Exchange 2013 中的数据丢失防护
适用于:Exchange Server 2013
了解 Exchange Server 2013 中的 DLP 策略,包括它们包含的内容以及如何测试它们。 您还将了解 Exchange DLP 中的新增功能。
由于将电子邮件大量用于包含敏感数据的业务关键通信,因此数据丢失预防 (DLP) 是企业邮件系统的一个重要问题。 为了强制执行针对这类数据的遵从性要求并管理这类数据在电子邮件中的使用(而不影响工作人员的工作效率),DLP 功能使敏感数据的管理比以往更加简单。 有关 DLP 的概念概述,请观看以下视频。
DLP 策略是包含一组条件的简单包,这些条件由你在 Exchange 管理中心中创建的传输规则、操作和例外组成, (EAC) 然后激活以筛选电子邮件和附件。 可以创建 DLP 策略,但选择不激活它。 这使您可以测试策略而不影响邮件流。 DLP 策略可以使用现有传输规则的完整功能。 事实上,为了完成新的 DLP 功能,Microsoft Exchange Server 2013 年已经创建了许多新的传输规则类型。
传输规则的一个重要新功能是一种用于对可以并入到邮件流处理中的敏感信息进行分类的新方法。 此新 DLP 功能通过关键字匹配、字典匹配、正则表达式计算和其他内容检查来执行深度内容分析,以检测违反组织 DLP 策略的内容。 Exchange 2013 Service Pack 1 (SP1) 添加了 文档指纹,可帮助你检测标准表单中的敏感信息。 有关传输规则的详细信息,请参阅 Exchange 2013 中的传输规则和 将敏感信息规则与传输规则集成。 您还可以通过使用 Exchange 命令行管理程序 cmdlet 来管理 DLP 策略。 有关策略和符合性 cmdlet 的详细信息,请参阅 消息传送策略和合规性。
除了可自定义的 DLP 策略本身之外,还可以通知电子邮件发件人他们可能将违反一个策略,这一操作甚至在发送有问题的邮件之前即可执行。 您可以通过配置策略提示来实现这点。 策略提示类似于邮件提示,可以配置为在 Outlook 2013 或更高版本中提供简短说明,以便向创建邮件的人员提供有关可能违反策略的信息。 在 Exchange 2013 SP1 中,策略提示也显示在 Outlook Web App 和 OWA for Devices 中。 有关详细信息,请参阅 策略提示。
注意
DLP 是一项高级功能,要求使用 Exchange 企业客户端访问许可证 (CAL)。 有关 CAL 和服务器许可的详细信息,请参阅 Exchange 许可常见问题解答。
Exchange Enterprise CAL with Services:如果你是具有混合部署的 Exchange Enterprise CAL 客户,则有一些邮箱位于本地,一些邮箱位于Exchange Online,则需注意一些行为差异。 DLP 策略在 Exchange Online 中应用。 因此,从一个内部部署用户发送到另一个内部部署用户的邮件不应用 DLP 策略,因为该邮件没有离开内部部署基础结构。
要查找与数据丢失防护相关的管理任务吗? 请参阅 DLP 过程。
制定保护敏感数据的策略
数据丢失防护可以帮助您标识和监视已在策略条件中定义的许多敏感信息类别,如私人身份证号码或信用卡号码。 可以选择定义自己的自定义策略和传输规则,或使用 Microsoft 提供的预定义 DLP 策略模板来快速开始。 有关包含的策略模板的详细信息,请参阅 Exchange 2013 中提供的 DLP 策略模板。 策略模板包含一些您可以选择的条件、规则和操作,以便创建并保存可帮助您检查邮件的实际 DLP 策略。 策略模板是一些模型,您可以选择这些模型或用于构建自己的特定规则,以创建满足您的数据丢失防护需求的策略。
可通过三种不同的方法开始使用 DLP:
应用 Microsoft 提供的现成模板:开始使用 DLP 策略的最快速方式是使用模板创建并实施新策略。 这可使您省去从头构建新规则集的工作。 你需要知道要检查哪种类型的数据,或者要尝试解决的符合性法规。 你还需要了解组织对处理此类数据的期望。 有关详细信息,请参阅 Exchange 2013 和从模板创建 DLP 策略中提供的 DLP 策略模板。
从组织外部导入预生成的策略文件:您可以导入独立软件供应商已在邮件环境外部创建的策略。 通过此方式可以扩展 DLP 解决方案以满足您的业务要求。 有关详细信息,请参阅 Microsoft 合作伙伴的策略模板、定义您自己的 DLP 模板和信息类型和从文件导入自定义 DLP 策略模板。
创建没有任何预先存在的条件的自定义策略:您的企业可能具有自己的要求来监视邮件系统内已知存在的特定数据类型。 可以完全自己创建自定义策略,以便开始对自己独有的邮件数据进行检查和操作。 你需要知道将强制执行 DLP 策略的环境的要求和约束,以便创建此类自定义策略。 有关详细信息,请参阅 创建自定义 DLP 策略。
在添加了策略之后,可以查看和更改其规则、使策略处于不活动状态或完全删除它。 管理 DLP 策略主题中提供了这些操作的过程。
DLP 策略中的敏感信息类型
创建或更改 DLP 策略时,可以包含具有敏感信息检查的规则。 Exchange Server 中的敏感信息类型 主题中列出的敏感信息类型可供您在策略中使用。 在策略中建立的条件(如在执行某个操作之前必须发现某种内容的次数或是该操作的具体内容)可以在新自定义策略中进行自定义,以便满足特定策略要求。 有关创建 DLP 策略的详细信息,请参阅 创建自定义 DLP 策略。 有关完整套件传输规则的详细信息,请参阅 Exchange 2013 中的传输规则。
为了方便您使用敏感信息相关的规则,Microsoft 提供了已包括一些敏感信息类型的策略模板。 但是,不能将此处列出的所有敏感信息类型的条件添加到策略模板,因为这些模板旨在帮助你专注于组织中最常见的与合规性相关的数据类型。 有关预生成模板的详细信息,请参阅 Exchange 2013 中提供的 DLP 策略模板。 可以为组织创建大量 DLP 策略并全部启用,以便检查许多不同类型的信息。 还可以创建不基于现有模板的 DLP 策略。 若要开始创建这样一个策略,请参阅创建自定义 DLP 策略。 有关敏感信息类型的详细信息,请参阅 Exchange Server 中的敏感信息类型。
使用文档指纹检测敏感的表单数据
使用 Exchange 2013 SP1,可以使用 文档指纹 基于标准表单轻松创建敏感信息类型。 若要了解如何保护表单数据,请参阅使用文档指纹保护表单数据。
策略提示向用户通知敏感内容预期
可以使用策略提示通知邮件通知电子邮件发件人撰写电子邮件时可能存在的合规性问题。 在 DLP 策略中配置策略提示时,只有在发件人电子邮件中的某些内容符合策略中描述的条件时才显示通知邮件。 策略提示类似于 Microsoft Exchange 2010 中引入的邮件提示。 有关详细信息,请参阅 策略提示。
与传统邮件分类一起检测敏感信息
与传统邮件分类相比,Exchange 2013 提供了一种新的方法,可帮助你管理邮件和附件数据。 DLP 解决方案强大之处的一个重要因素是能够正确标识可能对组织、法规需求、地理位置或其他业务需求独有的机密或敏感内容。 通过将新体系结构用于深入内容分析并使用您通过 DLP 策略中的规则建立的检测标准,Exchange 2013 可以实现这一点。 在 Exchange 2013 中帮助防止数据丢失依赖于配置正确的敏感信息规则集,以便它们可提供高度防护,同时最大程度减少邮件流中断及误报和负面影响。 这些规则类型在整个 DLP 信息内称为敏感信息检测,在传输规则提供的框架内工作以便启用 DLP 功能。
有关这些新功能的详细信息,请参阅将敏感信息规则与传输规则集成。 传统邮件分类字段仍可应用于 Exchange 中的邮件,这些字段可以与新的敏感信息检测组合在一起,在单个 DLP 策略中或并发运行,以便在 Exchange 中独立评估它们。 若要详细了解旧版 Exchange 2010 邮件分类,请参阅 了解邮件分类。
有关 DLP 处理的邮件的信息
要让 Exchange 2013 可获取有关环境中的邮件和 DLP 策略检测的信息,请参阅 查看 DLP 策略检测报告和创建 DLP 策略检测的事件报告。 与 DLP 检测相关的数据会高度集成到 Exchange 2013 的送达报告邮件跟踪工具中。
安装先决条件
若要使用 DLP 功能,必须配置至少一个发件人邮箱的 Exchange 2013。 数据丢失防护是一项高级功能,要求使用企业版客户端访问许可证 (CAL)。 有关Exchange Server入门的详细信息,请参阅规划和部署。