部署具有标签策略的敏感度标签,确保澳大利亚政府符合 PSPF
本文为澳大利亚政府组织提供有关Microsoft Purview 敏感度标签策略配置的指南。 其目的是演示如何配置标签策略,以最好地符合 《保护性安全策略框架》 (PSPF) 和 信息安全手册 (ISM) 中所述的要求。
要使用户能够选择敏感度标签以用于应用程序到项,需要通过标签策略发布它们。 标签策略在 Microsoft Purview 门户的信息保护菜单下配置。
有关创建敏感度标签过程的分步说明,请参阅 创建敏感度标签。
具有更精细要求的组织需要额外的策略。 例如,组织如果希望将其 PROTECTED 标签和关联的子标签发布到一部分用户,则需要另一个策略来实现此目的。 可以创建名为 “受保护标签策略” 的策略,该策略仅选择了 PROTECTED 标签。 然后,可以将策略发布到 受保护的用户组 。
重要
限制应用标签的功能不会阻止对应用了标签的信息的访问。 若要与标签策略一起应用访问限制,必须应用包括 数据丢失防护 (DLP) 、 身份验证上下文 和 标签加密 的配置。
标签策略设置
敏感度标签策略包含各种策略设置,这些设置控制敏感度标签感知客户端的行为。 这些设置对于允许澳大利亚政府组织满足一些关键要求非常重要。
默认标签
默认标签选项指示 Microsoft 365 默认自动将所选标签应用于项目。 为了满足澳大利亚政府的 PSPF 和 ISM 要求,默认标签设置设置为 none。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8、要求 2 (核心要求) (v2018.6) | 评估敏感和安全机密信息:...若要决定应用哪种安全分类,发起方必须: i. 评估官方信息的价值、重要性或敏感性,方法是考虑如果信息保密性受到损害,可能会对政府、国家利益、组织或个人造成损害。 ii. 将安全分类设置为最低合理级别。 |
| ISM-0271 (2024 年 6 月) | 保护性标记工具不会自动将保护性标记插入电子邮件中。 |
标签更改理由
对于澳大利亚政府组织,Microsoft建议对所有标签策略 启用 标签更改理由。
对于大多数组织来说,信息敏感度可能会随时间而变化,例如禁运信息、媒体发布和保留线。 当用户尝试删除或降低应用的标签时,标签更改理由在 事件中触发。 此策略设置要求用户提供更改的原因:
所有标签更改及其理由响应都记录在审核日志中,管理员可在 Microsoft Purview 活动资源管理器中查看。
标签更改警报
可以轻松地将标签更改配置为Microsoft Sentinel和其他安全信息和事件管理 (SIEM) 发出警报。
针对所有更改标记政府警报可能会导致不必要的“噪音”,这会使需要进一步调查的警报模糊化。 以下示例在政府设置中演示此配置。
标签更改理由不会自动触发子标签之间的更改。 如果使用与本文中提供的配置类似的标签分类,用户可以添加或删除信息管理标记 (IMM) ,而无需证明操作的合理性。 但是,这些标签更改会记录在审核日志中。
政府组织应考虑标签更改理由保留要求,并按照这些要求配置审核日志保留策略。 有关审核日志和日志保留选项的详细信息,请参阅 审核日志。
重新分类注意事项
标签更改理由是一项功能,其中可用选项与政府要求的意图不同。 PSPF 指出, 发起方 定义的是最初生成或接收信息的实体,必须继续负责控制其解密或重新分类:
| 要求 | 详情 |
|---|---|
| PSPF 策略 8 要求 3 - 解密 (v2018.6) | 发起方必须负责控制信息的清理、重新分类或解密。 未经发起方批准,实体不得删除或更改信息的分类。 |
此外,ISM-1089 指出:
| 要求 | 详情 |
|---|---|
| ISM-1089 (2023 年 3 月) | 保护性标记工具不允许答复或转发电子邮件的用户选择低于以前使用的防护标记。 |
Microsoft Purview 中使用的方法是“信任但验证”方法之一,它允许有权编辑项目和调整应用于这些项目的标签的用户。 标签更改理由提供对任何更改的监视和问责。
考虑根据Microsoft的“信任但验证”方法的 PSPF 重新分类要求的人应注意以下可用选项。
基于策略的方法
Microsoft建议澳大利亚政府组织以自己的基于组织策略的控制作为满足解密要求的主要方法。 此外,Microsoft建议通过监视和警报来加强基于策略的控制,以检测不适当的模式。 这是因为配置会阻止更改项。 “锁定”标签的结果会影响用户和管理员,尤其是在发生更改时。 例如,组织共享的项上的标签“锁定”可能需要使用加密,这可能会影响记录管理系统等其他服务。 这些权限可能还需要绑定到用户的域,这可能会受到政府机制 (MoG) 更改的影响。
当政府组织考虑可用的选项时,可能值得记住的是,PSPF 包括成熟度以及核心和支持要求类别。 组织需要就满足 PSPF 目标这一支持要求的重要性做出自己的决定,并权衡以下要求:
- 可用性
- 潜在的用户影响
- 对总体 PSPF 成熟度的影响
- MoG 的潜力
基于 DLP 的方法
此方法使用与 Microsoft Purview 分层的额外 Microsoft 365 功能来缓解与信息外泄相关的风险。 例如,DLP 用于阻止敏感信息离开组织。 可以主要基于其应用的标签(但也基于它们包含的信息)将项目标识为敏感项。 实现关注内容而不是仅标签的第二层 DLP 会降低恶意用户在降低或删除标签后泄露信息的能力。 有关这种分层方法的详细信息,请参阅 防止安全机密信息的不当分发 和 限制敏感信息的分发。 这些功能还可以通过 Endpoint DLP 扩展到设备,并通过Defender for Cloud Apps扩展到其他云应用程序。
组织可以使用 DLP 来识别和解决解密问题。 例如,敏感信息类型 (SIT) 用于标识主题标记中的“SEC=官方:敏感”,但电子邮件对话标记为“官方”。 在对话正文中,DLP 标识了更高的敏感度标记,因此可以阻止对话或将其定向到安全团队以采取进一步行动。 通过 DLP 控制标记信息的电子邮件中可以看到评估应用于项目而不是敏感度标签的标记的方法的示例。
基于用户风险的方法
组织可以通过将 DLP 信息与一系列可能指示恶意行为模式的用户信号相关联来扩展 DLP 控制。 此功能通过 Microsoft Purview 内部风险管理 (IRM) 提供。
IRM 提醒管理员用户反复尝试将信息泄露为“有风险”,并允许安全团队进行干预。 此工具能够引入 HR 数据馈送,并将数据外泄活动与 HR 信号(例如挂起的合同结束日期)相关联。 此功能向管理员发出信号,可以及时识别和处理具有恶意意图的用户,从而消除恶意解密和外泄的风险。
为了进一步增强这一点,可以在 IRM 中启用 自适应保护功能 ,这可以自动限制风险用户的访问权限和在风险事件后泄露标记信息的能力。 这有助于通过立即实施控制而不是等待安全团队对警报采取行动来保护信息。
由于信息受到分层方法的保护,因此只需对根据《档案法》指定的那些记录进行严格的重新分类限制,这些记录具有特定档案法联邦记录的 标签锁定 。
阻止重新分类更改
有两个选项可用于防止重新分类,这对于不同的用例要求非常有用。
基于加密的方法
防止标签更改的另一个选项是使用基于标签的加密以及限制用户修改项属性的能力的权限。 共同所有者权限允许更改属性,包括对应用的标签,而共同创作权限允许编辑项目,但不允许编辑其属性。 此类配置需要由组结构提供支持,以支持将此类权限分配给需要这些权限的人员。 此配置还需要考虑敏感度标签加密中讨论的 标签加密的其他方面。
有关支持此功能所需的 Azure Rights Management 权限的详细信息,请参阅配置 Azure 信息保护 (AIP) 的使用权限。
标签“锁定”方法
《档案法》第24条和第26条禁止处置或更改某些英联邦记录类型。 标签更改是记录的元数据,可以构成该记录的更改。 为了禁止标签更改,组织可以实施保留标签,这些标签利用Microsoft Purview 记录管理功能将项目“锁定”为状态。 锁定后,无法更改项目及其关联的敏感度标签,从而阻止重新分类。 以这种方式配置 Microsoft 365 可帮助组织满足这些联邦记录类型的 PSPF 和存档法案要求。
有关防止通过记录标签更改项的详细信息,请参阅 使用保留标签声明记录。
强制标记
标签策略提供要求用户为文档和电子邮件选择标签的功能。 每当用户执行以下操作时,此设置就会提示用户选择标签:
- (文件或电子邮件) 保存新项目,
- 尝试发送未标记的电子邮件,或
- 更改尚未应用标签的项。
此设置可确保所有项都应用了保护性标记和其他关联控件。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8、要求 1 (核心要求) - 标识 (v2018.6) | 发起方必须确定所生成的信息是否是官方信息 (用作正式记录) ,以及该信息是敏感信息还是安全机密信息。 |
| PSPF 策略 8、要求 2 (核心要求) - 评估 (v2018.6) | 若要决定应用哪种安全分类,发起方必须: i. 评估官方信息的价值、重要性或敏感性,方法是考虑如果信息保密性受到损害,可能会对政府、国家利益、组织或个人造成损害。 ii. 将安全分类设置为最低合理级别。 |
提示
虽然强制标签设置可确保项目应用标签,但建议基于客户端的自动标记建议并配置和启用,以指导用户使用准确的标签应用程序。 有关此功能的详细信息,请参阅 基于客户端的自动标记 一文。
标签继承
标签继承设置允许电子邮件继承其附件的敏感度。 如果将敏感度较高的项目附加到应用了较低敏感度标签的电子邮件,则会生效。 此设置有助于确保高度敏感的项目不会通过低敏感度电子邮件进行不当披露。
与所有自动标记过程一样,自动化不会替代手动应用的标签。 为了获得最大利益,澳大利亚政府组织应同时选择这两个选项。 选择这两个选项允许新创建的项继承附件敏感度。 在用户已应用标签的情况下,第二个选项将生效,并建议提高电子邮件的敏感度以匹配。
此设置符合以下要求:
| 要求 | 详情 |
|---|---|
| ISM-0270 (2024 年 6 月) | 保护性标记应用于电子邮件,并反映主题、正文和附件的最高敏感度或分类。 |
| ISM-0271 (2024 年 6 月) | 保护性标记工具不会自动将保护性标记插入电子邮件中。 |
标签继承有助于确保:
- 与电子邮件标签绑定的任何邮件流或 DLP 相关控件 (例如,在 阻止电子邮件分发机密信息) 中讨论的控件将基于电子邮件的附件应用。
- 如果继承的标签包含任何高级控件(如标签加密),则电子邮件会应用这些控件 (,如 敏感度标签加密) 中所述。
自定义帮助页
自定义帮助页面选项允许组织通过标签菜单底部显示的“了解详细信息”选项提供链接。 用户将定向到网站的 URL,提供有关如何正确应用敏感度标签的信息,并告知用户其标记或分类义务。
除了标签工具提示,“了解详细信息”网站由员工在确定哪个标签最适合某个项目时使用。 这符合 PSPF 策略 8 要求 2,因为它可帮助用户评估敏感和安全机密信息。
| 要求 | 详情 |
|---|---|
| PSPF 策略 8、要求 2 (核心要求) :评估 v2018.6) (安全分类信息 | 若要决定应用哪种安全分类,发起方必须: i. 评估官方信息的价值、重要性或敏感性,方法是考虑如果信息保密性受到损害,可能会对政府、国家利益、组织或个人造成损害。 ii. 将安全分类设置为最低合理级别。 |
组织通常利用员工 Intranet 或类似位置发布与分类要求和流程相关的内容。 此同一网站可能是此“了解详细信息”链接的适当目标。 此类站点还有其他用途,在 数据就地警报中进一步讨论了这一点。
策略排序
如本文开头所述,可以将多个标签策略配置为将不同的标签集或不同的策略选项部署到用户组。 在这些方案中,如使用标签,策略排序非常重要。 多个策略范围内的用户会收到通过各种策略分配给他们的所有标签,但他们只会从具有最高顺序的策略接收设置。
示例标签策略
以下标签示例演示了澳大利亚政府组织的典型策略配置。 下面的受保护策略旨在演示如何仅向一部分用户发布一组标签,而每个组织不需要这些标签:
| 策略名称 | 排序 | 已发布的标签 | 已发布到 |
|---|---|---|---|
| 所有用户策略 | 0 | -非官方 -官方 - 官方:敏感 - 官方:敏感个人隐私 - 官方:敏感法律特权 - 官方:敏感立法保密 - 官方:敏感国家内阁 |
所有用户 |
| 测试策略 | 1 | 全部 | 测试用户帐户 |
| 受保护的策略 | 2 | -保护 - 受保护的 Personal-Privacy - 受保护的 Legal-Privilege - 受保护的 Legislative-Secrecy - 受保护的内阁 - 受保护的国家内阁 |
“受保护的用户”Microsoft 365 组 |
可以使用以下设置配置这些策略,这些设置最符合澳大利亚政府的要求:
| 策略选项 | Setting |
|---|---|
| 用户必须提供删除标签或降低其分类的理由。 | ON(打开) |
| 要求用户对其电子邮件和文档应用标签。 | ON(打开) |
| 要求用户对其 Power BI 内容应用标签。 | ON(打开) |
| 为用户提供指向自定义帮助页面的链接。 | 插入基于 Intranet 的帮助网站 URL |
| 文档的默认标签。 | None |
| 电子邮件的默认标签。 | None |
| 从附件继承标签。 - Email从附件继承最高优先级标签。 - 建议用户应用附件标签,而不是自动应用附件标签。 |
ON(打开) ON(打开) |
| 会议和日历事件的默认标签。 | None |
| 要求用户对其会议和日历事件应用标签。 | ON(打开) |
| 网站和组的默认标签。 | None |
| 要求用户对其组或网站应用标签。 | ON(打开) |
| Power BI 的默认标签。 | None |
标签策略更改
负责管理标签或标签策略配置更改的员工应注意,更改最多需要 24 小时才能部署到用户并同步到客户端设备。 这应纳入测试和技术更改窗口。
提示
如果用户需要快速测试配置,这些用户可以注销其Microsoft 365 应用版 Outlook 或 Office 客户端,然后重新登录。 客户端登录时,将收到已分配策略的较新副本,从而加快标签或策略部署过程。