Để tuân thủ các tiêu chuẩn kinh doanh và quy định ngành, tổ chức cần phải bảo vệ thông tin nhạy cảm và ngăn chặn vô tình tiết lộ thông tin. Ví dụ về thông tin nhạy cảm mà bạn có thể muốn ngăn không cho rò rỉ ra bên ngoài tổ chức của mình bao gồm dữ liệu tài chính hoặc các thông tin nhận dạng cá nhân (PII) như số thẻ tín dụng, số an sinh xã hội hoặc số ID quốc gia. Với chính sách ngăn mất dữ liệu (DLP) trong SharePoint Server 2016, bạn có thể nhận dạng, giám sát và tự động bảo vệ thông tin nhạy cảm trên các tuyển tập site của mình.
Với DLP, bạn có thể:
-
Tạo truy vấn DLP để xác định thông tin nhạy cảm nào đang tồn tại trong tuyển tập site của bạn. Trước khi bạn tạo các chính sách DLP, sẽ thường hữu ích nếu bạn thấy loại thông tin nhạy cảm mà mọi người trong tổ chức của bạn đang làm việc và tuyển tập site nào chứa thông tin nhạy cảm này. Với truy vấn DLP, bạn có thể tìm thấy thông tin nhạy cảm tuân theo các quy định chung của ngành, hiểu rõ hơn rủi ro của bạn và xác định thông tin nhạy cảm mà chính sách DLP của bạn cần để bảo vệ là gì và ở đâu.
-
Tạo một chính sách DLP để giám sát và tự động bảo vệ thông tin nhạy cảm trong tuyển tập site của bạn. Ví dụ, bạn có thể thiết lập một chính sách hiển thị mẹo chính sách cho người dùng nếu họ lưu các tài liệu chứa thông tin nhận dạng cá nhân. Hơn nữa, chính sách có thể tự động chặn quyền truy nhập vào các tài liệu đó cho tất cả mọi người nhưng chủ sở hữu site, chủ sở hữu nội dung và bất cứ ai sửa đổi tài liệu lần cuối. Và cuối cùng, vì bạn không muốn chính sách DLP của bạn ngăn chặn mọi người hoàn thành công việc của họ, mẹo chính sách có tùy chọn ghi đè lên hành động chặn, để mọi người có thể tiếp tục làm việc với tài liệu nếu họ có giải thích về doanh nghiệp.
Mẫu DLP
Khi bạn tạo truy vấn DLP hoặc chính sách DLP, bạn có thể chọn từ danh sách các mẫu DLP tương ứng với các yêu cầu quy định thông thường. Mỗi mẫu DLP xác định các loại thông tin nhạy cảm cụ thể – ví dụ như mẫu có tên là Thông tin Nhận dạng Cá nhân Hoa Kỳ (PII) xác định nội dung có chứa số hộ chiếu Hoa Kỳ và Vương quốc Anh, Số Định danh Người trả thuế Cá nhân Hoa Kỳ (ITIN) hoặc Số An sinh Xã hội (SSN) Hoa Kỳ.
Các loại thông tin nhạy cảm
Chính sách DLP giúp bảo vệ thông tin nhạy cảm, được xác định là kiểu thông tin nhạy cảm. SharePoint Server 2016 bao gồm các định nghĩa cho nhiều loại thông tin nhạy cảm phổ biến sẵn sàng để bạn sử dụng, chẳng hạn như số thẻ tín dụng, số tài khoản ngân hàng, số ID quốc gia và số hộ chiếu.
Khi chính sách DLP tìm kiếm một kiểu thông tin nhạy cảm như số thẻ tín dụng, nó không chỉ tìm kiếm số có 16 chữ số. Mỗi loại thông tin nhạy cảm được xác định và phát hiện bằng cách sử dụng kết hợp:
-
Từ khóa
-
Hàm nội bộ để xác thực kiểm tra hoặc kết cấu
-
Đánh giá các biểu thức thông thường để tìm kết quả khớp mẫu hình
-
Kiểm tra nội dung khác
Điều này giúp phát hiện DLP đạt được độ chính xác cao trong khi giảm số lượng dương giả có thể làm gián đoạn công việc của mọi người.
Mỗi mẫu DLP tìm kiếm một hoặc nhiều loại thông tin nhạy cảm. Để biết thêm thông tin về cách hoạt động của từng loại thông tin nhạy cảm, hãy xem mục Kiểu thông tin nhạy SharePoint Server 2016 tìm kiếm.
Mẫu DLP này... |
Tìm kiếm các loại thông tin nhạy cảm này... |
---|---|
Dữ liệu Thông tin Nhận dạng Cá nhân (PII) Của Hoa Kỳ |
Số hộ chiếu Hoa Kỳ / Vương quốc Anh Số Định danh Người trả thuế Cá nhân Hoa Kỳ (ITIN) Số An sinh Xã hội (SSN) Hoa Kỳ |
Đạo luật Gramm-Leach-Bliley Hoa Kỳ (GLBA) |
Số Thẻ Tín dụng Số Tài khoản Ngân hàng Hoa Kỳ Số Định danh Người trả thuế Cá nhân Hoa Kỳ (ITIN) Số An sinh Xã hội (SSN) Hoa Kỳ |
Tiêu chuẩn Bảo mật Dữ liệu PCI (DSS PCI) |
Số Thẻ Tín dụng |
Dữ liệu Tài chính Vương quốc Anh |
Số Thẻ Tín dụng Số Thẻ Ghi nợ của Liên minh Châu Âu Mã SWIFT |
Dữ liệu Tài chính Hoa Kỳ |
Số Định tuyến ABA Số Thẻ Tín dụng Số Tài khoản Ngân hàng Hoa Kỳ |
Dữ liệu Thông tin Nhận dạng Cá nhân (PII) Của Vương quốc Anh |
Số Bảo hiểm Quốc gia Anh (NINO) Số hộ chiếu Hoa Kỳ / Vương quốc Anh |
Đạo luật Bảo vệ Dữ liệu Vương quốc Anh |
Mã SWIFT Số Bảo hiểm Quốc gia Anh (NINO) Số hộ chiếu Hoa Kỳ / Vương quốc Anh |
Các quy định về Quyền riêng tư và Liên lạc Điện tử Của Hoa Kỳ |
Mã SWIFT |
Luật bảo mật về số an sinh xã hội của Hoa Kỳ |
Số An sinh Xã hội (SSN) Hoa Kỳ |
Luật Thông báo Vi phạm Tiểu bang Hoa Kỳ |
Số Thẻ Tín dụng Số Tài khoản Ngân hàng Hoa Kỳ Số giấy phép của trình điều khiển Hoa Kỳ Số An sinh Xã hội (SSN) Hoa Kỳ |
Truy vấn DLP
Trước khi bạn tạo chính sách DLP của mình, bạn có thể muốn xem thông tin nhạy cảm nào đã tồn tại trên các tuyển tập site của bạn. Để thực hiện điều này, bạn tạo và chạy truy vấn DLP trong Trung tâm Khám phá Điện tử.
Truy vấn DLP hoạt động giống như truy vấn Khám phá Điện tử. Dựa trên mẫu DLP nào bạn chọn, truy vấn DLP được cấu hình để tìm kiếm các loại thông tin nhạy cảm cụ thể. Trước tiên, chọn vị trí bạn muốn tìm kiếm, rồi bạn có thể tinh chỉnh truy vấn vì nó hỗ trợ Từ khóa Ngôn ngữ Truy vấn (KQL). Ngoài ra, bạn có thể thu hẹp truy vấn bằng cách chọn phạm vi ngày, tác giả cụ thể, SharePoint giá trị thuộc tính hoặc vị trí. Và cũng giống như truy vấn Khám phá Điện tử, bạn có thể xem trước, xuất và tải xuống kết quả truy vấn.
Chính sách của DLP
Chính sách của DLP giúp bạn nhận dạng, giám sát và tự động bảo vệ thông tin nhạy cảm tuân theo các quy định chung của ngành. Bạn chọn kiểu thông tin nhạy cảm để bảo vệ và hành động cần thực hiện khi phát hiện thấy nội dung có chứa thông tin nhạy cảm đó. Chính sách của DLP có thể thông báo cho nhân viên tuân thủ bằng cách gửi báo cáo sự cố, thông báo cho người dùng bằng mẹo chính sách trên site và tùy chọn chặn quyền truy nhập vào tài liệu cho tất cả mọi người, tuy nhiên, chủ sở hữu site, chủ sở hữu nội dung và bất cứ người nào sửa đổi tài liệu lần cuối. Cuối cùng, mẹo chính sách có tùy chọn ghi đè lên hành động chặn, để mọi người có thể tiếp tục làm việc với tài liệu nếu họ có giải thích về doanh nghiệp hoặc cần báo cáo phủ nhận sai.
Bạn tạo và quản lý chính sách DLP trong Trung tâm Chính sách Tuân thủ. Tạo chính sách DLP là một quy trình gồm hai bước: đầu tiên, bạn tạo chính sách DLP, rồi gán chính sách cho tuyển tập site.
Bước 1: Tạo chính sách DLP
Khi bạn tạo chính sách DLP, bạn chọn mẫu DLP để tìm kiếm các loại thông tin nhạy cảm mà bạn cần để nhận dạng, giám sát và tự động bảo vệ.
Khi chính sách DLP tìm thấy nội dung bao gồm số lượng phiên bản tối thiểu của một loại thông tin nhạy cảm cụ thể mà bạn chọn – ví dụ như năm số thẻ tín dụng hoặc một số an sinh xã hội đơn lẻ – thì chính sách DLP có thể tự động bảo vệ thông tin nhạy cảm bằng cách thực hiện các hành động sau:
-
Gửi báo cáo sự cố cho những người bạn chọn (chẳng hạn như nhân viên tuân thủ của bạn) kèm theo chi tiết sự kiện. Báo cáo này bao gồm chi tiết về nội dung được phát hiện chẳng hạn như tiêu đề, chủ sở hữu tài liệu và thông tin nhạy cảm nào được phát hiện. Để gửi báo cáo sự cố, bạn cần cấu hình thiết đặt email gửi đi trong Quản trị Trung tâm.
-
Thông báo cho người dùng bằng mẹo chính sách khi lưu hoặc sửa tài liệu chứa thông tin nhạy cảm. Mẹo chính sách giải thích lý do tài liệu xung đột với chính sách DLP để mọi người có thể thực hiện hành động khắc phục, chẳng hạn như loại bỏ thông tin nhạy cảm khỏi tài liệu. Khi tài liệu tuân thủ, mẹo chính sách sẽ biến mất.
-
Chặn quyền truy nhập vào nội dung cho tất cả mọi người trừ người sở hữu site, chủ sở hữu tài liệu và người cuối cùng sửa đổi tài liệu. Những người này có thể loại bỏ thông tin nhạy cảm khỏi tài liệu hoặc thực hiện hành động khắc phục khác. Khi tài liệu tuân thủ, các quyền ban đầu sẽ được tự động khôi phục. Điều quan trọng là cần hiểu rằng mẹo chính sách cung cấp cho mọi người tùy chọn ghi đè lên hành động chặn. Do đó, các mẹo chính sách có thể giúp trang bị cho người dùng về các chính sách DLP của bạn và thực thi chúng mà không ngăn cản mọi người thực hiện công việc của họ.
Bước 2: Gán chính sách DLP
Sau khi tạo chính sách DLP, bạn cần gán chính sách đó cho một hoặc nhiều tuyển tập site, nơi nó có thể bắt đầu để giúp bảo vệ thông tin nhạy cảm trong những vị trí đó. Bạn có thể gán một chính sách đơn cho nhiều tuyển tập site, nhưng mỗi bài tập cần được tạo từng cái một.
Mẹo chính sách
Bạn muốn những người trong tổ chức của bạn làm việc với thông tin nhạy cảm phải tuân thủ các chính sách DLP của bạn, nhưng bạn không muốn chặn không cho họ hoàn thành công việc của họ một cách không cần thiết. Đây là nơi các mẹo chính sách có thể giúp ích.
Mẹo chính sách là một thông báo hoặc cảnh báo xuất hiện khi ai đó đang làm việc với nội dung xung đột với chính sách DLP — ví dụ, nội dung như sổ làm việc Excel chứa thông tin nhận dạng cá nhân (PII) và được lưu vào một site.
Bạn có thể sử dụng các mẹo chính sách để tăng mức độ nhận biết và giúp giáo dục mọi người về chính sách của tổ chức bạn. Mẹo chính sách cũng cung cấp cho mọi người tùy chọn để ghi đè lên chính sách để họ không bị chặn nếu họ có nhu cầu kinh doanh hợp lệ hoặc nếu chính sách phát hiện có trường hợp phủ nhận sai.
Xem hoặc ghi đè mẹo chính sách
Để thực hiện hành động đối với tài liệu, chẳng hạn như ghi đè chính sách DLP hoặc báo cáo tình trường phủ nhận sai, bạn có thể chọn menu Mở ... cho mục > mẹo chính sách Xem.
Mẹo chính sách liệt kê các sự cố với nội dung, và bạn có thể chọn Giải quyết, rồi ghi đè lên mẹo chính sách hoặc Báo cáo phủ nhận sai.
Chi tiết về cách hoạt động của mẹo chính sách
Lưu ý rằng nội dung có thể khớp với nhiều hơn một chính sách DLP nhưng sẽ chỉ hiển thị mẹo chính sách từ chính sách hạn chế cao nhất, ưu tiên cao nhất. Ví dụ: mẹo chính sách từ chính sách DLP chặn quyền truy nhập vào nội dung sẽ được hiển thị trên mẹo chính sách từ một quy tắc chỉ thông báo cho người dùng. Điều này ngăn không cho mọi người nhìn thấy một hàng các mẹo chính sách. Ngoài ra, nếu các mẹo chính sách trong chính sách hạn chế nhất cho phép mọi người ghi đè lên chính sách thì việc ghi đè chính sách này cũng sẽ ghi đè lên bất kỳ chính sách nào khác trùng khớp với nội dung.
Chính sách DLP được đồng bộ với các site và nội dung được đánh giá đối với chúng theo định kỳ và không đồng bộ (xem phần tiếp theo), do đó có thể có độ trễ ngắn từ thời gian bạn tạo chính sách DLP cho đến khi bạn bắt đầu xem các mẹo chính sách.
Chính sách DLP hoạt động như thế nào
DLP phát hiện thông tin nhạy cảm bằng cách dùng phân tích nội dung chuyên sâu (chứ không chỉ là quét văn bản đơn giản). Phân tích nội dung chuyên sâu này sử dụng kết quả khớp từ khóa, đánh giá các biểu thức thông thường, hàm nội bộ và các phương pháp khác để phát hiện nội dung phù hợp với chính sách DLP của bạn. Chỉ có khả năng là một tỷ lệ phần trăm nhỏ dữ liệu của bạn được coi là nhạy cảm. Chính sách của DLP có thể nhận dạng, giám sát và tự động bảo vệ dữ liệu đó mà không làm cản trở hoặc ảnh hưởng đến những người làm việc với phần còn lại của nội dung của bạn.
Sau khi bạn tạo chính sách DLP trong Trung tâm Chính sách Tuân thủ, chính sách đó sẽ được lưu trữ như một định nghĩa chính sách trong site đó. Sau đó, khi bạn gán chính sách cho các tuyển tập site khác nhau, chính sách sẽ được đồng bộ với các vị trí đó, tại đây, chính sách sẽ bắt đầu đánh giá nội dung và thực thi các hành động như gửi báo cáo sự cố, hiển thị các mẹo chính sách và chặn quyền truy nhập.
Đánh giá chính sách trong site
Trên tất cả các tuyển tập site của bạn, tài liệu luôn thay đổi liên tục — chúng liên tục được tạo, sửa, chia sẻ, v.v. Điều này có nghĩa là tài liệu có thể xung đột hoặc tuân thủ với chính sách DLP vào bất kỳ lúc nào. Ví dụ, một người có thể tải lên một tài liệu không chứa thông tin nhạy cảm vào site nhóm của họ, nhưng sau đó người khác có thể sửa cùng một tài liệu đó và thêm thông tin nhạy cảm vào đó.
Vì lý do này, các chính sách của DLP kiểm tra tài liệu có khớp với chính sách thường xuyên trong nền không. Bạn có thể nghĩ về đánh giá chính sách không đồng bộ.
Dưới đây là cách thức hoạt động. Khi mọi người thêm hoặc thay đổi tài liệu trong site của họ, công cụ tìm kiếm sẽ quét nội dung để bạn có thể tìm kiếm sau đó. Trong khi điều này xảy ra, nội dung cũng được quét tìm thông tin nhạy cảm. Mọi thông tin nhạy cảm được tìm thấy sẽ được lưu trữ an toàn trong chỉ mục tìm kiếm, do đó, chỉ nhóm tuân thủ mới có thể truy nhập, chứ không phải người dùng thông thường. Mỗi chính sách DLP mà bạn đã bật sẽ chạy trong nền (không đồng bộ), thường xuyên kiểm tra tìm kiếm nội dung bất kỳ khớp với chính sách và áp dụng các hành động để bảo vệ chính sách khỏi việc vô tình rò rỉ.
Cuối cùng, các tài liệu có thể xung đột với chính sách DLP nhưng chúng cũng có thể tuân thủ với chính sách DLP. Ví dụ: nếu một người thêm số thẻ tín dụng vào tài liệu, thì điều này có thể dẫn đến chính sách DLP chặn tự động truy nhập vào tài liệu. Nhưng nếu sau đó người đó loại bỏ thông tin nhạy cảm, thì hành động (trong trường hợp này là chặn) sẽ tự động hoàn tác vào lần đánh giá tài liệu tiếp theo so với chính sách.
DLP đánh giá bất kỳ nội dung nào có thể được lập chỉ mục. For more information on what file types are crawled by default, see Default crawled file name extensions and parsed file types.
Xem các sự kiện DLP trong nhật ký sử dụng
Bạn có thể xem hoạt động chính sách DLP trong nhật ký sử dụng trên máy chủ SharePoint Server 2016. Ví dụ: bạn có thể xem văn bản do người dùng nhập khi họ ghi đè lên mẹo chính sách hoặc báo cáo phủ nhận sai.
Trước tiên, bạn cần bật tùy chọn trong Quản trị Trung tâm (Giám sát > Đặt cấu hình cho việc sử dụng và thu thập dữ liệu tình > dụng Sự kiện Nhật ký Đơn Data_SPUnifiedAuditEntry). Để biết thêm thông tin về việc ghi nhật ký sử dụng, hãy xem Cấu hình việc thu thập dữ liệu tình trạng và sử dụng.
Sau khi bật tính năng này, bạn có thể mở báo cáo sử dụng trên máy chủ và xem các điều chỉnh do người dùng cung cấp để ghi đè lên mẹo chính sách DLP, cùng với các sự kiện DLP khác.
Trước khi bạn bắt đầu với DLP
Chủ đề này trình bày một số tính năng mà DLP phụ thuộc vào. Chúng bao gồm:
-
Để phát hiện và phân loại thông tin nhạy cảm trong tuyển tập site của bạn, hãy bắt đầu dịch vụ tìm kiếm và xác định lịch biểu tìm kéo cho nội dung của bạn.
-
Bật email đi.
-
To view user overrides and other DLP events, turn on the usage report.
-
Tạo tuyển tập site:
-
Đối với truy vấn DLP, hãy tạo tuyển tập site Trung tâm Khám phá Điện tử.
-
Đối với các chính sách DLP, hãy tạo tuyển tập site Trung tâm Chính sách Tuân thủ.
-
-
Tạo nhóm bảo mật cho nhóm tuân thủ của bạn, rồi thêm nhóm bảo mật vào nhóm Chủ sở hữu trong Trung tâm Khám phá Điện tử hoặc Trung tâm Chính sách Tuân thủ.
-
Để chạy truy vấn DLP, cần có quyền xem cho tất cả nội dung mà truy vấn sẽ tìm kiếm – để biết thêm thông tin, hãy xem Tạo truy vấn DLP trong SharePoint Server 2016.