在企业数据安全治理中,文件备份 既可以用于建立员工终端文件基线,也可以用于保留被删除文件的证据副本。对于需要兼 […]
在企业数据安全治理中,文件备份 既可以用于建立员工终端文件基线,也可以用于保留被删除文件的证据副本。对于需要兼顾事前留存、事后恢复和审计取证的场景,建议管理员统一在 文件备份 策略中规划 首次执行全盘备份 与 删除文件时备份 两类能力,分别覆盖“全量基础备份”和“关键删除行为留痕”。
需要注意的是,全盘备份与删除文件备份的目标并不相同。前者更适合建立初始备份基线,便于后续恢复、迁移和审计排查;后者更适合在文件被删除时保留证据,便于核查误删、恶意删除或规避审计的行为。因此,在实施前应先明确管理目标,再决定是单独启用其中一项,还是两项同时启用。
备份全部文件
1. 在控制台点击 数据安全 → 文件备份,进入文件备份审计记录界面。
2. 点击 策略,进入备份策略设置界面。
3. 点击 备份设置,勾选 首次执行全盘备份。该选项用于在策略首次执行时对终端文件建立较完整的基础备份。
4. 点击 指定文件:
- 若希望员工终端在后续文件操作过程中继续对相关文件进行备份,点击 添加 创建规则。
- 文件路径设置为 不限制文件路径。
- 文件大小设置为 不限制文件大小
- 勾选需要备份的文件类型
- 点击 确定 保存规则
5. 策略设置完成后,确认应用策略终端无误,点击 应用,即可下发全盘备份策略。
全盘备份更适合用于建立初始备份基线。对于终端数量较多、文件体量较大的环境,建议优先在重点终端或样本终端上试运行,确认备份耗时、网络占用和存储增长情况后,再决定是否扩大范围。
删除文件时备份
如果企业更关注误删恢复、恶意删除追溯或删除行为取证,可在同一策略中进一步启用 删除文件时备份。该能力会在终端发生删除动作时保留相应备份副本,便于管理员后续核查。
1. 在 文件备份 的策略设置界面点击 备份设置。
2. 勾选 删除文件时备份。
3. 确认策略应用终端无误后,点击 应用,即可下发终端“删除文件备份”策略。
策略生效后,建议在测试终端上删除一个测试文件,再回到 数据安全 → 文件备份 查看是否已生成对应备份记录。管理员也可配合 备份原因 条件进一步确认删除文件是否被正确标记并保留。
三、实施建议
- 首次执行全盘备份 更适合用于建立初始备份基线,后续建议结合 指定文件 规则做持续优化。
- 删除文件时备份 更适合用于恢复误删文件、追踪异常删除行为和保留取证依据。
- 若企业只关心办公文档、设计文件或代码资料,建议在文件类型上做适当收敛,避免无差别备份带来过高存储成本。
- 对重点岗位,建议将删除文件备份与 文件操作 审计结合使用,便于还原删除前后的完整轨迹。
- 正式大范围下发前,建议先在样本终端上验证备份耗时、资源占用和后续查询效果。
