相关题目
4766.某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估,2020年建设完成后投入运行,2021年开展首次密评,测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由,对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。
4765.某二级信息系统除了灾备机房外,其中一部分部署在被测系统单位内机房,另一部分部署在云平台(由运营商托管),那么针对“物理和环境安全 ”层面的测评对象仅涉及灾备机房和被测系统单位内机房。
4764.测评人员对某一级信息系统测评时,发现该系统在规划阶段制定了密码应用方案且通过了方案评估,因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分,判定为符合。
4763.测评人员在对某三级信息系统测评时,发现该信息系统运行过程中未发生任何密码应用安全事件,因此将GB/T 39786中管理要求的“应急处置”相关指标列为不适用。
4762.在对物理和环境安全层面中的“身份鉴别”指标测评时,如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别,但在机房进出口配备专人值守并进行登记,且采用视频监控系统进行实施监控保证机房进入人员身份的真实性,可酌情降低风险等级,但该测评指标的量化评估分数依然是0分。
4761.测评人员利用Wireshark,发现某信息系统传输的重要数据为密文,数据密文长度为128比特,因此可以判定该数据使用SM4或AES密码算法进行了加密保护。
4760.密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现,该信息系统有应用管理员和普通用户两类应用用户,其中应用管理员采用基于智能密码钥匙(经检测认证合格)的登录方式,普通用户采用“口令+短信验证码”的登录方式。那么该测评单元的得分为0.5分。
4759.某信息系统的设备运维路径为:设备管理员操作终端-堡垒机-应用服务器,其中:1)从操作终端到堡垒机采用HTTPS/TLS1.2( 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)提供运维通道保护;2)从堡垒机到服务器采用SSHv2.0提供运维通道保护。那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。
4758.由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
4757.在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。这种做法是合理的。
