若要遵守企業標準及業界法規,組織需保護機密資訊的安全,避免遭不當洩漏。 您可能要防止組織外部洩漏的敏感性資訊範例包括財務資料或個人識別資訊 (PII) 例如信用卡號碼、社會安全號碼或國家識別碼。 在 SharePoint Server 2016 (DLP) 策略中,您可以識別、監控及自動保護網站集合中的敏感性資訊。
使用 DLP,您可以:
-
建立 DLP 查詢,找出您的網站集合中現在存在哪些敏感性資訊。 在您建立 DLP 策略之前,查看貴組織人員處理哪些類型的敏感性資訊,以及哪些網站集合包含此敏感性資訊通常很有説明。 使用 DLP 查詢,您可以找到受一般產業法規規範的敏感性資訊、更瞭解您的風險,以及判斷 DLP 政策需要保護哪些及何處的敏感性資訊。
-
建立 DLP 策略以監控並自動保護網站集合中的敏感性資訊。 例如,您可以設定一個策略,如果使用者儲存含有個人識別資訊的檔,該策略會向使用者顯示策略提示。 此外,除了網站擁有者、內容擁有者,以及最後修改檔的人外,該政策會自動封鎖所有人對這些檔的存取權。 最後,由於您不希望 DLP 政策防止人員完成工作,因此策略提示有一個選項可以取代封鎖動作,這樣一來,如果人員有業務理由,就可以繼續使用檔。
DLP 範本
當您建立 DLP 查詢或 DLP 政策時,您可以從符合常見法規要求的 DLP 範本清單中選擇。 每個 DLP 範本會識別特定類型的敏感性資訊,例如名為美國個人識別資訊 (PII) Data 的 範本會識別包含美國及英國護照號碼、美國個人納稅人識別號碼 (ITIN) 或美國社會安全號碼 (SSN) 的內容。
敏感性資訊類型
DLP 政策可協助保護敏感性資訊,而敏感性資訊類型則定義為 敏感性資訊類型。 SharePoint Server 2016 包含許多可供您使用的常見敏感性資訊類型定義,例如信用卡號碼、銀行帳戶號碼、國家識別碼和護照號碼。
當 DLP 策略尋找敏感性資訊類型 ,例如信用卡號碼時,它不只是尋找 16 位數的數位。 使用下列各項的組合可定義和偵測每種機密資訊類型:
-
關鍵字
-
驗證總和檢查碼或結構的內部函數
-
用以尋找模式相符項目的規則運算式評估
-
其他內容檢查
這有助於 DLP 偵測達到高度準確性,同時減少可能造成工作中斷的誤判數。
每個 DLP 範本會尋找一或多個類型的敏感性資訊。 有關每個敏感性資訊類型運作方式的資訊,請參閱伺服器2016中的SharePoint類型。
|
此 DLP 範本... |
尋找這些敏感性資訊類型... |
|---|---|
|
美國個人識別資訊 (PII) 資料 |
美國 / 英國護照號碼 ITIN (個人納稅人) 美國社會安全號碼 (SSN) |
|
美國 Gramm-Leach-Bliley Act (GLBA) |
信用卡號碼 美國銀行帳戶號碼 ITIN (個人納稅人) 美國社會安全號碼 (SSN) |
|
PCI 資料安全性標準 (PCI DSS) |
信用卡號碼 |
|
英國財務資料 |
信用卡號碼 歐盟扣款卡號碼 SWIFT 程式碼 |
|
美國財務資料 |
ABA 路由號碼 信用卡號碼 美國銀行帳戶號碼 |
|
英國個人識別資訊 (PII) 資料 |
NINO (國) 美國 / 英國護照號碼 |
|
英國資料保護法 |
SWIFT 程式碼 NINO (國) 美國 / 英國護照號碼 |
|
英國隱私權與電子通訊法規 |
SWIFT 程式碼 |
|
美國州社會安全號碼保密法 |
美國社會安全號碼 (SSN) |
|
美國州違反通知法 |
信用卡號碼 美國銀行帳戶號碼 美國駕照號碼 美國社會安全號碼 (SSN) |
DLP 查詢
在建立 DLP 策略之前,您可能會想要查看網站集合中已存在哪些敏感性資訊。 若要這麼做,您可以在 eDiscovery 中心建立及執行 DLP 查詢。
DLP 查詢與 eDiscovery 查詢相同。 根據您選擇哪種 DLP 範本,DLP 查詢已配置為搜尋特定類型的敏感性資訊。 首先選擇您想要搜尋的位置,然後您可以微調查詢,因為它支援 [關鍵字查詢語言 (KQL) 。 此外,您也可以選取日期範圍、特定作者、SharePoint屬性值或位置來縮小查詢範圍。 就像電子檔探索查詢一樣,您可以預覽、匯出及下載查詢結果。
DLP 政策
DLP 政策可協助識別、監控及自動保護受一般產業法規規範的敏感性資訊。 您可以選擇要保護的敏感性資訊類型,以及偵測到包含這類敏感性資訊的內容時要採取的動作。 DLP 政策可以傳送附隨報告來通知合規性人員、使用網站上的政策提示通知使用者,以及選擇性地封鎖除了網站擁有者、內容擁有者和上次修改檔者外所有人對檔的存取權。 最後,策略提示有一個選項可以取代封鎖動作,這樣一來,如果人員有業務理由或需要報告誤報,就可以繼續使用檔。
您可以在合規性政策中心建立和管理 DLP 政策。 建立 DLP 策略有兩個步驟:首先,您建立 DLP 策略,然後將該策略指派給網站集合。
步驟 1:建立 DLP 策略
當您建立 DLP 策略時,請選擇 DLP 範本,以尋找您需要識別、監控及自動保護的敏感性資訊類型。
當 DLP 政策找到的內容包含您選擇之特定類型敏感性資訊的最小實例數 ,例如五個信用卡號碼或單一社會安全號碼時,DLP 政策可以採取下列動作來自動保護敏感性資訊:
-
傳送附隨報告 給您選擇 (人員,例如您的) 人員,並包含活動詳細資料。 此報告包含偵測到內容的詳細資訊,例如標題、檔擁有者,以及偵測到哪些敏感性資訊。 若要傳送附隨報告,您必須在管理中心設定外寄電子郵件設定。
-
在儲存或編輯 包含敏感性資訊的檔時,以策略提示通知使用者。 政策提示會說明文件為何與 DLP 政策衝突,以便人員採取補救動作,例如從檔中移除敏感性資訊。 當檔符合規範時,策略提示會消失。
-
封鎖網站擁有者 、檔擁有者和上次修改檔之人員以外的所有人的內容存取權。 這些人員可以從檔移除敏感性資訊,或採取其他補救動作。 當檔符合規範時,系統會自動還原原始許可權。 必須瞭解,該策略提示可給予人員替代封鎖動作的選項。 因此,策略提示可協助教育使用者有關 DLP 政策,並強制執行,而不會防止人員執行其工作。
步驟 2:指派 DLP 策略
建立 DLP 策略之後,您需要將其指派給一或多個網站集合,開始協助保護這些位置的敏感性資訊。 單一策略可以指派給許多網站集合,但每個工作分派必須一次建立一個。
策略秘訣
您希望組織中處理敏感性資訊的人遵守 DLP 政策,但不想不必要地封鎖他們完成工作。 這是可協助使用政策秘訣的地方。
原則提示是某人處理與 DLP 原則相衝突的內容時出現的通知或警告,例如包含個人識別資訊 (PII) 且儲存至網站的 Excel 活頁簿等內容。
您可以使用策略秘訣來提升認知度,並協助教育人員瞭解貴組織的政策。 策略提示也會提供使用者重寫該策略的選項,這樣一來,如果他們有有效的業務需求,或是該策略偵測到誤誤,則不會封鎖他們。
檢視或重寫策略提示
若要對檔採取動作,例如重寫 DLP 政策或報告誤誤,您可以選取專案的開啟 ... 功能表,> 策略提示。
策略提示會列出內容的問題,您可以選擇解決,然後重寫策略提示或報告誤誤。
關於策略秘訣如何工作的詳細說明
請注意,內容可能會符合多個 DLP 策略,但只會顯示最嚴格、優先順序最高的策略之策略提示。 例如,來自 DLP 原則之原則提示會以原則提示顯示,該原則提示只會通知使用者。 這可避免讓使用者看見太多原則提示。 此外,如果最嚴格政策中的策略提示允許人員重寫該政策,則重寫此策略也會覆蓋內容相符的其他任何政策。
DLP 策略會同步處理至網站,且會定期以非同步方式評估內容 (請參閱下一節) ,因此在建立 DLP 策略的時間與開始查看策略提示的時間之間,可能會有一段短暫的延遲。
DLP 原則的運作方式
DLP 會使用深度內容分析 (不只是簡單的文字掃描) 來偵測機密資訊。 此深度內容分析會使用關鍵字比對、正則運算式評估、內建函式及其他方法來偵測符合 DLP 政策的內容。 可能只有一小部分的資料會被視為機密資訊。 DLP 原則可識別、監視和自動保護該項資料,而不會妨礙或影響到使用其餘內容的人員。
在合規性政策中心建立 DLP 策略之後,它會儲存為該網站中的策略定義。 接著,當您將策略指派給不同的網站集合時,該策略會同步處理至這些位置,開始評估內容並強制執行動作,例如傳送附隨報告、顯示策略秘訣,以及封鎖存取。
網站中的策略評估
在所有的網站集合中,檔會不斷變更,它們不斷建立、編輯、共用等等。 這表示文件有可能會違反或符合 DLP 原則。 例如,人員可以將不含機密資訊文件上傳到小組網站,之後另一個人可以編輯同一份文件並在其中加入機密資訊。
因此,DLP 原則會頻繁地在背景中檢查文件是否有原則相符項目。 您可以將此視為非同步原則評估。
影片中將說明此操作如何運作。 當人員新增或變更其網站中的檔時,搜尋引擎會掃描內容,以便日後搜尋。 發生此情況時,也會掃描內容以尋找敏感性資訊。 找到的任何敏感性資訊會安全地儲存在搜尋索引中,因此只有合規性小組可以存取,但一般使用者無法存取。 您開啟的每個 DLP 原則會在背景中執行 (非同步) 、經常檢查搜尋符合原則的任何內容,以及使用動作來保護它,避免意外洩漏。
最後,文件可能會違反 DLP 原則,但也可能會符合 DLP 原則。 例如,如果人員在文件中加入信用卡號碼,有可能會導致 DLP 原則自動封鎖文件的存取。 但如果人員稍後移除機密資訊,則會在下次依據原則進行評估時自動復原動作 (在此案例中為封鎖)。
DLP 會評估任何可編製索引的內容。 有關預設會對哪些檔案類型進行爬網,請參閱預設已爬網的副檔名和 剖析的檔案類型。
在使用方式記錄中查看 DLP 事件
您可以在執行 Server 2016 的伺服器使用狀況記錄中,SharePoint DLP 政策活動。 例如,您可以查看使用者重寫策略提示時所輸入的文字,或報告誤誤。
首先,您需要開啟管理中心管理 (監控>設定使用狀況和健康情況資料收集>簡易記錄事件使用方式Data_SPUnifiedAuditEntry) 。 有關使用方式記錄功能詳細資訊,請參閱 設定使用方式和健康情況資料收集。
開啟此功能後,您可以開啟伺服器上使用方式報告,並查看使用者針對重寫 DLP 策略提示與其他 DLP 事件所提供的理由。
開始使用 DLP 之前
本主題概述 DLP 所依賴的一些功能。 這些包括︰
-
若要偵測及分類網站集合中的敏感性資訊,請啟動搜尋服務,並定義內容的爬網排程。
-
開啟外發電子郵件。
-
若要查看使用者重寫和其他 DLP 事件,請開啟使用方式報告。
-
建立網站集合:
-
針對 DLP 查詢,請建立 eDiscovery 中心網站集合。
-
針對 DLP 政策,請建立合規性政策中心網站集合。
-
-
為您的合規性小組建立安全性群組,然後將安全性群組新增到 eDiscovery 中心或合規性政策中心的擁有者群組。
-
若要執行 DLP 查詢,查詢要搜尋的所有內容都需要具有查看許可權 ,若要瞭解更多資訊,請參閱在SharePoint Server 2016 中建立 DLP 查詢。
