防止不当分发敏感信息，以便澳大利亚政府遵守 PSPF

本文的目的是帮助澳大利亚政府组织改善其信息安全状况。 本文中的建议旨在与 《保护性安全策略框架 (PSPF) 和 信息安全手册》 (ISM) 中所述的要求保持一致。

本文为澳大利亚政府组织提供配置指南，以降低通过 Microsoft 365 服务不当披露 敏感信息 的风险。 本文探讨除 防止安全机密信息不当分发中所述的配置外，还应实现的配置。 原因是敏感度标签或安全分类并不总是确定项目敏感度的最佳方法。

批准外部组织访问安全机密信息并不自动表明组织中的所有用户都需要知道。 政府组织应应用配置，以便提供对敏感信息流的精细可见性和控制，而与专注于敏感度标签或分类的控制无关。 这些控制措施符合 保护性安全策略框架 (PSPF) 策略 9 要求 2。

要求	详情
PSPF 策略 9 要求 2：限制对敏感和机密信息和资源的访问	为了降低未经授权的披露风险，实体必须确保仅向需要知道的人员提供对敏感和安全机密信息或资源的访问。

除了确保需要知道外，数据丢失防护 (DLP) 策略还会限制敏感信息的分发。 控制敏感信息流的 DLP 策略补充了一些策略，这些策略通过提供额外的数据丢失防护层来限制标记项的分发。 基于内容 (而不是基于标签的) 方法的示例包括以下情况：

• 用户恶意降级应用于 (项的敏感度标签，如 重新分类注意事项) 中所述，然后尝试将其泄露。
• 用户从机密文档复制敏感信息，并将其粘贴到电子邮件或 Teams 聊天中。
• 攻击者通过泄露的帐户进行访问，会从内部服务获取大量信息，并尝试通过电子邮件将其泄露。

在上述每种方案中，评估实际内容而不是应用于项目的标签的方法都用于帮助防止和限制数据泄露。

注意

保护敏感信息的策略首先取决于被标识为敏感信息的信息。 在 识别敏感信息时详细介绍了这些概念。

控制敏感信息的电子邮件

澳大利亚政府组织应确保其 DLP 配置满足以下要求：

• 使用 Microsoft提供了 DLP 策略模板，用于检测与澳大利亚数据类型相关的敏感信息。
• 使用敏感信息类型 (SCT) 来检测通过保护标记分类的潜在安全项。
• 使用自定义 SCT 和分类器来检测与澳大利亚政府计划或服务相关的敏感信息。

利用 DLP 策略模板控制敏感信息的电子邮件

州和联邦政府组织收集和使用的敏感信息的一个示例是健康信息。 可以通过 命名实体敏感信息类型中讨论的方法识别健康信息。

可以适当地标记运行状况信息，以及基于标签的控制措施，例如， 防止不当分发应用于它的安全机密信息 。 但是，需要知道仍适用。 无论外部组织是否获准访问机密信息，都不应在没有要求的情况下接收或访问此类信息。 进一步的粒度对于帮助解决需要了解至关重要。

以下示例 DLP 规则用于防止运行状况记录的外部分发。 此示例策略使用预先构造的策略模板 澳大利亚健康记录法 (HRIP 法案) 增强，修改为仅适用于 Exchange 服务，以便强制执行基于收件人的限制。

此策略模板（而不仅仅是查找运行状况信息）旨在识别运行状况信息与其他信息类型的组合。 可能表示运行状况记录的其他类型的信息包括姓名、地址和其他个人标识符。

Microsoft提供的策略模板允许定义小批量策略操作。 默认情况下，低音量配置为 1 到 9 次，而高音量配置为超过 10 次。 可以进一步自定义这些阈值。

需要知道信息的外部组织可以通过规则的例外 NOT 列表添加到已批准的域列表中。

规则名称	条件	操作
澳大利亚健康记录法案检测到的低内容量	内容从 Microsoft 365 共享， 与组织外部的人员 AND 内容包含以下内容中的任何一项： - 澳大利亚税务文件编号 (0 到 9) - 澳大利亚医疗帐号 (0 到 9) - 澳大利亚物理地址 (0 到 9) AND 内容包含： - 所有全名 (0 到 9) AND 内容包含： - 所有医疗条款和条件 (0 到 9) AND Group NOT 收件人域为： - 已批准接收运行状况信息的域列表	通过电子邮件和策略提示通知用户。 配置策略提示： “此电子邮件的收件人来自无权接收运行状况信息的组织。 除非从 到 字段中删除未经授权的收件人，否则将阻止此电子邮件。 如果不正确，请联系支持人员讨论你的要求。” 配置较低的事件严重性和适当的通知选项。
澳大利亚健康记录法案检测到大量内容	内容从 Microsoft 365 共享， 与组织外部的人员 AND 内容包含以下内容中的任何一项： - 澳大利亚税务文件编号 (10 到任何) - 澳大利亚医疗帐号 (10 到任何) - 澳大利亚物理地址 (10 到任何) AND 内容包含： - 所有全名 (10 到任何) AND 内容包含： - 所有医疗条款和条件 (10 至任何) AND Group NOT 收件人域为： - 已批准接收运行状况信息的域列表	通过电子邮件和策略提示通知用户。 配置策略提示： “此电子邮件的收件人来自无权接收运行状况信息的组织。 除非从 到 字段中删除未经授权的收件人，否则将阻止此电子邮件。 如果不正确，请联系支持人员讨论你的要求。” 配置高事件严重性和适当的通知选项。

此类 DLP 规则的一个显著好处是，如果恶意用户或被入侵的帐户试图将大量运行状况记录泄露到未经批准的电子邮件域，则会阻止该操作并通知管理员。 组织可以将这些控制扩展到内部用户，以帮助确保从事不相关业务功能的外部用户无法接收这种类型的运行状况信息。 还可以创建其他规则，这些规则将相同的控件应用于 组织内部的人员。 这些规则可以使用内部组作为例外，而不是外部域列表。

注意

为了应用可用于 Exchange 服务的 DLP 条件（例如 收件人域为 ），策略模板仅应用于 Exchange 服务。 这意味着每个策略模板将多次使用，每个服务使用一次。 例如：

1. 澳大利亚健康记录法增强的交换
2. 针对 SharePoint 和 OneDrive 增强的澳大利亚运行状况记录法案
3. 澳大利亚健康记录法案增强的 Teams 聊天和频道消息传送

Microsoft提供的预生成 DLP 策略模板，澳大利亚政府组织应考虑这些模板的实现包括：

• 增强的澳大利亚隐私法案
• 澳大利亚健康记录法增强
• 澳大利亚财务数据
• PCI 数据安全Standard - PCI DSS
• 澳大利亚个人身份信息 (PII) 数据

通过 DLP 控制标记信息的电子邮件

敏感度标签应用作项敏感度的关键指示。 在大多数情况下，根据应用的标签保护信息的方法（如 防止安全分类信息不当分发中所述）提供了足够的保护。 但是，我们还应考虑以下情况：

• 从分类项复制内容。
• 项目从外部政府组织接收，并已标记，但尚未标记。
• 项是在敏感度标签部署之前创建的，尚未对其应用标签。

在尚未标记项目的情况下，可以使用 基于客户端的自动标记 和 基于服务的自动标记 的组合来向项目应用标签。 当用户打开文件时，将应用基于客户端的建议。 基于服务的自动标记索引和标记静态项。

为了进一步增加保护层，内容标识方法（如 用于检测保护标记的示例 SIT 语法所示）可用于查找保护标记。 识别后，可以对与标记关联的安全分类保持一致的项应用保护。 这允许在用户忽略客户端标签建议或基于服务的自动标记尚未处理项目的情况下保护项。

提示

澳大利亚政府组织应实施 DLP 策略，这些策略检查电子邮件中的保护性标记。 应创建策略，以同时面向 PROTECTED 和官方：敏感标记。 其他配置可以应用于子集，例如具有 CABINET 警告的标记。

例如，以下 DLP 规则仅适用于 Exchange 服务。 该规则标识电子邮件上的 PROTECTED 标记，然后阻止除已批准的组织外的所有组织接收它。

注意

此规则是 示例 DLP 规则：阻止向未批准的组织发送受保护电子邮件中提供的示例副本。 但是，它在策略条件中使用 SIT，而不是敏感度标签。 它包括一些异常，这些异常可确保它不会针对标记的项触发，这些项也可能包含匹配的 SIT。

条件	操作
内容从 Microsoft 365 共享， 与组织外部的人员 AND 内容包含敏感信息类型： - 选择所有受保护的 SIT AND Group NOT 内容包含敏感度标签： - 选择所有受保护的标签 AND Group NOT 收件人域为： - 已批准接收 PROTECTED 电子邮件的域列表	限制访问或加密Microsoft 365 个位置的内容： - 阻止用户接收电子邮件或访问 - 阻止所有人 配置策略提示： “此电子邮件的收件人来自无权接收受保护信息的组织。 除非从 到 字段中删除未经授权的收件人，否则将阻止此电子邮件。 如果不正确，请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。

恶意标签降级的影响

Microsoft 的信任，但验证 安全分类方法是否允许用户更改应用于项目的敏感度标签。 此功能符合 PSPF 策略 8 要求 3，在 重新分类注意事项中对此进行了讨论。

要求	详情
PSPF 策略 8 要求 3 - 解密 (v2018.6)	发起方必须负责控制信息的清理、重新分类或解密。 未经发起方批准，实体不得删除或更改信息的分类。

澳大利亚政府代表参加的Email对话都对他们施加了保护作用。 它们存在于电子邮件 x 标头中，但也存在于整个对话历史记录的主题标记和基于文本的视觉标记中。

如果应用于电子邮件对话的分类降级，例如，从“受保护的个人隐私”降级为“UNOFFICIAL”，则会触发标签更改理由，生成可审核事件，并进一步纳入内部风险管理 (IRM) 。 出现此情况后，以前应用的主题标记和基于文本的视觉标记在通过 SIT 发送的电子邮件中可识别。 例如，具有以下正则表达式的 SIT 在电子邮件标头中标识“PROTECTED // 个人隐私”，在主题标记中标识 [SEC=PROTECTED， Access=Personal-Privacy]：

PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy

上一部分中提供的示例 DLP 规则 (通过 DLP) 控制标记信息的电子邮件 ，将项目标识为 PROTECTED，并阻止外泄，而不考虑应用的敏感度标签。 谨慎的 DLP 策略排序以及适当的报告操作还允许在以下情况下：电子邮件因 SIT 而被阻止，而不是将标签标记为安全团队作为优先事件。

解决降级的另一种方法是实施策略，该策略根据电子邮件正文中可检测到的标记检查应用的标签。 例如， 包含敏感度标签 UNOFFICIAL、官方、官方：敏感和包含敏感信息类型 PROTECTED。 这种增量降级事件有力地表明标签降级不当，并需要进一步调查。 使用此类条件的 DLP 策略还提供了遵循 ISM-1089 的方法：

要求	详情
ISM-1089 (v2018.6)	保护性标记工具不允许答复或转发电子邮件的用户选择低于以前使用的防护标记。

注意

基于保护性标记（而不是敏感度标签）阻止信息分发在数据安全性方面有好处，但可能导致已有意降低分类的项目被阻止分发的情况。 建立业务规则以重新分类，并使用 DLP 策略操作 ，这些操作允许在有业务要求时进行替代。

通过 DLP 控制自定义 SIT 的电子邮件

信息标识方法（如 自定义敏感信息类型 ）以及在 识别敏感信息时讨论的其他功能，提供了一种检测与单个组织相关的敏感信息的方法。 创建 SCT 和可训练分类器以满足特定的澳大利亚政府信息保护要求。 然后，这些 SIT 将用于 DLP 策略，以控制包含标识信息的项的分发。

澳大利亚政府组织中普遍要求的示例之一是需要保护问责材料，例如与敏感代码字或计划相关的信息。 为此，可以创建包含关键字或术语列表的 SIT 或一组 SIT。 然后，可以在 DLP 策略中使用此 SIT 来警告用户，可能要求用户在发送之前输入业务理由，或者完全阻止通信。

以下 DLP 规则示例适用于 Exchange 服务。 它会检测包含敏感代码字的电子邮件，并在检测到时向用户显示策略提示。 在发送电子邮件之前，用户需要提供业务理由并确认警告。

条件	操作
内容从 Microsoft 365 共享， 与组织外部的人员 AND 内容包含敏感信息类型： - 敏感代码字 SIT	配置策略提示： “此电子邮件包含敏感术语，该术语可能不适合指定的收件人。 在发送之前，请确保所有收件人都有权访问随附的信息。” 允许用户覆盖策略限制： - 需要业务理由才能替代 - 要求最终用户显式确认替代 配置相应的事件严重性和通知选项。

限制包含敏感内容的外部聊天

DLP 策略可以配置为应用于 Teams 聊天和频道消息。 此配置与已实现灵活协作选项（例如与外部用户聊天的能力）的组织最相关。 此类组织希望通过协作提高工作效率，但担心通过协作方式（如 Teams 聊天和频道消息）丢失敏感信息。

注意

Exchange 和 Microsoft Teams 的 DLP 策略可以面向或排除特定的收件人域。 这允许应用基于域的异常，帮助确保需要知道并与 PSPF 策略 9 要求 2 保持一致。

Teams 的 DLP 方法应：

• 利用Microsoft提供的 DLP 策略模板来检测与澳大利亚数据类型相关的敏感信息。

  Microsoft提供的 DLP 策略模板（如 使用 DLP 策略模板来控制敏感信息的电子邮件中所述）用于识别和保护敏感信息，防止通过 Teams 进行通信。

• 包括使用 SCT 来检测可能已从已分类项粘贴到 Teams 应用程序中的保护性标记。

  Teams 聊天中存在保护性标记可指示不适当的披露。 通过 DLP 控制标记信息的电子邮件时演示的策略通过保护性标记标识敏感信息。 如果对 Teams 应用了类似的策略配置，则它可以标识已粘贴到 Teams 聊天中的标记。 例如，通过此基于文本的数据中可能存在的页眉、页脚或主题标记标识的分类电子邮件讨论中的内容。

• 使用自定义 SIT 和分类器检测与澳大利亚政府计划或服务相关的敏感信息。

  自定义 SIT 用于标识在 Teams 聊天或频道消息中使用的敏感关键字或术语。 提供的 通过 DLP 控制自定义 SIT 的电子邮件 的示例可应用于 Teams 服务。

通过通信合规性监视外部聊天

通信合规性 提供了 DLP 的替代方法，其中不一定阻止事件，但策略违规被标记以供审查。 然后，管理员可以查看策略匹配项，以便更好地了解情况的完整上下文，并根据组织策略分析适当性。

可以将通信合规性策略配置为查看包含 SCT 组合的传出聊天。 这些策略可以复制与澳大利亚数据类型相关的 SIT 组合，这些数据类型用于 利用 DLP 策略模板来控制敏感信息的电子邮件。

注意

通信合规性包括 光学字符识别 (OCR) 功能，允许它筛选扫描的文档中的敏感信息。

通过 DLP 控制敏感信息共享

敏感度标签是识别敏感信息的主要方法。 如 防止共享安全机密信息中所述，基于标签的 DLP 控制应被视为共享活动数据丢失防护的主要方法。 在 Microsoft Purview 的分层方法中，可以进一步配置 DLP 策略，以识别项目中的敏感内容。 识别内容后，我们可以应用独立于项目的敏感度标签的共享限制。 这样做适用于以下情况：

• 项目标记错误。
• 项目已从外部政府组织收到，并进行了标记，但尚未标记。
• 在敏感度标签部署之前创建且尚未应用标签的项目。

注意

ASD 的安全云蓝图 包含 SharePoint 共享配置指南。 此建议建议将所有共享链接限制为 组织中的人员。

澳大利亚政府组织应考虑适用于 SharePoint 和 OneDrive 服务的 DLP 策略，这些策略：

• 包括使用 SCT 来检测包含保护性标记的项目。

  保护性标记提供了一种用于标识项敏感度的备份方法。 DLP 策略使用 示例 SIT 语法 中提供的 SIT 进行配置，以检测与安全分类 (官方：敏感和受保护) 一致的保护标记。 包含这些标记的项应用了共享限制。

• 利用Microsoft提供的 DLP 策略模板来检测与澳大利亚数据类型相关的敏感信息。

  Microsoft提供了 DLP 策略模板，如 使用 DLP 策略模板来控制敏感信息的电子邮件、标识和保护从 SharePoint 或 OneDrive 位置共享的敏感信息中所示。 与澳大利亚政府相关的策略模板包括：

  • 增强的澳大利亚隐私法案
  • 澳大利亚健康记录法增强
  • 澳大利亚财务数据
  • PCI 数据安全Standard - PCI DSS
  • 澳大利亚个人身份信息 (PII) 数据

• 使用自定义 SIT 和分类器检测与澳大利亚政府计划或服务相关的敏感信息。

  自定义 SCT 用于标识通过 SharePoint 或 OneDrive 共享的项中包含的敏感关键字或术语。 该示例提供了 通过 DLP 控制自定义 SCT 的电子邮件 可以应用于 SharePoint 和 OneDrive 服务。

监视与Defender for Cloud Apps共享敏感信息

Microsoft Defender for Cloud Apps为软件即服务 (SaaS) 应用程序（包括联机应用程序和联机存储服务）提供保护。

SharePoint 共享配置 允许配置已批准接收共享链接的域列表，并配置为符合 PSPF 策略 9 要求 1：

要求	详情
PSPF 策略 9 要求 1 - 共享信息和资源的正式协议	向政府外部的个人或组织披露安全机密信息或资源时，实体必须制定协议或安排（如合同或契约），以管理信息的使用和保护方式。

使用 Defender for Cloud Apps，我们可以扩展 DLP 监视功能。 例如，创建了一个策略，用于检查共享包含 SCT 组合的项目到匿名电子邮件地址。 管理员可以删除外部用户的共享权限并完成各种报告操作。

Defender for Cloud Apps还提供一些聚合报告，向出现异常高策略违规的用户向管理员团队发出警报。

有关使用Defender for Cloud Apps监视或控制共享活动的详细信息，请参阅 Microsoft Defender for Cloud Apps 中的文件策略。

使用内部风险管理监视敏感信息

预览体验成员风险管理是一种合规性解决方案，可让你检测、调查和处理组织中的恶意和无意活动，从而最大程度地降低内部风险。

有关内部风险管理的详细信息，请参阅 了解内部风险管理。

监视敏感信息共享并应对潜在的未经授权的泄露事件，这符合 PSPF 策略 9 要求 2：

要求	详情
PSPF 策略 9 要求 2 - 限制对安全机密信息和资源的访问	为了降低未经授权的披露风险，实体必须确保仅向需要知道的人员提供对安全机密信息或资源的访问权限。

Insider Risk Management 记录用户的风险活动的统计信息，并向安全团队提供指标，使他们能够进一步调查风险事件。

可以将内部风险管理策略配置为专注于围绕敏感信息的活动。 活动可能包括风险序列检测，例如通过离开用户窃取数据以及风险用户的数据泄漏。

内部风险管理策略还配置为与 DLP 策略（如本文中建议的策略）保持一致。 围绕敏感信息的可疑活动可以报告给安全团队，或通过自适应保护自动缓解。

使用自适应保护控制敏感信息

IRM 通过称为 自适应保护的功能与 Microsoft Purview DLP 策略集成。 IRM 标识因持续触发配置策略而被视为有风险的用户。 自适应保护会自动对已识别的风险用户施加限制，从而缓解一些风险，直到安全团队可以进行调查。

以这种方式使用时，自适应保护符合 PSPF 策略 8 要求 3：

要求	详情
PSPF 策略 8 核心要求 3	为这些信息持有与其价值、重要性和敏感度成正比的操作控制