安全注意事项
本文探讨 Secure Mail 的安全注意事项以及您可以启用以帮助提高数据安全性的特定设置。
Microsoft IRM 和 AIP 电子邮件权限保护支持
Secure Mail for Android 和 Secure Mail for iOS 支持受 Microsoft 信息权限管理 (IRM) 保护的邮件和 Azure 信息保护 (AIP) 解决方案。此支持受 Citrix Endpoint Management 上已配置的 IRM 策略的制约。
此功能允许使用 IRM 的组织对消息内容应用保护。此功能还允许移动设备用户能够创建和使用受权限保护的内容。默认情况下,IRM 支持设置为关。要启用 IRM 支持功能,请将“信息权限管理”策略设置为开。
在 Secure Mail 中启用信息权限管理
- 登录到 Endpoint Management 并导航到配置 > 应用程序,然后单击添加。
- 在添加应用程序屏幕中,单击 MDX。
- 在应用程序信息屏幕中,输入应用程序详细信息,然后单击下一步。
- 根据您的设备操作系统,选择并上载 .mdx 文件。
- 在应用程序设置下启用信息权限管理。
注意:
启用适用于 iOS 和 Android 的信息权限管理。
收到受权限保护的电子邮件时
当用户收到内容受保护的邮件时,他们会看到以下屏幕:
要查看用户享有的权限的详细信息,请轻按详细信息。
撰写受权限保护的电子邮件时
在撰写邮件时,用户可以设置限制配置文件以启用电子邮件保护。
要对电子邮件设置限制,请执行以下操作:
- 登录到 Secure Mail 并轻按编写图标。
-
在撰写屏幕中,轻按电子邮件限制图标。
-
在限制配置文件屏幕中,轻按所需的限制以应用到电子邮件,然后单击“后退”。
应用的限制将显示在主题字段下方。
一些组织可能要求严格遵守他们的 IRM 策略。具有 Secure Mail 访问权限的用户可尝试通过篡改 Secure Mail、操作系统甚至硬件平台跳过 IRM 策略。
虽然 Endpoint Management 可以检测某些攻击,但是请考虑采取以下预防措施以提高安全性:
- 查看设备供应商提供的安全指导。
- 使用 Endpoint Management 功能或其他功能,相应地配置设备。
- 为用户提供有关正确使用 IRM 功能(包括 Secure Mail)的指导。
- 部署其他第三方安全软件,以抵抗此类型攻击。
电子邮件安全性分类
Secure Mail for iOS 和 Secure Mail for iOS Android 支持电子邮件分类标记,允许用户在发送电子邮件时指定安全性 (SEC) 标记和分发限制标记 (DLM)。SEC 标记包括“Protected”(受保护)、“Confidential”(私密)和“Secret”(机密)。DLM 包括“Sensitive”(敏感)、“Legal”(法律)或“Personal”(个人)。撰写电子邮件时,Secure Mail 用户可以选择一个标记以指示电子邮件的分类级别,如下图所示。
收件人可以在电子邮件主题中查看分类标记。例如:
- Subject: Planning [SEC = PROTECTED, DLM = Sensitive]
- Subject: Planning [DLM = Sensitive]
- Subject: Planning [SEC = UNCLASSIFIED]
电子邮件标头包括作为 Internet 邮件标头扩展的分类标记,如下例中粗体文本所示:
Date: Fri, 01 May 2015 12:34:50 +530
Subject: Planning [SEC = PROTECTED, DLM = Sensitive]
Priority: normal
X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com
From: operations@example.com
To: Team <mylist@example.com>
MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"
Secure Mail 仅显示分类标记。该应用程序不会根据这些标记采取操作。
用户答复或转发带有分类标记的电子邮件时,SEC 和 DLM 值将默认为原始电子邮件的标记。用户可以选择其他标记。Secure Mail 不验证与原始电子邮件有关的此类更改。
可以通过以下 MDX 策略配置电子邮件分类标记。
-
电子邮件分类: 如果设置为开,Secure Mail 将支持 SEC 和 DLM 的电子邮件分类标记。分类标记在电子邮件标头中作为 X 保护标记的值显示。请务必配置相关的电子邮件分类策略。默认值为关。
-
电子邮件分类命名空间: 根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如,命名空间 gov.au 在标头中显示为 NS=gov.au。默认值为空。
-
电子邮件分类版本: 根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如,版本 2012.3 在标头中显示为 VER=2012.3。默认值为空。
-
默认电子邮件分类: 指定用户未选择标记时,Secure Mail 对电子邮件应用的保护标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为 UNOFFICIAL。
-
电子邮件分类标记: 指定最终用户可用的分类标记。如果列表为空,Secure Mail 将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含 Secure Mail 中显示的列表值以及标记值(在 Secure Mail 中附加到电子邮件主题和标头的文本)。例如,在标记对 UNOFFICIAL,SEC=UNOFFICIAL 中,列表值为 UNOFFICIAL,标记值为 SEC=UNOFFICIAL。
默认值为能够修改的分类标记列表。Secure Mail 附带以下标记。
- UNOFFICIAL,SEC=UNOFFICIAL
- UNCLASSIFIED,SEC=UNCLASSIFIED
- For Official Use Only,DLM=For-Official-Use-Only
- Sensitive,DLM=Sensitive
- Sensitive:Legal,DLM=Sensitive:Legal
- Sensitive:Personal,DLM=Sensitive:Personal
- PROTECTED,SEC=PROTECTED
- PROTECTED+Sensitive,SEC=PROTECTED
- PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
- PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
- PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
- CONFIDENTIAL,SEC=CONFIDENTIAL
- CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
- CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
- CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
- CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
- SECRET,SEC=SECRET
- SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
- SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
- SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
- SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
- TOP-SECRET,SEC=TOP-SECRET
- TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
- TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
- TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
- TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet
iOS 数据保护
必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以对 Secure Mail 和 Secure Web 使用启用 iOS 数据保护策略。默认情况下,策略设置为关。
对于 Secure Web,启用 iOS 数据保护设置为开时,Secure Web 为沙盒中的所有文件使用 A 类保护级别。有关 Secure Mail 数据保护的详细信息,请参阅澳大利亚信号局数据保护。如果启用此策略,将使用最高数据保护类,因此无需再指定最低数据保护类策略。
更改“启用 iOS 数据保护”策略
-
使用 Endpoint Management 控制台将 Secure Web 和 Secure Mail MDX 文件加载到 Endpoint Management:对于新应用程序,请导航到配置 > 应用程序 > 添加,然后单击 MDX。有关升级的信息,请参阅升级 MDX 或企业应用程序。
-
对于 Secure Mail,请浏览到应用程序设置,找到启用 iOS 数据保护策略,然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。
-
对于 Secure Web,请浏览到应用程序设置,找到启用 iOS 数据保护策略,然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。
-
正常配置应用程序策略并保存设置,以将应用程序部署到 Endpoint Management 应用商店。
澳大利亚信号局 (Australian Signals Directorate) 数据保护
Secure Mail 为必须满足澳大利亚信号局 (ASD) 计算机安全要求的企业支持 ASD 数据保护。默认情况下,“启用 iOS 数据保护”策略设置为关,Secure Mail 提供 C 类数据保护或使用预配文件中设置的数据保护。
如果此策略设置为开,Secure Mail 在应用程序沙盒中创建和打开文件时指定保护级别。Secure Mail 为以下各项设置 A 类数据保护:
- 发件箱项目
- 相机或本机照片中的照片
- 从其他应用程序粘贴的图像
- 下载的文件附件
Secure Mail 为以下各项设置 B 类数据保护:
- 存储的邮件
- 日历项目
- 通讯录
- ActiveSync 策略文件
B 类保护使锁定设备可以同步,并在下载开始后锁定设备的情况下使下载可以完成。
启用数据保护后,设备锁定时将不发送排队的发件箱项目,因为文件无法打开。如果设备在锁定时终止 Secure Mail,然后又将其重新启动,Secure Mail 在设备解锁并启动 Secure Mail 之前将无法进行同步。
Citrix 建议,如果启用此策略,仅在需要避免创建采用 C 类数据保护的日志文件时启用 Secure Mail 日志记录。
遮蔽屏幕内容
Secure Mail for Android 和 Secure Mail for iOS 支持在应用程序进入后台时屏蔽屏幕。此功能增强了用户隐私,保护敏感数据,并防止未经授权的访问。要在 iOS 或 Android 设备上为 Secure Mail 启用此功能,请参阅以下部分。
在 iOS 设备上:
- 使用管理员凭据登录到 Citrix Endpoint Management 控制台。
- 导航到配置 > 应用程序 > MDX。
- 选择平台部分下的 iOS 选项。
-
启用应用程序限制部分下的遮蔽屏幕内容选项。
启用遮蔽屏幕内容选项后,当应用程序进入后台时,Secure Mail 会显示灰屏。
在 Android 设备上:
要遮蔽 Secure Mail 应用程序内容,您可以使用我们用于限制屏幕捕获的策略,即允许屏幕捕获策略。禁用此策略还会在应用程序进入后台时遮蔽应用程序内容。有关禁用允许屏幕捕获策略的详细信息,请参阅 Citrix Endpoint Management 文档中的 Android 设置。