发布时间 : 星期三 文章信息安全技术 网络安全等级保护测评要求 第1部分:安全通用要求-意见处理表更新完毕开始阅读62ff9d388f9951e79b89680203d8ce2f0066658b
序号 标准 条文号 意 见 内 容 提出专家 /提出单位 处理意见 不采纳: 口令复杂度不宜在标准中固定,需根据技术的发展而调整。 不采纳: 安全补丁在7.1.3.4.4部分已做要求。 不采纳: 可信计算技术具体实现的方式不是本标准范围。 不采纳: 标准中已有相关要求。 不采纳: 口令复杂度不宜在标准中固定,需根据技术的发展而调整。 备 注 68. 7.1.3.1.1 c) 江西神舟7.1.3.1.1 c)-4)应检查用户鉴别信息是否具有复杂度要求并信息安全定期更换。建议明确复杂度具体要求,如口令长度,数字、评估中心字母、字符组合;明确定期更换时间。 有限公司 7.1.3.4.1a) 应遵循最小安装的原则,仅安装需要的组件和应用程序。建议增加安装安全补丁。 江西神舟信息安全评估中心有限公司 69. 7.1.3.4.1a) 70. 7.1.3.5.1 c) 江西神舟7.1.3.5.1 c)-1)应查看防恶意代码工具的安装和使用情况,信息安全或查看是否采用可信计算技术建立从系统到应用的信任链;评估中心建议列举可信计算技术具体实现的方式。 有限公司 7.1.3.6 资源控制。建议增加一个测评指标:应根据安全策略设置登录终端的操作超时锁定。 江西神舟信息安全评估中心有限公司 71. 7.1.3.6 72. 7.1.4.1.1 c) 江西神舟7.1.4.1.1 c)-4)应检查鉴别信息是否具有复杂度要求并定期信息安全更换;建议明确口令复杂度要求和更换时间。 评估中心有限公司 7.1.4.1.4 d) 如果 1)-2)均为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。建议改为1)或2)为肯定,则等级保护对象符合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。 江西神舟信息安全评估中心有限公司 73. 7.1.4.1.4 d) 采纳: 改为1)或2)为肯定,则等级保护对象符 合本单项测评指标要求,否则,等级保护对象不符合或部分符合本单项测评指标要求。 不采纳: 74. 7.1.4.3.4 a) 7.1.4.3.4 a) 应对审计进程进行保护,防止未经授权的中断;江西神舟应用系统通常无审计进程,建议改指标项删除。 信息安全序号 标准 条文号 意 见 内 容 提出专家 /提出单位 评估中心有限公司 处理意见 应用系统审计进程可以和系统进程在一起。 不采纳: 人员配备最低要求由单位根据实际设置,标准要求有专职人员。 备 注 75. 7.2.2.2.1c) 7.2.2.2.1c)-1)应访谈信息安全主管,确认各岗位人员配备情况;建议明确人员配备最低的要求。 江西神舟信息安全评估中心有限公司 76. 7.2.4.1 江西神舟7.2.4.1环境管理。建议对环境管理的机房管理员应明确机房信息安全管理员的专业技能,特别是部分基础设施和设备的使用操评估中心作。 有限公司 7.2.4.1.1c)-1)应访谈物理安全负责人,询问是否指定部门和人员负责机房安全管理工作,对机房的出入进行管理、对基础设施(如空调、供配电设备、灭火设备等)进行定期维护,由何部门/何人负责;建议增加“查看机房基础设施的巡检记录”要求。 7.2.4.2.2 a) 应根据资产的重要程度对资产进行标识管理,根据资产的价值选择相应的管理措施;资产的范围太广泛,此处应重点强调信息系统相关的资产(含实体设备、信息资产及数据资产)。 7.2.4.12 安全事件处置。建议应保留原测评指标“应根据国家相关管理部门对计算机安全事件等级划分方法和安全事件对本系统产生的影响,对本系统计算机安全事件进行等级划分;”;等级保护定义中就明确了安全事件分级管理,这是国家信息安全保障体系中的重要环节,也是各单位在事件响应时如何界定和资源投入的关键指导。 5.1.1.4 建议增加对灭火设备放置位置的检查内容。 江西神舟信息安全评估中心有限公司 江西神舟信息安全评估中心有限公司 江西神舟信息安全评估中心有限公司 信息产业信息安全不采纳: 标准中7.2.2.6和7.2.2.8对人员能力有要求。 77. 7.2.4.1.1c) 不采纳: 测评实施最后一条已做要求。 78. 7.2.4.2.2 a) 不采纳: 标准指的就是信息系统相关资产。 79. 7.2.4.12 不采纳: 根据基本要求进行调整。 80. 5.1.1.4 不采纳: 序号 标准 条文号 意 见 内 容 提出专家 /提出单位 测评中心 信息产业信息安全测评中心 处理意见 放置位置是否有机房场地建设相关标准来规范。 部分采纳: 二级、三级、四级增加传输数据测试相关内容。 采纳: 调整为3) 应访谈安全管理员或检查设备配置信息,是否不存在其他未受控端口进行跨越边界的网络通信。 备 注 81. 5.1.2.2 5.1.2.2 建议增加测试内容,可以分析传输数据。 82. 5.1.2.3 5.1.2.3 第3),应为“是否没有其他未受控端口进行跨越边界信息产业的网络通信”。 信息安全测评中心 5.1.3.1.2 第1)项应该是包含2)、3)吧?是否重复了?限制非法登录次数后的处理机制不仅仅是锁定账户,还可以锁信息产业定IP、锁定账户一段时间等,建议写成开放性说法:“配置信息安全了非法登录次数阈值及启用了锁定账户等处置措施。” 测评中心 5.1.3.2.1 在这里的测试是否应该考虑权限的合理性?明确信息产业权限分配原则?“如果1)-2)均为肯定”,应改为“如果2)信息安全为肯定”。 测评中心 信息产业5.1.3.2.2 判定与要求不符,要求是“或”的关系,在判定里面信息安全是“且”的关系。 测评中心 5.1.3.3.1 建议将“确认”改为“检查”,测试方法中没有“确认”。是否能分清楚“网络服务”与“系统服务”?归类和定义是什么?比如如果启用了IIS,这个是定义为网络服务还是信息产业系统服务?建议不如直接就用要求中的词语“组件和应用程信息安全序”。 测评中心 83. 5.1.3.1.2 采纳: 判定应该为或的关系,不是且关系,调整为:去掉1),调整2)为配置了非法登录次数阈 值及启用了锁定账户等处置措施。保留3)。判定改为1)或2)为肯定。 不采纳: 权限分配在第三级有专门条款,1)为访谈,2)为测试,判定没有问题。 采纳: 调整为1)或2)为肯定。 采纳: 调整为2) 应确认是否已经关闭非必要的组件和应用程序。 84. 5.1.3.2.1 85. 5.1.3.2.2 86. 5.1.3.3.1 序号 87. 标准 条文号 5.1.3.3.2 意 见 内 容 提出专家 /提出单位 处理意见 不采纳: 高危端口是基本要求中的提法。 采纳: 测评实施调整为1) 应查看防恶意代码工具的安装和使用情况,检查是否定期进行升级和更新防恶意代码库。 不采纳: 标准原文不存在问题。 不采纳: 空密码用户更便于理解。 不采纳: 1)测评的是有安全措施,3)测评的是具体的安全措施。 采纳 已调整顺序。 不采纳: 标准内容是或的关系,不是必要条件。 采纳: 备 注 5.1.3.3.2 如何确认“高危端口”,个人感觉仅仅是为了突出?信息产业“不需要的系统服务”其实已包括了“高危端口”,一般端口会信息安全对应服务。 测评中心 88. 5.1.3.4.1 5.1.3.4.1 判定与测评实施对应不上。 信息产业信息安全测评中心 信息产业信息安全测评中心 信息产业信息安全测评中心 信息产业信息安全测评中心 信息产业信息安全测评中心 信息产业信息安全测评中心 信息产业信息安全 89. 5.1.4.1.1 5.1.4.1.1 建议全文中提到“标识与鉴别”时,应增加检查如何实现用户标识,然后再检查鉴别措施。“应测试应用系统对用户身份标识有效性是否进行鉴别”不太通顺,意思是否是“应测试应用系统的用户身份标识与鉴别措施是否有效”。 全文,个人认为将“空密码用户”改为“不需要鉴别的用户”更严谨。 90. 全文 91. 5.1.4.1.2 5.1.4.1.2 1)应该包含3)了吧? 92. 5.1.4.3.1 5.1.4.3.1 建议将1)2)3)顺序调整下,应为2)3)1)。 93. 5.1.4.4.1 5.2.4.1.1 5.2.4.5.1 5.1.4.4.1 建议删除“或加解密技术”,要求拔高了,应该是三级要求。 5.2.4.1.1和5.2.4.5.1 应该是句号结尾。 94.