判断题
依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统通过堡垒机集中运维管理设备,而堡垒机前部署了合规的SSL VPN,管理员使用合规的身份鉴别机制登录SSL VPN,则在设备和计算安全层面,堡垒机的“身份鉴别”可判定为“符合”。
A
正确
B
错误
答案解析
正确答案:B
解析:
题目解析:
题干涉及的标准为GM/T 0115《信息系统密码应用测评要求》,该标准是依据国家密码管理局发布的密码应用安全性评估相关技术规范,用于指导信息系统在不同安全层面的密码应用合规性测评。
本题考查的是在“设备和计算安全”层面,关于“身份鉴别”控制点的符合性判断逻辑,特别是当存在多层访问控制(如SSL VPN + 堡垒机)时,如何认定密码应用的合规性。
核心知识点:
根据GM/T 0115,在“设备和计算安全”层面,“身份鉴别”要求对登录操作系统、数据库系统或中间件等计算资源的用户进行身份鉴别,并且该过程应使用符合要求的密码技术(如基于数字证书的双向身份认证、基于SM2/SM3/SM4等国产密码算法的身份鉴别机制),确保身份真实性。
关键原则:
GM/T 0115强调“逐层防护、独立判定”。即每一层访问控制都应独立满足对应安全层面的身份鉴别要求。不能因为上层通道(如SSL VPN)已做身份鉴别,就认为下层系统(如堡垒机)的身份鉴别可自动视为符合。
具体分析:
- 题干中描述:管理员先通过合规的SSL VPN登录,使用合规的身份鉴别机制。
- 然后通过SSL VPN访问堡垒机,进行运维操作。
- 问题焦点:堡垒机自身的“身份鉴别”是否可直接判定为“符合”?
答案是否定的。理由如下:
1. SSL VPN的身份鉴别保护的是网络通信层的接入安全,属于“网络和通信安全”层面的控制措施。
2. 堡垒机作为承载运维操作的核心系统,其自身登录过程属于“设备和计算安全”层面的身份鉴别要求。
3. 即使用户已通过SSL VPN认证,若堡垒机本身未实施符合GM/T 0115要求的身份鉴别机制(例如未采用基于密码技术的强身份认证,如动态口令、数字证书等),则其“身份鉴别”控制点仍不满足标准要求。
4. 因此,不能将SSL VPN的身份鉴别结果延伸至堡垒机的身份鉴别判定。
结论:
尽管SSL VPN的身份鉴别是合规的,但这不能替代堡垒机自身的身份鉴别要求。在设备和计算安全层面,堡垒机必须独立实现符合标准的身份鉴别机制,否则不能判定为“符合”。
因此,原题中认为“可判定为符合”的说法是错误的。
正确答案:B(错误)
相关知识点:
堡垒机身份鉴别判定有误错
题目纠错
工作簿一
相关题目
单选题
3GPP LTE算法标准的3个核心算法为( )。
单选题
以ZUC算法为核心,成为3GPP LTE标准的算法为( )。
单选题
ZUC算法非线性函数F部分输入、输出长度分别为( )。
单选题
ZUC算法非线性函数F部分使用的两个线性变换 L1,L2的设计采用了( )运算。
单选题
ZUC算法非线性函数F部分所使用的S盒之一与()算法的S盒仿射等价。
单选题
ZUC算法密钥载入过程中除了装入种子密钥,还要使用( )个设定的15比特常数。
单选题
ZUC算法非线性函数F部分包含( )个记忆单元。
单选题
ZUC算法非线性函数F部分使用的两个线性变换 L1,L2的设计与( )算法线性扩散层的设计思想相同/类似。
单选题
ZUC算法比特重组BR层主要使用了软件实现友好的( )操作。
单选题
ZUC算法比特重组BR层从上层LFSR寄存器单元抽取位置不包括( )。
