TurboEx郵件系統(tǒng)安全特性介紹系列（一）

企業(yè)郵箱作為企事業(yè)單位必不可少的對(duì)外和內(nèi)部主要信息傳輸工具，承載著大量重要信息，電子郵件內(nèi)容的泄露或篡改會(huì)給單位和個(gè)人帶來(lái)無(wú)法估量的損失，同時(shí)電子郵件也是企業(yè)寶貴的數(shù)字資產(chǎn)，在當(dāng)前國(guó)際關(guān)系復(fù)雜多變、互聯(lián)網(wǎng)攻擊概率日益加大的形勢(shì)下，對(duì)郵件服務(wù)器系統(tǒng)的安全控制能力和開(kāi)發(fā)商的研發(fā)技術(shù)實(shí)力要求更加突顯。

拓波軟件作為中國(guó)電子郵件行業(yè)領(lǐng)域的領(lǐng)先者，向企事業(yè)單位提供全面有效的安全防護(hù)方案，從系統(tǒng)層到用戶(hù)層的每一個(gè)環(huán)節(jié)都提供了業(yè)內(nèi)最全面的安全控制與威脅防護(hù)功能，主要分為以下九方面：

數(shù)據(jù)加密	防攻擊	防盜用
反垃圾病毒郵件網(wǎng)關(guān)	多維安全訪問(wèn)控制	多種數(shù)據(jù)審核機(jī)制
用戶(hù)安全操作管理	報(bào)警機(jī)制	安全功能快速二開(kāi)

客戶(hù)可以根據(jù)需求定制郵件系統(tǒng)安全管理策略與方案，本篇介紹TurboEx安全特性功能（一）：多種可選的數(shù)據(jù)加密機(jī)制。

1、支持多種加密算法

TurboEx郵件應(yīng)用系統(tǒng)遵循國(guó)家電子郵件相關(guān)郵件安全標(biāo)準(zhǔn)，提供多種郵件數(shù)據(jù)安全加密技術(shù)，符合公安部制定的三級(jí)等保要求，對(duì)電子郵件增強(qiáng)身份認(rèn)證，對(duì)傳輸和存儲(chǔ)進(jìn)行加密，實(shí)現(xiàn)對(duì)電子郵件系統(tǒng)進(jìn)行閉環(huán)安全保護(hù)，很好的支持多種國(guó)密算法與其他國(guó)際商用加密算法，可根據(jù)客戶(hù)的實(shí)際需求定制郵件系統(tǒng)個(gè)性化安全加密方案。

支持國(guó)密算法：SM2、SM3、SM4、SM9等國(guó)產(chǎn)密碼算法進(jìn)行用戶(hù)數(shù)據(jù)、郵件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)日志數(shù)據(jù)的加密。

支持國(guó)際商用加密算法：RSA、IDEA、DH、DSA、DES、MD5、SHA等密碼算法進(jìn)行用戶(hù)數(shù)據(jù)、郵件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)日志數(shù)據(jù)的加密。

2、全方位數(shù)據(jù)加密存儲(chǔ)

TurboEx突破傳統(tǒng)加密算法，對(duì)郵件正文、附件、收發(fā)文件、網(wǎng)盤(pán)文件、公告、日程、會(huì)議等實(shí)現(xiàn)了全面數(shù)據(jù)算法加密，有效防止反編譯等破譯手段，為數(shù)據(jù)存儲(chǔ)提供了高效保密，防止因?yàn)樵诖鎯?chǔ)介質(zhì)中的數(shù)據(jù)文件被竊取，而導(dǎo)致重要的企業(yè)商業(yè)秘密被泄密。（以下截圖為T(mén)urboEx郵件存儲(chǔ)格式）

3、數(shù)據(jù)加密鑰增強(qiáng)安全

TurboEx數(shù)據(jù)文件由原文加DES密鑰組成，DES密鑰匙可以通過(guò)單獨(dú)的密鑰服務(wù)器提供，也就是說(shuō)即使通過(guò)拷貝郵件數(shù)據(jù)，放在另外一套TurboEx 系統(tǒng)中也無(wú)法讀取原來(lái)的數(shù)據(jù)；又或者直接搬走整臺(tái)TurboEx郵件服務(wù)器，也無(wú)法打開(kāi)數(shù)據(jù)。

4、數(shù)據(jù)加密模塊靈活部署

TurboEx數(shù)據(jù)和加密模塊支持分布式部署，可將數(shù)據(jù)、密鑰服務(wù)、其他TurboEx服務(wù)各自獨(dú)立，分別單獨(dú)部署，也可統(tǒng)一部署。

5、加密數(shù)據(jù)壓縮存儲(chǔ)

TurboEx在對(duì)數(shù)據(jù)加密的同時(shí)也對(duì)數(shù)據(jù)進(jìn)行了高效率的壓縮，文件體積減少為原始大小的1/4左右，這也為用戶(hù)大幅減少約3/4存儲(chǔ)成本，同時(shí)大幅減少網(wǎng)絡(luò)傳輸所需帶寬和流量，既節(jié)省辦公成本也提高收發(fā)效率。

6、傳輸數(shù)據(jù)加密

TurboEx支持集成商業(yè)版SSL證書(shū)，通過(guò)商業(yè)版證書(shū)頒發(fā)機(jī)構(gòu)，對(duì)收發(fā)郵件數(shù)據(jù)過(guò)程進(jìn)行嚴(yán)密的認(rèn)證；對(duì)數(shù)據(jù)傳輸?shù)倪^(guò)程全程加密，并提供身份驗(yàn)證，可提高投遞成功率，此協(xié)議能夠很好地解決互聯(lián)網(wǎng)明文傳輸?shù)牟话踩珕?wèn)題。

SSL證書(shū)為遵守SSL安全套接層協(xié)議的服務(wù)器數(shù)字證書(shū)，可指定在應(yīng)用程序協(xié)議（如HTTP、SMTP、POP3、IMAP4等）提供數(shù)據(jù)加密、服務(wù)器認(rèn)證、消息完整性以及其他可選的客戶(hù)認(rèn)證。

7、數(shù)字簽名

TurboEx使用RSA簽名、DSS簽名和Hash簽名等方式算法保護(hù)數(shù)據(jù)的完整性，也支持集成第三方密碼機(jī)進(jìn)行數(shù)字簽名和驗(yàn)簽，確保數(shù)據(jù)的有效性檢驗(yàn)合法合規(guī)。

郵件發(fā)送過(guò)程中，由發(fā)送方對(duì)郵件體增加簽名和驗(yàn)簽方式，對(duì)方收到郵件后，根據(jù)簽名和公鑰驗(yàn)證數(shù)據(jù)的完整性和合法性。

發(fā)送方用簽名、私鑰和發(fā)送數(shù)據(jù)形成數(shù)據(jù)電文，并使用RSA簽名、DSS簽名和Hash簽名等方式算法形成數(shù)字摘要，用簽名私鑰對(duì)數(shù)字摘要加密形成數(shù)字簽名。

當(dāng)接收方收到郵件后進(jìn)行數(shù)字驗(yàn)簽，即用發(fā)送方公鑰解密數(shù)字簽名，得出數(shù)字摘要；接收方將原文采用同樣使用RSA簽名、DSS簽名和Hash簽名等算法又得一新的數(shù)字摘要，將兩個(gè)數(shù)字摘要進(jìn)行比較，如果二者匹配，說(shuō)明經(jīng)數(shù)字簽名的電子郵件傳輸完整合法。

8、郵件加密發(fā)送

當(dāng)用戶(hù)發(fā)送加密郵件后，收件人需要知道密碼才能打開(kāi)該郵件。如果收件人是用第三方郵箱，則可通過(guò)壓縮工具下載后，輸入密碼查看郵件。

9、對(duì)密碼做不可逆加密

對(duì)存儲(chǔ)在服務(wù)器配置文件中的數(shù)據(jù)庫(kù)中的密碼數(shù)據(jù)，支持采用多種不可逆的加密算法（MD5,SM3,RSA等）。

10、對(duì)重要郵件單獨(dú)加密

為了防止郵箱被盜用，進(jìn)一步加強(qiáng)對(duì)郵件內(nèi)容的安全管控，用戶(hù)了在Webmail和郵件客戶(hù)端針對(duì)某一封郵件直接設(shè)置查看密碼，即使認(rèn)證登錄郵箱，還需要輸入查看郵件密碼才打開(kāi)該郵件。

11、文件夾加密

為了防止密碼被盜用，進(jìn)一步加強(qiáng)郵件內(nèi)容的安全，TurboEx提供在Webmail和郵件客戶(hù)端中針對(duì)某個(gè)文件夾設(shè)置查看密碼，即使認(rèn)證登錄郵箱，還需要輸入查看文件夾密碼才打開(kāi)該文件夾。

12、集成第三方加密機(jī)

TurboEx可與第三方加密機(jī)集成應(yīng)用，利用加密機(jī)安全機(jī)制對(duì)用戶(hù)數(shù)據(jù)、郵件數(shù)據(jù)、系統(tǒng)配置數(shù)據(jù)、系統(tǒng)日志等數(shù)據(jù)進(jìn)行加密，滿(mǎn)足用戶(hù)多維度的安全要求。

• 支持多種加密算法：支持國(guó)密辦批準(zhǔn)認(rèn)可的加密算法SM2、SM3、SM4、SM9等。
• 身份認(rèn)證加密：登錄需要采用UKEY+口令，雙因子認(rèn)證方式。
• 用戶(hù)口令：采用國(guó)密算法，并進(jìn)行簽名驗(yàn)簽。
• 數(shù)據(jù)完整性：采用密碼機(jī)進(jìn)行簽名驗(yàn)簽，用戶(hù)讀取數(shù)據(jù)時(shí)，如驗(yàn)簽不通過(guò)，需要進(jìn)行提示。
• 機(jī)密性數(shù)據(jù)：采用加密機(jī)進(jìn)行國(guó)密算法加密，并進(jìn)行完整性驗(yàn)簽。
• 用戶(hù)訪問(wèn)控制：對(duì)用戶(hù)訪問(wèn)控制進(jìn)行完整性校驗(yàn)，每個(gè)用戶(hù)的權(quán)限進(jìn)行數(shù)據(jù)簽名，獲取權(quán)限時(shí)進(jìn)行驗(yàn)簽。
• 文件存儲(chǔ)：對(duì)上傳的附件進(jìn)行簽名，并將簽名值保存在附件表，讀取文件時(shí)進(jìn)行驗(yàn)簽。
• 日志審計(jì)：對(duì)日志做數(shù)據(jù)完整性保護(hù)，采用密碼機(jī)進(jìn)行簽名驗(yàn)簽。
• 支持多種硬件平臺(tái)：采用公開(kāi)密鑰和對(duì)稱(chēng)密鑰相結(jié)合的密鑰體系。（加密機(jī)品牌有：天融信、漁翁、奧聯(lián)、東進(jìn)等）