信息安全技術(shù) 反垃圾郵件產(chǎn)品技術(shù)要求和測(cè)試評(píng)價(jià)方法編制說(shuō)明

國(guó)家標(biāo)準(zhǔn)《信息安全技術(shù)反垃圾郵件產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》（征求意見(jiàn)稿）編制說(shuō)明工作簡(jiǎn)況1.1任務(wù)來(lái)源本項(xiàng)目為2020年信安標(biāo)委標(biāo)準(zhǔn)修訂項(xiàng)目，標(biāo)準(zhǔn)名稱(chēng)為《信息安全技術(shù)反垃圾郵件產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》，國(guó)家標(biāo)準(zhǔn)計(jì)劃號(hào)XXX。該標(biāo)準(zhǔn)規(guī)定了反垃圾郵件產(chǎn)品安全功能要求、自身安全要求、安全保障要求和測(cè)試評(píng)價(jià)方法。1.2主要起草單位和工作組成員本項(xiàng)目由中認(rèn)信安（北京）技術(shù)服務(wù)有限公司牽頭，參與起草單位包括上海市信息安全測(cè)評(píng)認(rèn)證中心、中國(guó)網(wǎng)絡(luò)安全審查技術(shù)與認(rèn)證中心、公安部第三研究所、中國(guó)電子科技集團(tuán)公司第十五所、北京信息安全測(cè)評(píng)中心、北京天融信網(wǎng)絡(luò)安全技術(shù)有限公司、北京神州綠盟科技有限公司、啟明星辰信息技術(shù)集團(tuán)股份有限公司、深信服科技股份有限公司、西安交大捷普網(wǎng)絡(luò)科技有限公司、北京山石網(wǎng)科信息技術(shù)有限公司、北京安寧創(chuàng)新網(wǎng)絡(luò)科技股份有限公司、上海騰橋信息技術(shù)有限公司等。主要起草人有：布寧、陳清明、甘杰夫、申永波、張俊彥、徐佟海、王峰、董晶晶、田曉鵬、賀海、安高峰、白霜、吳楊、李宇、葉潤(rùn)國(guó)、何建鋒、郝煒、劉思蓉1.3主要工作過(guò)程標(biāo)準(zhǔn)制定的主要工作過(guò)程如下：1.在2020年2月至2020年3月組織兩次集中討論、以及小范圍溝通，形成修訂申報(bào)材料，包括申報(bào)書(shū)、建議書(shū)和標(biāo)準(zhǔn)草案。2.2020年5月線上參加信安標(biāo)委2020年第一次會(huì)議周并進(jìn)行答辯，并與會(huì)上成功立項(xiàng)。3.2020年9月標(biāo)準(zhǔn)研制牽頭單位于在信安標(biāo)委網(wǎng)站上公開(kāi)征集標(biāo)準(zhǔn)參編單位，收到了13家單位的申請(qǐng)。并在編制組內(nèi)征求意見(jiàn)。4.2020年10月16日，標(biāo)準(zhǔn)編制組召開(kāi)標(biāo)準(zhǔn)研討會(huì)即標(biāo)準(zhǔn)項(xiàng)目啟動(dòng)會(huì)，會(huì)上對(duì)標(biāo)準(zhǔn)修訂方向和組內(nèi)標(biāo)準(zhǔn)意見(jiàn)進(jìn)行研討，重點(diǎn)對(duì)智能識(shí)別、標(biāo)準(zhǔn)修訂的方向等內(nèi)容討論,會(huì)后形成了草案（V2.0）。5.2020年10月26日，WG5組織研討會(huì)，對(duì)標(biāo)準(zhǔn)進(jìn)行評(píng)審，專(zhuān)家主要的問(wèn)題集中在標(biāo)準(zhǔn)與其他標(biāo)準(zhǔn)的協(xié)調(diào)、標(biāo)準(zhǔn)定義、標(biāo)準(zhǔn)修訂內(nèi)容提出了意見(jiàn)和建議。6.2020年10月30日，編制組召開(kāi)組內(nèi)會(huì)議針對(duì)專(zhuān)家問(wèn)題進(jìn)行討論，對(duì)問(wèn)題進(jìn)行修訂，形成草案（V2.1）。7.2020年11月9日，在信安標(biāo)委第二次會(huì)議周期間，標(biāo)準(zhǔn)編制工作組召開(kāi)了研討會(huì)，會(huì)議主要為編制組內(nèi)成員單位參加（共計(jì)12位代表）。會(huì)上對(duì)標(biāo)準(zhǔn)草案的術(shù)語(yǔ)和定義、垃圾郵件識(shí)別技術(shù)、垃圾郵件處理等內(nèi)容進(jìn)行深入討論。并根據(jù)討論結(jié)論進(jìn)行修訂完善。8.2020年11月11日，在信安標(biāo)委第二次會(huì)議周全會(huì)上，對(duì)標(biāo)準(zhǔn)進(jìn)展進(jìn)行了匯報(bào)，與會(huì)專(zhuān)家針對(duì)術(shù)語(yǔ)和定義、個(gè)人信息保護(hù)、產(chǎn)品范圍定義、測(cè)試評(píng)價(jià)方法、防病毒等方面做了研討，會(huì)后根據(jù)專(zhuān)家的意見(jiàn)對(duì)標(biāo)準(zhǔn)進(jìn)行完善，形成了征求意見(jiàn)稿（V1.0）。9.2020年12月15日，WG5組織專(zhuān)家研討會(huì)，對(duì)標(biāo)準(zhǔn)征求意見(jiàn)稿進(jìn)行評(píng)審，與會(huì)專(zhuān)家主要意見(jiàn)集中在垃圾郵件定義，建議以使用者“意愿”為基礎(chǔ)，綜合共識(shí)+個(gè)識(shí)確定，編制組根據(jù)專(zhuān)家意見(jiàn)，完善了征求意見(jiàn)稿（V1.1）。標(biāo)準(zhǔn)編制原則和確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題2.1編制原則標(biāo)準(zhǔn)牽頭單位與項(xiàng)目組各成員單位發(fā)揮各自?xún)?yōu)勢(shì)，聯(lián)合開(kāi)展本標(biāo)準(zhǔn)的研究工作。本標(biāo)準(zhǔn)根據(jù)當(dāng)前產(chǎn)業(yè)界產(chǎn)品安全最佳實(shí)踐，結(jié)合新技術(shù)發(fā)展和國(guó)內(nèi)實(shí)際應(yīng)用情況，提出適合于我國(guó)國(guó)情，具有較強(qiáng)可操作性的安全標(biāo)準(zhǔn)。通過(guò)該標(biāo)準(zhǔn)的修訂及實(shí)踐，不僅可以提升產(chǎn)品自身安全能力，也為產(chǎn)品研制、生產(chǎn)、維護(hù)和測(cè)評(píng)提供指導(dǎo)。本標(biāo)準(zhǔn)的修訂遵循以下原則：符合性：應(yīng)符合國(guó)家有關(guān)政策法規(guī)的要求；兼容性：應(yīng)與已頒布實(shí)施的相關(guān)安全標(biāo)準(zhǔn)相協(xié)調(diào)；先進(jìn)性：充分考慮我國(guó)反垃圾郵件產(chǎn)品實(shí)際安全技術(shù)水平和發(fā)展應(yīng)用，并保持一定的前瞻性；適用性：應(yīng)結(jié)合產(chǎn)業(yè)對(duì)反垃圾郵件產(chǎn)品安全實(shí)際應(yīng)用需求；中立性：公正、中立，不與任何利益攸關(guān)方發(fā)生關(guān)聯(lián)。2.2確定主要內(nèi)容的論據(jù)及解決的主要問(wèn)題《信息安全技術(shù)反垃圾郵件產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》規(guī)定了反垃圾郵件產(chǎn)品安全功能要求、自身安全要求、安全保障要求和測(cè)試評(píng)價(jià)方法。本文件適用于對(duì)反垃圾郵件產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)價(jià)。本標(biāo)準(zhǔn)解決主要技術(shù)難點(diǎn)和問(wèn)題主要如下：（1）調(diào)研目前市場(chǎng)該類(lèi)產(chǎn)品最新技術(shù)發(fā)展和客戶(hù)需求，特別是全新的反垃圾郵件技術(shù)，為標(biāo)準(zhǔn)修訂做好技術(shù)積累；（2）對(duì)標(biāo)準(zhǔn)的安全功能要求進(jìn)行修訂，重點(diǎn)增加產(chǎn)品在事前防護(hù)技術(shù)、識(shí)別和校驗(yàn)技術(shù)等方面要求；修訂完善產(chǎn)品的自身安全要求，加強(qiáng)安全管理、安全審計(jì)和用戶(hù)數(shù)據(jù)保護(hù)方面的新要求；并修訂標(biāo)準(zhǔn)在產(chǎn)品安全功能和自身安全功能要求方面的交叉要求；（3）結(jié)合最新的安全保障要求相關(guān)標(biāo)準(zhǔn)，修訂產(chǎn)品安全保障要求；（4）修訂標(biāo)準(zhǔn)的測(cè)試評(píng)價(jià)方法，選擇典型的反垃圾郵件產(chǎn)品，對(duì)標(biāo)準(zhǔn)內(nèi)容的合理性和可操作性進(jìn)行驗(yàn)證，驗(yàn)證其合理性和可操作性，并基于驗(yàn)證結(jié)果對(duì)標(biāo)準(zhǔn)進(jìn)行進(jìn)一步完善。主要試驗(yàn)[或驗(yàn)證]情況分析本標(biāo)準(zhǔn)從供應(yīng)方和需求方角度，分別提出了產(chǎn)品應(yīng)滿(mǎn)足的安全要求，編制組在編制過(guò)程中，充分聽(tīng)取了產(chǎn)品企業(yè)、科研院所、測(cè)試機(jī)構(gòu)的意見(jiàn)，考慮了產(chǎn)品相關(guān)技術(shù)的發(fā)展和應(yīng)用情況，并同步在編制組中部分單位開(kāi)展了標(biāo)準(zhǔn)條款的試點(diǎn)驗(yàn)證工作。知識(shí)產(chǎn)權(quán)情況說(shuō)明本標(biāo)準(zhǔn)不涉及專(zhuān)利。產(chǎn)業(yè)化情況、推廣應(yīng)用論證和預(yù)期達(dá)到的經(jīng)濟(jì)效果本標(biāo)準(zhǔn)適用于反垃圾郵件產(chǎn)品生產(chǎn)廠商、測(cè)評(píng)機(jī)構(gòu)以及用戶(hù)單位，為產(chǎn)品的研制、生產(chǎn)、測(cè)試和評(píng)估提供指導(dǎo)。生產(chǎn)廠商既可參考技術(shù)要求開(kāi)展產(chǎn)品的研制，也可參考測(cè)試方法對(duì)產(chǎn)品進(jìn)行質(zhì)檢；產(chǎn)品測(cè)評(píng)機(jī)構(gòu)可參考測(cè)試方法對(duì)產(chǎn)品開(kāi)展測(cè)試和評(píng)價(jià)；用戶(hù)單位可參考技術(shù)要求、測(cè)試方法對(duì)產(chǎn)品進(jìn)行選型及驗(yàn)收輔助。隨著《網(wǎng)絡(luò)安全法》進(jìn)一步落地，四部門(mén)聯(lián)合發(fā)布《網(wǎng)絡(luò)關(guān)鍵設(shè)備和網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品目錄(第一批)》，其中將反垃圾郵件產(chǎn)品列為了網(wǎng)絡(luò)安全專(zhuān)用產(chǎn)品，因此開(kāi)展標(biāo)準(zhǔn)修訂就顯得尤為迫切。六、采用國(guó)際標(biāo)準(zhǔn)和國(guó)外先進(jìn)標(biāo)準(zhǔn)情況本標(biāo)準(zhǔn)未采用國(guó)際標(biāo)準(zhǔn)。但相關(guān)內(nèi)容參考以下相關(guān)國(guó)際標(biāo)準(zhǔn)。經(jīng)調(diào)研反垃圾郵件產(chǎn)品國(guó)際上有NIST-SP800-12rev標(biāo)準(zhǔn)，經(jīng)分析該標(biāo)準(zhǔn)將垃圾郵件定義為“電子垃圾郵件或?yàn)E用電子信息傳遞系統(tǒng)，不加選擇地發(fā)送未經(jīng)請(qǐng)求的大量信息”，從標(biāo)準(zhǔn)定義來(lái)看也是基于用戶(hù)意愿和大眾共識(shí)的危害的郵件。國(guó)際電聯(lián)ITU-TSG17于2008年發(fā)布ITU-TX.1241《反垃圾郵件技術(shù)框架》，主要內(nèi)容包括了發(fā)垃圾信息處理域架構(gòu)、域功能、垃圾郵件識(shí)別、設(shè)備要求及域互聯(lián)方式，主要目標(biāo)在全球范圍建立發(fā)垃圾相互協(xié)作的技術(shù)架構(gòu)。七、與現(xiàn)行法律法規(guī)、法規(guī)、規(guī)章及相關(guān)標(biāo)準(zhǔn)的協(xié)調(diào)性《反垃圾郵件產(chǎn)品技術(shù)要求與測(cè)試評(píng)價(jià)方法》符合現(xiàn)有法律法規(guī)的要求。1、本標(biāo)準(zhǔn)基于GB/T30282-2013內(nèi)容進(jìn)行修訂，在結(jié)構(gòu)方面：1）增加產(chǎn)品描述；2）將技術(shù)要求分為安全功能要求、自身安全要求和安全保障要求；3）將等級(jí)劃分的內(nèi)容調(diào)整到附錄。具體標(biāo)準(zhǔn)修訂前后對(duì)應(yīng)關(guān)系如下：修訂后修訂前安全功能要求垃圾郵件識(shí)別基于郵件發(fā)送地址的垃圾郵件識(shí)別功能要求垃圾郵件識(shí)別基于郵件發(fā)送地址的垃圾郵件識(shí)別基于郵件內(nèi)容特征的垃圾郵件識(shí)別基于郵件內(nèi)容特征的垃圾郵件識(shí)別基于郵件連接特征的垃圾郵件識(shí)別基于郵件連接特征的垃圾郵件識(shí)別垃圾郵件處理垃圾郵件處理管理控制功能策略配置管理控制功能策略配置網(wǎng)絡(luò)部署方式網(wǎng)絡(luò)部署方式產(chǎn)品升級(jí)產(chǎn)品升級(jí)報(bào)表統(tǒng)計(jì)報(bào)表統(tǒng)計(jì)自身安全要求安全審計(jì)審計(jì)數(shù)據(jù)生成自身安全要求安全審計(jì)審計(jì)數(shù)據(jù)生成審計(jì)數(shù)據(jù)查閱審計(jì)數(shù)據(jù)查閱審計(jì)數(shù)據(jù)存儲(chǔ)審計(jì)數(shù)據(jù)存儲(chǔ)可選審計(jì)查閱--審計(jì)數(shù)據(jù)保護(hù)--限制審計(jì)查閱--身份鑒別身份鑒別訪問(wèn)控制--安全管理安全角色管理用戶(hù)角色安全屬性管理--數(shù)據(jù)安全安全功能數(shù)據(jù)傳輸保護(hù)安全保障要求開(kāi)發(fā)安全架構(gòu)安全保證要求開(kāi)發(fā)--功能規(guī)范功能規(guī)范產(chǎn)品設(shè)計(jì)高層設(shè)計(jì)實(shí)現(xiàn)表示--指導(dǎo)性文檔操作用戶(hù)指南指導(dǎo)性文檔管理員指南準(zhǔn)備程序用戶(hù)指南生命周期支持配置管理能力配置管理配置管理能力配置管理范圍配置管理范圍交付程序交付與運(yùn)行交付開(kāi)發(fā)安全安裝、生成和啟動(dòng)生命周期定義--工具與定義--測(cè)試測(cè)試覆蓋測(cè)試測(cè)試覆蓋功能深度--功能測(cè)試功能測(cè)試獨(dú)立測(cè)試獨(dú)立性測(cè)試脆弱性評(píng)定脆弱性分析脆弱性評(píng)定脆弱性分析環(huán)境適應(yīng)性要求（如適用）支持純IPv6網(wǎng)絡(luò)環(huán)境IPv6網(wǎng)絡(luò)環(huán)境下自身管理--雙協(xié)議棧--2、與GB/T37002-2018《信息安全技術(shù)電子郵件系統(tǒng)安全技術(shù)要求》的協(xié)調(diào)性本標(biāo)準(zhǔn)的對(duì)象是反垃圾郵件產(chǎn)品，產(chǎn)品的形態(tài)可能是是能夠?qū)]件進(jìn)行識(shí)別和處理的軟件或軟硬件組合，包括透明的反垃圾郵件網(wǎng)關(guān)、基于轉(zhuǎn)發(fā)的反垃圾郵件系統(tǒng)、安裝于郵件服務(wù)器的反垃圾郵件軟件，以及與郵件服務(wù)器一體的反垃圾郵件的郵件服務(wù)器等。而GB/T37002-2018《信息安全技術(shù)電子郵件系統(tǒng)安全技術(shù)要求》主要規(guī)定了辦公電子郵件系統(tǒng)信息安全技術(shù)要求，適用于辦公電子郵件系統(tǒng)的設(shè)計(jì)開(kāi)發(fā)、建設(shè)部署、使用管理、測(cè)試評(píng)估和安全服務(wù)等。該標(biāo)準(zhǔn)主要的對(duì)象為電子郵件系統(tǒng)，標(biāo)準(zhǔn)中涉及反垃圾郵件相關(guān)要求，已經(jīng)指向了本標(biāo)準(zhǔn)，因此兩個(gè)標(biāo)準(zhǔn)相互協(xié)調(diào)。3、與GB/T35273-2020《信息安全技術(shù)個(gè)人信息安全規(guī)范》的協(xié)調(diào)性反垃圾郵件產(chǎn)品可能會(huì)涉及處理個(gè)人信息，因此，產(chǎn)品中凡事涉及處理個(gè)人信息的功能均應(yīng)滿(mǎn)足標(biāo)準(zhǔn)個(gè)人信息保護(hù)的相關(guān)要求，本標(biāo)準(zhǔn)不在具體規(guī)定個(gè)人信息保護(hù)的相關(guān)要求。八、重大分