(五凌电力有限公司 湖南长沙 410000)
摘要:本文针对目前邮件系统频繁遭受攻击、安全威胁突出的问题进行了分析,阐述了邮件系统安全隐患产生的原因,并对国家最新发布“等保2.0”标准中的防护要求进行了简要说明,并有针对性的提出邮件系统的防护方案和建议。
关键词:等保2.0;邮件系统;安全防护
1.绪论
网络信息化时代,电子邮件不仅仅是最普遍的沟通形式,也成为了最常用的网络攻击载体。因电子邮件系统的技术和协议原因,其传输和存储过程均是明文,故极易被篡改或窃听。邮件系统实施入侵攻击不仅成本低、技术难度小、容易实施,而且一旦成功可获取 “高额回报”,因而被黑客组织作为首选攻击方式。
近年来,邮件攻击数量不断上升,邮件泄密、间谍邮件、欺诈邮件等安全事件频发,窃取政府、商业机密、进行诈骗、传播勒索病毒并牟利、作为入侵手段对系统进行破坏、泄露隐私、近年来出现了一系列通过邮件攻击而造成恶性后果的安全事件。
2. 邮件安全事件
2.1乌克兰电力门事件
2015年12月23日,乌克兰境内爆发大面积停电,至少三个区域的电力系统遭到网络攻击,伊万诺-弗兰科夫斯克地区部分变电站的控制系统遭到破坏,约140万人受到影响。这是一起以乌克兰电力基础设施为目标,将 BlackEnergy 等相关恶意代码嵌入Ofiice文件中通过钓鱼邮件定向投放,病毒进入电网的生产控制网络后通过远程控制电网 SCADA 系统下达指令为断电手段,以摧毁破坏 SCADA 系统实现电网迟滞恢复和状态致盲,最后造成长时间停电并制造并造成整个社会混乱为目的的具有信息战水准的网络攻击事件。
2.2希拉里邮件门事件
2016年夏季,美国民主党全国委员会、筹款委员会、竞选团队被黑客组织入侵,近2万封邮件被维基解密披露。希拉里在担任国务卿期间,使用私人电子邮箱和位于家中的私人服务器收发大量涉密邮件,邮件显示,希拉里涉嫌抹黑竞争对手,以及可能涉嫌洗钱等财务问题。而邮件门的起因,则是希拉里团队竞选经理的John Podesta点开了一封黑客发给他的钓鱼邮件,泄露了邮箱密码,导致邮件大量泄露。“邮件门”让希拉里呈现出非常负面的形象,2016年11月,曾人气领先的希拉里因“邮件门”最终落败美国总统竞选。
2.3史上最大邮件泄露
2017年9月,巴黎安全全研究人员在某个网站目录上发现了高达7.11亿个电子邮箱帐号,其中包括电子邮件的地址、密码和SMTP邮件服务器,近7亿人收到影响,用户个人信息会被泄露,资产账户也可能面临风险,甚至可能遭到黑客的勒索。怀疑数据来自Facebook公司遭受的一次钓鱼攻击。
3.邮件系统安全威胁分析
邮件系统安全问题由来已久,主要是五个原因:安全性较低的开放协议、低安全的邮件供应商、用户自身不安全的使用、其它渠道的信息交叉泄露、外部邮件安全威胁日益增强。
3.1开放协议:邮件系统是基于Pop/Smtp/Imap等开放协议,已应用超过40年,在协议设计的初期安全考虑不足,且已在全球广泛使用,缺乏足够的安全措施改造。
3.2邮件产品:国内外绝大多数的邮件厂商开发的邮件系统安全能力不足;基于低安全性的邮件系统进行安全加固,效果较差。
3.3安全意识:邮件用户安全意识匮乏,缺乏信息安全意识,导致无意识的安全事件频发。
3.4信息交叉泄露:企业信息多样化,用户个人信息经由其他信息化系统(OA、CRM)泄露,再经邮件系统进行渗透。
3.5外部威胁:互联网灰色产业链的蓬勃发展,在利益的驱使下,越来越多专业化黑客团队从事针对邮件系统进行攻击以牟取暴利,攻击威胁多样化,DDos、SQL注入、XSS跨站脚本攻击等方式层出不穷且在不断的更新。
4.等保2.0
网络安全等级保护是国家信息安全保障的基本制度、基本策略、基本方法。网络安全等级保护工作是对信息和信息载体按照重要性等级分级别进行保护的一种工作。
《信息安全技术 网络安全等级保护基本要求(GB/T 22239-2019)》(简称等保2.0)于2019年5月10日正式发布,用以替代2008年发布的《信息安全技术 信息系统安全等级保护基本要求(GB/T 22239-2019)》(简称等保1.0)。
等级保护1.0的保护对象主要包括各类重要信息系统和政府网站,保护方法主要是对系统进行定级备案、等级测评、建设整改、监督检查等。
在此基础上,等级保护2.0扩大了保护对象的范围、丰富了保护方法、增加了技术标准。等级保护2.0将网络基础设施、重要信息系统、大型互联网站、大数据中心、云计算平台、物联网系统、工业控制系统、公众服务平台等全部纳入等级保护对象,并将风险评估、安全监测、通报预警、案事件调查、数据防护、灾难备份、应急处置、自主可控、供应链安全、效果评价、综治考核、安全员培训等工作措施全部纳入等级保护制度。
等保1.0中主要体现被动防御,围绕一个中心三重防护展开(防火墙、入侵检测、防病毒)。而等保2.0则强调全方面主动防御,向感知预警、动态防护、安全检测、应急响应的主动保障体系转变。
根据“等保2.0”中技术防护方面的相关要求要点,邮件系统的的安全防护可参照标准中的7.1.2安全网络通信、7.1.3安全区域边界、7.1.4安全计算环境、7.1.5安全管理中心等四部分。
5.2访问控制
通过电子邮件系统开启反垃圾和反病毒服务,在网络边界处对接收、外发的邮件内容进行过滤,实现对内容的访问控制,同时反垃圾与反病毒库能够实时进行更新。
邮件系统应具备设置超级管理员、系统管理员、组织管理员、部门管理员及普通用户等多种角色的功能,建立不同账户并分配相应的权限;承载电子邮件系统的云计算平台应提供管理用户权限分离机制。
邮件系统web端及客户端均应支持可以限定阅读次数或销毁时间,过期自动销毁邮件,或阅后即焚功能,以实现对重要的电子邮件根据时间段设置访同控制策略,只在设定时间段内可见,过期自动销毁。
5.3通信传输
邮件投递、发送、收取协议基础上使用双向认证的安全传输通道,如SSL或其它加密机制保障电子邮件的传输安全;
邮件系统应具备并启用移动电子邮件客户端与电子邮件服务之间的认证机制,应保证移动邮件客户端与邮件服务之间的访问和数据流实现链路加密。可采用基于国密标准的TLS通道来保证邮件客户端到邮件服务器之间的传输通道安全。
5.4边界安全与入侵防护
5.4.1边界防护
邮件系统SMTP匿名转发功能默认关闭。
通过在网络边界的防火墙进行设置策略,阻断所有非邮件发送主机的出站端口以及所有非邮件管理主机管理出站端口。
5.4.2入侵防范
对接收电子邮件的来源网络地址进行限制,可在邮件系统中设置发信IP规则。
采取网络流量监测等技术措施对访问电子邮件系统的行为进行监测分析。针对目前较为严重的DDOS攻击方式,可借助运营商的流量清洗服务在提高流量攻击的防御能力。
应对电子邮件中检测到的恶意代码进行处置。对电子邮件中的恶意代码检测及处置需要反病毒引擎支持,邮件系统应具备对第三方反病毒引擎介入和兼容的能力。
5.5审计与归档
5.5.1安全审计
应确保邮件系统的审计记录的留存时间至少180天,从审计安全角度考虑,审计管理管理员操作日志可永久保存。
应对电子邮件数据进行实时归档,以确保审计内容的证据链完整性。
5.5.2电子邮件归档功能
邮件系统的应提供邮件数据的归档功能,能够对接收、发送和内部互发的邮件进行实时归档。
邮件系统应提供归档邮件内容检索审计功能,审计范围应包括邮件主题、正文、附件部分,同时应具备支持按部门、用户条件、收发件人,关键字等内容审计的功能。
邮件归档功能在用户权限上同样需要通过三员分立原则,严格限制每种管理员的管理权限,将管理、审计及监察权限分离,保障管理操作合规;同时应授予不同账户为完成各自承担任务所需的最小权限,并在它们之间形成相互制约的关系;
应采用密码技术对归档邮件数据进行加密保存。
5.6数据防护
5.6.1数据完整性
应使用校验码或密码技术确保电子邮件系统重要数据的完整性,邮件系统数据完整性可通过部署归档系统实现,并在检测到完整性受到破坏时可通过归档系统进行恢复。
5.6.2数据保密性
在数据保密的层面,邮件系统应能够采用国产密码技术保证电子邮件在存储过程中的保密性。
国产密码算法(国密算法)是指国家密码局认定的国产商用密码算法,主要使用SM9、SM3、SM4三类算法。
(1)SM9非对称算法:主要用于实现数据的非对称加密和签名验签计算,确保数据的不可否认性。
(2)SM3哈希算法:主要用于信息摘要计算确保数据的完整性。
(3)SM4对称算法:主要用于对数据的对称加密计算,保证数据的机密性。
5.6.3数据流出管控
邮件系统具备禁止电子邮件系统设定无条件的自动转发策略,控制粒度到用户,控制用户是否可以自动转发以及用户自动转发的邮箱数量,避免重要邮件信息外泄。
邮件系统需具备邮件监控和审核功能,实现对电子邮件系统外发流出的邮件内容进行安全管控,同时对数据流出管控应覆盖到邮件主题、正文及附件。
管控拦截邮件日志数据存储至少180天。
5.7个人信息保护
应对邮件系统中的注册用户敏感数据进行加密存储。具备条件的邮件系统可采用SM3国密算法对密码进行加密。
承载电子邮件系统的云计算平台,应对用户隐私、敏感信息提供保护,数据保护包括传输加密、存储加密用户密码数据信息也是通过加密方式存储到磁盘。
5.8终端安全管控
5.8.1桌面终端管控
在终端设备应用层面,应要求用户在使用企业电子邮件的终端设备安装防恶意代码软件,并对电子邮件所携带的恶意代码进行监控与查杀,应定期对防恶意代码软件的特征库进行升级和更新,如部署终端安全管控系统,可借助此类平台统一实现企业内的终端的上述管控功能。
邮件系统 web 客户端应避免使用“记住密码”的功能;应禁止电子邮件客户端设置自动转发,防止造成内部攻击或病毒传播。
在具备条件的情况下,电子邮件客户端应使用有效证书颁发机构提供的证书。
5.8.2移动应用安全
移动电子邮件客户端应接受移动终端管理系统的管理。
移动电子邮件客户端应用应具备清除本机邮件数据的能力;app卸载时可以清除本机邮件数据和用户可自行设置每日销毁本地邮件可以清除本机邮件数据。
移动电子邮件客户端应用应具备数据防泄露、防逆向、防攻击的能力;可通过对APP加固和HTTPS实现防攻击;客户端数据库加密和邮件数据本地存储加密可以实现数据防泄漏;代码混写实现防逆向。
移动电子邮件客户端应用应支持邮件内容加密、邮件销毁等功能。邮件内容存储加密,用户可自行销毁本地邮件,为保护敏感重要邮件安全,可采用企业管理员设置多日未登录用户本地邮件全部销毁来提升安全性。
6.结语
邮件系统安全防护是一个全面的工作,不仅需要邮件系统产品本身能够提供更为完善的安全功能,同时也需要在访问控制、安全策略、终端防护等多方面协同。等保2.0标准提出了完整可行的防护标准和规范,参照相关的标准对邮件系统进行相应的安全防护,可有效的提升邮件系统的安全水平,但等保规定的只是安全防护的底线和基准线,面对目前日趋复杂的网络安全形势,以及不断升级的攻击手段和方式,邮件系统的系统的安全防护更需要与时俱进。
论文作者:吴宇飞,邓烜
论文发表刊物:《电力设备》2019年第13期
论文发表时间:2019/11/22
标签:邮件论文; 邮件系统论文; 数据论文; 电子邮件论文; 客户端论文; 用户论文; 功能论文; 《电力设备》2019年第13期论文;