多选题 对于某个三级信息系统,在应用和数据安全层面测评过程中,发现设备的登录采用了WEB登录方式,登录界面需要输入用户名+口令,口令经过加盐并利用SM3做杂凑,根据《商用密码应用安全性评估量化评估规则(2021版)》,则以下说法正确的是()。
A、A、“身份鉴别”的量化结果分别为 0
B、B、“身份鉴别”的量化结果分别为 0.25
C、C、“重要数据传输机密性”的量化结果为0.5
D、D、“重要数据存储机密性”的量化结果为1
多选题 根据《商用密码应用安全性评估量化评估规则(2021版)》,对三级系统,各安全层面权重值正确的是()。
A、A、物理和环境安全层面权重为10
B、B、网络和通信安全层面权重为15
C、C、设备和计算安全层面权重为20
D、D、应用和数据安全层面权重为30
多选题 根据《商用密码应用安全性评估量化评估规则(2021版)》,下列说法正确的是()。
A、A、密码应用管理要求不针对各个测评对象的测评结果进行量化评估
B、B、《商用密码应用安全性评估量化评估规则(2021版)》适用于指导、规范信息系统密码应用的规划、建设、运行及测评
C、C、信息系统在进行测评过程中,若测评对象的D不符合,则分值为0.5分
D、D、信息系统测评结果无高风险且分值不低于阈值,该信息系统的测评结果不一定为基本符合
多选题 依据《信息系统密码应用高风险判定指引》,网络和通信安全层面如果通信实体身份真实性的密码技术实现机制()或无效,可能会导致信息系统面临高风险。
A、A、不科学
B、B、不安全
C、C、不完整
D、D、不正确
多选题 根据《商用密码应用安全性评估量化评估规则(2021版)》,对最终的结论,以下说法正确的是()。
A、A、信息系统的最终结论需要同时参考量化评估的结果和风险判定结果
B、B、对于分值大于阈值分的系统,如果经风险评估发现存在风险即判定为不符合
C、C、对于分值小于阈值分的系统或存在高风险的系统,最终结论都是不符合
D、D、只有整体量化评估结果为 100 分的系统才能判定最终结论为符合
E、貂蝉
多选题 对于某个三级系统,已知安全管理要求中,管理制度、人员管理、建设运行、应急处置的得分均为0.5,根据《商用密码应用安全性评估量化评估规则(2021版)》,以下()是可能出现且整体结论正确的。
A、A、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4,总分为45.00分
B、B、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4,总分为27分
C、C、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、0.6、不适用、0.4,总分为48.75分
D、D、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为0.4、不适用、 0.4、0,总分为39.00分
多选题 根据《商用密码应用安全性评估量化评估规则(2021版)》,对安全层面的测评结果量化评估规则,以下说法不正确的是()。
A、A、密码应用技术要求中,安全层面的量化评估结果为层面内各测评单元的算术平均值
B、B、密码应用管理要求的安全层面得分为各测评单元的算术平均值
C、C、密码应用技术要求中,安全层面的量化评估结果需要保留小数点后2位
D、D、某测评指标不适 用,则该安全层面的得分为0
多选题 根据《商用密码应用安全性评估量化评估规则(2021版)》,对整体结果量化评估规则,以下说法正确的是()。
A、A、密码应用技术要求中,最终的量化评估结果为各安全层面的加权平均值
B、B、若某个安全层面的大部分测评指标都不适用,则该安全层面不参与量化评估过程
C、C、密码应用技术要求中,安全层面的量化评估结果需要保留小数点后4位
D、D、在计算整体结果量化过程中,作为分母的权重值总和总是100分
2024-12-19
共621道
