信息安全系统技术网络安全系统等级保护测评要求第1部分安全系统通用要求意见处理表.docx
《信息安全系统技术网络安全系统等级保护测评要求第1部分安全系统通用要求意见处理表.docx》由会员分享,可在线阅读,更多相关《信息安全系统技术网络安全系统等级保护测评要求第1部分安全系统通用要求意见处理表.docx(53页珍藏版)》请在冰豆网上搜索。
信息安全系统技术网络安全系统等级保护测评要求第1部分安全系统通用要求意见处理表
标准草案意见汇总处理表
标准项目名称:
《信息安全技术信息系统安全等级保护测评要求》
又名:
《信息安全技术网络安全等级保护测评要求第1部分:
安全通用要求》
承办人:
广勇共26页
标准项目负责起草单位:
公安部信息安全等级保护评估中心电话:
序号
标准
条文号
意 见 容
提出专家
/提出单位
处理意见
备 注
一、标准草案第三稿,2016年5月23日,评估中心大会议室,2016年5月24日填写
1.
标准围
标准围应该包括容围和适用围,标准适用的围要描述清楚。
全国信息安全标准化技术委员会书昆
采纳:
在标准围部分明确了本标准的适应围。
2.
全文
严格按照基本要求国家标准编制测评要求标准,确保测评指标与基本要求指标一致。
海关总署科技司安全运行处宏图
采纳:
已根据最新版的基本要求国家标准进行了调整。
3.
全文
将标准全文的“性”和“性”统一为一个。
国家能源局信息中心安全处雪鸿
采纳:
已统一为性。
4.
全文
格式要符合GB/T1.1-2009。
国家新闻出版广电总局监管中心瑞芝
采纳:
已根据GB/T1.1-2009进行了修改。
5.
术语定义
术语定义要准确。
全国信息安全标准化技术委员会书昆
采纳:
已对术语定义进行了修改。
6.
全文
调整结构,去除不符合标准编写要求的悬置段。
国家新闻出版广电总局监管中心瑞芝
采纳:
已调整了全文中的悬置段。
7.
标准围
建议将“本标准适用于为……”改为“本标准适用于”。
信息产业信息安全测评中心健
采纳:
已改为“本标准适用于”。
8.
规性引用文件
规性引用文件要写上国标号。
信息产业信息安全测评中心健
采纳:
已在规性引用文件前加上国标号。
9.
全文
标题号数字过于细分,目录太深,标号需要调整。
海关总署科技司安全运行处宏图
采纳:
已对标准全文进行了调整。
10.
全文
文章中出现的一些词:
如关键、重要等一些词没有具体的定义。
通信研究院安全研究部副主任卜哲
不采纳:
关键、重要等不适用放在术语定义中。
11.
全文
建议添加英文缩略语章节,解释(如VPN)等专业缩略词。
中国农业银行原辉
不采纳:
安全相关专有名词,不需要在本标准中再次说明。
12.
4.1
4.1章节的测评框架说明,描述不通顺,需要修改。
全国信息安全标准化技术委员会书昆
采纳:
已对测评框架说明进行了调整。
13.
全文
建议给出测评指标测评指标编码规则说明,便于阅读标准。
中国农业银行原辉
采纳:
已在附录中给出编码规则说明。
14.
全文
岗位名称(如安全主管)尽量符合一般单位通常的称谓。
通信研究院安全研究部副主任卜哲
采纳:
已在标准中调整。
二、标准草案第四稿,2016年8月12日,瑞安宾馆第5会议室,2016年8月15日填写
15.
围
第一页1.围,“本标准规定了…..本标准适用于…...”,建议为“本部分…...”
国家信息中心蓓
采纳:
原为:
“本标准规定了…..本标准适用于…...”
改为:
“本部分规定了…..本部分适用于…...”
16.
术语和定义
安全等级保护测评的定义和方法放进术语里。
国家信息中心蓓
部分采纳:
改为:
定义放术语里,方法不适合放术语里。
17.
全文
“测评实施”中,如果测评实施项只有一项,不建议用1)。
国家信息技术安全研究中心建
采纳:
改为:
全文修改。
18.
全文
是否可以在标准中增加测评方法论,对测评围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。
中国信息安全认证中心嵩
部分采纳:
已经增加测评方法,其他在过程指南中解决。
19.
未对标准容进行提出意见,建议测评报告模板后续跟着新标准变动。
蒙
采纳:
测评报告模板后续跟着新标准变动。
20.
规性引用
规性引用注明最新版适用于本标准,已经注明了最新版只需要引用到22239.1就够了。
樊华
采纳:
已经调整。
21.
全文
身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。
樊华
不采纳:
密码强度各单位要求不一,不宜在标准中明确。
22.
8.2.4.5
8.2.4.5章节,漏洞和风险管理中,漏洞和风险管理不止在运维方面,而是在信息系统全生命周期存在。
在前面的容中也应该考虑。
林值
采纳:
随基本要求修订
23.
8.1.4
8.1.2.6和8.1.3.5中提到了恶意代码防容,8.1.4应用安全里也应该增加恶意代码防容。
恶意代码只是一部分,建议增加其他的漏洞问题。
林值
采纳:
随基本要求修订
24.
8.1.4
是否应该增加源代码检测和二进制代码检测。
林值
不采纳:
标准中已有源代码检测要求。
三、标准草案第四稿,截止2016年8月22日,WG5工作组成员单位征求意见,2016年8月23日填写
25.
前言和引言
前言和引言,容有些交差,系列标准结构适合放在前言当中。
引言重点写三要性和背景。
蚂蚁小微金融服务集团
不采纳:
标准编制有规定格式要求,本标准满足相关要求。
26.
术语和定义
3术语和定义应当按照GB1.1格式编写
蚂蚁小微金融服务集团
采纳:
已经调整。
27.
8.1.1.4.28.1.1.5.2
8.1.1.4.28.1.1.5.2等建议根据信息系统不同等级要求明确对应的防雷、耐火材料等方面的等级要求,使之符合分等级保护的思想。
蚂蚁小微金融服务集团
不采纳:
防雷、耐火材料等属于基础设施建设相关畴。
28.
8.1.3.3、8.1.3.4
8.1.3.3、8.1.3.4等上述几个条款的测评对象应包含网络设备和安全设备
蚂蚁小微金融服务集团
采纳:
已经调整。
29.
附录B
附录B应为规性附录,严格规
蚂蚁小微金融服务集团
采纳:
修改为规性附录
30.
5.1.1.3.1
5.1.1.3.1防雷击,设备接地测评判定,建议检测接地电阻。
比如:
直接搭接的直流电阻不大于10mΩ。
可参考电磁兼容性EMC标准。
中新赛克科技有限责任公司
不采纳:
机房或大楼建设有相关标准要求,建设完成后应有验收文档,这里采信验收文档即可。
31.
6.1.1.7
6.1.1.7防静电,设备接地测评判定,同上。
中新赛克科技有限责任公司
不采纳:
机房建设有相关标准要求,建设完成后应有验收文档,这里采信验收文档即可。
32.
6.2.3.3.2
6.2.3.3.2(7.2.3.3.2、8.2.3.3.2)测评单元
c)测评实施
1)应访谈建设负责人,询问是否采用了密码产品,密码产品的采购和使用是否符合国家密码主管部门的要求。
建议修改为:
1)检查是否使用了密码产品;如使用,检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。
IBM
采纳:
随基本要求变动进行修订。
33.
6.2.4.9
6.2.4.9(7.2.4.9、8.2.4.9)密码管理
a)测评指标
应使用符合国家密码管理规定的密码技术和产品;
c)测评实施
1)应访谈安全管理员,询问是否使用了密码产品,密码技术和产品的使用是否遵照国家密码管理规定。
建议修改为:
修改基本要求的相应部分并引用。
1)检查是否使用了密码产品;如使用,检查该密码产品是否获得有效的国家密码管理规定的密码产品型号证书。
2)检查网络安全产品中是否使用了密码模块;如使用,检查该密码模块是否具有国家密码管理规定的密码模块检测报告。
IBM
采纳:
随基本要求变动进行修订。
34.
7.2.4.7
7.2.4.7恶意代码防管理,缺少相对应的对可信计算技术的管理要求。
IBM
采纳:
随基本要求变动进行修订。
35.
8.2.4.7
8.2.4.7恶意代码防管理,在“基本要求”标准中,要求只能采用可信计算技术,而此处却只有查杀病毒方面的要求。
IBM
采纳:
随基本要求变动进行修订。
四、标准草案第四稿,截止2016年8月22日,等级测评机构反馈意见,2016年8月23日填写
36.
第4章
第4章中出现“等级保护测评”、“安全等级保护测评”、“等级测评”名词,建议在第3章中明确其定义,并在全文使用中进行统一。
电力行业信息安全等级保护测评中心第四实验室
采纳:
全文调整。
37.
4.2
第4.2节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释,因此建议将“等级保护测评实施的基本方法是针对特定的测评对象……”修改为“等级保护测评实施是针对特定的测评对象……”,并将“……给出达到特定级别安全保护能力的评判”修改为“……给出是否达到特定级别安全保护能力的评判”。
而且这段容与4.1节容有重叠,可以考虑合并。
电力行业信息安全等级保护测评中心第四实验室
部分采纳:
已做调整。
38.
4.2
4.3
建议将4.2节和4.3节交换顺序,并将原4.2节中关于“单项测评”的相关容合并到原4.3节中。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整,将4.2节和4.3节进行了合并。
39.
7.1.2.4.2
第7.1.2.4.2节测评实施第1)条,建议修改为“应检查设备访问控制策略,访谈安全管理员每一条策略的用途,查看是否不存在多余或无效的访问控制策略”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
40.
7.1.3.2.4
第7.1.3.2.4节测评实施的第2)条,与测评指标无关,建议修改为“应检查管理用户权限是否为其工作任务所需的最小权限”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
41.
7.1.3.3.4
第7.1.3.3.4节测评实施中,建议不要列出测评对象“服务器操作系统和数据库管理系统”,与“b)测评对象无法对应”,在理解上容易混淆。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
42.
7.1.3.4.2
第7.1.3.4.2节测评实施中第2)条,建议修改为“应确认是否已关闭非必要的高危端口”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
43.
7.1.3.4.4
第7.1.3.4.4节测评实施中第1)条,建议修改为“应进行漏洞扫描,检查是否不存在高风险漏洞”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
44.
7.1.4.1.1
第7.1.4.1.1节测评实施第5)条,建议修改为“应检查用户配置信息或访谈应用系统管理员,查看是否不存在空密码用户”
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
45.
7.1.4.2.5
第7.1.4.2.5节测评实施第3)条,建议修改为“应测试用户是否不存在可越权访问情形”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
46.
10.1
第10.1节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。
”中“其”理解上容易有歧义,建议修改为“单个控制点中”。
电力行业信息安全等级保护测评中心第四实验室
采纳:
已做调整。
47.
10.3
10.4
第10.3和10.4节中第2段容均只给出了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,该安全控制点的测评结论应调整为符合”的情况,那如果在安全控制点间和层面间分析时发现不能完全形成弥补效果,即相应控制点测评结论无法调整为符合时应该怎么处理?
是否也应该在此说明?
电力行业信息安全等级保护测评中心第四实验室
不采纳:
“安全控制点、安全控制点间、层面间”测评是并列关系,有一个不符合则该控制点为不符合。
48.
5.1.1
建议机房安全的测评对象可细化到机房的对应设施。
金盾超
不采纳:
标准粒度不宜过于细化
49.
6.1.1.2.1
6.1.1.2.1测评单元(L2-PES1-03)C)测评实施中1)和2)感觉容上有重复,建议删掉一条,再增加一条对专人值守记录或机房人员进出记录验证的条款。
金盾超
采纳:
已做调整。
50.
6.1.1.2.2
6.1.1.2.2测评单元(L2-PES1-04)c)测评实施中建议对监控记录进行细化,明确监控记录需包含哪些容,如人员进出记录、视频监控记录等,如果这里包含了人员进出记录那么上面6.1.1.2.1一条建议就可不必修改。
金盾超
不采纳:
具体监控容由各单位自行定义,需针对不同对象分别设置,如厂商人员和检查人员的监控容就不一样。
51.
7.1.1.3.3
建议7.1.1.3.3测评单元(L3-PES1-06)C)测评实施中增加监控视频可回放时间要求,如至少90天。
金盾超
不采纳:
监控视频保存时间由各单位自行要求。
52.
11.3
建议11.3中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。
金盾超
不采纳:
测评流程中已明确,先进行整体测评,然后才能给出测评结论。
53.
第9章
测评实施及单项判断中未明确一票否决项,即哪一分项不符合则该指标项直接判定为不符合。
神舟信息安全评估中心
不采纳:
单项判定已明确哪些是必须要做到。
54.
全文
网络设备“安全审计”部分归入“网络和通信安全”层面,但“身份鉴别”等层面确归入“设备与计算安全层面”,现场测评与结果记录如何明确?
神舟信息安全评估中心
不采纳:
本标准根据基本要求条款编制。
55.
7.1.1.1.2a)
7.1.1.1.2a)机房场地应避免设在建筑物的顶层或地下室,否则应加强防水和防潮措施。
建议增加一个指标项:
UPS电池间应采取承重加固。
神舟信息安全评估中心
不采纳:
机房承重加固等属于基础设施建设相关畴。
56.
7.1.1.2.1c)
7.1.1.2.1c)-2)应检查电子门禁系统是否可以鉴别、记录进入的人员信息。
建议增加应检查门禁系统最长保存的记录时间,门禁系统记录数据是否保存3个月。
神舟信息安全评估中心
部分采纳:
增加应检查门禁系统记录数据的保存时间。
具体保存时间各单位要求不一样,不做规定,或建议至少保存3个月。
57.
7.1.1.3.1c)
7.1.1.3.1c)-1)应检查机房设备或主要部件是否固定;2)应检查机房设备或主要部件上是否设置了明显且不易除去的标记。
建议机房设备或主要部件应明确包含通信线缆。
神舟信息安全评估中心
不采纳:
标准中主要部件不宜一一列举。
58.
7.1.1.3.2c)
7.1.1.3.2c)-1)应检查机房通信线缆是否铺设在隐蔽处。
建议调整,因为通信线缆除了可铺设在隐蔽处(地下或管道中),还应允许铺设在桥架中。
神舟信息安全评估中心
采纳:
调整为应检查机房通信线缆是否铺设在隐蔽处或桥架中。
59.
7.1.1.3.3a)
7.1.1.3.3a)应设置机房防盗报警系统或设置有专人值守的视频监控系统。
建议改为“机房应设置视频监控系统,并设置防盗报警系统或安排专人值守”。
神舟信息安全评估中心
不采纳:
修改建议变成了必须要求有视频监控系统,违背了标准原要求。
60.
7.1.1.3.3c)
7.1.1.3.3c)-2)应检查防盗报警系统或视频监控系统是否启用。
建议明确监控记录保存时间。
神舟信息安全评估中心
不采纳:
由其他标准规定。
61.
7.1.1.5.3c)
7.1.1.5.3c)-1)应访谈机房管理员是否进行了区域划分;建议增加细则要求,例如UPS电池应与重要设备一定要设置防火隔离措施。
神舟信息安全评估中心
不采纳:
标准的7.1.1.5.3已做要求。
62.
7.1.1.9.2a)
7.1.1.9.2a)应提供短期的备用电力供应,至少满足设备在断电情况下的正常运行要求;建议明确备用供电时间,例如2小时。
神舟信息安全评估中心
不采纳:
备用供电时间与设备规模密切相关,各单位对断电事故的容忍度不一。
63.
7.1.2.1.4c)
7.1.2.1.4c)-1)应访谈网络管理员并查看网络拓扑图,检查重要网路区域不能部署在网络边界处且直接连接外部等级保护对象;建议将网路改为“网络”。
神舟信息安全评估中心
采纳:
已做调整。
64.
7.1.2.3.2a)
7.1.2.3.2a)应能够对非授权设备私自联到部网络的行为进行限制或检查;建议改为“应能够对非授权设备私自联到部网络的行为进行检查和限制;”
神舟信息安全评估中心
不采纳:
这是基本要求原条款要求。
65.
7.1.2.3.3a)
7.1.2.3.3a)应能够对部用户私自联到外部网络的行为进行限制或检查;建议改为“应能够对部用户私自联到外部网络的行为进行检查和限制;”
神舟信息安全评估中心
不采纳:
这是基本要求原条款要求。
66.
7.1.2.8.1b)
7.1.2.8.1b)安全管理员和网络拓扑图。
建议增加“安全管理系统”
神舟信息安全评估中心
不采纳:
无法定义安全管理系统。
67.
7.1.2.8.4a)
7.1.2.8.4a)应对分散在各个设备上的审计数据进行收集汇总和集中分析;建议明确审计数据保存时间。
神舟信息安全评估中心
不采纳:
标准要求的是进行收集汇总和集中分析。
68.
7.1.3.1.1c)
7.1.3.1.1c)-4)应检查用户鉴别信息是否具有复杂度要求并定期更换。
建议明确复杂度具体要求,如口令长度,数字、字母、字符组合;明确定期更换时间。
神舟信息安全评估中心
不采纳:
口令复杂度不宜在标准中固定,需根据技术的发展而调整。
69.
7.1.3.4.1a)
7.1.3.4.1a)应遵循最小安装的原则,仅安装需要的组件和应用程序。
建议增加安装安全补丁。
神舟信息安全评估中心
不采纳:
安全补丁在7.1.3.4.4部分已做要求。
70.
7.1.3.5.1c)
7.1.3.5.1c)-1)应查看防恶意代码工具的安装和使用情况,或查看是否采用可信计算技术建立从系统到应用的信任链;建议列举可信计算技术具体实现的方式。
神舟信息安全评估中心
不采纳:
可信计算技术具体实现的方式不是本标准围。
71.
7.1.3.6
7.1.3.6资源控制。
建议增加一个测评指标:
应根据安全策略设置登录终端的操作超时锁定。
神舟信息安全评估中心
不采纳:
标准中已有相关要求。
72.
7.1.4.1.1c)
7.1.4.1.1c)-4)应检查鉴别信息是否具有复杂度要求并定期更换;建议明确口令复杂度要求和更换时间。
神舟信息安全评估中心
不采纳:
口令复杂度不宜在标准中固定,需根据技术的发展而调整。
73.
7.1.4.1.4d)
7.1.4.1.4d)如果1)-2)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
建议改为1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
神舟信息安全评估中心
采纳:
改为1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。
74.
7.1.4.3.4a)
7.1.4.3.4a)应对审计进程进行保护,防止XX的中断;应用系统通常无审计进程,建议改指标项删除。
神舟信息安全评估中心
不采纳:
应用系统审计进程可以和系统进程在一起。
75.
7.2.2.2.1c)
7.2.2.2.1c)-1)应访谈信息安全主管,确认各岗位人员配备情况;建议明确人员配备最低的要求。
神舟信息安全评估中心
不采纳:
人员配备最低要求由单位根据实际设置,标准要求有专职人员。
76.
7.2.4.1
7.2.4.1环境管理。
建议对环境管理的机房管理员应明确机房管理员的专业技能,特别是部分基础设施和设备的使用操作。
神舟信息安全评估中心
不采纳:
标准中7.2.2.6和7.2.2.8对人员能力有要求。
77.
7.2.4.1.1c)
7.2.4.1.1c)-1)应访谈物理安全负责人,询问是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护,由何部门/何人负责;建议增加“查看机房基础设施的巡检记录”要求。
神舟信息安全评估中心
不采纳:
测评实施最后一条已做要求。
78.
7.2.4.2.2a)
7.2.4.2.2a)应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;资产的围太广泛,此处应重点强调信息系统相关的资产(含实体设备、信息资产及数据资产)。
神舟信息安全评估中心
不采纳:
标准指的就是信息系统相关资产。
79.
7.2.4.12
7.2.4.12安全事件处置。
建议应保留原测评指标“应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;”;等级保护定义中就明确了安全事件分级管理,这是国家信息安全保障体系中的重要环节,也是各单位在事件响应时如何界定和资源投入的关键指导。
神舟信息安全评估中心
不采纳:
根据基本要求进行调整。
80.
5.1.1.4
5.1.1.4建议增加对灭火设备放置位置的检查容。
信息产业信息安全测评中心
不采纳:
放置位置是否有机房场地建设相关标准来规。
81.
5.1.2.2
5.1.2.2建议增加测试容,可以分析传输数据。
信息产业信息安全测评中心
部分采纳:
二级、三级、四级增加传输数据测试相关容。
82.
5.1.2.3
5.1.2.3第3),应为“是否没有其他未受控端口进行跨越边界的网络通信”。
信息产业信息安全测评中心
采纳:
调整为3)应访谈安全管理员或检查设备配置信息,是否不存在其他未受控端口进行跨越边界的网络通信。
83.
5.1.3.1.2
5.1.3.1.2第1)项应该是包含2)、3)吧?
是否重复了?
限制非法登录次数后的处理机制不仅仅是锁定账户,还可以锁定IP、锁定账户一段时间等,建议写成开放性说法:
“配置了非法登录次数阈值及启用了锁