安全注意事项

本文讨论了 Secure Mail 的安全注意事项以及可用于帮助提高数据安全性的特定设置。

Microsoft IRM 和 AIP 电子邮件权限保护支持

适用于 Android 和 iOS 的 Secure Mail 支持受 Microsoft 信息权限管理 (IRM) 和 Azure 信息保护 (AIP) 解决方案保护的消息。此支持受 Citrix Endpoint Management 上配置的 IRM 策略的约束。

此功能允许使用 IRM 的组织对消息内容应用保护。该功能还允许移动设备用户创建和使用受权限保护的内容。默认情况下，IRM 支持处于关闭状态。要启用 IRM 支持，请将信息权限管理策略设置为开启。

在 Secure Mail 中启用信息权限管理

1. 登录到 Endpoint Management，然后导航到配置 > 应用程序，然后单击添加。
2. 在添加应用程序屏幕中，单击 MDX。
3. 在应用程序信息屏幕中，输入应用程序详细信息，然后单击下一步。
4. 根据您的设备操作系统，选择并上传 .mdx 文件。
5. 在应用程序设置下启用信息权限管理。

注意：

为 iOS 和 Android 启用信息权限管理。

收到受权限保护的电子邮件时

当用户收到包含受保护内容的邮件时，他们会看到以下屏幕：

要查看用户有权获得的详细信息，请点击详细信息。

撰写受权限保护的电子邮件时

• 当用户撰写邮件时，他们可以设置限制配置文件以启用电子邮件保护。

• 设置电子邮件限制：

1. 登录到 Secure Mail 并点击撰写图标。

2. 在撰写屏幕中，点击电子邮件限制图标。

   

• 1. 在限制配置文件屏幕中，点击要应用于电子邮件的所需限制，然后点击返回。

  

  应用的限制显示在主题字段下方。

  

某些组织可能要求严格遵守其 IRM 策略。有权访问 Secure Mail 的用户可能会尝试通过篡改 Secure Mail、操作系统甚至硬件平台来绕过 IRM 策略。

尽管 Endpoint Management 可以检测到某些攻击，但请考虑以下预防措施以提高安全性：

• 查看设备供应商提供的安全指南。
• 使用 Endpoint Management 功能或其他方式相应地配置设备。
• 为用户提供有关 IRM 功能（包括 Secure Mail）的正确使用指南。

• 部署其他第三方安全软件以抵御此类攻击。

• 电子邮件安全分类

• 适用于 iOS 和 Android 的 Secure Mail 支持电子邮件分类标记，使用户能够在发送电子邮件时指定安全 (SEC) 和传播限制标记 (DLM)。SEC 标记包括 Protected、Confidential 和 Secret。DLM 包括 Sensitive、Legal 或 Personal。撰写电子邮件时，Secure Mail 用户可以选择一个标记来指示电子邮件的分类级别，如以下图像所示。

• 

• 

• 收件人可以在电子邮件主题中查看分类标记。例如：

• 主题：Planning [SEC = PROTECTED, DLM = Sensitive]
• 主题：Planning [DLM = Sensitive]

• 主题：Planning [SEC = UNCLASSIFIED]

• 电子邮件标头包含作为 Internet 消息标头扩展的分类标记，在此示例中以粗体文本显示：

• Date: Fri, 01 May 2015 12:34:50 +530

• Subject: Planning [SEC = PROTECTED, DLM = Sensitive]

• Priority: normal

• X-Priority: normal X-Protective-Marking: VER-2012.3, NS=gov.au,SEC = PROTECTED, DLM = Sensitive,ORIGIN=operations@example.com

• From: operations@example.com

• To: Team <mylist@example.com>

MIME-Version: 1.0 Content-Type: multipart/alternative;boundary="_com.example.email_6428E5E4-9DB3-4133-9F48-155913E39A980"

Secure Mail 仅显示分类标记。应用程序不会根据这些标记执行操作。

当用户回复或转发带有分类标记的电子邮件时，SEC 和 DLM 值默认为原始电子邮件的标记。用户可以选择不同的标记。Secure Mail 不会验证与原始电子邮件相关的此类更改。

您可以通过以下 MDX 策略配置电子邮件分类标记。

• 电子邮件分类： 如果设置为“开”，Secure Mail 支持 SEC 和 DLM 的电子邮件分类标记。分类标记在电子邮件标头中显示为“X-Protective-Marking”值。请务必配置相关的电子邮件分类策略。默认值为“关”。

• 电子邮件分类命名空间： 指定分类标准在电子邮件标头中所需的分类命名空间。例如，命名空间“gov.au”在标头中显示为“NS=gov.au”。默认值为空。

• 电子邮件分类版本： 指定分类标准在电子邮件标头中所需的分类版本。例如，版本“2012.3”在标头中显示为“VER=2012.3”。默认值为空。

• 默认电子邮件分类： 指定如果用户未选择标记，Secure Mail 将应用于电子邮件的保护性标记。此值必须在“电子邮件分类标记”策略的列表中。默认值为“UNOFFICIAL”。

• 电子邮件分类标记： 指定可供用户使用的分类标记。如果列表为空，Secure Mail 不会包含保护性标记列表。标记列表包含由分号分隔的值对。每对都包含 Secure Mail 中显示的列表值和作为附加到 Secure Mail 中电子邮件主题和标头的文本的标记值。例如，在标记对“UNOFFICIAL,SEC=UNOFFICIAL;”中，列表值为“UNOFFICIAL”，标记值为“SEC=UNOFFICIAL”。

• 默认值是您可以修改的分类标记列表。Secure Mail 提供了以下标记。

• UNOFFICIAL,SEC=UNOFFICIAL
• UNCLASSIFIED,SEC=UNCLASSIFIED
• For Official Use Only,DLM=For-Official-Use-Only
• Sensitive,DLM=Sensitive
• Sensitive:Legal,DLM=Sensitive:Legal
• Sensitive:Personal,DLM=Sensitive:Personal
• PROTECTED,SEC=PROTECTED
• PROTECTED+Sensitive,SEC=PROTECTED
• PROTECTED+Sensitive:Legal,SEC=PROTECTED DLM=Sensitive:Legal
• PROTECTED+Sensitive:Personal,SEC=PROTECTED DLM=Sensitive:Personal
• PROTECTED+Sensitive:Cabinet,SEC=PROTECTED,DLM=Sensitive:Cabinet
• CONFIDENTIAL,SEC=CONFIDENTIAL
• CONFIDENTIAL+Sensitive,SEC=CONFIDENTIAL,DLM=Sensitive
• CONFIDENTIAL+Sensitive:Legal,SEC=CONFIDENTIAL DLM=Sensitive:Legal
• CONFIDENTIAL+Sensitive:Personal,SEC=CONFIDENTIAL,DLM=Sensitive:Personal
• CONFIDENTIAL+Sensitive:Cabinet,SEC=CONFIDENTIAL DLM=Sensitive:Cabinet
• SECRET,SEC=SECRET
• SECRET+Sensitive,SEC=SECRET,DLM=Sensitive
• SECRET+Sensitive:Legal,SEC=SECRET,DLM=Sensitive:Legal
• SECRET+Sensitive:Personal,SEC=SECRET,DLM=Sensitive:Personal
• SECRET+Sensitive:Cabinet,SEC=SECRET,DLM=Sensitive:Cabinet
• TOP-SECRET,SEC=TOP-SECRET
• TOP-SECRET+Sensitive,SEC=TOP-SECRET,DLM=Sensitive
• TOP-SECRET+Sensitive:Legal,SEC=TOP-SECRET DLM=Sensitive:Legal
• TOP-SECRET+Sensitive:Personal,SEC=TOP-SECRET DLM=Sensitive:Personal
• TOP-SECRET+Sensitive:Cabinet,SEC=TOP-SECRET DLM=Sensitive:Cabinet

iOS 数据保护

必须满足澳大利亚信号局 (ASD) 数据保护要求的企业可以使用 Secure Mail 和 Secure Web 的“启用 iOS 数据保护”策略。默认情况下，这些策略处于“关”状态。

当 Secure Web 的“启用 iOS 数据保护”设置为“开”时，Secure Web 会对沙盒中的所有文件使用 A 类保护级别。有关 Secure Mail 数据保护的详细信息，请参阅澳大利亚信号局数据保护。如果启用此策略，将使用最高数据保护类，因此无需另外指定“最低数据保护类”策略。

更改“启用 iOS 数据保护”策略

1. 使用 Endpoint Management 控制台将 Secure Web 和 Secure Mail MDX 文件加载到 Endpoint Management：对于新应用程序，导航到“配置 > 应用程序 > 添加”，然后单击“MDX”。有关升级，请参阅升级 MDX 或企业应用程序。

2. 对于 Secure Mail，浏览到“应用程序”设置，找到“启用 iOS 数据保护”策略，并将其设置为“开”。运行旧版操作系统的设备在此策略启用时不受影响。

3. 对于 Secure Web，浏览到“应用程序”设置，找到“启用 iOS 数据保护”策略，并将其设置为“开”。运行旧版操作系统的设备在此策略启用时不受影响。

4. 照常配置应用程序策略，并保存设置以将应用程序部署到 Endpoint Management 应用程序商店。

澳大利亚信号局数据保护

Secure Mail 支持澳大利亚信号局 (ASD) 数据保护，适用于必须满足 ASD 计算机安全要求的企业。默认情况下，“启用 iOS 数据保护”策略处于“关”状态，Secure Mail 提供 C 类数据保护或使用预配配置文件中设置的数据保护。

如果策略处于“开”状态，Secure Mail 会在应用程序沙盒中创建和打开文件时指定保护级别。Secure Mail 对以下项设置 A 类数据保护：

• 发件箱项目
• 相机或相机胶卷中的照片
• 从其他应用程序粘贴的图像
• 下载的文件附件

Secure Mail 对以下项设置 B 类数据保护：

• 存储的邮件
• 日历项目
• 联系人
• ActiveSync 策略文件

B 类保护使锁定设备能够同步，并允许在下载开始后设备锁定时完成下载。

启用数据保护后，当设备锁定时，排队的发件箱项目不会发送，因为文件无法打开。如果设备在锁定时终止然后重新启动 Secure Mail，则 Secure Mail 无法同步，直到设备解锁并启动 Secure Mail。

Citrix® 建议，如果启用此策略，仅在需要时启用 Secure Mail 日志记录，以避免创建具有 C 类数据保护的日志文件。

模糊屏幕内容

适用于 Android 和 iOS 的 Secure Mail 支持在应用程序进入后台时模糊屏幕。此功能可增强用户隐私，保护敏感数据并防止未经授权的访问。要在 iOS 或 Android 设备上为 Secure Mail 启用此功能，请参阅以下部分。

在 iOS 设备上：

1. 使用管理员凭据登录 Citrix Endpoint Management 控制台。
2. 导航到“配置”>“应用程序”>“MDX”。
3. 在“平台”部分下选择“iOS”选项。

4. 在“应用程序限制”部分下启用“模糊屏幕内容”选项。

   

启用“模糊屏幕内容”选项后，当应用程序进入后台时，Secure Mail 会显示一个灰色屏幕。

在 Android 设备上：

要模糊 Secure Mail 应用程序内容，您可以使用我们用于限制屏幕捕获的策略，即“允许屏幕捕获”策略。禁用此策略也会在应用程序进入后台时模糊应用程序内容。有关禁用“允许屏幕捕获”策略的详细信息，请参阅 Citrix Endpoint Management 文档中的Android 设置。