本文提供有關用戶端型敏感度自動套用標籤功能的指引給澳大利亞政府組織。 其目的是示範自動套用標籤如何協助改善資料安全性狀態。 指引旨在遵循保護 安全策略架構 (PSPF) 和 資訊安全性手冊 (ISM) 。
自動套用標籤觀詳細 數據,其中自動套用標籤適用於現代政府工作環境,並降低安全性風險。
在澳洲政府的內容中,以客戶端為基礎的自動套用標籤適用於根據下列專案建議標籤:
- 敏感性內容偵測
- 外部組織套用的標記
- 非Microsoft工具所套用的標記
- 歷程記錄標記
- 段落標記
用戶端型自動套用標籤是直接在敏感度標籤的組態中設定。 此自動套用標籤的方法適用於 Office 或線上用戶端,並以互動方式識別敏感性內容、通知使用者,然後:
- 自動套用與專案中偵測到最敏感性內容相關的敏感度標籤;或
- 建議使用者套用標籤。
PSPF 2024 需求 59 和 ISM 0271 清楚指出使用者應該負責將分類套用至專案,而不是自動化服務。 因此,應該將以客戶端為基礎的自動套用標籤設定為僅提供用戶建議:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 09。 分類 & 注意事項 - 需求 59 | 針對要作為官方記錄 (使用之官方資訊的值、重要性或敏感度) ,由寄件者評估,方法是考慮如果信息的機密性遭到入侵,可能會對政府、國家利益、組織或個人造成損害。 |
| ISM 安全性控制:2025 年 3 月 (0271) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
在下列範例中,用戶會寫入 Project Budgerigar。 以客戶端為基礎的自動套用標籤動作觸發了偵測敏感性資訊類型 (SIT) 。 結果是在電子郵件頂端顯示以客戶端為基礎的自動套用標籤建議:
用戶端型自動套用標籤動作可以根據偵測敏感性資訊類型 (SIT) 來觸發,包括精確數據比對 SIT 和可訓練分類器。 您也可以使用 SIT 和分類器的組合。
如需與澳大利亞政府最相關之 SIT 的相關信息,請參閱 識別澳大利亞政府機密和安全性分類資訊,其中包括建立 SIT 以偵測安全性分類的相關信息。
澳大利亞政府的用戶端型自動套用標籤案例
以客戶端為基礎的自動套用標籤可藉由識別分類過底的專案來協助保護敏感性資訊。 分類不足的信息對澳大利亞政府造成重大風險。 以客戶端為基礎的自動套用標籤可協助確保正確的標籤應用程式,並適當地標示和保護專案。 正確的標籤可確保只允許適當的資訊散發,因為控件、數據外洩防護 (DLP) ,以及根據專案的標籤套用類似的控制項。
精確分類有助於確保維護需要知道的原則,並限制對資訊的存取。 這些概念與 PSPF 2024 需求 131 相關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 17。 資源存取 - 需求 131 | 只有需要知道該資訊的實體人員才能存取安全性分類資訊或資源。 |
根據敏感性內容偵測建議標籤
偵測敏感性內容並建議使用者套用適當的標籤有助於保護資訊,並確保需要知道。 用戶端型自動標籤可用的 標籤建議 選項也可讓我們確保使用者負責分類決策,而不是自動化系統。
用戶端型自動套用標籤會在適當時用來增加專案敏感度。 對於澳大利亞政府而言,這些優點特別出現在敏感度分類法的高層級。 建議將分類從 OFFICIAL 增加至 OFFICIAL,對數據安全性沒有多大相關性。 不過,偵測未分類的 PROTECTED 專案可能會防止數據外洩。
組織應該編譯 SIT 和分類器的清單,並將其與適當的敏感度標籤對齊。 例如:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性個人隱私權 | 增強澳大利亞健康情況記錄法。 這個預先建置的 SIT 會嘗試識別下列專案: - TFN) (澳大利亞稅務檔案編號 - 我的健全狀況記錄 - 所有完整名稱 - 所有醫療條款和條件 - 澳大利亞實體位址 |
與個人相關的健康情況資訊會受到隱私權法案的保護,而且可能適合標示為「官方敏感性個人隱私權」。 |
| 官方機密機密機密密碼 | 包含關鍵字的「秘密關鍵詞」自定義 SIT,例如: - 「秘密密碼警告:」 |
如 PSPF 2024 版指導方針中的建議,文字型警告通知應該放在與法律資訊相關的專案頂端和底部。 組織應該透過文件範本或類似的方式來套用這些通知。 這些警告通知可用來識別專案,這些專案應該標示為「官方機密機密機密」標籤。 |
| 保護 | 與計劃相關聯的 Codeword 或程式代碼詞清單,這些計劃應將其資訊分類為 PROTECTED。 例如: - 'Project Budgerigar' 與主體相關的關鍵詞清單,這些關鍵詞可視為高度敏感,以及哪些資訊遺失可能會對政府造成損害或失去信賴。 例如: - 「數據外洩」 - 「高度敏感」 - 「違反法律」 - 「實務代碼」 - 「信任缺口」 |
關鍵詞清單可用來偵測包含分類專案、計劃、系統或應用程式相關信息的專案。 將視為對組織敏感的關鍵詞清單新增至 SIT,可讓Microsoft 365 提示使用者在偵測到關鍵詞時提高專案的敏感度。 這樣做可協助用戶考慮需要知道,並允許將保護套用至專案,以防止不當散發資訊 (例如 DLP、加密和其他控件) 。 |
上表中所述的策略也可用來透過其他Microsoft 365 功能來尋找及處理敏感性資訊,例如:
根據外部機構標記的建議
本文件中討論的許多控件都是根據套用至專案的標籤來制定。 外部產生的大部分資訊都已備妥文字型保護標記,但根據預設,不會套用與貴組織相關的敏感度標籤。 其結果是這類專案不會受到標籤型 DLP 原則的保護。 當這些項目儲存至較低的敏感度位置時,也不會觸發警示。
可能發生此案例的情況包括:
- 當符合 PSPF 的其他政府組織建立專案時。 在這些情況下,保護標記已就緒,但敏感度標籤數據,例如標籤局唯一標識碼 (GUID) ,不會與您自己的敏感度標籤設定一致。 項目會標示安全性分類,但未標示敏感度標籤。
- 當其他政府組織所建立的專案未或只與 PSPF 架構部分一致時, (例如,新南加索引 (的) 政府組織) 。
- 當外部政府建立和分類的專案與澳大利亞政府組織共用時。
若要保護貴組織已收到且為 監管人的資訊,可以使用以客戶端為基礎的自動套用標籤,建議將對等標籤套用至專案,以便受到保護。
這類設定會使用 SIT 來識別外部套用的標記或分類。 接著,這些 SIT 必須新增至相關敏感度標籤的自動套用標籤。
SIT 可用來根據外部套用的標記來建議標籤的一些範例包括:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性 | OFFICIAL Sensitive Regex SIT | 識別標示為 OFFICIAL:敏感 但未套用 OFFICIAL 敏感性標籤的專案,包括其他組織產生的專案。 |
| 保護 | PROTECTED Regex SIT | 識別標示為 PROTECTED 但未套用 PROTECTED 標籤的專案。 |
| 官方敏感性 | 官方敏感性 – 美國政府機關 | 標示為 OFFICIAL 敏感性 - 依 預設,已由聯邦政府組織接收且由美國政府接收的資訊不會加上標籤,因此未設定與 OFFICIAL 敏感 性安全性分類一致的保護。 當使用者修改時,將這些項目標示為 OFFICIAL Sensitive 有助於保護包含的資訊。 在該專案上仍會顯示由「}}「}}「}您所套用的視覺標記,讓您清楚知道該專案已在其他地方產生1。 |
| 官方敏感性 - 法律許可權 | 官方敏感性 – (GOV) 官方敏感性 – (GOV) 的執法機關 |
此設定可確保標示為任一個與之一的都是與 OFFICIAL ..機密法律 許可權一起處理的資訊,而該資訊則位於聯邦政府環境內。 |
| 秘密 | CONFIDENTIEL UE |
CONFIDENTIEL UE 是歐盟成員所使用的分類。 外部政府分類的對應範例先前已在 PSPF 原則 7 中提供,但已併入需求 82。 先前的指引是讓 CONFIDENTIEL UE 與 SECRET 安全性分類一致。 偵測機密 UE 標記並套用 SECRET 標籤有助於確保能夠識別這類資訊,且可能與不應放置在 Microsoft 365 上的資訊卷標一起移除 |
注意事項
1 替代方法可能是在您的組織標籤分類法中包含 OFFICIAL Sensitive – 僅限您的 GOVERNMENT 標籤。 此標籤只能發佈至系統管理帳戶。 這樣做可確保它在自動套用標籤服務的範圍內,但使用者無法套用至專案。 對於 具有不同標籤分類的組織,此概念會在標籤中進一步討論。
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 12。 信息共用 - 需求 82 | 當國際合約或國際安排已就緒時,安全性分類的外部實體資訊或資源會根據合約或安排中所設定的布建受到保護。 |
根據非Microsoft工具所套用標記的建議
許多政府組織目前或先前已使用非Microsoft工具,將標記套用至檔案和電子郵件。 這些工具已設定為套用一或多個:
- X-保護標記 x 標頭到電子郵件
- 電子郵件和文件的文字型頁首和頁尾
- 以主體為基礎的電子郵件標記
- 透過文件屬性的檔案元數據
對於從非Microsoft工具轉換為原生 Microsoft Purview 功能的組織,這些現有的屬性或標記可用來判斷應該套用哪一個敏感度標籤。
重要事項
以客戶端為基礎的自動套用標籤可補充以服務為基礎的自動套用標籤,而且兩者應該一起使用。 例如,請考慮服務型自動套用標籤尚未識別並標示待用敏感性項目的情況。 在這種情況下,用戶端型自動套用標籤可以在用戶開啟專案時偵測並建議標籤。
服務型自動套用標籤無法偵測使用者信箱內的內容或標籤電子郵件。 為了協助確保舊版電子郵件受到保護,用戶端型自動套用標籤可用來確保在轉寄或回復電子郵件時,套用至預先存在專案的標記會轉換成卷標。 例如,假設有一封預先存在的 PROTECTED 電子郵件,其中已套用文字型 PROTECTED 標記,但沒有敏感度標籤。 當使用者嘗試轉寄或回復該專案時,以用戶端為基礎的自動套用標籤可以根據現有的標記來識別 PROTECTED 專案,然後建議使用者將 PROTECTED 標籤套用至專案。
下列用戶端型自動套用標籤範例組態可確保包含現有標記的專案已套用正確的敏感度標籤。 這些設定也會識別舊版非Microsoft分類工具先前所套用的標記,以及外部 PSPF 兼容組織所產生之專案上的標記:
| 標籤 | SIT 需求 | 正則表達式 |
|---|---|---|
| 官方敏感性 | 偵測下列標記語法的 SIT: - 官方敏感性 - OFFICIAL:敏感性 - OFFICIAL:Sensitive |
\bOFFICIAL( \ | :\ | : )Sensitive(?!(\s\ | \/\/\ | \/\/ \ | , )(\bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
| 保護 | 偵測下列標記語法的 SIT: - 保護 |
\bPROTECTED(?!(\s\ | \/\/\ | \/\/ \ | , )(CABINET\b\ | \bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
注意事項
這些登錄表達式旨在根據安全性分類來識別專案,但會排除已套用其他資訊管理標記 (IMM 的標記) 或警告。 需要更多 SIT 來識別專案,包括這些額外的標記。 如需澳大利亞政府之 SIT 語法的完整清單,請參閱 偵測保護標記的範例 SIT 語法。
根據歷程記錄標記的建議
政府標記需求會定期變更,如 2018 年 10 月 (標記時發生,例如,已從原則中移除 CONFIDENTIAL 和僅供官方使用 (FOUO) ) 。 政府組織可能會在其系統上擁有大量資訊,並套用這些歷程記錄標記。
處理這些歷程記錄標記通常不在任何新的 Microsoft Purview 部署範圍內。 不過,如果您的組織想要將歷程記錄標記納入範圍,則歷程記錄標記可以分成兩個類別;具有新式對等項目和沒有標記的歷史標記。 PSPF 2024 指導方針 提供歷程記錄分類和標記的清單,以及其目前的處理需求。
與新式對等專案一致之歷程記錄標記的簡單選項,是設定自動套用標籤,以建議在這些項目開啟時套用對等標籤。 使用此設定時,用戶體驗如下:
- 當用戶 開啟 並嘗試 回復 或 轉寄 舊版電子郵件時,會偵測到歷程記錄標記。 系統會為使用者提供新電子郵件的標籤建議。
- 當用戶 開啟、修改及 儲存 舊版檔案時,其 Office 用戶端會偵測先前的標記,並提示使用者在儲存之前套用與專案相等的新式檔案。
先前的動作有助於確保將適當的控件套用至歷程記錄專案。
提示
處理歷程記錄標記時,澳大利亞政府記錄管理需求是相關的。 如果專案已由已啟用記錄組態的Microsoft 365 保留標籤宣告為記錄,則該專案會遭到鎖定,無法進行任何進一步的編輯。 結果是套用的敏感度標籤無法變更,因為這需要變更專案,這可能會影響其保留期間。 不過,如果具有歷程記錄標記的專案儲存為新專案 (例如,當做範本) ,則根據歷程記錄標記建議標籤會很有用。
下列範例說明如何設定以歷程記錄標記為基礎的 SIT,並與用戶端型自動標籤搭配使用,以根據歷程記錄標記建議新的標籤:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感性 | 針對包含下列關鍵詞的僅限正式使用 SIT: - 僅供官方使用 - 僅供官方使用 - FOUO 包含下列關鍵字的 X-IN-CONFIDENCE SIT: - X-IN-CONFIDENCE |
用戶端型自動套用標籤可用來識別已套用這些歷程標記的舊版內容,並根據舊版項目建議新式或編輯專案的新式替代方案。 |
SIT 和 DLP 原則應設定為檢查歷程記錄標記,並確保套用相關的控件。 這些設定可確保透過電子郵件在外部傳送歷程記錄標記的專案已套用新式標籤和相關聯的控件。
根據段落標記建議標籤建議標籤
某些政府組織會使用檔中的段落標記。 段落的建議是使用一組 SIT 來建立,以協助識別可根據專案包含的段落標記套用至專案的敏感度。 不過,文件標籤會匯總為最高標記。
為了達成此目的,我們可以使用:
-
OFFICIAL 關鍵詞 SIT 偵
(O)測段落標記,並建議在偵測到時套用 OFFICIAL 標籤。 -
OFFICIAL 敏感性關鍵詞 SIT 偵
(O:S)測段落標記,並建議在偵測到時套用 OFFICIAL 標籤。 -
PROTECTED 關鍵詞 SIT,偵
(P)測段落標記,並建議在偵測到時套用 PROTECTED 標籤。 -
SECRET 關鍵詞 SIT 會
(S)偵測段落標記,並建議在偵測到時套用 SECRET 標籤。
SECRET 標記 SIT 可用於識別不應儲存在平台內的資訊。 檢查包含這類標記的專案可以識別溢出的數據,並可讓您防止進一步的數據外洩。 如需詳細資訊,請參閱 不應放置在 Microsoft 365 上的資訊標籤。
注意事項
段落標記之類的直接關鍵詞 SIT 可能會產生誤判。 例如,如果 (P) , 是顯示在檔或電子郵件中,而不需要做為段落標記,則服務可以建議使用者將專案標示為 PROTECTED。 基於這個理由,在實作之前,應該仔細考慮用來識別段落標記的 SIT,以判斷是否可能發生誤判相符專案。
以客戶端為基礎的自動套用標籤設定範例
這些範例是以使用 SIT 和分類器來識別保護標記或敏感性資訊為基礎。 識別之後,系統會向使用者建議適當的標籤。 這些範例是未定案的澳大利亞政府範例,組織應該努力開發自己的 SIT 來識別組織特定資訊。
| 標籤 | 建議的 SIT |
|---|---|
| 非官方 | 將要偵測到一個一個要偵測到的一個區位標示為一個。。在 Regex SIT 中偵測到此標示。 要標記的PARAGRAPH段落 SIT 旨在偵測 (UO)。 |
| 官方 |
OFFICIAL Regex SIT 旨在偵測 OFFICIAL 標記 OFFICIAL 段落標記 SIT 旨在偵測 (O)。 |
| OFFICIAL 機密 (類別目錄) | 不適用 |
| 官方敏感性 |
OFFICIAL:敏感性 Regex SIT 旨在偵測 OFFICIAL 機密標記的變化,而不包含資訊管理標記 (IMM) 或警告。 與程式或系統相關信息的 SIT,其中資訊洩漏可能會造成損害。 預先建置的 SIT: - 所有認證類型 - 信用卡號碼 'OFFICIAL 敏感段落標記' SIT 旨在偵測 (O:S) |
| 官方敏感性個人隱私權 |
OFFICIAL:敏感性個人隱私權 Regex 旨在偵測標記。 預先建置的 SIT: - 澳洲銀行帳戶號碼 - 澳洲駕照 - 澳洲醫療帳戶號碼 - 澳洲 Passport 號碼 - 澳洲稅務檔案號碼 |
| 官方敏感性法律許可權 |
OFFICIAL:敏感性法律許可權 Regex SIT 的目的是要將標記譯碼。 預先建置的可訓練分類器: - 法律事務 |
| 官方機密機密機密密碼 | OFFICIAL:敏感性機密機密 Regex SIT 旨在偵測標記。 |
| 官方機密國家封包 | OFFICIAL:機密國家封包 Regex SIT 旨在偵測標記。 |
| protected (Category) | 不適用 |
| 保護 |
受保護的 Regex SIT 旨在偵測標記。 PROTECTED 段落標記 SIT 旨在偵測 (P)。與程式或系統相關的其他關鍵詞 SIT,其中資訊洩漏可能會造成損害。 |
| 受保護的個人隱私權 | PROTECTED Personal Privacy Regex SIT 旨在偵測標記。 |
| PROTECTED Legal Privilege | PROTECTED Legal Privilege Regex SIT 旨在偵測標記。 |
| 受保護的機密 | PROTECTED 的機密密碼 Regex SIT 旨在偵測標記。 |
| PROTECTED NATIONAL CABINET | PROTECTED NATIONAL CABINET Regex SIT 旨在偵測標記。 |
| PROTECTED CABINET | PROTECTED CABINET Regex SIT 旨在偵測標記。 |
注意事項
如需登錄表達式 (RegEx) 用於識別安全性分類的登錄表達式清單,請參閱 識別澳大利亞政府機關的敏感性和安全性分類資訊 或其 安全雲端藍圖中的 ASD 範例。