GB/T 37002-2018 信息安全技术 电子邮件系统安全技术要求

ICS35.040

L80

国；

中华人民共和国国家标准

GB/T37002-2018

信息安全技术

电子邮件系统安全技术要求

Informationsecuritytechnology-

Securitytechniquesrequirementforelectronicmailsystem

2018-12-28发布2019-07-01实施

国家市场监督管理总局峪非

中国国家标准化管理委员会0(..'I(J

GB/T37002-2018

目次

I

1范围……………·

2规范性引用文件………………··

3术语和定义…··

4缩略i吾……………………2

5概述…·

5.1安全框架

5.2安全目标……….…………··….4

5.3安全级别……………4

6基本级安全要求……………….…4

6.1技术要求…………………...…4

6.2管理要求…………………..….8

6.3运行要求……………10

7增强级安全要求…………………………12

7.1技术要求……………………·12

7.2管理要求……………15

7.3运行要求……………15

附录A（资料性附录）电子邮件系统组成………………16

附录B（资料性附录）安全级别选择……………………17

附录c（资料性附录）安全技术应用模型………………四

GB/T37002-2018

a)应对存储的全部数据进行力I]密，包括：邮件数据、网盘文件、用户账号密码及个人信息等；

b)邮件账户密码若采用数字摘要方式存储，应具备随机性；

c)加密密钥更新后，应能对存储的历史加密数据进行解密。

6.1.3.3安全传输

安全传输要求包括：

a)应对邮件内容（含正文和附件）进行方I]密传输；

b)应支持安全算法的SSL、TLS协议，对传输数据进行加密；

c)应能验证客户端SSL、TLS证书的合法性；

d)应支持POP3、SMTP,IMAP及MTA的各种扩展协议，邮件客户端至邮件服务器的传输通道

应支持SSL协议。

6.2管理要求

6.2.1用户管理

6.2.1.1用户分类管理

应按不同权限对用户进行分类，用户分类如下：

a)邮件系统用户，即系统管理员，是指能对邮件系统整体运行进行操作管理的用户；

b)邮件组织用户，即组织管理员，是指能对邮件系统用户进行增、删、改、查等操作的用户；

c)邮件审计用户，即审计管理员，是指能对邮件系统所有操作进行审计查看的用户；

d)邮件用户，即邮件使用用户，是指能进行邮件收发等操作的用户。

6.2.1.2邮件系统用户、邮件组织用户和邮件审计用户

邮件系统用户、邮件组织用户和邮件审计用户的管理安全要求包括：

a)身份鉴别，同6.1.1.5.1中描述；

b)访问控制，同6.1.1.5.2中描述；

c)用户审计，同6.1.1.5.3中描述；

d)应对邮件系统用户进行审计；

c)应对邮件组织用户进行审计；

f)应对邮件审计用户进行审计；

g)应支持仅针对特定用户组或特定用户的审计。

邮件用户

邮件用户要求包括：

a)身份鉴别，同6.1.1.5.1中描述；

b)访问控制，同6.1.1.5.2中描述；

c)用户审计，同6.1.1.5.3中描述；

d)邮件用户应由邮件组织用户创建。

6.2.2数据库管理

6.2.2.1数据库管理系统用户标识与鉴别

数据库管理系统用户标识与鉴别要求包括：

8

GB/T37002-2018

a)请问邮件数据库管理系统的用户，应具有预先建立的标识；

b)邮件数据库管理系统应对登录用户的身份进行鉴别；

c)身份鉴别失败后，应根据失败次数与事件阔值采取相应措施，如锁定账户、禁用账户等。

6.2.2.2数据库管理系统访问控制

数据库管理系统访问控制要求包括：

a)应具有访问控制列表，阻止任何未经授权的访问，许可经过授权的访问；

b)应具备多权限管理员机制，如数据库查询管理员、修改管理员、维护管理员等。

数据库管理系统安全审计

数据库管理系统安全审汁要求包括：

a)应具有独立的系统审计员；

b)应具备对审计管理员分级、分组的功能，实现分级审计；

c)应提供完整全面的审汁日志；

d)应具备日志保护机制，避免包括审计日志在内的各种日志信息被非法篡改、破坏或删除；

e)应支持对特定组或特定用户的审计；

£)审计内容应包括各类、各级管理员的登录、操作的具体内容，包括：时间、管理员用户名、管理动

作等；

g)应支持对用户登录、各种操作行为的具体内容进行审计，如删除邮件的操作；

h)应支持对异常行为的审计，如管理员、普通用户的异常登录等。

6.2.2.4数据库管理系统数据完整性

数据库管理系统数据完整性的要求包括：

a)应提供相应的数据完整性保证机制；

b)应对数据完整性进行检盼。

数据库管理系统数据保密性

应具有密码数据加密或其他保护措施，实现存储密码数据的保密性。

6.2.2.6数据库管理系统数据备份和恢复

数据库管理系统数据备份和恢复要求包括：

a)应具备本地数据备份与恢复功能，且支持完整备份和增量备份；

b)应具备异地数据备份机制，将关键数据定时批量备份到异地存储。

6.2.3数据加密设备管理

数据力u密设备管理要求包括：

a)应针对密码系统中各种密码设备的使用、管理、备份与恢复等，建立完善的安全管理制度；

b)智能密码钥匙的使用管理，应符合密码行业标准GM/T00162012中第7章关于设备接口定

义和第8章关于设备安全要求的相关规定。

6.2.4密钥管理

密钥管理要求包括：

a)所选用密码算法的密钥氏度应满足同家密码管理部门相关规范要求。

9

GB/T37002-2018

b)密钥生成：内容力n密密钥和用户身份鉴别密钥，其生成应有可靠的随机源。

c)密钥分发：内容力II密密钥应使用收件人的公钥和非对称算法进行加密保护后，分发给收件人；

收件人或签名人的公钥应通过可信方式获取；采用SM9i车法时，邮件地址可作为公钥使用。

d)密钥存储：内容加密密钥应由收件人公钥加密后储存于11n密邮件数据中；解密或签名的私钥应

存储在安全介质中或使用后即销毁。

e)密钥销毁：内容力n密密钥在每次使用后立即销毁。对SMzi草法的密钥需将密码设备安全存储

介质中对应密钥存储安全删除。对SM9算法，密码设备应不存储用户密钥，用户密钥的销毁

伴随系统主密钥的销毁而完成。

£)密钥更新：应周期性地更新用户力~，密密钥。

6.2.5配置管理

配置管理要求包括：

a)应具备分类管理控制机制，各类管理员仅允许其按照组织权限进行配置操作；

b)应具备按功能权限控制机制，各类管理员仅允许其按照功能权限进行配置操作；

c)应具备各类管理员账号绑定IP地址B-XMAC地址功能；

d)应具备配置信息备份和快速恢复功能；

e)应留存配置变更的操作日志，日志内容包括时间、登录IP地址、访问IP地址、操作账户、操作

与

结果等；

£)宜提供配置快照功能，当配置发生变更时能自动生成快照，修改配置州错后可使配置信息恢复

到出错前的快照状态。

6.2.6备份与恢复管理

备份与恢复管理要求包括：

a)应具备数据备份机制，能对关键数据进行本地、异地备份；

b)应能对数据进行完整备份和增量备份。

6.2.7系统升级及补丁管理

系统升级及补丁管理要求包括：

a)应有明确的软件支持生命周期，对于软件每个版本应提供及时、持续的安全升级服务；

b)系统升级时不产生明显的业务中断；

c)系统升级失败时，应可卸载指定升级包，恢复历史版本；

d)应针对已被披露的漏洞及时发布补丁。

6.3运行要求

6.3.1边界保护

边界保护要求包括：

a)应在电子邮件系统外固部署防火墙，并配置安全规则；

b)应对流转过程中的邮件传输协议进行分析，阻断、记录异常协议井报警；

c)应检查流转过程中的邮件是再符合编码标准，阻断、记录异常邮件内容井报警；

d)应对流转过程中的邮件附件进行识别，阻断、记录元法识别格式的文件并报警。

6.3.2主机安全监测

主机安全监视1］要求包括：

10

GB/T37002-2018

a)应具备服务器硬件、软件运行状态监测功能；

b)应能识别不符合协议规范的网络会话数据流，同时提取该会话所属进程的基本信息、远端IP

地址；

c)宜具备对命令执行、进程调用、文件使用等进行实时监测的功能。

6.3.3网络安全监测

网络安全监测要求包括：

a)应配置专用的安全监测设备，以劳路接入方式部署在电子邮件系统出入｜二I;

b)应具备木马植入攻击监测功能；

c)应具备隐蔽后门攻击监测功能；

d)应具备异常端口使用监测功能；

c)应具备邮件服务器网络异常通信行为监测功能；

£)应具备异常收发邮件行为监测功能；

g)应具备邮件服务器Web网页挂马攻击行为监测功能；

h)应具备邮件服务器Web网页隐藏、不可见链接攻击行为监测功能。

6.3.4反垃圾邮件

应符合GB/T30282-2013中规定的有关要求。

6.3.5防病毒

防病毒要求包括：

a)应使用独立的服务器；

b)应具备两种以上的防病萄牙｜擎；

c)应能查杀SMTP(S）、POP3(S）、IMAP4(S）、HTTP(S）等协议下邮件的病毒；

d)应能对邮件头、邮件正文及附件的整体进行病毒过滤；

c)应支持在线升级与离线升级病毒库；

£)对存在病毒的邮件，可设置拒绝发送或拒绝接收、在邮件中添加警告信息、不处理等操作；

g)对于邮件中指向外部网站的URL链接，用户点击打开前应发州风险提示。

6.3.6安全审计

数据库操作审计

数据库操作审计要求包括：

a)应记录和审计数据库SQL级操作，记录包括时间、数据库服务器名称、IP地址、MAC地址、端

口号、用户名、操作执行结果及原始SQL语句；

b)应具备双向审计功能，即审计数据库客户端的访问行为，同时审计数据库的返回结果；

c)应能灵活地定义审计策略，策略元素至少包括时间、来源、角色、SQL操作类型、事件类型、数

据库SQL语句关键字、延迟时间、影响行数、异常串、基于数据库服务器组或者资产组；

d)应具备丰富的数据查询检索功能，能够以数据库访问时间、IP地址、端口号、用户名、操作类

型、SQL中的关键词等条件进行审计查询；

e)应具备数据库防攻击安全规则库，能根据预设置策略发现诸如SQL注入、已知数据库漏洞、口

令密码猜解、缓冲区撤归等异常行为；

£)应具备权限预警功能，能针对最高权限滥用、误操作、恶意操作等行为进行报警和定位。

11

GB/T37002-2018

日志审计

日志审计要求包括：

a)应按中的要求实现操作系统安全日志审计功能；

b)应具备Web中间件安全日志；

c)应具备邮件系统日志；

d)应按6.2.2.3中的要求实现数据库访问日志的功能；

c)应具备数据力II密设备安全日志。

6.3.7防漏洞

防漏洞要求包括：

a)应具备基本的DoS、DDoS防御能力，能终止来自同一IP的多个TCP连接；

b)应具备强制要求系统管理员修改默认口令密码、默认系统配置的功能；

c)应不存在已知的安全漏洞，如：命令执行、SQL注入、跨站脚本、越权访问等；

d)已通过身份验证的信息（如cookie/session）应与IP地址、浏览器绑定，并在24h内过期；

e)若采用了第三方厂商的部件，该部件应不存在安全漏洞。

6.3.8日常维护

日常维护要求包括：

a)系统管理员应定期检查和记录电子邮件系统运行状态，发现异常情况应及时上报主管领导；

b)系统管理员应定期修改电子邮件系统管理员口令；

c)系统管理员应定期对电子邮件系统进行漏洞检测、升级和加阳系统；

d)电子邮件系统发生故障时，应按运维下作流程进行维护，并记录维护操作内容；

巳）变更电子邮件系统配置时，应按运维丁才在流程进行操作，并记录配置变更内容；

£)不得在电子邮件系统（邮件客户端除外）中使用移动存储介质。

7增强级安全要求

7.1技术要求

7.1.1邮件服务器

iii件

邮件服务器硬件安全要求包括：

a)应满足6.1.1.1基本级安全要求；

b)应包含可信密码模块，模块符合GM/T0012-2012中接口规范的要求，符合GM/T0013一

2012中符合性测试规范的要求；

c)应使用符合相关国家政策与标准的CPU芯片、部件和设备；

d)应支持安全操伟系统、安全数据库管理系统。

f呆f1=系主充

邮件服务器操作系统要求包括：

a)应满足6.1.1.2基本级安全要求；

b)应具备擦除指定数据的功能，保证临时数据或待删除数据能够从磁盘介质中被彻底删除；

12

GB/T37002-2018

c)应提供应用服务安全隔离机制，实现邮件应用程序最小化权限运行；

d)应提供安全可靠的远程管理通道，可对邮件应用系统、中间件、数据库进行安全的远程管理

操｛乍。

云计算环境

部署在云计算环境的邮件应用，云计算环境应满足如下要求：

a)应自主部署建设云计算环境；

b)支持邮件服务器系统、数据加密系统的备个组件的虚拟化应用；

c)应保证邮件系统备组件有效隔离，如邮件Web服务、数据加密系统、存储的隔离；

d)应在虚拟邮件系统撤销或者弹性资源释放后，彻底消除残留数据；

e)应采取最小化特权原则，明确区分和限制云计算环境中备类管理员的角色与权限。

支撑系统

7.1.1.4.1Web服务

邮件服务需Web服务安全要求包括：

a)应满足6.1.1.4.1基本级安全要求；

b)Web服务应具备安全管理功能，仅允许被授权管理员用户对软件访问资源进行定义和修改；

c)Web服务应支持TLS协议的安全传输协议。

.2中间｛牛

邮件服务器中间件安全要求包括：

a)应满足6.1.1.4.2基本级安全要求；

b)中间件应具备安全管理功能，仅允许授权用户对软件访问资源进行定义和修改。

.3数据库

邮件服务器数据库安全要求包括：

a)应满足6.1.1.4.3基本级安全要求；

b)数据库应支持透明加密模式（TDE）。

7.1.1.5邮件应用系统

.1身份鉴别

邮件应用系统身份鉴别要求包括：

a)应满足6.1.1.5.1基本级安全要求；

b)应采用增强身份鉴别或双因子身份鉴别方式，满足下列要求：

1)应支持一种或多种双因子身份鉴别方式支持在账户口令密码认证基础上绑定客户端机器

码，机器码应具有唯一性。

2)支持在账户口令密码验证基础上扩展动态口令密码认证，动态口令密码可采用短信验证

码或动态令牌等方式，短信验证码长度应不小于6个字符并具有随机性，动态令牌产生应

符合GM/T0021-2012中第6章关于动态口令生成方式的相关规定。

3)支持基于用户身份数字凭证的身份鉴别机制，若采用“挑战－应答”认证方式，挑战值应具

有随机性且不少于20个字节或为准确的时间戳，在验证签名过程中，系统应验证签名密

钥的有效性。在邮件传输协议申使用“挑战－应答”方式时，应采用支持SM2、灿的算法的

13

GB/T37002-2018

扩展认证协议。

的支持通过SSL协议双向认证模式来认证邮件害户端或浏览器害户端用户身份，系统应验

证邮件害户端或浏览器害户端证书的有效性。