2927.根据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面“网络边界访问控制信息的完整性”指标的测评,下列哪些说法是正确的()。

好的，我们来逐一分析这道多选题的各个选项，并解释为什么选择A和B作为正确答案。 ### 题目背景 题目要求根据GM/T 0115《信息系统密码应用测评要求》，针对网络和通信安全层面“网络边界访问控制信息的完整性”指标的测评，判断哪些说法是正确的。 ### 选项分析 #### A. 某通信信道使用 IPSec VPN 进行网络边界访问控制, IPSec VPN 获得了商用密码产品认证证书,通过IPSec VPN自身的安全机制可以保证访问控制信息的完整性 - **解析**：IPSec（Internet Protocol Security）是一种用于保护IP通信的安全协议套件，它提供了数据加密、数据完整性和身份验证等功能。IPSec VPN 通常使用AH（Authentication Header）或ESP（Encapsulating Security Payload）来确保数据的完整性。如果IPSec VPN 获得了商用密码产品认证证书，说明其安全机制已经经过了严格的测试和认证，可以有效保证访问控制信息的完整性。 - **结论**：正确。 #### B. 某通信信道通过防火墙进行网络边界访问控制,采用服务器密码机对访问控制信息计算MAC后保存, 服务器密码机获得了商用密码产品认证证书,因此可以实现网络边界访问控制信息的完整性保护 - **解析**：MAC（Message Authentication Code）是一种用于验证数据完整性和来源真实性的机制。服务器密码机是一种专门用于密码运算的硬件设备，如果它获得了商用密码产品认证证书，说明其计算MAC的过程是安全可靠的。通过计算MAC并保存，可以确保访问控制信息在传输和存储过程中不被篡改。 - **结论**：正确。 #### C. 某通信信道通过边界路由进行网络边界访问控制,并采用自实现的HMAC- SM3对访问控制信息计算MAC后保存,因此可以实现网络边界访问控制信息的完整性保护 - **解析**：虽然HMAC-SM3是一种标准的MAC算法，可以用于验证数据的完整性，但题目中提到的是“自实现”的HMAC-SM3。自实现的算法可能存在安全漏洞，没有经过严格的测试和认证，因此不能保证其安全性。 - **结论**：错误。 #### D. 通过核查发现,某网络边界设备的访问控制信息采用 SM4-ECB算法加密后保存在硬盘中,因此可以判断该设备能够保证访问控制信息的完整性 - **解析**：SM4是一种分组密码算法，主要用于数据加密。ECB（Electronic Codebook）模式是一种简单的加密模式，但它不提供数据完整性保护。即使数据被加密，也不能防止数据在传输或存储过程中被篡改。因此，仅使用SM4-ECB算法加密不能保证访问控制信息的完整性。 - **结论**：错误。 ### 最终答案 正确答案是A和B。