中国石油天然气股份有限公司电子邮件安全管理规范(试行).docx

中国石油自然气股份
电子邮件安全治理标准〔试行〕
石油科字〔2022〕196号
—1—
冃言
随着中国石油自然气股份〔以下简称“中国石油””〕信息化建立的稳步推动， 信息安全受到广泛的关注。加强企业信息安全治理政策和技术标准的建立
f〕 对具有USB接口的邮件效劳器设备，应在BIOS中设置禁用USB以及其 它不被使用的端口设备，例如并口、不被使用的串口等。
g〕 相应的网络设备也应保证牢靠和安全，防止意外造成的网络故障。
h〕 其它物理和环境安全标准参照《中国石油自然气股份硬件设备安 全治理标准〔试行〕》和《中国石油自然气股份机房安全治理规 范〔试行〕》。



〔有关网络根底设施安全可参照《中国石油自然气股份网络安全治理标准〔试 行〕》〕。


不应将公用邮件效劳器与股份公司内部网络应用放在同一安全域中，否那么 会威逼内部网络安全。邮件效劳器的网络位置应遵照《中国石油自然气股份有


限公司电子邮件系统技术方案设计》的要求摆放并连接设置。
DMZ非军事区模式
a〕 将邮件转发效劳器设置在DMZ中，以减小安全风险；

b〕 应依据业务特点和安全需求选择适合的DMZ模式，参考如下：
第2章电子邮件系统安全
邮件网关

为提高邮件效劳器的安全级别，供给多一层的保护方式，使用邮件网关作 为连接Internet和真正邮件效劳器的代理，避开Internet与邮件效劳器的直接 通讯。如图2-2所示。

a〕 防火墙、路由器、入侵检测〔IDS〕和交换机作为网络的根底设施在企业信 息安全中担当了重要角色，假设配置不当也会成为安全漏洞或被攻击的弱 点，应依据安全策略严格配置规章选项。

b〕 邮件效劳器的安全应依靠于网络根底设施的整体安全，而不应仅依靠单一

要素，如防火墙，应使用安全组件组合方式使安全效果到达最正确。
c〕 邮件效劳器是企业最易受攻击的目标之一，路由器和防火墙作为邮件效劳 器的第一道防线，除开放以下端口满足对邮件效劳器的访问外，应关闭其
Internet
Internet
Border Router
DNS Server
Firewall
Public Web Server
Mail Server
图2-1三接口防火墙DMZ模式
图2-2邮件网关模式
它端口对邮件效劳器的访问：
TCP 25 端口 〔SMTP〕；
TCP 110 端口〔POP3〕；
TCP 143 端口〔IMAP〕；
TCP 398端口〔轻量级名目访问协议〔LDAP〕〕；
» TCP 636 端口〔安全 LDAP〕。
d〕内部防火墙应阻断外部POP3协议，制止内部用户通过POP3方式承受 企业外部邮箱的邮件。
〔I DS〕
a〕 应依据需要部署基于主机和基于网络的入侵检测系统〔IDS〕。
b〕 基于网络的IDS可以同时监控多个主机和网段，可以觉察更多基于网络的
攻击类型，并且简洁对正在进展的网络攻击供给一个全面的视图。
c〕 IDS必需经常更新网络攻击的特征数据库〔例如每周一次〕，以使它们可以 检测新的攻击。
d〕 为了保护邮件效劳器，必需确保配置IDS完成以下功能：
监控进出邮件效劳器的网络通信；
>监控邮件效劳器上重要文件的修改〔基于主机或者文件完整性检查器〕；
监控在邮件效劳器上可用的系统资源〔基于主机〕；
与防火墙一起屏蔽攻击网络的IP地址或子网；
>把发生的攻击通知网络治理员或者邮件效劳器治理员；
>尽可能检测到网络扫描和攻击，同时不产生太多的误报；
记录大事日志，包括以下的细节：
1〕 时间/日期
2〕 攻击者的IP地址
3〕 攻击手段的标准名称
4〕 源和目标的IP地址
5〕 源和目标的端口号
6〕 攻击使用的网络协议

a〕 应记录并保存网络设备的日志文件供检查和审计使用。
b〕 网络设备的相关设置和日志应使用专用的备份机制进展备份〔如专用磁带 机备份〕，不应将网络设备的日志文档备份在联网的效劳器上。
c〕 应由专人负责定期查看路由器、防火墙、入侵检测等网络设备的日志文件， 并对日志进展分析，给出分析统计报告。
d〕 应由专人查看警告信息，并对警告信息进展分析处理。
e〕 对网络安全事故进展分级，并对每次发生的安全事故进展分析处理，作出 分析处理报告和漏洞修补建议，避开类似事故发生。
d〕总部和各下属企业应建立应急大事响应流程，保证公司能够快速处理安全 应急大事。