多选题
以下关于评估结论的描述正确的是( )。
A
符合:被测信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为100分。
B
基本符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,且综合得分不低于阈值。
C
不符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,综合得分低于阈值。
D
不符合:被测信息系统存在的安全问题会导致 被测信息系统面临高等级安全风险。
答案解析
正确答案:ACD
解析:
本题考查的是对信息系统安全等级保护测评中评估结论的理解与掌握,特别是关于“符合”“基本符合”“不符合”三种评估结论的判定标准。以下是对各选项的逐项解析及核心知识点讲解。
---
**A选项分析:**
描述内容:“符合:被测信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为100分。”
- 正确。
- 根据《信息安全技术 网络安全等级保护测评要求》(GB/T 28448-2019)等相关标准,“符合”的结论需满足以下条件:
- 所有测评项均完全符合要求;
- 不存在“部分符合”或“不符合”的情况,即这两类统计结果均为0;
- 综合得分计算为100分;
- 系统中未发现任何影响安全的漏洞或问题。
- 因此,A选项准确反映了“符合”结论的判定标准。
---
**B选项分析:**
描述内容:“基本符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,且综合得分不低于阈值。”
- 错误。
- “基本符合”是指系统在测评中发现了一些安全问题(如存在“部分符合”项),但这些问题尚未导致系统面临重大安全风险,且整体综合得分达到或超过规定的合格阈值(通常为70分或60分,视等级而定)。
- 但该选项表述为“存在安全问题,部分符合和不符合项的统计结果不全为0”,虽然符合实际情况,但未明确指出这些问题是“可接受范围内”的,且其表述容易与“不符合”混淆。
- 更关键的是,在标准中,“基本符合”并不要求“部分符合和不符合项不全为0”,而是允许存在一定数量的“部分符合”项,只要风险可控、得分达标即可。
- 然而,最严重的问题在于:**现行标准中已不再使用“基本符合”作为正式结论类别**。根据最新的等级保护测评实践,评估结论通常只分为“符合”和“不符合”两类。“基本符合”已被取消,以避免模糊判断。
- 因此,B选项基于过时或错误的分类体系,属于错误描述。
---
**C选项分析:**
描述内容:“不符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,综合得分低于阈值。”
- 正确。
- 当信息系统在测评过程中发现较多“部分符合”或“不符合”项,导致综合得分低于设定的合格阈值(例如低于70分),则应判定为“不符合”。
- 该选项从两个维度进行判断:
- 存在安全问题(体现为部分符合/不符合项不全为0);
- 得分低于阈值。
- 这符合当前等级保护测评中对“不符合”结论的量化判定依据。
- 因此,C选项正确。
---
**D选项分析:**
描述内容:“不符合:被测信息系统存在的安全问题会导致被测信息系统面临高等级安全风险。”
- 正确。
- 除了基于得分的量化判断外,“不符合”还可以基于风险定性判断。
- 即使综合得分较高,但如果发现的关键问题可能导致系统面临高风险(如存在远程代码执行漏洞、权限绕过、数据泄露等严重隐患),仍应直接判定为“不符合”。
- 这体现了等级保护中“一票否决”原则——若发现高风险问题,无论其他项目得分如何,整体结论均为“不符合”。
- 因此,D选项从风险角度补充了“不符合”的判定依据,是正确的。
---
**核心知识点总结:**
1. **等级保护测评结论分类**:
- 当前标准中,测评结论一般分为“符合”和“不符合”两类,“基本符合”已不再作为正式结论使用。
2. **“符合”的判定条件**:
- 所有测评项均完全满足要求;
- 无“部分符合”或“不符合”项;
- 综合得分为100分;
- 无任何安全问题。
3. **“不符合”的判定条件包括以下任一情形**:
- 综合得分低于合格阈值;
- 存在“部分符合”或“不符合”项且数量较多;
- 发现可能导致高等级安全风险的重大安全隐患(即使得分较高)。
4. **综合得分计算方法**:
- 各测评单元按权重和符合程度(完全符合、部分符合、不符合)计算得分;
- 总体得分低于阈值即判定为“不符合”。
5. **风险导向原则**:
- 安全测评不仅看分数,更重视实际风险;
- 高风险问题可直接导致“不符合”结论。
---
**最终答案解析:**
- A:正确,符合“符合”结论的标准;
- B:错误,使用了已被淘汰的“基本符合”概念,且表述不严谨;
- C:正确,从得分角度定义“不符合”;
- D:正确,从风险角度定义“不符合”。
因此,正确选项为 **ACD**。
相关知识点:
评估结论描述正误诀
题目纠错
工作簿一
相关题目
单选题
下列关于SM4的解密算法叙述错误的是( )。
单选题
下列关于SM4分组密码算法叙述正确的是( )。
单选题
下述( )运算是SM4算法中线性变换L的基本运算。
单选题
下述关于SM4算法和AES算法采用的S盒之间的关系叙述错误的是( )。
单选题
下列关于SM4分组密码算法叙述错误的是( )。
单选题
下述哪些变换( )与下列哪些变换与sm4算法强度无关法的安全强度无关。
单选题
SM4密钥扩展算法中的线性变换由输入及其循环左移若干比特共( )项异或而成。
单选题
SM4加密轮函数中的线性变换由输入及其循环左移若干比特共( )项异或而成。
单选题
为确保加解密结构一致,SM4算法最后还需经过一次( )运算。
单选题
黑盒模型下具备生日界的CBC-MAC,在量子攻击下不再安全。
