策略动作

介绍数据安全中的策略元素 - 策略动作。

事件命中策略后,对所有协议通道指定不同的动作,这些动作组合称为策略动作。系统包含的预置策略动作有保护(检测所有保护通道)和审计(检测所有监控通道)。

DLP管理 > 策略元素 > 策略动作页面管理策略动作策略元素。

一个策略动作包括以下参数。

  • 名称 - 注意填写区别于其他条目的名称。
    注: 名称支持中英文,数字,以及部分特殊符号,输入系统不支持的特殊符号将导致保存失败。
    注: 系统预置条目的名称不得修改。
  • 描述 - 需说明其用途。
    提示: 描述需包含安全管理员对条目进行长期管理所需的必要信息。
    注: 不能与现有或内置的条目名称相同。
    注: 系统预置条目的描述不得修改。
  • 上次更新时间 - 系统自动创建和更新的参数,显示该条目最近一次更新完成的系统时间。
  • 使用状态 - 系统自动创建和更新的参数,显示该条目的使用状态,即是否被策略规则所使用。
  • 创建者 - 系统自动创建和更新的参数,显示该条目创建者的用户名,系统预置条目的创建者显示为系统

创建策略动作

除上述参数外,创建一个策略动作还需配置以下参数。
  • 通道动作 - 选择在网络通道和终端通道中对不同协议和行为的安全保护动作。
    • 网络通道 - 点击各网络协议或网络访问动作对应的下拉菜单,选择在违反企业或组织数据防泄漏DLP策略时,系统所采取的动作。
    • 终端通道 - 点击各终端协议或终端操作动作对应的下拉菜单,选择在违反企业或组织数据防泄漏DLP策略时,系统所采取的动作。

    各通道的更多信息,参考策略通道

    下表罗列了可选的各种安全保护动作及其介绍信息。
    通道动作 介绍
    放行 放行该网络访问动作或终端操作动作。
    阻止 阻止该网络访问动作或终端操作动作。
    隔离 隔离该网络访问动作或终端操作动作涉及的相关文件。
    记录日志 放行该网络访问动作或终端操作动作,同时记录事件日志,并将相关文件存储为证据文件,如发生数据泄露,可事后追溯。
    确认 该网络访问动作或终端操作动作需经确认后方可放行。
    个人秘钥加密 对该网络访问动作或终端操作动作涉及的相关文件采用终端用户个人秘钥的方式进行加密。
    水印 为该网络访问动作或终端操作动作涉及的相关文件添加水印,防止因文件打印导致的数据泄露。
    审批 针对WebService应用通道,UCWI管理员能够配置审批,这样,触发该策略时IM内部可以进行触发审批的流程。

    针对所有终端通道,管理员能够配置审批
    自动标签 针对WebService应用通道,UCWI管理员通过Webservice API进行对文件的标签操作。包括添加标签删除标签,如果同时勾选,则先删除再添加。
  • 事件和证据文件动作 - 在命中数据防泄漏DLP策略后,选择是否记录事件及其证据文件和发送邮件通知。
    • 记录事件 - 点击复选框可记录事件信息,默认启用。启用后,可选择记录证据文件或将事件信息发送到指定收件人。同时,支持设置记录事件的状态,如新、进行中、关闭等。
    • 记录网络DLP策略证据文件 - 点击复选框,记录网络通道中,数据防泄漏DLP策略违规事件的其原文内容,做为证据文件,以供事后追溯。
    • 记录终端DLP策略证据文件 - 点击复选框,记录终端通道中,数据防泄漏DLP策略违规事件的其原文内容,做为证据文件,以供事后追溯。
      • 截屏保存 - 点击复选框,对终端通道中,数据防泄漏DLP策略违规事件进行截屏,做为证据文件,以供事后追溯。
    • 记录网络数据发现证据文件 - 点击复选框,记录网络通道中,数据发现事件的原文内容,做为证据文件,以供事后追溯。
    • 记录终端数据发现证据文件 - 点击复选框,记录终端通道中,数据发现事件的原文内容,做为证据文件,以供事后追溯。
    • 记录移动发现证据文件 - 点击复选框,记录移动发现证据文件,做为证据文件,以供事后追溯。
    • 发送邮件通知 - 选择发送邮件通知的模板,默认支持4种预置通知模板发送到指定的收件人。启用后,策略匹配后将根据模板发送策略通知。自定义策略通知请参考管理策略通知
    注: 系统默认显示全部证据文件,如需设置仅显示证据文件中与违规事件相关的上下文信息。安全管理员可在天空卫士™技术支持人员的指导下,选择进入设备管理 > UCSS > 设备 > 基本设置 > 高级设置页面, 在证据文件显示复选框进行设置。
  • 邮件操作 - 设置邮件头操作。

    有关邮件头操作的详细信息,请参考邮件头操作