首页
开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
A、正确
B、错误
正确答案:A
Tag:
设备
远程管理
信息系统
时间:2024-04-18 13:46:41
上一篇:
某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。
下一篇:
在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。
相关答案
1.
某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
2.
在测评时发现系统数据库中存储的用户口令是加盐存储的,盐值采用的策略是每100个用户换一个盐值的方式,该实现是安全的。
3.
只需要对口令进行HMAC-SM3计算,就可以保证口令不被替换,实现实体与口令的绑定。
4.
如果将密钥以密文形式存放在数据库中,对其采用SM4-GCM保护机密性和完整性即可,无需对密钥密文和用户的关联关系进行完整性保护。
5.
因通信链路上可能承载多个不同应用,这些应用可能需要对各自的用户实施更细粒度的身份标记和鉴别,因此,网络和通信安全层面的鉴别一般情况下不能替代其他层面的鉴别。
6.
公钥必须保护其与实体的绑定关系,对称密钥没有这种必要,因此在测评时,主要关注的是对称密钥的机密性和完整性。
7.
判断以下做法是否正确:CA签发证书后,用户将私钥和数字证书存放在用户的U盘内保存。
8.
在进行测评时,发现某系统的主密钥采用知识拆分的方式进行导出,但是在做密钥分片存储时,使用同一个人的同一个智能密码钥匙进行保存,这种方式是不安全的。
9.
如果某个服务器密码机部署在核心交换机上,且没有部署必要的逻辑隔离措施,这种部署方式存在很高的安全隐患。
10.
对各个层面的“身份鉴别”指标测试时,主要检查所使用的密码算法是否合规和相应的密钥管理是否安全,抗重放攻击不是该指标的考察范围。
热门答案
1.
某单位规划在2023年新建一个三级信息系统(协同办公信息系统),按照《国家政务信息化项目建设管理办法》(国办发[2019]57号)要求,系统建设完成后应通过商用密码应用安全性评估。
2.
根据《商用密码应用安全性评估报告模板(2023版)》,密评结果记录应形成单独的文件,在密评结束后由密评机构归档,不用作为附件附在密评报告后面,密码管理部门需要检查时可要求密评机构提供。
3.
根据《商用密码应用安全性评估报告模板(2023版)》,当被测信息系统中存在可能涉及高风险的安全问题,但因为具备一定的缓解措施而降低为中风险时,应在信息系统密评报告测评结果记录部分修正测评结果为部分符合。
4.
根据《商用密码应用安全性评估报告模板(2023版)》,当被测信息系统经过测评结果修正,涉及到单元间或层面间的分值调整时,在信息系统密评报告的“检测结果记录”部分将测评对象及测评单元的原始分值替换为调整后的得分即可。
5.
某三级信息系统在其通过密评的密码应用方案中将“不可否认性”作为不适用项,并说明系统无不可否认性保护需求,密评机构测评人员在实际测评过程中,发现该系统存在不可否认性应用场景,依据通过密评的密码应用方案,应在信息系统密评报告“检测结果记录”部分将该项判定为“不适用”。
6.
被测系统责任单位制定有密码应用应急处置方案,但截至目前系统未发生过密码应用相关安全事件,根据《商用密码应用安全性评估报告模板(2023版)》,应在信息系统密评报告的“检测结果记录”部分将“事件处置”、“向有关主管部门上报处置情况”两个测评项判定为“不适用”。
7.
在《商用密码应用安全性评估报告模板(2023版)》中,可按照威胁类型和威胁发生频率进行风险分析,并将单元测评后的部分符合项或不符合项逐一进行关联威胁确认、风险分析和风险等级判定。
8.
密评人员在编制系统密评报告风险分析部分时,将网络和通信安全“通信过程中重要数据的机密性”测评单元降至中低风险,并给出如下分析:在网络和通信安全层面未采用密码技术建立安全通信信道,但采用了符合要求的密码技术对重要数据传输机密性进行保护,因此“通信过程中重要数据的机密性”的风险等级可以酌情降低。
9.
根据《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告的风险分析内容时,如果不存在《商用密码应用安全性评估高风险判定指引》中的高风险项,则可以判定被测系统一定不会面临高风险。
10.
根据《商用密码应用安全性评估报告模板(2023版)》,系统密评报告中的整体测评结果为修正后的整体测评结果和量化评估分数。