防止不当分发安全机密信息,以便澳大利亚政府遵守 PSPF
本文为澳大利亚政府组织提供配置指南,以降低通过 Microsoft 365 服务不当披露安全机密信息的风险。 其目的是帮助组织改善其信息安全状况。 本文中的建议符合保护 性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
保护性安全策略框架 (PSPF) 不仅涵盖 x 保护标记 x 标头,还涵盖一系列其他要求和控制。 本文重点介绍与限制 披露 PSPF 策略 9:访问信息中所需的安全分类或其他敏感信息相关的要求。
本文提供建议并讨论与以下相关的配置:
- Exchange Online电子邮件方案,
- Microsoft Teams 聊天和频道消息传送,
- 通过 SharePoint 和 OneDrive 共享方案,
- 上传到云存储服务,以及
- 在托管设备上下载或打印。
阻止电子邮件分发机密信息
数据丢失防护 (DLP) 策略在本部分中 仅针对 Exchange 服务 ,以便启用所需的策略条件(例如 收件人域为),如果选择了其他服务,则无法使用该条件。
为了满足 PSPF 要求,DLP 策略还需要使用 自定义策略模板。 与 DLP 策略一起,应启用电子邮件附件的 标签继承,如标签继承中所述。 标签继承确保,如果电子邮件的敏感度低于附件,则会触发建议,要求用户提升电子邮件的标签以与附件保持一致。 该建议和用户代理的批准将电子邮件纳入适用于更高敏感度附件分类的任何策略范围。
注意
提供预览功能,允许 DLP 策略同时考虑电子邮件和附件的敏感度。 建议使用这些功能。 有关详细信息,请参阅 Microsoft Purview 合规门户:数据丢失防护 - 消息/附件包含 EXO 谓词。
防止将机密信息通过电子邮件分发给未经授权的组织
PSPF 策略 9 要求 1 规定,安全机密信息仅应披露给已批准的组织:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 1 - (v2018.6) 共享信息和资源的正式协议 | 向政府外部的个人或组织披露安全机密信息或资源时,实体必须制定协议或安排(如合同或契约),以管理信息的利用和保护方式。 |
注意
根据 PSPF Policy 8 (v2018.6) ,官方:敏感已从分发限制标记 (DLM) 更改为安全分类。 这应影响组织共享官方:敏感信息的方法。
为了满足 PSPF 要求,政府组织必须具备:
- 用于识别、建立和审查与其共享安全机密信息的实体的正式协议的业务流程。
- 配置修改的技术更改过程,以允许或阻止用户向外部组织发送安全机密信息。
组织对每个安全分类或子集具有不同的信息安全要求, (例如信息管理标记 (IMM) 或警告) 。 应创建单独的策略或规则,以满足每个分类或子集的要求。
若要创建 DLP 规则,以防止将安全机密信息基于电子邮件分发给未批准的组织,请执行以下作:
- 创建内容的条件从 Microsoft 365 与组织外部的人员共享。
- 创建 内容包含的第二个条件、 敏感度标签 和选择的相应标签 (例如 PROTECTED 标签和关联的子标签) 。
- 创建通过 AND 作数链接的第二个条件组。
- 第二个组设置为 NOT。
- 第二个组包含 收件人域的条件是 已 批准 接收所选安全分类的域列表。
- 创建一个作,该作会阻止电子邮件或将电子邮件重定向到不是来自其中一个配置的收件人域的收件人。
示例 DLP 规则:阻止向未批准的组织发送受保护的电子邮件
以下规则限制向未列为已批准接收信息的组织发送 PROTECTED 电子邮件。 当用户在撰写应用了 PROTECTED 标签的电子邮件时,如果用户添加了来自未批准的组织的收件人,则 DLP 策略提示会显示警告用户。 如果用户忽略策略提示并尝试发送,则会阻止电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人域为: - 已批准接收 PROTECTED 电子邮件的域列表 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置策略提示: “此电子邮件的收件人来自无权接收受保护信息的组织。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。 |
提示
澳大利亚政府组织应考虑配置 DLP 规则,将电子邮件限制为 PROTECTED 和 OFFICIAL: 敏感电子邮件的非批准组织。
允许向授权来宾发送机密信息的电子邮件
根据需要了解的要求,政府组织应将基于域的方法与来宾访问集成,以及多个级别的来宾访问,具体取决于应用的标签和来宾组或域。
授权的来宾权限是通过以下任一方式实现的:
创建手动维护的组 (例如 ,受保护的来宾) ,其中包含已检查其许可状态的已批准外部组织的来宾;或
创建配置为包含来自指定域的来宾帐户的动态组。 这可以通过使用动态查询来评估用户的用户主体名称 (UPN) 来实现。 例如:
(user.userPrincipalName -match "#EXT#") and (user.userPrincipalName -match "microsoft.com")
有关动态组成员身份的详细信息,请参阅 Microsoft Entra ID 中组的动态成员身份规则。
以下基于电子邮件的方案中演示了将接收 PROTECTED 信息的功能限制为域和来宾帐户的子集。
| 来宾方案 | 仅限基于域的控制 | 基于域和来宾的控制 |
|---|---|---|
| 来自未批准的域的来宾 |
风险已缓解 无法接收安全机密信息1 |
风险已缓解 无法接收安全机密信息1 |
| 来自已批准用于安全机密信息的域的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不考虑需要知道 |
风险已缓解 无法接收安全机密信息2 |
| 来自未批准的域的来宾 |
风险已缓解 无法接收安全机密信息1 |
风险已缓解 无法接收安全机密信息2 |
| 来自已批准域的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不管需要知道 |
风险已缓解 无法接收安全机密信息2 |
| 来自已批准域和受保护来宾组的一部分的来宾 |
存在风险 所有域用户都可以接收安全机密信息,而不管需要知道 |
风险已缓解 只有添加为 受保护来宾 的域用户才能接收安全机密信息 |
使用此类配置的组织需要业务流程来支持来宾组成员身份的维护。 组织还需要将其 受保护的来宾 组添加为 DLP 规则的例外,以限制分类电子邮件的分发。
允许将安全机密信息基于电子邮件分发给授权来宾的 DLP 规则如下:
- 创建内容的条件从 Microsoft 365 与组织外部的人员共享。
- 创建 内容包含的第二个条件、 敏感度标签 和选择的相应标签 (例如 PROTECTED 标签和关联的子标签) 。
- 创建第二个条件组,该组通过 AND 作数进行链接。
- 第二个组设置为 NOT。
- 它包含收件人是受保护来宾的成员的条件。
- 创建一个作,该作会阻止电子邮件或将电子邮件重定向到不属于所选组的收件人。
DLP 规则示例:阻止向未批准的来宾发送受保护的电子邮件
以下规则基于之前提供的示例,允许向既来自已批准的域又包含在受保护来宾组中的用户发送 PROTECTED 电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 与组织外部的人员 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人域为: - 已批准接收 PROTECTED 电子邮件的域列表 AND Group NOT 收件人是: - 受保护的来宾 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示: “此电子邮件的收件人无权接收 PROTECTED 信息。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。 |
防止将机密信息通过电子邮件分发给未经授权的用户
PSPF 策略 9 要求 3 涉及访问安全机密信息所需的许可级别:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 3:持续访问安全机密信息和资源 | 实体必须确保需要持续访问安全机密信息或资源的人员被安全清除到适当的级别。 |
在具有混合安全清除用户类型的环境中的政府组织中,某些用户不需要许可即可访问组织 (保留的信息类型,或者不需要知道) 。 这些组织需要控制,以防止不应访问安全机密信息的用户以及通过电子邮件接收这些信息。 此类配置是通过 DLP 实现的。
将电子邮件限制为未明确用户的 DLP 规则需要一种方法来确定允许哪些内部用户接收机密信息。 与前面的示例一样,此 (使用组,例如 ,受保护的用户组) 。 此组是动态的,成员身份基于与每个人的安全许可保持一致的属性进行维护。 这可以来自 HR 或标识系统。 或者,可以直接在 DLP 策略中配置 收件人 AD 属性匹配模式 的条件。
包含在新策略中或添加到上一部分演示的策略的 DLP 规则。 规则包含:
- 内容的条件从 Microsoft 365与我的组织内部的人员共享。
- Content 的条件包含这些敏感度标签中的任何一个, (相关标签 (例如,所有 PROTECTED 标签) 选中。
- 第二个条件组,它通过 AND 作数进行链接。 第二个组设置为 NOT。 它包含收件人是受保护用户的成员的条件。
- 需要作的策略,该作会阻止电子邮件或将电子邮件重定向到不属于所选组的收件人。
DLP 规则示例:阻止发送给未清理的内部用户受保护的电子邮件
此规则阻止不属于 受保护用户组 的用户接收应用了 PROTECTED 标签的电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享 仅与组织内部人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 收件人是: - 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示,例如: “你指定的用户未获批准访问受保护的项。” 配置相应的事件严重性和通知选项。 |
结果是,如果按照 基于电子邮件的自动标记配置示例配置自动标记,则从外部组织收到的标记电子邮件会在收据上标记,然后阻止给未明确的用户。 使用自动标记需要 E5 或等效的许可。 但是,选择不使用自动标记功能的组织仍可以通过评估标记而不是敏感度标签来满足 PSPF 策略 9 要求 3。
注意
建议组织使用自动标记来实施评估标记的规则,因为它们可以防止在项目被单独标记或标签被恶意降低的情况下外泄,如 重新分类注意事项中所述。
以下规则检查应用于 x 标头或主题标记的 PROTECTED 标记,如果收件人不是 受保护用户组的 一部分,则阻止电子邮件。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 仅与组织内部人员合作 AND Group NOT 收件人是: - 受保护的用户 AND GROUP 标头匹配模式: X-Protective-Marking : SEC=PROTECTED 或 主题匹配模式: \[SEC=PROTECTED |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置相应的策略提示,例如: “你指定的用户未获批准访问受保护的项。” 配置相应的事件严重性和通知选项。 |
防止未经授权的用户发送机密信息的电子邮件
防止未经授权的用户接收租户中已有的机密信息非常重要。 但是,请考虑这样一种情况:用户通过本地存储、USB 或其他一些基于 nonemail 的方法获得对 PROTECTED 文件的访问权限。 然后,用户将项目附加到电子邮件并发送它。 检查用户是否有权 发送 安全机密信息可降低数据泄露的风险。
如果用户有权在发送机密信息之前访问机密信息,则检查 DLP 规则如下:
- 创建 “内容”条件包含这些敏感度标签中的任何 一个,其中包含相关标签 (例如,所有受保护的标签) 选定。
- 创建第二个条件组,该组通过 AND 作数进行链接。
- 第二个组设置为 NOT。
- 它包含发件人是受保护用户的成员的条件。
- 该策略需要一个作,该作会阻止电子邮件或将电子邮件重定向到不属于所选组的收件人。
限制未经授权的用户分发安全分类电子邮件的 DLP 规则示例
以下 DLP 规则确保只有有权访问 PROTECTED 信息的用户才能发送它。 这些规则可确保在安全事件 ((例如,意外或恶意过度共享、不当权限或安全配置) )中,获得机密项目访问权限的未明确用户无法通过进一步分发安全机密信息来加剧数据泄露。
| Rule | 条件 | 操作 |
|---|---|---|
| 限制受保护电子邮件的内部发送 | 内容从 Microsoft 365 共享: 仅与组织内部人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 发件人是: - 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 根据需要配置策略提示。 配置适当的事件严重性和警报 |
| 限制外部发送受保护的电子邮件 | 内容从 Microsoft 365 共享: 仅与组织外部的人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 AND Group NOT 发件人是: 受保护的用户 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 根据需要配置策略提示。 配置适当的事件严重性和警报 |
阻止通过 Teams 聊天分发安全分类项目
有关使用 Microsoft Purview DLP 来保护Microsoft Teams 的信息,请参阅 丢失防护和Microsoft Teams。
Teams 中的文件共享活动通过共享链接工作,因此可以通过 阻止共享安全机密信息中所述的 DLP 策略设置来保护标记项。
Teams 聊天无法应用敏感度标签。 因此,基于分类的 DLP 策略不直接适用。 但是, 在通过 DLP 限制外部聊天时,会讨论检测敏感信息和安全标记的策略。
阻止共享安全机密信息
注意
ASD 的安全云蓝图 包含 SharePoint 共享配置指南。 ASD 建议建议将所有共享链接限制为组织中的人员。 对于在 PROTECTED 级别运营的组织,将所有共享设置为“仅内部”是一种良好的默认状态。
某些组织需要调整其共享配置,以适应高级用例,例如与其他组织进行安全协作。 如果遵循了高级 外部协作控制 中包含的建议和 ASD 安全云蓝图 的其他相关部分,则可以以较低的风险级别完成此作,并且可以轻松地生成比传统的通过电子邮件发送文件附件的方法更符合信息安全的配置。
每个组织都有一个默认共享配置,该配置是 SharePoint 共享配置。 这允许配置已批准接收共享链接的域列表。 此类配置符合 PSPF 策略 9 要求 1 - 共享信息和资源的正式协议。
标签组和网站设置可以进一步限制从标记位置共享项目,如 标签共享配置中所述。 配置设置后,安全分类项(如 PROTECTED 文档)具有受保护位置的有限共享选项。 示例组和站点配置中的配置,将此类位置的共享限制为仅内部收件人。
除了基于位置的共享限制外,组织还应实施 DLP 策略来阻止、警告和劝阻用户对不适合外部分发的项目进行外部共享。 以下示例策略适用于 PROTECTED 文档,防止它们与外部用户共享:
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享: 仅与组织外部的人员合作 AND 内容包含敏感度标签: - 所有受保护的标签 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 仅阻止组织外部的人员 配置相应的策略提示,例如: “受保护的项目不适合与外部收件人共享。” 配置适当的事件严重性和警报 |
提示
由于基于 SharePoint 的 DLP 策略是位置策略而不是基于用户的,因此不会按用户或按组应用例外。 但是,应用于 OneDrive 的策略可以限定为特定用户。
DLP 策略提示可以配置为为用户提供有用的反馈。 与存储在基于 SharePoint 的位置中的策略提示匹配的文件受益于文档库中的图标标记。 由于示例 DLP 策略包含策略提示和策略施加访问限制,因此文档库中会显示一个带有连字符的圆圈的图标,以提醒用户该项目受到限制:
当用户忽略策略提示并尝试在外部共享受保护的项时,策略提示将显示在共享对话框中:
如果用户尝试绕过 DLP 策略,例如,通过电子邮件向外部用户(如 任何人链接)发送更宽松的链接类型,DLP 策略仍将触发、生成报告,并且(如果已配置)向用户发送 DLP 通知。
其他共享方案
本部分将讨论政府组织认为适用的其他共享方案。
如果安全位置的成员(如 PROTECTED 团队)不当共享项目,该怎么办?
Microsoft 的信任但验证 方法是否允许团队中的所有用户根据位置的共享策略共享内容。 如果需要进一步的限制,选项包括:
敏感度标签组和站点配置 用于对标记的位置强制实施 条件访问 策略。 身份验证上下文 还会在允许访问标记位置中的内容之前检查用户是否是一组授权用户的一部分。
标记的位置可以进一步限制。 使用 PowerShell 设置标签的配置,使
MemberShareNone网站或团队所有者能够控制应用标签的位置的信息分发。 有关成员共享限制的详细信息,请参阅 成员共享。信息屏障隐式 Microsoft 365 组控件可用于阻止与非团队成员共享项目。 此功能适用于需要阻止用户组之间的通信和协作的情况。
如果用户将受保护的项移动到共享更宽松的另一个位置,该怎么办?
如果用户尝试通过将 PROTECTED 项移动到敏感度较低的位置(例如共享更宽松的另一个团队)来绕过共享和访问控制,则:
SharePoint 共享配置用于配置允许用户共享的域列表。 配置后,用户无法在已批准的组织之外共享项。
OneDrive 位置的共享策略可能比应用于已标记位置的策略更宽松。 为了缓解与用户从 OneDrive 共享以绕过基于位置的控制相关的风险,DLP 策略配置为限制从 OneDrive 共享具有某些标签的项目。 策略还应用于用户组,仅允许受信任的用户从其 OneDrive 位置与来宾共享已标记的项目。
重要
有权访问受保护项的用户可以根据组织的全局 OneDrive 共享配置和应用于其帐户的 OneDrive 共享配置,从其 OneDrive 共享此类项目。
如果恶意内部人员反复尝试共享活动以泄露安全机密信息,该怎么办?
出于动机的恶意内部人员可能会执行多次尝试来绕过本文中所述的数据安全控制措施。 Microsoft的内部 风险管理 (IRM) 功能用于根据用户的活动确定用户的风险状况。 IRM 允许安全团队监视可疑的用户序列,例如:
- 从应用了某些标签的 Microsoft 365 个位置下载信息,然后将其复制到 USB。
- 降低或删除标签,然后将其与外部用户共享。
- 模糊处理已标识为敏感信息的信息,然后通过云服务将其外泄。
IRM 通过称为 自适应保护的功能与 Microsoft Purview DLP 策略集成。 这会识别因持续触发配置策略而被视为有风险的用户,并自动对其施加额外的限制以缓解风险,直到安全团队可以进行调查。
提示
如 敏感度标签 加密) 中所述,应对敏感数据使用加密控制 (。 标签加密有助于确保只有经授权的内部和外部用户才能访问安全分类项,而不管项目位置如何。
阻止将安全分类项上传到非托管位置
Defender for Cloud Apps有助于组织使用云服务的安全状况。 它通过提供对用户活动和敏感信息的精细可见性和控制来执行此作。
Defender for Cloud Apps策略是在 Microsoft 365 Defender 控制台的“云应用>策略”菜单下配置的。 管理员可以创建一个策略,针对具有 PROTECTED 标签的文件,并阻止它们与未经批准的域共享。 此配置符合 PSPF 策略 9 要求 1,其中规定安全分类项应仅与正式批准的组织共享。
有关Defender for Cloud Apps与Microsoft Purview 信息保护之间的集成的详细信息,请参阅Microsoft Purview 信息保护集成。
阻止下载或打印安全分类项目
本部分解决了安全分类项或信息可能复制到 Microsoft 365 租户无法控制的位置的风险。 例如:
- 用户将受保护的项复制到未加密的 U 盘,该 U 盘随后丢失或被盗。
- 受保护的项将复制到本地网络共享或位置,这不适合存储 PROTECTED 项。
- 受保护项中包含的信息将复制并粘贴到新项中,而不应用相同的控件,从而允许信息外泄。
终结点数据丢失防护 (终结点 DLP) 用于解决这些风险。 有关终结点 DLP 的载入过程的信息,请参阅 Endpoint DLP 入门。
政府组织需要限制,只能使用 Microsoft 365 DLP 感知浏览器。 Chromium是 DLP 感知的,Google Chrome 可以通过浏览器加载项识别 DLP。 有关 Microsoft Purview Chrome 扩展的详细信息,请参阅 Microsoft Purview Chrome 扩展入门。
若要使用终结点 DLP 面向设备,请创建一个作用域为 “设备 ”位置的 DLP 策略。
与其他 DLP 示例一样,可以将 策略配置为包含内容、 敏感度标签 作为条件。 在策略作下,可以选择“ 审核”、“ 使用替代阻止”或 “阻止 ”以下作:
- 将项目上传到受限制的云服务域 (例如,Google Drive) (在政府组织中 阻止)
- 从项目复制到剪贴板
- 将项目复制到可移除的 USB (在政府组织中通用 的“阻止”和“替代 ”)
- 复制到网络共享
- 打印
- 使用在政府组织中 阻止 (通用的蓝牙应用复制或移动)
- 使用远程桌面协议 (复制或移动,以在政府组织中 阻止)
注意
EndPoint DLP 允许组织配置一系列选项,包括应用程序、路径排除、允许的浏览器、允许的打印机和允许的 USB 设备。 这些设置可以与策略一起使用,以定义允许使用标记项的情况。