4407.依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,且可以确定实际部署的密码产品与获认证产品一致的情况下,“系统资源访问控制信息完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”,指标可判定为符合。

好的，我们来分析一下这道判断题。 ### 题目背景 题目提到的是根据 **GM/T 0115《信息系统密码应用测评要求》**，在设备和计算安全层面，如果使用了具有商用密码产品认证证书的整机类密码产品，并且可以确定实际部署的密码产品与获认证产品一致，那么“系统资源访问控制信息完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”这些指标可以判定为符合。 ### 选项解析 - **系统资源访问控制信息完整性**：这意味着系统的访问控制信息（如用户权限、访问日志等）必须是完整的，没有被篡改或删除。 - **重要可执行程序完整性**：这意味着系统中的重要可执行程序（如操作系统的关键组件、应用程序等）必须是完整的，没有被篡改。 - **重要可执行程序来源真实性**：这意味着系统中的重要可执行程序必须来自可信的来源，没有被恶意软件替换。 ### 为什么选“正确” 1. **商用密码产品认证证书**：这意味着该密码产品已经通过了国家密码管理局的严格测试和认证，确保其在安全性、可靠性和功能上都符合国家标准。 2. **实际部署的密码产品与获认证产品一致**：这意味着在实际使用中，部署的密码产品与认证时的产品完全相同，没有被修改或替换。 ### 解析 - **系统资源访问控制信息完整性**：由于商用密码产品经过认证，其访问控制机制是可靠的，能够确保访问控制信息的完整性和未被篡改。 - **重要可执行程序完整性**：商用密码产品通常包含完整性校验机制，可以确保重要可执行程序在传输和存储过程中没有被篡改。 - **重要可执行程序来源真实性**：商用密码产品通常使用数字签名等技术，确保重要可执行程序来自可信的来源，防止被恶意软件替换。 ### 示例 假设你使用了一款经过认证的商用密码产品来保护你的服务器。这款产品包括了访问控制、文件完整性校验和数字签名等功能。如果你确信实际部署的密码产品与认证时的产品一致，那么你可以相信： - 访问控制信息（如用户权限）没有被篡改。 - 重要可执行程序（如操作系统的关键组件）没有被篡改。 - 重要可执行程序来自可信的来源，没有被恶意软件替换。 因此，这些指标可以判定为符合。