YD_T 3161-2016邮件系统安全防护要求.pdf

ICS 33.040M 10YO中华人民共和国通信行业标准YD/T3161-2016邮件系统安全防护要求Security protection requirements for the mail system2016-07-11发布2016-10-01实施中华人民共和国工业和信息化部发布 YD/T 316120165.1.1.4Web安全应满足YD/T2703-2014《电信网和互联网安全防护基线配置要求及检测要求Web应用系统》要求。5.1.1.55对外接口安全应提供数据有效性检验功能，保证通过接口输入或通过通信接口输入的数据格式或长度符合系统设定要求，5.1.2网络安全5.1.2.1网络结构应绘制与当前运行情况相符的系统拓扑结构图。5.1.2.2网络监测应在系统边界部署访间安全监测设备，并启用有效的安全监测控制策略。5.1.2.3安全审计应对系统中的重要设备运行状况、网络流量监测信息、系统管理及维护等进行日志记录，并且保留一定期限（至少180天），5.1.3设备及软件系统安全5.1.3.1网络及安全设备网络及安全设备应符合以下要求：a）各类路由器、交换机等网络设备应满足相关通信行业标准要求，具有进网许可证；b）应满足YD/T2698-2014《电信网和互联网安全防护基线配置要求及检测要求网络设备》要求：c）应满足YD/T2699-2014《电信网和互联网安全防护基线配置要求及检测要求安全设备》要求。5.1.3.2通用主机操作系统通用主机操作系统应符合以下要求：b）各个功能模块的计算机运维终端、服务器等设备的审计范围应覆盖到主机/服务器上的每个操作系统用户。5.1.3.3数据库及中间件软件数据库及中间件软件应符合以下要求：a）应满足YD/T2702-2014（电信网和互联网安全防护基线配置要求及检测要求中间件》要求；b）应满足YD/T2700-2014《电信网和互联网安全防护基线配置要求及检测要求数据库》要求；c）邮件系绕中各个功能模块的数据库及中间件软件的审计范围应覆盖到每个数据库及中间件软件用户。5.2第2级要求5.2.1业务及应用安全5.2.1.1身份监别除满足第1级的要求之外，还应提供并自用业务使用用户身份标识唯一性检查的功能，保证系统中不存在重复用户身份标识，身份鉴别信息不易被冒用。5.2.1.2访问控制访间控制应符合以下要求：5 YD/T）应提供访间控制功能，依据安全策略控制业务使用用户、后台管理用户对系统文件、数据库表等客体的访问，控制粒度为单个用户；b）应提供并启用业务使用用户登录认证策略，如防范晕力破解、防范馨力获取用户名、限定失败登录次数、锁定时间等：c）应在屏蔽带病毒网页后，为用户发送消息提示，5.2.1.3安全审计安全审计应符合以下要求：a）应提供覆盖到系统每一个业务使用用户、后台管理用户的安全审计功能，至少应能对用户关键操作、重要行为、系统重要安全事件等进行审计；b）应保证无法删除、修改或覆盖审计记录：c）审计记录的内容至少应包括事件日期、时间、发起者信息、类型、描述和结果等。5.2.1.4数据安全性数据安全性应符合以下要求：a）应提供用户登录认证过程的数据加密传输功能：b）应对邮件内容进行数据保护，采取非明文存储方式；c）应防范和过滤垃圾邮件，保证用户邮件的正带使用：d）应对进入邮件服务器的邮件（如发送地址、接收地址、标愿等）是否包含恶意链接及恶意代码进行必要的检测，并对邮件收发地址有效性进行验证。5.2.1.5资源控制资源控制应符合以下要求：a）登录用户在超过限定时闻内未作任何操作，系绕应该自动登出：b）应能够对同类型登录设备中单个用户的多重并发会话进行限制。5.2.1.6信息保护信息保护应符合以下要求：b）应采取充分的安全保障措施保障用户数据信息的存储安全，并保障存储设备的安全；c）应妥要善保存用户信息数据的纸质资料、电子介质等：d）在用户申请、审核及投诉处理过程中使用用户数据信息外，不得将用户数据信息用于任何其他用途；e）应采取措施加强对接触到用户数据信息人员的管理，严格控制接触用户信息的人员范围，合理设定用户信息操作权限，防止出现人为信息泄漏事件；f）应当明确告知用户收集和处理用户个人信息的方式、内容和用逾以及信息泄漏风险，并向用户说明本系续要采取的信息保护措施，不得将用户提交的资料和信息泄露给他人，利用该信息牟利。在与用户签署的相关合间协议中，应明确规定运营企业对用户信息安全承担保护责任，写明采取的具体信息保护措施：g）应对用户信息安全防护工作进行定期检查或抽查，发现有违规行为时，可以依据相关协议等追究其责任。6 YD/T 316120165.2.1.7Web安全Web安全应符合以下要求：）应对所有来源输入进行验证并尽量使用白名单验证方法；b）应设计一套统一