نظرة عامة حول منع فقدان البيانات في SharePoint Server 2016 و2019

للامتثال لمعايير العمل وأنظمة الصناعة، تحتاج المؤسسات إلى حماية المعلومات الحساسة ومنع الكشف عنها عن غير قصد. تتضمن أمثلة المعلومات الحساسة التي قد ترغب في منع تسريبها خارج مؤسستك البيانات المالية أو المعلومات الشخصية (PII) مثل أرقام بطاقات الائتمان أو أرقام الضمان الاجتماعي أو أرقام المعرف الوطنية. باستخدام نهج منع فقدان البيانات (DLP) في SharePoint Server 2016، يمكنك تحديد المعلومات الحساسة ومراقبتها وحمايتها تلقائيا عبر مجموعات المواقع.

باستخدام DLP، يمكنك:

أنشئ استعلام DLP لتحديد المعلومات الحساسة الموجودة الآن في مجموعات المواقع. قبل إنشاء سياسات DLP، غالبا ما يكون من المفيد معرفة أنواع المعلومات الحساسة التي يعمل عليها الأشخاص في مؤسستك، ومجموعة المواقع التي تحتوي على هذه المعلومات الحساسة. باستخدام استعلام DLP، يمكنك العثور على المعلومات الحساسة التي تخضع للوائح الصناعة الشائعة، وفهم المخاطر بشكل أفضل، وتحديد المعلومات الحساسة التي تحتاج إليها سياسات DLP وحمايتها.
أنشئ نهج DLP لمراقبة المعلومات الحساسة وحمايتها تلقائيا في مجموعات المواقع. على سبيل المثال، يمكنك إعداد نهج يعرض تلميح نهج للمستخدمين إذا كانوا يحفظون مستندات تحتوي على معلومات تعريف شخصية. علاوة على ذلك، يمكن أن يمنع النهج تلقائيا الوصول إلى هذه المستندات للجميع ما لمالك الموقع ومالك المحتوى وكل شخص قام بتعديل المستند آخر مرة. وأخيرا، نظرا لأنك لا تريد أن تمنع نهج DLP الأشخاص من إنجاز عملهم، فإن تلميح النهج لديه خيار لتجاوز إجراء الحظر، بحيث يمكن للأشخاص الاستمرار في العمل على المستندات إذا كان لديهم مبرر عمل.

قوالب DLP

عند إنشاء استعلام DLP أو نهج DLP، يمكنك الاختيار من قائمة قوالب DLP التي تتوافق مع المتطلبات التنظيمية الشائعة. يحدد كل قالب DLP أنواعا معينة من المعلومات الحساسة – على سبيل المثال، يحدد القالب المسمى بيانات معلومات التعريف الشخصية (PII) الأمريكية المحتوى الذي يحتوي على أرقام جواز سفر الولايات المتحدة و المملكة المتحدة أو أرقام تعريف الممولين الفرديين (ITIN) أو أرقام الضمان الاجتماعي (SSN) الأمريكية.

قوالب نهج DLP

أنواع المعلومات الحساسة

يساعد نهج DLP على حماية المعلومات الحساسة، والتي يتم تعريفها كنوع معلومات حساسة. يتضمن SharePoint Server 2016 تعريفات للعديد من أنواع المعلومات الحساسة الشائعة الجاهزة للاستخدام، مثل رقم بطاقة الائتمان، أرقام الحسابات المصرفية، أرقام الم ID الوطنية، أرقام جواز السفر.

عندما تبحث نهج DLP عن نوع معلومات حساسة مثل رقم بطاقة الائتمان، لا تبحث ببساطة عن رقم من 16 رقما. يتم تعريف كل نوع من أنواع المعلومات الحساسة والكشف عنها باستخدام مجموعة من:

الكلمات الأساسية
الدالات الداخلية للتحقق من صحة الاختبارات أو التكوين
تقييم التعبيرات العادية للعثور على تطابقات الأنماط
فحص المحتوى الآخر

يساعد ذلك الكشف عن DLP على تحقيق درجة عالية من الدقة مع تقليل عدد الإيجابيات الخاطئة التي يمكن أن تقاطع عمل الناس.

تبحث كل قالب DLP عن نوع واحد أو أكثر من المعلومات الحساسة. لمزيد من المعلومات حول كيفية عمل كل نوع من أنواع المعلومات الحساسة، راجع ما تبحث عنه أنواع المعلومات الحساسة في SharePoint Server 2016.

قالب DLP هذا...	تبحث عن أنواع المعلومات الحساسة هذه...
بيانات المعلومات الشخصية (PII) في الولايات المتحدة	رقم جواز سفر أمريكي/ بريطاني رقم تعريف الممول الفردي (ITIN) رقم الضمان الاجتماعي (SSN) الأميركي
قانون الولايات المتحدة لGramm-Leach-Bliley (GLBA)	رقم بطاقة الائتمان رقم الحساب البنكي الأميركي رقم تعريف الممول الفردي (ITIN) رقم الضمان الاجتماعي (SSN) الأميركي
PCI Data Security Standard (PCI DSS)	رقم بطاقة الائتمان
البيانات المالية في المملكة المتحدة	رقم بطاقة الائتمان رقم بطاقة خصم الاتحاد الأوروبي رمز SWIFT
البيانات المالية في الولايات المتحدة	رقم توجيه ABA رقم بطاقة الائتمان رقم الحساب البنكي الأميركي
بيانات المعلومات الشخصية (PII) في المملكة المتحدة	رقم التأمين الوطني (NINO) في المملكة المتحدة رقم جواز سفر أمريكي/ بريطاني
قانون حماية البيانات في المملكة المتحدة	رمز SWIFT رقم التأمين الوطني (NINO) في المملكة المتحدة رقم جواز سفر أمريكي/ بريطاني
لوائح الخصوصية والاتصالات الإلكترونية في المملكة المتحدة	رمز SWIFT
قوانين سرية رقم الضمان الاجتماعي في الولايات المتحدة	رقم الضمان الاجتماعي (SSN) الأميركي
قوانين الإعلامات المتعلقة بخرق الولايات المتحدة	رقم بطاقة الائتمان رقم الحساب البنكي الأميركي رقم ترخيص القيادة الأمريكية رقم الضمان الاجتماعي (SSN) الأميركي

استعلامات DLP

قبل إنشاء سياسات DLP، قد ترغب في الاطلاع على المعلومات الحساسة الموجودة بالفعل في مجموعات المواقع. للقيام بذلك، يمكنك إنشاء استعلامات DLP وتشغيلها في مركز eDiscovery.

الزر "إنشاء استعلام DLP"

يعمل استعلام DLP بنفس عمل استعلام eDiscovery. استنادا إلى قالب DLP الذي تختاره، يتم تكوين استعلام DLP للبحث عن أنواع معينة من المعلومات الحساسة. اختر أولا المواقع التي تريد البحث عنها، ثم يمكنك ضبط الاستعلام لأنه يدعم لغة استعلام الكلمة الأساسية (KQL). بالإضافة إلى ذلك، يمكنك تضييق نطاق الاستعلام عن طريق تحديد نطاق تاريخ أو كتاب معينين أو قيم خاصية SharePoint أو مواقع. وكما هو تماما استعلام eDiscovery، يمكنك معاينة نتائج الاستعلام وتصديرها وتنزيلها.

استعلام DLP الذي يحتوي على أنواع معلومات حساسة

سياسات DLP

يساعدك نهج DLP على تحديد المعلومات الحساسة الخاضعة للوائح الصناعية الشائعة ومراقبتها وحمايتها تلقائيا. يمكنك اختيار أنواع المعلومات الحساسة التي يجب حمايتها والإجراءات التي يجب اتخاذها عند اكتشاف محتوى يحتوي على مثل هذه المعلومات الحساسة. يمكن أن يقوم نهج DLP بإعلام مسؤول التوافق عن طريق إرسال تقرير عن حادث، وإعلام المستخدم بواسطة تلميح نهج على الموقع، وحظر الوصول إلى المستند بشكل اختياري للجميع ما لمالك الموقع ومالك المحتوى وكل من قام بتعديل المستند آخر مرة. وأخيرا، لدى تلميح النهج خيار لتجاوز إجراء الحظر، بحيث يمكن للأشخاص الاستمرار في العمل على المستندات إذا كان لديهم مبرر عمل أو إذا احتاجوا إلى الإبلاغ عن خطأ إيجابي.

يمكنك إنشاء نهج DLP وإدارتها في مركز نهج التوافق. إن إنشاء نهج DLP عبارة عن عملية من خطوتين: أولا تقوم بإنشاء نهج DLP، ثم تقوم بتعيين النهج إلى مجموعة مواقع ويب.

مركز نهج التوافق

الخطوة 1: إنشاء نهج DLP

عند إنشاء نهج DLP، يمكنك اختيار قالب DLP للبحث عن أنواع المعلومات الحساسة التي تحتاج إلى تحديدها ومراقبتها وحمايتها تلقائيا.

صفحة نهج DLP جديدة

عندما يعثر نهج DLP على محتوى يتضمن الحد الأدنى لعدد مثيلات نوع معين من المعلومات الحساسة التي تختارها ، على سبيل المثال، خمسة أرقام بطاقات ائتمان أو رقم واحد للضمان الاجتماعي ، يمكن لنهاء DLP حماية المعلومات الحساسة تلقائيا من خلال اتخاذ الإجراءات التالية:

إرسال تقرير عن حادث إلى الأشخاص الذين تختارهم (مثل مسؤول التوافق) مع تفاصيل الحدث. يتضمن هذا التقرير تفاصيل حول المحتوى الذي تم الكشف عنه مثل العنوان ومالك المستند والمعلومات الحساسة التي تم الكشف عنها. لإرسال تقارير الأحداث، تحتاج إلى تكوين إعدادات البريد الإلكتروني الصادر في الإدارة المركزية.
إعلام المستخدم بقلم نهج عند حفظ المستندات التي تحتوي على معلومات حساسة أو تحريرها. يشرح تلميح النهج سبب تعارض هذا المستند مع نهج DLP، بحيث يمكن للأشخاص اتخاذ إجراء تصحيحي، مثل إزالة المعلومات الحساسة من المستند. عندما يكون المستند في وضع التوافق، يختفي تلميح النهج.
حظر الوصول إلى المحتوى للجميع باستثناء مالك الموقع ومالك المستند والشخص الذي قام بتعديل المستند آخر مرة. يمكن لهؤلاء الأشخاص إزالة المعلومات الحساسة من المستند أو اتخاذ إجراء تصحيحي آخر. عندما يكون المستند في وضع التوافق، سيتم استعادة الأذونات الأصلية تلقائيا. من المهم فهم أن تلميح النهج يمنح الأشخاص خيار تجاوز إجراء الحظر. وبالتالي، يمكن أن تساعد تلميحات النهج في تعليم المستخدمين حول نهج DLP وفرضها دون منع الأشخاص من القيام بعملهم.

الخطوة 2: تعيين نهج DLP

بعد إنشاء نهج DLP، ستحتاج إلى تعيينه إلى مجموعة مواقع واحدة أو أكثر، حيث يمكن أن يبدأ للمساعدة في حماية المعلومات الحساسة في تلك المواقع. يمكن تعيين نهج واحد للعديد من مجموعات المواقع، ولكن يجب إنشاء كل تعيين كل تعيين كل واحد على الآخر.

تعيينات النهج لمجموعات المواقع

تلميحات النهج

تريد أن يبقى الأشخاص في مؤسستك الذين يعملون على المعلومات الحساسة متوافقين مع سياسات DLP، ولكنك لا تريد منعهم دون داع من إنجاز عملهم. هذا هو المكان الذي يمكن أن تساعدك فيه تلميحات النهج.

تلميح النهج هو إعلام أو تحذير يظهر عندما يعمل شخص ما مع محتوى يعارض نهج DLP — على سبيل المثال، محتوى مثل مصنف Excel يحتوي على معلومات تعريف شخصية (PII) يتم حفظها في موقع.

يمكنك استخدام تلميحات النهج لزيادة الوعي ومساعدة الأشخاص على تعليمهم حول سياسات مؤسستك. تمنح تلميحات النهج أيضا الأشخاص خيار تجاوز النهج، بحيث لا يتم حظرهم إذا كانت لديهم حاجة أعمال صالحة أو إذا كشف النهج عن إيجابية خاطئة.

عرض تلميح نهج أو تجاوزه

لاتخاذ إجراء على مستند، مثل تجاوز نهج DLP أو الإبلاغ عن إيجابية خاطئة، يمكنك تحديد القائمة فتح ... الخاصة > عرض تلميح النهج.

يسرد تلميح النهج المشاكل المتعلقة بالمحتوى، كما يمكنك اختيار حل ، ثم تجاوز تلميح النهج أو الإبلاغ عن خطأ موجب.

تلميح نهج لمستند تجاوز تلميح نهج

تفاصيل حول كيفية عمل تلميحات النهج

تجدر الإشارة إلى أنه من الممكن أن يطابق المحتوى أكثر من نهج DLP واحد، ولكن لن يظهر سوى تلميح النهج من النهج الأكثر تقييدا وأعلى أولوية. على سبيل المثال، سيتم عرض تلميح نهج من نهج DLP يقوم بحظر الوصول إلى المحتوى عبر تلميح نهج من قاعدة تكتفي بمجرد اعريف المستخدم. يمنع هذا الأشخاص من رؤية تتالي تلميحات النهج. بالإضافة إلى ذلك، إذا كانت تلميحات النهج في النهج الأكثر تقييدا تسمح للأشخاص بتجاوز النهج، فإن تجاوز هذا النهج يتجاوز أيضا أي نهج أخرى تطابق المحتوى.

تتم مزامنة نهج DLP مع المواقع، كما يتم تقييم المحتوى مقابلها بشكل دوري وبشكل غير متزامن (راجع القسم التالي)، لذلك قد يكون هناك تأخير قصير بين الوقت الذي تقوم فيه بإنشاء نهج DLP والوقت الذي تبدأ فيه في رؤية تلميحات النهج.

كيفية عمل سياسات DLP

تكتشف DLP المعلومات الحساسة باستخدام تحليل المحتوى العميق (وليس فقط فحص النص البسيط). يستخدم تحليل المحتوى الشامل هذا تطابقات الكلمات الأساسية وتقييم التعبيرات العادية والوظائف الداخلية والأساليب الأخرى للكشف عن المحتوى الذي يتطابق مع سياسات DLP. من المحتمل أن تكون نسبة مئوية صغيرة فقط من بياناتك حساسة. يمكن أن يحدد نهج DLP هذه البيانات فقط ويراقبها ويحميها تلقائيا، دون أن يؤثر ذلك على الأشخاص الذين يعملون مع المحتوى الباقي أو يؤثر عليه.

بعد إنشاء نهج DLP في مركز نهج التوافق، يتم تخزينه كتعريف نهج في هذا الموقع. بعد ذلك، عند تعيين النهج لمجموعات مواقع مختلفة، تتم مزامنة النهج مع تلك المواقع، حيث يبدأ بتقييم المحتوى وفرض إجراءات مثل إرسال تقارير الأحداث وإظهار تلميحات النهج وحظر الوصول.

تقييم النهج في المواقع

في كل مجموعات المواقع المشتركة، تتغير المستندات باستمرار، حيث يتم إنشاؤها وتحريرها ومشاركتها وما إلى ذلك. وهذا يعني أن المستندات قد تخالف نهج DLP أو تصبح متوافقة معه في أي وقت. على سبيل المثال، يمكن لشخص ما تحميل مستند لا يحتوي على معلومات حساسة إلى موقع الفريق، ولكن في وقت لاحق، يمكن لشخص آخر تحرير المستند نفسه وإضافة معلومات حساسة له.

لهذا السبب، تحقق نهج DLP من تطابق المستندات مع النهج بشكل متكرر في الخلفية. يمكنك التفكير في ذلك على أنه تقييم نهج غير متزامن.

إليك كيفية عمل ذلك. بينما يقوم الأشخاص بإضافة مستندات أو تغييرها في مواقعهم، يقوم محرك البحث بفحص المحتوى، بحيث يمكنك البحث عنه لاحقا. أثناء حدوث هذا الأمر، يتم أيضا فحص المحتوى للحصول على معلومات حساسة. يتم تخزين أي معلومات حساسة يتم العثور عليها بأمان في فهرس البحث، بحيث يمكن لفريق التوافق فقط الوصول إليها، وليس المستخدمين النموذجين. يتم تشغيل كل نهج DLP قمت بتشغيله في الخلفية (بشكل غير متزامن)، والتحقق من البحث بشكل متكرر عن أي محتوى يتطابق مع نهج، وتطبيق إجراءات لحمايته من التسريبات غير المتزامنة.

رسم تخطيطي يعرض كيفية تقييم نهج DLP للمحتوى بشكل غير متزامن

وأخيرا، يمكن أن تعارض المستندات مع نهج DLP، ولكنها قد تصبح أيضا متوافقة مع نهج DLP. على سبيل المثال، إذا أضف أحد الأشخاص أرقام بطاقات الائتمان إلى مستند، فقد يتسبب نهج DLP في حظر الوصول إلى المستند تلقائيا. ولكن إذا أزل الشخص المعلومات الحساسة في وقت لاحق، فيتراجع الإجراء (في هذه الحالة الحظر) تلقائيا في المرة التالية التي يتم فيها تقييم المستند مقابل النهج.

تقيم DLP أي محتوى يمكن فهرسته. لمزيد من المعلومات حول أنواع الملفات التي يتم تتبع ارتباطاتها بشكل افتراضي، راجع ملحقات أسماء الملفات التي تم تتبع ارتباطاتها افتراضيا وأنواع الملفات التي تم تحليلها.

عرض أحداث DLP في سجلات الاستخدام

يمكنك عرض نشاط نهج DLP في سجلات الاستخدام على الخادم الذي يعمل ب SharePoint Server 2016. على سبيل المثال، يمكنك عرض النص الذي أدخله المستخدمون عند تجاوزهم تلميح نهج أو الإبلاغ عن خطأ موجب.

تحتاج أولا إلى تشغيل الخيار في الإدارة المركزية (مراقبة > تكوين الاستخدام وجمع البيانات الصحية > تسجيل بسيط Data_SPUnifiedAuditEntry). لمزيد من المعلومات حول تسجيل الاستخدام، راجع تكوين الاستخدام وجمع بيانات الصحة.

خيار تشغيل سجلات استخدام DLP

بعد تشغيل هذه الميزة، يمكنك فتح تقارير الاستخدام على الخادم وعرض التبريرات التي يوفرها المستخدمون لتجاوز تلميح نهج DLP، إلى جانب أحداث DLP الأخرى.

سبب تجاوز المستخدم في سجل الاستخدام

قبل بدء استخدام DLP

يوضح هذا الموضوع بعض الميزات التي تعتمد عليها DLP. وهي تشتمل على ما يلي:

للكشف عن المعلومات الحساسة وتصنيفها في مجموعات المواقع، ابدأ تشغيل خدمة البحث وحدد جدول تتبع ارتباطات للمحتوى الخاص بك.
تشغيل البريد الإلكتروني الخارج.
لعرض تجاوزات المستخدمين والأحداث الأخرى ل DLP، قم تشغيل تقرير الاستخدام.
إنشاء مجموعات المواقع:
- بالنسبة إلى استعلامات DLP، قم بإنشاء مجموعة المواقع الموقعية لمركز eDiscovery.
- بالنسبة إلى نهج DLP، قم بإنشاء مجموعة المواقع الموقعية لمركز نهج التوافق.
أنشئ مجموعة أمان لفريق التوافق، ثم أضف مجموعة أمان إلى مجموعة المالكين في مركز eDiscovery أو مركز نهج التوافق.
لتشغيل استعلامات DLP، يجب عرض الأذونات لكل المحتوى الذي سيبحث عنه الاستعلام ، لمزيد من المعلومات، راجع إنشاء استعلام DLP في SharePoint Server 2016.