天空卫士DLP MacM1终端测试报告

天空卫士DLPMacM1终端测试报告 文档变更记录修改日期修改人修改说明版本号DATE\@"yyyy-MM-dd"2021-08-14Michael新建1.0目录TOC\o"1-9"\h\z\u天空卫士 1DLPMacM1 11. 任务概述 11.1. 测试目的 11.2. 测试时间 12. 测试计划 22.1. 测试范围 23. 产品主要功能测试 23.1. 终端通道功能测试 23.1.1. 应用通道-微信 23.1.2. 应用通道-QQ 53.1.3. 终端打印通道 63.1.4. 移动存储通道 73.1.5. 应用程序-百度云盘 83.1.6. HTTP通道 93.1.7. HTTPS通道 123.1.8. FTP通道 143.1.9. SMTP通道 163.1.10. SMB协议上传文件 183.1.11. 截屏监控(IM内容) 193.1.12. 禁止截屏（应用） 213.1.13. 屏幕水印 223.1.14. 文件访问审计/保护 233.2. 敏感信息内容识别 243.2.1. 关键字识别 253.2.2. 字典权重识别 273.2.3. 正则表达式识别 293.2.4. 文件属性识别 32. 文件类型检测 333.2.5. 指纹识别 36. 文件指纹识别检测 363.2.6. 压缩内容的检测 393.2.7. 文件嵌套的检测 433.2.8. 加密文件的检测 453.2.9. 零星式泄漏的检测 483.3. 策略部署 523.3.1. 策略等级 523.3.2. 策略多模块分发 533.3.3. 策略分级部署 543.3.4. 策略响应动作 543.3.5. 策略模板 553.3.6. 规则匹配 563.4. 终端扫描发现 573.4.1. 终端扫描 57PagePAGE8ofSECTIONPAGES\*Arabic59任务概述测试目的根据企业防信息泄漏产品应具备的功能及性能指标等各方面的技术要求，对天空卫士DLP（统一内容安全管理）产品基于MacM1终端端点功能测试，确定天空卫士DLP产品满足企业数据保护的实际需求及数据泄漏保护相关技术要求。测试时间功能性测试时间：2021年月.日~2021年月.日测试终端信息：测试计划测试范围根据测试方案要求，对天空卫士DLP端点各组件进行全面的功能性测试。测试产品功能选择了一台MacM1型号笔记本。产品主要功能测试终端通道功能测试应用通道-微信对于一般的应用程序开启或者添加后均可监控，天空卫士已内置了200种应用程序监控程序的库；包括常见的聊天工具（微信，企业微信、QQ、钉钉），浏览器（IE、Chrome），云存储（onedrive、dropbox），FTP软件（filezila、serv-u），刻录软件（nero、ultral）等等测试场景终端用户在计算机通过微信应用程序将敏感文件发送给其他人。测试项目查看用户通过微信方式将敏感信息泄露的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端通过微信应用程序发起与其他人的聊天，在聊天窗口中发送带有关键字“天空卫士”的文件test，查看能否被检测到。预期结果终端Endpoint可以检测到发送的文件中带有敏感信息。测试结果如下图：发送敏感文件：检测到的事件：应用通道-QQ测试场景终端用户在计算机通过QQ应用程序将敏感文件发送给其他人。测试项目查看用户通过QQ方式将敏感信息泄露的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端通过QQ应用程序发起与其他人的聊天，在聊天窗口中发送带有关键字“天空卫士”文件，查看能否被检测到。预期结果终端Endpoint可以检测到发送的文件中带有敏感信息。测试结果如下图：发送敏感文件：检查到的事件：终端打印通道测试场景终端用户通过打印机将敏感信息打印出来并带走。测试项目查看用户通过终端打印方式将敏感信息泄露的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端用户打印一份word文档，文档中包含有关键字“天空卫士”的内容，查看打印动作能否被检测到。预期结果终端Endpoint可以检测到打印的文件中带有敏感信息。测试结果如下图：检查到的事件：移动存储通道测试场景终端用户将敏感信息发送到USB移动存储设备并带走。测试项目查看用户通过USB移动存储方式将敏感信息泄露的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端用户将包含有关键字“天空卫士”内容的word文档发送到USB移动存储设备，查看传输动作能否被检查到。预期结果终端Endpoint可以检测到向USB存储传输的内容中带有敏感信息测试结果如下图：发送敏感文件：（拷贝数据到U盘）检查到的事件：应用程序-百度云盘测试场景终端用户将敏感信息上传到公共云盘目录中。测试项目查看用户通过共享目录方式将敏感信息泄露的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了策略，策略动作设置为“审计”3.已经在应用程序列表中添加了百度云盘测试过程终端同步配置。终端用户将包含有关键字“天空卫士”内容的word文档上传到百度云盘中，查看传输动作能否被检测到。预期结果终端Endpoint可以检测到向应用程序外传的内容中带有敏感信息测试结果如下图：发送敏感文件：检查到的事件：HTTP通道通过客户端http通道外发敏感内容，不限定特定浏览器；在测试时使用了常用的浏览器：safari、chrome浏览器进行示例；测试场景终端用户通过HTTPWeb页面发送敏感信息测试项目查看用户通过HTTP方式将敏感信息上传到互联网的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端向/post.php上传带有关键字“天空卫士”的文件，查看能否被检测到。预期结果终端Endpoint可以检测到向http协议外传的内容中带有敏感信息测试结果如下图：发送敏感文件：Safari浏览器：检查到的事件：发送敏感文件：Chrome浏览器：检查到的事件：HTTPS通道测试场景终端用户通过HTTPSWeb页面发送敏感信息测试项目查看用户通过HTTPS方式将敏感信息上传到互联网的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端通过/post.php网页上传带有关键字“天空卫士”的文件，查看能否被检测到。预期结果终端Endpoint可以检测到向https协议外传的内容中带有敏感信息测试结果如下图：发送敏感文件：Safari浏览器：检查到的事件：发送敏感文件：Chrome浏览器：检查到的事件：FTP通道测试场景用计算机通过FTP方式将敏感信息发送。测试项目查看用户通过FTP方式将敏感信息上传到互联网的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端通过FTP上传带有关键字“天空卫士”的文件，查看能否被检测到。预期结果终端Endpoint可以检测到向ftp协议外传的内容中带有敏感信息测试结果如下图：发送敏感文件：检查到的事件：SMTP通道测试场景终端用户在计算机通过邮件客户端程序将敏感信息以邮件形式发送到互联网。测试项目查看用户通过SMTP方式将敏感信息上传到互联网的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。客户端设置通过SMTP协议发送邮件。终端通过发送的邮件附件内容中带有关键字“天空卫士”，查看能否被检测到。预期结果终端Endpoint可以检测到向smtp协议外传的内容中带有敏感信息测试结果如下图:发送敏感文件：Foxmail软件配置SMTP方式：检查到事件： SMB协议上传文件通过终端SMB协议外发敏感内容进行检测，不限定客户端；测试场景终端用户在计算机通过SMB将敏感信息以邮件形式发送到文件共享服务器。测试项目查看用户通过SMB方式将敏感信息上传的动作能否被终端Endpoint检测到。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”测试过程终端同步配置。终端通过SMB发送的文件内容中带有关键字“天空卫士”，查看能否被检测到。预期结果终端Endpoint可以检测到向smb协议外传的内容中带有敏感信息测试结果如下图：检查到的事件：截屏监控(IM内容)测试场景终端用户使用微信、qq等应用程序，企图将敏感信息输入或者粘贴到聊天输入框中发送给其他人。测试项目检验终端Endpoint能否识别出应用程序剪贴板中的内容，从而阻止将敏感信息粘贴到有可能泄密的应用程序中。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“审计”4.终端应用程序中添加应用程序进程名：微信,并设置“粘贴”为“内容分析”。测试过程1.终端同步配置。2.用户使用微信软件，选择带有关键字“天空卫士”内容并输入或者粘贴。3.用户在微信输入框中尝试粘贴步骤2中的内容，查看能否粘贴成功。预期结果在执行输入或者粘贴动作的时候会提示触发DLP策略，并会记录输入的内容和截图作为证据文件保留到DLP事件中。测试结果如下图：发送敏感内容：检查到的事件：并能实现事件中保留证据文件（截图功能），对应PNG图片证据文件禁止截屏（应用）测试场景终端用户使用软件访问敏感信息,然后以截图的方式将敏感信息保存下来并发送给其他人。测试项目检查终端DLP能否对有可能访问到敏感数据的应用程序做截屏限制。在打开这种软件时，系统就不允许截屏。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“阻断”4.终端应用程序中添加应用程序进程名：wechat.exe,并设置“截屏”为“禁止”。测试过程1.终端同步配置。2.用户使用微信软件打开，然后通过按截屏键尝试截屏。预期结果微信自带的截图工具无法截屏测试结果如下图所示实测效果图:屏幕水印测试场景终端用户使用系统显示水印。测试项目检查终端DLP能否开启屏幕水印显示。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2策略动作设置为“显示屏幕水印”测试过程1.终端同步配置。预期结果屏幕自动显示水印测试结果如下图所示：实测效果图:文件访问审计/保护测试场景终端用户使用软件打开敏感信息,保护敏感文件无法打开。测试项目检查终端DLP能否对敏感文件做打开控制。预置条件1.测试计算机已经安装终端Endpoint，且可以连接DLP管理服务器。2.已经设置了关键字策略：“天空卫士”。3.策略动作设置为“内容分析—阻断”测试过程1.终端同步配置。2.用户使用word、Excel软件打开文件3.是否能够打开文件预期结果只要文件中包含定义的敏感内容，进行阻止，不允许打开文件测试结果如下图所示：打开敏感文件:检查到的事件:敏感信息内容识别根据Gartner对数据防泄漏产品（以下简称DLP）的定义，DLP产品最核心的技术特点是支持对检测数据进行深层次的内容分析。图：DLP数据识别分类器如上图所示，目前全球DLP产品所支持的数据识别分类器根据其匹配敏感信息的精准程度，至下而上依次为：关键字匹配分类器、字典权重匹配分类器、正则表达式匹配分类器、模式匹配分类器、文件属性分类器、图像识别分类器、自然语言处理分类器、机器学习分类器和指纹匹配分类器共计9种。每一种数据识别匹配分类器技术将对应用户的特定数据检测需求使用在不同的应用场景中，因此检验DLP产品是否具有完备及可用的数据识别分类器是检验DLP产品最为关键的功能指标。注：以下数据识别技术适用于所有通道，包括邮件DLP，网络DLP及终端DLP。关键字识别关键字匹配分类器是目前DLP数据识别器种类中最底层的功能，其特点为技术实现简单，配置容易。测试场景通过网络/post.php发送敏感文档，使用DLP进行识别测试项目根据模糊关键字对文档内容进行识别控制预置条件关键字为:天空卫士响应规则：审计测试过程访问/post.php发送敏感数据，正文或附件内包含关键字信息;预期结果能检测到附件为敏感信息，触发关键字策略平台中能审计此违规操作测试结果通过口未通过口未测试备注样本《test关键字》策略配置截图：发送敏感文件：检查到的事件：字典权重识别字典权重分类器一般是为了方便引用将相同类型的关键字信息字典。企业使用字典权重分类器除了方便引用外一般还考虑到特定的词语在整个检测信息中的实际权重。例：用户使用了包含如下关键字和对应权重关系“仅限内部权重值：3，秘密权重值：1，禁止外泄权重值：2，机密权重值：1”的字典，由于秘密、机密在普通的文档中出现的可能性频率较高，因此对于保密的文档，将更加重视出现“仅限内部”及“禁止外泄”这类关键字的情况。在这种情况下，我们通常会对更加重视的关键字赋予更高的权重值。DLP厂家默认会提供各种类型的字典模板以供管理员调用。在实际使用场景中，利用字典权重技术对数据内容的识别准确率将会高于普通的关键字识别，但依然可能存在大量误报的情况。测试场景通过/post.php外发敏感内容测试项目根据字典权重对文档内容进行识别控制预置条件配置DLP检测策略，配置对敏感字段“机密，秘密,禁止外泄,仅限内部”进行检测，并设定每个关键字段权重依次为“1，1，2，3”，判断命中关键字信息权重总值超过4时触发响应响应规则：审计测试过程构造《test1字典》，包含敏感字段“机密”和“秘密”，构造《test2字典》，仅包含敏感字段“机密”和“禁止外泄”，构造《test3字典》，仅包含敏感字段“仅限内部”和“禁止外泄”，从客户端对外发送该三份文本文件预期结果能够检测出《test3字典》为违规信息，其他两个文本均无法命中策略其他两个文本因为总权重不足4，所以无法命中策略测试结果通过口未通过口未测试备注样本《test1字典》、《test2字典》、《test3字典》策略配置截图：发送敏感文件：检查到的事件：正则表达式识别正则表达式是对字符串操作的一种逻辑公式，是用事先定义好的一些特定字符、及这些特定字符的组合，组成“规则字符串”，从而实现对字符串的一种过滤逻辑。利用正则表达式识别器的数据检测方式可以完成对企业自定义产生或市面常见的具有一定规则的字符串的检测。例：某企业的客户编号编写格式为：客户号最长为21位,由证件类型、证件号码、后缀、校验字符四部分组成；其中证据类型包括：定长A（公民身份号码）、D（警官证）、K（武警文职干部证）、L（武警士兵证）、R（营业执照号码）类型的客户编号。由于此类客户编号的输写格式是固定有规律的，因此该类型的客户编号就可以利用正则表达式来实现较精准的数据内容匹配。在实际使用场景中，利用正则表达式识别技术可以有效的对数据内容的规则信息加以识别，DLP乙方一般会提供多种常用的正则表达式模板供企业选择使用。测试场景通过/post.php发送敏感文档，使用DLP进行识别测试项目根据正则表达式匹配敏感信息预置条件正则表达式使用手机号或身份证号响应规则：保护测试过程访问/post.php提交文本，发送样本含手机号码5个，预期结果能检测到提交文件中包含敏感信息，触发“手机号”标示符策略系统提示拦截测试结果通过口未通过口未测试备注样本《手机号码测试文件》策略配置截图：定义正则表达式检测策略，其中包含内置正则表达式和自定义正则表达式；发送敏感文件：在外发相关数据时，可以对于数据进行识别和审计；保护动作：其中的提示信息和图标均可以更换；检查到的事件：天空卫士的DLP平台内置了大量常用的正则表达式，可供直接调用使用，同时在正则表达式中增加了校验位和校验方法，保证识别的准确性；文件属性识别文件属性识别分类器不会对监测的文件内容进行检查，而主要关心的是检测文件自身所携带的属性，包括：文件类型识别、文件大小识别、文件名称识别、附件数量识别等。在实际使用场景中，由于文件属性识别器无法检测内容，判断敏感文件的准确性不高，一般企业会将该识别分类器用于特殊的识别场景，或搭配其他识别器以提高检测的精确度。文件类型识别通常可以用来检测外发的文件是否为压缩、加密或特定的文件类型，一旦检测出此类文件类型，企业则可以采取对应的措施加以处理。例：由于DLP产品需要对数据进行深度内容检测，因此无法对加密的文档进行有效的内容核查，根据企业的数据安全管理规定，管理员设定DLP将自动阻止加密数据外发的行为。文件大小识别通常用来判断外发的文件的实际大小，并结合其他识别器以提高检测的精确度。例：由于DLP产品需要对数据进行深度内容检测，因此在检测超过一定大小的文件可能会遇到因检测超时放行而导致敏感数据外泄的可能。因此，管理员可以设定如下策略：若检测到外发的文本类型数据，其大小超过了200M，则根据要求对此文件进行阻断外发的动作；文件类型检测天空卫士内置了1000种以上的文件类型，能够满足天空卫士对于文件类型的识别；同时天空卫士除了文件类型之外，也支持根据文件的大小等属性对于敏感数据进行识别；测试场景通过/post.php发送敏感文档，使用DLP进行识别；测试项目根据外发文件的类型匹配检测策略预置条件配置DLP检测策略，检测文件类型检测为word文件，同时大小超过30KB响应规则：审计测试过程访问/post.php提交文本预期结果动作1结果：能够检测出《文件类型测试样本1.docx》和《文件类型测试样本2.d》均为违规信息，命中设定的敏感字段，平台审计此违规操作。修改后缀DLP一样可以检查到测试结果通过口未通过口未测试备注样本《文件类型测试样本1.docx》、《文件类型测试样本2.d》策略配置截图：发送敏感文件：检查到的事件：指纹识别指纹识别分类器目前主要分成非结构化指纹（文件指纹）和结构化指纹（数据库指纹和CSV文件指纹）两种分类器。文件指纹是指使用指纹识别分类器扫描样本文件内容，根据相关技术做成指纹信息做到和检测文件进行相似度匹配；如：一个10页的文件取其中的2页同样可以识别，在这2页里加入一些其它的混淆的文字也可以识别。而数据指纹是指使用指纹识别分类器扫描数据库表里的每个单元格信息，从而实现对外传的内容进行数据库指纹匹配。在实际使用场景中，指纹识别分类器主要是用来针对特定的、高度机密的、必须识别出的数据内容的检测。按照惯例，在使用DLP技术进行企业数据安全保护过程中使用指纹识别分类器一般在全部识别器中的比例大约在10%-20%之间。具有成熟可靠和稳定的指纹识别分类器是DLP产品的最核心功能。文件指纹识别检测测试场景通过/post.php发送文档，使用DLP进行识别；测试项目判断DLP产品是否支持使用指纹识别器对传输的文字信息进行检测预置条件上传指纹样本，根据指纹样本创建检测文件，文件内容包含少许样本中的数据。在服务器上创建文件指纹识别检测规则；响应规则：审计测试过程访问/post.php，上传《SQLServer安装手册删减版.docx》检测；预期结果能检测到提交的文件包含敏感信息，触发指纹策略平台中能审计此违规操作经过检测，在事件中可以看到由提交包含部分源文字内容的文档的动作触发的事件。该DLP产品能对提交的数据内容进行基于指纹识别的内容检测。满足指纹识别检测的功能需求测试结果通过口未通过口未测试备注样本《SQLServer安装手册.docx》和《SQLServer安装手册删减版.docx》策略配置截图：创建文件指纹（支持本地、共享和离线工具提取方式）设置为40%的相似度作为检查条件发送敏感文件：检查到的事件：压缩内容的检测企业在实际业务场景中，大量存在将文档进行压缩后进行传输外发的行为。因此对于DLP系统，则需要具备正确识别多重压缩文档（至少5层）里的文件内容和类型的能力。测试场景通过/post.php发送文档，使用DLP进行识别；测试项目检测DLP产品是否能对压缩文件中的文件类型与内容进行检测与分析预置条件创建一个word文档包含“天空卫士”关键字，并将该word文档作为内容压缩到压缩文件的第五级压缩内响应规则：审计测试过程访问/post.php，上传包含敏感数据的检测文件；预期结果能检测到提交的文件包含敏感信息，触发检测策略产生事件经过检测，真实有效的数据可以被预置的模板检测识别。该DLP产品具有相当数量的，可以精确匹配相关信息的自定义模板。可以便捷满足常见的敏感信息检测需求测试结果R通过口未通过口未测试备注样本《归档五层.zip》策略配置截图：发送敏感文件：检查到的事件：每层的docx文件中关键字空卫士依然能够检测出其中的内容；天空卫士内置了24中以上的压缩文件格式，能够对于压缩文件的内容进行检测；文件嵌套的检测在实际场景中，为了防止最终用户采用在正常的Word文档中嵌套含有敏感数据的文档的方式逃避DLP检测，DLP系统需要支持对文件嵌套的内容检测。测试场景通过/post.php发送文档，使用DLP进行识别；测试项目检测DLP产品是否能对嵌套在文档中的文件内容进行检测与分析预置条件创建一个word文档包含“天空卫士”关键字，并将该word文档作为对象嵌套进一个包含“传音控股”的新word文档中。响应规则：审计测试过程访问/post.php，上传包含敏感数据的检测文件；预期结果能检测到提交的文件包含敏感信息，触发检测策略平台中能审计此违规操作经过检测，在事件中可以看到由提交包含部分源文字内容的文档的动作触发的事件。该DLP产品能对提交的数据内容进行基于指纹识别的内容检测。满足指纹识别检测的功能需求测试结果通过口未通过口未测试备注样本《嵌套敏感测试.docx》策略配置截图：发送敏感文件：检查到的事件：加密文件的检测由于加密文件需要密钥或密码才可以打开，以内容识别为核心的DLP系统自然无法识别加密内容。然而，企业可以通过管理制度规定外发的数据不允许加密，通过DLP系统识别加密文件并加以阻止，防止敏感数据通过加密文件外发的行为。测试场景通过/post.php发送文档，使用DLP进行识别；测试项目检测DLP产品对于加密文件文件是否能正常识别该文件的类型；预置条件创建加密文件。响应规则：审计测试过程访问/post.php，上传包含敏感数据的检测文件；预期结果能检测到提交的文件包含敏感信息，触发加密策略平台中能审计此违规操作测试结果通过口未通过口未测试备注样本《加密test1.docx》、《加密test2.zip》策略配置截图：发送敏感文件：检查到的事件：天空卫士内置了常见的多种加密文件类型，能够对于常见的加密文件通过文件类型的方式进行识别；零星式泄漏的检测企业在实际业务场景中需要对敏感数据（如身份证信息或手机号等）以少量多次的泄漏方式进行识别。DLP产品应提供一定时间内，基于多次泄漏的状态统计。如60分钟中，外发的内容达到一定的数量则立即阻止，及时避免此类泄漏。测试场景通过/post.php发送文档，使用DLP进行识别；测试项目检测DLP产品支持对使用缓慢泄漏方式外发敏感数据的行为检测预置条件创建3个文件，每个文件含有手机号码2个设定五分钟内外发3个文件测试过程访问/post.php，五分钟内分三次上传包含敏感数据的检测文件；预期结果能检测到提交的文件包含敏感信息，触发检测策略平台中能审计此违规操作经过检测，DLP设备平台中能审计此违规操作包括前3次的尝试事件。该DLP支持缓慢泄漏敏感数据的检测，满足基本的数据泄漏防护的功能要求。测试结果通过口未通过口未测试备注策略配置截图：发送敏感文件：上传前2个文件并未触发事件检查到的事件：策略部署策略等级策略等级是指控制检测策略执行的优先顺序。对于执行顺序，一般最终用户有两种需求：命中检测策略后即跳出检测不再检测其他低优先等级的策略。命中检测策略后依然需要对其他同策略等级的策略进行检测。通过策略等级的限制，企业可以方便自如地控制策略检测的范围和优先顺序。测试场景给用户下发高、中级别策略测试项目策略可分为高、中、低危不同级别，方便管理和查询预置条件DLP策略已配置，高、中级别产生对应时间数据测试过程根据触发高级别策略的违规数据查询根据触发中级别策略的违规数据查询预期结