3154.某三级信息系统, 在内网接入区通过部署SSL VPN网关(经检测认证的二级密码模块)、国密浏览器(经检测认证的一级密码模块),实现对办公内网通道的密码应用改造。上述使用的密码产品均进行了正确的配置。根据《商用密码应用安全性评估量化评估规则(2021版)》,以下量化评估描述中,正确的有()。

1649.某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“身份鉴别”指标的量化评估结果最多为()分。

1648.应用服务器的数据库中,用户的单条记录(包括口令杂凑值、身份证号、手机号等密文值、角色、权限等)利用HMAC-SM3计算后, 把得到的 MAC值一并存放在该条目中,针对“应用和数据安全”层面的“重要数据存储完整性”指标判定最多可以给()分。

1647.某信息系统在数据库中存储有用户的性别字段的密文,应用开发人员告知密评人员该字段采用 SM4-CBC算法进行了加密。密评人员查看该字段信息发现只存在两种密文值,每个密文值长度为 128比特。那么以下推断正确的是()。

1646.以下因素()可能导致数字签名功能不正确。

1645.用户在某银行网点取钱,输入支付口令后,该口令途经两段传输过程:1)ATM机到银行服务端金融数据密码机(经检测认证合格),采用SM4算法提供传输机密性;2)银行服务端金融数据密码机(经检测认证合格)到银行服务端核心系统服务器(非直连),采用AES-128提供传输机密性。以口令作为测评对象,其“重要数据传输机密性”的判定结果为()。

1644.某三级信息系统开发人员采用密码机(经检测认证的一级密码模块)实现的SM4算法,为具有“重要数据传输机密性”安全需求的数据提供相应密码保护,经密评人员确认该指标测评对象有2个,且密码保护有效。那么该指标的判定结果较为合理的是()。

1643.某四级信息系统,对物理和环境安全“身份鉴别”这一项,其密码应用方案中论述了无法采用密码技术的客观因素,并提供了目前采用的风险控制措施,即“口令+指纹”,密评人员在实际测评时核实方案中的措施已落实。那么作为该条款的测评结论合理的是()。

1642.在设备和计算安全层面,若存在100台服务器,其中60台为A厂商生产且为同一型号,40台为B厂商生产且为同一型号,同一厂商的硬件/软件配置相同。为提高测评效率,同时避免遗漏测评对象,以下测评对象选取方法合理的是()。

1641.某二级信息系统,对物理和环境安全层面“身份鉴别”这一项,其密码应用方案中论述了无法采用密码技术的客观因素,并提供了目前采用的风险控制措施,即人脸识别,密评人员在实际测评时核实密码应用方案中的措施已落实。那么作为该条款的测评结论合理的是()。

1640.某信息系统部署在云服务提供商( )机房,其物理机房完全由CSP托管,那么在对该信息系统进行密评时,在物理和环境安全层面合理的做法是()。