信息安全技术网络安全等级保护测评要求 第部分安全通用要求意见处理表























标准项目名称:《信息安全技术 信息系统安全等级保护 测评要求》 又名:《信息安全技术 网络安全等级保护测评要求 第 1 部分:安全通用要求》

标准项目负责起草单位:公安部信息安全等级保护评估中心

序 标准 号 条文号

意见内容

提出专家 /提出单 位

承办人:陈广勇 电 话:
处理意见

共 26 页
备注

一、标准草案第三稿,2016 年 5 月 23 日,评估中心大会议室,2016 年 5 月 24 日填写

全 国 信 采纳:

息 安 全 在标准范围部分明确了本标准的

标准范 标准范围应该包括内容范围和适用范围,标准 标 准 化 适应范围。

围 适用的范围要描述清楚。

技术委

员会崔

书昆

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

海 关 总 采纳:

全文

署 科 技 已根据最新版的基本要求国家标 严格按照基本要求国家标准编制测评要求标
司 安 全 准进行了调整。 准,确保测评指标与基本要求指标一致。
运行处

李宏图

国 家 能 采纳:

全文

源 局 信 已统一为保密性。 将标准全文的“机密性”和“保密性”统一
息中心 为一个。
安全处

陈雪鸿

全文 格式要符合 GB/T 1.1-2009。

国 家 新 采纳: 闻 出 版 已根据 GB/T 1.1-2009 进行了修

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

广 电 总 改。

局监管

中心张

瑞芝

全 国 信 采纳:

息 安 全 已对术语定义进行了修改。

术语定 术语定义要准确。


标准化 技术委

员会崔

书昆

全文

调整结构,去除不符合标准编写要求的悬置 国 家 新 采纳:

段。

闻 出 版 已调整了全文中的悬置段。

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

广电总

局监管

中心张

瑞芝

信 息 产 采纳:

标准范 围

业 信 息 已改为“本标准适用于”。 建议将“本标准适用于为……”改为“本标
安全测 准适用于”。
评中心

刘健

规范性

信 息 产 采纳:

引用文 规范性引用文件要写上国标号。

业 信 息 已在规范性引用文件前加上国标



安 全 测 号。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

评中心

刘健

海 关 总 采纳:

全文

署 科 技 已对标准全文进行了调整。 标题号数字过于细分,目录太深,标号需要调
司安全 整。
运行处

李宏图

通 信 研 不采纳:

全文

究 院 安 关键、重要等不适用放在术语定义 文章中出现的一些词:如关键、重要等一些词
全 研 究 中。 没有具体的定义。
部副主

任卜

序 标准 号 条文号

意见内容

提出专家 /提出单 位 哲

处理意见

备注

全文 4.1

中 国 农 不采纳: 建议添加英文缩略语章节,解释(如 VPN)等
业 银 行 安全相关专有名词,不需要在本标 专业缩略词。
范原辉 准中再次说明。

全 国 信 采纳:

息 安 全 已对测评框架说明进行了调整。

4.1 章节的测评框架说明,描述不通顺,需要 标 准 化

修改。

技术委

员会崔

书昆

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

全文

中 国 农 采纳: 建议给出测评指标测评指标编码规则说明,便
业 银 行 已在附录中给出编码规则说明。 于阅读标准。
范原辉

通 信 研 采纳:

究 院 安 已在标准中调整。

全文

岗位名称(如安全主管)尽量符合一般单位通 全 研 究

常的称谓。

部副主

任卜



二、标准草案第四稿,2016 年 8 月 12 日,北京瑞安宾馆第 5 会议室,2016 年 8 月 15 日填写

范围

第一页 1.范围,“本标准规定了…..本标准适用于…...”,建议 为“本部分…...”

国家信

采纳:

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

息中心 原为:“本标准规定了…..本标准

刘蓓 适用于…...”

改为:

“本部分规定了…..本部分适用

于…...”

术语和 定义

安全等级保护测评的定义和方法放进术语里。

国家信 息中心 刘蓓

部分采纳: 改为: 定义放术语里,方法不适合放术语 里。

国家信 采纳:

全文 “测评实施”中,如果测评实施项只有一项,不建议用 1)。 息技术 改为:

安全研 全文修改。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

究中心

李建

全文

是否可以在标准中增加测评方法论,对测评范围、测评对象 分析、测评对象覆盖的程度、整体安全评价和结果分析等。

中国信 息安全 认证中 心李嵩

部分采纳: 已经增加测评方法,其他在过程指 南中解决。

未对标准内容进行提出意见,建议测评报告模 板后续跟着新标准变动。

李蒙

采纳: 测评报告模板后续跟着新标准变 动。

规范性 规范性引用注明最新版适用于本标准,已经注 引用 明了最新版只需要引用到 22239.1 就够了。

樊华

采纳: 已经调整。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

身份鉴别测试实施方面,身份鉴别的保护机制

不采纳:

全文 是否要加入测试,例如是否在 RSA 的密码强度 樊华 密码强度各单位要求不一,不宜在

是否有要求,如 256 位和 512 位是否都满足。

标准中明确。

林值

采纳: 随基本要求修订

8.1.4

林值

采纳: 随基本要求修订

8.1.4

是否应该增加源代码检测和二进制代码检测。 林值

不采纳: 标准中已有源代码检测要求。

三、标准草案第四稿,截止 2016 年 8 月 22 日,WG5 工作组成员单位征求意见,2016 年 8 月 23 日填写

前言和 前言和引言,内容有些交差,系列标准结构适 浙江蚂 不采纳:

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

引言 合放在前言当中。引言重点写三要性和背景。 蚁小微 标准编制有规定格式要求,本标准

金融服 满足相关要求。

务集团

有限公



浙江蚂

蚁小微

术语和 3 术语和定义应当按照 GB1.1 格式编写
定义

金融服 采纳: 务集团 已经调整。

有限公



浙江蚂 不采纳:

序 标准 号 条文号

意见内容

附录 B 附录 B 应为规范性附录,严格规范

提出专家

/提出单

处理意见

备注



蚁小微 防雷、耐火材料等属于基础设施建

金融服 设相关范畴。

务集团

有限公



浙江蚂

蚁小微

金融服 采纳:

务集团 已经调整。

有限公



浙江蚂 采纳:

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



蚁小微 修改为规范性附录

金融服

务集团

有限公



南京中 新赛克 科技有 限责任 公司

不采纳: 机房或大楼建设有相关标准要求, 建设完成后应有验收文档 ,这里 采信验收文档即可。

南京中 不采纳:

新赛克 机房建设有相关标准要求,建设完

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



科技有 成后应有验收文档 ,这里采信验

限责任 收文档即可。

公司

采纳: IBM
随基本要求变动进行修订。

采纳: IBM
随基本要求变动进行修订。

采纳: IBM
随基本要求变动进行修订。

采纳: IBM
随基本要求变动进行修订。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

四、标准草案第四稿,截止 2016 年 8 月 22 日,等级测评机构反馈意见,2016 年 8 月 23 日填写

电力行

业信息

第4章

第 4 章中出现 “等级保护测评”、“安全等 安全等 级保护测评”、“等级测评”名词,建议在第 级保护 3 章中明确其定义,并在全文使用中进行统一。 测评中

采纳: 全文调整。

心第四

实验室

第 4.2 节中第 1 段第 1 句话可理解为对“等级 电 力 行

保护测评实施”的介绍或者解释,因此建议将 业 信 息 部分采纳: 4.2
“等级保护测评实施的基本方法是针对特定 安 全 等 已做调整。

的测评对象……”修改为“等级保护测评实 级 保 护

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

施是针对特定的测评对象……”,并将“…… 测 评 中

给出达到特定级别安全保护能力的评判”修 心 第 四

改为“……给出是否达到特定级别安全保护 实验室

能力的评判”。而且这段内容与 4.1 节内容有

重叠,可以考虑合并。

电力行

业信息

建议将 4.2 节和 4.3 节交换顺序,并将原 4.2 安 全 等 采纳:

4.2

节中关于“单项测评”的相关内容合并到原 级 保 护 已做调整,将 4.2 节和 4.3 节进行

4.3

4.3 节中。

测 评 中 了合并。

心第四

实验室

序 标准 号 条文号

意见内容

不存在多余或无效的访问控制策略”。

提出专家

/提出单

处理意见



电力行

业信息

安全等 采纳:
级保护 已做调整。
测评中

心第四

实验室

电力行

业信息 采纳:
安全等 已做调整。
级保护

测评中

备注

序 标准 号 条文号

意见内容

“应确认是否已关闭非必要的高危端口”。

提出专家

/提出单

处理意见



心第四

实验室

电力行

业信息

安全等 采纳:
级保护 已做调整。
测评中

心第四

实验室

电力行 采纳:
业信息 已做调整。
安全等

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

级保护

测评中

心第四

实验室

电力行

业信息

安全等

“应进行漏洞扫描,检查是否不存在高风险漏

采纳:

级保护

洞”。

已做调整。

测评中

心第四

实验室

“应检查用户配置信息或访谈应用系统管理 电 力 行 采纳:

备注

序 标准 号 条文号

意见内容

员,查看是否不存在空密码用户”

提出专家

/提出单

处理意见



业 信 息 已做调整。

安全等

级保护

测评中

心第四

实验室

电力行

业信息

安 全 等 采纳:

级 保 护 已做调整。

测评中

心第四

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

实验室

电力行

10.1

业信息

第 10.1 节中“安全控制点测评是指对其所有

安全等

要求项的符合程度进行分析和判定。”中

采纳:

级保护

“其”理解上容易有歧义,建议修改为“单个

已做调整。

测评中

控制点中”。

心第四

实验室

第 10.3 和 10.4 节中第 2 段内容均只给出了 电 力 行 不采纳:

10.3 “如果经过综合分析单项测评中的不符合项 业 信 息 “安全控制点、安全控制点间、层

10.4 或部分符合项不造成系统整体安全保护能力 安 全 等 面间”测评是并列关系,有一个不

的缺失,该安全控制点的测评结论应调整为符 级 保 护 符合则该控制点为不符合。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

合”的情况,那如果在安全控制点间和层面间 测 评 中

分析时发现不能完全形成弥补效果,即相应控 心 第 四

制点测评结论无法调整为符合时应该怎么处 实验室

理?是否也应该在此说明?

5.1.1

建议机房安全的测评对象可细化到机房内的 江 苏 金 不采纳:

对应设施。

盾杨超 标准粒度不宜过于细化

江 苏 金 采纳:

盾杨超 已做调整。

不采纳: 江苏金
具体监控内容由各单位自行定义, 盾杨超
需针对不同对象分别设置,如厂商

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

人员和检查人员的监控内容就不

一样。

不采纳: 江苏金
监控视频保存时间由各单位自行 盾杨超
要求。

11.3

不采纳:

建议 11.3 中也注明测评结论是对整体测评之 江 苏 金

测评流程中已明确,先进行整体测

后单项测评结果的风险分析给出的。

盾杨超

评,然后才能给出测评结论。

测评实施及单项判断中未明确一票否决项,即 江 西 神 不采纳:

第 9 章 哪一分项不符合则该指标项直接判定为不符 舟 信 息 单项判定已明确哪些是必须要做

合。

安 全 评 到。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

估中心

有限公



江西神

网络设备“安全审计”部分归入“网络和通 舟 信 息

全文

信安全”层面,但“身份鉴别”等层面确归入 安 全 评 不采纳: “设备与计算安全层面”,现场测评与结果记 估 中 心 本标准根据基本要求条款编制。

录如何明确?

有限公



江 西 神 不采纳:

舟 信 息 机房承重加固等属于基础设施建

安 全 评 设相关范畴。

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神 部分采纳:
舟信息 增加应检查门禁系统记录数据的
安全评 保存时间。具体保存时间各单位要
估中心 求不一样,不做规定,或建议至少
有限公 保存 3 个月。


江西神 不采纳:
舟信息 标准中主要部件不宜一一列举。
安全评

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息 采纳:
安全评 调整为 应检查机房内通信线缆是
估中心 否铺设在隐蔽处或桥架中。
有限公



江 西 神 不采纳:

舟 信 息 修改建议变成了必须要求有视频

安 全 评 监控系统,违背了标准原要求。

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见



估中心

有限公



江西神

舟信息

安 全 评 不采纳:

估 中 心 由其他标准规定。

有限公



江西神 不采纳:
舟信息 标准的做要求。
安全评

备注

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟 信 息 不采纳:

安 全 评 备用供电时间与设备规模密切相

估 中 心 关,各单位对断电事故的容忍度不

有 限 公 一。



江西神 采纳:
舟信息 已做调整。
安全评

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见



估中心

有限公



江西神

舟信息

安 全 评 不采纳:

估 中 心 这是基本要求原条款要求。

有限公



江西神 不采纳:
舟信息 这是基本要求原条款要求。
安全评

备注

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息

安 全 评 不采纳:

估 中 心 无法定义安全管理系统。

有限公



江 西 神 不采纳:

舟 信 息 标准要求的是进行收集汇总和集

安 全 评 中分析。

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息 不采纳:
安全评 口令复杂度不宜在标准中固定,需
估中心 根据技术的发展而调整。
有限公



江西神 不采纳:
舟信息 安全补丁在部分已做要求。
安全评

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息 不采纳:
安全评 可信计算技术具体实现的方式不
估中心 是本标准范围。
有限公



江西神 不采纳:
舟信息 标准中已有相关要求。
安全评

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息 不采纳:
安全评 口令复杂度不宜在标准中固定,需
估中心 根据技术的发展而调整。
有限公



江 西 神 采纳:

舟 信 息 改为 1)或 2)为肯定,则等级保

安 全 评 护对象符合本单项测评指标要求,

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估 中 心 否则,等级保护对象不符合或部分

有 限 公 符合本单项测评指标要求。



江西神

舟信息 不采纳:
安全评 应用系统审计进程可以和系统进
估中心 程在一起。
有限公



江 西 神 不采纳:

舟 信 息 人员配备最低要求由单位根据实

安 全 评 际设置,标准要求有专职人员。

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见



估中心

有限公



江西神

舟信息

安 全 评 不采纳:

估 中 心 标准中

有限公



江西神 不采纳:
舟信息 测评实施最后一条已做要求。
安全评

备注

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



江西神

舟信息

安 全 评 不采纳:

估 中 心 标准指的就是信息系统相关资产。

有限公



江西神 不采纳:
舟信息 根据基本要求进行调整。
安全评

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



估中心

有限公



信息产 不采纳:
业信息 放置位置是否有机房场地建设相
安全测 关标准来规范。
评中心

信息产 部分采纳:
业信息 二级、三级、四级增加传输数据测
安全测 试相关内容。
评中心

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



采纳:

信 息 产 调整为 3) 应访谈安全管理员或

业 信 息 检查设备配置信息,是否不存在其

安 全 测 他未受控端口进行跨越边界的网

评中心 络通信。

采纳:

判定应该为或的关系,不是且关

信 息 产 系,调整为:去掉 1),调整 2)为

业 信 息 配置了非法登录次数阈值及启用

安 全 测 了锁定账户等处置措施。保留 3)。

评中心 判定改为 1)或 2)为肯定。

信 息 产 不采纳:

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



业 信 息 权限分配在第三级有专门条款,1)

安 全 测 为访谈,2)为测试,判定没有问

评中心 题。

信息产

业 信 息 采纳:

安 全 测 调整为 1)或 2)为肯定。

评中心

信息产 采纳:
业信息 调整为 2) 应确认是否已经关闭
安全测 非必要的组件和应用程序。
评中心

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



信息产

业 信 息 不采纳:

安 全 测 高危端口是基本要求中的提法。

评中心

采纳:

信 息 产 测评实施调整为 1) 应查看防恶

业 信 息 意代码工具的安装和使用情况,检

安 全 测 查是否定期进行升级和更新防恶

评中心 意代码库。

信息产 不采纳:
业信息 标准原文不存在问题。
安全测

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

评中心

信息产

全文

全文,个人认为将“空密码用户”改为“不需 业 信 息 不采纳:

要鉴别的用户”更严谨。

安 全 测 空密码用户更便于理解。

评中心

信息产 不采纳:
业信息 1)测评的是有安全措施,3)测评
安全测 的是具体的安全措施。
评中心

信 息 产 采纳

业 信 息 已调整顺序。

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



安全测

评中心

信息产 不采纳:
业信息 标准内容是或的关系,不是必要条
安全测 件。
评中心

信息产

业 信 息 采纳:

安 全 测 已调整为句号结尾。

评中心

信 息 产 采纳:

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



业 信 息 调整为 2) 应检查相关审批记录

安 全 测 或流程,查看是否对申请账户、建

评中心 立账户、删除账户等进行控制。

信息产

业 信 息 采纳:

安 全 测 判定调整为如果 2)为肯定,

评中心

信息产 不采纳:
业信息 网络划分原则各单位不一,标准无
安全测 法给出统一原则。
评中心

序 标准 号 条文号

意见内容

提出专家

/提出单

处理意见

备注



信息产

业 信 息 不采纳:

安 全 测 标准原文表述更清晰。

评中心

信息产 部分采纳:
业信息 修改测评测评实施,采用校验码技
安全测 术。
评中心

信息产

业 信 息 采纳:

安 全 测 调整测评实施中的测评对象。

评中心

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

五、标准草案第四稿, 2016 年 8 月 25 日,WG5 工作组在研标准推进会,2016 年 8 月 26 日填写

中国对于密码产品有专门的证书或报告,但是 部分采纳:
对于非密码产品中的密码模块并没有相关认 密码管理需要遵照国家密码管理
定证书或报告,建议在标准中对密码模块检查 IBM 规定,已调整密码管理检查力度,
进行明确,另外密码产品只通过访谈检查力度 增加检查相关证书或报告环节。
较弱。

全文

如果标准中只有一条测评实施,那么单项判定 时不应该有部分符合的提法。

阿里巴 巴

采纳: 已做调整。 不采纳:

六、标准草案第五稿,测评机构反馈意见,2016 年 9 月 6 日填写

前言、引 应该按照 GB/T 1.1-2009 要求编制

成都市 采纳:

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注



锐信安 已经调整。

信息安

全技术

有限公



七、标准草案第五稿,2016 年 9 月 8 日,评估中心大会议室,2016 年 9 月 9 日填写

全文 单元测评有标号,没有名称。

中国信 息安全 认证中 心/李嵩

不采纳: 测评单元使用基本要求的要求项, 无法命名。

全文 在术语定义中测评、测试、评估区分开

中国信 部分采纳:

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

息安全 1. 有些评估源自基本要求。

认证中 2. 部分已经调整,增加评估定义。

心/李嵩

全文

很多单位安全策略不完善,或者没有贯彻下 去,相关策略不一致,因此要对安全策略进行 整体分析,并做策略一致性检查。

中国信 息安全 认证中 心/李嵩

采纳: 在测评实施中完善相关内容。

中国信

全文

访谈的力度较弱,有些地方只有访谈,可考虑 息安全 部分采纳:

增加技术核查手段。

认证中 已经调整。

心/李嵩

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

7.1.2.1.4 中测评对象是网络拓扑图,实际中 很多单位的网络拓扑图与真实环境不一致,应 核查网络拓扑图与真实环境是否一致。

中国信 息安全 认证中 心/李嵩

采纳: 已经调整。

全文

附录里再做个附录,形成面向对象的测评单元 汇总。

中国信 息安全 认证中 心/李嵩

部分采纳。 与第 132 条建议合并,增加相关汇 总表。

全文

标准中的测评单元与单元测评,都是指的单 元,该如何区分,容易引起误解,最好进行定 义,另外单项判定是否应为单元判定。

国家信 息中心/
禄凯

采纳。 单项判定改为单元判定。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

全文

标准中要求对所有用户身份标识进行检查,实 际是否能够做到,建议慎用所有这种词。

国家信 息中心/
禄凯

采纳: 已经调整。

全文

整体测评的控制点间、层面间关联分析很难把 握,标准中能否给出一个已知关联度表,用于 指导开展整体测评工作。

国家信 息中心/
禄凯

部分采纳。 调整部分文字描述。

全文

对描述结构“类——层面——控制点——要求 项”进行定义。汇报 PPT 中的类实际应该是安 全层面。

国家能 源局信 息中心/ 陈雪鸿

不采纳。 基本要求描述结构“层面(类)控制点-要求项”定义。

全文 有些测评对象写得太笼统,比如物理环境测评 国家能 采纳。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

中测评对象都是机房,应进一步明确。

源局信 已经调整。

息中心/

陈雪鸿

国家能

全文

新版等级测评报告已采用打分制,标准中单项 源局信 部分采纳。

判定是否也应该进行量化。

息中心/ 相关内容在测评过程指南中描述。

陈雪鸿

全文

国家能
源局信 在术语中的检查与国家的安全检查容易混淆。
息中心/
陈雪鸿

采纳。 改为核查(verification),增加 核查定义。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

国家能 部分采纳。

全文

要求项一样,但不同级别中测评方法却不同, 源局信 1. 部分调整描述。

不太合理。

息中心/ 2. 级 别 不 同 测 评 实 施 有 可 能 不

陈雪鸿 同。

中国电

子科技

全文

测评对象的叫法不统一,网络通信类设备、网 集团公 采纳:

络安全类设备?

司第十 已经调整。

五研究

所/刘健

全文

默认口令应该放在访问控制还是身份鉴别?

中国电 部分采纳: 子科技 随基本要求修订。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

集团公

司第十

五研究

所/刘健

中国电

参考资 料

18336 评估准则已经发布最新版本了,应参考 最新标准。

子科技 集团公 司第十 五研究

采纳。 已 改 为 18336.1-2015 、 18336.2-2015、18336.3-2015

所/刘健

全文

新标准将数据安全与应用安全合并了,但很多 国家信 部分采纳。 单位关注数据安全,是否将数据安全独立出 息技术 根据基本要求描述结构而来。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

来。

安全研

究中心/

李蒙

国家信

全文

标准中只有主体对客体的访问控制要求,客体 对主体的访问控制是否也应说明。

息技术 安全研 究中心/

部分采纳。 根据基本要求描述结构而来。

李蒙

全文

对于 Linux 类系统,不安装防病毒软件这种特 殊情况是否要指出来。

国家信 息技术 安全研 究中心/

部分采纳。 此类情况在测评中作为不适用提 出。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

李蒙

全文

边界的概念很模糊,是网络边界还是区域边 界,还是系统边界、应用边界。

北京工 业大学/
赵勇

部分采纳。 根据基本要求描述结构而来。

全文

如何定义访问控制类设备,哪些属于访问控制 类设备。

北京工 业大学/
赵勇

采纳: 已经调整。

全文

标准结构—集中管控的范围:是指管网络还是 都管。

北京工 业大学/
赵勇

部分采纳。 根据基本要求描述结构而来。

全文 网络设备自身安全去掉了,要求加到了主机层 北京工 部分采纳。

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

面里了,建议单独说。

业大学/ 根据基本要求描述结构而来。

赵勇

全文

网络架构部分中关于架构安全的只有一条,像 无线管理、集中管理等都是架构安全。

北京工 业大学/
赵勇

部分采纳。 根据基本要求描述结构而来。

全文

三级与四级之间的级差较少,在范围上能不能 体现。

北京工 业大学/
赵勇

采纳: 通过测评实施的不同测评强度和 广度来实现。

全文

对于非法外联,测评对象不应为准入设备,防 垃圾邮件网关是否不用单独提出。

北京工 业大学/
赵勇

部分采纳。 对于非法外联,测评对象修改为终 端管理系统。防垃圾邮件网关是基

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

本要求中要求的。

中国电

全文

子技术 增加各级别汇总类大表索引,这样更清晰些。 标准化
研究院/

采纳。 增加对应表。

刘贤刚

全文

标准中有力度,还有广度、深度,相互之间的 关系,如何与基本要求对应。

中国电 子技术 标准化 研究院/ 刘贤刚

采纳: 基本要求维度为级差。测评通过测 评广度和深度来体现测评要求级 差。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

中国电

全文

标准写法不统一,有的地方是访谈,有的是询 问。

子技术 标准化 研究院/

采纳。 统一调整为访谈。

刘贤刚

阿里云

全文

单项测评结论中没有不适用,是否以后取消了 不适用。

信息技 术有限 公司/廖

不采纳。 在等级测评实施工程中,才有可能 出现不适用情况。

智杰

全文

将具体的测评对象放在测评实施里,这样是否 阿里云 部分采纳。

更清晰。

信息技 调整测评对象的描述,使之更为明

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

术有限 确;测评实施中部分做调整,明确

公司/廖 测评对象。

智杰

阿里云

信息技

术有限 部分采纳。

测评实施有多个项,单项判定中为符合、不符 公司/廖 在技术测评中,若访谈以了解为目

全文 合或部分符合,而访谈与检查的力度是不一样 智杰阿 的,则单项判定结果以检查结果为

的,应该是检查结果比访谈结果更可信。

里云信 主(合并了解性);管理测评中,

息技术 访谈结果与检查结果同时采纳。

有限公

司/廖智

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注



阿里云 不采纳。

信息技 根据基本要求的描述结构,等级测

全文 单项测评中有没有必要引入穿行测试?

术有限 评由单项测评和整体测评组成,是

公司/廖 由点到面到整体,穿行测试不适用

智杰 于等级测评。

阿里云

全文

测评单元与基本要求的文本号之间没有对应 关系。

信息技 术有限 公司/廖

采纳。 以汇总表方式体现测评单元与基 本要求条款的对应。

智杰

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

解放军

全文

进一步对照基本要求和设计要求修改,不要有 矛盾。

信息安 全测评 中心/崔

采纳。 已进行对照修改。

书昆

解放军

全文

信息安 文字进一步梳理,不要有歧义,不要词不达意。 全测评
中心/崔

采纳。 已进行文字校对。

书昆

八、标准草案第五稿,2016 年 9 月 18 日,测评机构和用户反馈,2016 年 9 月 18 日填写

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

全文

?应用和数据安全部分:特别是 3,4 级系统,建 议加入“抗抵赖”、“重放检测”、“时间戳”等安 全要求;

中国邮 政储蓄 银行

采纳: 随基本要求修订。

全文

应用和数据安全部分:建议加入“系统参数及 代码完整性”的安全要求,特别是这些对于 app 客户端有实际测评意义。

中国邮 政储蓄 银行

采纳: 随基本要求(移动互联)修订。

全文

另外“密码管理”部分,除管理要求外,建议对 中国邮 不采纳: 技术上提些要求。比如加密算法的选择,特别 政储蓄 由国家密码局规定,本标准只能规

是国密算法的选择。

银行 定符合国家规定。

全文

在技术类测试确定测评对象上,有些条款写了 国家广 部分采纳: 相关人员,有些则没有写,比如 7.1.2 测评对 播电影 已经调整。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

象是“网络管理员或综合网管系统”。测评对 电视总

象是“网络管理员和网络拓扑图”等,而在通 局广播

信传输部分,测评实施中都访谈了安全管理 电视信

员,在测评对象中则没有安全管理员。文中有 息安全

多处这样不一致的地方,我认为不应该把人员 测评中

作为测评对象,因为测评面对的是技术系统安 心/张瑞

全和部门的安全管理,而不是某一个人员,所 芝

以要统一的话,建议在测评对象中去掉相关人

员的描述。

全文

在管理类测试中,有些测评对象是人员,建议 都改为相关的文档资料,如“”,测评对象是 “信息安全主管”,我认为应该改为“授权文

国家广 播电影 电视总

部分采纳: 已经调整。

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

件”,因为人员不应该是测评对象,应该是制 局广播

度、文件、记录等等是测评对象。因为信息安 电视信

全基础是对人的防范,所有人都是受技术和管 息安全

理的安全策略防范的,人是被约束的对象,被 测评中

访谈的对象,而不是被测试的对象。

心/张瑞



有些测试实施文字中,多处提到“验证策略有 国家广

效性”,很难实现啊,如“”中,对“IPS 、 播电影 部分采纳:

全文

IDS 、抗 APT 攻击、防 DDoS 和网络回溯等系 电视总 调整相关描述,体现不同级别测评 统或设备等测试对象”,“3) 应测试网络入 局广播 强度不同和保障策略有效性及一

侵防范设备,验证其策略有效性”;改为查看 电视信 致性。

其策略,如何?

息安全

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

测评中

心/张瑞



国家广

播电影

“”在结果判定中,“如果 1 )- 2)均为肯定, 电视总

全文

则等级保护对象符合本单项测评指标要求,否 则,等级保护对象不符合本单项测评指标要 求。”,没有不符合或部分符合的描述,与其他

局广播 电视信 息安全

采纳: 已经调整。

测评项的描述不一致,比如“”

测评中

心/张瑞



备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

国家广

全文

测评实施只有一条的,是不是结果判定就不应 该再有“否则,等级保护对象不符合或部分符 合本单项测评指标要求”的描述了,就一条要 么符合,要么不符合,好像应该没有部分符合 吧。如果要有部分符合,是不是就应该把一条 拆分成两条以上啊。

播电影 电视总 局广播 电视信 息安全 测评中 心/张瑞

采纳: 已经调整。



a) 测评指标

国家广

采纳:

7. 应重命名默认账号或修改这些账号的默认口 播电影

可以选择不适用。

令。

电视总

备注

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

备注

c) 测评实施

局广播

1) 应检查是否不存在默认账号或默认账号已 电视信

重命名;

息安全

2) 应检查是否已修改默认账号的默认口令。 测评中

修改意见:对于 linux 中 root,oracle 中 心/张瑞

system 等账户不易或不能重命名如何判定?



全文

文件中多处出现的一些测评实施描述中,有阈 值、使用率、复杂度等,是否应该给一个大概 的标准,便于在测评中掌握呢,如机房温湿度 范围、UPS 后备时间、CPU 使用率和内存使用 率、密码复杂度、定期更换的频率等等。

国家广 播电影 电视总 局广播 电视信 息安全

不采纳: 由于具体需求不太一致,难以在标 准中体现具体参数。

序 标准 号 条文号

意见内容

提出专家 /提出单 位

处理意见

测评中

心/张瑞



全文

为什么要有“附录 C 测评要求与设计要求对应 表”?我觉得测评要求和设计要求是属于不同 的专业范围,如果是基本要去与设计要求对应 表是可以理解的,测评要求是基于基本要求 的,测评要求与设计要求的对应完全取决于基 本要求,把这个对应表放在这里好奇怪。如果 一定要有对比,也应该放在基本要求里,是基 本要求与设计要求的对应。

国家广 播电影 电视总 局广播 电视信 息安全 测评中 心/张瑞


部分采纳: 调整附录 C。

备注

信息安全技术 网络安全等级保护测评要求 第 1 部分:安全通用要求标准编制修订组 2016 年 9 月 18 日


相关文档

六年级下册数学习题 - 第一单元 信息窗二 第1课时 求一个数的百分之几及求比一个数多(少)百分之几的数
2019教育六年级下册数学习题课件 - 第一单元 信息窗二 第1课时 求一个数的百分之几及求比一个数多(少)百
2019教育二年级上册数学课件-第七单元信息窗2 用6~9的乘法口诀求商_青岛版(2014秋) (共17张PPT)精品英语
江苏省高淳高级中学高中物理必修一:3.5 摩擦力(第三课时)作业 Word版缺答案
2013高一物理课件第1部分第二章第四节《匀变速直线运动与汽车行驶安全》(粤教版必修1)
江苏省灌南高级中学人教必修三期末复习总结第二单元+文化传承与创新+课件
广东省东莞市寮步信义黉舍2014-2015学年七年级下学期第二阶段测验汗青试题
电脑版