GB∕T 37002-2018 _信息安全技术 电子邮件系统安全技术要求

邮件服务器操作系统安全要求包括： a 应根据电子邮件系统的性能、可靠性、安全性等要求选择安全操作系统，或对操作系统进行定 制（包括：内核、服务、应用、端口等），或借助第三方机构对操作系统进行安全加固； b） 应具备强制访问控制功能，保证邮件应用在预定义的资源范围内运行，防止通过主动提权、变 更用户等方式，访问超出预定义范围的资源： c) 应具备防篡改的安全审计功能，可对日志进行审计、分析潜在侵害、检测异常行为，并实时生成 报警； d) 应具备日志记录功能，可对用户登录、接口调用、管理数据修改、用户身份变更、文件访问、其他 管理员操作等行为进行记录，记录的日志数据应包括：事件发生的时间、触发事件的用户、事件 类型和事件结果等； e 宜提供针对邮件应用的安全策略配置功能，并能自动检查安全策略的有效性

6.1.1.3云计算环境

部署在云计算环境的邮件应用，云计算环境应满足如下要求： a）支持邮件服务器系统的虚拟化应用； D 应保证邮件系统各组件间的有效隔离，如邮件Web服务、存储的隔离； c） 如采用第三方云计算环境供应商，应采取签订服务安全合同、保密协议等方式，约束云计算环

钢筋标准规范范本GB/T370022018

境提供商，防止其对用户邮件信息进行搜集和分析，挖掘用户隐私信息，恶意泄露或出卖用户 隐私信息

6.1.1.4 支撑系缩

6.1.1.4 支撑系统

6.1.1.4.1Web服务

邮件服务器web服务安全要求包括： a）不能存在后门、木马、病毒等恶意代码及安全漏洞； b) 应具备访问控制功能，可有效阻止任何未经授权的访问； C) 应具备日志记录功能，可记录用户的各类操作行为； d) 应具备输入有效性的过滤审查功能，可有效地阻止基于非法输入的Web漏洞攻击

6.1.1.4.2中间件

邮件服务器中间件安全要求包括： a）不能存在后门、木马、病毒等恶意代码及安全漏洞； b）应具备访问控制功能，可有效阻止任何未经授权的访问； c）应具备日志记录功能，可记录用户的各类操作行为

6.1.1.4.3数据库

邮件服务器数据库安全要求包括： a 应根据电子邮件系统的性能、可靠性、安全性等要求选择安全数据库，或对数据库进行定制（包 括：内核、服务、应用、端口等），或借助第三方机构对数据库进行安全加固； b）同6.2.2中数据库管理的安全功能要求。

6.1.1.5邮件应用系统

6.1.1.5.1身份鉴别

6.1.1.5.2访问控制

邮件应用系统访问控制安全要求包括： a）应具备用户分类功能，如分为管理员和邮件用户； b）应能对各类用户赋予不同的权限； 应具备严格的权限验证方法，采用合理的技术手段，充分保证权限凭证数据不可伪造；

d）应在通过身份鉴别机制认证用户身份后，方可允许用户访问授权的功能； e）应具备记录管理员访问过程操作日志的功能

6.1.1.5.3用户审讯

邮件应用系统用户审计安全要求包括： 应具备管理员行为审计功能，审计内容应包括：操作时间、管理员账户、登录IP地址、地理位 置、登录方式、操作内容与结果等信息； 应具备邮件用户登录行为审计功能，审计内容应包括：登录时间、邮件用户账户、登录IP地址、 地理位置、登录方式等信息； c) 应具备邮件用户发送邮件行为审计功能，审计内容应包括：发送时间、收件人、邮件主题、投递 状态、是否撤回等信息； d) 应具备邮件用户接收邮件行为审计功能，审计内容应包括：收取时间、发件人、邮件主题、阅读 状态等信息； e) 应具备邮件用户账户关键配置修改行为审计功能，审计内容应包括：时间、操作账户、修改内 容、修改结果等信息； D) 应留存审计数据不少于6个月

6.1.1.5.4接口安全

邮件应用系统接口安全要求包括： 与第三方应用系统接口应采用身份鉴别机制，验证接口调用方身份的合法性； b) 与第三方应用系统接口的会话应设置生命周期，防止接口被恶意调用； 应对第三方应用系统接口调用的数据进行合法性检测，防止基于注人式、跨站请求伪造、模式 验证、输人输出编码等攻击； d) 应对第三方应用系统接口设定资源使用权限，限定可访问的数据范围； e) 应具备记录接口调用过程操作日志的功能，

6.1.1.5.5收发过程保护

邮件应用系统收发过程保护安全要求包括： a） 应具备邮件过滤功能，能接收或拒收指定域的邮件； D 应具备防邮件中继功能，能拒绝转发或仅转发来自指定IP地址或子网、目标为指定子网、来自 指定域、来自指定邮件地址、来自指定用户名等邮件； ) 应具备邮件审批功能，能根据发件人、收件人、主题、内容、附件内容、附件格式等邮件特征，创 建审批条件，满足审批条件的邮件，经审批员审批后，方能被投递/弹回/拒收（发）/转寄/抄送； 应具备支持SPF机制检测邮件数据源的功能。

6.1.2.1邮件客户端软亻

支持通用邮件客户端软件使用SSL通道收发邮件

6.1.2.2PC客户端

PC客户端安全要求包括： a）C/S模式下应支持邮件加密、数字签名功能：

b）C/S模式下应支持邮件数据在本地加密存储： c）C/S模式和B/S模式下均应支持基于SSL/TLS的邮件数据传输； d）C/S模式和B/S模式运行环境均应有防病毒、木马的保护措施。

b）C/S模式下应支持邮件数据在本地加密存储： c）C/S模式和B/S模式下均应支持基于SSL/TLS的邮件数据传输； d）C/S模式和B/S模式运行环境均应有防病毒、木马的保护措施

6.1.2.3移动智能终端

移动智能终端安全要求包括： a）应满足6.1.2.2PC客户端的基本要求； b) 输入密码时，终端界面上不应显示明文密码 c）宜支持邮件远程管理功能，如：邮件远程删除、密钥远程删除等

6.1.2.4邮件推送

GB/T370022018

邮件推送安全要求包括 ）推送邮件正文和附件时，应对邮件内容加密，身份鉴别应符合本标准相关要求：

6.1.3.1数据加密

电子邮件数据在传输和存储过程中，应加密保护。本项要求包括： 应采用国家商用密码算法对邮件数据进行加密，若使用数据加密设备实现国家商用密码算法 应满足下列要求： 1）应遵循国家对密码设备安全性的要求，通过国家密码管理局对密码安全性的检测； 2） 应符合密码行业标准GM/T0018一2012第6章对设备接口的定义和GB/T32915 2016关于随机性检测要求的规定； 3） 应采用加密机制，保证其与应用系统之间数据通信的安全性； 4）接口调用应支持IP/MAC地址绑定的访问控制机制； 5） 应具备记录密码操作和管理日志的功能，并提供安全的日志审计接口。 b） 加密对象应包含邮件正文和附件。 c) 邮件加密数据应支持S/MIME格式及加密消息文法CMS d) 邮件加密过程中的非对称算法，应选用SM2算法或SM9算法；对称密码算法，应选用SM4算 法；哈希算法，应选用SM3算法；加密使用的随机数的随机性，应符合GB/T32915一2016关 于随机性检测的要求， e) 应能根据邮件地址，安全获取邮件解密或签名使用的非对称密钥，该密钥不得写人无保护的可 持续存储介质。 f) 应使用不同的内容加密密钥加密邮件， g) 数据加密设备应遵循国家密码政策对密码设备安全性的要求，通过国家密码管理局的密码安 全性检测， h） 应采用加密机制，保证数据加密设备与邮件系统之间数据通信的安全。 1) 数据加密设备接口调用应支持IP/MAC地址绑定的访问控制机制。 数据加密设备应具备记录密码操作和管理日志的功能，并提供安全的日志审计接口。

6.1.3.2安全存储

a）应对存储的全部数据进行加密，包括：邮件数据、网盘文件、用户账号密码及个人信息等； b）邮件账户密码若采用数字摘要方式存储，应具备随机性； c）加密密钥更新后，应能对存储的历史加密数据进行解密。

6.1.3.3安全传输

安全传输要求包括： a）应对邮件内容（含正文和附件）进行加密传输； b 应支持安全算法的SSL、TLS协议，对传输数据进行加密； C 应能验证客户端SSL、TLS证书的合法性； d) 应支持POP3、SMTP、IMAP及MTA的各种扩展协议，邮件客户端至邮件服务器的传输通道 应支持SSL协议

安全传输要求包括： a）应对邮件内容（含正文和附件）进行加密传输； b 应支持安全算法的SSL、TLS协议，对传输数据进行加密； c 应能验证客户端SSL、TLS证书的合法性； d） 应支持POP3、SMTP、IMAP及MTA的各种扩展协议，邮件客户端至邮件服务器的传输通道 应支持SSL协议

6.2.1.1用户分类管理

邮件用户要求包括： a）身份鉴别，同6.1.1.5.1中描述； b） 访问控制，同6.1.1.5.2中描述； C) 用户审计，同6.1.1.5.3中描述； d）邮件用户应由邮件组织用户创建

6.2.2.1数据库管理系统用户标识与鉴别

数据库管理系统用户标识与鉴别要求包括

GB/T370022018

a）访问邮件数据库管理系统的用户，应具有预先建立的标识； b）邮件数据库管理系统应对登录用户的身份进行鉴别； c）身份鉴别失败后，应根据失败次数与事件阈值采取相应措施，如锁定账户、禁用账户等

6.2.2.2数据库管理系统访问控制

数据库管理系统访问控制要求包括： a）应具有访问控制列表，阻止任何未经授权的访问，许可经过授权的访问； b）应具备多权限管理员机制，如数据库查询管理员、修改管理员、维护管理员等

6.2.2.3数据库管理系统安全审计

数据库管理系统安全审计要求包括： a) 应具有独立的系统审计员； b) 应具备对审计管理员分级、分组的功能，实现分级审计； c) 应提供完整全面的审计日志： d) 应具备日志保护机制，避免包括审计日志在内的各种日志信息被非法套改、破坏或删除； e) 应支持对特定组或特定用户的审计； f) 审计内容应包括各类、各级管理员的登录、操作的其体内容，包括：时间、管理员用户名、管理动 作等； g 应支持对用户登录、各种操作行为的具体内容进行审计，如删除邮件的操作； h) 应支持对异常行为的审计，如管理员、普通用户的异常登录等

6.2.2.4数据库管理系统数据完整性

数据库管理系统数据完整性的要求包括： a）应提供相应的数据完整性保证机制； b）应对数据完整性进行检验。

6.2.2.5数据库管理系统数据保密性

应具有密码数据加密或其他保护措施，实现存储密码数据的保密性

6.2.2.6数据库管理系统数据备份和恢复

数据库管理系统数据备份和恢复要求包括： a）应具备本地数据备份与恢复功能，且支持完整备份和增量备份； b）应其备异地数据备份机制，将关键数据定时批量备份到异地存储

6.2.3数据加密设备管理

数据加密设备管理要求包括： ）应针对密码系统中各种密码设备的使用、管理、备份与恢复等，建立完善的安全管理制度； 智能密码钥匙的使用管理，应符合密码行业标准GM/T0016一2012中第7章关于设备接口 义和第8章关于设备安全要求的相关规定

密钥管理要求包括： 所选用密码算法的密钥长度应满足国家密码管理部门相关规范要求

b）密钥生成：内容加密密钥和用户身份鉴别密钥，其生成应有可靠的随机源。 c 密钥分发：内容加密密钥应使用收件人的公钥和非对称算法进行加密保护后，分发给收件人； 收件人或签名人的公钥应通过可信方式获取；采用SM9算法时，邮件地址可作为公钥使用。 d) 密钥存储：内容加密密钥应由收件人公钥加密后储存于加密邮件数据中；解密或签名的私钥应 存储在安全介质中或使用后即销毁 e) 密钥销毁：内容加密密钥在每次使用后立即销毁。对SM2算法的密钥需将密码设备安全存储 介质中对应密钥存储安全删除。对SM9算法，密码设备应不存储用户密钥，用户密钥的销毁 伴随系统主密钥的销毁而完成。 ) 密钥更新：应周期性地更新用户加密密钥

配置管理要求包括： 应具备分类管理控制机制，各类管理员仅允许其按照组织权限进行配置操作； 应具备按功能权限控制机制，各类管理员仅允许其按照功能权限进行配置操作； 应具备各类管理员账号绑定IP地址或MAC地址功能； d) 应具备配置信息备份和快速恢复功能； e) 应留存配置变更的操作日志，日志内容包括时间、登录IP地址、访问IP地址、操作账户、操作 与结果等； ） 宜提供配置快照功能，当配置发生变更时能自动生成快照，修改配置出错后可使配置信息恢复 到出错前的快照状态

6.2.6备份与恢复管理

备份与恢复管理要求包括： a）应具备数据备份机制，能对关键数据进行本地、异地备份； b）应能对数据进行完整备份和增量备份

6.2.7系统升级及补丁管理

系统升级及补丁管理要求包括： a）应有明确的软件支持生命周期，对于软件每个版本应提供及时、持续的安全升级服务； b） 系统升级时不产生明显的业务中断； c） 系统升级失败时，应可卸载指定升级包，恢复历史版本； d）应针对已被披露的漏洞及时发布补丁。

边界保护要求包括： a）应在电子邮件系统外围部署防火墙，并配置安全规则； b) 应对流转过程中的邮件传输协议进行分析，阻断、记录异常协议并报警； C 应检查流转过程中的邮件是否符合编码标准，阻断、记录异常邮件内容并报警 d）应对流转过程中的邮件附件进行识别，阻断、记录无法识别格式的文件并报警

6.3.2主机安全监测

主机安全监测要求包括：

GB/T370022018

a 应具备服务器硬件、软件运行状态监测功能； b） 应能识别不符合协议规范的网络会话数据流，同时提取该会话所属进程的基本信息、远端IP 地址； C 宜具备对命令执行、进程调用、文件使用等进行实时监测的功能

6.3.3网络安全监测

应符合GB/T302822013中规定的有关要求

防病毒要求包括： a) 应使用独立的服务器； b) 应具备两种以上的防病毒引擎； c) 应能查杀SMTPS）、POP3（S）、IMAP4(S）、HTTP(S)等协议下邮件的病毒； 应能对邮件头、邮件正文及附件的整体进行病毒过滤； e) 应支持在线升级与离线升级病毒库； f) 对存在病毒的邮件，可设置拒绝发送或拒绝接收、在邮件中添加警告信息、不处理等操作；

6.3.6.1数据库操作审计

数据库操作审计要求包括： a） 应记录和审计数据库SQL级操作，记录包括时间、数据库服务器名称、IP地址、MAC地址、端 口号、用户名、操作执行结果及原始SQL语句； b 应具备双向审计功能，即审计数据库客户端的访问行为，同时审计数据库的返回结果； 应能灵活地定义审计策略，策略元素至少包括时间、来源、角色、SQL操作类型、事件类型、数 据库SQL语句关键字、延迟时间、影响行数、异常串、基于数据库服务器组或者资产组； d）应具备丰富的数据查询检索功能，能够以数据库访问时间、IP地址、端口号、用户名、操作类 型、SQL中的关键词等条件进行审计查询； e) 应具备数据库防攻击安全规则库，能根据预设置策略发现诸如SQL注人、已知数据库漏洞、口 令密码猜解、缓冲区溢出等异常行为； f) 应具备权限预警功能，能针对最高权限滥用、误操作、恶意操作等行为进行报警和定位

6.3.6.2日志审讯

日志审计要求包括： a）应按6.1.1.2中的要求实现操作系统安全日志审计功能； b) 应具备Web中间件安全日志； C） 应具备邮件系统日志； d) 应按6.2.2.3中的要求实现数据库访问日志的功能； 应具备数据加密设备安全日志

防漏洞要求包括： ） 应具备基本的DoS、DDoS防御能力，能终止来自同一IP的多个TCP连接； b） 应具备强制要求系统管理员修改默认口令密码、默认系统配置的功能； 应不存在已知的安全漏洞，如：命令执行、SQL注入、跨站脚本、越权访间等： 已通过身份验证的信息（如cookie/session)应与IP地址、浏览器绑定，并在24h内过期； 若采用了第三方厂商的部件，该部件应不存在安全漏洞

防漏洞要求包括： ） 应具备基本的DoS、DDoS防御能力，能终止来自同一IP的多个TCP连接； b） 应具备强制要求系统管理员修改默认口令密码、默认系统配置的功能； 应不存在已知的安全漏洞，如：命令执行、SQL注入、跨站脚本、越权访间等： 已通过身份验证的信息（如cookie/session)应与IP地址、浏览器绑定，并在24h内 若采用了第三方厂商的部件，该部件应不存在安全漏洞

7.1.1.2 操作系统

邮件服务器操作系统要求包括： a）应满足6.1.1.2基本级安全要求； b）应具备擦除指定数据的功能，保证临时数据或待删除数据能够从磁盘介质中被彻底删除

邮件服务器操作系统要求包括： a）应满足6.1.1.2基本级安全要求； b）应具备擦除指定数据的功能，保证临时数据或待删除数据能够从磁盘介质中被彻底删除

GB/T370022018

应提供应用服务安全隔离机制，实现邮件应用程序最小化权限运行； d 应提供安全可靠的远程管理通道，可对邮件应用系统、中间件、数据库进行安全的远程管理 操作

7.1. 1.3云计算环境

部署在云计算环境的邮件应用，云计算环境应满足如下要求： a） 应自主部署建设云计算环境； b) 支持邮件服务器系统、数据加密系统的各个组件的虚拟化应用； 应保证邮件系统各组件有效隔离，如邮件Web服务、数据加密系统、存储的隔离； 应在虚拟邮件系统撤销或者弹性资源释放后，彻底消除残留数据； 应采取最小化特权原则.明确区分和限制云计算环境中各类管理员的角色与权限

7.1.1.4 支撑系统

7.1.1.4.1Web服务

邮件服务器Web服务安全要求包括： a）应满足6.1.1.4.1基本级安全要求； b）Web服务应具备安全管理功能，仅允许被授权管理员用户对软件访问资源进行定义和修改 c）Web服务应支持TLS协议的安全传输协议

7.1.1.4.2 中间件

邮件服务器中间件安全要求包括： a）应满足6.1.1.4.2基本级安全要求； b）中间件应具备安全管理功能，仅允许授权用户对软件访问资源进行定义和修改。

邮件服务器中间件安全要求包括： 应满足6.1.1.4.2基本级安全要求：

7.1.1.4.3数据库

邮件服务器数据库安全要求包括： a）应满足6.1.1.4.3基本级安全要求； b）数据库应支持透明加密模式（TDE)

7.1.1.5邮件应用系统

7.1.1.5.1身份鉴别

7.1.1.5.2 访间控制

邮件应用系统访问控制要求包括： a）应满足6.1.1.5.2基本级安全要求； b）应具备邮件用户访问过程操作日志

7.1.1.5.3用户审计

7.1.1.5.4接口安全

邮件应用系统接口安全要求包括： ）应满足6.1.1.5.4基本级安全要求； b）与第三方应用系统接口应采用加密机制.保证数据的私密性

7.1.1.5.5收发过程保护

7.1.2.1邮件客户端软亻

应使用专用邮件客户端软件实现邮件数据在客户端的加密存储和加密收发

7.1.2.2PC客户端

PC客户端要求包括： a）应满足6.1.2.2基本级安全要求

PC客户端要求包括： a）应满足6.1.2.2基本级安全要求；

b）C/S模式和B/S模式均应具备临时存储数据安全保护机制； C）应具备可信计算环境

7.1.2.3移动智能终端

7.1.2.4邮件推送

GB/T370022018

邮件推送要求包括： a）应满足6.1.2.4基本级安全要求； b）数据推送通道应使用符合相关国家政策与标准的协议，并通过国家授权的第三方测评机构的 检测评估或网络安全审查

7.1.3.1数据加密

电子邮件数据在传输和存储的过程中应加密保护，本项要求包括： a）应满足6.1.3.1基本级安全要求； b） 应支持可配置的加密密钥更新策略，如按月、按季、按年等更新； 应支持邮件协议的透明代理，根据加解密策略将明文邮件加密或者将密文邮件解密，加解密策 略应可以作用到邮件地址组、单个邮件地址、单封邮件； d） 应支持对邮件数据进行压缩。 基于加密技术的邮件系统模型参见附录C中C.1和C.2。

7.1.3.2安全存储

邮件数据安全存储要求包括： a）应满足6.1.3.2基本级安全要求； b）应对邮件处理过程中的暂存数据进行加密存储

7.1.3.3 安全传输

安全传输要求包括： a）应满足6.1.3.3基本级安全要求； b）SSL、TLS协议应支持国家密码管理局制定的SM2和SM9算法标准； C）SSL、TLS协议应采用可信机构颁发的数字证书

安全传输要求包括： a）应满足6.1.3.3基本级安全要求； b）SSL、TLS协议应支持国家密码管理局制定的SM2和SM9算法标准； C）SSL、TLS协议应采用可信机构颁发的数字证书

应满足6.2基本级安全要求

应满足6.2基本级安全要求

园林造价应满足6.2基本级安全要求

应满足6.3基本级安全要求

附录A （资料性附录） 电子邮件系统组成

电子邮件系统由邮件客户端、邮件服务器两部分组成，并由外围安全防护设备来保障系统 境安全性。组成见图A.1。

图A.1电子邮件系统结构示意图

GB/T370022018

本标准中，电子邮件系统的安全要求按其保障强度可划分为基本级和增强级两个等级的安全要 单位可根据本单位属性、用户数量和业务重要度选择使用基本级或增强级技术要求二建标准规范范本，当相关单位的 邮件系统满足任意一条参考选择指标要求时，应使用增强级安全技术要求。电子邮件系统安全级 释方法见表B.1。

表B.1电子邮件系统安全级别选择方法