1.2.7 云数据分类示例

随着业务上云、移动办公等新型商业模式的兴起，企业的网络边界变得不再清晰。现代的工作环境已经迁移到云上。在这种变革中，如何保护组织和客户的数据，是首先需要解决的问题。因此，组织的安全负责人需要定义与时俱进的数据保护战略，以更新数据分类框架并实施数据保护的IT系统。

多数云服务提供商都支持完善的数据分类策略。部分云服务提供商还支持基于组织实际需求的进一步定制。以微软公司内部使用的Azure云服务为例，其提供Azure信息保护（Azure Information Protection, AIP）框架。

微软公司的数据分类框架是由安全与合规团队共同制定和刷新的。新的框架和标签更加直观，可以让员工做出更好的数据处理决策。数据保护标准可以更加清晰地对齐，并且易于员工理解和遵循。微软公司的分类框架具有以下五个标签。

（1）非业务（Non-Business）：使用微软公司资产创建的非业务数据，但与微软公司的业务或微软公司的客户无关。数据的特点是不需要加密，无法跟踪或撤销授权。

（2）公开（Public）：准备并批准供公众使用的微软公司商业信息。数据的特点是不受Azure权限管理服务（Rights Management Services, RMS）的保护，所有者无法使用RMS跟踪或撤销内容授权。

（3）一般（General）：非公开用途的商业信息；但是，它可以与员工、临时雇员、商务客户和外部合作伙伴共享。数据的特点是不受RMS保护，所有者无法使用RMS跟踪或撤销内容。如果员工未选择分类标签，则AIP默认使用此标签，但会根据文档中输入的内容提供标签建议。

（4）机密（Confidential）：敏感的战略业务信息，如果共享不当则可能会造成损害。个人数据，无论是否可识别，也属于该类型。数据的特点是使用RMS保护，所有者可以跟踪和撤销内容；收件人是受信任的，并且具有完整的委托权限，包括删除RMS保护的功能。

（5）高度机密（High Confidential）：非常敏感的关键和高风险数据，需要最严格的保护。此类数据包括受法律法规管制的数据和敏感的个人身份信息。数据的特点是使用RMS保护，所有者可以跟踪和撤销内容；收件人没有委托权限，不能修改或删除RMS保护。

对于“机密”和“高度机密”，Azure云服务还提供标识可见性范围的子标签。

（1）Microsoft管理层：仅对Microsoft高级管理层可见。

（2）Microsoft FTE：所有全职员工（Full Time Employees）均可看到。

（3）Microsoft扩展：对全职员工和临时雇员均可见。

实现数据分类后，微软公司Azure信息保护通过集成到DLP中的保护机制，在数据的整个生命周期中对数据起到保护作用，如图1-20所示。

1.识别和标注

Azure信息保护对微软公司内部每个月大约1500万个文档和电子邮件进行分类、标记和保护。借助Azure信息保护，员工可以对自己所管辖的信息的内容进行分类，或者使用Azure信息保护扫描仪来自动分类文档，以扫描敏感内容（如信用卡号和社会保险号）。

人员、流程和技术的正确结合可以有效地保护组织的数据。微软公司的员工在保护其所创建、协作和管理的公司的数据方面起着至关重要的作用。在没有工具和自动化的情况下，微软公司仍然希望员工能够考虑分类和处理机密数据的正确方法。因此，微软公司选择让员工对数据进行分类，然后使用工具来扫描内容以提供分类建议。

无论是在公司内部还是在公司外部，在通过公司和个人设备不断地创建、编辑、存储和共享数据的过程中，都需要提供相应的工具和信息，以轻松、正确地对数据进行分类和标记。

Azure信息保护软件在Office 365生产力应用程序（包括Outlook电子邮件、Word、Excel和PowerPoint）中，以加载项的形式提供“保护”按钮。安装Azure信息保护软件后，“保护”按钮为员工提供分类提示和自动方法，以对他们在Office 365生产力应用中打开或创建的文件进行分类。

微软公司要求员工对自己的文件进行分类，并提供类似如图1-21所示的提示建议来帮助员工选择适当的分类并鼓励他们持续参与分类。

在默认情况下，未分类的文档以“常规”分类的形式打开，但是随着内容和数据的添加，Azure信息保护软件会提出建议。这些建议基于关键字扫描，或者基于财务或个人信息的数字模式匹配。

2.保护

标签和分类使用加密、身份和授权策略，以实现自动保护。Azure RMS与云服务和应用程序[如Office 365、Azure活动目录（Azure Active Directory, Azure AD）和Windows Information Protection]集成。无论文件位于公司网络、文件服务器和应用程序的内部还是外部，保护都随文档和电子邮件一起传播。

1）加密

Azure存储中的Azure RMS数据加密有助于保护静态数据和传输数据。Azure磁盘加密可用于加密虚拟机使用的操作系统和数据磁盘。数据在应用程序和Azure之间的传输过程中受到保护，因此可以始终保持安全。

Azure Key Vault帮助保护加密密钥、证书和密码，这些又用于数据的保护。Azure Key Vault使用硬件安全模块，其设计目的是使用户可以控制密钥，从而可以控制数据。通过Azure日志可以记录、监控和审核存储的密钥的使用情况，并且可以将日志导入Azure HDInsight（一种云上的开源分析服务）或安全信息和事件管理系统（SIEM），以进行更多的分析和威胁检测。

2）访问控制

Azure云服务可以管理用户身份和凭据，以多种方式控制对数据的访问。

Azure AD确保只有授权用户才能访问微软系统的计算环境、数据和应用程序。在用户登录时，使用多因素身份验证进行安全登录。基于Azure角色的访问控制有助于对包含个人数据的Azure服务的访问进行管理。Azure AD特权身份管理通过访问控制、管理和报告以降低与管理特权相关的风险。

3）策略控制

分类和标签还将通知策略控制，这些策略可以基于分类级别，限制对某些文档功能的访问。一旦员工应用了分类和标签和范围，微软公司的政策就会指定允许哪些收件人和收件人操作。例如，如下事例。

通过应用非商业标签，收件人可以查看、转发、打印和保存内容，且内容不受RMS保护。

通过应用“仅机密/收件人”标签，收件人可以查看、答复、打印和保存内容。但是，他们无法转发内容或删除RMS保护。

通过应用“机密/微软高层管理人员”标签，只有高层管理人员和相应用户组的成员才能查看、转发、答复、打印和保存内容。文档所有者可以使用Azure信息保护应用程序或利用控制台查看对其机密文档的跟踪和日志记录。

3.监控和响应

应用Azure信息保护后，员工可以与公司内部或外部的人员安全地协作，跟踪使用情况，甚至远程撤销访问。借助Azure信息保护应用程序，员工可以看到谁有权访问其内容及该内容的位置，即使该内容超出了组织的传统界限。