相关题目
4762.在对物理和环境安全层面中的“身份鉴别”指标测评时,如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别,但在机房进出口配备专人值守并进行登记,且采用视频监控系统进行实施监控保证机房进入人员身份的真实性,可酌情降低风险等级,但该测评指标的量化评估分数依然是0分。
4761.测评人员利用Wireshark,发现某信息系统传输的重要数据为密文,数据密文长度为128比特,因此可以判定该数据使用SM4或AES密码算法进行了加密保护。
4760.密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现,该信息系统有应用管理员和普通用户两类应用用户,其中应用管理员采用基于智能密码钥匙(经检测认证合格)的登录方式,普通用户采用“口令+短信验证码”的登录方式。那么该测评单元的得分为0.5分。
4759.某信息系统的设备运维路径为:设备管理员操作终端-堡垒机-应用服务器,其中:1)从操作终端到堡垒机采用HTTPS/TLS1.2( 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)提供运维通道保护;2)从堡垒机到服务器采用SSHv2.0提供运维通道保护。那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。
4758.由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
4757.在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。这种做法是合理的。
4756.在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。针对这种情形,“密钥管理安全性”一定是“不符合”。
4755.开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
4754.某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性 ”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。那么“通信过程中重要数据的机密性 ”的安全风险等级可以酌情降低。
4753.某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
