6.1　安全功能要求

6.1.1　郵件服務器安全技術要求

6.1.1.1　硬件

本項要求包括：

a) GB/T 21028-2007中有關要求；

b) 宜配置加密模塊；

c) 若具有帶外管理芯片，應能對其進行管控。

6.1.1.2　操作系統

本項要求包括：

a） 應根據電子郵件系統的性能、可靠性、安全性等要求選擇安全操作系統，或對操作系統進行定制（包括：內核、服務、應用、端口等），或借助第三方機構對操作系統進行安全加固；

b） 應具備強制訪問控制功能，保證郵件應用在預定義的資源范圍內運行，防止通過主動提權、變更用戶等方式，訪問超出預定義范圍的資源；

c） 應具備防篡改的安全審計功能，可對日志進行審計、分析潛在侵害、檢測異常行為，并實時生成報警；

d） 應具備日志記錄功能，可對用戶登錄、接口調用、管理數據修改、用戶身份變更、文件訪問、其他管理員操作等行為進行記錄，記錄的日志數據應包括：事件發生的時間、觸發事件的用戶、事件類型和事件結果等；

e） 宜提供針對郵件應用的安全策略配置功能，并能自動檢查安全策略的有效性。

6.1.1.3　云計算環境

本項要求包括：

a) 支持郵件服務器系統的虛擬化應用；

b) 應保證郵件系統各組件間的有效隔離，如郵件Web服務、存儲的隔離；

c) 如采用第三方云計算環境供應商，應采取簽訂服務安全合同、保密協議等方式，約束云計算環境提供商，防止其對用戶郵件信息進行搜集和分析，挖掘用戶隱私信息，惡意泄露或出賣用戶隱私信息。

6.1.1.4　支撐系統

6.1.1.4.1　Web服務

本項要求包括：

a) 不能存在后門、木馬、病毒等惡意代碼及安全漏洞；

b) 應具備訪問控制功能，可有效阻止任何未經授權的訪問；

c) 應具備日志記錄功能，可記錄用戶的各類操作行為；

d) 應具備輸入有效性的過濾審查功能，可有效地阻止基于非法輸入的web漏洞攻擊；

e) 應具備身份鑒別機制，可對訪問web服務的用戶身份進行有效性認證。

6.1.1.4.2　中間件

本項要求包括：

a) 不能存在后門、木馬、病毒等惡意代碼及安全漏洞；

b) 應具備訪問控制功能，可有效阻止任何未經授權的訪問；

c) 應具備日志記錄功能，可記錄用戶的各類操作行為。

6.1.1.4.3　數據庫

本項要求包括：

a) 應根據電子郵件系統的性能、可靠性、安全性等要求選擇安全數據庫，或對數據庫進行定制（包括：內核、服務、應用、端口等），或借助第三方機構對數據庫進行安全加固；

a) 同6.2.2中數據庫管理的安全功能要求。

6.1.1.5　郵件應用系統

6.1.1.5.1　身份鑒別

本項要求包括：

應支持安全性增強的賬戶口令密碼認證，滿足下列要求；

1) 賬戶口令密碼應為字母、數字、符號的混用組合，且不少于8個字節；

2) 應具備賬戶口令密碼自動審查功能，禁止使用弱口令密碼；

3) 賬戶口令密碼的存儲不得采用明文方式，若采用數字摘要方式存儲，應加入隨機性；

4) 賬戶口令密碼應設定有效期，超過有效期時，則不能登錄；

5) 應具備口令密碼防暴力破解功能，對Web、POP3、SMTP和IMAP等登陸訪問方式，當口令密碼錯誤次數超過設定值后，應鎖定該賬戶或禁止對應IP再次訪問；

應具備身份鑒別異常處理功能，如采取限制登錄錯誤次數等措施；

應具備超時認證的功能，當用戶會話超時后，需進行重新認證。

6.1.1.5.2　訪問控制

本項要求包括：

應具備用戶分類功能，如分為管理員和郵件用戶；

應能對各類用戶賦予不同的權限；

應具備嚴格的權限驗證方法，采用合理的技術手段，充分保證權限憑證數據不可偽造；

應在通過身份鑒別機制認證用戶身份后，方可允許用戶訪問授權的功能；

應具備記錄管理員訪問過程操作日志的功能。

6.1.1.5.3　用戶審計

本項要求包括：

應具備管理員行為審計功能，審計內容應包括：操作時間、管理員帳戶、登錄IP地址、地理位置、登錄方式、操作內容與結果等信息；

應具備郵件用戶登錄行為審計功能，審計內容應包括：登錄時間、郵件用戶賬戶、登錄IP地址、地理位置、登錄方式等信息；

應具備郵件用戶發送郵件行為審計功能，審計內容應包括：發送時間、收件人、郵件主題、投遞狀態、是否撤回等信息；

應具備郵件用戶接收郵件行為審計功能，審計內容應包括：收取時間、發件人、郵件主題、閱讀狀態等信息；

應具備郵件用戶賬戶關鍵配置修改行為審計功能，審計內容應包括：時間、操作帳戶、修改內容、修改結果等信息；

審計數據至少保存一年。

6.1.1.5.4　接口安全

本項要求包括：

與第三方應用系統接口應采用身份鑒別機制，驗證接口調用方身份的合法性；

與第三方應用系統接口的會話應設置生命周期，防止接口被惡意調用；

應對第三方應用系統接口調用的數據進行合法性檢測，防止基于注入式、跨站請求偽造、模式驗證、輸入輸出編碼等攻擊；

應對第三方應用系統接口設定資源使用權限，限定可訪問的數據范圍；

應具備記錄接口調用過程操作日志的功能。

6.1.1.5.5　收發過程保護

本項要求包括：

應具備郵件過濾功能，能接收或拒收指定域的郵件；

應具備防郵件中繼功能，能拒絕轉發或僅轉發來自指定IP地址或子網、目標為指定子網、來自指定域、來自指定郵件地址、來自指定用戶名等郵件；

應具備郵件審批功能，能根據發件人、收件人、主題、內容、附件內容、附件格式等郵件特征，創建審批條件，滿足審批條件的郵件，經審批員審批后，方能被投遞/彈回/拒收(發)/轉寄/抄送；

應具備支持SPF機制檢測郵件數據源的功能。

6.1.2　郵件客戶端安全技術要求

6.1.2.1　郵件客戶端軟件

支持通用郵件客戶端軟件使用SSL通道收發郵件。

6.1.2.2　PC客戶端

本項要求包括：

C/S模式下應支持郵件加密、數字簽名功能；

C/S模式下應支持郵件數據在本地加密存儲；

C/S模式和B/S模式下均應支持基于SSL/TLS的郵件數據傳輸；

C/S模式和B/S模式運行環境均應有防病毒、木馬的保護措施。

6.1.2.3　移動智能終端

本項要求包括：

應滿足6.1.2.2PC客戶端的基本要求；

輸入密碼時，終端界面上不應顯示明文密碼；

宜支持郵件遠程管理功能，如：郵件遠程刪除、密鑰遠程刪除等。

6.1.2.4　郵件推送

本項要求包括：

推送郵件正文和附件時，應對郵件內容加密，身份鑒別應符合本標準相關要求；

僅推送郵件通知時，若查看郵件內容，應符合本標準身份鑒別和數據加密相關要求。

6.1.3　郵件數據安全技術要求

6.1.3.1　數據加密

電子郵件數據在傳輸和存儲過程中，須加密保護。本項要求包括：

應采用國家商用密碼算法對郵件數據進行加密，若使用數據加密設備實現國家商用密碼算法，應滿足下列要求：

應遵循國家對密碼設備安全性的要求，通過國家密碼管理局對密碼安全性的檢測；

應符合密碼行業標準GM/T 0018-2012第6節對設備接口的定義和國家標準GB/T 32915-2016關于隨機性檢測要求的規定；

應采用加密機制，保證其與應用系統之間數據通訊的安全性；

接口調用應支持IP/MAC地址綁定的訪問控制機制；

應具備記錄密碼操作和管理日志的功能，并提供安全的日志審計接口；

加密對象應包含郵件正文和附件；

郵件加密數據應支持S/MIME格式及加密消息文法CMS；

郵件加密過程中的非對稱算法，應選用SM2算法或SM9算法；對稱密碼算法，應選用SM4算法；哈希算法，應選用SM3算法；加密使用的隨機數的隨機性，應符合GB/T 32915-2016關于隨機性檢測的要求；

應能根據郵件地址，安全獲取郵件解密或簽名使用的非對稱密鑰，該密鑰不得寫入無保護的可持續存儲介質；

應使用不同的內容加密密鑰加密郵件；

數據加密設備應遵循國家密碼政策對密碼設備安全性的要求，通過國家密碼管理局的密碼安全性檢測；

應采用加密機制，保證數據加密設備與郵件系統之間數據通訊的安全；

數據加密設備接口調用應支持IP/MAC地址綁定的訪問控制機制；

數據加密設備應具備記錄密碼操作和管理日志的功能，并提供安全的日志審計接口。

6.1.3.2　安全存儲

本項要求包括：

應對存儲的全部數據進行加密，包括：郵件數據、網盤文件、用戶帳號密碼及個人信息等；

郵件賬戶密碼若采用數字摘要方式存儲，應具備隨機性；

加密密鑰更新后，應能對存儲的歷史加密數據進行解密。

6.1.3.3　安全傳輸

本項要求包括：

應對郵件內容（含正文和附件）進行加密傳輸；

應支持安全算法的SSL、TLS協議，對傳輸數據進行加密；

應能驗證客戶端SSL、TLS證書的合法性；

應支持POP3、SMTP、IMAP及MTA的各種擴展協議，郵件客戶端至郵件服務器的傳輸通道應支持SSL協議。