本文檔介紹管理員如何通過辦公安全平台SASE(Secure Access Service Edge)配置辦公資料保護功能,協助企業即時掌握敏感性資料外發動態,監控資料泄露風險,並保障企業辦公資料的安全性。
適用情境
敏感檔案外發檢測:防止員工通過即時通訊工具、郵件、網盤等渠道外發敏感檔案。
審計日誌查看:記錄並分析敏感檔案外發行為,及時發現潛在的資料泄露風險。
前提條件
已購買SASE互連網訪問安全的辦公資料保護版。更多資訊,請參見辦公安全平台計費概述、新手指引。
企業辦公終端安裝的SASE App的版本不低於4.3.1。
操作步驟
步驟一:添加身份源
身份源主要是為企業員工提供身份認證功能,SASE支援第三方和自建的身份認證系統。目前支援LDAP、DingTalk、企業微信、飛書、IDaaS、自訂身份源。如果您的業務涉及多種身份源,可以一次性配置多種身份源資訊(即多身份源),以便於您以不同的身份源使用SASE服務。
本文為了快速驗證功能,以自訂身份源為例為您介紹。
登入辦公安全平台控制台。
在左側導覽列,選擇。
選擇身份同步頁簽,並單擊新增身份源。
在新增身份源面板中,選擇自訂身份源,然後單擊开始配置。
在基礎配置中,參考下表設定身份源名稱和身份源状态,然後單擊下一步。
配置項
說明
身份源名稱
自訂身份源的名稱資訊。
長度為2~100個字元,中文字元、英文字母、阿拉伯數字、短劃線(-)和底線(_)。
身份源状态
根據需要設定配置狀態。取值:
已開啟:如果當前沒有啟用其他自訂身份源,您可以直接開啟建立的自訂身份源。
已關閉:如果當前存在已啟用其他自訂身份源,您可以將建立的自訂身份源設定為禁用狀態。待您將其他自訂身份源設定為禁用狀態後,再開啟新建立的自訂身份源。
重要關閉自訂身份源配置狀態開關,會導致終端使用者使用SASE App無法訪問內網應用。請謹慎操作。
在登录配置中,設定登入方式,
配置項
說明
電腦裝置登入方式
支援帳號密碼登入和無密碼登入。
使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:
OTP認證:開啟後,您需要選擇OTP令牌模式,目前支援如下三種模式:
允許SASE移動端展示令牌:即SASE內建OTP,需要員工安裝SASE移動端App。
允許第三方App令牌:需確保OTP用戶端時鐘同步正常,目前支援標準及常見的OTP認證軟體,例如阿里雲App等。
允許企業自有令牌:若需相容企業自研OTP,請在技術人員支援下進行配置。
驗證碼認證:支援簡訊驗證碼和郵箱驗證碼。確保配置的身份源中每個使用者都已錄入手機號或者郵箱號。
使用無密碼登入方式時,需要先下載並登入SASE移動端App,然後進行掃碼認證。
行動裝置登入方式
支援帳號密碼登入和指紋或Face Service認證。
使用帳號密碼登入方式時,您可以開啟雙因素認證,取值:
OTP認證:開啟OTP認證前,需開啟PC端OTP認證並選擇允許第三方APP綁定令牌或者允許企業自有令牌,移動端令牌配置與電腦裝置配置一致。
驗證碼認證:開啟驗證碼認證前,需確保配置的身份源中每個使用者都已錄入手機號或郵箱。
使用指紋或Face Service認證方式時,首次登入SASE App時仍需要輸入帳號名與密碼。
單擊確認,完成配置。
步驟二:添加使用者組
登入辦公安全平台控制台。
在左側導覽列,選擇。
在用户组管理頁簽,單擊添加使用者組。
在添加使用者組面板,按照下表的配置項說明添加使用者組資訊。
配置項
說明
使用者組名稱
使用者組的名稱。
描述
使用者組的說明。
組範圍
設定使用者組的範圍,取值:
組織架構:當您設定為組織架構時,下方展示已有的組織架構資訊,您根據需要勾選對應的架構資訊。
賬戶名稱 :當您設定為賬戶名稱時,下方展示配置賬戶名稱輸入框。
郵箱:當您設定為郵箱時,下方展示配置郵箱輸入框。
手機號:當您設定為手機號時,下方展示配置手機號輸入框。
配置關係
設定使用者組的配置關係。取值:
等於
不等於
單擊確定。
步驟三:查看檔案分類分級識別規則
SASE內建了多種識別規則,用於識別常見的公司資料、客戶資料和個人資料等。您可以查看這些內建規則以瞭解其覆蓋範圍。如果您需要自訂識別規則。例如您需要檢測包含個人簡曆相關內容的檔案外發。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在頁簽中,頁面左側数据分类地區查看系統內建的個人簡曆識別規則具體內容。
步驟四:設定檔外發策略
SASE敏感檔案檢測功能通過敏感性資料元素作為敏感檔案的特徵進行自動化識別,通過資料元素、資料類型、敏感等級組成資料範本,再結合處置動作等條件形成檢測策略幫您識別企業員工外發的檔案是否為敏感檔案。
登入辦公安全平台控制台。
在左側導覽列,選擇。
在頁簽中,單擊建立策略。
在建立策略面板中,根據如下配置建立檔案外發策略。並單擊確定。
配置項
說明
策略資訊
策略名稱
策略的名稱。
策略描述
策略的補充說明。
風險等級
支援設定如下四種策略風險等級:
极高:待離職使用者組外發事件、極高危使用者組外發事件、L4檔案外發事件等。
高:高危使用者組外發事件、L3檔案外發事件等。
中:中危使用者組外發事件、L2檔案外發事件等。
低:全量外發兜底事件。
動作
支援設定如下三種策略動作:
只審計
拦截并提示
拦截不提示
如果您設定攔截並提示或者攔截不提示的動作,您還需要選擇阻斷類型,即全量阻斷還是智能阻斷。
全量阻断:SASE App會針對所有外發檔案行為進行即時攔截,並審計。
智能阻断:SASE App會根據資料範本定義的敏感檔案特徵進行即時攔截,為保障攔截的實效性,SASE App會提前對終端檔案進行掃描及敏感等級打標,在掃描任務完成前會預設執行全量阻斷(阻斷策略不生效),掃描及打標均在終端進行,不做上報處理。
源文件保留
設定是否保留源檔案資訊。
截圖取證文件保留
設定是否保留截圖取證檔案資訊。
狀態
配置策略的狀態。取值:
開啟:表示策略生效,SASE會根據策略檢測檔案。
關閉:表示策略不生效。
数据识别规则配置
数据识别规则
選擇您已配置的識別規則。配置識別規則的具體操作,請參見配置外發檔案分類分級檢測規則。
傳輸通道
選擇資料的傳輸通道。當您選擇某種傳輸通道時,當員工通過該通道傳輸檔案時,會觸發敏感檔案檢測行為。支援的傳輸通道類型如下,您可以全選或者選擇部分通道。
即時通訊(軟體)、郵箱(軟體)、FTP通道、網際網路共用、列印、移動儲存、網盤(軟體)、雲筆記(軟體)、遠端桌面、代碼託管(軟體)、大模型(軟體)、網盤(網頁版)、郵箱(網頁版)、代碼託管(網頁版)、雲筆記(網頁版)、雲部落格、大模型(網頁版)、社交、即時通訊(網頁版)、其他等。
生效範圍
使用者組
選擇策略生效的使用者組。
審批流配置
當存在檔案外發風險時,可以配置是否支援企業員工進行報備。
如果選擇支援員工報備審批,您需要選擇合適的審批次程序。關於如何建立審批次程序,請參見配置審批次程序。
弹窗提示配置
設定攔截檔案外發的提示資訊。支援設定中文和英文兩種提示資訊。
步驟五:查看審計日誌
配置完成後,您可以通過審計日誌查看敏感檔案外發的檢測結果。
在左側導覽列,選擇。
在頁簽中,查看最近一小時、最近六小時、最近一天、最近七天、最近一月的審計日誌。
單擊操作列詳情,查看檔案的敏感報文、截图取证、命中策略、辦公終端、外發途徑及帳號資訊等。
相關文檔
如果您需要添加其他身份源。請參見身份接入。
如果您需要對代碼倉庫操作和特定USB裝置添加白名單,請參見配置通道白名單。
通過管控企業員工螢幕浮水印和列印浮水印來保障資料安全,請參見通過管理浮水印保障資料安全。
通過管控企業員工外接裝置(如 隨身碟、藍芽等)來保障資料安全,請參見通過管理外接裝置保障資料安全。