相关题目
由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。这种做法是合理的。
在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。针对这种情形,“密钥管理安全性”一定是“不符合”。
开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性 ”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。那么“通信过程中重要数据的机密性 ”的安全风险等级可以酌情降低。
某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
在测评时发现系统数据库中存储的用户口令是加盐存储的,盐值采用的策略是每100个用户换一个盐值的方式,该实现是安全的。
只需要对口令进行HMAC-SM3计算,就可以保证口令不被替换,实现实体与口令的绑定。
如果将密钥以密文形式存放在数据库中,对其采用SM4-GCM保护机密性和完整性即可,无需对密钥密文和用户的关联关系进行完整性保护。
因通信链路上可能承载多个不同应用,这些应用可能需要对各自的用户实施更细粒度的身份标记和鉴别,因此,网络和通信安全层面的鉴别一般情况下不能替代其他层面的鉴别。
