Exchange 2013 中的數據外洩防護
適用於:Exchange Server 2013
瞭解 Exchange Server 2013 中的 DLP 原則,包括其包含的內容和測試方式。 您也將了解 Exchange DLP 中的新功能。
因為密集使用電子郵件進行包含敏感資料的重要商務通訊,因此資料外洩防護 (DLP) 是企業通訊系統的重要議題。 為實施此類資料的合規要求,並管理此類資料在電子郵件中的使用,而不阻礙員工的生產力,DLP 功能讓管理敏感資料較以往更加容易。 如需 DLP 的概念概觀,請觀看下列視訊。
DLP 原則是包含一組條件的簡單套件,這些條件是由您在 Exchange 系統管理中心 (EAC) 建立的傳輸規則、動作和例外狀況所組成,然後啟用以篩選電子郵件訊息和附件。 您可以建立一個 DLP 原則,但選擇不要啟用它。 這讓您能在不影響郵件傳輸的情況下測試您的原則。 DLP 原則可完全發揮現有傳輸規則的效用。 事實上,為了完成新的 DLP 功能,Microsoft Exchange Server 2013 中建立了一些新類型的傳輸規則。
傳輸規則的重要新功能之一是利用新方法分類機密資訊,此機制可整合到郵件流程處理中。 這個新的 DLP 功能會透過關鍵字比對、字典比對、規則運算式評估以及其他內容檢查來執行深入的內容分析,以偵測違反組織 DLP 原則的內容。 Exchange 2013 Service Pack 1 (SP1) 新增 文件指紋,以協助您偵測標準表單中的敏感性資訊。 如需傳輸規則的詳細資訊,請參閱 Exchange 2013 中的傳輸規則和 整合敏感性資訊規則與傳輸規則。 您也可以使用 Exchange 管理命令介面 Cmdlet 來管理 DLP 原則。 如需原則和合規性 Cmdlet 的詳細資訊,請參閱 傳訊原則和合規性。
除了可自定義的 DLP 原則本身之外,您也可以通知電子郵件寄件者,他們可能即將違反您的其中一個原則,甚至是在傳送違規訊息之前。 您可以設定原則提示完成這項作業。 原則提示類似於 MailTips,可設定為在 Outlook 2013 或更新版本中顯示簡短注意事項,以提供建立郵件之人員可能違反原則的相關信息。 在 Exchange 2013 SP1 中,原則提示也會顯示在 Outlook Web App 和裝置用 OWA 中。 如需詳細資訊,請參閱 Policy Tips 。
注意事項
DLP 是需要 Exchange 企業版用戶端存取授權 (CAL) 的高階功能。 如需 CAL 和伺服器授權的詳細資訊,請參閱 Exchange 授權常見問題。
Exchange Enterprise CAL 與服務:如果您是具有混合式部署的 Exchange Enterprise CAL 與服務客戶,其中有些信箱位於內部部署,而有些信箱位於 Exchange Online,則有行為差異。 DLP 原則會套用於 Exchange Online 中。 因此,由一位內部部署使用者傳送給另一位內部部署使用者的郵件不會套用 DLP 原則,因為郵件並未離開內部部署的基礎架構。
要尋找與資料外洩防護相關的管理工作嗎? 請參閱 DLP 程序。
建立保護敏感資料的原則
資料外洩防護功能可協助您辨識與監控您在原則條件中定義的許多敏感資訊類別,如私人識別碼或信用卡號等。 您可以選擇定義您的自訂原則與傳輸規則,或是使用 Microsoft 預先定義的 DLP 原則範本以快速開始。 如需所包含原則範本的詳細資訊,請參閱 Exchange 2013 中提供的 DLP 原則範本。 原則範本包括一系列您可以選擇的條件、規則與行動,以讓您建立並儲存能協助您檢查郵件的實際 DLP 原則。 原則範本是您可以選取或建立您專屬特定規則的模組,用來建立能滿足您的資料外洩防護需求的原則。
現有供您開始使用 DLP 的三種不同方法:
套用 Microsoft 提供的現成範本:開始使用 DLP 原則的最快速方式是使用範本建立和實作新的原則。 能省去您從無到有地建立一組新規則的許多努力。 您必須知道您想要檢查的數據類型,或您嘗試處理的合規性規定。 您也必須知道組織對於處理這類數據的期望。 如需詳細資訊,請參閱 Exchange 2013 中提供的 DLP 原則範本 和 從範本建立 DLP 原則。
從組織外部匯入預先建置的原則檔案:您可以匯入已由獨立軟體廠商在傳訊環境外部建立的原則。 如此,您便可以延展 DLP 解決方案來滿足業務需求。 於 來自 Microsoft 協力廠商的原則範本、定義自己的 DLP 範本和資訊類型 與 從檔案匯入自訂的 DLP 原則範本 取得更多資訊。
建立不含任何既有條件的自定義原則:您的企業可能有自己的需求,可監視已知存在於傳訊系統內的特定數據類型。 您可以靠自己完整建立一個自訂原則,以開始檢查並針對您的獨特郵件資料採取行動。 您必須知道強制執行 DLP 原則的環境需求和條件約束,才能建立這類自定義原則。 於 建立自訂的 DLP 原則取得更多資訊。
在您新增原則後,您可以檢閱與變更其規則、讓原則變為非作用中,或完全移除它。 這些動作的程式會在 管理 DLP 原則 主題中提供。
DLP 原則中的敏感資訊類型
在您建立或變更 DLP 原則時,您可以納入包含敏感資訊檢查的規則。 Exchange Server 主題的敏感性資訊類型中所列的敏感性資訊類型可用於您的原則。 您在原則中建立的條件,例如在採取行動前,某個項目必須被找到的次數,或是在新自訂原則中確實被自訂的動作,以符合您的特定原則需求。 如需建立 DLP 原則的詳細資訊,請參閱 建立自定義 DLP 原則。 如需完整套件傳輸規則的詳細資訊,請參閱 Exchange 2013 中的傳輸規則。
為了讓您輕鬆地利用與敏感資訊相關的規則,Microsoft 提供了已包含一些敏感資訊類型的原則範本。 不過,您無法將此處所列所有敏感性資訊類型的條件新增至原則範本,因為範本的設計目的是要協助您專注於組織內最常見的合規性相關數據類型。 如需預先建置範本的詳細資訊,請參閱 Exchange 2013 中提供的 DLP 原則範本。 您可以為組織建立許多 DLP 原則,並且將它們全數啟用,如此許多不同類型的資訊都會受到檢驗。 您也可以建立不是以現有範本為基礎的 DLP 原則。 若要開始建立此類原則,請參閱建立自訂的 DLP 原則。 如需敏感性資訊類型的詳細資訊,請參閱 Exchange Server 中的敏感性信息類型。
使用文件指紋偵測敏感表單資料
透過 Exchange 2013 SP1,您可以使用 文件指紋 ,輕鬆地根據標準表單建立敏感性資訊類型。 若要瞭解如何保護表單數據,請參閱 使用檔指紋保護表單數據。
原則提示通知使用者有關敏感內容期望
您可以使用原則提示通知訊息,在電子郵件訊息撰寫時通知電子郵件寄件者可能的合規性問題。 在 DLP 原則中設定原則提示時,只有當寄件者的電子郵件訊息內容符合您原則中所描述條件時,才會顯示通知訊息。 原則提示與在 Microsoft Exchange 2010 中引進的郵件提示相似。 如需詳細資訊,請參閱原則提示。
使用傳統郵件分類以外方式來偵測敏感資訊
相較於傳統訊息分類,Exchange 2013 提供了一個新方法,可協助您管理訊息和附件數據。 DLP 解決方案效力的關鍵因素便是能正確辨識對組織、法規需求、地理位置或其他業務需求而言特有的機密或敏感內容的能力。 Exchange 2013 能透過使用新的深入內容分析結構,加上您透過您在 DLP 原則中的規則所建立的偵測標準來達成此目的。 在 Exchange 2013 中協助防止資料遺失是仰賴一組正確的敏感資訊規則,如此這些規則才能提供高度的保護,同時將因誤判與誤報所產生的不適當郵件流程中斷減到最小。 這些類型的規則被視為整個 DLP 資訊的敏感資訊偵測,在傳輸規則所提供的架構中運作,以啟用 DLP 能力。
若要深入了解這些新功能,請參閱與傳輸規則整合敏感資訊規則。 傳統的訊息分類欄位仍然可以套用至 Exchange 中的訊息,而且這些欄位可以與新的敏感性資訊偵測結合在單一 DLP 原則內,或同時執行,以便在 Exchange 中獨立評估。 若要深入瞭解舊版 Exchange 2010 訊息分類,請參閱 瞭解訊息分類。
關於經 DLP 處理之郵件的資訊
若要讓 Exchange 2013 取得環境中訊息和 DLP 原則偵測的相關信息,請 參閱檢視 DLP 原則偵測報告 和 建立 DLP 原則偵測的事件報告。 與 DLP 偵測相關的資料,已高度整合到 Exchange 2013 的傳遞回報郵件追蹤工具中。
安裝必要條件
若要使用 DLP 功能,您必須至少設定一個寄件者信箱的 Exchange 2013。 資料外洩防護是付費功能,需要企業版用戶端存取授權 (CAL)。 如需開始使用 Exchange Server 的詳細資訊,請參閱規劃和部署。