澳大利亚政府符合 PSPF 的敏感度标签加密
本文为澳大利亚政府组织提供有关使用敏感度标签加密的指导。 其意图是帮助澳大利亚政府组织加强其数据安全方法。 本指南中的建议与 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求保持一致。
Microsoft Purview 提供了通过 Azure Rights Management 应用的敏感度标签来加密项的选项。 Azure Rights Management 用于确认身份验证和授权。 对于访问加密项的用户,他们需要对 Microsoft 365 服务进行身份验证,并被授予访问该项目的权限。 Azure Rights Management 用于对项应用使用限制。 这些限制会阻止用户执行编辑内容、保存项目、打印、复制内容或将其转发给其他用户等操作。
标签加密要求
政府组织需要根据访问使用标签加密,以及加密要求中汇总的传输 要求。 这些要求指出,在公共或未受保护的网络上传输官方信息(敏感或受保护)时,需要加密。
提示
经常与外部组织和实体在官方及更高版本进行通信的组织可能需要根据其业务需求评估此状况的风险。 有关详细信息,请参阅 加密概述。
启用对官方的基于标签的加密:敏感和受保护的项目增强了政府组织在传输过程中满足加密要求的能力,并确保在以下情况下对标记的项目进行加密:
- 复制到 USB 存储。
- 上传到非Microsoft云服务,包括云存储服务。
- 保存到可能不安全的设备 (例如没有 BitLocker 加密) 的设备。
- 通过电子邮件发送给可能违反需要知道的外部收件人,方法是进一步分发信息。
澳大利亚政府组织通常实施额外的策略和解决方案来解决这些风险载体。 例如,使用加密的 USB 驱动器、Cloud Access Security Broker (CASB) 解决方案和设备管理平台。 基于标签的加密不能取代这些解决方案。 但是,它用于补充这些解决方案,提供额外的保护,防止意外滥用和恶意内部成员。
标签加密注意事项
有关启用敏感度标签加密的标准注意事项和潜在影响的信息,请参阅 加密内容的注意事项。
澳大利亚政府组织还有其他更具体的注意事项。 其中包括对文档元数据的更改以及与信息共享相关的要求。
加密共同创作更改
Microsoft 365 支持 对加密文档共同创作。
启用加密共同创作引入了对如何将敏感度标签元数据应用于 Office 文档和使用MSIP_labels文档属性的更改。 启用加密共同创作后,加密项上的元数据将从传统文档属性位置移动到文档的内部 xml。 有关详细信息,请参阅 敏感度标签的元数据更改。
对通过文档属性检查附件分类的电子邮件网关应用规则的澳大利亚政府组织需要了解元数据更改,以便其配置保持一致。 Microsoft Exchange 管理员应:
- 阅读并了解 2.6.3 LabelInfo 与自定义文档属性。
- 在非Microsoft电子邮件网关上评估其组织数据丢失防护 (DLP) 、邮件流规则或传输规则语法,了解潜在问题。
为什么这很重要的一个示例是,一旦文档元数据从文档属性移动到 LabelInfo 位置,通过文档属性中的标签 GUID 检查受保护附件的邮件流或传输规则将无法正常工作。
作为基于文档属性的替代方法:
-
ClassificationContentMarkingHeaderText使用 和ClassificationContentMarkingFooterText文档属性。 这些属性在加密共同创作启用后显示,并使用应用于 Office 文档的视觉标记文本填充。 - 邮件流方法转换为基于 DLP 的新方法,在此方法中,可以在 DLP 策略中本机查询敏感度标签。
外部用户对加密项的访问
使用基于标签的加密的澳大利亚政府组织这样做符合 保护性安全策略框架 (PSPF) 。
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 1 - 共享信息和资源的正式协议 | 向政府外部的个人或组织披露安全机密信息或资源时,实体必须制定协议或安排(如合同或契约),以管理信息的使用方式和保护方式。 |
若要确保只有授权外部组织的用户才能访问加密项,可以使用以下方法:
- 已批准的外部域Lists添加到 Azure Rights Management 权限,类似于阻止向未经授权的组织通过电子邮件分发机密信息中所述的 DLP 方法。
- 包含来宾帐户组用于仅向已批准的外部域的一组授权用户授予权限。 此方法类似于 允许向授权来宾发送机密信息的电子邮件。
提示
使组织的 DLP 方法与机密信息的标签加密方法保持一致可简化管理。 结果是一种可靠且一致的机密信息处理方法,其中只有授权用户既可以发送机密信息又有权访问机密信息。
启用标签加密
有关启用敏感度标签加密所需的先决条件和步骤的信息,请参阅 通过使用敏感度标签应用加密来限制对内容的访问。
以下标签加密配置与澳大利亚政府要求有特殊相关性,并进行了详细讨论。
立即分配权限
“立即分配权限” 提供在整个环境中对标记项的访问的一致控制。 通过此配置,将具有加密设置的标签应用于项目时,会立即触发内容加密。
选择“ 立即分配权限” 选项后,管理员需要配置权限以应用于标记的项。 可用的选项包括:
组织中的所有用户和组:此选项可添加环境中所有用户(来宾帐户除外)的权限。 对于希望仅向内部用户限制对已标记项的访问的组织来说,这是一个很好的介绍点。
对于希望加密“官方:敏感信息”并确保可由整个组织打开的组织来说,这是一个不错的选择。
任何经过身份验证的用户:此选项允许通过帐户(例如Microsoft 365 帐户、联合社交提供商或外部电子邮件地址(注册为Microsoft帐户 (MSA) )等帐户访问Microsoft 365 的任何用户。 此选项可确保以加密格式发送和存储项目,但在访问项目方面是最开放的。 此选项在确保澳大利亚政府中需要知道和 PSPF 一致方面并不适用。
重要
由于所应用权限的开放性,任何经过身份验证的用户都不是澳大利亚政府组织申请安全分类项目的不错选择。
添加用户或组:此选项允许指定单个用户 (例如单个组织用户或来宾) 。 它允许将权限分配给组。
此选项可用于政府组织。 例如:
- 此选项用于通过将对已标记内容的访问限制为满足要求的一部分内部用户来确保需要知道。 例如,具有基线许可的授权用户被分组到 受保护的用户组 中,该用户组授予对 PROTECTED 内容的权限。 阻止组外部用户访问任何受保护的项。
- 对于具有高外部协作控制 (的组织,如 高外部协作控制) 中所述,将创建一个包含所有来宾帐户的动态组。 可以向此组授予对加密项的权限,从而允许在外部分发项,同时降低组外部实体访问的风险。 此类配置还需要与 允许向授权来宾通过电子邮件分发机密信息中所述的 DLP 控制保持一致。
- 对于外部协作控制 (相对较低的组织(如 低外部协作控制) 中所述),会维护一个安全组,其中包含有权访问加密内容的来宾。
- 对于希望提供对内容的来宾访问权限而不使标签内容可供整个域访问的组织,将创建一个动态组来授予来自组织的来宾(例如“部门来宾”)的访问权限。 在允许向授权来宾发送机密信息的电子邮件时,将讨论此方法。
添加特定电子邮件地址或域 此选项允许向外部用户的单个电子邮件地址授予权限,这些用户可能是来宾,也可能不是来宾。 它还可用于向整个域授予权限。 例如,Contoso.com。 具有复杂的信息协作和分发要求或需要向其他政府组织分发官方:敏感信息或受保护信息的组织可以考虑添加所有组织的域列表,这些组织将向其分发此类信息。 此类列表应与组织已与共享信息和资源的正式协议的域保持一致,如 PSPF 策略 9 要求 1 中定义。
将多个权限集添加到标签的配置中,以实现所需的结果。 例如, 所有用户和组 可以与包含来自其他组织的来宾的一组动态组以及你的组织定期协作的授权部门域列表结合使用。
向用户、组或域分配权限
对于授予访问权限的每个用户、用户组或域,还需要选择特定权限。 这些权限分为典型集,例如 共同所有者、 共同作者 或 审阅者。 还可以定义自定义权限集。
加密权限非常精细,因此组织需要完成自己的业务分析和风险评估,以确定最有效的方法。 下面是一个示例方法。
| 用户类别 | Contains | 权限 |
|---|---|---|
| 所有用户和组 | 所有内部用户 | Co-Owner (授予所有权限) |
| 来自具有协作要求的其他部门的来宾 | 动态Microsoft 365 组: - 来自第 1 部门的来宾 - 来自第 2 部门的来宾 - 来自第 3 部门的来宾 |
Co-Author (限制编辑、导出内容和更改权限) |
| 已从合作伙伴组织清除来宾 | 安全组: - 来自合作伙伴 1 的来宾 - 合作伙伴 2 的来宾 - 合作伙伴 3 的来宾 |
审阅者 (限制打印、复制和提取、导出内容和更改权限) |
让用户决定
加密方法是让用户在选择标签时选择要应用的权限。
通过此方法标记的项的行为因应用程序而异。 对于 Outlook,可用选项包括:
不转发: 选择此选项后,将加密电子邮件。 加密会应用访问限制,以便收件人能够答复电子邮件,但转发、打印或复制信息的选项不可用。 Azure Rights Management 权限应用于附加到电子邮件的任何未受保护的 Office 文档。 此选项通过防止电子邮件收件人将项目转发给原始电子邮件中未指定的收件人,来确保需要知道。
仅加密: 此选项加密项目并授予收件人除 另存为、 导出 和 完全控制之外的所有使用权限。 它可用于满足加密传输要求,但不会应用任何访问限制, (结果是不需要知道的控制) 应用。
这些选项提供了大量的粒度。 但是,由于权限在项级别应用,这些选项可能会导致配置不一致,因为不同用户选择的选项各不相同。
通过向用户提供 “不仅转发 或 加密 ”选项作为子标签,组织可以在必要时为用户提供保护通信的方法。 例如:
- 非官方
- 官方
- 官方敏感 (类别)
- 官方敏感
- 仅限官方敏感收件人
应用了这些配置的标签应仅发布给需要此类功能的用户。
Microsoft Purview 能够与 PSPF 保持一致,要求包括信息管理标记 (IMM) 和警告,以及添加子标签以满足特定的组织要求。 例如,需要与外部用户传达“官方:敏感个人隐私”信息的用户组可以向其发布“官方:敏感个人隐私仅加密”标签。
内容访问过期
内容过期选项允许在日期或一段时间后拒绝访问应用标签的加密项目的权限。 此功能用于确保无论项位于何处或已应用的权限如何,从某个时间起都不再可访问这些项。
此选项对于实现对信息的有时限访问的要求非常有用,因为政府组织需要提供对信息或资源的临时访问。 PSPF 策略 9 涵盖这些情况:
| 要求 | 详情 |
|---|---|
| PSPF 策略 9 要求 4:临时访问机密信息和资源 | 实体可以根据每个案例的风险评估,为人员提供对安全机密信息或资源的临时访问权限。 在这种情况下,实体必须: a. 限制访问安全机密信息或资源的持续时间:i. 在为特定人员处理安全许可申请的期间,或 ii. 12 个月期间最多 3 个月 b. 进行推荐的就业筛选检查 (查看 PSPF 政策:人员的资格和适用性) c. 监督所有临时访问 d. 若要访问最高机密信息,请确保此人具有现有的负面审查 1 安全许可,以及 e. 在特殊情况下, (拒绝对机密信息进行临时访问,但必须得到警告所有者) 的批准。 |
此方法可确保需要 对临时访问进行监督 ,并确保临时用户仅有权访问已允许的内容,并且只能在所需时间内访问。
通过标签和访问过期配置应用的 Azure Rights Management 加密允许与个人或组织共享敏感项,而无需创建完整帐户。
例如,政府组织有一组设计文档,需要提供给名为 Contoso 的虚构政府承包组织。 将创建并发布名为“官方敏感 - Contoso 临时访问”的标签,并授予对已批准的 Contoso 电子邮件地址列表的访问权限。 然后,设计文档的副本应用此标签,这将启动 30 天访问计时器。 然后,文档与 Contoso 共享,Contoso 可以访问其自己的系统上的项目,直到计时器过期并吊销访问权限,而不管项目驻留在何处。
由于内容过期应用于标签而不是权限,因此需要专用标签来实现此目的。 这和其他访问过期方案是利基方案,不适用于大多数政府组织。 此示例在基础 PSPF 的基础上构建并扩展了Microsoft Purview 信息保护按照本指南中的建议应用配置。
脱机访问
脱机访问选项允许配置一段时间,用户可以访问项,而无需重新进行身份验证或重新授权其 Azure Rights Management 权限。 脱机访问对于确保脱机文件(例如,在网络或服务中断时)可以访问非常有用。 配置此选项后,项仍会加密,并且其权限将缓存在客户端设备上。
部署加密的政府组织通常选择 3 到 7 天的脱机访问期,以确保用户能够脱机工作并作为减灾措施。
在考虑此方法时,应完成对项目缓存访问的风险评估,以防范用户在没有网络访问的情况下对政府组织无访问的可用性影响。
示例标签加密配置
注意
这些示例旨在演示标签加密配置,其操作控件与信息值成正比,这符合 PSPF 策略 8 要求 1。 在启用任何此类配置之前,政府组织需要完成自己的业务分析、风险评估和测试。
| 敏感度标签 | 加密 | 权限 |
|---|---|---|
| 非官方 | - | - |
| 官方 | - | - |
| 官方敏感 (类别) | - | - |
| 官方敏感 | 立即分配权限 |
组织中的所有用户和组: Co-Owner 添加特定电子邮件地址或域: 已批准访问 - 的外部域列表共同创作 |
| 受保护的 (类别) | - | - |
| 保护 | 立即分配权限 |
添加用户或组: 受保护的用户组 - 共同所有者 受保护的来宾组 - 共同创作 |
Microsoft Purview 邮件加密
Microsoft Purview 邮件加密是基于 Azure Rights Management 构建的Microsoft 365 加密功能。 与基于标签的 Azure Rights Management 加密一样,Microsoft Purview 邮件加密通过身份验证确认标识,并通过对项应用权限进行授权。
有关Microsoft Purview 邮件加密的信息,请参阅邮件加密的工作原理。
Microsoft Purview 邮件加密的主要优点是发件人和收件人邮箱都托管在 Exchange Online 中,客户端支持Microsoft Purview 邮件加密 (,包括Microsoft 365 应用版、移动客户端和基于 Web 的客户端) ,包括收件人对收到的电子邮件的访问在内的加密过程是无缝的。 收件人可以接收和查看邮件,就像接收任何未发送的电子邮件一样。 但是,如果收件人未使用Exchange Online和/或支持Microsoft Purview 邮件加密的电子邮件客户端,而不是收到完整的电子邮件,则他们会收到一个 *包装器,告知他们收到受保护的电子邮件,并将他们定向到Microsoft门户,他们可以在那里进行身份验证,以便以安全的方式访问信息。 这些包装器消息 是完全可自定义的,因此可以修改以适应你的组织。
Microsoft Purview 邮件加密身份验证的处理方式与基于标签的 Azure Rights Management 不同,因为无需在标签上定义权限。 这允许在哪些人能够接收加密通信方面具有更大的灵活性,这在某些用例中可能很有必要。
有三类身份验证与Microsoft Purview 邮件加密邮件收件人相关:
- 如果收件人通过 Exchange Online 使用 Microsoft 365 标识,则其用于当前会话的现有凭据和/或令牌可用于身份验证和授权。
- 如果收件人使用支持的外部标识(例如 Gmail 或 Yahoo 提供的外部标识),则需要通过这些凭据进行身份验证才能访问包装电子邮件并连接到 Microsoft 365 提供的门户来访问邮件。
- 如果收件人使用不支持的标识,则他们将收到包装电子邮件,并且可以选择链接来访问Microsoft 365 提供的门户,此时系统会要求他们将其电子邮件地址设置为Microsoft帐户 (MSA) 。 此Microsoft帐户会将密码和其他信息与用户的电子邮件地址相关联,该电子邮件地址用于将来的身份验证。
Microsoft Purview 邮件加密还用于确保机密,并为收件人提供安全处理其信息的保证。 例如,人力资源团队在与应聘者讨论潜在就业时可以使用Microsoft Purview 邮件加密。 Microsoft Purview 邮件加密在与公众讨论敏感财务问题时很有用。 大学和其他教育机构在与学生就学术问题进行交流时,可以利用Microsoft Purview 邮件加密。
下面是与澳大利亚政府组织相关的Microsoft Purview 邮件加密用例:
- 将Microsoft Purview 邮件加密应用于所有带有标签的电子邮件, (例如,发送到外部组织列表的“官方敏感) ”。 此列表包括其他政府组织,该组织已根据 PSPF 策略 9 要求 1) 与 (正式签订协议。
- 对包含敏感信息的电子邮件应用Microsoft Purview 邮件加密 (通过 SIT) 识别,这些敏感信息将发送到有关系的其他非政府组织列表。 由于这些组织不一定要求遵守澳大利亚政府的安全要求,因此这些环境的状态未知。
有关Microsoft Purview 邮件加密功能和潜在用途的详细信息,请参阅设置Microsoft Purview 邮件加密
可以通过 Exchange 邮件流规则将Microsoft Purview 邮件加密应用到电子邮件的配置。 与敏感度标签匹配的任何邮件都触发规则,该规则会将Microsoft Purview 邮件加密模板应用于电子邮件。 这些规则需要 基于 GUID 的方法来标识已标记的电子邮件。