安全注意事项

本文探讨 Secure Mail 的安全注意事项以及您可以启用以帮助提高数据安全性的特定设置。

Microsoft IRM 和 AIP 电子邮件权限保护支持

Secure Mail for Android 和 Secure Mail for iOS 支持受 Microsoft 信息权限管理 (IRM) 保护的邮件和 Azure 信息保护 (AIP) 解决方案。此支持受 Citrix Endpoint Management 上已配置的 IRM 策略的制约。

此功能允许使用 IRM 的组织对消息内容应用保护。此功能还允许移动设备用户能够创建和使用受权限保护的内容。默认情况下，IRM 支持设置为关。要启用 IRM 支持功能，请将“信息权限管理”策略设置为开。

在 Secure Mail 中启用信息权限管理

1. 登录到 Endpoint Management 并导航到配置 > 应用程序，然后单击添加。
2. 在添加应用程序屏幕中，单击 MDX。
3. 在应用程序信息屏幕中，输入应用程序详细信息，然后单击下一步。
4. 根据您的设备操作系统，选择并上载 .mdx 文件。
5. 在应用程序设置下启用信息权限管理。

注意：

启用适用于 iOS 和 Android 的信息权限管理。

收到受权限保护的电子邮件时

当用户收到内容受保护的邮件时，他们会看到以下屏幕：

要查看用户享有的权限的详细信息，请轻按详细信息。

撰写受权限保护的电子邮件时

在撰写邮件时，用户可以设置限制配置文件以启用电子邮件保护。

要对电子邮件设置限制，请执行以下操作：

1. 登录到 Secure Mail 并轻按编写图标。

2. 在撰写屏幕中，轻按电子邮件限制图标。

   

3. 在限制配置文件屏幕中，轻按所需的限制以应用到电子邮件，然后单击“后退”。

   

   应用的限制将显示在主题字段下方。

   

一些组织可能要求严格遵守他们的 IRM 策略。具有 Secure Mail 访问权限的用户可尝试通过篡改 Secure Mail、操作系统甚至硬件平台跳过 IRM 策略。

虽然 Endpoint Management 可以检测某些攻击，但是请考虑采取以下预防措施以提高安全性：

• 查看设备供应商提供的安全指导。
• 使用 Endpoint Management 功能或其他功能，相应地配置设备。
• 为用户提供有关正确使用 IRM 功能（包括 Secure Mail）的指导。
• 部署其他第三方安全软件，以抵抗此类型攻击。

电子邮件安全性分类

Secure Mail for iOS 和 Secure Mail for iOS Android 支持电子邮件分类标记，允许用户在发送电子邮件时指定安全性 (SEC) 标记和分发限制标记 (DLM)。SEC 标记包括“Protected”（受保护）、“Confidential”（私密）和“Secret”（机密）。DLM 包括“Sensitive”（敏感）、“Legal”（法律）或“Personal”（个人）。撰写电子邮件时，Secure Mail 用户可以选择一个标记以指示电子邮件的分类级别，如下图所示。

收件人可以在电子邮件主题中查看分类标记。例如：

• Subject: Planning [SEC = PROTECTED, DLM = Sensitive]
• Subject: Planning [DLM = Sensitive]
• Subject: Planning [SEC = UNCLASSIFIED]

电子邮件标头包括作为 Internet 邮件标头扩展的分类标记，如下例中粗体文本所示：

Date: Fri, 01 May 2015 12:34:50 +530

Subject: Planning [SEC = PROTECTED, DLM = Sensitive]

Priority: normal

X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

From: operations@example.com

To: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail 仅显示分类标记。该应用程序不会根据这些标记采取操作。

用户答复或转发带有分类标记的电子邮件时，SEC 和 DLM 值将默认为原始电子邮件的标记。用户可以选择其他标记。Secure Mail 不验证与原始电子邮件有关的此类更改。

可以通过以下 MDX 策略配置电子邮件分类标记。

• 电子邮件分类： 如果设置为开，Secure Mail 将支持 SEC 和 DLM 的电子邮件分类标记。分类标记在电子邮件标头中作为 X 保护标记的值显示。请务必配置相关的电子邮件分类策略。默认值为关。

• 电子邮件分类命名空间： 根据所使用的分类标准指定电子邮件标头中所需的分类命名空间。例如，命名空间 gov.au 在标头中显示为 NS=gov.au。默认值为空。

• 电子邮件分类版本： 根据所使用的分类标准指定电子邮件标头中所需的分类版本。例如，版本 2012.3 在标头中显示为 VER=2012.3。默认值为空。

• 默认电子邮件分类： 指定用户未选择标记时，Secure Mail 对电子邮件应用的保护标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为 UNOFFICIAL。

• 电子邮件分类标记： 指定最终用户可用的分类标记。如果列表为空，Secure Mail 将不包括保护标记列表。标记列表中包含冒号分隔的值对。每个值对中都包含 Secure Mail 中显示的列表值以及标记值（在 Secure Mail 中附加到电子邮件主题和标头的文本）。例如，在标记对 UNOFFICIAL,SEC=UNOFFICIAL 中，列表值为 UNOFFICIAL，标记值为 SEC=UNOFFICIAL。

默认值为能够修改的分类标记列表。Secure Mail 附带以下标记。

• UNOFFICIAL,SEC=UNOFFICIAL
• UNCLASSIFIED,SEC=UNCLASSIFIED
• For Official Use Only,DLM=For-Official-Use-Only
• Sensitive,DLM=Sensitive
• Sensitive:Legal,DLM=Sensitive:Legal
• Sensitive:Personal,DLM=Sensitive:Personal
• PROTECTED,SEC=PROTECTED
• PROTECTED+Sensitive,SEC=PROTECTED
• PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
• PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
• PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
• CONFIDENTIAL,SEC=CONFIDENTIAL
• CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
• CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
• CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
• CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
• SECRET,SEC=SECRET
• SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
• SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
• SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
• SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
• TOP-SECRET,SEC=TOP-SECRET
• TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
• TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
• TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
• TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS 数据保护

必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以对 Secure Mail 和 Secure Web 使用启用 iOS 数据保护策略。默认情况下，策略设置为关。

对于 Secure Web，启用 iOS 数据保护设置为开时，Secure Web 为沙盒中的所有文件使用 A 类保护级别。有关 Secure Mail 数据保护的详细信息，请参阅澳大利亚信号局数据保护。如果启用此策略，将使用最高数据保护类，因此无需再指定最低数据保护类策略。

更改“启用 iOS 数据保护”策略

1. 使用 Endpoint Management 控制台将 Secure Web 和 Secure Mail MDX 文件加载到 Endpoint Management：对于新应用程序，请导航到配置 > 应用程序 > 添加，然后单击 MDX。有关升级的信息，请参阅升级 MDX 或企业应用程序。

2. 对于 Secure Mail，请浏览到应用程序设置，找到启用 iOS 数据保护策略，然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。

3. 对于 Secure Web，请浏览到应用程序设置，找到启用 iOS 数据保护策略，然后将其设置为开。启用此策略不会影响运行较低操作系统版本的设备。

4. 正常配置应用程序策略并保存设置，以将应用程序部署到 Endpoint Management 应用商店。

澳大利亚信号局 (Australian Signals Directorate) 数据保护

Secure Mail 为必须满足澳大利亚信号局 (ASD) 计算机安全要求的企业支持 ASD 数据保护。默认情况下，“启用 iOS 数据保护”策略设置为关，Secure Mail 提供 C 类数据保护或使用预配文件中设置的数据保护。

如果此策略设置为开，Secure Mail 在应用程序沙盒中创建和打开文件时指定保护级别。Secure Mail 为以下各项设置 A 类数据保护：

• 发件箱项目
• 相机或本机照片中的照片
• 从其他应用程序粘贴的图像
• 下载的文件附件

Secure Mail 为以下各项设置 B 类数据保护：

• 存储的邮件
• 日历项目
• 通讯录
• ActiveSync 策略文件

B 类保护使锁定设备可以同步，并在下载开始后锁定设备的情况下使下载可以完成。

启用数据保护后，设备锁定时将不发送排队的发件箱项目，因为文件无法打开。如果设备在锁定时终止 Secure Mail，然后又将其重新启动，Secure Mail 在设备解锁并启动 Secure Mail 之前将无法进行同步。

Citrix 建议，如果启用此策略，仅在需要避免创建采用 C 类数据保护的日志文件时启用 Secure Mail 日志记录。

遮蔽屏幕内容

Secure Mail for Android 和 Secure Mail for iOS 支持在应用程序进入后台时屏蔽屏幕。此功能增强了用户隐私，保护敏感数据，并防止未经授权的访问。要在 iOS 或 Android 设备上为 Secure Mail 启用此功能，请参阅以下部分。

在 iOS 设备上：

1. 使用管理员凭据登录到 Citrix Endpoint Management 控制台。
2. 导航到配置 > 应用程序 > MDX。
3. 选择平台部分下的 iOS 选项。

4. 启用应用程序限制部分下的遮蔽屏幕内容选项。

   

启用遮蔽屏幕内容选项后，当应用程序进入后台时，Secure Mail 会显示灰屏。

在 Android 设备上：

要遮蔽 Secure Mail 应用程序内容，您可以使用我们用于限制屏幕捕获的策略，即允许屏幕捕获策略。禁用此策略还会在应用程序进入后台时遮蔽应用程序内容。有关禁用允许屏幕捕获策略的详细信息，请参阅 Citrix Endpoint Management 文档中的 Android 设置。