dev-is电子邮件管理规范

1、. STYLEREF 文档正标题 * MERGEFORMAT 电子邮件平安管理规范 PAGE I：.；中国石油信息平安规范编号： 中国石油天然气股份电子邮件平安管理规范审阅稿版本号：V3审阅人：王巍中国石油天然股份 电子邮件平安管理规范 PAGE 51前 言随着中国石油天然气股份以下简称“中国石油信息化建立的稳步推进，信息平安日益遭到中国石油的广泛关注，加强信息平安的管理和制度无疑成为信息化建立得以顺利实施的重要保证。中国石油需求建立一致的信息平安管理政策和规范，并在集团内一致推行、实施。本规范是根据中国石油信息平安的现状，参照国际、国内和行业相关技术规范及规范，结合中国石油本身的运用特点，制

2、定的适宜于中国石油信息平安的规范与规范。目的在于经过在中国石油范围内建立信息平安相关规范与规范，提高中国石油信息平安的技术和管理才干。信息技术平安总体框架如下：整体信息技术平安架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、运用系统和通用平安管理规范。图中带阴影的方框中带书名号的为单独成册的部分，共有13本和1本。对于13个中具有一定共性的内容我们整理出了6个横向贯穿整个架构，这6个的组合也根据了信息平安生命周期的实际模型。每个都会对一切的中相关涉及到的内容产生指点作用，但每个运用在不同的中又会有相应不同的详细的内容。我们在行文上将这6个规范组合成一本通用的

3、平安管理规范单独成册。全文以信息平安生命周期的方法论作为根本指点，和的内容根本都根据预防维护检测跟踪呼应恢复的实际根底行文。本规范由中国石油天然气股份提出。本规范由中国石油天然气股份科技与信息管理部归口管了解释。起草单位：中国石油制定信息平安政策与规范工程组。说 明在中国石油信息平安规范中涉及以下概念：组织机构中国石油PetroChina 指中国石油天然气股份有时也称“股份公司。集团公司CNPC 指中国石油天然气集团公司有时也称“存续公司。为区分中国石油的地域公司和集团公司下属单位，担提及“存续部分时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国

4、石油信息网PetroChinaNet 指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的根底上，进展扩展与提高所构成的衔接中国石油所属各个单位计算机局域网和园区网。集团公司网络CNPCNet 指集团公司所属范围内的网络。中国石油的一些地域公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络时，指存续公司运用的网络部分。主干网 是从中国石油总部衔接到各个下属各地域公司的网络部分，包括中国石油总部局域网、各个二级局域网或园区网和衔接这些网络的专线远程信道。有些单位经过拨号线路衔接到中国石油总部，不是利用专线，这样的单位和所运用的远程信道不属于中国石油公用

5、网主干网组成部分。地域网 地域公司网络和所属单位网络的总和。这些局域网或园区网相互衔接所运用的远程信道可以是专线，也可以是拨号线路。局域网与园区网 局域网通常指，在一座建筑中利用局域网技术和设备建立的高速网络。园区网是在一个园区例如大学校园、管理局基地等内多座建筑内的多个局域网，利用高速信道相互衔接起来所构成的网络。园区网所利用的设备、运转的网络协议、网络传输速度根本一样于局域网。局域网和园区网通常都是用户本人建立的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运转的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建立的。二级单位网络 指地域公司下属单位

6、的网络的总和，能够是局域网，也能够是园区网。专线与拨号线路 从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATM等经常坚持连通形状的信道；拨号线路，指只在传送信息时才建立衔接的信道，如拨号线路或ISDN拨号线路。这些远程信道能够用来衔接不同地域的局域网或园区网，也能够用于衔接单台计算机。石油专网与公网 石油专业电信网和公共电信网的简称。最后一公里问题 建立广域网时，用户局域网或园区网衔接附近电信部门信道的最后一段间隔 的衔接问题。这段间隔 通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见。目 录 TOC o 1-2 h

7、 z u HYPERLINK l _Toc36623211 第 1 章概述 PAGEREF _Toc36623211 h 7 HYPERLINK l _Toc36623212 1.1概述 PAGEREF _Toc36623212 h 7 HYPERLINK l _Toc36623213 1.2目的 PAGEREF _Toc36623213 h 7 HYPERLINK l _Toc36623214 1.3范围 PAGEREF _Toc36623214 h 7 HYPERLINK l _Toc36623215 1.4规范援用的文件或规范 PAGEREF _Toc36623215 h 8 HYPER

8、LINK l _Toc36623216 1.5术语和定义 PAGEREF _Toc36623216 h 8 HYPERLINK l _Toc36623217 第 2 章电子邮件系统平安 PAGEREF _Toc36623217 h 11 HYPERLINK l _Toc36623218 2.1效力器平安 PAGEREF _Toc36623218 h 11 HYPERLINK l _Toc36623219 2.2客户端平安规范 PAGEREF _Toc36623219 h 26 HYPERLINK l _Toc36623220 2.3邮件内容 PAGEREF _Toc36623220 h 29

9、HYPERLINK l _Toc36623221 2.4系统运转维护平安 PAGEREF _Toc36623221 h 31 HYPERLINK l _Toc36623222 第 3 章帐号管理平安 PAGEREF _Toc36623222 h 40 HYPERLINK l _Toc36623223 3.1邮件帐号的命名规范 PAGEREF _Toc36623223 h 40 HYPERLINK l _Toc36623224 3.2口令平安战略 PAGEREF _Toc36623224 h 41 HYPERLINK l _Toc36623225 3.3邮件帐号的开户 PAGEREF _Toc3

10、6623225 h 41 HYPERLINK l _Toc36623226 3.4邮件帐号的调整和注销 PAGEREF _Toc36623226 h 42 HYPERLINK l _Toc36623227 3.5邮件运转维护管理规范 PAGEREF _Toc36623227 h 44 HYPERLINK l _Toc36623228 第 4 章用户运用电子邮件规范 PAGEREF _Toc36623228 h 46 HYPERLINK l _Toc36623229 附录A： PAGEREF _Toc36623229 h 47 HYPERLINK l _Toc36623230 附录B： PAGE

11、REF _Toc36623230 h 48 HYPERLINK l _Toc36623231 附录C： PAGEREF _Toc36623231 h 49 HYPERLINK l _Toc36623232 附录D： PAGEREF _Toc36623232 h 50 HYPERLINK l _Toc36623233 附录 1参考文献 PAGEREF _Toc36623233 h 51 HYPERLINK l _Toc36623234 附录 2本规范用词阐明 PAGEREF _Toc36623234 h 52概述概述电子邮件作为最常用的信息交换手段和通讯方式，已成为中国石油不可或缺的通讯工具。电

12、子邮件系统已成为中国石油信息系统的根底设备之一。为维护电子邮件系统平安可靠运转，维护企业信息交流和通讯的可用性和平安性，从而保证中国石油信息系统的平安，特制定本规范。本规范从电子邮件的技术、管理和运用三方面提出平安规定，包括邮件效力器平安、邮件操作系统平安、邮件内容平安、用户管理和用户运用平安5部分。目的保证中国石油电子邮件系统平安、可靠运转，即维护电子邮件系统的可用性，维护中国中国石油电子邮件的性和完好性，规范中国石油用户平安运用电子邮件。适用范围本规范规定了中国石油邮件系统的技术、管理和运用的平安。本规范适用于中国石油电子邮件系统的平安的维护和管理、用户的平安运用和管理。规范援用的文件或规

13、范以下文件中所包含的条款，经过本规范的援用而成为本规范的条款。本规范出版时，所示以下版均为有效。一切规范都会被修订，运用本规范的各方应讨论运用以下规范最新版本的能够性。GB17859-1999 计算机信息系统平安维护等级划分准那么GB/T 9387-1995 信息处置系统 开放系统互连根本参考模型ISO7498 :1989GA/T 391-2002 计算机信息系统平安等级维护管理要求ISO/IEC TR 13355 信息技术平安管理指南NIST信息平安系列美国国家规范技术院英国国家信息平安规范BS7799信息平安根底维护IT Baseline Protection Manual (German

14、y)BearingPoint Consulting 内部信息平安规范RU Secure平安技术规范信息系统平安专家丛书Certificate Information Systems Security Professional术语和定义访问控制access control 一种平安保证手段，即信息系统的资源只能由被授权实体按授权方式进展访问，防止对资源的未授权运用。授权 authorization 授予权限, 包括允许基于访问权的访问。可用性 availability 数据或资源的特性，被授权实体按要求能及时访问和运用数据或资源。密文 ciphertext 经加密处置而产生的数据, 其语义内容是

15、不可用的。 注: 密文本身可以是加密算法的输入, 这时候产生超加密输出。明文 cleartext 可了解的数据, 其语义内容是可用的。计算机犯罪computer crime借助或直接介入信息处置系统或计算机网络而构成的犯罪。刑法明确规定侵入国家事务、经济建立、国防建立、尖端科学技术领域的计算机信息系统，故意破坏数据、运用数据、故意制造、传播破坏性程序等行为构成计算机犯罪。计算机病毒 Computer Virus 是指编制或者在计算机程序中插入的破坏计算机功能或者毁 坏数据，影响计算机运用，并能自我复制的一组计算机指令或者程序代码。严密性 confidentiality 使信息不泄露给非授权的个

16、人、实体或进程, 不为其所用。非军事化区demilitarized zone DMZ 作为组织网络的进入点，担任维护平安区域边境或外部衔接。效力回绝 denial of service DoS是一种导致计算机和网络无法正常提供效力的攻击，资源的授权访问受阻或关键时辰的操作的延误。数字签名 digital signature添加到音讯中的数据，它允许音讯的接纳方验证该音讯的来源。加密 encipherment经过密码系统把明文变换为不可懂的方式。穷举攻击 force attack经过尝试口令或密钥能够有的值，违反计算机平安的企图。入侵者以破译用户口令作为攻击的开场，然后采用字典穷举法，破译口令。

17、完好性 integrity在防止非授权用户修正或运用资源和防止授权用户不正确地修正或运用资源的情况下,信息系统中的数据与在原文档中的一样，并未蒙受偶尔或恶意的修正或破坏时所具的性质。入侵检测intrusion detection自动检测网络数据流中潜在入侵、攻击和滥用方式，提供了网络平安维护功能。它位于被维护的内部网络和不平安的外部网络之间，经过实时截获网络数据流，寻觅网络违规方式和未授权的网络访问尝试。破绽loophole 由软硬件的设计忽略或破绽导致的能避过系统的平安措施的一种错误。恶意代码 malicious code在硬件、固件或软件中所实施的程序，其目的是执行未经授权的或有害的行动。

18、最小特权 minimum privilege 主体的访问权限制到最低限制，即仅执行授权义务所必需的那些权益。一次性口令 onetimepassword OTP 在登录过程中参与不确定要素，使每次登录过程中传送的信息都不一样，以提高登录过程平安性。口令 password 用来鉴别实体身份的受维护或的字符串。浸透测试 penetration testing组织专门程序员或分析员进展系统浸透，以发现系统平安脆弱性，通常会模拟黑客真实环境和手段进展测试以发现系统平安破绽。物理平安 physical security 为防备蓄意的和不测的要挟而对资源提供物理维护所采取的措施。平安战略 security

19、policy规定机构如何管理、维护与分发敏感信息的法规与条例的集合。平安审计 security audit 为了测试出系统的控制能否足够, 为了保证与已建立的战略和操作相符合, 为了发现平安中的破绽, 以及为了建议在控制、战略中作任何指定的改动, 而对系统记录与活动进展的独立察看。平安配置secure configuration 控制系统硬件与软件构造更改的一组规程。其目的是来保证这种更改不致违反系统的平安战略。平安战略 security policy 规定机构如何管理、维护与分发敏感信息的法规与条例的集合。平安规范 security specifications 系统所需求的平安功能的本质与

20、特征的详细述。平安测试 security testing 用于确定系统的平安特征按设计要务虚现的过程。这一过程包括现场功能测试、穿透测试和验证。要挟 threat 一种潜在的对平安的损害以破坏、走漏、数据修正和回绝效力的方式，能够对系统呵斥损害的环境或潜在事件。渣滓邮件 unsolicited bulk email是指与内容无关，传送给多个收件者的邮件或张贴物，而收件者并没有明确要求接受该邮件。也可以是传送给与邮件主旨不相关的新闻组或者清单效力器的同一邮件的反复张贴物。弱点 vulnerability 导致破坏系统平安战略的系统平安规程、系统设计、实现、内部控制等方面的薄弱环节，在信息系统中能

21、被要挟利用产生风险。电子邮件系统平安效力器平安物理平安物理平安是整个中国石油企业电子邮件系统平安的根底。电子邮件系统物理平安是维护电子邮件系统物理设备免遭环境事故、人为操作失误及各种计算机犯罪行为导致的破坏，确保邮件效力器及相关设备的可用性和完好性。其中包括：应将邮件效力器放置在机房环境中，机房平安规范必需符合。中心站点应采取机房和机柜的两层物理维护。主要设备应采用冗余备份。邮件效力器应采用双电源设计，应配备UPS不延续电源。不宜直接访问邮件效力器的光驱、软盘。对具有USB接口的邮件效力器设备，应在BIOS中设置禁用USB以及其它不被运用的端口设备，例如并口、不被运用的串口等。相应的网络设备也

22、应保证可靠和平安，防止不测呵斥的网络缺点。其它物理和环境平安规范参照和网络根底设备平安有关网络根底设备平安请参照邮件效力器的网络位置不应将公用邮件效力器与中油内部网络运用放在同一平安域中，否那么会要挟内部网络平安。邮件效力器的网络位置应遵照要求。DMZ非军事化区方式将邮件转发效力器设置在DMZ中，以减小的平安风险；通用的DMZ有3种方式，企业应根据业务特点和平安需求选择适宜方式：单一防火墙DMZ方式，见图2-1；双防火墙DMZ方式，见图2-2；三接口DMZ方式，见图2-3；图2-1单一防火墙DMZ方式此方式的平安主要依托路由器的平安功能来抵御网络攻击。此方式不适用于大型企业，单靠路由器无法防止

23、邮件运用层的攻击如SMTP、POP、IMAP协议本身弱点，此外路由器也不能提供邮件的病毒扫描。图2-2 双防火墙DMZ方式此方式较为常用，它提供了较高的平安性能，比较两防火墙可以进展邮件效力器出入流量分析，可以检测和预防对邮件效力器的运用层攻击。但假设此方式的平安规那么定义的太严厉，能够导致网络性能降低。图2-3 三接口防火墙DMZ方式此方式结合了单一防火墙和双防火墙DNZ两种方式的特点，是一个综合方案。邮件网关为提高邮件效力器的平安级别，提供多一层的维护方式，运用邮件网关作为联接Internet 和真正邮件效力器的代理，防止Internet与邮件效力器的直接通讯。如图2-4所示。图2-4 邮

24、件网关方式防火墙的平安规那么配置防火墙、路由器、入侵检测IDS和交换机作为网络的根底设备在中国石油企业信息平安中担当了重要角色，假设配置不当也会成为平安破绽或被攻击弱点，应根据平安战略严厉配置规那么选项。邮件效力器的平安应依赖于网络根底设备的整体平安，而不应仅依赖单一要素如防火墙，应运用平安组件组合方式使平安效果到达最正确。邮件效力器作为是企业最易受攻击的目的之一，路由器和防火墙作为邮件效力器的第一道防线，除开放以下端口对邮件效力器的访问外，应封锁其它端口对邮件效力器的访问：TCP 25 端口 (SMTP) TCP 110 端口(POP3) TCP 143 端口 (IMAP) TCP 398

25、端口(轻量级目录访问协议LDAP) TCP 636 端口(平安LDAP)内部防火墙应阻断外部POP3协议，制止内部用户经过POP3方式接受企业外部邮箱的邮件。入侵检测系统IDS应根据需求部署基于主机和基于网络的入侵检测系统(IDS)基于网络的IDS可以同时监控多个主机和网段，可以发现更多的基于网络的攻击的类型，并且容易对正在进展的网络攻击提供一个全面的视图。IDS必需经常更新网络攻击的特征数据库例如每周一次，以使它们可以检测新的攻击。为了维护邮件效力器，必需确保配置IDS完成以下功能：监控进出邮件效力器的网络通讯；监控邮件效力器上重要文件的修正(基于主机或者文件完好性检查器)；监控在邮件效力器

26、上可用的系统资源基于主机；与防火墙一同屏蔽攻击网络的IP地址或子网；把发生的攻击通知网络管理员或者邮件效力器管理员；尽能够检测到网络扫描和攻击，同时不产生太多的误报。记录事件日志，包括以下的细节：时间/日期攻击者的的IP地址攻击手段的规范称号源和目的的IP地址源和目的的端口号攻击运用的网络协议 日志文件审计要求应记录并保管网络设备的日志文件供检查和审计运用。网络设备的相关设置和日志应运用公用的备份机制进展备份如公用磁带机备份，不应将网络设备的日志文档备份在联网的效力器上。应由专人担任定期查看路由器、防火墙、入侵检测等网络设备的日志文件，并对日志进展分析，给出分析统计报告。应由专人查看警告信息，

27、并对警告信息进展分析处置。对网络平安事故进展分级，并对每次发生的平安事故进展分析处置，作出分析处置报告和破绽修补建议，防止类似事故发生。中国石油总部和各下属企业应建立应急事件呼应流程，保证公司可以快速处置平安应急事件。邮件系统网络架构平安情况检查表能否完成平安措施邮件效力器网络位置邮件效力器位于内部网中并由邮件网关和/或防火墙维护邮件转发代理效力器器处于DMZ区非军事化区)内防火墙配置邮件效力器由防火墙维护邮件效力器由运用层网关来维护防火墙控制Internet和邮件效力器间的一切通讯如有特殊要求，防火墙应屏蔽除TCP25端口(SMTP)、TCP110端口(POP3)、TCP143 端口(IMA

28、P)、TCP398端口(LDAP)和TCP636端口以外的一切目的地是邮件效力器的访问数据防火墙与IDS协同任务屏蔽IDS报告的正在攻击组织网络的IP地址或子网防火墙经过适宜的方法将可疑的网络行为通知网络管理员和邮件效力器管理员防火墙提供内容过滤功能运用层网关设置防火墙来防止DoS攻击防火墙记录重要事件防火墙和防火墙所用的操作系统安装了最新的补丁入侵检测系统配置IDS在防火墙后监控进出邮件效力器的网络通讯配置IDS来监控邮件效力器上重要文件的改动IDS与防火墙协作屏蔽正在攻击组织网络的IP地址或者子网IDS经过适宜的方法将攻击通知网络或者邮件效力器管理员配置IDS，在允许的误报比例下尽能够提高

29、检测的胜利率配置IDS记录事件日志经常更新IDS的新的攻击特征例如每周一次网络交换机用网络交换机防护网络监听配置网络交换机到高平安方式来防护ARP欺骗和ARP poisoning攻击配置网络交换机来发送网段的一切通讯信息到IDS主机基于网络的操作系统的平安操作系统加固见图2-1操作系统平安加固流程操作系统破绽确认流程系统管理员经过检查事故日志报告、查找系统破绽，检索企业内部的弱点破绽资源库，搜索供应商和其他权威组织如CVE规范发布的最新破绽修补公告，确认系统破绽。操作系统修补流程见图2-2操作系统修补程序部署流程对需求部署的系统修补程序，应在模拟环境中进展测试、验证，以确保在实践运用环境中可以

30、完成系统破绽修补，并确保不带入新的系统弱点和破绽。在中国石油电子邮件系统中，一切需求部署的修补程序都应经过测试环节。不应采用自动更新的方式，而应运用一致测试、分布运用的方式：中心站点管理员担任监控Windows 2000和Exchange 2000的修补程序更新情况。对于需求运用的修补程序，由中心站点管理员在测试环境中运用。检验修补程序运用后，系统的运转情况能否良好。同时，检验修补程序能否能经过Terminal Service来安装。中心站点管理员将修补程序下发到各地域公司的邮件效力器上Hotfix可经过文件共享，Service Pack通常需求刻光盘并下发。假设修补程序能经过Terminal

31、 Service来安装，那么由中心站点管理员担任实施补丁。安装最新的Service Pack 和修补程序了解平安风险锁定测试环境下的效力器修正锁定组战略效力器能否仍在执行任务义务运用到任务效力器并进展验证定期查看审计日志检查短少的修补程序检测到能够的事件短少修补程序执行事件呼应过程下载并在非消费环境中测试修补程序将修补程序运用到消费效力器修补程序管理效力器平安风险评价获得平安坚持平安是否是是否否审记和入侵检测事件呼应图2-1 操作系统平安加固流程分析环境能否短少修补环境测试修补程序向供应商或技术支持报告问题能否需求新的修补程序？方案部署修补程序并创建恢复方案监控消费效力器上的修补程序效力器能否

32、运转正常？问题能否处理？审核修补过程是否执行原始形状恢复程序是部署修补程序是否否图2-2操作系统修补程序部署流程假设修补程序不能经过Terminal Service安装，那么针对每台效力器暂时创建系统管理员帐号，并写清楚安装步骤，让地域公司效力器管理员在指定时间内完成系统修正，暂时系统管理员帐号应及时删除。在中国石油电子邮件系统的系统更新晋级中，可以利用Microsoft 网络平安即时修复程序检查器 (Hfnetchk)来实现修补程序检查。封锁不用要的效力和运用遵照最小权限安装原那么，保管或开放邮件效力器所要求的最小效力选项和运用选项邮件操作系统宜封锁以下功能：文件和打印机共享(Windows

33、 NetBIOS/file and printer sharing )网络文件系统(Network File System (NFS) 远程登录(Telnet) 简单网络管理协议(Simple Network Management Protocol (SNMP) )文件传输协议(FTP) 网络信息系统Network Information System (NIS) 言语编译器和编译库(Language compilers and libraries) 系统开发工具(System development tools)网络管理工具(Network management tools and util

34、ities (假设没有特殊要求)其它功能根据需求经平安测试后启动 操作系统的用户管理严厉管理超级用户权限的运用，确保只需系统管理员有权运用超级用户权限，并严厉限制拥有超级用户权限的系统管理员不得超越4人。应合理分配邮件效力器系统管理员的权限。假设不需求远程网络管理，应禁用管理员或者root级别帐户从网络登录的权限。应对访问系统的用户进展严厉认证。删除或者禁用一切不用要的默赖帐户如guest帐号及帐户组。建立用户组，将用户分配到适宜的用户组中，为用户组分配适当的权限。仅建立必要的帐户，禁用或者限制运用共享帐户。设置帐户和口令平安管理战略有关口令的平安战略请参照中的口令平安规范口令长度，指定口令最

35、小长度例如8个字符；口令复杂性，要求口令必需是字母和数字的组合，并且不是字典上的词；口令过期，口令更新的期限应根据强迫的口令长度和复杂性及受维护的信息的重要程度的组合来确定，系统管理员和超级用户的口令每隔30天到120天修正一次；防止穷举攻击，登录失败次数到达一定数量例如3次后应回绝登录恳求，并暂时挂起该用户例如10分钟；应记录网络和控制台一切的登录失败恳求。假设有必要，邮件效力器可以结合运用其它的认证机制，例如生物识别，智能卡，或者一次性口令系统等。 资源访问控制应单独指定对系统文件、目录、设备和其它计算机的资源访问权限；例如回绝对文件和目录的查看有助于维护信息的严密性，而回绝不用要的写修正

36、访问有助于维护信息的一致性。与系统相关的工具的执行权限应仅限于授权的系统管理员，防止由于用户变配置而导致平安问题，同时可限制入侵者运用这些工具来攻击本地系统或者网络上的其它系统。邮件运用系统平安更新和修补邮件运用系统参照本规范款“操作系统加固规定流程。封锁或删除不用要的效力和运用参照本规范款规定 邮件运用系统用户管理制止邮件运用系统以超级用户的权限运转系统。确保只需一个严厉控制访问权限的用户ID和组ID可以运转邮件效力，这些用户和组应与系统的其它用户和组严厉区分。针对邮件系统用户设置文件、设备和资源的访问控制权限 邮件效力器资源的访问控制限制邮件效力器对系统资源的访问权限。限制用户额外的访问控

37、制权限。 典型需求控制的访问文件普通包括：运用程序和配置文件；和平安机制直接相关的文件，包括：口令文件或者其它认证需求的文件包含认证信息以及在访问控制中需求用到的文件与严密性、完好性和不可否认性平安效力相关的密钥体系效力器日志和系统审核文件；系统软件和配置信息；对于必需访问的系统资源设置只读属性，例如效力器日志。邮件效力器生成的暂时文件应保管在指定的子目录中，并严加控制。邮件效力器创建的暂时文件仅限于邮件效力器运用。邮件效力不应在指定的文件构造以外存储文件，这些存储文件和目录不应被其它系统和用户访问。为防止DoS攻击，可限制邮件效力器的运用资源，例如将用户的邮箱设置到其他的硬盘或逻辑分区上，而

38、不应设置到操作系统或者邮件运用效力的分区上。应限制附件的大小。邮件效力器操作系统和运用系统平安检查表能否执行平安措施邮件效力器的平安配置和部署确定邮件效力器的功能确定需求经过邮件效力器存储、处置和传输的信息类别确定信息的平安要求确定公用的主机来作为邮件效力器确定邮件效力器需求提供或支持的网络效力确定邮件效力器的用户和用户组，并确定每类用户的权限确定邮件效力器的用户认证方法为邮件效力器选择适宜的操作系统最小特权的安装原那么，防止弱点暴露严厉控制管理员和超级用户在授权的人员范围内邮件效力器可以回绝无法验证信息的信息访问禁用操作系统或者效力器软件自带的不用要的网络效力选择阅历丰富的系统管理员来安装、

39、配置、维护、管理操作系统更新操作系统，并安装补丁找到并安装一切必要的操作系统补丁，并经常更新系统找到并安装操作系统运转的运用程序和效力的一切必要的补丁，并经常进展更新删除或禁用不用要的效力和运用删除或禁用不用要的效力和运用配置操作系统用户认证删除或禁用不用要的默赖帐户和用户组禁用非交互帐户为不同用途和级别的用户计算机建立不同的用户组为特殊的计算机建立用户帐户检查组织的口令政策例如长度、复杂性，并相应设置帐户的口令配置系统，防止暴力破解口令，在登录企图失败超越次数限制后应回绝登录安装和配置其他的平安机制来加强认证测试操作系统平安性在初始安装后测试操作系统的破绽定期测试操作系统来发现新破绽客户端平

40、安规范客户端的加固和修补应建立公告机制，定期或实时发布平安弱点、破绽报告和补丁更新通知IE阅读器的平安直接影响Outlook和客户邮件的平安，应建立机制和渠道及时通知并提供软件包供用户修补破绽常用的补丁更新网站：Eudora: eudora/Lotus Notes: lotus/home.nsf/welcome/downloadsMicrosoft Outlook: microsoft/office/outlook/default.htmMicrosoft Outlook Express: windowsupdate.microsoft/Netscape: HYPERLINK scape/sm

41、artupdate/ scape/smartupdate/客户端平安设置应遵照邮件系统管理员的指点或供应商的建议配置客户端。用户认证与访问当用户以POP和IMAP方式远程接纳邮件时，要求进展身份认证，即需求验证用户名和口令。用户不宜采取让系统自动记住口令的方式。用户接发邮件宜采用SSL/TLS加密平安传输方式，不宜采用SMTP明文方式。客户端平安检查表能否执行平安措施安装补丁并更新邮件客户端更新邮件客户端为最平安的版本为邮件客户端安装一切必要的补丁同时符合组织的政策和配置管理机制对于与阅读器集成的邮件客户端例如，Outlook和Netscape,为阅读器安装一切必要的补丁邮件客户端平安禁用自动

42、邮件预览禁用自动翻开新邮件禁用动态内容处置假设可以的话运用平安的认证和访问制止邮件客户端存储用户名和口令配置客户端运用数据加密S/MIME,PGP配置客户端只存储加过密的收件只安装和运用绝对必要并且来源可信的插件配置基于Web的邮件只能经过运用128位的SSL/TLS来进展访问教育用户关于基于Web的邮件的平安危险Microsoft Outlook特定的配置禁用下载签名的ActiveX控件禁用下载未签名的ActiveX控件禁用Java禁用在IFRAME内启动程序禁用动态脚本禁用Java applet脚本Eudora特定的配置禁用“在HTML中包含可执行代码禁用Microsoft viewer禁

43、用MAPINetscape特定的配置不选“运用Java不选“在邮件和新闻中运用JavaScript不选“用email地址作为匿名FTP站点的口令删除Netscape的Microsoft ActiveX Portability Container邮件内容防病毒和恶意代码攻击邮件系统应采取防病毒控制措施：每台邮件效力器应一致部署操作系统级的防病毒系统，目前中国石油由Symantec公司提供了防病毒软件W2K版本支持。SMTP网关应配置防病毒软件，扫描每一个入站邮件并且还包括一切的出站邮件，以检测和去除一切的感染内容。应在Exchange Server邮箱存储上安装防病毒系统。 客户端的病毒防治，按

44、中国石油一致采取的防病毒战略执行。邮件系统应采取的防病毒预防措施：在得到明确的病毒通知后，应经过邮件通知用户新病毒的特征，以及应对措施。应经过EIP信息门户公告最新病毒信息，并运用任何实时通知系统如语音邮件等通知用户。通知相关方面后，应尽力防止病毒的传播。假设尚没有修补方案，在最坏的情况下宜限制邮件在组织内外的流动例如，禁用衔接器和能够的网络衔接。一旦有理处理方案，就应建立机制担任部署各个病毒供应商的更新程序。可以运用电子邮件系统作为向本地管理员分发修补程序的手段。病毒处置流程病毒发作时，帐号管理员应立刻将限制受感染的用户发送邮件大小的“Maximum KB改为1k；帐号管理员应及时通知中心管

45、理员，中心管理员担任清理效力器上的邮件；确认病毒去除后，才可将用户的邮件发送大小限制改为“Use Default limit内容过滤邮件的内容或者附件能够比病毒或者恶意代码对组织产生更大的平安危害。分析路由器、防火墙和邮件效力器日志文件，应根据平安规那么制定邮件过滤器规那么；邮件效力器的过滤器应根据规那么来扫描经过邮件效力器的邮件和附件，查询可疑字段内容如涉及违反国家法律、涉及泄露公司信息等字段；应将过滤器捕捉的包含可疑动态内容的邮件中的动态内容去掉，然后发送给接受者；对扫描到的违反规那么的邮件进展监视、隔离、留置、去除、屏蔽或者删除。反渣滓邮件 邮件系统应要求SMTP身份认证，以确认发信人身

46、份。接纳外域邮件时，当每封信收件人超越一定数量如20人时，系统将拒收该邮件。邮件系统中应参与反渣滓邮件模块。针对用户赞扬和管理员搜集的与渣滓邮件有关的IP地址和关键字加以拒收。系统运转维护平安系统的更新和修补参照本规范2.2条操作系统平安和2.3条邮件系统运用平安规定。系统日志应记录并保管系统的日志文件供平安审计和检查运用。应将日志文件存放在另一个物理独立的效力器中。日志文件该当定期归档和备份。应将邮件效力器的日志功能设为最高级例如“最大，“最详细并确保以下的内容可以计入日志。本机系统相关日志IP栈出错信息解析器配置问题 (例如DNS, NIS, Windows Internet Naming

47、 Service WINS)邮件效力器配置错误(例如DNS不匹配，本机系统配置错误，别名效力器过期)系统资源缺乏如磁盘空间，内存，CPU别名数据库重建系统登录和衔接日志系统登录日志胜利和失败信息平安信息例如渣滓邮件网络问题协议出错衔接超时回绝衔接VRFY和EXPN命令音讯相关日志发送方信息地址报错信息邮件信息搜集统计出错信息生成发送失败信息发送延时信息应提供日志自动分析工具以协助 减轻管理员的负担。应定期查看系统的日志文件，并对日志进展分析。应根据以下要素确定日志查看的频度：效力器的信息资产价值邮件效力器的流量负载效力器的要挟等级敏感站点的日志检查频度应相对较高特殊时间例如在要挟容易发生的特殊

48、时间，那么应添加日志检查频度文件邮件效力器本身的弱点有可疑征兆的时，应每天检查日志系统备份邮件效力器的备份是管理员为保证系统数据完好而应履行的重要职责，良好的系统备份能保证系统在蒙受损失或出现缺点时快速恢复；应由系统管理员担任操作系统、运用系统和邮件目录的备份； 系统安装后应做一次完全备份定期如每两周将邮件目录备份内容写到磁带上或刻录到光盘上可选用的备份方式：完全备份，将效力器上包括操作系统、运用程序和数据在内的一切东西都进展备份该备份资料是邮件效力器的完好镜像；增量备份，只备份前一次备份以后的数据变化；差别备份，只备份前一次完全备份以后的变动数据。根据下面要素选择备份方式和备份频度例如每日、

49、每周备份、每月备份或者在艰苦事件发生的时候备份：效力器数据和配置的稳定性备份的数据量能否具有备份设备和介质能否有时间信息资产重要性邮件效力器的受要挟等级假设没有数据备份，数据重建需求的时间邮件效力器本身的数据冗余特征例如能否有冗余磁盘阵列，镜像备份和归档的时候，必需留意以下几点：宜运用不可擦写的介质，以免不测删除和改动数据应回放检查备份数据，确保数据正确备份和归档应将备份时间信息置入存储介质应为备份介质建立易于检索的索引宜在不同地点保管两个副本系统恢复应建立相应系统恢复的应对战略和处置流程；流程应明确定义系统遭遇攻击时应该采取的步骤以及顺序；邮件系统管理员在发现系统受损后宜采取以下步骤：向相关

50、指点汇报查询企业组织的平安政策隔离受损系统，搜集更多的攻击信息以便于系统的恢复和修补查询其它系统能否蒙受过类似攻击分析攻击类型：系统软件和配置修正痕迹数据的修正痕迹分析和清理攻击者留下的数据和工具检查系统日志、入侵检查和防火墙等防护措施的日志恢复系统重装系统或者从备份系统中恢复这样做能够有风险，必需保证备份本身没有遭到损害禁用不用要的效力实施平安补丁修正一切系统口令包括未受损系统重新配置网络平安组件(防火墙，路由器，IDS)，增进平安措施测试系统平安性重新衔接入网络监控系统和网络，查看能否又有攻击征兆记录总结阅历教训系统管理员在思索能否重装系统还是从备份系统中恢复时需求权衡以下要素攻击者窃取的

51、访问控制等级例如root, system,user,guest,攻击类型内部还是外部攻击目的窃取资料、破坏数据等攻击方法系统攻击过程中和攻陷后黑客的行为系统受损继续的时间涉及范围管理层和法律部门意见邮件效力器系统平安定期测试 制定平安测试流程， 在不影响系统可用性的情况下，应定期测试操作系统的平安性，发现系统弱点和破绽，并采取相应加固措施。为保证操作系统与邮件效力器及时更新，必需定期进展弱点扫描。必需或至少每个月进展一次弱点扫描，以保证现行的各项维护措施发扬作用，保证邮件效力器管理员所采用的平安补丁的有效性。应检测平安措施的运用程度以及能否满足平安战略的要求。宜思索运用一种以上的扫描程序。应记

52、录并及时纠正扫描发现的弱点。 根据下述的弱点扫描和浸透测试的功能选择适用的测试手段：弱点扫描具有以下功能：确认网络中运转的主机确认主机上容易遭到攻击的运转效力端口确认操作程序和运用程序的弱点浸透测试具有以下功能：利用黑客的方法和工具测试网络脆弱性检验能否存在弱点深化发现弱点的本质特征证明弱点的实践性为平安问题提供现实的证据对流程和人员要素进展测试和改良邮件系统的远程管理宜在评价风险程度后，再思索设置邮件系统的远程管理。制止运用远程系统管理。不宜运用单位网络外的主机进展远程管理，内部网的远程管理和内容更新相对比较平安。假设单位不得不进展远程管理和内容更新，就必需尽能够的遵照以下步骤：应采用强身份

53、认证机制(例如，公钥和秘钥配对，双因子认证)；应限制主机在邮件系统上的远程管理和内容更新：授权用户限制IP地址而非主机名内部网内主机宜采用如Secure Shell, Secure Hypertext Transfer Protocol (HTTPS)等可以提供口令和数据双重加密的平安协议，减少运用Telnet, FTP, NFS, or HTTP等协议；应减少远程管理与内容更新的权限；除非运用有力的认证机制如虚拟公用网，制止经过互联网进展远程管理；制止在内部网和邮件效力器之间设置文件共享。邮件系统平安管理检查表能否执行平安措施日志IP启动栈错误日志解析器配置错误DNS，WINS，NIS日志邮

54、件效力器配置错误例如DNS不匹配等日志别名数据库过期信息日志系统资源缺乏信息磁盘，内存，CPU日志别名数据库重建日志平安问题日志通讯出错日志协议出错日志衔接超时日志衔接回绝日志VRFY和EXPN命令运用日志发送代理日志发送方日志地址格式错误日志信息搜集统计日志出错信息生成日志发送失败日志发送延时日志单独日志效力器跟踪企业组织要求归档日志每日日志检查每周日志检查自动日志分析工具邮件效力器备份制定邮件效力器备份战略每日或者每周增量备份和差别备份每周至每月的完全备份定期归档备份受损恢复异常事件汇报平安政策咨询受损系统隔离和证据搜集向指点、法律部门咨询类似的系统损害的检查入侵分析系统恢复平安测试继续监

55、控系统防止类似攻击再次发生记录阅历教训平安测试定期弱点扫描更新弱点扫描程序弱点扫描程序缺陷弥补浸透测试远程管理运用强认证机制例如公钥算法等只限经过内部网络远程管理运用平安性更高的协议遵照远程管理权限最小原那么，只分配必要的权限修正远程管理的默许口令除非运用VPN，否那么制止从internet进展远程管理帐号管理平安邮件帐号的命名规范中国石油电子邮件系统用户帐号的命名应根据以下规那么：个人帐号命名规那么姓名petrochina 可由姓氏的汉语拼音的全拼与名字的汉语拼音的全拼或名字汉语拼音首个字母简写组成。名姓petrochina 可由姓氏的汉语拼音的全拼与名字的汉语拼音的全拼或名字汉语拼音首个字

56、母简写组成。对于重名的处置 对于重名的邮件帐号可采取a)或b)方式后加数字或下划线加数字的方式处理。单位帐号命名规那么公司_部门 petrochina可以采用公司、部门的汉语拼音称号或英语称号暂时帐号命名规那么对于中国石油的一些大型工程，需求运用企业邮件时可以提出恳求，经审核同意后注册运用，工程终了后应及时注销。工程称号petrochina不得运用的帐号名不得冒充他人姓名；不得运用有特殊政治、色情、暴力和低级含义的词语作帐号名。口令平安战略有关口令的平安战略请参参照中的口令平安规范长度，指定口令最小长度例如8个字符；复杂性，要求口令必需是字母和数字的组合，并且不是字典上的词；口令过期，管理员和

57、root级的用户口令应该在30到120天内更新一次。普通用户的口令必需定期更新，更新的期限应根据强迫的口令长度和复杂性及受维护的信息的重要程度的组合来确定；重用，口令不能与前三次运用的口令一样，用户在改动口令时不得与前次口令反复太多；防止穷举攻击，登录企图失败到达一定数量后例如3次应回绝登录恳求，暂时挂起该用户例如10分钟。邮件帐号的开户普通开户流程经过审批流程来确认恳求用户的信息，由帐号管理员完成开户操作并记录用户信息：需求开户的用户填写见附录A中恳求人部分。由人事部门签字认可，提交给帐号管理员。由帐号管理员创建用户，并记录员工信息到本地的中。帐号管理员填写中管理员和创建日期，并前往给最终用

58、户。帐号管理员更新本单位的。批量开户流程批量开户的操作是由中心管理员完成的，帐号管理员担任聚集用户的信息和审批结果并提交给中心管理员：帐号管理员搜集需求开户的用户信息，填写。整理，确保信息正确，用户登录名没有反复。提交给中心站点管理员。中心站点管理员批量开户，并可以在用户登录名发生冲突时调整用户登录名。中心站点管理员将最后开户完成的前往给帐号管理员。帐号管理员更新，并通知最终用户开户的信息。邮件帐号的调整和注销帐号调整流程员工由于任务岗位、职务等变动需求调整邮件帐户信息时，帐号管理员应根据人事部门意见及时调整用户信息：人事部门填写附录B，提交给帐号管理员；帐号管理员根据要求更新用户信息；帐号管

59、理员更新单位的。帐号注销流程员工由于离任或调动需求注销或限制邮件帐号时，帐号管理员应根据人事部门确认意见及时对邮件帐号作出处置。对于需求保管一段时间的用户帐号，可以在账户上设置失效限制。对于不允许发送邮件的用户，可以将用户参与“邮件禁用组：人事部门填写见附录C。帐号管理员根据人事部门的要求进展销户。假设是调动，需求提交给中心站点管理员来完成邮箱的挪动。帐号管理员更新单位的。帐号管理员完成，前往给人事部门，并通知详细用户。邮件运转维护管理规范管理方式管理权限划分集中式分布管理，总部设置邮件系统域和系统管理员，担任中国石油整个邮件系统的平安战略、系统维护和管理，并担任总部地域的邮件系统、用户维护和

60、管理。除中心站点外有邮件站点单位设置本单位邮件系统管理员和帐号管理员，担任本公司邮件系统、用户的维护和管理。对没有效力器的单位配备帐号管理员来管理本单位的用户。管理员职责系统管理员、用户帐号管理员 邮件域管理员职责对邮件效力器管理员权限的设置和管理对用户管理员权限的设置和管理 邮件系统管理员职责邮件路由的设置地址薄复制战略的制定邮件系统平安战略的制定和设置邮件防病毒战略的制定和部署邮件效力器软硬件资源的管理和维护邮件系统软件的安装和优化系统的备份和恢复邮件队列的管理邮件列表的管理邮件系统运转情况的监控 邮件帐号管理员职责搜集整理用户帐号信息增删和修正用户用户口令、邮箱属性的修正配置和管理用户邮