Exchange Server中的数据丢失防护

数据丢失防护 (DLP) 在Exchange Server非常重要，因为业务关键型电子邮件通信通常包括敏感数据。 DLP 功能使电子邮件中的敏感数据管理变得前所未有的简单，方法是平衡合规性要求，而不会不必要地影响员工的工作效率。 有关 DLP 的概念概述，请观看以下视频。

DLP 策略是简单包，是邮件流规则的集合， (也称为传输规则) ，其中包含根据邮件和附件内容筛选邮件和附件的特定条件、操作和异常。 可以创建 DLP 策略，但选择不激活它。 这使您可以测试策略而不影响邮件流。 有关详细信息，请参阅 测试邮件流规则。

DLP 策略可以使用邮件流规则的全部功能来检测和处理传输中的邮件。 例如，邮件流规则可以通过关键字匹配、字典匹配、通过正则表达式进行文本模式匹配和其他内容检查技术来执行深入的内容分析，以检测违反组织 DLP 策略的内容。 文档指纹也可用于帮助你检测标准表单中的敏感信息。 有关详细信息，请参阅下列主题：

• 文档指纹

• Exchange Server中的邮件流规则

• 将分类规则与邮件流规则集成

除了可自定义的 DLP 策略本身，还可以在电子邮件发件人即将违反你的策略时通知他们，甚至在他们发送包含敏感信息的邮件之前也是如此。 可以通过配置策略提示来执行此操作。 策略提示提供了有关 Outlook 2013 或更高版本中可能违反策略的简要说明，Outlook 网页版 (以前称为Outlook Web App) ，以及设备Outlook 网页版。 有关详细信息，请参阅 策略提示。

注意：

• DLP 是一项高级功能，要求使用 Exchange 企业客户端访问许可证 (CAL)。 有关 CAL 和服务器许可的详细信息，请参阅 Exchange 许可常见问题解答。

• 在混合环境中，其中一些邮箱位于本地 Exchange 中，另一些邮箱位于Exchange Online中，DLP 策略仅在 Exchange Online 中应用。 在本地用户之间发送的消息未应用 DLP 策略，因为这些消息不会离开本地环境。

要查找与数据丢失防护相关的管理任务吗？ 请参阅 DLP 过程。

制定保护敏感数据的策略

数据丢失防护可以帮助您标识和监视已在策略条件中定义的许多敏感信息类别，如私人身份证号码或信用卡号码。 可以选择定义自己的自定义策略和邮件流规则，也可以使用 Exchange 中包含的 DLP 策略模板快速开始。 策略模板是一个模型，它包含一系列条件、规则和操作，你可以从中进行选择来创建和保存有助于检查消息的实际 DLP 策略。 有关包含的策略模板的详细信息，请参阅 Exchange 中提供的 DLP 策略模板。

有三种不同的方法可用于实现 DLP：

• 应用 Exchange 中提供的现成模板：开始使用 DLP 策略的最快方法是使用模板创建并实现新策略。 这可使您省去从头构建新规则集的工作。 你需要知道要检查的数据类型或尝试解决的符合性法规。 你还需要知道组织对处理此数据的期望。 有关详细信息，请参阅 Exchange 中提供的 DLP 策略模板 和 从模板创建 DLP 策略。

• 从组织外部导入预生成的策略文件：可以导入由独立软件供应商创建的策略。 通过这种方式，可以扩展 DLP 解决方案以满足业务需求。 有关详细信息，请参阅定义自己的 DLP 模板和信息类型和从文件导入 DLP 策略。

• 创建没有任何预先存在的条件的自定义策略：企业可能有其自己的要求来监视消息系统中已知存在的某些类型的数据。 可以完全自行创建自定义策略，以查找和处理自己的唯一消息数据。 你需要知道将强制实施 DLP 策略的环境的要求和约束，以创建有效的自定义策略。 有关详细信息，请参阅 创建自定义 DLP 策略。

添加策略后，可以查看和更改其规则、停用策略或将其完全删除。 有关详细信息，请参阅 管理 DLP 策略。

DLP 策略中的敏感信息类型

创建或更改 DLP 策略时，可以包括查找敏感信息的规则。 Exchange Server 中的敏感信息类型主题中列出的敏感信息类型可用于策略。 可以自定义策略中的条件，例如执行操作之前必须找到某些内容或要执行的操作的次数。 有关创建 DLP 策略的详细信息，请参阅 创建自定义 DLP 策略。 有关邮件流规则的详细信息，请参阅 Exchange Server 中的邮件流规则。

为了便于使用查找敏感信息的规则，Exchange 附带了已包含某些敏感信息类型的策略模板。 无法为所有敏感信息类型添加条件，因为这些模板旨在帮助你专注于组织中最常见的合规性相关数据类型。 有关预生成模板的详细信息，请参阅 Exchange 中提供的 DLP 策略模板。

可以为组织创建多个 DLP 策略，并启用所有这些策略，以便查找许多不同类型的信息。 还可以创建不基于现有模板的 DLP 策略。 若要创建此类策略，请参阅 创建自定义 DLP 策略。 有关可用敏感信息类型的详细信息，请参阅 Exchange Server 中的敏感信息类型。

使用文档指纹检测敏感的表单数据

Exchange 允许使用 文档指纹 轻松创建基于标准表单的敏感信息类型。

策略提示向用户通知敏感内容预期

您可以使用策略提示通知邮件在电子邮件发件人撰写电子邮件时通知他们可能的遵从性问题。 在 DLP 策略中配置策略提示时，仅当发件人的电子邮件中的某些内容与策略中所述的条件匹配时，才会显示通知消息。 策略提示类似于 Exchange 2010 中引入的邮件提示。 有关详细信息，请参阅 策略提示。

与传统邮件分类一起检测敏感信息

DLP 解决方案优势的一个关键因素是能够正确识别可能特定于组织、法规需求、地理位置或其他业务需求的机密或敏感内容。 Exchange DLP 体系结构使用深度内容分析，以及通过 DLP 策略中的规则建立的检测条件。 帮助防止 Exchange 中的数据丢失需要配置适当的敏感信息规则集，这些规则可提供高度保护，同时尽量减少误报和负数对邮件流的中断。 这些类型的规则 (在整个 DLP 信息中称为 敏感信息检测) 在邮件流规则框架中发挥作用，以启用 DLP 功能。 若要详细了解这些功能，请参阅 将敏感信息规则与邮件流规则集成。

你仍然可以对邮件应用传统的消息分类，并且可以将这些分类与敏感信息检测相结合。 可以在单个 DLP 策略中一起使用这些功能，或 (同时) 独立操作这些功能。 若要了解有关传统 Exchange 2010 邮件分类的详细信息，请参阅 了解邮件分类。

有关 DLP 处理的邮件的信息

若要查看有关环境中包含 DLP 策略检测的消息的信息，请参阅 查看 DLP 策略检测报告 和 为 DLP 策略检测创建事件报告。 与 DLP 检测相关的数据高度集成在传递报告中。

详细信息

• Exchange Server中的消息传递策略和符合性

• DLP Procedures

• 查看 DLP 策略检测报告)

• 文档指纹识别