首页
经访谈安全主管,被测三级信息系统投入运行以来尚未发生密码应用安全事件,则应急处置层面“事件处置”指标可直接判定为“不适用”。
精华吧
→
答案
→
知识竞赛
→
商用密码应用安全性评估从业人员考核
经访谈安全主管,被测三级信息系统投入运行以来尚未发生密码应用安全事件,则应急处置层面“事件处置”指标可直接判定为“不适用”。
A、正确
B、错误
正确答案:B
Tag:
事件
信息系统
层面
时间:2024-04-18 13:48:36
上一篇:
在对应用和数据安全层面“访问控制信息完整性”进行测评时,必须对生产环境下应用系统的权限、标签等配置信息进行篡改测试,才能验证完整性保护的有效性。
下一篇:
某三级信息系统在网络和通信安全层面,虽然存在通信实体的双向身份鉴别安全需求,但由于标准条款中对三级系统并未强制要求必须双向鉴别,所以在实际测评时,依据GM/T0115《信息系统密码应用测评要求》仅核查单向鉴别即可。
相关答案
1.
对于政务信息公开网站、门户网站等面向公众的业务应用系统,由于任何人均可访问,且网站数据可以公开,因此应用和数据安全层面的“身份鉴别”指标为“不适用”。
2.
应用和数据安全层面测评时,经核查发现应用系统客户端调用智能密码钥匙对重要业务数据进行SM4加密和计算SM3杂凑值后传输,服务端调用服务器密码机进行SM4解密并校验SM3杂凑值,重要业务数据无其他传输场景,则可判定重要业务数据符合本层面“重要数据传输机密性”和“重要数据传输完整性”测评指标。
3.
某三级信息系统在投入运行前进行了商用密码应用安全性评估,且具有相应的评估报告,则“投入运行前进行密码应用安全性评估”测评指标可判定为符合。
4.
依据GM/T0115《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,且可以确定实际部署的密码产品与获认证产品一致的情况下,“系统资源访问控制信息完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”,指标可判定为符合。
5.
依据GM/T0115《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,其“身份鉴别”、“日志记录完整性”测评指标可直接判定为符合。
6.
若管理员可在互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面、设备和计算安全层面的“远程管理通道安全”测评单元均可将访问堡垒机的信息传输通道作为测评对象。
7.
若管理员在互联网直接访问堡垒机(部署在机房中)对设备进行管理,在网络和通信安全层面将访问堡垒机的信息传输通道作为测评对象,在设备和计算安全层面则不能将该通道作为测评对象。
8.
密评人员对某二级信息系统进行测评时,经核实,系统中的设备仅进行本地运维,关闭了对外运维的接口。
9.
某信息系统管理员在互联网通过合规的SSLVPN接入系统内网后登录堡垒机对通用服务器进行远程管理,SSLVPN建立合规的GMSSL通道并正确启用国密算法,则设备和计算安全层面“远程管理通道安全”测评单元可判定为“符合”。
10.
依据GM/T0115《信息系统密码应用测评要求》,进行安全管理制度测评时,应核查各项安全管理制度是否包括密码人员管理、密钥管理、建设运行、应急处置、设备软硬件及介质管理等制度。
热门答案
1.
依据GM/T0115《信息系统密码应用测评要求》,针对网络和通信安全层面的“安全接入认证”要求进行测评时,如条件允许,测评人员可尝试将未授权设备接入内部网络,核实即便非授权设备使用了合法IP地址,也无法访问内部网络。
2.
依据GM/T0115《信息系统密码应用测评要求》,针对网络和通信安全层面的“通信过程中重要数据的机密性”要求进行测评时,通过核查是否采用密码技术的加解密功能对通信过程中敏感信息或通信报文进行机密性保护,并验证敏感信息或通信报文机密性保护机制是否正确和有效,即可判定是否符合要求。
3.
某三级信息系统运维用户通过互联网登录SSLVPN后,再通过堡垒机进行运维操作,如果SSLVPN具有商用密码产品认证证书,则可以认为运维管理终端到SSLVPN之间的通信信道是符合GM/T0115《信息系统密码应用测评要求》的要求的。
4.
在网络和通信安全层面的测评中发现,系统客户端通过互联网采用HTTPS协议访问应用系统,并使用用户名+口令的方式登录应用系统,因此可以认为是对通信实体进行了双向身份鉴别。
5.
经访谈,某电子门禁系统未采用密码技术来保证电子门禁系统进出记录数据的存储完整性,但记录数据每天都定时备份到数据库中,因此针对“电子门禁记录数据存储完整性”指标可以判定为部分符合。
6.
依据GM/T0115《信息系统密码应用测评要求》,对于二级信息系统,物理和环境安全层面的测评对象仅涉及电子门禁系统。
7.
依据GM/T0115《信息系统密码应用测评要求》,对于三级信息系统,网络和通信安全层面“安全接入认证”指标,信息系统责任方可自行决定是否将其纳入标准符合性测评范围。
8.
依据GM/T0115《信息系统密码应用测评要求》,在做密钥归档检查时,密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。
9.
GM/T0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。
10.
某三级信息系统,在测评应用和数据安全层面的“重要数据传输机密性”指标时,密评人员发现该系统部署了经检测认证合格的服务器密码机(安全等级二级)对重要数据进行加密保护,那么该测评单元的测评实施第二条可以直接判定为“符合”。