首页
根据《商用密码应用安全性评估FAQ(第二版)》,被“完全评估”表明该支撑能力有明确的测评结果(包括量化评估、风险评价等)
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
根据《商用密码应用安全性评估FAQ(第二版)》,被“完全评估”表明该支撑能力有明确的测评结果(包括量化评估、风险评价等)
A、正确
B、错误
正确答案:A
Tag:
安全性
风险
密码
时间:2024-04-18 13:47:28
上一篇:
根据《商用密码应用安全性评估FAQ(第二版)》,云平台运行所在的机房同时支撑了云平台和云上应用在物理和环境安全层面的密码应用安全,将在云平台密码应用安全性评估时被“完全评估”。
下一篇:
根据《商用密码应用安全性评估FAQ(第二版)》,如果云平台的电子签章系统仅用于支撑了云上应用进行合同签署,实现抗抵赖保护,而不用于云平台本身,则电子签章服务属于被部分评估的支撑能力。
相关答案
1.
《商用密码应用安全性评估FAQ(第二版)》中,关于云平台测评提及的被部分评估的支撑能力,指的是云平台提供的某些支撑服务,这些支撑服务仅用于云上应用而不用于云平台,或者将服务于云平台和云上应用的不同测评对象。
2.
根据《商用密码应用安全性评估FAQ(第二版)》,在对云平台进行密评时,云平台密码资源池的密码管理平台通常作为应用和数据安全层面的测评对象。
3.
如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等未开展密评,测评时,密评人员也需现场取证,对其进行测评。
4.
某三级信息系统部署在办公大楼的机房里,机房和办公大楼都部署有视频监控系统,则办公大楼和机房的视频监控系统一定纳入测评。
5.
某三级信息系统部署在办公大楼的机房里,机房和办公大楼都部署有电子门禁系统,则仅需将机房的电子门禁系统纳入测评范围。
6.
某三级信息系统部署在公有云平台上,由云服务提供商负责机房环境管理,在对该系统开展密评时,物理和环境安全层面一定作为不适用处理。
7.
如果被测信息系统所在的IDC机房通过了密评,则可以复用密评报告中“物理和环境安全”层面的相关测评结论。
8.
如果被测信息系统部署在被测单位管辖范围之外,物理和环境安全层面的测评指标通常为适用。
9.
如果被测信息系统所在的物理机房采用多区域部署时,密评人员在测评时只需到个别机房进行现场取证。
10.
某信息系统部署在公有云平台的独立VPC内,通过云平台的堡垒机对设备进行远程管理,应将堡垒机与设备之间的远程管理通道作为网络和通信安全层面的测评对象。
热门答案
1.
某等保四级办公系统为独立的内网系统,且不允许跨网络边界进行远程运维,则整个网络和通信安全层面一定作为不适用处理。
2.
根据《商用密码应用安全性评估FAQ(第二版)》,网络和通信安全层面的测评对象主要是跨网络访问的通信信道。
3.
若信息系统在网络边界未部署SSLVPN,管理员通过互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面“通信数据完整性”测评单元应将访问堡垒机的信息传输通道作为测评对象。
4.
根据《商用密码应用安全性评估FAQ(第二版)》,网络和通信安全层面的测评对象的选择,只需区分系统所属的网络环境是内网还是外网即可确定测评对象。
5.
根据《商用密码应用安全性评估FAQ(第二版)》,可根据网络类型来确定网络和通信安全层面的测评对象。
6.
根据《商用密码应用安全性评估FAQ(第二版)》,某三级信息系统部署了经检测认证合格的服务器密码机(密码模块为二级),则密评时针对设备和计算安全层面“系统资源访问控制信息完整性”指标要求,该服务器密码机可直接判定为符合。
7.
某信息系统中通过堡垒机对设备进行远程运维,则设备和计算安全层的远程管理通信安全的测评对象不包括堡垒机。
8.
根据《商用密码应用安全性评估FAQ(第二版)》,应用和数据安全层面的测评对象为关键业务应用,关键业务应用一般情况下应包含被测系统的所有业务应用。
9.
管理员在互联网通过SSLVPN接入系统内网,登录堡垒机后采用SSH协议对设备进行远程管理,针对设备和计算安全层面的“远程管理通道安全”测评单元,应将管理员在互联网通过VPN接入系统内网的过程进行测评。
10.
根据《商用密码应用安全性评估FAQ(第二版)》,某信息系统部署了5台生产厂商为型号为操作系统版本为C的应用服务器,则在密评时需抽选任意2台应用服务器作为设备和计算安全层面的测评对象。