多选题
某三级信息系统管理员从互联网使用“用户名+口令+智能密码钥匙”登录VPN网关,智能密码钥匙的密码模块安全等级为一级,通过SSL VPN接入内网后,使用“用户名+口令+短信验证码”登录堡垒机管理应用,并对应用服务器进行运维管理,依据GM/T 0115 《信息系统密码应用测评要求》,以下说法正确的是()。
A
测评人员由此可判定堡垒机的身份鉴别为部分符合
B
测评人员可将接入内网后访问堡垒机管理应用的通道作为设备和计算安全层面“远程管理通道安全”测评项的测评对象
C
测评人员由此可判定应用服务器的身份鉴别为部分符合
D
测评人员由此可判定智能密码钥匙密码模块安全等级未达到系统等级要求
答案解析
正确答案:BD
解析:
本题考查的是依据GM/T 0115《信息系统密码应用测评要求》对三级信息系统中身份鉴别、远程管理通道安全以及密码模块安全等级的合规性判断。以下是对各选项的逐项解析及核心知识点讲解。
---
**A: 测评人员由此可判定堡垒机的身份鉴别为部分符合**
该选项错误。
根据题干描述,用户在登录堡垒机时采用了“用户名+口令+短信验证码”的身份鉴别方式,属于两种或以上不同类型的鉴别要素(知识因素:用户名+口令;动态一次性口令因素:短信验证码),满足《信息系统密码应用基本要求》中对三级系统在“访问控制”层面的身份鉴别要求。
对于三级信息系统,在设备和计算安全层面以及应用和数据安全层面均要求采用两种或以上身份鉴别技术,且至少一种基于密码技术实现不可伪造性。短信验证码通常由基于密码算法生成的一次性口令(如基于HMAC-SHA-1的TOTP或基于时间/事件同步机制)实现,具备抗重放和不可预测特性,若其生成过程符合相关密码标准,则构成有效的第二种鉴别机制。
因此,堡垒机的身份鉴别措施满足三级系统的要求,应判定为“符合”,而非“部分符合”。
故A选项错误。
---
**B: 测评人员可将接入内网后访问堡垒机管理应用的通道作为设备和计算安全层面“远程管理通道安全”测评项的测评对象**
该选项正确。
根据GM/T 0115《信息系统密码应用测评要求》,在设备和计算安全层面,针对“远程管理通道安全”测评项,要求对远程管理过程中使用的通信通道进行密码保护,防止信息被窃听或篡改。
题干中提到管理员通过SSL VPN接入内网后再访问堡垒机,说明整个运维路径包括两个阶段:
1. 从互联网到内网的接入通道:由SSL VPN提供加密保护;
2. 内网中从VPN出口到堡垒机之间的通信通道。
虽然已通过SSL VPN进入内网,但后续访问堡垒机的通道仍属于远程管理行为的一部分,尤其是在逻辑上未完全隔离的情况下,该通道仍需满足“远程管理通道安全”的密码应用要求。
测评对象不仅限于外网到内网的边界通道,也包括内部关键系统的远程管理路径。只要存在跨越非可信网络区域的远程管理行为,就应纳入“远程管理通道安全”的测评范围。
因此,测评人员可以将该通道作为测评对象,并检查其是否采取了基于密码技术的安全防护措施(如HTTPS、TLS等)。此做法符合标准中的测评覆盖原则。
故B选项正确。
---
**C: 测评人员由此可判定应用服务器的身份鉴别为部分符合**
该选项错误。
题干并未提供关于如何登录或管理应用服务器的具体信息。仅说明管理员通过堡垒机对应用服务器进行运维管理,但未说明具体的身份鉴别方式。
例如,无法判断是通过堡垒机跳转后使用密钥登录(如SSH公私钥认证)、口令认证,还是其他方式。缺乏足够的证据支持对应用服务器身份鉴别的合规性做出任何结论。
在测评实践中,若无明确证据表明采用了符合要求的身份鉴别机制,则不能直接判定为“部分符合”或“不符合”,而应视为“证据不足,需进一步核查”。
此外,“部分符合”是有严格定义的:指在多数场景下满足要求,但在个别环节存在缺陷。本题中完全没有提及应用服务器侧的身份鉴别机制,不具备作出该判定的基础。
故C选项错误。
---
**D: 测评人员由此可判定智能密码钥匙密码模块安全等级未达到系统等级要求**
该选项正确。
根据《密码模块安全技术要求》(GM/T 0028)及相关配套标准,密码模块的安全等级分为四级,级别越高,对物理安全、角色权限、密钥管理、抗攻击能力等方面的要求越严格。
对于**三级信息系统**,根据GM/T 0115的要求,在涉及重要数据保护、身份鉴别等关键应用场景中使用的密码模块,原则上不应低于**二级安全等级**。
题干中明确指出:“智能密码钥匙的密码模块安全等级为一级”,而该设备用于从互联网登录VPN网关的身份鉴别,属于关键远程接入场景,直接影响整个系统的安全边界。
由于一级密码模块在防篡改、角色分离、输出保护等方面的安全能力较弱,不满足三级信息系统对密码模块的最低安全要求,因此可判定其未达到系统等级要求。
故D选项正确。
---
**正确答案:BD**
---
**核心知识点总结:**
1. **身份鉴别要求(三级系统)**
- 应采用两种或以上不同类型的鉴别技术,其中至少一种基于密码技术实现不可伪造性。
- 常见组合:静态口令 + 动态验证码(如短信、令牌)、生物特征、智能密码钥匙等。
- 短信验证码需确保生成与传输过程基于安全密码算法,否则可能不被视为有效鉴别方式。
2. **远程管理通道安全**
- 所有跨越非可信网络的远程管理操作都应受到密码技术保护(如SSL/TLS)。
- 测评对象不仅包括外网接入通道,还包括内网中通往关键设备的管理路径。
3. **密码模块安全等级匹配**
- 三级信息系统的关键应用应使用不低于二级安全等级的密码模块。
- 一级模块适用于一般性安全需求,不适用于高风险场景下的密钥存储与运算。
4. **测评结论判定原则**
- “符合”:完全满足标准要求;
- “部分符合”:主要满足,但局部存在缺陷;
- “不符合”:明显不满足;
- 缺乏证据时不得随意判定,需补充材料。
综上,本题正确选项为BD。
相关知识点:
信息系统身份鉴别相关要点
题目纠错
工作簿一
