ICS 33.020 CCS L 04 YD 中华人民共和国通信行业标准 YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技 术要求 Endogenous security based on mimetic defense Technicalrequirements for email systems 行业标准信息服务平台 报批稿 XXXX-XX-XX发布 XXXX-XX-XX实施 中华人民共和国工业和信息化部 发布
YD/TXxXXXX-XXXX 目次 前 言 1范围 2规范性引用文件 3术语和定义 4缩略语 5概述 6拟态电子邮件系统功能要求 6.1请求分发要求 6.2拟态裁决要求, 6.3拟态电子邮件系统执行体要求 6.4执行体调度要求 6.5指令标签化要求 6.6主动防御要求 6.7日志接口要求 7拟态电子邮件系统性能要求 7.1执行体清洗时间 7.2调度周期 7.3系统恢复时间 7.4服务响应时延 8拟态电子邮件系统安全要求 8.1通用安全要求 8.2拟态安全要求 附录A(资料性)性能指标计算依据和参考阅值, A.1执行体清洗时间 A.2调度周期 A.3系统恢复时间 A.4服务响应时延 参考文献, 服务平台
YD/TXXXXX-XXXX 前言 本文件按照GB/T1.1-2020《标准化工作导则第1部分:标准化文件的结构和起草规则》的规定 起草.
本文件是“支持拟态防御功能的设备”系列标准之一,该系列标准的结构和名称预计如下: 1)支持拟态防御功能设备总体技术指南 2)支持拟态防御功能的Web服务器技术要求 3)支持拟态防御功能的Web服务器检测规范 4)支持拟态防御功能的路由器技术要求 5)支持拟态防御功能的路由器检测规范 6)支持拟态防御功能的域名服务器技术要求 7)支持拟态防御功能的域名服务器检测规范 8)支持拟态防御功能的交换机技术要求 9)支持拟态防御功能的交换机检测规范 10)支持拟态防御功能的防火墙技术要求 11)支持拟态防御功能的防火墙检测规范 12)支持拟态防御功能的分布式存储系统技术要求 13)支持拟态防御功能的分布式存储系统检测规范 14)支持拟态防御功能的安全网关技术要求 15)支持拟态防御功能的安全网关检测规范 16)支持拟态防御功能的云组件技术要求和测试方法 17)基于拟态防御的内生安全云服务平台技术要求 18)基于拟态防御的内生安全电子邮件系统技术要求 请注意本文件的某些内容可能涉及专利.
本文件的发布机构不承担识别专利的责任.
本文件由中国通信标准化协会提出并归口.
本文件起草单位:中国信息通信研究院,中国人民解放军战略支援部队信息工程大学,珠海高凌信 息科技股份有限公司,网络通信与安全紫金山实验室,河南信大网御科技有限公司,郑州信大捷安信息技 术股份有限公司.
本标准主要起草人程国振,石悦,董航,梁浩,刘文彦,郭义伟,张帅,郭威,杨刚,贺倩,辛 冉,鲁冬雪,张校辉,吕青松,李松泽,杨晓晗,周大成,王庆丰,全玉,下佑军,张宜岗,贺喜卓, 李富军,苑立涛,周俊珂,吴威震,鲁豫,张鹏,赵逸飞.
I1
YD/TXXXXX-XXXX 基于拟态防御的内生安全电子邮件系统技术要求 1范围 本文件规定了基于拟态防御的内生安全电子邮件系统技术要求,包含系统架构及其功能、性能、安 全要求.
本文件适用于基于拟态防御的内生安全电子邮件系统的研制、生产、认证和实际环境部署.
2规范性引用文件 下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款.
其中,注日期的引用文件, 仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括的修改单)适用于本 文件.
GB/T 370022018 信息安全技术-电子邮件系统安全技术要求 YD/T 42232023 支持拟态防御功能设备总体技术指南 3术语和定义 YD/T4223-2023界定的以及下列术语和定义适用于本文件.
3. 1 拟态电子邮件系统mimice-mailsystem 将用户电子邮件请求发送至多个异构执行体进行处理,并对各响应结果进行拟态裁决给用户, 同时根据裁决结果对异常执行体进行动态调度和清洗的电子邮件系统.
3. 2 资源异构性最大化策略resourceheterogeneitymaximization strategy 为了保持执行体针对攻击响应的不一致,将请求分发给互相之间异构性最大的多个执行体的策略, 以保证裁决结果的正确性.
3.3 异构电子邮件执行体heterogeneouse-mailexecutors 功能等价的异构电子邮件服务单元,如异构的CPU、不同类型的操作系统、功能软件等.
3.4 异构电子邮件执行体池heterogeneouse-mailexecutorspool 异构电子邮件执行体的集合.
3.5 拟态分发表决器mimeticdistributionvoter 用于用户电子邮件请求动态分发、异构电子邮件执行体响应信息裁决、异构电子邮件执行体响应信 息归一、裁决异常信息上报的模块.
3. 6 指令裁决器instructionarbiter 用于异构电子邮件执行体指令裁决、指令归一化、裁决异常信息上报、指令响应信息分发的模块.
YD/TXxXXXX-XXXX 4缩略语 下列缩略语适用于本文件.
CISC 复杂指令集计算机 Complex Instruction Set Computer CPU 中央处理器 Central Processing Unit HTTP 超文本传输协议 Hyper Text Transfer Protocol IMAP 邮件获取协议 Intermet Message Access Protocol POP3 邮局协议版本3 Post Office Protocol - Version 3 RISC 精简指令集计算机 Reduced Instruction Set Computer SMTP 简单邮件传输协议 Simple Mail Transfer Protocol 5概述 拟态电子邮件系统总体架构如图1所示,按照YD/T4223-2023规范的拟态防御架构构建,在拟态功 能层面分为拟态分发表决器、异构电子邮件执行体池、负控制器以及指令裁决模块,图中拟态数据 流表示拟态电子邮件系统内裁决和清洗数据流向,业务数据流表示用户电子邮件请求和异构电子邮件执 行体响应数据流向.
-→拟态数据流 求 →业务数据流 拟态分发表决器 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮 异构电子邮 异构电子邮 件执行体 件执行体2 件执行体n 子 异构电子邮 异构电子邮 异构电子邮 件执行体1 件执行体2 件执行体n 异构电子邮件执行体池 负控制器 指令裁决模块 图1拟态电子邮件系统架构图 拟态分发表决器主要功能包括用户电子邮件请求的动态分发、异构电子邮件执行体响应信息裁决、 异构电子邮件执行体响应信息归一、裁决异常信息上报功能首先将用户电子邮件请求按照资源异构性 最大化策略,动态分发至异构电子邮件执行体池中的在线异构电子邮件执行体然后对同一个请求的多 4