必須擁有 Chrome Enterprise 進階版加購方案,才能使用這項功能。
您可以搭配使用 Chrome Enterprise 進階版和資料遺失防護 (DLP) 規則,監控使用者在 Chrome 瀏覽器、Windows、Mac、Linux 和 ChromeOS 裝置上的操作。這項功能可掃描檔案中最多 10 MB 的文字內容,並自動偵測使用者開啟、上傳、下載、貼上或轉移的資料。將資料遺失防護規則與 Chrome Enterprise 進階版搭配使用,還能控管身分證字號或信用卡號碼等機密資訊。
本頁內容
事前準備
請設定 Chrome Enterprise 連接器政策。如需相關步驟,請參閱「為 Chrome Enterprise 進階版設定 Chrome Enterprise 連接器政策」。
瞭解使用者事件 (觸發條件)
您必須先指定啟動掃描程序的使用者事件,才能定義規則應尋找的內容或情境。所選事件會觸發整條規則,並決定規則可用的「掃描內容類型」選項。
您可以選取下列任一使用者事件:
- 已上傳檔案:使用者透過 Chrome 瀏覽器從裝置上傳檔案。
- 已下載檔案:使用者將檔案下載到裝置。
- 已貼上的內容:使用者在網頁中貼上內容。
- 已列印的內容:使用者列印網頁內容。
- 造訪過的網址:使用者前往某個網址。
瞭解資料遺失防護功能的條件
建立資料遺失防護規則時,需要指定「條件」來定義要掃描的內容或活動。您可以組合多個條件來建立規則。
可用的「掃描內容類型」選項會根據要啟動掃描的使用者事件而有所不同,例如「已上傳檔案」、「已下載檔案」、「已貼上的內容」、「已列印的內容」、「造訪過的網址」等。
| 掃描內容類型 | 掃描用途 | 詳細資料與用途 |
|---|---|---|
| 所有內容 | 與預先定義的資料類型相符 | 掃描所有內容,找出符合預先定義資料類型 (例如「全球 - 電子郵件地址」或「美國 - 社會安全號碼」) 的機密資訊。您可以設定不重複或總相符項目的可能性門檻和下限。 |
| 內文 |
包含文字字串 與字詞清單中的字詞相符 符合規則運算式 |
掃描網頁或檔案的主要文字內容 (內文),找出特定文本、自訂清單中的字詞,或規則運算式定義的模式。 |
| 檔案大小 |
大於 小於 等於 |
設定檔案大小閾值 (位元組),系統會依照比對結果決定是否執行規則。 |
| 檔案類型 |
符合系統檔案類別 符合特定 MIME 類型 |
依預先定義的檔案類別 (例如圖片或執行檔) 或特定 MIME 類型,篩選要掃描的內容。進一步瞭解依檔案類別區分的 MIME 類型。 |
| 來源 Chrome 情境 | Chrome 瀏覽器相關屬性 | 掃描 Chrome 內部屬性,用以判斷瀏覽器的環境或狀態。如果內容為下列任一值,則適用這項規則:「無痕模式」、「剪貼簿」或「其他設定檔」。 |
| 來源網址 |
包含文字字串 與字詞清單中的字詞相符 符合規則運算式 |
掃描內容來源網址,尋找特定文本、自訂清單中的字詞或模式。 |
| 網頁應用程式登入帳戶 |
與網域名稱相符 與電子郵件地址相符 與電子郵件地址規則運算式相符 |
掃描事件發生當下,使用者在 Google 網頁應用程式 (例如 Gmail 或雲端硬碟) 登入的帳戶。這項條件可用於「貼上」、「造訪網址」、「下載檔案」、「上傳檔案」和「列印」事件所觸發的規則。目前僅支援個人和受管理的 Google 帳戶。 |
| 來源網頁應用程式登入帳戶 |
與網域名稱相符 與電子郵件地址相符 與電子郵件地址規則運算式相符 |
掃描使用者在 Google 網頁應用程式中複製內容時所登入的帳戶。這項條件只能用於「貼上內容」事件所觸發的規則。目前僅支援個人和受管理的 Google 帳戶。 |
| 來源網址類別 |
選取類別 |
可搭配使用者事件 (例如「貼上內容」),檢查來源網址是否屬於預先定義的類別,例如社群網路或新聞。 |
| 標題 |
包含文字字串 與字詞清單中的字詞相符 符合規則運算式 |
掃描與動作相關的網頁或文件名稱,找出特定文字、自訂清單中的字詞或模式。 |
| 網址 |
包含文字字串 與字詞清單中的字詞相符 符合規則運算式 |
掃描動作所涉及的網址,找出特定文字、自訂清單中的字詞或模式。掃描範圍包含任何內嵌 iframe 載入的內容網址。 |
| 網址類別 | 選取類別 | 檢查動作所涉及的網址是否屬於預先定義的類別,例如社群網路、遊戲或賭博。掃描範圍包含任何內嵌 iframe 載入的內容網址。 |
注意:「造訪過的網址」觸發條件不會掃描內嵌 iframe 中的網址或對應類別。
瞭解資料遺失防護動作
符合條件時,規則可強制執行下列其中一項動作:
| 動作 (適用於 Chrome 瀏覽器和 ChromeOS) | 說明 | 選用設定 |
|---|---|---|
| 封鎖 | 阻止使用者完成動作,例如上傳檔案。使用者會收到錯誤或自訂訊息。 | 自訂訊息:向使用者顯示自訂訊息 (最多 300 個半形字元,支援超連結),說明為什麼封鎖動作。 |
| 允許共用並顯示警告 | 允許使用者在收到警告訊息後繼續操作。如果使用者選擇繼續操作,系統會將此行為記錄在記錄事件中。 |
自訂訊息:顯示自訂警告訊息。 在網頁內容中加上浮水印:如果是網址造訪動作,系統會在網頁上疊加半透明浮水印,以及「機密」文字或自訂訊息。 限制擷取螢幕截圖和分享螢幕畫面:針對 Mac 和 Windows 裝置上的網址造訪動作,禁止在相關網頁上擷取螢幕截圖和分享螢幕畫面。如果使用者仍擷取螢幕截圖,內容會顯示為全黑 (Windows) 或消失 (Mac)。 |
| 僅限稽核 | 允許使用者繼續操作不間斷,並記錄事件以供審查。 |
在網頁內容中加上浮水印:如果是網址造訪動作,系統會在網頁上疊加半透明浮水印,以及「機密」文字或自訂訊息。 限制擷取螢幕截圖和分享螢幕畫面:針對 Mac 和 Windows 裝置上的網址造訪動作,禁止在相關網頁上擷取螢幕截圖和分享螢幕畫面。如果使用者仍擷取螢幕截圖,內容會顯示為全黑 (Windows) 或消失 (Mac)。 |
重要事項:對於「已上傳檔案」和「已貼上的內容」使用者事件,系統是否執行封鎖行為,取決於 Chrome Enterprise 連接器政策的「延後上傳檔案」和「延後輸入文字」設定。詳情請參閱「上傳內容分析」和「大量文字內容分析」。
選擇資料存放地區
您可以選擇將資料遺失防護和惡意軟體掃描資料存放在特定地區,例如美國或歐洲。這有助於滿足許多法規遵循協議對資料落地的要求。詳情請參閱「選擇資料存放的地理區域」。
開啟 OCR
您必須啟用光學字元辨識 (OCR) 功能,Chrome 才能掃描檔案和 PDF 中的圖片,確認是否含有敏感內容。OCR 會掃描上傳、下載及列印的 BMP、GIF、JPEG、PNG 和 TIF 檔案。啟用後,OCR 設定會套用至所有資料遺失防護規則,您無法選擇將設定套用到特定規則。
如何啟用 OCR:
-
在 Google 管理控制台中,依序點選「選單」圖示
「安全性」「存取權與資料控管」「資料保護」。須具備「查看及管理資料遺失防護規則」的管理員權限。
- 前往「資料保護設定」,然後按一下「光學字元辨識 (OCR)」。
- 開啟「適用於 Google Chrome」。
- 按一下 [儲存]。
建立資料遺失防護規則
啟用 OCR 後,請決定規則的條件和動作,然後建立資料遺失防護規則。詳情請參閱「建立資料遺失防護規則」。
常見用途
下表的範例說明如何結合使用者事件 (觸發條件)、條件 (檢查內容) 和特定動作 (強制執行),定義資料遺失防護政策。這張表格的使用步驟如下:
- 選取使用者事件。
- 將條件值對應至相應選項。
- 選取動作。
| 用途 | 使用者事件 | 條件 | 動作 |
| 禁止從 Google 雲端硬碟下載檔案 | 已下載檔案 |
內容類型:網址* 比對項目:包含文字字串 值:drive.google.com |
封鎖 |
| 如果下載的檔案包含超過 30 個電子郵件地址,就向使用者發出警告 | 已下載檔案 |
內容類型:所有內容 比對項目:預先定義的資料類型 設定:資料類型:全球 - 電子郵件地址、中等可能性、不重複相符項目數下限為 30 |
允許共用並顯示警告 |
| 禁止將檔案上傳至社群媒體網站 | 上傳檔案 |
內容類型:網址類別 比對項目:選取類別 值:Social Networks |
封鎖 |
| 禁止下載大於 10 KB 的圖片檔 | 已下載檔案 |
條件 1:檔案大小 比對項目:大於 值:10,000 個位元組 和 條件 2:檔案類型 比對項目:系統檔案類別 值:圖片 |
封鎖 |
| 當 ChromeOS 中轉移的檔案含有美國社會安全號碼時,留下相應記錄 | 檔案傳輸 |
內容類型:所有內容 比對項目:預先定義的資料類型 設定:資料類型:美國 - 社會安全號碼、中等可能性、不重複相符項目數下限為 1、相符項目數下限為 1 |
僅限稽核 |
| 禁止使用者貼上從 Gmail (mail.google.com) 複製的內容 | 已貼上的內容 |
內容類型:來源網址* 比對項目:包含文字字串 值:mail.google.com |
封鎖 |
| 在使用者造訪指定的敏感網站時,套用浮水印或限制擷取螢幕截圖 | 造訪過的網址 |
內容類型:網址*或網址類別 比對項目:選取適當的比對項目 值:特定敏感網址或類別 |
允許共用並顯示警告 / 僅限稽核 (已選取「新增浮水印」和/或「限制擷取螢幕截圖」) |
| 禁止上傳檔案至個人 Google 雲端硬碟帳戶 | 檔案已上傳 |
條件 1: 比對項目:包含文字字串 值:drive.google.com 和 條件 2: 比對項目:與網域名稱不符 值:<貴機構網域名稱>.comyour-organization-domain-name.com |
封鎖 |
*如果您最近才造訪過要篩選的網址,系統會對該網址進行數分鐘快取作業。在該網址的快取清除之前,新的 (或修改過的) 規則可能無法成功篩選該網址。請先等待約 5 分鐘,再測試新規則或修改過的規則。
查看、監控及調查快訊
建立資料遺失防護規則後,您可以查看使用者在 Chrome 瀏覽器中的動作,例如上傳和下載資料,或是複製及貼上資料。然後,你可以執行以下操作:
- 在安全性資訊主頁查看報表。與 Chrome Enterprise 進階版相關的報表包括:
- Chrome 威脅防護摘要報表
- Chrome 資料保護摘要報表
- Chrome 高風險使用者報表
- Chrome 高風險網域報表
- 詳情請參閱「使用安全性資訊主頁」。
- 使用安全調查工具,調查資料共用事件快訊。詳情請參閱「關於安全調查工具」。
- 在「規則記錄事件」中查看事件詳細資料。
- 調查違反資料遺失防護規則的情形,判斷是實際事件還是誤判。詳情請參閱「查看觸發資料遺失防護規則的內容」。