澳大利亞政府與 PSPF 合規性的敏感度標籤加密
本文提供有關使用敏感度標籤加密的澳大利亞政府組織指引。 其目的是要協助澳大利亞政府組織加強其數據安全性的方法。 本指南中的建議與保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中所述的需求緊密一致。
Microsoft Purview 提供透過 Azure Rights Management 套用敏感度標籤來加密項目的選項。 Azure Rights Management 可用來確認驗證和授權。 若要讓使用者存取加密的項目,他們必須向Microsoft 365服務進行驗證,並獲得存取項目的許可權。 Azure Rights Management 可用來將使用限制套用至專案。 這些限制可防止使用者採取編輯內容、儲存專案、列印、複製內容或轉寄給其他使用者等動作。
標籤加密需求
政府組織必須使用標籤加密,以符合加密需求中摘要說明的存取和傳輸 需求。 這些需求指出需要加密才能傳輸 OFFICIAL:跨公用或未受保護網路的機密或受保護資訊。
提示
經常在 OFFICIAL 和更高版本與外部組織和實體通訊的組織可能需要根據其業務需求來評估此狀態的風險。 如需詳細資訊,請 參閱加密概觀。
啟用以標籤為基礎的加密至 OFFICIAL:敏感性和受保護項目可強化政府組織在傳輸期間符合加密需求的能力,並確保已標示的專案會在下列狀況下加密:
- 複製到 USB 記憶體。
- 上傳至非Microsoft雲端服務,包括雲端記憶體服務。
- 儲存到可能不安全的裝置 (例如,沒有 BitLocker 加密的裝置) 。
- 透過進一步散發資訊,將電子郵件傳送給可能違反需要知道的外部收件者。
澳大利亞政府組織通常會實作額外的策略和解決方案來解決這些風險媒介。 例如,使用加密的 USB 磁碟驅動器、Cloud Access Security Broker (CASB) 解決方案和裝置管理平臺。 標籤加密不適合取代這些解決方案。 不過,它可用來透過提供額外的保護來防止意外誤用和惡意測試人員,以補充這些解決方案。
標籤加密考慮
如需啟用敏感度標籤加密的標準考慮和潛在影響的相關信息,請參閱 加密內容的考慮。
澳大利亞政府組織還有其他更具體的考慮。 其中包括文件元數據的變更,以及與資訊共用相關的需求。
加密的共同撰寫變更
Microsoft 365 支援 加密檔的共同撰寫。
啟用加密共同撰寫會對敏感度標籤數據套用至 Office 檔的方式以及使用MSIP_labels文檔屬性的變更。 啟用加密共同撰寫之後,加密專案上的元數據會從傳統的文檔屬性位置移至檔的內部 xml。 如需詳細資訊,請參閱 敏感度標籤的元數據變更。
對透過文檔屬性檢查附件分類的電子郵件網關套用規則的澳大利亞政府組織,必須留意元數據變更,使其設定一致。 Microsoft Exchange 系統管理員應該:
- 閱讀並瞭解 2.6.3 LabelInfo 與自定義文檔屬性。
- 在非Microsoft電子郵件網關上評估其組織的數據外洩防護 (DLP) 、郵件流程規則或傳輸規則語法,以找出可能的問題。
其中一個很重要的範例是,在檔元數據從文檔屬性移至 LabelInfo 位置之後,透過檔屬性中的標籤 GUID 檢查受保護附件的郵件流程或傳輸規則無法正常運作。
做為文件屬性型方法的替代方案:
-
ClassificationContentMarkingHeaderText使用和ClassificationContentMarkingFooterText文件屬性。 這些屬性會在加密共同撰寫啟用之後出現,並填入套用至 Office 檔的視覺標記文字。 - 郵件流程方法會轉換成較新的 DLP 型方法,其中敏感度標籤可在 DLP 原則中以原生方式查詢。
外部使用者對加密專案的存取權
使用標籤式加密的澳大利亞政府組織會根據保護安全策略架構 (PSPF) 來執行此動作。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 1 - 共用資訊和資源的正式協定 | 將安全性分類資訊或資源公開給政府外部的人員或組織時,實體必須已備妥合約或安排,例如合約或停用、管理資訊的使用方式及受到保護。 |
若要確保只有來自已授權外部組織的使用者可以存取加密的專案,可以使用下列方法:
- 清單 核准的外部網域會新增至 Azure Rights Management 許可權,類似於防止將機密資訊以電子郵件傳送給未經授權組織中所述的 DLP 方法。
- 包含來賓帳戶的 群組 可用來僅將許可權授與已核准外部網域中的一組已授權使用者。 這種方法類似於允許將 分類資訊的電子郵件散發給授權的來賓。
提示
讓貴組織的 DLP 方法與針對分類資訊進行標籤加密的方法一致,可簡化系統管理。 結果是一種強固且一致的方法來處理分類資訊,其中只有授權的使用者可以傳送分類資訊並可存取該資訊。
啟用標籤加密
如需啟用敏感度標籤加密所需之必要條件和步驟的詳細資訊,請參閱 使用敏感度標籤來套用加密來限制對內容的存取。
下列標籤加密設定與澳大利亞政府需求具有特殊相關性,並會詳細討論。
立即指派權限
[指派許可權][現在 ] 可讓您一致地控制整個環境中已加上標籤之專案的存取權。 透過此設定,當具有加密設定的標籤套用至專案時,會立即觸發內容加密。
選取 [ 立即指派許可權 ] 選項時,系統管理員必須設定要套用至已標記項目的許可權。 可用選項包括:
組織中的所有使用者和群組:此選項會為環境中的所有使用者新增許可權,但不包括來賓帳戶。 對於想要限制僅限內部使用者存取已加上標籤項目的組織而言,這是不錯的入門點。
對於想要加密「官方:敏感性」信息並確保整個組織可以開啟的組織而言,這是不錯的選擇。
任何已驗證的使用者:此選項允許透過 Microsoft 365 帳戶、同盟社交提供者或外部電子郵件地址等帳戶,存取已驗證為 Microsoft 365 的任何使用者,該帳戶 (MSA) 註冊為Microsoft帳戶。 此選項可確保以加密格式傳送和儲存專案,但在專案存取方面是最開放的。 此選項不適用於確保澳大利亞政府中需要知道和 PSPF 一致性。
重要事項
由於套用許可權的開放本質,任何已驗證的使用者對於澳大利亞政府組織的應用程式對安全性分類專案而言都不是不錯的選擇。
新增使用者或群組:此選項可讓個別使用者 (例如,指定) 的個別組織使用者或來賓。 它允許將許可權配置給群組。
對於政府組織來說,此選項有數種用途。 例如:
- 此選項可用來確保需要知道,方法是將標籤內容的存取權限限製為符合需求的內部用戶子集。 例如,具有基準許可的授權使用者會分組為 受保護的使用者 群組,以授與受保護內容的許可權。 群組外部的用戶無法存取任何 PROTECTED 專案。
- 針對具有高外部共同作業控制 (的組織,如 高外部共同作業控制) 中所述,會建立包含所有來賓帳戶的動態群組。 您可以將加密項目的許可權授與此群組,讓專案能夠在外部散發,降低群組外部實體的存取風險。 這類設定也需要與允許將 分類資訊的電子郵件散發給授權來賓中所討論的 DLP 控件一致。
- 對於具有相對低外部共同作業控制 (的組織,如 低外部共同作業控制) 中所述,會維護一個安全組,其中包含獲授權可存取加密內容的來賓。
- 對於想要提供內容來賓存取權而不讓卷標的內容可供整個網域存取的組織,會建立動態群組來授與來自組織的來賓存取權,例如「部門來賓」。 此方法會在允許將分類資訊的電子郵件散發給授權的來賓中討論。
新增特定電子郵件地址或網域 此選項可讓外部使用者的個別電子郵件地址獲得授與許可權,這些使用者不一定是來賓。 它也可以用來授與整個網域的許可權。 例如,contoso.com。 具有複雜資訊共同作業和散發需求或需要發佈 OFFICIAL:敏感性或受保護資訊給其他政府組織的組織,可以考慮新增所有組織網域的清單,這些組織會將這類資訊散發到其中。 如 PSPF 原則 9 需求 1 中所定義,這類清單應該與貴組織已正式簽署共用資訊和資源的網域一致。
卷標組態中會新增多組許可權,以達到所需的結果。 例如, 所有使用者和群組 都可以與一組動態群組搭配使用,其中包含來自其他組織的來賓,以及貴組織定期共同作業的授權部門網域清單。
將許可權指派給使用者、群組或網域
針對每位使用者、獲授與存取權的使用者或網域群組,也必須選取特定許可權。 這些許可權會分組為一般集合,例如 共同擁有者、 共同撰寫 者或檢 閱者。 您也可以定義自訂許可權集合。
加密許可權是細微的,因此組織必須完成自己的商務分析和風險評估,以判斷最有效的方法。 以下是範例方法。
| 用戶類別 | 包含 | 權限 |
|---|---|---|
| 所有使用者和群組 | 所有內部使用者 | Co-Owner (授與所有許可權) |
| 來自其他部門且具有共同作業需求的來賓 | 動態 Microsoft 365 群組: - 部門 1 的來賓 - 來自部門 2 的來賓 - 來自部門 3 的來賓 |
Co-Author (限制編輯、匯出內容和變更許可權) |
| 已清除合作夥伴組織的來賓 | 安全性 群組: - 合作夥伴 1 的來賓 - 合作夥伴 2 的來賓 - 合作夥伴 3 的來賓 |
檢閱者 (限制列印、複製和擷取、匯出內容和變更許可權) |
讓用戶決定
加密的方法是讓使用者選擇選取標籤時要套用的許可權。
透過這個方法標示的項目行為會根據應用程式而有所不同。 針對 Outlook,可用的選項如下:
請勿轉寄: 選取此選項時,會加密電子郵件。 加密會套用存取限制,讓收件者能夠回復電子郵件,但無法使用轉寄、列印或複製信息的選項。 Azure Rights Management 許可權會套用至附加至電子郵件的任何未受保護 Office 檔。 此選項可防止電子郵件收件者將郵件轉寄給未在原始電子郵件上指定的收件者,以確保需要知道。
僅加密: 此選項會加密專案,並授與收件者所有使用許可權,但 另存新檔、 匯 出和 完全控制除外。 它適用於符合加密的傳輸需求,但不會套用任何存取限制, (結果是不需要知道的控件不會套用) 。
這些選項提供大量的數據粒度。 不過,當許可權套用在專案層級時,這些選項可能會導致設定不一致,因為不同用戶選取的選項會有所不同。
藉由提供 不只將選項轉 送或 加密 給用戶作為子捲標,組織可以在必要時為使用者提供保護通訊的方法。 例如:
- 非官方
- 官方
- OFFICIAL 機密 (類別目錄)
- 官方敏感性
- 僅限官方敏感性收件者
套用這些設定的標籤應該只發佈給需要這類功能的使用者。
Microsoft Purview 能夠與 PSPF 保持一致,且必須包含資訊管理標記 (IMM) 和警告,以及新增子捲標以符合特定組織需求。 例如,需要與外部使用者傳達「官方:敏感性個人隱私權」資訊的一組使用者,可以將「官方:敏感性個人隱私權 ENCRYPT-ONLY」標籤發佈給他們。
內容存取到期日
內容到期選項允許存取已加密項目的許可權,且套用標籤的許可權會在某個日期或一段時間后遭到拒絕。 這項功能可用來確保無論項目位於何處或已套用到專案的許可權為何,一段時間都無法再存取專案。
此選項適用於達到信息的時間限制存取需求,其中政府組織需要提供資訊或資源的暫時存取權。 這些情況涵蓋在 PSPF 原則 9 下:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 4:暫時存取分類資訊和資源 | 實體可以根據每個案例的風險評估,為人員提供安全性分類資訊或資源的暫時存取權。 在這種情況下,實體必須: a. 限制安全性分類資訊或資源的存取持續時間:i. 針對特定人員處理安全性許可的應用程式期間,或ii。 在 12 個月的期間內最多 3 個月 b. 進行建議的僱用檢測檢查 (查看 PSPF 原則:人員的資格和適用性) c. 監督所有暫時存取 d. 若要存取 TOP SECRET 資訊,請確定人員具有現有的負面調查 1 安全性許可,以及 e. 拒絕暫時存取非例外狀況 (分類的已警告資訊,且僅限經警告擁有者) 核准。 |
此方法可確保需要 監督暫時存取 權,並確保暫時使用者只能存取已允許的專案,而且只能存取所需的時間。
透過標籤和具有存取期限設定套用的 Azure Rights Management 加密,可讓敏感性專案與個人或組織共用,而不需要建立完整帳戶。
舉例來說,政府組織有一組設計檔,需要提供給名為 Contoso 的虛構政府合約組織使用。 系統會建立名為 『OFFICIAL Sensitive – Contoso Temp Access』 的標籤,並以授與 Contoso 電子郵件地址核准清單存取權的許可權發佈。 設計文件的複本接著會套用此標籤,以啟動 30 天的存取定時器。 然後,這些檔會與 Contoso 共用,Contoso 可以在自己的系統上存取專案,直到定時器到期,而且不論項目位於何處,都會撤銷存取權。
當內容到期套用至標籤而非許可權時,需要專用標籤才能達到此目的。 這和其他存取到期案例都是小數點,不適用於大部分的政府組織。 本範例是根據並擴充要套用的基礎 PSPF Microsoft Purview 資訊保護 組態,如本指南中所述。
離線存取
離線存取選項允許設定一段時間,讓使用者可以存取專案,而不需要重新驗證或重新授權其 Azure Rights Management 許可權。 離線存取有助於確保離線檔案可以在網路或服務中斷時存取。 設定此選項時,專案仍會加密,並在用戶端裝置上快取其許可權。
部署加密的政府組織通常會選擇 3 到 7 天的離線存取期間,以確保使用者能夠離線工作,並作為災害降低措施。
考慮此方法時,應完成快取存取專案的風險評估,以防範用戶在沒有政府組織網路存取的情況下工作時,無存取權的可用性影響。
範例標籤加密設定
注意事項
這些範例旨在示範標籤加密設定,其操作控件與資訊值成正比,與 PSPF 原則 8 需求 1 一致。 政府組織必須先完成自己的商務分析、風險評估和測試,才能啟用任何這類設定。
| 敏感度標籤 | 加密 | 權限 |
|---|---|---|
| 非官方 | - | - |
| 官方 | - | - |
| OFFICIAL 機密 (類別目錄) | - | - |
| 官方敏感性 | 立即指派許可權 |
組織中的所有使用者和群組: Co-Owner 新增特定電子郵件地址或網域: 已核准存取 - 的外部網域清單共同撰寫 |
| protected (Category) | - | - |
| 保護 | 立即指派許可權 |
新增使用者或群組: 受保護的使用者群組 - 共同擁有者 受保護的來賓群組 - 共同撰寫 |
Microsoft Purview 郵件加密
Microsoft Purview 郵件加密 是建置在 Azure Rights Management 上的 Microsoft 365 加密功能。 如同以標籤為基礎的 Azure Rights Management 加密,Microsoft Purview 郵件加密 透過驗證來確認身分識別,並透過將許可權套用至專案來進行授權。
如需 Microsoft Purview 郵件加密 的資訊,請參閱訊息加密的運作方式。
Microsoft Purview 郵件加密 的主要優點是在 Exchange Online 中裝載發件人和收件者信箱,以及支援 Microsoft Purview 郵件加密 (的用戶端,包括 Microsoft 365 Apps、行動和 Web 型用戶端) ,包括接收電子郵件之收件者存取權的加密程式是順暢的。 收件者可以接收和檢視郵件,就像任何未加密的電子郵件一樣。 不過,如果收件者不是使用 Exchange Online 和/或支援 Microsoft Purview 郵件加密 的電子郵件用戶端,而不是接收完整的電子郵件訊息,他們就會收到 *包裝函式,通知他們收到受保護的電子郵件,並將其導向至Microsoft入口網站,以便在其中進行驗證,以安全的方式存取資訊。 這些包裝函式訊息 可以完全自定義,因此可以修改以符合您的組織。
Microsoft Purview 郵件加密 的驗證處理方式與以標籤為基礎的 Azure Rights Management 不同,因為不需要在標籤上定義許可權。 這可讓您在誰可以接收加密的信件方面有更大的彈性,這在某些使用案例中可能很理想。
與 Microsoft Purview 郵件加密 郵件收件者相關的驗證類別有三種:
- 如果收件者透過 Exchange Online 使用Microsoft 365 身分識別,則其用於目前會話的現有認證和/或令牌可用於驗證和授權。
- 如果收件者使用支援的外部身分識別,例如 Gmail 或 Yahoo 提供的外部身分識別,則必須透過這些認證進行驗證,才能存取包裝函式電子郵件,並聯機到Microsoft 365 提供的入口網站來存取郵件。
- 如果收件者使用不支援的身分識別,則會收到包裝函式電子郵件,並可選取連結來存取 Microsoft 365 提供的入口網站,此時系統會要求他們將電子郵件地址設定為 MSA) (Microsoft帳戶。 此Microsoft帳戶會將密碼和其他資訊與使用者的電子郵件地址產生關聯,以供日後驗證使用。
Microsoft Purview 郵件加密 也用來確保機密,並提供收件者安全處理其信息的保證。 例如,HR 小組可以使用 Microsoft Purview 郵件加密 來與應徵者討論潛在僱用。 Microsoft Purview 郵件加密 與公開成員討論敏感性財務問題時很有用。 大學和其他教育提供者可以在與學生對應學術事務時,利用 Microsoft Purview 郵件加密。
以下是與澳大利亞政府組織相關的 Microsoft Purview 郵件加密 使用案例:
- 將 Microsoft Purview 郵件加密 套用至所有具有標籤的電子郵件 (例如,已傳送至外部組織清單的 OFFICIAL 敏感性) 。 此清單包含組織已根據 PSPF 原則 9、需求 1) 與 (正式協定的其他政府組織。
- 將 Microsoft Purview 郵件加密 套用至包含敏感性資訊的電子郵件, (透過 SIT) 識別,而這些資訊會傳送至具有關聯性的其他非政府組織清單。 由於這些組織不一定需要遵守澳大利亞政府的安全性需求,因此這些環境的狀態不明。
如需 Microsoft Purview 郵件加密 功能和潛在用途的詳細資訊,請參閱設定 Microsoft Purview 郵件加密
套用 Microsoft Purview 郵件加密 至電子郵件的設定可以透過 Exchange 郵件流程規則套用。 任何符合敏感度標籤的訊息都會觸發規則,這會將 Microsoft Purview 郵件加密 範本套用至電子郵件。 這些規則需要 以 GUID 為基礎的方法來識別已加上標籤的電子郵件。