首页
“密码算法和密码技术合规性”测评单元在测评时,需要汇集信息系统所有密码算法和密码技术,逐个分析其合规性,给出相应量化评估分数。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
“密码算法和密码技术合规性”测评单元在测评时,需要汇集信息系统所有密码算法和密码技术,逐个分析其合规性,给出相应量化评估分数。
A、正确
B、错误
正确答案:B
Tag:
密码
算法
技术
时间:2024-04-18 13:46:56
上一篇:
测评人员发现,某二级信息系统系统未使用任何密码技术和密码产品对系统相关的物理和环境、网络和通信、设备和计算、应用和数据安全层面进行防护。
下一篇:
判断以下做法是否正确:用户身份鉴别完成后,用户利用签名私钥与信息系统进行SM2密钥协商,协商出会话密钥,利用SM4算法和基于SM3的HMAC算法进行通信数据的机密性和完整性保护。
相关答案
1.
某三级信息系统使用云服务器密码机对云平台内的数据进行保护,测评人员在对云服务器密码机进行测评时,发现云服务器密码机的宿主机和三个虚拟机密码机均有独立的管理界面,并通过同一管理员进行管理,管理员登录前基于合规的密码技术进行了身份鉴别。
2.
某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理,系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别,数字签名算法为SM2,因此该信息系统在“设备和计算安全”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。
3.
某三级信息系统所在机房部署符合GM/T0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“电子门禁记录数据存储完整性”指标可以判定为符合。
4.
测评人员在对某四级信息系统进行测评时,核实该信息系统所属机构建立了密码应用岗位责任制度,设置了密钥管理员、密码安全审计员、密码操作员,其中密钥管理员和密码安全审计员均由被测系统所属机构内部人员担任,密码操作员由被测系统承包商担任,且密码安全审计员与密钥管理员、密码操作员为不同人员,因此针对“人员管理”层面的“建立密码应用岗位责任制度”指标可以判定为符合。
5.
某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估,2020年建设完成后投入运行,2021年开展首次密评,测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由,对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。
6.
某二级信息系统除了灾备机房外,其中一部分部署在被测系统单位内机房,另一部分部署在云平台(由运营商托管),那么针对“物理和环境安全”层面的测评对象仅涉及灾备机房和被测系统单位内机房。
7.
测评人员对某一级信息系统测评时,发现该系统在规划阶段制定了密码应用方案且通过了方案评估,因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分,判定为符合。
8.
测评人员在对某三级信息系统测评时,发现该信息系统运行过程中未发生任何密码应用安全事件,因此将GB/T39786中管理要求的“应急处置”相关指标列为不适用。
9.
在对物理和环境安全层面中的“身份鉴别”指标测评时,如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别,但在机房进出口配备专人值守并进行登记,且采用视频监控系统进行实施监控保证机房进入人员身份的真实性,可酌情降低风险等级,但该测评指标的量化评估分数依然是0分。
10.
测评人员利用Wireshark,发现某信息系统传输的重要数据为密文,数据密文长度为128比特,因此可以判定该数据使用SM4或AES密码算法进行了加密保护。
热门答案
1.
密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现,该信息系统有应用管理员和普通用户两类应用用户,其中应用管理员采用基于智能密码钥匙(经检测认证合格)的登录方式,普通用户采用“口令+短信验证码”的登录方式。
2.
某信息系统的设备运维路径为:设备管理员操作终端-堡垒机-应用服务器,其中:1)从操作终端到堡垒机采用HTTPS/TLS1.2(选用密码套件为TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)提供运维通道保护;2)从堡垒机到服务器采用SSHv2.0提供运维通道保护。
3.
由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。
4.
在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。
5.
在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。
6.
开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
7.
某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。
8.
某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
9.
在测评时发现系统数据库中存储的用户口令是加盐存储的,盐值采用的策略是每100个用户换一个盐值的方式,该实现是安全的。
10.
只需要对口令进行HMAC-SM3计算,就可以保证口令不被替换,实现实体与口令的绑定。