Отпечатки документовDocument Fingerprinting

Информационные работники в вашей организации обрабатывают конфиденциальные сведения различных типов в течение обычного рабочего дня. Отпечатки документов упрощают защиту этих сведений путем определения стандартных форм, используемых в пределах всей организации. В этом разделе описываются понятия, которые лежат в основе отпечатков документов. Сведения о создании отпечатков документов см. в статье Защита данных форм с помощью отпечатков документов.Information workers in your organization handle many kinds of sensitive information during a typical day. Document Fingerprinting makes it easier for you to protect this information by identifying standard forms that are used throughout your organization. This topic describes the concepts behind Document Fingerprinting. If you'd like to learn how to create a document fingerprint, see Protect form data with document fingerprinting.

Основной сценарий использования отпечатков документовBasic scenario for Document Fingerprinting

Отпечатки документов — функция защиты от потери данных, которая обеспечивает преобразование стандартной формы в тип конфиденциальных сведений, который можно использовать для определения правил транспорта и политик защиты от потери данных. Например, вы можете создать отпечаток документа на основе пустого шаблона патента, а затем создать политику защиты от потери данных, которая определяет и блокирует все исходящие шаблоны патентов с конфиденциальным содержимым. Кроме того, можно настроить Советы политик таким образом, чтобы они уведомляли отправителей о том, что те могут отправлять конфиденциальные сведения. Отправитель должен убедиться, что получатели могут принимать патенты. Этот процесс применяется к любым текстовым формам, используемым в организации. Ниже приведены дополнительные примеры форм, доступных для отправки.Document Fingerprinting is a Data Loss Prevention (DLP) feature that converts a standard form into a sensitive information type, which you can use to define transport rules and DLP policies. For example, you can create a document fingerprint based on a blank patent template and then create a DLP policy that detects and blocks all outgoing patent templates with sensitive content filled in. Optionally, you can set up Policy Tips to notify senders that they might be sending sensitive information, and the sender should verify that the recipients are qualified to receive the patents. This process works with any text-based forms used in your organization. Additional examples of forms that you can upload include:

  • Правительственные формыGovernment forms

  • Формы соответствия требованиям обязательного медицинского страхованияHealth Insurance Portability and Accountability Act (HIPAA) compliance forms

  • Формы сведений о сотрудниках для отделов кадровEmployee information forms for Human Resources departments

  • Настраиваемые формы, созданные специально для вашей организацииCustom forms created specifically for your organization

В идеальном случае у вашей организации уже есть установленная бизнес-практика использования определенных форм для передачи конфиденциальных сведений. После того, как вы отправите пустую форму для преобразования в отпечаток документа и настроите соответствующую политику, агент защиты от потери данных определит в исходящей почте все документы, соответствующие данному отпечатку.Ideally, your organization already has an established business practice of using certain forms to transmit sensitive information. After you upload an empty form to be converted to a document fingerprint and set up a corresponding policy, the DLP agent will detect any documents in outbound mail that match that fingerprint.

Принцип работы отпечатков документовHow Document Fingerprinting works

Возможно, вы уже догадались, что в документах не имеется действительных отпечатков, но само название этой функции объясняет ее суть. Отпечатки пальцев человека — уникальны, а документы — обладают уникальными словесными шаблонами. Когда вы отправляете файл, агент защиты от потери данных определяет уникальный словесный шаблон в документе, создает отпечаток документа на основе данного шаблона и использует этот отпечаток документа для обнаружения исходящих документов, которые содержат такой же шаблон. Поэтому при отправке формы или шаблона создается самый эффективный тип отпечатка документа. Каждый пользователь, заполняющий форму, использует тот же исходный набор слов, а затем добавляет собственные слова в документ. Если исходящий документ не защищен паролем и содержит весь текст из исходной формы, агент защиты от потери данных может определить, соответствует ли данный документ отпечатку.You've probably already guessed that documents don't have actual fingerprints, but the name helps explain the feature. In the same way that a person's fingerprints have unique patterns, documents have unique word patterns. When you upload a file, the DLP agent identifies the unique word pattern in the document, creates a document fingerprint based on that pattern, and uses that document fingerprint to detect outbound documents containing the same pattern. That's why uploading a form or template creates the most effective type of document fingerprint. Everyone who fills out a form uses the same original set of words and then adds his or her own words to the document. As long as the outbound document isn't password protected and contains all the text from the original form, the DLP agent can determine if the document matches the document fingerprint.

В примере ниже показано, что происходит, если вы создаете отпечаток документа на основе шаблона патента, но вы можете использовать любую форму в качестве основы для создания отпечатка документа.The following example shows what happens if you create a document fingerprint based on a patent template, but you can use any form as a basis for creating a document fingerprint.

Пример патентного документа, соответствующего отпечатку документа для шаблона патентаExample of a patent document matching a document fingerprint of a patent template

Патентный документ соответствует отпечатку документа.

Шаблон патента содержит пустые поля "Название патента", "Изобретатели" и "Описание", а также описания каждого из этих полей — это словесный шаблон. При отправке исходный шаблон патента имеет один из поддерживаемых типов файлов и содержит обычный текст. Агент защиты от потери данных использует алгоритм для преобразования данного словесного шаблона в отпечаток документа, который представляет из себя небольшой XML-файл в формате Юникод. Этот файл содержит уникальное хэш-значение, представляющее исходный текст, и отпечаток сохраняется в качестве классификации данных в Active Directory. (Из соображений безопасности сам исходный документ не сохраняется в службе; сохраняется только хэш-значение, из которого невозможно воссоздать исходный документ.) Затем отпечаток патента становится типом конфиденциальных сведений, который можно сопоставить с политикой защиты от потери данных. Когда вы сопоставите отпечаток с политикой защиты от потери данных, агент защиты от потери данных определяет исходящие сообщения электронной почты с документами, соответствующими отпечатку патента, и обрабатывает их в соответствии с политикой организации. Например, вам может понадобиться настроить политику защиты от потери данных, которая запрещает обычным сотрудникам отправлять исходящие сообщения с патентами. Агент защиты от потери данных использует отпечаток патента для обнаружения патентов и заблокирует соответствующие сообщения электронной почты. Кроме того, вы можете разрешить своему юридическому отделу отправлять патенты в другие организации при наличии достаточных бизнес-оснований на это. Вы можете разрешить определенным отделам отправлять конфиденциальные сведения путем создания исключений для этих отделов в своей политике защиты от потери данных. Вы также можете разрешить этим отделам переопределять подсказку политики с помощью бизнес-обоснования. Подробные сведения о создании правил и исключений политики защиты от потери данных см. в статье DLP Procedures. Дополнительные сведения о настройке подсказок политики, которые могут переопределять пользователи, см. в статье Управление подсказками политик.The patent template contains the blank fields "Patent title," "Inventors," and "Description" and descriptions for each of those fields—that's the word pattern. When you upload the original patent template, it's in one of the supported file types and in plain text. The DLP agent uses an algorithm to convert this word pattern into a document fingerprint, which is a small Unicode XML file containing a unique hash value representing the original text, and the fingerprint is saved as a data classification in Active Directory. (As a security measure, the original document itself isn't stored on the service; only the hash value is stored, and the original document can't be reconstructed from the hash value.) The patent fingerprint then becomes a sensitive information type that you can associate with a DLP policy. After you associate the fingerprint with a DLP policy, the DLP agent detects any outbound emails containing documents that match the patent fingerprint and deals with them according to your organization's policy. For example, you might want to set up a DLP policy that prevents regular employees from sending outgoing messages containing patents. The DLP agent will use the patent fingerprint to detect patents and block those emails. Alternatively, you might want to let your legal department to be able to send patents to other organizations because it has a business need for doing so. You can allow specific departments to send sensitive information by creating exceptions for those departments in your DLP policy, or you can allow them to override a policy tip with a business justification. For more detailed information about creating DLP policy rules and exceptions, see DLP Procedures, and to learn more about setting up policy tips that users can override, see Manage policy tips.

Поддерживаемые типы файловSupported file types

Отпечатки документов поддерживает же типы файлов, поддерживаемые в правилах транспорта. Чтобы получить список типов файлов, поддерживаемые видеть Использование правил потока обработки почты для проверки вложений сообщений в Office 365. Один небольшое примечание о типах файлов: ни правил транспорта ни отпечатков документов не поддерживают .dotx тип файла, который может быть некоторая путаница, поскольку именно в этот файл шаблона в Word. При появлении «шаблон» в этом и другие разделы, отпечатков документов word, она ссылается на документ, определенными в качестве стандартной формы не тип файла шаблона.Document Fingerprinting supports the same file types that are supported in transport rules. For a list of supported file types, see Use mail flow rules to inspect message attachments in Office 365. One quick note about file types: neither transport rules nor Document Fingerprinting supports the .dotx file type, which can be confusing because that's a template file in Word. When you see the word "template" in this and other Document Fingerprinting topics, it refers to a document that you have established as a standard form, not the template file type.

Ограничения относительно отпечатков документовLimitations of document fingerprinting

Агент защиты от потери данных отпечатков документов не определяет конфиденциальные сведения в указанных ниже случаях.The Document Fingerprinting DLP agent won't detect sensitive information in the following cases:

  • Файлы защищены паролем.Password protected files

  • Файлы содержат только изображения.Files that contain only images

  • Документы не содержат весь текст из исходной формы, которая использовалась для создания отпечатка документа.Documents that don't contain all the text from the original form used to create the document fingerprint

Дополнительные сведенияFor more information

Защита данных форм с помощью отпечатков документовProtect form data with document fingerprinting

Интеграция правил конфиденциальной информации с правилами транспортаIntegrating sensitive information rules with transport rules

DLP ProceduresDLP Procedures