《信息安全技術(shù) 電子郵件系統(tǒng)安全技術(shù)要求-編制說明》

一、任務(wù)來源

根據(jù)國(guó)家標(biāo)準(zhǔn)化管理委員會(huì)2014年12月下達(dá)的國(guó)家標(biāo)準(zhǔn)制定任務(wù)，國(guó)家標(biāo)準(zhǔn)《信息

安全技術(shù)郵件服務(wù)器安全技術(shù)要求》由國(guó)家信息技術(shù)安全研究中心負(fù)責(zé)主編。

二、編制原則

本標(biāo)準(zhǔn)屬于信息安全技術(shù)方面的標(biāo)準(zhǔn)，以自主編寫的方式完成。標(biāo)準(zhǔn)編制以國(guó)家有關(guān)信

息安全技術(shù)的政策法規(guī)為基本依據(jù)，吸取國(guó)際上先進(jìn)的信息安全標(biāo)準(zhǔn)的相關(guān)理念，結(jié)合我國(guó)

當(dāng)前郵件系統(tǒng)安全管理的發(fā)展現(xiàn)狀，針對(duì)郵件系統(tǒng)安全技術(shù)、安全管理和安全運(yùn)維的體系建

設(shè)，在研究如何評(píng)價(jià)郵件系統(tǒng)安全管理的有效性，以及評(píng)價(jià)郵件系統(tǒng)安全管理體系有效性的

基礎(chǔ)上，完成國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)郵件服務(wù)安全技術(shù)要求》的編制。

同時(shí)，為使標(biāo)準(zhǔn)能夠滿足科學(xué)、規(guī)范地開展郵件服務(wù)器建設(shè)、使用和測(cè)試評(píng)估工作的需

要，客觀反映我國(guó)郵件系統(tǒng)安全技術(shù)、安全管理和安全運(yùn)維的體系建設(shè)，提高標(biāo)準(zhǔn)的可操作

性，在標(biāo)準(zhǔn)制定過程中，還力求做到符合國(guó)家的有關(guān)政策法規(guī)要求；與已頒布實(shí)施的相關(guān)標(biāo)

準(zhǔn)相協(xié)調(diào)；與當(dāng)前國(guó)家郵件服務(wù)器安全需求相適應(yīng)；并適度考慮目前處于發(fā)展成熟過程中的

技術(shù)，保持一定的前瞻性。

三、主要工作過程

(一)標(biāo)準(zhǔn)制定的主要工作過程如下：

1)2014年12月—2015年2月，組建標(biāo)準(zhǔn)編制組，學(xué)習(xí)查閱我國(guó)及有關(guān)行業(yè)信息安

全法規(guī)、政策及規(guī)范性文件，調(diào)研分析研究國(guó)內(nèi)外郵件服務(wù)器安全發(fā)展情況、國(guó)外相關(guān)標(biāo)準(zhǔn)

或安全白皮書，以及政府機(jī)關(guān)、重要行業(yè)、企事業(yè)單位、科研院所等部門和單位的互聯(lián)網(wǎng)郵

件系統(tǒng)、電子政務(wù)外網(wǎng)郵件系統(tǒng)或企事業(yè)等單位內(nèi)網(wǎng)郵件系統(tǒng)的需求，提出標(biāo)準(zhǔn)初稿。

2)2015年3月—2015年5月，標(biāo)準(zhǔn)編制組內(nèi)部完善標(biāo)準(zhǔn)初稿，并以多種形式征求專

家和相關(guān)單位意見，形成標(biāo)準(zhǔn)草案。編寫標(biāo)準(zhǔn)草案編制說明、意見處理匯總表。

3)2015年6月—2016年6月，工作組按照標(biāo)準(zhǔn)項(xiàng)目專家意見和建議，根據(jù)專家意見

進(jìn)行整理，對(duì)《信息安全技術(shù)郵件服務(wù)安全技術(shù)要求》（草案）進(jìn)行完善和修改。編寫標(biāo)準(zhǔn)

草案編制說明、意見處理匯總表。

4)2016年8月，面向WG5工作組92家成員單位公開征集意見，編制組按照各成員

單位意見對(duì)標(biāo)準(zhǔn)進(jìn)行修改。2016年8月26日，經(jīng)WG5工作組全體會(huì)議決定，形成征求意

見稿。

(二)標(biāo)準(zhǔn)征求意見的落實(shí)情況如下：

1)項(xiàng)目執(zhí)行過程中，先后進(jìn)行了四次專家評(píng)審，一次工作組全體會(huì)議，共形成了99

條意見，具體內(nèi)容參見意見匯總表。

2)以國(guó)家政務(wù)外網(wǎng)為試點(diǎn)單位，進(jìn)一步了解各黨政部門互聯(lián)網(wǎng)電子郵件安全應(yīng)用需

求，開展威脅監(jiān)測(cè)和安全檢測(cè)，完善標(biāo)準(zhǔn)內(nèi)容；進(jìn)一步拓展安全郵件系統(tǒng)的部署應(yīng)用。

3)對(duì)行業(yè)用戶、政府用戶的意見征求，包括國(guó)家信息中心、上海征信中心、四川省電

子政務(wù)外網(wǎng)、湖南省電子政務(wù)外網(wǎng)、廣西省電子政務(wù)外網(wǎng)、云南省電子政務(wù)外網(wǎng)、大連市電

子政務(wù)外網(wǎng)。

4)對(duì)郵件服務(wù)器廠商的意見征求，企業(yè)包括北京安寧創(chuàng)新網(wǎng)絡(luò)股份有限公司、北京億

中郵信息技術(shù)有限公司。

四、標(biāo)準(zhǔn)的主要內(nèi)容及確定內(nèi)容的依據(jù)

(一)本標(biāo)準(zhǔn)的主要內(nèi)容

針對(duì)郵件服務(wù)器面臨的安全風(fēng)險(xiǎn)，本項(xiàng)目主要從國(guó)家標(biāo)準(zhǔn)的角度規(guī)范郵件服務(wù)器自身安

全和支撐系統(tǒng)安全、規(guī)范郵件服務(wù)器廠商和郵件系統(tǒng)運(yùn)維服務(wù)商的安全配置和安全防護(hù)，解

決如何保護(hù)郵件數(shù)據(jù)安全的問題，采用何種方式保護(hù)以及規(guī)范郵件服務(wù)廠商、郵件系統(tǒng)運(yùn)維

服務(wù)商，以及各級(jí)政務(wù)部門、研究機(jī)構(gòu)、企事業(yè)單位等郵件服務(wù)器的安全，從而實(shí)現(xiàn)對(duì)電子

郵件信息內(nèi)容和個(gè)人隱私保護(hù)是需要解決的主要技術(shù)難點(diǎn)。

本標(biāo)準(zhǔn)主要框架如下：

1范圍

2規(guī)范性引用文件

3術(shù)語，定義和縮略語

4安全體系架構(gòu)

5郵件服務(wù)器安全要求

6支撐系統(tǒng)安全要求

附錄A（資料性附錄）電子郵件系統(tǒng)組成

附錄B（資料性附錄）安全技術(shù)應(yīng)用模型

(二)本標(biāo)準(zhǔn)在確定主要內(nèi)容時(shí)主要基于如下幾個(gè)方面：

1)針對(duì)郵件服務(wù)器面臨的安全風(fēng)險(xiǎn)，為有效抵御郵件服務(wù)器內(nèi)部以及外在威脅，提出

郵件服務(wù)器安全體系架構(gòu)，體現(xiàn)郵件服務(wù)器技術(shù)、運(yùn)行、管理的整體安全性。

2)從郵件應(yīng)用系統(tǒng)安全、web服務(wù)安全、中間件安全、數(shù)據(jù)庫(kù)安全、操作系統(tǒng)安全和

硬件安全等方面提出郵件服務(wù)器安全要求，包括基本要求和增強(qiáng)要求。

3)從郵件客戶端安全、管理安全、存儲(chǔ)傳輸安全、運(yùn)行安全和云計(jì)算環(huán)境安全等方面

提出了支撐系統(tǒng)安全要求，其中針對(duì)郵件客戶端安全、存儲(chǔ)傳輸安全和云計(jì)算環(huán)境

安全分別提出了基本要求和增強(qiáng)要求。

(三)有關(guān)內(nèi)容的幾點(diǎn)說明

1)對(duì)郵件服務(wù)器的要求

通過對(duì)郵件服務(wù)器硬件、操作系統(tǒng)、數(shù)據(jù)庫(kù)、Web服務(wù)、中間件、應(yīng)用系統(tǒng)等方面的

認(rèn)證機(jī)制、訪問策略、審計(jì)功能等提出要求，規(guī)范了郵件服務(wù)器自身安全，實(shí)現(xiàn)對(duì)電子郵件

信息內(nèi)容和個(gè)人的隱私保護(hù)。

2)對(duì)支撐系統(tǒng)的要求

通過對(duì)電子郵件數(shù)據(jù)加密存儲(chǔ)/傳輸、垃圾郵件的過濾、惡意代碼的防范、主機(jī)的安全

監(jiān)測(cè)以及郵件客戶端的安全、云環(huán)境的安全等方面進(jìn)行規(guī)范，實(shí)現(xiàn)郵件服務(wù)器的安全運(yùn)行和

安全管理。

要解決郵件服務(wù)器的安全，主要考慮以下三方面：

關(guān)于身份鑒別，需鑒別收件人、發(fā)件人的身份，防止冒充身份。

關(guān)于傳輸安全，郵件在客戶端與郵件服務(wù)器之間、郵件服務(wù)器之間傳遞保證安全，防止

泄密。

關(guān)于存儲(chǔ)安全，郵件在郵件服務(wù)器上存儲(chǔ)過程要安全，防止泄密。

3)關(guān)于本標(biāo)準(zhǔn)附錄A的說明

為了清晰的描述郵件服務(wù)器結(jié)構(gòu)組成，在附錄A中給出郵件服務(wù)器結(jié)構(gòu)示意圖。郵件

服務(wù)器由郵件客戶端、郵件服務(wù)器和外圍安全防護(hù)設(shè)備三部分組成。

4)關(guān)于本標(biāo)準(zhǔn)附錄B的說明

根據(jù)本標(biāo)準(zhǔn)給出的郵件服務(wù)器安全體系架構(gòu)和安全要求，在附錄B中將安全技術(shù)模型

分為兩類：通用加密郵件應(yīng)用模型和云平臺(tái)加密郵件應(yīng)用模型。為設(shè)計(jì)、建設(shè)和使用郵件服

務(wù)提供參考應(yīng)用模型。

五、與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定、國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)的關(guān)系

1)與國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)服務(wù)器安全技術(shù)要求》（GB/T21028-2007）的關(guān)系

本標(biāo)準(zhǔn)的編制參考了《信息安全技術(shù)服務(wù)器安全技術(shù)要求》（GB/T21028-2007）的部

分內(nèi)容。

2)與相關(guān)法律法規(guī)及國(guó)家有關(guān)規(guī)定的關(guān)系

參照《隨機(jī)性檢測(cè)規(guī)范》（GM/T0005-2012）、《可信計(jì)算可信密碼模塊接口規(guī)范》（GM/T

0012-2012）、《可信計(jì)算可信密碼模塊符合性檢測(cè)規(guī)范》（GM/T0013-2012）、《智能密碼鑰

匙密碼應(yīng)用接口規(guī)范》（GM/T0016-2012）、《智能密碼鑰匙密碼應(yīng)用接口數(shù)據(jù)格式規(guī)范》

（GM/T0017-2012）、《密碼設(shè)備應(yīng)用接口規(guī)范》（GM/T0018-2012）、《動(dòng)態(tài)口令密碼應(yīng)用

技術(shù)規(guī)范》（GM/T0021-2012）等標(biāo)準(zhǔn)規(guī)范，對(duì)數(shù)據(jù)加密、身份認(rèn)證等部分的安全要求進(jìn)行

了編制。

六、有關(guān)問題的說明

本標(biāo)準(zhǔn)適用于各級(jí)政務(wù)部門、研究機(jī)構(gòu)、企事業(yè)單位等的互聯(lián)網(wǎng)郵件系統(tǒng)、電子政務(wù)外

網(wǎng)郵件系統(tǒng)、電子政務(wù)內(nèi)網(wǎng)郵件系統(tǒng)或單位專網(wǎng)郵件系統(tǒng)的設(shè)計(jì)、建設(shè)、使用和測(cè)試評(píng)估，

也適用于相關(guān)產(chǎn)品