按照《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告风险分析环节时,以下情况处理合适的是()。
按照《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告风险分析环节时,以下情况处理合适的是()。
A、某三级信息系统的设备仅支持本地运维,其登录方式为“用户名+口令+指纹”,这种情形下设备和计算安全层面的“身份鉴别”指标的风险等级可酌情降低
B、某第三方支付平台和银行有业务交互需求,在应用和数据安全层面未采用密码技术对重要数据进行传输机密性保护。但采用了符合要求的密码技术建立网络通信信道,且网络和通信安全层面适用指标的测评结果为满分。因此“重要数据传输机密性”的风险等级可酌情降低
C、某三级信息系统的设备远程管理路径为:管理员终端-SSLVPN网关-通用设备(静态口令登录)。通用设备只能通过SSLVPN网关访问登录(由访问控制策略保证),若SSLVPN网关登录方式符合密评要求,则通用设备“身份鉴别”的风险等级可酌情降低
D、某省中心系统和市中心系统有业务交互需求,在网络和通信安全层面未采用密码技术建立安全通信信道,通信报文的传输机密性无法得到保障。但采用了符合要求的密码技术对重要数据传输机密性进行保护,且加密后的数据流能够覆盖网络通信信道。因此“通信过程中重要数据的机密性”的风险等级可酌情降低
正确答案:D