Để tuân thủ các tiêu chuẩn kinh doanh và quy định của ngành, các tổ chức cần phải bảo vệ thông tin nhạy cảm và ngăn chặn việc tiết lộ vô tình. Ví dụ về thông tin nhạy cảm mà bạn có thể muốn ngăn chặn rò rỉ ra bên ngoài tổ chức của mình bao gồm dữ liệu tài chính hoặc thông tin nhận dạng cá nhân (PII) như số thẻ tín dụng, số an sinh xã hội hoặc số ID quốc gia. Với chính sách ngăn mất dữ liệu (DLP) trong SharePoint Server 2016, bạn có thể xác định, giám sát và tự động bảo vệ thông tin nhạy cảm trên các tuyển tập site của mình.
Với DLP, bạn có thể:
-
Tạo truy vấn DLP để xác định thông tin nhạy cảm hiện đã tồn tại trong tuyển tập site của bạn. Trước khi bạn tạo chính sách DLP, thường sẽ hữu ích nếu bạn xem những kiểu thông tin nhạy cảm mà mọi người trong tổ chức của bạn đang làm việc cùng và tuyển tập site nào chứa thông tin nhạy cảm này. Với truy vấn DLP, bạn có thể tìm thấy thông tin nhạy cảm tuân theo các quy định chung của ngành, hiểu rõ hơn các rủi ro của bạn và xác định thông tin nhạy cảm mà chính sách DLP của bạn cần để bảo vệ là gì và ở đâu.
-
Tạo chính sách DLP để giám sát và tự động bảo vệ thông tin nhạy cảm trong tuyển tập site của bạn. Ví dụ: bạn có thể thiết lập chính sách hiển thị mẹo chính sách cho người dùng nếu họ lưu tài liệu chứa thông tin nhận dạng cá nhân. Ngoài ra, chính sách có thể tự động chặn quyền truy nhập vào các tài liệu đó cho tất cả mọi người, trừ chủ sở hữu site, chủ sở hữu nội dung và bất kỳ ai sửa đổi tài liệu lần cuối. Và cuối cùng, vì bạn không muốn chính sách DLP của mình ngăn không cho mọi người hoàn thành công việc của họ, mẹo chính sách có tùy chọn ghi đè hành động chặn để mọi người có thể tiếp tục làm việc với tài liệu nếu họ có lý do chính đáng cho doanh nghiệp.
Mẫu DLP
Khi bạn tạo truy vấn DLP hoặc chính sách DLP, bạn có thể chọn từ danh sách các mẫu DLP tương ứng với các yêu cầu quy định chung. Mỗi mẫu DLP xác định các loại thông tin nhạy cảm cụ thể – ví dụ: mẫu có tên Dữ liệu Thông tin Nhận dạng Cá nhân Hoa Kỳ (PII) xác định nội dung có chứa số hộ chiếu Hoa Kỳ và Vương quốc Anh, Số Định danh Người đóng thuế Cá nhân Hoa Kỳ (ITIN) hoặc Số An sinh Xã hội Hoa Kỳ (SSN).
Các loại thông tin nhạy cảm
Chính sách DLP giúp bảo vệ thông tin nhạy cảm, được định nghĩa là kiểu thông tin nhạy cảm. SharePoint Server 2016 bao gồm định nghĩa cho nhiều loại thông tin nhạy cảm phổ biến sẵn sàng để bạn sử dụng, chẳng hạn như số thẻ tín dụng, số tài khoản ngân hàng, số ID quốc gia và số hộ chiếu.
Khi một chính sách DLP tìm kiếm một loại thông tin nhạy cảm như số thẻ tín dụng, nó không chỉ đơn giản tìm kiếm một số có 16 chữ số. Mỗi loại thông tin nhạy cảm được xác định và phát hiện bằng cách sử dụng kết hợp:
-
Từ khóa
-
Chức năng nội bộ để xác thực checksum hoặc thành phần
-
Đánh giá biểu thức thông thường để tìm kết quả khớp mẫu hình
-
Kiểm tra nội dung khác
Điều này giúp phát hiện DLP đạt được độ chính xác cao trong khi giảm số lượng dương tính giả có thể làm gián đoạn công việc của mọi người.
Mỗi mẫu DLP tìm kiếm một hoặc nhiều loại thông tin nhạy cảm. Để biết thêm thông tin về cách hoạt động của từng loại thông tin nhạy cảm, hãy xem mục Giao diện của thông tin nhạy cảm trong SharePoint Server 2016.
|
Mẫu DLP này... |
Tìm kiếm các loại thông tin nhạy cảm này... |
|---|---|
|
Dữ liệu Thông tin Nhận dạng Cá nhân Hoa Kỳ (PII) |
Số Hộ chiếu Hoa Kỳ / Vương quốc Anh Số định danh người đóng thuế cá nhân Hoa Kỳ (ITIN) Số An Sinh Xã Hội Hoa Kỳ (SSN) |
|
Hành động Gramm-Leach-Bliley Hoa Kỳ (GLBA) |
Số Thẻ Tín dụng Số tài khoản ngân hàng Hoa Kỳ Số định danh người đóng thuế cá nhân Hoa Kỳ (ITIN) Số An Sinh Xã Hội Hoa Kỳ (SSN) |
|
Tiêu chuẩn bảo mật dữ liệu PCI (PCI DSS) |
Số Thẻ Tín dụng |
|
Dữ liệu Tài chính Vương quốc Anh |
Số Thẻ Tín dụng Số Thẻ Ghi nợ EU Mã SWIFT |
|
Dữ liệu Tài chính Hoa Kỳ |
Số Định tuyến ABA Số Thẻ Tín dụng Số tài khoản ngân hàng Hoa Kỳ |
|
Dữ liệu Thông tin Nhận dạng Cá nhân (PII) của Vương quốc Anh |
Mã số Bảo hiểm Quốc gia Vương quốc Anh (NINO) Số Hộ chiếu Hoa Kỳ / Vương quốc Anh |
|
Đạo luật Bảo vệ Dữ liệu Của Vương quốc Anh |
Mã SWIFT Mã số Bảo hiểm Quốc gia Vương quốc Anh (NINO) Số Hộ chiếu Hoa Kỳ / Vương quốc Anh |
|
Quy định về Quyền riêng tư và Truyền thông Điện tử của Vương quốc Anh |
Mã SWIFT |
|
Luật bảo mật số an sinh xã hội tiểu bang Hoa Kỳ |
Số An Sinh Xã Hội Hoa Kỳ (SSN) |
|
Luật Thông báo Vi phạm Tiểu bang Hoa Kỳ |
Số Thẻ Tín dụng Số tài khoản ngân hàng Hoa Kỳ Số Giấy phép lái xe Hoa Kỳ Số An Sinh Xã Hội Hoa Kỳ (SSN) |
Truy vấn DLP
Trước khi tạo chính sách DLP, bạn có thể muốn xem thông tin nhạy cảm đã tồn tại trên các tuyển tập site của mình. Để thực hiện điều này, bạn tạo và chạy truy vấn DLP trong Trung tâm Khám phá Điện tử.
Truy vấn DLP hoạt động giống như truy vấn Khám phá Điện tử. Dựa trên mẫu DLP bạn chọn, truy vấn DLP được cấu hình để tìm kiếm các loại thông tin nhạy cảm cụ thể. Trước tiên, chọn vị trí bạn muốn tìm kiếm, sau đó bạn có thể tinh chỉnh truy vấn vì nó hỗ trợ Ngôn ngữ Truy vấn Từ khóa (KQL). Ngoài ra, bạn có thể thu hẹp truy vấn bằng cách chọn phạm vi ngày, tác giả cụ thể, giá trị thuộc tính SharePoint hoặc vị trí. Và cũng giống như truy vấn Khám phá Điện tử, bạn có thể xem trước, xuất và tải xuống kết quả truy vấn.
Chính sách của DLP
Chính sách của DLP giúp bạn xác định, giám sát và tự động bảo vệ thông tin nhạy cảm tuân theo các quy định chung của ngành. Bạn chọn loại thông tin nhạy cảm để bảo vệ và hành động cần thực hiện khi nội dung có chứa thông tin nhạy cảm đó được phát hiện. Chính sách DLP có thể thông báo cho nhân viên tuân thủ bằng cách gửi báo cáo sự cố, thông báo cho người dùng bằng mẹo chính sách trên site và tùy chọn chặn quyền truy nhập vào tài liệu cho tất cả mọi người nhưng chủ sở hữu site, chủ sở hữu nội dung và bất kỳ ai sửa đổi tài liệu lần cuối. Cuối cùng, mẹo chính sách có tùy chọn ghi đè hành động chặn để mọi người có thể tiếp tục làm việc với tài liệu nếu họ có lý do kinh doanh hoặc cần báo cáo tình trạng dương tính giả.
Bạn tạo và quản lý các chính sách DLP trong Trung tâm Chính sách Tuân thủ. Tạo chính sách DLP là một quy trình hai bước: đầu tiên bạn tạo chính sách DLP, sau đó bạn gán chính sách cho tuyển tập site.
Bước 1: Tạo chính sách DLP
Khi bạn tạo chính sách DLP, bạn chọn một mẫu DLP tìm kiếm các loại thông tin nhạy cảm mà bạn cần xác định, giám sát và tự động bảo vệ.
Khi chính sách DLP tìm thấy nội dung bao gồm số lượng trường hợp tối thiểu của một loại thông tin nhạy cảm cụ thể mà bạn chọn – ví dụ: năm số thẻ tín dụng hoặc một số an sinh xã hội đơn lẻ – thì chính sách DLP có thể tự động bảo vệ thông tin nhạy cảm bằng cách thực hiện các hành động sau đây:
-
Gửi báo cáo sự cố cho những người bạn chọn (chẳng hạn như nhân viên tuân thủ của bạn) với chi tiết về sự kiện. Báo cáo này bao gồm các chi tiết về nội dung được phát hiện, chẳng hạn như tiêu đề, chủ sở hữu tài liệu và thông tin nhạy cảm nào được phát hiện. Để gửi báo cáo sự cố, bạn cần cấu hình thiết đặt email gửi đi trong Quản trị Trung tâm.
-
Thông báo cho người dùng bằng mẹo chính sách khi các tài liệu chứa thông tin nhạy cảm được lưu hoặc chỉnh sửa. Mẹo chính sách giải thích lý do tài liệu đó xung đột với chính sách DLP để mọi người có thể thực hiện hành động khắc phục, chẳng hạn như loại bỏ thông tin nhạy cảm khỏi tài liệu. Khi tài liệu tuân thủ, mẹo chính sách sẽ biến mất.
-
Chặn quyền truy nhập vào nội dung cho tất cả mọi người ngoại trừ chủ sở hữu site, chủ sở hữu tài liệu và người sửa đổi tài liệu lần cuối. Những người này có thể loại bỏ thông tin nhạy cảm khỏi tài liệu hoặc thực hiện hành động khắc phục khác. Khi tài liệu tuân thủ, các quyền ban đầu sẽ được tự động khôi phục. Điều quan trọng là phải hiểu rằng mẹo chính sách cung cấp cho mọi người tùy chọn ghi đè hành động chặn. Do đó, các mẹo chính sách có thể giúp giáo dục người dùng về chính sách DLP của bạn và thực thi các chính sách đó mà không ngăn cản mọi người thực hiện công việc của họ.
Bước 2: Gán chính sách DLP
Sau khi tạo chính sách DLP, bạn cần gán chính sách đó cho một hoặc nhiều tuyển tập site, tại đó, chính sách này có thể bắt đầu giúp bảo vệ thông tin nhạy cảm ở những vị trí đó. Một chính sách duy nhất có thể được gán cho nhiều tuyển tập site, nhưng mỗi nhiệm vụ cần được tạo ra mỗi lần.
Mẹo về chính sách
Bạn muốn những người làm việc với thông tin nhạy cảm trong tổ chức của bạn tuân thủ các chính sách DLP của bạn, nhưng bạn không muốn chặn họ hoàn thành công việc một cách không cần thiết. Đây là nơi các mẹo chính sách có thể giúp ích.
Mẹo chính sách là thông báo hoặc cảnh báo xuất hiện khi ai đó đang làm việc với nội dung xung đột với chính sách DLP — ví dụ: nội dung như sổ làm việc Excel chứa thông tin nhận dạng cá nhân (PII) và được lưu vào site.
Bạn có thể sử dụng các mẹo chính sách để nâng cao nhận thức và giúp giáo dục mọi người về các chính sách của tổ chức bạn. Mẹo về chính sách cũng cung cấp cho mọi người tùy chọn ghi đè lên chính sách để họ không bị chặn nếu họ có nhu cầu kinh doanh hợp lệ hoặc nếu chính sách phát hiện kết quả dương tính giả.
Xem hoặc ghi đè mẹo chính sách
Để thực hiện hành động trên tài liệu, chẳng hạn như ghi đè chính sách DLP hoặc báo cáo dương tính giả, bạn có thể chọn menu Mở ... cho mục > Xem mẹo chính sách.
Mẹo chính sách liệt kê các vấn đề với nội dung, và bạn có thể chọn Giải quyết, rồi ghi đè lên mẹo chính sách hoặc Báo cáo tình trạng dương tính giả.
Chi tiết về cách hoạt động của mẹo chính sách
Lưu ý rằng nội dung có thể khớp với nhiều chính sách DLP, nhưng chỉ có mẹo chính sách từ chính sách hạn chế nhất, có mức ưu tiên cao nhất mới được hiển thị. Ví dụ: mẹo chính sách từ chính sách DLP chặn quyền truy nhập vào nội dung sẽ được hiển thị trên mẹo chính sách từ một quy tắc chỉ thông báo cho người dùng. Điều này ngăn không cho mọi người nhìn thấy một xếp tầng các mẹo chính sách. Ngoài ra, nếu các mẹo chính sách trong chính sách hạn chế nhất cho phép mọi người ghi đè lên chính sách, thì việc ghi đè chính sách này cũng sẽ ghi đè lên bất kỳ chính sách nào khác mà nội dung đó khớp.
Chính sách DLP được đồng bộ với các site và nội dung được đánh giá đối với chúng định kỳ và không đồng bộ (xem phần tiếp theo), vì vậy có thể có một khoảng thời gian trễ ngắn giữa thời gian bạn tạo chính sách DLP và thời gian bạn bắt đầu xem mẹo chính sách.
Chính sách DLP hoạt động như thế nào
DLP phát hiện thông tin nhạy cảm bằng cách sử dụng phân tích nội dung sâu (không chỉ là quét văn bản đơn giản). Phân tích nội dung sâu này sử dụng kết quả khớp từ khóa, đánh giá biểu thức thông thường, hàm nội bộ và các phương pháp khác để phát hiện nội dung phù hợp với chính sách DLP của bạn. Chỉ có khả năng một tỷ lệ nhỏ dữ liệu của bạn được coi là nhạy cảm. Chính sách DLP có thể xác định, giám sát và tự động chỉ bảo vệ dữ liệu đó mà không làm cản trở hoặc ảnh hưởng đến những người làm việc với phần còn lại của nội dung của bạn.
Sau khi bạn tạo chính sách DLP trong Trung tâm Chính sách Tuân thủ, chính sách đó sẽ được lưu trữ dưới dạng định nghĩa chính sách trong site đó. Sau đó, khi bạn gán chính sách cho các tuyển tập site khác nhau, chính sách sẽ được đồng bộ với các vị trí đó, tại đó, chính sách sẽ bắt đầu đánh giá nội dung và thực thi các hành động như gửi báo cáo sự cố, hiển thị mẹo chính sách và chặn quyền truy nhập.
Đánh giá chính sách trong các site
Trên tất cả các tuyển tập site của bạn, tài liệu liên tục thay đổi — chúng liên tục được tạo, sửa, chia sẻ, v.v. Điều này có nghĩa là tài liệu có thể xung đột hoặc tuân thủ chính sách DLP bất cứ lúc nào. Ví dụ, một người có thể tải lên một tài liệu không chứa thông tin nhạy cảm vào site nhóm của họ, nhưng sau đó, một người khác có thể chỉnh sửa cùng một tài liệu và thêm thông tin nhạy cảm vào đó.
Vì lý do này, các chính sách DLP kiểm tra tài liệu cho chính sách khớp thường xuyên trong nền. Bạn có thể nghĩ về điều này như đánh giá chính sách không đồng bộ.
Dưới đây là cách hoạt động. Khi mọi người thêm hoặc thay đổi tài liệu trong site của họ, công cụ tìm kiếm sẽ quét nội dung để bạn có thể tìm kiếm sau này. Trong khi điều này xảy ra, nội dung cũng được quét tìm thông tin nhạy cảm. Mọi thông tin nhạy cảm được tìm thấy đều được lưu trữ an toàn trong chỉ mục tìm kiếm, để chỉ nhóm tuân thủ mới có thể truy nhập vào thông tin đó, nhưng không phải là người dùng điển hình. Mỗi chính sách DLP mà bạn đã bật sẽ chạy trong nền (không đồng bộ), kiểm tra tìm kiếm thường xuyên cho bất kỳ nội dung nào phù hợp với chính sách và áp dụng các hành động để bảo vệ chính sách khỏi rò rỉ vô tình.
Cuối cùng, tài liệu có thể xung đột với chính sách DLP, nhưng chúng cũng có thể tuân thủ chính sách DLP. Ví dụ: nếu một người thêm số thẻ tín dụng vào tài liệu, điều này có thể khiến chính sách DLP chặn tự động quyền truy nhập vào tài liệu. Nhưng nếu sau đó người đó loại bỏ thông tin nhạy cảm, hành động (trong trường hợp này là chặn) sẽ tự động hoàn tác vào lần đánh giá tài liệu tiếp theo so với chính sách.
DLP đánh giá bất kỳ nội dung nào có thể được lập chỉ mục. Để biết thêm thông tin về loại tệp được tìm kéo theo mặc định, hãy xem phần mở rộng tên tệp được tìm kéo mặc định và loại tệp được phân tích.
Xem các sự kiện DLP trong nhật ký sử dụng
Bạn có thể xem hoạt động chính sách DLP trong nhật ký sử dụng trên máy chủ chạy SharePoint Server 2016. Ví dụ: bạn có thể xem văn bản do người dùng nhập khi họ ghi đè lên mẹo chính sách hoặc báo cáo kết quả dương tính giả.
Trước tiên, bạn cần bật tùy chọn trong Quản trị Trung tâm (Giám sát > Đặt cấu hình việc thu thập dữ liệu sử dụng và tình trạng > sử dụng sự kiện nhật ký đơn Data_SPUnifiedAuditEntry). Để biết thêm thông tin về việc ghi nhật ký mức sử dụng, hãy xem Đặt cấu hình thu thập dữ liệu mức sử dụng và tình trạng.
Sau khi bạn bật tính năng này, bạn có thể mở báo cáo sử dụng trên máy chủ và xem các căn lề do người dùng cung cấp để ghi đè lên mẹo chính sách DLP, cùng với các sự kiện DLP khác.
Trước khi bạn bắt đầu với DLP
Chủ đề này nêu ra một số tính năng mà DLP phụ thuộc. Chúng bao gồm:
-
Để phát hiện và phân loại thông tin nhạy cảm trong tuyển tập site của bạn, hãy bắt đầu dịch vụ tìm kiếm và xác định lịch trình tìm kéo cho nội dung của bạn.
-
Bật email đi.
-
Để xem ghi đè người dùng và các sự kiện DLP khác, hãy bật báo cáo sử dụng.
-
Tạo tuyển tập site:
-
Đối với các truy vấn DLP, hãy tạo tuyển tập site Trung tâm Khám phá Điện tử.
-
Đối với chính sách DLP, hãy tạo tuyển tập site Trung tâm Chính sách Tuân thủ.
-
-
Tạo nhóm bảo mật cho nhóm tuân thủ của bạn, rồi thêm nhóm bảo mật vào nhóm Chủ sở hữu trong Trung tâm Khám phá Điện tử hoặc Trung tâm Chính sách Tuân thủ.
-
Để chạy truy vấn DLP, cần có quyền xem cho tất cả nội dung mà truy vấn sẽ tìm kiếm – để biết thêm thông tin, hãy xem Tạo truy vấn DLP trong SharePoint Server 2016.
