Rheolaethau Diogelwch
-
- Rhan o:
- Canolfan Cymeradwyo
Cynulleidfa a awgrymir: Hyrwyddwyr digidol ysgolion, Cydlynwyr TGCh, Rheolwyr Rhwydweithiau, timau technegol awdurdodau lleol.
Trosolwg
Mae’r ddogfen hon yn disgrifio’r rheolaethau sydd ar gael ar gyfer ystod y pecynnau digidol ym Mhlatfform Hwb a sut y gellir defnyddio’r pecynnau hyn i alluogi sefydliadau i sicrhau diogelwch yr wybodaeth a ddefnyddir ganddynt.
Dosbarthiadau Diogelwch y Llywodraeth
Mae Dosbarthiadau Diogelwch y Llywodraeth ar dair lefel: SWYDDOGOL, CYFRINACHOL a THRA CHYFRINACHOL.
Diffinnir y lefelau fel a ganlyn:
Y rhan fwyaf o’r wybodaeth sy’n cael ei chreu neu ei phrosesu gan y sector cyhoeddus. Mae hyn yn cynnwys gweithrediadau busnes a gwasanaethau arferol, a gallai arwain at ganlyniadau niweidiol pe baent yn cael eu colli, eu dwyn neu eu cyhoeddi ar y cyfryngau, ond nid ydynt yn destun proffil uwch.
Gwybodaeth sensitif iawn sy’n cyfiawnhau mesurau diogelu uwch i warchod rhag bygythiadau gan rai penderfynol a galluog. Er enghraifft, lle byddai bygythiadau’n gallu achosi niwed difrifol i allu milwrol, cysylltiadau rhyngwladol neu ymchwiliadau i droseddau cyfundrefnol difrifol.
Gwybodaeth fwyaf sensitif Llywodraeth EM sy’n gofyn am y lefelau uchaf o ddiogelwch rhag y bygythiadau mwyaf difrifol. Er enghraifft, lle byddai bygythiadau’n gallu arwain at golli bywydau ar raddfa fawr neu fygythiad i ddiogelwch neu les economaidd y wlad neu genhedloedd cyfeillgar.
_______________
Bydd gwybodaeth a brosesir yn amgylchedd yr ysgol ar y lefel SWYDDOGOL. Yn achos data SWYDDOGOL, dylai rheolaethau diogelwch gwybodaeth:
- warchod rhag peryglu bwriadol gan ymosodiad awtomataidd neu fanteisgar; a
- cheisio canfod achos o beryglu gwirioneddol neu ymgais i beryglu ac ymateb iddo
Mae manylion llawn ar gael yn nogfennau cysylltiedig Swyddfa'r Cabinet.
Rheolaethau Diogelwch Hwb
Ar Hwb, cyfeirir at reolaethau diogelwch fel safonol ac uwch, a dim ond ar gyfer rhai agweddau ar Hwb y mae rheolaethau uwch ar gael.
Mae rheolaethau safonol yn addas ar gyfer y rhan fwyaf o ddefnyddwyr Hwb a bydd yn sicrhau diogelwch priodol ar gyfer data personol llai sensitif a gwybodaeth SWYDDOGOL.
Dewis Rheolaethau
Yn achos data personol bydd y penderfyniad ynglŷn â pha reolaethau i’w defnyddio’n cael ei wneud gan y rheolydd data (y pennaeth fydd y rheolydd data mewn ysgolion fel arfer).
Yn ychwanegol at y dull arfaethedig ar gyfer Hwb, mae cyngor ffurfiol ar gael ar wefan yr ICO i helpu rheolyddion data i benderfynu pa lefel rheolaeth sydd ei hangen.
Mae’r tabl canlynol yn dangos defnydd nodweddiadol; fodd bynnag, mae’n debygol y bydd rhesymau dilys dros wyro oddi wrth y model hwn yn ôl amgylchiadau penodol y sefydliad; bydd unrhyw wyriad o’r fath yn benderfyniad rheoli risg lleol.
Gweler y siartiau llif dethol rheolaeth sy’n berthnasol i bob agwedd ar Hwb am eglurhad pellach.
Sefyllfaoedd | Rheolaethau Safonol Hwb yn addas? | Rheolaethau Uwch Hwb yn addas? |
Gwybodaeth gyffredinol am yr ysgol gan gynnwys data cyrhaeddiad gan y MIS (e.e. SIMS, Canolfan Athrawon), nad yw’n cynnwys gwybodaeth sensitif. | Ydynt | Ydynt |
Gwybodaeth am ddisgyblion gan y MIS, er enghraifft i’w defnyddio ar dripiau ysgol. Noder: Os oes gwybodaeth feddygol sensitif wedi’i chynnwys, dylid ystyried diogelwch uwch. Gall data AAA yn aml gynnwys gwybodaeth sensitif; dylid gwneud penderfyniad lleol sy’n seiliedig ar gyd-destun a chynnwys y data i benderfynu a ellir cyfiawnhau rheolaethau uwch. | Nid yw’n cael ei argymell | Ydynt - fe’u hargymhellir |
Mae ymchwiliadau diogelwch plant yn dueddol o fod yn sensitif ac yn gofyn am gyfrinachedd; bydd hyn fel arfer yn gofyn am reolaethau uwch. | Nac ydynt | Ydynt – yn hanfodol |
Diogelwch E-bost
Nid yw e-bost yn ddiogel yn ddiofyn, yn ddamcaniaethol gall unrhyw un sydd â mynediad at e-bost wrth iddo deithio ar hyd y rhyngrwyd weld ei gynnwys. Mae cynnwys e-bost heb ei ddiogelu’n debyg i gerdyn post tra bydd ar ei ffordd drwy system ddanfon y post.
Mae’r diagram isod yn dangos taith syml e-bost heb ei amgryptio. Nid yw’n debygol y bydd rhywun â mynediad at y llwybr mae’r e-bost yn ei ddilyn ar hyd y rhyngrwyd yn gallu ei ddarllen, ond mae’n bosibl.
Gellir defnyddio amgryptio i leihau’r perygl y bydd yr e-bost yn cael ei weld ar ei daith rhwng systemau e-bost.
Argymhellir fod unrhyw e-bost sy’n cynnwys data personol yn cael ei amgryptio. Bydd gwneud hynny’n sicrhau na fydd haciwr, boed yn lwcus neu’n glyfar, yn gallu darllen cynnwys yr e-bost ar ei daith ar hyd y rhyngrwyd.
Mae sawl opsiwn gwahanol ar gyfer amgryptio e-bost, ac mae rhai’n haws i’w defnyddio na’i gilydd, er y dylai’r dewis o ddull amgryptio gael ei seilio’n bennaf ar sensitifrwydd yr e-bost.
Mae tair ffordd o amgryptio e-bost ar gael yn Hwb:
- TLS Gorfodol
- Message Encryption Office 365
- S/MIME
Mae’r tabl canlynol yn crynhoi sefyllfaoedd ac ystyriaethau defnydd posibl ar gyfer defnyddio pob un o’r dewisiadau sydd ar gael yn Hwb.
Amgryptio E-bost | Sefyllfa defnydd | Ystyriaethau |
TLS Gorfodol | Rheolaeth Safonol
Argymhellir fel y lefel sylfaenol ar gyfer unrhyw e-bost sy’n cynnwys data personol | Dim angen i ddefnyddwyr wneud dim. Wedi’i ffurfweddu gan Dîm Hwb, OND ni fydd yn gweithio oni bai bod sefydliadau partner yn ei gefnogi. |
Message Encryption Office 365
| Rheolaeth Uwch
Ar gyfer rhannu gwybodaeth sensitif gyda dosbarthiad cyfyngedig.
Mae’n addas ar gyfer negeseuon e-bost na ellir eu diogelu drwy ddefnyddio’r dewisiadau eraill, er enghraifft e-bost at rieni.
| Mae gwahanol gyfyngiadau’n bosibl ar gyfer gwahanol lefelau o sensitifrwydd.
Gall helpu i leihau’r peryglon sy’n gysylltiedig â’r defnydd o ddyfeisiadau personol. Bydd angen i dderbynwyr allanol heb gyfrif Microsoft alluogi HTML yn eu cleient e-bost. |
S/MIME | Rheolaeth Uwch.
Yn addas ar gyfer yr wybodaeth fwyaf sensitif lle mae angen sicrwydd cadarn mai dim ond y derbynwyr a fwriadwyd fydd yn gallu gweld y cynnwys. | Bydd angen tystysgrif S/MIME ar yr anfonwyr a’r derbynnydd /derbynwyr.
Nid yw Hwb wedi’i ffurfweddu ar hyn o bryd i ddefnyddio S/MIME gydag Outlook ar y we. Gellir defnyddio hwn gydag Outlook bwrdd gwaith yn unig.
Nid yw’n addas iawn ar gyfer dosbarthu i grwpiau mawr.
|
-
Mae amgryptio sy’n seiliedig ar TLS (yr un dull amgryptio sy’n cael ei ddefnyddio ar gyfer mynediad diogel i wefannau; yng nghyd-destun negeseuon e-bost cyfeirir ato’n aml fel STARTTLS) yn ddewisol ar gyfer gweinyddion e-bost sy’n cyfnewid negeseuon e-bost dros y rhyngrwyd.
Mae’r diagram isod yn dangos cwmpas effeithiolrwydd TLS wrth ei ddefnyddio i gyfathrebu rhwng gweinyddion e-bost.
Ar ôl i e-bost gael ei anfon i weinydd e-bost y derbynnydd, dylid nodi fod amgryptio negeseuon wedi hynny’n ddibynnol ar unrhyw daith ymlaen a hefyd ar ffurfwedd ap e-bost y derbynnydd.
Gall y rhan fwyaf o wasanaethau e-bost, fel Office 365 a Gmail, ddefnyddio TLS, ond nid yw pob gwasanaeth yn gallu ei ddefnyddio, felly ni ellir ei ffurfweddu fel gofyniad ar gyfer pob e-bost i ac oddi wrth Hwb, gan y byddai hynny’n atal rhai systemau e-bost rhag gallu anfon neu dderbyn negeseuon e-bost gan Hwb.
Fodd bynnag, gydag Office 365 mae modd gorfodi TLS mewn modd dethol; mae gwasanaeth e-bost Hwb wedi’i ffurfweddu i ganiatáu’r defnydd ymarferol ehangaf o TLS gorfodol.
Ffurfwedd Hwb
Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn:
- Rhwng defnyddwyr Hwb
- Rhwng Hwb a Parthau Dibynadwy
Nid oes angen i ddefnyddwyr wneud dim, mae amgryptio’n cael ei roi ar waith yn dryloyw’n ôl rheolau sydd wedi’u rhag ddiffinio.
Mae’r ffurfwedd ar gyfer TLS gorfodol ar Hwb yn cynnwys:
- Gwirio cofnod DNS MX cyrchfan y parth
- Cadarnhau bod y gweinydd post yn gydnaws â STARTTLS
- Creu rheol llif post Exchange Online sy’n datgan bod TLS ar gyfer pob e-bost yn seiliedig ar:
- Parth
Mae hyn yn dweud wrth Office 365 pa negeseuon sy’n berthnasol i’r rheol.
Enghraifft ffurfwedd: hwbcymru.net - Cyfeiriad gweinydd e-bost (o gofnod MX)
Mae hyn yn helpu i atal newidiadau maleisus i DNS o ganlyniad i e-bost yn cael ei ailgyfeirio i systemau sy’n cael eu rheoli gan hacwyr. Enghraifft ffurfwedd: protection.outlook.com - Gofyniad am dystysgrif TLS a gyhoeddir gan CA
Mae hyn yn helpu i sicrhau bod y gweinydd post yn cael ei ‘ddilysu’ mewn modd dibynadwy cyn bod yr e-bost yn cael ei anfon.
- Parth
Mae’r ffurfwedd yn un na all fethu, sy’n golygu os bydd yr amgryptio’n methu am unrhyw reswm, ni fydd yr e-bost yn cael ei anfon.
-
Mae Message Encryption Office 365 (OME) yn wasanaeth Microsoft sy’n benodol i Office 365, ac sydd wedi’i drwyddedu i holl ddefnyddwyr Hwb.
Mae OME yn defnyddio cyfuniad o amgryptio a rheoli hawliau i alluogi diogelwch sy’n aros gyda’r e-bost ar ôl iddo gael ei anfon. Mae hyn yn rhoi sicrwydd ychwanegol mai dim ond pobl mae wedi ei rhannu â hwy fydd yn cael mynediad at yr wybodaeth.
Mae Message Encryption OME wedi ei ffurfweddu i weithio’n awtomatig os yw defnyddiwr yn cynnwys y geiriau allweddol ‘secure mail’ neu ‘post diogel’ yn llinell destun yr e-bost.
-
Dylid ystyried defnyddio S/MIME gyda gwybodaeth fwy sensitif, yn enwedig os nad yw rheolaethau eraill, fel MFA, yn ymarferol.
Mae S/MIME yn gweithio drwy ddefnyddio tystysgrifau; mae un yn gyhoeddus ac mae un yn breifat. Mae’r dystysgrif gyhoeddus yn cael ei rhannu â phobl eraill a gellir ei defnyddio i amgryptio negeseuon. Bydd angen tystysgrif gyhoeddus rhywun arnoch os ydych chi am anfon negeseuon wedi’u hamgryptio â S/MIME atynt.
Defnyddir y dystysgrif breifat i ddatgloi negeseuon e-bost; rhaid cadw’r dystysgrif hon yn gyfrinachol. Ar ôl ei osod bydd yn cael ei ddiogelu gan feddalwedd y cyfrifiadur. Bydd angen storio unrhyw gopïau wrth gefn o’r dystysgrif breifat yn ddiogel.
Y dystysgrif hon yw’r un sy’n sicrhau budd mwyaf S/MIME, byddai’n rhaid i haciwr gael mynediad at eich dyfais a’r dystysgrif breifat i allu gweld negeseuon e-bost wedi’u hamgryptio â S/MIME.
Os bydd haciwr yn dyfalu eich cyfrinair ac yn gallu mewngofnodi i Hwb, ond heb fynediad at eich dyfais, byddant yn gallu gweld eich e-bost, ond bydd unrhyw negeseuon sydd wedi’u hamgryptio â S/MIME yn parhau wedi’u hamgryptio ac ni all yr haciwr eu gweld.
Mae S/MIME yn opsiwn sydd ar gael i bob un o ddefnyddwyr Hwb. Bydd angen i ddefnyddiwr gael tystysgrif leol, y gellir ei ffurfweddu’n lleol ac ni fydd angen i dîm gweinyddol Hwb wneud dim newidiadau i Hwb.
Bydd e-bost wedi’i ddiogelu gyda S/MIME ar gael ar ddyfeisiadau sydd wedi’u ffurfweddu gyda’r tystysgrifau cyfatebol yn unig; os amharwyd ar flwch post o ddyfais arall, ni fydd modd cael mynediad at negeseuon e-bost S/MIME.
Nodiadau:
- Bydd angen eu tystysgrif eu hunain ar yr anfonwr a’r derbynnydd
- Rhaid i ddefnyddwyr â gosodiad S/MIME ddewis amgryptio e-bost mewn Outlook (fel arall byddant yn cael eu hanfon yn y ffordd arferol)
-
Gwe-rwydo yw’r term a ddefnyddir ar gyfer negeseuon e-bost sy’n ceisio eich perswadio i rannu gwybodaeth sensitif, cyfrineiriau yn bennaf.
Mae negeseuon e-bost gwe-rwydo fel arfer yn cymryd arnynt eu bod yn dod o ffynhonnell sy’n gyfarwydd i chi drwy ddefnyddio un neu ragor o’r triciau canlynol:
- Ffugio cyfeiriad e-bost yr anfonwr
- Copïo delweddau ac arddulliau e-bost dilys
- Defnyddio negeseuon sy’n achos braw
Roedd yn arfer bod yn hawdd adnabod e-bost gwe-rwydo gan eu bod yn cynnwys camgymeriadau sillafu neu wallau gramadegol; fodd bynnag, maent yn dod yn fwy a mwy soffistigedig.
Bydd e-bost gwe-rwydo bron yn sicr o gynnwys atodiad neu ddolen y byddwch yn cael eich annog i’w defnyddio. Strategaeth sy’n dod yn fwy cyffredin yw creu copi o fewngofnodi Office 365 fel y bydd ymosodwr yn cael enw defnyddiwr a chyfrinair defnyddwyr esgeulus.
Dylech fewngofnodi i Hwb o’ch ffefrynnau neu drwy deipio URL Hwb ym mar cyfeiriad y porwr.
Os byddwch yn cael e-bost sy’n eich annog i ddilyn dolen neu agor atodiad, arhoswch a meddyliwch a ydych chi’n disgwyl yr e-bost ac a oes unrhyw arwyddion sy’n awgrymu nad yw’n ddilys.
Mesurau Atal Gwe-rwydo Hwb
Mae Hwb wedi ymgorffori nifer o fesurau i geisio ei gwneud yn haws i adnabod e-bost gwe-rwydo, yn ogystal â lleihau’r nifer sy’n llwyddo i gael trwodd. Mae’r canlynol yn crynhoi’r mesurau.
Ni fydd negeseuon e-bost sy’n gysylltiedig â Hwb byth yn cynnwys dolenni; os oes rhywbeth brys sydd angen eich sylw, bydd yr e-bost yn egluro hynny, ond bydd unrhyw ddolenni’n cael eu cyhoeddi ar Hwb.
Ni fydd Hwb yn anfon e-bost at unrhyw gyfrifon e-bost eraill sydd gennych chi. Os byddwch yn cael e-bost gartref sy’n edrych fel ei fod wedi ei anfon gan Hwb, bydd yn e-bost gwe-rwydo. Byddai’n fuddiol pe baech yn anfon unrhyw negeseuon o’r fath at Ddesg Gwasanaeth Hwb - hwb@gov.wales.
Mae e-bost Hwb wedi’i ffurfweddu gyda nifer o reolaethau technegol i leihau nifer y negeseuon e-bost sy’n cyrraedd defnyddwyr Hwb, ac maent yn cynnwys:
- Gwasanaeth atal gwe-rwydo Office 365, sy’n defnyddio dysgu peiriant ac algorithmau canfod i adnabod e-bost gwe-rwydo
- DMARC, sy’n ffordd o alluogi sefydliadau sy’n anfon e-bost i adael i systemau e-bost eraill wybod beth i’w wneud ag e-bost sy’n dod oddi wrth anfonwyr heb eu hawdurdodi at Hwb
- Safe Links Office 365, sy’n hidlo i atal mynediad at wefannau maleisus hysbys. Dylid nodi na fydd hyn o reidrwydd yn effeithiol yn achos pob safle ac nid yw felly’n golygu na ddylai unigolion fod ar eu gwyliadwriaeth!
Parthau Dibynadwy
Mae Hwb wedi’i ffurfweddu i orfodi TLS ar gyfer pob e-bost sy’n cael eu hanfon a’u derbyn i’r parthau dibynadwy yma;
Awdurdod Lleol | |
| Blaenau Gwent County Borough Council | @blaenau-gwent.gov.uk |
| Bridgend County Borough Council | @bridgend.gov.uk |
| Caerphilly County Borough Council | @caerphilly.gov.uk |
| Cardiff Council | @cardiff.gov.uk |
| Carmarthenshire County Council | @carmarthenshire.gov.uk or @sirgar.gov.uk |
| Ceredigion County Council | @ceredigion.gov.uk |
| Conwy County Borough Council | @Conwy.gov.uk |
| Denbighshire County Council | @Denbighshire.gov.uk |
| Flintshire County Council | @flintshire.gov.uk |
| Gwynedd Council | @gwynedd.gov.uk or @gwynedd.llyw.cymru |
| Isle of Anglesey County Council | @ynysmon.gov.uk |
| Merthyr Tydfil County Borough Council | @merthyr.gov.uk |
| Monmouthshire County Council | @monmouthshire.gov.uk |
| Neath Port Talbot County Borough Council | @neath-porttalbot.gov.uk or npt.gov.uk |
| Newport City Council | @newport.gov.uk |
| Pembrokeshire County Council | @pembrokeshire.gov.uk |
| Powys County Council | @powys.gov.uk |
| Rhondda Cynon Taf County Borough Council | @RCTCBC.gov.uk |
| Swansea County Borough Council | @swansea.gov.uk |
| Torfaen County Borough Council | @torfaen.gov.uk |
| Vale of Glamorgan Council | @valeofglamorgan.gov.uk |
| Wrexham County Borough Council | @Wrexham.gov.uk |
Addysg | |
| SchoolsEdu | @schoolsedu.org.uk |
| Swansea-edunet | @swansea-edunet.gov.uk |
| Ysgol Plas Brondyffryn | @ypbd.co.uk |
Trydydd Parti | |
| alphaplus | @alphaplus.co.uk |
| BFC Networks | @bfcnetworks.com |
| BTL | @btl.com |
| CareersWales | @careerswales.com |
| Method4 | @method4.co.uk |
| Microsoft | @microsoft.com |
| NHS Wales | @wales.nhs.uk |
| Salamandersoft | @salamandersoft.co.uk |
| SRS | @srswales.com.gov.uk |
| Welsh Government | @Gov.Wales |
| WJEC | @wjec.co.uk |
Dilysu aml-ffactor
Dilysu yw’r term a ddefnyddir i ddisgrifio’r broses o gadarnhau hunaniaeth unigolyn.
Mae'r rhan fwyaf o bobl yn gyfarwydd â defnyddio enw defnyddiwr a chyfrinair neu ôl bys i brofi pwy ydynt, ac am gyfnod hir roedd y rhain yn ddigonol i atal hacwyr rhag cael mynediad at gyfrif rhywun.
Mae’r gwahanol ffyrdd o brofi pwy yw rhywun yn seiliedig ar dair nodwedd neu ffactor:
- Rhywbeth rydych yn ei wybod – dyma’r nodwedd fwyaf cyffredin a ddefnyddir i brofi pwy yw rhywun, a bydd fel arfer ar ffurf cyfrinair neu rif adnabod personol.
- Rhywbeth sydd yn eich meddiant – e.e. ffôn clyfar, ac yn aml bydd angen darparu cod i gadarnhau bod yr eitem yn eich meddiant ar y pryd.
- Rhywbeth sy’n bersonol i chi – gan ddefnyddio biometreg sy’n adnabod ôl bys neu wyneb.
Ar eu pen eu hunain mae pob ffactor yn agored i ymosodiad, ond pan fyddant wedi’u cyfuno gall fod yn anodd eu trechu. Yn aml, cyfeirir at gyfuniad o fwy nag un math o ffactor fel proses wirio dau gam, proses ddilysu dau ffactor neu broses ddilysu aml-ffactor.
O ystyried y nifer cynyddol o achosion o we-rwydo ynghyd â’u soffistigeiddrwydd, yn achos systemau ar-lein fel Hwb mae defnyddio ffactor ychwanegol yn ffordd effeithiol o sicrhau nad yw cyfrinair sy’n cael ei ddatgelu yn rhoi mynediad llawn at gyfrif a’r holl wybodaeth sydd ynddo.
Rydym wir yn argymell defnyddio proses ddilysu aml-ffactor am ei fod yn helpu i atal mynediad heb ei awdurdodi at wybodaeth, yn enwedig os yw’n diogelu data personol sensitif. Mae dilysu aml-ffactor yn nodwedd ddiogelwch bwysig ar gyfer sefydliadau a chyfrifon ar-lein personol defnyddwyr.
O fis Rhagfyr 2022, bydd yn ofynnol i defnyddwyr nad ydynt yn ddysgwyr sydd â chyfrif Hwb (h.y. staff, llywodraethwyr, eraill nad ydynt yn rhan o’r system gwybodaeth reoli) ddewis opsiwn dilysu aml-ffactor wrth ddefnyddio UNRHYW wasanaeth Hwb (nid dim ond y Porth Rheoli Defnyddwyr) o'r tu allan i'r ysgol neu rwydwaith dibynadwy arall. NID oes angen i ddysgwyr ddewis opsiwn dilysu aml-ffactor.
Mae dilysu aml-ffactor yn rhywbeth gorfodol ar gyfer hyrwyddwyr digidol ysgolion a gweinyddwyr Hwb. Gellir ei osod hefyd ar bob cyfrif arall nad ydynt yn ddysgwyr. Mae dilysu aml-ffactor yn gofyn am gyfrinair a chod sy’n para am gyfnod penodol wrth fewngofnodi i Hwb y tu allan i ysgol neu rwydwaith dibynadwy arall, h.y. oddi ar y safle.
Wrth sôn am gyfrifon unigolion nad ydynt yn ddysgwyr, cyfeirio yr ydym at staff, llywodraethwyr a phob unigolyn arall nad ydynt yn rhan o’r system gwybodaeth reoli sydd â chyfrif ym Mhorth Rheoli Defnyddwyr Hwb. Dim ond pan fydd unigolion nad ydynt yn ddysgwyr yn mewngofnodi i Hwb y tu allan i'w hysgol neu rwydwaith dibynadwy arall y bydd yn ofynnol dewis opsiwn dilysu aml-ffactor. Nid yw hyn yn berthnasol i ddysgwyr, ac ni fydd yn ofynnol iddyn nhw ddewis opsiwn dilysu aml-ffactor.
Caiff y cod ei greu gan ap Microsoft Authenticator, y bydd angen i unigolion nad ydynt yn ddysgwyr, ac y mae’r opsiwn dilysu aml-ffactor yn weithredol ar eu cyfrif, ei lawrlwytho a’i osod ar ffôn clyfar neu ddyfais symudol arall sydd â mynediad at y rhyngrwyd. Nid oes angen cysylltiad di-dor â’r rhyngrwyd ar ôl ei osod. Bydd yn dal i weithio mewn mannau lle mae’r cysylltiad yn wan neu lle nad oes cysylltiad o gwbl.
Noder: Mae ap Microsoft Authenticator yn creu codau. Ar ôl i’r ap gael ei osod, bydd yn creu cod sy’n newid bob 30 eiliad. Bydd angen rhoi’r cod wrth fewngofnodi i Hwb. Dim ond ag un copi o Microsoft Authenticator y gellir cysylltu eich cyfrif Hwb, h.y. dim ond ar un ffôn clyfar neu ddyfais symudol arall sydd â mynediad at y rhyngrwyd y gellir ei ddefnyddio. Mae rhagor o wybodaeth am yr ap ar gael ar wefan Microsoft.
Os yw dilysu aml-ffactor i fod yn effeithiol, cymerir yn ganiataol na fydd y rheini nad ydynt yn ddysgwyr sydd â mynediad at Hwb yn rhannu eu ffôn clyfar neu eu dyfais ag eraill nac yn eu gadael heb eu cloi pan na fyddan nhw yno.
Chyfarwyddiadau ddilysu aml-ffactor ar gael ar Hwb.
Os oes cwestiynau gennych, neu os oes angen cymorth arnoch, cysylltwch â Desg Wasanaeth Hwb: cymorth@hwbcymru.net / 03000 25 25 25.
Cydweithredu
Mae Hwb wedi diffinio cyfuniadau o reolaethau a argymhellir sy’n berthnasol i feysydd cydweithredu.
Rhagwelir mai’r rheolaethau safonol fydd y ffurfwedd fwyaf addas ar gyfer y rhan fwyaf o gydweithio a wneir gan ddefnyddwyr Hwb.
Mae Azure Multi-Factor Authentication (MFA) ac Azure Rights Management (RMS), a ddisgrifir yn fwy manwl isod, yn rheolaethau Uwch, ac maent yn cael eu hargymell pan fydd angen cydweithio â data sensitif.
Dylid dilyn penderfyniadau risg a chanllawiau lleol wrth weithio â data personol, fodd bynnag, y sefyllfaoedd defnydd a ragwelir ar gyfer y gwahanol lefelau yw:
Uwch – Yn addas ar gyfer gwybodaeth sensitif
- Lefel 1 – argymhellir i sicrhau bod dogfennau’n cael eu cadw’n ddiogel drwy gael rheolaethau sy’n ‘teithio’ gyda’r ddogfen.
- Gall y lefel hon hefyd fod yn addas pan fydd angen cydweithio â niferoedd mawr o ddefnyddwyr allanol a lle mae cyfrinachedd gwybodaeth â sensitifrwydd isel yn bwysig.
- Lefel 2 – argymhellir y lefel hon i grwpiau bach o ddefnyddwyr yn unig; mae dibyniaeth ar ymwybyddiaeth a gwyliadwriaeth defnyddwyr o ran diogelwch gwybodaeth.
- Safonol– Yn addas ar gyfer gweithio a chydweithio o ddydd i ddydd, a all gynnwys data sy’n galluogi adnabod unigolion, ond bydd fel arfer yn anaddas ar gyfer data mwy sensitif. Argymhellir fod rhannu’n allanol yn cael ei gyfyngu i grwpiau bach o ddefnyddwyr oherwydd ansicrwydd ynglŷn â sut y bydd trydydd partïon yn rheoli diogelwch gwybodaeth.
Lefel | MFA | RMS | Rhannu Allanol | Nifer Disgwyliedig o Ddefnyddwyr |
Lefel uwch 1 | Ydy | Ydy | Nac ydy | Llawer |
Lefel Uwch 2 | Ydy | Nac ydy | Nac ydy | Ychydig |
Safonol | Nac ydy | Nac ydy | Nac ydy | Llawer |
Nac ydy | Nac ydy | Ydy | Ychydig |
Mae ffeiliau sy’n cael eu storio ar G Suite for Education yn cael eu diogelu drwy amgryptio yn ystod lanlwytho / lawrlwytho ac yn cael eu storio ar weinyddion G Suite for Education, ond nid oes opsiwn i amgryptio ffeiliau yn uniongyrchol h.y. os yw ffeil yn cael ei lawrlwytho o G Suite for Education ni fydd yn cael ei hamgryptio ar y ddyfais gyrchfan.
Mae G Suite for Education yn briodol i brosesu data personol, ond pan fydd angen rhannu ffeiliau sy’n cynnwys data personol dylid defnyddio’r rheolaethau sydd ar gael yn Office 365.
Cyfyngiadau ar Ffeiliau Team Drive
Gellir ffurfweddu Team Drives G Suite for Education i gyfyngu ar faint o ddefnyddwyr all ryngweithio â ffeiliau. Gellir ffurfweddu’r gosodiad canlynol:
Atal sylwebwyr a gwylwyr rhag lawrlwytho, copïo, ac argraffu ffeiliau yn y Team Drive hwn
Bydd yr opsiwn ffurfweddu hwn yn atal copïau heb eu rheoli rhag cael eu lawrlwytho gan neb â rôl sylwebwyr neu wylwyr. Yn ddibynnol ar amgylchiadau’r cydweithio gall lefel y rheolaeth hon fod yn briodol i rannu cynnwys â defnyddwyr allanol.
Bydd unrhyw ddefnyddwyr â mynediad golygu (cyfranwyr, rheolwyr cynnwys a rheolwyr) yn gallu lawrlwytho copïau o unrhyw ffeiliau.
Hawliau Rheoli – Rheolaeth Uwch l
Mae Azure Rights Management (RMS) yn fath o reolaeth hawliau digidol sy’n cynnig rheolaeth ychwanegol ar gyfer mynediad i ffeiliau, sy’n ‘teithio’ gyda’r ffeil.
Yn Hwb mae’r defnydd o RMS wedi’i gyfyngu ar hyn o bryd i ategu rheolaethau mynediad y rhwydwaith presennol ar gyfer llyfrgelloedd SharePoint sy’n cynnwys data sensitif. Bydd ffeiliau Microsoft Office sy’n cael eu storio yn y llyfrgelloedd diogel hyn yn cael RMS yn awtomatig a byddant ar gael yn unig i’r defnyddwyr hynny sydd â mynediad i’r llyfrgell.
Bydd ffeil sydd â RMS yn golygu y bydd yn rhaid i ddefnyddiwr gyflwyno manylion i gael mynediad at y ffeil, hyd yn oes pan fyddant yn cael mynediad ati o’r tu allan i’r amgylchedd ar-lein. Defnyddir amgryptio i atal rhywun heb ganiatâd rhag cael mynediad at gynnwys y ffeil.
Bydd defnyddio RMS ar ffeil yn helpu i sicrhau mai dim ond pobl sydd wedi cael awdurdodaeth ymlaen llaw all weld ei chynnwys, waeth pwy sydd â mynediad ati.
Cysylltwch â’ch gweinyddwr SharePoint lleol am ragor o wybodaeth.
Ffeiliau Personol
Dilysu Aml-ffactor (MFA) – Rheolaeth Uwch
Gall gyriannau storio personol yn y cwmwl elwa drwy ddefnyddio MFA gyda chyfrif personol defnyddiwr, yn yr un ffordd â gwasanaethau eraill.
Diogelu Cyfrinair Lefel Ffeil - Rheolaeth Uwch
Gellir defnyddio diogelwch cyfrinair cynhenid Microsoft Office i ddiogelu ffeiliau sy’n cynnwys data personol, er bod hyn yn cyflwyno rhai cyfyngiadau ar y dulliau mynediad at y ddogfen (gweler y crynodeb isod).
Nid yw rhaglenni ar-lein Google G Suite for Education yn cefnogi diogelwch cyfrineiriau’n uniongyrchol.
Gwasanaeth | A oes diogelwch cyfrinair ar gael? | A oes modd cadw ar Yriant Ar-lein? | A oes modd gweld cynnwys ffeiliau wedi’u diogelu ar-lein? | A oes modd golygu cynnwys ffeil wedi’i diogelu ar-lein? |
G Suite for Education | Nag oes | Oes | Oes | Nag oes |
Office 365 Ar-lein | Nag oes | Oes | Nag oes | Nag oes |
Office 365 bwrdd gwaith | Oes | Oes | Nag oes | Oes |