信息安全技术 反垃圾邮件产品技术要求和测试评价方法编制说明

国家标准《信息安全技术反垃圾邮件产品技术要求与测试评价方法》（征求意见稿）编制说明工作简况1.1任务来源本项目为2020年信安标委标准修订项目，标准名称为《信息安全技术反垃圾邮件产品技术要求与测试评价方法》，国家标准计划号XXX。该标准规定了反垃圾邮件产品安全功能要求、自身安全要求、安全保障要求和测试评价方法。1.2主要起草单位和工作组成员本项目由中认信安（北京）技术服务有限公司牵头，参与起草单位包括上海市信息安全测评认证中心、中国网络安全审查技术与认证中心、公安部第三研究所、中国电子科技集团公司第十五所、北京信息安全测评中心、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有限公司、深信服科技股份有限公司、西安交大捷普网络科技有限公司、北京山石网科信息技术有限公司、北京安宁创新网络科技股份有限公司、上海腾桥信息技术有限公司等。主要起草人有：布宁、陈清明、甘杰夫、申永波、张俊彦、徐佟海、王峰、董晶晶、田晓鹏、贺海、安高峰、白霜、吴杨、李宇、叶润国、何建锋、郝炜、刘思蓉1.3主要工作过程标准制定的主要工作过程如下：1.在2020年2月至2020年3月组织两次集中讨论、以及小范围沟通，形成修订申报材料，包括申报书、建议书和标准草案。2.2020年5月线上参加信安标委2020年第一次会议周并进行答辩，并与会上成功立项。3.2020年9月标准研制牵头单位于在信安标委网站上公开征集标准参编单位，收到了13家单位的申请。并在编制组内征求意见。4.2020年10月16日，标准编制组召开标准研讨会即标准项目启动会，会上对标准修订方向和组内标准意见进行研讨，重点对智能识别、标准修订的方向等内容讨论,会后形成了草案（V2.0）。5.2020年10月26日，WG5组织研讨会，对标准进行评审，专家主要的问题集中在标准与其他标准的协调、标准定义、标准修订内容提出了意见和建议。6.2020年10月30日，编制组召开组内会议针对专家问题进行讨论，对问题进行修订，形成草案（V2.1）。7.2020年11月9日，在信安标委第二次会议周期间，标准编制工作组召开了研讨会，会议主要为编制组内成员单位参加（共计12位代表）。会上对标准草案的术语和定义、垃圾邮件识别技术、垃圾邮件处理等内容进行深入讨论。并根据讨论结论进行修订完善。8.2020年11月11日，在信安标委第二次会议周全会上，对标准进展进行了汇报，与会专家针对术语和定义、个人信息保护、产品范围定义、测试评价方法、防病毒等方面做了研讨，会后根据专家的意见对标准进行完善，形成了征求意见稿（V1.0）。9.2020年12月15日，WG5组织专家研讨会，对标准征求意见稿进行评审，与会专家主要意见集中在垃圾邮件定义，建议以使用者“意愿”为基础，综合共识+个识确定，编制组根据专家意见，完善了征求意见稿（V1.1）。标准编制原则和确定主要内容的论据及解决的主要问题2.1编制原则标准牵头单位与项目组各成员单位发挥各自优势，联合开展本标准的研究工作。本标准根据当前产业界产品安全最佳实践，结合新技术发展和国内实际应用情况，提出适合于我国国情，具有较强可操作性的安全标准。通过该标准的修订及实践，不仅可以提升产品自身安全能力，也为产品研制、生产、维护和测评提供指导。本标准的修订遵循以下原则：符合性：应符合国家有关政策法规的要求；兼容性：应与已颁布实施的相关安全标准相协调；先进性：充分考虑我国反垃圾邮件产品实际安全技术水平和发展应用，并保持一定的前瞻性；适用性：应结合产业对反垃圾邮件产品安全实际应用需求；中立性：公正、中立，不与任何利益攸关方发生关联。2.2确定主要内容的论据及解决的主要问题《信息安全技术反垃圾邮件产品技术要求与测试评价方法》规定了反垃圾邮件产品安全功能要求、自身安全要求、安全保障要求和测试评价方法。本文件适用于对反垃圾邮件产品的研制、生产、测试和评价。本标准解决主要技术难点和问题主要如下：（1）调研目前市场该类产品最新技术发展和客户需求，特别是全新的反垃圾邮件技术，为标准修订做好技术积累；（2）对标准的安全功能要求进行修订，重点增加产品在事前防护技术、识别和校验技术等方面要求；修订完善产品的自身安全要求，加强安全管理、安全审计和用户数据保护方面的新要求；并修订标准在产品安全功能和自身安全功能要求方面的交叉要求；（3）结合最新的安全保障要求相关标准，修订产品安全保障要求；（4）修订标准的测试评价方法，选择典型的反垃圾邮件产品，对标准内容的合理性和可操作性进行验证，验证其合理性和可操作性，并基于验证结果对标准进行进一步完善。主要试验[或验证]情况分析本标准从供应方和需求方角度，分别提出了产品应满足的安全要求，编制组在编制过程中，充分听取了产品企业、科研院所、测试机构的意见，考虑了产品相关技术的发展和应用情况，并同步在编制组中部分单位开展了标准条款的试点验证工作。知识产权情况说明本标准不涉及专利。产业化情况、推广应用论证和预期达到的经济效果本标准适用于反垃圾邮件产品生产厂商、测评机构以及用户单位，为产品的研制、生产、测试和评估提供指导。生产厂商既可参考技术要求开展产品的研制，也可参考测试方法对产品进行质检；产品测评机构可参考测试方法对产品开展测试和评价；用户单位可参考技术要求、测试方法对产品进行选型及验收辅助。随着《网络安全法》进一步落地，四部门联合发布《网络关键设备和网络安全专用产品目录(第一批)》，其中将反垃圾邮件产品列为了网络安全专用产品，因此开展标准修订就显得尤为迫切。六、采用国际标准和国外先进标准情况本标准未采用国际标准。但相关内容参考以下相关国际标准。经调研反垃圾邮件产品国际上有NIST-SP800-12rev标准，经分析该标准将垃圾邮件定义为“电子垃圾邮件或滥用电子信息传递系统，不加选择地发送未经请求的大量信息”，从标准定义来看也是基于用户意愿和大众共识的危害的邮件。国际电联ITU-TSG17于2008年发布ITU-TX.1241《反垃圾邮件技术框架》，主要内容包括了发垃圾信息处理域架构、域功能、垃圾邮件识别、设备要求及域互联方式，主要目标在全球范围建立发垃圾相互协作的技术架构。七、与现行法律法规、法规、规章及相关标准的协调性《反垃圾邮件产品技术要求与测试评价方法》符合现有法律法规的要求。1、本标准基于GB/T30282-2013内容进行修订，在结构方面：1）增加产品描述；2）将技术要求分为安全功能要求、自身安全要求和安全保障要求；3）将等级划分的内容调整到附录。具体标准修订前后对应关系如下：修订后修订前安全功能要求垃圾邮件识别基于邮件发送地址的垃圾邮件识别功能要求垃圾邮件识别基于邮件发送地址的垃圾邮件识别基于邮件内容特征的垃圾邮件识别基于邮件内容特征的垃圾邮件识别基于邮件连接特征的垃圾邮件识别基于邮件连接特征的垃圾邮件识别垃圾邮件处理垃圾邮件处理管理控制功能策略配置管理控制功能策略配置网络部署方式网络部署方式产品升级产品升级报表统计报表统计自身安全要求安全审计审计数据生成自身安全要求安全审计审计数据生成审计数据查阅审计数据查阅审计数据存储审计数据存储可选审计查阅--审计数据保护--限制审计查阅--身份鉴别身份鉴别访问控制--安全管理安全角色管理用户角色安全属性管理--数据安全安全功能数据传输保护安全保障要求开发安全架构安全保证要求开发--功能规范功能规范产品设计高层设计实现表示--指导性文档操作用户指南指导性文档管理员指南准备程序用户指南生命周期支持配置管理能力配置管理配置管理能力配置管理范围配置管理范围交付程序交付与运行交付开发安全安装、生成和启动生命周期定义--工具与定义--测试测试覆盖测试测试覆盖功能深度--功能测试功能测试独立测试独立性测试脆弱性评定脆弱性分析脆弱性评定脆弱性分析环境适应性要求（如适用）支持纯IPv6网络环境IPv6网络环境下自身管理--双协议栈--2、与GB/T37002-2018《信息安全技术电子邮件系统安全技术要求》的协调性本标准的对象是反垃圾邮件产品，产品的形态可能是是能够对垃圾邮件进行识别和处理的软件或软硬件组合，包括透明的反垃圾邮件网关、基于转发的反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软件，以及与邮件服务器一体的反垃圾邮件的邮件服务器等。而GB/T37002-2018《信息安全技术电子邮件系统安全技术要求》主要规定了办公电子邮件系统信息安全技术要求，适用于办公电子邮件系统的设计开发、建设部署、使用管理、测试评估和安全服务等。该标准主要的对象为电子邮件系统，标准中涉及反垃圾邮件相关要求，已经指向了本标准，因此两个标准相互协调。3、与GB/T35273-2020《信息安全技术个人信息安全规范》的协调性反垃圾邮件产品可能会涉及处理个人信息，因此，产品中凡事涉及处理个人信息的功能均应满足标准个人信息保护的相关要求，本标准不在具体规定个人信息保护的相关要求。八、重大分