相关题目
依据GM/T 0115 《信息系统密码应用测评要求》,对于政务信息公开网站、门户网站等面向公众的业务应用系统,由于任何人均可访问,且网站数据可以公开,因此应用和数据安全层面“重要数据存储机密性”指标可判定为“不适用”。
依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面“重要数据传输机密性”的测评对象通常包括但不限于应用系统鉴别数据、重要业务数据、个人敏感信息、审计数据、日志数据、访问控制数据、重要配置数据等。
经核查,被测业务应用系统无重要信息资源安全标记功能,则应用和数据安全层面“重要信息资源安全标记完整性”指标不适用。
被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。依据GM/T 0115《信息系统密码应用测评要求》,应用和数据安全层面“访问控制信息完整性”测评实施主要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。
依据GM/T 0115 《信息系统密码应用测评要求》,对云平台的SAAS应用,应用和数据安全层面的测评由云平台负责,租户信息系统密评时可直接复用云平台测评结果。
根据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的测评对象包括业务应用系统以及提供身份鉴别、完整性保护、机密性保护、不可否认性功能的密码产品。
依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的测评对象应包含关键业务应用,具体参考经评估通过的密码应用方案设定的范围确定;如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。
某三级信息系统,在其密码应用方案中将设备和计算安全层面的“重要可执行程序完整性、重要可执行程序来源真实性”判定为不适用,且方案通过评估,则在测评过程中,依据GM/T 0115《信息系统密码应用测评要求》,可直接将该项判定为不适用。
依据GM/T 0115 《信息系统密码应用测评要求》,经核查,某系统责任单位制定有被测系统的商用密码应用方案,则“建设运行”层面的“制定密码应用方案”测评指标则判定为符合。
依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统通过堡垒机对设备进行集中运维管理,管理员使用合规的智能密码钥匙登录堡垒机,采用基于国密算法的数字签名机制进行身份鉴别,若堡垒机服务端的验签未采用经商用密码检测认证合格的密码产品实现,则堡垒机的“身份鉴别”指标应判为部分符合。
