为符合商业标准和行业规范,组织需要保护敏感信息,并避免因疏忽导致的泄露。 可能想要防止在组织外部泄漏的敏感信息示例包括财务数据或个人身份信息 (PII) 例如信用卡号、社会安全号码或国家/地区 ID 号码。 借助 SharePoint Server 2016 (DLP) 策略,可以识别、监视和自动保护网站集中的敏感信息。
使用 DLP,可以:
-
创建 DLP 查询,确定网站集中现在存在的敏感信息。 创建 DLP 策略之前,查看组织中人员正在处理哪些类型的敏感信息以及哪些网站集包含这些敏感信息通常很有帮助。 使用 DLP 查询,可以查找受常见行业法规保护的敏感信息,更好地了解风险,并确定 DLP 策略需要保护哪些敏感信息以及哪些位置需要保护的敏感信息。
-
创建 DLP 策略来监视和自动保护网站集中的敏感信息。 例如,可以设置一个策略,如果用户保存的文档包含个人身份信息,则向用户显示策略提示。 此外,该策略可以自动阻止所有人(网站所有者、内容所有者和上次修改过该文档的人)访问这些文档。 最后,由于不希望 DLP 策略阻止用户完成工作,因此策略提示提供了一个选项来替代阻止操作,以便用户可以在有业务理由时继续处理文档。
DLP 模板
创建 DLP 查询或 DLP 策略时,可以从符合常见法规要求的 DLP 模板列表进行选择。 每个 DLP 模板标识特定类型的敏感信息 - 例如,名为"美国个人身份信息 (PII) 数据" 的模板标识包含美国和英国护照号、美国个人身份证号 (ITIN) 或美国社会安全号码 (SSN) 的内容。
敏感信息类型
DLP 策略可帮助保护定义为敏感信息类型的 敏感信息。 SharePoint Server 2016 包括许多可供使用的常见敏感信息类型的定义,例如信用卡号、银行帐号、身份证号和护照号码。
DLP 策略查找敏感信息类型(如信用卡号)时,不只查找 16 位数字。 通过以下组合对每种敏感信息类型进行定义和检测:
-
关键字
-
用于验证校验和或撰写的内部函数
-
用于查找模式匹配的正则表达式评估
-
其他内容检查
这将有助于实现高度准确的 DLP 检测,同时减少导致用户工作中断的误报数。
每个 DLP 模板查找一个或多个类型的敏感信息。 有关每种敏感信息类型的工作原理详细信息,请参阅 SharePoint Server 2016 中查找的敏感信息类型。
|
此 DLP 模板... |
查找这些敏感信息类型... |
|---|---|
|
PII 数据的美国个人身份 () 信息 |
美国/英国护照编号 美国个人身份证号 (ITIN) 美国社会安全号码 (SSN) |
|
U.S. Gramm-Leach-Bliley Act (GLBA) |
信用卡号 美国银行帐号 美国个人身份证号 (ITIN) 美国社会安全号码 (SSN) |
|
PCI 数据安全标准 (PCI DSS) |
信用卡号 |
|
U.K. 财务数据 |
信用卡号 欧盟借记卡编号 SWIFT 代码 |
|
美国金融数据 |
ABA 路由号码 信用卡号 美国银行帐号 |
|
PII 数据的个人身份 () 信息 |
英国国家保险号码 (NINO) 美国/英国护照编号 |
|
英国数据保护法 |
SWIFT 代码 英国国家保险号码 (NINO) 美国/英国护照编号 |
|
U.K. 隐私和电子商务法规 |
SWIFT 代码 |
|
美国州社会安全号码保密法 |
美国社会安全号码 (SSN) |
|
美国违反通知法律 |
信用卡号 美国银行帐号 美国驱动程序的许可证编号 美国社会安全号码 (SSN) |
DLP 查询
创建 DLP 策略之前,可能需要查看网站集中已存在哪些敏感信息。 为此,在电子数据展示中心创建并运行 DLP 查询。
DLP 查询的工作方式与电子数据展示查询相同。 根据选择的 DLP 模板,DLP 查询配置为搜索特定类型的敏感信息。 首先选择要搜索的位置,然后可以微调查询,因为它支持关键字查询语言 (KQL) 。 此外,可以通过选择日期范围、特定作者、SharePoint或位置来缩小查询范围。 就像电子数据展示查询一样,可以预览、导出和下载查询结果。
DLP 策略
DLP 策略可帮助识别、监视和自动保护受常见行业法规限制的敏感信息。 选择要保护的敏感信息类型,以及检测到包含此类敏感信息的内容时要采取的操作。 DLP 策略可以通过发送事件报告来通知合规性主管,通过站点上的策略提示通知用户,并选择性地阻止除了网站所有者、内容所有者和上次修改文档的人外所有人访问文档。 最后,策略提示具有替代阻止操作的选项,这样,如果用户有业务理由或需要报告误报,就可以继续使用文档。
在合规性策略中心创建和管理 DLP 策略。 创建 DLP 策略的过程包括两个步骤:首先创建 DLP 策略,然后将策略分配给网站集。
步骤 1:创建 DLP 策略
创建 DLP 策略时,请选择 DLP 模板,用于查找需要识别、监视和自动保护的敏感信息类型。
当 DLP 策略找到的内容包含你选择的任何类型的敏感信息的最小实例数(例如五个信用卡号或单个社会安全号码)时,DLP 策略可以通过执行以下操作自动保护敏感信息:
-
将事件报告 发送到你选择 (人员,例如您的合规) 人员,并提供有关事件的详细信息。 此报告包含有关检测到的内容的详细信息,例如标题、文档所有者和检测到的敏感信息。 若要发送事件报告,需要在管理中心配置传出电子邮件设置。
-
保存或编辑包含 敏感信息的文档时,通过策略提示通知用户。 策略提示解释了文档为何与 DLP 策略冲突,以便用户可以采取补救措施,例如从文档中删除敏感信息。 文档符合要求时,策略提示将消失。
-
阻止除网站所有者 、文档所有者和上次修改文档的人以外的所有人访问内容。 这些人员可以从文档中删除敏感信息或采取其他补救措施。 文档符合要求时,将自动还原原始权限。 必须了解,策略提示为用户提供了替代阻止操作的选项。 因此,策略提示可帮助用户了解 DLP 策略并强制实施它们,而不会阻止用户执行他们的工作。
步骤 2:分配 DLP 策略
创建 DLP 策略后,需要将其分配给一个或多个网站集,这样它就可以开始帮助保护这些位置中的敏感信息。 可以将单个策略分配给多个网站集,但需要一次创建一个分配。
策略提示
您希望组织中处理敏感信息的人遵守 DLP 策略,但不希望不必要地阻止他们完成工作。 这是策略提示可以提供帮助的地方。
策略提示是某人处理与 DLP 策略冲突的内容(例如,包含个人身份信息 (PII) 且保存到网站的 Excel 工作簿等内容)时出现的通知或警告。
可以使用策略提示提高认知度,并帮助人们了解组织策略。 策略提示还可为用户提供替代策略的选项,以便当用户具有有效的业务需求或策略检测到误报时,不会阻止他们。
查看或重写策略提示
若要对文档采取措施,例如重写 DLP 策略或报告误报,可以选择"查看策略提示">项的"打开..."菜单。
策略提示列出了内容的问题,可以选择"解决",然后选择"替代策略提示"或"报告误报"。
有关策略提示工作方法的详细信息
请注意,内容可以匹配多个 DLP 策略,但只会显示最严格、优先级最高的策略中的策略提示。 例如,DLP 策略中阻止访问内容的策略提示将通过仅通知用户的规则中的策略提示显示。 这会让用户看不到策略提示的级联方式。 此外,如果限制性最严格的策略中的策略提示允许用户替代策略,则重写此策略也会覆盖内容匹配的其他任何策略。
DLP 策略将同步到网站,并且会定期异步评估内容 (请参阅下一部分) ,因此,创建 DLP 策略的时间与开始查看策略提示的时间之间可能有短暂的延迟。
DLP 策略的工作原理
DLP 使用深入内容分析(而不仅仅是简单的文本扫描)来检测敏感信息。 此深度内容分析使用关键字匹配、正则表达式评估、内部函数和其他方法来检测与 DLP 策略匹配的内容。 您的数据中可能只有一小部分数据被视为敏感数据。 DLP 策略可以只识别、监视和自动保护那些敏感数据,而不会妨碍或影响处理您的内容的其余部分的人员。
在合规性策略中心创建 DLP 策略后,它会作为策略定义存储在该网站中。 然后,将策略分配给不同的网站集时,该策略将同步到这些位置,开始评估内容并强制执行发送事件报告、显示策略提示和阻止访问等操作。
网站中的策略评估
在你的所有网站集中,文档会不断发生变化, 它们不断创建、编辑、共享,等等。 这意味着文档可能随时会与 DLP 策略发生冲突,或变为合规状态。 例如,一个用户上载的文档可能不包含与团队站点相关的敏感信息,但之后,另一个用户可能会编辑同一文档,并向文档添加敏感信息。
为此,DLP 策略经常检查后台中是否包含与策略相符的文档。 您可以将这视为异步策略评估。
以下介绍其工作方式。 当用户添加或更改其网站中的文档时,搜索引擎会扫描内容,以便你以后可以搜索它。 发生这种情况时,还会扫描内容中的敏感信息。 找到的任何敏感信息都安全地存储在搜索索引中,以便只有符合性团队可以访问它,而只有典型用户才能访问它。 已打开的每个 DLP 策略在后台以异步方式 (运行) ,经常检查是否搜索与策略匹配的任何内容,并应用操作防止意外泄露。
最后,文档可能与 DLP 策略相冲突,但也可能符合 DLP 策略。 例如,如果用户将信用卡号添加到文档,可能会导致 DLP 策略自动阻止对该文档的访问。 但是,如果该用户稍后删除此敏感信息,则下一次根据此策略对此文档进行评估时,该操作(在这种情况下,阻止操作)将自动撤消。
DLP 评估可编制索引的任何内容。 有关默认情况下爬网哪些文件类型的信息,请参阅默认爬网文件扩展 名和已分析文件类型。
在使用情况日志中查看 DLP 事件
可以在运行 SharePoint Server 2016 的服务器上查看使用情况日志中的 DLP 策略活动。 例如,当用户替代策略提示或报告误报时,可以查看他们输入的文本。
首先,需要打开管理中心 (监视>配置使用情况和运行状况数据收集> 简单日志事件Data_SPUnifiedAuditEntry) 。 有关使用情况日志记录详细信息,请参阅 配置使用情况和运行状况数据收集。
启用此功能后,可以在服务器上打开使用情况报告,并查看用户提供的用于替代 DLP 策略提示的理由以及其他 DLP 事件。
开始使用 DLP 之前
本主题概述了 DLP 依赖的一些功能。 这其中包括:
-
若要检测和分类网站集中的敏感信息,请启动搜索服务,并定义内容的爬网计划。
-
打开外出电子邮件。
-
若要查看用户替代和其他 DLP 事件,请打开使用情况报告。
-
创建网站集:
-
对于 DLP 查询,请创建电子数据展示中心网站集。
-
对于 DLP 策略,请创建合规性策略中心网站集。
-
-
为合规性团队创建安全组,然后将安全组添加到电子数据展示中心或合规性策略中心的"所有者"组。
-
若要运行 DLP 查询,查询将搜索的所有内容都需要具有查看权限 – 有关详细信息,请参阅在 SharePoint Server 2016 中创建 DLP 查询。
