首页
依据GM/T0115《信息系统密码应用测评要求》,在设备和计算安全层面,应将系统中全部的设备做为独立的测评对象进行测评和量化评估。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
依据GM/T0115《信息系统密码应用测评要求》,在设备和计算安全层面,应将系统中全部的设备做为独立的测评对象进行测评和量化评估。
A、正确
B、错误
正确答案:B
Tag:
设备
信息系统
层面
时间:2024-04-18 13:47:56
上一篇:
依据GM/T0115《信息系统密码应用测评要求》,交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备,一般可不作为设备和计算安全层面的测评对象。
下一篇:
依据GM/T0115《信息系统密码应用测评要求》,某信息系统通过堡垒机集中运维管理设备,而堡垒机前部署了合规的SSLVPN,管理员使用合规的身份鉴别机制登录SSLVPN,则在设备和计算安全层面,堡垒机的“身份鉴别”可判定为“符合”。
相关答案
1.
依据GM/T0115《信息系统密码应用测评要求》,在三级信息系统的测评中,针对“建立密码应用岗位责任制度”指标的测评,需要核查相关设备与系统的管理和使用账号是否存在多人共用的情况。
2.
依据GM/T0115《信息系统密码应用测评要求》,在对“网络和通信安全”层面测评时,如果网络边界的访问控制信息存储在具有商用密码产品认证证书的VPN类设备中,则针对该层面“网络边界访问控制信息的完整性”指标可直接判定为“符合”。
3.
依据GM/T0115《信息系统密码应用测评要求》,某三级信息系统,经核查和验证,网络通信信道采用了具有商用密码产品认证证书的SSLVPN设备,SSL协议使用的密码算法套件为ECC_SM4_SM3,因此判定该网络信道符合“通信数据完整性”和“通信过程中重要数据机密性”测评指标的要求。
4.
根据GM/T0115《信息系统密码应用测评要求》,网络和通信安全层面的测评对象不包括信息系统内不同应用服务器之间的通信信道(在同一网段内)。
5.
依据GM/T0115《信息系统密码应用测评要求》,经核查和验证某视频监控系统采用HMAC-SHA512算法(算法实现正确)来保证视频监控音像记录数据的存储完整性,因此“视频监控记录数据存储完整性”指标可判定为“部分符合”。
6.
根据GM/T0115《信息系统密码应用测评要求》,密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性和密钥管理安全性不单独判定符合性,也不单独体现在密码应用安全性评估报告的单元测评结果和整体测评结果中。
7.
依据GM/T0115《信息系统密码应用测评要求》,某三级信息系统密码应用方案中网络和通信安全层面,“身份鉴别”指标要求验证通信双方身份鉴别的有效性,密评人员应按照密码应用方案的要求进行测评,并将结论体现在密评报告中。
8.
依据GM/T0115《信息系统密码应用测评要求》,被测信息系统有密码应用方案且方案通过评估,密码应用方案中明确“物理和环境安全”层面的测评指标为“不适用”。
9.
根据GM/T0115《信息系统密码应用测评要求》,信息系统的测评结论是由量化评估的得分以及风险分析和评价共同决定的。
10.
密评人员在执行GM/T0115《信息系统密码应用测评要求》中的风险分析和评价环节时,可参考《信息系统密码应用高风险判定指引》。
热门答案
1.
根据GM/T0115《信息系统密码应用测评要求》,整体测评环节要考虑单元间、对象间是否存在相互弥补的情况。
2.
根据GM/T0115《信息系统密码应用测评要求》,密码应用技术测评要求中的测评单元若涉及两个测评对象,则每个测评对象需要分别进行测评实施和结果判定,再汇总得出测评单元的结果。
3.
在GM/T0115《信息系统密码应用测评要求》中,测评单元由测评指标、测评对象、测评实施这三个要素组成。
4.
在对某三级信息系统进行密评时,只要是GB/T39786《信息安全技术信息系统密码应用基本要求》中“应”的条款,则密评人员务必按照GM/T0115《信息系统密码应用测评要求》中相应的测评指标要求进行测评和结果判定。
5.
信息系统是否涉及GM/T0115《信息系统密码应用测评要求》中某项测评指标的安全需求,可通过是否采用密码技术实现该条款的安全防护加以判断。
6.
根据GM/T0115《信息系统密码应用测评要求》,对于“宜”的条款,密评人员无需参考方案评估意见,在测评时只需核实密码应用方案中所描述的风险控制措施是否落实即可。
7.
根据GM/T0115《信息系统密码应用测评要求》,对于“可”的条款,也存在测评指标“不适用”的情形。
8.
根据GM/T0115《信息系统密码应用测评要求》,对于“可”的条款,由信息系统责任方自行决定是否按照GM/T0115《信息系统密码应用测评要求》相应测评指标要求进行测评和结果判定。
9.
根据《商用密码应用安全性评估FAQ(第二版)》,信息系统采用经认证合格的密码产品是密钥管理安全性(D)判定为“符合”的必要条件。
10.
在应用和数据安全层面,访问控制信息主要包括应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。