【正文】 電子郵件系統(tǒng)采用RSA的高強度加密算法，密鑰長度大于1024位，能夠提供軍工級的安全強度標(biāo)準。 實現(xiàn)了實名制的安全認證。安寧高安全郵件系統(tǒng)在郵件系統(tǒng)的認證控制中結(jié)合CA中心實現(xiàn)了硬件USB KEY的認證機制，通過硬件USB KEY認證保證了客戶的應(yīng)用具備了極高的安全性。 和CA結(jié)合的高安全硬件USB KEY認證機制在涉密專版安全電子郵件的要求中，需要郵件系統(tǒng)結(jié)合CA中心實現(xiàn)高安全硬件USB KEY認證機制。保護數(shù)據(jù)的完整性 安全套接層協(xié)議采用Hash函數(shù)和機密共享的方法來提供信息的完整性服務(wù)，建立客戶機與服務(wù)器之間的安全通道，使所有經(jīng)過安全套接層協(xié)議處理的業(yè)務(wù)在傳輸過程中能全部完整準確無誤地到達目的地。 SSL協(xié)議的整個概念可以被總結(jié)為：一個保證任何安裝了安全套接字的客戶和服務(wù)器間事務(wù)安全的協(xié)議，它涉及所有TCP/IP應(yīng)用程序。216。 審計員應(yīng)當(dāng)參與系統(tǒng)管理的事前審計，即當(dāng)管理員對域的重大操作需要審計員協(xié)同才能完成。 安全審計員不能通過管理員派生，并且只能有一個審計員。系統(tǒng)管理員主要完成對郵件用戶的管理和維護，該功能是郵件系統(tǒng)的最常見工作。同時，發(fā)送人可控制接收人對不同密級郵件的轉(zhuǎn)發(fā)、附件下載、修改打印等操作。確保正確密級的信息在對應(yīng)密級的用戶間傳遞。本次安全郵件系統(tǒng)同時對系統(tǒng)的易用性提高了要求，要能夠滿足客戶對郵件系統(tǒng)日益頻繁的操作需求。安寧安全電子郵件系統(tǒng)是目前業(yè)界唯一通過國家保密局評測的安全郵件系統(tǒng)。216。 系統(tǒng)能夠滿足國家分級保護的要求，實現(xiàn)郵件、用戶的密級控制216。 系統(tǒng)要求能夠?qū)崿F(xiàn)郵件的簽名和加密，實現(xiàn)安全電子郵件，完全能夠通過客戶端（OUTLOOK）、WEBMAIL完成簽名、加密郵件的收發(fā)。 系統(tǒng)要求能夠做到傳輸加密，確保郵件數(shù)據(jù)在傳輸過程中的安全性，不會在傳輸過程中被竊取或者修改。 5 基于SSL的傳輸加密機制 5 和CA結(jié)合的高安全硬件USB KEY認證機制 7 和CA結(jié)合的安全電子郵件系統(tǒng) 7 提供高安全密碼策略支持 10 提供完整的日志方案，便于客戶對系統(tǒng)的管理和監(jiān)控 10 提供郵件擺渡功能 10 完善的系統(tǒng)安全備份恢復(fù)策略 11 系統(tǒng)具備強大的擴展性，能夠?qū)崿F(xiàn)和第三方OA系統(tǒng)的無縫對接 12 基于中間件的全協(xié)議復(fù)合引擎殺病毒技術(shù) 13 系統(tǒng)具備強大的遷移能力，能夠完成對如Exchange、LotusNotes等傳統(tǒng)郵件系統(tǒng)的遷移 16 提供從WebMail到客戶端的全面支持 172 功能實現(xiàn) 19 系統(tǒng)安全功能說明 19 安全郵件收發(fā)流程 19 郵件安全登錄 19 郵件密級控制 20 寫安全郵件 20 查找公鑰 21 安全郵件列表顯示 22 查看安全郵件內(nèi)容 22 系統(tǒng)用戶功能說明 23 強大的公共通訊錄功能 23 領(lǐng)先的中文多內(nèi)碼支持能力 24 領(lǐng)先的IMAP4支持能力 25 多級文件夾支持能力 26 非虛擬主機方式的獨立入口多域支持 27 大附件支持技術(shù) 27 方便易用的AJAX WEBMAIL機制 27 三員分立的系統(tǒng)管理功能說明 29 安全保密員管理功能 29 域管理的功能 30 系統(tǒng)監(jiān)控功能 30 系統(tǒng)管理員功能 31 用戶管理的功能 31 鎖定用戶的功能 31 容量統(tǒng)計 32 修改密碼天數(shù) 32 安全審計員功能 33 審計管理功能 33 強大的日志功能 33 郵件內(nèi)容審核擴展功能 383 系統(tǒng)實施準備條件 40地址：北京海淀區(qū)復(fù)興路65號電信實業(yè)大廈 4電話：861051655888 Email:service1 系統(tǒng)架構(gòu) 產(chǎn)品設(shè)計建設(shè)說明涉密專版郵件系統(tǒng)的需求，主要有如下內(nèi)容：216。安寧涉密專版郵件系統(tǒng)設(shè)計方案安寧安全涉密專版郵件系統(tǒng)設(shè)計方案安寧創(chuàng)新網(wǎng)絡(luò)科技有限公司目 錄1 系統(tǒng)架構(gòu) 3 產(chǎn)品設(shè)計建設(shè)說明 3 系統(tǒng)設(shè)計特點及郵件安全策略 4 提供高安全郵件密級控制模塊 4 提供三員分立的系統(tǒng)管理架構(gòu)。 系統(tǒng)要求滿足對大附件傳輸?shù)囊?，能夠支持達1,500M的附件傳輸。216。216。 要求系統(tǒng)支持郵件審批的功能，對滿足條件的郵件提供審批控制，確保審批通過的郵件才能傳送給收件人。 在考慮安全性的同時，還要充分考慮系統(tǒng)的易用性和簡便性，符合目前高端郵件系統(tǒng)標(biāo)準，能夠提供基于AJAX技術(shù)的WEB郵件應(yīng)用，實現(xiàn)多標(biāo)簽、郵件功能化、。在傳輸層，實現(xiàn)SSL加密控制，保證傳輸?shù)臄?shù)據(jù)安全。安寧安全郵件系統(tǒng)是業(yè)界第一個結(jié)合了PKI安全性和AJAX易用性的高端郵件系統(tǒng)。具體說，對低密級用戶，根本不能接觸高密級的郵件，也不能通過郵件系統(tǒng)發(fā)送高密級的郵件內(nèi)容。 提供三員分立的系統(tǒng)管理架構(gòu)。安全審計員則需要對以上兩員的工作進行審計，審計通過后安全保密員對域的操作、系統(tǒng)管理員對用戶的操作才能生效；審計管理員的第二個主要功能就是對各種日志的審計和跟蹤，包括用戶的登錄日志、管理員的登錄和操作日志、郵件的收發(fā)日志等。216。 提供郵件內(nèi)容審核的功能支持，確保滿足條件的郵件必須審核放行。 支持多條件審核設(shè)定：支持跨部門審核，跨部門發(fā)送的郵件要求審核后放行支持特定收件人審核，對發(fā)送給特定收件人的郵件要求審核支持不同密級審核，對設(shè)定密級的郵件發(fā)送前進行審核操作。 SSL安全協(xié)議主要提供三方面的服務(wù)： 加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) 安全套接層協(xié)議所采用的加密技術(shù)既有對稱密鑰技術(shù)，也有公開密鑰技術(shù)。 安全套接層協(xié)議是一個保證計算機通信安全的協(xié)議，對通信對話過程進行安全保護，其實現(xiàn)過程主要經(jīng)過如下幾個階段： （1）接通階段：客戶機通過網(wǎng)絡(luò)向服務(wù)器打招呼，服務(wù)器回應(yīng)； （2）密碼交換階段：客戶機與服務(wù)器之間交換雙方認可的密碼，一般選用RSA密碼算法，也有的選用DiffieHellmanf和FortezzaKEA密碼算法； （3）會談密碼階段：客戶機器與服務(wù)器間產(chǎn)生彼此交談的會談密碼； （4）檢驗階段：客戶機檢驗服務(wù)器取得的密碼； （5）客戶認證階段：服務(wù)器驗證客戶機的可信度； （6）結(jié)束階段：客戶機與服務(wù)器之間相互交換結(jié)束的信息。硬件USB KEY是基于硬件的數(shù)字證書，有著很高的安全性，它存儲的數(shù)字證書信息只存在于該硬件芯片內(nèi)，并通過硬件芯片加密存放。主要特色如下： 216。由于USB KEY和個人信息綁定，所以能夠?qū)崿F(xiàn)郵件用戶的實名制認證和管理，結(jié)合高安全的全日志跟蹤管理，實現(xiàn)了郵件系統(tǒng)的安全應(yīng)用。PKI（Public Key Infrastructure ）是一種遵循標(biāo)準的利用公鑰加密技術(shù)為互聯(lián)網(wǎng)安全的開展提供的一套安全基礎(chǔ)平臺的技術(shù)和規(guī)范。PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)采用證書管理公鑰，通過第三方的可信任機構(gòu)CA認證中心把用戶的公鑰和用戶的其他標(biāo)識信息捆綁在一起，在互聯(lián)網(wǎng)上驗證用戶的身份。其核心元素是數(shù)字證書，核心執(zhí)行者是CA認證機構(gòu)。對文件進行加密只解決了傳送信息的保密問題，而防止他人對傳輸?shù)奈募M行破壞，以及如何確定發(fā)信人的身份還需要采取其它的手段，這一手段就是數(shù)字簽名技術(shù)。完全符合BMB172006《涉及國家秘密的信息系統(tǒng)分級保護技術(shù)要求》對涉及國家機密的信息系統(tǒng)的分級保護要求，提供了軍工級的安全郵件解決方案。下面是安全電子郵件收發(fā)的一個完整過程圖示，下面分兩部分說明：216。當(dāng)郵件到達收件人系統(tǒng)后，收件人對電子簽名郵件，從CA中心的公鑰目錄中，根據(jù)發(fā)件人的郵件地址提取發(fā)件人的公鑰信息，從而對該電子簽名進行驗證。收發(fā)過程如下：首先，發(fā)件人從CA中心的公鑰目錄中，根據(jù)收件人的郵件地址提取收件人的公鑰信息，用收件人的公鑰對待發(fā)送郵件進行電子加密，由于該郵件是用收件人的公鑰進行加密的，而收件人的私鑰只有收件人自己掌握，就能夠保證該郵件只有收件人自己能夠閱讀，這樣就保證了收件人的唯一性。216。同時，收件人從CA中心的公鑰目錄中，根據(jù)發(fā)件人的郵件地址提取發(fā)件人的公鑰信息，用發(fā)件人的公鑰進行數(shù)字簽名的驗證，由于公私鑰的唯一對應(yīng)性，就保證了發(fā)件人的不可偽造性。遵循的具體原則如下：216。在密碼到期前主動通過郵件通知用戶修改密碼216。確?？蛻裟軌蚋櫹到y(tǒng)出現(xiàn)的所有操作，并能夠跟蹤到具體郵件帳號。郵件擺渡示意圖如下： 完善的系統(tǒng)安全備份恢復(fù)策略安寧郵件系統(tǒng)的備份恢復(fù)策略主要分為功能服務(wù)備份恢復(fù)、存儲子系（主要分為用戶管理信息和用戶郵件數(shù)據(jù)備份恢復(fù)兩部分內(nèi)容）。系統(tǒng)管理員可以根據(jù)系統(tǒng)負載情況靈活設(shè)定備份時間，或者設(shè)定為定時備份。第二步，郵件數(shù)據(jù)動態(tài)備份。遠程備份和恢復(fù)：進行系統(tǒng)用戶信息和郵件信息備份可以在服務(wù)器控制臺進行，也可以在遠程計算機通過SSH（安全Shell軟件）進行連接，連接到服務(wù)器上之后，就可以與操作服務(wù)器控制臺一樣進行上述