項(xiàng)目簡(jiǎn)介
隨著信息化建設(shè)的高速發(fā)展，信息系統(tǒng)在政務(wù)決策、上下溝通、交流經(jīng)驗(yàn)、推動(dòng)工作等方面起到了非常大的作用，成為了政府機(jī)關(guān)發(fā)展戰(zhàn)略的重要組成部分，在這樣的背景下，信息系統(tǒng)的安全性已經(jīng)成為必須面對(duì)的一個(gè)重要問(wèn)題。電子郵件是目前政府部門及企事業(yè)單位內(nèi)部傳遞數(shù)據(jù)的重要工具，政府部門及企事業(yè)單位的許多重要信息都需要通過(guò)電子郵件來(lái)傳輸。但隨著電子郵件應(yīng)用的廣泛化，機(jī)密泄漏、信息欺騙等諸多安全問(wèn)題日漸突出，給政府部門及企事業(yè)單位帶來(lái)亟待解決的安全隱患。
 
項(xiàng)目需求
時(shí)代億信一直致力于郵件安全及相關(guān)應(yīng)用技術(shù)的研究，對(duì)某政府單位的郵件安全問(wèn)題進(jìn)行了深入分析并總結(jié)建設(shè)目標(biāo)如下：
· 采用CA數(shù)字證書認(rèn)證方式，確保用戶登錄郵件系統(tǒng)的安全。
· 郵件信息采用加密傳輸方式，只有正確的接收方才能解密郵件。
· 郵件信息采用加密存儲(chǔ)方式，管理員也不能獲取郵件內(nèi)容信息。
· 郵件標(biāo)密，實(shí)現(xiàn)密級(jí)流向控制。
· 郵件監(jiān)控，可獲取郵件已閱信息，實(shí)現(xiàn)未讀追回和轉(zhuǎn)發(fā)權(quán)限控制。
 
項(xiàng)目建設(shè)效果
1、整體體系結(jié)構(gòu)
體系組成說(shuō)明：
在該政府機(jī)關(guān)的總部部署SecureMail安全增強(qiáng)電子郵件系統(tǒng)，同時(shí)服務(wù)于總部及各個(gè)下屬單位�？偛考案鱾�(gè)下屬單位的用戶，通過(guò)Web方式訪問(wèn)和使用郵件功能，發(fā)送郵件時(shí)，系統(tǒng)會(huì)對(duì)郵件及附件進(jìn)行加密，并使用發(fā)件人的證書進(jìn)行數(shù)字簽名，既保證了保密信息在網(wǎng)絡(luò)中傳輸時(shí)的安全問(wèn)題，也保證了郵件的完整性和有效性。


圖1：某政府單位安全郵件體系結(jié)構(gòu)

2、郵件全程保密
用戶在使用郵件系統(tǒng)時(shí)，其主線可以歸納為以下流程：哪個(gè)用戶將那些內(nèi)容和附件發(fā)送給了那些人，收到郵件后，收件人可以做什么。
某政府單位安全郵件系統(tǒng)針對(duì)一般郵件系統(tǒng)的使用流程，在簡(jiǎn)單的郵件收發(fā)流程的每個(gè)環(huán)節(jié)都增加了相關(guān)安全保密措施：
1)    某政府單位安全郵件系統(tǒng)提供的USB智能卡登錄方式，可以準(zhǔn)確、有效的對(duì)登錄系統(tǒng)的用戶進(jìn)行身份驗(yàn)證，從而確保發(fā)件人和收件人的身份。
2)    用戶在發(fā)送郵件內(nèi)容與選擇的附件，都必須符合用戶所屬的密級(jí)以及發(fā)件人選擇的郵件密級(jí)。
3)    用戶登錄系統(tǒng)后，系統(tǒng)將根據(jù)當(dāng)前郵件所設(shè)定的密級(jí)，將符合密級(jí)設(shè)定的收件人列表以地址簿的形式展現(xiàn)給用戶。
4)    通過(guò)郵件標(biāo)密機(jī)制實(shí)現(xiàn)的密級(jí)流向控制，嚴(yán)格限制高密級(jí)郵件發(fā)送給低密級(jí)用戶。
5)    在發(fā)送郵件時(shí)，發(fā)件人使用收件人公鑰對(duì)郵件進(jìn)行加密，并使用自己的私鑰做數(shù)字簽名，郵件以密文的形式發(fā)送出去，保證在郵件傳輸過(guò)程中的保密性和完整性。
6)    在郵件的傳輸過(guò)程中，安全增強(qiáng)電子郵件系統(tǒng)采取數(shù)字信封、數(shù)字簽名等加密技術(shù)，以確保郵件內(nèi)容的保密性、完整性和不可否認(rèn)性。郵件的正文和附件在網(wǎng)絡(luò)傳輸、服務(wù)器存儲(chǔ)以及客戶端存儲(chǔ)時(shí)，都是以密文形式存在。
7)    外部數(shù)據(jù)存儲(chǔ)裝置中存儲(chǔ)的郵件也以密文形式存儲(chǔ)。
8)    收件人登錄系統(tǒng)時(shí)同樣以USB智能卡進(jìn)行強(qiáng)身份認(rèn)證。
9)    收到郵件時(shí)，擁有對(duì)應(yīng)私鑰的用戶才能對(duì)郵件內(nèi)容進(jìn)行解密，查看到郵件原文，并通過(guò)驗(yàn)證數(shù)字簽名確定發(fā)件人的身份。即保證了在郵件傳輸過(guò)程中的數(shù)據(jù)安全，也保證了郵件的完整性。
10) 收件人收到郵件后，轉(zhuǎn)發(fā)郵件同樣需要遵循所屬密級(jí)的規(guī)范。
11) 加解密過(guò)程在USB智能卡中完成，私鑰不出卡，保證密鑰的安全。
 
3、密級(jí)流向控制
密級(jí)設(shè)置
某政府單位安全電子郵件系統(tǒng)針對(duì)需處理涉密信息的單位用戶，提供了密級(jí)設(shè)置功能，并可對(duì)郵件、附件和用戶分別設(shè)置各自密級(jí)屬性。
用戶標(biāo)密：管理員可對(duì)用戶設(shè)置密級(jí)屬性，用戶的密級(jí)可分為普通、秘密和機(jī)密三個(gè)等級(jí)。
郵件標(biāo)密：郵件的密級(jí)可分為普通、秘密和機(jī)密三個(gè)等級(jí)，用戶發(fā)送郵件時(shí)必須首先選擇郵件的密級(jí)，系統(tǒng)會(huì)根據(jù)指定的密級(jí)控制策略匹配用戶和郵件兩者的密級(jí)，禁止低密級(jí)用戶接觸高密級(jí)郵件。
附件標(biāo)密：附件的密級(jí)可為普通、秘密和機(jī)密三個(gè)級(jí)別，用戶上傳郵件附件時(shí)，系統(tǒng)會(huì)根據(jù)上傳文件的文件名自動(dòng)獲取附件的密級(jí)；如果上傳的文件沒(méi)有標(biāo)密，系統(tǒng)會(huì)提醒用戶進(jìn)行密級(jí)標(biāo)識(shí)后再上傳。
 
密級(jí)控制
密級(jí)流向控制的目的是保證用戶、郵件、附件三者的密級(jí)匹配，確保高密級(jí)的郵件不會(huì)向低密級(jí)用戶發(fā)送，低密級(jí)用戶也不能發(fā)送高密級(jí)郵件。密級(jí)流向控制首先對(duì)密級(jí)郵件在選擇發(fā)送人員時(shí)，會(huì)篩選密級(jí)相對(duì)應(yīng)的接收人員。若發(fā)生不符合密級(jí)的郵件傳輸，系統(tǒng)會(huì)自動(dòng)阻斷。其實(shí)現(xiàn)機(jī)制如下：
1）郵件密級(jí)控制
根據(jù)用戶密級(jí)，設(shè)置郵件的收發(fā)權(quán)限，即普通級(jí)用戶只能發(fā)送/接收密級(jí)為普通的郵件；秘密級(jí)用戶可以發(fā)送/接收密級(jí)為普通和秘密的郵件；機(jī)密級(jí)用戶可以發(fā)送/接收密級(jí)為普通、秘密和機(jī)密的郵件。
2）密級(jí)通訊錄控制
用戶在選擇郵件密級(jí)時(shí)，會(huì)自動(dòng)匹配相應(yīng)的通訊錄，即當(dāng)郵件為普通密級(jí)時(shí)，通訊錄中將顯示全部用戶；當(dāng)郵件為秘密級(jí)時(shí)，通訊錄中只顯示密級(jí)為秘密和機(jī)密的用戶；當(dāng)郵件為機(jī)密級(jí)時(shí)，通訊錄中只顯示密級(jí)為機(jī)密級(jí)的用戶。
 
4、郵件標(biāo)密檢查
用戶上傳郵件附件時(shí)，系統(tǒng)會(huì)根據(jù)上傳文件的密級(jí)自動(dòng)匹配郵件附件的密級(jí)，附件密級(jí)不能高于郵件密級(jí)，即郵件密級(jí)為普通時(shí)，只能上傳密級(jí)為普通的文件作為附件；郵件密級(jí)為密級(jí)時(shí)，只能上傳密級(jí)為密級(jí)和普通的文件作為附件；郵件密級(jí)為機(jī)密時(shí)，則可以上傳密級(jí)為機(jī)密、密級(jí)和普通的文件作為附件；如果附件密級(jí)大于郵件密級(jí)，系統(tǒng)會(huì)禁止發(fā)送，并提醒用戶進(jìn)行調(diào)整。
 
5、郵件轉(zhuǎn)發(fā)權(quán)限控制
在普通郵件系統(tǒng)中，對(duì)于收件人的郵件轉(zhuǎn)發(fā)操作是沒(méi)有任何限制的，收件人也可以任意更改郵件內(nèi)容后去轉(zhuǎn)發(fā)，不能滿足公務(wù)郵件處理的需要。
為此，某政府單位安全郵件系統(tǒng)提供了專門的郵件轉(zhuǎn)發(fā)權(quán)限控制服務(wù)，發(fā)件人可以在發(fā)送郵件時(shí)選擇“轉(zhuǎn)發(fā)鎖定”功能，啟用后收件人在收到郵件進(jìn)行轉(zhuǎn)發(fā)時(shí)，不能對(duì)發(fā)件人的郵件內(nèi)容進(jìn)行任何更改，只能原文不動(dòng)地轉(zhuǎn)發(fā)，保證其他收件人也能夠看到郵件原文。
同時(shí)，為了方便在轉(zhuǎn)發(fā)鎖定情況下，轉(zhuǎn)發(fā)人可以對(duì)郵件內(nèi)容進(jìn)行注釋說(shuō)明，某政府單位安全郵件系統(tǒng)還提供了郵件轉(zhuǎn)發(fā)意見(jiàn)區(qū)。轉(zhuǎn)發(fā)人雖然不能改動(dòng)郵件原文，但可以在意見(jiàn)區(qū)中填寫自己針對(duì)郵件的想法、注釋、說(shuō)明或意見(jiàn)，從而也能讓其他收件人同時(shí)獲得發(fā)件人的郵件原文和轉(zhuǎn)發(fā)人對(duì)此郵件的意見(jiàn)。
 
6、支持單位郵箱，符合公務(wù)發(fā)送特點(diǎn)
對(duì)于部門、機(jī)構(gòu)間的往來(lái)郵件，如果單純的以部門中某個(gè)人的身份進(jìn)行傳遞，難免會(huì)為用戶查找、處理電子郵件帶來(lái)一定的麻煩。并且，傳統(tǒng)的電子郵件交流很難體現(xiàn)出政府單位間信息交換的“權(quán)威性”與“規(guī)范性”，用戶在日常的公文交換的過(guò)程中，需要一個(gè)更直觀、更權(quán)威的形式。
為此，某政府單位安全郵件系統(tǒng)為用戶提供了“公務(wù)郵件”功能，由系統(tǒng)管理員指定部門中的某個(gè)或某幾個(gè)用戶可以以所屬部門的專用郵箱給其他部門或機(jī)關(guān)發(fā)送安全郵件。被授權(quán)用戶在登錄某政府單位安全郵件系統(tǒng)后，可以通過(guò)“標(biāo)簽”選擇進(jìn)入個(gè)人郵箱或公務(wù)郵箱。并且，公務(wù)郵箱只能向其他部門的公務(wù)郵箱發(fā)送郵件，個(gè)人用戶也無(wú)法向公務(wù)郵箱發(fā)送電子郵件。
配合某政府單位安全郵件系統(tǒng)獨(dú)有的郵件追蹤功能，發(fā)件人可以準(zhǔn)確的得知收件人是否已經(jīng)查閱過(guò)該郵件，若郵件內(nèi)容具有時(shí)效性，且收件人長(zhǎng)時(shí)間未讀該郵件，則可通過(guò)其他聯(lián)系方式告知其盡快查閱、處理，保證了在電子郵件發(fā)出后的可控性。
另外，配合某政府單位安全郵件系統(tǒng)的自動(dòng)歸檔功能，為所有往來(lái)的郵件信息在需要審查時(shí)提供審查依據(jù)。


圖2：公務(wù)郵件示意圖

7、郵件狀態(tài)追蹤及已閱匯總
郵件狀態(tài)追蹤
對(duì)于政府單位來(lái)說(shuō)，當(dāng)一封時(shí)效性很強(qiáng)的郵件被發(fā)出時(shí)，能否得知用戶的閱讀狀態(tài)是十分有必要的，比如下發(fā)公文、頒布規(guī)定、重要通知等，收到郵件的時(shí)間直接關(guān)系到后期工作的執(zhí)行情況。
某政府單位安全郵件系統(tǒng)為用戶提供了已發(fā)送郵件的閱讀狀態(tài)查詢功能，即使有多個(gè)收件人，發(fā)件人也可以在某政府單位安全郵件系統(tǒng)中得知每個(gè)用戶的閱讀情況，發(fā)件人可以通過(guò)在“發(fā)件箱”查看單封已發(fā)送郵件的收件人欄中，查看到郵件的閱讀狀態(tài)。
未讀郵件追回
如果用戶在發(fā)送郵件時(shí)選擇了錯(cuò)誤的收件人，并成功發(fā)送了，這種情況在有些涉密的政府單位是絕不允許出現(xiàn)的。但制度上的不允許并不意味著人不會(huì)犯錯(cuò)，這種時(shí)候減小損失顯然比追究責(zé)任更有意義。
某政府單位安全郵件系統(tǒng)基于郵件狀態(tài)追蹤功能，為用戶提供了“未讀郵件追回”功能，該功能允許發(fā)件人將以發(fā)送成功但收件人尚未閱讀的郵件追回，成功追回后，收件人將不會(huì)看到與該郵件有關(guān)的任何信息。


圖3：郵件追回結(jié)果

如上圖所示，“追回”操作對(duì)已經(jīng)被閱讀的郵件無(wú)能為力，發(fā)件人可以通過(guò)在“發(fā)件箱”查看需要追回的已發(fā)送郵件時(shí)。在收件人欄中，即可查看郵件的閱讀狀態(tài)，狀態(tài)為“未讀”的收件人后面，會(huì)有一個(gè)“追回”按鈕，點(diǎn)擊該按鈕，即可完成追回操作。
 
8、支持將郵件進(jìn)行分類歸檔
用戶在使用某政府單位安全郵件系統(tǒng)時(shí)，可以增加并自定義文件夾。通過(guò)增加自定義文件夾，可以更好的幫助用戶對(duì)郵件進(jìn)行歸檔，如根據(jù)項(xiàng)目?jī)?nèi)容或發(fā)件人等條件，用戶可以手工將選中的郵件移至“自定義文件夾中”。
同時(shí)，用戶也可以設(shè)定歸檔策略，某政府單位安全郵件系統(tǒng)將根據(jù)策略自動(dòng)將符合條件的郵件進(jìn)行歸檔。具體的歸檔策略有：
設(shè)定歸檔郵件范圍
用戶在對(duì)郵件進(jìn)行分級(jí)的過(guò)程，可選定哪些用戶是重要用戶，哪些郵件是重要郵件。這些條件也可以進(jìn)行全局設(shè)定。
設(shè)定郵件存儲(chǔ)周期
根據(jù)用戶對(duì)郵件的分級(jí)，系統(tǒng)可設(shè)置符合歸檔郵件信息價(jià)值的保存周期，如高層領(lǐng)導(dǎo)郵件保存7年，部門郵件保存5年等。
自定義歸檔
根據(jù)用戶需要，系統(tǒng)可以根據(jù)主題或發(fā)件人設(shè)定自定義策略，將符合策略的郵件自動(dòng)歸檔至指定位置。
 
9、支持超大附件的加密和斷點(diǎn)續(xù)傳
為了滿足政務(wù)應(yīng)用的實(shí)際需求，某政府單位安全郵件系統(tǒng)最大支持2GB的郵件附件。同時(shí)考慮到發(fā)送超大附件的衍生需求，還為超大附件的上傳提供了斷點(diǎn)續(xù)傳功能。用戶因?yàn)槿魏卧�因�(qū)е律蟼髦袛鄷r(shí)，下次在發(fā)送同一附件時(shí)都可以進(jìn)行斷點(diǎn)續(xù)傳。
 
經(jīng)驗(yàn)總結(jié)
“某政府單位安全郵件工程”的成功經(jīng)驗(yàn)總結(jié)如下：
1.         郵件的網(wǎng)絡(luò)傳輸和物理存儲(chǔ)全程加密。
2.         嚴(yán)格遵循國(guó)家保密標(biāo)準(zhǔn)規(guī)范，兼顧用戶使用習(xí)慣。
3.         將“密級(jí)流向控制”與“標(biāo)密檢查”融入收發(fā)郵件的流程中，在滿足安全要求的同時(shí)減少用戶使用的復(fù)雜度。
4.         提供收發(fā)公務(wù)郵件的功能。
5.         獨(dú)有的郵件“追蹤”與“追回”功能。
6.         獨(dú)有的郵件“轉(zhuǎn)發(fā)”控制功能。
7.         超大附件支持，最大2GB。
8.         詳實(shí)的日志記錄和審計(jì)。
9.         歷史郵件的歸檔和安全存儲(chǔ)。

關(guān)于時(shí)代億信
北京時(shí)代億信科技有限公司是一家致力于企業(yè)應(yīng)用整合及信息安全整體解決方案的專業(yè)技術(shù)服務(wù)公司。公司依托首都科技產(chǎn)業(yè)優(yōu)勢(shì)，專注于數(shù)字證書應(yīng)用、企業(yè)應(yīng)用安全、企業(yè)應(yīng)用整合及相關(guān)領(lǐng)域的軟件研發(fā)與技術(shù)服務(wù)，為客戶提供整體的應(yīng)用安全解決方案。憑借團(tuán)隊(duì)優(yōu)勢(shì)和綜合技術(shù)能力，公司相繼獨(dú)立完成了身份認(rèn)證、統(tǒng)一身份管理與訪問(wèn)控制、文檔安全保護(hù)、SSLVPN等一系列創(chuàng)新產(chǎn)品的研發(fā)和推廣，積累了豐厚的專業(yè)技術(shù)實(shí)力和成熟的客戶服務(wù)經(jīng)驗(yàn)，經(jīng)過(guò)不斷努力，已經(jīng)成為企業(yè)應(yīng)用安全及整合領(lǐng)域領(lǐng)先的解決方案提供商。