1 范圍

      本標(biāo)準(zhǔn)規(guī)定了電子郵件系統(tǒng)信息安全要求，包括電子郵件系統(tǒng)的技術(shù)安全要求、管理安全要求和運(yùn)行安全要求。

      本標(biāo)準(zhǔn)適用于各級政務(wù)部門、研究機(jī)構(gòu)、企事業(yè)單位等的互聯(lián)網(wǎng)郵件系統(tǒng)、電子政務(wù)外網(wǎng)郵件系統(tǒng)、電子政務(wù)內(nèi)網(wǎng)郵件系統(tǒng)或單位專網(wǎng)郵件系統(tǒng)的設(shè)計(jì)、建設(shè)、使用和測試評估，也適用于相關(guān)產(chǎn)品的設(shè)計(jì)、制造、測試、管理和服務(wù)等。

2 規(guī)范性引用文件

      下列文件對于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 21028-2007 信息安全技術(shù) 服務(wù)器安全技術(shù)要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 30282-2013 信息安全技術(shù) 反垃圾郵件產(chǎn)品技術(shù)要求和測試評價(jià)方法

      GB/T 32915-2016 信息安全技術(shù) 二元序列隨機(jī)性檢測方法

      GM/T 0012-2012 可信計(jì)算 可信密碼模塊接口規(guī)范

      GM/T 0013-2012 可信計(jì)算 可信密碼模塊符合性檢測規(guī)范

      GM/T 0016-2012 智能密碼鑰匙密碼應(yīng)用接口規(guī)范

      GM/T 0017-2012 智能密碼鑰匙密碼應(yīng)用接口數(shù)據(jù)格式規(guī)范

      GM/T 0018-2012 密碼設(shè)備應(yīng)用接口規(guī)范

      GM/T 0021-2012 動態(tài)口令密碼應(yīng)用技術(shù)規(guī)范

3 術(shù)語和定義

      GB/T 25069-2010界定的以及下列術(shù)語和定義適用于本文件。

3.1

      電子郵件系統(tǒng) electronic mail system

      支撐用戶使用電子郵件服務(wù)的信息系統(tǒng)。

      注：電子郵件系統(tǒng)由電子郵件客戶端、電子郵件服務(wù)器兩部分組成，并由外圍安全防護(hù)設(shè)備來保障系統(tǒng)的運(yùn)行環(huán)境安全性。電子郵件系統(tǒng)結(jié)構(gòu)示意圖參見附錄A。

3.2

      電子郵件服務(wù)器 electronic mail server

      為客戶端提供郵件應(yīng)用服務(wù)的計(jì)算機(jī)系統(tǒng)，由服務(wù)器硬件、操作系統(tǒng)、支撐系統(tǒng)（WEB服務(wù)、中間件和數(shù)據(jù)庫）和郵件應(yīng)用系統(tǒng)組成。

3.3

      應(yīng)用服務(wù)安全隔離機(jī)制 security isolation mechanism of application server

      通過虛擬化或半虛擬化技術(shù)，使各應(yīng)用服務(wù)運(yùn)行在獨(dú)立的操作系統(tǒng)環(huán)境之上，實(shí)現(xiàn)各應(yīng)用服務(wù)在邏輯上完全隔離。

3.4

      機(jī)器碼 machine code

      標(biāo)識計(jì)算機(jī)、智能終端等的唯一編號，一般由計(jì)算機(jī)或智能終端等的硬件序列號計(jì)算得出。

3.5

      用戶身份數(shù)字憑證 user digital certificates

      用戶通過身份鑒別后，由鑒別者為用戶出具的一種可信的身份電子憑據(jù)。

3.6

      “挑戰(zhàn)-應(yīng)答”認(rèn)證方式 “challenge-response” authentication method

      一類基于零知識證明的身份鑒別協(xié)議。在每次認(rèn)證過程中，由認(rèn)證方提出不同的挑戰(zhàn)問題，被認(rèn)證方做出應(yīng)答，認(rèn)證方通過驗(yàn)證應(yīng)答的正確性，進(jìn)而確認(rèn)被認(rèn)證方的身份。

3.7

      郵件傳輸協(xié)議 mail transfer protocol

      在網(wǎng)絡(luò)環(huán)境中傳輸電子郵件的協(xié)議標(biāo)準(zhǔn)。

      注：例如郵件發(fā)送協(xié)議（SMTP）、郵件收取協(xié)議（POP3/IMAP）。

3.8

      數(shù)據(jù)加密設(shè)備 data encryption device

      獨(dú)立或并行為多個(gè)應(yīng)用實(shí)體提供密碼服務(wù)和密鑰管理的設(shè)備。

3.9

      內(nèi)容加密密鑰 content encryption key

      用于加密數(shù)據(jù)內(nèi)容的臨時(shí)密鑰。

3.10

      中間件 middle ware

      連接web服務(wù)和電子郵件應(yīng)用系統(tǒng)的計(jì)算機(jī)軟件。

      注：電子郵件應(yīng)用系統(tǒng)在中間件的支撐下提供web方式的郵件收發(fā)和后臺管理服務(wù)。

3.11

      網(wǎng)盤 online disk

      電子郵件系統(tǒng)提供的網(wǎng)絡(luò)文件存儲功能，一般用于郵件附件的在線存儲與分享。

4 縮略語

      下列縮略語適用于本文件。

      B/S：瀏覽器/服務(wù)器（Browser/Server）

      CMS：加密消息語法協(xié)議（Cryptographic Message Syntax）

      C/S：客戶端/服務(wù)器（Client/Server）

      DKIM：域密鑰識別郵件（DomainKeys Identified Mail）

      Dos/DDoS：拒絕服務(wù)攻擊/分布式拒絕服務(wù)攻擊（Denial of Service/Distributed Denial of Service）

      IMAP：交互郵件訪問協(xié)議（Internet Mail Access Protocol）

      IMAP4（S）：基于SSL的IMAP（IMAP4 Over SSL）

      MAC：介質(zhì)訪問控制（Media Access Control）

      MIME：多用途 Internet郵件擴(kuò)展（Multipurpose Internet Mail Extensions）

      MTA：郵件服務(wù)器上收發(fā)傳輸服務(wù)（Mail Transfer Agent）

      PIN：個(gè)人標(biāo)識碼（Personal Identification Number）

      POP3：郵局協(xié)議的第3個(gè)版本（Post Office Protocol 3）

      POP3（S）：安全的POP3（POP3 Over SSL）

      SM2：SM2橢圓曲線公鑰密碼算法（Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves）

      SM3：SM3密碼雜湊算法（SM3 Cryptographic Hash Algorithm）

      SM4：SM4分組密碼算法（SM4 block cipher algorithm）

      SM9：SM9標(biāo)識密碼算法（Identity-based cryptographic algorithms SM9）

      SMTP：簡單郵件傳輸協(xié)議（Simple Mail Transfer Protocol）

      SMTP（s）：基于SSL的SMTP（SMTP Over SSL）

      S/MIME：安全的多用途 Internet郵件擴(kuò)展（Secure Multipurpose Internet Mail Extensions）

      SNMP：簡單網(wǎng)絡(luò)管理協(xié)議（Simple Network Management Protocol）

      SPF：發(fā)件人策略框架（Sender Policy Framework）

      SQL：結(jié)構(gòu)化查詢語言（Structured Query Language）

      SSL：安全套接層（Secure Sockets Layer）

      TCP：傳輸控制協(xié)議（Transmission Control Protocol）

      TLS：傳輸層安全（Transport Layer Security）

      URL：統(tǒng)一資源定位符（Uniform Resource Locator）

5 概述

5.1 安全框架

      電子郵件系統(tǒng)安全由技術(shù)要求、管理要求、運(yùn)行要求三部分組成，安全框架如圖1所示。技術(shù)要求包括郵件服務(wù)器、郵件客戶端、郵件數(shù)據(jù)的安全。管理安全包括電子郵件系統(tǒng)管理所涉及的諸如用戶管理、密鑰管理、配置管理和數(shù)據(jù)管理等。運(yùn)行安全包括電子郵件系統(tǒng)運(yùn)行所涉及的諸如邊界保護(hù)、網(wǎng)絡(luò)安全監(jiān)測、防病毒、反垃圾郵件和安全審計(jì)等。

圖1 安全框架

      本標(biāo)準(zhǔn)凡涉及密碼算法的相關(guān)內(nèi)容，按國家有關(guān)法規(guī)實(shí)施；凡涉及采用密碼技術(shù)解決保密性、完整性、真實(shí)性、不可否認(rèn)性需求的應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。