90.根据《密码法》,以下关于商用密码检测、认证体系和商用密码检测、认证机构管理的表述,正确的是( )。

4713.某云平台为三级信息系统,已进行了密评,评估结论为基本符合。在该云平台上部署有一个四级信息系统(云上应用),在对该云上应用进行密评时,应依据云平台密评时的“云平台支撑能力说明”,采信“被完全评估的支撑能力”所对应测评对象的测评结果。

4712.按照《商用密码应用安全性评估报告模板(2023版)》,即便信息系统密码应用方案通过了评估,那么针对某个安全层面的某个测评指标或者某个测评指标相关的测评对象,可能存在系统密评报告与方案密评报告中的判定结果不一致的情况。

4711.依据《信息系统密码应用高风险判定指引》,二级及以上的信息系统必须具备密码安全管理制度,否则在密评时会因不具备密码应用安全管理制度而面临高风险。

4710.依据《信息系统密码应用高风险判定指引》,新建二级信息系统如果未制定密码应用方案,密评时不会因未制定密码应用方案而面临高风险。

4709.依据《信息系统密码应用高风险判定指引》,某四级信息系统在网络和通信安全层面,存在安全接入认证需求,但采用密码技术实现短时间内难以实现,因此,可以通过设置白名单和终端ID绑定方式对该项测评指标面临的安全风险进行缓解。

4708.按照《信息系统密码应用高风险判定指引》,某二级信息系统在网络和通信安全层面,未使用密码技术实现通信前通信实体的身份鉴别,则密评时网络和通信安全层面身份鉴别测评单元的风险评价结果应为高风险。

4707.某信息系统为用户提供期货交易服务,交易过程涉及信息系统和用户之间的法律责任认定。用户每次交易时,需要对期货交易信息进行数字签名,用户的公钥证书为该信息系统自建的CA签发。在进行测评时,这种公钥证书的签发方式可能会导致“不可否认性”指标存在高危风险。

4706.用户登录某信息系统的方式为“用户名+口令”方式,口令通过SSL VPN加密传输保护。在进行测评时这种方式不会导致“身份鉴别”指标存在高危风险。

4705.某信息系统在“网络和通信安全”层面对接入的用户设备进行了身份鉴别,但“应用和数据安全”未对用户进行身份鉴别,而是直接使用了“网络和通信安全”层面的“身份鉴别”结果,默认接入的用户可以登录应用。因此,按照《信息系统密码应用高风险判定指引》,“身份鉴别”指标的风险可以进行适当降低;如果风险降为“低”,则该指标结果可以弥补为“符合”。

4704.某信息系统改造前,使用DES算法对数据进行加密保护,改造后,新增服务器密码机,使用SM4- GCM对原先DES加密的数据密文进行进一步加密保护。在进行测评时,这种方式一定会导致“重要数据存储机密性”指标存在高危风险。