中国石油天然气股份有限公司电子邮件安全管理规范(试行).doc

中国石油天然气股份有限公司 电子邮件安全管理规范（试行） 石油科字〔2003〕196号 前 言 随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全受到广泛的关注。加强企业信息安全管理政策和技术标准的建设成为中国石油信息技术战略顺利实施的重要保障。 依照《中国石油天然气股份有限公司信息技术总体规划》，中国石油制定了本套中国石油天然气股份有限公司信息安全技术标准。本标准体系架构参照了国际、国内和相关行业的同类技术标准及规范，结合了中国石油总部及下属的勘探与生产、炼油与销售、化工与销售、天然气与管道四个专业板块信息安全现状和业务特点，充分考虑了中国石油未来的业务发展对信息安全的需求，目的在于通过建立相关的信息安全标准与规范，提高中国石油信息安全的整体技术水平和管理能力。 中国石油信息安全技术标准总体架构如下： 图1 信息安全技术标准总体框架 整个安全标准技术架构从逻辑上共分7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用标准等。 安全标准共由14本“规范”组成。 安全标准以“信息安全生命周期方法论”作为基本理论指导。 本文——《中国石油天然气股份有限公司电子邮件安全管理规范（试行）》制定了在电子邮件系统运营、使用和管理各个重要环节中与安全相关的控制措施和规范要求。 本规范由中国石油天然气股份有限公司提出。 本规范由中国石油天然气股份有限公司科技与信息管理部归口管理。 本规范由中国石油制定信息安全政策与标准项目组起草。 第1章 电子邮件安全管理规范概述 1.1 概述 电子邮件作为最常用的信息交换手段和通讯方式，已成为不可或缺的通讯工具。电子邮件系统已成为信息系统的基础设施之一。为保护电子邮件系统安全可靠运行，保护企业信息交流和通讯的可用性和安全性，从而保障信息系统的安全，特制定本规范。 本规范从电子邮件的技术、管理和使用三方面提出安全规范，包括邮件系统安全（服务器、客户端、邮件内容、系统运行维护等）、账号管理（命名规范、口令、开户/注销等）和用户使用安全等。 1.2 目标 保障电子邮件系统安全、可靠运行，即保护电子邮件系统的可用性；保护电子邮件的机密性和完整性；规范用户安全使用电子邮件。 1.3 适用范围 本标准规定了邮件系统的技术、管理和使用的安全。 本标准适用于电子邮件系统的安全维护和管理、用户的安全使用和管理。 1.4 规范引用的文件或标准 下列文件中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。 【公司标准/管理规定】 1．中国石油天然气股份有限公司电子邮件系统运行管理规范（试行） 【国家标准】 GB 17859-1999 计算机信息系统安全保护等级划分准则 GAT390-2002 计算机信息系统安全等级保护通用技术要求 【国外相关标准】 ISO 17799 IT Baseline Protection Manual (Germany） ISO 15408 (“Common Criteria”） NIST 美国国家标准技术委员会系列丛书 第2章 电子邮件系统安全 2.1 服务器安全 2.1.1 物理安全 物理安全是整个企业电子邮件系统安全的基础。 电子邮件系统物理安全是保护电子邮件系统物理设备免遭环境事故、人为操作失误及各种计算机犯罪行为等所导致的破坏，确保邮件服务器及相关设备的可用性和完整性。其中包括： a）应将邮件服务器放置在机房环境中，机房安全标准必须符合《中国石油天然气股份有限公司机房安全管理规范（试行）》。 b）中心站点应采取机房和机柜的两层物理保护。 c）主要设备应采用冗余备份。 d）邮件服务器应采用双电源设计，应配备UPS不间断电源。 e）不宜直接访问邮件服务器的光驱、软盘。 f）对具有USB接口的邮件服务器设备，应在BIOS中设置禁用USB以及其它不被使用的端口设备，例如并口、不被使用的串口等。 g）相应的网络设备也应保证可靠和安全，防止意外造成的网络故障。 h）其它物理和环境安全规范参照《中国石油天然气股份有限公司硬件设备安全管理规范（试行）》和《中国石油天然气股份有限公司机房安全管理规范（试行）》。 2.1.2 网络基础设施安全 （有关网络基础设施安全可参照《中国石油天然气股份有限公司网络安全管理规范（试行）》）。 邮件服务器的网络位置 不应将公用邮件服务器与股份公司内部网络应用放在同一安全域中，否则会威胁内部网络安全。邮件服务器的网络位置应遵照《中国石油天然气股份有限公司电子邮件系统技术方案设计》的要求摆放并连接设置。 DMZ非军事区模式 a）将邮件转发服务器设置在DMZ中，以减小安