首页
密码模块仅在使用时存在物理安全威胁。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
密码模块仅在使用时存在物理安全威胁。
A、正确
B、错误
正确答案:B
Tag:
模块
物理
密码
时间:2024-04-18 13:49:01
上一篇:
GM/T0084《密码模块物理攻击缓解技术指南》中数据印痕攻击指的是通过采取措施(例如辐射、高温等)将内存电路或包含敏感信息的设备中的数据进行固化,使得在一段时间内,不能对数据进行写入、修改等操作。
下一篇:
GM/T0084《密码模块物理攻击缓解技术指南》定义的防篡改是指抵抗所有已知攻击和可能的突发攻击的物理安全机制。
相关答案
1.
对某三级信息系统的通信信道进行测评时,发现通信实体身份鉴别使用的数字证书的签名算法标识为“1.2.156.10197.1.501”,则可直接判定“身份鉴别”测评指标为“符合。
2.
根据GM/T0115《信息系统密码应用测评要求》,应用系统采用静态口令对登录用户进行身份鉴别,口令信息采用合规的密码技术进行加密传输,且采用单向递增函数实现鉴别信息防重用,则应用和数据安全层面“身份鉴别”单元测评结果有可能为符合。
3.
某二级信息系统业务应用具有“不可否认性”安全需求,并由部署的电子签章系统提供相关功能,由于GM/T0115《信息系统密码应用测评要求》中未给出第二级信息系统应用和数据安全层面“不可否认性”指标的测评要求,因此该电子签章系统及其实现功能等无法纳入测评范围。
4.
某WEB应用系统采用HTTPS协议保障重要数据传输的机密性和完整性,经使用协议分析工具捕获并分析ServerHello消息数据包,密码套件为TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA384,则被测对象部分符合“应用和数据安全”层面的“重要数据传输机密性”和“重要数据传输完整性”测评指标。
5.
经核查发现某被测业务应用通过调用服务器密码机采用SM4-GCM实现姓名、手机号、身份证号等重要用户信息存储完整性保护,服务器密码机及其密码模块安全等级合规,数据库中数据格式符合预期,则该测评对象的“重要数据存储完整性”指标可判定为符合。
6.
在对应用和数据安全层面“重要数据传输机密性”指标测评时,经使用协议分析工具捕获并分析某系统重要业务数据传输过程中的数据包,发现重要业务数据先进行BASE64编码再使用SHA256杂凑后传输,则针对“重要数据传输机密性”指标的测评结果至少为“部分符合”。
7.
政务云平台部署密码支撑平台提供密码资源的统一调度,密码支撑平台采用token验证的方式对接入的租户业务应用系统进行鉴权,该过程可考虑在应用和数据安全层面进行“身份鉴别”指标测评。
8.
在对应用和数据安全层面“身份鉴别”指标测评时发现,应用系统业务用户采用了具有商用密码产品认证证书(证书在有效期内)的智能密码钥匙进行用户登录身份鉴别,具体为智能密码钥匙与用户身份ID绑定,应用通过读取智能密码钥匙中存储的用户ID做身份鉴别,则针对应用用户“身份鉴别”指标的测评结果至少为“部分符合”。
9.
某行业主管部门建设电子认证服务系统为本行业提供数字证书制作及签发服务,其网络安全等级保护定级为三级。
10.
某云管平台面向云管理员提供云资源统一调度、统一管理等功能,面向云租户提供资源实例的申请开通、资源实例的操作等功能。
热门答案
1.
对于信息系统中部署和使用的密码设备,核查其商用密码产品认证证书时发现其证书已过期,则认定该密码设备一定不符合GM/T0115《信息系统密码应用测评要求》中对“密码产品合规性”的要求。
2.
某三级信息系统管理员使用智能密码钥匙(经过商用密码检测认证且符合相应的密码模块安全等级)登录堡垒机,其中智能密码钥匙长期插入在访问堡垒机的客户端上,用户通过浏览器输入堡垒机访问地址后可直接访问,则针对设备和计算安全层面的堡垒机“身份鉴别”指标测评结果为“部分符合”。
3.
管理员在互联网通过合规的SSLVPN接入系统内网,管理员使用合规的智能密码钥匙登录SSLVPN,并正确启用国密算法,则“网络和通信安全”层面的“身份鉴别”指标可直接判定为符合。
4.
某信息系统密码应用方案中写明设备和计算安全层面未设置重要信息资源安全标记,明确“重要信息资源安全标记”为不适用项,且密码应用方案通过评估,测评人员经核查系统满足方案中的不适用理由,因此该指标可判定为“不适用”。
5.
根据GM/T0115《信息系统密码应用测评要求》,管理员在互联网通过SSLVPN接入系统内网,由于SSLVPN建立了网络和通信安全层面的通信信道,故SSLVPN不作为“设备和计算安全层面”的测评对象。
6.
根据GM/T0115《信息系统密码应用测评要求》,某三级信息系统重要可执行程序在生成时基于数字签名技术进行签名,在应用服务器端调用时未做验签,数字签名计算使用的密码算法、密码产品和密钥管理等均合规,则针对“设备和计算安全”层面的“重要可执行程序完整性、重要可执行程序来源真实性”测评指标的判定结果为“部分符合”。
7.
根据GM/T0115《信息系统密码应用测评要求》,若系统通过调用合规的服务器密码机,使用SM3算法(加盐值)计算设备日志记录的杂凑值并定期进行校验,则能够实现设备日志记录的完整性保护。
8.
根据GM/T0115《信息系统密码应用测评要求》,在测评设备和计算安全层面时,针对系统类的密码产品(如电子签章系统、数字证书认证系统),若密码产品具有合格的商用密码产品认证证书,则该密码产品的“系统资源访问控制信息完整性”测评指标可直接判定为符合。
9.
密评人员在对网络和通信安全层面进行测评时,可通过端口扫描工具探测IPSecVPN和SSLVPN服务端所对应的端口服务是否开启,其中SSLVPN服务要求开启TCP443端口,不得修改端口。
10.
在某三级系统的测评中发现,被测单位在制度中规定了人员离岗时及时终止其所有密码应用相关的访问权限、操作权限,并具有相关的记录。