3167.在测评某三级信息系统应用和数据安全层面重要数据存储时发现,该系统个人敏感信息使用SM4- GCM算法算法实现数据存储保护,重要业务数据使用AES-256、HMAC-SHA-256算法实现数据存储保护,且所有密码算法均通过调用具有二级商密产品认证证书的密码设备实现,根据《商用密码应用安全性评估量化评估规则(2021版)》,下列说法不正确的是()。

好的，我们来逐一分析这道多选题的各个选项，并解释为什么选择这些答案。 ### 题目背景 题目描述了一个三级信息系统，在应用和数据安全层面使用了多种加密算法来保护重要数据和个人敏感信息。具体来说： - 个人敏感信息使用 **SM4-GCM** 算法实现数据存储保护。 - 重要业务数据使用 **AES-256** 和 **HMAC-SHA-256** 算法实现数据存储保护。 - 所有密码算法均通过调用具有 **二级商密产品认证证书** 的密码设备实现。 ### 选项分析 #### A. 该系统应用和数据安全层面重要数据存储机密性测评单元分值为0.75 - **解析**：根据《商用密码应用安全性评估量化评估规则(2021版)》，使用符合要求的密码算法和设备可以得到较高的分值。SM4-GCM 和 AES-256 都是符合要求的强加密算法，且使用了二级商密产品认证证书的密码设备，因此机密性测评单元分值为0.75是合理的。 - **结论**：正确。 #### B. 该系统应用和数据安全层面重要数据存储完整性保护测评单元分值为0.25 - **解析**：HMAC-SHA-256 是一种强完整性保护算法，且使用了二级商密产品认证证书的密码设备，根据评估规则，完整性保护测评单元分值应该较高，而不是0.25。 - **结论**：不正确。 #### C. 该系统应用和数据安全层面重要数据存储机密性和完整性保护两个测评单元分值不同 - **解析**：根据评估规则，如果使用了符合要求的强加密算法和设备，机密性和完整性保护的分值应该是相同的。题目中提到的算法和设备都符合要求，因此两个测评单元的分值应该是相同的。 - **结论**：不正确。 #### D. 若信息系统改用一级商密产品认证证书的密码设备实现重要数据存储的机密性和完整性保护,则量化评估分值不变 - **解析**：根据评估规则，使用一级商密产品认证证书的密码设备通常会比二级商密产品认证证书的设备得分更高，因为一级认证的要求更为严格。因此，改用一级商密产品认证证书的密码设备后，量化评估分值可能会提高。 - **结论**：不正确。 ### 最终答案 根据以上分析，不正确的选项是 **B、C、D**。因此，答案是 **BCD**。