相关题目
4778.测评人员在对某三级信息系统的人员管理中的“建立密码应用岗位责任制度”测评时发现,该信息系统根据密码应用的实际情况,设置甲、乙、丙三人分别担任密钥管理员、密码安全审计员、密码操作员,并建立了岗位责任制度、确定了各自的岗位职责,设备与系统的管理和使用人员都有各自单独的账号。因此,该测评项可以给1分。
4777.某三级信息系统有两个独立的物理机房,其中机房1采用门禁ID卡对进入人员进行身份鉴别;机房2有两个门,其中门A采用门禁ID卡对进入人员进行身份鉴别,门B通过部署符合GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》的电子门禁系统对进入人员进行身份鉴别。针对“物理和环境安全”层面的“身份鉴别”指标,机房1的量化评估结果为0分,机房2的量化评估结果为0分。
4776.某三级信息系统使用服务器密码机(经检测认证合格)对应用的重要数据进行存储机密性保护,针对该服务器密码机的“设备和计算安全”层面的“身份鉴别”指标可以直接判定为符合。
4775.某信息系统的设备运维路径为:设备管理员终端-堡垒机-通用设备。其中,堡垒机的“身份鉴别”指标的测评结果为“符合”,那么通用设备(自身采用“用户名+口令”方式登录)的“身份鉴别”指标的量化评估分值可以一定程度上得到弥补。
4774.判断以下做法是否正确:用户在生成SM2签名密钥对时,以当前时间为种子,利用C语言的rand函数生成随机数;为了保证随机数的随机性,将该随机数再利用SHA-256算法进行杂凑计算,获得256比特数据作为私钥,并生成对应公钥。
4773.判断以下做法是否正确:用户身份鉴别完成后,用户利用签名私钥与信息系统进行SM2密钥协商,协商出会话密钥,利用SM4算法和基于SM3的HMAC算法进行通信数据的机密性和完整性保护。
4772.“密码算法和密码技术合规性”测评单元在测评时,需要汇集信息系统所有密码算法和密码技术,逐个分析其合规性,给出相应量化评估分数。
4771.测评人员发现,某二级信息系统系统未使用任何密码技术和密码产品对系统相关的物理和环境、网络和通信、设备和计算、应用和数据安全层面进行防护。鉴于系统不涉及任何密码技术和密码产品,因此将“管理制度”层面的测评指标列为不适用。
4770.某三级信息系统使用云服务器密码机对云平台内的数据进行保护,测评人员在对云服务器密码机进行测评时,发现云服务器密码机的宿主机和三个虚拟机密码机均有独立的管理界面,并通过同一管理员进行管理,管理员登录前基于合规的密码技术进行了身份鉴别。因此,对于虚拟机密码机,针对“设备和计算安全”层面的“身份鉴别”指标量化评估结果为1分。
4769.某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理,系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别,数字签名算法为SM2,因此该信息系统在“设备和计算安全 ”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。
