《信息安全技术邮件服务器安全技术要求》（草案）编制说明一、任务来源.docVIP

《信息安全技术 邮件服务器安全技术要求》 （草案）编制说明 任务来源 根据国家标准化管理委员会2014年12月下达的国家标准制定任务，国家标准《信息安全技术 邮件服务器安全技术要求》由国家信息技术安全研究中心负责主编。 编制原则 本标准属于信息安全技术方面的标准，以自主编写的方式完成。标准编制以国家有关信息安全技术的政策法规为基本依据，吸取国际上先进的信息安全标准的相关理念，结合我国当前邮件系统安全管理的发展现状，针对邮件系统安全技术、安全管理和安全运维的体系建设，在研究如何评价邮件系统安全管理的有效性，以及评价邮件系统安全管理体系有效性的基础上，完成国家标准《信息安全技术 邮件服务安全技术要求》的编制。 同时，为使标准能够满足科学、规范地开展邮件服务器建设、使用和测试评估工作的需要，客观反映我国邮件系统安全技术、安全管理和安全运维的体系建设，提高标准的可操作性，在标准制定过程中，还力求做到符合国家的有关政策法规要求；与已颁布实施的相关标准相协调；与当前国家邮件服务器安全需求相适应；并适度考虑目前处于发展成熟过程中的技术，保持一定的前瞻性。 主要工作过程 标准制定的主要工作过程如下： 2014年12月—2015年2月，组建标准编制组，学习查阅我国及有关行业信息安全法规、政策及规范性文件，调研分析研究国内外邮件服务器安全发展情况、国外相关标准或安全白皮书，以及政府机关、重要行业、企事业单位、科研院所等部门和单位的互联网邮件系统、电子政务外网邮件系统或企事业等单位内网邮件系统的需求，提出标准初稿。 2015年3月—2015年5月，标准编制组内部完善标准初稿，并以多种形式征求专家和相关单位意见，形成标准草案。编写标准草案编制说明、意见处理汇总表。 2015年6月—2016年6月，工作组按照标准项目专家意见和建议，根据专家意见进行整理，对《信息安全技术 邮件服务安全技术要求》（草案）进行完善和修改。编写标准草案编制说明、意见处理汇总表。 2016年8月，面向WG5工作组92家成员单位公开征集意见，编制组按照各成员单位意见对标准进行修改。2016年8月26日，经WG5工作组全体会议决定，形成征求意见稿。 标准征求意见的落实情况如下： 项目执行过程中，先后进行了四次专家评审，一次工作组全体会议，共形成了99条意见，具体内容参见意见汇总表。 以国家政务外网为试点单位，进一步了解各党政部门互联网电子邮件安全应用需求，开展威胁监测和安全检测，完善标准内容；进一步拓展安全邮件系统的部署应用。 对行业用户、政府用户的意见征求，包括国家信息中心、上海征信中心、四川省电子政务外网、湖南省电子政务外网、广西省电子政务外网、云南省电子政务外网、大连市电子政务外网。 对邮件服务器厂商的意见征求，企业包括北京安宁创新网络股份有限公司、北京亿中邮信息技术有限公司。 标准的主要内容及确定内容的依据 本标准的主要内容 针对邮件服务器面临的安全风险，本项目主要从国家标准的角度规范邮件服务器自身安全和支撑系统安全、规范邮件服务器厂商和邮件系统运维服务商的安全配置和安全防护，解决如何保护邮件数据安全的问题，采用何种方式保护以及规范邮件服务厂商、邮件系统运维服务商，以及各级政务部门、研究机构、企事业单位等邮件服务器的安全，从而实现对电子邮件信息内容和个人隐私保护是需要解决的主要技术难点。 本标准主要框架如下： 1 范围 2 规范性引用文件 3 术语，定义和缩略语 4 安全体系架构 5 邮件服务器安全要求 6 支撑系统安全要求 附录A（资料性附录）电子邮件系统组成 附录B（资料性附录）安全技术应用模型 本标准在确定主要内容时主要基于如下几个方面： 针对邮件服务器面临的安全风险，为有效抵御邮件服务器内部以及外在威胁，提出邮件服务器安全体系架构，体现邮件服务器技术、运行、管理的整体安全性。 从邮件应用系统安全、web服务安全、中间件安全、数据库安全、操作系统安全和硬件安全等方面提出邮件服务器安全要求，包括基本要求和增强要求。 从邮件客户端安全、管理安全、存储传输安全、运行安全和云计算环境安全等方面提出了支撑系统安全要求，其中针对邮件客户端安全、存储传输安全和云计算环境安全分别提出了基本要求和增强要求。 有关内容的几点说明 对邮件服务器的要求 通过对邮件服务器硬件、操作系统、数据库、Web服务、中间件、应用系统等方面的认证机制、访问策略、审计功能等提出要求，规范了邮件服务器自身安全，实现对电子邮件信息内容和个人的隐私保护。 对支撑系统的要求 通过对电子邮件数据加密存储/传输、垃圾邮件的过滤、恶意代码的防范、主机的安全监测以及邮件客户端的安全、云环境的安全等方面进行规范，实现邮件服务器的安全运行和安全管理。 要解决邮件服务器的安全，主要考虑以下三方面： 关于身份鉴别，需鉴别收件人、发