نظرة عامة حول منع فقدان البيانات في SharePoint Server 2016 و2019

للامتثال لمعايير الأعمال ولوائح الصناعة، تحتاج المؤسسات إلى حماية المعلومات الحساسة ومنع الكشف عنها عن غير قصد. تتضمن أمثلة المعلومات الحساسة التي قد ترغب في منع تسريبها خارج مؤسستك بيانات مالية أو معلومات تعريف شخصية (PII) مثل أرقام بطاقات الائتمان أو أرقام الضمان الاجتماعي أو أرقام المعرف الوطني. باستخدام نهج منع فقدان البيانات (DLP) في SharePoint Server 2016، يمكنك تحديد المعلومات الحساسة ومراقبتها وحمايتها تلقائيا عبر مجموعات المواقع المشتركة.

باستخدام DLP، يمكنك:

إنشاء استعلام DLP لتحديد المعلومات الحساسة الموجودة الآن في مجموعات المواقع المشتركة. قبل إنشاء نهج DLP، غالبا ما يكون من المفيد معرفة أنواع المعلومات الحساسة التي يعمل بها الأشخاص في مؤسستك، ومجموعات المواقع المشتركة التي تحتوي على هذه المعلومات الحساسة. باستخدام استعلام DLP، يمكنك العثور على معلومات حساسة تخضع للوائح الصناعة الشائعة، وفهم المخاطر بشكل أفضل، وتحديد المعلومات الحساسة التي تحتاج نهج DLP إلى حمايتها ومكانها.
إنشاء نهج DLP لمراقبة المعلومات الحساسة وحمايتها تلقائيا في مجموعات المواقع المشتركة. على سبيل المثال، يمكنك إعداد نهج يعرض تلميح نهج للمستخدمين إذا قاموا بحفظ المستندات التي تحتوي على معلومات تعريف شخصية. علاوة على ذلك، يمكن للنهج حظر الوصول إلى هذه المستندات تلقائيا للجميع باستثناء مالك الموقع ومالك المحتوى وأيا كان آخر تعديل للمستند. وأخيرا، نظرا لأنك لا تريد أن تمنع نهج DLP الأشخاص من إنجاز عملهم، فإن تلميح النهج لديه خيار لتجاوز إجراء الحظر، بحيث يمكن للأشخاص الاستمرار في العمل مع المستندات إذا كان لديهم مبرر عمل.

قوالب DLP

عند إنشاء استعلام DLP أو نهج DLP، يمكنك الاختيار من قائمة قوالب DLP التي تتوافق مع المتطلبات التنظيمية الشائعة. يحدد كل قالب DLP أنواعا محددة من المعلومات الحساسة - على سبيل المثال، يحدد القالب المسمى بيانات معلومات التعريف الشخصية الأمريكية (PII) المحتوى الذي يحتوي على أرقام جوازات السفر الأمريكية وأرقام جوازات السفر في المملكة المتحدة أو أرقام تعريف دافعي الضرائب الفرديين في الولايات المتحدة (ITIN) أو أرقام الضمان الاجتماعي الأمريكية (SSN).

قوالب نهج DLP

أنواع المعلومات الحساسة

يساعد نهج DLP على حماية المعلومات الحساسة، والتي يتم تعريفها كنوع معلومات حساسة. يتضمن SharePoint Server 2016 تعريفات للعديد من أنواع المعلومات الحساسة الشائعة الجاهزة للاستخدام، مثل رقم بطاقة الائتمان وأرقام الحسابات المصرفية وأرقام المعرف الوطني وأرقام جوازات السفر.

عندما يبحث نهج DLP عن نوع معلومات حساسة مثل رقم بطاقة الائتمان، فإنه لا يبحث ببساطة عن رقم مكون من 16 رقما. يتم تعريف كل نوع من أنواع المعلومات الحساسة واكتشافه باستخدام مجموعة من:

الكلمات الأساسية
دالات داخلية للتحقق من صحة المجموع الاختباري أو التكوين
تقييم التعبيرات العادية للعثور على تطابقات النمط
فحص المحتوى الآخر

يساعد هذا الكشف عن DLP على تحقيق درجة عالية من الدقة مع تقليل عدد الإيجابيات الزائفة التي يمكن أن تقاطع عمل الشعوب.

يبحث كل قالب DLP عن نوع واحد أو أكثر من المعلومات الحساسة. لمزيد من المعلومات حول كيفية عمل كل نوع من أنواع المعلومات الحساسة، راجع ما هي أنواع المعلومات الحساسة في SharePoint Server 2016 التي تبحث عنها.

قالب DLP هذا...	يبحث عن أنواع المعلومات الحساسة هذه...
بيانات معلومات التعريف الشخصية (PII) في الولايات المتحدة	رقم جواز سفر أمريكي/ بريطاني رقم تعريف دافع الضرائب الفردي في الولايات المتحدة (ITIN) رقم الضمان الاجتماعي الأمريكي (SSN)
قانون Gramm-Leach-Bliley الأمريكي (GLBA)	رقم بطاقة الائتمان رقم الحساب البنكي الأمريكي رقم تعريف دافع الضرائب الفردي في الولايات المتحدة (ITIN) رقم الضمان الاجتماعي الأمريكي (SSN)
معيار أمان بيانات PCI (PCI DSS)	رقم بطاقة الائتمان
البيانات المالية في المملكة المتحدة	رقم بطاقة الائتمان رقم بطاقة الخصم في الاتحاد الأوروبي رمز SWIFT
البيانات المالية الأمريكية	رقم توجيه ABA رقم بطاقة الائتمان رقم الحساب البنكي الأمريكي
بيانات معلومات التعريف الشخصية (PII) في المملكة المتحدة	رقم التأمين الوطني في المملكة المتحدة (NINO) رقم جواز سفر أمريكي/ بريطاني
قانون حماية البيانات في المملكة المتحدة	رمز SWIFT رقم التأمين الوطني في المملكة المتحدة (NINO) رقم جواز سفر أمريكي/ بريطاني
قوانين الخصوصية والاتصالات الإلكترونية في المملكة المتحدة	رمز SWIFT
قوانين سرية رقم الضمان الاجتماعي للولايات المتحدة	رقم الضمان الاجتماعي الأمريكي (SSN)
قوانين الإخطار بخرق الولاية الأمريكية	رقم بطاقة الائتمان رقم الحساب البنكي الأمريكي رقم رخصة القيادة في الولايات المتحدة رقم الضمان الاجتماعي الأمريكي (SSN)

استعلامات DLP

قبل إنشاء نهج DLP، قد ترغب في معرفة المعلومات الحساسة الموجودة بالفعل عبر مجموعات المواقع المشتركة. للقيام بذلك، يمكنك إنشاء استعلامات DLP وتشغيلها في مركز eDiscovery.

الزر "إنشاء استعلام DLP"

يعمل استعلام DLP بنفس طريقة عمل استعلام eDiscovery. استنادا إلى قالب DLP الذي تختاره، يتم تكوين استعلام DLP للبحث عن أنواع معينة من المعلومات الحساسة. اختر أولا المواقع التي تريد البحث فيها، ثم يمكنك ضبط الاستعلام لأنه يدعم لغة استعلام الكلمات الأساسية (KQL). بالإضافة إلى ذلك، يمكنك تضييق نطاق الاستعلام عن طريق تحديد نطاق تاريخ أو كتاب محددين أو قيم خصائص SharePoint أو مواقع. وتماما مثل استعلام eDiscovery، يمكنك معاينة نتائج الاستعلام وتصديرها وتنزيلها.

استعلام DLP يحتوي على أنواع معلومات حساسة

نهج DLP

يساعدك نهج DLP على تحديد المعلومات الحساسة التي تخضع للوائح الصناعة الشائعة ومراقبتها وحمايتها تلقائيا. يمكنك اختيار أنواع المعلومات الحساسة التي يجب حمايتها، والإجراءات التي يجب اتخاذها عند اكتشاف محتوى يحتوي على مثل هذه المعلومات الحساسة. يمكن لنهج DLP إعلام مسؤول التوافق عن طريق إرسال تقرير حادث، وإعلام المستخدم بإكرامية النهج على الموقع، ومنع الوصول إلى المستند اختياريا للجميع باستثناء مالك الموقع ومالك المحتوى وأيا كان آخر تعديل للمستند. وأخيرا، يحتوي تلميح النهج على خيار لتجاوز إجراء الحظر، بحيث يمكن للأشخاص الاستمرار في العمل مع المستندات إذا كان لديهم مبرر عمل أو يحتاجون إلى الإبلاغ عن إيجابية خاطئة.

يمكنك إنشاء نهج DLP وإدارتها في مركز نهج التوافق. يعد إنشاء نهج DLP عملية من خطوتين: أولا يمكنك إنشاء نهج DLP، ثم تعيين النهج لمجموعة مواقع مشتركة.

مركز نهج التوافق

الخطوة 1: إنشاء نهج DLP

عند إنشاء نهج DLP، يمكنك اختيار قالب DLP يبحث عن أنواع المعلومات الحساسة التي تحتاج إلى تحديدها ومراقبتها وحمايتها تلقائيا.

صفحة نهج DLP جديدة

عندما يعثر نهج DLP على محتوى يتضمن الحد الأدنى لعدد مثيلات نوع معين من المعلومات الحساسة التي تختارها - على سبيل المثال، خمسة أرقام بطاقات ائتمان، أو رقم ضمان اجتماعي واحد - يمكن لنهج DLP حماية المعلومات الحساسة تلقائيا عن طريق اتخاذ الإجراءات التالية:

إرسال تقرير حادث إلى الأشخاص الذين تختارهم (مثل مسؤول التوافق الخاص بك) مع تفاصيل الحدث. يتضمن هذا التقرير تفاصيل حول المحتوى المكتشف مثل العنوان ومالك المستند والمعلومات الحساسة التي تم اكتشافها. لإرسال تقارير الحوادث، تحتاج إلى تكوين إعدادات البريد الإلكتروني الصادرة في الإدارة المركزية.
إعلام المستخدم باستخدام تلميح نهج عند حفظ المستندات التي تحتوي على معلومات حساسة أو تحريرها. يشرح تلميح النهج سبب تعارض هذا المستند مع نهج DLP، بحيث يمكن للأشخاص اتخاذ إجراء علاجي، مثل إزالة المعلومات الحساسة من المستند. عندما يكون المستند متوافقا، يختفي تلميح النهج.
حظر الوصول إلى المحتوى للجميع باستثناء مالك الموقع ومالك المستند والشخص الذي عدل المستند آخر مرة. يمكن لهؤلاء الأشخاص إزالة المعلومات الحساسة من المستند أو اتخاذ إجراء علاجي آخر. عندما يكون المستند متوافقا، ستتم استعادة الأذونات الأصلية تلقائيا. من المهم أن نفهم أن تلميح النهج يمنح الأشخاص خيار تجاوز إجراء الحظر. وبالتالي، يمكن أن تساعد نصائح النهج في تثقيف المستخدمين حول نهج DLP الخاصة بك وفرضها دون منع الأشخاص من القيام بعملهم.

الخطوة 2: تعيين نهج DLP

بعد إنشاء نهج DLP، تحتاج إلى تعيينه إلى مجموعة مواقع مشتركة واحدة أو أكثر، حيث يمكن أن يبدأ في المساعدة في حماية المعلومات الحساسة في تلك المواقع. يمكن تعيين نهج واحد للعديد من مجموعات المواقع المشتركة، ولكن يجب إنشاء كل تعيين واحدا تلو الآخر.

تعيينات النهج لمجموعات المواقع المشتركة

تلميحات النهج

تريد أن يظل الأشخاص في مؤسستك الذين يعملون مع المعلومات الحساسة متوافقين مع نهج DLP الخاصة بك، ولكنك لا تريد منعهم دون داع من إنجاز عملهم. هذا هو المكان الذي يمكن أن تساعد فيه تلميحات النهج.

تلميح النهج هو إعلام أو تحذير يظهر عندما يعمل شخص ما مع محتوى يتعارض مع نهج DLP — على سبيل المثال، محتوى مثل مصنف Excel يحتوي على معلومات تعريف شخصية (PII) ويتم حفظه في موقع.

يمكنك استخدام تلميحات النهج لزيادة الوعي والمساعدة في تثقيف الأشخاص حول نهج مؤسستك. تمنح تلميحات النهج أيضا الأشخاص خيار تجاوز النهج، بحيث لا يتم حظرهم إذا كانت لديهم حاجة تجارية صالحة أو إذا كان النهج يكشف عن إيجابية خاطئة.

عرض تلميح النهج أو تجاوزه

لاتخاذ إجراء بشأن مستند، مثل تجاوز نهج DLP أو الإبلاغ عن نتيجة إيجابية خاطئة، يمكنك تحديد القائمة فتح ... للعنصر > عرض تلميح النهج.

يسرد تلميح النهج المشكلات المتعلقة بالمحتوى، ويمكنك اختيار حل، ثم تجاوز تلميح النهج أو الإبلاغ عن إيجابية خاطئة.

تلميح النهج لمستند تجاوز تلميح النهج

تفاصيل حول كيفية عمل تلميحات النهج

لاحظ أنه من الممكن أن يتطابق المحتوى مع أكثر من نهج DLP واحد، ولكن سيتم عرض تلميح النهج فقط من النهج الأكثر تقييدا وأعلى أولوية. على سبيل المثال، سيتم عرض تلميح نهج من نهج DLP يمنع الوصول إلى المحتوى عبر تلميح نهج من قاعدة تقوم ببساطة بإعلام المستخدم. وهذا يمنع الأشخاص من رؤية سلسلة من تلميحات النهج. أيضا، إذا كانت تلميحات النهج في النهج الأكثر تقييدا تسمح للأشخاص بتجاوز النهج، فإن تجاوز هذا النهج يتجاوز أيضا أي نهج أخرى تطابق المحتوى.

تتم مزامنة نهج DLP مع المواقع ويتم تقييم المحتوى مقابلها بشكل دوري وغير متزامن (راجع القسم التالي)، لذلك قد يكون هناك تأخير قصير بين الوقت الذي تقوم فيه بإنشاء نهج DLP والوقت الذي تبدأ فيه في رؤية تلميحات النهج.

كيفية عمل نهج DLP

يكتشف DLP المعلومات الحساسة باستخدام تحليل المحتوى العميق (وليس مجرد فحص نصي بسيط). يستخدم تحليل المحتوى العميق هذا تطابقات الكلمات الأساسية وتقييم التعبيرات العادية والوظائف الداخلية والأساليب الأخرى للكشف عن المحتوى الذي يطابق نهج DLP. من المحتمل أن تكون نسبة صغيرة فقط من بياناتك حساسة. يمكن لنهج DLP تحديد تلك البيانات ومراقبتها وحمايتها تلقائيا فقط، دون إعاقة الأشخاص الذين يعملون مع بقية المحتوى أو التأثير عليه.

بعد إنشاء نهج DLP في مركز نهج التوافق، يتم تخزينه كتعريف نهج في هذا الموقع. بعد ذلك، أثناء تعيين النهج إلى مجموعات مواقع مشتركة مختلفة، تتم مزامنة النهج مع تلك المواقع، حيث يبدأ في تقييم المحتوى وفرض إجراءات مثل إرسال تقارير الحوادث، وعرض تلميحات النهج، وحظر الوصول.

تقييم النهج في المواقع

عبر جميع مجموعات المواقع المشتركة، تتغير المستندات باستمرار - يتم إنشاؤها وتحريرها ومشاركتها باستمرار وما إلى ذلك. وهذا يعني أن المستندات يمكن أن تتعارض أو تصبح متوافقة مع نهج DLP في أي وقت. على سبيل المثال، يمكن للشخص تحميل مستند لا يحتوي على معلومات حساسة إلى موقع الفريق الخاص به، ولكن في وقت لاحق، يمكن لشخص مختلف تحرير المستند نفسه وإضافة معلومات حساسة إليه.

لهذا السبب، تتحقق نهج DLP من المستندات بحثا عن تطابقات النهج بشكل متكرر في الخلفية. يمكنك التفكير في هذا على أنه تقييم نهج غير متزامن.

إليك كيفية عملها. أثناء قيام الأشخاص بإضافة المستندات أو تغييرها في مواقعهم، يقوم محرك البحث بمسح المحتوى ضوئيا، بحيث يمكنك البحث عنه لاحقا. أثناء حدوث ذلك، يتم أيضا مسح المحتوى ضوئيا للحصول على معلومات حساسة. يتم تخزين أي معلومات حساسة تم العثور عليها بشكل آمن في فهرس البحث، بحيث يمكن لفريق التوافق فقط الوصول إليها، ولكن ليس المستخدمين النموذجين. يتم تشغيل كل نهج DLP قمت بتشغيله في الخلفية (بشكل غير متزامن)، والتحقق من البحث بشكل متكرر عن أي محتوى يطابق النهج، وتطبيق إجراءات لحمايته من التسربات غير المقصودة.

رسم تخطيطي يوضح كيفية تقييم نهج DLP للمحتوى بشكل غير متزامن

وأخيرا، يمكن أن تتعارض المستندات مع نهج DLP، ولكن يمكن أن تصبح أيضا متوافقة مع نهج DLP. على سبيل المثال، إذا أضاف شخص أرقام بطاقات ائتمان إلى مستند، فقد يتسبب ذلك في حظر نهج DLP الوصول إلى المستند تلقائيا. ولكن إذا أزل الشخص المعلومات الحساسة لاحقا، يتم التراجع عن الإجراء (في هذه الحالة، الحظر) تلقائيا في المرة التالية التي يتم فيها تقييم المستند مقابل النهج.

يقيم DLP أي محتوى يمكن فهرسته. لمزيد من المعلومات حول أنواع الملفات التي يتم تتبع ارتباطاتها بشكل افتراضي، راجع ملحقات أسماء الملفات الافتراضية التي تم تتبع ارتباطاتها وأنواع الملفات التي تم تحليلها.

عرض أحداث DLP في سجلات الاستخدام

يمكنك عرض نشاط نهج DLP في سجلات الاستخدام على الخادم الذي يقوم بتشغيل SharePoint Server 2016. على سبيل المثال، يمكنك عرض النص الذي أدخله المستخدمون عند تجاوزهم تلميح نهج أو الإبلاغ عن إيجابية خاطئة.

تحتاج أولا إلى تشغيل الخيار في الإدارة المركزية (مراقبة > تكوين الاستخدام وجمع البيانات الصحية > استخدام حدث السجل البسيط Data_SPUnifiedAuditEntry). لمزيد من المعلومات حول تسجيل الاستخدام، راجع تكوين جمع بيانات الاستخدام والصحة.

خيار تشغيل سجلات استخدام DLP

بعد تشغيل هذه الميزة، يمكنك فتح تقارير الاستخدام على الخادم وعرض المبررات التي يوفرها المستخدمون لتجاوز تلميح نهج DLP، إلى جانب أحداث DLP الأخرى.

سبب تجاوز المستخدم في سجل الاستخدام

قبل البدء في استخدام DLP

يوضح هذا الموضوع بعض الميزات التي تعتمد عليها DLP. وهي تشتمل على ما يلي:

للكشف عن المعلومات الحساسة وتصنيفها في مجموعات المواقع المشتركة، ابدأ خدمة البحث وحدد جدول تتبع ارتباطات للمحتوى الخاص بك.
قم بتشغيل البريد الإلكتروني الصادر.
لعرض تجاوزات المستخدم وأحداث DLP الأخرى، قم بتشغيل تقرير الاستخدام.
إنشاء مجموعات المواقع المشتركة:
- بالنسبة إلى استعلامات DLP، قم بإنشاء مجموعة المواقع المشتركة لمركز eDiscovery.
- بالنسبة لنهج DLP، قم بإنشاء مجموعة المواقع المشتركة لمركز نهج التوافق.
أنشئ مجموعة أمان لفريق التوافق، ثم أضف مجموعة أمان إلى مجموعة المالكين في مركز eDiscovery أو مركز نهج التوافق.
لتشغيل استعلامات DLP، يلزم عرض أذونات لكافة المحتويات التي سيبحث فيها الاستعلام - لمزيد من المعلومات، راجع إنشاء استعلام DLP في SharePoint Server 2016.