为贯彻中央领导同志的重要批示精神,全面加强党政机关、事业单位和国有企业互联网邮件系统安全保护工作,公安部牵头,会同工业和信息化部、国家保密局在全国部署开展党政机关、事业单位和国有企业互联网电子邮件系统安全专项整治行动。

如何清醒认识到电子邮件系统安全防护工作重要性,积极开展相关安全防护工作,配合网络安全监管部门共同做好整治工作,十分必要。

本文结合等保工作实际,

作简要解读,

供相关人员参考~

电子邮件系统的特殊地位

电子邮件系统逐渐成为党政机关、事业单位和国有企业工作人员进行办公联系和业务交流的主要手段之一。

目前,为了保持互联互通,部署使用的邮件系统收发端口往往是单位内网唯一与互联网连接的网络端口,因而成为不法分子关注的重点和网络入侵窃密的主要目标。加之邮件系统作为业务联系的主要工具,由于使用者缺乏安全意识,存储了大量敏感信息,一旦遭受攻击,危害后果严重。虽然自建或购买的企业级邮件系统具备一定的反垃圾、防病毒和内容过滤等基本安全保护功能,但利用邮件系统漏洞、邮箱盗号、暴力破解、钓鱼邮件等手段攻击电子邮件系统,进行网络入侵、窃密、控制已经成为影响本单位、本部门网络安全、业务安全,甚至国家政治、经济安全的突出问题。

常用的电子邮件攻击手段

从近年来国内外发生的重大网络安全事件看,邮件攻击成为网络攻击窃密的重要手段和渠道。与利用 “零日” 漏洞实施的网络攻击相比,对重要敏感目标邮件系统实施入侵攻击不仅成本低、技术难度小、容易实施,而且一旦成功可获取 “高额回报”,因而被黑客组织作为首选攻击方式。

利用邮件系统漏洞攻击,直接通过邮件系统架构漏洞获取控制权或邮件内容。

邮箱盗号攻击,通过暴力破解、系统撞库、木马监听等方式获取邮件用户的口令密码。

钓鱼邮件攻击,攻击者借助仿冒身份、虚假信息对目标进行欺诈。

网络监听攻击,通过控制目标网络设备,监听、截获目标发送的邮件信息。

邮件系统遭受攻击后的危害后果

危害国家安全和社会经济稳定

乌克兰电力门事件

这是一起以电力基础设施为目标;以 BlackEnergy 等相关恶意代码为主要攻击工具;通过 BOTNET 体系进行前期的资料采集和环境预置;以邮件发送恶意代码载荷为最终攻击的直接突破入口;通过远程控制 SCADA 节点下达指令为断电手段;以摧毁破坏 SCADA 系统实现迟滞恢复和状态致盲;以 DDoS 服务电话作为干扰,最后达成长时间停电并制造整个社会混乱的具有信息战水准的网络攻击事件。

窃取政要隐私,干扰国家政治进程

希拉里邮件门

2016 年,黑客们真的干过一票大的——黑掉了民主党竞选总部邮箱。这件事情对世界造成的改变已经不能用金钱来衡量了。大批外泄的竞选邮件显示,希拉里表面上温顺和善,背地里正准备给竞争对手按个放血。

窃取工作秘密、商业秘密

德勤被黑事件

全球四大会计公司之一的 Deloitte 被黑,大量客户邮件遭泄露。

该公司表示,他们在今年三月份发现了此次网络攻击,但是他们认为这个身份不明的攻击者也许早在 2016 年十月或十一月份就已经入侵了他们的电子邮件系统。这名攻击者通过使用一个管理员账号成功获取到了 Deloitte(德勤)公司电子邮件服务器的访问权,且该系统并没有部署任何的双因素身份认证机制(2FA),从而导致攻击者能够不受任何限制地访问 Deloitte(德勤)的微软邮箱。

除了电子邮件之外,攻击者很有可能还获取到了公司系统的用户名、密码、IP 地址、公司业务情况以及员工健康状况等信息。

利用邮件系统传播勒索软件

Locky 勒索软件

近日,据腾讯安全联合实验室反病毒实验室监测发现,一种利用 Office 新型漏洞传播 Locky 勒索病毒的钓鱼邮件正在大规模爆发,一旦用户点下载了钓鱼邮件中的 Office 附件,并遵照该 Office 文件打开时的提醒操作电脑,个人电脑上的文档资料将被加密勒索。

利用邮件系统发钓鱼邮件诈骗

熟人钓鱼邮件轰炸华尔街

最近数月,华尔街高管相继中招了钓鱼邮件的骗局,钓鱼者冒充熟人套取敏感信息并将交流截图上传到 Twitter 上曝光。高盛集团 CEO 贝兰克梵、花旗集团 CEO 高沛德、巴克巴克莱集团 CEO Jes Staley、英国央行行长卡尼…… 竟然被一个恶作剧者戏弄得团团转。

钓鱼攻击在国内十分普遍,熟人身份极具迷惑性,钓鱼邮件又常常携带木马病毒,中招后危害巨大。如今,连以高智商著称的华尔街高管们都扛不住钓鱼攻击。

利用邮件系统登录入侵,干扰破坏网络系统正常运行

黑客入侵美旧金山公交局索要赎金

2016 年美国旧金山公共交通票务系统遭到黑客攻击,黑客通过发送恶意电子邮件锁住了大约 900 个公交局员工的电脑,关闭了内部邮件系统和工资系统,并导致售票机不能正常运行,公共交通乘客因此可以免费乘车。

外媒报道称,入侵交通系统的黑客向当局索要 100 比特币的赎金,这笔钱相当于 7 万美元。为了避免意外,交通部门职员将旧金山公共交通网络系统的所有售票机关闭。

旧金山交通网络的所有电脑,包括车站的电脑都被关闭,电脑屏幕显示来自黑客的信息。

我国互联网电子邮件系统

目前存在问题

据公安部通报,我国党政机关及企事业单位邮件系统安全性普遍不够重视,安全保护措施和投入不足

部分单位未配备邮件系统反窃密、反入侵等专用安全防护设备

部分单位将邮件系统与其他容易遭到黑客攻击的小型互联网应用部署在同一网络环境,或直接将邮件系统托管在互联网主机服务商及云平台上,黑客利用其作为跳板入侵控制其他重要系统;

部分单位邮件系统缺少代码安全性测试、安全监测等手段,存在非授权访问、远程执行等漏洞

部分单位邮件系统采用免费或开源架构,容易被预置后门程序或恶意监听软件。

加之,自身管理不到位,管理人员和用户使用预置口令、弱口令等情况突出,未开启日志功能或配备日志服务器,导致入侵攻击事件无法追踪溯源,甚至擅自使用互联网邮件、移动客户端邮件发送、接收敏感和涉密文件。等等问题,隐患突出。

如何做好

自身电子邮件系统安全防护工作呢

1

高度重视邮件系统安全保护工作,落实专人负责,加强对电子邮件系统开发、运维单位管理,尽量避免远程维护,确保 “有人建、有人管”。

2

按照相关法律法规、政策要求,落实网络安全等级保护制度和技术防护措施,组织开展邮件系统技术检测和渗透性攻击测试,查找安全漏洞,及时进行整改。

3

从收发邮件的人上加强管理,坚决禁止使用弱口令;坚决禁止使用互联网邮箱存储、处理、传输涉密信息和工作敏感信息;坚决禁止使用境外代理邮件服务器收发邮件;坚决禁止将企业级邮箱邮件自动转发至私人邮箱或境外邮箱。同时,对陌生邮件不要轻易打开,尤其是有关附件,防止感染病毒和木马。

4

推广邮件系统集中建设,鼓励使用国家电子政务安全邮箱。各行业主管(监管)部门、地方党委政府、企事业单位要开展政务邮件系统集中建设,将不具备安全防护能力的小型邮件系统整合归并,提升党政机关电子邮件系统的安全防护能力。

如何配合做好此次邮件专项检查

与公安机关等建立协同防护机制

1

积极部署落实

认真向单位主要领导汇报,提高思想认识,落实人员、经费等保障。按照 “谁主管、谁负责,谁运营、谁负责” 的原则,明确主管领导和责任部门、责任人、联系人,进一步明晰职责分工,细化工作措施。

2

认真摸排梳理

对本单位、本部门的电子邮件系统底数、安全保护状况和生产企业等基本情况全面掌握,认真填报 “互联网电子邮件系统基本情况调查表”,并采取刻录光盘等安全形式,2017 年底前,报至同级公安机关网安部门。

3

开展定级备案

按照网络安全等级保护制度要求,组织对电子邮件系统开展单独定级,到同级公安机关网安部门备案,履行安全管理义务首要环节。工作中,电子邮件系统定级不得低于二级,其中,重要行业部门、重要敏感领域或日常应用比较多的、对业务办公起到辅助支撑作用,运行在互联网上的,与单位内部网络有单向或双向联接的电子邮件系统定为三级。

4

组织测评整改

开展等级测评,对发现的问题、隐患及时整改。新建邮件系统要同步落实等级保护制度,满足安全保护要求方可上线运行。整改过程中,重点落实防钓鱼、防窃密、防病毒、反垃圾、内容过滤、安全审计等关键安全保护措施。

5

做好应急处置

互联网电子邮件系统遭攻击窃取,要第一时间向行业主管(监管)部门报告并向属地公安机关报案,组织开展应急处置。公安机关、保密行政管理部门也会加强指导、监测,一旦发现入侵攻击、邮件失窃密等违法犯罪活动线索,将立即组织开展线索核查、案件侦查调查工作,依法打击。