支持此功能的版本:一线员工标准版;企业标准版和企业 Plus 版;教育基础版、教育标准版、教与学升级版和教育 Plus 版。比较您的版本
Gmail 的数据泄露防护功能也适用于同时获得包含 Gmail 的 Google Workspace 版本许可的 Cloud Identity 专业版用户。
以下 Gmail 分类标签功能暂时不适用于 Android 和 iOS 移动设备上的 Gmail 应用,将于 2025 年 5 月推出:
- 同步自动应用的分类标签
- 根据标签条件同步强制执行
本页内容
- Gmail 的数据泄露防护功能
- Gmail 的数据泄露防护功能如何发挥作用?
- 同步扫描和异步扫描简介
- 同步扫描和异步扫描的结果
- 系统会扫描哪些内容?
- 支持的附件文件类型
- 数据泄露防护功能如何与其他电子邮件规则配合使用?
- 已知限制
- 为 Gmail 创建数据保护规则
- 使用安全调查工具来调查数据泄露防护规则事件
- 使用 BigQuery 导出 DLP 违规问题
- 欢迎提供反馈意见
Gmail 的数据泄露防护功能
借助 Gmail 数据泄露防护功能,管理员可以:
- 为 Gmail 或其他使用数据泄露防护功能的 Google Workspace 应用(包括 Gmail、Google Chat 和 Google 云端硬盘)创建数据保护规则。
- 针对违规事件执行不同的操作。例如,您可以阻止电子邮件递送,并向用户发送通知(屏蔽邮件);警告用户邮件中检测到敏感信息,但允许他们发送(警告用户);隔离邮件,待管理员审核后再发送或返回邮件(隔离邮件);或者发送邮件,并记录 DLP 事件以供日后审核来评估新规则的影响(仅记入审核日志)。
- 使用文本字符串以及预定义和自定义检测器(例如关键字和正则表达式)定义条件。
- 添加规则,以便系统根据您指定的条件自动为新邮件添加分类标签。例如,如果邮件包含敏感信息、财务信息或个人身份信息,请应用分类标签机密。
- 检测何时为邮件启用机密模式,并使用机密模式状态作为条件,允许用户发送包含敏感内容的邮件。
- 为特定组织部门、群组或整个组织强制执行规则。
- 在提醒中心内提醒管理员注意违规事件,以便他们可以进行调查。
- 使用光学字符识别 (OCR) 技术扫描所有邮件附件中的图片文字。
Gmail 的数据泄露防护功能如何发挥作用?
当用户发送电子邮件时,数据泄露防护功能会扫描邮件是否包含敏感内容。如果邮件或附件违反了规则,系统便会对邮件执行规则中定义的操作。
流程摘要:
- 添加数据泄露防护规则,以定义敏感内容以及对包含敏感内容的邮件执行的操作。
- 当用户发送电子邮件时,数据泄露防护功能会扫描内容是否与规则匹配。
- 如果匹配到规则,DLP 会应用规则中定义的操作。
- 所有事件都会记录在规则日志事件中以供审核。 详细了解规则日志事件
同步扫描和异步扫描简介
使用 Gmail 的数据泄露防护功能时,系统可以同步或异步扫描数据保护规则:
- 同步扫描 - 用户点击发送按钮时会触发数据保护规则扫描。用户会在邮件离开邮箱之前收到包含敏感内容的通知。网页版 Gmail 和 Gmail 移动应用会执行同步扫描。
- 异步扫描 - 邮件离开发件人邮箱后,系统会扫描数据保护规则。在邮件递送给收件人之前,用户会收到邮件被阻止或隔离的通知。异步扫描会在用户使用第三方电子邮件应用发送邮件或同步扫描失败时执行。
同步扫描和异步扫描的结果
同步扫描:网页版或移动版 Gmail
当包含屏蔽邮件操作的规则被触发时:
- 系统会显示一条提醒,说明邮件在当前状态下无法发送。您可以在此提醒的规则中添加自定义邮件。
- 此提醒包含“返回修改”选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 用户修改并重新发送邮件后,系统会根据所有适用规则再次扫描并检查该邮件。
当包含警告用户操作的规则被激活时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户返回修改邮件,并更新或移除敏感内容。
- 此提醒包含仍然发送选项,允许用户发送当前状态的邮件。
当包含隔离邮件操作的规则被激活时:
- 系统会显示一条提醒,说明邮件可能包含敏感内容。您可以在规则设置选项中添加自定义提醒邮件。
- 此提醒包含返回修改选项,允许用户选择返回修改邮件,并更新或移除敏感内容。
- 该框包含一个提交以供审核按钮,允许用户将邮件发送给管理员或其他授权用户审核。管理员审核邮件后,可以批准发送给收件人,或阻止其发送。
当包含仅记入审核日志操作的规则被激活时:
- 用户不会看到任何提醒,邮件将照常递送给收件人。
- 系统会在审核日志中记录消息事件。详细了解规则日志事件
注意:作为额外的安全措施,系统可能会异步再扫描同步扫描的消息。这可能会导致消息被屏蔽,即使在同步扫描期间未显示任何对话框也是如此。
异步扫描:Gmail(使用 SMTP)和第三方电子邮件应用
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人很快就会收到一则通知,告知邮件已被屏蔽。您可以在此提醒的规则中添加自定义邮件。
当包含警告用户操作的规则被激活时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人会在发送后不久收到一封邮件,指明邮件已被屏蔽。您可以在此提醒的规则中添加自定义邮件。
- 对于使用通过 SMTP 与 Gmail 连接的第三方电子邮件应用发送的邮件,警告用户规则将按屏蔽邮件规则的方式执行。
当包含隔离邮件操作的规则被激活时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 如果邮件未发送,发件人可能会收到提醒,说明邮件已被隔离。您可以在此提醒的规则中添加自定义邮件。
当包含仅记入审核日志操作的规则被激活时:
- 发件人不会收到通知,邮件会照常递送给收件人。
异步扫描:网页版或移动版 Gmail
当您在网页版或移动应用中使用 Gmail 时,系统会出于额外的安全考虑,再次异步扫描邮件。
当包含屏蔽邮件操作的规则被触发时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人很快就会收到一则通知,告知邮件已被屏蔽。您可以在此提醒的规则中添加自定义邮件。
当包含警告用户操作的规则被激活时,系统会发送邮件:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则被激活时:
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 如果审核员阻止了邮件发送,收件人日后可能会收到通知。
当包含仅记入审核日志操作的规则被激活时:
- 发件人不会收到任何通知,邮件将照常递送给收件人。
其他 Google 产品自动创建的消息
当包含屏蔽邮件操作的规则被激活时:
- 发件人会在其已发邮件文件夹中看到该邮件。
- 发件人很快就会收到一则通知,告知邮件已被屏蔽。您可以在相应规则中为此通知添加自定义邮件。
当包含警告用户操作的规则被激活时:
- 消息会照常发送。
- 发件人可以在其已发邮件文件夹中看到该邮件。
- 邮件事件会记录在规则日志事件中。
当包含隔离邮件操作的规则被激活时:
- 如果审核员阻止了发件人发送消息,发件人日后可能会收到通知。
当包含仅记入审核日志操作的规则被激活时:
- 消息会照常发送。
- 发件人不会收到任何通知。
系统会扫描哪些内容?
系统只会扫描外发的邮件。规则中添加的要扫描的内容类型条件决定系统会扫描邮件中的哪些部分:
- 所有内容 - 系统会同步扫描邮件的主题、收件人、发件人、密送、抄送和正文。系统会异步扫描附件。附件包括文件和图片。系统还会扫描附件文件名。前往此页面上的支持的文件类型部分。
重要提示:所有内容选项仅会扫描 5 种标头类型:主题、收件人、发件人、密送和抄送。这些标头可以立即用于同步扫描。如需扫描所有邮件标头,我们建议使用以下任一选项:
- 使用 OR 运算符添加条件,以扫描电子邮件标头
- 创建专门用于扫描电子邮件标头的单独规则
- 电子邮件标头 - 所有电子邮件标头中的内容。系统会异步扫描邮件标头,因为某些邮件标头无法用于同步扫描。
- 正文 - 系统会同步扫描邮件正文,并异步扫描附件。
- 主题 - 系统会同步扫描主题。
- 分类标签:由用户手动应用或通过 DLP 规则自动应用的分类标签。规则不能同时将分类标签用作条件和将应用分类标签用作操作。
- 机密模式状态 - 邮件是否启用了机密模式。我们建议将此条件与其他规则条件搭配使用。例如,如果邮件正文包含纳税人识别号,且邮件未采用机密模式,则系统会阻止发送该邮件。详细了解机密模式。
支持的附件文件类型
数据保护规则会扫描以下附件类型:
- 文档文件类型 - TXT、DOC、DOCX、RTF、HTML、XHTML、XML、PDF、PPT、PPTX、ODP、ODS、ODT、XLS、XLSX、PS、CSS、CSV、JSON、SH
- 图片文件类型(当 OCR 处于开启状态时)- EPS、BMP、GIF、JPEG、PNG 以及 PDF 文件中的图片
- 压缩文件类型 - BZIP、RAR、TAR、ZIP
- 自定义文件类型 - HWP、KML、KMZ、SDC、SDD、SDW、SXC、SXI、SXW、WML、XPS
数据泄露防护功能如何与其他电子邮件规则配合使用?
数据保护规则会在内容合规性规则和转送规则之前进行评估。
如果数据保护规则不接受对邮件执行屏蔽或隔离操作,则系统会根据内容合规性规则和路由规则对邮件进行评估。如果内容合规性或转送规则应用了会创建邮件另一个副本的操作(例如,添加新的收件人),DLP 会先扫描邮件的新副本,然后再将其发送。
如要详细了解内容合规性规则,请参阅设置高级电子邮件内容过滤的规则。
已知限制
- (敬请期待)包含应用分类标签操作并将分类标签作为条件的数据保护规则会在移动设备上以异步方式应用:
- 在这种情况下,系统会忽略在移动设备上通过 Gmail 应用发送的邮件所触发的警告操作。
- 系统不会通知发件人邮件上应用的分类标签,发件人在其已发邮件邮箱中也不会看到为邮件应用的分类标签。对于通过 Gmail Web 客户端发送的邮件,这些规则会同步应用。
- 附件会被异步扫描,因此不能用作警告条件。
- 系统会将群组别名电子邮件地址视为内部收件人。如果群组中有外部成员,系统不会应用适用于外部邮件的规则。
- 规则不适用于组。如果邮件是代表群组发送的,则不会应用规则。
如需了解邮件扫描限制,请参阅 Gmail 的数据泄露防护功能内容限制。
为 Gmail 创建数据保护规则
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
Go to Menu
Rules > Create rule > Data protection.
Requires having the View and Manage DLP rule privileges.
-
为规则输入名称并酌情输入说明。
- 在范围部分,选择一个选项:
- 如需将规则应用于整个组织,请选择 <域名>domain.name 中的所有用户。
- 如要将规则应用于特定组织部门或群组,请选择组织部门和/或群组,然后包含或排除组织部门和群组。
- 点击继续。
- (可选)如要验证 OCR 功能是否已启用,请点击检查,然后勾选 Gmail 复选框,以便为 Gmail 启用 OCR 功能。
- 在 Gmail 下,勾选邮件已发送复选框。
- 点击继续。
- 如需添加条件,请点击添加条件,然后选择要扫描的邮件内容:
重要提示:如果您创建的数据泄露防护规则没有任何条件,该规则将扫描邮件的所有部分,并对每封 Gmail 邮件应用指定的操作。
- 所有内容 - 扫描邮件的标头、主题、正文和附件。
- 正文 - 扫描邮件正文和附件。
- 电子邮件标头 - 扫描邮件标头和主题。如果邮件在发送时使用了 Google Workspace 客户端加密 (CSE) 功能,系统只能扫描电子邮件标头的内容(包括主题)。
- 主题 - 仅扫描邮件主题。
- 分类标签 - 扫描已应用于邮件的分类标签。请勿将警告用户操作用作规则条件,该操作仅适用于同步处理。
- 机密模式状态 - 扫描邮件是否已启用机密模式。
- 选择要扫描的内容,并选择相应的扫描选项和属性。如需详细了解每个字段,请参阅本页上的“要扫描的内容”选项和属性简介部分。
- 点击继续。
- 点击操作,然后选择选项:
所有操作都会记录在规则日志事件中。
- 屏蔽邮件 - 不立即发送邮件,并向发件人显示邮件中可能包含敏感信息的提醒。发件人可以修改邮件内容并重新发送。
- 警告用户 - 暂不发送邮件,并向发件人显示提醒。发件人可以按原样发送邮件,也可以修改邮件内容并重新发送。
注意:由于附件始终以异步方式扫描,因此无法在规则中使用警告用户操作,因为规则仅适用于同步事件。 - 隔离邮件 - 不立即发送邮件,并向发件人显示提醒。发件人可以选择按原样发送邮件,也可以将邮件提交给管理员或其他合格人员审核。您必须从隔离条件菜单中选择一个选项。
- 仅审核 - 系统会照常发送邮件。系统不会显示任何提醒。系统会根据规则扫描消息,并将其记录为事件,以供管理员日后查看。
- 应用分类标签 - 为符合条件的邮件应用分类标签。您必须从标签字段和字段选项菜单中分别选择一个选项。
- 在选择何时执行此操作部分,选择是应将此操作应用于内部邮件、外部邮件还是两者。
- (可选)如要创建自定义提醒,请勾选自定义消息复选框,然后输入提醒文本。提醒最多可包含 300 个字符(包括网址中的字符),并且可以包含网址。如果您未创建自定义消息,该框将显示默认消息。
- (可选)在提醒菜单中,为报告的消息事件选择严重程度:低、中或高。严重程度会记录在规则日志事件中,可用于调查突发事件。
- (可选)如需发送有关邮件事件(由此规则触发的邮件)的提醒,请勾选发送至提醒中心复选框。您还可以使用所有超级用户选项向超级用户发送提醒通知。输入要发送给其他收件人的其他提醒通知。
- 点击继续并查看规则详情。
- 为规则选择状态:
- 活跃 - 规则会立即生效。
- 未启用 - 系统会保存您的规则,但不会立即运行。这样,在执行该规则前,您就有充足的时间来检查规则并与他人共享。稍后如要启用该规则,请在管理控制台中转到安全性
访问权限和数据控件
- 点击创建。
更改最长可能需要 24 小时才会生效,但通常不需要这么久。了解详情
“要扫描的内容”选项和属性简介
要扫描的内容选项会根据您选择的内容类型而有所不同。对于 Gmail 规则条件,您可以扫描以下内容:
- 与预定义的数据类型匹配(推荐)
- 包含文本字符串
- 包含字词
- 与正则表达式匹配
- 与字词表中的字词匹配
- 是否为分类标签
- 是否已启用或停用(仅限机密模式状态)
您可以搭配使用“与”“或”或“非”运算符和多个条件。如需详细了解如何将这些运算符与条件结合使用,请参阅使用嵌套条件运算符的 DLP 规则示例。
| 要扫描的内容 | 属性 |
|---|---|
| 与预定义的数据类型匹配 |
数据类型 - 选择一个预定义的数据类型。详细了解预定义的数据类型。 可能性阈值 - 选择可能性阈值。可用的阈值如下:
这些阈值反映数据泄露防护系统对匹配结果的置信度。一般来说,将阈值设为“很高”会匹配较少的内容,并且更精确。阈值为“非常低”时,预期会匹配更多文件,但精确度较低。 不重复匹配次数下限 - 输入匹配结果在文档中必须唯一出现的最少次数,才能触发操作。 相符项目数下限 - 输入匹配结果在文档中必须出现的最少次数,才能触发操作。 相符项目数下限和不重复匹配次数下限的工作原理是什么?例如,假设存在两个社会保障号码列表:第一个列表包含 50 个完全相同的号码,第二个列表包含 50 个不同的号码。 在这种情况下,如果相符项目数下限设为 10,则两个列表都会触发操作,因为它们各自至少包含 10 个匹配项。 或者,如果不重复匹配次数下限设为 10,且相符项目数下限为 1,则仅第二个列表会触发操作,因为其中包含 10 个唯一匹配项。 |
| 包含文本字符串 | 输入要匹配的内容 - 输入子字符串、数字或要搜索的其他字符。请指定内容是否区分大小写。以子字符串为例,若规则中包含单词“key”,且文档中也出现该单词,则视为匹配。 |
| 包含字词 | 输入要匹配的内容 - 输入要搜索的字词、数字或其他字符。 |
| 与正则表达式匹配 |
正则表达式名称 - 一个正则表达式自定义检测器。 正则表达式被检测到的次数下限 - 输入正则表达式所表示的模式在文档中必须出现的最少次数,才能触发操作。 |
| 与字词表中的字词匹配 |
字词表名称 - 选择一个自定义字词表。 匹配模式 - 选择匹配任意字词或匹配所要求最低数量的不重复字词。 任意字词被检测到的总次数下限 - 输入某个字词必须被检测到的最少次数,才能触发操作。 检测到的不重复字词的数目下限 - 输入必须检测到的唯一字词数才能触发操作(仅适用于匹配不重复字词数下限选项)。 |
使用安全调查工具来调查数据泄露防护规则事件
搜索规则日志事件
以下示例通过搜索调查触发了数据泄露防护规则的 Gmail 邮件。您可以在搜索中使用其他条件,也可以完全不设条件。
-
使用管理员账号登录 Google 管理控制台。
如果您使用的不是管理员账号,则无法访问管理控制台。
-
- 点击数据源,然后选择规则日志事件。
- 点击添加条件
- 选择数据泄露防护。
- 点击搜索。
在页面底部的搜索结果中,您可以查看事件列表及其详细信息。注意:Gmail 的数据泄露防护不支持显示敏感内容片段。因此,即使邮件包含触发 DLP 规则的敏感内容,“包含敏感内容”列也会显示“错误”。
- 滚动到资源 ID 列,然后点击“菜单”图标
,以便从 Gmail 日志事件和邮件 ID 进行跳转。
- 点击搜索以打开一个新的搜索页,其中 Gmail 日志事件为数据源。
- 如需查看更多详细信息,请点击搜索结果中任意行的邮件 ID。此时会显示一个侧边栏,其中包含有关此次调查的更多详细信息。
- 如果系统提示,请输入查看 Gmail 内容的业务需求,然后点击确认。
使用 BigQuery 导出 DLP 违规问题
您可以将记录在规则日志事件中的 DLP 违规行为导出到自定义表格,以便进一步调查。如需了解详情,请参阅设置将服务日志导出至 BigQuery 的功能。
欢迎提供反馈意见
在管理控制台中的任何数据保护页面上,点击发送反馈。
