动态控制最佳实践

本文为企业管理员提供了部分动态控制配置教程。如果您是企业管理员，则可以根据企业安全风险要求、差异化管理需求等实际场景，通过飞连动态控制功能构建企业定制化的动态安全能力。

背景信息

飞连的动态控制功能模块联动身份认证、终端管理、终端基线、数据防泄漏以及终端防病毒等功能模块，当您根据企业安全要求或业务管理需求手动配置了动态决策后，飞连会对员工行为、终端风险持续检测并评估。当存在符合动态决策的行为或风险时，飞连会实时做出响应，依照决策内指定的处置规则进行处理。
本文提供以下场景化教程，适用于企业管理员在配置动态控制功能模块时参考使用。

• 场景一：终端设备未通过办公安全基线则禁止访问办公网
• 场景二：账号异地登录时通知本人
• 场景三：有离职意向员工出现数据外发行为时，禁止访问办公网并通知管理员
• 场景四：终端未安装企业必装软件时无法访问办公网
• 场景五：为不同部门设置可见的 VPN 节点

场景一：终端设备未通过办公安全基线则禁止访问办公网

场景介绍

本场景中您需要完成以下操作，构建企业办公安全基线，并限制存在安全风险的终端设备访问办公网络的权限。

1. 登录飞连管理后台。
2. 创建终端基线检测策略，定时检测终端是否存在基线、应用、进程维度的安全风险。
3. 创建动态决策规则组，当终端被飞连检测出存在安全风险时，降级网络使用权限，禁止该终端继续访问办公网络。

操作步骤

1. 登录飞连管理后台。
2. （可选）在左侧导航栏，选择终端基线 > 管控策略。
   在管控策略页面，为您的企业构建办公安全基线的检测策略。具体操作，请参见管控策略。如果您已经配置了终端基线检测策略，则可以跳过本步骤。
3. 在左侧导航栏，选择动态控制 > 动态决策。
4. 在动态决策页面，单击新增规则组。
5. 在新增规则组页面，完成以下配置，并单击确认添加。
   • 规则组名称：自定义名称，用于标识该规则组。例如，办公安全基线检测。
   • 触发条件：选择动态触发。
     • 动态触发：终端设备发生变化时触发或者周期性触发。
     • 操作触发：当员工在终端内进行指定操作时触发。
   • 触发方式：本场景中配置如下图所示。
     
   • 触发参数：设置规则的触发参数，参数作用于处置规则中的参数组合。当终端符合触发参数时，飞连将会按照处置规则处理终端。本场景中触发参数配置如下图所示。
     
   • 参数组合：设置为 A。
   • 处置方式：当触发当前规则组时，飞连系统将按照处置方式的配置对终端进行处置。本场景中配置如下图所示。
     
     其中：
     • 关于如何设置 VPN 访问的网络资源，请参见访问权限。
     • 关于如何设置网络权限组，请参见权限配置。
6. 返回动态决策页面，查看已创建的规则组，并确保规则组的生效状态开关已开启。

场景二：账号异地登录时通知本人

场景介绍

本场景中创建一个动态决策规则组，在规则组里设置员工账号在登录时判断登录地点是否和最近登录地点相同，如果不相同，则通过第三方机器人将账号异地登录的消息发送至账号本人。

操作步骤

1. 登录飞连管理后台。
2. 在左侧导航栏，选择动态控制 > 动态决策。
3. 在动态决策页面，单击新增规则组。
4. 在新增规则组页面，完成以下配置，并单击确认添加。
   • 规则组名称：自定义名称，用于标识该规则组。例如，账号异地登录通知本人。
   • 触发条件：选择操作触发。
     • 动态触发：终端设备发生变化时触发或者周期性触发。
     • 操作触发：当员工在终端内进行指定操作时触发。
   • 触发方式：本场景中配置如下图所示。
     
   • 触发参数：设置规则的触发参数，参数作用于处置规则中的参数组合。当终端符合触发参数时，飞连将会按照处置规则处理终端。本场景中触发参数配置如下图所示。
     
   • 参数组合：设置为 A!=B。
   • 处置方式：当触发当前规则组时，飞连系统将按照处置方式的配置对终端进行处置。本场景中配置如下图所示。
     
     其中，关于第三方机器人的具体配置操作，请参见管理第三方 IM。
5. 返回动态决策页面，查看已创建的规则组，并确保规则组的生效状态开关已开启。

场景三：有离职意向员工出现数据外发行为时，禁止访问办公网并通知管理员

场景介绍

当员工的离职时间为一个月内，且发生数据泄露行为时，降级该员工终端的 VPN 和 Wi-Fi 使用权限，并通知企业管理员。

操作步骤

1. 登录飞连管理后台。
2. 在左侧导航栏，选择动态控制 > 动态决策。
3. 在动态决策页面，单击新增规则组。
4. 在新增规则组页面，完成以下配置，并单击确认添加。
   • 规则组名称：自定义名称，用于标识该规则组。例如，离职意向员工数据外发时限制使用办公网并通知管理员。
   • 触发条件：选择动态触发。
     • 动态触发：终端设备发生变化时触发或者周期性触发。
     • 操作触发：当员工在终端内进行指定操作时触发。
   • 触发方式：本场景中配置如下图所示。
     
   • 触发参数：设置规则的触发参数，参数作用于处置规则中的参数组合。当终端符合触发参数时，飞连将会按照处置规则处理终端。本场景中触发参数配置如下图所示。
     
   • 参数组合：设置为 ((A-B)<2592000)&&C。
   • 处置方式：当触发当前规则组时，飞连系统将按照处置方式的配置对终端进行处置。本场景中配置如下图所示。
     
     其中：
     • 关于如何设置 VPN 访问的网络资源，请参见访问权限。
     • 关于如何设置网络权限组，请参见权限配置。
     • 关于第三方机器人的具体配置操作，请参见管理第三方 IM。
5. 返回动态决策页面，查看已创建的规则组，并确保规则组的生效状态开关已开启。

场景四：终端未安装企业必装软件时无法访问办公网

场景介绍

创建一个动态规则组，当终端内没有安装企业必装软件时，禁止该终端访问办公网络。

操作步骤

1. 登录飞连管理后台。
2. 在左侧导航栏，选择动态控制 > 动态决策。
3. 在动态决策页面，单击新增规则组。
4. 在新增规则组页面，完成以下配置，并单击确认添加。
   • 规则组名称：自定义名称，用于标识该规则组。例如，终端未安装企业必装软件时无法访问办公网。
   • 触发条件：选择动态触发。
     • 动态触发：终端设备发生变化时触发或者周期性触发。
     • 操作触发：当员工在终端内进行指定操作时触发。
   • 触发方式：本场景中配置如下图所示。
     
   • 触发参数：设置规则的触发参数，参数作用于处置规则中的参数组合。当终端符合触发参数时，飞连将会按照处置规则处理终端。本场景中触发参数配置如下图所示。
     
   • 参数组合：设置为 A。
   • 处置方式：当触发当前规则组时，飞连系统将按照处置方式的配置对终端进行处置。本场景中配置如下图所示。
     
     其中：
     • 关于如何设置 VPN 访问的网络资源，请参见访问权限。
     • 关于如何设置网络权限组，请参见权限配置。
5. 返回动态决策页面，查看已创建的规则组，并确保规则组的生效状态开关已开启。

场景五：为不同部门设置可见的 VPN 节点

场景介绍

本示例场景中，分别为管理部门、研发部门以及实习生设置不同的可见 VPN 节点。其中：

• 管理部门可以使用企业内所有 VPN 节点。
• 研发部门可以使用 VPN 节点 1。
• 实习生可以使用 VPN 节点 2。

操作步骤

1. 登录飞连管理后台。
2. 在左侧导航栏，选择动态控制 > 动态决策。
3. 在动态决策页面，单击新增规则组。
4. 在新增规则组页面，完成以下配置，并单击确认添加。

   • 规则组名称：自定义名称，用于标识该规则组。例如，为不同部门设置可见的 VPN 节点。

   • 触发条件：选择操作触发。

     • 动态触发：终端设备发生变化时触发或者周期性触发。
     • 操作触发：当员工在终端内进行指定操作时触发。

   • 触发方式：本场景中配置如下图所示。
     

   • 触发参数：设置规则的触发参数，参数作用于处置规则中的参数组合。当终端符合触发参数时，飞连将会按照处置规则处理终端。本场景中触发参数配置如下图所示。
     

   • 参数组合：

     • 在第一个规则中（示例 ID 为 1117），设置参数组合 A 。
     • 在第二个规则中（示例 ID 为 1118），设置参数组合 B 。
     • 在第三个规则中（示例 ID 为 1119），设置参数组合 C 。

   • 处置方式：当触发当前规则组时，飞连系统将按照处置方式的配置对终端进行处置。

     • 在第一个规则中（示例 ID 为 1117），选择调整可见VPN节点，并在调整可见 VPN 节点区域选中所有 VPN 节点。
     • 在第二个规则中（示例 ID 为 1118），选择调整可见VPN节点，并在调整可见 VPN 节点区域选中 VPN 节点 1。
     • 在第三个规则中（示例 ID 为 1119），选择调整可见VPN节点，并在调整可见 VPN 节点区域选中 VPN 节点 2。

     本场景中配置如下图所示。
     

5. 返回动态决策页面，查看已创建的规则组，并确保规则组的生效状态开关已开启。