安宁安全涉密专版邮件系统设计方案.docx
《安宁安全涉密专版邮件系统设计方案.docx》由会员分享,可在线阅读,更多相关《安宁安全涉密专版邮件系统设计方案.docx(42页珍藏版)》请在冰点文库上搜索。
.
安宁安全涉密专版邮件系统设计方案
安宁创新网络科技有限公司
.
目 录
1系统架构 3
1.1产品设计建设说明 3
1.2系统设计特点及邮件安全策略 4
1.2.1提供高安全邮件密级控制模块 4
1.2.2提供三员分立的系统管理架构。
4
1.2.3提供高安全级别审计功能支持,确保所有管理操作是可审计的。
4
1.2.4提供邮件内容审核的功能支持,确保满足条件的邮件必须审核放行。
5
1.2.5基于SSL的传输加密机制 5
1.2.6和CA结合的高安全硬件USBKEY认证机制 7
1.2.7和CA结合的安全电子邮件系统 7
1.2.8提供高安全密码策略支持 10
1.2.9提供完整的日志方案,便于客户对系统的管理和监控 10
1.2.10提供邮件摆渡功能 10
1.2.11完善的系统安全备份恢复策略 11
1.2.12系统具备强大的扩展性,能够实现和第三方OA系统的无缝对接 12
1.2.13基于中间件的全协议复合引擎杀病毒技术 13
1.2.14系统具备强大的迁移能力,能够完成对如Exchange、LotusNotes等传统邮件系统的迁移 16
1.2.15提供从WebMail到客户端的全面支持 17
2功能实现 19
2.1系统安全功能说明 19
2.1.1安全邮件收发流程 19
2.1.2邮件安全登录 19
2.1.3邮件密级控制 20
2.1.4写安全邮件 20
2.1.5查找公钥 21
2.1.6安全邮件列表显示 22
2.1.7查看安全邮件内容 22
2.2系统用户功能说明 23
2.2.1强大的公共通讯录功能 23
2.2.2领先的中文多内码支持能力 24
2.2.3领先的IMAP4支持能力 25
2.2.4多级文件夹支持能力 26
2.2.5非虚拟主机方式的独立入口多域支持 27
2.2.6大附件支持技术 27
2.2.7方便易用的AJAX2.0WEBMAIL机制 27
2.3三员分立的系统管理功能说明 29
2.3.1安全保密员管理功能 29
2.3.1.1域管理的功能 30
2.3.1.2系统监控功能 30
2.3.2系统管理员功能 31
2.3.2.1用户管理的功能 31
2.3.2.2锁定用户的功能 31
2.3.2.3容量统计 32
2.3.2.4修改密码天数 32
2.3.3安全审计员功能 33
2.3.3.1审计管理功能 33
2.3.3.2强大的日志功能 33
2.3.4邮件内容审核扩展功能 38
3系统实施准备条件 40
1系统架构
1.1产品设计建设说明
涉密专版邮件系统的需求,主要有如下内容:
Ø系统要求满足对大附件传输的要求,能够支持达1,500M的附件传输。
Ø系统必须具备良好的系统架构,能够无缝的和OA系统、门户系统等实现对接,完成OA系统、门户系统等和邮件系统的用户同步和数据交互
Ø系统要求能够做到传输加密,确保邮件数据在传输过程中的安全性,不会在传输过程中被窃取或者修改。
Ø系统要求能够做到采用CAPKI认证,能够通过USBKEY认证登陆邮件系统,提供邮件系统登陆的安全性。
Ø系统要求能够实现邮件的签名和加密,实现安全电子邮件,完全能够通过客户端(OUTLOOK)、WEBMAIL完成签名、加密邮件的收发。
Ø系统要求满足分级保护要求对管理员权限的划分,支持三员分立的管理模式。
Ø系统能够满足国家分级保护的要求,实现邮件、用户的密级控制
Ø要求系统支持邮件审批的功能,对满足条件的邮件提供审批控制,确保审批通过的邮件才能传送给收件人。
Ø能够支持邮件摆渡的功能需求,将外网的邮件有审批的导入到内网邮件系统中。
Ø在考虑安全性的同时,还要充分考虑系统的易用性和简便性,符合目前高端邮件系统标准,能够提供基于AJAX技术的WEB邮件应用,实现多标签、邮件功能化、邮件来信提醒和局部页面刷新等WEB2.0应用模式。
考虑到以上的需求,安宁安全电子邮件系统能够很好的满足客户的需求。
安宁安全电子邮件系统从多个方面保证了客户的系统及应用安全性。
安宁安全电子邮件系统是目前业界唯一通过国家保密局评测的安全邮件系统。
在传输层,实现SSL加密控制,保证传输的数据安全。
安宁公司是业界唯一实现客户端、WEBMAIL全协议实现安全邮件的厂商,能够满足用户通过任何一种形式(客户端软件、WEB应用端)实现安全邮件的收发、阅读等操作。
关于安全性的保证,下面架构特点中有更详细的介绍。
本次安全邮件系统同时对系统的易用性提高了要求,要能够满足客户对邮件系统日益频繁的操作需求。
安宁安全邮件系统是业界第一个结合了PKI安全性和AJAX易用性的高端邮件系统。
体现了客户端和WEB端对应用的融合需求,能够满足客户对易用性的高度要求。
.
1.2系统设计特点及邮件安全策略
1.2.1提供高安全邮件密级控制模块
严格遵循国家保密局对密级控制的要求,对邮件信息和用户划分不同的密级,并对不同密级用户的行为进行严格控制。
确保正确密级的信息在对应密级的用户间传递。
具体说,对低密级用户,根本不能接触高密级的邮件,也不能通过邮件系统发送高密级的邮件内容。
对高密级的用户,严格保证高密级邮件不能流向低密级的用户,当收信人中出现低密级用户时,发信的时候就给屏蔽掉,并给高密级用户提醒。
可灵活设置邮件的发送和接收范围,发送人可以指定不同密级邮件的有效期,过期后邮件的自动清除时间。
同时,发送人可控制接收人对不同密级邮件的转发、附件下载、修改打印等操作。
1.2.2提供三员分立的系统管理架构。
严格遵循国家保密局对三员分立的管理要求,安宁安全涉密邮件系统对管理员重新进行了功能划分,将管理员分为系统管理员、域管理员和审计管理员,分别对应三员分立中的安全保密员、系统管理员和安全审计员。
三员管理员的具体功能为:
安全保密员主要完成对邮件域的管理和维护、对邮件系统网络、硬件等各种资源状态的监控和维护、对邮件系统平台的监控和维护。
系统管理员主要完成对邮件用户的管理和维护,该功能是邮件系统的最常见工作。
安全审计员则需要对以上两员的工作进行审计,审计通过后安全保密员对域的操作、系统管理员对用户的操作才能生效;审计管理员的第二个主要功能就是对各种日志的审计和跟踪,包括用户的登录日志、管理员的登录和操作日志、邮件的收发日志等。
1.2.3提供高安全级别审计功能支持,确保所有管理操作是可审计的。
高安全审计功能完全基于国家保密局对安全应用系统的要求而设计,主要功能特色如下:
Ø安全审计员不能通过管理员派生,并且只能有一个审计员。
Ø安全审计员审计内容分为两大部分,一方面审计管理员对域的增删查改和邮件用户的增删查改,另一方面对邮件用户的邮件来源和去向,ip地址,发送时间等基本信息,并且能进行多种条件的组合查询。
Ø审计员应当参与系统管理的事前审计,即当管理员对域的重大操作需要审计员协同才能完
.
成。
1.2.4提供邮件内容审核的功能支持,确保满足条件的邮件必须审核放行。
系统支持邮件内容审核功能,对符合设定条件的邮件,必须通过邮件审核员审核后邮件才能够向收件人流转,邮件审核主要功能特色如下:
Ø系统支持多级审核员功能,下级审核员审核后可选择继续让上级审核员审核。
Ø支持多条件审核设定:
支持跨部门审核,跨部门发送的邮件要求审核后放行
支持特定收件人审核,对发送给特定收件人的邮件要求审核支持不同密级审核,对设定密级的邮件发送前进行审核操作。
邮件审
核员
组
邮件审
核员
组
发件人
收件人
组
组
送上级审核员审核
下面是邮件审核的示意图:
详细功能请见后面的功能描述‘邮件内容审核扩展功能’
1.2.5基于SSL的传输加密机制
为保证传输过程的安全,安宁安全电子邮件系统提供了基于SSL的端到端传输加密控制机制,保证了邮件关键数据在传输过程中不被窃取和修改。
SSL安全协议又叫“安全套接层(SecureSocketsLayer)协议”,主要用于提高应用程序之间数据的安全系数。
SSL协议的整个概念可以被总结为:
一个保证任何安装了安全套接字的客户和服务器间事务安全的协议,它涉及所有TCP/IP应用程序。
SSL安全协议主要提供三方面的服务:
·用户和服务器的合法性认证
认证用户和服务器的合法性,使得它们能够确信数据将被发送到正确的客户机和服务器上。
客户机和服务器都是有各自的识别号,这些识别号由公开密钥进行编号,为了验证用户是否合法,安全套接层协议要求在握手交换数据时进行数字认证,以此来确保用户的合法性。
·加密数据以隐藏被传送的数据
安全套接层协议所采用的加密技术既有对称密钥技术,也有公开密钥技术。
在客户机与服务器进行数据交换之前,交换SSL初始握手信息,在SSL握手信息中采用了各种加密技术对其加密,以保证其机密性和数据的完整性,并且用数字证书进行鉴别,这样就可以防止非法用户进行破译。
·保护数据的完整性
安全套接层协议采用Hash函数和机密共享的方法来提供信息的完整性服务,建立客户机与服务器之间的安全通道,使所有经过安全套接层协议处理的业务在传输过程中能全部完整准确无误地到达目的地。
安全套接层协议是一个保证计算机通信安全的协议,对通信对话过程进行安全保护,其实现过程主要经过如下几个阶段:
(1)接通阶段:
客户机通过网络向服务器打招呼,服务器回应;
(2)密码交换阶段:
客户机与服务器之间交换双方认可的密码,一般选用RSA密码算法,也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法;
(3)会谈密码阶段:
客户机器与服务器间产生彼此交谈的会谈密码;
(4)检验阶段:
客户机检验服务器取得的密码;
(5)客户认证阶段:
服务器验证客户机的可信度;
(6)结束阶段:
客户机与服务器之间相互交换结束的信息。
当上述动作完成之后,两者间的资料传送就会加密,另外一方收到资料后,再将编码资料还原。
即使盗窃者在网络上取得编码后的资料,如果没有原先编制的密码算法,也不能获得可
读的有用资料。
1.2.6和CA结合的高安全硬件USBKEY认证机制
在涉密专版安全电子邮件的要求中,需要邮件系统结合CA中心实现高安全硬件USBKEY认证机制。
硬件USBKEY是基于硬件的数字证书,有着很高的安全性,它存储的数字证书信息只存在于该硬件芯片内,并通过硬件芯片加密存放。
在通常情况下,不能通过程序导出数字证书信息,保证了在静态情况下的证书安全性。
当在程序应用中,该证书也不会传输到客户的机器中,只由CA中心签发的加密的证书验证程序在USB芯片内进行证书验证,即使用户应用主机也不能打开和应用数字证书信息,确保了证书在应用中的安全性。
安宁高安全邮件系统在邮件系统的认证控制中结合CA中心实现了硬件USBKEY的认证机制,通过硬件USBKEY认证保证了客户的应用具备了极高的安全性。
主要特色如下:
Ø确保用户登陆的安全性,只有自己的USBKEY才能登陆自己的邮件系统。
Ø实现了实名制的安全认证。
由于USBKEY和个人信息绑定,所以能够实现邮件用户的实名制认证和管理,结合高安全的全日志跟踪管理,实现了邮件系统的安全应用。
1.2.7和CA结合的安全电子邮件系统
在考虑网络安全性的同时,安宁高安全邮件系统提供了军工级的安全电子邮件完整解决方案。
在高安全邮件领域,除网络采用SSL加密传输外,基于非对称密钥(PKI)体系的架构的邮件内容安全更是一个重要的方面。
安宁安全电子邮件系统采用RSA的高强度加密算法,密钥长度大于
1024位,能够提供军工级的安全强度标准。
PKI(PublicKeyInfrastructure)是一种遵循标准的利用公钥加密技术为互联网安全的开展提供的一套安全基础平台的技术和规范。
它能够为所有安全网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。
简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。
用户可利用PKI平台提供的服务进行安全的电子交易,通信。
PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构--CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起,在互联网上验证用户的身份。
目前,通用的办法是采用建立在PKI基础之上的数字证书,通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。
PKI是基于公钥算法和技术,为网上通信提供安全服务的基础设施。
是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。
其核心元素是数字证书,核心执行者是CA认证机构。
非对称加密算法需要两个密钥:
公开密钥(publickey)和私有密钥(privatekey)。
公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。
因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
对文件进行加密只解决了传送信息的保密问题,而防止他人对传输的文件进行破坏,以及如何确定发信人的身份还需要采取其它的手段,这一手段就是数字签名技术。
在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中,都要用到数字签名技术。
在电子商务中,完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。
安宁邮件系统提供了完整的安全电子邮件解决方案,传统的邮件系统只能在客户端方式完成安全电子邮件的发送,接受和阅读,而安宁高安全邮件系统通过PKI体系,无论客户通过
OUTLOOK/FOXMAIL等客户端方式,还是WEB方式访问邮件系统,都能够完成安全电子邮件的接收、发送和阅读,从任何一个层面都保证了客户电子邮件内容的安全性。
完全符合BMB17-2006《涉及国家秘密的信息系统分级保护技术要求》对涉及国家机密的信息系统的分级保护要求,提供了军工级的安全邮件解决方案。
同时,在实现安全性收发电子邮件的同时,更提供了邮件系统用户应用的安全性,通过数字签名和加密技术,保证了发件人的不可抵赖性和收件人的唯一性。
通过数字签名技术的应用,能够验证邮件一定是该发件人签发的而拒绝了普通邮件中的发信人假冒问题,从而提供了对发件人的验证。
通过数字加密技术的应用,保证了信件对收件人的安全性,由于采用收件人的公钥加密,保证了只有特定的收件人才可以收阅这封邮件,即使该邮件被其他人员获取,也无法打开和查看,从而提供了对收件人的信件安全。
下面是安全电子邮件收发的一个完整过程图示,下面分两部分说明:
Ø安全电子签名邮件的收发
安全电子签名邮件验证的是发信人的不可抵赖性,也就是说,能够证明该邮件一定是这个发件人发出的。
收发过程如下:
首先,发件人用自己的私钥对待发送邮件进行电子签名,由于私钥的唯一性,只有发件人自己掌握,这就保证了发件人的唯一性。
对该邮件进行签名后,就形成了一个电子签名邮件,再将该邮件发出。
当邮件到达收件人系统后,收件人对电子签名邮件,从CA中心的公钥目录中,根据发件人的邮件地址提取发件人的公钥信息,从而对该电子签名进行验证。
由于公私钥的一一对应性,当用公钥正确对该签名进行验证后,就能够证明该安全电子签名的唯一性,从而最终保证了签名邮件一定是发信人签发的电子邮件。
Ø安全电子加密邮件的收发
安全电子加密邮件验证的是收信人的唯一性,同时完成对电子邮件的加密,保证只有收信
人才能正确阅读这封加密邮件。
收发过程如下:
首先,发件人从CA中心的公钥目录中,根据收件人的邮件地址提取收件人的公钥信息,用收件人的公钥对待发送邮件进行电子加密,由于该邮件是用收件人的公钥进行加密的,而收件人的私钥只有收件人自己掌握,就能够保证该邮件只有收件人自己能够阅读,这样就保证了收件人的唯一性。
对该邮件进行加密后,就形成了一个电子加密邮件,再将该邮件发出。
当邮件到达收件人系统后,由于以上所说的原因,只有正确的收信人才能够解密和阅读该邮件。
即
使邮件发送出现问题,导致邮件发送到了不正确的收件人那里,收件人也不可能看到这封邮件,也保证了邮件的安全性。
Ø安全加密签名邮件的收发
在一般情况下,大多会将加密和签名两个过程联合应用,从而形成加密签名邮件。
首先发信人通过数字签名技术,用自己的私钥签名了电子邮件,保证自己邮件的唯一性,然后从CA中心的公钥目录中,根据收件人的邮件地址提取收件人的公钥信息,用收件人的公钥对该邮件进行加密,最终形成一封签名加密安全电子邮件进行发送。
当邮件到达收件人系统后,收件人用自己的私钥对该邮件进行解密,在这个过程中,如果收件人是假冒的,则不可能对该邮件进行解密,无法阅读该邮件。
同时,收件人从CA中心的公钥目录中,根据发件人的邮件地址提取发件人的公钥信息,用发件人的公钥进行数字签名的验证,由于公私钥的唯一对应性,就保证了发件人的不可伪造性。
从两方面保证了邮件内容及收发件人的安全性。
收件人私公钥
解密电子邮件
收件人公钥加
密电子邮件
外部网络
发件人公钥验
证签名邮件
发件人私钥签
名电子邮件
CCAA中心
公钥目录
图示如下:
安全电子邮件收发示意图
1.2.8提供高安全密码策略支持
依照军工系统对密码机制的严格要求,确保高强度的密码控制。
并实现了密码到期提醒及密码登陆次数限制的控制。
遵循的具体原则如下:
Ø严格要求密码必须在一定位数以上
Ø严格要求密码必须是大小写字母、数字及特殊字符的组合
Ø严格要求密码必须在一定时间内更换,并且更换的密码必须不能是在原来多少次密码中出现过。
在密码到期前主动通过邮件通知用户修改密码
Ø严格要求系统在错误密码登陆一次次数下用户锁死,而且,必须由系统管理员来开启用户。
1.2.9提供完整的日志方案,便于客户对系统的管理和监控
在涉密专版安全邮件系统中,安宁邮件系统提供了完整的日志解决方案。
提供了管理员操作日志(用户的增加、修改和删除),用户登陆日志(用户什么时间从什么ip登录的系统)、用户操作日志(用户对邮件的删除)、邮件日志跟踪(收发邮件的收发件人、邮件的主题、大小及附件标识)这些详尽的日志记录。
确保客户能够跟踪系统出现的所有操作,并能够跟踪到具体邮件帐号。
1.2.10提供邮件摆渡功能
考虑到外网邮件需要摆渡到内网中,安宁涉密专版安全邮件系统,提供邮件摆渡扩展功能模块,完成外网邮件到内网邮件的摆渡。
需要外网架设安宁通用邮件系统,同时建立外网通用邮件系统和内网涉密邮件系统的用户账号唯一对应关系,由安全保密员通过安全介质将外网邮件摆渡到内网涉密邮件系统中。
考虑到内网的安全性,该功能不支持从内网到外网邮件的摆渡功能。
邮件摆渡示意图如下:
内网数据不允许导出X
内网邮件数据
授权可信媒介(光盘、U盘)
公网邮件数据
外网邮件系统
内网邮件系统
内网摆渡系统
外网摆渡系统
内网环境
外网环境
1.2.11完善的系统安全备份恢复策略
安宁邮件系统的备份恢复策略主要分为功能服务备份恢复、存储子系(主要分为用户管理信息和用户邮件数据备份恢复两部分内容)。
这种实时备份恢复机制有效的保证了系统的不间断运行。
对于存储子系统,按照可靠性原则,安宁邮件系统可以采取三步备份恢复策略:
第一步,管理信息动态备份恢复。
用户信息数据库由AnyMacroMailSystem提供在线的增量备份,保证备份资料的动态更新和数据的完整性;AnyMacro系统的数据处理模块支持用户数据库联机增量备份方式。
系统管理员可以根据系统负载情况灵活设定备份时间,或者设定为定时备份。
如果运行数据库出现故障,系统自动从备份数据库中取得用户的信息,保证用户正常使用。
采用在线增量备份方式,可以根据系统负担情况确定备份时间,大大降低系统整体负担,提高备份效率。
同时,因为用户数据量较小,增量备份时间短,恢复速度快。
第二步,邮件数据动态备份。
用户邮件以文件方式存放在磁盘或者高速存储器上。
根据使用的文件系统不同,可以选择整体备份和增量备份。
因为文件的备份可以选择多种方式,磁盘阵列、磁带机、镜像等,不同的用户可以就规模、重要性、经费等因数考虑选用方式。
远程备份和恢复:
进行系统用户信息和邮件信息备份可以在服务器控制台进行,也可以在远程计算机通过SSH(安全Shell软件)进行连接,连接到服务器上之后,就可以与操作服务器控制台一样进行上述备份恢复管理工作;
数据的远程传递:
1、客户有专线方式和固定的IP地址并且有相应的服务器用作数据备份
a)能够实现自动定时备份到托管主机和本地主机,需要保证通讯线路的畅通;
b)将需要备份的数据按照第一级和第二级进行备份之后,形成相应的备份文件。
按照预先设
定好的策略、连接方式和压缩方式进行与本地服务器的数据传递。
2、客户没有固定的IP地址,有专门微机用作数据备份
a)能够实现手工备份到托管主机和本地主机。
b)在远程计算机通过SSH(安全Shell软件)进行连接,连接到服务器上之后,形成相应的备份文件。
在大型邮件运营系统中,巨大的用户群带来不断增加和更新的海量邮件信息,依靠磁带库进行邮件数据的备份是不可取的,甚至数据快照技术都可能失效;为此,安宁建议采用廉价的IDE磁盘阵列进行动态备份。
第三步,异地容灾。
基于SAN存储结构,系统可以容易得实现异地容灾。
(大型系统或关键性比较强的系统中有此类应用)
在安宁公司给商务部建设的运营级邮件系统中,就采用了上述三种备份恢复策略,对用户信息采用第一步和第二布的备份恢复策略,在本地和远程保留两份备份,对邮件数据,则采用的是第二步和第三步备份,在本地和异地也都提供了容灾的备份恢复策略。
1.2.12系统具备强大的扩展性,能够实现和第三方OA系统的无缝对接
安宁安全涉密邮件系统通过虚拟认证网关技术实现了强大的系统扩展性,依靠中间件实现的虚拟认证网关不仅支持LDAP认证、基于ODBC的数据库交互认证,还支持任意的Web界面认证端口。
认证机制可以按标准的规范开发完成后无缝地集成到系统中,而不需修改系统中其他程序的代码,非常方便和其他第三方系统包括OA办公系统或者其他业务系统实现系统整合。
在实现统一认证的同时,安宁虚拟认证网关也实现了基于WEBSERVICE中间件的标准邮件系统接口支持,能够支持其他第三方系统通过标准的SMTP/POP3/IMAP4邮件协议,调用WEB
SERVICE中间件实现邮件的收发。
同时也提供了用户和域的管理接口,方便其他门户系统调用接口实现对邮件系统用户的同步和管理。
在2005年
升级会员 