根据《商用密码应用安全性评估报告模板(2023版)》,分析以下给出的密评报告中“A.测评结果记录”示例,其中错误的是()
根据《商用密码应用安全性评估报告模板(2023版)》,分析以下给出的密评报告中“A.测评结果记录”示例,其中错误的是()
A、测评项:应用和数据安全层面身份鉴别测评对象:金融IC卡结果记录:某银行三级IC卡发卡系统,已完成国密改造并通过验收,该系统为用户分发了合规的金融IC卡(通过安全认证,密码模块等级为二级),用户在ATM机(或POS机上)插入IC卡进行联机交易时,在交易前首先通过在密码键盘输入PIN码实现对ATM(或POS)对金融IC卡的鉴别,未使用密码技术实现金融IC卡联机认证,因此该测评对象身份鉴别判定结果为不符合。量化判定:错/错/错
B、测评项:应用和数据安全层面数据存储机密性测评对象:用户支付口令结果记录:某银行三级的网银系统,其系统注册用户的用户支付口令存储在数据库服务器中,数据库服务器通过调用合规的签名验签服务器(通过安全认证,密码模块安全等级为二级)使用SM4算法(CBC模式)实现了用户支付口令存储机密性保护。用户支付口令存储加密密钥由合规的签名验签服务器生成,仅用于用户支付口令存储机密性保护,该密钥加密存储在签名验签服务器中,不涉及分发、导入导出。因此该测评对象存储机密性判定结果为符合。量化判定:对/对/对
C、测评项:设备和计算安全层面身份鉴别测评对象:堡垒机结果记录:受测系统管理员通过用户名+静态口令+动态口令登录堡垒机,通过在堡垒管理应用中集成动态令牌认证系统,并为用户配置动态令牌,使用合规的SM3算法实现用户的身份鉴别,身份鉴别涉及的密钥为动态令牌种子密钥,动态令牌种子密钥由服务器密码机产生,在堡垒机和动态令牌中存储、使用,不涉及分发、更新、备份、恢复、归档、撤销和销毁系统部署和使用的动态令牌为经检测认证合格的密码产品(密码模块等级为二级),因此该测评对象身份鉴别判定结果为符合。量化判定:对/对/对
D、测评项:应用和数据安全层面身份鉴别测评对象:应用用户受测系统为App,应用用户通过用户名+口令+APP扫码登录,APP集成了移动智能终端二级密码模块:通过身份认证网关、移动智能终端安全密码模块,使用合规的SM3WithSM2算法通过挑战响应机制实现身份鉴别。密钥管理由合规的密码产品执行,移动智能终端安全密码模块、身份认证网关,均具有商用密码产品认证证书,证书由合规的电子认证服务机构签发量化判定:对/对/对
正确答案:AD