為了避免企業員工在日常辦公中,通過外接裝置(例如隨身碟、藍芽等)外發敏感檔案導致業務遭受重大損失,建議您通過SASE的辦公資料保護功能(DLP)及時對外接裝置進行管控,使您能夠即時掌握敏感性資料外發動態,監控資料泄露風險。本文介紹如何配置管控策略、查看敏感行為的檢測結果,以及如何設定外接裝置白名單使用者。
支援管控的外接裝置
作業系統 | 支援的外接裝置和裝置介面 | 說明 |
Windows |
| 只有隨身碟及USB儲存支援設定的存取權限包含:禁止使用、讀寫使用和唯讀使用。其他的選項只有禁止使用的選項,勾選後表示企業員工無法使用相應的裝置或者介面傳輸資料。 如果您配置的隨身碟及USB儲存為讀寫使用,當企業員工通過隨身碟或者USB傳輸內部檔案時,會觸發敏感行為檢測。 |
macOS |
|
前提條件
已購買SASE互連網訪問安全的辦公資料保護版。更多資訊,請參見辦公安全平台計費概述、購買辦公安全平台。
配置外接裝置的管控策略
登入辦公安全平台控制台。
在左側導覽列,選擇。
選擇外設管理頁簽,單擊添加策略。
在新增策略面板,參考下表資訊,配置相關資料。
配置項
說明
策略名稱
策略的名稱。
支援長度為2~32個字元,包含漢字、字母、數字、短劃線(-)和底線(_)。
策略描述
策略的說明資訊。
狀態
策略狀態:開啟或者關閉。
策略只有在開啟狀態才會生效。
優先順序
策略的優先順序。
策略優先順序取值範圍:1~10,數值越小,表示優先順序越高。
生效使用者
策略管控的使用者或者使用者組。
Windows
支援配置的外接裝置:隨身碟及USB儲存、印表機、可攜式裝置、讀卡機、光碟機。
支援配置的裝置介面:藍芽。
只有隨身碟及USB儲存支援設定的存取權限包含:禁止使用、讀寫使用和唯讀使用。其他的選項只有禁止使用的選項,勾選後表示企業員工無法使用相應的裝置或者介面傳輸資料。
macOS
支援配置的外接裝置:隨身碟及USB儲存。
支援配置的裝置介面:藍芽、AirDrop。
只有隨身碟及USB儲存支援設定的存取權限包含:禁止使用、讀寫使用和唯讀使用。其他的選項只有禁止使用的選項,勾選後表示企業員工無法使用相應的裝置或者介面傳輸資料。
審批流配置
當外接裝置存在安全風險時,可以配置是否支援企業員工進行報備。
如果選擇支援員工報備審批,您需要選擇合適的審批次程序。關於如何建立審批次程序,請參見配置審批次程序。
弹窗提示配置
設定攔截外接裝置訪問的提示資訊。支援設定中文和英文兩種提示資訊。
單擊確定。
建立完成後,您建立的策略資訊在策略列表中顯示。辦公資料保護功能會根據您的配置,管控外接裝置。
查看敏感行為檢測結果
如果您配置的隨身碟及USB儲存為讀寫使用,企業員工通過隨身碟或者USB傳輸內部檔案時,會觸發敏感行為檢測,並根據檢測結果為您分析最近30天、7天、24小時的資料。
在左側導覽列,選擇。
在敏感行為檢測頁面,查看指定時間段統計到企業員工通過隨身碟及USB儲存外發的敏感檔案資料。
在敏感檔案外發涉及的企業員工列表,單擊詳情,可查看企業員工外發敏感檔案的具體資訊。
單擊指定目標檔案右側操作列詳情,可查看該檔案的敏感報文、命中策略、辦公終端以及外發途徑等資訊。
配置外接裝置白名單
如果您需要SASE不對企業中個別員工使用辦公裝置的外發行為進行審計與管控,可以通過配置辦公資料保護的外接裝置白名單,對個別員工實行寬鬆的允許存取策略。
在外設管理頁面,單擊外設白名單。
在白名單頁簽,添加需要設定白名單的員工。
單擊提交。
調整策略優先順序
如果您需要調整外接裝置的管控策略優先順序,單擊
表徵圖修改數字即可。優先順序範圍:1~10,數字越小優先順序越高。
關閉策略
如果當前業務暫時不需要該策略,您可以將策略開關關閉。關閉後策略內容仍保留,後續業務需要時直接開啟策略開關即可。
刪除策略
當後續業務不再需要該策略,您可以單擊刪除,刪除策略內容。
策略刪除後不可以恢複,請謹慎操作。
相關文檔
查看並追溯外發敏感檔案的日誌詳情,請參見敏感檔案檢測日誌。
通過檢測企業員工外發檔案來保障資料安全,請參見通過檢測外發檔案保障資料安全。
通過管控企業員工螢幕浮水印和列印浮水印來保障資料安全,請參見通過管理浮水印保障資料安全。