文档指纹

Exchange 2013
 

适用于:Exchange Online, Exchange Server 2013

上一次修改主题:2014-09-11

组织中的信息工作人员每天会处理大量的敏感信息。“文档指纹”可识别贵组织中使用的标准表单,以便于您保护此信息。本主题介绍文档指纹所基于的概念。如果您想了解如何创建文档指纹,请参阅使用文档指纹保护表单数据

文档指纹是一项数据丢失预防 (DLP) 功能,它可以将标准表单转换为敏感信息类型,您可以使用此类型来定义传输规则和 DLP 策略。例如,您可以基于空白父模板来创建文档指纹,然后创建 DLP 策略,用于检测和阻止所有包含敏感内容的传出父模板。您也可以选择设置策略提示,以通知发件人他们所发送的是敏感信息,发件人应确认收件人有资格接收这些父模板。此过程与组织中使用的任何基于文本的表单一起使用。您可以上载的其他表单示例包括:

  • 政府表单

  • 符合《健康保险可携性与责任法案》 (HIPAA) 的表单

  • 人力资源部的员工信息表单

  • 组织专门创建的自定义表单

理想情况下,贵组织已经创建使用特定表单传输敏感信息的业务实践。上载要转换为文档指纹的空白表单并设置相应的策略后,DLP 将检测出站邮件中与该指纹匹配的任何文档。

您可能已经猜到,文档并非真的有指纹,只是“指纹”这个词可以表明其功能。人的指纹各不相同,同理,文档的单词模式也各不相同。上载文件后,DLP 代理将确定文档中的独特单词模式、创建基于该模式的文档指纹,并使用该文档指纹检测包含相同指纹的出站文档。这也是为什么上载表单或模板可以创建最有效的文档指纹的原因。填写表单的每个人使用相同的单词集,然后在文档中添加自己的词句。只要出站文档未进行密码保护且包含原始表单中的所有文本,DLP 代理就能确定文档是否与文档指纹匹配。

下列示例说明了当您基于父模板创建文档指纹时发生了什么,但您可以使用任何表单作为基础来创建文档指纹。

与父模板的文档指纹匹配的父文档示例

与文档指纹匹配的专利文档。

父模板包含“父标题”、“发明者”和“说明”等空白字段以及这些字段的说明,这就是单词模式。上载原始父模板后,它就是支持的文件类型之一且采用纯文本。DLP 代理使用某种算法将该单词模式转换为文档指纹,这是一个小型 Unicode XML 文件,其中包含表示原始文本的唯一哈希值,指纹将保存为 Active Directory 中的数据分类。(作为安全措施,原始文档本身不会存储在服务中;仅存储哈希值,且原始文档无法从哈希值重新构建。)然后父指纹将成为敏感信息类型,您可以将其与 DLP 策略相关联。将指纹与 DLP 关联后,DLP 代理将检测任何包含与父指纹匹配的文档的出站电子邮件,并根据组织策略对其进行处理。例如,您可能想要设置一个 DLP 策略,以阻止正式员工发送包含父指纹的邮件。DLP 代理将使用父指纹检测并阻止这些电子邮件。或者,您可能希望您的法律部门能够出于业务需要向其他组织发送父指纹。您可以在 DLP 策略中为这些特定部门创建例外,允许他们发送敏感信息,或者允许他们使用业务理由覆盖策略提示。有关创建 DLP 策略规则和例外的详细信息,请参阅 DLP 过程。有关设置用户可以覆盖的策略提示的详细信息,请参阅管理策略提示

文档指纹支持与传输规则中相同的文件类型。有关受支持的文件类型的列表,请参阅邮件流规则用于检查 Office 365 中的邮件附件。关于文件类型的简短说明:传输规则或文档指纹均不支持 .dotx 文件类型,它们可能会混淆,因为这是 Word 中的模板文件。当您在本主题或其他文档指纹主题中看到“template”一词时,它是指您构建为标准模板的文档,而非模板文件类型。

在下列情况下,文档指纹 DLP 代理不会检测敏感信息:

  • 密码保护的文件

  • 仅包含图片的文件

  • 不包含用于创建文档指纹的原始表单中所有文本的文档

 
显示: