某央企全栈信创邮件替代解决方案
一、方案概述:
某央企高度重视信息化和网络安全建设,积极践行国家网络安全战略。为实现邮件系统全栈信创,并推动信息技术与企业管理的深度融合及智能化水平,开展邮件系统信创项目,以解决当前日益突出的电子邮件信息安全风险和逐渐增多的业务需求。
本着“顶层设计、技术领先、安全可靠、高效易用”为原则,以“统一规划、分步实施”为建设策略,建设一套符合政策规范、标准要求的信创安全邮件系统,实现部署架构高可用,提供功能完善、安全可靠、稳定高效的邮件应用,提升用户体验,满足企业当前和未来发展的邮件整体业务需求。
二、建设需求:
邮件系统是某央企重要的应用系统,是信息化建设不可或缺的重要组成部分,已全面融入到业务交互、办公协同等各个业务环节当中。邮件系统建设需求如下:
1、统一部署,弹性扩展:信创安全邮件系统按照30万用户规模进行建设,采用高可用集群部署架构,可通过扩容集群节点实现支撑更大规模用户。每个邮箱容量可按需进行灵活分配,邮箱容量大小可扩展。完成老系统邮件数据向新系统的迁移。
2、统一监管,分级管理:系统采用单域多组织架构,且支持多域,未来可按需扩展为多域多组织架构。实现组织通讯录权限控制,上级单位可看到下级单位(禁止下级看上级单位,禁止同级单位相互看)。管理员采用三员分立的管理权限划分,实现整体系统统一的管理,同时对部分管理权限可向下授权到各组织进行自主管理(如自主管理本单位用户)。
3、统一安全,权限受控:邮件系统采用沙箱安全架构实现安全隔离。可支持将集团公司和其他下属单位进行物理隔离部署。采用双因子身份认证,保障邮箱用户登录安全。针对Webmail采用强化的安全防攻击过滤措施,避免Web注入等漏洞。可控制邮件客户端使用权限开启或关闭。管理员可对钓鱼邮件进行快速处置。数据加密存储。
4、统一集成,无缝体验:与统一身份认证系统集成,实现邮箱用户的统一身份认证,并与门户、办公等系统单点登录。支持在门户、办公等系统中显示新邮件数量和新邮件主题内容,可单点跳转到邮箱内容。可通过邮件发送来自门户、办公等系统的最新消息通知。支持短信提醒。
5、统一数据,容灾备份:邮件数据加密存储在数据中心,进行统一备份,并进行邮件归档,禁止删除归档的邮件,可对归档邮件内容进行高速检索查询,以便于事件追溯审计。未来可支持容灾备份,实现双中心(或两地三中心)的容灾备份。
三、解决方案:
信创安全邮件系统,按照“分层设计、模块构建”的思想,规划并设计系统总体架构。系统总体架构分为用户访问接入层、邮件业务层、基础技术层、数据层,基础架构。同时邮件系统具有完善的安全体系,保证系统安全;具有标准丰富的接口,实现第三方系统的集成对接。
系统架构分为五层,即:用户访问接入层、邮件业务层、基础技术层、数据层,基础架构。
1、用户访问接入层:为用户访问提供支持。系统支持B/S访问方式,也支持移动端访问。B/S访问方式由系统Web端提供,邮箱用户可访问WebMail,具有分栏模式、拖拽上传附件、拖拽移动邮件等功能,带来接近客户端的使用体验,同时系统的WebMail采用自主Web框架,用户无需安装任何插件,直接使用浏览器访问即可;管理员可访问Web管理端,具有图形化的管理界面,易于管理和维护。移动端访问可支持H5与企业移动办公App集成,也可支持PushMail。
2、邮件业务层:实现邮件业务功能,以及与第三方集成对接的实现。该层提供的业务功能具体实现包括以下几个方面:(1)邮箱的具体功能实现:WebMail邮箱功能、Web管理端功能、移动端邮箱功能;(2)邮件安全相关功能;(3)邮件业务相关支撑性功能:身份认证、全文检索、索引等;(4)邮件归档功能,实现全量邮件数据的实时归档,具有大幅数据去重和压缩能力。
3、基础技术层:为邮件系统提供底层的基础技术支撑。底层沙箱架构,实现邮件系统运行环境与操作系统隔离,结合底层分布式架构可实现集团内各单位节点运行环境及数据隔离,大幅提升系统安全性。企业级邮筒,采用热数据技术,实现高并发访问时大幅减少磁盘I/O,大幅提升系统性能。
4、数据层:实现邮件系统中各类数据的存储。邮件系统数据包括块文件数据、数据库数据、LDAP数据等类型。将不同类型数据采用不同的存储方式,便于将邮件系统数据存储的各节点角色分开,实现分布式部署,保障架构设计的灵活性和可靠性。
5、基础架构:本次项目采用云部署的方式,整个系统运行在集团私有云基础设施中。系统支持虚拟化环境,也支持物理机环境。
四、价值和意义:
本系统实现邮件系统全栈信创替代,系统具有安全隔离能力的集群架构,纵深防御,大幅提高安全性。松耦合邮件集群更高效。各角色节点做到全冗余,更易于高弹性扩展,具有更高的处理性能,灾备架构保障业务连续性。大大提高全集团办公协同效率,提升系统安全性、可靠性,大幅降低运维成本。
