本文的目的是帮助澳大利亚政府组织改善其信息安全状况。 本文中的指南旨在与 保护性安全策略框架 (PSPF) 和 信息安全手册 (ISM) 中所述的要求保持一致。
本文为澳大利亚政府组织提供配置指南,以降低通过 Microsoft 365 服务不当披露 敏感信息 的风险。 本文探讨除 防止安全机密信息不当分发中所述的配置外,还应实现的配置。
澳大利亚政府组织应确保其 DLP 配置包括:
- 使用 Microsoft提供了 DLP 策略模板,用于检测与澳大利亚数据类型相关的敏感信息。
- 使用敏感信息类型 (SCT) 来检测通过保护标记分类的潜在安全项。
- 使用自定义 SCT 和分类器来检测与澳大利亚政府计划或服务相关的敏感信息。
基于其上下文 (敏感度标签) 和内容保护信息的综合 DLP 配置将大大降低信息丢失的风险。 基于内容的检测方法还减少了组织对安全分类作为数据安全控制的唯一定位点的依赖。
基于内容 (而不是基于标签的) 方法的示例包括以下情况:
- 用户恶意降级应用于 (项的敏感度标签,如 重新分类注意事项) 中所述,然后尝试将其泄露。
- 用户从机密文档复制敏感信息,并将其粘贴到电子邮件或 Teams 聊天中。
- 攻击者通过泄露的帐户进行访问,会从内部服务获取大量信息,并尝试通过电子邮件将其泄露。
在上述每种方案中,评估实际内容而不是应用于项目的标签的方法都用于帮助防止和限制数据泄露。
在需要知道方面,批准外部组织访问安全机密信息并不自动表明组织中的所有用户都应能够访问敏感信息。 政府组织应应用配置,以便提供对敏感信息流的精细可见性和控制,而与专注于敏感度标签或分类的控制无关。 这些控制措施符合 保护性安全策略框架 (PSPF) 要求 75。
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 75 | 仅向具有适当安全许可 (实体外部的人员提供对安全机密信息或资源的访问权限(如果需要) 和需要知道),并根据最低保护和处理要求进行转移。 |
注意
保护敏感信息的策略首先取决于被标识为敏感信息的信息。 在 识别敏感信息时详细介绍了这些概念。
控制敏感信息的电子邮件
Microsoft Purview DLP 配置应包括以下策略:
- 识别和保护包含敏感信息的电子邮件
- 根据相应的安全分类识别和保护包含保护标记的项目
- 识别和保护包含代码字、敏感术语或被视为对组织敏感的内容的项目
利用 DLP 策略模板控制敏感信息的电子邮件
所有组织都会保留一定程度的敏感信息。 这可能是有关用户、客户或公众成员的信息。 Microsoft) 和 DLP 策略模板 (SCT 提供预生成的敏感信息类型,以帮助识别和保护通常需要保护的信息。
运行状况信息是组织需要保护的敏感信息的一个示例。 在澳大利亚,我们有《 我的健康记录法》 ,其中包括一个隐私框架,规定如何收集和使用健康信息,以及对不当收集或披露的处罚。
为了准确识别健康信息,我们可以使用 命名实体敏感信息类型中讨论的方法。
可以适当地标记运行状况信息,以及基于标签的控制措施,例如, 防止不当分发应用于它的安全机密信息 。 但是,需要知道仍适用。 无论外部组织是否获准访问机密信息,都不应在没有要求的情况下接收或访问此类信息。 进一步的粒度对于帮助解决需要了解至关重要。
以下示例 DLP 规则用于防止运行状况记录的外部分发。 此示例策略使用预先构造的策略模板 澳大利亚健康记录法 (HRIP 法案) 增强,修改为仅适用于 Exchange 服务,以便强制执行基于收件人的限制。
此策略模板(而不仅仅是查找运行状况信息)旨在识别运行状况信息与其他信息类型的组合。 可能表示运行状况记录的其他类型的信息包括姓名、地址和其他个人标识符。
Microsoft提供的策略模板允许定义小批量策略作。 默认情况下,低音量配置为 1 到 9 次,而高音量配置为超过 10 次。 可以进一步自定义这些阈值。
需要知道信息的外部组织可以通过规则的例外 NOT 列表添加到已批准的域列表中。
| 规则名称 | 条件 | 操作 |
|---|---|---|
| 澳大利亚健康记录法案检测到的低内容量 | 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含以下内容中的任何一项: - 澳大利亚税务文件编号 (0 到 9) - 澳大利亚医疗帐号 (0 到 9) - 澳大利亚物理地址 (0 到 9) AND 内容包含: - 所有全名 (0 到 9) AND 内容包含: - 所有医疗条款和条件 (0 到 9) AND Group NOT 收件人域为: - 已批准接收运行状况信息的域列表 |
通过电子邮件和策略提示通知用户。 配置策略提示: “此电子邮件的收件人来自无权接收运行状况信息的组织。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置较低的事件严重性和适当的通知选项。 |
| 澳大利亚健康记录法案检测到大量内容 | 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含以下内容中的任何一项: - 澳大利亚税务文件编号 (10 到任何) - 澳大利亚医疗帐号 (10 到任何) - 澳大利亚物理地址 (10 到任何) AND 内容包含: - 所有全名 (10 到任何) AND 内容包含: - 所有医疗条款和条件 (10 至任何) AND Group NOT 收件人域为: - 已批准接收运行状况信息的域列表 |
通过电子邮件和策略提示通知用户。 配置策略提示: “此电子邮件的收件人来自无权接收运行状况信息的组织。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置高事件严重性和适当的通知选项。 |
此类 DLP 规则的一个显著好处是,如果恶意用户或被入侵的帐户试图将大量运行状况记录泄露到未经批准的电子邮件域,则会阻止该作并通知管理员。 组织可以将这些控制扩展到内部用户,以帮助确保从事不相关业务功能的外部用户无法接收这种类型的运行状况信息。 还可以创建其他规则,这些规则将相同的控件应用于 组织内部的人员。 这些规则可以使用内部组作为例外,而不是外部域列表。
注意
为了应用可用于 Exchange 服务的 DLP 条件(例如 收件人域为 ),策略模板仅应用于 Exchange 服务。 这意味着每个策略模板将多次使用,每个服务使用一次。 例如:
- 澳大利亚健康记录法增强的交换
- 针对 SharePoint 和 OneDrive 增强的澳大利亚运行状况记录法案
- 澳大利亚健康记录法案增强的 Teams 聊天和频道消息传送
Microsoft提供的预生成 DLP 策略模板,澳大利亚政府组织应考虑这些模板的实现包括:
- 增强的澳大利亚隐私法案
- 澳大利亚健康记录法增强
- 澳大利亚财务数据
- PCI 数据安全Standard - PCI DSS
- 澳大利亚个人身份信息 (PII) 数据
控制标记信息的电子邮件
敏感度标签应用作项敏感度的关键指示。 在大多数情况下,根据应用的标签保护信息的方法(如 防止安全分类信息不当分发中所述)提供了足够的保护。 但是,我们还应考虑以下情况:
- 从分类项复制内容。
- 项目从外部政府组织接收,并已标记,但尚未标记。
- 项是在敏感度标签部署之前创建的,尚未对其应用标签。
在尚未标记项目的情况下,可以使用 基于客户端的自动标记 和 基于服务的自动标记 的组合来向项目应用标签。 当用户打开文件时,将应用基于客户端的建议。 基于服务的自动标记索引,并标记电子邮件的静态或传输中的项目。
为了改进保护,内容标识方法(如 用于检测保护标记的示例 SIT 语法所示)可用于查找保护性标记。 识别后,可以对与标记关联的安全分类保持一致的项应用保护。 这允许在用户忽略客户端标签建议或基于服务的自动标记尚未处理项目的情况下保护项。
提示
澳大利亚政府组织应实施 DLP 策略,检查电子邮件中的保护性标记。 应创建策略,以同时面向 PROTECTED 和官方:敏感标记。 其他配置可以应用于子集,例如具有 CABINET 警告的标记。
例如,以下 DLP 规则仅适用于 Exchange 服务。 该规则标识电子邮件上的 PROTECTED 标记,然后阻止除已批准的组织外的所有组织接收它。
注意
此规则是 示例 DLP 规则:阻止向未批准的组织发送受保护电子邮件中提供的示例副本。 但是,它在策略条件中使用 SIT,而不是敏感度标签。 它包括确保它不会针对标记的项触发的异常,这些项也可能包含匹配的 SCT。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含敏感信息类型: - 选择所有受保护的 SIT AND Group NOT 内容包含敏感度标签: - 选择所有受保护的标签 AND Group NOT 收件人域为: - 已批准接收 PROTECTED 电子邮件的域列表 |
限制访问或加密Microsoft 365 个位置的内容: - 阻止用户接收电子邮件或访问 - 阻止所有人 配置策略提示: “此电子邮件的收件人来自无权接收受保护信息的组织。 除非从 到 字段中删除未经授权的收件人,否则将阻止此电子邮件。 如果不正确,请联系支持人员讨论你的要求。” 配置相应的事件严重性和通知选项。 |
使用较低分类保护项
Microsoft 的信任,但验证 安全分类方法是否允许用户更改应用于项目的敏感度标签。 这在 重新分类注意事项中进行了讨论。
澳大利亚政府代表参加的Email对话都对他们施加了保护作用。 它们存在于电子邮件 x 标头中,但也存在于整个对话历史记录的主题标记和基于文本的视觉标记中。
如果应用于电子邮件对话的分类降级,例如,从“受保护的个人隐私”降级为“UNOFFICIAL”,则会触发标签更改理由,生成可审核事件,并进一步纳入内部风险管理。 出现此情况后,以前应用的主题标记和基于文本的视觉标记在通过 SIT 发送的电子邮件中可识别。 例如,具有以下正则表达式的 SIT 在电子邮件标头中标识“PROTECTED // 个人隐私”,在主题标记中标识 [SEC=PROTECTED, Access=Personal-Privacy]:
PROTECTED(?:\s\|\/\/\|\s\/\/\s\|,\sACCESS=)Personal[ -]Privacy
上一部分中提供的示例 DLP 规则 (控制标记信息 的电子邮件) ,将通过保护标记将项目标识为 PROTECTED,并阻止外泄,而不管应用的敏感度标签如何。 谨慎的 DLP 策略排序以及适当的报告作还允许在以下情况下:电子邮件因 SIT 而被阻止,而不是将标签标记为安全团队作为优先事件。
解决降级的另一种方法是实施策略,该策略根据电子邮件正文中可检测到的标记检查应用的标签。 例如, 包含敏感度标签 UNOFFICIAL、官方、官方:敏感和包含敏感信息类型 PROTECTED。 这种增量降级事件有力地表明标签降级不当,并需要进一步调查。 使用此类条件的 DLP 策略还提供了遵循 ISM-1089 的方法:
| 要求 | 详情 |
|---|---|
| ISM-1089 (2025 年 3 月) | 保护性标记工具不允许答复或转发电子邮件的用户选择低于以前使用的防护标记。 |
注意
基于保护性标记(而不是敏感度标签)阻止信息分发在数据安全性方面有好处,但可能会导致已有意降低分类的项目被阻止分发。 建立有关解密的业务规则,并使用 DLP 策略作 ,这些作允许在有业务要求时进行替代。
配置用于识别和保护具有较低分类的项的策略是符合内部风险管理策略的良好候选项。 可以集成策略,以便在用户触发 DLP 策略时,它会被纳入 Insider Risk Management 用户风险分数,从而增加完成这些活动的用户的易感性,从而被标记为有风险,并通过自适应保护限制其作。
有关此方案的详细信息,请参阅[Insider Risk Management 方案 2:恶意标签降级] (pspf-insider-risk.md#Insider Risk Management-scenario-2-malicious-label-downgrade) 。
控制自定义 SCT 的电子邮件
信息标识方法(如 自定义敏感信息类型 )以及在 识别敏感信息时讨论的其他功能,提供了一种检测与单个组织相关的敏感信息的方法。 创建 SCT 和可训练分类器以满足特定的澳大利亚政府信息保护要求。 然后,这些 SIT 将用于 DLP 策略,以控制包含标识信息的项的分发。
澳大利亚政府组织中普遍要求的示例之一是需要保护问责材料,例如与敏感代码字或计划相关的信息。 为此,可以创建包含关键字或术语列表的 SIT 或一组 SIT。 然后,可以在 DLP 策略中使用此 SIT 来警告用户,可能要求用户在发送之前输入业务理由,或者完全阻止通信。
以下 DLP 规则示例适用于 Exchange 服务。 它会检测包含敏感代码字的电子邮件,并在检测到时向用户显示策略提示。 在发送电子邮件之前,用户需要提供业务理由并确认警告。
| 条件 | 操作 |
|---|---|
| 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含敏感信息类型: - 敏感代码字 SIT |
配置策略提示: “此电子邮件包含敏感术语,该术语可能不适合指定的收件人。 在发送之前,请确保所有收件人都有权访问随附的信息。” 允许用户覆盖策略限制: - 需要业务理由才能替代 - 要求最终用户显式确认替代 配置相应的事件严重性和通知选项。 |
限制包含敏感内容的外部聊天
DLP 策略可以配置为应用于 Teams 聊天和频道消息。 此配置与已实现灵活协作选项(例如与外部用户聊天的能力)的组织最相关。 此类组织希望通过协作提高工作效率,但担心通过协作方式(如 Teams 聊天和频道消息)丢失敏感信息。
注意
Exchange 和 Microsoft Teams 的 DLP 策略可以面向或排除特定的收件人域。 这允许应用基于域的异常,帮助确保需要知道并与 PSPF 要求 77 保持一致。
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 77 | 在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。 |
Teams 的 DLP 方法应:
利用Microsoft提供的 DLP 策略模板来检测与澳大利亚数据类型相关的敏感信息。
Microsoft提供的 DLP 策略模板(如 使用 DLP 策略模板来控制敏感信息的电子邮件中所述)用于识别和保护敏感信息,防止通过 Teams 进行通信。
包括使用 SCT 来检测可能已从已分类项粘贴到 Teams 应用程序中的保护性标记。
Teams 聊天中存在保护性标记可指示不适当的披露。 控制已标记信息的电子邮件时演示的策略通过保护性标记来识别敏感信息。 如果对 Teams 应用了类似的策略配置,则它可以标识已粘贴到 Teams 聊天中的标记。 例如,通过此基于文本的数据中可能存在的页眉、页脚或主题标记标识的分类电子邮件讨论中的内容。
使用自定义 SIT 和分类器检测与澳大利亚政府计划或服务相关的敏感信息。
自定义 SIT 用于标识在 Teams 聊天或频道消息中使用的敏感关键字或术语。 提供的 自定义 SIT 控制电子邮件 的示例可应用于 Teams 服务。
通过 Teams 聊天限制运行状况信息的 DLP 策略示例
以下示例 DLP 策略适用于 Teams 服务,并利用澳大利亚运行状况记录策略模板。 当用户通过 Teams 聊天共享运行状况信息时,会触发此策略。 如果收件人不在已批准的组织列表之外,则它会警告共享信息的用户。 可以修改规则以阻止聊天消息(如果认为合适)。
| 规则名称 | 条件 | 操作 |
|---|---|---|
| 澳大利亚健康记录法案检测到的低内容量 | 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含以下内容中的任何一项: - 澳大利亚税务文件编号 (0 到 9) - 澳大利亚医疗帐号 (0 到 9) - 澳大利亚物理地址 (0 到 9) AND 内容包含: - 所有全名 (0 到 9) AND 内容包含: - 所有医疗条款和条件 (0 到 9) AND Group NOT 收件人域为: - 已批准接收运行状况信息的域列表 |
通过电子邮件和策略提示通知用户。 配置策略提示: “此邮件的收件人来自无权接收运行状况信息的组织。” 配置较低的事件严重性和适当的通知选项。 |
| 澳大利亚健康记录法案检测到大量内容 | 内容从 Microsoft 365 共享, 与组织外部的人员 AND 内容包含以下内容中的任何一项: - 澳大利亚税务文件编号 (10 到任何) - 澳大利亚医疗帐号 (10 到任何) - 澳大利亚物理地址 (10 到任何) AND 内容包含: - 所有全名 (10 到任何) AND 内容包含: - 所有医疗条款和条件 (10 至任何) AND Group NOT 收件人域为: - 已批准接收运行状况信息的域列表 |
通过电子邮件和策略提示通知用户。 配置策略提示: “此邮件的收件人来自无权接收运行状况信息的组织。” 配置高事件严重性和适当的通知选项。 |
通过通信合规性监视外部聊天
通信合规性 提供了 DLP 的替代方法,其中不一定阻止事件,但策略违规被标记以供审查。 然后,管理员可以查看策略匹配项,以便更好地了解情况的完整上下文,并根据组织策略分析适当性。
可以将通信合规性策略配置为查看包含 SCT 组合的传出聊天。 这些策略可以复制与澳大利亚数据类型相关的 SIT 组合,这些数据类型用于 利用 DLP 策略模板来控制敏感信息的电子邮件。
注意
通信合规性包括 光学字符识别 (OCR) 功能,允许它筛选扫描的文档中的敏感信息。
控制敏感信息的共享
敏感度标签是识别敏感信息的主要方法。 如 防止共享安全机密信息中所述,基于标签的 DLP 控制应被视为共享活动数据丢失防护的主要方法。 在 Microsoft Purview 的分层方法中,可以进一步配置 DLP 策略,以识别项目中的敏感内容。 识别内容后,我们可以应用独立于项目的敏感度标签的共享限制。 这样做适用于以下情况:
- 项目标记错误。
- 项目已从外部政府组织收到,并进行了标记,但尚未标记。
- 在敏感度标签部署之前创建且尚未应用标签的项目。
注意
ASD 的安全云蓝图 包含 SharePoint 共享配置指南。 本指南建议将所有共享链接限制为 组织中的人员。
澳大利亚政府组织应考虑适用于 SharePoint 和 OneDrive 服务的 DLP 策略,这些策略:
包括使用 SCT 来检测包含保护性标记的项目。
保护性标记提供了一种用于标识项敏感度的备份方法。 DLP 策略使用 示例 SIT 语法 中提供的 SIT 进行配置,以检测与安全分类 (官方:敏感和受保护) 一致的保护标记。 包含这些标记的项应用了共享限制。
利用Microsoft提供的 DLP 策略模板来检测与澳大利亚数据类型相关的敏感信息。
Microsoft提供了 DLP 策略模板,如 使用 DLP 策略模板来控制敏感信息的电子邮件、标识和保护从 SharePoint 或 OneDrive 位置共享的敏感信息中所示。 与澳大利亚政府相关的策略模板包括:
- 增强的澳大利亚隐私法案
- 澳大利亚健康记录法增强
- 澳大利亚财务数据
- PCI 数据安全Standard - PCI DSS
- 澳大利亚个人身份信息 (PII) 数据
使用自定义 SIT 和分类器检测与澳大利亚政府计划或服务相关的敏感信息。
自定义 SCT 用于标识通过 SharePoint 或 OneDrive 共享的项中包含的敏感关键字或术语。 该示例提供了 通过 DLP 控制自定义 SCT 的电子邮件 可以应用于 SharePoint 和 OneDrive 服务。
通过 DLP Analytics 持续改进 DLP 策略
DLP 分析是一种解决方案,可以:
- 分析组织的信息共享活动,
- 确定组织的最高共享风险,以及
- 生成新的 DLP 策略或对现有策略的更新,以帮助降低风险。
启用后,DLP Analytics 将验证 DLP 配置,并提供有关如何改进策略的建议。 对于澳大利亚政府组织,安全分类和标记项的 DLP 配置可以视为相当固定。 但是,随着时间的推移,检查敏感信息的策略将受益于改进。
DLP Analytics 可能提供的建议的一个示例是在保护个人信息的策略中添加可训练的分类器。 分析可以确定策略生成过多的误报,因此可能会建议将分类器添加为策略条件的异常。 通过这种方式,DLP Analytics 能够持续验证和/或建议对 DLP 配置进行改进。
有关 DLP 分析的详细信息,请参阅 数据丢失防护分析入门。
监视与Defender for Cloud Apps共享敏感信息
Microsoft Defender for Cloud Apps为软件即服务 (SaaS) 应用程序(包括联机应用程序和联机存储服务)提供保护。
SharePoint 共享配置 允许配置已批准接收共享链接并配置为符合 PSPF 要求 77 的域列表:
| 要求 | 详情 |
|---|---|
| PSPF 版本 2024 - 12。 信息共享 - 要求 77 | 在向政府外部的个人或组织披露或共享安全机密信息或资源之前,已制定协议或安排(如合同或契约),规定处理要求和保护。 |
使用 Defender for Cloud Apps,我们可以扩展 DLP 监视功能。 例如,创建了一个策略,用于检查共享包含 SCT 组合的项目到匿名电子邮件地址。 管理员可以删除外部用户的共享权限并完成各种报告作。
Defender for Cloud Apps还提供一些聚合报告,向出现异常高策略违规的用户向管理员团队发出警报。
有关使用Defender for Cloud Apps监视或控制共享活动的详细信息,请参阅 Microsoft Defender for Cloud Apps 中的文件策略。
使用内部风险管理监视敏感信息
内部风险管理提供了一种利用 DLP 策略信号来确定用户风险的方法。 内部风险管理针对潜在恶意用户提供报告,并通过自适应保护提供自动缓解。
保护敏感信息的 DLP 策略应与适当的 Insider Risk Management 配置保持一致。 这些概念在 管理内部风险中探讨。