《信息安全技术 电子邮件系统安全技术要求-编制说明》

一、任务来源

根据国家标准化管理委员会2014年12月下达的国家标准制定任务，国家标准《信息

安全技术邮件服务器安全技术要求》由国家信息技术安全研究中心负责主编。

二、编制原则

本标准属于信息安全技术方面的标准，以自主编写的方式完成。标准编制以国家有关信

息安全技术的政策法规为基本依据，吸取国际上先进的信息安全标准的相关理念，结合我国

当前邮件系统安全管理的发展现状，针对邮件系统安全技术、安全管理和安全运维的体系建

设，在研究如何评价邮件系统安全管理的有效性，以及评价邮件系统安全管理体系有效性的

基础上，完成国家标准《信息安全技术邮件服务安全技术要求》的编制。

同时，为使标准能够满足科学、规范地开展邮件服务器建设、使用和测试评估工作的需

要，客观反映我国邮件系统安全技术、安全管理和安全运维的体系建设，提高标准的可操作

性，在标准制定过程中，还力求做到符合国家的有关政策法规要求；与已颁布实施的相关标

准相协调；与当前国家邮件服务器安全需求相适应；并适度考虑目前处于发展成熟过程中的

技术，保持一定的前瞻性。

三、主要工作过程

(一)标准制定的主要工作过程如下：

1)2014年12月—2015年2月，组建标准编制组，学习查阅我国及有关行业信息安

全法规、政策及规范性文件，调研分析研究国内外邮件服务器安全发展情况、国外相关标准

或安全白皮书，以及政府机关、重要行业、企事业单位、科研院所等部门和单位的互联网邮

件系统、电子政务外网邮件系统或企事业等单位内网邮件系统的需求，提出标准初稿。

2)2015年3月—2015年5月，标准编制组内部完善标准初稿，并以多种形式征求专

家和相关单位意见，形成标准草案。编写标准草案编制说明、意见处理汇总表。

3)2015年6月—2016年6月，工作组按照标准项目专家意见和建议，根据专家意见

进行整理，对《信息安全技术邮件服务安全技术要求》（草案）进行完善和修改。编写标准

草案编制说明、意见处理汇总表。

4)2016年8月，面向WG5工作组92家成员单位公开征集意见，编制组按照各成员

单位意见对标准进行修改。2016年8月26日，经WG5工作组全体会议决定，形成征求意

见稿。

(二)标准征求意见的落实情况如下：

1)项目执行过程中，先后进行了四次专家评审，一次工作组全体会议，共形成了99

条意见，具体内容参见意见汇总表。

2)以国家政务外网为试点单位，进一步了解各党政部门互联网电子邮件安全应用需

求，开展威胁监测和安全检测，完善标准内容；进一步拓展安全邮件系统的部署应用。

3)对行业用户、政府用户的意见征求，包括国家信息中心、上海征信中心、四川省电

子政务外网、湖南省电子政务外网、广西省电子政务外网、云南省电子政务外网、大连市电

子政务外网。

4)对邮件服务器厂商的意见征求，企业包括北京安宁创新网络股份有限公司、北京亿

中邮信息技术有限公司。

四、标准的主要内容及确定内容的依据

(一)本标准的主要内容

针对邮件服务器面临的安全风险，本项目主要从国家标准的角度规范邮件服务器自身安

全和支撑系统安全、规范邮件服务器厂商和邮件系统运维服务商的安全配置和安全防护，解

决如何保护邮件数据安全的问题，采用何种方式保护以及规范邮件服务厂商、邮件系统运维

服务商，以及各级政务部门、研究机构、企事业单位等邮件服务器的安全，从而实现对电子

邮件信息内容和个人隐私保护是需要解决的主要技术难点。

本标准主要框架如下：

1范围

2规范性引用文件

3术语，定义和缩略语

4安全体系架构

5邮件服务器安全要求

6支撑系统安全要求

附录A（资料性附录）电子邮件系统组成

附录B（资料性附录）安全技术应用模型

(二)本标准在确定主要内容时主要基于如下几个方面：

1)针对邮件服务器面临的安全风险，为有效抵御邮件服务器内部以及外在威胁，提出

邮件服务器安全体系架构，体现邮件服务器技术、运行、管理的整体安全性。

2)从邮件应用系统安全、web服务安全、中间件安全、数据库安全、操作系统安全和

硬件安全等方面提出邮件服务器安全要求，包括基本要求和增强要求。

3)从邮件客户端安全、管理安全、存储传输安全、运行安全和云计算环境安全等方面

提出了支撑系统安全要求，其中针对邮件客户端安全、存储传输安全和云计算环境

安全分别提出了基本要求和增强要求。

(三)有关内容的几点说明

1)对邮件服务器的要求

通过对邮件服务器硬件、操作系统、数据库、Web服务、中间件、应用系统等方面的

认证机制、访问策略、审计功能等提出要求，规范了邮件服务器自身安全，实现对电子邮件

信息内容和个人的隐私保护。

2)对支撑系统的要求

通过对电子邮件数据加密存储/传输、垃圾邮件的过滤、恶意代码的防范、主机的安全

监测以及邮件客户端的安全、云环境的安全等方面进行规范，实现邮件服务器的安全运行和

安全管理。

要解决邮件服务器的安全，主要考虑以下三方面：

关于身份鉴别，需鉴别收件人、发件人的身份，防止冒充身份。

关于传输安全，邮件在客户端与邮件服务器之间、邮件服务器之间传递保证安全，防止

泄密。

关于存储安全，邮件在邮件服务器上存储过程要安全，防止泄密。

3)关于本标准附录A的说明

为了清晰的描述邮件服务器结构组成，在附录A中给出邮件服务器结构示意图。邮件

服务器由邮件客户端、邮件服务器和外围安全防护设备三部分组成。

4)关于本标准附录B的说明

根据本标准给出的邮件服务器安全体系架构和安全要求，在附录B中将安全技术模型

分为两类：通用加密邮件应用模型和云平台加密邮件应用模型。为设计、建设和使用邮件服

务提供参考应用模型。

五、与相关法律法规及国家有关规定、国内相关标准的关系

1)与国家标准《信息安全技术服务器安全技术要求》（GB/T21028-2007）的关系

本标准的编制参考了《信息安全技术服务器安全技术要求》（GB/T21028-2007）的部

分内容。

2)与相关法律法规及国家有关规定的关系

参照《随机性检测规范》（GM/T0005-2012）、《可信计算可信密码模块接口规范》（GM/T

0012-2012）、《可信计算可信密码模块符合性检测规范》（GM/T0013-2012）、《智能密码钥

匙密码应用接口规范》（GM/T0016-2012）、《智能密码钥匙密码应用接口数据格式规范》

（GM/T0017-2012）、《密码设备应用接口规范》（GM/T0018-2012）、《动态口令密码应用

技术规范》（GM/T0021-2012）等标准规范，对数据加密、身份认证等部分的安全要求进行

了编制。

六、有关问题的说明

本标准适用于各级政务部门、研究机构、企事业单位等的互联网邮件系统、电子政务外

网邮件系统、电子政务内网邮件系统或单位专网邮件系统的设计、建设、使用和测试评估，

也适用于相关产品