1 范圍

      本標準規定了電子郵件系統信息安全要求，包括電子郵件系統的技術安全要求、管理安全要求和運行安全要求。

      本標準適用于各級政務部門、研究機構、企事業單位等的互聯網郵件系統、電子政務外網郵件系統、電子政務內網郵件系統或單位專網郵件系統的設計、建設、使用和測試評估，也適用于相關產品的設計、制造、測試、管理和服務等。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 21028-2007 信息安全技術 服務器安全技術要求

      GB/T 25069-2010 信息安全技術 術語

      GB/T 30282-2013 信息安全技術 反垃圾郵件產品技術要求和測試評價方法

      GB/T 32915-2016 信息安全技術 二元序列隨機性檢測方法

      GM/T 0012-2012 可信計算 可信密碼模塊接口規范

      GM/T 0013-2012 可信計算 可信密碼模塊符合性檢測規范

      GM/T 0016-2012 智能密碼鑰匙密碼應用接口規范

      GM/T 0017-2012 智能密碼鑰匙密碼應用接口數據格式規范

      GM/T 0018-2012 密碼設備應用接口規范

      GM/T 0021-2012 動態口令密碼應用技術規范

3 術語和定義

      GB/T 25069-2010界定的以及下列術語和定義適用于本文件。

3.1

      電子郵件系統 electronic mail system

      支撐用戶使用電子郵件服務的信息系統。

      注：電子郵件系統由電子郵件客戶端、電子郵件服務器兩部分組成，并由外圍安全防護設備來保障系統的運行環境安全性。電子郵件系統結構示意圖參見附錄A。

3.2

      電子郵件服務器 electronic mail server

      為客戶端提供郵件應用服務的計算機系統，由服務器硬件、操作系統、支撐系統（WEB服務、中間件和數據庫）和郵件應用系統組成。

3.3

      應用服務安全隔離機制 security isolation mechanism of application server

      通過虛擬化或半虛擬化技術，使各應用服務運行在獨立的操作系統環境之上，實現各應用服務在邏輯上完全隔離。

3.4

      機器碼 machine code

      標識計算機、智能終端等的唯一編號，一般由計算機或智能終端等的硬件序列號計算得出。

3.5

      用戶身份數字憑證 user digital certificates

      用戶通過身份鑒別后，由鑒別者為用戶出具的一種可信的身份電子憑據。

3.6

      “挑戰-應答”認證方式 “challenge-response” authentication method

      一類基于零知識證明的身份鑒別協議。在每次認證過程中，由認證方提出不同的挑戰問題，被認證方做出應答，認證方通過驗證應答的正確性，進而確認被認證方的身份。

3.7

      郵件傳輸協議 mail transfer protocol

      在網絡環境中傳輸電子郵件的協議標準。

      注：例如郵件發送協議（SMTP）、郵件收取協議（POP3/IMAP）。

3.8

      數據加密設備 data encryption device

      獨立或并行為多個應用實體提供密碼服務和密鑰管理的設備。

3.9

      內容加密密鑰 content encryption key

      用于加密數據內容的臨時密鑰。

3.10

      中間件 middle ware

      連接web服務和電子郵件應用系統的計算機軟件。

      注：電子郵件應用系統在中間件的支撐下提供web方式的郵件收發和后臺管理服務。

3.11

      網盤 online disk

      電子郵件系統提供的網絡文件存儲功能，一般用于郵件附件的在線存儲與分享。

4 縮略語

      下列縮略語適用于本文件。

      B/S：瀏覽器/服務器（Browser/Server）

      CMS：加密消息語法協議（Cryptographic Message Syntax）

      C/S：客戶端/服務器（Client/Server）

      DKIM：域密鑰識別郵件（DomainKeys Identified Mail）

      Dos/DDoS：拒絕服務攻擊/分布式拒絕服務攻擊（Denial of Service/Distributed Denial of Service）

      IMAP：交互郵件訪問協議（Internet Mail Access Protocol）

      IMAP4（S）：基于SSL的IMAP（IMAP4 Over SSL）

      MAC：介質訪問控制（Media Access Control）

      MIME：多用途 Internet郵件擴展（Multipurpose Internet Mail Extensions）

      MTA：郵件服務器上收發傳輸服務（Mail Transfer Agent）

      PIN：個人標識碼（Personal Identification Number）

      POP3：郵局協議的第3個版本（Post Office Protocol 3）

      POP3（S）：安全的POP3（POP3 Over SSL）

      SM2：SM2橢圓曲線公鑰密碼算法（Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves）

      SM3：SM3密碼雜湊算法（SM3 Cryptographic Hash Algorithm）

      SM4：SM4分組密碼算法（SM4 block cipher algorithm）

      SM9：SM9標識密碼算法（Identity-based cryptographic algorithms SM9）

      SMTP：簡單郵件傳輸協議（Simple Mail Transfer Protocol）

      SMTP（s）：基于SSL的SMTP（SMTP Over SSL）

      S/MIME：安全的多用途 Internet郵件擴展（Secure Multipurpose Internet Mail Extensions）

      SNMP：簡單網絡管理協議（Simple Network Management Protocol）

      SPF：發件人策略框架（Sender Policy Framework）

      SQL：結構化查詢語言（Structured Query Language）

      SSL：安全套接層（Secure Sockets Layer）

      TCP：傳輸控制協議（Transmission Control Protocol）

      TLS：傳輸層安全（Transport Layer Security）

      URL：統一資源定位符（Uniform Resource Locator）

5 概述

5.1 安全框架

      電子郵件系統安全由技術要求、管理要求、運行要求三部分組成，安全框架如圖1所示。技術要求包括郵件服務器、郵件客戶端、郵件數據的安全。管理安全包括電子郵件系統管理所涉及的諸如用戶管理、密鑰管理、配置管理和數據管理等。運行安全包括電子郵件系統運行所涉及的諸如邊界保護、網絡安全監測、防病毒、反垃圾郵件和安全審計等。

圖1 安全框架

      本標準凡涉及密碼算法的相關內容，按國家有關法規實施；凡涉及采用密碼技術解決保密性、完整性、真實性、不可否認性需求的應遵循密碼相關國家標準和行業標準。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。