新版 Exchange 推出 Data Loss Prevention
英文原文已於 2012 年 9 月 29 日星期六發佈
新版 Exchange 的 Data Loss Prevention (DLP) 功能可透過深層內容分析,幫助您識別、監控和保護貴公司的敏感性資訊在您的組織中。DLP 對企業訊息系統越發重要,因為重要業務電子郵件包含的敏感性資料都需要受保護。財務資訊、個人識別資訊 (PII) 和知識產權的資料,這些都可能不小心發送給未經授權的使用者,讓 CSO 整夜難眠。為了保護敏感性資料,同時又不影響員工的工作效率,新版 Microsoft Exchange Server 2013 整合了 DLP 功能,方便您管理電子郵件中的敏感性資料,再容易不過了。
Exchange 的 DLP 可讓您輕鬆上手,因為 Microsoft 提供了簡單的管理介面,可讓您執行下列操作:
- 從預先設定的原則範本入手,可以幫助您偵測特定類型的敏感性資訊,例如 PCI-DSS 資料、Gramm-Leach-Bliley Act 資料,或甚至是特定地區設定的個人識別資訊 (PII)。
- 使用現有的傳輸規則述詞和動作的全部功能,並新增新的傳輸規則
- 徹底強制執行前,測試 DLP 原則的有效性
- 整合專屬的自訂 DLP 原則範本與敏感性資訊類型
- 偵測郵件附件、本文或主旨列的敏感性資訊,並調整 Exchange 該採取行動的信賴等級
- 新增原則提示,可向您的 Outlook 使用者顯示通知,有助於減少資料遺失的情況,允許誤判回報也可以改善原則的有效性
- 使用新產生的事件報告動作,檢閱郵件追蹤記錄檔的事件資料或新增報表
使用 Microsoft 提供的 DLP 原則範本是最簡單的入門方法。DLP 原則是傳輸規則的套件加上您可自訂的新功能。這些規則包括分類類型,專門定義您在 DLP 原則中尋找的內容類型。您可以使用 Exchange 管理命令介面、Exchange 系統管理中心 (可能為英文網頁) (EAC),或甚至是您專屬的 XML 文件編輯器,開始將 DLP 原則整合到您的郵件環境。此影像為資料遺失防護管理介面。
圖 1:使用 EAC 管理 Data Loss Prevention (DLP)
為了完成新 DLP 功能,Exchange Server 2013 已建立了不少新的傳輸規則條件和動作。新傳輸規則的其中一個主要功能是偵測可能併入郵件流程處理的敏感性資訊。這種新 DLP 功能會透過關鍵字對應、字典對應、規則運算式評估、內部功能 (例如驗證信用卡號碼總和檢查碼及其他其他內容檢查),執行深入的內容分析,以偵測郵件內文或附件中的特定內容類型。
即時通知員工的原則提示
有了新 DLP 功能,您可以通知郵件寄件者,您的原則偵測到他們即將傳輸敏感性資訊,甚至在他們按下發送前就通知。這個通知可在原則提示設定。原則提示類似寄件提醒,在 Microsoft Outlook 2013 用戶端設定後會出現簡短說明,向郵件建立者說明您的業務政策。您設定的原則提示,可以只是提醒員工,或是封鎖他們的郵件,或甚至允許他們提出理由,推翻封鎖決定。原則提示對調整 DLP 原則的有效性也相當實用,因為原則提示允許使用者回報誤判,順暢無阻。以下為螢幕幕截圖,顯示作用中的原則提示。
圖 2:原則提示會在電子郵件寄件者發送郵件前,通知寄件者郵件內含敏感性資料
從建立保護敏感性資料的原則著手
讓您著手使用 DLP 的三種方法:
- 套用 Microsoft 提供的立即可用範本:開始使用 DLP 原則的最快方法,就是使用範本建立並實作新原則。這樣可省下力氣,不需重頭建立新規則集。
- 從公司外部匯入預先建立的原則檔:您可匯入由獨立軟體供應商在您訊息環境外建立的原則範本。這樣您可針對您的業務需求,擴充 DLP 解決方案。
- 建立自訂原則,不使用任何既存條件:貴公司對監控訊息系統內的某類資料可能有自己的要求。您可自行建立一個自訂 DLP 原則,開始檢查並操作自己專屬的訊息資料。
DLP 原則的敏感性資訊類型
建立 DLP 原則時,您可涵括內含敏感性資訊檢查的規則。您建立在原則中的條件,例如必須發現幾次後才會採取行動,或是新自訂原則內到底有哪些動作可以自訂,以滿足您的業務需求。使用您可自訂的條件,整合敏感性資訊規則與傳輸規則架構:若訊息內含…敏感性資訊。您可由訊息內含的一種以上敏感性資訊類型設定此條件。
為了讓您輕鬆使用敏感性資訊相關規則,Microsoft 提供的原則範本,已包含一些敏感性資訊類型。TechNet Library 提供立即可使用的敏感性資訊類型詳細目錄 (可能為英文網頁) 附件。以下為簡短的範例:
| 資訊類型 | 主要地區 | 類別 |
|---|---|---|
| ABA 製程號碼 | 美國 | 財務 |
| 澳洲銀行帳戶號碼 | 澳大利亞 | 金融 |
| 信用卡號碼 | 所有地區 | 金融 |
| EU 簽帳卡號碼 | 歐盟 | 金融 |
| 法國社會安全號碼 (INSEE) | 法國 | PII |
| 德國駕照號碼 | 德國 | PII |
| 日本護照號碼 | 日本 | PII |
| SWIFT 碼 | 所有地區 | 金融 |
| 英國健康醫療服務號碼 | 英國 | 醫療 |
Exchange 2013 的 Data Loss Prevention 是新功能之一,著重在解決電子郵件的法律遵循問題。請查看就地 eDiscover、就地封存、保留原則、傳輸規則的新增部分,以及資訊版權管理。全新 DLP 功能可保護貴公司的敏感性資料,希望也能提升生產力,增強安全性。
這是翻譯後的部落格文章。英文原文請參閱 Introducing Data Loss Prevention in the New Exchange