为了避免企业员工在日常办公中,通过外接设备(例如U盘、蓝牙等)外发敏感文件导致业务遭受重大损失,建议您通过SASE的办公数据保护功能(DLP)及时对外接设备进行管控,使您能够实时掌握敏感数据外发动态,监控数据泄露风险。本文介绍如何配置管控策略、查看敏感行为的检测结果,以及如何设置外接设备白名单用户。
支持管控的外接设备
操作系统 | 支持的外接设备和设备接口 | 说明 |
Windows |
| 只有U盘及USB存储支持设置的访问权限包含:禁止使用、读写使用和只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。 如果您配置的U盘及USB存储为读写使用,当企业员工通过U盘或者USB传输内部文件时,会触发敏感行为检测。 |
macOS |
|
前提条件
已购买SASE互联网访问安全的办公数据保护版。更多信息,请参见办公安全平台计费概述、购买办公安全平台。
配置外接设备的管控策略
登录办公安全平台控制台。
在左侧导航栏,选择 。
选择外设管理页签,单击添加策略。
在新增策略面板,参考下表信息,配置相关数据。
配置项
说明
策略名称
策略的名称。
支持长度为2~32个字符,包含汉字、字母、数字、短划线(-)和下划线(_)。
策略描述
策略的说明信息。
状态
策略状态:开启或者关闭。
策略只有在开启状态才能生效。
优先级
策略的优先级。
策略优先级取值范围:1~10,数值越小,表示优先级越高。
生效用户
策略管控的用户或者用户组。
Windows
支持配置的外接设备:U盘及USB存储、打印机、便携设备、读卡器、光驱。
支持配置的设备接口:蓝牙。
只有U盘及USB存储支持设置的访问权限包含:禁止使用、读写使用和只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。
macOS
支持配置的外接设备:U盘及USB存储。
支持配置的设备接口:蓝牙、AirDrop。
只有U盘及USB存储支持设置的访问权限包含:禁止使用、读写使用和只读使用。其他的选项只有禁止使用的选项,勾选后表示企业员工无法使用相应的设备或者接口传输数据。
审批流配置
当外接设备存在安全风险时,可以配置是否支持企业员工进行报备。
如果选择支持员工报备审批,您需要选择合适的审批流程。关于如何创建审批流程,请参见配置审批流程。
弹窗提示配置
设置拦截外接设备访问的提示信息。支持设置中文和英文两种提示信息。
单击确定。
创建完成后,您创建的策略信息在策略列表中显示。办公数据保护功能会根据您的配置,管控外接设备。
查看敏感行为检测结果
如果您配置的U盘及USB存储为读写使用,企业员工通过U盘或者USB传输内部文件时,会触发敏感行为检测,并根据检测结果为您分析最近30天、7天、24小时的数据。
在左侧导航栏,选择 。
在敏感行为检测页面,查看指定时间段统计到企业员工通过U盘及USB存储外发的敏感文件数据。
在敏感文件外发涉及的企业员工列表,单击详情,可查看企业员工外发敏感文件的具体信息。
单击指定目标文件右侧操作列详情,可查看该文件的敏感报文、命中策略、办公终端以及外发途径等信息。
配置外接设备白名单
如果您需要SASE不对企业中个别员工使用办公设备的外发行为进行审计与管控,可以通过配置办公数据保护的外接设备白名单,对个别员工实行宽松的放行策略。
在外设管理页面,单击外设白名单。
在白名单页签,添加需要设置白名单的员工。
单击提交。
调整策略优先级
如果您需要调整外接设备的管控策略优先级,单击图标修改数字即可。优先级范围:1~10,数字越小优先级越高。
关闭策略
如果当前业务暂时不需要该策略,您可以将策略开关关闭。关闭后策略内容仍保留,后续业务需要时直接开启策略开关即可。
删除策略
当后续业务不再需要该策略,您可以单击删除,删除策略内容。
策略删除后不可以恢复,请谨慎操作。
相关文档
查看并追溯外发敏感文件的日志详情,请参见敏感文件检测日志。
通过检测企业员工外发文件来保障数据安全,请参见通过检测外发文件保障数据安全。
通过管控企业员工屏幕水印和打印水印来保障数据安全,请参见通过管理水印保障数据安全。