Office365安全與合規--資料防丢失保護（一）

資料防丢失保護是Office365的安全與合規當中非常重要的一層保護，也是微軟在Office365中的經典保護政策與最前沿的保護政策共存的一個環節。

如果你有接觸過Exchange 2013，那麼因該對DLP(data loss prevetion)也就是資料防丢失保護并不陌生，但是你不一定啟用過這個政策。可是随着公司開始使用雲服務或者将本地環境拓展到雲甚至是混合部署的環境，多多少少都會有安全的考慮，因為在雲這個大環境下，員工最多的操作就是“共享”，那麼保證公司重要資訊的任務，就落在了DLP上。

注：這篇文章多以概念為主，DLP的原理，示範會在第二，第三篇中闡述。

首先要清楚的一點就是，DLP的首要做用，并非我們認為的不允許員工洩露公司的機密/敏感資訊。當然政策可以這麼設定，雖然對IT來說這樣省事兒了，但是最終使用者的體驗是非常不好的，他們會抱怨說我想發的郵件發不出去，我向分享的檔案分享不了等等。。。

是以設定DLP的目的應該為：

1.教育員工

2.保護公司敏感資訊

3.防止機密資料的外洩

一,教育員工

就好比我們剛剛舉的例子，如果所有包含敏感資訊的消息，檔案，郵件全都被禁止，會極大的影響員工的日常工作。IT這裡首先要做的就是規劃：

1.什麼部門需要DLP？

2.這些部門會涉及到什麼樣的檔案，以及檔案中包含什麼？

3.與部門的上司溝通以上收集到的資訊，确定設定政策的方向和政策的級别（具體操作）

舉個最近碰到的客戶的案例：

某外企公司的人事部門每個月會向每個員工發送當月的工資，現在的做法是每個發送過去的excel表都是加密的，就是需要密碼打開，每個員工的密碼都不一樣。這樣乍一看感覺也沒有太大問題，但是人事主管還是擔心會有員工不經意的轉發或者存下來發給其他公司的人，甚至如果員工平時使用Teams聊天過程中會透露這些資訊。（當然人事部當時還考慮了每年新增加的headcount等其他的因素，這裡我們就單看工資這一項）

我們确認了部門是人事部，涉及到的是Office 中的Excel（嚴格上他們使用的是office proplus），檔案裡給我們展示了基本的格式，包含的關鍵字以及常用的表達式：

關鍵字：base salary, allowance, reimbursement,tax,walfare,social security,等等

關鍵字非常容易确認，而且比如不管員工本月有沒有報帳，reimbursement這一欄還是存在的，是以在建立政策的時候所有的關鍵字我們都列在了裡面。

表達式是有些難以定義的，因為每個人的工資不一樣，不能說結尾都是0，或者所有人工資都過萬。但是工資的福利是一樣的，每個員工每個月都會有餐補貼和交通補貼，而且大部分員工的公積金都在一個特定的區間内（這裡是财務配合IT部門把員工的這些資訊做了一個篩查）

結合上面兩點，我們知道了具體要保護的内容，現在要做的就是保護這些敏感資訊

這個保護乍一看以為是DLP政策在做，歸根揭底其實是每個員工的職業操守。假設現在兩個新員工在聊天，聊到了工資問題，這時候DLP檢測到員工輸入了“工資”這個敏感詞，是以跳出來一條提示（policy tip）告訴他現在這個做法是違反公司規定的，除非有正當的業務和商業需求，否則不可以洩露此條資訊。或者是郵件中提示一樣的内容，并包含一條連結到公司的IT政策規定，讓員工熟悉一下公司的制度。

這種做法比禁止一切跟敏感資訊有關的行為要人性化很多。

二，保護公司敏感資訊

現在我們知道了要保護的内容，那麼如何具體去保護呢？

首先我們知道，工資資訊這個東西并不存在與Office365已有的DLP模闆内，也就是我們需要自定義。提供的模闆以及已有的敏感資訊類型涵蓋的範圍其實很小，特别是對中國的客戶，幾乎沒有可以現成拿來用的模闆，都是要自定義的。

首先要确定的就是這條政策針對内部還是外部使用者，不可兩個都選，但是你可以制定兩條一樣的政策針對内外部使用者。

對于你制定的每一條DLP政策，都是可以建立低和高兩種等級（也可以定義為其他名稱），比如低級–出現次數少，政策不是很确定你這條消息/郵件/檔案裡包含的内容，你可以有政策提示，允許使用者提供正當理由來覆寫（false positve），不必實時通知管理者或者相應的部門經理。

對于出現次數多，而且非常确定（假設90%）認為這條資訊裡包含敏感資訊，可以選擇阻止發送，傳回給使用者警告并且實時通知管理者和部門經理的操作。

還有就是，如果你制定的政策針對的是SharePoint Online，強烈建議也同時應用于其他所有的服務，不然等于是留了突破口。SharePoint Online裡不能分享給外部使用者，發郵件沒可以，這種做法等于是個很大的bug。

三，防止機密資料的外洩

也許你覺得第二條已經可以滿足需求了。沒錯，對于中小型企業确實足夠，但是對于大型企業級使用者來說遠遠不夠，IT如果一條一條政策去建立，一個部門一個部門去做規劃是非常持久的一項工作。這也是為何對于教育使用者這第一點來說是非常重要的，并且一直有政策提示也是很影響使用者體驗的一種方式，隻建議在政策測試期間使用，收集足夠的使用者回報後就關閉政策提示。

當使用者知曉她/他目前要發送的檔案屬于敏感類型，卻又覺得提供一條正當理由來覆寫政策太麻煩時，我們就需要用到更人性化的設定。

首先就是剛提到的消除提示以及組織這類操作，IT隻要背景自己知曉即可，那麼IT現在需要做的就是讓使用者自己來選取這個檔案的保護級别，也就是需要用的Azure 資訊保護這個功能（Azure Information Protection），可以對檔案應用标簽，不同的标簽代表着不同的權限等級。比如classified（機密）的标簽一旦應用，我們設定：凡是應用了此類标簽的郵件，收件人如果不屬于副總裁級别的，都不具有更改，列印，複制等權限。

或者一個all internal employee的标簽隻有公司内部的員工可以編輯，其他外包員工，合作夥伴均隻有隻讀權限（隻讀權限也是最低可以配置的）

上面提到的這種屬于encrypt（加密），隻能針對Exchange啟用。對其他的服務沒有這個選項存在。那麼為什麼針對郵件，是因為郵件仍然為最正式的一種溝通管道，不管是從格式上來說還是形式上來講，而且郵件在企業溝通過程中的地位暫時沒有其他方式可以取代。

因為沒法把AIP應用于其他的服務，我們的保護措施就不僅僅限于使用DLP政策了，需要結合服務本身的一些設定來保護資料的安全性，但是這些設定目前都不在DLP的範疇之内，是以我們不在這裡細說。

下一張我們會有具體的示範，如何去建立一條DLP政策，以及最終效果。