判断题
某单位总公司和分公司在不同城市,双方网络层通信仅采用HTTP协议,但是应用和数据安全层面的“重要数据传输机密性”是符合的,那么对于网络和通信安全层面“通信过程中重要数据的机密性”测评指标可直接判定为“部分符合”且存在“高风险”。
A
正确
B
错误
答案解析
正确答案:B
解析:
该题答案为 B:错误。
解析如下:
题干描述的场景是:某单位总公司与分公司位于不同城市,网络层通信仅采用 HTTP 协议。尽管在应用和数据安全层面实现了重要数据传输的机密性,但问题是针对“网络和通信安全”层面中“通信过程中重要数据的机密性”这一测评指标是否可判定为“部分符合”且存在“高风险”。
首先明确核心概念:
1. **网络和通信安全层面**:
该层面关注的是网络传输过程中的安全机制,包括通信链路的加密、身份鉴别、访问控制、数据完整性与机密性等。其中,“通信过程中重要数据的机密性”要求在数据通过网络传输时,采取加密措施(如 TLS/SSL)防止数据被窃听或泄露。
2. **HTTP 协议的安全性**:
HTTP 是明文传输协议,不提供加密功能,因此在传输过程中数据可被中间节点截获和查看,无法保障通信过程中的机密性。若要实现机密性,应使用 HTTPS(即 HTTP over TLS/SSL)。
3. **应用和数据安全层面的机密性**:
虽然在应用层或数据层对数据进行了加密(例如数据在发送前已加密,接收后解密),这可以保障数据内容不被泄露,但这属于端到端加密范畴。然而,从网络安全测评的角度,特别是依据《信息安全技术 网络安全等级保护基本要求》(GB/T 22239-2019)等相关标准,网络和通信安全层面的“通信过程中重要数据的机密性”测评,强调的是在网络传输过程中是否采用了加密通道。
如果仅依赖应用层加密而未在网络层或传输层启用加密协议(如 TLS),则该测评项不能视为“符合”或“部分符合”,而应判定为“不符合”,并通常伴随“高风险”。
4. **关于“部分符合”与“高风险”的判定逻辑**:
在等级保护测评中,“部分符合”通常指控制措施部分实施,有一定防护能力但覆盖不全。但若完全未采用加密传输(如仅用 HTTP),则属于控制措施缺失,应判定为“不符合”,而非“部分符合”。此外,明文传输重要数据属于典型高风险问题。
因此,题干中认为“可直接判定为‘部分符合’且存在‘高风险’”是错误的表述。正确的判定应为“不符合”,且存在“高风险”。
综上所述,题干推理错误,正确答案为 B:错误。
题目纠错
工作簿一
相关题目
单选题
以ZUC算法为核心的128EIA-3算法为MAC算法。
单选题
ZUC算法密钥产生阶段非线性函数F的运算结果直接作为密钥流输出。
单选题
ZUC算法是一个同步序列密码算法。
单选题
ZUC算法比特重组层BR抽取的4个32比特字全部参与于非线性函数F的运算。
单选题
ZUC算法LFSR部分使用环上LFSR,因而实现代价较高。
单选题
ZUC算法2016年被发布为国家标准。
单选题
ZUC算法是一个分组密码算法。
单选题
ZUC算法非线性函数F部分使用的S-盒其中之一基于有限域逆函数构造,与AES算法的S-盒类似。
单选题
ZUC算法非线性函数F部分仅使用3个S-盒。
单选题
ZUC算法非线性函数F部分两个线性变换L1和L2的矩阵均为MDS矩阵。
