相关题目
4409.应用和数据安全层面测评时,经核查发现应用系统客户端调用智能密码钥匙对重要业务数据进行 SM4加密和计算SM3杂凑值后传输,服务端调用服务器密码机进行SM4解密并校验SM3杂凑值,重要业务数据无其他传输场景,则可判定重要业务数据符合本层面“重要数据传输机密性”和“重要数据传输完整性”测评指标。
4408.某三级信息系统在投入运行前进行了商用密码应用安全性评估,且具有相应的评估报告,则“投入运行前进行密码应用安全性评估”测评指标可判定为符合。
4407.依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,且可以确定实际部署的密码产品与获认证产品一致的情况下,“系统资源访问控制信息完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”,指标可判定为符合。
4406.依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,其“身份鉴别”、“日志记录完整性”测评指标可直接判定为符合。
4405.若管理员可在互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面、设备和计算安全层面的“远程管理通道安全”测评单元均可将访问堡垒机的信息传输通道作为测评对象。
4404.若管理员在互联网直接访问堡垒机(部署在机房中)对设备进行管理,在网络和通信安全层面将访问堡垒机的信息传输通道作为测评对象,在设备和计算安全层面则不能将该通道作为测评对象。
4403.密评人员对某二级信息系统进行测评时, 经核实,系统中的设备仅进行本地运维,关闭了对外运维的接口。则该测评对象的“身份鉴别”、“远程管理通道安全”测评指标均可作为不适用项。
4402.某信息系统管理员在互联网通过合规的SSL VPN接入系统内网后登录堡垒机对通用服务器进行远程管理,SSL VPN建立合规的GMSSL通道并正确启用国密算法,则设备和计算安全层面“远程管理通道安全”测评单元可判定为“符合”。
4401.依据GM/T 0115 《信息系统密码应用测评要求》,进行安全管理制度测评时,应核查各项安全管理制度是否包括密码人员管理、密钥管理、建设运行、应急处置、设备软硬件及介质管理等制度。
4400.依据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面的“安全接入认证”要求进行测评时,如条件允许,测评人员可尝试将未授权设备接入内部网络,核实即便非授权设备使用了合法IP地址,也无法访问内部网络。
