如何安全保护电子邮件系统？

为贯彻中央领导同志的重要批示精神，全面加强党政机关、事业单位和国有企业互联网邮件系统安全保护工作，公安部牵头，会同工业和信息化部、国家保密局在全国部署开展党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动。

如何清醒认识到电子邮件系统安全防护工作重要性，积极开展相关安全防护工作，配合网络安全监管部门共同做好整治工作，十分必要。

一、电子邮件系统的特殊地位

电子邮件系统逐渐成为党政机关、事业单位和国有企业工作人员进行办公联系和业务交流的主要手段之一。

目前，为了保持互联互通，部署使用的邮件系统收发端口往往是单位内网唯一与互联网连接的网络端口，因而成为不法分子关注的重点和网络入侵窃密的主要目标。加之邮件系统作为业务联系的主要工具，由于使用者缺乏安全意识，存储了大量敏感信息，一旦遭受攻击，危害后果严重。虽然自建或购买的企业级邮件系统具备一定的反垃圾、防病毒和内容过滤等基本安全保护功能，但利用邮件系统漏洞、邮箱盗号、暴力破解、钓鱼邮件等手段攻击电子邮件系统，进行网络入侵、窃密、控制已经成为影响本单位、本部门网络安全、业务安全，甚至国家政治、经济安全的突出问题。

二、常用的电子邮件攻击手段

从近年来国内外发生的重大网络安全事件看，邮件攻击成为网络攻击窃密的重要手段和渠道。与利用“零日” 漏洞实施的网络攻击相比，对重要敏感目标邮件系统实施入侵攻击不仅成本低、技术难度小、容易实施，而且一旦成功可获取 “高额回报”，因而被黑客组织作为首选攻击方式。

1.利用邮件系统漏洞攻击，直接通过邮件系统架构漏洞获取控制权或邮件内容；

2.邮箱盗号攻击，通过暴力破解、系统撞库、木马监听等方式获取邮件用户的口令密码；

3.钓鱼邮件攻击，攻击者借助仿冒身份、虚假信息对目标进行欺诈；

4.网络监听攻击，通过控制目标网络设备，监听、截获目标发送的邮件信息。

三、邮件系统遭受攻击后的危害后果

1.危害国家安全和社会经济稳定

2.窃取国家隐私，干扰国家政治进程

3.窃取工作机密、商业机密

4.利用邮件系统传播勒索软件

5.利用邮件系统登录入侵，干扰破坏网络系统正常运行

四、我国互联网电子邮件系统存在的问题

据公安部通报，我国党政机关及企事业单位邮件系统安全性普遍不够重视，安全保护措施和投入不足：

1.部分单位未配备邮件系统反窃密、反入侵等专用安全防护设备；

2.部分单位将邮件系统与其他容易遭到黑客攻击的小型互联网应用部署在同一网络环境，或直接将邮件系统托管在互联网主机服务商及云平台上，黑客利用其作为跳板入侵控制其他重要系统；

3.部分单位邮件系统缺少代码安全性测试、安全监测等手段，存在非授权访问、远程执行等漏洞；

4.部分单位邮件系统采用免费或开源架构，容易被预置后门程序或恶意监听软件。

加之，自身管理不到位，管理人员和用户使用预置口令、弱口令等情况突出，未开启日志功能或配备日志服务器，导致入侵攻击事件无法追踪溯源，甚至擅自使用互联网邮件、移动客户端邮件发送、接收敏感和涉密文件。等等问题，隐患突出。

五、如何做好自身电子邮件系统安全防护工作

1.高度重视邮件系统安全保护工作，落实专人负责，加强对电子邮件系统开发、运维单位管理，尽量避免远程维护，确保 “有人建、有人管”。

2.按照相关法律法规、政策要求，落实网络安全等级保护制度和技术防护措施，组织开展邮件系统技术检测和渗透性攻击测试，查找安全漏洞，及时进行整改。

3.从收发邮件的人上加强管理，坚决禁止使用弱口令；坚决禁止使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息；坚决禁止使用境外代理邮件服务器收发邮件；坚决禁止将企业级邮箱邮件自动转发至私人邮箱或境外邮箱。同时，对陌生邮件不要轻易打开，尤其是有关附件，防止感染病毒和木马。

4.推广邮件系统集中建设，鼓励使用国家电子政务安全邮箱。各行业主管（监管）部门、地方党委政府、企事业单位要开展政务邮件系统集中建设，将不具备安全防护能力的小型邮件系统整合归并，提升党政机关电子邮件系统的安全防护能力。

六、如何做好邮件系统安全专项整治工作

1.积极部署落实

认真向单位主要领导汇报，提高思想认识，落实人员、经费等保障。按照 “谁主管、谁负责，谁运营、谁负责” 的原则，明确主管领导和责任部门、责任人、联系人，进一步明晰职责分工，细化工作措施。

2.认真摸排梳理

对本单位、本部门的电子邮件系统底数、安全保护状况和生产企业等基本情况全面掌握，认真填报“互联网电子邮件系统基本情况调查表”，并采取刻录光盘等安全形式，2017 年底前，报至同级公安机关网安部门。

3.开展定级备案

按照网络安全等级保护制度要求，组织对电子邮件系统开展单独定级，到同级公安机关网安部门备案，履行安全管理义务首要环节。工作中，电子邮件系统定级不得低于二级，其中，重要行业部门、重要敏感领域或日常应用比较多的、对业务办公起到辅助支撑作用，运行在互联网上的，与单位内部网络有单向或双向联接的电子邮件系统定为三级。

4.组织测评整改

开展等级测评，对发现的问题、隐患及时整改。新建邮件系统要同步落实等级保护制度，满足安全保护要求方可上线运行。整改过程中，重点落实防钓鱼、防窃密、防病毒、反垃圾、内容过滤、安全审计等关键安全保护措施。

5.做好应急处置

互联网电子邮件系统遭攻击窃取，要第一时间向行业主管（监管）部门报告并向属地公安机关报案，组织开展应急处置。公安机关、保密行政管理部门也会加强指导、监测，一旦发现入侵攻击、邮件失窃密等违法犯罪活动线索，将立即组织开展线索核查、案件侦查调查工作，依法打击。