若要遵守企業標準及業界法規,組織需保護機密資訊的安全,避免遭不當洩漏。 您可能想要防止洩漏到組織外部的機密資訊範例包括財務數據或個人標識資訊, (PII) ,例如信用卡號碼、身分證號碼或國家標識符。 透過 SharePoint Server 2016 中的數據外洩防護 (DLP) 原則,您可以識別、監控及自動保護網站集合中的機密資訊。
使用 DLP,您可以:
-
建立 DLP 查詢以識別您網站集合中現存的機密資訊。 在您建立 DLP 原則之前,查看貴組織中的人員正在處理哪些類型的機密資訊,以及哪些網站集合包含此機密資訊通常會很有説明。 透過 DLP 查詢,您可以找到受一般產業法規規範規範的機密資訊,進一步瞭解您的風險,並判斷 DLP 原則需要保護哪些機密資訊和位置。
-
建立 DLP 原則以監控和自動保護網站集合中的機密資訊。 例如,您可以設定原則,在使用者儲存包含可識別個人資訊的檔時,向使用者顯示原則提示。 此外,原則可以自動封鎖除了網站擁有者、內容擁有者,以及上次修改文件的人員以外的所有人對這些檔的存取權。 最後,由於您不希望 DLP 原則阻止人員完成工作,因此原則提示有一個選項可覆寫封鎖動作,這樣一來,如果人員有業務理由,就可以繼續使用檔。
DLP 範本
當您建立 DLP 查詢或 DLP 原則時,您可以從對應常見法規要求的 DLP 範本清單中進行選擇。 每個 DLP 範本都會識別特定類型的機密資訊,例如,名為 「美國個人標識資訊」的範本 (PII) 數據 可識別包含美屬護照號碼、美國個人稅務身分證編號 (ITIN) ,或美國社會安全號碼 (SSN) 的內容。
敏感資訊類型
DLP 原則可協助保護定義為 機密資訊類型的機密資訊。 SharePoint Server 2016 包含許多可供您使用的常見機密資訊類型的定義,例如信用卡號碼、銀行帳戶號碼、國家/地區標識符和護照號碼。
當 DLP 原則尋找信用卡號碼等機密資訊類型時,並不只是尋找 16 位數的數位。 使用下列各項的組合可定義和偵測每種機密資訊類型:
-
關鍵字
-
驗證總和檢查碼或結構的內部函數
-
用以尋找模式相符項目的規則運算式評估
-
其他內容檢查
這有助於 DLP 偵測達到高度準確性,同時減少可能造成工作中斷的誤判數。
每個 DLP 範本都會尋找一或多種類型的機密資訊。 如需有關每個機密資訊類型運作方式的詳細資訊,請參閱 SharePoint Server 2016 中的機密資訊類型尋找什麼。
|
這個 DLP 範本... |
尋找這些機密資訊型態... |
|---|---|
|
美國個人標識資訊 (PII) 數據 |
美國 / 英國護照號碼 ITIN) 美國個人稅務身分識別編號 ( SSN (美國社會安全號碼) |
|
(GLBA) 美國 Gramm-Leach-Blley 法案 |
信用卡號碼 美國銀行帳戶號碼 ITIN) 美國個人稅務身分識別編號 ( SSN (美國社會安全號碼) |
|
PCI 資料安全性標準 (PCI DSS) |
信用卡號碼 |
|
英國財務數據 |
信用卡號碼 EU 轉帳卡號碼 SWIFT 代碼 |
|
美國財務數據 |
ABA 路由號碼 信用卡號碼 美國銀行帳戶號碼 |
|
英國個人標識資訊 (PII) 數據 |
NINO) (英國國家保險號碼 美國 / 英國護照號碼 |
|
英國數據保護法 |
SWIFT 代碼 NINO) (英國國家保險號碼 美國 / 英國護照號碼 |
|
英國隱私權與電子通訊法規 |
SWIFT 代碼 |
|
美國州社會安全號碼機密法 |
SSN (美國社會安全號碼) |
|
美國州立違反通知法 |
信用卡號碼 美國銀行帳戶號碼 美國駕照號碼 SSN (美國社會安全號碼) |
DLP 查詢
建立 DLP 原則之前,您可能會想要查看所有網站集合中既有哪些機密資訊。 若要這麼做,請在 eDiscovery 中心建立並執行 DLP 查詢。
![[建立 DLP 查詢] 按鈕](/images/zh-tw/3f8c69c2-6826-4d0a-a9f2-cf2663d7a94d?format=avif&w=800)
DLP 查詢的運作方式與電子檔探索查詢相同。 根據您選擇的 DLP 範本,DLP 查詢設定為搜尋特定類型的機密資訊。 首先選擇您要搜尋的位置,然後您可以微調查詢,因為它支援關鍵詞查詢語言 (KQL) 。 此外,您可以選取日期範圍、特定作者、SharePoint 屬性值或位置來縮小查詢範圍。 就像電子檔探索查詢一樣,您可以預覽、匯出及下載查詢結果。
DLP 原則
DLP 原則可協助您識別、監控及自動保護受一般產業法規規範規範的機密資訊。 您可以選擇要保護的機密資訊類型,以及偵測到含有此類機密資訊的內容時要採取的動作。 DLP 原則可以傳送事件報告來通知法務人員、使用網站上的原則提示通知使用者,以及選擇性地封鎖網站擁有者、內容擁有者,以及上次修改檔的任何人對檔的存取權。 最後,原則提示可以選擇覆寫封鎖動作,讓用戶能夠在有業務理由或需要回報誤判時繼續處理檔。
您可以在合規性原則中心建立及管理 DLP 原則。 建立 DLP 原則需要兩個步驟:先建立 DLP 原則,然後將原則指派給網站集合。
步驟 1:建立 DLP 原則
當您建立 DLP 原則時,您會選擇 DLP 範本,尋找識別、監視和自動保護所需的機密資訊類型。
當 DLP 原則找到包含您所選擇之特定類型機密資訊實例數目最低的內容時,例如五張信用卡號碼或一個身分證號碼,則 DLP 原則可以採取下列動作來自動保護機密資訊:
-
將事件報告傳送給 您選擇 (的人員,例如法務人員) 並提供事件的詳細數據。 這份報告包含有關偵測到之內容的詳細數據,例如標題、文件擁有者,以及偵測到哪些機密資訊。 若要傳送事件報告,您必須在管理中心設定待發電子郵件設定。
-
儲存或編輯包含機密資訊的檔時,請使用原則提示通知使用者。 原則秘訣會說明文件為何與 DLP 原則衝突,讓使用者可以採取補救行動,例如移除檔中的機密資訊。 檔符合規範時,原則提示會消失。
-
封鎖網站擁有者、文件擁有者及上次修改文件的人員以外的所有人對內容的存取權。 這些人可以從檔中移除機密資訊,或採取其他補救動作。 當檔符合規範時,將會自動還原原始許可權。 請務必瞭解,原則提示可讓用戶選擇覆寫封鎖動作。 因此,原則秘訣可協助教育用戶關於您的 DLP 原則,並強制執行這些原則,而不會阻止使用者執行其工作。
步驟 2:指派 DLP 原則
建立 DLP 原則之後,您需要將它指派給一或多個網站集合,以便開始協助保護這些位置中的機密資訊。 單一原則可以指派給許多網站集合,但每個工作分派都必須一次建立一個。
原則秘訣
您希望組織中使用機密信息的人員符合您的 DLP 原則,但不想不必要地封鎖他們以完成工作。 這是原則提示可以提供協助的地方。
原則提示是當某人處理與 DLP 原則衝突的內容時出現的通知或警告,例如包含個人標識資訊的 Excel 活頁簿等內容, (PII) 並儲存至網站。
您可以使用原則秘訣提高意識,並協助教育人員有關貴組織的原則。 原則秘訣也可讓使用者選擇覆寫原則,這樣他們就不會在有有效的業務需求,或是原則偵測到誤判時遭到封鎖。
檢視或覆寫原則提示
若要對文件採取動作,例如覆寫 DLP 原則或回報誤判,您可以選取專案的 [開啟...] 功能表 > 檢視原則提示。
原則提示會列出內容的問題,您可以選擇 [ 解決],然後 覆寫 原則提示或 回報 誤判。
原則提示運作方式的詳細數據
請注意,內容可能符合一個以上的 DLP 原則,但只會顯示來自最嚴格、最高優先順序原則的原則提示。 例如,封鎖內容存取的 DLP 原則所提供的原則提示,會透過只通知使用者的規則,透過原則提示顯示。 這可避免讓使用者看見太多原則提示。 此外,如果最嚴格原則中的原則秘訣允許人員覆寫原則,則覆寫此原則也會覆寫內容相符的任何其他原則。
DLP 原則會同步處理至網站,而內容會定期評估,並異步 (查看下一節) ,因此在您建立 DLP 原則與開始查看原則秘訣之間,可能會有短暫的延遲。
DLP 原則的運作方式
DLP 會使用深度內容分析 (不只是簡單的文字掃描) 來偵測機密資訊。 此深度內容分析會使用關鍵詞比對、正則表達式評估、內部函數及其他方法來偵測符合 DLP 原則的內容。 可能只有一小部分的資料會被視為機密資訊。 DLP 原則可識別、監視和自動保護該項資料,而不會妨礙或影響到使用其餘內容的人員。
在合規性原則中心建立 DLP 原則之後,該原則會儲存為該網站中的原則定義。 然後,當您將原則指派給不同的網站集合時,原則會同步處理到這些位置,並開始評估內容並強制執行動作,例如傳送事件報告、顯示原則提示,以及封鎖存取。
網站中的原則評估
在您所有的網站集合中,文件會不斷地變更,它們會持續被建立、編輯、共用等等。 這表示文件有可能會違反或符合 DLP 原則。 例如,人員可以將不含機密資訊文件上傳到小組網站,之後另一個人可以編輯同一份文件並在其中加入機密資訊。
因此,DLP 原則會頻繁地在背景中檢查文件是否有原則相符項目。 您可以將此視為非同步原則評估。
影片中將說明此操作如何運作。 當使用者在其網站中新增或變更檔時,搜尋引擎會掃描內容,以便您日後搜尋內容。 發生這種情況時,也會掃描內容是否有機密資訊。 任何找到的機密資訊會安全地儲存在搜尋索引中,因此只有合規性小組可以存取該資訊,但不能是一般使用者。 您開啟的每個 DLP 原則都會在背景執行, (異步) 、經常搜尋符合原則的任何內容,以及套用動作來保護它免於意外洩漏。
最後,文件可能會違反 DLP 原則,但也可能會符合 DLP 原則。 例如,如果人員在文件中加入信用卡號碼,有可能會導致 DLP 原則自動封鎖文件的存取。 但如果人員稍後移除機密資訊,則會在下次依據原則進行評估時自動復原動作 (在此案例中為封鎖)。
DLP 會評估任何可編製索引的內容。 如需依預設編目哪些文件類型的詳細資訊,請參閱 預設編目檔名擴展名和剖析的檔類型。
在使用記錄中檢視 DLP 事件
您可以在執行 SharePoint Server 2016 之伺服器的使用記錄檔中檢視 DLP 原則活動。 例如,您可以檢視使用者覆寫原則提示或回報誤判時所輸入的文字。
首先,您需要開啟管理中心 (監控 > 設定 使用狀況與健康情況數據收集 > 簡易記錄事件使用Data_SPUnifiedAuditEntry) 中的選項。 如需使用記錄的詳細資訊,請參閱 設定使用狀況與健康情況數據收集。
開啟此功能之後,您可以開啟伺服器上的使用方式報告,並檢視使用者針對覆寫 DLP 原則提示及其他 DLP 事件所提供的理由。
開始使用 DLP 之前
本主題概述 DLP 所依存的一些功能。 這些包括︰
-
若要偵測及分類網站集合中的機密資訊,請啟動搜尋服務,併為您的內容定義編目排程。
-
開啟中斷的電子郵件。
-
若要檢視使用者覆寫和其他 DLP 事件,請開啟使用方式報告。
-
建立網站集合:
-
若是 DLP 查詢,請建立 eDiscovery 中心網站集合。
-
針對 DLP 原則,請建立合規性原則中心網站集合。
-
-
為您的合規性小組建立安全組,然後將安全組新增至 eDiscovery 中心或合規性原則中心的 [擁有者] 群組。
-
若要執行 DLP 查詢,必須檢視查詢將搜尋的所有內容的許可權 – 如需詳細資訊,請參閱 在 SharePoint Server 2016 中建立 DLP 查詢。
