您必须拥有 Chrome 企业进阶版加购项才能使用此功能。
您可以将 Chrome 企业进阶版与数据保护规则搭配使用,以监控用户在 Chrome 浏览器以及 Windows、Mac、Linux 和 ChromeOS 设备上的操作。借助 Chrome 数据泄露防护 (DLP) 功能,您可以扫描文件中的文本内容(最多 10 MB),以自动检测已打开、上传、下载、粘贴或传输的数据。将数据保护规则与 Chrome 企业进阶版搭配使用,可控制社会保障号或信用卡号等敏感信息。
准备工作
- 设置 Chrome 企业版接口政策。如需了解相关步骤,请参阅为 Chrome 企业进阶版设置 Chrome 企业版接口政策。
- 如果您想将规则的范围限定为用户创建的群组,请将所有相关用户和浏览器添加到该群组。例如,如果您想将规则应用于 Chrome 浏览器,请将该浏览器添加到目标群组。如需了解详情,请参阅我可以为规则范围选择哪些类型的群组?和管理基于群组的政策。
了解触发器
在定义规则应查找的内容之前,您需要指定启动扫描过程的触发器。您选择的触发条件决定了规则可用的要扫描的内容类型选项。
您可以从下列触发器中选择一个:
- 文件上传 - 用户在 Chrome 浏览器中从自己的设备上传文件。
- 文件下载 - 用户将文件下载到自己的设备。
- 粘贴内容 - 用户将内容粘贴到网页中。
- 打印内容 - 用户打印网页的内容。
- 访问网址 - 用户前往某个网址。
了解数据泄露防护操作
当检测到敏感内容时,规则可以强制执行下表中所列的操作。| 操作(适用于 Chrome 浏览器和 ChromeOS) | 说明 | 可选设置 |
|---|---|---|
| 屏蔽 | 阻止用户完成操作,例如上传文件。用户会收到错误消息或自定义消息。 | 自定义消息:向用户显示自定义消息(最多 300 个字符,支持超链接),说明操作被屏蔽的原因。 |
| 允许共享且显示警告 | 允许用户在收到警告消息后继续操作。用户选择继续操作的决定会记录在日志事件中。 |
自定义消息:显示自定义警告消息。 在网页内容上添加水印:对于“访问过的网址”操作,在网页上叠加半透明水印和“机密”文本或自定义消息。 限制屏幕截图和屏幕共享内容:对于 Mac 和 Windows 上的“访问网址”操作,禁止在关联的网页上截取屏幕截图和进行屏幕共享。在屏幕截图中,内容会被涂黑 (Windows) 或消失 (Mac)。 |
| 仅记入审核日志 | 允许用户不受干扰地继续操作,并记录该事件以供审核。 |
在网页内容上添加水印:对于“访问过的网址”操作,在网页上叠加半透明水印和“机密”文本或自定义消息。 限制屏幕截图和屏幕共享内容:对于 Mac 和 Windows 上的“访问网址”操作,禁止在关联的网页上截取屏幕截图和进行屏幕共享。在屏幕截图中,内容会被涂黑 (Windows) 或消失 (Mac)。 |
重要提示:对于文件上传和粘贴内容触发器,屏蔽行为取决于 Chrome 企业版接口政策的延后文件上传和延后输入文本设置。如需了解详情,请参阅上传内容分析和批量文字内容分析。
了解数据泄露防护条件
创建数据保护规则时,您可以指定条件,以便定义要扫描的内容或活动。您可以使用预定义的数据类型,也可以创建自定义内容检测器。您还可以使用“与”“或”或“非”运算符组合多个条件。
如需了解详情,请参阅如何使用预定义的内容检测器、创建自定义检测器以及使用嵌套条件运算符的规则示例。
可用的要扫描的内容类型选项会根据所选的用于启动扫描的触发条件而变化,例如文件上传、文件下载、粘贴内容、打印内容、访问网址等。
| 要扫描的内容类型 | 要扫描的内容 | 详细信息与用法 |
|---|---|---|
| 所有内容 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描所有内容,查找与以下任一项匹配的敏感信息:
|
| 正文 |
与预定义的数据类型匹配 包含文本字符串 包含字词 与正则表达式匹配 与字词表中的字词匹配 |
扫描网页或文件的正文内容。 |
| 文件大小 |
等于 大于 小于 |
设置文件大小阈值(以字节为单位),以根据您设置的比较条件触发规则。 |
| File type |
与通用 MIME 类型匹配 与自定义 MIME 类型匹配 与系统文件类别匹配 |
按预定义的文件类别(例如“图片”或“可执行文件”)或按特定 MIME 类型过滤要扫描的内容。详细了解按文件类别划分的 MIME 类型。 |
| 来源 Chrome 上下文环境 | 与 Chrome 浏览器相关的特定属性 | 扫描内部 Chrome 属性以定义浏览器的环境或状态。如果上下文是以下值之一,则应用此规则:隐身、剪贴板或其他个人资料。 |
| 源网址 |
包含文本字符串 与字词表中的字词匹配 与正则表达式匹配 |
扫描内容来源网址,查找特定文本、自定义列表中的字词或模式。 |
| 源网址类别 |
选择类别 |
与触发器(例如“粘贴内容”)搭配使用,以检查来源网址是否属于预定义的类别(例如“社交网络”或“新闻”)。 |
| 标题 |
与预定义的数据类型匹配 包含文本字符串 包含字词 结尾为 与正则表达式匹配 与字词表中的字词匹配 开头为 |
扫描操作所涉及的网页或文档的标题。 |
| 网址 |
包含文本字符串 结尾为 与网址列表中的网址匹配 与正则表达式匹配 与字词表中的字词匹配 开头为 |
扫描操作所涉及的网址。此扫描包括任何嵌入式 iframe 内部加载的内容的网址。 |
| 网址类别 | 选择类别 | 检查操作所涉及的网址是否属于预定义的类别,例如社交网络、游戏或赌博。此扫描包括任何嵌入式 iframe 内部加载的内容的网址。 |
| 已登录 Web 应用的账号 |
匹配域名 匹配电子邮件地址 匹配电子邮件地址正则表达式 |
在触发时,扫描用户当前登录的 Google Web 应用(例如 Gmail 或云端硬盘)所对应的账号。此条件适用于由“粘贴”“访问过的网址”“文件下载”“文件上传”和“打印”事件触发的规则。目前仅支持个人 Google 账号和受管理的 Google 账号。 |
| 已登录源 Web 应用的账号 |
匹配域名 匹配电子邮件地址 匹配电子邮件地址正则表达式 |
扫描已登录 Google Web 应用(包含内容来源的应用,即用户复制内容的应用)的用户账号。此条件仅适用于由“粘贴了内容”事件触发的规则。目前仅支持个人 Google 账号和受管理的 Google 账号。 |
注意:访问过的网址触发器不会扫描嵌入式 iframe 内的网址或其对应的类别。
选择数据区域
您可以将数据泄露防护和恶意软件扫描结果存储在特定区域,例如美国或欧洲。您可以选择一个区域来实现数据驻留,这是许多合规性协议的要求。如需了解详情,请参阅选择存放数据的地理区域。
创建规则
确定规则的用途后,您就可以创建规则了。如需了解详情,请参阅创建数据保护规则。常见使用场景
下表提供了一些示例,说明如何将触发器(用户执行的操作)、条件(检查的内容)和特定操作(强制执行)结合起来,以定义数据泄露防护政策。如需使用此表格,您必须:
- 选择触发器。
- 将条件值映射到相应选项。
- 选择一项操作。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
| 应用场景 | 用户事件 | 条件 | 操作 |
| 屏蔽从 Google 云端硬盘下载文件的操作 | 下载了文件 |
内容类型:网址* 匹配:包含文本字符串 值:drive.google.com |
屏蔽 |
| 如果下载的文件包含超过 30 个邮箱,则向用户发出警告 | 下载了文件 |
内容类型:所有内容 匹配:与预定义的数据类型匹配 设置:数据类型:全球 - 电子邮件地址,中等可能性,唯一匹配项数下限:30 |
允许共享且显示警告 |
| 屏蔽向社交媒体网站上传文件的操作 | 上传文件 |
内容类型:网址类别 匹配:选择类别 值:社交网络 |
屏蔽 |
| 屏蔽大于 10 KB 的图片文件的下载操作 | 下载了文件 |
条件 1:文件大小 匹配:大于 值:10,000 字节 AND 条件 2:文件类型 匹配:与系统文件类别匹配 值:图片 |
屏蔽 |
| 记录 ChromeOS 中通过文件传输美国社会保障号的情况 | 文件传输 |
内容类型:所有内容 匹配:与预定义的数据类型匹配 设置:数据类型:美国 - 社会保障号,中等可能性,唯一匹配项数下限:1,匹配项数下限:1 |
仅记入审核日志 |
| 屏蔽用户粘贴从 Gmail (mail.google.com) 复制的内容 | 粘贴了内容 |
内容类型:源网址* 匹配:包含文本字符串 值:mail.google.com |
屏蔽 |
| 针对指定敏感网站的访问操作,应用水印或限制屏幕截图 | 访问过的网址 |
内容类型:网址* 或网址类别 匹配:选择合适的匹配项 值:具体的敏感网址或类别 |
允许并显示警告/仅审核(已选择“添加水印”和/或“限制屏幕截图”) |
| 禁止将文件上传到个人 Google 云端硬盘账号 | 已上传文件 |
条件 1: 匹配:包含文本字符串 值:drive.google.com AND 条件 2: 匹配:与域名不匹配 值:your-organization-domain-name.com |
屏蔽 |
*如果您最近访问过某个要过滤的网址,系统会将其缓存几分钟。在缓存清除前,新的或修改后的规则可能无法对其生效。请等待大约 5 分钟,然后再测试新规则或修改后的规则。
查看、监控和调查提醒
创建数据保护规则后,您可以查看用户在 Chrome 浏览器中的操作,例如上传和下载数据或复制粘贴数据。然后,您可以:
- 您可以在安全信息中心内查看报告。与 Chrome 企业进阶版相关的报告包括:
- Chrome 威胁防护措施摘要报告
- Chrome 数据保护措施摘要报告
- 高风险 Chrome 用户报告
- 高风险 Chrome 网域报告
- 如需了解详情,请参阅使用安全信息中心。
- 使用安全调查工具调查数据共享违规事件提醒。有关详情,请参阅关于安全调查工具。
- 在规则日志事件中查看突发事件的详细信息。
- 调查规则违规行为,以确定它们是真实事件还是误报。有关详情,请参阅查看触发数据泄露防护规则的内容。