防止不當散發機密資訊,以符合澳大利亞政府與 PSPF 的規範
本文的目的是要協助澳大利亞政府組織改善其資訊安全性狀態。 本文所撰寫的建議,最符合保護安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 中 所述的需求。
本文提供有關設定的指引,以降低透過 Microsoft 365 服務不當洩漏 敏感 性信息的風險。 本文探討除了 防止安全性分類資訊的不當散發中所討論的設定之外,還應實作的設定。 原因是敏感度標籤或安全性分類不一定是判斷專案敏感度的最佳方法。
核准外部組織存取安全性分類資訊不會自動建議組織中的所有使用者都需要知道。 政府組織應該套用設定,以提供敏感性資訊流程的細微可見度和控制,而不受著重於敏感度標籤或分類的控制。 這些控制項符合保護 安全策略架構 (PSPF) 原則 9 需求 2。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2:限制存取敏感性和分類資訊和資源 | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取機密和安全性分類資訊或資源。 |
除了確保需要瞭解之外,數據外洩防護 (DLP) 原則會限制敏感性資訊的散發。 控制敏感性資訊流程的 DLP 原則可補強原則,藉由提供額外的數據外泄防護層來限制標記項目分佈。 內容型 (而非標籤) 的範例,方法可協助處理下列情況:
- 用戶會惡意降級套用至專案 (的敏感度標籤,如 ) 重新分類考慮 中所述,然後嘗試將其外流。
- 使用者會從已分類的檔複製敏感性資訊,並將其貼到電子郵件或 Teams 聊天中。
- 可透過遭入侵帳戶存取權的敵人會從內部服務取得大量資訊,並嘗試透過電子郵件將其外流。
在每個案例中,會使用評估實際內容的方法,而不是套用至專案的標籤來協助防止和限制數據外洩。
注意事項
保護敏感性信息的原則首先取決於識別為敏感性的資訊。 這些概念會在 識別敏感性資訊時詳細說明。
控制敏感性信息的電子郵件
澳大利亞政府組織應該確保其 DLP 設定位址:
- 使用Microsoft提供的 DLP 原則範本來偵測與澳大利亞數據類型相關的敏感性資訊。
- 使用敏感性資訊類型 (SIT) 來偵測可能透過其保護標記分類的安全性專案。
- 使用自定義 SIT 和分類器來偵測與澳大利亞政府計劃或服務相關的敏感性資訊。
利用 DLP 原則範本來控制敏感性資訊的電子郵件
州和聯邦政府組織收集並處理的敏感性資訊範例是健康情況資訊。 您可以透過 具名實體敏感性資訊類型中討論的方法來識別健康情況資訊。
健康情況資訊可以適當地加上標籤,以及標籤型控件,例如防止不當散發套用至安全 性分類資訊的 控件。 不過,仍然適用「需要知道」。 外部組織不論是否已核准存取分類資訊,都不應該能夠接收或存取這類資訊,而不需要這麼做。 進一步的數據粒度對於協助解決需要了解至關重要。
下列範例 DLP 規則是用來防止健康情況記錄的外部散發。 此範例原則會使用預先建構的原則範本 澳大利亞健康記錄法 (HRIP Act) 增強,修改為僅套用至 Exchange 服務,以強制執行收件者型限制。
此原則範本不只是尋找健康情況資訊,而是會嘗試識別健康情況資訊與其他資訊類型的組合。 其他可能表示健康情況記錄的資訊類型包括名稱、位址和其他個人識別符。
Microsoft提供的原則範本允許定義低量和大量原則動作。 根據預設,低磁碟區會設定為 1 到 9 次,而高磁碟區超過 10 次。 您可以進一步自定義這些閾值。
需要知道資訊的外部組織可以透過規則的例外 狀況 NOT 清單,新增至核准的網域清單。
| 規則名稱 | 條件 | 動作 |
|---|---|---|
| 偵測到少量內容澳大利亞健康情況記錄法案 | 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含下列任一項: - 澳洲稅務檔案編號 (0 到 9) - 澳洲醫療帳戶號碼 (0 到 9) - 澳大利亞實體位址 (0 到 9) 和 內容包含: - 所有全名 (0 到 9) 和 內容包含: - 所有醫療條款和條件 (0 到 9) 和群組 NOT 收件者網域為: - 核准接收健康情況資訊的網域清單 |
使用電子郵件和原則提示通知使用者。 設定下列原則提示: 「此電子郵件的收件者來自未獲授權接收健康情況信息的組織。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定較低的事件嚴重性和適當的通知選項。 |
| 偵測到大量內容澳大利亞健康情況記錄法案 | 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含下列任一項: - 澳大利亞稅務檔案編號 (10 到任何) - 澳洲醫療帳戶號碼 (10 到任何) - 澳大利亞實體位址 (10 到任何) 和 內容包含: - 所有全名 (10 到任何) 和 內容包含: - 所有醫療條款和條件 (10 到任何) 和群組 NOT 收件者網域為: - 核准接收健康情況資訊的網域清單 |
使用電子郵件和原則提示通知使用者。 設定下列原則提示: 「此電子郵件的收件者來自未獲授權接收健康情況信息的組織。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定高事件嚴重性和適當的通知選項。 |
這類 DLP 規則的一個重要優點是,如果惡意使用者或遭入侵的帳戶嘗試將大量健康情況記錄外流至未經核准的電子郵件網域,則會封鎖該動作並通知系統管理員。 組織可以將這些控件延伸至內部使用者,以協助確保參與不相關商務功能的外部用戶無法接收這類健康情況資訊。 您也可以建立其他規則,將相同的控件套用至 組織內的人員。 這些規則可以使用內部群組進行例外狀況,而不是外部網域清單。
注意事項
為了將可用的 DLP 條件套用至 Exchange 服務,例如 收件者網域是 ,原則範本只會套用至 Exchange 服務。 這表示每個原則範本會多次使用,每個服務一次。 例如:
- 增強 Exchange 的澳洲健康情況記錄法
- 針對 SharePoint 和 OneDrive 增強的澳大利亞健康情況記錄法案
- 增強 Teams 聊天和頻道傳訊的澳洲健康情況記錄法案
Microsoft提供的預先建置 DLP 原則範本,應由澳大利亞政府組織考慮實作,包括:
- 增強的澳大利亞隱私權法案
- 增強的澳大利亞健康情況記錄法案
- 澳洲財務資料
- PCI 資料安全性 Standard - PCI DSS
- 澳洲個人識別資訊 (PII) 資料
透過 DLP 控制標示資訊的電子郵件
敏感度標籤應作為專案敏感度的重要指示。 在大部分情況下,根據套用的標籤來保護資訊的方法,如 防止安全性分類資訊的不當散發所涵蓋,可提供適當的保護。 不過,我們也應該考慮下列情況:
- 內容是從分類項目複製而來。
- 專案會從外部政府組織接收並標示,但尚未加上標籤。
- 專案是在敏感度標籤部署之前建立的,而且尚未套用標籤。
在專案尚未加上標籤的情況下,可以使用 用戶端型自動 套用標籤和 服務型自動標籤 的組合,將標籤套用至專案。 當用戶開啟檔案時,會套用以客戶端為基礎的建議。 服務型自動套用標籤索引和待用標籤專案。
為了進一步增加保護層級,內容識別方法可以用來尋找保護標記,如 偵測保護標記的範例 SIT 語法所示。 一旦識別出來,就可以將保護套用至與標記相關聯的安全性分類一致的專案。 這可讓專案在使用者忽略用戶端標籤建議或服務型自動標籤尚未處理項目的情況下受到保護。
提示
澳大利亞政府組織應該實作 DLP 原則,以檢查電子郵件中是否有保護標記。 應建立原則以同時以 PROTECTED 和 OFFICIAL:敏感性標記為目標。 其他組態可以套用至子集,例如具有 CABINET 注意事項的標記。
例如,下列 DLP 規則僅適用於 Exchange 服務。 此規則會識別電子郵件上的 PROTECTED 標記,然後防止所有但已核准的組織收到該標記。
注意事項
此規則是 範例 DLP 規則:封鎖未核准組織之受保護電子郵件中提供的範例複本。 不過,它會在原則條件中使用 SIT,而不是使用敏感度標籤。 它包含的例外狀況可確保它不會針對標示的專案觸發,這些專案也可能會包含相符的 SIT。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含敏感性資訊類型: - 選取所有受保護的 SIT 和群組 NOT 內容包含敏感度標籤: - 選取所有受保護標籤 和群組 NOT 收件者網域為: - 已核准接收受保護電子郵件的網域清單 |
限制存取或加密Microsoft 365 個位置中的內容: - 封鎖使用者接收電子郵件或存取 - 封鎖所有人 設定下列原則提示: 「此電子郵件的收件者來自未獲授權接收受保護信息的組織。 除非從 [到] 字段移除未經授權的收件者,否則會封鎖此電子郵件。 如果不正確,請連絡支持人員以討論您的需求。」 設定適當的事件嚴重性和通知選項。 |
惡意捲標降級的影響
Microsoft 信任,但驗證 安全性分類方法可讓用戶變更套用至專案的敏感度標籤。 這項功能符合 PSPF 原則 8 需求 3,在 重新分類考慮中會加以討論。
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 需求 3 - (v2018.6) | 原始者必須繼續負責控制資訊的清理、重新分類或解密。 未經寄件者核准,實體不得移除或變更信息的分類。 |
Email 澳大利亞政府代表參與的交談會套用保護措施。 這些專案會出現在電子郵件 X 標頭中,但也會出現在整個交談歷程記錄的主旨標記和以文字為基礎的視覺標記中。
例如,如果將套用至電子郵件交談的分類降級,從「受保護的個人隱私權」降級為 「外泄」,它會觸發標籤變更理由、產生可稽核的事件,並進一步納入測試人員風險管理 (IRM) 。 發生此情況之後,先前套用的主旨標記和文字型視覺標記可在先前透過 SIT 回復的電子郵件中識別。 例如,具有下列 RegEx 的 SIT 會識別電子郵件標頭中的 「PROTECTED 」 Personal Privacy」,以及主旨標記中的 [SEC=PROTECTED, Access=Personal-Privacy]:
PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
上一節提供的範例 DLP 規則 (透過 DLP) 控制已標示資訊的電子郵件 、將專案識別為 PROTECTED,並封鎖外洩,而不論套用的敏感度標籤為何。 謹慎的 DLP 原則排序,以及適當的報告動作,也允許電子郵件因為 SIT 而遭封鎖,而不是標示為安全性小組列為優先順序事件的情況。
解決降級問題的替代方法是實作原則,該原則會針對可在電子郵件本文中偵測到的標記檢查套用的標籤。 例如, 包含敏感度標籤一般、OFFICIAL、OFFICIAL:敏感性和包含敏感性資訊類型 PROTECTED。 這類累加式降級事件會提供不當卷標降級的強大指示,並保證進一步調查。 使用這類條件式的 DLP 原則也提供遵守 ISM-1089 的方法:
| 需求 | 詳細資料 |
|---|---|
| ISM-1089 (v2018.6) | 保護標記工具不允許使用者回復或轉寄電子郵件,以選取低於先前使用的保護標記。 |
注意事項
根據保護標記而非敏感度標籤封鎖資訊的散發,可在數據安全性方面提供優點,但可能會導致有其分類的專案刻意降低,而遭到封鎖而無法散發。 建立商務規則會重新分類,並使用 DLP 原則動作 ,以在有商務需求時允許覆寫。
透過 DLP 控制自訂 SIT 的電子郵件
信息識別方法,例如 自定義敏感性資訊類型 ,以及 識別敏感性資訊中討論的其他功能,提供方法來偵測與個別組織相關的敏感性資訊。 系統會建立 SIT 和可訓練分類器,以解決特定的澳大利亞政府資訊保護需求。 這些 SIT 接著會在 DLP 原則中使用,以控制包含已識別資訊的項目分佈。
澳大利亞政府組織間常見的需求範例是需要保護可負責的數據,例如與敏感性程式代碼詞或計劃相關的資訊。 若要達到此目的,可以建立一組 SIT 或一組 SIT,其中包含關鍵詞或詞彙的清單。 然後,您可以在 DLP 原則中使用此 SIT 來警告使用者,可能要求他們在傳送之前先輸入商業理由,或直接封鎖通訊。
下列 DLP 規則範例適用於 Exchange 服務。 它會偵測包含敏感性程式代碼詞的電子郵件,並在偵測到時向使用者顯示原則提示。 用戶必須先提供業務理由並確認警告,才能傳送電子郵件。
| 條件 | 動作 |
|---|---|
| 內容會從 Microsoft 365 共用, 與組織外部的人員 和 內容包含敏感性資訊類型: - 敏感性程式代碼詞 SIT |
設定下列原則提示: 「此電子郵件包含敏感性字詞,可能不適合指定的收件者。 在傳送之前,請確定所有收件者都已獲得存取封入信息的授權。」 允許使用者覆寫原則限制: - 需要商業理由才能覆寫 - 要求使用者明確認可覆寫 設定適當的事件嚴重性和通知選項。 |
限制包含敏感性內容的外部聊天
DLP 原則可以設定為套用至 Teams 聊天和頻道訊息。 此設定與已實作彈性共同作業選項的組織最相關,例如能夠與外部使用者聊天。 這類組織想要透過共同作業提高生產力,但擔心透過Teams聊天和頻道傳訊等共同作業途徑遺失敏感性資訊。
注意事項
Exchange 和 Microsoft Teams 的 DLP 原則可以鎖定或排除特定收件者網域。 這可讓您套用網域型例外狀況,協助確保需要知道並配合 PSPF 原則 9 需求 2。
Teams 的 DLP 方法應該:
使用Microsoft提供的 DLP 原則範本來偵測與澳大利亞數據類型相關的敏感性資訊。
Microsoft提供的 DLP 原則範本,如 使用 DLP 原則範本來控制敏感性資訊的電子郵件中所示範,應該用來識別並保護敏感性資訊,避免透過 Teams 進行通訊。
包括使用 SIT 來偵測可能已從分類專案貼到 Teams 應用程式的保護標記。
Teams 聊天中存在保護標記,可指出不當洩漏。 透過 DLP 控制已標示資訊的電子郵件 時示範的原則會透過保護標記來識別敏感性資訊。 如果將類似的原則設定套用至 Teams,則可以識別已貼入 Teams 聊天的標記。 例如,透過頁首、頁尾或主旨標記所識別的分類電子郵件討論內容,可能會出現在此文字型數據中。
使用自定義 SIT 和分類器來偵測與澳大利亞政府計劃或服務相關的敏感性資訊。
自定義 SIT 可用來識別 Teams 聊天或頻道傳訊中使用的敏感性關鍵詞或詞彙。 透過 DLP 控制自定義 SIT 電子郵件的 範例可套用至 Teams 服務。
透過通訊合規性監視外部聊天
通訊合規性 提供 DLP 的替代方法,其中事件不一定會遭到封鎖,但會標示原則違規以供檢閱。 系統管理員接著可以檢視原則相符專案,進一步了解情況的完整內容,並根據組織原則來分析適當性。
通訊合規性原則可以設定為檢閱包含 SIT 組合的傳出聊天。 這些原則可以復寫與使用 DLP 原則範本來控制敏感性資訊電子郵件的澳大利亞數據類型相關的 SIT 組合。
注意事項
通訊合規性包含 光學字元識別 (OCR) 功能,可讓其針對掃描的檔進行敏感性信息的檢測。
透過 DLP 控制敏感性信息的共用
敏感度標籤是識別敏感性資訊的主要方法。 如 防止共用安全性分類資訊中所討論的標籤 DLP 控件,應該視為共用活動之數據外洩防護的主要方法。 在 Purview 的分層方法Microsoft,可以進一步設定 DLP 原則來識別專案內的敏感性內容。 一旦識別出內容,我們可以獨立套用共用限制,而不受專案的敏感度卷標影響。 這麼做可解決下列情況:
- 項目標記錯誤。
- 專案已從外部政府組織接收,並已標示,但尚未加上標籤。
- 在敏感度標籤部署之前建立但尚未套用標籤的專案。
注意事項
ASD 的安全雲端藍圖 包含 SharePoint 共用設定的指引。 此建議建議將所有共享連結限制 為僅限組織中的人員。
澳大利亞政府組織應該考慮套用至 SharePoint 和 OneDrive 服務的 DLP 原則::
包括使用 SIT 來偵測包含保護標記的專案。
保護標記提供備份方法來識別專案的敏感度。 DLP 原則是使用 範例 SIT 語法 中提供的 SIT 來設定,以偵測與 SECURITY classifications (OFFICIAL: Sensitive and PROTECTED) 一致的保護標記。 包含這些標記的專案已套用共用限制。
使用Microsoft提供的 DLP 原則範本來偵測與澳大利亞數據類型相關的敏感性資訊。
Microsoft提供的 DLP 原則範本,如 使用 DLP 原則範本來控制敏感性資訊的電子郵件、識別及保護從 SharePoint 或 OneDrive 位置共用的敏感性資訊中所示範。 與澳大利亞政府相關的原則範本包括:
- 增強的澳大利亞隱私權法案
- 增強的澳大利亞健康情況記錄法案
- 澳洲財務資料
- PCI 資料安全性 Standard - PCI DSS
- 澳洲個人識別資訊 (PII) 資料
使用自定義 SIT 和分類器來偵測與澳大利亞政府計劃或服務相關的敏感性資訊。
自定義 SIT 可用來識別透過 SharePoint 或 OneDrive 共用之專案中包含的敏感性關鍵詞或詞彙。 透過 DLP 控制自定義 SIT 電子郵件的 範例可套用至 SharePoint 和 OneDrive 服務。
使用 Defender for Cloud Apps 監視敏感性信息的共用
Microsoft Defender for Cloud Apps 提供軟體即服務 (SaaS) 應用程式的保護,包括在線應用程式和在線記憶體服務。
SharePoint 共用設定 允許設定網域清單,這些網域已核准接收共用連結,並設定為符合 PSPF 原則 9 需求 1:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 1 - 共用資訊和資源的正式協定 | 將安全性分類資訊或資源公開給政府外部的人員或組織時,實體必須已備妥合約或安排,例如合約或 deed,以管理資訊的使用和保護方式。 |
透過 Defender for Cloud Apps,我們可以擴充 DLP 監視功能。 例如,系統會建立原則來檢查是否共用包含 SIT 與匿名電子郵件地址組合的專案。 系統管理員可以移除外部使用者的共享許可權,並完成各種報告動作。
Defender for Cloud Apps 也提供一些匯總的報告,以警示系統管理員小組違反異常高原則的使用者。
如需使用 Defender for Cloud Apps 來監視或控制共用活動的詳細資訊,請參閱 Microsoft Defender for Cloud Apps 中的檔案原則。
使用內部風險管理監視敏感性資訊
測試人員風險管理是一種合規性解決方案,可讓您偵測、調查及處理組織中惡意和不經意的活動,以協助將內部風險降至最低。
如需有關內部風險管理的詳細資訊,請 參閱瞭解內部風險管理。
監視敏感性信息的共用,並針對可能未授權的洩漏事件採取行動,符合 PSPF 原則 9 需求 2:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 9 需求 2 - 限制安全性分類資訊和資源的存取 | 若要降低未經授權洩漏的風險,實體必須確保只有需要知道的人員才能存取安全性分類資訊或資源。 |
測試人員風險管理會記錄用戶風險活動的統計數據,並提供計量給安全性小組,讓他們能夠進一步調查風險事件。
測試人員風險管理原則可以設定為專注於敏感性資訊周圍的活動。 活動可以包含風險順序偵測,例如離職使用者竊取數據,以及有風險的使用者洩漏數據。
測試人員風險管理原則也會設定為與 DLP 原則一致,例如本文中建議的原則。 敏感性信息周圍的可疑活動可以回報給安全性小組,或透過調適型保護自動緩解。
使用調適型保護控制敏感性資訊
IRM 透過稱為調 適型保護的功能,與 Microsoft Purview DLP 原則整合。 IRM 會識別因持續觸發已設定原則而被視為有風險的使用者。 自適性保護會自動對已識別有風險的使用者施加限制,以降低一些風險,直到安全性小組可以調查為止。
以這種方式使用時,自適性保護會與 PSPF 原則 8 需求 3 對齊:
| 需求 | 詳細資料 |
|---|---|
| PSPF 原則 8 核心需求 3 | 針對這些資訊實作作業控制與其價值、重要性和敏感度成正比 |