随着信息化建设的高速发展,信息系统在政务决策、上下沟通、交流经验、推动工作等方面起到了非常大的作用,成为了政府机关发展战略的重要组成部分,在这样的背景下,信息系统的安全性已经成为必须面对的一个重要问题。电子邮件是目前政府部门及企事业单位内部传递数据的重要工具,政府部门及企事业单位的许多重要信息都需要通过电子邮件来传输。但随着电子邮件应用的广泛化,机密泄漏、信息欺骗等诸多安全问题日渐突出,给政府部门及企事业单位带来亟待解决的安全隐患。
项目需求
时代亿信一直致力于邮件安全及相关应用技术的研究,对某政府单位的邮件安全问题进行了深入分析并总结建设目标如下:
· 采用CA数字证书认证方式,确保用户登录邮件系统的安全。
· 邮件信息采用加密传输方式,只有正确的接收方才能解密邮件。
· 邮件信息采用加密存储方式,管理员也不能获取邮件内容信息。
· 邮件标密,实现密级流向控制。
· 邮件监控,可获取邮件已阅信息,实现未读追回和转发权限控制。
项目建设效果
1、整体体系结构
体系组成说明:
在该政府机关的总部部署SecureMail安全增强电子邮件系统,同时服务于总部及各个下属单位。总部及各个下属单位的用户,通过Web方式访问和使用邮件功能,发送邮件时,系统会对邮件及附件进行加密,并使用发件人的证书进行数字签名,既保证了保密信息在网络中传输时的安全问题,也保证了邮件的完整性和有效性。
图1:某政府单位安全邮件体系结构
2、邮件全程保密
用户在使用邮件系统时,其主线可以归纳为以下流程:哪个用户将那些内容和附件发送给了那些人,收到邮件后,收件人可以做什么。
某政府单位安全邮件系统针对一般邮件系统的使用流程,在简单的邮件收发流程的每个环节都增加了相关安全保密措施:
1) 某政府单位安全邮件系统提供的USB智能卡登录方式,可以准确、有效的对登录系统的用户进行身份验证,从而确保发件人和收件人的身份。
2) 用户在发送邮件内容与选择的附件,都必须符合用户所属的密级以及发件人选择的邮件密级。
3) 用户登录系统后,系统将根据当前邮件所设定的密级,将符合密级设定的收件人列表以地址簿的形式展现给用户。
4) 通过邮件标密机制实现的密级流向控制,严格限制高密级邮件发送给低密级用户。
5) 在发送邮件时,发件人使用收件人公钥对邮件进行加密,并使用自己的私钥做数字签名,邮件以密文的形式发送出去,保证在邮件传输过程中的保密性和完整性。
6) 在邮件的传输过程中,安全增强电子邮件系统采取数字信封、数字签名等加密技术,以确保邮件内容的保密性、完整性和不可否认性。邮件的正文和附件在网络传输、服务器存储以及客户端存储时,都是以密文形式存在。
7) 外部数据存储装置中存储的邮件也以密文形式存储。
8) 收件人登录系统时同样以USB智能卡进行强身份认证。
9) 收到邮件时,拥有对应私钥的用户才能对邮件内容进行解密,查看到邮件原文,并通过验证数字签名确定发件人的身份。即保证了在邮件传输过程中的数据安全,也保证了邮件的完整性。
10) 收件人收到邮件后,转发邮件同样需要遵循所属密级的规范。
11) 加解密过程在USB智能卡中完成,私钥不出卡,保证密钥的安全。
3、密级流向控制
密级设置
某政府单位安全电子邮件系统针对需处理涉密信息的单位用户,提供了密级设置功能,并可对邮件、附件和用户分别设置各自密级属性。
用户标密:管理员可对用户设置密级属性,用户的密级可分为普通、秘密和机密三个等级。
邮件标密:邮件的密级可分为普通、秘密和机密三个等级,用户发送邮件时必须首先选择邮件的密级,系统会根据指定的密级控制策略匹配用户和邮件两者的密级,禁止低密级用户接触高密级邮件。
附件标密:附件的密级可为普通、秘密和机密三个级别,用户上传邮件附件时,系统会根据上传文件的文件名自动获取附件的密级;如果上传的文件没有标密,系统会提醒用户进行密级标识后再上传。
密级控制
密级流向控制的目的是保证用户、邮件、附件三者的密级匹配,确保高密级的邮件不会向低密级用户发送,低密级用户也不能发送高密级邮件。密级流向控制首先对密级邮件在选择发送人员时,会筛选密级相对应的接收人员。若发生不符合密级的邮件传输,系统会自动阻断。其实现机制如下:
1)邮件密级控制
根据用户密级,设置邮件的收发权限,即普通级用户只能发送/接收密级为普通的邮件;秘密级用户可以发送/接收密级为普通和秘密的邮件;机密级用户可以发送/接收密级为普通、秘密和机密的邮件。
2)密级通讯录控制
用户在选择邮件密级时,会自动匹配相应的通讯录,即当邮件为普通密级时,通讯录中将显示全部用户;当邮件为秘密级时,通讯录中只显示密级为秘密和机密的用户;当邮件为机密级时,通讯录中只显示密级为机密级的用户。
4、邮件标密检查
用户上传邮件附件时,系统会根据上传文件的密级自动匹配邮件附件的密级,附件密级不能高于邮件密级,即邮件密级为普通时,只能上传密级为普通的文件作为附件;邮件密级为密级时,只能上传密级为密级和普通的文件作为附件;邮件密级为机密时,则可以上传密级为机密、密级和普通的文件作为附件;如果附件密级大于邮件密级,系统会禁止发送,并提醒用户进行调整。
5、邮件转发权限控制
在普通邮件系统中,对于收件人的邮件转发操作是没有任何限制的,收件人也可以任意更改邮件内容后去转发,不能满足公务邮件处理的需要。
为此,某政府单位安全邮件系统提供了专门的邮件转发权限控制服务,发件人可以在发送邮件时选择“转发锁定”功能,启用后收件人在收到邮件进行转发时,不能对发件人的邮件内容进行任何更改,只能原文不动地转发,保证其他收件人也能够看到邮件原文。
同时,为了方便在转发锁定情况下,转发人可以对邮件内容进行注释说明,某政府单位安全邮件系统还提供了邮件转发意见区。转发人虽然不能改动邮件原文,但可以在意见区中填写自己针对邮件的想法、注释、说明或意见,从而也能让其他收件人同时获得发件人的邮件原文和转发人对此邮件的意见。
6、支持单位邮箱,符合公务发送特点
对于部门、机构间的往来邮件,如果单纯的以部门中某个人的身份进行传递,难免会为用户查找、处理电子邮件带来一定的麻烦。并且,传统的电子邮件交流很难体现出政府单位间信息交换的“权威性”与“规范性”,用户在日常的公文交换的过程中,需要一个更直观、更权威的形式。
为此,某政府单位安全邮件系统为用户提供了“公务邮件”功能,由系统管理员指定部门中的某个或某几个用户可以以所属部门的专用邮箱给其他部门或机关发送安全邮件。被授权用户在登录某政府单位安全邮件系统后,可以通过“标签”选择进入个人邮箱或公务邮箱。并且,公务邮箱只能向其他部门的公务邮箱发送邮件,个人用户也无法向公务邮箱发送电子邮件。
配合某政府单位安全邮件系统独有的邮件追踪功能,发件人可以准确的得知收件人是否已经查阅过该邮件,若邮件内容具有时效性,且收件人长时间未读该邮件,则可通过其他联系方式告知其尽快查阅、处理,保证了在电子邮件发出后的可控性。
另外,配合某政府单位安全邮件系统的自动归档功能,为所有往来的邮件信息在需要审查时提供审查依据。
图2:公务邮件示意图
7、邮件状态追踪及已阅汇总
邮件状态追踪
对于政府单位来说,当一封时效性很强的邮件被发出时,能否得知用户的阅读状态是十分有必要的,比如下发公文、颁布规定、重要通知等,收到邮件的时间直接关系到后期工作的执行情况。
某政府单位安全邮件系统为用户提供了已发送邮件的阅读状态查询功能,即使有多个收件人,发件人也可以在某政府单位安全邮件系统中得知每个用户的阅读情况,发件人可以通过在“发件箱”查看单封已发送邮件的收件人栏中,查看到邮件的阅读状态。
未读邮件追回
如果用户在发送邮件时选择了错误的收件人,并成功发送了,这种情况在有些涉密的政府单位是绝不允许出现的。但制度上的不允许并不意味着人不会犯错,这种时候减小损失显然比追究责任更有意义。
某政府单位安全邮件系统基于邮件状态追踪功能,为用户提供了“未读邮件追回”功能,该功能允许发件人将以发送成功但收件人尚未阅读的邮件追回,成功追回后,收件人将不会看到与该邮件有关的任何信息。
图3:邮件追回结果
如上图所示,“追回”操作对已经被阅读的邮件无能为力,发件人可以通过在“发件箱”查看需要追回的已发送邮件时。在收件人栏中,即可查看邮件的阅读状态,状态为“未读”的收件人后面,会有一个“追回”按钮,点击该按钮,即可完成追回操作。
8、支持将邮件进行分类归档
用户在使用某政府单位安全邮件系统时,可以增加并自定义文件夹。通过增加自定义文件夹,可以更好的帮助用户对邮件进行归档,如根据项目内容或发件人等条件,用户可以手工将选中的邮件移至“自定义文件夹中”。
同时,用户也可以设定归档策略,某政府单位安全邮件系统将根据策略自动将符合条件的邮件进行归档。具体的归档策略有:
设定归档邮件范围
用户在对邮件进行分级的过程,可选定哪些用户是重要用户,哪些邮件是重要邮件。这些条件也可以进行全局设定。
设定邮件存储周期
根据用户对邮件的分级,系统可设置符合归档邮件信息价值的保存周期,如高层领导邮件保存7年,部门邮件保存5年等。
自定义归档
根据用户需要,系统可以根据主题或发件人设定自定义策略,将符合策略的邮件自动归档至指定位置。
9、支持超大附件的加密和断点续传
为了满足政务应用的实际需求,某政府单位安全邮件系统最大支持2GB的邮件附件。同时考虑到发送超大附件的衍生需求,还为超大附件的上传提供了断点续传功能。用户因为任何原因导致上传中断时,下次在发送同一附件时都可以进行断点续传。
经验总结
“某政府单位安全邮件工程”的成功经验总结如下:
1. 邮件的网络传输和物理存储全程加密。
2. 严格遵循国家保密标准规范,兼顾用户使用习惯。
3. 将“密级流向控制”与“标密检查”融入收发邮件的流程中,在满足安全要求的同时减少用户使用的复杂度。
4. 提供收发公务邮件的功能。
5. 独有的邮件“追踪”与“追回”功能。
6. 独有的邮件“转发”控制功能。
7. 超大附件支持,最大2GB。
8. 详实的日志记录和审计。
9. 历史邮件的归档和安全存储。
关于时代亿信
北京时代亿信科技有限公司是一家致力于企业应用整合及信息安全整体解决方案的专业技术服务公司。公司依托首都科技产业优势,专注于数字证书应用、企业应用安全、企业应用整合及相关领域的软件研发与技术服务,为客户提供整体的应用安全解决方案。凭借团队优势和综合技术能力,公司相继独立完成了身份认证、统一身份管理与访问控制、文档安全保护、SSLVPN等一系列创新产品的研发和推广,积累了丰厚的专业技术实力和成熟的客户服务经验,经过不断努力,已经成为企业应用安全及整合领域领先的解决方案提供商。
