ICS35.030 GB CCS L 80 中华人民共和国国家标准 GB/T 30282—2023 代替GB/T30282—2013 信息安全技术 反垃圾邮件产品技术规范 Information security technology- Technical specification for anti-spam products 2023-12-01实施 2023-05-23发布 国家市场监督管理总局 发布 国家标准化管理委员会 GB/T30282—2023 目 次 前言 III 范围 1 规范性引用文件 2 3 术语和定义 缩略语 通则 5 技术要求 6 6.1 安全功能要求 6.2 自身安全要求 6.3 安全保障要求 7测试评价方法 7.1 测试环境 7.2 安全功能要求测评 7.3 自身安全要求测评. 12 安全保障要求测评 7.4 15 附录A（规范性） 反垃圾邮件产品技术要求等级划分 21 附录B（资料性） 性能指标与测试 23 GB/T30282—2023 前言 起草。 本文件代替GB/T30282—2013《信息安全技术 反垃圾邮件产品技术要求和测试评价方法》，与 GB/T30282一2013相比，除结构调整和编辑性改动外，主要技术变化如下： 一更改了“术语与定义”一章（见第3章，2013版的第3章）； 一增加了“产品概述”一章（见第5章）； —一更改了“基于邮件发送方地址的垃圾邮件识别”（见6.1.1.1，2013年版的5.1.1.1）； 一更改了“基于邮件内容特征的垃圾邮件识别”（见6.1.1.2，2013年版的5.1.1.2)； 一更改了“基于邮件连接特征的垃圾邮件识别”（见6.1.1.3，2013年版的5.1.1.3）； 更改了“垃圾邮件处理”（见6.1.2，2013年版的5.1.2）； 更改了“部署方式”（见6.1.4.2，2013年版的5.1.3.2）； 更改了“产品升级”（见6.1.4.3，2013年版的5.1.3.3）； 一增加了“审计数据保护”（见6.2.1.4)； 一更改了“身份鉴别”要求（见6.2.2，2013年版的5.2.2)； 增加了“访问控制”要求（见6.2.3）； —-—增加了“安全管理”要求（见6.2.4）； 一更改了“数据安全”要求（见6.2.5，2013年版的5.2.4）； 更改了“安全保障要求”要求（见6.3，2013年版的5.3）。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别专利的责任 本文件由全国信息安全标准化技术委员会（SAC/TC260)提出并归口。 本文件起草单位：中认信安（北京)技术服务有限公司、中国网络安全审查技术与认证中心、上海市 信息安全测评认证中心、中国电子科技集团公司第十五研究所、公安部第三研究所、北京信息安全测评 中心、北京天融信网络安全技术有限公司、北京神州绿盟科技有限公司、启明星辰信息技术集团股份有 限公司、深信服科技股份有限公司、西安交大捷普网络科技有限公司、北京山石网科信息技术有限公司、 北京安宁创新网络科技股份有限公司、上海腾桥信息技术有限公司、奇安信网神信息技术（北京）股份有 限公司。 本文件主要起草人：布宁、陈清明、申永波、甘杰夫、张俊彦、徐佟海、王峰、张玉朋、董晶晶、田晓鹏、 贺海、安高峰、白霜、吴杨、李宇、叶润国、何建锋、郝炜、刘思蓉、薛路刚、吴云坤。 本文件及其所代替文件的历次版本发布情况为： ——2013年首次发布为GB/T30282—2013； ——本次为第一次修订。 II GB/T30282—2023 信息安全技术 反垃圾邮件产品技术规范 1范围 本文件规定了反垃圾邮件产品的技术要求，并描述了对应的测试评价方法。 本文件适用于对反垃圾邮件产品的研制、测试和评价，以及用于指导产品的使用和管理。 规范性引用文件 2 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中，注日期的引用文 件，仅该日期对应的版本适用于本文件；不注日期的引用文件，其最新版本（包括所有的修改单）适用于 本文件。 GB/T18336.1—2015信息技术 安全技术 信息技术安全评估准则 」第1部分：简介和一般 模型 GB/T25069 信息安全技术术语 术语和定义 GB/T18336.1一2015和GB/T25069界定的以及下列术语和定义适用于本文件。 3.1 垃圾邮件 spam 用户事先未提出请求或不同意接收的电子邮件。 注：垃圾邮件一般具有如下特征： 一含有用户不愿意接收的广告、宣传材料等内容； 一同时发送给大量用户； 一含有虚假的信息源、发件人、路由等信息； 含有恶意代码。 3.2 邮件黑名单 mail blacklist 被识别为垃圾邮件的邮件地址列表。 3.3 邮件白名单 mail whitelist 不会被识别为垃圾邮件的邮件地址列表。 3.4 投递 send 反垃圾邮件产品不对邮件进行识别和处理，直接发送给收件人的过程。 3.5 标记投递 label and send 反垃圾邮件产品将邮件标记为垃圾邮件后发送给收件人的过程。 1 GB/T30282—2023 3.6 隔离isolate 反垃圾邮件产品将识别的垃圾邮件或不应发送至收件人的邮件放置到专用的存储区域的过程。 3.7 拒绝 reject 反垃圾邮件产品不接收邮件，并通知发件人该邮件被拒收的过程。 3.8 丢弃 discard 反垃圾邮件产品将邮件直接拦截并删除，而不通知发件人的过程。 4缩略语 下列缩略语适用于本文件。 DNS:域名系统(DomainNameSystem) IP：网际互联协议（InternetProtocol） 5通则 反垃圾邮件产品是对垃圾邮件进行识别和处理的软件或软硬件组合，包括但不限于反垃圾邮件网 关、反垃圾邮件系统、安装于邮件服务器的反垃圾邮件软件，以及与邮件服务器集成的反垃圾邮件产品 等。反垃圾邮件产品安全功能逻辑图见图1。 垃圾邮件识别 管理 策略 垃圾邮件处理 、隔离区 控制 邮件统计报表 图1反垃圾邮件产品安全功能逻辑图 反垃圾邮件产品的技术要求分为安全功能要求、自身安全要求和安全保障要求。其中，安全功能要 求包括垃圾邮件识别、垃圾邮件处理、统计报表、管理策略控制；自身安全要求包括身份安全审计、身份 鉴别、访问控制、安全管理：安全保障要求包括开发、指导性文档、生命周期支持、测试和脆弱性评定 反垃圾邮件产品的安全等级可分为基本级和增强级。安全功能与自身安全功能的强弱，以及安全 保障要求的高低是反垃圾邮件产品等级划分的依据，其中“加粗宋体字”所描述的安全要求仅适用于增 强级产品。安全技术要求的等级划分应符合附录A要求。 6技术要求 6.1 安全功能要求 6.1.1垃圾邮件识别 6.1.1.1基于邮件发送方地址的垃圾邮件识别 反垃圾邮件产品应支持基于邮件发送方地址识别垃圾邮件，要求包括： 2 GB/T30282—2023 a）提供邮件黑名单功能，支持邮件黑名单编辑、添加、删除、导入和导出等操作； b) 支持实时邮件黑名单列表功能，包括但不限于DNS查询方式进行列表查询等； 提供邮件白名单功能，支持邮件白名单的编辑、添加、删除、导人和导出等操作； d)3 支持地址正确性检查功能； e） 件人邮件地址同步至邮件黑名单 6.1.1.2基 基于邮件内容特征的垃圾邮件识别 反垃圾邮件产品应支持基于邮件内容特征来识别垃圾邮件，要求包括： a）支持关键字匹配识别，通过设定关键字，对邮件的信头、信体、附件、主题、发件人、收件人、抄送 人、正文中包含的文字进行匹配，识别垃圾邮件； b) 支持数值特征匹配识别，通过设定邮件或附件的大小、附件的数量、收件人总数等数量值，识别 垃圾邮件； c) 支持附件特征匹配识别，通过设定附件文件名和附件文件类型等特征，识别垃圾邮件； d）支持恶意代码的识别，通过设定包括但不限于带病毒特征的邮件附件、具有钓鱼邮件特征或诈 骗邮件特征的邮件等，识别垃圾邮件； e) 支持图像垃圾邮件的识别，通过设定带有图像信息的垃圾邮件，识别垃圾邮件； f) 支持自定义的匹配功能，识别垃圾邮件。 6.1.1.3 基于邮件连接特征的垃圾邮件识别 反垃圾邮件产品应支持基于邮件连接特征来识别垃圾邮件，要求包括： a）支持通过一段时间内具有同一邮件来源IP地址且主题相同邮件的最大发送数，识别垃圾 邮件； b) 支持通过同一邮件来源IP地址对邮件服务端口的最大并发连接数量，识别垃圾邮件： c) 支持通过一段时间内同一邮件来源IP地址对邮件服务端口的最大连接数，识别垃圾邮件； d)> 对识别为垃圾邮件的连接进行自动阻断 6.1.2垃圾邮件处理 反垃圾邮件产品应提供以下可供选择的垃圾邮件处理方式： a）通知； b) # 投递； 标记投递； d)F 隔离，并允许邮件用户登录到隔离区，恢复该用户的邮件； e）# 拒绝； f）丢弃。 6.1.3 统计报表 反垃圾邮件产品应提供查询统计功能，并将结果生成统计报表。 6.1.4管理策略控制 6.1.4.1策略配置 反垃圾邮件产品应提供垃圾邮件识别、处理和统计报表的配置方法。 3 GB/T30282—2023 6.1.4.2 部署方式 反垃圾邮件产品应支持透明方式、路由方式或服务器方式的部署。 6.1.4.3 产品升级 反垃圾邮件产品应： a）通过手动或在线自动方式及时更新垃圾邮件规则库； b）对升级包进行校验，防止升级包被篡改或替换。 6.2自身安全要求 6.2.1 安全审计 6.2.1.1 审计数据生成 反垃圾邮件产品应对以下自身安全事件生成审计记录： 对安全策略的操作，包括但不限于垃圾邮件识别规则、安全功能配置参数等进行更