时代亿信安全保密邮件技术白皮书.docx
《时代亿信安全保密邮件技术白皮书.docx》由会员分享,可在线阅读,更多相关《时代亿信安全保密邮件技术白皮书.docx(15页珍藏版)》请在冰豆网上搜索。
时代亿信安全保密邮件技术白皮书
提供安全保密的邮件解决方案——
时代亿信安全保密邮件系统
技术白皮书Version1.0
北京时代亿信科技有限公司
目录
1前言1
1.1产品应用背景1
1.2需求分析1
2术语和缩略语2
2.1术语2
2.2缩略语2
3产品概述3
3.1产品简介3
3.2产品技术原理4
4产品功能特点7
4.1基于PKI的强身份认证7
4.2邮件全程加密7
4.3邮件信息跟踪8
4.4邮件及附件权限控制8
4.5地址簿浏览权限控制8
4.6邮件转发控制9
4.7邮件密级控制9
4.8邮件分区存储9
4.9邮件有效期设置10
5安全保密邮件收发流程11
5.1邮件发送流程11
5.2邮件接收流程12
6系统管理13
6.1日志审计13
6.2分级管理13
7系统部署14
7.1网络部署环境14
7.2推荐配置和性能指标14
1前言
1.1产品应用背景
随着Internet技术的高速发展,电子邮件系统已经成为一个普遍的通信工具,应用非常广泛,可以说电子邮件系统是Internet众多应用创造的最辉煌的奇迹之一。
跟传统的信息传输模式相比,电子邮件具有很强的时效性、便捷性。
但随着电子邮件被广泛应用,随之而来的安全问题日渐突出,机密泄漏、信息欺骗、假冒地址等令人烦恼不堪,相应的安全保密防护需求越来越迫切。
电子邮件一般是以明文的方式来发送和存储的,很容易被盗取、篡改和冒名,同时,现有邮件系统对脱离邮件系统后的附件缺乏有效的权限控制,存在着泄露国家秘密、商业秘密及个人隐私等安全威胁。
因此,如何建立一套安全保密邮件系统,成为政府部门及企事业单位信息化建设的一大难题。
1.2需求分析
根据时代亿信在信息安全领域长期的研究成果和用户的实际应用情况,我们认为大致需要通过如下几条途径来确保电子邮件及附件的安全、可控:
Ø能够对用户进行强身份验证,确保邮件来源的合法性以及邮件内容的完整性;
Ø能够对邮件内容及附件的传输和存储进行加密,防止邮件内容及附件被窃取、监听或篡改;
Ø能对邮件及附件进行细粒度的授权管理,并能对下载到本地的附件控制阅读、编辑、复制、打印、转发等权限;
Ø能够根据需求对用户、邮件以及终端进行密级划分,并结合用户属性设置通讯规则,严格控制邮件的知悉范围;
Ø能够对邮件及附件的流转记录操作日志,及时掌握邮件的流向及用户的操作。
2术语和缩略语
2.1术语
名词
解释
用户
是指使用IT信息系统的内部正式或临时的外部员工、来自合作伙伴或设备供应商的工作人员等。
X.509证书标准
国际电话与电报咨询委员会(CCITT)规定的一种行业标准。
在这个标准中提供了一个数字证书的标准格式,规定数字证书必须包含的一些信息:
如版本号、序列号、签名算法、有效期限等。
加密/解密
使用计算机密码技术,对数字信息进行转换保护,形成新的信息,称为加密;把加密的信息还原成原文信息,成为解密。
数字签名
采用PKI技术,先对原文信息进行摘要(Hash),然后通过私钥进行签名处理,生成签名信息,签名信息只有私钥才能产生,签名过程不可逆,以保证原文的完整性和不可否认性。
数字信封
结合加密技术和数字签名技术,把明文信息进行加密打包,生成的信息中包含被加密保护的明文信息和数字签名信息,形如一个信封,称为数字信封。
通过数字信封,可以在开放的网络环境中进行数据的安全存储,既保证数据的安全性,又保证数据的完整性和准确性。
不可否认性
是指对行为的确认,确定行为必须是某人或某机构所为,不能否认,数字签名通过非对称密码技术和PKI管理体制保证不可否认性的实现。
数据完整性
表明数据没有遭受以非授权方式所作的篡改或破坏。
2.2缩略语
缩略语
英文
中文
PKI
PublicKeyInfrastructure
公钥基础设施
SSL
SecureSocketLayer
安全套接层协议层。
它是网景(Netscape)公司提出的基于WEB应用的安全协议
3产品概述
3.1产品简介
时代亿信安全保密邮件系统从邮件本身、邮件传输、邮件存储、权限控制等多方面出发,为政府部门及企事业单位提供安全、可控、便捷的信息传输功能,满足工作资料内部安全传递、存储及对外交流的需要。
基于PKI公共密钥管理体系,给传统电子邮件系统引入数字信封、数字签名、摘要算法等信息加密技术,从而实现电子邮件的加密传输、加密存储,并能够对发件人的身份进行验证,以确保邮件内容的完整性和不可否认性。
基于驱动级透明加解密技术实现的文档安全体系,不仅能够对邮件系统内的附件进行阅读、编辑、复制、打印、转发等权限进行严格的控制,还能够对下载到本地后的附件继续进行权限控制。
通过对邮件安全保密防护的需求分析,安全保密邮件系统采用分层的系统结构,使电子邮件的使用、管理以及存储相对分离。
安全保密邮件系统的系统结构主要分为数据层、安全服务层、邮件业务层和应用层等四个层次,各层可以按照具体应用需求,进行灵活调整及扩展,分层模型如下图所示:
图:
安全保密邮件系统分层模型
3.2产品技术原理
3.2.1基于PKI的邮件加密体系
⏹PKI公钥体系
从总体上来说,安全保密邮件系统是基于PKI的技术产品,整个安全保密邮件系统的每个环节都可以看到PKI的应用,非对称加密、身份认证、数字签名、以及数字信封等等都是以PKI为基础的。
从功能上来说,安全保密邮件系统实现了PKI的四个最主要的安全功能,即保密性、完整性、身份鉴别和不可否认性。
⏹对称加密
安全保密邮件系统在对邮件正文及附件进行加解密时,应用的是高强度的对称加密算法。
由于是对称算法,加密口令也就是解密口令。
这样做的好处在于加密口令是和文件相关的,不依赖于其他的文件和口令。
因此,即使用户的用户名和登录口令泄漏了,窃取者不知道加密口令仍然无法解密该加密文件。
对称加密算法有加解密强度高、速度快、占用系统资源少等特点。
⏹非对称加密
安全保密邮件系统主要在制作数字信封和数字签名时,应用非对称加密技术。
对于既需要保密又需要发送并证明身份的用户来说,数字信封正是他的好帮手。
而对于不需要保密仅需要签名的文件,安全保密邮件系统提供制作数字签名的功能。
数字签名不只可以验证签名人的身份还可以防纂改,也可以防止抵赖,使信息拥有不可否认性。
非对称加密技术相对于对称加密技术而言,在密钥传输、保持信息完整性以及抗抵赖方面具有不可比拟的优势。
⏹数字签名
安全保密邮件系统中数字签名主要用于两部分:
制作数字签名和数字信封。
制作数字签名应用用户证书的私钥对指定文件应用签名算法进行签名运算,签名后的文件存储在用户计算机中,用户可以随时发送给其他人并可以随时验证签名。
在制作数字信封的过程中,在加密文件之后,要应用发送者的私钥对加密文件进行签名,以便让接收者确认发送者身份,防止身份伪装。
⏹数字信封
由于对称加密密钥传输的安全限制以及对非对称加密速度的要求,使得单纯使用对称加密和非对称加密对于要进行网络传输的加密文件而言都具有一定的局限性,因此,安全保密邮件系统应用对称加密和非对称加密相结合的数字信封技术进行邮件加解密。
3.2.2针对邮件附件的文档安全控制技术
⏹内核驱动
内核驱动是安全保密邮件系统对附件控制所采取的关键技术,它负责监控操作系统所有的底层I/O操作,并根据上层控制模块返回的结果,控制进程对文档资源的访问。
⏹透明加解密
监控所有调用操作系统底层API的操作,检查是否有对受保护的加密文档的访问,如果有则向上层应用发送权限认证请求,根据返回结果决定是否允许用户访问。
对于允许访问的文档,由内核驱动自动解密,用户无需手动操作,可直接访问受保护的加密文档。
⏹内存保护
安全保密邮件系统直接对内存中的进行文档数据操作,不会在硬盘中生成临时文件或中间文件,防止非法进程通过监控临时文件夹或监控文件创建来获取文档内容。
⏹权限实时控制
通过身份认证和数据加解密技术,非授权的用户已经无法获取企业和机构内部的电子邮件,但是这并不能完全杜绝邮件内容及其附件的外泄。
因为内部人员是最为容易得到机密信息,也最容易泄露机密信息。
安全保密邮件系统可以细致的划分用户对邮件的操作权限,包括:
阅读、编辑、打印、复制粘贴、截屏以及完全控制(包括只读、编辑、解密的权限),通过对单一用户或用户角色的细致授权,完全满足不同用户级别和不同工作内容对操作权限的不同要求。
⏹时间期限控制
控制邮件的使用时间是安全保密邮件系统的重要组成部分。
通常将邮件及附件分发出去后,接受方就永远拥有此文档的所有权,随时可以使用该文档中的数据信息,这样很容易造成重要数据信息的外泄。
对邮件及附件的使用期限加以控制,便可很好地解决这一问题。
4产品功能特点
安全保密邮件系统是在实现普通邮件系统功能之上,综合运用身份认证、数字签名、传输加密、加密存储、邮件信息跟踪、邮件及附件控制等安全手段进行安全保护,通过高强度的身份认证、细粒度的权限控制和日志审计,为政府部门及企事业单位提供安全、可控、便捷的信息传输服务。
安全保密邮件系统的功能特点如下图所示:
图:
安全保密邮件系统功能特点
4.1基于PKI的强身份认证
基于PKI证书管理体系,结合邮件系统用户管理与权限分配,在用户登录、管理操作及邮件的编辑、发送、接收及附件下载等过程中,进行用户强身份认证、权限控制等,保证对邮件各项操作的合法性,对用户全部操作环节进行全程跟踪,并进行日志记录。
4.2邮件全程加密
发送邮件时,发件人使用收件人公钥对邮件进行加密,并使用自己的私钥做数字签名,邮件以密文的形式发送出去;收到邮件时,拥有对应私钥的用户才能对邮件内容进行解密,查看到邮件原文,并通过验证数字签名确定发件人的身份。
加解密过程在USB智能卡中完成,私钥不出卡,保证密钥的安全。
在邮件的传输过程中,安全保密邮件系统采取数字信封、数字签名等加密技术,以确保邮件内容的保密性、完整性和不可否认性。
邮件的正文和附件在网络传输、服务器存储以及客户端存储时,都是以密文形式存在。
4.3邮件信息跟踪
安全保密邮件系统通过邮件状态跟踪随时掌握邮件已被执行了哪些操作,系统自动对用户阅读附件、编辑附件、复制附件、打印附件操作进行日志记录,对用户发送邮件、阅读邮件操作进行日志记录,还可以根据查询的条件生成各种报表。
管理员不能查看邮件内容,但是能可以查看邮件操作记录和附件操作记录。
4.4邮件及附件权限控制
安全保密邮件系统通过对邮件及附件进行授权策略配置,来控制收件人对邮件及其附件的操作权限,主要包括阅读、编辑、复制、另存、打印、下载附件、转发等。
邮件及附件只能在发件人设定的用户范围和操作权限下使用,确保附件始终处于限定范围和受控状态。
同时,对于存储在服务器和用户本地的加密文档,只有使用用户的个人密钥才能打开文档。
即使文档被非法拷贝,拷走的也都是密文,没有授权,任何人都不能解开该文档。
4.5地址簿浏览权限控制
安全保密邮件系统采用树形结构来展示地址簿上的联系人信息,用户地址簿在系统实施时根据用户属性统一进行配置。
用户只能与地址簿中显示的联系人互通邮件,不能给地址簿以外的联系人发送邮件。
用户无法擅自更改地址簿中的联系人信息,如需更改,必须履行相关审批手续。
4.6邮件转发控制
安全保密邮件系统对邮件的发送范围进行了严格的权限控制。
在邮件转发时,必须要求邮件始发人的授权才能进行。
用户在使用地址簿进行收件人选择时,地址簿列表结合当前用户的安全级别以及所属部门、职务等信息进行动态匹配,只列出其有权限的接收人或者机构。
4.7邮件密级控制
用户、邮件、终端机三个环节设置密级控制,发件人能发哪些密级的邮件,以及接收人和接收终端的密级都进行严格控制。
如秘密级的用户不能发送或收取机密级的邮件,机密级的邮件不能在秘密级终端机上打开。
4.8邮件分区存储
安全保密邮件系统能根据政府部门及企事业单位的组织机构,划分不同的相互独立的区域,分别用于不同安全级别用户的邮件加密存储。
同级别的用户之间互发的邮件存储在相应级别的安全区域;不同级别的用户之间互发的邮件,存在安全级别较低的用户对应的安全区域;群发邮件的存储规则,按照所有收件人和发件人中最低级别的用户安全级别来确定。
4.9邮件有效期设置
用户可以对邮件有效期进行设置。
邮件有效期设置中定义邮件的有效时限,以及在邮件过期过的处理方式。
如设置阅读过的邮件有效期为10天,过期的邮件将自动删除。
5安全保密邮件收发流程
5.1邮件发送流程
发送邮件时,使用收件人的公钥进行加密,并使用自己的私钥做数字签名,邮件以密文的形式发送出去。
图:
安全电子邮件发送流程图
5.2邮件接收流程
收到邮件时,拥有对应私钥的用户才能对邮件内容进行解密,查看到邮件原文,并通过验证数字签名确定发件人的身份。
图:
安全电子邮件接收流程图
6系统管理
6.1日志审计
安全保密邮件系统的日志审计主要包括邮件操作日志、附件操作授权日志、管理员操作日志等三部分。
Ø邮件操作日志:
主要负责记录用户对邮件的操作信息,包括用户邮件发送时间、邮件接收时间、邮件转发时间等。
Ø附件操作授权日志:
主要负责记录用户对附件的阅读、下载、打印、复制等的操作信息。
Ø管理员操作日志:
主要负责记录各级管理员登录后台管理系统后执行的关键操作,如用户管理的操作、邮箱管理的操作等。
事后能够进行详细审计,可以进行分类查询、模糊查询、精确查询,查询结果可以生成各种报表,并可以导出成多种格式的文件进行保存。
6.2分级管理
安全保密邮件系统支持分级授权机制,可参照组织机构划分不同的安全域,各安全域管理相对独立。
管理权限可以结合管理职能进行权限细分,可以设定不同级别的管理员,分别负责不同级别范围内用户、邮箱、证书、组织机构的管理。
对于管理员的指定采用上级管理员授权下级管理员的授权模式,由上一级别管理员对下一级别管理员进行管理和授权。
7系统部署
7.1网络部署环境
图:
网络部署环境示意图
网络中心按照功能的不同划分不同的安全区,一般主要包括交换区(主要部署共享应用)、共享区(主要部署公共应用)、网管区(主要部署网络管理相关设施)、安管区(主要部署安全管理和支撑服务相关设施)、运维区和数据中心。
安全保密邮件系统采用集中部署方式,部署在网络中心的共享区。
7.2推荐配置和性能指标
安全保密邮件系统的部署主要包括邮件应用服务器、数据库服务器、磁盘阵列三个部分,系统支持双机热备和负载均衡。
推荐配置如下:
⏹服务器配置
CPU:
4颗IntelXeon7420(四核)以上
内存:
4G以上
硬盘:
3*146GBSAS以上
⏹软件配置
操作系统:
国产Linux操作系统
中间件软件:
国产J2EE应用中间件
数据库软件:
国产关系型数据库管理系统
⏹磁盘阵列配置
10T磁盘空间
升级会员 