文件指紋
適用於:Exchange Server 2013
組織中的資訊工作者在其日常工作中會處理許多不同的敏感資訊。 檔指紋可 讓您藉由識別整個組織所使用的標準表單,更輕鬆地保護此資訊。 本主題說明文件指紋的基礎概念。 如果您想要瞭解如何建立檔指紋,請參閱使用 檔指紋保護表單資料。
文件指紋的基本案例
檔指紋是一項資料外泄防護 (DLP) 功能,可將標準表單轉換成敏感性資訊類型,您可以使用此功能來定義傳輸規則和 DLP 原則。 例如,您可以根據空白專利範本建立文件指紋,然後再建立 DLP 原則,以偵測及封鎖所有填入敏感內容的傳出專利範本。 您也可以選擇性地設定原則提示,以通知寄件者他們有可能會傳送敏感資訊,而寄件者應確認收件者符合接收專利的資格。 此程序適用於您的組織中所使用的任何文字型表單。 您可以上傳的表單還包括:
政府表單
1996 年健康保險流通與責任法案 (HIPAA) 符合性表單
人力資源部門的員工資訊表單
特別為您的組織建立的自訂表單
在理想情況下,您的組織應已建立使用特定表單來傳輸敏感資訊的商業實務準則。 在您上傳要轉換為文件指紋的空白表單,並設定對應的原則後,DLP 代理程式即會開始在輸出的郵件中偵測符合該指紋的文件。
文件指紋的運作方式
您可能已猜到文件並沒有實際的指紋,但此名稱仍有助於闡述功能。 如同人類的指紋具有獨特的型態,文件也會有獨特的文字模式。 當您上載檔案時,DLP 代理程式會識別文件中的獨特文字模式,並根據該模式建立文件指紋,然後使用該文件指紋偵測含有相同模式的輸出文件。 正因如此,上載表單或範本能夠產生最有效的文件指紋類型。 每個填寫表單的人都會使用同一組原始文字,然後再將其本身的文字新增至文件中。 只要輸出文件未受密碼保護,且包含所有來自原始表單的文字,DLP 代理程式即可判斷文件是否符合文件指紋。
下列範例說明您根據專利範本建立文件指紋時所將發生的情況;但實際上您可使用任何表單作為建立文件指紋的基礎。
.png "符合檔指紋的專利檔。")
專利範本包含空白欄位「專利職稱」、「清查者」和「描述」,以及這些欄位的描述,即文字模式。 當您上傳原始專利範本時,它位於其中一個支援的檔案類型和純文字中。 DLP 代理程式會使用演算法將此字模式轉換成檔指紋,這是一個小型的 Unicode XML 檔案,其中包含代表原始文字的唯一雜湊值,而指紋會儲存為 Active Directory 中的資料分類。 (作為安全性措施,原始檔案本身不會儲存在服務上;只會儲存雜湊值,而且無法從雜湊值重新建構原始檔案。) 專利指紋會變成您可以與 DLP 原則相關聯的敏感性資訊類型。 將指紋與 DLP 原則建立關聯之後,DLP 代理程式會偵測任何包含符合專利指紋之檔的輸出電子郵件,並根據貴組織的原則處理這些電子郵件。 例如,您可以設定 DLP 原則,以防止正職員工對外傳送包含專利的郵件。 DLP 代理程式會使用專利指紋來偵測專利,並封鎖這些電子郵件。 或者,您可以允許法務部門將專利傳送至其他組織,因為這是業務上的需要。 您可以在 DLP 原則中建立特定部門的例外狀況,以允許這些部門傳送敏感資訊,或者,您可以允許他們以業務理由覆寫原則提示。 如需建立 DLP 原則規則和例外狀況的詳細資訊,請參閱 DLP 程式,若要深入瞭解如何設定使用者可以覆寫的原則提示,請參閱 Exchange 2013 中的原則提示。
支援的檔案類型
檔指紋支援傳輸規則中支援的相同檔案類型。 如需支援的檔案類型清單,請參閱 傳輸規則內容檢查的支援檔案類型。 關於檔案類型的提醒:傳輸規則和文件指紋皆不支援 .dotx 檔案類型;這是 Word 中的範本檔案,因此可能造成混淆。 您在本主題和其他文件指紋主題中所看見的「範本」一詞,都是指您建立為標準表單的文件,而不是範本檔案類型。
文件指紋的限制
文件指紋 DLP 代理程式在下列情況下將不會偵測敏感資訊:
檔案受密碼保護
檔案只包含影像
文件未包含原始表單中所有用來建立文件指紋的文字