一、项目背景

随着Internet技术的高速发展，电子邮件系统已经成为一个普遍的通信工具，应用非常广泛，可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性。但随着电子邮件被广泛应用，随之而来的安全问题日渐突出，机密泄漏、信息欺骗、假冒地址等令人烦恼不堪，相应的安全保密防护需求越来越迫切。

电子邮件一般是以明文的方式来发送和存储的，很容易被盗取、篡改和冒名，对脱离邮件系统后的附件缺乏有效的权限控制，存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。因此，如何建立一套安全保密邮件系统，成为政府部门及企事业单位信息化建设的一大难题。

二、需求分析及建设目标

2.1 需求分析

用户的需求主要有下述几点：

Ø 可设置邮件的密级；

Ø 可设置用户的密级；

Ø 可设置邮件附件的密级；

Ø 可根据邮件、用户、邮件附件密级进行自动匹配，确保低密级用户无法接收高密级邮件；

Ø 根据用户密级限制邮件接收对象范围；

Ø 根据邮箱用户可分为个人邮箱和单位邮箱；

Ø 对邮件收发、查阅等行为进行日志审计。

2.2 建设目标

根据用户的实际应用情况和时代亿信在信息安全领域长期的研究经验，主要通过如下几条途径来确保电子邮件及附件的安全、保密、可控：

Ø 能够对用户进行强身份认证，确保邮件来源的合法性以及邮件内容的完整性；

Ø 能够对邮件内容及附件的传输和存储进行加密，防止邮件内容及附件被窃取、监听或篡改；

Ø 能够根据需求对用户、邮件以及附件进行密级标识，并通过密级过滤机制，严格控制涉密邮件的知悉范围；

Ø 能够对邮件及附件的流转记录操作日志，及时掌握邮件的流向及用户的操作。

三、系统架构

安全保密邮件系统是在实现普通邮件系统功能之上，综合运用身份认证、数字签名、传输加密、加密存储、邮件信息跟踪、邮件及附件控制等安全手段进行安全保护，通过高强度的身份认证、细粒度的权限控制和日志审计，为政府部门及企事业单位提供安全、可控、便捷的信息传输服务。安全保密邮件系统的系统架构如下图所示：

图：安全保密邮件系统架构

四、系统功能设计

4.1 登录认证功能

安全保密邮件系统支持USB智能卡登录和用户名/口令的两种登录认证方式：

1） USB智能卡认证：安全保密邮件系统可与用户现有身份认证系统结合，也可使用时代亿信CA证书身份认证系统进行认证集成，实现基于USB智能卡的登录认证。

2）用户名/口令方式：系统支持用户名/口令的登录方式，在此登录方式下，用户必须遵循系统的安全设置对于口令长度或强度的要求。

4.2 密级控制功能

4.2.1 系统密级设置

安全保密邮件系统针对需处理涉密信息的单位用户，提供了密级设置功能，并可对邮件、附件和用户分别设置各自密级属性。

用户标密：安全管理员可对用户设置密级属性，用户的密级可分为普通、秘密和机密三个等级。

邮件标密：邮件的密级可分为普通、秘密和机密三个等级，用户发送邮件时必须首先选择邮件的密级，邮件密级不能低于附件密级，如：秘密级的邮件不能带上机密级的附件。系统将邮件密级和地址簿进行联动，选择密级时，会自动匹配相应的地址簿。

附件标密：附件的密级可为普通、秘密和机密三个级别，用户上传邮件附件时，系统会根据上传文件的文件名自动获取附件的密级；如果上传的文件没有标密，系统会提醒用户进行密级标识后再上传。

图：附件密级自动获取

4.2.2 密级流向控制

密级流向控制的目的是保证用户、邮件、附件三者的密级匹配，确保高密级的邮件不能向低密级用户发送，低密级用户也不能发送高密级邮件。若发生不符合密级的邮件传输，系统会自动阻断。其实现机制如下：

1）邮件密级控制：根据用户密级，设置邮件的收发权限，即普通级用户只能发送/接收密级为普通的邮件；秘密级用户可以发送/接收密级为普通和秘密的邮件；机密级用户可以发送/接收密级为普通、秘密和机密的邮件。

图：机密级用户发放范围

图：秘密级用户发放范围

图：普通用户发放范围

2）地址簿密级控制：用户在选择邮件密级时，会自动匹配相应的地址簿，即当邮件为普通密级时，地址簿中将显示全部用户；当邮件为秘密级时，地址簿中只显示密级为秘密和机密的用户；当邮件为机密级时，地址簿中只显示密级为机密级的用户。

图：邮件密级为机密级时只显示机密级用户列表

3）邮件附件密级控制：用户上传邮件附件时，系统会根据上传文件的密级自动匹配邮件附件的密级，附件密级不能高于邮件密级，即邮件密级为普通时，只能上传密级为普通的文件作为附件；邮件密级为密级时，只能上传密级为密级和普通的文件作为附件；邮件密级为机密时，则可以上传密级为机密、密级和普通的文件作为附件；如果附件密级大于邮件密级，系统会禁止发送，并提醒用户进行调整。

图：附件密级控制

4.3单位邮箱功能

对于部门、机构间的往来邮件，如果单纯的以部门中某个人的身份进行传递，难免会为用户查找、处理电子邮件带来一定的麻烦。并且，传统的电子邮件交流很难体现出机关单位间信息交换的“权威性”与“规范性”，用户在日常的公文交换的过程中，需要一个更直观、更权威的形式。

图 混杂在邮件列表中的重要公文邮件

为此，安全保密邮件系统为用户提供了“公务邮件”功能，在公务邮件中借鉴了“公章”的概念，员工需要以部门或机构的名义向其他部门或机构传递公文或其他文件时，可以申请使用部门所属的“公务邮箱”。这就如同签署文件或合同时，个人需要向本机构借用公章一样。

图 公务邮件示意图

使用安全保密邮件系统的公务邮件功能后，由系统管理员指定部门中的某个或某几个用户可以以所属部门的专用邮箱给其他部门或机关发送安全邮件。被授权用户在登录安全保密邮件系统后，可以通过“标签”选择进入个人邮箱或公务邮箱。并且，公务邮箱只能向其他部门的公务邮箱发送邮件，个人用户也无法向公务邮箱发送电子邮件。

配合安全保密邮件系统独有的邮件追踪功能，发件人可以准确的得知收件人是否已经查阅过该邮件，若邮件内容具有时效性，且收件人长时间未读该邮件，则可通过其他联系方式告知其尽快查阅、处理，保证了在电子邮件发出后的可控性。

另外，配合安全保密邮件系统的自动归档功能，为所有往来的邮件信息在需要审查时提供审查依据。

图 公务邮件示意图

4.4 用户管理功能

4.4.1 用户及组织机构信息管理

安全保密邮件系统中可以导入企业现有用户及组织机构信息，在地址簿中进行展现并为管理员授权做好准备。

系统可独立维护用户及组织机构信息，可开通、修改、删除、停用和启用用户帐号，创建、修改、删除、停用和启用组织机构信息。

图：用户信息管理

4.4.2 用户授权设置

系统在创建用户之后，必须由系统安全管理员为用户设置密级。

图：用户密级设置

在设置用户的密级后，还可进一步设置授权用户的邮件发送范围，即当用户为秘密级用户时，用户的邮件发送范围在邮件密级限制的基础上还可以做进一步限制。

4.5 安全策略管理功能

4.5.1 口令安全策略设置

在系统的登录认证方式设置为用户名/口令方式时，口令安全策略将生效，用于检验用户口令的以下设置：

1）口令复杂度校验：口令必须为数字、字母或下划线三种中的两种的组合构成（用户开通、修改）；

2）口令时效性校验：口令有效期由管理员根据实际要求进行配置，在口令有效期到期前必须修改，且可要求与用户前两次修改密码不相同；

3）禁止默认口令登录：初始口令登录必须首先修改密码；

4）口令尝试次数校验：管理员可配置错误口令输入次数和帐号冻结时间，默认情况下密码输入错误次数超过3次系统帐号自动冻结，24小时后恢复正常；

5）口令长度校验：管理员可配置口令长度，默认情况下口令长度不低于8位。

4.5.2 地址簿管理

系统默认生成一个用户组织机构树，用于地址簿信息展现。用户可在地址簿中自行设置用户组，组内可添加用户，保存后的组即可出现在用户地址簿常用联系人的选项卡里。系统的邮件收件人地址不能手工输入，必须通过地址簿地址树进行选择，单击地址树用户即可将用户添加为收件人。

4.5.3 三员分立管理机制

安全保密邮件系统采用三员分立管理机制，设立系统管理员、安全管理员和审计管理员等三类管理员。

1）系统管理员：负责创建用户、产品基本功能配置；

2）安全管理员：负责为用户设置密级和修改密级，进行安全策略配置操作，并对用户的登录、操作等行为进行日志审计；

3）审计管理员：负责审查系统管理员和安全管理员的操作日志。

4.6 日志审计功能

4.6.1 用户日志审计

系统全面记录用户的各项操作日志，主要有：用户访问时间、用户IP地址、用户MAC地址、用户认证方式、用户密码修改、邮件密级、邮件发送、邮件接收、邮件回复、邮件转发、邮件删除等。

系统所有的日志记录信息不可修改、不可手动删除，系统管理员可设置日志存储期限或存储空间限制，超过存储期限或存储空间限制的日志将自动备份到其他管理员指定位置。

4.6.2 管理员日志审计

系统主要记录各级管理员登录后台管理系统后执行的关键操作，如用户管理、用户密级设置、用户权限设置邮箱管理等操作。

4.6.3 密级审计

为了防止用户故意调低密级发送邮件，系统将会设置一个或多个密级审计帐号，用于安全保密管理人员登录到邮件系统中对所有邮件的正文及附件进行审计，审查邮件及附件密级标识是否正确。

五、系统特点

时代亿信安全保密邮件系统是严格遵循国家保密部门各项规定和技术规范的专业产品，综合运用全程加密、邮件信息跟踪、密级控制等安全手段进行安全保护，适用于涉密信息的邮件传输应用。

5.1 邮件全程加密

安全保密邮件系统对邮件正文及附件进行全程加密，即邮件正文和附件在网络传输、服务器存储以及客户端存储时，都是以密文形式存在，用户只能登录到系统后查看邮件时才能自动对邮件进行解密。

5.2 邮件跟踪

安全保密邮件系统实时监控邮件流向及邮件接收者对邮件的各项操作，发件人可以查询收件人是否阅读邮件，未经阅读的邮件可以进行追回操作，已经阅读的邮件可查询收件人阅读邮件的时间，随时掌握邮件已被执行了哪些操作。

5.3 邮件追回

安全保密邮件系统中已发送的邮件，在收件人未阅读之前，可以对邮件进行追回，已经阅读的邮件无法进行追回。

5.4 邮件自动回复

安全保密邮件系统可自定义自动回复邮件的标题、内容和时间段、以及启用或者停用自动回复的功能。

5.5 邮件提醒

用户登录安全保密邮件系统后，即可看到未读邮件的通知提醒，在页面上可以看到未读邮件的数量，点击未读邮件数可直接进入未读邮件列表。

5.6 邮件有效期设置

用户可以对邮件有效期进行设置。邮件有效期设置中定义邮件的有效时限，以及在邮件过期时的处理方式。如设置阅读过的邮件有效期为10天，过期的邮件将自动删除。

5.7 一次性口令认证

管理员可以为用户设置临时认证口令，用户可凭此一次性口令登录使用系统，管理员可设置一次性口令的有效次数或有效时间，一旦超过有效次数或有效时间，一次性口令即失效。该认证方式可用于启用USB智能卡认证方式时用户忘带智能卡的情况，也可用于外部或上级单位临时用户使用系统的需要。