4378.被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。依据GM/T 0115《信息系统密码应用测评要求》,应用和数据安全层面“访问控制信息完整性”测评实施主要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。

好的，我们来分析一下这道判断题。 ### 题目背景 题目描述了一个基于角色的访问控制（RBAC）系统，其中用户通过角色配置获得相应的权限。题目要求根据GM/T 0115《信息系统密码应用测评要求》，检查应用和数据安全层面的“访问控制信息完整性”测评实施情况。 ### 选项解析 题目中的关键点在于“访问控制信息完整性”的测评实施。具体来说，需要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。 ### 答案解析 **答案：错误** #### 为什么是错误的？ 1. **完整性保护的定义**： - 完整性保护是指确保数据在传输和存储过程中不被篡改。常见的完整性保护机制包括使用加密算法（如AES）和计算杂凑值（如SHA-256）。 2. **题目中的要求**： - 题目要求核查用户角色配置信息和角色权限配置信息是否采用了加解密或计算杂凑值等机制进行完整性保护。 3. **标准的要求**： - 根据GM/T 0115《信息系统密码应用测评要求》，访问控制信息完整性的测评实施确实需要检查这些信息是否进行了完整性保护。但是，题目中的描述可能过于简化或不准确。 4. **实际测评内容**： - 在实际测评中，不仅需要检查是否采用了加解密或计算杂凑值等机制，还需要检查这些机制是否正确实现和使用。例如，是否使用了强加密算法，杂凑值是否正确生成和验证等。 ### 示例 假设有一个基于角色的访问控制系统，其中用户A被分配了角色R1，角色R1具有权限P1和P2。为了确保这些配置信息的完整性： - **加解密机制**：可以将用户角色配置信息和角色权限配置信息进行加密存储，确保即使数据被窃取也无法直接读取。 - **计算杂凑值**：可以在存储这些信息时计算其杂凑值，并在每次读取时重新计算杂凑值进行比对，确保数据未被篡改。 ### 结论 题目中的描述虽然提到了加解密或计算杂凑值等机制，但没有全面覆盖实际测评的所有要求。因此，答案是错误的。实际测评中需要更全面地检查这些机制的实现和使用情况。