说明:
V11.x 系列版本(11.0、11.1、11.2 及后续版本)均属于 V11.0 大版本更新范畴。
iOA 零信任安全管理系统(SaaS)V11.0 版本灰度发布中,当前暂未全量更新。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击新建策略。
拦截策略
1. 在管控策略页面单击新建策略,选择拦截策略,配置拦截策略后,当管控对象触发规则时,系统将直接拦截文件的外发。同时,在客户端上会弹窗提示员工,并将该记录上报至 iOA ,帮助管理员实时监控和阻止潜在数据泄露风险。
2. 在新建拦截策略页面,配置相关参数。
2.1 输入策略名称,并输入策略描述等参数。
2.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
2.3 选择拦截行为类型(文件外发/代码库上传),配置拦截策略的相关参数。
参数名称 | 说明 |
行为类型 | 需要拦截的操作类型; 文件外发:拦截文件外发行为。 代码库上传:拦截代码库上传行为。 |
外发通道 | 需要拦截的外发通道, 支持 OpenClaw 等诸多 AI-Agent 通道的防泄密拦截能力。 |
外发内容 | 需要拦截的发送内容: 指定文件分级分类规则:选择已定义的分级分类规则作为触发拦截的敏感内容。 按级别:管控所选级别下的所有分级分类规则(所选级别下的规则都会被管控),示例:在数据分级分类 > 分级分类规则中新建一个 S4的规则,此处的按级别会动态关联级别下的所有规则,新增/删除规则自动生效(新建的 S4规则也会被管控)  按规则:管控所选级别下的规则(例如:当选择 S4中的规则,将 S4中的规则依次勾选,勾选完后并不是展示 S4的标签,而是将规则展示出来)示例:在数据分级分类 > 分级分类规则中新建一个 S4的规则,此处的按规则不会将新建的 S4的规则罗列进来,只会管控已选择的规则。  审计所选通道所有外发内容:在外发通道中配置的通道,都将被拦截。示例:配置电子邮箱,则电子邮箱通道相关文件外发都会被拦截。  |
禁止外发时段 | 需要拦截的发送时间。支持自定义时间段和非工作时间。 |
内部传输地址 | |
允许员工申请拦截豁免 | 不开启该功能,则说明不允许员工申请拦截豁免:外发直接拦截,员工无法申请豁免。 开启允许员工申请拦截豁免:添加对应的审批流,当员工外发被拦截时,iOA 弹窗提醒(弹窗提醒支持自定义),弹窗示例:  当员工提交审批时,审批流上的管理员可单击同意/驳回审批。示例:企业微信审批。  豁免有效时长:支持自定义豁免到期时间,申请豁免审批通过后,豁免有效期内可无限制发送相同 MD5值的文件。同时 审批日志 审批结果字段支持展示“过期”状态。  |
弹窗提醒 | 自定义拦截时的弹窗提醒内容。 |
日志记录 | 记录行为日志:默认勾选,且不可取消。可在风险调查 > 行为审计查看触发规则的日志信息。 外发时截屏记录:勾选后,留存敏感数据外发时的截图,用于事后的溯源审计。可在风险调查 > 行为审计,单击详情查看触发规则的截屏信息。  |
3. 填写完成后,单击保存,拦截策略创建完成。
审计策略
2. 在新建审计策略页面,配置相关参数。
2.1 输入策略名称,并输入策略描述等参数。
2.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
2.3 配置触发条件、日志记录等信息。
参数名称 | 说明 |
外发通道 | 需要审计的外发通道, 支持 OpenClaw 等诸多 AI-Agent 通道的防泄密审计能力。 |
外发内容 | 需要审计的发送内容: 指定文件分级分类规则:选择已定义的分级分类规则作为触发审计的敏感内容。 按级别:管控所选级别下的所有分级分类规则(所选级别下的规则都会被管控),示例:在数据分级分类 > 分级分类规则中新建一个 S4的规则,此处的按级别会动态关联级别下的所有规则,新增/删除规则自动生效(新建的 S4规则也会被管控)  按规则:管控所选级别下的规则(例如:当选择 S4中的规则,将 S4中的规则依次勾选,勾选完后并不是展示 S4的标签,而是将规则展示出来)示例:在数据分级分类 > 分级分类规则中新建一个 S4的规则,此处的按规则不会将新建的 S4的规则罗列进来,只会管控已选择的规则。  审计所选通道所有外发内容:在外发通道中配置的通道,都将被审计。示例:配置电子邮箱,则电子邮箱通道相关文件外发都会被审计。  |
审计记录时段 | 需要审计的发送时间。支持自定义时间段和非工作时间。 |
内部传输地址 | |
日志记录 | 记录行为日志:默认勾选,且不可取消。可在风险调查 > 行为审计查看触发规则的日志信息。 外发时截屏记录:勾选后,留存敏感数据外发时的截图,用于事后的溯源审计。可在风险调查 > 行为审计,单击详情查看触发规则的截屏信息。  |
3. 填写完成后,单击保存,审计策略创建完成。
剪贴板配置
支持根据不同用户、终端和通道进行差异化设置,可灵活启用或禁用剪贴板检测,以满足多样化的使用场景和环境需求,确保在保护数据安全的同时兼顾业务灵活性。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击剪贴板配置。
2. 在剪贴板配置页,单击新建。
3. 在配置剪贴板页面,填写相关参数。
3.1 输入策略名称,并输入策略描述等参数。
3.2 单击添加适用范围 ,勾选需管控/排除的用户/终端名称,单击确定。
4. 配置剪贴板:
4.1 适用通道:选择剪贴板监控生效的应用通道或业务场景。
4.2 剪贴板预扫描:开启后对剪贴板内容进行预扫描检测。
4.3 剪贴板监控:选择剪贴板监控模式。
开启剪贴板监控:对剪贴板的复制粘贴操作进行监控。
关闭图片和文字监控:仅监控剪贴板中的文件类内容,不监控图片和文字。
关闭剪贴板监控:完全关闭剪贴板监控功能。
5. 配置完成单击保存。
自定义通道
iOA 零信任管理平台提供自定义管控通道来扩大通道覆盖面,您可以按照以下步骤添加自定义通道信息。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击自定义通道。
2. 单击添加自定义通道,在添加自定义通道页面,输入自定义通道的基本信息,具体内容如下:
参数名称 | 说明 |
通道名称 | 自定义管控通道的名称。 |
通道类型 | 选择该管控通道的类别。 |
通道图标 | 上传36x36像素至150x150像素大小的正方形通道图标,图片宽高比例为1:1,支持 PNG、JPG 格式。 |
是否启用 | 默认开启。 |
Windows
1. 配置该通道在 Windows 环境下的进程信息,具体包括通道进程名和文件路径白名单。
参数名称 | 说明 |
通道进程名 | 必选,可输入多个进程名,利用换行符分隔,每一行表示一个进程名。 |
文件路径白名单 | 文件路径白名单:必选,可用于加白不需要管控的系统文件、应用配置文件路径,支持正则匹配;可输入多个白名单路径,使用换行符分隔,一行表示一个文件路径。例如,需要加白 C:\\Windows 路径下的所有文件,可配置为 C:\\\\Windows\\\\.*。 |
进程名获取方法如下:
菜单栏右键打开任务管理器,单击详细信息。找到需要检测的进程,第一列的名称即为所需通道进程名。
macOS
1. 配置该通道在 macOS 环境下的进程信息,具体包括通道进程名和 Bundle ID。
具体获取方法如下:
1.1 获取通道进程名
1.1.1 打开活动监控器(Activity Monitor),找到应用进程信息,双击打开进程的详细信息。
1.1.2 单击打开的文件和端口,找到①处包含
/Contents/MacOS/的字符串,后面的②内容即为所需进程名。
1.2 获取 Bundle ID
打开终端命令行(Terminal),在终端命令行中执行:
defaults read 安装的软件路径/Contents/Info CFBundleIdentifier,回显即为软件的 Bundle ID。例如:软件一般安装在
/Applications/ 目录下,例如需要查看微信(WeChat.app),则微信的路径为 /Applications/WeChat.app,即执行命令 defaults read /Applications/Wechat.app/Contents/Info CFBundleIdentifier,如下图,得到 Bundle ID:com.tencent.xinWeChat。
2. 配置完上述参数后,单击确定保存。
拦截超时
说明:
拦截超时设置功能要求客户端版本10.10.1及以上支持该功能,如客户端版本低于10.10.1请升级客户端。
拦截超时设置页面用于配置系统在敏感文件识别过程中,出现超时的处理策略,属于全局兜底策略;系统将根据配置通道的对应响应动作进行放行或拦截。平衡安全性与用户体验。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择管控策略 >管控策略,单击拦截超时。
2. 在拦截超时设置页面中,配置超时时间以及审批设置等参数。
参数名称 | 说明 |
通道超时时间 | 定义各通道进行敏感文件识别的最大等待时间。 |
剪贴板超时 | 设置剪贴板内容识别的专用超时阈值。 |
通道超时处理 | 勾选通道,启用该通道的超时检测功能,为每个通道单独设置超时后的处理动作(放行/拦截)。 超时放行:当识别超时后,系统将直接放行文件而不拦截。 超时拦截:当识别超时后,系统将直接拦截文件。 |
审批设置 |
3. 弹窗提醒:允许管理员定制专属的拦截提醒内容。
4. 配置完成后单击确定保存,完成拦截超时设置。
