TurboEx邮件系统安全特性介绍系列(一)
企业邮箱作为企事业单位必不可少的对外和内部主要信息传输工具,承载着大量重要信息,电子邮件内容的泄露或篡改会给单位和个人带来无法估量的损失,同时电子邮件也是企业宝贵的数字资产,在当前国际关系复杂多变、互联网攻击概率日益加大的形势下,对邮件服务器系统的安全控制能力和开发商的研发技术实力要求更加突显。
拓波软件作为中国电子邮件行业领域的领先者,向企事业单位提供全面有效的安全防护方案,从系统层到用户层的每一个环节都提供了业内最全面的安全控制与威胁防护功能,主要分为以下九方面:
| 数据加密 | 防攻击 | 防盗用 |
| 反垃圾病毒邮件网关 | 多维安全访问控制 | 多种数据审核机制 |
| 用户安全操作管理 | 报警机制 | 安全功能快速二开 |
客户可以根据需求定制邮件系统安全管理策略与方案,本篇介绍TurboEx安全特性功能(一):多种可选的数据加密机制。
1、支持多种加密算法
TurboEx邮件应用系统遵循国家电子邮件相关邮件安全标准,提供多种邮件数据安全加密技术,符合公安部制定的三级等保要求,对电子邮件增强身份认证,对传输和存储进行加密,实现对电子邮件系统进行闭环安全保护,很好的支持多种国密算法与其他国际商用加密算法,可根据客户的实际需求定制邮件系统个性化安全加密方案。
支持国密算法:SM2、SM3、SM4、SM9等国产密码算法进行用户数据、邮件数据、系统配置数据、系统日志数据的加密。
支持国际商用加密算法:RSA、IDEA、DH、DSA、DES、MD5、SHA等密码算法进行用户数据、邮件数据、系统配置数据、系统日志数据的加密。
2、全方位数据加密存储
TurboEx突破传统加密算法,对邮件正文、附件、收发文件、网盘文件、公告、日程、会议等实现了全面数据算法加密,有效防止反编译等破译手段,为数据存储提供了高效保密,防止因为在存储介质中的数据文件被窃取,而导致重要的企业商业秘密被泄密。(以下截图为TurboEx邮件存储格式)
3、数据加密钥增强安全
TurboEx数据文件由原文加DES密钥组成,DES密钥匙可以通过单独的密钥服务器提供,也就是说即使通过拷贝邮件数据,放在另外一套TurboEx 系统中也无法读取原来的数据;又或者直接搬走整台TurboEx邮件服务器,也无法打开数据。
4、数据加密模块灵活部署
TurboEx数据和加密模块支持分布式部署,可将数据、密钥服务、其他TurboEx服务各自独立,分别单独部署,也可统一部署。
5、加密数据压缩存储
TurboEx在对数据加密的同时也对数据进行了高效率的压缩,文件体积减少为原始大小的1/4左右,这也为用户大幅减少约3/4存储成本,同时大幅减少网络传输所需带宽和流量,既节省办公成本也提高收发效率。
6、传输数据加密
TurboEx支持集成商业版SSL证书,通过商业版证书颁发机构,对收发邮件数据过程进行严密的认证;对数据传输的过程全程加密,并提供身份验证,可提高投递成功率,此协议能够很好地解决互联网明文传输的不安全问题。
SSL证书为遵守SSL安全套接层协议的服务器数字证书,可指定在应用程序协议(如HTTP、SMTP、POP3、IMAP4等)提供数据加密、服务器认证、消息完整性以及其他可选的客户认证。
7、数字签名
TurboEx使用RSA签名、DSS签名和Hash签名等方式算法保护数据的完整性,也支持集成第三方密码机进行数字签名和验签,确保数据的有效性检验合法合规。
邮件发送过程中,由发送方对邮件体增加签名和验签方式,对方收到邮件后,根据签名和公钥验证数据的完整性和合法性。
发送方用签名、私钥和发送数据形成数据电文,并使用RSA签名、DSS签名和Hash签名等方式算法形成数字摘要,用签名私钥对数字摘要加密形成数字签名。
当接收方收到邮件后进行数字验签,即用发送方公钥解密数字签名,得出数字摘要;接收方将原文采用同样使用RSA签名、DSS签名和Hash签名等算法又得一新的数字摘要,将两个数字摘要进行比较,如果二者匹配,说明经数字签名的电子邮件传输完整合法。
8、邮件加密发送
当用户发送加密邮件后,收件人需要知道密码才能打开该邮件。如果收件人是用第三方邮箱,则可通过压缩工具下载后,输入密码查看邮件。
9、对密码做不可逆加密
对存储在服务器配置文件中的数据库中的密码数据,支持采用多种不可逆的加密算法(MD5,SM3,RSA等)。
10、对重要邮件单独加密
为了防止邮箱被盗用,进一步加强对邮件内容的安全管控,用户了在Webmail和邮件客户端针对某一封邮件直接设置查看密码,即使认证登录邮箱,还需要输入查看邮件密码才打开该邮件。
11、文件夹加密
为了防止密码被盗用,进一步加强邮件内容的安全,TurboEx提供在Webmail和邮件客户端中针对某个文件夹设置查看密码,即使认证登录邮箱,还需要输入查看文件夹密码才打开该文件夹。
12、集成第三方加密机
TurboEx可与第三方加密机集成应用,利用加密机安全机制对用户数据、邮件数据、系统配置数据、系统日志等数据进行加密,满足用户多维度的安全要求。
- 支持多种加密算法:支持国密办批准认可的加密算法SM2、SM3、SM4、SM9等。
- 身份认证加密:登录需要采用UKEY+口令,双因子认证方式。
- 用户口令:采用国密算法,并进行签名验签。
- 数据完整性:采用密码机进行签名验签,用户读取数据时,如验签不通过,需要进行提示。
- 机密性数据:采用加密机进行国密算法加密,并进行完整性验签。
- 用户访问控制:对用户访问控制进行完整性校验,每个用户的权限进行数据签名,获取权限时进行验签。
- 文件存储:对上传的附件进行签名,并将签名值保存在附件表,读取文件时进行验签。
- 日志审计:对日志做数据完整性保护,采用密码机进行签名验签。
- 支持多种硬件平台:采用公开密钥和对称密钥相结合的密钥体系。(加密机品牌有:天融信、渔翁、奥联、东进等)
