1、海关总署科技司安全运行处李宏图已根据最新版的基本要求国家标准进行了调整。将标准全文的“机密性”和“保密性”统一为一个。国家能源局信息中心安全处陈雪鸿已统一为保密性。格式要符合GB/T 1.1-2009。国家新闻出版广电总局监管中心张瑞芝已根据GB/T 1.1-2009进行了修改。术语定义术语定义要准确。已对术语定义进行了修改。调整结构,去除不符合标准编写要求的悬置段。已调整了全文中的悬置段。建议将“本标准适用于为”改为“本标准适用于”。信息产业信息安全测评中心刘 健已改为“本标准适用于”。规范性引用文件规范性引用文件要写上国标号。已在规范性引用文件前加上国标号。标题号数字过于细分,目录太深,标
2、号需要调整。已对标准全文进行了调整。文章中出现的一些词:如关键、重要等一些词没有具体的定义。通信研究院安全研究部副主任卜 哲不采纳:关键、重要等不适用放在术语定义中。建议添加英文缩略语章节,解释(如VPN)等专业缩略词。中国农业银行范原辉安全相关专有名词,不需要在本标准中再次说明。4.14.1章节的测评框架说明,描述不通顺,需要修改。已对测评框架说明进行了调整。建议给出测评指标测评指标编码规则说明,便于阅读标准。已在附录中给出编码规则说明。岗位名称(如安全主管)尽量符合一般单位通常的称谓。已在标准中调整。二、标准草案第四稿,2016年8月12日,北京瑞安宾馆第5会议室,2016年8月15日填写
3、范围第一页1.范围,“本标准规定了.本标准适用于.”,建议为“本部分.”国家信息中心刘蓓原为:“本标准规定了.本标准适用于.”改为:“本部分规定了.本部分适用于.”术语和定义安全等级保护测评的定义和方法放进术语里。部分采纳:定义放术语里,方法不适合放术语里。“测评实施”中,如果测评实施项只有一项,不建议用1)。国家信息技术安全研究中心李建全文修改。是否可以在标准中增加测评方法论,对测评范围、测评对象分析、测评对象覆盖的程度、整体安全评价和结果分析等。中国信息安全认证中心李嵩已经增加测评方法,其他在过程指南中解决。未对标准内容进行提出意见,建议测评报告模板后续跟着新标准变动。李蒙测评报告模板后续
4、跟着新标准变动。规范性引用规范性引用注明最新版适用于本标准,已经注明了最新版只需要引用到22239.1就够了。樊华已经调整。身份鉴别测试实施方面,身份鉴别的保护机制是否要加入测试,例如是否在RSA的密码强度是否有要求,如256位和512位是否都满足。密码强度各单位要求不一,不宜在标准中明确。林值随基本要求修订8.1.4是否应该增加源代码检测和二进制代码检测。标准中已有源代码检测要求。三、标准草案第四稿,截止2016年8月22日,WG5工作组成员单位征求意见,2016年8月23日填写前言和引言前言和引言,内容有些交差,系列标准结构适合放在前言当中。引言重点写三要性和背景。浙江蚂蚁小微金融服务集团
5、有限公司标准编制有规定格式要求,本标准满足相关要求。3术语和定义应当按照GB1.1格式编写防雷、耐火材料等属于基础设施建设相关范畴。附录B附录B应为规范性附录,严格规范修改为规范性附录南京中新赛克科技有限责任公司机房或大楼建设有相关标准要求,建设完成后应有验收文档 ,这里采信验收文档即可。机房建设有相关标准要求,建设完成后应有验收文档 ,这里采信验收文档即可。IBM随基本要求变动进行修订。四、标准草案第四稿,截止2016年8月22日,等级测评机构反馈意见,2016年8月23日填写第4章第4章中出现 “等级保护测评”、“安全等级保护测评”、“等级测评”名词,建议在第3章中明确其定义,并在全文使用
6、中进行统一。电力行业信息安全等级保护测评中心第四实验室全文调整。4.2第4.2节中第1段第1句话可理解为对“等级保护测评实施”的介绍或者解释,因此建议将“等级保护测评实施的基本方法是针对特定的测评对象”修改为“等级保护测评实施是针对特定的测评对象”,并将“给出达到特定级别安全保护能力的评判”修改为“给出是否达到特定级别安全保护能力的评判”。而且这段内容与4.1节内容有重叠,可以考虑合并。已做调整。4.3 建议将4.2节和4.3节交换顺序,并将原4.2节中关于“单项测评”的相关内容合并到原4.3节中。已做调整,将4.2节和4.3节进行了合并。不存在多余或无效的访问控制策略”。“应确认是否已关闭非
7、必要的高危端口”。“应进行漏洞扫描,检查是否不存在高风险漏洞”。“应检查用户配置信息或访谈应用系统管理员,查看是否不存在空密码用户”10.1第10.1节中“安全控制点测评是指对其所有要求项的符合程度进行分析和判定。”中“其”理解上容易有歧义,建议修改为“单个控制点中”。10.310.4第10.3和10.4节中第2段内容均只给出了“如果经过综合分析单项测评中的不符合项或部分符合项不造成系统整体安全保护能力的缺失,该安全控制点的测评结论应调整为符合”的情况,那如果在安全控制点间和层面间分析时发现不能完全形成弥补效果,即相应控制点测评结论无法调整为符合时应该怎么处理?是否也应该在此说明?“安全控制点
8、、安全控制点间、层面间”测评是并列关系,有一个不符合则该控制点为不符合。5.1.1建议机房安全的测评对象可细化到机房内的对应设施。江苏金盾杨超标准粒度不宜过于细化具体监控内容由各单位自行定义,需针对不同对象分别设置,如厂商人员和检查人员的监控内容就不一样。监控视频保存时间由各单位自行要求。11.3建议11.3中也注明测评结论是对整体测评之后单项测评结果的风险分析给出的。测评流程中已明确,先进行整体测评,然后才能给出测评结论。第9章测评实施及单项判断中未明确一票否决项,即哪一分项不符合则该指标项直接判定为不符合。江西神舟信息安全评估中心有限公司单项判定已明确哪些是必须要做到。网络设备“安全审计”
9、部分归入“网络和通信安全”层面,但“身份鉴别”等层面确归入“设备与计算安全层面”,现场测评与结果记录如何明确?本标准根据基本要求条款编制。机房承重加固等属于基础设施建设相关范畴。增加应检查门禁系统记录数据的保存时间。具体保存时间各单位要求不一样,不做规定,或建议至少保存3个月。标准中主要部件不宜一一列举。调整为 应检查机房内通信线缆是否铺设在隐蔽处或桥架中。修改建议变成了必须要求有视频监控系统,违背了标准原要求。由其他标准规定。标准的做要求。备用供电时间与设备规模密切相关,各单位对断电事故的容忍度不一。不采纳:这是基本要求原条款要求。无法定义安全管理系统。标准要求的是进行收集汇总和集中分析。口
10、令复杂度不宜在标准中固定,需根据技术的发展而调整。安全补丁在部分已做要求。可信计算技术具体实现的方式不是本标准范围。标准中已有相关要求。改为1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。应用系统审计进程可以和系统进程在一起。人员配备最低要求由单位根据实际设置,标准要求有专职人员。标准中测评实施最后一条已做要求。标准指的就是信息系统相关资产。根据基本要求进行调整。信息产业信息安全测评中心放置位置是否有机房场地建设相关标准来规范。二级、三级、四级增加传输数据测试相关内容。调整为3) 应访谈安全管理员或检查设备配置信息,是否不存在其他未
11、受控端口进行跨越边界的网络通信。判定应该为或的关系,不是且关系,调整为:去掉1),调整2)为配置了非法登录次数阈值及启用了锁定账户等处置措施。保留3)。判定改为1)或2)为肯定。权限分配在第三级有专门条款,1)为访谈,2)为测试,判定没有问题。调整为1)或2)为肯定。调整为2) 应确认是否已经关闭非必要的组件和应用程序。高危端口是基本要求中的提法。测评实施调整为1) 应查看防恶意代码工具的安装和使用情况,检查是否定期进行升级和更新防恶意代码库。标准原文不存在问题。全文,个人认为将“空密码用户”改为“不需要鉴别的用户”更严谨。空密码用户更便于理解。1)测评的是有安全措施,3)测评的是具体的安全措
12、施。采纳已调整顺序。标准内容是或的关系,不是必要条件。已调整为句号结尾。调整为2) 应检查相关审批记录或流程,查看是否对申请账户、建立账户、删除账户等进行控制。判定调整为如果2)为肯定,网络划分原则各单位不一,标准无法给出统一原则。标准原文表述更清晰。修改测评测评实施,采用校验码技术。调整测评实施中的测评对象。五、标准草案第四稿, 2016年8月25日,WG5工作组在研标准推进会,2016年8月26日填写中国对于密码产品有专门的证书或报告,但是对于非密码产品中的密码模块并没有相关认定证书或报告,建议在标准中对密码模块检查进行明确,另外密码产品只通过访谈检查力度较弱。密码管理需要遵照国家密码管理
13、规定,已调整密码管理检查力度,增加检查相关证书或报告环节。如果标准中只有一条测评实施,那么单项判定时不应该有部分符合的提法。阿里巴巴六、标准草案第五稿,测评机构反馈意见,2016年9月6日填写前言、引言应该按照GB/T 1.1-2009要求编制成都市锐信安信息安全技术有限公司七、标准草案第五稿,2016年9月8日,评估中心大会议室,2016年9月9日填写单元测评有标号,没有名称。中国信息安全认证中心/李嵩测评单元使用基本要求的要求项,无法命名。在术语定义中测评、测试、评估区分开1. 有些评估源自基本要求。2. 部分已经调整,增加评估定义。很多单位安全策略不完善,或者没有贯彻下去,相关策略不一致
14、,因此要对安全策略进行整体分析,并做策略一致性检查。在测评实施中完善相关内容。访谈的力度较弱,有些地方只有访谈,可考虑增加技术核查手段。7.1.2.1.4中测评对象是网络拓扑图,实际中很多单位的网络拓扑图与真实环境不一致,应核查网络拓扑图与真实环境是否一致。附录里再做个附录,形成面向对象的测评单元汇总。部分采纳。与第132条建议合并,增加相关汇总表。标准中的测评单元与单元测评,都是指的单元,该如何区分,容易引起误解,最好进行定义,另外单项判定是否应为单元判定。国家信息中心/禄凯采纳。单项判定改为单元判定。标准中要求对所有用户身份标识进行检查,实际是否能够做到,建议慎用所有这种词。整体测评的控制
15、点间、层面间关联分析很难把握,标准中能否给出一个已知关联度表,用于指导开展整体测评工作。调整部分文字描述。对描述结构“类层面控制点要求项”进行定义。汇报PPT中的类实际应该是安全层面。国家能源局信息中心/陈雪鸿不采纳。基本要求描述结构“层面(类)-控制点-要求项”定义。有些测评对象写得太笼统,比如物理环境测评中测评对象都是机房,应进一步明确。新版等级测评报告已采用打分制,标准中单项判定是否也应该进行量化。相关内容在测评过程指南中描述。在术语中的检查与国家的安全检查容易混淆。改为核查(verification),增加核查定义。要求项一样,但不同级别中测评方法却不同,不太合理。1. 部分调整描述。
16、2. 级别不同测评实施有可能不同。测评对象的叫法不统一,网络通信类设备、网络安全类设备?中国电子科技集团公司第十五研究所/刘健默认口令应该放在访问控制还是身份鉴别?随基本要求修订。参考资料18336评估准则已经发布最新版本了,应参考最新标准。已改为 18336.1-2015、18336.2-2015、18336.3-2015新标准将数据安全与应用安全合并了,但很多单位关注数据安全,是否将数据安全独立出来。国家信息技术安全研究中心/李蒙根据基本要求描述结构而来。标准中只有主体对客体的访问控制要求,客体对主体的访问控制是否也应说明。对于Linux类系统,不安装防病毒软件这种特殊情况是否要指出来。此
17、类情况在测评中作为不适用提出。边界的概念很模糊,是网络边界还是区域边界,还是系统边界、应用边界。北京工业大学/赵勇如何定义访问控制类设备,哪些属于访问控制类设备。标准结构集中管控的范围:是指管网络还是都管。网络设备自身安全去掉了,要求加到了主机层面里了,建议单独说。网络架构部分中关于架构安全的只有一条,像无线管理、集中管理等都是架构安全。三级与四级之间的级差较少,在范围上能不能体现。通过测评实施的不同测评强度和广度来实现。对于非法外联,测评对象不应为准入设备,防垃圾邮件网关是否不用单独提出。对于非法外联,测评对象修改为终端管理系统。防垃圾邮件网关是基本要求中要求的。增加各级别汇总类大表索引,这样更清晰些。中国电子技术标准化研究院/刘贤刚增加对应表。标准中有力度,还有广度、深度,相互之间的关系,如何与基本要求对应。基本要求维度为级差。测评通过测评广度和深度来体现测评要求级差。标准写法不统一,有的地方是访谈,有的是询问。统一调整为访谈。单项测评结论中没有不适用,是否以后取消了不适用。阿里云信息技术有限公司/廖智杰在等级测评实施工程中,才有可能出现不适用情况。将具体的测评对象放在测评实施里,这样是否更清晰。调整测评对象的描述,使之更为明确;测评
copyright@ 2008-2023 冰点文库 网站版权所有
经营许可证编号:鄂ICP备19020893号-2
升级会员 