首页
针对通用服务器,以“具有相同硬件、软件配置的设备”为粒度确定测评对象。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
针对通用服务器,以“具有相同硬件、软件配置的设备”为粒度确定测评对象。
A、正确
B、错误
正确答案:A
Tag:
粒度
对象
硬件
时间:2024-04-18 13:47:09
上一篇:
若系统未部署SSLVPN,管理员通过互联网直接访问堡垒机对设备进行管理,在设备和计算安全层面“远程管理通道安全”测评单元可将访问堡垒机的信息传输通道作为测评对象。
下一篇:
根据《商用密码应用安全性评估FAQ(第二版)》,某信息系统部署了5台生产厂商为型号为操作系统版本为C的应用服务器,则在密评时需抽选任意2台应用服务器作为设备和计算安全层面的测评对象。
相关答案
1.
根据《商用密码应用安全性评估FAQ(第二版)》,对信息系统进行测评时,针对通用服务器,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等)和软件配置(如操作系统版本、中间件等)的服务器作为一个测评对象。
2.
根据《商用密码应用安全性评估FAQ(第二版)》,对信息系统进行测评时,若存在设备管理通道跨越网络边界的情况,需在网络和通信安全层面梳理相应的远程管理数据传输通道作为测评对象。
3.
根据《商用密码应用安全性评估FAQ(第二版)》,交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。
4.
某信息系统部署在公有云平台上,云平台所在机房未开展过商用密码应用安全性评估,在对该系统开展密评时,密评人员需到云平台所在机房现场进行取证。
5.
测评人员在对某三级信息系统的人员管理中的“建立密码应用岗位责任制度”测评时发现,该信息系统根据密码应用的实际情况,设置甲、乙、丙三人分别担任密钥管理员、密码安全审计员、密码操作员,并建立了岗位责任制度、确定了各自的岗位职责,设备与系统的管理和使用人员都有各自单独的账号。
6.
某三级信息系统有两个独立的物理机房,其中机房1采用门禁ID卡对进入人员进行身份鉴别;机房2有两个门,其中门A采用门禁ID卡对进入人员进行身份鉴别,门B通过部署符合GM/T0036《采用非接触卡的门禁系统密码应用技术指南》的电子门禁系统对进入人员进行身份鉴别。
7.
某三级信息系统使用服务器密码机(经检测认证合格)对应用的重要数据进行存储机密性保护,针对该服务器密码机的“设备和计算安全”层面的“身份鉴别”指标可以直接判定为符合。
8.
某信息系统的设备运维路径为:设备管理员终端-堡垒机-通用设备。
9.
判断以下做法是否正确:用户在生成SM2签名密钥对时,以当前时间为种子,利用C语言的rand函数生成随机数;为了保证随机数的随机性,将该随机数再利用SHA-256算法进行杂凑计算,获得256比特数据作为私钥,并生成对应公钥。
10.
判断以下做法是否正确:用户身份鉴别完成后,用户利用签名私钥与信息系统进行SM2密钥协商,协商出会话密钥,利用SM4算法和基于SM3的HMAC算法进行通信数据的机密性和完整性保护。
热门答案
1.
“密码算法和密码技术合规性”测评单元在测评时,需要汇集信息系统所有密码算法和密码技术,逐个分析其合规性,给出相应量化评估分数。
2.
测评人员发现,某二级信息系统系统未使用任何密码技术和密码产品对系统相关的物理和环境、网络和通信、设备和计算、应用和数据安全层面进行防护。
3.
某三级信息系统使用云服务器密码机对云平台内的数据进行保护,测评人员在对云服务器密码机进行测评时,发现云服务器密码机的宿主机和三个虚拟机密码机均有独立的管理界面,并通过同一管理员进行管理,管理员登录前基于合规的密码技术进行了身份鉴别。
4.
某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理,系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别,数字签名算法为SM2,因此该信息系统在“设备和计算安全”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。
5.
某三级信息系统所在机房部署符合GM/T0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“电子门禁记录数据存储完整性”指标可以判定为符合。
6.
测评人员在对某四级信息系统进行测评时,核实该信息系统所属机构建立了密码应用岗位责任制度,设置了密钥管理员、密码安全审计员、密码操作员,其中密钥管理员和密码安全审计员均由被测系统所属机构内部人员担任,密码操作员由被测系统承包商担任,且密码安全审计员与密钥管理员、密码操作员为不同人员,因此针对“人员管理”层面的“建立密码应用岗位责任制度”指标可以判定为符合。
7.
某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估,2020年建设完成后投入运行,2021年开展首次密评,测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由,对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。
8.
某二级信息系统除了灾备机房外,其中一部分部署在被测系统单位内机房,另一部分部署在云平台(由运营商托管),那么针对“物理和环境安全”层面的测评对象仅涉及灾备机房和被测系统单位内机房。
9.
测评人员对某一级信息系统测评时,发现该系统在规划阶段制定了密码应用方案且通过了方案评估,因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分,判定为符合。
10.
测评人员在对某三级信息系统测评时,发现该信息系统运行过程中未发生任何密码应用安全事件,因此将GB/T39786中管理要求的“应急处置”相关指标列为不适用。