1 范围

      本标准规定了电子邮件系统信息安全要求，包括电子邮件系统的技术安全要求、管理安全要求和运行安全要求。

      本标准适用于各级政务部门、研究机构、企事业单位等的互联网邮件系统、电子政务外网邮件系统、电子政务内网邮件系统或单位专网邮件系统的设计、建设、使用和测试评估，也适用于相关产品的设计、制造、测试、管理和服务等。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 21028-2007 信息安全技术 服务器安全技术要求

      GB/T 25069-2010 信息安全技术 术语

      GB/T 30282-2013 信息安全技术 反垃圾邮件产品技术要求和测试评价方法

      GB/T 32915-2016 信息安全技术 二元序列随机性检测方法

      GM/T 0012-2012 可信计算 可信密码模块接口规范

      GM/T 0013-2012 可信计算 可信密码模块符合性检测规范

      GM/T 0016-2012 智能密码钥匙密码应用接口规范

      GM/T 0017-2012 智能密码钥匙密码应用接口数据格式规范

      GM/T 0018-2012 密码设备应用接口规范

      GM/T 0021-2012 动态口令密码应用技术规范

3 术语和定义

      GB/T 25069-2010界定的以及下列术语和定义适用于本文件。

3.1

      电子邮件系统 electronic mail system

      支撑用户使用电子邮件服务的信息系统。

      注：电子邮件系统由电子邮件客户端、电子邮件服务器两部分组成，并由外围安全防护设备来保障系统的运行环境安全性。电子邮件系统结构示意图参见附录A。

3.2

      电子邮件服务器 electronic mail server

      为客户端提供邮件应用服务的计算机系统，由服务器硬件、操作系统、支撑系统（WEB服务、中间件和数据库）和邮件应用系统组成。

3.3

      应用服务安全隔离机制 security isolation mechanism of application server

      通过虚拟化或半虚拟化技术，使各应用服务运行在独立的操作系统环境之上，实现各应用服务在逻辑上完全隔离。

3.4

      机器码 machine code

      标识计算机、智能终端等的唯一编号，一般由计算机或智能终端等的硬件序列号计算得出。

3.5

      用户身份数字凭证 user digital certificates

      用户通过身份鉴别后，由鉴别者为用户出具的一种可信的身份电子凭据。

3.6

      “挑战-应答”认证方式 “challenge-response” authentication method

      一类基于零知识证明的身份鉴别协议。在每次认证过程中，由认证方提出不同的挑战问题，被认证方做出应答，认证方通过验证应答的正确性，进而确认被认证方的身份。

3.7

      邮件传输协议 mail transfer protocol

      在网络环境中传输电子邮件的协议标准。

      注：例如邮件发送协议（SMTP）、邮件收取协议（POP3/IMAP）。

3.8

      数据加密设备 data encryption device

      独立或并行为多个应用实体提供密码服务和密钥管理的设备。

3.9

      内容加密密钥 content encryption key

      用于加密数据内容的临时密钥。

3.10

      中间件 middle ware

      连接web服务和电子邮件应用系统的计算机软件。

      注：电子邮件应用系统在中间件的支撑下提供web方式的邮件收发和后台管理服务。

3.11

      网盘 online disk

      电子邮件系统提供的网络文件存储功能，一般用于邮件附件的在线存储与分享。

4 缩略语

      下列缩略语适用于本文件。

      B/S：浏览器/服务器（Browser/Server）

      CMS：加密消息语法协议（Cryptographic Message Syntax）

      C/S：客户端/服务器（Client/Server）

      DKIM：域密钥识别邮件（DomainKeys Identified Mail）

      Dos/DDoS：拒绝服务攻击/分布式拒绝服务攻击（Denial of Service/Distributed Denial of Service）

      IMAP：交互邮件访问协议（Internet Mail Access Protocol）

      IMAP4（S）：基于SSL的IMAP（IMAP4 Over SSL）

      MAC：介质访问控制（Media Access Control）

      MIME：多用途 Internet邮件扩展（Multipurpose Internet Mail Extensions）

      MTA：邮件服务器上收发传输服务（Mail Transfer Agent）

      PIN：个人标识码（Personal Identification Number）

      POP3：邮局协议的第3个版本（Post Office Protocol 3）

      POP3（S）：安全的POP3（POP3 Over SSL）

      SM2：SM2椭圆曲线公钥密码算法（Public Key Cryptographic Algorithm SM2 Based on Elliptic Curves）

      SM3：SM3密码杂凑算法（SM3 Cryptographic Hash Algorithm）

      SM4：SM4分组密码算法（SM4 block cipher algorithm）

      SM9：SM9标识密码算法（Identity-based cryptographic algorithms SM9）

      SMTP：简单邮件传输协议（Simple Mail Transfer Protocol）

      SMTP（s）：基于SSL的SMTP（SMTP Over SSL）

      S/MIME：安全的多用途 Internet邮件扩展（Secure Multipurpose Internet Mail Extensions）

      SNMP：简单网络管理协议（Simple Network Management Protocol）

      SPF：发件人策略框架（Sender Policy Framework）

      SQL：结构化查询语言（Structured Query Language）

      SSL：安全套接层（Secure Sockets Layer）

      TCP：传输控制协议（Transmission Control Protocol）

      TLS：传输层安全（Transport Layer Security）

      URL：统一资源定位符（Uniform Resource Locator）

5 概述

5.1 安全框架

      电子邮件系统安全由技术要求、管理要求、运行要求三部分组成，安全框架如图1所示。技术要求包括邮件服务器、邮件客户端、邮件数据的安全。管理安全包括电子邮件系统管理所涉及的诸如用户管理、密钥管理、配置管理和数据管理等。运行安全包括电子邮件系统运行所涉及的诸如边界保护、网络安全监测、防病毒、反垃圾邮件和安全审计等。

图1 安全框架

      本标准凡涉及密码算法的相关内容，按国家有关法规实施；凡涉及采用密码技术解决保密性、完整性、真实性、不可否认性需求的应遵循密码相关国家标准和行业标准。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 37002-2018 信息安全技术 电子邮件系统安全技术要求》