商用密碼應用安全性練習卷附答案

第頁商用密碼應用安全性練習卷附答案1.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，以下哪項信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對象（）。A、交換機B、機房C、密碼設(shè)備D、服務器【正確答案】：A2.密評過程中對網(wǎng)絡信道中的IPSec協(xié)議數(shù)據(jù)進行分析時，IKEAttribute顯示雜湊算法ID為20，那么該協(xié)議所使用的雜湊算法是（）。A、SM3B、SHA1C、MD5D、SHA-256【正確答案】：A3.某三級信息系統(tǒng)在測評過程中發(fā)現(xiàn)物理和環(huán)境安全層面不適用，網(wǎng)絡和通信安全層面為0.625，設(shè)備和計算安全層面分值為0.4，應用和數(shù)據(jù)安全層面分值為0.5，安全管理四個層面分值均為1，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，則該系統(tǒng)整體量化評估結(jié)果為（）。A、61.5B、68.3333C、68.33D、83.33【正確答案】：C4.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于分析與報告編制活動的輸入文檔，不正確的是（）。A、單元測評：經(jīng)過被測單位確認的各類測評結(jié)果記錄、GM/T0115B、密評報告編制：經(jīng)過評審和確認的密評報告C、量化評估：密評報告的單元測評的結(jié)果匯總及整體測評部分D、風險分析：完成的調(diào)查表格，密評報告的整體測評結(jié)果和量化評估部分，相關(guān)風險評估標準【正確答案】：B5.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下不是建設(shè)運行層面第二級信息系統(tǒng)測評指標的是（）。A、制定密碼應用方案B、制定密鑰安全管理策略C、投入運行前進行商用密碼應用安全性評估，評估通過后系統(tǒng)方可正式運行D、制定實施方案【正確答案】：C6.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，對于以下哪類條款，在排除掉“不適用”的前提下，密評人員應根據(jù)信息系統(tǒng)的密碼應用方案和方案評估意見決定其是否納入標準符合性測評范圍（）。A、對于“可”的條款B、對于“宜”的條款C、對于“應”的條款D、以上均正確【正確答案】：B7.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，如果物理和環(huán)境、網(wǎng)絡和通信、設(shè)備和計算、應用和數(shù)據(jù)四個層面的分數(shù)分別為1、1、0.5、0.5，則密碼應用技術(shù)方面的總體得分為（）。A、50B、45C、55D、60【正確答案】：A8.某二級信息系統(tǒng)責任單位認為，該系統(tǒng)某條通信信道的通信機密性和通信完整性難以通過密碼技術(shù)實現(xiàn)，并在密碼應用方案中明確說明了該兩個指標作為不適用項，則密碼應用方案編制時（）。A、明確說明通信機密性和機密性的不適用情況和原因，并對兩個指標采用相應的風險控制措施B、明確說明通信機密性和機密性的不適用情況和原因，并對通信機密性指標采用相應的風險控制措施C、明確說明通信機密性和機密性的不適用情況和原因性，并對通信完整性指標采用相應的風險控制措施D、明確說明通信機密性和機密性的不適用情況和原因，兩個指標都無需采用風險控制措施【正確答案】：B9.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面如果未采用基于對稱密碼算法或（）的消息鑒別碼（MAC）機制等密碼技術(shù)對通信實體進行身份鑒別，可能會導致信息系統(tǒng)面臨高風險。A、密碼雜湊算法B、生物特征C、祖沖之密碼算法D、公鑰密碼算法【正確答案】：A10.對于數(shù)據(jù)庫中的重要業(yè)務數(shù)據(jù)存儲完整性保護，使用SM3算法進行保護，判定為（）。A、符合B、部分符合C、不符合D、采取了風險緩解措施【正確答案】：C11.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，編制方案密評報告時，以下對于不適用指標描述不合理的是（）。A、信息系統(tǒng)不涉及設(shè)備中的重要信息資源安全標記，因此設(shè)備和計算安全層面的“重要信息資源安全標記完整性”指標為不適用B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機密性安全需求，因此應用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲機密性”指標為不適用C、信息系統(tǒng)的物理機房難以進行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標為不適用D、信息系統(tǒng)責任單位將“可”的指標自行決定為不適用【正確答案】：C12.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，風險分析的輸入不包括（）。A、被測系統(tǒng)威脅分析結(jié)果B、被測系統(tǒng)的規(guī)模C、被測系統(tǒng)存在的安全問題D、已有安全措施情況【正確答案】：B13.對通過工具測試抓取的數(shù)據(jù)進行分析，下列哪些說法是不正確的（）。A、對密文應進行隨機性檢測B、查看關(guān)鍵字段是否以明文出現(xiàn)C、驗證雜湊值和簽名值是否正確D、對密文進行解密，驗證加密算法的合規(guī)性、正確性【正確答案】：D14.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)密評時所有安全層面均適用，建設(shè)運行層面五個測評單元得分分別為1分、0.5分、0.5分、1分、不適用，單元指標權(quán)重分別是1，1，0.7，1，0.7，則該層面量化評估的得分為（）。A、0.3064B、0.5011C、0.7703D、0.9112【正確答案】：C15.某三級信息系統(tǒng)的訪問控制信息通過調(diào)用服務器密碼機（通過商用密碼產(chǎn)品檢測認證）使用SM3withSM2數(shù)字簽名算法計算簽名值后，將訪問控制信息與簽名值一同保存在數(shù)據(jù)庫中，但用戶訪問業(yè)務應用時未對訪問控制信息的簽名值進行驗證，針對“應用和數(shù)據(jù)安全”層面的“訪問控制信息完整性”為（）分。A、0B、0.25C、0.5D、1【正確答案】：A16.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某系統(tǒng)管理員使用智能密碼鑰匙登錄服務器密碼機進行身份鑒別，以下哪項不屬于設(shè)備和計算安全層面應核查的內(nèi)容（）。A、服務器密碼機的商用密碼產(chǎn)品認證證書B、智能密碼鑰匙的密碼模塊安全等級C、利用協(xié)議分析工具，抓取應用系統(tǒng)調(diào)用密碼機的指令報文，驗證其是否符合預期D、密碼機設(shè)備日志記錄【正確答案】：C17.按照《商用密碼應用安全性評估報告模板（2023版）》，如果信息系統(tǒng)密碼應用方案的評估結(jié)果為通過，由此可得到該信息系統(tǒng)的密評結(jié)果為（）。A、無法確定B、符合C、基本符合D、通過【正確答案】：A18.某信息系統(tǒng)部署了1臺經(jīng)檢測認證合格的SSLVPN，則在設(shè)備和計算安全層面，關(guān)于該SSLVPN，哪些指標不能直接判定為符合（）。A、身份鑒別B、系統(tǒng)資源訪問控制信息完整性C、日志記錄完整性D、重要可執(zhí)行程序完整性【正確答案】：A19.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，現(xiàn)場測評環(huán)節(jié)，在對應用系統(tǒng)鑒別數(shù)據(jù)進行應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機密性”指標測評時，應用系統(tǒng)采取下列哪項技術(shù)措施可判定該測評對象機密性保護措施無效（）。A、客戶端對口令明文進行SHA-256雜湊運算后，將雜湊值傳輸至后臺應用系統(tǒng)，應用系統(tǒng)對雜湊值進行比對B、客戶端調(diào)用智能密碼鑰匙，采用SM4算法對口令信息加密后傳輸C、客戶端采用服務端RSA-2048公鑰對口令信息加密后傳輸D、客戶端采用AES算法對口令信息加密后傳輸【正確答案】：A20.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，被測應用系統(tǒng)面向業(yè)務用戶提供WEB端和APP端2種訪問方式，用戶通過WEB端注冊后，可使用相同賬戶名口令登錄APP；當用戶使用WEB瀏覽器登錄應用系統(tǒng)時，通過智能密碼鑰匙對口令信息進行SM4加密后傳輸；用戶登錄手機端APP時，口令明文傳輸。則在進行應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機密性”測評時，口令信息測評結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C21.某信息系統(tǒng)在數(shù)據(jù)庫中存儲有用戶的性別字段的密文，應用開發(fā)人員告知密評人員該字段采用SM4-CBC算法進行了加密。密評人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個密文值長度為128比特。那么以下推斷正確的是（）。A、如果確實使用SM4-CBC進行加密，那么開發(fā)人員可能錯誤地使用了IVB、由于密文長度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進行加密，開發(fā)人員說法存在問題C、開發(fā)人員不可能使用ECB模式加密D、由于密文長度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開發(fā)人員的說法是正確的【正確答案】：A22.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下說法正確的是（）。A、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，通用測評要求對應的是第一級到第四級的密碼應用要求B、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，密碼應用技術(shù)測評要求對應的是第一級到第四級的密碼應用要求C、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，密碼應用管理測評要求對應的是第一級到第五級的密碼應用要求D、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，測評單元“密鑰管理安全性”對應的是第一級到第四級的密碼應用要求【正確答案】：B23.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下不屬于建設(shè)運行層面第三級信息系統(tǒng)測評指標的是（）。A、制定密碼應用方案B、制定密鑰安全管理策略C、投入運行前進行商用密碼應用安全性評估D、密鑰管理規(guī)則【正確答案】：D24.在三級信息系統(tǒng)測評中，在網(wǎng)絡和通信層面，身份鑒別、通信數(shù)據(jù)完整性、通信過程中重要數(shù)據(jù)的機密性、網(wǎng)絡邊界訪問控制信息的完整性、安全接入認證各測評單元得分為0、0.5、0.5、0、不適用，指標權(quán)重分別為，1、0.7、1、0.4、0.4，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該安全層面的量化得分為（）。A、0.625B、0.725C、0.5D、0.2741【正確答案】：D25.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，密評人員在對關(guān)鍵設(shè)備進行現(xiàn)場檢查時，測評工具接入被測信息系統(tǒng)條件不成熟，測評方應（）。A、自行模擬被測信息系統(tǒng)搭建測評環(huán)境獲取測評數(shù)據(jù)B、與被測單位協(xié)商、配合，生成必要的離線數(shù)據(jù)C、告知被測單位風險后，接入被測系統(tǒng)獲取真實數(shù)據(jù)D、將該測評項做不適用處理【正確答案】：B26.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某三級網(wǎng)銀系統(tǒng)用戶通過智能密碼鑰匙（經(jīng)檢測認證的二級密碼模塊）使用美國GlobalSign頒發(fā)的SHA-256WtihRSA-2048算法數(shù)字證書登錄網(wǎng)銀系統(tǒng)，則該測評對象分值最合理的是為（）。A、0B、0.25C、0.5D、1【正確答案】：B27.數(shù)據(jù)庫服務器采用SSH協(xié)議進行遠程管理，協(xié)議中使用非國密算法保障遠程管理通道的安全，且經(jīng)漏洞掃描發(fā)現(xiàn)SSH協(xié)議存在高風險漏洞。依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對遠程管理通道安全測評指標結(jié)果判定正確的是（）。A、0.5分B、0分C、存在高風險安全問題D、存在低風險安全問題【正確答案】：C28.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》中，網(wǎng)絡通信過程中重要數(shù)據(jù)的機密性可以從（）層面進行緩解，從而降低安全風險。A、設(shè)備和計算安全B、應用和數(shù)據(jù)安全C、物理和環(huán)境安全D、安全管理制度【正確答案】：B29.某三級信息系統(tǒng)用戶端與服務端之間進行通信時，只對服務端進行了基于密碼的身份鑒別且身份鑒別機制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡和通信安全”層面的“身份鑒別”指標最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：D30.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，密評人員在對SSLVPN通信信道進行測評時

，

發(fā)

現(xiàn)

協(xié)

議

算

法

套

件

為TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)，以下判斷合理的是（）。A、采用ECDHE算法進行密鑰協(xié)商B、采用RSA算法來保證通信過程中數(shù)據(jù)的機密性C、采用AES算法來保證通信過程中數(shù)據(jù)的完整性D、采用SHA算法來保證通信過程中數(shù)據(jù)的完整性【正確答案】：A31.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)的網(wǎng)絡和通信安全層面測評對象包括IPSecVPN通信信道和SSLVPN通信信道，密評人員經(jīng)測評后發(fā)現(xiàn)，針對“通信數(shù)據(jù)完整性”測評單元，IPSecVPN通信信道符合要求，SSLVPN通信信道不符合要求。那么該信息系統(tǒng)在網(wǎng)絡和通信安全層面“通信數(shù)據(jù)完整性”測評單元的最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：B32.密評過程中，采用端口掃描主要用于探測和識別被測信息系統(tǒng)中的VPN、服務器密碼機、數(shù)據(jù)庫服務器等設(shè)備開放的端口服務。IPSecVPN中IKE協(xié)議常用的UDP端口號是（）。A、500B、450C、4500D、5000【正確答案】：A33.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下不屬于測評方案主要內(nèi)容的是（）。A、測評對象B、測評指標C、測評檢查點D、風險評估結(jié)果【正確答案】：D34.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于現(xiàn)場測評活動的輸出文檔，描述正確的是（）。A、現(xiàn)場測評準備階段輸出文檔包括會議記錄、更新確認后的密評方案、確認的測評授權(quán)書和風險告知書等B、現(xiàn)場測評和結(jié)果記錄階段輸出文檔主要為各類測評結(jié)果記錄C、測評結(jié)果確認和資料歸還階段的輸出文檔為經(jīng)過被測單位確認的各類測評結(jié)果記錄D、以上內(nèi)容均正確【正確答案】：D35.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告整體測評章節(jié)時，以下情況處理得當?shù)氖牵ǎ?。A、設(shè)備和計算安全層面中，堡壘機“系統(tǒng)資源訪問控制信息完整性”和“日志記錄完整性”保護采用通用操作系統(tǒng)自身安全機制實現(xiàn)，但如果堡壘機“身份鑒別”判定結(jié)果為“符合”，那么通過單元間的彌補后，前兩項測評單元的判定結(jié)果可修正為“符合”B、某省中心系統(tǒng)有與市中心系統(tǒng)業(yè)務交互需求，在應用和數(shù)據(jù)安全層面未采用密碼技術(shù)對重要數(shù)據(jù)傳輸機密性保護。但采用了符合要求的密碼技術(shù)對網(wǎng)絡通信信道進行保護，且網(wǎng)絡和通信安全層面測評指標的測評結(jié)果為符合。則“重要數(shù)據(jù)傳輸機密性”測評結(jié)果可修正為“符合”，彌補后分值為1分C、某系統(tǒng)的設(shè)備遠程管理路徑為：管理員終端->SSLVPN網(wǎng)關(guān)->通用設(shè)備（靜態(tài)口令登錄）。所以只要終端到SSLVPN網(wǎng)關(guān)之間建立起基于國密SSL協(xié)議的網(wǎng)絡通信通道，則通用設(shè)備“身份鑒別”測評單元可以由“不符合”彌補為“部分符合”，最高得0.5分D、某第三方支付平臺和銀行有業(yè)務交互需求，在網(wǎng)絡和通信安全層面未采用密碼技術(shù)建立安全傳輸信道，通信報文的傳輸機密性無法得到保障。但在“應用和數(shù)據(jù)安全”層面，采用了符合要求的密碼技術(shù)對重要數(shù)據(jù)傳輸機密性進行保護，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡通信信道。則“通信過程中重要數(shù)據(jù)的機密性”測評結(jié)果可以得到一定彌補【正確答案】：D36.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，下列關(guān)于應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸完整性”測評實施的說法中，錯誤的是（）。A、從密碼算法、密碼技術(shù)、密碼產(chǎn)品、密碼服務、密鑰管理方面進行通用測評B、利用協(xié)議分析工具，分析受完整性保護的數(shù)據(jù)在傳輸時的數(shù)據(jù)格式（如簽名長度、MAC長度）是否符合預期C、如果使用數(shù)字簽名技術(shù)進行完整性保護，可使用私鑰對抓取的簽名結(jié)果進行驗證D、如果以外接服務器密碼機等密碼產(chǎn)品的形式實現(xiàn)，需要核實密碼產(chǎn)品是否真正被調(diào)用【正確答案】：C37.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，（）是建立評估對象所需密鑰管理策略和密鑰管理規(guī)則的主要依據(jù)。A、評審通過的密碼應用方案B、系統(tǒng)安全性設(shè)計方案C、系統(tǒng)建設(shè)實施方案D、項目立項報告【正確答案】：A38.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，關(guān)于采集分析被測信息系統(tǒng)與外界通信的數(shù)據(jù)以及被測信息系統(tǒng)內(nèi)部傳輸和存儲的數(shù)據(jù)，以下說法不正確的是（）。A、應分析使用的密碼算法、密碼協(xié)議、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)是否合規(guī)B、應檢查傳輸?shù)目诹?、用戶隱私數(shù)據(jù)等重要數(shù)據(jù)是否進行了保護C、應驗證雜湊值和簽名值是否正確D、通過加解密等方式進行對稱加密算法的驗證【正確答案】：D39.一般無法通過分析SSL協(xié)議數(shù)據(jù)獲得的是（）。A、通信協(xié)議使用的密碼套件B、握手協(xié)議過程C、ISAKMP的協(xié)議過程D、記錄協(xié)議過程【正確答案】：C40.測評過程中，對信息系統(tǒng)網(wǎng)絡邊界內(nèi)的用戶與系統(tǒng)應用之間重要數(shù)據(jù)傳輸保護的測評屬于（）安全層面的測評內(nèi)容。A、網(wǎng)絡和通信安全B、設(shè)備和計算安全C、應用和數(shù)據(jù)安全D、密鑰管理【正確答案】：C41.在測評過程中會常遇到的以"BEGIN..."開頭,"END..."結(jié)尾的數(shù)據(jù)編碼格式是（）。A、Base64B、PEMC、BERD、DER【正確答案】：B42.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在對信息系統(tǒng)給出最終測評結(jié)論時，若判定為“基本符合”，則說明該系統(tǒng)的安全防護程度達到以下哪種情況（）。A、未發(fā)現(xiàn)安全問題，不存在不符合和部分符合項B、存在不符合和部分符合項，而且存在的安全問題會導致信息系統(tǒng)面臨高等級安全風險C、存在符合項和部分符合項，但存在的安全問題不會導致信息系統(tǒng)面臨高等級安全風險，且綜合得分不低于閾值D、以上都不對【正確答案】：C43.某信息系統(tǒng)在互聯(lián)網(wǎng)邊界部署安全認證網(wǎng)關(guān)，為用戶訪問應用建立起安全的通信信道?；ヂ?lián)網(wǎng)用戶客戶端并未部署數(shù)字證書，則在網(wǎng)絡和通信安全層面，對互聯(lián)網(wǎng)用戶訪問應用的網(wǎng)絡通信信道的測評的內(nèi)容是（）。A、互聯(lián)網(wǎng)客戶端和安全認證網(wǎng)關(guān)之間的身份鑒別、通信數(shù)據(jù)機密性和完整性B、互聯(lián)網(wǎng)客戶端和應用服務器之間的身份鑒別、通信機密性和完整性C、安全認證網(wǎng)關(guān)和應用服務器之間的身份鑒別、通信數(shù)據(jù)機密性和完整性D、應用服務器和第三方電子認證服務機構(gòu)之間的身份鑒別、通信數(shù)據(jù)機密性和完整性【正確答案】：A44.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)管理員在互聯(lián)網(wǎng)通過合規(guī)的SSLVPN接入系統(tǒng)內(nèi)網(wǎng)，管理員使用合規(guī)的智能密碼鑰匙登錄SSLVPN，并正確啟用國密算法，數(shù)字證書由合規(guī)的CA機構(gòu)頒發(fā)，則網(wǎng)絡和通信安全層面的“身份鑒別”指標應判定為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：D45.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，下列密碼防護措施一定“不符合”應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機密性”測評指標要求的是（）。A、采用SM4-CTR算法對重要用戶信息加密后傳輸B、采用SM2公鑰加密算法對口令信息加密后傳輸C、采用ZUC-EIA算法對重要用戶信息加密后傳輸D、采用ChaCha20-Poly1305算法對重要用戶信息加密后傳輸【正確答案】：C46.按照《商用密碼應用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告時，以下不屬于分析與報告編制活動內(nèi)容的是（）。A、單項測評結(jié)果判定B、單元測評結(jié)果判定C、風險分析D、測評對象和測評內(nèi)容確定【正確答案】：D47.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在（）的情況下，引用密評報告結(jié)論時可對其相關(guān)內(nèi)容進行修改。A、任何情況都不允許B、系統(tǒng)發(fā)生變動C、委托方授權(quán)D、測評機構(gòu)同意【正確答案】：A48.密評過程中使用Wireshark工具對網(wǎng)絡信道中的SSL協(xié)議數(shù)據(jù)進行分析時，可以在（）數(shù)據(jù)報文中獲取通信雙方所協(xié)商的密碼套件。A、ClientHelloB、ServerHelloC、ServerKeyExchangeD、ClientKeyExchange【正確答案】：B49.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為6時表示口令采用（）密碼算法進行雜湊后存儲。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：D50.某三級信息系統(tǒng)，網(wǎng)絡和通信安全層面采用了合規(guī)的密碼技術(shù)進行通信實體身份鑒別，測評人員經(jīng)核實后判定結(jié)果為1分；應用和數(shù)據(jù)安全層面采用“用戶名+口令”的方式對業(yè)務系統(tǒng)登錄用戶進行身份鑒別。則“應用和數(shù)據(jù)安全”層面的“身份鑒別”指標的應用用戶測評對象經(jīng)“網(wǎng)絡和通信安全”層面“身份鑒別”指標結(jié)果彌補后的量化評估分值為（）。A、1B、0.5C、0.25D、0【正確答案】：D51.密評人員在測評時發(fā)現(xiàn)被測系統(tǒng)調(diào)用服務器密碼機，對堡壘機的訪問控制信息進行完整性保護，并獲取了堡壘機訪問控制信息的完整性校驗值為：0x1073f2a58ae7e43550bc1c11f4cd2899，其長度為128比特，以下說法錯誤的是（）。A、一定未采用HMAC-SM3算法對堡壘機訪問控制信息進行完整性保護B、可能采用了HMAC-SM3算法對堡壘機訪問控制信息進行完整性保護C、可能采用了HMAC-MD5算法對堡壘機訪問控制信息進行完整性保護D、可能采用了基于SM4-CBC的MAC算法對堡壘機訪問控制信息進行完整性保護【正確答案】：A52.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)使用了服務器密碼機、簽名驗簽服務器等密碼產(chǎn)品，密碼產(chǎn)品合規(guī)性核查要點不包含以下哪項內(nèi)容（）。A、核查密碼產(chǎn)品是否具備商用密碼產(chǎn)品認證證書B、核查服務器密碼機的隨機數(shù)發(fā)生器是否采用國家密碼管理主管部門批準的物理噪聲源芯片C、若密碼產(chǎn)品符合密碼模塊相關(guān)標準，則核查其密碼模塊是否達到相應安全等級要求D、核查商用密碼產(chǎn)品認證證書是否在有效期內(nèi)【正確答案】：B53.對數(shù)字證書格式進行分析時，無法獲得的信息是（）。A、CA對該證書的簽名算法B、該證書的有效日期C、該證書的用途D、該證書是否被撤銷等有效狀態(tài)【正確答案】：D54.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于量化評估的說法，不正確的是（）。A、量化評估的輸入是密評報告的單元測評的結(jié)果匯總及整體測評部分B、根據(jù)單元測評結(jié)果，計算各測評指標的各個測評對象的測評結(jié)果符合程度得分，之后再進行整體測評C、根據(jù)各個測評對象的符合程度得分，計算各測評單元得分D、根據(jù)各測評單元、各層面和整體得分，總體評價被測信息系統(tǒng)已采取的有效保護措施和存在的密碼應用安全問題情況?！菊_答案】：B55.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，對于訪問控制信息完整性，以下屬于設(shè)備和計算安全層面測評內(nèi)容的是（）。A、部署在網(wǎng)絡邊界的VPN中的訪問控制列表B、通用服務器操作系統(tǒng)的系統(tǒng)權(quán)限訪問控制信息C、邊界防火墻的ACL列表D、應用系統(tǒng)的用戶權(quán)限列表【正確答案】：B56.某三級信息系統(tǒng)運維管理員通過互聯(lián)網(wǎng)直接訪問堡壘機，對設(shè)備進行運維管理，則管理員通過互聯(lián)網(wǎng)訪問堡壘機的通信信道（）。A、僅作為網(wǎng)絡和通信安全層面的測評對象B、僅作為設(shè)備和計算安全層面“遠程管理通道安全”的測評對象C、可作為網(wǎng)絡和通信安全層面、設(shè)備和計算安全層面“遠程管理通道安全”的測評對象D、不可作為網(wǎng)絡和通信安全層面、設(shè)備和計算安全層面“遠程管理通道安全”的測評對象【正確答案】：C57.某信息系統(tǒng)的網(wǎng)絡安全保護等級為S3A2，則對該信息系統(tǒng)進行密評時，則應從GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》中選擇第（）級指標要求作為測評指標。A、一B、二C、三D、四【正確答案】：C58.某四級信息系統(tǒng)，對物理和環(huán)境安全“身份鑒別”這一項，其密碼應用方案中論述了無法采用密碼技術(shù)的客觀因素，并提供了目前采用的風險控制措施，即“口令+指紋”，密評人員在實際測評時核實方案中的措施已落實。那么作為該條款的測評結(jié)論合理的是（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：C59.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某OA辦公系統(tǒng)面向被測單位辦公人員提供在線辦公、公文意見簽批等服務，管理員登錄后臺進行系統(tǒng)管理操作。經(jīng)測評，辦公人員身份鑒別判定為“不符合”，管理員身份鑒別判定為“符合”，則針對應用和數(shù)據(jù)安全層面的“身份鑒別”測評單元，最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：B60.按照GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下（）不屬于應用和數(shù)據(jù)安全層面的測評內(nèi)容。A、重要信息資源安全標記完整性B、訪問控制信息完整性C、日志記錄存儲完整性D、重要可執(zhí)行程序完整性和來源真實性【正確答案】：D61.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，下列關(guān)于應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲機密性”指標測評實施和結(jié)果判定的說法中錯誤的是（）。A、如調(diào)用外部密碼產(chǎn)品實現(xiàn)，可以通過核查密碼產(chǎn)品日志記錄或配置信息等來判斷使用密碼算法的合規(guī)性B、存儲機密性保護通過具有商用密碼產(chǎn)品認證證書的服務器密碼機實現(xiàn)，則該測評指標的測評結(jié)果一定為“符合”C、密碼運算和密鑰管理均由服務器密碼機等合規(guī)的密碼產(chǎn)品實現(xiàn)，但密鑰管理安全性不一定為“符合”D、可直接讀取存儲的重要數(shù)據(jù)，以判斷機密性保護措施是否有效【正確答案】：B62.Linux系統(tǒng)的用戶口令一般存儲在路徑（）下。A、/etc/groupB、/etc/shadowC、/etc/login.defsD、/etc/named.conf【正確答案】：B63.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下測評風險規(guī)避措施，錯誤的是（）。A、簽署保密協(xié)議B、將無法直接接入測試工具采集相關(guān)數(shù)據(jù)的測試對象從測試范圍中去除C、簽署測試授權(quán)書D、工具測試避開業(yè)務運行高峰期【正確答案】：B64.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，在量化評估框架中，字母A表示（）。A、AdherencetocryptographicalgorithmstandardsB、CryptographicalgorithmvalidationC、CryptographyAlgorithmcomplianceD、Algorithmicreviewandapproval【正確答案】：C65.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下不屬于云平臺在設(shè)備和計算安全層面的測評對象的是（）。A、物理服務器B、虛擬服務器C、云上應用D、云服務器密碼機【正確答案】：C66.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)基于GMSSL協(xié)議使用安全瀏覽器訪問堡壘機，GMSSL協(xié)議使用了基于SM3WithSM2算法的數(shù)字證書，且數(shù)字證書由合規(guī)的CA機構(gòu)頒發(fā)，則堡壘機的“身份鑒別”指標應判定為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：D67.在某個政務三級信息系統(tǒng)的網(wǎng)絡和通信安全層面測評過程中，發(fā)現(xiàn)該系統(tǒng)采用獲得電子認證服務密碼使用許可證的CA機構(gòu)簽發(fā)的數(shù)字證書，該證書存放在智能鑰匙（經(jīng)檢測認證的二級密碼模塊）中，證書的簽名算法Oid

標識為0197.1.501，證書在有效期內(nèi)，身份鑒別過程采用SM2算法，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該層面的身份鑒別量化結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：D68.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為1時表示口令采用（）密碼算法進行雜湊后存儲。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：A69.某電商平臺收集了用戶的姓名、手機號、地址等信息，需要對這些信息進行存儲完整性保護，則應采取的密碼技術(shù)為（）。A、SM3B、HMAC-SM3C、MD5D、SM4【正確答案】：B70.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，在確定測評的不適用項時，如無密碼應用方案，以下哪項不作為不適用項的論證依據(jù)（）。A、是否在被測系統(tǒng)責任邊界內(nèi)B、系統(tǒng)安全需求C、不適用的具體原因D、是否采用了可滿足安全要求的其他替代性風險控制措施【正確答案】：A71.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，風險等級不包括（）。A、高B、中C、低D、一般【正確答案】：D72.根據(jù)《商用密碼應用安全性評估FAQ（第二版）》，對于建設(shè)運行層面的“投入運行前進行密碼應用安全性評估”測評項，在2020年1月1日之后投入運行的系統(tǒng)，投入運行后進行首次密評時，該項判定為（）；如果是非首次密評，且前次密評結(jié)果為基本符合，該項可判定（）。A、不符合、符合B、不適用、符合C、不符合、部分符合D、部分符合、部分符合【正確答案】：A73.某三級信息系統(tǒng)的系統(tǒng)管理員通過堡壘機登錄通用服務器并對其進行遠程管理，進入堡壘機后，系統(tǒng)管理員通過用戶名+口令的方式訪問通用服務器。系統(tǒng)管理員登錄堡壘機時通過部署具有商用密碼產(chǎn)品認證證書的安全瀏覽器（安全等級二級）和智能密碼鑰匙（安全等級二級）并基于數(shù)字證書（在有效期內(nèi)）的方式進行身份鑒別，算法為SM2。因此該系統(tǒng)在“設(shè)備和計算安全”層面的通用服務器測評對象的“身份鑒別”指標D、K的判定結(jié)果為（）。A、√，√，√B、×，/，/C、√，×，×D、√，√，×【正確答案】：B74.某信息系統(tǒng)設(shè)備管理員在互聯(lián)網(wǎng)通過SSLVPN訪問內(nèi)網(wǎng)后，再登錄堡壘機對設(shè)備進行運維管理，運維人員在互聯(lián)網(wǎng)通過智能密碼鑰匙登錄SSLVPN；則在網(wǎng)絡和通信安全層面，對該遠程管理通道的主要測評的內(nèi)容包括（）。A、運維客戶端和SSLVPN之間的身份鑒別、通信機密性和完整性B、運維客戶端和堡壘機之間的身份鑒別、通信機密性和完整性C、SSLVPN和堡壘機之間的身份鑒別、通信機密性和完整性D、堡壘機和服務器之間的身份鑒別、通信機密性和完整性【正確答案】：A75.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在人員管理測評中發(fā)現(xiàn)，被測單位設(shè)置了密鑰管理員、密碼安全審計員、密碼操作員崗位并定義崗位職責；并對關(guān)鍵崗位采用AB角機制，其中密鑰管理員與密碼安全審計員互為AB角，這種情況針對“建立密碼應用崗位責任制度”測評指標最合適的判定結(jié)果是（）。A、符合B、部分符合C、基本符合D、不符合【正確答案】：B76.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對某三級信息系統(tǒng)進行量化評估時，共選取了四條通信信道作為網(wǎng)絡和通信安全層面測評對象，在身份鑒別測評單元中，四條通信信道的測評結(jié)果分別為1分、0.25分、0.5分、不適用，則身份鑒別測評單元的量化評估結(jié)果為（）。A、0.25B、0.4375C、0.5833D、0.6667【正確答案】：C77.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，以下對信息系統(tǒng)密評報告“總體評價”章節(jié)描述錯誤的是（）。A、總體評價章節(jié)中需要體現(xiàn)本次密評所依據(jù)GB/T39786的級別要求B、總體評價章節(jié)中需要體現(xiàn)本次密評的測評結(jié)果，包括測評項的符合情況及風險項數(shù)C、總體評價章節(jié)中需要體現(xiàn)各個層面密碼應用實施情況，但不需要體現(xiàn)測評項的符合情況D、總體評價章節(jié)需要給出被測系統(tǒng)是否符合GB/T39786相應等級指標要求的測評結(jié)論【正確答案】：C78.密評過程中，依據(jù)（）標準對數(shù)字證書格式的合規(guī)性進行分析。A、GM/T0015《基于SM2密碼算法的數(shù)字證書格式規(guī)范》B、GM/T0028《密碼模塊安全技術(shù)要求》C、GM/T0005《隨機性檢測規(guī)范》D、GM/T0034《基于SM2密碼算法的證書認證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》【正確答案】：A79.政務信息系統(tǒng)中，已經(jīng)確定的測評對象是政務外網(wǎng)SSLVPN客戶端與內(nèi)網(wǎng)SSLVPN之間的通信信道，則其密碼應用場景是（）。A、管理員用戶從政務外網(wǎng)通過內(nèi)網(wǎng)SSLVPN接入辦公內(nèi)網(wǎng)B、管理員從辦公內(nèi)網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問內(nèi)網(wǎng)應用C、用戶從政務外網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問內(nèi)網(wǎng)應用D、用戶從互聯(lián)網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問內(nèi)網(wǎng)應用【正確答案】：A80.某機關(guān)辦公OA信息系統(tǒng)面向機關(guān)內(nèi)所有辦公人員提供服務，信息系統(tǒng)系統(tǒng)通過管理員進行運行維護。經(jīng)測評，如果辦公人員身份鑒別判定為不符合，管理員身份鑒別判定為符合，針對應用和數(shù)據(jù)層面的“身份鑒別”測評單元，最終判定結(jié)果為（）。A、部分符合B、符合C、不符合D、不適用【正確答案】：A81.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在建設(shè)運行層面僅涉及第三級及以上信息系統(tǒng)測評指標的是（）。A、制定密碼應用方案B、制定密鑰安全管理策略C、投入運行前進行商用密碼應用安全性評估D、定期開展密碼應用安全性評估及攻防對抗演習【正確答案】：D82.按照《商用密碼應用安全性評估報告模板（2023版）》，某三級信息系統(tǒng)使用了自行設(shè)計（未經(jīng)檢測認證合格）且經(jīng)過安全性證明的密碼算法對業(yè)務系統(tǒng)重要數(shù)據(jù)進行保護，針對“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲機密性”指標最高可以給（）分。A、0.25B、0C、0.5D、1【正確答案】：A83.通過對網(wǎng)絡信道中的SSL協(xié)議數(shù)據(jù)進行分析時，ServerHello中顯示密碼套件ID為{0xe0,0x11}，則表示雙方所協(xié)商的密鑰交換算法和加密算法分別為（）。A、SM2密鑰交換算法，SM4_CBCB、RSA公鑰加密算法，AES_CBCC、RSA公鑰加密算法，SM4_CBCD、SM2密鑰交換算法，SM1_CBC【正確答案】：A84.某云平臺和云上應用系統(tǒng)的業(yè)務數(shù)據(jù)存儲機密性保護，由同一臺云服務器密碼機（經(jīng)檢測認證）提供，且均采用SM4-CBC算法計算數(shù)據(jù)密文。若云平臺率先通過密評，且“重要數(shù)據(jù)存儲機密性”測評單元得到“符合”結(jié)論，那么依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，云上應用系統(tǒng)的該測評指標應選擇以下哪種判定結(jié)果更合適（）。A、符合B、部分符合C、不符合D、不確定，需重新測評【正確答案】：D85.以下不屬于GM/T0115《信息系統(tǒng)密碼應用測評要求》的內(nèi)容是（）。A、通用測評要求B、整體測評要求C、測評方案編制D、測評結(jié)論【正確答案】：C86.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，已知某個測評單元有5個測評對象，量化評估結(jié)果分別為1，1，1，1，0，則該測評單元得分為（）。A、1B、0C、0.8D、0.5【正確答案】：C87.某信息系統(tǒng)通過堡壘機對設(shè)備進行集中運維管理，堡壘機采用動態(tài)令牌進行身份鑒別。則對該設(shè)備的身份鑒別主要測評的內(nèi)容包括（）。A、無需測評動態(tài)令牌系統(tǒng)產(chǎn)品的合規(guī)性B、如果設(shè)備是合規(guī)的密碼產(chǎn)品，則無需測評，直接判為符合C、如果設(shè)備不是合規(guī)的密碼產(chǎn)品，則無需測評，直接判為不符合D、根據(jù)實際情況核驗該設(shè)備的身份鑒別實現(xiàn)機制【正確答案】：D88.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在對應用和數(shù)據(jù)安全層面中的“身份鑒別”指標測評時，獲取下列哪項測評證據(jù)的判定結(jié)果一定為“不符合”（）。A、WEB端業(yè)務用戶采用智能密碼鑰匙登錄應用系統(tǒng)B、WEB端業(yè)務用戶使用手機APP客戶端掃碼登錄業(yè)務應用系統(tǒng)，手機APP集成手機盾SDK，服務端調(diào)用了協(xié)同簽名平臺進行簽名驗證C、移動端用戶可采用SM2協(xié)同簽名技術(shù)登錄手機APP（集成移動終端密碼模塊SDK）。D、系統(tǒng)管理員采用短信驗證碼登錄業(yè)務應用系統(tǒng)，服務端動態(tài)口令認證模塊基于開源代碼實現(xiàn)【正確答案】：D89.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，密評機構(gòu)在測評某信息系統(tǒng)時，發(fā)現(xiàn)移動端用戶采用協(xié)同簽名技術(shù)（由經(jīng)檢測認證的密碼產(chǎn)品實現(xiàn)）完成應用系統(tǒng)的登錄認證。但密評人員查閱密碼相關(guān)標準后發(fā)現(xiàn)，該技術(shù)并未以密碼相關(guān)國家標準或行業(yè)標準發(fā)布。針對此情形，“密碼技術(shù)合規(guī)性”的判定較為合理的是（）。A、部分符合B、符合C、不符合D、不適用【正確答案】：B90.某信息系統(tǒng)調(diào)用經(jīng)檢測認證合格的簽名驗簽服務器，使用SM3算法對數(shù)據(jù)庫存儲的重要數(shù)據(jù)進行完整性保護，該簽名驗簽服務器符合相應的密碼模塊安全等級要求。根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，“重要數(shù)據(jù)存儲完整性”測評單元的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：A91.在某個政務三級信息系統(tǒng)的設(shè)備和計算層面測評過程中，發(fā)現(xiàn)采用了具有商用密碼產(chǎn)品認證證書的SSLVPN設(shè)備，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該測評對象“系統(tǒng)資源訪問控制信息完整性”的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：C92.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，密評人員在測評某二級系統(tǒng)時，發(fā)現(xiàn)該系統(tǒng)在投入運行前有經(jīng)過初次評估并編制了密碼應用安全性評估報告，但整個系統(tǒng)的評估結(jié)論為“不符合”。那么“投入運行前進行密碼應用安全性評估”測評單元的判定結(jié)果是（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：A93.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評工具接入點的選擇，錯誤的是（）。A、信息系統(tǒng)測評工具接入點需要選擇三個或三個以上。B、從系統(tǒng)內(nèi)部同一網(wǎng)段接入時，測試工具一般接在與被測對象在同一網(wǎng)段的交換機上C、當從被測信息系統(tǒng)邊界外接入時，測試工具一般接在系統(tǒng)邊界設(shè)備上D、從系統(tǒng)內(nèi)部不同網(wǎng)段接入時，測試工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換機上【正確答案】：A94.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，從DAK三個角度對信息系統(tǒng)進行量化評估，其中D表示（）。A、密碼算法合規(guī)性B、密碼算法有效性C、密碼使用合規(guī)性D、密碼使用有效性【正確答案】：D95.下列關(guān)于應用和數(shù)據(jù)安全層面“訪問控制信息完整性”指標測評的說法中不正確的是（）。A、被測應用系統(tǒng)無身份鑒別模塊，則該項測評指標不適用B、保護對象可能包括用戶角色配置信息、角色權(quán)限配置信息C、如使用數(shù)字簽名技術(shù)進行完整性保護，則可使用公鑰對存儲的簽名結(jié)果進行驗證D、如果以外接服務器密碼機等密碼產(chǎn)品的形式實現(xiàn)，還需要核實密碼產(chǎn)品是否真正被調(diào)用【正確答案】：A96.密評過程中，采用端口掃描主要用于探測和識別被測信息系統(tǒng)中的VPN、服務器密碼機、數(shù)據(jù)庫服務器等設(shè)備開放的端口服務，如果發(fā)現(xiàn)（）端口是開放的，一般可以作為SSLVPN服務開啟的輔助證據(jù)之一。A、443B、3389C、500D、22【正確答案】：A97.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰更新環(huán)節(jié)可能會對密鑰安全造成安全隱患的是（）。A、按照制定的密鑰生命周期的安全管理策略執(zhí)行B、未建立密鑰已泄露或存在泄露風險時的密鑰更新機制C、在更新密鑰過程中，填寫相關(guān)表格進行記錄D、密鑰定期備份【正確答案】：B98.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對某三級信息系統(tǒng)進行量化評估時，物理和環(huán)境安全層面身份鑒別、電子門禁記錄數(shù)據(jù)存儲完整性、視頻記錄數(shù)據(jù)存儲完整性三個測評單元得分分別為不適用、0.5分、1分，則該層面量化評估的得分為（）。A、0.75B、0.6667C、0.4375D、0.5【正確答案】：A99.經(jīng)核查，某信息系統(tǒng)通過調(diào)用服務器密碼機，對系統(tǒng)日志記錄進行完整性保護，防止日志記錄被非法篡改，則建議配置的密碼算法為（）。A、HMAC-MD5B、HMAC-SM3C、HMAC-SHA1D、SM4【正確答案】：B100.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，關(guān)于設(shè)備和計算安全層面的密評，以下說法正確的是（）。A、若某信息系統(tǒng)技術(shù)人員通過自研軟件使用HMAC-SM3算法對堡壘機訪問控制信息進行完整性保護，則堡壘機的訪問控制信息完整性一項可判定為符合B、某四級信息系統(tǒng)，使用的服務器密碼機（安全等級二級）具有合格的商用密碼產(chǎn)品認證證書，且可以確定實際部署的密碼產(chǎn)品與獲認證產(chǎn)品一致，考慮到密碼產(chǎn)品功能確定且自身安全防護能力較高，針對該密碼機在設(shè)備和計算安全層面的“系統(tǒng)資源訪問控制信息完整性”“日志記錄完整性”“重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性”這三個指標，均可直接判定為“符合”C、當堡壘機的管理員有多種身份鑒別方式時，應對不同的身份鑒別方式分別進行測評，并以最低分作為量化評估的結(jié)果。D、依照GM/T0115《信息系統(tǒng)密碼應用測評要求》，設(shè)備和計算安全層面“身份鑒別”測評指標“采用密碼技術(shù)對登錄設(shè)備的用戶進行身份鑒別”中，要求的用戶指的是登錄設(shè)備的用戶，同時也指登錄設(shè)備中應用系統(tǒng)的用戶【正確答案】：C1.某信息系統(tǒng)在網(wǎng)絡邊界處部署了SSLVPN網(wǎng)關(guān)，為互聯(lián)網(wǎng)終端訪問內(nèi)網(wǎng)資源建立安全傳輸通道，測評人員在以下接入點（）無法捕獲SSL協(xié)議通信數(shù)據(jù)包。A、SSLVPN網(wǎng)關(guān)上B、SSLVPN網(wǎng)關(guān)與互聯(lián)網(wǎng)終端之間的交換機上C、信息系統(tǒng)內(nèi)的應用服務器上D、SSLVPN網(wǎng)關(guān)與信息系統(tǒng)應用服務器之間的核心交換機上【正確答案】：CD2.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，關(guān)于整體測評，以下說法錯誤的是（）。A、整體測評的輸出是密評報告的單元測評結(jié)果修正部分B、整體測評是對各個單元測評結(jié)果進行匯總分析，統(tǒng)計符合情況C、整體測評包括測評單元間的整體測評、層面間的整體測評D、測評單元的量化評估在整體測評前完成【正確答案】：BD3.在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，關(guān)于密碼應用技術(shù)測評要求的測評實施，其中測評實施第二條會關(guān)聯(lián)到其他哪些測評單元（）。A、通用測評要求的“密碼算法合規(guī)性”B、通用測評要求的“密碼產(chǎn)品合規(guī)性”C、通用測評要求的“密碼服務合規(guī)性”D、通用測評要求的“密鑰管理安全性”【正確答案】：BCD4.在驗證某個密文是否由SM2算法加密時，如果可以知道明文和公鑰，但無法獲得私鑰時，以下方法中可行，并且可以作為證據(jù)的是（）。A、分析該密文開頭的64字節(jié)是否是SM2橢圓曲線上的點B、對明文進行公鑰加密，對比產(chǎn)生密文是否與待測密文一致C、分析明密文長度是否相差96字節(jié)D、分析密文長度是否是512字節(jié)【正確答案】：AC5.以下關(guān)于Wireshark過濾規(guī)則的說法，（）是正確的。A、tcp.port==443可以用于獲取所有目標端口為443的TCP數(shù)據(jù)包B、ip.addr==可以用于獲取源或目標IP地址為的所有數(shù)據(jù)包C、arp.src.hw_mac==00:11:22:33:44:55可以用于獲取源MAC地址為00:11:22:33:44:55的ARP數(shù)據(jù)包D、http.response.code==200可以用于獲取所有HTTP響應狀態(tài)碼為200的數(shù)據(jù)包【正確答案】：ABCD6.按照《商用密碼應用安全性評估報告模板（2023版）》，管理制度中“具備密碼應用安全管理制度”測評單元結(jié)果為部分符合，其量化評估分值不可能為（）。A、0B、1C、0.25D、0.5【正確答案】：ABC7.以下可能通過Wireshark解析出的密碼套件有（）。A、ECDHE_SM4_CBC_SM3B、ECDHE_SM4_GCM_SM3C、IBC_SM4_CBC_SM3D、ECC_SM4_CBC_SM3【正確答案】：ABCD8.以下關(guān)于用戶密鑰的存儲方式，說法正確的是（）。A、數(shù)據(jù)加密密鑰在經(jīng)過檢測認證的三級密碼模塊中存儲B、SM2簽名私鑰經(jīng)SM4-GCM加密后存儲在數(shù)據(jù)庫中C、SM2簽名證書明文存儲在應用服務器中D、SM4密鑰經(jīng)SHA1加密存儲在數(shù)據(jù)庫【正確答案】：ABC9.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對測評單元的測評結(jié)果量化評估規(guī)則，以下說法正確的是（）。A、密碼應用技術(shù)要求中，測評單元的量化評估結(jié)果為該測評單元內(nèi)所有測評對象測評結(jié)果的算術(shù)平均值B、密碼應用技術(shù)要求中，測評單元的量化評估結(jié)果需要保留小數(shù)點后4位C、密碼應用管理要求的測評單元得分為各測評對象的算術(shù)平均值D、密碼應用管理要求的符合性判定需要根據(jù)GM/T0115給出判定結(jié)果【正確答案】：ABD10.已知應急處置安全層面所有測評單元的結(jié)果沒有不符合，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，則該安全層面可能的得分為（）。A、0.25B、0.5C、0.6458D、0.8542【正確答案】：BCD11.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下措施能夠緩解設(shè)備和計算安全層面遠程管理通道安全測評項的高風險的是（）。A、采用帶外管理的方式對所有設(shè)備進行遠程管理B、所有運維人員均需要通過堡壘機進行身份認證C、所有設(shè)備均需要運維人員通過SSLVPN設(shè)備進行遠程管理，且采用的密碼技術(shù)符合要求D、運維人員采用兩種身份鑒別措施對設(shè)備進行遠程管理，其中一種身份鑒別措施為密碼技術(shù)【正確答案】：AC12.對某政務外網(wǎng)信息系統(tǒng)開展測評時，網(wǎng)絡和通信安全層面的測評對象可包括（）。A、互聯(lián)網(wǎng)用戶通過瀏覽器訪問該系統(tǒng)服務網(wǎng)站的HTTP通信信道B、該系統(tǒng)與政務外網(wǎng)上其他單位的系統(tǒng)之間的通信信道C、異地辦事人員訪問該系統(tǒng)建立的VPN通信信道D、該系統(tǒng)移動端APP訪問服務端建立的HTTPS通信信道【正確答案】：ABCD13.網(wǎng)絡和通信安全、應用和數(shù)據(jù)安全都有傳輸安全性（機密性、完整性）的要求，以下說法正確的是（）。A、如果網(wǎng)絡和通信安全層面合規(guī)，應用和數(shù)據(jù)安全層面的傳輸機密性和完整性未采用密碼技術(shù)，則網(wǎng)絡層可以緩解應用層傳輸安全的風險B、如果應用和數(shù)據(jù)安全層面的某關(guān)鍵數(shù)據(jù)傳輸機密性和完整性符合要求，網(wǎng)絡和通信安全層面未采用密碼技術(shù)，則應用層可以彌補網(wǎng)絡層的傳輸安全C、兩個安全層面的數(shù)據(jù)保護對象不一樣D、兩個安全層面可以相互彌補，降低風險【正確答案】：ABCD14.按照《商用密碼應用安全性評估報告模板（2023版）》，系統(tǒng)密評報告中的測評結(jié)果修正是對（）開展的。A、不適用指標B、符合指標要求的測評對象C、不符合指標要求的測評對象D、部分符合指標要求的測評對象【正確答案】：CD15.以下選項中屬于業(yè)務系統(tǒng)應用和數(shù)據(jù)安全層面身份鑒別測評單元測評時需要關(guān)注的內(nèi)容是（）。A、應用系統(tǒng)的業(yè)務用戶B、應用系統(tǒng)的系統(tǒng)管理員用戶C、應用系統(tǒng)的未注冊用戶D、設(shè)備管理員用戶【正確答案】：AB16.根據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》，在應用中，可基于（）實現(xiàn)重要行為的不可否認性。A、簽名驗簽服務器B、時間戳服務器C、證書認證系統(tǒng)D、電子門禁系統(tǒng)【正確答案】：ABC17.按照《商用密碼應用安全性評估報告模板（2023版）》，以下案例不能進行測評結(jié)果修正的是（）。A、設(shè)備和計算安全層面的“身份鑒別”指標為符合，能夠彌補設(shè)備和計算安全層面的“系統(tǒng)資源訪問控制信息完整性”指標B、應用和數(shù)據(jù)安全層面的“身份鑒別”指標為符合，能夠彌補“重要數(shù)據(jù)存儲機密性”指標C、應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸完整性”指標可以彌補網(wǎng)絡和通信安全層面的“通信數(shù)據(jù)完整性”指標D、堡壘機的身份鑒別判定結(jié)果為符合，可以彌補通用服務器的身份鑒別指標【正確答案】：ABD18.GM/T0115《信息系統(tǒng)密碼應用測評要求》中定義的測評單元包括以下哪些要素（）。A、測評指標B、測評對象C、測評實施D、結(jié)果判定【正確答案】：ABCD19.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評準備活動的輸出文檔及其內(nèi)容，說法正確的是（）。A、在項目啟動任務中，輸入文檔包括委托測評協(xié)議書、保密協(xié)議等，輸出文檔為項目計劃書B、在信息收集和分析任務中，輸入文檔為調(diào)查表格，輸出文檔為調(diào)查表格、被測信息系統(tǒng)相關(guān)的技術(shù)資料C、在工具和表單準備任務中輸出文檔為選用的測評工具清單，打印的各類表單。D、調(diào)查表格、被測信息系統(tǒng)相關(guān)的技術(shù)資料內(nèi)容應涵蓋被測信息系統(tǒng)的網(wǎng)絡安全保護等級、業(yè)務情況、軟硬件情況、密碼應用情況、密碼管理情況等【正確答案】：ABCD20.一

個

數(shù)

據(jù)

的

ASN.1

編

碼

如

下

：{0x30,0x82,Ox01,0x00,……}，那么以下說法正確的是（）。A、這是一個序列（SEQUENCE）B、其實際數(shù)據(jù)長度是82字節(jié)C、其實際數(shù)據(jù)長度是100字節(jié)D、其實際數(shù)據(jù)長度是256字節(jié)【正確答案】：AD21.以下選項中，屬于應用和數(shù)據(jù)安全層面的重要數(shù)據(jù)的是（）。A、鑒別數(shù)據(jù)B、重要業(yè)務數(shù)據(jù)C、重要審計數(shù)據(jù)D、個人敏感信息【正確答案】：ABCD22.按照《商用密碼應用安全性評估報告模板（2023版）》，在密評報告“密評活動有效性證明記錄”中，在“密評委托證明”部分，需要提供證明文件（）才能滿足密評報告形式審查要求。A、合同關(guān)鍵頁，需包含服務內(nèi)容、收費金額、簽字蓋章等關(guān)鍵頁B、任務書關(guān)鍵頁，需包含任務內(nèi)容、任務委托單位、任務資金支持（如有）、簽字蓋章等關(guān)鍵頁C、其他委托證明文件，需包含委托內(nèi)容、委托單位、簽字蓋章等關(guān)鍵頁D、運營者自行開展密評的，無須提供【正確答案】：ABCD23.按照《商用密碼應用安全性評估報告模板（2023版）》，密評報告中系統(tǒng)網(wǎng)絡拓撲應說明（）。A、系統(tǒng)體系架構(gòu)B、網(wǎng)絡所在機房情況（物理機房的個數(shù)及其所在具體位置）C、網(wǎng)絡邊界劃分D、與其他系統(tǒng)的互聯(lián)關(guān)系（網(wǎng)絡互聯(lián)、數(shù)據(jù)互通等情況）【正確答案】：ABCD24.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，分析以下給出的密評報告中“A.測評結(jié)果記錄”示例，其中錯誤的是（

）A、測評項：應用和數(shù)據(jù)安全層面身份鑒別測評對象：金融IC卡結(jié)果記錄：某銀行三級IC卡發(fā)卡系統(tǒng)，已完成國密改造并通過驗收，該系統(tǒng)為用戶分發(fā)了合規(guī)的金融IC卡（通過安全認證，密碼模塊等級為二級），用戶在ATM機（或POS機上）插入IC卡進行聯(lián)機交易時，在交易前首先通過在密碼鍵盤輸入PIN碼實現(xiàn)對ATM（或POS）對金融IC卡的鑒別，未使用密碼技術(shù)實現(xiàn)金融IC卡聯(lián)機認證，因此該測評對象身份鑒別判定結(jié)果為不符合。量化判定：錯/錯/錯B、測評項：應用和數(shù)據(jù)安全層面數(shù)據(jù)存儲機密性測評對象：用戶支付口令結(jié)果記錄：某銀行三級的網(wǎng)銀系統(tǒng)，其系統(tǒng)注冊用戶的用戶支付口令存儲在數(shù)據(jù)庫服務器中，數(shù)據(jù)庫服務器通過調(diào)用合規(guī)的簽名驗簽服務器（通過安全認證，密碼模塊安全等級為二級）使用SM4算法（CBC模式）實現(xiàn)了用戶支付口令存儲機密性保護。用戶支付口令存儲加密密鑰由合規(guī)的簽名驗簽服務器生成，僅用于用戶支付口令存儲機密性保護，該密鑰加密存儲在簽名驗簽服務器中，不涉及分發(fā)、導入導出。因此該測評對象存儲機密性判定結(jié)果為符合。量化判定：對/對/對C、測評項：設(shè)備和計算安全層面身份鑒別測評對象：堡壘機結(jié)果記錄：受測系統(tǒng)管理員通過用戶名+靜態(tài)口令+動態(tài)口令登錄堡壘機，通過在堡壘管理應用中集成動態(tài)令牌認證系統(tǒng)，并為用戶配置動態(tài)令牌，使用合規(guī)的SM3算法實現(xiàn)用戶的身份鑒別，身份鑒別涉及的密鑰為動態(tài)令牌種子密鑰，動態(tài)令牌種子密鑰由服務器密碼機產(chǎn)生，在堡壘機和動態(tài)令牌中存儲、使用，不涉及分發(fā)、更新、備份、恢復、歸檔、撤銷和銷毀系統(tǒng)部署和使用的動態(tài)令牌為經(jīng)檢測認證合格的密碼產(chǎn)品（密碼模塊等級為二級），因此該測評對象身份鑒別判定結(jié)果為符合。量化判定：對/對/對D、測評項：應用和數(shù)據(jù)安全層面身份鑒別測評對象：應用用戶受測系統(tǒng)為App，應用用戶通過用戶名+口令+APP掃碼登錄，APP集成了移動智能終端二級密碼模塊：通過身份認證網(wǎng)關(guān)、移動智能終端安全密碼模塊，使用合規(guī)的SM3WithSM2算法通過挑戰(zhàn)響應機制實現(xiàn)身份鑒別。密鑰管理由合規(guī)的密碼產(chǎn)品執(zhí)行，移動智能終端安全密碼模塊、身份認證網(wǎng)關(guān)，均具有商用密碼產(chǎn)品認證證書，證書由合規(guī)的電子認證服務機構(gòu)簽發(fā)量化判定：對/對/對【正確答案】：AD25.某信息系統(tǒng)部署在公有云平臺的獨立VPC內(nèi)，通過云平臺的堡壘機對設(shè)備進行遠程管理，則在設(shè)備和計算安全層面“遠程管理通道安全”測評單元的測評對象為（）。A、堡壘機與設(shè)備之間的通信信道B、瀏覽器與堡壘機之間的通信信道C、瀏覽器與設(shè)備之間的通信信道D、設(shè)備與設(shè)備之間的通信信道【正確答案】：AB26.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對測評對象的測評結(jié)果量化評估規(guī)則，以下說法錯誤的是（）。A、通用要求和密碼應用技術(shù)要求各安全層面的“密碼服務”和“密碼產(chǎn)品”指標需單獨評價B、密碼技術(shù)要求和應用管理要求都需要對各個測評對象的測評結(jié)果進行量化評估C、密碼技術(shù)要求和應用管理要求的分值取值都是{0,0.25,0.5,1}D、密碼技術(shù)要求中對各測評對象符合性表述均為符合、部分符合、不符合【正確答案】：ABCD27.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評過程中數(shù)據(jù)采集和分析工作，說法正確的是（）。A、需要檢查傳輸?shù)目诹?、用戶隱私數(shù)據(jù)等重要數(shù)據(jù)是否進行了保護（如對密文進行隨機性檢測、查看關(guān)鍵字段是否以明文出現(xiàn)），驗證雜湊值和簽名值是否正確B、需要重點采集被測信息系統(tǒng)與外界通信的數(shù)據(jù)以及被測信息系統(tǒng)內(nèi)部傳輸和存儲的數(shù)據(jù)，分析使用的密碼算法、密碼協(xié)議、關(guān)鍵數(shù)據(jù)結(jié)構(gòu)（如數(shù)字證書格式）是否合規(guī)C、在條件允許的情況下，可以重放采集的關(guān)鍵數(shù)據(jù)（如身份鑒別數(shù)據(jù)）驗證被測信息系統(tǒng)是否具備防重放攻擊的能力D、在條件允許的情況下，可以嘗試修改存儲的數(shù)據(jù)驗證被測信息系統(tǒng)是否對存儲數(shù)據(jù)進行了完整性保護【正確答案】：ABCD28.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，某三級信息系統(tǒng)密碼應用方案的評估結(jié)論為“不通過”，最可能原因包括（）。A、采用的安全控制措施仍會導致高風險項存在B、初步量化評估未達到閾值要求C、密碼應用方案中不適用指標項數(shù)過多D、密碼應用方案有較多冗余內(nèi)容【正確答案】：AB29.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，下列可能作為應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲完整性”測評指標具體測評對象的是（）。A、鑒別數(shù)據(jù)B、訪問控制信息C、重要業(yè)務數(shù)據(jù)D、用戶操作日志【正確答案】：ACD30.GM/T0115《信息系統(tǒng)密碼應用測評要求》中，不單獨判定符合性的測評單元有以下哪些（）。A、密碼算法合規(guī)性B、密碼產(chǎn)品合規(guī)性C、身份鑒別D、密鑰管理有效性【正確答案】：AB31.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，密碼應用方案的“背景”部分可包含（）。A、系統(tǒng)的建設(shè)規(guī)劃B、國家有關(guān)法律法規(guī)的要求C、與規(guī)劃相關(guān)的前期情況概述D、項目實施的必要性【正確答案】：ABCD32.某信息系統(tǒng)在國密改造實施技術(shù)文檔中標明，采用SM2簽名驗簽的機制對應用服務器日志記錄進行完整性保護，并采用HMAC-SM3算法對系統(tǒng)資源訪問控制信息進行完整性保護，兩名密碼操作員可使用智能密碼鑰匙登錄簽名驗簽服務器，依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，以下關(guān)于測評人員在測評實施中，屬于錯誤判定的是（）。A、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲SM2簽名的字段值長度為256位，因此判定日志記錄完整性保護可能未使用SM2簽名驗簽機制B、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲HMAC-SM3的字段值長度為128位，因此判定系統(tǒng)資源訪問控制信息完整性保護使用的不是HMAC-SM3算法C、測評人員經(jīng)核查發(fā)現(xiàn)，智能密碼鑰匙設(shè)置的口令長度不小于6個字符，使用錯誤口令登錄的次數(shù)限制不超過10次，因此判定智能密鑰鑰匙的口令相關(guān)設(shè)置不符合GM/T0027的要求D、測評人員經(jīng)核查發(fā)現(xiàn)，兩名密碼操作員都使用了合規(guī)CA機構(gòu)簽發(fā)的同一張數(shù)字證書，證書在有效期內(nèi)，且進行了證書的有效性驗證，因此判定數(shù)字證書的簽發(fā)和使用符合密評相關(guān)標準要求【正確答案】：BCD33.按照《商用密碼應用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告單元測評部分時，需要注意（）。A、單元測評中的測評對象需要與測評對象確定結(jié)果和測評結(jié)果記錄（附錄A）中的測評對象保持一致B、單元測評結(jié)果分析中對于判定依據(jù)的相關(guān)描述需要與測評結(jié)果記錄（附錄A）中的保持一致C、單元測評中的不適用指標應當與“測評范圍與方法”中確定的不適用指標保持一致D、單元測評結(jié)果中的測評指標符合情況需與整體測評結(jié)果中的符合情況保持一致（如果不存在測評結(jié)果修正）【正確答案】：ABCD34.GM/T0129《信息系統(tǒng)密碼應用測評要求》，在對應用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)存儲機密性”指標測評時，以下哪些措施可能導致數(shù)據(jù)泄露（）。A、采用DES算法對用戶敏感信息加密后存儲B、調(diào)用服務器密碼機采用SM4-ECB模式對所有用戶性別信息項進行加密后存儲C、采用SM3（加鹽）的方式對數(shù)據(jù)庫中存儲的口令信息處理D、對重要用戶信息進行脫敏后存儲，未采用其他數(shù)據(jù)存儲安全加固措施【正確答案】：ABD35.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對安全層面的測評結(jié)果量化評估規(guī)則，以下說法不正確的是（）。A、密碼應用技術(shù)要求中，安全層面的量化評估結(jié)果為層面內(nèi)各測評單元的算術(shù)平均值B、密碼應用管理要求的安全層面得分為各測評單元的算術(shù)平均值C、密碼應用技術(shù)要求中，安全層面的量化評估結(jié)果需要保留小數(shù)點后2位D、某測評指標不適用，則該安全層面的得分為0【正確答案】：ABCD36.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在對物理和環(huán)境安全層面“身份鑒別”指標進行測評時，可采用的方法包括（）。A、嘗試發(fā)一些錯誤的門禁卡，驗證這些卡無法打開門禁B、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗證非授權(quán)的卡無法通過門禁驗證C、查看電子門禁系統(tǒng)后臺密碼算法配置，確認用于門禁身份鑒別的密碼算法合規(guī)性D、通過抓取電子門禁系統(tǒng)后臺與門禁日志記錄審計系統(tǒng)的通信數(shù)據(jù)，確認門禁日志記錄的完整性保護措施【正確答案】：ABC37.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在對應用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)傳輸機密性”指標測評時，經(jīng)核查測評對象采取下列哪些措施時，可能導致機密性保護是無效（）。A、采用RSA-1024公鑰加密的方式對口令信息進行傳輸保護B、身份證號的后六位采用“*”代替后進行傳輸C、同一類重要業(yè)務數(shù)據(jù)在某一傳輸通道中明文傳輸，在其他傳輸通道中密文傳輸D、采用DES算法進行加密傳輸【正確答案】：ABCD38.在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，針對“投入運行前進行密碼應用安全性評估”這一項測評指標，以下說法正確的是（）。A、對于第一級和第二級的信息系統(tǒng)，密評人員應核查信息系統(tǒng)投入運行前是否組織進行密碼應用安全性評估，且編制有密碼應用安全性評估報告B、對于第二級和第三級的信息系統(tǒng)，密評人員應核查信息系統(tǒng)投入運行前是否組織進行密碼應用安全性評估，并核查是否編制有密碼應用安全性評估報告且系統(tǒng)通過評估C、對于所有級別的信息系統(tǒng)，密評人員應核查信息系統(tǒng)投入運行前是否組織進行密碼應用安全性評估，并核查是否編制有密碼應用安全性評估報告且系統(tǒng)通過評估D、對于第三級和第四級的信息系統(tǒng)，密評人員應核查信息系統(tǒng)投入運行前是否組織進行密碼應用安全性評估，并核查是否編制有密碼應用安全性評估報告且系統(tǒng)通過評估【正確答案】：AD39.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評方案編制活動中，測評對象確定階段的任務描述，正確的是（）。A、描述被測信息系統(tǒng)時，一般以被測信息系統(tǒng)的網(wǎng)絡拓撲結(jié)構(gòu)為基礎(chǔ)，采用總分式的描述方法B、被測單位需要確定被測信息系統(tǒng)需要保護的核心資產(chǎn)，以及相應的威脅模型和安全策略C、資產(chǎn)的價值根據(jù)資產(chǎn)的重要性和關(guān)鍵程度確定D、核心資產(chǎn)及其他需要保護的配套數(shù)據(jù)、敏感安全參數(shù)的威脅模型和安全策略等均由被測單位根據(jù)密碼應用方案、網(wǎng)絡安全等級保護定級報告等確定，并由測評方進行核查和確認【正確答案】：ABCD40.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，下列屬于密鑰管理環(huán)節(jié)的是（）。A、產(chǎn)生B、撤銷C、備份D、恢復【正確答案】：ABCD41.對于更換商用密碼產(chǎn)品認證證書的密碼產(chǎn)品，如果未標注密碼模塊安全等級，以下描述正確的是（）。A、需要進一步提供換證前的商用密碼產(chǎn)品型號證書B、需要確認換證前的商用密碼產(chǎn)品型號證書的安全等級是否符合要求C、未提供安全等級證明的按照“密碼產(chǎn)品符合一級密碼模塊”進行判定D、提供密碼產(chǎn)品的密鑰管理方案，證明其符合安全要求，并按“密碼產(chǎn)品等級符合”判定【正確答案】：ABC42.GM/T0115《信息系統(tǒng)密碼應用測評要求》中，術(shù)語“核查”包括了哪些實際測評時的測評方式（）。A、訪談B、文檔審查C、配置檢查D、工具測試【正確答案】：ABCD43.某信息系統(tǒng)管理員通過遠程管理終端訪問SSLVPN，再通過VPN訪問堡壘機，最后通過堡壘機對通用服務器進行遠程管理。以下哪個接入點能夠捕獲遠程管理終端與SSLVPN網(wǎng)關(guān)之間的通信數(shù)據(jù)（）。A、遠程管理終端B、SSLVPNC、堡壘機D、通用服務器【正確答案】：AB44.物理和環(huán)境安全層面的測評對象為被測信息系統(tǒng)所在的物理機房，具體為（）。A、物理機房的門禁系統(tǒng)B、物理機房的視頻監(jiān)控系統(tǒng)C、物理機房的動力環(huán)境系統(tǒng)D、物理機房的巡查記錄【正確答案】：AB45.某電商平臺用戶需使用合規(guī)的智能密碼鑰匙才能登錄平臺，平臺采用HTTPS協(xié)議進行訪問，則在應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機密性”測評單元的測評對象主要包括（）。A、電商平臺B、智能密碼鑰匙C、提供機密性保護的服務器密碼機D、數(shù)據(jù)庫服務器【正確答案】：AB46.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于針對已經(jīng)取得商用密碼產(chǎn)品認證證書的密碼產(chǎn)品的測評工作，說法正確的是（）。A、需要針對密碼產(chǎn)品依據(jù)產(chǎn)品或檢測標準指標進行逐條判定并記錄測評結(jié)果B、無需其本身進行重復檢測，主要進行符合性核驗和配置檢查C、可以聯(lián)系密碼產(chǎn)品審批部門或相應的檢測認證機構(gòu)進行確認D、無需針對設(shè)備進行檢測，所有測評內(nèi)容均可判定為符合【正確答案】：BC47.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，在密碼應用安全性評估過程中，以下哪些屬于測評準備階段的活動（）。A、項目啟動B、現(xiàn)場測評C、信息收集和分析D、工具和表單準備【正確答案】：ACD48.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，以下關(guān)于量化評估過程，說法正確的是（）。A、在判定密碼使用有效性時，需綜合考慮密碼算法/技術(shù)合規(guī)性和密鑰管理安全導致的風險B、在判定密碼使用有效性時，無需綜合考慮密碼算法/技術(shù)合規(guī)性和密鑰管理安全導致的風險C、若密碼算法/技術(shù)合規(guī)性判定為不符合，則無需對密碼使用有效性、密鑰管理安全進行判定D、若密碼使用有效性判定為不符合，則無需對密碼算法/技術(shù)合規(guī)性、密鑰管理安全進行判定【正確答案】：BD49.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對通用要求“密碼算法”描述不正確的是（）。A、指標要求是“信息系統(tǒng)中使用的密碼算法應符合密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求”B、對所有不同安全等級的信息系統(tǒng)均適用C、存在可能的緩解措施D、若信息系統(tǒng)中采用OpenSSL算法庫實現(xiàn)AES，為信息系統(tǒng)提供加密保護，則會導致高風險【正確答案】：CD50.某信息系統(tǒng)所在機房部署了電子門禁系統(tǒng)進行物理訪問身份鑒別，經(jīng)核查發(fā)現(xiàn)電子門禁系統(tǒng)基于指紋對人員進行身份鑒別，則物理和環(huán)境安全層面“身份鑒別”測評單元如何判定，風險等級如何變化（）。A、符合B、不符合C、風險等級降低D、風險等級不變【正確答案】：BC51.測評人員在核查“真實性”密碼功能時，可能需要關(guān)注以下內(nèi)容（）。A、發(fā)送的挑戰(zhàn)值是否每次均不重復B、使用對應公鑰能否對簽名值通過驗簽操作C、公鑰或?qū)ΨQ密鑰與實體的綁定方式D、對數(shù)字證書格式正確性進行驗證【正確答案】：ABCD52.一般情況下，以下哪些不是設(shè)備和計算層面的測評對象（）。A、防火墻B、WAFC、網(wǎng)閘D、數(shù)據(jù)庫【正確答案】：ABC53.對運行在云平臺上的云上應用進行密評時，特別是云平臺和云上應用的運營者不同的情況下，關(guān)于兩者的責任和范圍界定，以下表述合理的是（）。A、針對云平臺自身密評，該部分測評的責任主體為云平臺的運營者B、針對云上應用系統(tǒng)的密評，該部分測評的責任主體為云上應用的運營者C、云上應用系統(tǒng)所處的云平臺通過密評（即獲得“符合”或“基本符合”的結(jié)論）后，云上應用系統(tǒng)才能通過密評D、云上應用系統(tǒng)所處的云平臺的安全級別應不低于云上應用系統(tǒng)【正確答案】：ABCD54.密碼產(chǎn)品核查是測評過程的重點，測評時需要核查以下哪些方面（）。A、確認所有實現(xiàn)的密碼算法、密碼協(xié)議是否獲得了商密檢測機構(gòu)出具的合格檢測報告或密碼產(chǎn)品是否獲得了商用密碼產(chǎn)品認證證書B、評估密碼產(chǎn)品是否被正確、有效使用C、已經(jīng)檢測認證合格的產(chǎn)品，是否使用了未經(jīng)認可的密碼算法或協(xié)議D、密碼產(chǎn)品是否被錯誤使用、配置，甚至被旁路【正確答案】：ABCD55.GM/T0115《信息系統(tǒng)密碼應用測評要求》中，應用和數(shù)據(jù)安全層面的測評對象為“業(yè)務應用以及重要數(shù)據(jù)”，實際測評時，以下表述正確的是（）。A、應用和數(shù)據(jù)安全層面的測評對象應包含關(guān)鍵業(yè)務應用，具體參考通過專家評審后的密碼應用方案設(shè)定的范圍確定B、如無密碼應用方案，應根據(jù)網(wǎng)絡安全等級保護定級報告描述的范圍確定C、關(guān)鍵業(yè)務應用一般情況下應包含被測系統(tǒng)的所有業(yè)務應用D、關(guān)鍵業(yè)務應用中的關(guān)鍵數(shù)據(jù)一般包含但不限于以下數(shù)據(jù)：鑒別數(shù)據(jù)、重要業(yè)務數(shù)據(jù)、重要審計數(shù)據(jù)、個人敏感信息以及法律