3148.根据《商用密码应用安全性评估量化评估规则(2021版)》,量化评估从()方面进行。
答案解析
解析:
首先,密码使用有效性是指密码在实际应用中的有效性,包括密码的复杂性、长度、是否定期更换等方面。一个强密码是保护系统安全的基础,因此评估密码使用有效性是非常重要的。
其次,密码算法/技术合规性是指密码算法和技术是否符合安全标准和规范,是否存在已知的漏洞和弱点。选择合适的密码算法和技术对于保护数据的安全至关重要,评估其合规性可以帮助确保系统的安全性。
最后,密钥管理安全是指密钥的生成、存储、传输和销毁等过程是否安全可靠。密钥是保护数据安全的关键,因此密钥管理的安全性对于系统的整体安全性至关重要。评估密钥管理安全可以帮助发现潜在的风险并加强密钥管理措施。
通过以上三个方面的评估,可以全面了解商用密码应用的安全性,并采取相应的措施来加强系统的安全防护。
相关知识点:
商用密码评估方面清
相关题目
1655.某三级信息系统用户端与服务端之间进行通信时,只对服务端进行了基于密码的身份鉴别且身份 鉴 别 机 制 有 效 , 使 用 的 签 名 算 法 为 SM2withSM3,针对“网络和通信安全”层面的“身份鉴别”指标最高可以给()分。
1654.某三级信息系统的系统管理员通过堡垒机登录通用服务器并对其进行远程管理,进入堡垒机后,系统管理员通过用户名+口令的方式访问通用服务器。系统管理员登录堡垒机时通过部署具有商用密码产品认证证书的安全浏览器(安全等级二级)和智能密码钥匙(安全等级二级)并基于数字证书(在有效期内)的方式进行身份鉴别,算法为SM2。因此该系统在“设备和计算安全”层面的通用服务器测评对象的“身份鉴别”指标D、K的判定结果为()。
1653.某三级信息系统,制定了密码安全应急策略,规定了相关应急事件处置措施和流程,明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置情况。该系统目前未发生过密码应用安全事件,无相应处置记录。针对“应急处置”层面的“事件处置”指标最高可以给()分。
1652.某三级信息系统的重要数据包括用户口令、日志信息、业务数据,这三类数据的存储机密性量化评估分值分别为0.25、0.5、0.25,针对“应用和数据安全”层面的“重要数据存储机密性”的测评单元得分为()。
1651.某三级信息系统通过HMAC-SM3对重要数据计算 MAC值后与数据原文一同存储在数据库中,密码运算为软件实现,针对“应用和数据安全”层面的“重要数据存储完整性”指标最高可以给()分。
1650.某三级信息系统,网络和通信安全层面采用了合规的密码技术进行通信实体身份鉴别,测评人员经核实后判定结果为1分;应用和数据安全层面采用“用户名+口令”的方式对业务系统登录用户进行身份鉴别。则“应用和数据安全”层面的“身份鉴别”指标的应用用户测评对象经“网络和通信安全”层面“身份鉴别”指标结果弥补后的量化评估分值为()。
1649.某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“身份鉴别”指标的量化评估结果最多为()分。
1648.应用服务器的数据库中,用户的单条记录(包括口令杂凑值、身份证号、手机号等密文值、角色、权限等)利用HMAC-SM3计算后, 把得到的 MAC值一并存放在该条目中,针对“应用和数据安全”层面的“重要数据存储完整性”指标判定最多可以给()分。
1647.某信息系统在数据库中存储有用户的性别字段的密文,应用开发人员告知密评人员该字段采用 SM4-CBC算法进行了加密。密评人员查看该字段信息发现只存在两种密文值,每个密文值长度为 128比特。那么以下推断正确的是()。
1646.以下因素()可能导致数字签名功能不正确。
