信息安全技术 网络安全等级保护测评要求 第 部分 安全通用要求 意见处理表.docx

1、信息安全技术 网络安全等级保护测评要求 第 部分 安全通用要求 意见处理表标准草案意见汇总处理表标准项目名称：信息安全技术 信息系统安全等级保护 测评要求 又名：信息安全技术 网络安全等级保护测评要求 第1部分：安全通用要求 承办人：陈广勇 共 26 页标准项目负责起草单位：公安部信息安全等级保护评估中心 电 话： 序号标 准条文号意见内容提出专家/提出单位处理意见备注一、标准草案第三稿，2016年5月23日，评估中心大会议室，2016年5月24日填写标准范围标准范围应该包括内容范围和适用范围，标准适用的范围要描述清楚。全国信息安全标准化技术委员会崔书昆采纳：在标准范围部分明确了本标准的适应范

2、围。全文严格按照基本要求国家标准编制测评要求标准，确保测评指标与基本要求指标一致。海关总署科技司安全运行处李宏图采纳：已根据最新版的基本要求国家标准进行了调整。全文将标准全文的“机密性”和“保密性”统一为一个。国家能源局信息中心安全处陈雪鸿采纳：已统一为保密性。全文格式要符合GB/T 1.1-2009。国家新闻出版广电总局监管中心张瑞芝采纳：已根据GB/T 1.1-2009进行了修改。术语定义术语定义要准确。全国信息安全标准化技术委员会崔书昆采纳：已对术语定义进行了修改。全文调整结构，去除不符合标准编写要求的悬置段。国家新闻出版广电总局监管中心张瑞芝采纳：已调整了全文中的悬置段。标准范围建议将

3、“本标准适用于为”改为“本标准适用于”。信息产业信息安全测评中心刘 健采纳：已改为“本标准适用于”。规范性引用文件规范性引用文件要写上国标号。信息产业信息安全测评中心刘 健采纳：已在规范性引用文件前加上国标号。全文标题号数字过于细分，目录太深，标号需要调整。海关总署科技司安全运行处李宏图采纳：已对标准全文进行了调整。全文文章中出现的一些词：如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜 哲不采纳：关键、重要等不适用放在术语定义中。全文建议添加英文缩略语章节，解释（如VPN）等专业缩略词。中国农业银行范原辉不采纳：安全相关专有名词，不需要在本标准中再次说明。4.14.1章节的测

4、评框架说明，描述不通顺，需要修改。全国信息安全标准化技术委员会崔书昆采纳：已对测评框架说明进行了调整。全文建议给出测评指标测评指标编码规则说明，便于阅读标准。中国农业银行范原辉采纳：已在附录中给出编码规则说明。全文岗位名称（如安全主管）尽量符合一般单位通常的称谓。通信研究院安全研究部副主任卜 哲采纳：已在标准中调整。二、标准草案第四稿，2016年8月12日，北京瑞安宾馆第5会议室，2016年8月15日填写范围第一页1.范围，“本标准规定了.本标准适用于.”，建议为“本部分.”国家信息中心刘蓓采纳：原为：“本标准规定了.本标准适用于.”改为：“本部分规定了.本部分适用于.”术语和定义安全等级保护

5、测评的定义和方法放进术语里。国家信息中心刘蓓部分采纳：改为：定义放术语里，方法不适合放术语里。全文“测评实施”中，如果测评实施项只有一项，不建议用1）。国家信息技术安全研究中心李建采纳：改为：全文修改。全文是否可以在标准中增加测评方法论，对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩部分采纳：已经增加测评方法，其他在过程指南中解决。未对标准内容进行提出意见，建议测评报告模板后续跟着新标准变动。李蒙采纳：测评报告模板后续跟着新标准变动。规范性引用规范性引用注明最新版适用于本标准，已经注明了最新版只需要引用到22239.1就够了。樊华采纳：已经调整

6、。全文身份鉴别测试实施方面，身份鉴别的保护机制是否要加入测试，例如是否在RSA的密码强度是否有要求，如256位和512位是否都满足。樊华不采纳：密码强度各单位要求不一，不宜在标准中明确。林值采纳：随基本要求修订8.1.4林值采纳：随基本要求修订8.1.4是否应该增加源代码检测和二进制代码检测。林值不采纳：标准中已有源代码检测要求。三、标准草案第四稿，截止2016年8月22日，WG5工作组成员单位征求意见，2016年8月23日填写前言和引言前言和引言，内容有些交差，系列标准结构适合放在前言当中。引言重点写三要性和背景。浙江蚂蚁小微金融服务集团有限公司不采纳：标准编制有规定格式要求，本标准满足相关

7、要求。术语和定义3术语和定义应当按照GB1.1格式编写浙江蚂蚁小微金融服务集团有限公司采纳：已经调整。浙江蚂蚁小微金融服务集团有限公司不采纳：防雷、耐火材料等属于基础设施建设相关范畴。浙江蚂蚁小微金融服务集团有限公司采纳：已经调整。附录B附录B应为规范性附录，严格规范浙江蚂蚁小微金融服务集团有限公司采纳：修改为规范性附录南京中新赛克科技有限责任公司不采纳：机房或大楼建设有相关标准要求，建设完成后应有验收文档 ，这里采信验收文档即可。南京中新赛克科技有限责任公司不采纳：机房建设有相关标准要求，建设完成后应有验收文档 ，这里采信验收文档即可。IBM采纳：随基本要求变动进行修订。IBM采纳：随基本要

8、求变动进行修订。IBM采纳：随基本要求变动进行修订。IBM采纳：随基本要求变动进行修订。四、标准草案第四稿，截止2016年8月22日，等级测评机构反馈意见，2016年8月23日填写第4章第4章中出现 “等级保护测评”、“安全等级保护测评”、“等级测评”名词，建议在第3章中明确其定义，并在全文使用中进行统一。电力行业信息安全等级保护测评中心第四实验室采纳：全文调整。4.2第4.2节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释，因此建议将“等级保护测评实施的基本方法是针对特定的测评对象”修改为“等级保护测评实施是针对特定的测评对象”，并将“给出达到特定级别安全保护能力的评判”修改为

9、“给出是否达到特定级别安全保护能力的评判”。而且这段内容与4.1节内容有重叠，可以考虑合并。电力行业信息安全等级保护测评中心第四实验室部分采纳：已做调整。4.24.3 建议将4.2节和4.3节交换顺序，并将原4.2节中关于“单项测评”的相关内容合并到原4.3节中。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整，将4.2节和4.3节进行了合并。不存在多余或无效的访问控制策略”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。“应确认是否已关闭非必要的高危端口”。

10、电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。“应进行漏洞扫描，检查是否不存在高风险漏洞”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。“应检查用户配置信息或访谈应用系统管理员，查看是否不存在空密码用户”电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。10.1第10.1节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。”中“其”理解上容易有歧义，建议修改为“单个控制点中”。电力行业信息安全等级保护测评中心第四实验室采纳：已做调整。10.310.4第10.3和10.4节中第2段内容均只给出

11、了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失，该安全控制点的测评结论应调整为符合”的情况，那如果在安全控制点间和层面间分析时发现不能完全形成弥补效果，即相应控制点测评结论无法调整为符合时应该怎么处理？是否也应该在此说明？电力行业信息安全等级保护测评中心第四实验室不采纳：“安全控制点、安全控制点间、层面间”测评是并列关系，有一个不符合则该控制点为不符合。5.1.1建议机房安全的测评对象可细化到机房内的对应设施。江苏金盾杨超不采纳：标准粒度不宜过于细化江苏金盾杨超采纳：已做调整。江苏金盾杨超不采纳：具体监控内容由各单位自行定义，需针对不同对象分别设置，如厂商

12、人员和检查人员的监控内容就不一样。江苏金盾杨超不采纳：监控视频保存时间由各单位自行要求。11.3建议11.3中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。江苏金盾杨超不采纳：测评流程中已明确，先进行整体测评，然后才能给出测评结论。第9章测评实施及单项判断中未明确一票否决项，即哪一分项不符合则该指标项直接判定为不符合。江西神舟信息安全评估中心有限公司不采纳：单项判定已明确哪些是必须要做到。全文网络设备“安全审计”部分归入“网络和通信安全”层面，但“身份鉴别”等层面确归入“设备与计算安全层面”，现场测评与结果记录如何明确？江西神舟信息安全评估中心有限公司不采纳：本标准根据基本要求条

13、款编制。江西神舟信息安全评估中心有限公司不采纳：机房承重加固等属于基础设施建设相关范畴。江西神舟信息安全评估中心有限公司部分采纳：增加应检查门禁系统记录数据的保存时间。具体保存时间各单位要求不一样，不做规定，或建议至少保存3个月。江西神舟信息安全评估中心有限公司不采纳：标准中主要部件不宜一一列举。江西神舟信息安全评估中心有限公司采纳：调整为 应检查机房内通信线缆是否铺设在隐蔽处或桥架中。江西神舟信息安全评估中心有限公司不采纳：修改建议变成了必须要求有视频监控系统，违背了标准原要求。江西神舟信息安全评估中心有限公司不采纳：由其他标准规定。江西神舟信息安全评估中心有限公司不采纳：标准的做要求。江西

14、神舟信息安全评估中心有限公司不采纳：备用供电时间与设备规模密切相关，各单位对断电事故的容忍度不一。江西神舟信息安全评估中心有限公司采纳：已做调整。江西神舟信息安全评估中心有限公司不采纳:这是基本要求原条款要求。江西神舟信息安全评估中心有限公司不采纳：这是基本要求原条款要求。江西神舟信息安全评估中心有限公司不采纳：无法定义安全管理系统。江西神舟信息安全评估中心有限公司不采纳：标准要求的是进行收集汇总和集中分析。江西神舟信息安全评估中心有限公司不采纳：口令复杂度不宜在标准中固定，需根据技术的发展而调整。江西神舟信息安全评估中心有限公司不采纳：安全补丁在部分已做要求。江西神舟信息安全评估中心有限公司

15、不采纳：可信计算技术具体实现的方式不是本标准范围。江西神舟信息安全评估中心有限公司不采纳：标准中已有相关要求。江西神舟信息安全评估中心有限公司不采纳：口令复杂度不宜在标准中固定，需根据技术的发展而调整。江西神舟信息安全评估中心有限公司采纳：改为1）或2）为肯定，则等级保护对象符合本单项测评指标要求，否则，等级保护对象不符合或部分符合本单项测评指标要求。江西神舟信息安全评估中心有限公司不采纳：应用系统审计进程可以和系统进程在一起。江西神舟信息安全评估中心有限公司不采纳：人员配备最低要求由单位根据实际设置，标准要求有专职人员。江西神舟信息安全评估中心有限公司不采纳：标准中江西神舟信息安全评估中心有

16、限公司不采纳：测评实施最后一条已做要求。江西神舟信息安全评估中心有限公司不采纳：标准指的就是信息系统相关资产。江西神舟信息安全评估中心有限公司不采纳：根据基本要求进行调整。信息产业信息安全测评中心不采纳：放置位置是否有机房场地建设相关标准来规范。信息产业信息安全测评中心部分采纳：二级、三级、四级增加传输数据测试相关内容。信息产业信息安全测评中心采纳：调整为3) 应访谈安全管理员或检查设备配置信息，是否不存在其他未受控端口进行跨越边界的网络通信。信息产业信息安全测评中心采纳：判定应该为或的关系，不是且关系，调整为：去掉1），调整2）为配置了非法登录次数阈值及启用了锁定账户等处置措施。保留3）。判

17、定改为1）或2）为肯定。信息产业信息安全测评中心不采纳：权限分配在第三级有专门条款，1）为访谈，2）为测试，判定没有问题。信息产业信息安全测评中心采纳：调整为1）或2）为肯定。信息产业信息安全测评中心采纳：调整为2) 应确认是否已经关闭非必要的组件和应用程序。信息产业信息安全测评中心不采纳：高危端口是基本要求中的提法。信息产业信息安全测评中心采纳：测评实施调整为1) 应查看防恶意代码工具的安装和使用情况，检查是否定期进行升级和更新防恶意代码库。信息产业信息安全测评中心不采纳：标准原文不存在问题。全文全文，个人认为将“空密码用户”改为“不需要鉴别的用户”更严谨。信息产业信息安全测评中心不采纳：空

18、密码用户更便于理解。信息产业信息安全测评中心不采纳：1）测评的是有安全措施，3）测评的是具体的安全措施。信息产业信息安全测评中心采纳已调整顺序。信息产业信息安全测评中心不采纳：标准内容是或的关系，不是必要条件。信息产业信息安全测评中心采纳：已调整为句号结尾。信息产业信息安全测评中心采纳：调整为2) 应检查相关审批记录或流程，查看是否对申请账户、建立账户、删除账户等进行控制。信息产业信息安全测评中心采纳：判定调整为如果2）为肯定，信息产业信息安全测评中心不采纳：网络划分原则各单位不一，标准无法给出统一原则。信息产业信息安全测评中心不采纳：标准原文表述更清晰。信息产业信息安全测评中心部分采纳：修改

19、测评测评实施，采用校验码技术。信息产业信息安全测评中心采纳：调整测评实施中的测评对象。五、标准草案第四稿， 2016年8月25日，WG5工作组在研标准推进会，2016年8月26日填写中国对于密码产品有专门的证书或报告，但是对于非密码产品中的密码模块并没有相关认定证书或报告，建议在标准中对密码模块检查进行明确，另外密码产品只通过访谈检查力度较弱。IBM部分采纳：密码管理需要遵照国家密码管理规定，已调整密码管理检查力度，增加检查相关证书或报告环节。全文如果标准中只有一条测评实施，那么单项判定时不应该有部分符合的提法。阿里巴巴采纳：已做调整。不采纳：六、标准草案第五稿，测评机构反馈意见，2016年9

20、月6日填写前言、引言应该按照GB/T 1.1-2009要求编制成都市锐信安信息安全技术有限公司采纳：已经调整。七、标准草案第五稿，2016年9月8日，评估中心大会议室，2016年9月9日填写全文单元测评有标号，没有名称。中国信息安全认证中心/李嵩不采纳：测评单元使用基本要求的要求项，无法命名。全文在术语定义中测评、测试、评估区分开中国信息安全认证中心/李嵩部分采纳：1. 有些评估源自基本要求。2. 部分已经调整，增加评估定义。全文很多单位安全策略不完善，或者没有贯彻下去，相关策略不一致，因此要对安全策略进行整体分析，并做策略一致性检查。中国信息安全认证中心/李嵩采纳：在测评实施中完善相关内容。

21、全文访谈的力度较弱，有些地方只有访谈，可考虑增加技术核查手段。中国信息安全认证中心/李嵩部分采纳：已经调整。7.1.2.1.4中测评对象是网络拓扑图，实际中很多单位的网络拓扑图与真实环境不一致，应核查网络拓扑图与真实环境是否一致。中国信息安全认证中心/李嵩采纳：已经调整。全文附录里再做个附录，形成面向对象的测评单元汇总。中国信息安全认证中心/李嵩部分采纳。与第132条建议合并，增加相关汇总表。全文标准中的测评单元与单元测评，都是指的单元，该如何区分，容易引起误解，最好进行定义，另外单项判定是否应为单元判定。国家信息中心/禄凯采纳。单项判定改为单元判定。全文标准中要求对所有用户身份标识进行检查，

22、实际是否能够做到，建议慎用所有这种词。国家信息中心/禄凯采纳：已经调整。全文整体测评的控制点间、层面间关联分析很难把握，标准中能否给出一个已知关联度表，用于指导开展整体测评工作。国家信息中心/禄凯部分采纳。调整部分文字描述。全文对描述结构“类层面控制点要求项”进行定义。汇报PPT中的类实际应该是安全层面。国家能源局信息中心/陈雪鸿不采纳。基本要求描述结构“层面（类）-控制点-要求项”定义。全文有些测评对象写得太笼统，比如物理环境测评中测评对象都是机房，应进一步明确。国家能源局信息中心/陈雪鸿采纳。已经调整。全文新版等级测评报告已采用打分制，标准中单项判定是否也应该进行量化。国家能源局信息中心/

23、陈雪鸿部分采纳。相关内容在测评过程指南中描述。全文在术语中的检查与国家的安全检查容易混淆。国家能源局信息中心/陈雪鸿采纳。改为核查（verification），增加核查定义。全文要求项一样，但不同级别中测评方法却不同，不太合理。国家能源局信息中心/陈雪鸿部分采纳。1. 部分调整描述。2. 级别不同测评实施有可能不同。全文测评对象的叫法不统一，网络通信类设备、网络安全类设备？中国电子科技集团公司第十五研究所/刘健采纳：已经调整。全文默认口令应该放在访问控制还是身份鉴别？中国电子科技集团公司第十五研究所/刘健部分采纳：随基本要求修订。参考资料18336评估准则已经发布最新版本了，应参考最新标准。中

24、国电子科技集团公司第十五研究所/刘健采纳。已改为 18336.1-2015、18336.2-2015、18336.3-2015全文新标准将数据安全与应用安全合并了，但很多单位关注数据安全，是否将数据安全独立出来。国家信息技术安全研究中心/李蒙部分采纳。根据基本要求描述结构而来。全文标准中只有主体对客体的访问控制要求，客体对主体的访问控制是否也应说明。国家信息技术安全研究中心/李蒙部分采纳。根据基本要求描述结构而来。全文对于Linux类系统，不安装防病毒软件这种特殊情况是否要指出来。国家信息技术安全研究中心/李蒙部分采纳。此类情况在测评中作为不适用提出。全文边界的概念很模糊，是网络边界还是区域边

25、界，还是系统边界、应用边界。北京工业大学/赵勇部分采纳。根据基本要求描述结构而来。全文如何定义访问控制类设备，哪些属于访问控制类设备。北京工业大学/赵勇采纳：已经调整。全文标准结构集中管控的范围：是指管网络还是都管。北京工业大学/赵勇部分采纳。根据基本要求描述结构而来。全文网络设备自身安全去掉了，要求加到了主机层面里了，建议单独说。北京工业大学/赵勇部分采纳。根据基本要求描述结构而来。全文网络架构部分中关于架构安全的只有一条，像无线管理、集中管理等都是架构安全。北京工业大学/赵勇部分采纳。根据基本要求描述结构而来。全文三级与四级之间的级差较少，在范围上能不能体现。北京工业大学/赵勇采纳：通过测

26、评实施的不同测评强度和广度来实现。全文对于非法外联，测评对象不应为准入设备，防垃圾邮件网关是否不用单独提出。北京工业大学/赵勇部分采纳。对于非法外联，测评对象修改为终端管理系统。防垃圾邮件网关是基本要求中要求的。全文增加各级别汇总类大表索引，这样更清晰些。中国电子技术标准化研究院/刘贤刚采纳。增加对应表。全文标准中有力度，还有广度、深度，相互之间的关系，如何与基本要求对应。中国电子技术标准化研究院/刘贤刚采纳：基本要求维度为级差。测评通过测评广度和深度来体现测评要求级差。全文标准写法不统一，有的地方是访谈，有的是询问。中国电子技术标准化研究院/刘贤刚采纳。统一调整为访谈。全文单项测评结论中没有不适用，是否以后取消了不适用。阿里云信息技术有限公司/廖智杰不采纳。在等级测评实施工程中，才有可能出现不适用情况。全文将具体的测评对象放在测评实施里，这样是否更清晰。阿里云信息技术有限公司/廖智杰部分采纳。调整测评对象的描述，使之更为明确；测评