电子邮件系统应用安全性 为了保证整个邮件系统安全地运行，仅仅从邮件系统方面考虑是不够的，还必须从实际应用的角度加以考虑。从邮件系统应用的方面也提供了很高的安全性。

一、 SSL/TLS/WTLS 网络安全在本方案中，对于诸如邮件账号登记信息、邮件账号的个人资料，订单、支付信息等均采用SSL3.0 进行加密传输，实现交易过程中的数据保密。

SSL 3.0 是实现互联网安全交易的主要标准。昆仑邮件系统应使用基于 SSL 3.0 的数字证书作 为交易的安全基础，进行有关的身份认证、访问控制、数据加密、数据完整性控制。 SSL3.0 能够提供以下各方面的安全性： n 基于DES的信息加密 n 对服务器的认证 n 信息完整性 n 作为可选内容的服务器对客户身份的认证 对于无线应用及设备，采用WTLS1.1/1.0对数据进行加密传输。

二、 CA体系的应用电子证书与电子签名目前已得到比较广泛的认可和应用，昆仑邮件系统可采用国内的PKI CA 系统，保证交易的安全。

三、 在证书的基础上，可以在关键邮件应用中对敏感信息进行电子签名，如公文内容、重要通知 及其它保密信息。通常，对数据进行邮件加密和邮件解密分别使用两个不同的密钥，并且这两个密钥 是一一对应的。这意味着能够通过解密密钥解开的文件，必须是使用相对应的加密密钥加密而成的。任何人在获得解密密钥的情况下，虽然可以查看到邮件数据的内容，但由于他没有加密邮件密钥，就不可能对邮件数据进行篡改后再加密伪装成未修改过的样子，数据的真实性也就有了保证。上海辰童科技有限公司昆仑邮件系统安全设计邮件服务器加密结构。

四、 邮件账户身份认证 本系统的用户只有经过登录认可后，才可具备在使用邮件系统各项功能的权限。系统采用统 一安全平台的用户帐户数据库进行身份认证和权限管理，用户只能操作已被授权的功能。各个系统的用户帐户存放在统一的邮件安全数据库中，一方面使用户实现“单点登录”，大大方便 了用户对自己帐户的管理维护；另一方面通过集中的用户管理，使邮件系统管理员更加系统、结构化地了解用户的状况、为用户分配权限，避免混乱和失误。 用户身份的认证采用多种方式。包括：

u  用户密码：对用户输入的密码进行验证。密码在邮件系统中采用加密存储，包括邮件系统管理员在内的任何人不可能获知用户的密码。

u  用户客户端SSL证书：在每个用户的客户端计算机上安装唯一的SSL证书，当用户访问邮件服务器时，邮件服务器将要求对客户端证书进行验证。只有该证书在服务器端备案且授权，该用户方可进入系统。

u   指纹识别系统：通过指纹识别装置获取用户的指纹信息，与存储在数据库中的用户 指纹特片进行对照，从而对用户身份的真实性进行验证。

u  USB密钥：每个用户拥有唯一的USB接口密钥装置，在该装置中以硬件数字电路 的方式存储不同用户的不同的数码密钥。用户必须将该 USB 密钥接入计算机的 USB接口，邮件系统识别无误后，用户才可以进入系统。 在本系统中，用户的身份认证是通过“统一安全平台”来实现的。

u  昆仑邮件系统采用双重权限体系，对用户的权限进行严密的控制。 一方面，对用户可能进行的操作和功能进行层次化管理，建立不同的角色群组，每个角色能够执行一系列功能权限。通过为用户指派角色，使用户具有不同操作权限。 另一方面，对用户可能访问的数据进行多重权限控制，建立安全对象（用户、用户组、 机构部门）与数据对象（文件、流程、附件、邮件、消息等）之间的安全对应关系，并建立 权限的组合和继承机制，使权限设置既灵活、又严密。 在本系统中，权限体系架构是通过“统一安全平台”来实现的

u  病毒防范 我们建议采用先进的病毒防范软件，既使面对最新的病毒变种也能提供最坚固的保护。 它应具有搜索电子邮件、Internet 文件和网络信息流中的恶意代码的功能，也能防止特洛伊 木马病毒和蠕虫。它还包括自动升级病毒库的功能，用来对付已有的病毒和正在日益增多的 而且日益狡猾的新病毒。