数据访问控制
最近更新时间:2025年03月17日 19:52:34
数据访问控制策略用于对 HTTP 和 HTTPS 的访问请求实现在7层上的访问控制。该策略通过评估UserAgent、IP地址、地理位置等是否符合设定的安全要求,以进行授权决策,并动态地赋予访问权限。此外,该策略还支持文件下载拦截和文件水印功能,以确保资源访问和文件使用的安全性。
配置访问控制策略前,先确保用户访问权限正确。用户访问权限是静态授权,访问安全策略是在静态授权的基础上,根据当前访问场景是否满足安全要求,动态地赋予访问权限。
1. 登录 iOA 零信任管理平台控制台,在左侧导航栏,选择访问安全策略 > 数据访问控制。
2. 在数据访问控制页面,单击添加数据访问策略。
![]()
3. 在新建策略页面,配置相关参数。
3.1 输入策略名称,并输入策略描述等参数。
![]()
3.2 单击添加用户 ,勾选需管控的用户/用户组,单击确定。
![]()
3.3 单击添加资源,勾选需管控的资源/资源组,单击确定。
![]()
4. 设定条件:单击添加条件。
![]()
4.1 支持访问浏览器、指定 IP 分组、地理位置的接入。
![]()
参数 | 判断条件 | 说明 |
指定访问浏览器 | 包含任意 均不包含 | 根据实际需求选择指定浏览器。 |
自定义User-Agent | 等于 不等于 正则匹配 正则不匹配 | 根据实际需求输入自定义User-Agent 。 |
用户接入IP | 包含任意 均不包含 | 选择管控的IP分组。 |
用户接入的地理位置 | 包含任意 均不包含 | 选择管控的地理位置。 |
5. 单击切换且/或,通过条件之间“且”、“或”运算来实现复杂场景的访问控制。
![]()
6. 设定处置:
允许访问:管控范围内的用户允许访问指定的业务资源,当访问权限设置为“允许访问”时,可设置数据安全管控。
禁止访问:直接阻止用户的本次访问行为,请谨慎使用该处置手段,当访问权限设置为“禁止访问”时,数据安全管控功能置灰。
![]()
文件下载添加水印
1. 对从访问资源时下载的文件自动添加水印,以便对下载文件溯源。
说明:
对从访问资源时下载的文件自动添加水印,以便对下载文件溯源。
支持5MB以下文件,文件过大时可能导致处理超时,超时后将禁止下载文件。
对于同一文件类型,如果同时设置了禁止下载和文件水印,系统将优先执行禁止下载的操作。例如,对于
docx文件类型,如果两者都配置了,用户将无法下载文件。访问无认证资源,暂不支持“文件下载添加水印”。
2. 在数据访问控制策略页面,开启文件下载添加水印功能,并配置相关参数:![]()
2.1 水印模板:在水印模板中选择水印。
2.1.1 如需新增水印模板,请单击新建水印模板。![]()
2.1.2 根据管控需求选择水印内容,倾斜度,透明度等。
说明:
当水印内容选择“自定义 ”时,按回车键完成自定义内容输入。
![]()
2.1.3 配置完成,单击预览水印。
![]()
2.1.4 预览水印符合预期,单击确定保存水印模板。
![]()
2.1.5 如需要对已存在的水印模板编辑,请前往访问安全策略 > 数据访问控制 > 水印模板,支持对模板预览,编辑,删除操作。
![]()
2.2 标记水印的文件类型:被勾选的文件类型下载时展示水印信息。
说明:
支持对 docx/xlsx/pptx/pdf 这四种类型文档添加水印,以便对下载文件溯源。推荐文件下载到本地用 Microsoft office 打开,其他工具打开或预览可能会影响水印显示效果或者丢失密码保护。
文件类型 | 文档添加水印 | 文件保护 | 打印预览 |
docx | 支持 | 可加密/只读/无法防止内容拷贝 | 预览可见 |
xlsx | 支持 | 可加密/只读/防拷贝 | 预览不可见 |
pptx | 支持 | 可加密/只读/无法防止内容拷贝 | 预览可见 |
pdf | 支持 | 不支持 | 预览可见 |
2.3 文件以只读方式打开:对加水印的文件设置文档保护,文件下载后以只读方式打开,不可编辑。
2.4 配置完成单击保存。
![]()
3. 用户触发(访问浏览器、用户接入IP 和地理位置)条件时,则根据配置处置,判断员工是否有对应Web 源访问权限并支持水印功能,以确保资源访问和文件使用的安全性。
4. 文件水印效果示例:
![]()
禁止下载文件
1. 禁止下载文件,用于限制敏感数据的下载权限。
2. 根据管控需求,勾选禁止下载的文件类型。
![]()
3. 配置完成单击保存。
![]()
4. 用户触发(访问浏览器、用户接入IP 和地理位置)条件时,则根据配置处置,判断员工是否有对应Web 源访问权限并支持文件下载拦截,以确保资源访问和文件使用的安全性。
5. 文件禁止下载示例:
![]()
6. 前往事件中心 > 日志审计 > 资源访问日志 > Web 访问日志查看文件下载拦截、文件水印结果上报日志信息。
![]()