商密6-5·密評(píng)理論技術(shù)專(zhuān)項(xiàng)測(cè)試題有答案

商密6-5·密評(píng)理論技術(shù)專(zhuān)項(xiàng)測(cè)試題有答案單選題（總共43題）1.應(yīng)用服務(wù)器的數(shù)據(jù)庫(kù)中，用戶(hù)的單條記錄（包括口令雜湊值、身份證號(hào)、手機(jī)號(hào)等密文值、角色、權(quán)限等）利用HMAC-SM3計(jì)算后，把得到的MAC值一并存放在該條目中，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)判定最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無(wú)解析2.以下選項(xiàng)（）不被認(rèn)為是云平臺(tái)“完全評(píng)估的支撐能力”。(1分)A、僅為租戶(hù)應(yīng)用提供的電子簽章服務(wù)B、云平臺(tái)所在的物理機(jī)房環(huán)境C、云平臺(tái)管理應(yīng)用D、云平臺(tái)提供的設(shè)備運(yùn)維通信信道答案：A解析：

暫無(wú)解析3.某三級(jí)信息系統(tǒng)開(kāi)發(fā)人員采用密碼機(jī)（經(jīng)檢測(cè)認(rèn)證的一級(jí)密碼模塊）實(shí)現(xiàn)的SM4算法，為具有“重要數(shù)據(jù)傳輸機(jī)密性”安全需求的數(shù)據(jù)提供相應(yīng)密碼保護(hù)，經(jīng)密評(píng)人員確認(rèn)該指標(biāo)測(cè)評(píng)對(duì)象有2個(gè)，且密碼保護(hù)有效。那么該指標(biāo)的判定結(jié)果較為合理的是（）。(1分)A、符合，1分B、部分符合，0.5分C、部分符合，0.3分D、不符合，0.25分答案：B解析：

暫無(wú)解析4.某二級(jí)信息系統(tǒng)，對(duì)物理和環(huán)境安全層面“身份鑒別”這一項(xiàng)，其密碼應(yīng)用方案中論述了無(wú)法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險(xiǎn)控制措施，即人臉識(shí)別，密評(píng)人員在實(shí)際測(cè)評(píng)時(shí)核實(shí)密碼應(yīng)用方案中的措施已落實(shí)。那么作為該條款的測(cè)評(píng)結(jié)論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無(wú)解析5.如果基于數(shù)字證書(shū)方式進(jìn)行用戶(hù)的身份鑒別，在進(jìn)行密評(píng)時(shí)，以下核查（）不是必要的。(1分)A、檢查根證書(shū)如何安全導(dǎo)入或預(yù)置到系統(tǒng)內(nèi)B、檢查數(shù)字證書(shū)的合規(guī)性C、驗(yàn)證數(shù)字證書(shū)的證書(shū)鏈?zhǔn)欠裢ㄟ^(guò)D、檢查數(shù)字證書(shū)的機(jī)密性是如何保證的答案：D解析：

暫無(wú)解析6.某信息系統(tǒng)有兩個(gè)業(yè)務(wù)應(yīng)用，其中應(yīng)用A有管理員用戶(hù)和操作員用戶(hù)兩類(lèi)用戶(hù)，分別采用用戶(hù)名+口令和基于動(dòng)態(tài)口令（經(jīng)過(guò)檢測(cè)認(rèn)證的密碼產(chǎn)品）的身份鑒別方式；應(yīng)用B有管理員用戶(hù)和業(yè)務(wù)員用戶(hù)兩類(lèi)用戶(hù)，均基于經(jīng)過(guò)檢測(cè)認(rèn)證的智能密碼鑰匙進(jìn)行身份鑒別。針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，最多可以給（）分。(1分)A、0.5B、1C、3D、0.75答案：D解析：

暫無(wú)解析7.測(cè)評(píng)過(guò)程中，對(duì)信息系統(tǒng)網(wǎng)絡(luò)邊界內(nèi)的用戶(hù)與系統(tǒng)應(yīng)用之間重要數(shù)據(jù)傳輸保護(hù)的測(cè)評(píng)屬于（）安全層面的測(cè)評(píng)內(nèi)容。(1分)A、網(wǎng)絡(luò)和通信安全B、設(shè)備和計(jì)算安全C、應(yīng)用和數(shù)據(jù)安全D、密鑰管理答案：C解析：

暫無(wú)解析8.某三級(jí)信息系統(tǒng)通過(guò)堡壘機(jī)對(duì)通用服務(wù)器進(jìn)行集中管理，其中管理員與堡壘機(jī)之間使用HTTP協(xié)議建立傳輸通道，堡壘機(jī)與通用服務(wù)器之間使用SSH2.0建立傳輸通道，因此針對(duì)“設(shè)備和計(jì)算安全”層面的“遠(yuǎn)程管理通道安全”指標(biāo)的判定結(jié)果為()。(1分)A、符合B、部分符合C、不符合D、無(wú)法判斷答案：B解析：

暫無(wú)解析9.以下因素（）可能導(dǎo)致數(shù)字簽名功能不正確。(1分)A、簽名中使用固定的隨機(jī)數(shù)B、待簽消息比SM3雜湊值長(zhǎng)C、簽名中使用不可預(yù)測(cè)的隨機(jī)數(shù)D、使用私鑰簽名答案：A解析：

暫無(wú)解析10.某四級(jí)信息系統(tǒng)，對(duì)物理和環(huán)境安全“身份鑒別”這一項(xiàng)，其密碼應(yīng)用方案中論述了無(wú)法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險(xiǎn)控制措施，即“口令+指紋”，密評(píng)人員在實(shí)際測(cè)評(píng)時(shí)核實(shí)方案中的措施已落實(shí)。那么作為該條款的測(cè)評(píng)結(jié)論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無(wú)解析11.某三級(jí)信息系統(tǒng)客戶(hù)端與服務(wù)端之間的網(wǎng)絡(luò)通信信道使用TLSv1.2協(xié)議進(jìn)行傳輸保護(hù)，使用的密碼套件為T(mén)LS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進(jìn)行通信數(shù)據(jù)機(jī)密性和完整性保護(hù)。(1分)A、ECDHE，RSAB、AES_256_GCM,AES__256_GCMC、AES-GCM，HMAC-SHA384D、AES-GCM，SHA384答案：B解析：

暫無(wú)解析12.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下哪項(xiàng)信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對(duì)象（）。(1分)A、交換機(jī)B、機(jī)房C、密碼設(shè)備D、服務(wù)器答案：A解析：

暫無(wú)解析13.某三級(jí)信息系統(tǒng)，制定了密碼安全應(yīng)急策略，規(guī)定了相關(guān)應(yīng)急事件處置措施和流程，明確了密碼應(yīng)用應(yīng)急事件處置完成后及時(shí)向當(dāng)?shù)孛艽a管理部門(mén)報(bào)告事件發(fā)生和處置情況。該系統(tǒng)目前未發(fā)生過(guò)密碼應(yīng)用安全事件，無(wú)相應(yīng)處置記錄。針對(duì)“應(yīng)急處置”層面的“事件處置”指標(biāo)最高可以給（）分。(1分)A、1B、0.25C、0.5D、0答案：A解析：

暫無(wú)解析14.密評(píng)人員對(duì)SSLVPN進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x11}，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商B、該套件使用SM4-GCM進(jìn)行數(shù)據(jù)加密C、該套件使用HMAC-SM3進(jìn)行數(shù)據(jù)完整性保護(hù)D、該套件使用SM2算法進(jìn)行密鑰協(xié)商答案：B解析：

暫無(wú)解析15.在設(shè)備和計(jì)算安全層面，若存在100臺(tái)服務(wù)器，其中60臺(tái)為A廠商生產(chǎn)且為同一型號(hào)，40臺(tái)為B廠商生產(chǎn)且為同一型號(hào)，同一廠商的硬件/軟件配置相同。為提高測(cè)評(píng)效率，同時(shí)避免遺漏測(cè)評(píng)對(duì)象，以下測(cè)評(píng)對(duì)象選取方法合理的是（）。(1分)A、同一類(lèi)機(jī)型的服務(wù)器作為一個(gè)測(cè)評(píng)對(duì)象，所以有兩個(gè)測(cè)評(píng)對(duì)象，即機(jī)型A和機(jī)型B兩類(lèi)服務(wù)器B、由于這100臺(tái)服務(wù)器均屬于通用設(shè)備，可視為一個(gè)測(cè)評(píng)對(duì)象C、每一臺(tái)服務(wù)器均作為一個(gè)測(cè)評(píng)對(duì)象，所以測(cè)評(píng)對(duì)象數(shù)量為100個(gè)D、以上都正確答案：A解析：

暫無(wú)解析16.以下選項(xiàng)（）不是對(duì)傳輸完整性實(shí)現(xiàn)的測(cè)評(píng)方法。(1分)A、利用Wireshark分析受完整性保護(hù)的數(shù)據(jù)在傳輸時(shí)的數(shù)據(jù)格式（如簽名長(zhǎng)度、MAC長(zhǎng)度）是否符合預(yù)期B、如果采用數(shù)字簽名技術(shù)進(jìn)行傳輸完整性保護(hù)，測(cè)評(píng)人員可以使用公鑰對(duì)抓取的簽名結(jié)果進(jìn)行驗(yàn)證C、條件允許的情況下，測(cè)評(píng)人員可嘗試對(duì)傳輸數(shù)據(jù)進(jìn)行篡改（如修改MAC值或數(shù)字簽名值），驗(yàn)證完整性保護(hù)措施的有效性D、檢查傳輸過(guò)程是否符合GB/T15843《信息技術(shù)安全技術(shù)實(shí)體鑒別》要求答案：D解析：

暫無(wú)解析17.用戶(hù)在某銀行網(wǎng)點(diǎn)取錢(qián)，輸入支付口令后，該口令途經(jīng)兩段傳輸過(guò)程：1）ATM機(jī)到銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格），采用SM4算法提供傳輸機(jī)密性；2）銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格）到銀行服務(wù)端核心系統(tǒng)服務(wù)器（非直連），采用AES-128提供傳輸機(jī)密性。以口令作為測(cè)評(píng)對(duì)象，其“重要數(shù)據(jù)傳輸機(jī)密性”的判定結(jié)果為（）。(1分)A、符合B、部分符合C、不符合D、基本符合答案：B解析：

暫無(wú)解析18.在測(cè)評(píng)過(guò)程中遇到的PEM編碼格式，除了開(kāi)頭和結(jié)尾，其內(nèi)容體通常以（）格式編碼。(1分)A、BERB、DERC、Base64D、Base64url答案：C解析：

暫無(wú)解析19.某三級(jí)信息系統(tǒng)，網(wǎng)絡(luò)和通信安全層面采用了合規(guī)的密碼技術(shù)進(jìn)行通信實(shí)體身份鑒別，測(cè)評(píng)人員經(jīng)核實(shí)后判定結(jié)果為1分；應(yīng)用和數(shù)據(jù)安全層面采用“用戶(hù)名+口令”的方式對(duì)業(yè)務(wù)系統(tǒng)登錄用戶(hù)進(jìn)行身份鑒別。則“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)的應(yīng)用用戶(hù)測(cè)評(píng)對(duì)象經(jīng)“網(wǎng)絡(luò)和通信安全”層面“身份鑒別”指標(biāo)結(jié)果彌補(bǔ)后的量化評(píng)估分值為（）。(1分)A、1B、0.5C、0.25D、0答案：D解析：

暫無(wú)解析20.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，編制方案密評(píng)報(bào)告時(shí)，以下對(duì)于不適用指標(biāo)描述不合理的是（）。(1分)A、信息系統(tǒng)不涉及設(shè)備中的重要信息資源安全標(biāo)記，因此設(shè)備和計(jì)算安全層面的“重要信息資源安全標(biāo)記完整性”指標(biāo)為不適用B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機(jī)密性安全需求，因此應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲(chǔ)機(jī)密性”指標(biāo)為不適用C、信息系統(tǒng)的物理機(jī)房難以進(jìn)行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標(biāo)為不適用D、信息系統(tǒng)責(zé)任單位將“可”的指標(biāo)自行決定為不適用答案：C解析：

暫無(wú)解析21.某三級(jí)信息系統(tǒng)的訪(fǎng)問(wèn)控制信息通過(guò)調(diào)用服務(wù)器密碼機(jī)（通過(guò)商用密碼產(chǎn)品檢測(cè)認(rèn)證）使用SM3withSM2數(shù)字簽名算法計(jì)算簽名值后，將訪(fǎng)問(wèn)控制信息與簽名值一同保存在數(shù)據(jù)庫(kù)中，但用戶(hù)訪(fǎng)問(wèn)業(yè)務(wù)應(yīng)用時(shí)未對(duì)訪(fǎng)問(wèn)控制信息的簽名值進(jìn)行驗(yàn)證，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“訪(fǎng)問(wèn)控制信息完整性”為（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無(wú)解析22.某三級(jí)信息系統(tǒng)所在機(jī)房部署符合GM/T0036《采用非接觸卡的門(mén)禁系統(tǒng)密碼應(yīng)用指南》的電子門(mén)禁系統(tǒng)，使用SM4算法進(jìn)行密鑰分散，實(shí)現(xiàn)門(mén)禁卡的“一卡一密”，并基于SM4算法對(duì)人員身份進(jìn)行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“身份鑒別”指標(biāo)的量化評(píng)估結(jié)果最多為（）分。(1分)A、0.25B、0.5C、0D、1答案：D解析：

暫無(wú)解析23.某信息系統(tǒng)在數(shù)據(jù)庫(kù)中存儲(chǔ)有用戶(hù)的性別字段的密文，應(yīng)用開(kāi)發(fā)人員告知密評(píng)人員該字段采用SM4-CBC算法進(jìn)行了加密。密評(píng)人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個(gè)密文值長(zhǎng)度為128比特。那么以下推斷正確的是（）。(1分)A、如果確實(shí)使用SM4-CBC進(jìn)行加密，那么開(kāi)發(fā)人員可能錯(cuò)誤地使用了IVB、由于密文長(zhǎng)度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進(jìn)行加密，開(kāi)發(fā)人員說(shuō)法存在問(wèn)題C、開(kāi)發(fā)人員不可能使用ECB模式加密D、由于密文長(zhǎng)度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開(kāi)發(fā)人員的說(shuō)法是正確的答案：A解析：

暫無(wú)解析24.Linux系統(tǒng)的用戶(hù)口令一般存儲(chǔ)在/etc/shadow路徑下，口令存儲(chǔ)字符串格式為：$id$salt$encrypted，其中id為1時(shí)表示口令采用()密碼算法進(jìn)行雜湊后存儲(chǔ)。(1分)A、MD5B、BlowfishC、SHA-256D、SHA-512答案：A解析：

暫無(wú)解析25.某三級(jí)信息系統(tǒng)的系統(tǒng)管理員通過(guò)堡壘機(jī)登錄通用服務(wù)器并對(duì)其進(jìn)行遠(yuǎn)程管理，進(jìn)入堡壘機(jī)后，系統(tǒng)管理員通過(guò)用戶(hù)名+口令的方式訪(fǎng)問(wèn)通用服務(wù)器。系統(tǒng)管理員登錄堡壘機(jī)時(shí)通過(guò)部署具有商用密碼產(chǎn)品認(rèn)證證書(shū)的安全瀏覽器（安全等級(jí)二級(jí)）和智能密碼鑰匙（安全等級(jí)二級(jí)）并基于數(shù)字證書(shū)（在有效期內(nèi)）的方式進(jìn)行身份鑒別，算法為SM2。因此該系統(tǒng)在“設(shè)備和計(jì)算安全”層面的通用服務(wù)器測(cè)評(píng)對(duì)象的“身份鑒別”指標(biāo)D、K的判定結(jié)果為（）。(1分)A、√,√,√B、×,/，/C、√,×,×D、√,√,×答案：B解析：

暫無(wú)解析26.某信息系統(tǒng)部署在云服務(wù)提供商（CSP）機(jī)房，其物理機(jī)房完全由CSP托管，那么在對(duì)該信息系統(tǒng)進(jìn)行密評(píng)時(shí)，在物理和環(huán)境安全層面合理的做法是（）。(1分)A、若CSP機(jī)房未通過(guò)密評(píng)，則物理和環(huán)境安全層面直接判定為“不符合”B、若CSP機(jī)房通過(guò)密評(píng)，則可以復(fù)用該機(jī)房的密評(píng)結(jié)論C、若CSP機(jī)房未通過(guò)密評(píng)，則可以直接判定為“符合”D、無(wú)論CSP機(jī)房是否通過(guò)密評(píng)，物理和環(huán)境安全層面應(yīng)判定為“不適用”答案：B解析：

暫無(wú)解析27.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密碼應(yīng)用方案密評(píng)報(bào)告中的商用密碼應(yīng)用安全性評(píng)估結(jié)論部分包含哪項(xiàng)要素（）。(1分)A、方案名稱(chēng)和評(píng)估結(jié)論B、方案簡(jiǎn)介和評(píng)估情況簡(jiǎn)介C、不適用項(xiàng)數(shù)目/總測(cè)評(píng)指標(biāo)項(xiàng)數(shù)目D、以上均包含答案：D解析：

暫無(wú)解析28.某三級(jí)信息系統(tǒng)通過(guò)SSLVPN建立遠(yuǎn)程管理傳輸通道，管理終端與SSLVPN之間傳輸協(xié)議使用的密碼套件為ECC_SM4_GCM_SM3。該網(wǎng)絡(luò)通信信道使用（）算法實(shí)現(xiàn)通信數(shù)據(jù)的機(jī)密性保護(hù)。(1分)A、ECCB、SM4_GCMC、SM3D、基于SM3的HMAC答案：B解析：

暫無(wú)解析29.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，如果應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)未采用密碼應(yīng)用措施，那么針對(duì)該指標(biāo)的安全控制措施評(píng)估結(jié)果一定是（）。(1分)A、通過(guò)B、未通過(guò)C、不符合D、無(wú)法判斷答案：D解析：

暫無(wú)解析30.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)于委托第三方密評(píng)機(jī)構(gòu)實(shí)施的密碼應(yīng)用方案密評(píng)和信息系統(tǒng)密評(píng)的情形，在報(bào)告中的“密評(píng)活動(dòng)有效性證明”記錄部分，以下說(shuō)法正確的是（）。(1分)A、信息系統(tǒng)密評(píng)報(bào)告需要提供密評(píng)活動(dòng)證明，方案密評(píng)報(bào)告則不需要B、信息系統(tǒng)密評(píng)時(shí)，測(cè)評(píng)方案需要測(cè)評(píng)委托方和密評(píng)機(jī)構(gòu)雙方簽字確認(rèn)，同時(shí)需要密評(píng)機(jī)構(gòu)內(nèi)部組織評(píng)審C、方案密評(píng)前，應(yīng)編制測(cè)評(píng)方案，并對(duì)該方案組織內(nèi)部評(píng)審D、信息系統(tǒng)密評(píng)時(shí)，測(cè)評(píng)方案需要測(cè)評(píng)委托方和密評(píng)機(jī)構(gòu)雙方簽字確認(rèn)，但不需要密評(píng)機(jī)構(gòu)內(nèi)部組織評(píng)審答案：B解析：

暫無(wú)解析31.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在方案密評(píng)報(bào)告的“商用密碼應(yīng)用安全性評(píng)估結(jié)論”部分不包括以下哪項(xiàng)（）。(1分)A、方案名稱(chēng)B、評(píng)估結(jié)論C、不適用指標(biāo)數(shù)目D、密碼應(yīng)用需求答案：D解析：

暫無(wú)解析32.某三級(jí)信息系統(tǒng)用戶(hù)端與服務(wù)端之間進(jìn)行通信時(shí)，只對(duì)服務(wù)端進(jìn)行了基于密碼的身份鑒別且身份鑒別機(jī)制有效，使用的簽名算法為SM2withSM3，針對(duì)“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”指標(biāo)最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：D解析：

暫無(wú)解析33.密評(píng)人員對(duì)SSLVPN進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x13}后，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商B、該套件使用SM4-CBC進(jìn)行數(shù)據(jù)加密C、該套件使用HMAC-SM3進(jìn)行數(shù)據(jù)完整性保護(hù)D、該套件使用SM3作為PRF派生密鑰答案：A解析：

暫無(wú)解析34.某三級(jí)信息系統(tǒng)的重要數(shù)據(jù)包括用戶(hù)口令、日志信息、業(yè)務(wù)數(shù)據(jù)，這三類(lèi)數(shù)據(jù)的存儲(chǔ)機(jī)密性量化評(píng)估分值分別為0.25、0.5、0.25，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的測(cè)評(píng)單元得分為（）。(1分)A、0.3333B、1C、0.5D、0.25答案：A解析：

暫無(wú)解析35.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告附錄部分，“密評(píng)活動(dòng)有效性證明記錄”不涉及（）。(1分)A、密評(píng)委托證明B、密評(píng)人員差旅票證及住宿票證C、密評(píng)報(bào)告評(píng)審記錄D、密評(píng)人員資格情況答案：B解析：

暫無(wú)解析36.某業(yè)務(wù)系統(tǒng)用戶(hù)手機(jī)號(hào)利用SM3進(jìn)行雜湊計(jì)算后，將得到完整的雜湊值存放在應(yīng)用服務(wù)器的數(shù)據(jù)庫(kù)中，那么對(duì)于“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無(wú)解析37.Linux系統(tǒng)的用戶(hù)口令一般存儲(chǔ)在路徑（）下。(1分)A、/etc/groupB、/etc/shadowC、/etc/login.defsD、/etc/named.conf答案：B解析：

暫無(wú)解析38.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，關(guān)于方案密評(píng)，以下說(shuō)法那種不正確()。(1分)A、重點(diǎn)判斷系統(tǒng)在某方面是否存在安全風(fēng)險(xiǎn)，通過(guò)總體密碼設(shè)計(jì)是否可以有效解決相應(yīng)的安全問(wèn)題B、重點(diǎn)對(duì)所有自查符合性進(jìn)行評(píng)估，對(duì)所有自查不適用項(xiàng)和對(duì)應(yīng)論證依據(jù)進(jìn)行逐條核查、評(píng)估C、應(yīng)注意梳理安全需求，尤其是應(yīng)用和數(shù)據(jù)安全層面各保護(hù)對(duì)象的安全需求D、重點(diǎn)是對(duì)照GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行逐條評(píng)估答案：D解析：

暫無(wú)解析39.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下哪項(xiàng)不屬于方案密評(píng)報(bào)告所包含的內(nèi)容（）。(1分)A、報(bào)告分發(fā)范圍B、密碼應(yīng)用方案C、密評(píng)委托證明D、測(cè)評(píng)人員進(jìn)入系統(tǒng)所在機(jī)房的證明記錄答案：D解析：

暫無(wú)解析40.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)“安全控制措施評(píng)估結(jié)果”環(huán)節(jié)的工作，以下描述較為合理的是（）。(1分)A、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護(hù)均使用國(guó)外密碼算法，因此“重要數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”B、某三級(jí)信息系統(tǒng)41個(gè)基本指標(biāo)中，其中一個(gè)指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”，因此該信息系統(tǒng)的密碼應(yīng)用方案評(píng)估結(jié)果為“不通過(guò)”C、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評(píng)估結(jié)果均為“通過(guò)”，初步量化評(píng)估分值為50分，那么該密碼應(yīng)用方案的整體評(píng)估結(jié)果仍可為“通過(guò)”D、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過(guò)其他的安全管理措施降低風(fēng)險(xiǎn)，因此該指標(biāo)的安全控制措施評(píng)估結(jié)果一定為“未通過(guò)”答案：B解析：

暫無(wú)解析41.某三級(jí)信息系統(tǒng)通過(guò)HMAC-SM3對(duì)重要數(shù)據(jù)計(jì)算MAC值后與數(shù)據(jù)原文一同存儲(chǔ)在數(shù)據(jù)庫(kù)中，密碼運(yùn)算為軟件實(shí)現(xiàn)，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無(wú)解析42.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，系統(tǒng)概述部分不需要對(duì)應(yīng)用和數(shù)據(jù)安全層面的哪些保護(hù)對(duì)象做梳理（）。(1分)A、應(yīng)用系統(tǒng)的用戶(hù)B、重要數(shù)據(jù)C、用戶(hù)操作行為D、網(wǎng)絡(luò)通道答案：D解析：

暫無(wú)解析43.在密評(píng)時(shí)，以下密碼算法/技術(shù)的組合（）認(rèn)為存在高危風(fēng)險(xiǎn)。(1分)A、對(duì)數(shù)據(jù)進(jìn)行RSA-3072和SHA-1簽名B、對(duì)數(shù)據(jù)進(jìn)行DES加密后，再進(jìn)行SM4加密C、對(duì)數(shù)據(jù)進(jìn)行HMAC-SHA256保護(hù)D、對(duì)數(shù)據(jù)進(jìn)行SM2和SM3簽名答案：A解析：

暫無(wú)解析多選題（總共15題）1.針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，以下登錄方式最高可以得1分的是（）。(1分)A、用戶(hù)名+短信驗(yàn)證碼B、用戶(hù)名+智能密碼鑰匙+PIN碼C、人臉+指紋D、用戶(hù)名+動(dòng)態(tài)令牌答案：BD解析：

暫無(wú)解析2.關(guān)于電子門(mén)禁系統(tǒng)的實(shí)操測(cè)試，以下描述正確的有（）。(1分)A、嘗試復(fù)制門(mén)禁卡，驗(yàn)證是否可以進(jìn)行有效復(fù)制B、修改某一條門(mén)禁訪(fǎng)問(wèn)日志記錄，驗(yàn)證是否有篡改成功C、對(duì)每條記錄分別生成MAC值并存放在該條記錄后面一列的做法是可以滿(mǎn)足“電子門(mén)禁記錄數(shù)據(jù)存儲(chǔ)完整性”要求的D、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗(yàn)證未授權(quán)的卡無(wú)法打開(kāi)門(mén)禁答案：ABD解析：

暫無(wú)解析3.在車(chē)路協(xié)同通信場(chǎng)景中，可以采用以下（）方式開(kāi)展測(cè)評(píng)。(1分)A、在被測(cè)車(chē)輛無(wú)線(xiàn)通信范圍內(nèi)，使用無(wú)線(xiàn)協(xié)議分析類(lèi)工具抓取智能車(chē)輛發(fā)送的通信數(shù)據(jù)，核實(shí)其消息中是否附加了數(shù)字簽名B、通過(guò)文檔審查、配置檢查等方式驗(yàn)證車(chē)輛接收消息時(shí)是否驗(yàn)證了數(shù)字簽名以及簽名所用證書(shū)的有效性C、在核實(shí)數(shù)字證書(shū)合法性和有效性時(shí)，應(yīng)注意數(shù)字證書(shū)管理的各個(gè)環(huán)節(jié)D、查看和核實(shí)信息系統(tǒng)使用的各密碼產(chǎn)品的商用密碼產(chǎn)品認(rèn)證證書(shū)答案：ABCD解析：

暫無(wú)解析4.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中應(yīng)用和數(shù)據(jù)安全層面的保護(hù)對(duì)象應(yīng)重點(diǎn)梳理（）。(1分)A、各個(gè)應(yīng)用具有身份鑒別需求的應(yīng)用用戶(hù)B、各個(gè)應(yīng)用具有可用性需求的重要數(shù)據(jù)C、各個(gè)應(yīng)用的重要數(shù)據(jù)及對(duì)應(yīng)具體安全需求D、各個(gè)應(yīng)用具有不可否認(rèn)性需求的操作行為答案：ACD解析：

暫無(wú)解析5.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在編寫(xiě)密碼應(yīng)用方案時(shí)，應(yīng)該體現(xiàn)()。(1分)A、系統(tǒng)承載業(yè)務(wù)情況及網(wǎng)絡(luò)拓?fù)銪、系統(tǒng)密碼應(yīng)用需求分析C、各安全層面的技術(shù)實(shí)現(xiàn)方案D、安全與和合規(guī)性分析答案：ABCD解析：

暫無(wú)解析6.云平臺(tái)中使用的云服務(wù)器密碼機(jī)作為測(cè)評(píng)對(duì)象時(shí)，應(yīng)滿(mǎn)足以下管理要求（）。(1分)A、云服務(wù)器密碼機(jī)的宿主機(jī)由云平臺(tái)或云服務(wù)器密碼機(jī)所有者進(jìn)行管理和使用，虛擬密碼機(jī)由租戶(hù)管理和使用B、宿主機(jī)和不同的虛擬密碼機(jī)不能相互訪(fǎng)問(wèn)對(duì)方的管理員賬號(hào)、口令C、云服務(wù)器密碼機(jī)的宿主機(jī)接受云平臺(tái)管理系統(tǒng)的集中統(tǒng)一管理，虛擬密碼機(jī)不接受云平臺(tái)管理系統(tǒng)的集中統(tǒng)一管理，可由虛擬密碼機(jī)所屬租戶(hù)自己的管理系統(tǒng)進(jìn)行集中統(tǒng)一管理D、云服務(wù)器密碼機(jī)的宿主機(jī)和不同虛擬密碼機(jī)的遠(yuǎn)程管理通道應(yīng)彼此獨(dú)立，并采用加密和身份鑒別等技術(shù)手段對(duì)遠(yuǎn)程管理通道進(jìn)行保護(hù)答案：ABCD解析：

暫無(wú)解析7.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)安全控制措施評(píng)估，以下描述不合理的是（）。(1分)A、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)網(wǎng)絡(luò)和通信安全層面的通信數(shù)據(jù)傳輸保護(hù)均使用國(guó)外密碼算法，則“通信數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評(píng)估結(jié)果仍可能為“通過(guò)”B、某三級(jí)信息系統(tǒng)41個(gè)基本指標(biāo)中，僅有一個(gè)指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”，因此該密碼應(yīng)用方案評(píng)估結(jié)果為“通過(guò)”C、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評(píng)估結(jié)果中，其中1項(xiàng)為未通過(guò)，但初步量化評(píng)估分值為75分，因此該密碼應(yīng)用方案的整體評(píng)估結(jié)果為“通過(guò)”D、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過(guò)其他的安全管理措施降低風(fēng)險(xiǎn)，因此該指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”答案：BCD解析：

暫無(wú)解析8.在對(duì)醫(yī)療機(jī)構(gòu)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)，涉及不可否認(rèn)性需求的可能有（）。(1分)A、病例完成時(shí)間的不可否認(rèn)性B、醫(yī)護(hù)人員開(kāi)具處方的不可否人性C、患者知情同意文書(shū)簽署的不可否認(rèn)性D、電子病例書(shū)寫(xiě)的不可否任性答案：ABCD解析：

暫無(wú)解析9.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告的評(píng)估結(jié)論包括（）。(1分)A、符合B、不符合C、通過(guò)D、不通過(guò)答案：CD解析：

暫無(wú)解析10.針對(duì)“網(wǎng)絡(luò)和通信安全”層面的測(cè)評(píng)，以下描述不合理的是（）。(1分)A、某三級(jí)信息系統(tǒng)，移動(dòng)終端用戶(hù)通過(guò)SSLVPN訪(fǎng)問(wèn)內(nèi)網(wǎng)資源，移動(dòng)終端與SSLVPN之間必須實(shí)現(xiàn)雙向身份鑒別B、如果被測(cè)系統(tǒng)的遠(yuǎn)程管理通道存在跨網(wǎng)絡(luò)的情況，那么該遠(yuǎn)程管理通道也應(yīng)該作為“網(wǎng)絡(luò)和通信安全”層面的測(cè)評(píng)對(duì)象C、某三級(jí)信息系統(tǒng)互聯(lián)網(wǎng)PC端用戶(hù)可以通過(guò)HTTP或者國(guó)密SSL協(xié)議兩種方式訪(fǎng)問(wèn)被測(cè)信息系統(tǒng)，針對(duì)“通信數(shù)據(jù)完整性”和“通信過(guò)程中重要數(shù)據(jù)機(jī)密性”指標(biāo)可以直接判定為符合D、某三級(jí)信息系統(tǒng)主機(jī)房和災(zāi)備機(jī)房之間通過(guò)部署IPSecVPN設(shè)備建立安全傳輸通道，那么該網(wǎng)絡(luò)通信信道的測(cè)評(píng)只能以主機(jī)房的IPSecVPN設(shè)備作為測(cè)評(píng)接入點(diǎn)答案：ACD解析：

暫無(wú)解析11.在對(duì)信息系統(tǒng)進(jìn)行密鑰管理測(cè)評(píng)時(shí)，以下存在風(fēng)險(xiǎn)的有（）。(1分)A、DH密鑰協(xié)商前或協(xié)商過(guò)程中未進(jìn)行身份鑒別B、利用口令派生的密鑰進(jìn)行傳輸通信保護(hù)C、一個(gè)密鑰同時(shí)用于加密和MACD、IV和計(jì)數(shù)器值公開(kāi)傳遞答案：ABC解析：

暫無(wú)解析12.《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》中在描述安全控制措施時(shí)，需要注意的事項(xiàng)有()。(1分)A、安全控制措施需要包括四個(gè)密碼應(yīng)用技術(shù)層面和四個(gè)密碼應(yīng)用管理方面的內(nèi)容B、如果相關(guān)保護(hù)對(duì)象未采用密碼技術(shù)措施，那么也需要概括總結(jié)相關(guān)的風(fēng)險(xiǎn)替代措施C、安全控制措施描述需要結(jié)合信息系統(tǒng)的密碼應(yīng)用部署圖D、系統(tǒng)密碼應(yīng)用部署圖中需要包含密碼應(yīng)用方案中涉及的所有密碼產(chǎn)品（冗余配置的除外）和服務(wù)答案：ABCD解析：

暫無(wú)解析13.以下關(guān)于用戶(hù)密鑰的存儲(chǔ)方式，說(shuō)法正確的是()。(1分)A、數(shù)據(jù)加密密鑰在經(jīng)過(guò)檢測(cè)認(rèn)證的三級(jí)密碼模塊中存儲(chǔ)B、SM2簽名私鑰經(jīng)SM4-GCM加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中C、SM2簽名證書(shū)明文存儲(chǔ)在應(yīng)用服務(wù)器中D、SM4密鑰經(jīng)SHA1加密存儲(chǔ)在數(shù)據(jù)庫(kù)答案：ABC解析：

暫無(wú)解析14.在針對(duì)“設(shè)備和計(jì)算安全”層面進(jìn)行測(cè)評(píng)時(shí)，以下描述較為合理的是（）。(1分)A、交換機(jī)、網(wǎng)閘、防火墻一般不作為設(shè)備和計(jì)算安全層面的測(cè)評(píng)對(duì)象B、某三級(jí)信息系統(tǒng)部署了3臺(tái)同一型號(hào)的SSLVPN，在密評(píng)報(bào)告中可以將這三個(gè)SSLVPN作為一個(gè)測(cè)評(píng)對(duì)象，但在進(jìn)行量化評(píng)估時(shí)，D/A/K需以這三個(gè)SSLVPN的實(shí)際應(yīng)用情況的最低分值賦分C、設(shè)備和計(jì)算安全層面的“身份鑒別”指標(biāo)無(wú)法彌補(bǔ)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)D、針對(duì)整機(jī)類(lèi)密碼產(chǎn)品的“身份鑒別”指標(biāo)可以直接判定為符合答案：ABC解析：

暫無(wú)解析15.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密評(píng)人員對(duì)密碼應(yīng)用方案中的安全控制措施分析和評(píng)估結(jié)果判定不合理的是（）。(1分)A、針對(duì)物理和環(huán)境安全層面，密碼應(yīng)用方案中的描述為“機(jī)房雖采用門(mén)禁ID卡刷卡進(jìn)入，但機(jī)房門(mén)外部署有視頻監(jiān)控系統(tǒng)，能夠?qū)C(jī)房外的環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控，因此不存在高風(fēng)險(xiǎn)”，針對(duì)物理和環(huán)境安全層面“身份鑒別”的安全控制措施評(píng)估結(jié)果為“通過(guò)”B、針對(duì)網(wǎng)絡(luò)和通信安全層面，密碼應(yīng)用方案中的描述為“雖然互聯(lián)網(wǎng)PC端與系統(tǒng)服務(wù)端在通信時(shí)未采用密碼技術(shù)對(duì)服務(wù)端進(jìn)行身份鑒別，但是系統(tǒng)應(yīng)用層對(duì)登錄用戶(hù)采用合規(guī)的密碼技術(shù)進(jìn)行身份鑒別，因此網(wǎng)絡(luò)通信實(shí)體的身份鑒別問(wèn)題不存在高風(fēng)險(xiǎn)”，針對(duì)網(wǎng)絡(luò)和通信安全層面“身份鑒別”的安全控制措施評(píng)估結(jié)果為“通過(guò)”C、針對(duì)應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對(duì)重要數(shù)據(jù)做存儲(chǔ)機(jī)密性保護(hù)，但是數(shù)據(jù)庫(kù)只能專(zhuān)人訪(fǎng)問(wèn)，且登錄口令定期更換，因此不存在高風(fēng)險(xiǎn)”，針對(duì)“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的安全控制措施評(píng)估結(jié)果為“通過(guò)”D、針對(duì)應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對(duì)存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性保護(hù)，但是應(yīng)用系統(tǒng)具有符合要求的身份鑒別措施，只有授權(quán)人員才能訪(fǎng)問(wèn)應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對(duì)數(shù)據(jù)進(jìn)行備份，因此不存在高風(fēng)險(xiǎn)”，針對(duì)“重要數(shù)據(jù)存儲(chǔ)完整性”的安全控制措施評(píng)估結(jié)果為“通過(guò)”答案：ABC解析：

暫無(wú)解析判斷題（總共35題）1.某三級(jí)信息系統(tǒng)使用服務(wù)器密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格）對(duì)應(yīng)用的重要數(shù)據(jù)進(jìn)行存儲(chǔ)機(jī)密性保護(hù)，針對(duì)該服務(wù)器密碼機(jī)的“設(shè)備和計(jì)算安全”層面的“身份鑒別”指標(biāo)可以直接判定為符合。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析2.開(kāi)展信息系統(tǒng)密評(píng)時(shí)，“設(shè)備遠(yuǎn)程管理通道安全”測(cè)評(píng)項(xiàng)可能涉及“網(wǎng)絡(luò)和通信安全”和“設(shè)備和計(jì)算安全”兩個(gè)層面。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析3.測(cè)評(píng)人員利用Wireshark，發(fā)現(xiàn)某信息系統(tǒng)傳輸?shù)闹匾獢?shù)據(jù)為密文，數(shù)據(jù)密文長(zhǎng)度為128比特，因此可以判定該數(shù)據(jù)使用SM4或AES密碼算法進(jìn)行了加密保護(hù)。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析4.只需要對(duì)口令進(jìn)行HMAC-SM3計(jì)算，就可以保證口令不被替換，實(shí)現(xiàn)實(shí)體與口令的綁定。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析5.某二級(jí)信息系統(tǒng)于2019年進(jìn)行規(guī)劃并有密碼應(yīng)用方案且方案通過(guò)評(píng)估，2020年建設(shè)完成后投入運(yùn)行，2021年開(kāi)展首次密評(píng)，測(cè)評(píng)人員在測(cè)評(píng)時(shí)僅以該系統(tǒng)在投入運(yùn)行前未進(jìn)行密碼應(yīng)用安全性評(píng)估為由，對(duì)“建設(shè)運(yùn)行”層面的“投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估”指標(biāo)判定為“不符合”。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析6.判斷以下做法是否正確：CA簽發(fā)證書(shū)后，用戶(hù)將私鑰和數(shù)字證書(shū)存放在用戶(hù)的U盤(pán)內(nèi)保存。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析7.對(duì)各個(gè)層面的“身份鑒別”指標(biāo)測(cè)試時(shí)，主要檢查所使用的密碼算法是否合規(guī)和相應(yīng)的密鑰管理是否安全，抗重放攻擊不是該指標(biāo)的考察范圍。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析8.測(cè)評(píng)人員對(duì)某一級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，發(fā)現(xiàn)該系統(tǒng)在規(guī)劃階段制定了密碼應(yīng)用方案且通過(guò)了方案評(píng)估，因此針對(duì)“建設(shè)運(yùn)行”層面的“制定密碼應(yīng)用方案”指標(biāo)的量化評(píng)估結(jié)果可以為1分，判定為符合。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析9.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，所有指標(biāo)的安全控制措施評(píng)估結(jié)果均通過(guò)，則可判定方案評(píng)估結(jié)論為“通過(guò)”。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析10.測(cè)評(píng)人員在對(duì)某三級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，發(fā)現(xiàn)該信息系統(tǒng)運(yùn)行過(guò)程中未發(fā)生任何密碼應(yīng)用安全事件，因此將GB/T39786中管理要求的“應(yīng)急處置”相關(guān)指標(biāo)列為不適用。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析11.在應(yīng)用和數(shù)據(jù)安全層面，某信息系統(tǒng)開(kāi)發(fā)人員對(duì)重要數(shù)據(jù)的傳輸機(jī)密性保護(hù)采用AES-CBC實(shí)現(xiàn)，對(duì)重要數(shù)據(jù)的傳輸完整性保護(hù)采用基于AES的CBC-MAC實(shí)現(xiàn)，由于這兩項(xiàng)指標(biāo)對(duì)應(yīng)保護(hù)的數(shù)據(jù)不同，因此開(kāi)發(fā)人員使用了同一個(gè)密鑰執(zhí)行上述密碼算法計(jì)算。這種做法是合理的。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析12.某信息系統(tǒng)網(wǎng)絡(luò)通道僅采用HTTP協(xié)議傳輸報(bào)文，但該通道中傳輸?shù)臄?shù)據(jù)在應(yīng)用和數(shù)據(jù)安全層面采用密碼技術(shù)進(jìn)行保護(hù)，“重要數(shù)據(jù)傳輸機(jī)密性”“重要數(shù)據(jù)傳輸完整性”這兩項(xiàng)指標(biāo)中得到“符合”的判定結(jié)果。那么“通信過(guò)程中重要數(shù)據(jù)的機(jī)密性”的安全風(fēng)險(xiǎn)等級(jí)可以酌情降低。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析13.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，如果指標(biāo)所涉及的某一保護(hù)對(duì)象的相應(yīng)安全控制措施有效（不存在高風(fēng)險(xiǎn)），則該指標(biāo)的安全控制措施評(píng)估結(jié)果為“通過(guò)”。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析14.某三級(jí)信息系統(tǒng)在密碼應(yīng)用方案中針對(duì)物理和環(huán)境安全給出的安全控制措施為：信息系統(tǒng)所在物理機(jī)房使用門(mén)禁ID卡+指紋識(shí)別的方式對(duì)進(jìn)入機(jī)房人員進(jìn)行身份鑒別，同時(shí)機(jī)房外有24小時(shí)專(zhuān)人值守，并在機(jī)房?jī)?nèi)外部署了視頻監(jiān)控系統(tǒng)。根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)的安全控制措施評(píng)估結(jié)果為“通過(guò)”。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析15.測(cè)評(píng)人員在對(duì)某四級(jí)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)，核實(shí)該信息系統(tǒng)所屬機(jī)構(gòu)建立了密碼應(yīng)用崗位責(zé)任制度，設(shè)置了密鑰管理員、密碼安全審計(jì)員、密碼操作員，其中密鑰管理員和密碼安全審計(jì)員均由被測(cè)系統(tǒng)所屬機(jī)構(gòu)內(nèi)部人員擔(dān)任，密碼操作員由被測(cè)系統(tǒng)承包商擔(dān)任，且密碼安全審計(jì)員與密鑰管理員、密碼操作員為不同人員，因此針對(duì)“人員管理”層面的“建立密碼應(yīng)用崗位責(zé)任制度”指標(biāo)可以判定為符合。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析16.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)選定的密評(píng)指標(biāo)，方案密評(píng)報(bào)告評(píng)估結(jié)果為“通過(guò)/未通過(guò)”，系統(tǒng)密評(píng)報(bào)告的評(píng)估結(jié)果為“符合/部分符合/不符合/不適用”。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析17.某四級(jí)信息系統(tǒng)在密碼應(yīng)用方案中，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性、存儲(chǔ)完整性”指標(biāo)分別給出如下安全控制措施：重要業(yè)務(wù)數(shù)據(jù)均采用DES算法進(jìn)行存儲(chǔ)機(jī)密性保護(hù)，使用基于SM3的HMAC算法進(jìn)行存儲(chǔ)完整性保護(hù)。根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，該密碼應(yīng)用方案的評(píng)估結(jié)論很可能是“不通過(guò)”。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析18.如果某個(gè)服務(wù)器密碼機(jī)部署在核心交換機(jī)上，且沒(méi)有部署必要的邏輯隔離措施，這種部署方式存在很高的安全隱患。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析19.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸完整性”指標(biāo)，如果未采用密碼應(yīng)用措施，那么針對(duì)該指標(biāo)的安全控制措施評(píng)估結(jié)果一定是“未通過(guò)”。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析20.某信息系統(tǒng)的設(shè)備運(yùn)維路徑為：設(shè)備管理員終端-堡壘機(jī)-通用設(shè)備。其中，堡壘機(jī)的“身份鑒別”指標(biāo)的測(cè)評(píng)結(jié)果為“符合”，那么通用設(shè)備（自身采用“用戶(hù)名+口令”方式登錄）的“身份鑒別”指標(biāo)的量化評(píng)估分值可以一定程度上得到彌補(bǔ)。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析21.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)于密碼應(yīng)用方案已通過(guò)評(píng)估的系統(tǒng)，密評(píng)時(shí)應(yīng)把方案作為測(cè)評(píng)的重要依據(jù)。(1分)A、正確B、錯(cuò)誤答案：A解析：

暫無(wú)解析22.公鑰必須保護(hù)其與實(shí)體的綁定關(guān)系，對(duì)稱(chēng)密鑰沒(méi)有這種必要，因此在測(cè)評(píng)時(shí)，主要關(guān)注的是對(duì)稱(chēng)密鑰的機(jī)密性和完整性。(1分)A、正確B、錯(cuò)誤答案：B解析：

暫無(wú)解析23.密評(píng)人員在測(cè)評(píng)某信息系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面的“身份鑒別”指標(biāo)時(shí)發(fā)現(xiàn)，該信息系統(tǒng)有應(yīng)用管理員和普通用戶(hù)兩類(lèi)應(yīng)用用戶(hù)，其中應(yīng)用管理員采用基于智能密碼鑰匙（經(jīng)檢測(cè)認(rèn)證合格）的登錄方式，普通用戶(hù)采用“口令+短信驗(yàn)證碼”的登錄方式。那么該測(cè)評(píng)單