《政务计算机终端操作系统安全配置要求》 标准编制说明

《政务计算机终端操作系统安全配置要求》

编制说明

一、任务来源

《政务计算机终端操作系统安全配置要求》是2011年由国家信息中心下达的标准制定项目。该标准属于政务终端安全核心配置系列标准之一，《第5部分：国外邮件系统安全配置要求》是该标准的一部分，专门对国外邮件系统提出安全配置要求，安徽省经济信息中心和合肥工业大学作为具体研制单位负责该部分标准的起草。

二、研究目标

电子邮件已经作为电子政务的一个重要组成部分，很多信息都是通过电子邮件进行传达和反馈，为了能够方便的收发电子邮件，很多人都选择使用电子邮件系统来接收和发送邮件，但是随着电子邮件的广泛应用与电子邮件系统功能的日趋强大，不恰当的使用电子邮件也会给政务办公带来一定的安全隐患。本标准基于政务终端上的电子邮件实际应用，主要针对国外邮件系统在政务终端实际使用过程中所面临的安全威胁，提出具体的安全配置要求。

三、国内外现状

3.1主要软件产品

根据国外网站所做的邮件系统市场占有份额统计，目前国外的主要邮件系统有：微软的Outlook系列，Thunderbird（跨平台），AppleMail（Mac系统）等。鉴于政务终端经常使用的是Windows操作系统，因此对该份名单进行筛选之后我们选择微软的Outlook系列作为主要的研究对象。

微软的Outlook软件系列主要分为收费版本和免费版本两个系列。收费版本

系列主要和Office系列捆绑在一起发行，包括Outlook 2003、Outlook 2007、Outlook 2010；免费版本系列主要和操作系统捆绑在一起发行，主要包括Outlook Express、Windows Mail、Windows Live Mail。

3.2主要安全威胁

目前的电子邮件已经在最早的仅仅发送文本信息的基础上不断的进行功能拓展，能够发送附件，能够发送Html邮件等，一方面固然对电子邮件的使用者带来了非常大的便利，但同时也带来了很大的安全隐患。

目前的电子邮件所面临的安全威胁如下：

（1）病毒木马

很多病毒木马依靠邮件的附件进行传播，通常这些程序会利用图标将自己伪装成一个正常文件，诱骗用户进行点击，从而感染病毒。

（2）钓鱼邮件

Html邮件使得电子邮件脱离了原本单纯文本的形式，更加丰富多彩，很多的网站提供商也使用html邮件来作为宣传与通知用户的方式。但是随之而来的很多恶意攻击者制作了很多钓鱼网站，并将钓鱼网站的网址

（3）垃圾邮件

用户每天都会收到各种各样的无用的垃圾邮件，这些垃圾邮件会耗费用户大量时间去逐一鉴别，收取垃圾邮件的过程中也会占用大量的带宽。

（4）数据明文传输

传统的POP3和SMTP邮件收发协议都是不加密的传输数据，因此恶意攻击者很容易就能够通过网络嗅探的功能来获取发送的邮件的信息。

（5）用户信息保护

邮件系统中含有大量的用户邮件地址，部分邮件系统功能更加强大，大量的包含了其他的与用户相关的个人信息，因此需要对邮件系统中保存的信息进行保护，防止被他人进行窃取。

3.3国外现有解决方案

微软在针对Office的安全指南中有详细的描述Outlook安全设置说明，但是该文档主要是针对收费版本的Outlook，并且利用组策略进行实现。我们主要利用该文档进行相关的设置。

四、主要工作过程

4.1前期预研

前期主要是对日常使用电子邮件系统，并对可能出现的安全隐患进行评估。

我们选定了两个具体的Outlook版本进行——Outlook 2007和Outlook Express进行测试。

（1）Outlook Express

该软件捆绑于Windows xp，和Internet Explorer结合较为紧密，两者的很多设置都是相互关联的，各种安全设置较少，安全性能较低，不支持垃圾邮件过滤，支持邮件的加密与签名。

（2）Outlook 2007

功能强大，不仅仅是单纯的邮件系统，增加了很多日程管理的功能。能够插入和编辑OLE控件，邮件编辑功能能够和Word相媲美，支持各种Office系列的插件和宏。安全性有了较大的提高。能够利用组策略对Outlook进行直接的配置。

4.2 编制标准正文

根据等保三级的要求，从其中提取出的可能与邮件系统应用相关的几条要求如下；

从中再次进行筛选，我们重点选择如下几条作为邮件系统标准的内容。

（1）身份鉴别（S3）/访问控制（S3）

身份鉴别和访问控制主要由操作系统来完成，在邮件系统应用中单独进行身份鉴别和访问控制的需要并不是很强烈，但是仍然可以考虑简单的对每个用户加上单独的访问密码，来保证用户的信息不会被他人获取。

（2）恶意代码防范（G3）

邮件系统的附件和插件中可能含有恶意代码，从而破坏邮件系统保存的信息甚至直接破坏系统。

（3）通信保密性（S3）

邮件系统在收发邮件的过程中一般使用的都是未经加密的POP3和SMTP协议，因此非常容易被恶意攻击者获得相关的邮件信息。目前已有很多邮件服务提供商开始提供了基于SSL加密的邮件收发协议，很多邮件系统也都支持。但是要达到通信的保密性不仅仅是邮件系统要支持，邮件服务提供商也需要支持。

（4）抗抵赖（G3）/数据保密性（S3）

在邮件系统中主要利用数字证书解决邮件的保密和抗抵赖问题，及时邮件中途被人拦截了也会因为没有对应的证书而无法解密邮件。

（5）备份和恢复（A3）

虽然所有的邮件基本都会保存在邮件服务提供商那，但是定期对收到的邮件进行备份仍然是非常必要的。

4.3编制标准附录

标准编制的附录主要是针对Outlook Express和Outlook 2007两款软件的具体安全设置。主要的安全设置是通过微软提供的Outlook组策略模板实现，部分不足的部分则使用一些手工的设置来实现。

我们从微软提供的《Office 2007组策略概述》和微软Tech Net中的“配置Outlook 安全和保护功能”相关内容，将涉及到Outlook 2007的组策略分为如下部分：

（1）为组织设置一致的Outlook 2007 加密选项

这部分最重要的是“加密所有电子邮件”和“签署所有电子邮件”，按照等保三级的要求是必须选中的，此外这一部分还有很多对数字证书、加密和签名的一些额外要求，但是我们认为实际的政务工作中会涉及到这些高级设置的可能性

较小，因此我们认为全部选用这些选项仍然是不需要的。

（2）指定Outlook 用来管理病毒防护功能的方法

这部分是用来指定使用哪一种策略来管理病毒防护功能，在此我们选择使用组策略来进行安全设置。使用组策略可以批量进行布置，并且Outlook的组策略模板中提供了各种安全设置，都可以直接用来进行相关的设置，并且避免了通过Outlook界面中选项进行设置的繁琐过程。

（3）自定义Outlook 2007 中的附件设置

这部分主要是用来对Outlook中的附件显示。Outlook会默认将所有的附件分成两种级别。其中级别一的附件会被禁止显示（不能保存），而级别二的附件能够直接显示，但是无法直接双击打开，必须另存为后才能够打开。而其他附件则可以直接双击打开。

一般性的邮件服务提供商都使用了病毒扫描的服务，并且禁止直接将某些后缀名的文件作为附件，因此我们觉得实际使用中可以考虑将级别一的附件显示出来，如果直接进行禁止显示的话可能会因为某些文件的误判而无法将这个文件另存为下来。

（4）自定义Outlook 2007 中的编程设置

Outlook提供了编程接口以便于其他程序的调用，编程接口在带来便利的同时也隐藏了很多安全隐患，通过这些编程接口，恶意程序能够获得用户Outlook 中的联系人信息和邮件信息。因此一般情况下当有其他程序需要调用编程接口时提示用户确认该操作。

（5）在Outlook 2007 中自定义ActiveX 和自定义窗体安全设置

这部分设置主要包括用于更改Office Outlook 2007 如何限制脚本、自定义控件和自定义操作的选项。脚本、自定义控件和自定义窗体一方面加强了普通电子邮件的功能，但是也带来了一定的安全隐患，因此一般情况下都禁止这些内容的自动加载，仅当时受信任的发布者时才会自动进行加载。

（6）管理Outlook 2007 的受信任加载项

Outlook与Office中的其他组件类似，也能够依靠加载项来增强各种功能，部分病毒利用加载项来感染系统，因此需要对Outlook中的加载项进行限制。这部分使用的策略与ActiveX和自定义窗体的策略类似，禁止自动加载除受信任的

发布者的加载项，提示未知的加载项。

（7）配置Outlook 2007 文件夹主页的安全性

Outlook2007可以通过将某个网页分配作为文件夹的主页，但是这些网页上可能会包含用于访问Outlook对象模型的脚本使得用户的信息面临着安全风险，因此需要禁止用户设置文件夹的文件夹主页。

（8）在Outlook 2007 中配置垃圾邮件设置

此部分主要是针对垃圾邮件过滤选项进行设置。鉴于一般邮箱的反垃圾功能已经较为强大，因此我们在这里将反垃圾邮件的级别设置为高，并自动将所发邮件的收件人加入反垃圾邮件的白名单中。

（9）在Outlook 2007 中配置信息权限管理

此部分主要是面向Outlook管理员来设置Outlook电子邮件中的转发、复制、打印功能，但是此功能需要Microsoft .NET Passport或者Windows Rights Management Services (RMS) 加载项才能进行部署，实际中应用的较少，因此我们在制定标准的过程中并未考虑这一点。

此外，部分安全设置则无法直接通过组策略来进行设置。例如，设置软件的密码和用户的数字证书都需要用户输入相关信息进行设置。另外Outlook Express 并不支持组策略，因此对于Outlook Express的设置也主要通过软件中的选项来进行设置。

4.4征求意见

在标准研制过程中，我们主要向安徽省政务系统征询了使用电子邮件的常用情景与各种需求。

安徽省政务系统各部门经常使用电子邮件来进行公文文件的传输、会议通知的传递等，使用场景较为单一，传输时使用的主要附件是图片和office文档。安徽省政务系统有自己的公务员电子邮箱，该电子邮件服务系统功能强大，病毒检测能力强，垃圾邮件过滤严格，非常适合用于办公领域，但是该系统的主要缺点是使用的是一般的POP3和SMTP协议，并不支持加密的用户认证与邮件传输。此外办公人员也有时也会使用国内的一些电子邮件服务例如网易、新浪的电子邮箱。

安徽省政务系统的主要桌面系统是Windows系统，使用的国外邮件终端主

要是Windows xp自带的Outlook Express和Office系列配套的Microsoft Office Outlook。因此，我们选择了Outlook系列邮件终端软件作为我们的研究对象。

4.5试点验证

4.5.1标准验证过程

在标准验证过程中，我们使用了两台PC机，一台笔记本，分别安装了Windows XP和Windows vista、Windows 7操作系统和Outlook系列软件作为软件平台进行了测试和验证，我们还注册了四家比较知名的网络邮件服务提供商的电子邮件账户，用于进行电子邮件的收发测试。

完成搭建验证平台之后，针对提出的安全威胁我们设计了一系列的测试方案，编写了相关的测试软件，逐一对安全配置项表中的各个条目进行了测试。通过验证，证明了我们所提出的相关的安全配置能够防范目前主要的安全威胁。

4.5.2 标准试点过程

在标准试点阶段，我们联系了安徽省安监局作为试点单位进行标准的实际可行性测试。在安监局试点的重点在于安全设置是否会对日常的邮件使用情况中造成影响。

在试点过程中主要测试了Outlook系列软件能否使用安徽省公务员电子邮局进行正常的邮件收发，以及在日常办公过程中所设置的安全配置是否对办公造成影响。

试点过程中的用户反馈的主要问题是，某些安全设置较为严格，例如不会显示外部链接图片；邮件服务商无法提供部分安全功能；对Outlook的加密显的毫无意义。这些过于严格的安全设置虽然给用户带来了一定的不便，但是并未对日常政务办公造成影响。

通过试点证明标准的相关安全设置在实际的政务办公环境中现实可行。

4.6专家论证

为了能够在编制过程中获得更加专业的建议，我们举办了一次专家论证会，并邀请了武汉大学和合肥工业大学的信息安全方面的教授专家，对本课题的研究成果进行了讨论。

在专家论证会上，课题研制组详细介绍了标准的研制情况，与会专家讨论热

烈，提出了很多宝贵的建议。专家们讨论的重点在于如何批量化部署该安全配置和部分安全配置是否过于严格如何有效执行。经过反复的交流和沟通，各位专家基本认可了本课题制定标准的可行性和规范性，对课题所做工作给予了肯定。

五、标准主要内容

根据等级保护要求，针对配置对象的不同，我们将标准内容分为以下五大类：1）邮件签名与认证

此类配置用于证明邮件是签发者发出的，并在传输过程中没有任何形式的变化，从而保护了邮件的真实性、完整性和不可抵赖性。

2）加密与解密

此类配置提供了邮件发送者和接受者间端到端的安全。

3）垃圾邮件过滤

此类配置用于对邮件终端接收到的垃圾邮件进行过滤。

4）附件管理与病毒防范

此类配置是对邮件中的附件进行检查和警示，以确保病毒不能通过邮件进行传播。

5）信息权限管理与防泄露

此类配置是对邮件终端各项使用功能进行约束控制，规避因为邮件被随意的转发、打印而泄露机密信息。

对于上述各类内容，我们参考了已有的标准模板，进行了逐一解释，最终形成标准的正文。

标准编制组

2012年07月18日