政府公务办公安全保密邮件系统建设
一、项目背景
随着Internet技术的高速发展,电子邮件系统已经成为一个普遍的通信工具,应用非常广泛,可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。跟传统的信息传输模式相比,电子邮件具有很强的时效性、便捷性。但随着电子邮件被广泛应用,随之而来的安全问题日渐突出,机密泄漏、信息欺骗、假冒地址等令人烦恼不堪,相应的安全保密防护需求越来越迫切。
电子邮件一般是以明文的方式来发送和存储的,很容易被盗取、篡改和冒名,对脱离邮件系统后的附件缺乏有效的权限控制,存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。因此,如何建立一套安全保密邮件系统,成为政府部门及企事业单位信息化建设的一大难题。
二、需求分析及建设目标
2.1 需求分析
用户的需求主要有下述几点:
Ø 可设置邮件的密级;
Ø 可设置用户的密级;
Ø 可设置邮件附件的密级;
Ø 可根据邮件、用户、邮件附件密级进行自动匹配,确保低密级用户无法接收高密级邮件;
Ø 根据用户密级限制邮件接收对象范围;
Ø 根据邮箱用户可分为个人邮箱和单位邮箱;
Ø 对邮件收发、查阅等行为进行日志审计。
2.2 建设目标
根据用户的实际应用情况和时代亿信在信息安全领域长期的研究经验,主要通过如下几条途径来确保电子邮件及附件的安全、保密、可控:
Ø 能够对用户进行强身份认证,确保邮件来源的合法性以及邮件内容的完整性;
Ø 能够对邮件内容及附件的传输和存储进行加密,防止邮件内容及附件被窃取、监听或篡改;
Ø 能够根据需求对用户、邮件以及附件进行密级标识,并通过密级过滤机制,严格控制涉密邮件的知悉范围;
Ø 能够对邮件及附件的流转记录操作日志,及时掌握邮件的流向及用户的操作。
三、系统架构
安全保密邮件系统是在实现普通邮件系统功能之上,综合运用身份认证、数字签名、传输加密、加密存储、邮件信息跟踪、邮件及附件控制等安全手段进行安全保护,通过高强度的身份认证、细粒度的权限控制和日志审计,为政府部门及企事业单位提供安全、可控、便捷的信息传输服务。安全保密邮件系统的系统架构如下图所示:
图:安全保密邮件系统架构
四、系统功能设计
4.1 登录认证功能
安全保密邮件系统支持USB智能卡登录和用户名/口令的两种登录认证方式:
1) USB智能卡认证:安全保密邮件系统可与用户现有身份认证系统结合,也可使用时代亿信CA证书身份认证系统进行认证集成,实现基于USB智能卡的登录认证。
2)用户名/口令方式:系统支持用户名/口令的登录方式,在此登录方式下,用户必须遵循系统的安全设置对于口令长度或强度的要求。
4.2 密级控制功能
4.2.1 系统密级设置
安全保密邮件系统针对需处理涉密信息的单位用户,提供了密级设置功能,并可对邮件、附件和用户分别设置各自密级属性。
用户标密:安全管理员可对用户设置密级属性,用户的密级可分为普通、秘密和机密三个等级。
附件标密:附件的密级可为普通、秘密和机密三个级别,用户上传邮件附件时,系统会根据上传文件的文件名自动获取附件的密级;如果上传的文件没有标密,系统会提醒用户进行密级标识后再上传。
4.2.2 密级流向控制
密级流向控制的目的是保证用户、邮件、附件三者的密级匹配,确保高密级的邮件不能向低密级用户发送,低密级用户也不能发送高密级邮件。若发生不符合密级的邮件传输,系统会自动阻断。其实现机制如下:
1)邮件密级控制:根据用户密级,设置邮件的收发权限,即普通级用户只能发送/接收密级为普通的邮件;秘密级用户可以发送/接收密级为普通和秘密的邮件;机密级用户可以发送/接收密级为普通、秘密和机密的邮件。
4.3单位邮箱功能
对于部门、机构间的往来邮件,如果单纯的以部门中某个人的身份进行传递,难免会为用户查找、处理电子邮件带来一定的麻烦。并且,传统的电子邮件交流很难体现出机关单位间信息交换的“权威性”与“规范性”,用户在日常的公文交换的过程中,需要一个更直观、更权威的形式。
图 混杂在邮件列表中的重要公文邮件
为此,安全保密邮件系统为用户提供了“公务邮件”功能,在公务邮件中借鉴了“公章”的概念,员工需要以部门或机构的名义向其他部门或机构传递公文或其他文件时,可以申请使用部门所属的“公务邮箱”。这就如同签署文件或合同时,个人需要向本机构借用公章一样。
图 公务邮件示意图
使用安全保密邮件系统的公务邮件功能后,由系统管理员指定部门中的某个或某几个用户可以以所属部门的专用邮箱给其他部门或机关发送安全邮件。被授权用户在登录安全保密邮件系统后,可以通过“标签”选择进入个人邮箱或公务邮箱。并且,公务邮箱只能向其他部门的公务邮箱发送邮件,个人用户也无法向公务邮箱发送电子邮件。
配合安全保密邮件系统独有的邮件追踪功能,发件人可以准确的得知收件人是否已经查阅过该邮件,若邮件内容具有时效性,且收件人长时间未读该邮件,则可通过其他联系方式告知其尽快查阅、处理,保证了在电子邮件发出后的可控性。
另外,配合安全保密邮件系统的自动归档功能,为所有往来的邮件信息在需要审查时提供审查依据。
图 公务邮件示意图
4.4 用户管理功能
4.4.1 用户及组织机构信息管理
安全保密邮件系统中可以导入企业现有用户及组织机构信息,在地址簿中进行展现并为管理员授权做好准备。
系统可独立维护用户及组织机构信息,可开通、修改、删除、停用和启用用户帐号,创建、修改、删除、停用和启用组织机构信息。
4.4.2 用户授权设置
在设置用户的密级后,还可进一步设置授权用户的邮件发送范围,即当用户为秘密级用户时,用户的邮件发送范围在邮件密级限制的基础上还可以做进一步限制。
4.5 安全策略管理功能
4.5.1 口令安全策略设置
在系统的登录认证方式设置为用户名/口令方式时,口令安全策略将生效,用于检验用户口令的以下设置:
1)口令复杂度校验:口令必须为数字、字母或下划线三种中的两种的组合构成(用户开通、修改);
2)口令时效性校验:口令有效期由管理员根据实际要求进行配置,在口令有效期到期前必须修改,且可要求与用户前两次修改密码不相同;
3)禁止默认口令登录:初始口令登录必须首先修改密码;
4)口令尝试次数校验:管理员可配置错误口令输入次数和帐号冻结时间,默认情况下密码输入错误次数超过3次系统帐号自动冻结,24小时后恢复正常;
5)口令长度校验:管理员可配置口令长度,默认情况下口令长度不低于8位。
4.5.2 地址簿管理
4.5.3 三员分立管理机制
安全保密邮件系统采用三员分立管理机制,设立系统管理员、安全管理员和审计管理员等三类管理员。
2)安全管理员:负责为用户设置密级和修改密级,进行安全策略配置操作,并对用户的登录、操作等行为进行日志审计;
4.6 日志审计功能
4.6.1 用户日志审计
系统全面记录用户的各项操作日志,主要有:用户访问时间、用户IP地址、用户MAC地址、用户认证方式、用户密码修改、邮件密级、邮件发送、邮件接收、邮件回复、邮件转发、邮件删除等。
系统所有的日志记录信息不可修改、不可手动删除,系统管理员可设置日志存储期限或存储空间限制,超过存储期限或存储空间限制的日志将自动备份到其他管理员指定位置。
4.6.2 管理员日志审计
系统主要记录各级管理员登录后台管理系统后执行的关键操作,如用户管理、用户密级设置、用户权限设置邮箱管理等操作。
4.6.3 密级审计
为了防止用户故意调低密级发送邮件,系统将会设置一个或多个密级审计帐号,用于安全保密管理人员登录到邮件系统中对所有邮件的正文及附件进行审计,审查邮件及附件密级标识是否正确。
五、系统特点
时代亿信安全保密邮件系统是严格遵循国家保密部门各项规定和技术规范的专业产品,综合运用全程加密、邮件信息跟踪、密级控制等安全手段进行安全保护,适用于涉密信息的邮件传输应用。
5.1 邮件全程加密
安全保密邮件系统对邮件正文及附件进行全程加密,即邮件正文和附件在网络传输、服务器存储以及客户端存储时,都是以密文形式存在,用户只能登录到系统后查看邮件时才能自动对邮件进行解密。
5.2 邮件跟踪
5.3 邮件追回
安全保密邮件系统中已发送的邮件,在收件人未阅读之前,可以对邮件进行追回,已经阅读的邮件无法进行追回。
5.4 邮件自动回复
安全保密邮件系统可自定义自动回复邮件的标题、内容和时间段、以及启用或者停用自动回复的功能。
5.5 邮件提醒
用户登录安全保密邮件系统后,即可看到未读邮件的通知提醒,在页面上可以看到未读邮件的数量,点击未读邮件数可直接进入未读邮件列表。
5.6 邮件有效期设置
用户可以对邮件有效期进行设置。邮件有效期设置中定义邮件的有效时限,以及在邮件过期时的处理方式。如设置阅读过的邮件有效期为10天,过期的邮件将自动删除。
5.7 一次性口令认证
管理员可以为用户设置临时认证口令,用户可凭此一次性口令登录使用系统,管理员可设置一次性口令的有效次数或有效时间,一旦超过有效次数或有效时间,一次性口令即失效。该认证方式可用于启用USB智能卡认证方式时用户忘带智能卡的情况,也可用于外部或上级单位临时用户使用系统的需要。
转载于:https://blog.51cto.com/6329252/1095906
政府公务办公安全保密邮件系统建设相关推荐
- NCJLQCJT邮件系统建设方案
第1章 概述... 5 1.1 xx网络现状... 5 第2章 邮件-体系架构设计... 7 2.1 综述... 7 2.2 ...
- 政府OA办公系统实施时需要关注的五个环节
在各种信息化项目中,OA办公系统相对来说是一个比较简单的应用.但是目前来说,在政府单位中,OA办公系统的使用效果却并不是很理想.根据笔者的了解,一般情况下,一个OA办公系统只要能够起到二成左右的效果就 ...
- SecureMail 安全保密邮件系统产品概述
SecureMail安全保密邮件系统是集邮件安全传输.邮件/用户密级设置.密级流向控制.邮件跟踪等功能于一身,为用户提供全面的邮件加密安全收发功能的产品,并可通过附加组件实现对邮件及附件的细粒度权限控 ...
- 税务邮件系统建设要点
众所周知,国家政府职能正在从管理向服务转型,而为了更好的进行服务,电子邮件系统作为税务.工商.社保.海关.司法等政府部门创建新政务模式.强化与社会交流互动的基础地位也越加牢固.就拿税务机关来说,税务工 ...
- 深圳政府发文:采取SA模式建设的5G基站,每个奖励1万元
9月11日,深圳政府官网发布了<深圳市关于率先实现5G基础设施全覆盖及促进5G产业高质量发展的若干措施>. <若干措施>指出,2019年是5G元年,为了牢牢把握5G发展的战略性 ...
- oa系统需要邮箱服务器,OA办公系统与邮件系统DBMail无缝结合 - 操作步骤指导(无限用户¥2200)...
1.页面嵌入DBMail Webmail登录框 假设Webmail的网址是http://www.com/mail,如果在页面上要嵌入DBMail Webmail的登录框,可以在页面上加入如下的代码: ...
- 锁定新基建!多省市发力数字经济支点
新冠肺炎疫情发生后,中国经济和社会运行展现出了一系列不同,如"线上消费""云端办公""码上防疫"--数字经济的特有优势使其渗入防疫抗疫.居民 ...
- 政府网站群建设的要求
政府网站群建设的要求 随着电子政务深入推进,中国各级政府网站内容日益丰富,功能也逐渐增强,"政府网站群"建设模式已被众多政府单位所采用,成为政府利用信息技术履行职能的重要形式.但在 ...
- 政府无线移动办公解决方案
无线移动办公解决方案 一个随时.随地.随身办公的解决方案 方案概要: 政府部门目前已在使用的传统办公自动化系统,基本可以满足办公需求,使得信息在政府部门内部和部门之间传递效率极大提高,信息传递过程中耗 ...
最新文章
- ui设计学习辅助书籍推送
- 「混合云四部曲」:变革、创新、加速、发展
- 程序员美团面试挂了,7天后去腾讯面试,见到面试官:好巧啊!!
- 测试学开发——第一课:java学习路程
- 请使用C#的文件流来拷贝文件
- 我心目中的Asp.net核心对象
- 【转】关于EASYSIZE宏(动态调整控件位置、大小的宏)
- 数字后端基本概念介绍<Tap Cell>
- 转载:如果你到了20岁,还没到 25岁 作者:李开复
- SQL——Hibernate SQL增删改查
- java编程——图片旋转
- python导入鸢尾花数据集_数据可视化——鸢尾花数据集的分析与散点图的绘制
- 晶闸管相控交流调压的详细计算
- 突发,拼多多发生重大变更!
- ERROR sqoop.Sqoop: Got exception running Sqoop: java.lang.NullPointerException 解决方案【SOLVED】
- [JZOJ4274] [NOIP2015模拟10.28B组] 终章-剑之魂 解题报告(二进制)
- RSA中的中国剩余定理(CRT)和多素数(multi-prime)
- zabbix5部署+Grafana大屏展示
- 记一次 .NET 某智能交通后台服务 CPU爆高分析
- 每秒处理10万订单乐视集团支付架构 – CSDN博客