96.根据《密码法》,关于电子政务电子认证服务机构认定的审批对象,下列说法正确的是( )。

4707.某信息系统为用户提供期货交易服务,交易过程涉及信息系统和用户之间的法律责任认定。用户每次交易时,需要对期货交易信息进行数字签名,用户的公钥证书为该信息系统自建的CA签发。在进行测评时,这种公钥证书的签发方式可能会导致“不可否认性”指标存在高危风险。

4706.用户登录某信息系统的方式为“用户名+口令”方式,口令通过SSL VPN加密传输保护。在进行测评时这种方式不会导致“身份鉴别”指标存在高危风险。

4705.某信息系统在“网络和通信安全”层面对接入的用户设备进行了身份鉴别,但“应用和数据安全”未对用户进行身份鉴别,而是直接使用了“网络和通信安全”层面的“身份鉴别”结果,默认接入的用户可以登录应用。因此,按照《信息系统密码应用高风险判定指引》,“身份鉴别”指标的风险可以进行适当降低;如果风险降为“低”,则该指标结果可以弥补为“符合”。

4704.某信息系统改造前,使用DES算法对数据进行加密保护,改造后,新增服务器密码机,使用SM4- GCM对原先DES加密的数据密文进行进一步加密保护。在进行测评时,这种方式一定会导致“重要数据存储机密性”指标存在高危风险。

4703.按照《信息系统密码应用高风险判定指引》,某信息系统的用户仅使用“用户名+口令”方式进行登录,则“应用和数据安全”层面的“身份鉴别”指标判定为不符合,但是不会存在高危风险。

4702.某三级信息系统采用堡垒机对服务器进行统一运维管理,堡垒机采用用户名+口令方式登录,服务器通过堡垒机采用用户名+口令方式登录,两次身份鉴别措施不相同,则针对“设备和计算安全 ”层面的身份鉴别测评可以判定系统存在中风险安全问题。

4701.未纳入《信息系统密码应用高风险判定指引》的指标条款,则一定不会导致高风险情形。

4700.依据《信息系统密码应用高风险判定指引》,在通用要求的“密码技术”方面发现的高风险问题,存在可能的缓解措施。

4699.依据《信息系统密码应用高风险判定指引》,密码应用安全管理制度描述的内容适用范围是三级及以上级别信息系统。

4698.依据《信息系统密码应用高风险判定指引》,密钥在恢复使用时,在对其他系统缺乏鉴别机制的情况下,可以被导入到其他系统中。