数据控制怎样工作？

数据控制，可以识别意外的数据丢失，这通常是由职员不当处理敏感数据造成。例如，用户通过基于网页的电子邮件将包含敏感数据的文件寄回家。

数据控制使您能够监控从计算机到存储设备和连接到因特网的应用程序的文件传输。

• 存储设备：数据控制会介入分析通过“资源管理器”（包括 Windows 桌面）复制到受控的存储设备的所有文件。不过，直接在应用程序（如：Microsoft Word）内部进行的复制，或者，使用命令行提示窗进行的传输，不会被介入分析。

  通过 允许用户接受的传输和日志事件 措施选项，或 阻断传输和日志事件 措施选项，可以强制所有向受控的存储设备进行的传输，都要使用“资源管理器”进行。在这两种情况中，任何试图直接从应用程序中保存文件，或者，从命令行提示窗中传输文件的操作，都会被数据控制阻断，并且会显示桌面警报，要求用户使用“资源管理器”进行文件传输。

  当数据控制策略只包含具有 允许文件传输和日志事件 措施选项时，任何直接在应用程序内部进行的保存，或者，使用命令行提示窗进行的文件传输，不会被介入分析。这样将使用户能够不受限制地使用存储设备。不过，使用“资源管理器”进行的传输，仍然会作为数据控制事件被日志记录。

  注： 此限制不应用于应用程序监控。

• 应用程序：为了确保只监控用户上传的文件，某些系统文件所在的路径会从数据控制监控中排除。这将显著地减少由应用程序开启配置文件生成数据控制事件，而不用户上传文件生成数据控制事件的情况。

  重要： 如果您遇到错误地由某应用程序开启配置文件而生成事件的情况，解决此问题的通常是添加自定义的排除路径，或配置数据控制规则减低敏感度。有关详细信息，请参阅 Sophos 知识库文章 113024。
  注： 读写扫描排除项目并非始终应用于数据控制。

数据控制什么时间使用读写扫描排除项目呢？

根据复制或移动文件的方式和位置，数据控制可能会或不会考虑在防病毒和 HIPS 策略中设置的读写扫描排除项目。

使用监控应用程序（如电子邮件客户端、Web 浏览器或即时消息 (IM) 客户端）上传或附加文件时，数据控制将使用读写扫描排除项目。要了解更多有关配置读写扫描排除文件的信息，请参见从读写扫描中排除项目。

使用 Windows 资源管理器复制或移动文件时，数据控制将不使用读写扫描排除项目。因此，排除将不起作用。例如，将文件复制到存储设备（如 USB）或将文件复制或移动到某个网络位置时。即便在读写扫描中排除了远程文件，仍将扫描所有文件。

数据控制策略

数据控制使您能够通过定义数据控制策略和应用这些策略到您的网络中的计算机组中，来监控文件的传输活动。

数据控制策略包括一个或多个数据控制规则，这些规则指定检测条件，以及当规则被匹配使将要采取的措施。一个数据控制规则可以被包括在多个策略中。

在某个数据控制策略中包含多个规则时，某文件只要匹配该数据控制策略中的任一规则，就会被视为违反了该策略。

数据控制规则条件

数据控制规则条件包括目标路径，文件名及其扩展名，或文件内容。

目标路径包括设备（例如，类似 USB 闪存的移动存储设备）和应用程序（例如，因特网浏览器和电子邮件客户端程序）。

文件内容的匹配是通过内容控制列表 (CCL) 来定义的。内容控制列表 (CCL) 是基于 XML 的结构化数据描述。SophosLabs 提供了一个内容控制列表 (CCL) 的扩展集，它可以用于您的数据控制规则中。

要了解更多有关应用数据控制规则和条件到文件中的信息，请参见关于数据控制规则。

要了解更多有关定义文件内容的内容控制列表 (CCL) 的信息，请参见关于内容控制列表。

数据控制

数据控制规则措施

当数据控制检测到在规则中指定的所有条件时，即为规则被匹配，则数据控制将采取在规则中指定的措施，并将此事件记录到日志中。您可以指定以下措施之一：

• 允许文件传输和日志事件
• 允许用户接受的传输和日志事件
• 阻断传输和日志事件

如果某文件匹配指定了不同措施的两条数据控制规则，那么，指定的措施最严格的规则将被应用。阻断文件传输的数据控制规则的优先性，高于允许用户接受的文件传输的数据控制规则。允许用户接受的文件传输的数据控制规则的优先性，高于允许文件传输的数据控制规则。

依照默认值，当规则被匹配后文件的传输被阻断时，或者，当要求用户确认文件的传输时，会有消息出现在端点计算机的桌面上。被匹配的规则，会在消息中指出。您可以添加您自定义的消息到，供用户确认文件传输和阻断文件传输所使用的标准消息中。要了解更多信息，请参见设置数据控制警报和消息。