基于分级保护的邮件传输系统技术白皮书.docVIP

基于分级保护的邮件传输系统 技术白皮书 航天二院七零六所 2008年10月 目录 TOC \o 1-3 \h \z 1．单位简介 1 1.1单位介绍 1 1.2科研生产能力 1 1.3 售后服务能力 1 1.4 质量管理体系和安全保障能力 1 2．系统简介 2 2.1技术架构 2 2.2系统构建原则 2 2.3 系统特点 3 3．系统功能 4 3.1用户安全级别设定 4 3.2文件标密 4 3.3邮件标密 5 3.4邮件审计 5 3.5操作日志 5 3.6系统管理员 5 4．系统配置 6 1．单位简介 1.1单位介绍 中国航天科工集团第二研究院706所始建于一九五七年，是我国最早成立的计算机研制大型骨干研究所，是我国第一台数字计算机主要研制单位之一。它是以计算机硬件、软件研制及其应用产品开发为主，具有批生产能力的高科技中型国有企业，经营范围包括开展航天型号计算机技术及应用研究；专用高性能计算机与移动计算机研究；嵌入式计算机及加工外设研制；防信息泄露计算机技术研究与开发；计算机应用技术研究与开发；电子及机械计算机辅助设计等。 1.2科研生产能力 706所拥有一支集研究、设计、开发、生产于一体的专业技术队伍。现有在职职工670人，其中研究员40人、高级工程师149人、工程师198人；博士研究生11人，硕士研究生165人；博士学位授权点1个，硕士学位授权点5个。 1.3 售后服务能力 706所为用户提供周到、全面、细致的技术支持与售后服务，技术支持服务体系作用于项目全过程，包括项目实施过程中和完成后的技术支持与维护。售后服务工作在系统正式运行之后开始。 1.4 质量管理体系和安全保障能力 706所按照“GJB9001A-2001质量管理体系”要求建立了完善的质量管理体系，是国家重点新产品研制开发单位，是国家级火炬计划项目承担单位。706所具有 2．系统简介 基于分级保护的邮件传输系统由706所自主研发，具有完全知识产权。系统的邮件传输功能综合了各邮件系统的优点，具有通用性，使用简单的特点。除此之外系统具有邮件审计、文件标密、大文件传输等特点。 2.1技术架构 系统架构组成如下图所示： 图 系统架构 本系统架构支持多级管理模式，以上图中三级管理模式的系统架构为例，服务器之间的关联关系基本同现有的网络拓扑结构一致，下级服务器与上级服务器相互连通，而同级服务器之间可以互通也可以不互通。 同级服务器互通情况下，邮件 同级服务器不通情况下，邮件 2.2系统构建原则 系统按照集中管理与分布部署的原则构建。 2.2.1集中管理 集中管理是指所有的电子邮件服务器由集团统一管理，具体体现在： 1、统一通讯录 系统有统一的通讯录，每个邮件服务器互相进行同步，每台服务器的通讯录变化都能及时更新到其他服务器。 通讯录以分级方式进行展示，管理员可以定义用户通讯录的展示范围，如：针对人、角色等。 用户可以根据自己的常用通讯录定义常用接收邮件人地址信息，并可以通过查找、过滤的功能定位收件人的邮件地址。 2、统一系统策略 系统策略指系统整体配置方案，比如哪些服务器之间可以直接转发邮件，哪些必须由集团服务器中转，以实现涉密信息的有效监控。这些系统策略由集团统一维护，体现集中管理。 2.2.2分布部署 分布部署是指各个邮件服务器物理上的分布放置，由相应的单位负责维护，包括人员账户的创建、邮箱的设定、数据库的维护、服务器备份与恢复等。 2.3 系统特点 基于分级保护的邮件传输系统，除具有常规的邮件传输系统的功能外还具有以下特点： 支持大容量文件传输，文件大小在2GB以内； 系统用户注册时均需注册用户的密级属性； 用户发送邮件时需对邮件及邮件附件进行标密操作，指定的邮件接收人员的密级需与该邮件的密级相匹配，禁止邮件高密低传； 在100M局域网环境下，用户上传和下载50M大小的邮件附件时间不超过10秒； 系统具有详细的日志记录功能，记录邮件发送人员、IP地址、发送时间、详细内容及邮件接收人员名单、邮件接收时间等信息，记录的日志管理员可以通过自定义查询、统计条件进行查询； 三员分立功能：系统默认为系统管理员、安全保密员和安全审计员三个管理员，系统管理员负责注册用户，安全保密员负责用户生效和密级属性确认工作，安全审计员负责日志审计工作； 统一通讯录：不同服务器上用户信息，系统自动同步，不需要人工维护。 3．系统功能 3.1用户安全级别设定 基于分级保护的邮件传输系统须按工作人员的涉密级别对用户的电子邮件传输权限进行设置。 用户的涉密级别分为核心、重要、一般和非密四级，电子邮件涉密级别分为机密、秘密、非密三类。邮件发送权限向下兼容，不支持向上兼容。即核心涉密人员可以发