依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统基于国密SSL协议使用安全浏览器访问堡垒机, 国密 SSL 协议使用了基于 SM3WithSM2算法的数字证书,则以下说法正确的是( )。
根据《商用密码应用安全性评估FAQ(第二版) 》,对于建设运行层面的“投入运行前进行密码应用安全性评估”测评项,在2020年1月1日之后投入运行的系统,投入运行后进行首次密评时,该项判定为( );如果是非首次密评,且前次密评结果为基本符合,该项可判定( )。
依据GM/T 0115 《信息系统密码应用测评要求 》,某信息系统使用了服务器密码机、签名验签服务器等密码产品,密码产品合规性核查要点不包含以下哪项内容( )。
密评人员在测评时发现被测系统调用服务器密码机,对堡垒机的访问控制信息进行完整性保护,并获取了堡垒机访问控制信息的完整性校验值为:0x1073f2a58ae7e43550bc1c11f4cd2899,其长度为128比特,以下说法错误的是( )。
依据GM/T 0115 《信息系统密码应用测评要求 》,在对三级信息系统开展设备和计算安全层面的密评时,以下身份鉴别方式符合密评要求的是 ( )。
依据GM/T 0115 《信息系统密码应用测评要求 》,关于设备和计算安全层面的密评,以下说法正确的是( )。
依据GM/T 0115 《信息系统密码应用测评要求 》,应用系统采用数字签名技术实现用户身份鉴别,经核实签名算法标识,可认为密码算法符合通用测评要求的是()。
依据GM/T 0115 《信息系统密码应用测评要求 》,某信息系统部署经商用密码产品认证机构认证合格的SSL安全网关代理业务应用系统进行基于SM2数字签名技术的用户身份鉴别,用户经 SSL安全网关鉴别通过后,再采用静态口令登录应用系统;在数字签名身份鉴别机制通用测评要求判定为“符合”的前提下,应用和数据安全层面“身份鉴别”指标最可能的判定结果为()。
依据GM/T 0115 《信息系统密码应用测评要求 》,在对应用和数据安全层面中的“身份鉴别”指标测评时,获取下列哪项测评证据的判定结果一定为“不符合”()。
依据GM/T 0115 《信息系统密码应用测评要求》,某应用系统面向业务用户提供WEB端和APP端2种访问方式,在WEB端,用户浏览器与应用系统服务端采用国密SSL协议( 国密浏览器实现)保障通信数据机密性,APP客户端与应用系统服务端之间采用HTTP协议传输,经核查发现应用系统用户鉴别数据均以明文方式传输,经整体测评后,鉴别数据在应用和数据安全层面“重要数据传输机密性”指标的测评结果最可能为()。
在对应用和数据安全层面中的“重要数据存储机密性”指标测评时,采用以下( )密码技术可能被判定为“部分符合”。
应用和数据安全层面测评时,发现被测应用系统采用SM3算法对口令计算杂凑值后传输和存储,且客户端调用了经商用密码认证机构认证合格的智能密码钥匙生成MAC,则“身份鉴别”指标判定结果为()。
依据GM/T 0115 《信息系统密码应用测评要求 》,在针对网络和通信安全层面的“身份鉴别”指标进行测评时,SSL协议工作流程中,如果服务端需要验证客户端的身份,则测评人员需要核查服务端需向客户端发送的()消息。
依据GM/T 0115 《信息系统密码应用测评要求 》,密评人员在对某三级信息系统测评时,发现“应用和数据安全”层面的重要数据传输完整性采用签名验签服务器(经检测认证合格,安全等级二级)提供保护。签名验签服务器采用“口令+智能 IC卡”的方式鉴别设备管理员,但设备管理员将智能IC卡长期插入签名验签服务器使用。针对此情形,关于“密码产品合规性”的判定较为合理的是 ()。
依据GM/T 0115 《信息系统密码应用测评要求》,对某信息系统进行“网络和通信安全”层面测评时发现,该系统客户端与服务端通信报文采用 SM4算法进行加密后传输,算法为开发人员自己实现(算法实现未经正确性验证),加密密钥嵌入在代码中且不可更改。因此,“通信过程中重要数据的机密性”测评指标最合适的判定结果是() 。