使用数据遮盖功能增强 Chrome 中的数据泄露防护功能

数据遮盖功能仅适用于已购买 Chrome 企业进阶版的客户。如需详细了解如何使用 Chrome 企业进阶版集成数据泄露防护 (DLP),请参阅使用 Chrome 企业进阶版将数据泄露防护与 Chrome 集成

作为管理员,您可以在 Chrome DLP 规则中使用数据遮盖功能,通过隐藏敏感信息中的原始字母和数字来保护数据。

数据遮盖简介

数据遮盖可与 Chrome 中的 DLP 网址导航规则配合使用,用于隐藏(“遮盖”)敏感数据中的字母和数字。例如,当不受管理的设备访问特定网址时,您可以使用数据遮盖将社会安全号码 (SSN) 替换为“REDACTED”。数据遮盖亦可配合自定义 DLP 规则使用,如屏幕截图保护和水印。

准备工作

如需设置数据遮盖规则,请确保您的超级用户账号或管理员账号具备以下权限:

  • 组织部门
  • 社区
  • 查看数据泄露防护规则
  • 管理数据泄露防护规则
  • 查看元数据和属性

详细了解管理员权限如何创建自定义管理员角色

使用数据遮盖

安装安全企业浏览器扩展程序

如需在 Chrome 中通过网址导航规则进行数据遮盖,用户必须在其终端用户设备或个人资料中安装安全企业浏览器扩展程序。

如需安装此扩展程序,请执行以下操作:

  1. 在管理控制台中,依次前往 Chrome 浏览器 然后 应用和扩展程序,然后选择用户和浏览器标签页。
  2. 应用和扩展程序部分,选择组织部门、群组、用户或浏览器。
  3. 依次点击添加图标 然后 按 ID 添加 Chrome 应用或扩展程序图标
  4. 在打开的面板中,对于扩展程序 ID,输入 ekajlcmdfcigmdbphhifahdfjbkcifljekajlcmdfcigmdbphhifahdfjbkciflj,然后选择来自 Chrome 应用商店
  5. 点击保存

    用户和浏览器标签页中,应显示安全企业浏览器应用。

  6. (可选)在应用列表中,点击要配置的应用。
    • 对于安装政策,选择以下任一项:
      • 强制安装
      • 强制安装 + 固定到浏览器工具栏

    如果未选择强制安装政策,用户将必须手动安装安全企业浏览器扩展程序。

示例:使用数据遮盖规则进行数据遮盖

您可以像定义其他 DLP 网址导航规则一样定义数据遮盖规则(如需更多示例,请参阅使用 Chrome 企业进阶版将 DLP 与 Chrome 集成)。

此示例展示如何创建一条数据遮盖规则,用于报告对生成式 AI 网站的访问,并遮盖社会安全号码(包括生成式 AI 工具的输入与输出)。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 数据保护规则和检测器部分,依次点击管理规则 然后 添加规则 然后 新规则
  3. 为规则输入名称和(可选)说明。
  4. 应用部分,为 Chrome 勾选访问过的网址复选框。
  5. 点击继续
  6. 操作部分,对于 Chrome,选择仅记入审核日志。用户可以前往相应网址,但该操作会记录在 Chrome 日志中。
  7. 选择遮盖页面上的敏感文本
  8. 遮盖方法部分,选择将文本替换为“REDACTED”
  9. 点击选择正则表达式,然后选择预定义的正则表达式/社会保障号码
  10. 点击继续
  11. 范围部分,选择一个选项:
    • 如需将规则应用于整个组织,请选择 domain.namedomain.name 中的所有用户
    • 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。

    如果组织部门和群组在包含或排除设置上存在冲突,以群组的设置为准。

  12. 内容条件部分,点击添加条件
  13. 要扫描的内容类型部分,选择网址类别
  14. 选择类别中,选择互联网和技术/生成式 AI
  15. 点击继续
  16. 规则详细信息页面上,为该规则选择状态:
    • 有效 - 您的规则会立即生效。
    • 未启用 - 规则会被保存,但不会立即运行。这样可在执行前留出时间,便于您审核规则并与用户共享。您可以稍后启用该规则,只需前往数据保护规则页面,然后将状态更改为已启用即可。
  17. 点击创建

注意:DLP 数据遮盖规则不支持 iframe。如以下示例所示,在使用安全企业浏览器扩展程序进行遮盖时,可通过指定政策来针对 iframe。

示例:使用安全企业浏览器扩展程序配置进行遮盖

您还可以使用 JSON 语法通过安全企业浏览器配置遮盖。在此示例中,您将创建一条数据遮盖规则,用于报告对生成式 AI 网站的访问,并遮盖社会安全号码(包括生成式 AI 工具的输入与输出)。

  1. 在管理控制台中,依次前往 Chrome 浏览器 然后 应用和扩展程序,然后选择用户和浏览器标签页。
  2. 应用和扩展程序部分,选择相应组织部门。
  3. 在应用列表中,选择安全企业浏览器
  4. 对于扩展程序的政策,请使用以下格式指定配置:
    • 必须使用源网址(例如 https://originUrl.com/*”)才能捕获所有 iframe。
    • 使用以下值之一创建预定义检测器:email、ssn、date、time、common-currency-amount、common-currency-amount-suffix、ip-address、cc-number、4-digit-cc-number、payment-statement-link、intl-phone-number
    • 使用唯一的名称(不得与上面列出的任何预定义检测器名称重复)并指定模式,创建自定义正则表达式。

    请参阅下文的“可展开的示例模板”

可展开的示例模板

{
  "dataMasking": {
    "Value": {
      "rules": [
        {
          "name": "DLP Test Light-Obfuscation",
          "urls": [
            "https://dlptest.com/sample-data/namessndob/",
            "https://dlptest.com/*"
          ],
          "detectors": [
            {
              "name": "ssn",
              "maskType": "LIGHT_OBFUSCATION"
            },
            {
              "name": "date",
              "maskType": "HARD_OBFUSCATION"
            },
            {
              "name": "Custom regex to redact ip address",
              "maskType": "REDACT",
              "regex": {
                "pattern": "(\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})"
              }
            }
          ]
        }
      ]
    }
  }
}

创建正则表达式检测器

您可以在数据遮盖规则中使用预定义的正则表达式,也可以创建并使用自定义的正则表达式检测器,以遮盖与该正则表达式匹配的任何内容。

如需创建正则表达式检测器,请执行以下操作:

注意:仅支持 RE2 语法。默认情况下,正则表达式区分大小写。

  1. 在 Google 管理控制台中,依次点击“菜单”图标 然后 安全性 然后 访问权限和数据控件 然后 数据保护

    需要拥有查看 DLP 规则和管理 DLP 规则的管理员权限。

  2. 数据保护规则和检测器部分中,点击管理检测器
  3. 依次点击添加检测器 然后 正则表达式
  4. 添加正则表达式框中,输入检测器的名称和说明(选填)。
  5. 使用 RE2 语法输入正则表达式。如需了解详情,请参阅正则表达式示例
    • 默认情况下,正则表达式区分大小写。
    • 您可以使用 |(或)运算符组合多个正则表达式模式。这样您可以创建一条规则,用于检测并遮盖不同类型的敏感信息。例如,组合正则表达式的一般格式为:(regex1)|(regex2)|(regex3)|..
  6. 如需验证正则表达式,请点击测试表达式
  7. 点击创建

您可以在选择数据遮盖条件时使用自定义检测器。