下载本文档
版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
一、任务来源
根据国家标准化管理委员会2014年12月下达的国家标准制定任务,国家标准《信息
安全技术邮件服务器安全技术要求》由国家信息技术安全研究中心负责主编。
二、编制原则
本标准属于信息安全技术方面的标准,以自主编写的方式完成。标准编制以国家有关信
息安全技术的政策法规为基本依据,吸取国际上先进的信息安全标准的相关理念,结合我国
当前邮件系统安全管理的发展现状,针对邮件系统安全技术、安全管理和安全运维的体系建
设,在研究如何评价邮件系统安全管理的有效性,以及评价邮件系统安全管理体系有效性的
基础上,完成国家标准《信息安全技术邮件服务安全技术要求》的编制。
同时,为使标准能够满足科学、规范地开展邮件服务器建设、使用和测试评估工作的需
要,客观反映我国邮件系统安全技术、安全管理和安全运维的体系建设,提高标准的可操作
性,在标准制定过程中,还力求做到符合国家的有关政策法规要求;与已颁布实施的相关标
准相协调;与当前国家邮件服务器安全需求相适应;并适度考虑目前处于发展成熟过程中的
技术,保持一定的前瞻性。
三、主要工作过程
(一)标准制定的主要工作过程如下:
1)2014年12月—2015年2月,组建标准编制组,学习查阅我国及有关行业信息安
全法规、政策及规范性文件,调研分析研究国内外邮件服务器安全发展情况、国外相关标准
或安全白皮书,以及政府机关、重要行业、企事业单位、科研院所等部门和单位的互联网邮
件系统、电子政务外网邮件系统或企事业等单位内网邮件系统的需求,提出标准初稿。
2)2015年3月—2015年5月,标准编制组内部完善标准初稿,并以多种形式征求专
家和相关单位意见,形成标准草案。编写标准草案编制说明、意见处理汇总表。
3)2015年6月—2016年6月,工作组按照标准项目专家意见和建议,根据专家意见
进行整理,对《信息安全技术邮件服务安全技术要求》(草案)进行完善和修改。编写标准
草案编制说明、意见处理汇总表。
4)2016年8月,面向WG5工作组92家成员单位公开征集意见,编制组按照各成员
单位意见对标准进行修改。2016年8月26日,经WG5工作组全体会议决定,形成征求意
见稿。
(二)标准征求意见的落实情况如下:
1)项目执行过程中,先后进行了四次专家评审,一次工作组全体会议,共形成了99
条意见,具体内容参见意见汇总表。
2)以国家政务外网为试点单位,进一步了解各党政部门互联网电子邮件安全应用需
求,开展威胁监测和安全检测,完善标准内容;进一步拓展安全邮件系统的部署应用。
3)对行业用户、政府用户的意见征求,包括国家信息中心、上海征信中心、四川省电
子政务外网、湖南省电子政务外网、广西省电子政务外网、云南省电子政务外网、大连市电
子政务外网。
4)对邮件服务器厂商的意见征求,企业包括北京安宁创新网络股份有限公司、北京亿
中邮信息技术有限公司。
四、标准的主要内容及确定内容的依据
(一)本标准的主要内容
针对邮件服务器面临的安全风险,本项目主要从国家标准的角度规范邮件服务器自身安
全和支撑系统安全、规范邮件服务器厂商和邮件系统运维服务商的安全配置和安全防护,解
决如何保护邮件数据安全的问题,采用何种方式保护以及规范邮件服务厂商、邮件系统运维
服务商,以及各级政务部门、研究机构、企事业单位等邮件服务器的安全,从而实现对电子
邮件信息内容和个人隐私保护是需要解决的主要技术难点。
本标准主要框架如下:
1范围
2规范性引用文件
3术语,定义和缩略语
4安全体系架构
5邮件服务器安全要求
6支撑系统安全要求
附录A(资料性附录)电子邮件系统组成
附录B(资料性附录)安全技术应用模型
(二)本标准在确定主要内容时主要基于如下几个方面:
1)针对邮件服务器面临的安全风险,为有效抵御邮件服务器内部以及外在威胁,提出
邮件服务器安全体系架构,体现邮件服务器技术、运行、管理的整体安全性。
2)从邮件应用系统安全、web服务安全、中间件安全、数据库安全、操作系统安全和
硬件安全等方面提出邮件服务器安全要求,包括基本要求和增强要求。
3)从邮件客户端安全、管理安全、存储传输安全、运行安全和云计算环境安全等方面
提出了支撑系统安全要求,其中针对邮件客户端安全、存储传输安全和云计算环境
安全分别提出了基本要求和增强要求。
(三)有关内容的几点说明
1)对邮件服务器的要求
通过对邮件服务器硬件、操作系统、数据库、Web服务、中间件、应用系统等方面的
认证机制、访问策略、审计功能等提出要求,规范了邮件服务器自身安全,实现对电子邮件
信息内容和个人的隐私保护。
2)对支撑系统的要求
通过对电子邮件数据加密存储/传输、垃圾邮件的过滤、恶意代码的防范、主机的安全
监测以及邮件客户端的安全、云环境的安全等方面进行规范,实现邮件服务器的安全运行和
安全管理。
要解决邮件服务器的安全,主要考虑以下三方面:
关于身份鉴别,需鉴别收件人、发件人的身份,防止冒充身份。
关于传输安全,邮件在客户端与邮件服务器之间、邮件服务器之间传递保证安全,防止
泄密。
关于存储安全,邮件在邮件服务器上存储过程要安全,防止泄密。
3)关于本标准附录A的说明
为了清晰的描述邮件服务器结构组成,在附录A中给出邮件服务器结构示意图。邮件
服务器由邮件客户端、邮件服务器和外围安全防护设备三部分组成。
4)关于本标准附录B的说明
根据本标准给出的邮件服务器安全体系架构和安全要求,在附录B中将安全技术模型
分为两类:通用加密邮件应用模型和云平台加密邮件应用模型。为设计、建设和使用邮件服
务提供参考应用模型。
五、与相关法律法规及国家有关规定、国内相关标准的关系
1)与国家标准《信息安全技术服务器安全技术要求》(GB/T21028-2007)的关系
本标准的编制参考了《信息安全技术服务器安全技术要求》(GB/T21028-2007)的部
分内容。
2)与相关法律法规及国家有关规定的关系
参照《随机性检测规范》(GM/T0005-2012)、《可信计算可信密码模块接口规范》(GM/T
0012-2012)、《可信计算可信密码模块符合性检测规范》(GM/T0013-2012)、《智能密码钥
匙密码应用接口规范》(GM/T0016-2012)、《智能密码钥匙密码应用接口数据格式规范》
(GM/T0017-2012)、《密码设备应用接口规范》(GM/T0018-2012)、《动态口令密码应用
技术规范》(GM/T0021-2012)等标准规范,对数据加密、身份认证等部分的安全要求进行
了编制。
六、有关问题的说明
本标准适用于各级政务部门、研究机构、企事业单位等的互联网邮件系统、电子政务外
网邮件系统、电子政务内网邮件系统或单位专网邮件系统的设计、建设、使用和测试评估,
也适用于相关产品
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 个性化药物行业市场需求变化带来新的商业机遇分析报告
- 农村有机农业行业市场需求变化带来新的商业机遇分析报告
- 广东省揭阳市普宁市2023-2024学年六年级下学期期末考试英语试卷
- 小学学校2024-2025学年教学教研工作计划
- 反馈教学法在中学语文教学中的运用
- 2024届江西省高三下学期压轴模拟一物理试卷(解析版)
- 四川省攀枝花市(2024年-2025年小学四年级语文)部编版摸底考试(下学期)试卷及答案
- 2024年江苏省宿迁市沭阳县数学六年级第一学期期末经典试题含解析
- 2024年江苏省苏州市相城区数学六年级第一学期期末经典模拟试题含解析
- 2024年湖南省岳阳临湘市政务服务大厅工作人员招聘30人历年高频500题难、易错点模拟试题附带答案详解
- 2024年电力行业风力发电运行检修职业技能考试题库(含答案)
- 《沥青路面智能化摊铺压实技术规范》
- 2024海南天涯人力资源管理服务限公司招聘30人历年(高频重点提升专题训练)共500题附带答案详解
- 注意力聚焦与人机交互设计
- 新课标PEP小学英语三年级上册全册教案
- 大型设备平移方案
- 学校食堂消毒知识与方法培训
- 2024-2029年结构健康监测行业市场现状供需分析及重点企业投资评估规划分析研究报告
- 胃管置入术知情同意书
- (正式版)HGT 6313-2024 化工园区智慧化评价导则
- 通信行业服务意识培训课件
评论
0/150
提交评论