配置外發檔案分類分級檢測規則 - Secure Access Service Edge

為了防止員工通過多種渠道外發敏感檔案導致業務損失，建議使用辦公安全平台SASE（Secure Access Service Edge）的外發檔案檢測功能進行即時檢測和管控，並配置分類分級檢測規則以識別和管理資料泄露風險。本文檔介紹了如何配置外發檔案的分類分級檢測規則。

前提條件

已購買SASE互連網訪問安全的辦公資料保護版。更多資訊，請參見辦公安全平台計費概述、新手指引。
企業辦公終端安裝的SASE App的版本不低於4.3.1。

配置方式介紹

在配置外發檔案的分類分級識別規則時，您可以根據實際業務需求，靈活選擇以下三種配置方式之一。這種方式不僅能夠滿足不同情境下的管理需求，還能有效提升規則配置的精準性和效率，確保檔案外發的安全性與合規性。

系統內建規則：SASE針對企業常見的檔案類型，內建了多種分類分級檢測規則，您在建立外發策略時可直接選擇適用的規則，從而更高效地管理和保護敏感性資料。
自訂規則：您可以根據實際業務需求，從檔案內容、檔案名稱、檔案尾碼以及資料來源等多個維度，自訂識別規則。
智能推薦庫：你可以使用智能推薦庫中的識別規則直接添加到您設定的資料分類下，從而大幅簡化配置流程。
警告
如果您要使用智能推薦庫中的識別規則，需先完成資產測繪，並通過大模型對檔案進行學習，從而智能產生相應的識別規則。具體操作請參見建立資產地圖測繪任務。

配置自訂規則

步驟一：建立資料元素

您可以從多個維度配置資料元素，包括檔案內容方面的敏感詞庫（如字典、Regex）、檔案尾碼、資料來源等。

登入辦公安全平台控制台。
在左側導覽列，選擇辦公資料保護 > 分类分级。

在分类分级頁面，選擇資料元素頁簽。參考如下內容，根據實際業務配置資料元素。

頁簽	說明	可執行操作
字典正则	配置敏感詞庫，您可以利用字典或Regex對檔案內容進行智能檢測。	新增詞庫：單擊新增敏感词库。在新增敏感词库面板中，進行如下配置後單擊確定。名稱：配置敏感詞庫名稱。類型：通過配置字典或Regex的方式，對檔案內容進行智能驗證。字典：自訂字典內容，支援同時添加多個，用英文逗號（,）隔開，可斷行符號確認。正則：輸入自訂Regex。例如，([A-Za-z0-9]+)，該運算式用於匹配一個或多個英文字母（包括大寫和小寫）或數字。在配置Regex後，您可以單擊測試Regex，並輸入測試欄位對錶達式進行驗證。其他動作：支援按照類型和資料來源等條件式篩選資料。單擊操作列的刪除，刪除未關聯規則的詞庫。重要如果該詞庫已關聯識別規則，則需先在識別規則中取消相關配置，方可刪除詞庫。
算法分类	系統內建了多種智能演算法分類，在配置識別規則時，您可以為其配置相應的演算法分類。SASE將根據所選的智能演算法分類，結合檔案類型，對檔案內容進行高效且精準的檢測。	您可以在关联规则列中查看已配置了演算法分類的識別規則。
算法分级	系統內建了多種智能演算法分級，在配置識別規則時，您可以為其配置相應的演算法分級。SASE將根據所選的智能演算法分級，結合資料敏感性的通用定義及敏感性資料的含量，對檔案內容進行高效且精準的檢測。	您可以在关联规则列中查看已配置了演算法分級的識別規則。
檔案尾碼	系統內建了多種檔案尾碼，您也可以自訂檔案尾碼，基於檔案尾碼對檔案進行檢測。	新增檔案尾碼：單擊新增文件后缀。在新增文件后缀面板中，輸入檔案尾碼，並單擊確定。其他動作：支援按照資料來源篩選資料。單擊操作列的刪除，刪除自訂的檔案尾碼。
数据来源	添加Web应用和代码仓库，針對從該地址下載的檔案，在其進行外發操作時，系統將自動觸發檢測流程。這種方式能夠有效監控敏感性資料的流轉路徑，確保從特定來源下載的檔案在外發時符合安全性原則，從而提升資料防護能力與合規性。	新增應用：單擊新增应用。在添加数据来源面板，進行如下配置： Web应用應用程式名稱：設定應用程式名稱。應用地址：設定URL和檔案路徑。單擊添加設定多條應用地址。參考如下配置。 URL：www.aliyun.com/api/file 路徑：/api/file 代码仓库仓库名称：設定倉庫名稱。 Git仓库地址：設定Git倉庫地址。

配置完成後，單擊確定。

步驟二：建立自訂識別規則

SASE針對分類分級識別規則內建了常見檔案類型的預設規則，您在設定檔外發策略時可直接使用。同時，您也可以根據實際業務需要自訂識別規則，並結合資產地圖上報的檔案進行驗證，以確保規則配置的準確性和適用性。

建立識別規則

登入辦公安全平台控制台。
在左側導覽列，選擇辦公資料保護 > 分类分级。
在分类分级頁面，選擇识别规则頁簽。
在頁面左側数据分类地區，單擊新建，並單擊新建分类。
在新建分类對話方塊中設定分類名稱，並單擊確定。
在建立的資料分類右側單擊新建规则分组。為該資料分類建立識別規則。

在新增分组面板中，配置如下資訊。然後單擊確定。

配置項	說明
規則名稱	識別規則的名稱。支援長度為2~32個字元，包含漢字、字母、數字、短劃線（-）和底線（_）。
数据分类	選擇該分組所在的資料分類。
敏感等級	設定檔的等級。取值： L4：機密資料客戶在企業業務內的敏感個人資訊；基於單一部門或跨部門彙總加工後所產生的宏觀特徵資料、預測資料、信用資料等；在公司內部被嚴禁非業務相關人員討論和傳播，非授權的泄露將直接對企業業務造成嚴重不利影響，甚至是對業務造成系統性風險，牽扯到重大法律責任的資訊；其他特定人員涉及公司重大管理決策、投融資過程等溝通記錄資訊。 L3：保密/隱私資料企業經營過程中所產生的客戶資訊、部門層級經過彙總加工後所產生的業務資料。如果因非授權的泄露，將直接或間接對企業、客戶或者員工造成不利影響或風險，給客戶或公司造成經濟損失、商業損失、聲譽損失，並可能發生潛在的法律責任的資訊。 L2：內部資料僅限員工或者簽署了保密協議的三方人員可查閱使用的企業資料和客戶資訊，或所有者同意對指定人群公開的資訊。如果因非授權的泄露，可能會對企業客戶或企業部分業務、員工造成較小或者不顯著的負面影響。 L1：可公開資料可以被公用訪問或被企業客戶設定為公開發布的資料，且公開傳播不會產生安全或法律問題。
规则配置	配置敏感性資料檢測規則。例如，配置的規則為“檔案名稱包含薪資”，表示檢測檔案中，如果檔案名稱中存在“薪資”，則會觸發敏感檔案檢測。建議您配置多條規則，以便檢測策略能夠按照您的業務需求，準確、全面地匹配檔案內容。您可以設定多條規則之間的條件關係為“AND”、“OR”。

識別規則參數說明

檔案名稱

選項	邏輯串連	內容
關鍵詞	包含全部、包含任一、都不包含	輸入需要檢測的文字。
字典	包含全部、都不包含	選擇資料元素 > 字典正则頁簽中敏感詞庫配置的字典，並設定叫用次數。
正則	包含全部、都不包含	選擇資料元素 > 字典正则頁簽中敏感詞庫配置的正則，並設定叫用次數。

檔案本文

選項	邏輯串連	內容
關鍵詞	包含全部、包含任一、都不包含	輸入需要檢測的文字。
字典	包含全部、都不包含	選擇資料元素 > 字典正则頁簽中敏感詞庫配置的字典，並設定叫用次數。
正則	包含全部、都不包含	選擇資料元素 > 字典正则頁簽中敏感詞庫配置的正則，並設定叫用次數。
演算法推薦分類	包含全部、包含任一、都不包含	選擇資料元素 > 算法分类頁簽中系統內建的推薦演算法分類。
演算法推薦分級	包含任一、都不包含	選擇資料元素 > 算法分级頁簽中系統內建的推薦演算法分級。

資料來源

邏輯串連

內容

包含任一、都不包含

根據應用類型不同，選擇資料來源應用。支援多選。

即时通讯应用：包含飛書、DingTalk、企業微信、微信、QQ等。
Web应用：選擇資料元素 > 数据来源中配置的應用。

檔案類型

選項	邏輯串連	內容
檔案格式	包含任一、都不包含	選擇常見的檔案格式。支援多選。
檔案尾碼	包含任一、都不包含	選擇資料元素 > 檔案尾碼頁簽配置的檔案尾碼。

檔案大小

邏輯串連	內容
大於等於、小於等於、在[A,B]範圍內	輸入檔案大小檢測範圍。

檔案加密

選項	內容
是否加密	選擇是或否。

其他動作

對於自訂識別規則或通過大模型推薦產生的識別規則，可對其進行編輯、啟停設定等操作。同時，還支援在現有識別規則下建立子規則，以實現更精細化的管理和更靈活的配置。

編輯：單擊编辑分组信息。查看和修改配置的識別規則。
啟停：單擊规则启停的開關按鈕來開啟或關閉識別規則。

Secure Access Service Edge：配置外發檔案分類分級檢測規則