电子邮件管理规范

中国石油信息安全标准编号：中国石油天然气股份有限公司电子邮件安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司前言随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推动，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实行的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实行。本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目的在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下：整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。对于13个《规范》中具有一定共性的内容我们整理出了6个《标准》横向贯穿整个架构，这6个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这6个标准组合成一本通用的安全管理标准单独成册。全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据防止——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。本规范由中国石油天然气股份有限公司提出。本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位：中国石油制定信息安全政策与标准项目组。说明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina）指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC）指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet）指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet）指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网是从中国石油总部连接到各个下属各地区公司的网络部分，涉及中国石油总部局域网、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是运用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。局域网与园区网局域网通常指，在一座建筑中运用局域网技术和设备建设的高速网络。园区网是在一个园区（例如大学校园、管理局基地等）内多座建筑内的多个局域网，运用高速信道互相连接起来所构成的网络。园区网所运用的设备、运营的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所运用的设备、运营的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络指地区公司下属单位的网络的总和，也许是局域网，也也许是园区网。专线与拨号线路从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道也许用来连接不同地区的局域网或园区网，也也许用于连接单台计算机。石油专网与公网石油专业电信网和公共电信网的简称。最后一公里问题建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见《中国石油局域网标准》。目录TOC\o"1-2"\h\z\u第1章 概述 71.1 概述 71.2 目的 71.3 范围 71.4 规范引用的文献或标准 81.5 术语和定义 8第2章 电子邮件系统安全 112.1 服务器安全 112.2 客户端安全规范 262.3 邮件内容 292.4 系统运营维护安全 31第3章 帐号管理安全 403.1 邮件帐号的命名规范 403.2 口令安全策略 413.3 邮件帐号的开户 413.4 邮件帐号的调整和注销 423.5 邮件运营维护管理规范 44第4章 用户使用电子邮件规范 46附录A：《中国石油公司邮件用户遵守协议》 47附录B：《邮件用户开户申请表》 48附录C：《用户信息变更表》 49附录D：《邮件用户销户申请表》 50附录1 参考文献 51附录2 本规范用词说明 52概述概述电子邮件作为最常用的信息互换手段和通讯方式，已成为中国石油不可或缺的通讯工具。电子邮件系统已成为中国石油信息系统的基础设施之一。为保护电子邮件系统安全可靠运营，保护公司信息交流和通讯的可用性和安全性，从而保障中国石油信息系统的安全，特制定本规范。本规范从电子邮件的技术、管理和使用三方面提出安全规定，涉及邮件服务器安全、邮件操作系统安全、邮件内容安全、用户管理和用户使用安全5部分。目的保障中国石油电子邮件系统安全、可靠运营，即保护电子邮件系统的可用性，保护中国中国石油电子邮件的机密性和完整性，规范中国石油用户安全使用电子邮件。合用范围本标准规定了中国石油邮件系统的技术、管理和使用的安全。本标准合用于中国石油电子邮件系统的安全的维护和管理、用户的安全使用和管理。规范引用的文献或标准下列文献中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示以下版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的也许性。GB17859-1999计算机信息系统安全保护等级划分准则GB/T9387-1995信息解决系统开放系统互连基本参考模型（ISO7498:1989）GA/T391-2023计算机信息系统安全等级保护管理规定ISO/IECTR13355信息技术安全管理指南NIST信息安全系列——美国国家标准技术院英国国家信息安全标准BS7799信息安全基础保护ITBaselineProtectionManual(Germany)BearingPointConsulting内部信息安全标准RUSecure安全技术标准信息系统安全专家丛书CertificateInformationSystemsSecurityProfessional术语和定义访问控制accesscontrol一种安全保证手段，即信息系统的资源只能由被授权实体按授权方式进行访问，防止对资源的未授权使用。授权authorization授予权限,涉及允许基于访问权的访问。可用性availability数据或资源的特性，被授权实体按规定能及时访问和使用数据或资源。密文ciphertext经加密解决而产生的数据,其语义内容是不可用的。注:密文自身可以是加密算法的输入,这时候产生超加密输出。明文cleartext可理解的数据,其语义内容是可用的。计算机犯罪computercrime借助或直接介入信息解决系统或计算机网络而构成的犯罪。刑法明确规定侵入国家事务、经济建设、国防建设、尖端科学技术领域的计算机信息系统，故意破坏数据、应用数据、故意制作、传播破坏性程序等行为构成计算机犯罪。计算机病毒ComputerVirus是指编制或者在计算机程序中插入的破坏计算机功能或者毁坏数据，影响计算机使用，并能自我复制的一组计算机指令或者程序代码。保密性confidentiality使信息不泄露给非授权的个人、实体或进程,不为其所用。非军事化区demilitarizedzoneDMZ作为组织网络的进入点，负责保护安全区域边界或外部连接。服务拒绝denialofservice（DoS）是一种导致计算机和网络无法正常提供服务的袭击，资源的授权访问受阻或关键时刻的操作的延误。数字署名digitalsignature添加到消息中的数据，它允许消息的接受方验证该消息的来源。加密encipherment通过密码系统把明文变换为不可懂的形式。穷举袭击forceattack通过尝试口令或密钥也许有的值，违反计算机安全的企图。入侵者以破译用户口令作为袭击的开始，然后采用字典穷举法，破译口令。完整性integrity在防止非授权用户修改或使用资源和防止授权用户不对的地修改或使用资源的情况下,信息系统中的数据与在原文档中的相同，并未遭受偶尔或恶意的修改或破坏时所具的性质。入侵检测intrusiondetection自动检测网络数据流中潜在入侵、袭击和滥用方式，提供了网络安全保护功能。它位于被保护的内部网络和不安全的外部网络之间，通过实时截获网络数据流，寻找网络违规模式和未授权的网络访问尝试。漏洞loophole由软硬件的设计疏忽或漏洞导致的能避过系统的安全措施的一种错误。恶意代码maliciouscode在硬件、固件或软件中所实行的程序，其目的是执行未经授权的或有害的行动。最小特权minimumprivilege主体的访问权限制到最低限度，即仅执行授权任务所必需的那些权利。一次性口令one

time

passwordOTP在登录过程中加入不拟定因素，使每次登录过程中传送的信息都不相同，以提高登录过程安全性。口令password用来鉴别实体身份的受保护或秘密的字符串。渗透测试penetrationtesting组织专门程序员或分析员进行系统渗透，以发现系统安全脆弱性，通常会模拟黑客真实环境和手段进行测试以发现系统安全漏洞。物理安全physicalsecurity为防范蓄意的和意外的威胁而对资源提供物理保护所采用的措施。

安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合。安全审计securityaudit为了测试出系统的控制是否足够,为了保证与已建立的策略和操作相符合,为了发现安全中的漏洞,以及为了建议在控制、策略中作任何指定的改变,而对系统记录与活动进行的独立观测。安全配置secureconfiguration控制系统硬件与软件结构更改的一组规程。其目的是来保证这种更改不致违反系统的安全策略。安全策略securitypolicy规定机构如何管理、保护与分发敏感信息的法规与条例的集合。安全规范securityspecifications系统所需要的安全功能的本质与特性的具体述。安全测试securitytesting用于拟定系统的安全特性按设计规定实现的过程。这一过程涉及现场功能测试、穿透测试和验证。威胁threat一种潜在的对安全的侵害以破坏、泄漏、数据修改和拒绝服务的方式，也许对系统导致损害的环境或潜在事件。垃圾邮件unsolicitedbulkemail是指与内容无关，传送给多个收件者的邮件或张贴物，而收件者并没有明确规定接受该邮件。也可以是传送给与邮件主旨不相关的新闻组或者清单服务器的同一邮件的反复张贴物。弱点vulnerability导致破坏系统安全策略的系统安全规程、系统设计、实现、内部控制等方面的薄弱环节，在信息系统中能被威胁运用产生风险。电子邮件系统安全服务器安全物理安全物理安全是整个中国石油公司电子邮件系统安全的基础。电子邮件系统物理安全是保护电子邮件系统物理设备免遭环境事故、人为操作失误及各种计算机犯罪行为导致的破坏，保证邮件服务器及相关设备的可用性和完整性。其中涉及：应将邮件服务器放置在机房环境中，机房安全标准必须符合《中国石油机房安全管理规范》。中心站点应采用机房和机柜的两层物理保护。重要设备应采用冗余备份。邮件服务器应采用双电源设计，应配备UPS不间断电源。不宜直接访问邮件服务器的光驱、软盘。对具有USB接口的邮件服务器设备，应在BIOS中设立禁用USB以及其它不被使用的端口设备，例如并口、不被使用的串口等。相应的网络设备也应保证可靠和安全，防止意外导致的网络故障。其它物理和环境安全规范参照《中国石油股份有限公司硬件设备安全管理规范》和《中国石油股份有限公司机房安全管理规范》网络基础设施安全（有关网络基础设施安全请参照《中国石油网络安全管理规范》）邮件服务器的网络位置不应将公用邮件服务器与中油内部网络应用放在同一安全域中，否则会威胁内部网络安全。邮件服务器的网络位置应遵照《中国石油电子邮件技术设计》规定。DMZ非军事化区模式将邮件转发服务器设立在DMZ中，以减小的安全风险；通用的DMZ有3种模式，公司应根据业务特点和安全需求选择适合模式：单一防火墙DMZ模式，见图2-1；双防火墙DMZ模式，见图2-2；三接口DMZ模式，见图2-3；图2-1单一防火墙DMZ模式此模式的安全重要依靠路由器的安全功能来抵御网络袭击。此模式不合用于大型公司，单靠路由器无法防止邮件应用层的袭击（如SMTP、POP、IMAP协议自身弱点），此外路由器也不能提供邮件的病毒扫描。图2-2双防火墙DMZ模式此模式较为常用，它提供了较高的安全性能，比较两防火墙可以进行邮件服务器出入流量分析，可以检测和防止对邮件服务器的应用层袭击。但假如此模式的安全规则定义的太严格，也许导致网络性能减少。图2-3三接口防火墙DMZ模式此模式结合了单一防火墙和双防火墙DNZ两种模式的特点，是一个综合方案。邮件网关为提高邮件服务器的安全级别，提供多一层的保护方式，使用邮件网关作为联接Internet和真正邮件服务器的代理，避免Internet与邮件服务器的直接通讯。如图2-4所示。图2-4邮件网关模式防火墙的安全规则配置防火墙、路由器、入侵检测（IDS）和互换机作为网络的基础设施在中国石油公司信息安全中担当了重要角色，假如配置不妥也会成为安全漏洞或被袭击弱点，应根据安全策略严格配置规则选项。邮件服务器的安全应依赖于网络基础设施的整体安全，而不应仅依赖单一要素如防火墙，应使用安全组件组合方式使安全效果达成最佳。邮件服务器作为是公司最易受袭击的目的之一，路由器和防火墙作为邮件服务器的第一道防线，除开放下列端口对邮件服务器的访问外，应关闭其它端口对邮件服务器的访问：TCP25端口(SMTP)TCP110端口(POP3)TCP143端口(IMAP)TCP398端口(轻量级目录访问协议[LDAP])TCP636端口(安全LDAP)内部防火墙应阻断外部POP3协议，严禁内部用户通过POP3方式接受公司外部邮箱的邮件。入侵检测系统（IDS）应根据需要部署基于主机和基于网络的入侵检测系统(IDS)基于网络的IDS可以同时监控多个主机和网段，可以发现更多的基于网络的袭击的类型，并且容易对正在进行的网络袭击提供一个全面的视图。IDS必须经常更新网络袭击的特性数据库（例如每周一次），以使它们可以检测新的袭击。为了保护邮件服务器，必须保证配置IDS完毕以下功能：监控进出邮件服务器的网络通信；监控邮件服务器上重要文献的修改(基于主机或者文献完整性检查器)；监控在邮件服务器上可用的系统资源（基于主机）；（与防火墙一起）屏蔽袭击网络的IP地址或子网；把发生的袭击告知网络管理员或者邮件服务器管理员；尽也许检测到网络扫描和袭击，同时不产生太多的误报。记录事件日记，涉及以下的细节：时间/日期袭击者的的IP地址袭击手段的标准名称源和目的的IP地址源和目的的端标语袭击使用的网络协议日记文献审计规定应记录并保存网络设备的日记文献供检查和审计使用。网络设备的相关设立和日记应使用专用的备份机制进行备份（如专用磁带机备份），不应将网络设备的日记文档备份在联网的服务器上。应由专人负责定期查看路由器、防火墙、入侵检测等网络设备的日记文献，并对日记进行分析，给出分析记录报告。应由专人查看警告信息，并对警告信息进行分析解决。对网络安全事故进行分级，并对每次发生的安全事故进行分析解决，作出分析解决报告和漏洞修补建议，避免类似事故发生。中国石油总部和各下属公司应建立应急事件响应流程，保证公司可以快速解决安全应急事件。

邮件系统网络架构安全状况检查表是否完毕安全措施邮件服务器网络位置□邮件服务器位于内部网中并由邮件网关和/或防火墙保护邮件转发代理服务器器处在DMZ区（非军事化区)内防火墙配置□邮件服务器由防火墙保护□邮件服务器由应用层网关来保护□防火墙控制Internet和邮件服务器间的所有通信□如有特殊规定，防火墙应屏蔽除TCP25端口(SMTP)、TCP110端口(POP3)、TCP143端口(IMAP)、TCP398端口(LDAP)和TCP636端口以外的所有目的地是邮件服务器的访问数据□防火墙（与IDS协同工作）屏蔽IDS报告的正在袭击组织网络的IP地址或子网□防火墙通过合适的方法将可疑的网络行为告知网络管理员和邮件服务器管理员□防火墙提供内容过滤功能（应用层网关）□设立防火墙来防止DoS袭击□防火墙记录重要事件□防火墙和防火墙所用的操作系统安装了最新的补丁入侵检测系统□配置IDS在防火墙后监控进出邮件服务器的网络通信□配置IDS来监控邮件服务器上重要文献的改动□IDS（与防火墙协作）屏蔽正在袭击组织网络的IP地址或者子网□IDS通过合适的方法将袭击告知网络或者邮件服务器管理员□配置IDS，在允许的误报比例下尽也许提高检测的成功率□配置IDS记录事件日记□经常更新IDS的新的袭击特性（例如每周一次）网络互换机□用网络互换机防护网络监听□配置网络互换机到高安全模式来防护ARP欺骗和ARPpoisoning袭击□配置网络互换机来发送网段的所有通信信息到IDS主机（基于网络的）

操作系统的安全操作系统加固（见图2-1操作系统安全加固流程）操作系统漏洞确认流程系统管理员通过检查事故日记报告、查找系统漏洞，检索公司内部的弱点漏洞资源库，搜索供应商和其他权威组织（如CVE标准）发布的最新漏洞修补公告，确认系统漏洞。操作系统修补流程（见图2-2操作系统修补程序部署流程）对需要部署的系统修补程序，应在模拟环境中进行测试、验证，以保证在实际使用环境中可以完毕系统漏洞修补，并保证不带入新的系统弱点和漏洞。在中国石油电子邮件系统中，所有需要部署的修补程序都应通过测试环节。不应采用自动更新的方式，而应使用统一测试、分布应用的方式：中心站点管理员负责监控Windows2023和Exchange2023的修补程序更新情况。对于需要应用的修补程序，由中心站点管理员在测试环境中应用。检查修补程序应用后，系统的运转情况是否良好。同时，检查修补程序是否能通过TerminalService来安装。中心站点管理员将修补程序下发到各地区公司的邮件服务器上（Hotfix可通过文献共享，ServicePack通常需要刻光盘并下发）。假如修补程序能通过TerminalService来安装，则由中心站点管理员负责实行补丁。安装最新的ServicePack和安装最新的ServicePack和修补程序了解安全风险锁定测试环境下的服务器修改锁定组策略服务器是否仍在执行工作任务应用到工作服务器并进行验证定期查看审计日记检查缺少的修补程序检测到也许的事件缺少修补程序执行事件响应过程下载并在非生产环境中测试修补程序将修补程序应用到生产服务器修补程序管理服务器安全风险评估获得安全保持安全是否是是否否审记和入侵检测事件响应 图2-1操作系统安全加固流程

分析环境是否分析环境是否缺少修补环境测试修补程序向供应商或技术支持报告问题是否需要新的修补程序？计划部署修补程序并创建恢复计划监控生产服务器上的修补程序服务器是否运营正常？问题是否解决？审核修补过程是否执行原始状态恢复程序是部署修补程序是否否 图2-2操作系统修补程序部署流程

假如修补程序不能通过TerminalService安装，则针对每台服务器临时创建系统管理员帐号，并写清楚安装环节，让地区公司服务器管理员在指定期间内完毕系统修改，临时系统管理员帐号应及时删除。在中国石油电子邮件系统的系统更新升级中，可以运用Microsoft网络安全即时修复程序检查器(Hfnetchk)来实现修补程序检查。关闭不必要的服务和应用遵循最小权限安装原则，保存或开放邮件服务器所规定的最小服务选项和应用选项邮件操作系统宜关闭下列功能：文献和打印机共享(WindowsNetBIOS/fileandprintersharing)网络文献系统(NetworkFileSystem(NFS))远程登录(Telnet)简朴网络管理协议(SimpleNetworkManagementProtocol(SNMP))文献传输协议(FTP)网络信息系统NetworkInformationSystem(NIS)语言编译器和编译库(Languagecompilersandlibraries)系统开发工具(Systemdevelopmenttools)网络管理工具(Networkmanagementtoolsandutilities(假如没有特殊规定))其它功能根据需要经安全测试后启动操作系统的用户管理严格管理超级用户权限的使用，保证只有系统管理员有权使用超级用户权限，并严格限制拥有超级用户权限的系统管理员不得超过4人。应合理分派邮件服务器系统管理员的权限。假如不需要远程网络管理，应禁用管理员或者root级别帐户从网络登录的权限。应对访问系统的用户进行严格认证。删除或者禁用所有不必要的默认帐户（如guest帐号）及帐户组。建立用户组，将用户分派到合适的用户组中，为用户组分派适当的权限。仅建立必要的帐户，禁用或者限制使用共享帐户。设立帐户和口令安全管理策略（有关口令的安全策略请参照《通用安全管理标准》中的口令安全标准）口令长度，指定口令最小长度（例如8个字符）；口令复杂性，规定口令必须是字母和数字的组合，并且不是字典上的词；口令过期，口令更新的期限应根据强制的口令长度和复杂性及受保护的信息的重要限度的组合来拟定，系统管理员和超级用户的口令每隔30天到120天修改一次；防止穷举袭击，登录失败次数达成一定数量（例如3次）后应拒绝登录请求，并暂时挂起该用户（例如10分钟）；应记录网络和控制台所有的登录失败请求。假如有必要，邮件服务器可以结合使用其它的认证机制，例如生物辨认，智能卡，或者一次性口令系统等。资源访问控制应单独指定对系统文献、目录、设备和其它计算机的资源访问权限；例如拒绝对文献和目录的查看有助于保护信息的保密性，而拒绝不必要的写（修改）访问有助于维护信息的一致性。与系统相关的工具的执行权限应仅限于授权的系统管理员，防止由于用户变配置而导致安全问题，同时可限制入侵者使用这些工具来袭击本地系统或者网络上的其它系统。邮件应用系统安全更新和修补邮件应用系统参照本规范款“操作系统加固规定流程”。关闭或删除不必要的服务和应用参照本规范款规定邮件应用系统用户管理严禁邮件应用系统以超级用户的权限运营系统。保证只有一个严格控制访问权限的用户ID和组ID可以运营邮件服务，这些用户和组应与系统的其它用户和组严格区分。针对邮件系统用户设立文献、设备和资源的访问控制权限邮件服务器资源的访问控制限制邮件服务器对系统资源的访问权限。限制用户额外的访问控制权限。典型需要控制的访问文献一般涉及：应用程序和配置文献；和安全机制直接相关的文献，涉及：口令文献或者其它认证需要的文献包含认证信息以及在访问控制中需要用到的文献与保密性、完整性和不可否认性安全服务相关的密钥体系服务器日记和系统审核文献；系统软件和配置信息；对于必须访问的系统资源设立只读属性，例如服务器日记。邮件服务器生成的临时文献应保存在指定的子目录中，并严加控制。邮件服务器创建的临时文献仅限于邮件服务器使用。邮件服务不应在指定的文献结构以外存储文献，这些存储文献和目录不应被其它系统和用户访问。为防止DoS袭击，可限制邮件服务器的使用资源，例如将用户的邮箱设立到其他的硬盘或逻辑分区上，而不应设立到操作系统或者邮件应用服务的分区上。应限制附件的大小。

邮件服务器操作系统和应用系统安全检查表是否执行安全措施邮件服务器的安全配置和部署□拟定邮件服务器的功能□拟定需要通过邮件服务器存储、解决和传输的信息类别□拟定信息的安全规定□拟定专用的主机来作为邮件服务器□拟定邮件服务器需要提供或支持的网络服务□拟定邮件服务器的用户和用户组，并拟定每类用户的权限□拟定邮件服务器的用户认证方法为邮件服务器选择合适的操作系统□最小特权的安装原则，防止弱点暴露□严格控制管理员和超级用户在授权的人员范围内□邮件服务器可以拒绝无法验证信息的信息访问□禁用操作系统或者服务器软件自带的不必要的网络服务□选择经验丰富的系统管理员来安装、配置、维护、管理操作系统更新操作系统，并安装补丁□找到并安装所有必要的操作系统补丁，并经常更新系统□找到并安装操作系统运营的应用程序和服务的所有必要的补丁，并经常进行更新删除或禁用不必要的服务和应用□删除或禁用不必要的服务和应用配置操作系统用户认证□删除或禁用不必要的默认帐户和用户组□禁用非交互帐户□为不同用途和级别的用户计算机建立不同的用户组□为特殊的计算机建立用户帐户□检查组织的口令政策（例如长度、复杂性），并相应设立帐户的口令□配置系统，防止暴力破解口令，在登录企图失败超过次数限制后应拒绝登录□安装和配置其他的安全机制来加强认证测试操作系统安全性□在初始安装后测试操作系统的漏洞□定期测试操作系统来发现新漏洞客户端安全规范客户端的加固和修补应建立公告机制，定期或实时发布安全弱点、漏洞报告和补丁更新告知IE浏览器的安全直接影响Outlook和客户邮件的安全，应建立机制和渠道及时告知并提供软件包供用户修补漏洞（常用的补丁更新网站：Eudora:LotusNotes:MicrosoftOutlook:MicrosoftOutlookExpress:Netscape:）客户端安全设立应遵照邮件系统管理员的指导或供应商的建议配置客户端。 用户认证与访问当用户以POP和IMAP方式远程接受邮件时，规定进行身份认证，即需要验证用户名和口令。用户不宜采用让系统自动记住口令的方式。用户接发邮件宜采用SSL/TLS加密安全传输方式，不宜采用SMTP明文方式。客户端安全检查表是否执行安全措施安装补丁并更新邮件客户端□更新邮件客户端为最安全的版本□为邮件客户端安装所有必要的补丁（同时符合组织的政策和配置管理机制）□对于与浏览器集成的邮件客户端（例如，Outlook和Netscape）,为浏览器安装所有必要的补丁邮件客户端安全□禁用自动邮件预览□禁用自动打开新邮件□禁用动态内容解决（假如可以的话）□使用安全的认证和访问□严禁邮件客户端存储用户名和口令□配置客户端使用数据加密（S/MIME,PGP）□配置客户端只存储加过密的收件□只安装和使用绝对必要并且来源可信的插件□配置基于Web的邮件只能通过使用128位的SSL/TLS来进行访问□教育用户关于基于Web的邮件的安全危险MicrosoftOutlook特定的配置□禁用下载署名的ActiveX控件□禁用下载未署名的ActiveX控件□禁用Java□禁用在IFRAME内启动程序□禁用动态脚本□禁用Javaapplet脚本Eudora特定的配置□禁用“在HTML中包含可执行代码”□禁用Microsoftviewer□禁用MAPINetscape特定的配置□不选“使用Java”□不选“在邮件和新闻中使用JavaScript”□不选“用email地址作为匿名FTP站点的口令”□删除Netscape的MicrosoftActiveXPortabilityContainer邮件内容防病毒和恶意代码袭击邮件系统应采用防病毒控制措施：每台邮件服务器应统一部署操作系统级的防病毒系统，目前中国石油由Symantec公司提供了防病毒软件W2K版本支持。SMTP网关应配置防病毒软件，扫描每一个入站邮件（并且还涉及所有的出站邮件），以检测和清除所有的感染内容。应在ExchangeServer邮箱存储上安装防病毒系统。客户端的病毒防治，按中国石油统一采用的防病毒策略执行。邮件系统应采用的防病毒防止措施：在得到明确的病毒告知后，应通过邮件告知用户新病毒的特性，以及应对措施。应通过EIP信息门户公告最新病毒信息，并使用任何实时告知系统（如语音邮件等）告知用户。告知相关方面后，应尽力防止病毒的传播。假如尚没有修补方案，在最坏的情况下宜限制邮件在组织内外的流动（例如，禁用连接器和也许的网络连接）。一旦有了解决方案，就应建立机制负责部署各个病毒供应商的更新程序。可以使用电子邮件系统作为向本地管理员分发修补程序的手段。病毒解决流程病毒发作时，帐号管理员应立即将限制受感染的用户发送邮件大小的“MaximumKB”改为1k；帐号管理员应及时告知中心管理员，中心管理员负责清理服务器上的邮件；确认病毒清除后，才可将用户的邮件发送大小限制改为“UseDefaultlimit”内容过滤邮件的内容或者附件也许比病毒或者恶意代码对组织产生更大的安全危害。分析路由器、防火墙和邮件服务器日记文献，应根据安全规则制定邮件过滤器规则；邮件服务器的过滤器应根据规则来扫描通过邮件服务器的邮件和附件，查询可疑字段内容（如涉及违反国家法律、涉及泄露公司信息等字段）；应将过滤器捕获的包含可疑动态内容的邮件中的动态内容去掉，然后发送给接受者；对扫描到的违反规则的邮件进行监视、隔离、留置、清除、屏蔽或者删除。反垃圾邮件邮件系统应规定SMTP身份认证，以确认发信人身份。接受外域邮件时，当每封信收件人超过一定数量（如20人）时，系统将拒收该邮件。邮件系统中应加入反垃圾邮件模块。针对用户投诉和管理员搜集的与垃圾邮件有关的IP地址和关键字加以拒收。系统运营维护安全系统的更新和修补参照本规范2.2条操作系统安全和2.3条邮件系统应用安全规定。系统日记应记录并保存系统的日记文献供安全审计和检查使用。应将日记文献存放在另一个物理独立的服务器中。日记文献应当定期归档和备份。应将邮件服务器的日记功能设为最高级（例如“最大”，“最具体”）并保证以下的内容可以计入日记。本机系统相关日记IP栈犯错信息解析器配置问题(例如DNS,NIS,WindowsInternetNamingService[WINS])邮件服务器配置错误(例如DNS不匹配，本机系统配置错误，别名服务器过期)系统资源局限性（如磁盘空间，内存，CPU）别名数据库重建系统登录和连接日记系统登录日记（成功和失败信息）安全信息（例如垃圾邮件）网络问题协议犯错连接超时拒绝连接VRFY和EXPN命令消息相关日记发送方信息地址报错信息邮件信息收集记录犯错信息生成发送失败信息发送延时信息应提供日记自动分析工具以帮助减轻管理员的承担。应定期查看系统的日记文献，并对日记进行分析。应根据以下因素拟定日记查看的频度：服务器的信息资产价值邮件服务器的流量负载服务器的威胁等级（敏感站点的日记检查频度应相对较高）特殊时间（例如在威胁容易发生的特殊时间，则应增长日记检查频度文献）邮件服务器自身的弱点有可疑征兆的时，应天天检查日记系统备份邮件服务器的备份是管理员为保证系统数据完整而应履行的重要职责，良好的系统备份能保证系统在遭受损失或出现故障时快速恢复；应由系统管理员负责操作系统、应用系统和邮件目录的备份；系统安装后应做一次完全备份定期（如每两周）将邮件目录备份内容写到磁带上或刻录到光盘上可选用的备份方式：完全备份，将服务器上涉及操作系统、应用程序和数据在内的所有东西都进行备份（该备份资料是邮件服务器的完整镜像）；增量备份，只备份前一次备份以后的数据变化；差异备份，只备份前一次完全备份以后的变动数据。根据下面因素选择备份方式和备份频度（例如每日、每周备份、每月备份或者在重大事件发生的时候备份）：服务器数据和配置的稳定性备份的数据量是否具有备份设备和介质是否有时间信息资产重要性邮件服务器的受威胁等级假如没有数据备份，数据重建需要的时间邮件服务器自身的数据冗余特性（例如是否有冗余磁盘阵列，镜像）备份和归档的时候，必须注意以下几点：宜使用不可擦写的介质，以免意外删除和改动数据应回放检查备份数据，保证数据对的备份和归档应将备份时间信息置入存储介质应为备份介质建立易于检索的索引宜在不同地点保存两个副本系统恢复应建立相应系统恢复的应对策略和解决流程；流程应明拟定义系统遭遇袭击时应当采用的环节以及顺序；邮件系统管理员在发现系统受损后宜采用以下环节：向相关领导报告查询公司组织的安全政策隔离受损系统，收集更多的袭击信息以便于系统的恢复和修补查询其它系统是否遭受过类似袭击分析袭击类型：系统软件和配置修改痕迹数据的修改痕迹分析和清理袭击者留下的数据和工具检查系统日记、入侵检查和防火墙等防护措施的日记恢复系统重装系统或者从备份系统中恢复（这样做也许有风险，必须保证备份自身没有受到损害）禁用不必要的服务实行安全补丁修改所有系统口令（涉及未受损系统）重新配置网络安全组件(防火墙，路由器，IDS)，增进安全措施测试系统安全性重新连接入网络监控系统和网络，查看是否又有袭击征兆记录总结经验教训系统管理员在考虑是否重装系统还是从备份系统中恢复时需要权衡以下因素袭击者窃取的访问控制等级（例如root,system,user,guest,）袭击类型（内部还是外部）袭击目的（窃取资料、破坏数据等）袭击方法系统袭击过程中和攻陷后黑客的行为系统受损连续的时间波及范围管理层和法律部门意见邮件服务器系统安全定期测试制定安全测试流程，在不影响系统可用性的情况下，应定期测试操作系统的安全性，发现系统弱点和漏洞，并采用相应加固措施。为保证操作系统与邮件服务器及时更新，必须定期进行弱点扫描。必须或至少每月进行一次弱点扫描，以保证现行的各项保护措施发挥作用，保证邮件服务器管理员所采用的安全补丁的有效性。应检测安全措施的应用限度以及是否满足安全策略的规定。宜考虑运用一种以上的扫描程序。应记录并及时纠正扫描发现的弱点。根据下述的弱点扫描和渗透测试的功能选择合用的测试手段：弱点扫描具有以下功能：确认网络中运营的主机确认主机上容易受到袭击的运营服务（端口）确认操作程序和应用程序的弱点渗透测试具有以下功能：运用黑客的方法和工具测试网络脆弱性检查是否存在弱点进一步发现弱点的本质特性证明弱点的实际性为安全问题提供现实的证据对流程和人员因素进行测试和改善邮件系统的远程管理宜在评估风险水平后，再考虑设立邮件系统的远程管理。严禁使用远程系统管理。不宜使用单位网络外的主机进行远程管理，内部网的远程管理和内容更新相对比较安全。假如单位不得不进行远程管理和内容更新，就必须尽也许的遵循以下环节：应采用强身份认证机制(例如，公钥和秘钥配对，双因子认证)；应限制主机在邮件系统上的远程管理和内容更新：授权用户限制IP地址而非主机名内部网内主机宜采用如SecureShell,SecureHypertextTransferProtocol(HTTPS)等可以提供口令和数据双重加密的安全协议，减少使用Telnet,FTP,NFS,orHTTP等协议；应减少远程管理与内容更新的权限；除非运用有力的认证机制如虚拟专用网，严禁通过互联网进行远程管理；严禁在内部网和邮件服务器之间设立文献共享。

邮件系统安全管理检查表是否执行安全措施日记□IP启动栈错误日记□解析器配置错误（DNS，WINS，NIS）日记□邮件服务器配置错误（例如DNS不匹配等）日记□别名数据库过期信息日记□系统资源局限性信息（磁盘，内存，CPU）日记□别名数据库重建日记□安全问题日记□通信犯错日记□协议犯错日记□连接超时日记□连接拒绝日记□VRFY和EXPN命令使用日记□发送代理日记□发送方日记□地址格式错误日记□信息收集记录日记□犯错信息生成日记□发送失败日记□发送延时日记□单独日记服务器□跟踪公司组织规定归档日记□每日日记检查□每周日记检查□自动日记分析工具邮件服务器备份□制定邮件服务器备份策略□每日或者每周增量备份和差异备份□每周至每月的完全备份□定期归档备份受损恢复□异常事件报告□安全政策征询□受损系统隔离和证据收集□向领导、法律部门征询□类似的系统损害的检查□入侵分析□系统恢复□安全测试□连续监控系统防止类似袭击再次发生□记录经验教训安全测试□定期弱点扫描□更新弱点扫描程序□弱点扫描程序缺陷填补□渗透测试远程管理□使用强认证机制（例如公钥算法等）□只限通过内部网络远程管理□使用安全性更高的协议□遵循远程管理权限最小原则，只分派必要的权限□修改远程管理的默认口令□除非使用VPN，否则严禁从internet进行远程管理帐号管理安全邮件帐号的命名规范中国石油电子邮件系统用户帐号的命名应依据以下规则：个人帐号命名规则姓名@可由姓氏的汉语拼音的全拼与名字的汉语拼音的全拼或名字汉语拼音首个字母简写组成。名姓@可由姓氏的汉语拼音的全拼与名字的汉语拼音的全拼或名字汉语拼音首个字母简写组成。对于重名的解决对于重名的邮件帐号可采用a)或b)方式后加数字或下划线加数字的方式解决。单位帐号命名规则公司_部门@可以采用公司、部门的汉语拼音名称或英语名称临时帐号命名规则对于中国石油的一些大型项目，需要使用公司邮件时可以提出申请，经审核批准后注册使用，项目结束后应及时注销。项目名称@不得使用的帐号名不得假冒别人姓名；不得使用有特殊政治、色情、暴力和低档含义的词语作帐号名。口令安全策略（有关口令的安全策略请参参照《通用安全管理标准》中的口令安全标准）长度，指定口令最小长度（例如8个字符）；复杂性，规定口令必须是字母和数字的组合，并且不是字典上的词；口令过期，管理员和root级的用户口令应当在30到120天内更新一次。一般用户的口令必须定期更新，更新的期限应根据强制的口令长度和复杂性及受保护的信息的重要限度的组合来拟定；重用，口令不能与前三次使用的口令相同，用户在改变口令时不得与前次口令反复太多；防止穷举袭击，登录企图失败达成一定数量后（例如3次）应拒绝登录请求，暂时挂起该用户（例如10分钟）。邮件帐号的开户一般开户流程通过审批流程来确认申请用户的信息，由帐号管理员完毕开户操作并记录用户信息：需要开户的用户填写《邮件用户开户申请表》（见附录A）中申请人部分。由人事部门签字认可，提交给帐号管理员。由帐号管理员创建用户，并记录员工信息到本地的《邮件用户信息汇总表》中。帐号管理员填写《邮件用户开户申请表》中管理员和创建日期，并返回《邮件用户开户申请表》给最终用户。帐号管理员更新本单位的《邮件用户信息汇总表》。批量开户流程批量开户的操作是由中心管理员完毕的，帐号管理员负责汇集用户的信息和审批结果并提交给中心管理员：帐号管理员收集需要开户的用户信息，填写《邮件用户信息汇总表》。整理《邮件用户信息汇总表》，保证信息对的，用户登录名没有反复。提交《邮件用户信息汇总表》给中心站点管理员。中心站点管理员批量开户，并可以在用户登录名发生冲突时调整用户登录名。中心站点管理员将最后开户完毕的《邮件用户信息汇总表》返回给帐号管理员。帐号管理员更新《邮件用户信息汇总表》，并告知最终用户开户的信息。邮件帐号的调整和注销帐号调整流程员工由于工作岗位、职务等变动需要调整邮件帐户信息时，帐号管理员应根据人事部门意见及时调整用户信息：人事部门填写《用户信息变更表》（附录B），提交给帐号管理员；帐号管理员根据规定更新用户信息；帐号管理员更新单位的《邮件用户信息汇总表》。帐号注销流程员工由于离职或调动需要注销或限制邮件帐号时，帐号管理员应根据人事部门确认意见及时对邮件帐号作出解决。对于需要保存一段时间的用户帐号，可以在账户上设立失效限制。对于不允许发送邮件的用户，可以将用户加入“邮件禁用组”：人事部门填写《邮件用户销户告知单》（见附录C）。帐号管理员根据人事部门的规定进行销户。假如是调动，需要提交《邮件用户销户告知单》给中心站点管理员来完毕邮箱的移动。帐号管理员更新单位的《邮件用户信息汇总表》。帐号管理员完毕《邮件用户销户告知单》，返回给人事部门，并告知具体用户。邮件运营维护管理规范管理模式——管理权限划分集中式分布管理，总部设立邮件系统域和系统管理员，负责中国石油整个邮件系统的安全策略、系统维护和管理，并负责总部地区的邮件系统、用户维护和管理。除中心站点外有邮件站点单位设立本单位邮件系统管理员和帐号管理员，负责本公司邮件系统、用户的维护和管理。对没有服务器的单位配备帐号管理员来管理本单位的用户。管理员职责——系统管理员、用户帐号管理员邮件域管理员职责对邮件服务器管理员权限的设立和管理对用户管理员权限的设立和管理邮件系统管理员职责邮件路由的设立地址薄复制策略的制定邮件系统安全策略的制定和设立邮件防病毒策略的制定和部署邮件服务器软硬件资源的管理和维护邮件系统软件的安装和优化系统的备份和恢复邮件队列的管理邮件列表的管理邮件系统运营状况的监控邮件帐号管理员职责收集整理用户帐号信息增删和修改用户用户口令、邮箱属性的修改配置和管理用户邮箱管理用户组和组织单元解决最终用户的常见问题整理报告邮件系统的问题用户使用电子邮件规范中国石油鼓励和提倡各部门、各下属单位以公司员工采用公司电子邮件系统进行内外交流。用户应签定并遵守《中国石油公司电子邮件用户遵守协议》。用户应遵守所有使用电子邮箱服务的网络协议、规定、程序和惯例。用户应遵照邮件管理员的规定安装和配置客户端系统，并按公司规定配置邮件客户端安全选项。用户应关注公司关于系统弱点漏洞的公告和病毒防止告知，应按照公告和告知对客户端系统安全漏洞及时安装补丁，并定期进行客户端病毒扫描。邮箱帐号一旦开通，用户应及时修改口令。用户还应经常更改邮箱帐号口令以防止别人盗用。用户应对自己的邮箱帐号和口令的安全负责，不得将邮箱帐号借与别人。一旦发现邮箱帐号口令泄露，应及时更换口令。用户不得试图打开和偷看其他任何未经许可的用户邮箱。若发现邮箱存在任何安全漏洞的情况，应及时告知公司邮件系统管理人员。用户应定期接受邮件，及时删除过时和无保存价值的邮件，也节省公司的网络资源。重要信息的邮件传输应加密并采用安全传输方式。对违反上述规定者，一经核算，邮件系统管理员有权停止或取消该用户邮箱使用权限。附录A：《中国石油公司邮件用户遵守协议》用户必须遵守：从中国境内通过互联网向境外传输技术性资料时必须符合中华人民共和国有关法律、法规；遵守所有使用电子邮箱服务的网络协议、规定、程序和惯例；不得将中国石油公司电子邮箱服务用于非法用途，不得运用公司信箱进行干扰、混乱网络服务或其它影响用户正常使用的行为，不得运用公司电子邮箱服务分发垃圾邮件；保障和维护中国石油公司利益和公司信息资产安全，不得泄露公司机密；用户不得使用电子邮件制作、复制、发布、传播具有下列内容的信息：反对宪法所拟定的基本原则的信息；危害国家安全，泄露国家秘密，颠覆国家政权，破坏国家统一的信息；煽动民族仇恨、民族歧视，破坏民族团结的信息；散布谣言，扰乱社会秩序，破坏社会稳定的信息；散布淫秽、色情、赌博