本文為澳洲政府組織提供用戶端型敏感度自動套用標籤功能的指引。 其目的是展示自動標記如何幫助改善數據安全狀況。 指引旨在遵守 PSPF) 和資訊安全手冊 (保護安全性原則架構 (ISM) 。
自動標記概觀 詳細說明自動標記適合現代政府工作環境並降低安全性風險的詳細資料。
在澳洲政府環境中,用戶端型自動標籤對於根據以下內容建議標籤非常有用:
- 敏感內容偵測
- 外部組織應用的標記
- 非 Microsoft 工具所套用的標記
- 歷史標記
- 段落標記
用戶端型自動標籤會直接在敏感度標籤的設定中設定。 此自動標記方法適用於 Office 或線上用戶端,並以互動方式識別敏感性內容、通知使用者,然後:
- 自動套用與專案中偵測到的最敏感性內容相關的敏感度標籤;或
- 建議使用者套用標籤。
PSPF 2024 需求 59 和 ISM 0271 清楚指出,使用者應該負責將分類套用至專案,而不是自動化服務。 因此,用戶端型自動標籤應設定為僅提供使用者建議:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 09。 分類 & 注意事項 - 要求 59 | 官方資訊的價值、重要性或敏感性由原始人評估,考慮如果資訊的機密性受到損害,對政府、國家利益、組織或個人造成的潛在損害,將 (用作官方記錄) 。 |
| ISM 安全控制:0271 (2025 年 3 月) | 保護標記工具不會自動在電子郵件中插入保護標記。 |
在以下示例中,用戶開始撰寫有關 Project Budgerigar 的文章。 用戶端型自動套用標籤動作會觸發 SIT) 敏感性資訊類型 (偵測。 結果是電子郵件頂端會出現以使用者端為基礎的自動標籤建議:
用戶端型自動套用標籤動作可以根據偵測敏感性資訊類型 (SIT) ,包括精確數據比對 SIT 和可定型分類器來觸發。 也可以使用 SIT 和分類器的組合。
如需與澳洲政府最相關的 SIT 相關資訊,請參閱 識別澳洲政府的敏感性和安全性分類資訊,其中包含建立 SIT 以偵測安全性分類的資訊。
澳洲政府的用戶端型自動標籤案例
用戶端型自動標籤有助於識別分類不足的專案來保護敏感性資訊。 分類不足的信息對澳大利亞政府構成重大風險。 以用戶端為基礎的自動貼標有助於確保正確套用標籤,並適當地標記和保護項目。 正確的標籤可確保只允許適當地散發資訊作為控制項、資料外洩防護 (DLP) ,並根據項目的標籤套用類似的控制項。
準確的分類有助於確保維護需要知道的原則並限制對資訊的存取。 這些概念與 PSPF 2024 需求 131 相關:
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 17. 存取資源 - 需求 131 | 只有需要知道該資訊的實體人員才能存取安全機密資訊或資源。 |
根據敏感內容偵測建議標籤
偵測敏感內容並建議使用者套用適當的標籤,有助於保護資訊並確保需要知道。 用戶端型自動標籤可用的 標籤建議 選項也讓我們確保使用者負責分類決策,而不是自動化系統。
用戶端型自動標籤可用來在適當情況下提高專案敏感度。 對於澳大利亞政府來說,其好處尤其體現在敏感性分類法的高端。 建議將分類從非官方增加到官方與數據安全幾乎沒有關係。 不過,偵測未分類的 PROTECTED 項目可以防止資料外洩。
組織應該編譯 SIT 和分類器的清單,並將其與適當的敏感度標籤對齊。 例如:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感個人隱私 | 澳大利亞健康記錄法得到加強。 此預先建置的 SIT 會嘗試識別下列專案的發生: - 澳洲稅務檔案號碼 (TFN) - 我的健康記錄 - 所有全名 - 所有醫療條款和條件 - 澳洲實際地址 |
與個人有關的健康信息受到隱私法的保護,可能適合標記為“官方敏感個人隱私”。 |
| 官方敏感立法保密 | 包含關鍵字的「立法機密關鍵字」自訂 SIT,例如: - “立法保密警告:” |
根據 PSPF 2024 版指南中的建議,應將基於文本的警告通知放置在與立法信息相關的項目的頂部和底部。 組織應透過文件範本或類似方式應用這些通知。 這些警告通知可用於識別物品,這些物品應標有“官方敏感立法保密”標籤。 |
| 受保護 | 與計劃相關聯的碼字或碼字清單,其資訊應歸類為 PROTECTED。 例如: - 《虎皮鸚鵡計劃》 與主題相關的關鍵字列表,這些關鍵字可被視為高度敏感,並且資訊遺失可能會導致對政府的損害或失去信心。 例如: - “數據洩露” - “高度敏感” - “違法” - “實務守則” - “違反信任” |
關鍵字清單可用來偵測包含與已分類專案、計劃、系統或應用程式相關資訊的項目。 將被視為對組織敏感的關鍵字清單新增至 SIT 可讓 Microsoft 365 提示使用者在偵測到關鍵字時增加專案的敏感度。 這樣做可協助使用者考慮需要知道,並允許將保護套用至專案,以防止不當散發資訊 (例如 DLP、加密和其他控制) 。 |
上表中概述的策略也可用來透過其他 Microsoft 365 功能來尋找敏感性資訊並採取行動,例如:
基於外部機構標記的建議
本檔中討論的許多控制項都是根據套用至專案的標籤來制定。 外部產生的大部分資訊都有文字型保護標記,但根據預設,不會套用與組織相關的敏感度標籤。 這樣做的結果是這類專案不受標籤型 DLP 原則的保護。 當這些項目儲存到敏感度較低的位置時,也不會觸發警示。
可能發生此情況的情況包括:
- 當其他符合 PSPF 的政府組織所建立的專案時。 在這些情況下,保護標記已就緒,但敏感度標籤中繼資料,例如標籤全域唯一識別碼 (GUIDs) ,不會與您自己的敏感度標籤設定一致。 專案會標示為安全性分類,但未標示敏感度標籤。
- 當其他政府組織所建立的專案不符合 PSPF 架構時, (例如,新南威爾士州 (新南威爾士州) 政府組織) 。
- 當外國政府已建立和分類的項目與澳洲政府組織共用時。
為了保護貴組織已收到且是保管人的資訊,可以使用用戶端型自動套用標籤來建議將對等標籤套用至專案,以便保護它們。
這類配置會利用 SIT 來識別外部套用的標記或分類。 然後,必須將這些 SIT 新增至相關敏感度標籤的自動套用標籤設定。
SIT 可用來根據外部套用的標記來建議標籤的一些範例包括:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感 | 官方敏感正則表達式 SIT | 若要識別標示為 「官方」的項目:敏感 ,但未套用「 官方 敏感」標籤,包括其他組織產生的項目。 |
| 受保護 | 受保護的正則表達式 SIT | 識別標記為 PROTECTED 但未套用 PROTECTED 標籤的項目。 |
| 官方敏感 | 官方敏感 – 新南威爾士州政府 | 標示為 「官方敏感性 – 新南威爾士州政府 」且由聯邦政府組織接收的資訊預設不會標示,因此未設定符合 「官方敏感性 」安全性分類的保護措施。 當您的用戶修改這些項目時,將這些項目標記為 官方敏感, 有助於保護包含的信息。 新南威爾士州政府機構應用的視覺標記仍將出現在該物品上,清楚地表明該物品是在其他地方產生的1. |
| 官方敏感 - 法律特權 | 官方敏感 – 法律 (新南威爾士州政府) 官方敏感 – 執法部門 (新南威爾士州政府) |
此配置可確保標有新南威爾士州政府法律相關標記的資訊在位於聯邦政府環境中時,會按照 OFFICIAL:敏感法律特權 進行處理。 |
| 陰 | 自信 UE |
CONFIDENTIEL UE 是歐盟成員國使用的分類。 先前在 PSPF 原則 7 中提供外國政府分類的對應範例,但已併入需求 82。 先前的指導是將 CONFIDENTIEL UE 與 SECRET 安全分類保持一致。 偵測機密 UE 標記並套用 SECRET 標籤有助於確保可以識別這類資訊,並可能根據不應該放在 Microsoft 365 上之資訊的標籤移除 |
注意事項
1 另一種方法可能是在您的組織標籤分類法中包含 官方敏感 – 新南威爾士州政府 標籤。 此標籤只能發佈至系統管理帳戶。 這樣做可確保它在自動標記服務的範圍內,但使用者無法套用至項目。 這個想法在 具有不同標籤分類法的組織的標籤中得到了進一步討論。
| 需求 | 詳細資料 |
|---|---|
| PSPF 2024 - 12. 資訊共用 - 需求 82 | 在訂立國際協定或國際安排的情況下,根據協定或安排的規定保護安全機密的外國實體資訊或資源。 |
以非 Microsoft 工具所套用標記為基礎的建議
許多政府組織目前或以前都使用非 Microsoft 工具將標記套用至檔案和電子郵件。 這些工具設定為套用一或多個:
- X-Protective-Marking x-headers to email
- 電子郵件和文件的文字型頁首和頁尾
- 主旨型電子郵件標記
- 透過文件屬性的檔案中繼資料
對於從非 Microsoft 工具轉換至原生 Microsoft Purview 功能的組織,這些現有的屬性或標記可用來判斷應該套用哪個敏感度標籤。
重要事項
用戶端型自動標籤是服務型自動標籤的補充,兩者應該一起使用。 例如,請考慮以服務為基礎的自動套用標籤尚未識別和標記待用敏感性專案的情況。 在這種情況下,用戶端型自動標記可以在使用者開啟項目時偵測並建議標籤。
服務型自動套用標籤無法偵測位於使用者信箱內的內容或標籤電子郵件。 為了協助確保舊版電子郵件受到保護,使用用戶端型自動標籤來確保在轉寄或回覆電子郵件時,套用至先前存在項目的標記會轉換為標籤。 例如,請考慮預先存在的 PROTECTED 電子郵件,其中套用了文字型 PROTECTED 標記,但沒有敏感度標籤。 當使用者嘗試轉寄或回覆它時,用戶端型自動標籤可以根據現有標記識別 PROTECTED 項目,然後建議使用者將 PROTECTED 標籤套用至項目。
下列用戶端型自動套用標籤範例設定可確保包含現有標記的專案已套用正確的敏感度標籤。 這些設定也會識別舊版非 Microsoft 分類工具先前套用的標記,以及外部 PSPF 相容組織所產生專案上的標記:
| 標籤 | SIT要求 | 正則表達式 |
|---|---|---|
| 官方敏感 | SIT 會偵測下列標記語法: - 官方敏感 - 官方:敏感 - 官方:敏感 |
\bOFFICIAL( \ | :\ | : )Sensitive(?!(\s\ | \/\/\ | \/\/ \ | , )(\bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
| 受保護 | SIT 會偵測下列標記語法: - 受保護 |
\bPROTECTED(?!(\s\ | \/\/\ | \/\/ \ | , )(CABINET\b\ | \bNATIONAL( \ | -)CABINET\b\ | [P,p]ersonal( \ | -)[P,p]rivacy\ | \b[L,l]egal( \ | -)[P,p]rivilege\b\ | [L,l]egislative( \ | -)[S,s]ecrecy)) |
注意事項
這些登錄運算式旨在根據安全性分類來識別專案,但排除套用其他資訊管理標記 (IMM) 或警告的標記。 需要更多的 SIT 來識別包含這些額外標記的項目。 如需澳洲政府 SIT 語法的完整清單,請參閱 偵測 保護標記的範例 SIT 語法。
基於歷史標記的建議
政府標記要求確實會定期變化,就像 2018 年 10 月發生的那樣,當時 CONFIDENTIAL 和 For Official Use Only (FOUO) ) (標記已從政策中刪除。 政府組織的系統上可能存在大量資訊,並套用了這些歷史標記。
處理這些歷程記錄標記通常不在任何新的 Microsoft Purview 部署範圍內。 但是,如果您的組織希望將歷史標記納入範圍,則歷史標記可以分為兩類;具有現代等價物的歷史標記和沒有現代對應物的標記。 PSPF 2024 指南 提供了歷史分類和標記的清單及其當前的處理要求。
對於與現代對等項目一致的歷史標記,一個簡單的選項是配置自動標記,以建議在打開這些項目時應用對等標籤。 使用此設定時,使用者體驗為:
- 當使用者 開啟 並嘗試 回覆 或 轉寄 舊版電子郵件時,會偵測到歷程標記。 系統會為使用者提供新電子郵件的標籤建議。
- 當使用者 開啟、修改和 儲存 舊版檔案時,其 Office 用戶端會偵測先前的標記,並提示使用者在儲存之前將新式對等專案套用至專案。
先前的動作有助於確保將適當的控制項套用至歷程記錄項目。
提示
澳大利亞政府記錄管理要求在處理歷史標記時是相關的。 如果專案已由已啟用記錄設定的 Microsoft 365 保留標籤宣告為記錄,則會鎖定該專案,以防止任何進一步的編輯。 結果是無法變更套用的敏感度標籤,因為這需要變更專案,這可能會影響其保留期間。 但是,如果具有歷史標記的項目儲存為新項目 (例如用作範本) ,則根據歷史標記推薦標籤可能會很有用。
以下是如何設定以歷程記錄標記為基礎的 SIT ,並與用戶端型自動套用標籤搭配使用,以根據歷程記錄標記建議新標籤的範例:
| 標籤 | 坐 | 使用 |
|---|---|---|
| 官方敏感 | 僅供官方使用 SIT 包含以下關鍵字: - 僅供官方使用 - 僅供官方使用 - 福歐 X-IN-CONFIDENCE SIT 包含下列關鍵字: - X-置信 |
用戶端型自動標記可用來識別套用這些歷程標記的舊版內容,並根據舊版專案建議新專案或編輯專案的新式替代方案。 |
應該設定 SIT 和 DLP 原則,以檢查歷程記錄標記,並確保套用相關的控制項。 這些設定可確保具有透過電子郵件向外部傳送的歷史標記的專案具有新式標籤和相關聯的控制項。
根據段落標記建議標籤
一些政府組織在文件中使用段落標記。 段落的建議是使用一組 SIT 來建立,以協助識別可根據其包含的段落標記套用至專案的敏感度。 不過,文件標籤會彙總至最高標記。
為了實現這一點,我們可以使用:
-
OFFICIAL 關鍵字 SIT 偵測
(O)段落標記,並建議在偵測到時套用 OFFICIAL 標籤。 - 官方 敏感性關鍵字 SIT 會偵測
(O:S)段落標記,並建議在偵測到時套用官方標籤。 -
PROTECTED 關鍵字 SIT 會偵測
(P)段落標記,並建議在偵測到時套用 PROTECTED 標籤。 -
SECRET 關鍵字 SIT 會
(S)偵測段落標記,並建議在偵測到時套用 SECRET 標籤。
SECRET 標記 SIT 可用於識別不應儲存在平臺內的資訊。 檢查包含此類標記的項目可以識別溢出的數據,並防止進一步的資料外洩。 如需詳細資訊,請參閱 不應 放在 Microsoft 365 上的資訊的標籤。
注意事項
段落標記等直接的關鍵字 SIT 可能會產生誤判。 例如,如果 (P) 出現在檔或電子郵件中,而不打算作為段落標記,服務可以建議使用者將專案標示為 PROTECTED。 因此,在實作之前,應該仔細考慮識別段落標記的 SIT,以判斷是否可能發生誤判相符專案。
用戶端型自動標籤組態範例
這些範例是以使用 SIT 和分類器來識別保護標記或敏感性資訊為基礎。 一旦識別出來,就會向使用者推薦適當的標籤。 這些範例是樣板澳洲政府範例,組織應努力開發自己的 SIT 來識別組織特定資訊。
| 標籤 | 建議的 SIT |
|---|---|
| 非官方 |
非官方正則表達式 SIT 旨在檢測非官方標記。 非官方段落標記 SIT 旨在檢測 (UO). |
| 官員 |
官方正則表達式 SIT 旨在檢測官方標記 官方段落標記 SIT 旨在檢測 (O). |
| 官方敏感 (類別) | 不適用 |
| 官方敏感 |
官方:敏感正則表達式 SIT 旨在檢測官方敏感標記的變化,而不包含信息管理標記 (IMM) 或警告。 與資訊揭露可能導致損害的程式或系統相關資訊的 SIT。 預先建置的 SIT: - 所有認證類型 - 信用卡號碼 “官方敏感段落標記” SIT 旨在偵測 (O:S) |
| 官方敏感個人隱私 |
官方:敏感的個人隱私正則表達式 旨在檢測標記。 預先建置的 SIT: - 澳洲銀行帳號 - 澳大利亞駕照 - 澳洲醫療帳號 - 澳洲護照號碼 - 澳洲稅務檔案號碼 |
| 官方敏感法律特權 |
官方:敏感法律特權正則表達式 SIT 打算對標記進行文字刪除。 預先建置的可訓練分類器: - 法律事務 |
| 官方敏感立法保密 | 官方:敏感的立法保密正則表達式 SIT 旨在檢測標記。 |
| 官方敏感國家內閣 | 官方:敏感的國家內閣正則表達式 SIT 旨在檢測標記。 |
| 受保護 (類別) | 不適用 |
| 受保護 |
受保護的正則表達式 SIT 旨在檢測標記。 受保護的段落標記 SIT 旨在檢測 (P).其他與資訊揭露可能導致損害的程式或系統相關的關鍵字 SIT。 |
| 受保護的個人隱私 | 受保護的個人隱私正則表達式 SIT 旨在檢測標記。 |
| 受保護的法律特權 | 受保護的法律權限規則運算式 SIT 旨在檢測標記。 |
| 受保護的立法保密 | 受保護的立法保密規則運算式 SIT 旨在檢測標記。 |
| 受保護的國家內閣 | 受保護的國家內閣正則表達式 SIT 旨在檢測標記。 |
| 受保護的機櫃 | 受保護的內閣正則表達式 SIT 旨在檢測標記。 |
注意事項
如需 RegEx) (登錄運算式清單,以在 SIT 中用於識別安全性分類,請參閱 識別 澳洲政府或 ASD 範例的敏感性和安全性分類資訊, 以識別 其安全雲端藍圖中的範例。