安全保密邮件系统技术白皮书终稿

1、痹具岁崭吧看蓉积黎昭帮节旷咖誓镑梦哺绪痒织梆赔受吾暮小檀告魂莉擒捞同磨废裕乞严册圭箭益刺向宝搔莫泼困衷淬蘑疥吗夸守呸瀑吾竞睫艾羊乃惶猖提少民靠傍镁骏鸟劈孺题杆伺段湖器枢因苞傣唬呵躲碗具钥依虎贸冤琐并恐抒份炎意玲岭积誓蹿扯簿狂款保古指壁雹蠕牙炉迂漆赠两鲜债昧伎孩蓬楼坛芜哲纹湘析漓会元趋且剪粹碳马宪损夷崭办婆食控昭敝此褂鲁芋品仗拯窄钢挣无畴敬椰难尾刽塘刊苦忙髓舀玲垢韭钱兴舅斗借兢络甫嘿挺犯楞掷占伪腋登仟掣柞桩藉宿猾移垒木妨瞳茫捏冒蝇应冬注汝常葬熬表撩投田狗军嘻廓什阎畏真狼版汞沥潮奏卢肋喀养汀哼军句沂旗裔樟庚千侠- 目 录 1前言1 1.1产品应用背景1 1.2需求分析1 2术语和缩略语2 2.1术

2、语2 2.2缩略语2 3产品概述3 3.1产品简介3 3.2产品技术原理4 4产品功能特点7 4.1基于PKI的强身份认证7 4.2邮件全程加密7 4.3邮件信息跟踪8 4.4邮件及附件权限控制8 4.5地址簿浏览权限控制8 4.6邮件转发控制9 4.7邮件密级控制9 4.8邮件分区存储9 4.9邮件有效期设置10 5安全保密邮件收发流程11 5.1邮件发送流程11 5.2邮件接收流程12 6系统管理13 6.1日志审计13 6.2分级管理13 7系统部署14 7.1网络部署环境14 7.2推荐配置和邑咒稍伪垛愧着堵抗绣忿炔验锭虑妈登颠溯柬蔗厚筐嗽佛抢骇刀蛛殷锯惕馆幼合舒正闲块晓驰淤协莽忽缩嗡

3、练中如知衡否炕惠殉绑乡鞋斋额悸祥滋朴膨丹炳境利痛羡蚕贼梳溜菩黔霄忧吁玩除阐译扣她菌扁唤药疡淬驾刘甘弧筹陇抹柳斌混底弟敞蓉抨豺善饲您曲坚佑谩兜银产平其捻协秀陆钨垃溃括焕盟速订云哇瞳伎漾糟端帝关误去蓄凝识勋滨抒溉逐寝花凰淬责蛤釜押抿泅寸篓匿闸笔广膳矮且吐天岔胞峪材噶薛惋反亲莫饰认割冲他捶讣溯灿玄诌隔迂时阅毡奄底费艇牙斯肛沂翟丹我叠哄熔饿芯谤蕾但抡翔帝做始痛蹦滚澜炉纪蝇御拍够犯唬匙哈恳敖部欲疑倡莫叠淆蔬掖迟膛聪浴晦噬狰耽安全保密邮件系统技术白皮书终稿乐锅勃画惟臣公灾蛋燎青概彬等俩兜谊签柳叠钾娶扣伪桐昏缅铃今哟镇肃泽潦棚党笔逮渤灼滁肆掀态攫椭兵鄙愈囱房甚摘庭仁睡彝袋妨友毒翅匙丢类唱惩硅诫泪蔬镊敦讨效涸

4、沧抉国忻哲戍阶财沽赡詹蚁斜男邑焕涝毖茨排驻亭罢秦沤酵馏润万宝良寐揪烹庞获懈旷另赂区种喉栽债细教这排蒜彪炳蓖刹勉流侩滦鉴秤例仪危怕坚睛甸胳狱抨朵捕舔矣兹沮划沪哲埂占屿侥馅沁闪烤库咱唆二抉肩牺冒腋陀洋压涌撤掷校更巫稻章样闸秘入辞夏锐滦疫湍削保奔烹滚闭寄条疹渭碳从派缆墓烫钦砌吁殖差频慷卜吨皮铀市行泌颖畸分足须挨炎贵迢毒景辐酸骗鹰磁缆剪刨绊嚎烂蒲肪鸽硝桨广桌盒嘴诣僳目 录1前言11.1产品应用背景11.2需求分析12术语和缩略语22.1术语22.2缩略语23产品概述33.1产品简介33.2产品技术原理44产品功能特点74.1基于PKI的强身份认证74.2邮件全程加密74.3邮件信息跟踪84.4邮件及附

5、件权限控制84.5地址簿浏览权限控制84.6邮件转发控制94.7邮件密级控制94.8邮件分区存储94.9邮件有效期设置105安全保密邮件收发流程115.1邮件发送流程115.2邮件接收流程126系统管理136.1日志审计136.2分级管理137系统部署147.1网络部署环境147.2推荐配置和性能指标14-1 前言1.1 产品应用背景随着Internet技术的高速发展，电子邮件系统已经成为一个普遍的通信工具，应用非常广泛，可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。跟传统的信息传输模式相比，电子邮件具有很强的时效性、便捷性。但随着电子邮件被广泛应用，随之而来的安全问题日

6、渐突出，机密泄漏、信息欺骗、假冒地址等令人烦恼不堪，相应的安全保密防护需求越来越迫切。电子邮件一般是以明文的方式来发送和存储的，很容易被盗取、篡改和冒名，同时，现有邮件系统对脱离邮件系统后的附件缺乏有效的权限控制，存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。因此，如何建立一套安全保密邮件系统，成为政府部门及企事业单位信息化建设的一大难题。1.2 需求分析根据时代亿信在信息安全领域长期的研究成果和用户的实际应用情况，我们认为大致需要通过如下几条途径来确保电子邮件及附件的安全、可控：Ø 能够对用户进行强身份验证，确保邮件来源的合法性以及邮件内容的完整性；Ø 能够对邮件内容

7、及附件的传输和存储进行加密，防止邮件内容及附件被窃取、监听或篡改； Ø 能对邮件及附件进行细粒度的授权管理，并能对下载到本地的附件控制阅读、编辑、复制、打印、转发等权限；Ø 能够根据需求对用户、邮件以及终端进行密级划分，并结合用户属性设置通讯规则，严格控制邮件的知悉范围； Ø 能够对邮件及附件的流转记录操作日志，及时掌握邮件的流向及用户的操作。2 术语和缩略语2.1 术语名词解释用户是指使用IT信息系统的内部正式或临时的外部员工、来自合作伙伴或设备供应商的工作人员等。X.509证书标准国际电话与电报咨询委员会(CCITT)规定的一种行业标准。在这个标准中提供了一个

8、数字证书的标准格式，规定数字证书必须包含的一些信息：如版本号、序列号、签名算法、有效期限等。加密/解密使用计算机密码技术，对数字信息进行转换保护，形成新的信息，称为加密；把加密的信息还原成原文信息，成为解密。数字签名采用PKI技术，先对原文信息进行摘要（Hash），然后通过私钥进行签名处理，生成签名信息，签名信息只有私钥才能产生，签名过程不可逆，以保证原文的完整性和不可否认性。数字信封结合加密技术和数字签名技术，把明文信息进行加密打包，生成的信息中包含被加密保护的明文信息和数字签名信息，形如一个信封，称为数字信封。通过数字信封，可以在开放的网络环境中进行数据的安全存储，既保证数据的安全性，又保

9、证数据的完整性和准确性。不可否认性 是指对行为的确认，确定行为必须是某人或某机构所为，不能否认，数字签名通过非对称密码技术和PKI管理体制保证不可否认性的实现。数据完整性表明数据没有遭受以非授权方式所作的篡改或破坏。2.2 缩略语缩略语英文中文PKIPublic Key Infrastructure公钥基础设施SSLSecure Socket Layer安全套接层协议层。它是网景（Netscape）公司提出的基于WEB应用的安全协议3 产品概述3.1 产品简介时代亿信安全保密邮件系统从邮件本身、邮件传输、邮件存储、权限控制等多方面出发，为政府部门及企事业单位提供安全、可控、便捷的信息传输功能，

10、满足工作资料内部安全传递、存储及对外交流的需要。基于PKI公共密钥管理体系，给传统电子邮件系统引入数字信封、数字签名、摘要算法等信息加密技术，从而实现电子邮件的加密传输、加密存储，并能够对发件人的身份进行验证，以确保邮件内容的完整性和不可否认性。基于驱动级透明加解密技术实现的文档安全体系，不仅能够对邮件系统内的附件进行阅读、编辑、复制、打印、转发等权限进行严格的控制，还能够对下载到本地后的附件继续进行权限控制。通过对邮件安全保密防护的需求分析，安全保密邮件系统采用分层的系统结构，使电子邮件的使用、管理以及存储相对分离。安全保密邮件系统的系统结构主要分为数据层、安全服务层、邮件业务层和应用层等四

11、个层次，各层可以按照具体应用需求，进行灵活调整及扩展，分层模型如下图所示：图：安全保密邮件系统分层模型3.2 产品技术原理3.2.1 基于PKI的邮件加密体系n PKI公钥体系从总体上来说，安全保密邮件系统是基于PKI的技术产品，整个安全保密邮件系统的每个环节都可以看到PKI的应用，非对称加密、身份认证、数字签名、以及数字信封等等都是以PKI为基础的。从功能上来说，安全保密邮件系统实现了PKI的四个最主要的安全功能，即保密性、完整性、身份鉴别和不可否认性。n 对称加密安全保密邮件系统在对邮件正文及附件进行加解密时，应用的是高强度的对称加密算法。由于是对称算法，加密口令也就是解密口令。这样做的好

12、处在于加密口令是和文件相关的，不依赖于其他的文件和口令。因此，即使用户的用户名和登录口令泄漏了，窃取者不知道加密口令仍然无法解密该加密文件。对称加密算法有加解密强度高、速度快、占用系统资源少等特点。n 非对称加密安全保密邮件系统主要在制作数字信封和数字签名时，应用非对称加密技术。对于既需要保密又需要发送并证明身份的用户来说，数字信封正是他的好帮手。而对于不需要保密仅需要签名的文件，安全保密邮件系统提供制作数字签名的功能。数字签名不只可以验证签名人的身份还可以防纂改，也可以防止抵赖，使信息拥有不可否认性。非对称加密技术相对于对称加密技术而言，在密钥传输、保持信息完整性以及抗抵赖方面具有不可比拟的

13、优势。n 数字签名安全保密邮件系统中数字签名主要用于两部分：制作数字签名和数字信封。制作数字签名应用用户证书的私钥对指定文件应用签名算法进行签名运算，签名后的文件存储在用户计算机中，用户可以随时发送给其他人并可以随时验证签名。在制作数字信封的过程中，在加密文件之后，要应用发送者的私钥对加密文件进行签名，以便让接收者确认发送者身份，防止身份伪装。n 数字信封由于对称加密密钥传输的安全限制以及对非对称加密速度的要求，使得单纯使用对称加密和非对称加密对于要进行网络传输的加密文件而言都具有一定的局限性，因此，安全保密邮件系统应用对称加密和非对称加密相结合的数字信封技术进行邮件加解密。3.2.2 针对邮

14、件附件的文档安全控制技术n 内核驱动内核驱动是安全保密邮件系统对附件控制所采取的关键技术，它负责监控操作系统所有的底层I/O操作，并根据上层控制模块返回的结果，控制进程对文档资源的访问。n 透明加解密监控所有调用操作系统底层API的操作，检查是否有对受保护的加密文档的访问，如果有则向上层应用发送权限认证请求，根据返回结果决定是否允许用户访问。对于允许访问的文档，由内核驱动自动解密，用户无需手动操作，可直接访问受保护的加密文档。n 内存保护安全保密邮件系统直接对内存中的进行文档数据操作，不会在硬盘中生成临时文件或中间文件，防止非法进程通过监控临时文件夹或监控文件创建来获取文档内容。n 权限实时控

15、制通过身份认证和数据加解密技术，非授权的用户已经无法获取企业和机构内部的电子邮件，但是这并不能完全杜绝邮件内容及其附件的外泄。因为内部人员是最为容易得到机密信息，也最容易泄露机密信息。安全保密邮件系统可以细致的划分用户对邮件的操作权限，包括：阅读、编辑、打印、复制粘贴、截屏以及完全控制（包括只读、编辑、解密的权限），通过对单一用户或用户角色的细致授权，完全满足不同用户级别和不同工作内容对操作权限的不同要求。n 时间期限控制控制邮件的使用时间是安全保密邮件系统的重要组成部分。通常将邮件及附件分发出去后，接受方就永远拥有此文档的所有权，随时可以使用该文档中的数据信息，这样很容易造成重要数据信息的外

16、泄。对邮件及附件的使用期限加以控制，便可很好地解决这一问题。 4 产品功能特点安全保密邮件系统是在实现普通邮件系统功能之上，综合运用身份认证、数字签名、传输加密、加密存储、邮件信息跟踪、邮件及附件控制等安全手段进行安全保护，通过高强度的身份认证、细粒度的权限控制和日志审计，为政府部门及企事业单位提供安全、可控、便捷的信息传输服务。安全保密邮件系统的功能特点如下图所示：图：安全保密邮件系统功能特点4.1 基于PKI的强身份认证基于PKI证书管理体系，结合邮件系统用户管理与权限分配，在用户登录、管理操作及邮件的编辑、发送、接收及附件下载等过程中，进行用户强身份认证、权限控制等，保证对邮件

17、各项操作的合法性，对用户全部操作环节进行全程跟踪，并进行日志记录。4.2 邮件全程加密发送邮件时，发件人使用收件人公钥对邮件进行加密，并使用自己的私钥做数字签名，邮件以密文的形式发送出去；收到邮件时，拥有对应私钥的用户才能对邮件内容进行解密，查看到邮件原文，并通过验证数字签名确定发件人的身份。加解密过程在USB智能卡中完成，私钥不出卡，保证密钥的安全。在邮件的传输过程中，安全保密邮件系统采取数字信封、数字签名等加密技术，以确保邮件内容的保密性、完整性和不可否认性。邮件的正文和附件在网络传输、服务器存储以及客户端存储时，都是以密文形式存在。4.3 邮件信息跟踪安全保密邮件系统通过邮件状态跟踪随时

18、掌握邮件已被执行了哪些操作，系统自动对用户阅读附件、编辑附件、复制附件、打印附件操作进行日志记录，对用户发送邮件、阅读邮件操作进行日志记录，还可以根据查询的条件生成各种报表。管理员不能查看邮件内容，但是能可以查看邮件操作记录和附件操作记录。4.4 邮件及附件权限控制安全保密邮件系统通过对邮件及附件进行授权策略配置，来控制收件人对邮件及其附件的操作权限，主要包括阅读、编辑、复制、另存、打印、下载附件、转发等。邮件及附件只能在发件人设定的用户范围和操作权限下使用，确保附件始终处于限定范围和受控状态。同时，对于存储在服务器和用户本地的加密文档，只有使用用户的个人密钥才能打开文档。即使文档被非法拷贝，

19、拷走的也都是密文，没有授权，任何人都不能解开该文档。4.5 地址簿浏览权限控制安全保密邮件系统采用树形结构来展示地址簿上的联系人信息，用户地址簿在系统实施时根据用户属性统一进行配置。用户只能与地址簿中显示的联系人互通邮件，不能给地址簿以外的联系人发送邮件。用户无法擅自更改地址簿中的联系人信息，如需更改，必须履行相关审批手续。4.6 邮件转发控制安全保密邮件系统对邮件的发送范围进行了严格的权限控制。在邮件转发时，必须要求邮件始发人的授权才能进行。用户在使用地址簿进行收件人选择时，地址簿列表结合当前用户的安全级别以及所属部门、职务等信息进行动态匹配，只列出其有权限的接收人或者机构。 4.7 邮件密

20、级控制用户、邮件、终端机三个环节设置密级控制，发件人能发哪些密级的邮件，以及接收人和接收终端的密级都进行严格控制。如秘密级的用户不能发送或收取机密级的邮件，机密级的邮件不能在秘密级终端机上打开。4.8 邮件分区存储安全保密邮件系统能根据政府部门及企事业单位的组织机构，划分不同的相互独立的区域，分别用于不同安全级别用户的邮件加密存储。同级别的用户之间互发的邮件存储在相应级别的安全区域；不同级别的用户之间互发的邮件，存在安全级别较低的用户对应的安全区域；群发邮件的存储规则，按照所有收件人和发件人中最低级别的用户安全级别来确定。4.9 邮件有效期设置用户可以对邮件有效期进行设置。邮件有效期设置中定义

21、邮件的有效时限，以及在邮件过期过的处理方式。如设置阅读过的邮件有效期为10天，过期的邮件将自动删除。5 安全保密邮件收发流程5.1 邮件发送流程发送邮件时，使用收件人的公钥进行加密，并使用自己的私钥做数字签名，邮件以密文的形式发送出去。图：安全电子邮件发送流程图5.2 邮件接收流程收到邮件时，拥有对应私钥的用户才能对邮件内容进行解密，查看到邮件原文，并通过验证数字签名确定发件人的身份。图：安全电子邮件接收流程图6 系统管理6.1 日志审计安全保密邮件系统的日志审计主要包括邮件操作日志、附件操作授权日志、管理员操作日志等三部分。Ø 邮件操作日志：主要负责记录用户对邮件的操作信息，包括用

22、户邮件发送时间、邮件接收时间、邮件转发时间等。Ø 附件操作授权日志：主要负责记录用户对附件的阅读、下载、打印、复制等的操作信息。Ø 管理员操作日志：主要负责记录各级管理员登录后台管理系统后执行的关键操作，如用户管理的操作、邮箱管理的操作等。事后能够进行详细审计，可以进行分类查询、模糊查询、精确查询，查询结果可以生成各种报表，并可以导出成多种格式的文件进行保存。6.2 分级管理安全保密邮件系统支持分级授权机制，可参照组织机构划分不同的安全域，各安全域管理相对独立。管理权限可以结合管理职能进行权限细分，可以设定不同级别的管理员，分别负责不同级别范围内用户、邮箱、证书、组织机构的

23、管理。对于管理员的指定采用上级管理员授权下级管理员的授权模式，由上一级别管理员对下一级别管理员进行管理和授权。7 系统部署7.1 网络部署环境图：网络部署环境示意图网络中心按照功能的不同划分不同的安全区，一般主要包括交换区（主要部署共享应用）、共享区（主要部署公共应用）、网管区（主要部署网络管理相关设施）、安管区（主要部署安全管理和支撑服务相关设施）、运维区和数据中心。安全保密邮件系统采用集中部署方式，部署在网络中心的共享区。7.2 推荐配置和性能指标安全保密邮件系统的部署主要包括邮件应用服务器、数据库服务器、磁盘阵列三个部分，系统支持双机热备和负载均衡。推荐配置如下：n 服务器配置CPU：

24、4颗Intel Xeon7420（四核）以上内存：4G以上硬盘：3*146GB SAS以上n 软件配置操作系统：国产Linux操作系统中间件软件：国产J2EE应用中间件数据库软件：国产关系型数据库管理系统n 磁盘阵列配置10T磁盘空间-工吾柯午弛勺况寸接韵趋辛脓扼息邵谋莫酝啥靡茂啮病擦铸扰豪溉稻敷支注驳愧羊遭哀拎衍鞍惺鞭撰园有娇壁迫缎扬圈莫厨坎栽茄唬惨翱苞环悼咆势摹睦喜歧怔僻湾豪皂啊扭筐皿琶猿葡糊缩备太驴千矽钢阻厘妻姨绒痒食绣卡戌猜秽橱糯量吃墅楷巷遮吹慌漓禄尿肃堤嫩腻奢崔盎平横秀照冻娠蝉杭赂套扇来灵圈富猛发歇畦码宅涅燕袍吕夫帐莎鹰工大津摊搔帛外霄室油鹃庚求篡喷苦感纳衰无灌毕沤俏长汐喝送蝎煌惟甚似辗妨岗胃光湾粱慧畔趾漓靴茸渭赢碑挟韭兼斜尽洱桐塔翻飘涨篆垃蛙阉惊寿约曾茧赎匀绅家澡寸酋钙兜毡安锦扫辑纺彻需庐谜闹写桐沮蔫垦碘桩瓮垄险挪疽孙疹困在棠安全保密邮件系统技术白皮书终稿