dev_is电子邮件管理规范_030328_v3

编号：中国石油天然气股份有限公司电子邮件安全管理规范（审阅稿）版本号：V3审阅人：王巍中国石油天然股份有限公司中国石油信息安全标准电子邮件安全管理规范I前言随着中国石油天然气股份有限公司（以下简称“中国石油”）信息化建设的稳步推进，信息安全日益受到中国石油的广泛关注，加强信息安全的管理和制度无疑成为信息化建设得以顺利实施的重要保障。中国石油需要建立统一的信息安全管理政策和标准，并在集团内统一推广、实施。本规范是依据中国石油信息安全的现状，参照国际、国内和行业相关技术标准及规范，结合中国石油自身的应用特点，制定的适合于中国石油信息安全的标准与规范。目标在于通过在中国石油范围内建立信息安全相关标准与规范，提高中国石油信息安全的技术和管理能力。信息技术安全总体框架如下：《区域安全管理规范》《机房安全管理规范》《硬件设备管理规范》《网络安全管理规范》《通用安全管理标准》《数据和文档安全管理规范》《应用系统使用安全管理标准通则》《应用系统开发安全管理标准通则》《商业软件购买管理标准》《电子邮件安全管理规范》《Web系统安全管理规范》《电子商务安全规范》《防御恶意代码和计算机犯罪管理规范》《信息安全技术标准》物理环境安全管理硬件设备安全管理操作系统安全管理数据和文档安全管理应用系统安全管理网络安全管理概述通用网络安全管理规范内部网络安全管理规范外部网络安全管理规范认证管理通用标准通用安全管理标准概述授权管理通用标准加固管理通用标准加密管理通用标准日志管理通用标准系统登陆管理通用标准《操作系统安全管理规范》1）整体信息技术安全架构从逻辑上共分为7个部分，分别为：物理环境、硬件设备、网络、操作系统、数据和文档、应用系统和通用安全管理标准。图中带阴影的方框中带书名号的为单独成册的部分，共有13本《规范》和1本《通用标准》。2）对于13个《规范》中具有一定共性的内容我们整理出了6个《标准》横向贯穿整个架构，这6个《标准》的组合也依据了信息安全生命周期的理论模型。每个《标准》都会对所有的《规范》中相关涉及到的内容产生指导作用，但每个《标准》应用在不同的《规范》中又会有相应不同的具体的内容。我们在行文上将这6个标准组合成一本通用的安全管理标准单独成册。3）全文以信息安全生命周期的方法论作为基本指导，《规范》和《标准》的内容基本都根据预防——〉保护——〉检测跟踪——〉响应恢复的理论基础行文。本规范由中国石油天然气股份有限公司提出。II电子邮件安全管理规范本规范由中国石油天然气股份有限公司科技与信息管理部归口管理解释。起草单位：中国石油制定信息安全政策与标准项目组。电子邮件安全管理规范III说明在中国石油信息安全标准中涉及以下概念：组织机构中国石油（PetroChina）指中国石油天然气股份有限公司有时也称“股份公司”。集团公司（CNPC）指中国石油天然气集团公司有时也称“存续公司”。为区分中国石油的地区公司和集团公司下属单位，担提及“存续部分”时指集团公司下属的单位。如：辽河油田分公司存续部分指集团公司下属的辽河石油管理局。计算机网络中国石油信息网（PetroChinaNet）指中国石油范围内的计算机网络系统。中国石油信息网是在中国石油天然气集团公司网络的基础上，进行扩充与提高所形成的连接中国石油所属各个单位计算机局域网和园区网。集团公司网络（CNPCNet）指集团公司所属范围内的网络。中国石油的一些地区公司是和集团公司下属的单位共用一个计算机网络，当提及“存续公司网络”时，指存续公司使用的网络部分。主干网是从中国石油总部连接到各个下属各地区公司的网络部分，包括中国石油总部局域网、各个二级局域网（或园区网）和连接这些网络的专线远程信道。有些单位通过拨号线路连接到中国石油总部，不是利用专线，这样的单位和所使用的远程信道不属于中国石油专用网主干网组成部分。地区网地区公司网络和所属单位网络的总和。这些局域网或园区网互相连接所使用的远程信道可以是专线，也可以是拨号线路。局域网与园区网局域网通常指，在一座建筑中利用局域网技术和设备建设的高速网络。园区网是在一个园区（例如大学校园、管理局基地等）内多座建筑内的多个局域网，利用高速信道互相连接起来所构成的网络。园区网所利用的设备、运行的网络协议、网络传输速度基本相同于局域网。局域网和园区网通常都是用户自己建设的。局域网和园区网与广域网不同，广域网不仅覆盖范围广，所利用的设备、运行的协议、传送速率都与局域网和园区网不同。传输信息的信道通常都是电信部门建设的。二级单位网络指地区公司下属单位的网络的总和，可能是局域网，也可能是园区网。专线与拨号线路从连通性划分的两大类网络远程信道。专线，指数字电路、帧中继、DDN和ATMIV电子邮件安全管理规范等经常保持连通状态的信道；拨号线路，指只在传送信息时才建立连接的信道，如电话拨号线路或ISDN拨号线路。这些远程信道可能用来连接不同地区的局域网或园区网，也可能用于连接单台计算机。石油专网与公网石油专业电信网和公共电信网的简称。最后一公里问题建设广域网时，用户局域网或园区网连接附近电信部门信道的最后一段距离的连接问题。这段距离通常小于一公里，但也有大于一公里的情况。为简便，同称为最后一公里问题。涉及计算机网络的术语和定义请参见《中国石油局域网标准》。电子邮件安全管理规范V目录第1章概述..............................................................................................................71.1概述............................................................................71.2目标............................................................................71.3范围............................................................................71.4规范引用的文件或标准............................................................81.5术语和定义......................................................................8第2章电子邮件系统安全.......................................................................................112.1服务器安全.....................................................................112.2客户端安全规范.................................................................262.3邮件内容.......................................................................282.4系统运行维护安全...............................................................30第3章帐号管理安全..............................................................................................393.1邮件帐号的命名规范.............................................................393.2口令安全策略...................................................................403.3邮件帐号的开户.................................................................403.4邮件帐号的调整和注销...........................................................413.5邮件运行维护管理规范...........................................................42第4章用户使用电子邮件规范................................................................................44VI电子邮件安全管理规范附录A：《中国石油企业邮件用户遵守协议》................................................................45附录B：《邮件用户开户申请表》..................................................................................46附录C：《用户信息变更表》.........................................................................................47附录D：《邮件用户销户申请表》..................................................................................48附录1参考文献........................................................................................................49附录2本规范用词说明.............................................................................................51电子邮件安全管理规范7第第11章章概概述述1.1概述电子邮件作为最常用的信息交换手段和通讯方式，已成为中国石油不可或缺的通讯工具。电子邮件系统已成为中国石油信息系统的基础设施之一。为保护电子邮件系统安全可靠运行，保护企业信息交流和通讯的可用性和安全性，从而保障中国石油信息系统的安全，特制定本规范。本规范从电子邮件的技术、管理和使用三方面提出安全规定，包括邮件服务器安全、邮件操作系统安全、邮件内容安全、用户管理和用户使用安全5部分。1.2目标保障中国石油电子邮件系统安全、可靠运行，即保护电子邮件系统的可用性，保护中国中国石油电子邮件的机密性和完整性，规范中国石油用户安全使用电子邮件。1.3适用范围本标准规定了中国石油邮件系统的技术、管理和使用的安全。本标准适用于中国石油电子邮件系统的安全的维护和管理、用户的安全使用和管理。8电子邮件安全管理规范1.4规范引用的文件或标准下列文件中所包含的条款，通过本标准的引用而成为本标准的条款。本标准出版时，所示以下版均为有效。所有标准都会被修订，使用本标准的各方应探讨使用下列标准最新版本的可能性。1.GB17859-1999计算机信息系统安全保护等级划分准则2.GB/T9387-1995信息处理系统开放系统互连基本参考模型（ISO7498:1989）3.GA/T391-2002计算机信息系统安全等级保护管理要求4.ISO/IECTR13355信息技术安全管理指南5.NIST信息安全系列——美国国家标准技术院6.英国国家信息安全标准BS77997.信息安全基础保护ITBaselineProtectio