在某个政务三级信息系统的网络和通信安全层面测评过程中，发现采用了SSL VPN设备（经检测认证的二级密码模块）实现通信链路数据的安全传输。 通过抓包分析， 采用的密码套件为 RSA_SM4_SM3，根据《商用密码应用安全性评估量化评估规则（2021版）》，该层面的“身份鉴别”的量化结果为（）。

本题考查的是《商用密码应用安全性评估量化评估规则（2021版）》中关于网络和通信安全层面“身份鉴别”控制点的量化评估方法，特别是针对采用SSL VPN设备及其密码套件是否符合要求的判断。 一、题目解析： 题干信息要点如下： 1. 系统为政务三级信息系统； 2. 在网络和通信安全层面使用了SSL VPN设备； 3. 该设备采用经检测认证的二级密码模块； 4. 抓包分析显示使用的密码套件为 RSA_SM4_SM3； 5. 要求判断“身份鉴别”控制点的量化得分。 二、核心知识点： 根据《商用密码应用安全性评估量化评估规则（2021版）》，在“网络和通信安全”层面，“身份鉴别”的评估要求主要包括以下几点： - 应采用密码技术对通信实体进行双向身份鉴别； - 所采用的密码算法应符合国家密码主管部门的要求，即优先使用国产密码算法（如SM2、SM3、SM4等）； - 若关键密码功能或算法使用的是非国产或不合规算法，则会影响评分。 特别注意：RSA_SM4_SM3 这个密码套件的含义是： - 密钥交换与身份鉴别使用 RSA 算法； - 加密传输使用 SM4 算法； - 消息摘要使用 SM3 算法。 即：虽然加密和完整性使用了国产密码算法（SM4 和 SM3），但**身份鉴别使用的是 RSA 算法**，而非国产公钥算法 SM2。 三、量化评估规则解读： 根据《商用密码应用安全性评估量化评估规则（2021版）》中对“身份鉴别”控制点的量化标准： - 若身份鉴别使用符合要求的国产密码算法（如SM2），且实现正确，得分为1； - 若未使用国产密码算法进行身份鉴别（如使用RSA），即使其他环节使用国产算法，该项不符合“应”的要求，但整体机制存在身份鉴别功能； - 根据规则中的扣分逻辑，若仅使用非国产算法进行身份鉴别，属于“部分符合”，通常给予0.5分； - 得0分的情况是完全没有身份鉴别机制； - 得1分必须是完全符合国产密码算法要求。 因此，使用RSA进行身份鉴别，虽实现了身份鉴别功能，但未使用国产密码算法，不符合“应采用商用密码进行身份鉴别的”高安全要求，故不能得满分1，也不能得0（因有鉴别机制），按规则应得0.5分。 四、选项分析： A: 0 —— 错误。表示无身份鉴别机制，与事实不符，系统通过SSL VPN实现了基于RSA的身份鉴别。 B: 0.25 —— 无典型依据支持此分数，在标准量化表中一般不用于此类情形。 C: 0.5 —— 正确。符合“使用非国产密码算法实现身份鉴别”的典型赋值，属于部分符合。 D: 1 —— 错误。只有当身份鉴别使用SM2等合规国产密码算法时才可得1分。 五、结论： 正确答案为 C: 0.5。 理由：尽管系统采用了SSL VPN并实现了身份鉴别功能，且使用了SM4和SM3等国产算法，但身份鉴别依赖RSA算法，未使用国产公钥算法SM2，不符合《商用密码应用安全性评估要求》中对“应使用商用密码进行身份鉴别”的规定，因此只能得0.5分。