Office365安全与合规--数据防丢失保护（一）

数据防丢失保护是Office365的安全与合规当中非常重要的一层保护，也是微软在Office365中的经典保护策略与最前沿的保护策略共存的一个环节。

如果你有接触过Exchange 2013，那么因该对DLP(data loss prevetion)也就是数据防丢失保护并不陌生，但是你不一定启用过这个策略。可是随着公司开始使用云服务或者将本地环境拓展到云甚至是混合部署的环境，多多少少都会有安全的考虑，因为在云这个大环境下，员工最多的操作就是“共享”，那么保证公司重要信息的任务，就落在了DLP上。

注：这篇文章多以概念为主，DLP的原理，演示会在第二，第三篇中阐述。

首先要清楚的一点就是，DLP的首要做用，并非我们认为的不允许员工泄露公司的机密/敏感信息。当然策略可以这么设置，虽然对IT来说这样省事儿了，但是最终用户的体验是非常不好的，他们会抱怨说我想发的邮件发不出去，我向分享的文件分享不了等等。。。

所以设置DLP的目的应该为：
1.教育员工
2.保护公司敏感信息
3.防止机密资料的外泄

一,教育员工
就好比我们刚刚举的例子，如果所有包含敏感信息的消息，文件，邮件全都被禁止，会极大的影响员工的日常工作。IT这里首先要做的就是规划：
1.什么部门需要DLP？
2.这些部门会涉及到什么样的文件，以及文件中包含什么？
3.与部门的领导沟通以上收集到的信息，确定设置策略的方向和策略的级别（具体操作）

举个最近碰到的客户的案例：
某外企公司的人事部门每个月会向每个员工发送当月的工资，现在的做法是每个发送过去的excel表都是加密的，就是需要密码打开，每个员工的密码都不一样。这样乍一看感觉也没有太大问题，但是人事主管还是担心会有员工不经意的转发或者存下来发给其他公司的人，甚至如果员工平时使用Teams聊天过程中会透露这些信息。（当然人事部当时还考虑了每年新增加的headcount等其他的因素，这里我们就单看工资这一项）

我们确认了部门是人事部，涉及到的是Office 中的Excel（严格上他们使用的是office proplus），文件里给我们展示了基本的格式，包含的关键字以及常用的表达式：
关键字：base salary, allowance, reimbursement,tax,walfare,social security,等等
关键字非常容易确认，而且比如不管员工本月有没有报销，reimbursement这一栏还是存在的，所以在创建策略的时候所有的关键字我们都列在了里面。
表达式是有些难以定义的，因为每个人的工资不一样，不能说结尾都是0，或者所有人工资都过万。但是工资的福利是一样的，每个员工每个月都会有餐补贴和交通补贴，而且大部分员工的公积金都在一个特定的区间内（这里是财务配合IT部门把员工的这些信息做了一个筛查）

结合上面两点，我们知道了具体要保护的内容，现在要做的就是保护这些敏感信息

这个保护乍一看以为是DLP策略在做，归根揭底其实是每个员工的职业操守。假设现在两个新员工在聊天，聊到了工资问题，这时候DLP检测到员工输入了“工资”这个敏感词，所以跳出来一条提示（policy tip）告诉他现在这个做法是违反公司规定的，除非有正当的业务和商业需求，否则不可以泄露此条信息。或者是邮件中提示一样的内容，并包含一条链接到公司的IT策略规定，让员工熟悉一下公司的制度。

这种做法比禁止一切跟敏感信息有关的行为要人性化很多。

二，保护公司敏感信息
现在我们知道了要保护的内容，那么如何具体去保护呢？
首先我们知道，工资信息这个东西并不存在与Office365已有的DLP模板内，也就是我们需要自定义。提供的模板以及已有的敏感信息类型涵盖的范围其实很小，特别是对中国的客户，几乎没有可以现成拿来用的模板，都是要自定义的。

首先要确定的就是这条策略针对内部还是外部用户，不可两个都选，但是你可以制定两条一样的策略针对内外部用户。

对于你制定的每一条DLP策略，都是可以创建低和高两种等级（也可以定义为其他名称），比如低级–出现次数少，策略不是很确定你这条消息/邮件/文件里包含的内容，你可以有策略提示，允许用户提供正当理由来覆盖（false positve），不必实时通知管理员或者相应的部门经理。
对于出现次数多，而且非常确定（假设90%）认为这条信息里包含敏感信息，可以选择阻止发送，返回给用户警告并且实时通知管理员和部门经理的操作。

还有就是，如果你制定的策略针对的是SharePoint Online，强烈建议也同时应用于其他所有的服务，不然等于是留了突破口。SharePoint Online里不能分享给外部用户，发邮件没可以，这种做法等于是个很大的bug。

三，防止机密资料的外泄
也许你觉得第二条已经可以满足需求了。没错，对于中小型企业确实足够，但是对于大型企业级用户来说远远不够，IT如果一条一条策略去创建，一个部门一个部门去做规划是非常持久的一项工作。这也是为何对于教育用户这第一点来说是非常重要的，并且一直有策略提示也是很影响用户体验的一种方式，只建议在策略测试期间使用，收集足够的用户反馈后就关闭策略提示。
当用户知晓她/他目前要发送的文件属于敏感类型，却又觉得提供一条正当理由来覆盖策略太麻烦时，我们就需要用到更人性化的设置。

首先就是刚提到的消除提示以及组织这类操作，IT只要后台自己知晓即可，那么IT现在需要做的就是让用户自己来选取这个文件的保护级别，也就是需要用的Azure 信息保护这个功能（Azure Information Protection），可以对文件应用标签，不同的标签代表着不同的权限等级。比如classified（机密）的标签一旦应用，我们设置：凡是应用了此类标签的邮件，收件人如果不属于副总裁级别的，都不具有更改，打印，复制等权限。

或者一个all internal employee的标签只有公司内部的员工可以编辑，其他外包员工，合作伙伴均只有只读权限（只读权限也是最低可以配置的）

上面提到的这种属于encrypt（加密），只能针对Exchange启用。对其他的服务没有这个选项存在。那么为什么针对邮件，是因为邮件仍然为最正式的一种沟通渠道，不管是从格式上来说还是形式上来讲，而且邮件在企业沟通过程中的地位暂时没有其他方式可以取代。

因为没法把AIP应用于其他的服务，我们的保护措施就不仅仅限于使用DLP策略了，需要结合服务本身的一些设置来保护数据的安全性，但是这些设置目前都不在DLP的范畴之内，所以我们不在这里细说。

下一张我们会有具体的演示，如何去创建一条DLP策略，以及最终效果。