4425.根据GM/T 0115 《信息系统密码应用测评要求》, 管理员在互联网通过SSL VPN接入系统内网,由于SSL VPN建立了网络和通信安全层面的通信信道,故SSL VPN不作为“设备和计算安全层面”的测评对象。

好的，我们来分析一下这道判断题。 ### 题目背景 题目提到的是GM/T 0115《信息系统密码应用测评要求》，这是一个关于信息系统中密码应用的安全性评估标准。题目描述了一个场景：管理员通过SSL VPN接入系统内网，并且提到SSL VPN建立了网络和通信安全层面的通信信道。 ### 问题核心 题目问的是：SSL VPN是否不作为“设备和计算安全层面”的测评对象？ ### 分析 1. **网络和通信安全层面**： - SSL VPN确实主要作用是建立一个安全的通信信道，确保数据在传输过程中的机密性和完整性。这属于网络和通信安全层面的范畴。 2. **设备和计算安全层面**： - 设备和计算安全层面关注的是终端设备、服务器、操作系统等的安全性，包括身份认证、访问控制、数据保护等方面。 - SSL VPN作为一个设备或软件，本身也需要进行安全性评估，例如其自身的身份认证机制、访问控制策略、日志记录和审计功能等。 ### 为什么答案是错误的 - **SSL VPN不仅是通信信道**：虽然SSL VPN主要用于建立安全的通信信道，但它本身也是一个设备或软件，需要进行设备和计算安全层面的评估。 - **全面评估**：在进行信息系统密码应用测评时，需要对所有涉及的设备和软件进行全面评估，包括SSL VPN。因此，SSL VPN不仅需要在网络和通信安全层面进行评估，还需要在设备和计算安全层面进行评估。 ### 示例 假设你有一个SSL VPN设备，它不仅需要确保数据在传输过程中的安全性（网络和通信安全层面），还需要确保： - 用户身份认证的可靠性（设备和计算安全层面）。 - 访问控制策略的有效性（设备和计算安全层面）。 - 日志记录和审计功能的完善性（设备和计算安全层面）。 ### 结论 因此，题目中的说法是错误的，SSL VPN不仅在网络和通信安全层面需要评估，在设备和计算安全层面也需要评估。