3215.依据《信息系统密码应用高风险判定指引》,对于通用要求“密码技术”的描述正确的是()。

好的，我们来逐一分析这道多选题的各个选项，并解释为什么选择这些答案。 ### 题目背景 题目出自《信息系统密码应用高风险判定指引》，主要考察对密码技术应用中的高风险点的理解。 ### 选项分析 **A. 测评过程中,在该方面若发现问题,存在可能的缓解措施** - **解析**：这个选项的意思是，在测评过程中如果发现密码技术方面的问题，可能存在一些缓解措施来降低风险。然而，根据《信息系统密码应用高风险判定指引》，如果在密码技术方面发现问题，通常意味着存在高风险，而不仅仅是可以通过缓解措施解决的问题。因此，这个选项不正确。 **B. 系统采用了未经安全性论证的密码协议,可能会给系统带来高风险** - **解析**：这个选项指出，如果系统使用了未经安全性论证的密码协议，可能会带来高风险。这是正确的，因为未经安全性论证的密码协议可能存在未知的安全漏洞，容易被攻击者利用。因此，这个选项是正确的。 **C. 使用TLS 1.0协议实现对通信信道的保护,可能会导致高风险** - **解析**：这个选项指出，使用TLS 1.0协议实现通信信道的保护可能会导致高风险。这是正确的，因为TLS 1.0协议已经被认为存在多个安全漏洞，不再推荐使用。现代系统应使用更安全的版本，如TLS 1.2或TLS 1.3。因此，这个选项是正确的。 **D. 信息系统选用密码技术时,需考虑该密码技术是否遵循密码相关国家标准和行业标准** - **解析**：这个选项指出，信息系统在选择密码技术时，需要考虑该技术是否符合国家标准和行业标准。这是正确的，因为遵循标准可以确保密码技术的安全性和可靠性。不符合标准的密码技术可能存在未知的风险。因此，这个选项是正确的。 ### 为什么选择BCD - **B**：系统采用未经安全性论证的密码协议会带来高风险，这是常识性的安全原则。 - **C**：使用过时的TLS 1.0协议会带来高风险，因为该协议已知存在多个安全漏洞。 - **D**：选择密码技术时应遵循国家标准和行业标准，以确保安全性和可靠性。 ### 示例 - **B**：假设一个银行系统使用了一个自定义的加密算法，但该算法没有经过任何安全性论证。这种情况下，攻击者可能找到算法的漏洞，从而盗取用户信息。 - **C**：假设一个网站使用TLS 1.0协议来保护用户的登录信息。由于TLS 1.0协议存在已知的安全漏洞，攻击者可能通过中间人攻击获取用户的敏感信息。 - **D**：假设一个医疗信息系统选择了符合国家标准的加密算法（如国密SM4），而不是某个不知名的、未经过验证的算法。这样可以确保数据的安全性和合规性。 希望这些解析和示例能帮助你更好地理解这道题目的各个选项及其正确性。