相关题目
4402.某信息系统管理员在互联网通过合规的SSL VPN接入系统内网后登录堡垒机对通用服务器进行远程管理,SSL VPN建立合规的GMSSL通道并正确启用国密算法,则设备和计算安全层面“远程管理通道安全”测评单元可判定为“符合”。
4401.依据GM/T 0115 《信息系统密码应用测评要求》,进行安全管理制度测评时,应核查各项安全管理制度是否包括密码人员管理、密钥管理、建设运行、应急处置、设备软硬件及介质管理等制度。
4400.依据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面的“安全接入认证”要求进行测评时,如条件允许,测评人员可尝试将未授权设备接入内部网络,核实即便非授权设备使用了合法IP地址,也无法访问内部网络。
4399.依据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面的“通信过程中重要数据的机密性”要求进行测评时,通过核查是否采用密码技术的加解密功能对通信过程中敏感信息或通信报文进行机密性保护,并验证敏感信息或通信报文机密性保护机制是否正确和有效,即可判定是否符合要求。
4398.某三级信息系统运维用户通过互联网登录SSL VPN后,再通过堡垒机进行运维操作,如果SSL VPN具有商用密码产品认证证书,则可以认为运维管理终端到SSL VPN之间的通信信道是符合 GM/T 0115《信息系统密码应用测评要求》的要求的。
4397.在网络和通信安全层面的测评中发现,系统客户端通过互联网采用HTTPS协议访问应用系统,并使用用户名+口令的方式登录应用系统,因此可以认为是对通信实体进行了双向身份鉴别。
4396.经访谈,某电子门禁系统未采用密码技术来保证电子门禁系统进出记录数据的存储完整性,但记录数据每天都定时备份到数据库中,因此针对“电子门禁记录数据存储完整性”指标可以判定为部分符合。
4395.依据GM/T 0115 《信息系统密码应用测评要求》,对于二级信息系统,物理和环境安全层面的测评对象仅涉及电子门禁系统。
4394.依据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,网络和通信安全层面“安全接入认证”指标,信息系统责任方可自行决定是否将其纳入标准符合性测评范围。
4393.依据GM/T 0115 《信息系统密码应用测评要求》,在做密钥归档检查时,密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。
