为符合商业标准和行业规范,组织需要保护敏感信息,并避免因疏忽导致的泄露。 你可能想要防止在组织外部泄露的敏感信息示例包括财务数据或个人身份信息 (PII) ,例如信用卡号码、社会安全号码或国家身份证号。 通过 SharePoint Server 2016 中的数据丢失防护 (DLP) 策略,可以识别、监视和自动保护网站集中的敏感信息。
使用 DLP,可以:
-
创建 DLP 查询,以确定网站集中现在存在的敏感信息。 在创建 DLP 策略之前,通常最好查看组织中人员正在使用的敏感信息类型,以及哪些网站集包含此敏感信息。 使用 DLP 查询,可以找到受常见行业法规约束的敏感信息,更好地了解风险,并确定 DLP 策略需要保护的敏感信息的内容和位置。
-
创建 DLP 策略以监视和自动保护网站集中的敏感信息。 例如,可以设置一个策略,如果用户保存包含个人身份信息的文档,则向用户显示策略提示。 此外,该策略可以自动阻止除网站所有者、内容所有者和上次修改文档的人员以外的所有人访问这些文档。 最后,由于你不希望 DLP 策略阻止用户完成工作,因此策略提示可以选择替代阻止操作,以便用户在有业务理由时可以继续使用文档。
DLP 模板
创建 DLP 查询或 DLP 策略时,可以从符合常见法规要求的 DLP 模板列表中进行选择。 每个 DLP 模板标识特定类型的敏感信息 - 例如,名为 “美国个人身份信息”的模板 (PII) Data 标识包含美国和英国护照号码、美国个人纳税人标识号 (ITIN) 或美国社会安全号码 (SSN) 的内容。
敏感信息类型
DLP 策略有助于保护敏感信息,该敏感信息被定义为 敏感信息类型。 SharePoint Server 2016 包括许多可供您使用的常见敏感信息类型的定义,例如信用卡号码、银行帐号、国民身份证号和护照号码。
当 DLP 策略查找敏感信息类型(如信用卡号)时,它不只是查找 16 位数字。 通过以下组合对每种敏感信息类型进行定义和检测:
-
关键字
-
用于验证校验和或撰写的内部函数
-
用于查找模式匹配的正则表达式评估
-
其他内容检查
这将有助于实现高度准确的 DLP 检测,同时减少导致用户工作中断的误报数。
每个 DLP 模板查找一个或多个敏感信息类型。 有关每种敏感信息类型工作原理的详细信息,请参阅 SharePoint Server 2016 中的敏感信息类型查找的内容。
|
此 DLP 模板... |
查找这些敏感信息类型... |
|---|---|
|
美国个人身份信息 (PII) 数据 |
美国/英国护照编号 ITIN) (美国个人纳税人标识号 美国社会安全号码 (SSN) |
|
美国格拉姆-利奇-布莱利法案 (GLBA) |
信用卡号 美国银行帐号 ITIN) (美国个人纳税人标识号 美国社会安全号码 (SSN) |
|
PCI 数据安全标准 (PCI DSS) |
信用卡号 |
|
英国财务数据 |
信用卡号 欧盟借记卡号码 SWIFT 代码 |
|
美国财务数据 |
ABA 路由编号 信用卡号 美国银行帐号 |
|
英国个人身份信息 (PII) 数据 |
英国国民保险号码 (NINO) 美国/英国护照编号 |
|
英国数据保护法 |
SWIFT 代码 英国国民保险号码 (NINO) 美国/英国护照编号 |
|
英国隐私和电子通信条例 |
SWIFT 代码 |
|
美国国家社会安全号码保密法 |
美国社会安全号码 (SSN) |
|
美国州违反通知法 |
信用卡号 美国银行帐号 美国驾照编号 美国社会安全号码 (SSN) |
DLP 查询
在创建 DLP 策略之前,可能需要查看网站集中已存在的敏感信息。 为此,请在电子数据展示中心创建并运行 DLP 查询。
DLP 查询的工作方式与电子数据展示查询相同。 根据选择的 DLP 模板,DLP 查询配置为搜索特定类型的敏感信息。 首先选择要搜索的位置,然后可以微调查询,因为它支持关键字查询语言 (KQL) 。 此外,还可以通过选择日期范围、特定作者、SharePoint 属性值或位置来缩小查询范围。 与电子数据展示查询一样,可以预览、导出和下载查询结果。
DLP 策略
DLP 策略可帮助你识别、监视和自动保护受常见行业法规约束的敏感信息。 选择要保护的敏感信息类型,以及检测到包含此类敏感信息的内容时要执行的操作。 DLP 策略可以通过发送事件报告来通知合规性官员,在站点上使用策略提示通知用户,并选择性地阻止除网站所有者、内容所有者和上次修改文档的人员的所有人访问文档。 最后,策略提示可以选择替代阻止操作,以便用户可以在有业务理由或需要报告误报时继续使用文档。
可以在合规性策略中心中创建和管理 DLP 策略。 创建 DLP 策略的过程分为两步:首先创建 DLP 策略,然后将策略分配给网站集。
步骤 1:创建 DLP 策略
创建 DLP 策略时,选择一个 DLP 模板,用于查找需要识别、监视和自动保护的敏感信息类型。
当 DLP 策略找到包含所选特定类型敏感信息的最小实例数(例如,5 个信用卡编号或单个社会安全号码)的内容时,DLP 策略可以通过执行以下操作自动保护敏感信息:
-
将事件报告发送给 你选择 ((例如合规性官员)) ,其中包含事件的详细信息。 此报表包括有关检测到的内容的详细信息,例如标题、文档所有者以及检测到的敏感信息。 若要发送事件报告,需要在管理中心中配置传出电子邮件设置。
-
保存或编辑包含敏感信息的文档时,通过策略提示通知用户。 策略提示解释了该文档与 DLP 策略冲突的原因,以便用户可以采取补救措施,例如从文档中删除敏感信息。 文档符合性时,策略提示将消失。
-
阻止所有人(网站所有者、文档所有者和上次修改文档的人员除外)访问内容。 这些人可以从文档中删除敏感信息,或采取其他补救措施。 文档符合性时,将自动还原原始权限。 请务必了解,策略提示为用户提供了替代阻止操作的选项。 因此,策略提示可帮助用户了解 DLP 策略并强制实施这些策略,而不会阻止用户执行其工作。
步骤 2:分配 DLP 策略
创建 DLP 策略后,需要将其分配给一个或多个网站集,以便开始帮助保护这些位置中的敏感信息。 可以将单个策略分配给多个网站集,但每个分配需要一次创建一个。
策略提示
你希望组织中处理敏感信息的人员遵守 DLP 策略,但你不希望不必要地阻止他们完成工作。 这是策略提示可以提供帮助的地方。
策略提示是在某人处理与 DLP 策略冲突的内容时出现的通知或警告,例如,包含个人身份信息 (PII) 且保存到网站的 Excel 工作簿等内容。
可以使用策略提示来提高认知度,并帮助培训人员了解组织策略。 策略提示还为用户提供替代策略的选项,以便在他们有有效的业务需求或策略检测到误报时不会阻止他们。
查看或重写策略提示
若要对文档执行操作(例如重写 DLP 策略或报告误报),可以为项选择“ 打开...” 菜单,> 查看策略提示。
策略提示列出了内容问题,你可以选择“ 解决”,然后选择 “替代 策略提示”或 “报告 误报”。
有关策略提示工作原理的详细信息
请注意,内容可以匹配多个 DLP 策略,但只会显示来自最严格、最高优先级策略的策略提示。 例如,阻止访问内容的 DLP 策略的策略提示将显示在仅通知用户的规则的策略提示上。 这会让用户看不到策略提示的级联方式。 此外,如果限制性最严格的策略中的策略提示允许用户替代该策略,则重写此策略也会覆盖内容匹配的任何其他策略。
DLP 策略会同步到站点,并定期对内容进行评估,并异步 (请参阅下一部分) ,因此,创建 DLP 策略的时间与开始查看策略提示的时间之间可能会有短暂的延迟。
DLP 策略的工作原理
DLP 使用深入内容分析(而不仅仅是简单的文本扫描)来检测敏感信息。 此深度内容分析使用关键字 (keyword) 匹配、正则表达式的计算、内部函数和其他方法来检测与 DLP 策略匹配的内容。 您的数据中可能只有一小部分数据被视为敏感数据。 DLP 策略可以只识别、监视和自动保护那些敏感数据,而不会妨碍或影响处理您的内容的其余部分的人员。
在合规性策略中心创建 DLP 策略后,该策略将作为策略定义存储在该站点中。 然后,将策略分配给不同的网站集时,策略将同步到这些位置,从中开始评估内容并强制实施发送事件报告、显示策略提示和阻止访问等操作。
站点中的策略评估
在所有网站集中,文档都在不断变化,它们不断被创建、编辑、共享,等等。 这意味着文档可能随时会与 DLP 策略发生冲突,或变为合规状态。 例如,一个用户上载的文档可能不包含与团队站点相关的敏感信息,但之后,另一个用户可能会编辑同一文档,并向文档添加敏感信息。
为此,DLP 策略经常检查后台中是否包含与策略相符的文档。 您可以将这视为异步策略评估。
以下介绍其工作方式。 当用户在其网站中添加或更改文档时,搜索引擎会扫描内容,以便你以后可以搜索它。 发生此情况时,还会扫描内容的敏感信息。 找到的任何敏感信息都安全地存储在搜索索引中,以便只有合规性团队可以访问它,而不能访问典型用户。 启用的每个 DLP 策略在后台运行, (异步) ,经常检查搜索与策略匹配的任何内容,并应用操作来保护它免受意外泄漏。
最后,文档可能与 DLP 策略相冲突,但也可能符合 DLP 策略。 例如,如果用户将信用卡号添加到文档,可能会导致 DLP 策略自动阻止对该文档的访问。 但是,如果该用户稍后删除此敏感信息,则下一次根据此策略对此文档进行评估时,该操作(在这种情况下,阻止操作)将自动撤消。
DLP 评估可编制索引的任何内容。 有关默认爬网的文件类型的详细信息,请参阅 默认已爬网文件扩展名和分析的文件类型。
在使用情况日志中查看 DLP 事件
可以在运行 SharePoint Server 2016 的服务器上的使用情况日志中查看 DLP 策略活动。 例如,可以在用户重写策略提示或报告误报时查看输入的文本。
首先,需要打开管理中心 (监视 > 配置使用情况和运行状况数据收集 > 简单日志事件日志Data_SPUnifiedAuditEntry) 中的 选项。 有关使用情况日志记录的详细信息,请参阅 配置使用情况和运行状况数据收集。
启用此功能后,可以在服务器上打开使用情况报告,并查看用户提供的替代 DLP 策略提示的理由,以及其他 DLP 事件。
开始使用 DLP 之前
本主题概述了 DLP 所依赖的一些功能。 这其中包括:
-
若要检测网站集中的敏感信息并对其进行分类,请启动搜索服务并为内容定义爬网计划。
-
打开外出电子邮件。
-
若要查看用户替代和其他 DLP 事件,请打开使用情况报告。
-
创建网站集:
-
对于 DLP 查询,请创建电子数据展示中心网站集。
-
对于 DLP 策略,请创建合规性策略中心网站集。
-
-
为合规性团队创建安全组,然后将安全组添加到电子数据展示中心或合规性策略中心的“所有者”组。
-
若要运行 DLP 查询,需要对查询将搜索的所有内容具有查看权限 - 有关详细信息,请参阅 在 SharePoint Server 2016 中创建 DLP 查询。
