相关题目
4760.密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现,该信息系统有应用管理员和普通用户两类应用用户,其中应用管理员采用基于智能密码钥匙(经检测认证合格)的登录方式,普通用户采用“口令+短信验证码”的登录方式。那么该测评单元的得分为0.5分。
4759.某信息系统的设备运维路径为:设备管理员操作终端-堡垒机-应用服务器,其中:1)从操作终端到堡垒机采用HTTPS/TLS1.2( 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)提供运维通道保护;2)从堡垒机到服务器采用SSHv2.0提供运维通道保护。那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。
4758.由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
4757.在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。这种做法是合理的。
4756.在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。针对这种情形,“密钥管理安全性”一定是“不符合”。
4755.开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
4754.某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性 ”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。那么“通信过程中重要数据的机密性 ”的安全风险等级可以酌情降低。
4753.某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
4752.在测评时发现系统数据库中存储的用户口令是加盐存储的,盐值采用的策略是每100个用户换一个盐值的方式,该实现是安全的。
4751.只需要对口令进行HMAC-SM3计算,就可以保证口令不被替换,实现实体与口令的绑定。
