在 SharePoint Server 2016 中的数据丢失保护的概述

重要:  本文是由机器翻译的,请参阅免责声明。请在 此处 中查找本文的英文版本以便参考。

若要遵守业务标准和行业法规,组织需要保护敏感信息,并防止其无意中披露。要防止泄露您的组织外部的敏感信息的示例包括财务数据或个人身份信息 (PII),例如信用卡号、 社会保险号码或国家/地区 ID 号。与 SharePoint Server 2016 中的数据丢失保护 (DLP) 策略,您可以识别、 监视和自动跨网站集保护敏感信息。

使用 DLP,您可以︰

  • 创建用于找出什么敏感信息现在存在于您的网站集 DLP 查询。通常,创建 DLP 策略之前,很有用以查看什么类型的组织中的敏感信息人员正在处理,以及哪些网站集包含此敏感信息。使用 DLP 查询,您可以查找受常见行业法规的敏感信息、 更好地了解您的风险,并确定哪些以及在哪里 DLP 策略需要保护敏感信息。

  • 模板创建 DLP 策略监控和自动保护您的网站集的敏感信息。例如,您可以设置的策略,如果他们保存包含个人身份信息的文档将向用户显示策略提示。此外,策略自动每个人,但网站所有者、 内容的所有者,阻止访问这些文档和任何人都上次修改文档。并且最后,您不希望您的 DLP 策略,以防其他人完成,因为策略提示有一个选项以覆盖阻止操作,以便人员可以继续处理文档,如果他们有业务理由。

DLP 模板

当您创建 DLP 查询或 DLP 策略时,您可以选择从对应于常见法规要求的 DLP 模板的列表。每个 DLP 模板标识特定类型的敏感信息-例如,模板,命名为美国个人身份信息 (PII) 的数据标识包含美国和英国 passport 数字、 美国单个纳税人标识数字 (传送) 或美国社会保险号码 (SSN) 的内容。

DLP 策略模板

敏感信息类型

DLP 策略帮助保护敏感信息,定义为敏感信息类型。SharePoint Server 2016 包括许多常见的敏感信息类型可供您使用,例如信用卡号、 银行帐号、 国家/地区的标识号和 passport 数字定义。

当 DLP 策略查找信用卡号之类的敏感信息类型时,它不只是在查找 16 位数字。通过以下组合对每种敏感信息类型进行定义和检测:

  • 关键字

  • 用于验证校验和或撰写的内部函数

  • 用于查找模式匹配的正则表达式评估

  • 其他内容检查

这将有助于实现高度准确的 DLP 检测,同时减少导致用户工作中断的误报数。

每个 DLP 模板查找一个或多个类型的敏感信息。每条敏感信息类型的工作原理的详细信息,请参阅SharePoint Server 2016 中的敏感信息类型寻找

此 DLP 模板...

查找这些敏感信息的类型...

美国个人身份信息 (PII) 数据

美国 / 英国护照号

美国单个纳税人标识号 (传送)

美国社会保险号码 (SSN)

美国金融-服务现代化法案 (GLBA)

信用卡号码

美国银行帐号

美国单个纳税人标识号 (传送)

美国社会保险号码 (SSN)

PCI 数据安全标准 (PCI DSS)

信用卡号码

英国财务数据

信用卡号码

欧盟借记卡号

迅速代码

美国财务数据

ABA 银行代号

信用卡号码

美国银行帐号

英国个人身份信息 (PII) 数据

英国 National 保险数 (NINO)

美国 / 英国护照号

英国数据保护法

迅速代码

英国 National 保险数 (NINO)

美国 / 英国护照号

英国隐私和电子通信法规

迅速代码

美国状态社会保险号码机密性法律

美国社会保险号码 (SSN)

美国状态违反通知法

信用卡号码

美国银行帐号

美国驱动程序的许可证数

美国社会保险号码 (SSN)

DLP 查询

创建 DLP 策略之前,您可能想要查看哪些敏感信息已存在跨网站集。若要执行此操作,您创建和运行电子数据展示中心中的 DLP 查询。

创建 DLP 查询按钮

DLP 查询的工作方式为电子数据展示查询相同。基于您选择配置 DLP 查询搜索特定类型的敏感信息的 DLP 模板。首先选择您想要搜索的位置,然后您可以微调查询因为它支持关键字查询语言 (KQL)。此外,您可以将查询缩小通过选择日期范围、 特定作者、 SharePoint 属性值或位置。然后,就像电子数据展示查询,您可以预览、 导出和下载查询结果。

DLP 查询包含敏感信息的类型

DLP 策略

DLP 策略可帮助您识别、 监视和自动保护受常见行业法规的敏感信息。选择哪些类型的敏感信息,来保护,并且检测到哪些内容包含此类敏感信息时要执行的操作。DLP 策略可以通过发送一个事件报告通知合规专员、 通知用户的策略提示信息在网站上,并向每个人,但网站所有者、 内容的所有者,或者阻止访问文档和任何人都上次修改文档。最后,策略提示具有一个选项以覆盖阻止操作,以便人员可以继续处理文档,如果他们有业务理由或需要报告误报。

创建和管理合规性策略中心中的 DLP 策略。创建 DLP 策略是两个步骤︰ 首先您创建的 DLP 策略,,然后将该策略分配给网站集。

合规性策略中心

步骤 1︰ 创建 DLP 策略

当您创建 DLP 策略时,您选择的 DLP 模板,查找所需识别、 监视和自动保护敏感信息的类型。

新 DLP 策略页

DLP 策略找到的最小您选择-例如的敏感信息为特定类型的实例数、 五个信用卡号或单个社会保险号码-包括的内容时 DLP 策略可以自动通过执行下列操作来保护敏感信息︰

  • 向人员发送一个事件报告您选择 (如您合规专员) 与事件的详细信息。此报表包含的详细信息检测到的内容,例如标题,有关文档所有者和检测到什么敏感信息。若要发送事件报告,您需要在管理中心中配置传出电子邮件设置。

  • 保存或编辑文档包含敏感信息时,请通知策略提示用户。策略提示解释该文档为什么冲突与 DLP 策略,以便人员可以采取补救操作,例如从文档中删除的敏感信息。合规性文档时,将消失策略提示。

  • 网站所有者、 文档所有者和上次修改文档的人员之外的任何用户的阻止访问内容。这些用户可以从文档中删除的敏感信息,或执行其他补救操作。合规性文档时,将自动恢复原始的权限。请务必了解策略提示让用户选择覆盖阻止操作。让用户了解 DLP 策略和实施这些并且不会阻止人员从它们的工作,因此可以帮助策略提示。

    策略提示显示禁止访问文档

步骤 2︰ 分配 DLP 策略

创建 DLP 策略后,您需要将其分配给一个或多个网站集,它可以开始帮助保护这些位置中的敏感信息。可以将单个策略分配给多个网站集,但每个工作分配需要创建一次。

网站集的策略分配

策略提示

要使用的敏感信息保持符合您的 DLP 策略,您的组织中人员,但您不想阻止它们不必要地完成其工作。这是有助于策略提示。

策略提示是通知或当有人正在与 DLP 策略的冲突的内容时显示的警告 — 例如,如 Excel 工作簿包含个人身份信息 (PII) 的内容并保存到网站。

您可以使用策略提示若要增加意识和帮助了解有关您的组织的策略的人员。授予用户替代策略,以便它们不将被阻止是否有有效的业务选项还需要的策略提示或如果策略检测误报。

查看或覆盖策略提示

若要对其执行操作的文档,如覆盖 DLP 策略或报告 false 正值,您可以选择打开...菜单项 >视图策略提示

策略提示列出了内容,问题,您可以选择解决,然后重写策略提示或报表误报。

文档的策略提示 覆盖策略提示

有关如何策略提示工作的详细信息

注意可能内容以匹配多个 DLP 策略,但仅从最严格、 最高优先级策略的策略提示将会显示。例如,从块访问内容将显示通过策略提示的规则,只需通知用户从 DLP 策略策略提示。这会防止用户看到的策略提示级联。此外,如果策略提示最严格的策略中允许用户覆盖的策略,然后重写此策略还会覆盖任何其他内容相匹配的策略。

DLP 策略同步到网站和 contented 定期和异步计算与它们 (请参阅下一节),因此可能创建 DLP 策略的时间之间的时间,请参阅策略提示您开始短暂的延迟。

DLP 策略的工作原理

DLP 检测使用深内容分析 (而不仅仅是简单的文本扫描) 的敏感信息。此深层内容分析使用关键字匹配项,正则表达式、 内部函数和其他方法的求值检测匹配 DLP 策略的内容。可能只有少量数据被视为敏感。DLP 策略可以识别、 监视和自动而不会阻碍或影响同事与其余内容保护只需该数据。

合规性策略中心中创建 DLP 策略后,它将存储为策略定义该网站中。然后,为您分配到不同网站集的策略,该策略同步到这些位置,它启动来评估内容和实施发送事件报告、 显示策略提示和阻止访问等操作。

在网站中的策略评估

所有网站集,不断变化的文档,它们不断地创建、 编辑、 共享,和等。这意味着可以冲突的文档或随时成为符合 DLP 策略。例如,一个人可以上载不包含敏感信息到其工作组网站、 文档,但以后,另一个人可以编辑同一文档,并向其添加敏感信息。

为此,DLP 策略经常检查后台中是否包含与策略相符的文档。您可以将这视为异步策略评估。

下面是其工作方式。为用户添加或更改其网站中的文档,请搜索引擎将扫描内容,以便您可以搜索其更高版本。出现这种情况,同时的内容也扫描敏感信息。找到任何敏感信息是安全地存储在搜索索引,以便仅合规性团队可以访问它,但不是典型的用户。您已打开的每个 DLP 策略在后台运行 (异步),检查经常搜索任何内容相匹配的策略,并应用操作以防止意外泄露。

显示 DLP 策略如何异步计算内容的图表

最后,文档可能与 DLP 策略相冲突,但也可能符合 DLP 策略。例如,如果用户将信用卡号添加到文档,可能会导致 DLP 策略自动阻止对该文档的访问。但是,如果该用户稍后删除此敏感信息,则下一次根据此策略对此文档进行评估时,该操作(在这种情况下,阻止操作)将自动撤消。

DLP 计算可索引的任何内容。默认情况下,哪些文件类型进行爬网的详细信息,请参阅默认的已爬网文件扩展名和解析文件类型

使用率日志中查看 DLP 事件

您可以运行 SharePoint Server 2016 的服务器上的用法日志中查看 DLP 策略活动。例如,您可以查看它们重写策略提示或报表误报时由用户输入的文本。

首先,您需要打开管理中心中的选项 (监控>配置使用率和运行状况数据集>简单的日志事件用法 Data_SPUnifiedAuditEntry)。有关使用状况日志记录的详细信息,请参阅配置使用率和运行状况数据集

若要开启 DLP 使用率日志的选项

开启此功能后,您可以打开在服务器上的使用率报告并查看的用户提供的重写 DLP 策略提示,以及其他 DLP 事件的理由。

按使用率日志覆盖用户的原因

开始使用 DLP 之前

本主题列出了一些取决于 DLP 的功能。其中包括︰

  • 若要检测并将在您的网站集的敏感信息分类,启动搜索服务和定义爬网计划为您的内容。

  • 启用传出电子邮件。

  • 若要查看用户重写和其他 DLP 事件,启用使用率报告。

  • 创建网站集︰

    • DLP 查询创建电子数据展示中心网站集。

    • 对于 DLP 策略,创建合规性策略中心网站集。

  • 创建安全组合规性团队,并将安全组添加到所有者组中的电子数据展示中心或合规性策略中心。

  • 若要运行 DLP 查询,请查看权限所需的所有内容都将搜索查询-有关详细信息,请参阅创建 SharePoint Server 2016 中的 DLP 查询

更多信息

注意: 机器翻译免责声明:本文是由无人工介入的计算机系统翻译的。Microsoft 提供机器翻译是为了帮助非英语国家/地区用户方便阅读有关 Microsoft 产品、服务和技术的内容。由于机器翻译的原因,本文可能包含词汇、语法或文法方面的错误。

扩展你的技能
了解培训
抢先获得新功能
加入 Office 预览体验计划

此信息是否有帮助?

谢谢您的反馈!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×