1、标准草案意见汇总处理表标准项目名称:信息安全技术 信息系统安全等级保护 测评要求又名:信息安全技术 网络安全等级保护测评要求 第 1 部分:安全通用要求 承办人:陈广勇 共 26 页标准项目负责起草单位:公安部信息安全等级保护评估中心 电 话:18601190322 序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注一、标准草案第三稿,2016 年 5 月 23 日,评估中心大会议室,2016 年 5 月 24 日填写1. 标准范围 标准范围应该包括内容范围和适用范围,标准适用的范围要描述清楚。全国信息安全标准化技术委员会崔书昆采纳:在标准范围部分明确了本标准的适应范围。2.
2、 全文 严格按照基本要求国家标准编制测评要求标准,确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳:已根据最新版的基本要求国家标准进行了调整。3. 全文 将标准全文的“机密性” 和“ 保密性 ”统一为一个。国家能源局信息中心安全处陈雪鸿采纳:已统一为保密性。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注4. 全文 格式要符合 GB/T 1.1-2009。国家新闻出版广电总局监管中心张瑞芝采纳:已根据 GB/T 1.1-2009 进行了修改。5. 术语定义 术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳:已对术语定义进行了修改。6. 全文 调整结构
3、,去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳:已调整了全文中的悬置段。7. 标准范围 建议将“本标准适用于为”改为“ 本标准适用于”。信息产业信息安全测评中心刘 健采纳:已改为“本标准适用于” 。8. 规范性引 用文件 规范性引用文件要写上国标号。信息产业信息安全测评中心刘 健采纳:已在规范性引用文件前加上国标号。9. 全文 标题号数字过于细分,目录太深,标号需要调整。海关总署科技司安全运行处李宏图采纳:已对标准全文进行了调整。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注10. 全文 文章中出现的一些词:如关键、重要等一些词没有具体的定义。通
4、信研究院安全研究部副主任卜 哲不采纳:关键、重要等不适用放在术语定义中。11. 全文 建议添加英文缩略语章节,解释(如 VPN)等专业缩略词。中国农业银行范原辉不采纳:安全相关专有名词,不需要在本标准中再次说明。12. 4.1 4.1 章节的测评框架说明,描述不通顺,需要修改。全国信息安全标准化技术委员会崔书昆采纳:已对测评框架说明进行了调整。13. 全文 建议给出测评指标测评指标编码规则说明,便于阅读标准。中国农业银行范原辉采纳:已在附录中给出编码规则说明。14. 全文 岗位名称(如安全主管)尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜 哲采纳:已在标准中调整。二、标准草案第四稿
5、,2016 年 8 月 12 日,北京瑞安宾馆第 5 会议室,2016 年 8 月 15 日填写15. 范围 第一页 1.范围,“本标准规定了本标准适用于.”,建议为“本部分.” 国家信息中心刘蓓采纳:原为:“本标准规定了本标准适用于.”序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注改为:“本部分规定了本部分适用于.”16. 术语和定 义 安全等级保护测评的定义和方法放进术语里。 国家信息中心刘蓓部分采纳:改为:定义放术语里,方法不适合放术语里。17. 全文 “测评实施”中,如果测评实施项只有一项,不建议用 1)。国家信息技术安全研究中心李建采纳:改为:全文修改。18.
6、全文是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳:已经增加测评方法,其他在过程指南中解决。19. 未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。 李蒙采纳:测评报告模板后续跟着新标准变动。20. 规范性引 用 规范性引用注明最新版适用于本标准,已经注明了最新版只需要引用到 22239.1 就够了。 樊华采纳:已经调整。21. 全文身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在 RSA 的密码强度是否有要求,如 256位和 512 位是否都满足。樊华不采纳:密码强度各单
7、位要求不一,不宜在标准中明确。22. 8.2.4.58.2.4.5 章节,漏洞和风险管理中,漏洞和风险管理不止在运维方面,而是在信息系统全生命周期存在。在前面的内容中也应该考虑。林值采纳:随基本要求修订序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注23. 8.1.48.1.2.6 和 8.1.3.5 中提到了恶意代码防范内容,8.1.4 应用安全里也应该增加恶意代码防范内容。恶意代码只是一部分,建议增加其他的漏洞问题。林值采纳:随基本要求修订24. 8.1.4 是否应该增加源代码检测和二进制代码检测。 林值不采纳:标准中已有源代码检测要求。三、标准草案第四稿,截止 201
8、6 年 8 月 22 日,WG5 工作组成员单位征求意见,2016 年 8 月 23 日填写25. 前言和引 言 前言和引言,内容有些交差,系列标准结构适合放在前言当中。引言重点写三要性和背景。浙江蚂蚁小微金融服务集团有限公司不采纳:标准编制有规定格式要求,本标准满足相关要求。26. 术语和定 义 3 术语和定义应当按照 GB1.1 格式编写浙江蚂蚁小微金融服务集团有限公司采纳:已经调整。27. 8.1.1.4.2 8.1.1.5.28.1.1.4.2 8.1.1.5.2 等建议根据信息系统不同等级要求明确对应的防雷、耐火材料等方面的等级要求,使之符合分等级保护的思想。浙江蚂蚁小微金融服务集团
9、有限公司不采纳:防雷、耐火材料等属于基础设施建设相关范畴。28. 8.1.3.3、8.1.3.4 8.1.3.3、8.1.3.4 等上述几个条款的测评对象应包含网络设备和安全设备浙江蚂蚁小微金融服务集团有限公司采纳:已经调整。29. 附录 B 附录 B 应为规范性附录,严格规范浙江蚂蚁小微金融服务集团采纳:修改为规范性附录序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注有限公司30. 5.1.1.3.15.1.1.3.1 防雷击,设备接地测评判定,建议检测接地电阻。比如:直接搭接的直流电阻不大于 10m。可参考电磁兼容性 EMC 标准。南京中新赛克科技有限责任公司不采纳:机
10、房或大楼建设有相关标准要求,建设完成后应有验收文档 ,这里采信验收文档即可。31. 6.1.1.7 6.1.1.7 防静电,设备接地测评判定,同上。南京中新赛克科技有限责任公司不采纳:机房建设有相关标准要求,建设完成后应有验收文档 ,这里采信验收文档即可。32. 6.2.3.3.26.2.3.3.2 (7.2.3.3.2、8.2.3.3.2)测评单元c) 测评实施1) 应访谈建设负责人,询问是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求。建议修改为:1)检查是否使用了密码产品;如使用,检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。IBM采纳:随基本要求
11、变动进行修订。33. 6.2.4.96.2.4.9 (7.2.4.9、8.2.4.9)密码管理a) 测评指标应使用符合国家密码管理规定的密码技术和产品;c) 测评实施1) 应访谈安全管理员,询问是否使用了密码产品,密码技术和产品的使用是否遵照国家密码管理规定。建议修改为:修改基本要求的相应部分并引用。1)检查是否使用了密码产品;如使用,检查该密码产品IBM采纳:随基本要求变动进行修订。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注是否获得有效的国家密码管理规定的密码产品型号证书。2)检查网络安全产品中是否使用了密码模块;如使用,检查该密码模块是否具有国家密码管理规定的密码
12、模块检测报告。34. 7.2.4.7 7.2.4.7 恶意代码防范管理,缺少相对应的对可信计算技术的管理要求。 IBM采纳:随基本要求变动进行修订。35. 8.2.4.78.2.4.7 恶意代码防范管理,在“ 基本要求”标准中,要求只能采用可信计算技术,而此处却只有查杀病毒方面的要求。 IBM采纳:随基本要求变动进行修订。四、标准草案第四稿,截止 2016 年 8 月 22 日,等级测评机构反馈意见,2016 年 8 月 23 日填写36. 第 4 章第 4 章中出现 “等级保护测评”、 “安全等级保护测评” 、 “等级测评”名词,建议在第 3 章中明确其定义,并在全文使用中进行统一。电力行业
13、信息安全等级保护测评中心第四实验室采纳:全文调整。37. 4.2第 4.2 节中第 1 段第 1 句话可理解为对“等级保护测评实施”的介绍或者解释,因此建议将“等级保护测评实施的基本方法是针对特定的测评对象”修改为“等级保护测评实施是针对特定的测评对象”,并将“给出达到特定级别安全保护能力的评判”修改为“给出是否达到特定级别安全保护能力的评判”。而且这段内容与 4.1 节内容有重叠,可以考虑合并。电力行业信息安全等级保护测评中心第四实验室部分采纳:已做调整。38. 4.24.3 建议将 4.2 节和 4.3 节交换顺序,并将原 4.2 节中关于“单项测评”的相关内容合并到原 4.3 节中。 电
14、力行业信息安全 采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注等级保护测评中心第四实验室已做调整,将 4.2 节和 4.3 节进行了合并。39. 7.1.2.4.2第 7.1.2.4.2 节测评实施第 1)条,建议修改为“应检查设备访问控制策略,访谈安全管理员每一条策略的用途,查看是否不存在多余或无效的访问控制策略”。电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。40. 7.1.3.2.4第 7.1.3.2.4 节测评实施的第 2)条,与测评指标无关,建议修改为“应检查管理用户权限是否为其工作任务所需的最小权限”。电力行业信息安全等级保护测评中心第四实验
15、室采纳:已做调整。41. 7.1.3.3.4第 7.1.3.3.4 节测评实施中,建议不要列出测评对象“服务器操作系统和数据库管理系统”,与“b) 测评对象无法对应”,在理解上容易混淆。电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。42. 7.1.3.4.2 第 7.1.3.4.2 节测评实施中第 2)条,建议修改为“应确认是否已关闭非必要的高危端口” 。电力行业信息安全等级保护测评中心第四实验采纳:已做调整。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注室43. 7.1.3.4.4 第 7.1.3.4.4 节测评实施中第 1)条,建议修改为“应进行漏洞扫描,
16、检查是否不存在高风险漏洞” 。电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。44. 7.1.4.1.1第 7.1.4.1.1 节测评实施第 5)条,建议修改为“应检查用户配置信息或访谈应用系统管理员,查看是否不存在空密码用户”电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。45. 7.1.4.2.5 第 7.1.4.2.5 节测评实施第 3)条,建议修改为“应测试用户是否不存在可越权访问情形”。电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。46. 10.1第 10.1 节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。 ”中“ 其” 理解上容易有
17、歧义,建议修改为“单个控制点中” 。电力行业信息安全等级保护测评中心第四实验室采纳:已做调整。47. 10.310.4 第 10.3 和 10.4 节中第 2 段内容均只给出了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体 电力行业信息安全 不采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注安全保护能力的缺失,该安全控制点的测评结论应调整为符合”的情况,那如果在安全控制点间和层面间分析时发现不能完全形成弥补效果,即相应控制点测评结论无法调整为符合时应该怎么处理?是否也应该在此说明?等级保护测评中心第四实验室“安全控制点、安全控制点间、层面间”测评是并
18、列关系,有一个不符合则该控制点为不符合。48. 5.1.1 建议机房安全的测评对象可细化到机房内的对应设施。 江苏金盾杨超不采纳:标准粒度不宜过于细化49. 6.1.1.2.16.1.1.2.1 测评单元(L2-PES1-03 )C )测评实施中 1)和2)感觉内容上有重复,建议删掉一条,再增加一条对专人值守记录或机房人员进出记录验证的条款。江苏金盾杨超采纳:已做调整。50. 6.1.1.2.26.1.1.2.2 测评单元(L2-PES1-04)c) 测评实施中 建议对监控记录进行细化,明确监控记录需包含哪些内容,如人员进出记录、视频监控记录等,如果这里包含了人员进出记录那么上面 6.1.1.
19、2.1 一条建议就可不必修改。江苏金盾杨超不采纳:具体监控内容由各单位自行定义,需针对不同对象分别设置,如厂商人员和检查人员的监控内容就不一样。51. 7.1.1.3.3 建议 7.1.1.3.3 测评单元(L3-PES1-06 )C )测评实施中增加监控视频可回放时间要求,如至少 90 天。 江苏金盾杨超不采纳:监控视频保存时间由各单位自行要求。52. 11.3 建议 11.3 中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。 江苏金盾杨超不采纳:测评流程中已明确,先进行整体测评,然后才能给出测评结论。53. 第 9 章 测评实施及单项判断中未明确一票否决项,即哪一分项不符合则
20、该指标项直接判定为不符合。江西神舟信息安全评估中心有限公司不采纳:单项判定已明确哪些是必须要做到。54. 全文 网络设备“安全审计” 部分归入“ 网络和通信安全”层面,但 江西神舟 不采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注“身份鉴别”等层面确归入“ 设备与计算安全层面 ”,现场测评与结果记录如何明确?信息安全评估中心有限公司本标准根据基本要求条款编制。55. 7.1.1.1.2 a)7.1.1.1.2 a)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。建议增加一个指标项:UPS电池间应采取承重加固。江西神舟信息安全评估中心有限公司不采纳:
21、机房承重加固等属于基础设施建设相关范畴。56. 7.1.1.2.1 c)7.1.1.2.1 c)-2)应检查电子门禁系统是否可以鉴别、记录进入的人员信息。建议增加应检查门禁系统最长保存的记录时间,门禁系统记录数据是否保存 3 个月。江西神舟信息安全评估中心有限公司部分采纳:增加应检查门禁系统记录数据的保存时间。具体保存时间各单位要求不一样,不做规定,或建议至少保存 3 个月。57. 7.1.1.3.1 c)7.1.1.3.1 c)-1)应检查机房内设备或主要部件是否固定;2)应检查机房内设备或主要部件上是否设置了明显且不易除去的标记。建议机房内设备或主要部件应明确包含通信线缆。江西神舟信息安全
22、评估中心有限公司不采纳:标准中主要部件不宜一一列举。58. 7.1.1.3.2 c)7.1.1.3.2 c)-1) 应检查机房内通信线缆是否铺设在隐蔽处。建议调整,因为通信线缆除了可铺设在隐蔽处(地下或管道中) ,还应允许铺设在桥架中。江西神舟信息安全评估中心有限公司采纳:调整为 应检查机房内通信线缆是否铺设在隐蔽处或桥架中。59. 7.1.1.3.3 a)7.1.1.3.3 a) 应设置机房防盗报警系统或设置有专人值守的视频监控系统。建议改为“机房应设置视频监控系统,并设置防盗报警系统或安排专人值守”。江西神舟信息安全评估中心有限公司不采纳:修改建议变成了必须要求有视频监控系统,违背了标准原
23、要求。60. 7.1.1.3.3 c) 7.1.1.3.3 c)-2)应检查防盗报警系统或视频监控系统是否启用。建议明确监控记录保存时间。江西神舟信息安全评估中心不采纳:由其他标准规定。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注有限公司61. 7.1.1.5.3 c)7.1.1.5.3 c)-1)应访谈机房管理员是否进行了区域划分;建议增加细则要求,例如 UPS 电池应与重要设备一定要设置防火隔离措施。江西神舟信息安全评估中心有限公司不采纳:标准的 7.1.1.5.3 已做要求。62. 7.1.1.9.2 a)7.1.1.9.2 a) 应提供短期的备用电力供应,至少满
24、足设备在断电情况下的正常运行要求;建议明确备用供电时间,例如 2 小时。江西神舟信息安全评估中心有限公司不采纳:备用供电时间与设备规模密切相关,各单位对断电事故的容忍度不一。63. 7.1.2.1.4 c)7.1.2.1.4 c)-1)应访谈网络管理员并查看网络拓扑图,检查重要网路区域不能部署在网络边界处且直接连接外部等级保护对象;建议将网路改为“网络”。江西神舟信息安全评估中心有限公司采纳:已做调整。64. 7.1.2.3.2 a)7.1.2.3.2 a) 应能够对非授权设备私自联到内部网络的行为进行限制或检查;建议改为“应能够对非授权设备私自联到内部网络的行为进行检查和限制;”江西神舟信息
25、安全评估中心有限公司不采纳:这是基本要求原条款要求。65. 7.1.2.3.3 a)7.1.2.3.3 a) 应能够对内部用户私自联到外部网络的行为进行限制或检查;建议改为“应能够对内部用户私自联到外部网络的行为进行检查和限制;”江西神舟信息安全评估中心有限公司不采纳:这是基本要求原条款要求。66. 7.1.2.8.1 b) 7.1.2.8.1 b) 安全管理员和网络拓扑图。建议增加 “安全管理系统”江西神舟信息安全评估中心有限公司不采纳:无法定义安全管理系统。67. 7.1.2.8.4 a) 7.1.2.8.4 a) 应对分散在各个设备上的审计数据进行收集汇总和集中分析;建议明确审计数据保存
26、时间。 江西神舟信息安全 不采纳:标准要求的是进行收集汇总和集中分析。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注评估中心有限公司68. 7.1.3.1.1 c)7.1.3.1.1 c)-4)应检查用户鉴别信息是否具有复杂度要求并定期更换。建议明确复杂度具体要求,如口令长度,数字、字母、字符组合;明确定期更换时间。江西神舟信息安全评估中心有限公司不采纳:口令复杂度不宜在标准中固定,需根据技术的发展而调整。69. 7.1.3.4.1a) 7.1.3.4.1a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。建议增加安装安全补丁。江西神舟信息安全评估中心有限公司不采纳:
27、安全补丁在 7.1.3.4.4 部分已做要求。70. 7.1.3.5.1 c)7.1.3.5.1 c)-1)应查看防恶意代码工具的安装和使用情况,或查看是否采用可信计算技术建立从系统到应用的信任链;建议列举可信计算技术具体实现的方式。江西神舟信息安全评估中心有限公司不采纳:可信计算技术具体实现的方式不是本标准范围。71. 7.1.3.6 7.1.3.6 资源控制。建议增加一个测评指标:应根据安全策略设置登录终端的操作超时锁定。江西神舟信息安全评估中心有限公司不采纳:标准中已有相关要求。72. 7.1.4.1.1 c) 7.1.4.1.1 c)-4)应检查鉴别信息是否具有复杂度要求并定期更换;建
28、议明确口令复杂度要求和更换时间。江西神舟信息安全评估中心有限公司不采纳:口令复杂度不宜在标准中固定,需根据技术的发展而调整。73. 7.1.4.1.4 d)7.1.4.1.4 d) 如果 1)-2 )均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。建议改为 1)或 2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。江西神舟信息安全评估中心有限公司采纳:改为 1)或 2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标序号标 准条文号 意 见
29、内 容提出专家/提出单位 处理意见 备 注要求。74. 7.1.4.3.4 a) 7.1.4.3.4 a) 应对审计进程进行保护,防止未经授权的中断;应用系统通常无审计进程,建议改指标项删除。江西神舟信息安全评估中心有限公司不采纳:应用系统审计进程可以和系统进程在一起。75. 7.2.2.2.1c) 7.2.2.2.1c)-1 )应访谈信息安全主管,确认各岗位人员配备情况;建议明确人员配备最低的要求。江西神舟信息安全评估中心有限公司不采纳:人员配备最低要求由单位根据实际设置,标准要求有专职人员。76. 7.2.4.17.2.4.1 环境管理。建议对环境管理的机房管理员应明确机房管理员的专业技能
30、,特别是部分基础设施和设备的使用操作。江西神舟信息安全评估中心有限公司不采纳:标准中 7.2.2.6 和 7.2.2.8 对人员能力有要求。77. 7.2.4.1.1c)7.2.4.1.1c)-1)应访谈物理安全负责人,询问是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护,由何部门/何人负责;建议增加 “查看机房基础设施的巡检记录”要求。江西神舟信息安全评估中心有限公司不采纳:测评实施最后一条已做要求。78. 7.2.4.2.2 a)7.2.4.2.2 a) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管
31、理措施;资产的范围太广泛,此处应重点强调信息系统相关的资产(含实体设备、信息资产及数据资产) 。江西神舟信息安全评估中心有限公司不采纳:标准指的就是信息系统相关资产。79. 7.2.4.127.2.4.12 安全事件处置。建议应保留原测评指标 “应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响, 对本系统计算机安全事件进行等级划分;”;等级保护定义中就明确了安全事件分级管理,这是国家信息安全保障体系中的重要环节,也是各单位在江西神舟信息安全评估中心有限公司不采纳:根据基本要求进行调整。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注事件响应时如
32、何界定和资源投入的关键指导。80. 5.1.1.4 5.1.1.4 建议增加对灭火设备放置位置的检查内容。 信息产业信息安全测评中心不采纳:放置位置是否有机房场地建设相关标准来规范。81. 5.1.2.2 5.1.2.2 建议增加测试内容,可以分析传输数据。信息产业信息安全测评中心部分采纳:二级、三级、四级增加传输数据测试相关内容。82. 5.1.2.3 5.1.2.3 第 3) ,应为“是否没有其他未受控端口进行跨越边界的网络通信”。 信息产业信息安全测评中心采纳:调整为 3) 应访谈安全管理员或检查设备配置信息,是否不存在其他未受控端口进行跨越边界的网络通信。83. 5.1.3.1.25.
33、1.3.1.2 第 1)项应该是包含 2) 、3)吧?是否重复了?限制非法登录次数后的处理机制不仅仅是锁定账户,还可以锁定 IP、锁定账户一段时间等,建议写成开放性说法:“配置了非法登录次数阈值及启用了锁定账户等处置措施。”信息产业信息安全测评中心采纳:判定应该为或的关系,不是且关系,调整为:去掉 1) ,调整 2)为配置了非法登录次数阈值及启用了锁定账户等处置措施。保留 3) 。判定改为 1)或 2)为肯定。84. 5.1.3.2.15.1.3.2.1 在这里的测试是否应该考虑权限的合理性?明确权限分配原则?“如果 1)-2 )均为肯定”,应改为“如果2)为肯定”。信息产业信息安全测评中心不
34、采纳:权限分配在第三级有专门条款,1)为访谈,2)为测试,判定没有问题。85. 5.1.3.2.2 5.1.3.2.2 判定与要求不符,要求是“ 或”的关系,在判定里面是“且”的关系。信息产业信息安全测评中心采纳:调整为 1)或 2)为肯定。86. 5.1.3.3.1 5.1.3.3.1 建议将“确认”改为“检查” ,测试方法中没有“确认”。是否能分清楚“ 网络服务” 与“系统服务”?归类和定 信息产业信息安全 采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注义是什么?比如如果启用了 IIS,这个是定义为网络服务还是系统服务?建议不如直接就用要求中的词语“组件和应用程
35、序”。测评中心 调整为 2) 应确认是否已经关闭非必要的组件和应用程序。87. 5.1.3.3.25.1.3.3.2 如何确认“高危端口”,个人感觉仅仅是为了突出?“不需要的系统服务” 其实已包括了“ 高危端口”,一般端口会对应服务。信息产业信息安全测评中心不采纳:高危端口是基本要求中的提法。88. 5.1.3.4.1 5.1.3.4.1 判定与测评实施对应不上。 信息产业信息安全测评中心采纳:测评实施调整为 1) 应查看防恶意代码工具的安装和使用情况,检查是否定期进行升级和更新防恶意代码库。89. 5.1.4.1.15.1.4.1.1 建议全文中提到 “标识与鉴别 ”时,应增加检查如何实现用
36、户标识,然后再检查鉴别措施。 “应测试应用系统对用户身份标识有效性是否进行鉴别”不太通顺,意思是否是“应测试应用系统的用户身份标识与鉴别措施是否有效”。信息产业信息安全测评中心不采纳:标准原文不存在问题。90. 全文 全文,个人认为将“空密码用户”改为“ 不需要鉴别的用户”更严谨。信息产业信息安全测评中心不采纳:空密码用户更便于理解。91. 5.1.4.1.2 5.1.4.1.2 1)应该包含 3)了吧? 信息产业信息安全测评中心不采纳:1)测评的是有安全措施,3)测评的是具体的安全措施。92. 5.1.4.3.1 5.1.4.3.1 建议将 1)2)3)顺序调整下,应为 2)3)1) 。信息
37、产业信息安全测评中心采纳已调整顺序。93. 5.1.4.4.1 5.1.4.4.1 建议删除 “或加解密技术 ”,要求拔高了,应该是 信息产业 不采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注三级要求。 信息安全测评中心 标准内容是或的关系,不是必要条件。94. 5.2.4.1.15.2.4.5.1 5.2.4.1.1 和 5.2.4.5.1 应该是句号结尾。信息产业信息安全测评中心采纳:已调整为句号结尾。95. 5.2.4.5.2 5.2.4.5.2 判定与实施不符。 信息产业信息安全测评中心采纳:调整为 2) 应检查相关审批记录或流程,查看是否对申请账户、建立账
38、户、删除账户等进行控制。96. 6.1.2.1.2 6.1.2.1.2 判定与实施不符。信息产业信息安全测评中心采纳:判定调整为如果 2)为肯定,97. 6.1.2.1.3 6.1.2.1.3 判定与实施不符。应该有对划分合理性的判断。 信息产业信息安全测评中心不采纳:网络划分原则各单位不一,标准无法给出统一原则。98. 6.1.2.1.46.1.2.1.4 “,检查重要网路区域不能部署在网络边界处且没有边界防护措施”应改为“ ,检查重要网路区域是否未部署在网络边界处且没有边界防护措施”。信息产业信息安全测评中心不采纳:标准原文表述更清晰。99. 6.1.2.2.1 6.1.2.2.1 测评对
39、象应该不是“ 加解密设备或组件”,采用校验码技术即可。信息产业信息安全测评中心部分采纳:修改测评测评实施,采用校验码技术。100. 7.1.2.5.1 7.1.2.5.1 判定与实施不符。信息产业信息安全测评中心采纳:调整测评实施中的测评对象。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注五、标准草案第四稿, 2016 年 8 月 25 日,WG5 工作组在研标准推进会,2016 年 8 月 26 日填写101. 6.2.4.9.1中国对于密码产品有专门的证书或报告,但是对于非密码产品中的密码模块并没有相关认定证书或报告,建议在标准中对密码模块检查进行明确,另外密码产品只
40、通过访谈检查力度较弱。IBM部分采纳:密码管理需要遵照国家密码管理规定,已调整密码管理检查力度,增加检查相关证书或报告环节。102. 全文 如果标准中只有一条测评实施,那么单项判定时不应该有部分符合的提法。 阿里巴巴采纳:已做调整。不采纳:六、标准草案第五稿,测评机构反馈意见,2016 年 9 月 6 日填写103. 前言、引 言 应该按照 GB/T 1.1-2009 要求编制成都市锐信安信息安全技术有限公司采纳:已经调整。七、标准草案第五稿,2016 年 9 月 8 日,评估中心大会议室,2016 年 9 月 9 日填写104. 全文 单元测评有标号,没有名称。中国信息安全认证中心/李嵩不采
41、纳:测评单元使用基本要求的要求项,无法命名。105. 全文 在术语定义中测评、测试、评估区分开中国信息安全认证中心/李嵩部分采纳:1. 有些评估源自基本要求。2. 部分已经调整,增加评估定义。106. 全文 很多单位安全策略不完善,或者没有贯彻下去,相关策略 中国信息 采纳:序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注不一致,因此要对安全策略进行整体分析,并做策略一致性检查。安全认证中心/李嵩在测评实施中完善相关内容。107. 全文 访谈的力度较弱,有些地方只有访谈,可考虑增加技术核查手段。中国信息安全认证中心/李嵩部分采纳:已经调整。108. 7.2.2.47.1.2
42、.1.4 中测评对象是网络拓扑图,实际中很多单位的网络拓扑图与真实环境不一致,应核查网络拓扑图与真实环境是否一致。中国信息安全认证中心/李嵩采纳:已经调整。109. 全文 附录里再做个附录,形成面向对象的测评单元汇总。中国信息安全认证中心/李嵩部分采纳。与第 132 条建议合并,增加相关汇总表。110. 全文标准中的测评单元与单元测评,都是指的单元,该如何区分,容易引起误解,最好进行定义,另外单项判定是否应为单元判定。国家信息中心/禄凯采纳。单项判定改为单元判定。111. 全文 标准中要求对所有用户身份标识进行检查,实际是否能够做到,建议慎用所有这种词。 国家信息中心/禄凯 采纳:已经调整。1
43、12. 全文整体测评的控制点间、层面间关联分析很难把握,标准中能否给出一个已知关联度表,用于指导开展整体测评工作。 国家信息中心/禄凯 部分采纳。调整部分文字描述。113. 全文 对描述结构“类层面控制点要求项”进行定义。汇报 PPT 中的类实际应该是安全层面。国家能源局信息中心/陈雪鸿不采纳。基本要求描述结构“层面(类)-控制点- 要求项”定义。114. 全文 有些测评对象写得太笼统,比如物理环境测评中测评对象都是机房,应进一步明确。国家能源局信息中心/陈雪鸿采纳。已经调整。115. 全文 新版等级测评报告已采用打分制,标准中单项判定是否也应该进行量化。 国家能源局信息中 部分采纳。相关内容
44、在测评过程指南中描述。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注心/陈雪鸿116. 全文 在术语中的检查与国家的安全检查容易混淆。国家能源局信息中心/陈雪鸿采纳。改为核查(verification ) ,增加核查定义。117. 全文 要求项一样,但不同级别中测评方法却不同,不太合理。国家能源局信息中心/陈雪鸿部分采纳。1. 部分调整描述。2. 级别不同测评实施有可能不同。118. 全文 测评对象的叫法不统一,网络通信类设备、网络安全类设备?中国电子科技集团公司第十五研究所/刘健采纳:已经调整。119. 全文 默认口令应该放在访问控制还是身份鉴别?中国电子科技集团公司第
45、十五研究所/刘健部分采纳:随基本要求修订。120. 参考资料 18336 评估准则已经发布最新版本了,应参考最新标准。中国电子科技集团公司第十五研究所/刘健采纳。已改为 18336.1-2015、18336.2-2015、18336.3-2015121. 全文 新标准将数据安全与应用安全合并了,但很多单位关注数据安全,是否将数据安全独立出来。国家信息技术安全研究中心/李蒙部分采纳。根据基本要求描述结构而来。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注122. 全文 标准中只有主体对客体的访问控制要求,客体对主体的访问控制是否也应说明。国家信息技术安全研究中心/李蒙部分采
46、纳。根据基本要求描述结构而来。123. 全文 对于 Linux 类系统,不安装防病毒软件这种特殊情况是否要指出来。国家信息技术安全研究中心/李蒙部分采纳。此类情况在测评中作为不适用提出。124. 全文 边界的概念很模糊,是网络边界还是区域边界,还是系统边界、应用边界。 北京工业大学/赵勇 部分采纳。根据基本要求描述结构而来。125. 全文 如何定义访问控制类设备,哪些属于访问控制类设备。 北京工业大学/赵勇 采纳:已经调整。126. 全文 标准结构集中管控的范围:是指管网络还是都管。 北京工业大学/赵勇 部分采纳。根据基本要求描述结构而来。127. 全文 网络设备自身安全去掉了,要求加到了主机
47、层面里了,建议单独说。 北京工业大学/赵勇 部分采纳。根据基本要求描述结构而来。128. 全文 网络架构部分中关于架构安全的只有一条,像无线管理、集中管理等都是架构安全。 北京工业大学/赵勇 部分采纳。根据基本要求描述结构而来。129. 全文 三级与四级之间的级差较少,在范围上能不能体现。 北京工业大学/赵勇采纳:通过测评实施的不同测评强度和广度来实现。130. 全文 对于非法外联,测评对象不应为准入设备,防垃圾邮件网关是否不用单独提出。 北京工业大学/赵勇部分采纳。对于非法外联,测评对象修改为终端管理系统。防垃圾邮件网关是基本要求中要求的。131. 全文 增加各级别汇总类大表索引,这样更清晰
48、些。 中国电子技术标准 采纳。增加对应表。序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注化研究院/刘贤刚132. 全文 标准中有力度,还有广度、深度,相互之间的关系,如何与基本要求对应。中国电子技术标准化研究院/刘贤刚采纳:基本要求维度为级差。测评通过测评广度和深度来体现测评要求级差。133. 全文 标准写法不统一,有的地方是访谈,有的是询问。中国电子技术标准化研究院/刘贤刚采纳。统一调整为访谈。134. 全文 单项测评结论中没有不适用,是否以后取消了不适用。阿里云信息技术有限公司/廖智杰不采纳。在等级测评实施工程中,才有可能出现不适用情况。135. 全文 将具体的测评对
49、象放在测评实施里,这样是否更清晰。阿里云信息技术有限公司/廖智杰部分采纳。调整测评对象的描述,使之更为明确;测评实施中部分做调整,明确测评对象。136. 全文测评实施有多个项,单项判定中为符合、不符合或部分符合,而访谈与检查的力度是不一样的,应该是检查结果比访谈结果更可信。阿里云信息技术有限公司/廖智杰阿里云信息技术有限公司/廖智杰部分采纳。在技术测评中,若访谈以了解为目的,则单项判定结果以检查结果为主(合并了解性) ;管理测评中,访谈结果与检查结果同时采纳。137. 全文 单项测评中有没有必要引入穿行测试? 阿里云信息技术有 不采纳。根据基本要求的描述结构,等级测评由单序号标 准条文号 意 见 内 容提出专家/提出单位 处理意见 备 注限公司/廖智杰项测评和整体测评组成,是由点到面到整体,穿行测试不适用于等级测评。138. 全文 测评单元与基本要求的文本号之间没有对应关系。阿里云信息技术有限公司/廖智杰采纳。以汇总表方式体现测评单元与基本要求条款的对应。139. 全文 进一步对照基本要求和设计要求修改,不要有矛盾。解放军信息安全测评中心/崔书昆采纳。已进行对照修改。140. 全文 文字进一步梳理,不要有歧义,不要词不达意。解放军信息安全测评中心/崔书昆采纳。已进行文字校对。八、标准草案
