内部信息管理解决方案.docx

企业互联网通信专家二六三企业内部信息管理解决方案北京二六三企业通信有限公司2015-3-9目录一、企业内部控制基本规范2二、二六三云归档3三、安全策略53.1邮件分类过滤53.2域内邮件删除63.3角色权限73.4日志统计8四、安全稳定114.1系统114.1.1 硬件设备114.1.2软件系统124.2.2 数据144.2.1 存储144.2.2 传输144.2.3 灾备154.2.4 使用安全154.2.3 网络174.2.4 人员制度18五、反垃圾、防病毒195.1国家863反垃圾计划195.2国际RBL组织平等对话195.3 IP自解冻205.4反垃圾技术20一、企业内部控制基本规范为了加强和规范企业内部控制，提高企业经营管理水平和风险防范能力，促进企业可持续发展，维护社会主义市场经济秩序和社会公众利益，根据国家有关法律法规，财政部会同证监会、审计署、银监会、保监会制定了企业内部控制基本规范。企业内部控制基本规范中第五章规定：第五章 信息与沟通第三十八条 企业应当建立信息与沟通制度，明确内部控制相关信息的收集、处理和传递程序，确保信息及时沟通，促进内部控制有效运行。第三十九条 企业应当对收集的各种内部信息和外部信息进行合理筛选、核对、整合，提高信息的有用性。企业可以通过财务会计资料、经营管理资料、调研报告、专项信息、内部刊物、办公网络等渠道，获取内部信息。企业可以通过行业协会组织、社会中介机构、业务往来单位、市场调查、来信来访、网络媒体以及有关监管部门等渠道，获取外部信息。第四十条 企业应当将内部控制相关信息在企业内部各管理级次、责任单位、业务环节之间，以及企业与外部投资者、债权人、客户、供应商、中介机构和监管部门等有关方面之间进行沟通和反馈。信息沟通过程中发现的问题，应当及时报告并加以解决。重要信息应当及时传递给董事会、监事会和经理层。第四十一条 企业应当利用信息技术促进信息的集成与共享，充分发挥信息技术在信息与沟通中的作用。企业应当加强对信息系统开发与维护、访问与变更、数据输入与输出、文件储存与保管、网络安全等方面的控制，保证信息系统安全稳定运行。第四十二条 企业应当建立反舞弊机制，坚持惩防并举、重在预防的原则，明确反舞弊工作的重点领域、关键环节和有关机构在反舞弊工作中的职责权限，规范舞弊案件的举报、调查、处理、报告和补救程序。企业至少应当将下列情形作为反舞弊工作的重点：（一）未经授权或者采取其他不法方式侵占、挪用企业资产，牟取不当利益。（二）在财务会计报告和信息披露等方面存在的虚假记载、误导性陈述或者重大遗漏等。（三）董事、监事、经理及其他高级管理人员滥用职权。（四）相关机构或人员串通舞弊。第四十三条 企业应当建立举报投诉制度和举报人保护制度，设置举报专线，明确举报投诉处理程序、办理时限和办结要求，确保举报、投诉成为企业有效掌握信息的重要途径。举报投诉制度和举报人保护制度应当及时传达至全体员工。二、二六三云归档云通信归档是指对企业邮件，即时消息数据，进行在线归档、分类管理、长期保留并允许实时搜索和访问。主要是针对海量数据的应用，是对数据进行有效的迁移和管理。将企业邮件和即时消息数据，通过云通信归档系统把他们备份到低成本的存储硬件上，使之存于日常的备份窗口外，当需要时，可以即时获取所需数据并快速搜索。云通信归档能够根据企业用户需求，对全域用户收发邮件和即时消息进行在线归档、长期保留并允许实时搜索与访问，保持了邮件，即时消息信息的原始状态，方便企业用户日后法规审计，实现了历史邮件，即时消息数据可追溯。 归档邮件功能是基于财政部、证监会、银监会、保监会及审计署等五部委会联合发布的“中国版萨班尼斯-奥克斯利法案”企业内部控制基本规范 推出的产品选择性归档根据公司情况，按用户归档。可选持续归档，或按期限滚动归档。想归多久归多久。可选归档数据类型，邮件、即时消息都能归档。全文检索邮件检索，根据丰富的搜索条件检索邮件更高效。邮件检索结果，支持导出，邮件保全，邮件公证。邮件保全给重要的归档邮件开启保全，开启保全的邮件不会因归档策略变化或其它原因被删除，让重要的邮件永久保存。诉讼公证云归档是二六三与上海东方公证处深度合作的产品，开创性的将公证处控制的指纹加密服务融合于归档数据中，每封归档邮件都经过公证处指纹加密，在第一时间留存证据。加密指纹也留存公证处服务器中，将来可以通过公证书证明归档邮件的真实性。三、安全策略3.1邮件分类过滤可按照多维度、关键字进行设置规则，转发、过滤、备份相应邮件。通过设定组合条件，使符合条件的邮件直接删除，或抄送副本到一个或多个邮箱，可以有效根据条件过滤邮件，也可以实现对某类、某人、某部门的邮件跟踪监控到相关主管邮箱。3.2域内邮件删除域内邮件删除功能是通过这个功能可以删除全部用户或指定用户邮箱一段时间内的邮件，也可以通过指定发件人、邮件主题等删除特定条件的邮件，包括已读和未读邮件。3.3角色权限可以方便的为不同类型和职能的用户分配相应的邮箱使用权限，包括：登录方式限制、邮件收发限制、首次登录更改密码及邮件参数限制等。3.4日志统计可导出的管理员操作和用户登陆日志。批量任务日志查询任务执行情况。方便企业追溯内控及用户邮箱应用合规性及活跃度分析。管理员操作日志用户登录日志批量任务日志用户收发删邮件的日志，以及域内邮件使用情况和流量统计。邮件收发删日志邮箱使用日志邮件流量统计四、二六三安全稳定四、安全稳定信息时代的企业时刻面临安全考验，众多案例显示，由于公司商业邮件被恶意监听、员工离职带走重要业务文件、员工邮箱帐号被盗发送诈骗邮件等等事件，会给企业造成巨大经济损失，甚至断送企业发展的未来。二六三企业邮箱一直致力于不断提高电子邮件的安全保障能力，希望成为企业客户最可信赖的企业邮箱服务。4.1系统4.1.1 硬件设备机房环境：二六三企业邮箱服务器集群分别架设在华北、华东、华南，二六三企业邮箱云数据中心属于电信级别超大型数据中心，为企业邮箱自建IDC四星级机房，各种专业设备保证了高品质服务的提供。各数据中心分别有美国艾克赛300KVA双机热备UPS保证供电，大容量的UPS可以提供4个小时的在线电力保障。同时配备多台柴油发电机组，保证在三路市电同时意外断开后 30 秒内自动切换并正常供电。对动力设备实时监控，7*24 小时值班制度，保证设备维护及后勤保障迅速快捷。数据中心均配备专业意大利HIROSS机房空调，机房温度：22+-3，相对湿度：55%10%。4.1.2软件系统A基于Linux开源操作系统进行开发。B服务器集群。当系统服务器集群中的一台服务器发生问题导致无法继续提供服务的时候，其他服务器能保持独立的正常工作，并能检测到故障服务器出现问题，接管故障服务器的工作，直到故障排除再将工作返回给故障服务器。C.多级投递机制。多级投递、队列自动迁移，保障国内、国外邮件的顺利、快速收发。D.负载均衡。集群中的服务器尽可能平均地分摊处理业务负载。E.分部署架构。前端应用模块连接因特网，处理用户Webmail、Smtp、Pop、MX、MA等服务请求，不保存用户信息和用户邮件；后端存储模块在局域网环境，保存用户信息和邮件，安全性高。F.IPS机制（防暴力破解）。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析，然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。二六三采用该种机制，全方位保障企业信息的安全。4.2.2 数据4.2.1 存储内外网隔离机制。二六三服务器采用前端应用模块跟后端存储模块分离开，后端存储模块采用局域网络，不直接跟互联网进行互联，从源头上保障客户信息的存储安全。固态硬盘阵列存储。为了提高客户邮件信息的存储速度，二六三IDC机房采用固态硬盘阵列式存储，保障客户的使用速度感受。4.2.2 传输二六三企业邮箱独有的加密邮件技术，可以使邮件加密后传输，避免在传输过程中被监听或截取。支持SSLTLS传输加密POP/SMTP服务器收发邮件，SSLTLS协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持，保证邮件传输过程中的信息不泄漏，包括用户的用户名、密码、信件等信息都会非常安全。SSLTLS服务器证书由全球最大的安全证书机构verisign颁发。4.2.3 灾备北上广三地异地5级灾备、硬件的镜像和软件的数据复制技术、实现应用站点与备份站点的数据多备份更新。海外服务器核心数据实时备份，全方位保障客户海外邮件的完整性以及安全性。4.2.4 使用安全通过SSL加密通道访问Webmail，以及域管理MA，避免密码被监听。提供防止猜测密码破解机制，用户WEB登录邮箱，当输入密码错误达到3次，自动要求提交验证码才允许重试，避免恶意暴力破解邮箱密码。可以通过webmail设置：异地登陆提醒、修改密码提醒、自动转发提醒、安全登录验证，让使用者的邮箱账号做到全面的安全防护。MD5不可逆存储密码，提供消息的完整性保护。企业信息安全管控。邮箱用户监测邮件分类过滤(邮件跟踪&监控)可防止商业机密信息泄密。通过业务邮件跟踪管理，企业负责人能够直接看到所管辖员工的业务往来邮件，可以对域内特定的邮箱进行收发信的跟踪复制，从被跟踪邮箱发出的邮件或发往被跟踪邮箱的邮件都能被复制到指定邮箱中。 4.2.3 网络NOC监控。提供7x24小时远程监控服务。NOC服务管理中心通过实时远程监控管理系统，可全天候7x24小时实时监视合同范围内的设备运行状态。一旦检测到隐患时，立即生成通知事件转发给NOC服务管理中心，以便协助客户进行审查、并及时排除隐患。使整个运维监控能达到对系统实时隐患的预先发现，提前解决！AS自治域（9802、9803）、自主调节路由。国内海外链路均支持达到60%负载自动扩容。电信、联通、移动、教育网等多线接入。采用BGP-4网络链路， 提供了一套新的机制支持无类域间路由。这些机制包括支持网络前缀的广播。BGP-4也引入机制支持路由聚合，包括 AS 路径的聚合。采用高端netscreen防火墙，保障内部网络安全的一道重要屏障。我们采用高端防火墙，保障机房的绝对安全和稳定。TLS全程加密，安全传输层协议（TLS）用于在两个通信应用程序之间提供保密性和数据完整性。二六三企业邮件系统传输，全程采用TLS加密，保障用户邮件系统传输的安全性。采用MRTG流量监控。可以帮助用户发现并阻止某些程序在用户不知情的情况下，偷偷访问网络占用带宽。此外，网络流量监控还能自动阻止试图访问网络的木马病毒等恶意程序。采用HP open view网管平台。以满足特定的网络，系统，应用及数据库管理之需求。采用网络爬虫阻断，杜绝网络爬虫，爬出用户信息。采用技术手段，防止DDOS攻击、钓鱼、洪水攻击、流量黑洞。4.2.4 人员制度二六三公司的内部员工，执行开发人员与运维人员相分离这一制度，赋予开发人员跟运维人员不一样的权限，开发人员接触到的仅仅是前端，而后端的存储，是由运维人员来负责的。所有入职的员工，必须跟公司签订保密协议。五、反垃圾、防病毒二六三在反垃圾、防病毒领域代表国内反垃圾最高标准。承诺：垃圾邮件阻挡率不低于99%，误判率不高于0.01%。病毒邮件查杀率不低于99.99%。5.1国家863反垃圾计划作为国家863计划课题的独家邮件运营商承担者，二六三自主研发反垃圾技术通过国家863项目专家组A级验收，并获得两项国家专利。 5.2国际RBL组织平等对话二六三作为国际RBL组织白名单成员，有效避免IP地址被国际反垃圾组织加黑。二六三与国外各大反垃圾组织均有很好的合作及联系，在国际上的信誉度是国内任何一家邮件运营商所不能比拟的二六三 反垃圾网关连接国际知名RBL服务机构进行实时黑名单的查询并根据国内及自运营的经验进行调整，使系统能在更高效率阻挡垃圾邮件的同时保证极低的误拒率。5.3 IP自解冻二六三拥有IP自解冻绿色通道，一旦IP或者域名被标记到了反垃圾组织的黑名单中，可以操作自解冻。5.4反垃圾技术蜜罐技术反垃圾邮件网关设置了大量“蜜罐”，或者说诱骗邮件地址，可以用于收集大量的垃圾邮件。探针技术探针技术通过在正常邮件地址群中插入虚拟的邮箱地址，来搜集垃圾邮件；探针邮箱会将收到的垃圾邮件样本放到应用国际领先技术的垃圾邮件分析统计系统中进行自学，进而自动进行系统端过滤器的升级。指纹技术 将收集来的大量的垃圾邮件通过特定的算法，将这些邮件的共同特征邮件指纹提取出来，建立邮件指纹库。反垃圾邮件网关收到邮件后，将邮件的指纹信息发送到远程的邮件指纹数据库中进行核对，从而迅速的确认