支持此功能的版本:“Frontline Standard”和“Frontline Plus”、企业标准版和企业 Plus 版、教育基础版、教育标准版、教与学升级版和教育 Plus 版。 比较您的版本
DLP for Chat 也可供符合以下条件的 Cloud Identity 专业版用户使用:这些用户还获得了包括 Google Chat 以及审核和调查功能在内的 Google Workspace 版本的许可。
借助面向 Chat 的数据泄露防护功能,您可以创建数据保护规则,防止 Chat 消息和附件(上传的文件和图片)发生数据泄露。
面向 Chat 的数据泄露防护功能
使用 Chat 数据泄露防护功能,您可以控制聊天话题中的敏感数据共享。使用 Chat 数据泄露防护功能,您可以:
- 创建适用于 Chat 或 Chat 和其他应用(例如云端硬盘或 Chrome)的数据保护规则。
- 创建数据保护规则,以屏蔽 Chat 消息和附件,在用户发送消息和附件时警告他们,或者将消息和附件记录下来以供日后审核。
- 使用文本字符串、预定义和自定义检测器(包含字词列表和正则表达式)定义数据敏感内容条件。
- 为特定组织部门、群组或整个组织实施数据保护规则。
- 使用安全调查工具调查 Chat 数据泄露防护违规内容(包括查看违反此类规则的最终用户消息)。
已知限制
- 一般而言,系统会扫描链接,但不会扫描链接的内容。
- 通过云端硬盘共享的文件受云端硬盘数据泄露防护规则约束。有关详情,请参阅使用 Workspace 数据泄露防护功能防止数据丢失。
Chat 是对延迟时间敏感的应用,因此我们设计了 Chat 数据泄露防护功能,以免降低最终用户体验。
- 对于消息,数据泄露防护功能会在给定的时间内进行扫描。根据检测器的复杂性和数量,部分检测器可能无法及时完成检测,系统不会强制执行。DLP 扫描状态会包含在所发送的消息和上传的附件的 Google Chat 审核日志中。
- 以下预定义的检测器可能需要更多时间来完成扫描,在 Chat 数据泄露防护规则中使用这些检测器会增加扫描超时的风险:
- 出生日期
- 人员姓名
- 给与附件更多扫描时间。
系统会将逗号分隔值 (.csv) 文件视为纯文本。因此,您在查看文件数据时可在列中发现的明显的违规内容,数据泄露防护功能可能无法发现。
确保用户的 Gmail 和 Google Chat 应用是最新版本,以便他们收到屏蔽的 Chat 话题的完整消息。在旧版 Gmail 和 Chat 中,可能会触发警告的内容会被屏蔽。
Chat 数据泄露防护功能的工作原理是什么?
用户发送 Chat 消息时,数据泄露防护功能会扫描该消息以检测是否存在敏感内容。如果某个附件违反了屏蔽规则或警告规则,系统会在消息发出时应用相应操作。
系统会扫描哪些内容?
数据泄露防护规则适用于发送的消息,而非用户或聊天室可接收的消息。
- 系统会扫描邮件和附件。附件包括文件和图片。系统还会扫描附件文件名本身(适用于支持的文件类型)。系统会阻止发送违反安全政策的附件。
- 即使聊天记录功能处于关闭状态,系统也会扫描 1 对 1 聊天、群聊和聊天室中的消息。有关详情,请参阅在 Google Chat 中开启或关闭聊天记录功能。
- Chat 数据泄露防护违规事件会记录在规则审核日志中;在某些情况下,日志中可能会包含消息内容。消息内容在日志中可见的时长取决于您的 Chat 聊天记录设置,以及您为 Chat 配置的消息保留期限。
- 如果开启聊天记录,管理员可以在您配置的消息保留期限内查看消息。
- 如果关闭聊天记录,您可以在 24 小时内查看消息。
扫描的文件类型
数据泄露防护功能会扫描以下文件类型:
- 文档文件类型:.txt、.doc、.docx、.rtf、.html、.xhtml、.xml、.pdf、.ppt、.pptx、.odp、.ods、.odt、.xls、.xlsx、.ps、.css、.csv、.json、.sh
- 图片文件类型:.eps
注意:如果启用了 OCR,系统还会扫描以下类型的图片:.bmp、.gif、.jpeg、.png 以及 PDF 文件中的图片。
- 压缩文件类型:.zip
- 自定义文件类型:.hwp、.kml、.kmz、.sdc、.sdd、.sdw、.sxc、.sxi、.sxw、.wml、.xps
扫描的附件大小限制
上传和发送大小超过 50 MB 的附件时,数据泄露防护功能不会进行扫描。
何时扫描消息?
用户发送 Chat 消息时,无论是否包含附件,系统都会扫描相应消息。
Chat 数据泄露防护功能流程摘要:
- 您创建数据泄露防护规则,以指定哪些内容属于敏感内容,应予以保护。数据泄露防护规则既可以应用于消息,又可以应用于附件。
- 用户发送 Chat 消息。数据泄露防护功能扫描是否存在违反数据泄露防护规则的内容。系统会在上传时扫描附件,并屏蔽违反规则的附件。
- 数据泄露防护功能会强制执行您指定的规则,出现违规内容时会触发您为该规则配置的任意操作。
- 规则审核日志会提醒您注意违反数据泄露防护规则的行为。
如果用户的消息被屏蔽或触发警告,会发生什么?
在执行 Chat 数据泄露防护规则前,应告知最终用户预期的结果。阐明已有相关政策限制可共享的信息,以及系统会屏蔽违反这些政策的消息或发出警告。告诉用户哪些信息受到限制,这样他们在收到关于被屏蔽内容的消息或收到敏感内容警告时就不会感到意外。
屏蔽消息的用户体验Chat 消息或附件被屏蔽后,用户可能会收到以下消息:
- 无法发送消息
- 无法更新消息
根据贵组织的政策,您的消息可能包含不得分享的敏感内容(例如信用卡号)。请根据需要进行修改;如有任何问题,请与管理员联系。
消息被屏蔽后,用户可以关闭对话框,或点击修改消息,然后修改消息文本或移除违规附件。
当 Chat 消息或附件触发警告时,用户会收到以下消息。注意,系统最初会屏蔽消息,并且仅在用户仍然选择发送消息时才会发送:
- 检查消息
根据贵组织的政策,您的消息可能包含不得分享的敏感内容(例如信用卡号)。请根据需要进行修改;如有任何问题,请与管理员联系。
收到警告后,用户可以点击修改消息来修改消息文本,点击仍然发送以原样发送文本,或关闭对话框。
如何控制要屏蔽哪些消息?如果我想屏蔽发送给聊天室或群组的消息,该怎么办?
选择数据泄露防护规则操作(例如“屏蔽消息”)后,选择您要涵盖的话题类型:内部话题或外部话题(例如外部人员拥有的聊天室或启用了访客访问权限的对话)。您还可以选择是否将规则应用到聊天室、群聊和 1 对 1 聊天:
Chat 数据泄露防护功能 - 规则示例
请参阅以下示例,了解如何创建数据泄露防护规则来屏蔽 Chat 消息或附件、发出敏感内容警告,或在规则审核日志中记录 Chat 消息详情。
如需了解创建数据泄露防护规则的一般步骤,请参阅创建云端硬盘新版 DLP 规则和自定义内容检测器。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在保护您的敏感内容下方,点击创建规则。
- 添加规则的名称和说明,例如“在聊天中分享社会保障号时屏蔽”。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。
- 点击继续。
- 对于 Google Chat,选择发送了消息和上传了文件(附件)。
- 点击继续。
- 在“条件”部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 所有内容(注意,如果您选择 Google Chat,那么无论您选择了什么其他应用,“所有内容”都是唯一可用的内容类型)
- 要扫描的内容 - 与预定义的数据类型匹配(推荐)
- 选择数据类型 - 美国 - 美国社会保障号。
- 可能性阈值 - 高。该条件的置信度阈值。这是用来决定消息是否触发规则操作的额外衡量标准。
- 不重复匹配数量下限 - 1。要触发相应操作,消息或附件中必须出现的不重复的最少匹配次数。
- 最低相符项目数 - 1。内容必须在消息或附件中出现几次才会触发相应操作。例如,如果您选择 2,那么消息中必须出现至少 2 次社会保障号才会触发相应操作。
- 点击继续。在操作部分的“Google Chat”下,选择屏蔽消息。选择何时执行此操作。在此示例中,请选择外部话题和内部话题。将聊天室、群聊和 1 对 1 聊天保持为选中状态。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。Chat 的操作是屏蔽外部和内部话题中的消息。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
访问权限和数据控件
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在保护您的敏感内容下方,点击创建规则。
- 添加规则的名称和说明,例如“在 Chat 和云端硬盘中共享护照号码时屏蔽”。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。
- 点击继续。
- 对于 Google 云端硬盘,选择创建、修改、上传或分享了文件。对于 Google Chat,仅选择上传了文件。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 所有内容(注意,如果您选择 Google Chat,那么无论您选择了什么其他应用,“所有内容”都是唯一可用的内容类型)
- 要扫描的内容 - 与预定义的数据类型匹配(推荐)
- 选择数据类型 - 美国护照
- 可能性阈值 - 高。该条件的置信度阈值。这是用来决定消息是否触发操作的额外衡量标准。
- 不重复匹配数量下限 - 1。要触发相应操作,非重复匹配结果必须在文档中出现的最少次数。
- 最低相符项目数 - 1。要触发相应操作,指定内容必须在邮件中出现的最少次数。例如,如果您选择 2,那么消息中必须出现至少 2 次美国护照才会触发相应操作。
- 点击继续。在操作部分:
- 在“Google Chat”下方,选择屏蔽消息。选择何时执行此操作。在本示例中,取消选择内部话题,并让外部话题保持选中状态。您还可以选择要应用该规则的聊天类型。
- 在“Google 云端硬盘”下方,选择禁止与外部共享。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。Chat 只能屏蔽外部话题中的内容。云端硬盘的相关操作是禁止与外部共享内容。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在保护您的敏感内容下方,点击创建规则。
- 添加规则名称和说明,例如“在聊天或 Chrome 中共享名称时记录”。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。
- 点击继续。
- 对于 Chrome,仅选择上传了文件。对于 Google Chat,仅选择上传了文件。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 所有内容(注意,如果您选择 Google Chat,那么无论您选择了什么其他应用,“所有内容”都是唯一可用的内容类型)
- 要扫描的内容 - 包含文本字符串
- 输入要匹配的内容 - SpiderWeb
- 点击添加条件以添加“或”条件,然后选择以下值:
- 要扫描的内容类型 - 所有内容
- 要扫描的内容 - 包含文本字符串
- 输入要匹配的内容 - SpdW
- 点击继续。在操作部分的 Chrome 和 Chat 下方,选择仅记入审核日志。此外,对于 Chat,请选择何时执行此操作。在此示例中,请选择外部话题和内部话题。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。请注意,在操作下方,针对 Chrome 的操作为仅记入审核日志,而针对 Chat 的操作也是仅记入审核日志,并提到该操作针对外部话题和内部话题。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
在此示例中,您将创建一个列出项目敏感字词的自定义检测器。然后,您要将此自定义检测器用作某个数据泄露防护规则中的一个条件。
创建检测器
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
-
- 点击管理检测器。
- 点击添加检测器,然后点击字词表。
- 在添加字词表窗口中:
- 添加名称(例如“敏感字词”)和说明。
- 添加以英文逗号分隔的敏感字词列表。请注意,系统会忽略大小写和符号,并且只匹配完整的字词。字词列表检测器中的字词应至少包含 2 个字母或数字。
- 点击创建。现在,您可以在规则条件中使用该自定义检测器了。
在规则中使用该自定义检测器
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在“保护您的敏感内容”下方,点击创建规则。
- 添加规则的名称(例如,需要警告用户的敏感字词)和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。
- 点击继续。
- 对于 Google Chat,请选择发送了消息和上传了文件。
- 点击继续。
- 在条件部分,点击添加条件并选择以下值:
- 要扫描的内容类型 - 所有内容(注意,如果您选择 Google Chat,那么无论您选择了什么其他应用,“所有内容”都是唯一可用的内容类型)
- 要扫描的内容 - 与字词表中的字词匹配
- 字词表名称 - 敏感字词
- 匹配模式 - 匹配任意字词
- 任意字词被检测到的最少总次数 - 1。
- 点击继续。在“操作”部分的“Google Chat”下,选择警告用户。此外,对于 Chat,请选择何时执行此操作。在此示例中,请选择外部话题和内部话题。
- (可选)在提醒部分:
- 请选择严重程度级别(“低”、“中”或“高”),以确定如何在安全信息中心内报告此规则触发的事件。
- 选择是否将此规则触发的事件的相关提醒发送到提醒中心。您还可以选择通过电子邮件向所有超级用户或其他收件人发送提醒通知。
- 点击继续以查看规则详情。请注意,在操作下方,针对 Chat 的操作是警告用户,并提到该操作针对外部话题和内部话题。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
规则模板会提供一组条件,可覆盖大量常见的数据保护情况。请使用规则模板为常见的数据保护情况设置政策。
此示例使用规则模板禁止发送包含美国个人身份信息 (PII) 的聊天消息,向聊天消息上传包含此类信息的文件,或者共享包含此类信息的云端硬盘文件。
在开始前,请先使用超级用户账号或者拥有以下权限的委派管理员账号登录:
- “单位部门管理员”权限。
- “群组管理员”权限。
- 查看 DLP 规则和管理 DLP 规则的权限。请注意,您必须同时启用“查看”和“管理”权限,才能拥有创建和修改规则的完整权限。我们建议您创建同时拥有这两种权限的自定义角色。
- 查看元数据和属性的权限(仅使用调查工具时需要):安全中心
详细了解管理员权限和如何创建自定义管理员角色。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
- 点击模板。
- 在“模板”页面中,点击 Prevent PII information sharing (US)(禁止共享(美国)个人身份信息)。
- 在名称部分,接受规则的默认名称和说明,或输入新值。
- 在范围部分,搜索并选择要应用规则的组织部门和群组。
- 点击继续。在应用下方,系统会预先选择以下选项:
- 对于 Google Chat,系统会勾选发送了消息和上传了的文件对应的复选框。
- 对于 Google 云端硬盘,系统会选择创建、修改、上传或分享了文件。
- 点击继续。
- 查看个人身份信息规则模板的默认预选条件:
- 要扫描的内容类型 - 所有内容(注意,如果您选择 Google Chat,那么无论您选择了什么其他应用,“所有内容”都是唯一可用的内容类型)
- 要扫描的内容 - 与预定义的数据类型匹配(推荐)
- 选择数据类型 - 多种数据类型,包括社会保障号、驾驶执照号码和美国护照号码。
- 可能性阈值 - 很高。该条件的置信度阈值。这是用来决定消息是否触发操作的额外衡量标准。
- 不重复匹配数量下限 - 1。要触发相应操作,非重复匹配结果必须在文档中出现的最少次数。
- 最低相符项目数 - 1。要触发相应操作,指定内容必须在邮件中出现的最少次数。例如,如果您选择 2,那么邮件中必须出现至少 2 次个人身份信息才会触发相应操作。
- 点击继续以查看为个人身份信息规则模板选择的默认“操作”(对于 Chat,请选择屏蔽消息;对于云端硬盘,请选择禁止对外共享)。
- 点击继续以查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后,您可以前往安全性
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
作为贵组织的管理员,您可以添加要在触发规则时向用户显示的消息。您可以自定义消息,帮助用户了解并修正违规内容,然后屏蔽相应消息或警告用户。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在对敏感内容进行分类和保护部分,点击创建规则。
- 点击名称,然后为规则输入一个名称。
(可选)要输入规则的说明,请点击说明,然后输入说明。 - 在范围部分,选择一个选项:
- 如需将规则应用于整个组织,请选择 <域名> 中的所有用户。
- 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后添加或排除组织部门和群组。
- 点击继续。
- 在应用和 Google Chat 部分,选择以下一个或多个选项:
- 如需对消息应用规则,请勾选发送的消息复选框。
- 如需将规则应用于附件,请勾选上传了文件复选框。
- 点击继续。
- (可选)如需添加条件,请执行以下操作:
- 点击添加条件。对于 Google Chat 而言,所有内容是唯一选项。
- 点击要扫描的内容,然后填写扫描类型所需的属性。
如果您创建的数据泄露防护规则未设置任何条件,则该规则会将指定的操作应用于每一条 Chat 消息和所有上传的文件(具体取决于您在创建规则时是选择消息还是文件附件,或者同时选择两者)。
- 点击继续。
- 点击操作,然后选择选项:
- 如需警告用户,请选择警告用户。
- 要屏蔽消息,请选择屏蔽消息。
- 选择何时应用规则,然后勾选自定义消息复选框。
- 输入自定义消息。您可以创建最长 300 个字符的消息,并插入链接。插入的网址会计入消息的字符数限制。
- (可选)如需在管理控制台中选择如何报告此规则触发的事件的严重程度,请针对提醒选择低、中或高。
- (可选)如需在规则触发事件时向提醒中心发送提醒,请勾选发送至提醒中心复选框;如需向所有超级用户发送提醒通知,请勾选所有超级用户复选框。您也可以输入其他电子邮件收件人来接收通知。
- 点击继续并查看规则详情。
- 为规则选择状态:
- 活跃 - 您的规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与团队成员共享。稍后如要启用该规则,请在管理控制台中转到安全性
- 点击创建。
扫描图片是否存在敏感内容
使用光学字符识别 (OCR) 功能,Chat 数据泄露防护功能可扫描上传到 Chat 消息的附件中的图片文本,看是否存在敏感内容。
请注意,OCR 功能仅适用于上传到 Google Chat 消息的包含图片的附件,这可能会导致包含图片的消息出现延迟。
请参阅上文扫描的文件类型,获取支持的图片格式的完整列表。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在管理控制台首页,转到安全性
- 在数据保护设置下方,点击光学字符识别 (OCR)。默认状态为开启。如果 OCR 为关闭状态,请选择关闭并将其滑动到开启位置。
- 点击保存。这会为应用于 Google Chat 的数据保护规则开启 OCR。
注意:启用 OCR 设置后,该设置将应用于所有 Chat 数据泄露防护规则。您无法选择将 OCR 应用于特定规则。
您可以在创建数据保护规则时验证 OCR 是否已开启。
-
使用超级用户账号登录 Google 管理控制台。
如果您使用的不是超级用户账号,则无法完成这些步骤。
- 在管理控制台首页,点击规则。
- 在保护您的敏感内容下方,点击创建规则。
- 输入规则的名称和说明。
- 在范围部分,选择应用到整个 <域名>,或选择将规则应用到特定组织部门或群组,具体做法是搜索相应组织部门或群组,进行添加或排除。
- 点击继续。
- 在应用下方,为 Google Chat 勾选上传了文件。
- 点击可检查 OCR 是否已开启。如果 OCR 为关闭状态,请选择关闭并将其滑动到开启位置。
- 点击继续以完成规则的创建。如需创建规则方面的帮助,请参阅上文中的 Chat 数据泄露防护功能 - 规则示例。
使用安全调查工具调查 Chat 数据泄露防护违规事件
设置 Chat 数据泄露防护规则后,系统会在规则日志中记录违反规则的行为。您可以使用安全调查工具搜索规则日志,获取有关违规聊天消息或附件的具体信息,包括:
- 触发数据泄露防护规则的名称
- 消息发送者
- 发送消息的日期
- 话题类型,例如 1 对 1 聊天或聊天室。
- 消息内容(具体取决于您的消息保留设置)。
如需了解完整步骤,请参阅调查 Chat 消息以保护组织数据。
调查工具限制在以下情况下,您无法查看原始违规消息或附件:
- 消息未发送(遭到屏蔽)。只能查看已发送且违反仅记入审核日志规则的内容。
- 消息是在其他组织所拥有的话题中发送的。
- 消息超过了保留期限。
