1622.根据《商用密码应用安全性评估报告模板(2023版)》,以下对信息系统密评报告“总体评价”及”测评结果记录”描述正确的是( )。

好的，让我们来逐一分析这道题目的各个选项，并解释为什么选择B作为正确答案。 ### 题目背景 题目要求我们根据《商用密码应用安全性评估报告模板(2023版)》，判断对信息系统密评报告“总体评价”及“测评结果记录”的描述是否正确。 ### 选项分析 #### A. 某二级信息系统责任单位编写有密码应用方案,且方案通过密评,在密码应用方案中对“系统资源访问控制信息完整性”测评项判定为不适用,但在实际测评过程中,系统责任单位对该测评项进行了密码保护,应依据密码应用方案,在“测评结果记录”中体现其不适用的情况 - **解析**：这个选项的问题在于，虽然密码应用方案中判定某测评项为不适用，但如果实际测评过程中进行了密码保护，应该在“测评结果记录”中反映实际情况，而不是机械地按照方案中的判定。因此，这个选项是错误的。 #### B. 某信息系统通过未经认证的SSL VPN,使用HTTPS(V1.1)协议和AES-128-CBC算法,实现网络和通信安全层面业务数据传输通道通信过程中重要数据的机密性保护,在密评报告“测评结果记录”中D/A/K判定为√×× - **解析**：这个选项描述了一个信息系统使用未经认证的SSL VPN，并使用了特定的协议和算法来保护数据的机密性。在密评报告中，D/A/K分别代表设计（Design）、实现（Implementation）和密钥管理（Key Management）。这里的D/A/K判定为√××，意味着设计符合要求，但实现和密钥管理不符合要求。这个描述是合理的，因为未经认证的SSL VPN可能在实现和密钥管理方面存在不足。因此，这个选项是正确的。 #### C. 某信息系统在应用和数据安全层面,使用AES-128-CBC算法,实现重要业务数据存储的机密性保护。在密评报告“测评结果记录”中 D/A/K判定为×/ /√ - **解析**：这个选项描述了一个信息系统使用AES-128-CBC算法来保护重要业务数据的机密性。在密评报告中，D/A/K判定为×/ /√，意味着设计不符合要求，但实现和密钥管理符合要求。这个描述是矛盾的，因为如果设计不符合要求，那么实现和密钥管理也不可能完全符合要求。因此，这个选项是错误的。 #### D. 某信息系统中部署了SSL VPN,该设备用于建立管理员从互联网登录VPN客户端接入内网的运维通道。管理员在内网,通过登录其专用的设备管理应用对该SSL VPN设备进行运维管理。那么在密评报告“测评结果记录”部分,描述其登录管理应用时的身份鉴别方式即可,无需描述管理员登录SSL VPN客户端的身份鉴别方式 - **解析**：这个选项的问题在于，它忽略了管理员登录SSL VPN客户端的身份鉴别方式。在密评报告中，应该全面描述所有相关的身份鉴别方式，包括管理员登录SSL VPN客户端的方式。因此，这个选项是错误的。 ### 正确答案 **B** 是正确答案，因为它合理地描述了信息系统在使用未经认证的SSL VPN时，设计符合要求，但实现和密钥管理存在不足的情况。