说明:
iOA 零信任安全管理系统(SaaS)11.1.1版本灰度发布中,当前暂未全量更新。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击新建策略。
拦截策略
1. 在管控策略页面单击新建策略,选择拦截策略,配置拦截策略后,当管控对象触发规则时,系统将直接拦截文件的外发。同时,在客户端上会弹窗提示员工,并将该记录上报至 iOA ,帮助管理员实时监控和阻止潜在数据泄漏风险。
2. 在新建拦截策略页面,配置相关参数。
2.1 输入策略名称,并输入策略描述等参数。
2.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
2.3 选择拦截行为类型,配置拦截策略的相关参数。
参数名称 | 说明 |
行为类型 | 需要拦截的操作类型; 文件外发:拦截文件外发行为。 代码库上传:拦截代码库上传行为。 |
外发通道 | 需要拦截的外发通道。 |
外发内容 | 需要拦截的发送内容: 指定文件分级分类规则:选择已定义的分级分类规则作为触发拦截的敏感内容。 按级别:管控所选级别下的所有分级分类规则(所选级别下的规则都会被管控),示例:在数据分级分类 > 分级分类规则中新建一个S4的规则,此处的按级别会动态关联级别下的所有规则,新增/删除规则自动生效(新建的S4规则也会被管控)  按规则:管控所选级别下的规则(例如:当选择S4中的规则,将S4中的规则一个个勾选,勾选完后并不是展示S4的标签,而是将规则展示出来)示例:在数据分级分类 > 分级分类规则中新建一个S4的规则,此处的按规则不会将新建的S4的规则罗列进来,只会管控已选择的规则。  审计所选通道所有外发内容:在外发通道中配置的通道,都将被拦截。示例:配置电子邮箱,则电子邮箱通道相关文件外发都会被拦截。  |
禁止外发时段 | 需要拦截的发送时间。支持自定义时间段和非工作时间。 |
内部传输地址 | |
审批设置 | 不允许员工申请拦截豁免:外发直接拦截,员工无法申请豁免。 允许员工申请拦截豁免:添加对应的审批流,当员工外发被拦截时,iOA弹窗提醒(弹窗提醒支持自定义),弹窗示例:  当员工提交审批时,审批流上的管理员可单击同意/驳回审批。示例:企业微信审批。  |
弹窗提醒 | 自定义拦截时的弹窗提醒内容。 |
日志记录 | 记录行为日志:默认勾选,且不可取消。可在风险调查 > 行为审计查看触发规则的日志信息。 外发时截屏记录:勾选后,留存敏感数据外发时的截图,用于事后的溯源审计。可在风险调查 > 行为审计,单击详情查看触发规则的截屏信息。  |
3. 填写完成后,单击保存,拦截策略创建完成。
审计策略
2. 在新建审计策略页面,配置相关参数。
2.1 输入策略名称,并输入策略描述等参数。
2.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
2.3 配置触发条件、日志记录等信息。
参数名称 | 说明 |
外发通道 | 需要审计的外发通道。 |
外发内容 | 需要审计的发送内容: 指定文件分级分类规则:选择已定义的分级分类规则作为触发审计的敏感内容。 按级别:管控所选级别下的所有分级分类规则(所选级别下的规则都会被管控),示例:在数据分级分类 > 分级分类规则中新建一个S4的规则,此处的按级别会动态关联级别下的所有规则,新增/删除规则自动生效(新建的S4规则也会被管控)  按规则:管控所选级别下的规则(例如:当选择S4中的规则,将S4中的规则一个个勾选,勾选完后并不是展示S4的标签,而是将规则展示出来)示例:在数据分级分类 > 分级分类规则中新建一个S4的规则,此处的按规则不会将新建的S4的规则罗列进来,只会管控已选择的规则。  审计所选通道所有外发内容:在外发通道中配置的通道,都将被审计。示例:配置电子邮箱,则电子邮箱通道相关文件外发都会被审计。  |
审计记录时段 | 需要审计的发送时间。支持自定义时间段和非工作时间。 |
内部传输地址 | |
日志记录 | 记录行为日志:默认勾选,且不可取消。可在风险调查 > 行为审计查看触发规则的日志信息。 外发时截屏记录:勾选后,留存敏感数据外发时的截图,用于事后的溯源审计。可在风险调查 > 行为审计,单击详情查看触发规则的截屏信息。  |
3. 填写完成后,单击保存,审计策略创建完成。
自定义通道
iOA 零信任管理平台提供自定义管控通道来扩大通道覆盖面,您可以按照以下步骤添加自定义通道信息。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击自定义通道。
2. 单击添加自定义通道,在添加自定义通道页面,输入自定义通道的基本信息,具体内容如下:
参数名称 | 说明 |
通道名称 | 自定义管控通道的名称。 |
通道类型 | 选择该管控通道的类别。 |
通道图标 | 上传36x36像素至150x150像素大小的正方形通道图标,图片宽高比例为1:1,支持 PNG、JPG 格式。 |
是否启用 | 默认开启。 |
Windows
1. 配置该通道在 Windows 环境下的进程信息,具体包括通道进程名和文件路径白名单。
参数名称 | 说明 |
通道进程名 | 必选,可输入多个进程名,利用换行符分隔,每一行表示一个进程名。 |
文件路径白名单 | 文件路径白名单:必选,可用于加白不需要管控的系统文件、应用配置文件路径,支持正则匹配;可输入多个白名单路径,使用换行符分隔,一行表示一个文件路径。例如,需要加白 C:\\Windows 路径下的所有文件,可配置为 C:\\\\Windows\\\\.*。 |
进程名获取方法如下:
菜单栏右键打开任务管理器,单击详细信息。找到需要检测的进程,第一列的名称即为所需通道进程名。
macOS
1. 配置该通道在 macOS 环境下的进程信息,具体包括通道进程名和 Bundle ID。
具体获取方法如下:
1.1 获取通道进程名
1.1.1 打开活动监控器(Activity Monitor),找到应用进程信息,双击打开进程的详细信息。
1.1.2 单击打开的文件和端口,找到①处包含
/Contents/MacOS/的字符串,后面的②内容即为所需进程名。
1.2 获取 Bundle ID
打开终端命令行(Terminal),在终端命令行中执行:
defaults read 安装的软件路径/Contents/Info CFBundleIdentifier,回显即为软件的 Bundle ID。例如:软件一般安装在
/Applications/ 目录下,例如需要查看微信(Wechat.app),则微信的路径为 /Applications/Wechat.app,即执行命令 defaults read /Applications/Wechat.app/Contents/Info CFBundleIdentifier,如下图,得到 Bundle ID:com.tencent.xinWeChat。
2. 配置完上述参数后,单击确定保存。
拦截超时
说明:
拦截超时设置功能要求客户端版本10.10.1及以上支持该功能,如客户端版本低于10.10.1请升级客户端。
拦截超时设置页面用于配置系统在敏感文件识别过程中,出现超时的处理策略,属于全局兜底策略;系统将根据配置通道的对应响应动作进行放行或拦截。平衡安全性与用户体验。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击拦截超时。
2. 在拦截超时设置页面中,配置超时时间以及审批设置等参数。
参数名称 | 说明 |
通道超时时间 | 定义各通道进行敏感文件识别的最大等待时间。 |
剪贴板超时 | 设置剪贴板内容识别的专用超时阈值。 |
通道超时处理 | 勾选通道,启用该通道的超时检测功能,为每个通道单独设置超时后的处理动作(放行/拦截)。 超时放行:当识别超时后,系统将直接放行文件而不拦截。 超时拦截:当识别超时后,系统将直接拦截文件。 |
审批设置 |
3. 弹窗提醒:允许管理员定制专属的拦截提醒内容。
4. 配置完成后单击确定保存,完成拦截超时设置。
