首页
应用和数据安全层面的密码应用通常与信息系统承载的业务息息相关,这部分应是密评报告中“密码应用情况”章节重点描述的内容。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
应用和数据安全层面的密码应用通常与信息系统承载的业务息息相关,这部分应是密评报告中“密码应用情况”章节重点描述的内容。
A、正确
B、错误
正确答案:A
Tag:
密码
息息相关
信息系统
时间:2024-04-18 13:46:03
上一篇:
按照《商用密码应用安全性评估报告模板(2023版)》,被测信息系统“总体评价”部分的部分符合项及不符合项数量总和,与“安全问题及改进建议”中的高、中风险数量总和应该一致。
下一篇:
根据《商用密码应用安全性评估报告模板(2023版)》,在密评报告中,应在“测评工具检查点”章节体现对系统中部署的每个设备的配置检查,且需要体现对信息系统传输、存储的数据进行抓取、分析。
相关答案
1.
按照《商用密码应用安全性评估报告模板(2023版)》,二级系统的密评报告总体评价中,管理制度安全层面测评结果可能存在:符合1项,部分符合1项,不符合1项的情况。
2.
按照《商用密码应用安全性评估报告模板(2023版)》,密评结论不能作为系统构成组件(如密码产品)的评估结论。
3.
按照《商用密码应用安全性评估报告模板(2023版)》,被测信息系统业务发生重大变更后,应重新对其进行评估,已出具的密评报告不再适用。
4.
按照《商用密码应用安全性评估报告模板(2023版)》,委托密评机构开展密评的运营者,可以委托密评机构具体承担备案工作。
5.
某云平台为三级信息系统,已进行了密评,评估结论为基本符合。
6.
按照《商用密码应用安全性评估报告模板(2023版)》,即便信息系统密码应用方案通过了评估,那么针对某个安全层面的某个测评指标或者某个测评指标相关的测评对象,可能存在系统密评报告与方案密评报告中的判定结果不一致的情况。
7.
依据《信息系统密码应用高风险判定指引》,二级及以上的信息系统必须具备密码安全管理制度,否则在密评时会因不具备密码应用安全管理制度而面临高风险。
8.
依据《信息系统密码应用高风险判定指引》,新建二级信息系统如果未制定密码应用方案,密评时不会因未制定密码应用方案而面临高风险。
9.
依据《信息系统密码应用高风险判定指引》,某四级信息系统在网络和通信安全层面,存在安全接入认证需求,但采用密码技术实现短时间内难以实现,因此,可以通过设置白名单和终端ID绑定方式对该项测评指标面临的安全风险进行缓解。
10.
按照《信息系统密码应用高风险判定指引》,某二级信息系统在网络和通信安全层面,未使用密码技术实现通信前通信实体的身份鉴别,则密评时网络和通信安全层面身份鉴别测评单元的风险评价结果应为高风险。
热门答案
1.
某信息系统为用户提供期货交易服务,交易过程涉及信息系统和用户之间的法律责任认定。
2.
用户登录某信息系统的方式为“用户名+口令”方式,口令通过SSLVPN加密传输保护。
3.
某信息系统在“网络和通信安全”层面对接入的用户设备进行了身份鉴别,但“应用和数据安全”未对用户进行身份鉴别,而是直接使用了“网络和通信安全”层面的“身份鉴别”结果,默认接入的用户可以登录应用。
4.
某信息系统改造前,使用DES算法对数据进行加密保护,改造后,新增服务器密码机,使用SM4-GCM对原先DES加密的数据密文进行进一步加密保护。
5.
按照《信息系统密码应用高风险判定指引》,某信息系统的用户仅使用“用户名+口令”方式进行登录,则“应用和数据安全”层面的“身份鉴别”指标判定为不符合,但是不会存在高危风险。
6.
某三级信息系统采用堡垒机对服务器进行统一运维管理,堡垒机采用用户名+口令方式登录,服务器通过堡垒机采用用户名+口令方式登录,两次身份鉴别措施不相同,则针对“设备和计算安全”层面的身份鉴别测评可以判定系统存在中风险安全问题。
7.
未纳入《信息系统密码应用高风险判定指引》的指标条款,则一定不会导致高风险情形。
8.
依据《信息系统密码应用高风险判定指引》,在通用要求的“密码技术”方面发现的高风险问题,存在可能的缓解措施。
9.
依据《信息系统密码应用高风险判定指引》,密码应用安全管理制度描述的内容适用范围是三级及以上级别信息系统。
10.
依据《信息系统密码应用高风险判定指引》,密钥在恢复使用时,在对其他系统缺乏鉴别机制的情况下,可以被导入到其他系统中。