判断题
被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。依据GM/T 0115《信息系统密码应用测评要求》,应用和数据安全层面“访问控制信息完整性”测评实施主要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。
A
正确
B
错误
答案解析
正确答案:B
解析:
答案B:错误。
解析如下:
根据GM/T 0115《信息系统密码应用测评要求》,在应用和数据安全层面,“访问控制信息完整性”测评实施的核心是核查与访问控制相关的关键信息是否得到了完整性保护。这类信息包括但不限于用户身份标识、访问控制策略、权限配置信息等。
题干中指出:“被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。”在此背景下,需要保护的不仅是“用户角色配置信息”和“角色权限配置信息”,更重要的是这些信息在存储和传输过程中是否具备完整性保护机制。
GM/T 0115明确要求,为保障访问控制信息的完整性,应采用密码技术实现保护,例如使用数字签名、消息认证码(MAC)或杂凑算法(如SM3)生成并验证完整性校验值。加密(加解密)主要用于保证信息的机密性,而非完整性;虽然加密结合其他机制可间接支持完整性,但单独使用加解密并不能确保完整性。
题干中将“加解密或计算杂凑值”并列作为完整性保护手段,这是不准确的。其中,“计算杂凑值”若未配合密钥机制(如HMAC-SM3),单纯的杂凑值也无法提供有效的完整性保护,因为无法防止恶意篡改后重新计算杂凑值。真正符合标准要求的是基于密码技术的完整性验证机制,如带密钥的消息鉴别码或数字签名。
因此,题干中的描述存在概念混淆,错误地将“加解密”视为完整性保护的主要机制之一,而实际上加解密主要解决的是机密性问题。
核心知识点:
1. 完整性保护的目标是防止信息被未授权篡改,常用技术包括消息认证码(MAC)、数字签名、带密钥的杂凑算法等。
2. 加解密主要用于保障数据的机密性,不能单独用于完整性保护。
3. GM/T 0115对应用和数据安全层面的“访问控制信息完整性”要求使用密码技术保障关键访问控制数据的完整性,如角色权限配置、用户-角色映射等信息。
综上所述,题干表述不准确,正确答案为B:错误。
相关知识点:
访问控制完整,核查保护机制
题目纠错
工作簿一
