继上篇文章(解读《互联网政务应用安全管理规定》网络和数据安全中的身份认证和审计合规)之后,本篇文章继续解读第五章“电子邮件安全”,为党政机关事业单位提供电子邮件系统整改思路。
“电子邮件安全”内容从第三十一条到第三十五条。其中第三十一条要求机关事业单位注意自建的互联网电子邮件系统的域名后缀合规;第三十三条、三十四条要求电子邮件系统厂商需要具备相关功能。本文重点关注的是第三十二条、三十五条关于邮箱账号的生命周期管理和电子邮件数据的安全传输、读取、存储等整改问题。
邮箱账号生命周期管理
第三十二条要求机关事业单位建立工作邮箱账号的生命周期管理流程,及时新建或者关停邮箱账号。重点在于审批登记和账号管理流程。
有部分机关事业单位是依赖 IT 管理人员根据 HR 邮件或通知,在邮件系统里手动创建、变更、删除账号。也有单位的做法是在 HR 系统或者 OA 系统内审批,审批完成后再由 IT 管理人员在邮箱中手动创建/关闭账号。这两种方案的局限性在于:
1、审批流程较慢,存在员工入职当天及第二天可能都没有账号办公的情况。
2、手动维护账号体系难免有延迟或疏漏,导致已离职人员的账号依然有访问权限。
3、若存在其他办公应用、系统需要手动维护账号,给IT和工作人员带来繁琐。
理想方案是将邮箱与 HR 系统或 OA 系统对接,在 HR 系统或 OA 系统内审批,审批完成后账号自动同步到邮箱。要实现这一账号流转就需要借助统一身份认证平台或 IAM 系统来完成。由统一身份认证平台/ IAM 系统充当 HR 系统或 OA 系统与邮箱之间的“桥梁”,实时将账号从 HR/OA 系统内自动同步到邮箱及其他下游应用系统里,流程如下图所示。
这一流程的优势在于:
1、只需人事或者 IT 管理员维护一次账号的创建变更,所有操作都将自动同步下去。通过流程优化,减少不必要的工作量。
2、用自动化流程取代手动维护流程,避免了账号关停不及时带来的安全风险。
3、即使该新员工账号在审批期内也不影响邮箱账号创建,不影响员工入职工作。
电子邮件数据存储安全
第三十五条要求机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。除了对存储层面进行安全防护,机关事业单位还应当重视电子邮件的安全传输和安全访问问题。以 Exchange 邮箱为例,它通过微软 AD 域控下发的证书进行加密,用户设备上必须有对应算法的证书予以解密才能正常查看邮件,这一机制有效地保障了电子邮件传输和存储的安全。
但党政机关事业单位均会面临国产化改造的要求。当单位换成国产电脑或国产邮箱,甚至不再继续使用微软 AD 时,如果单位想继续沿用这一方式,怎么实现?这就需要替代 AD 的国产域控方案或统一身份认证平台具备或能集成身份安全能力,如证书加解密等。能够按照微软 AD 和 Exchange 邮箱那一套方式保证邮件的传输和存储安全。
除了传输和存储安全,邮件的安全访问也应给予重视。这一点可通过给邮箱系统配置双因素认证来增强账号的安全性,其最终效果是单位工作人员在登录电子邮件系统时,除了输入用户名和密码,还需输入一串6位数字的动态密码来进行二次验证,以防止非授信账号访问邮箱。目前市面上双因素认证方案非常成熟,机关事业单位只需按照自身情况选择即可。若需商用密码技术,则还需确认双因素认证厂商的商密资质。
以上是关于“电子邮件安全”的全部解读,邮件安全场景仅仅是身份治理在办公场景中的一个缩影。无论是企业组织,还是机关事业单位,电子邮件安全都需要引起重视。机关事业单位除了需要应对钓鱼邮件、账号被盗等问题,还需要考虑到国产化改造场景中的国产邮箱身份认证、其他场景(应用、网络、终端)的统一身份认证等问题。清晰而明确的规划才能为政务应用的改造、管理指明方向。