訂這則快訊的內容。
觸發含有「僅限稽核」動作的規則時:
- 寄件者不會收到通知,郵件會傳送給收件者。
非同步掃描:Gmail 網頁版或行動版
透過網頁或行動應用程式使用 Gmail 時,系統會以非同步方式再次掃描郵件,提供額外的安全防護。
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則快訊的內容。
觸發含有「警告使用者」動作的規則時,郵件會正常送出:
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 郵件事件會記錄在規則記錄事件中。
觸發含有「隔離郵件」動作的規則時:
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 如果審查人員禁止傳送郵件,寄件者可能會在稍後收到通知。
觸發含有「僅限稽核」動作的規則時:
- 寄件者不會收到任何通知,郵件會傳送給收件者。
由其他 Google 產品自動建立的郵件
Gmail 會傳送其他 Google 和 Google Workspace 服務 (包括 Google 日曆、文件和雲端硬碟) 自動建立的通知和郵件。舉例來說,如果有人在 Google 日曆中建立活動並邀請賓客,系統會建立含有活動詳細資料的 Gmail 郵件,並傳送給活動參與者。郵件會在伺服器端接受掃描,如果郵件內容符合任何規則的條件,系統就會套用規則動作。
觸發含有「封鎖訊息」動作的規則時:
- 寄件者會在「寄件備份」信箱中看到郵件。
- 寄件者會收到訊息,指出郵件遭到封鎖。您可以在規則中自訂這則通知的內容。
觸發含有「警告使用者」動作的規則時:
- 郵件會照常傳送。
- 寄件者可以在「寄件備份」信箱中查看郵件。
- 郵件事件會記錄在規則記錄事件中。
觸發含有「隔離郵件」動作的規則時:
- 如果審查人員禁止傳送郵件,寄件者可能會在稍後收到通知。
觸發含有「僅限稽核」動作的規則時:
- 郵件會照常傳送。
- 寄件者不會收到任何通知。
系統會掃描哪些資料?
系統只會掃描外寄郵件,系統會根據規則中新增的「掃描內容類型」條件,決定要掃描郵件哪個部分的內容:
所有內容:系統會同步掃描郵件主旨、收件者、寄件者、密件副本、副本和內文,並以非同步方式掃描附件。附件包括檔案和圖片,系統也會掃描附件檔案名稱。詳情請參閱本頁的「支援的附件檔案類型」一節。
附件一律會以非同步方式掃描,因此無法用做套用「警告」動作的條件。重要事項:如果選擇「所有內容」選項,系統只會掃描 5 種標頭類型:主旨、收件者、寄件者、密件副本和副本。這些標頭可立即同步掃描。如要掃描所有郵件標頭,建議採用下列任一做法:
- 使用 OR 運算子新增條件,掃描「電子郵件標頭」
- 建立專門掃描「電子郵件標頭」的規則
電子郵件標頭:電子郵件標頭的內容。雖然系統會以非同步方式掃描大部分標頭,但會以同步和非同步方式掃描主旨、收件者、寄件者、密件副本和副本標頭。為避免干擾使用者,請勿對無法使用的電子郵件標頭設定排除比對條件 (NOT 條件)。系統會掃描電子郵件標頭,檢查是否含有機密資訊。
內文:系統會同步掃描郵件內文,並對附件執行非同步掃描。
主旨:系統會以同步方式掃描主旨。
分類標籤:使用者手動套用或透過資料遺失防護規則自動套用的分類標籤。規則以「分類標籤」做為條件時,無法將「套用分類標籤」設為動作。
機密模式狀態:郵件是否已啟用機密模式。建議搭配其他規則條件使用這項條件。舉例來說,如果郵件內文含有統一編號/稅號,且郵件未採用機密模式,系統就會禁止寄出該郵件。詳情請參閱「使用機密模式保護 Gmail 郵件」。
支援的附件檔案類型
資料遺失防護規則會掃描下列附件類型:
- 文件檔案類型:TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 圖片檔案類型 (啟用 OCR 功能時):EPS、BMP、GIF、JPEG、PNG 和 PDF 檔案中的圖片
- 壓縮檔案類型:BZIP、RAR、TAR、ZIP
- 自訂檔案類型:HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
多個附件
如果郵件有多個附件,只要任一附件符合規則條件,就會觸發規則。如果規則包含 NOT 條件,這可能會導致預料之外的結果。舉例來說,如果使用「NOT(content contains SSN)」條件,且其中一個附件包含社會安全號碼 (SSN),則條件為 true,系統不會觸發規則。
資料遺失防護與其他電子郵件規則之間的互動情形為何?
系統會先評估資料遺失防護規則,再評估內容規範規則和轉送規則。
如果資料遺失防護規則不允許封鎖或隔離郵件,系統會依據內容規範和轉送規則評估郵件。如果內容規範或轉送規則套用某項會建立郵件副本的動作 (例如新增收件者),資料遺失防護功能會在傳送新郵件副本前先行掃描。
詳情請參閱「設定進階電子郵件內容篩選規則」。
Gmail 資料遺失防護功能和群組
本節說明 Gmail 資料遺失防護規則如何與群組互動。
只有在為整個機構設定規則時,資料遺失防護規則才會套用至群組。資料遺失防護規則只支援對群組執行「拒絕」動作,不支援「警告」和「隔離」動作。
建立 Gmail 資料遺失防護規則
-
依序點選「選單」圖示
「規則」>「建立規則」>「資料保護」。
必須具備「查看及管理資料遺失防護規則」權限。
- 輸入規則名稱,並視需要輸入說明。
- 在「應用程式」專區的「Gmail」部分,點選「已傳送郵件」方塊。
- (選用) 如要確認 OCR 功能是否已啟用,請按一下「檢查」,然後勾選「Gmail」方塊,即可開啟 Gmail 的 OCR 功能。
- 按一下「繼續」。
在「動作」部分的「Gmail」下方,選擇所需選項。
所有動作都會記錄在規則記錄事件中。
- 封鎖郵件:不立即傳送郵件,並向寄件者顯示郵件中可能含有機密資訊的警告。寄件者可以編輯郵件後再傳送一次。
- 警告使用者:不立即傳送郵件,並向寄件者顯示快訊。寄件者可以傳送原始郵件,或是編輯後重新傳送。
注意:附件一律會以非同步方式掃描,因此您無法在規則中使用附件做為「警告使用者」動作的條件。 - 隔離郵件:不立即傳送郵件,並向寄件者顯示快訊。寄件者可以傳送原始郵件,或將郵件傳送給管理員或其他合格人員審查。您必須在「隔離條件」選單中選取所需選項。
- 僅限稽核:郵件會照常傳送。系統不會顯示快訊,並會根據規則掃描郵件,然後留下事件記錄,供管理員日後查看。
- 套用分類標籤:將分類標籤套用至符合條件的郵件。您必須從「標籤欄位」和「欄位選項」選單中選取所需選項。
- 新增自訂附註:在相符的電子郵件訊息中,新增自訂標頭或註腳。
在「選取要套用這項動作的時機」部分,選擇要對內部或外部郵件套用這項動作,或兩者一併套用。
(選用) 如要建立自訂快訊,請在「給使用者的訊息」部分勾選「自訂訊息」方塊,然後輸入快訊文字。快訊可包含網址,長度上限為 300 個半形字元 (包括網址中的字元)。如果您未建立自訂訊息,則此方塊會顯示預設訊息。
(選用) 如要設定回報郵件事件的嚴重性等級,請在「快訊」部分選擇:「低」、「中」或「高」。嚴重性等級會記錄在「規則記錄」事件中,可用於調查事件。
(選用) 如要傳送郵件事件 (由此規則觸發的訊息) 快訊,請勾選「快訊中心」方塊。您也可以使用「所有超級管理員」選項,傳送快訊通知給超級管理員。輸入要傳送給其他收件者的其他快訊通知。
按一下「繼續」。
在「範圍」部分,選擇下列任一選項:
- 如要將規則套用至整個機構,請選取「<網域名稱> 所有成員」domain.name。
- 如要將規則套用至特定機構單位或群組,請選取「機構單位和/或群組」,然後加入或排除該機構單位和群組。
在「內容條件」部分,按一下「新增條件」,然後選取要掃描郵件的哪些部分。
重要事項:如果建立沒有條件的資料遺失防護規則,該規則會掃描郵件的所有部分,並對每封 Gmail 郵件執行指定動作。
- 所有內容:掃描郵件標頭、主旨、內文和附件。
- 內文:掃描郵件內文和附件。
- 分類標籤:掃描郵件所套用的分類標籤。
- 機密模式狀態:掃描郵件是否已啟用機密模式。
- 電子郵件標頭:掃描郵件標頭和主旨。如果郵件是透過 Google Workspace 用戶端加密 (CSE) 功能傳送,系統只能掃描電子郵件標頭 (包括主旨) 的內容。
- 主旨:僅掃描郵件主旨。
按一下「掃描用途」,然後選取要掃描的選項和屬性。如要進一步瞭解各個欄位,請參閱本頁的「關於『掃描用途』選項和屬性」一節。
按一下「繼續」並查看規則詳情。
選擇規則狀態:
- 有效:規則會立即執行。
- 無效:規則已新增,但不會立即執行。也就是說,您可以先檢查規則並與他人分享,之後再啟用規則。如要稍後再觸發規則,請在管理控制台中依序前往「安全性」「存取權與資料控管」「資料保護」「管理規則」,將狀態變更為「有效」按一下「確認」。
點選「建立」。
關於「掃描用途」選項和屬性
「掃描用途」選項會依選擇掃描的內容類型而異。您可以設定 Gmail 規則條件,掃描下列項目:
- 與預先定義的資料類型相符 (建議)
- 包含文字字串
- 包含字詞
- 符合規則運算式
- 與字詞清單中的字詞相符
- 是否為分類標籤
- 啟用或停用 (僅限機密模式狀態)
您可以搭配「AND」、「OR」或「NOT」運算子使用條件。如要進一步瞭解如何搭配這些運算子使用條件,請參閱「資料遺失防護規則的巢狀條件運算子範例」。
| 掃描用途 | 屬性 |
|---|---|
| 與預先定義的資料類型相符 |
資料類型:選取預先定義的資料類型。詳情請參閱「如何使用預先定義的內容偵測工具」。 可能性門檻:選取可能性門檻。可用的門檻如下:
這些門檻反映出資料遺失防護系統對比對結果的信心度。一般來說,「極高」門檻會比對出較少內容,且準確度較高。「極低」門檻理應會比對出較多檔案,但準確度較低。 不重複相符項目數下限:輸入文件中至少須出現幾次不重複的相符結果,才會觸發相應動作。 相符項目數下限:輸入任何相符結果須在文件中至少出現幾次,才會觸發相應動作。 「相符項目數下限」和「不重複相符項目數下限」的運作方式為何?舉例來說,假設有兩份身分證字號清單,第一份清單含有 50 組完全相同的號碼,第二份則有 50 組不重複的號碼。如果「相符項目數下限」值為 10,由於這 2 份清單都至少有 10 個相符項目,因此都會觸發結果。然而,如果「不重複相符項目數下限」值為 10,且「相符項目數下限」值為 1,則只有第二份清單會觸發結果,因為這份清單含有 10 個相符項目,而且這些項目均為不重複的值。 |
| 包含文字字串 | 輸入要比對的內容:輸入要搜尋的子字串、數字或其他字元,並指定內容是否區分大小寫。如果是子字串,當規則和文件都包含「key」這個字詞時,系統會判定為相符。 |
| 包含字詞 | 輸入要比對的內容:輸入要搜尋的字詞、數字或其他字元。 |
| 符合規則運算式 |
規則運算式名稱:規則運算式自訂偵測工具。 模式偵測次數下限:輸入規則運算式所表示的模式必須在文件中至少出現幾次,才會觸發相應動作。 |
| 與字詞清單中的字詞相符 |
字詞清單名稱:選取自訂字詞清單。 比對模式:選取「與任何文字相符」或「符合不重複字詞數量下限」。 偵測到任何字詞的最低總次數:輸入至少要偵測到單一字詞幾次,才會觸發相應動作。 不重複字詞偵測數量下限:輸入至少須偵測到幾個不重複字詞,才會觸發相應動作 (僅適用於「符合不重複字詞數量下限」選項)。 |
使用安全調查工具,調查資料遺失防護規則事件
針對「規則記錄事件」執行搜尋
下列範例將執行搜尋作業,調查觸發資料遺失防護規則的 Gmail 郵件。您可以在搜尋條件中使用其他條件,或不設定任何條件。
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」
「安全中心」「調查工具」。必須具備安全中心管理員權限。
- 依序按一下「資料來源」「規則記錄事件」。
- 依序點選「條件建構工具」「新增條件」「屬性」「規則類型」。
- 選取「資料遺失防護」DLP。
- 按一下「搜尋」。
在頁面底部的搜尋結果中,您可以查看事件清單和各事件的詳細資料。注意:Gmail 資料遺失防護功能不支援機密內容摘要。因此,即使郵件含有觸發資料遺失防護規則的機密內容,「含有機密內容」欄仍會顯示「否」。
- 捲動至「資源 ID」欄,然後按一下「選單」圖示
,即可查看「Gmail 記錄事件」和「郵件 ID」。 - 按一下「搜尋」,開啟新的搜尋頁面,其中資料來源為「Gmail 記錄事件」。
- 如要查看其他詳細資料,請點選搜尋結果中任一行的「郵件 ID」。側邊面板會顯示與調查相關的其他詳細資料。
- 如果出現系統提示,請輸入需要查看 Gmail 內容的業務需求,然後按一下「確認」。
使用 BigQuery 匯出資料遺失防護違規記錄
您可以將規則記錄事件中的資料遺失防護違規事件匯出至自訂表格,以便進一步調查。詳情請參閱「設定將服務記錄匯出到 BigQuery」。
提供意見
在管理控制台中的任意資料保護頁面上,按一下「提供意見」。