《互联网政务应用安全管理规定》电子邮件安全如何整改?

继上篇文章(解读《互联网政务应用安全管理规定》网络和数据安全中的身份认证和审计合规)之后,本篇文章继续解读第五章“电子邮件安全”,为党政机关事业单位提供电子邮件系统整改思路。

“电子邮件安全”内容从第三十一条到第三十五条。其中第三十一条要求机关事业单位注意自建的互联网电子邮件系统的域名后缀合规;第三十三条、三十四条要求电子邮件系统厂商需要具备相关功能。本文重点关注的是第三十二条、三十五条关于邮箱账号的生命周期管理和电子邮件数据的安全传输、读取、存储等整改问题。

955f89a1fa6aa441ef700b3d33a1f9b1.jpeg


邮箱账号生命周期管理

第三十二条要求机关事业单位建立工作邮箱账号的生命周期管理流程,及时新建或者关停邮箱账号。重点在于审批登记和账号管理流程

有部分机关事业单位是依赖 IT 管理人员根据 HR 邮件或通知,在邮件系统里手动创建、变更、删除账号。也有单位的做法是在 HR 系统或者 OA 系统内审批,审批完成后再由 IT 管理人员在邮箱中手动创建/关闭账号。这两种方案的局限性在于:

1、审批流程较慢,存在员工入职当天及第二天可能都没有账号办公的情况。

2、手动维护账号体系难免有延迟或疏漏,导致已离职人员的账号依然有访问权限。

3、若存在其他办公应用、系统需要手动维护账号,给IT和工作人员带来繁琐。

理想方案是将邮箱与 HR 系统或 OA 系统对接,在 HR 系统或 OA 系统内审批,审批完成后账号自动同步到邮箱。要实现这一账号流转就需要借助统一身份认证平台或 IAM 系统来完成。由统一身份认证平台/ IAM 系统充当 HR 系统或 OA 系统与邮箱之间的“桥梁”,实时将账号从 HR/OA 系统内自动同步到邮箱及其他下游应用系统里,流程如下图所示。

b1084572ba6ca6c93528d508384e72d8.jpeg 

这一流程的优势在于:

1、只需人事或者 IT 管理员维护一次账号的创建变更,所有操作都将自动同步下去。通过流程优化,减少不必要的工作量。

2、用自动化流程取代手动维护流程,避免了账号关停不及时带来的安全风险。

3、即使该新员工账号在审批期内也不影响邮箱账号创建,不影响员工入职工作。


电子邮件数据存储安全

第三十五条要求机关事业单位基于商用密码技术对电子邮件数据的存储进行安全保护。除了对存储层面进行安全防护,机关事业单位还应当重视电子邮件的安全传输和安全访问问题。以 Exchange 邮箱为例,它通过微软 AD 域控下发的证书进行加密,用户设备上必须有对应算法的证书予以解密才能正常查看邮件,这一机制有效地保障了电子邮件传输和存储的安全。

但党政机关事业单位均会面临国产化改造的要求。当单位换成国产电脑或国产邮箱,甚至不再继续使用微软 AD 时,如果单位想继续沿用这一方式,怎么实现?这就需要替代 AD 的国产域控方案或统一身份认证平台具备或能集成身份安全能力,如证书加解密等。能够按照微软 AD 和 Exchange 邮箱那一套方式保证邮件的传输和存储安全。

除了传输和存储安全,邮件的安全访问也应给予重视。这一点可通过给邮箱系统配置双因素认证来增强账号的安全性,其最终效果是单位工作人员在登录电子邮件系统时,除了输入用户名和密码,还需输入一串6位数字的动态密码来进行二次验证,以防止非授信账号访问邮箱。目前市面上双因素认证方案非常成熟,机关事业单位只需按照自身情况选择即可。若需商用密码技术,则还需确认双因素认证厂商的商密资质。

以上是关于“电子邮件安全”的全部解读,邮件安全场景仅仅是身份治理在办公场景中的一个缩影。无论是企业组织,还是机关事业单位,电子邮件安全都需要引起重视。机关事业单位除了需要应对钓鱼邮件、账号被盗等问题,还需要考虑到国产化改造场景中的国产邮箱身份认证、其他场景(应用、网络、终端)的统一身份认证等问题。清晰而明确的规划才能为政务应用的改造、管理指明方向。


本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/849071.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

VirtualBox 虚拟机中的 centos7 系统拉取 docker 镜像常见报错及解决方法

一、拉取镜像时报错:Error response from daemon: Get "https://registry-1.docker.io/v2/": tls: failed to verify certificate: x509: certificate signed by unknown authority 原因:(文心一言给出的原因) 这个错误…

如何通过 4 种方式备份和恢复Android联系人

毫无疑问,联系人是Android手机上存储的最重要的信息之一。为了保护这些重要数据,明智的做法是对Android手机进行联系人备份。如果您的手机发生任何情况导致数据丢失,例如被盗、系统崩溃或物理损坏,您可以再次将备份中的联系人恢复…

c# 下 ScintillaNET 显示XML信息并折叠节点

winform下显示XML信息(非WPF) 之前使用的是FastColoredTextBox,github地址如下: https://github.com/PavelTorgashov/FastColoredTextBox 但是有个问题,它支持中文,wordwraptrue,自动换行时&…

玩物科技:引领物联网时代的创新先锋

在深圳这座充满活力和创新精神的城市,有一家年轻而充满潜力的公司正在悄然改变我们的日常生活。深圳市玩物科技有限公司自2017年成立以来,凭借其卓越的技术和创新理念,逐渐成为物联网时代的先锋力量。 玩物科技的愿景与使命 玩物科技的核心…

【vue3响应式原理】

# 源码结构 源码位置是在packages文件件内,实际上源码主要分为两部分,编译器和运行时环境 1. 编译器 compiler-core 核心编译逻辑compiler-dom 针对浏览器平台编译逻辑compiler-sfc 针对单文件组件编译逻辑compiler-ssr 针对服务端渲染编译逻辑 2. 运行时…

使用kafka tools工具连接带有用户名密码的kafka

使用kafka tools工具连接带有用户名密码的kafka 创建kafka连接,配置zookeeper 在Security选择Type类型为SASL Plaintext 在Advanced页面添加如下图红框框住的内容 在JAAS_Config加上如下配置 需要加的配置: org.apache.kafka.common.security.plain.Pla…

企业数字化转型的主要方面有哪些?

本人研究企业数字化转型10余年,为企业软件选型、数字化提供咨询服务!目前重点研究低代码数字化转型玩法,力争为各行各业探索出一条最具性价比的数字化方式。 关于“企业数字化转型包括哪些方面”这个问题,咱先来看个例子哈~ 比如…

用负载绿原酸的纳米复合水凝胶调节巨噬细胞表型以加速伤口愈合

引用信息 文 章:Modulating macrophage phenotype for accelerated wound healing with chlorogenic acid-loaded nanocomposite hydrogel. 期 刊:Journal of Controlled Release(影响因子:10.8) 发表时间&a…

基于pytoch卷积神经网络水质图像分类实战

具体怎么学习pytorch,看b站刘二大人的视频。 完整代码: import numpy as np import os from PIL import Image import torch import torch.nn as nn import torch.optim as optim from torchvision import datasets, transforms from torch.utils.data…

resultType的类型错误

resultType的类型错误,不能是List而应该是对应的返回Bean对象的类型,VO 这里是引用 org.mybatis.spring.MyBatisSystemException: nested exception is org.apache.ibatis.exceptions.PersistenceException: Error querying database. Cause: java.lang…

opencv进阶 ——(十二)基于三角剖分实现人脸对齐

三角剖分概念 三角剖分(Triangulation)是一种将多边形或曲面分解为一系列互不相交的三角形的技术,它是计算几何、计算机图形学、地理信息系统、工程和科学计算中的一个基本概念。通过三角剖分,复杂的形状可以被简化为基本的三角…

病理级Polymer酶标二抗IHC试剂盒上线!

免疫组织化学 Immunohistochemistry,lHC 是利用抗体与抗原特异性识别原理,对组织样本中的抗原进行定位/定性分析的实验技术。组织切片保留了样品的解剖学结构特征,从而可以高分辨率地显现蛋白在细胞,甚至细胞器中的定位。基于以上特性&…

Apple - Image I/O Programming Guide

翻译自:Image I/O Programming Guide(更新时间:2016-09-13 https://developer.apple.com/library/archive/documentation/GraphicsImaging/Conceptual/ImageIOGuide/imageio_intro/ikpg_intro.html#//apple_ref/doc/uid/TP40005462 文章目录 …

orbslam2代码解读(1):数据预处理过程

写orbslam2代码解读文章的初衷 首先最近陆陆续续花了一两周时间学习视觉slam,因为之前主要是做激光slam,有一定基础所以学的也比较快,也是看完了视觉14讲的后端后直接看orbslam2的课,看的cvlife的课(课里大部分是代码…

jenkins的简单使用

2.1.简介 Jenkins是一个开源软件项目,是基于Java开发的一种持续集成工具,用于监控持续重复的工作,旨在提供一个开放易用的软件平台,使软件的持续集成变成可能。 2.4.Jenkins安装 1.下载安装包jenkins.war; 2.在安装…

笔记 | 软件工程04:软件项目管理

1 软件项目及其特点 1.1 什么是项目 1.2 项目特点 1.3 影响项目成功的因素 1.4 什么是软件项目 针对软件这一特定产品和服务的项目努力开展“软件开发活动",(理解:软件项目是一种活动) 1.5 软件项目的特点 1.6 军用软件项目的特点 2 …

怎么用电脑把图片转换二维码?图片在线生成二维码的步骤内容

现在很多人会通过二维码来存储物品的信息图片,其他人可以通过扫描二维码的方式来查看对应的图片内容,那么当我们需要将一批图片每个单独生成二维码,该如何操作能够快速将图片转换二维码呢? 今天,小编来分享给大家一个…

CNN卷积神经网络

一、概述 卷积神经网络(CNN)是深度学习领域的重要算法,特别适用于处理具有网格结构的数据,比如说图像和音频。它起源于二十世纪80至90年代,但真正得到快速发展和应用是在二十一世纪,随着深度学习理论的兴起…

【ai】phc:安装issac环境且fix libstdc++.so 版本报错

Pycharm远程连接服务器(2023-11-9) 大神分享了pycharm远程连接ubuntu工作站的方法。 https://github.com/ZhengyiLuo/PHC 给出的操作同样适用: 参考 Pycharm远程连接服务器(2023-11-9) :前提是一样的 PHC的要求:isaac 创建 conda activate isaac

【Vue】scoped解决样式冲突

默认情况下写在组件中的样式会 全局生效 → 因此很容易造成多个组件之间的样式冲突问题。 全局样式: 默认组件中的样式会作用到全局,任何一个组件中都会受到此样式的影响 局部样式: 可以给组件加上scoped 属性,可以让样式只作用于当前组件 一、代码示例 BaseOne…