商密6-6·密碼應(yīng)用與安全評估練習(xí)測試題附答案（二）

商密6-6·密碼應(yīng)用與安全評估練習(xí)測試題附答案單選題（總共43題）1.某三級信息系統(tǒng)通過堡壘機(jī)對通用服務(wù)器進(jìn)行集中管理，其中管理員與堡壘機(jī)之間使用HTTP協(xié)議建立傳輸通道，堡壘機(jī)與通用服務(wù)器之間使用SSH2.0建立傳輸通道，因此針對“設(shè)備和計算安全”層面的“遠(yuǎn)程管理通道安全”指標(biāo)的判定結(jié)果為()。(1分)A、符合B、部分符合C、不符合D、無法判斷答案：B解析：

暫無解析2.某三級信息系統(tǒng)所在機(jī)房部署符合GM/T0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用指南》的電子門禁系統(tǒng)，使用SM4算法進(jìn)行密鑰分散，實(shí)現(xiàn)門禁卡的“一卡一密”，并基于SM4算法對人員身份進(jìn)行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“身份鑒別”指標(biāo)的量化評估結(jié)果最多為（）分。(1分)A、0.25B、0.5C、0D、1答案：D解析：

暫無解析3.某業(yè)務(wù)系統(tǒng)用戶手機(jī)號利用SM3進(jìn)行雜湊計算后，將得到完整的雜湊值存放在應(yīng)用服務(wù)器的數(shù)據(jù)庫中，那么對于“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無解析4.某三級信息系統(tǒng)，制定了密碼安全應(yīng)急策略，規(guī)定了相關(guān)應(yīng)急事件處置措施和流程，明確了密碼應(yīng)用應(yīng)急事件處置完成后及時向當(dāng)?shù)孛艽a管理部門報告事件發(fā)生和處置情況。該系統(tǒng)目前未發(fā)生過密碼應(yīng)用安全事件，無相應(yīng)處置記錄。針對“應(yīng)急處置”層面的“事件處置”指標(biāo)最高可以給（）分。(1分)A、1B、0.25C、0.5D、0答案：A解析：

暫無解析5.如果基于數(shù)字證書方式進(jìn)行用戶的身份鑒別，在進(jìn)行密評時，以下核查（）不是必要的。(1分)A、檢查根證書如何安全導(dǎo)入或預(yù)置到系統(tǒng)內(nèi)B、檢查數(shù)字證書的合規(guī)性C、驗(yàn)證數(shù)字證書的證書鏈?zhǔn)欠裢ㄟ^D、檢查數(shù)字證書的機(jī)密性是如何保證的答案：D解析：

暫無解析6.某三級信息系統(tǒng)通過SSLVPN建立遠(yuǎn)程管理傳輸通道，管理終端與SSLVPN之間傳輸協(xié)議使用的密碼套件為ECC_SM4_GCM_SM3。該網(wǎng)絡(luò)通信信道使用（）算法實(shí)現(xiàn)通信數(shù)據(jù)的機(jī)密性保護(hù)。(1分)A、ECCB、SM4_GCMC、SM3D、基于SM3的HMAC答案：B解析：

暫無解析7.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在方案密評報告的“商用密碼應(yīng)用安全性評估結(jié)論”部分不包括以下哪項（）。(1分)A、方案名稱B、評估結(jié)論C、不適用指標(biāo)數(shù)目D、密碼應(yīng)用需求答案：D解析：

暫無解析8.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，對于委托第三方密評機(jī)構(gòu)實(shí)施的密碼應(yīng)用方案密評和信息系統(tǒng)密評的情形，在報告中的“密評活動有效性證明”記錄部分，以下說法正確的是（）。(1分)A、信息系統(tǒng)密評報告需要提供密評活動證明，方案密評報告則不需要B、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機(jī)構(gòu)雙方簽字確認(rèn)，同時需要密評機(jī)構(gòu)內(nèi)部組織評審C、方案密評前，應(yīng)編制測評方案，并對該方案組織內(nèi)部評審D、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機(jī)構(gòu)雙方簽字確認(rèn)，但不需要密評機(jī)構(gòu)內(nèi)部組織評審答案：B解析：

暫無解析9.某三級信息系統(tǒng)客戶端與服務(wù)端之間的網(wǎng)絡(luò)通信信道使用TLSv1.2協(xié)議進(jìn)行傳輸保護(hù)，使用的密碼套件為TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進(jìn)行通信數(shù)據(jù)機(jī)密性和完整性保護(hù)。(1分)A、ECDHE，RSAB、AES_256_GCM,AES__256_GCMC、AES-GCM，HMAC-SHA384D、AES-GCM，SHA384答案：B解析：

暫無解析10.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，密碼應(yīng)用方案密評報告中的商用密碼應(yīng)用安全性評估結(jié)論部分包含哪項要素（）。(1分)A、方案名稱和評估結(jié)論B、方案簡介和評估情況簡介C、不適用項數(shù)目/總測評指標(biāo)項數(shù)目D、以上均包含答案：D解析：

暫無解析11.在密評時，以下密碼算法/技術(shù)的組合（）認(rèn)為存在高危風(fēng)險。(1分)A、對數(shù)據(jù)進(jìn)行RSA-3072和SHA-1簽名B、對數(shù)據(jù)進(jìn)行DES加密后，再進(jìn)行SM4加密C、對數(shù)據(jù)進(jìn)行HMAC-SHA256保護(hù)D、對數(shù)據(jù)進(jìn)行SM2和SM3簽名答案：A解析：

暫無解析12.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，針對“安全控制措施評估結(jié)果”環(huán)節(jié)的工作，以下描述較為合理的是（）。(1分)A、某三級信息系統(tǒng)密碼應(yīng)用方案中，針對應(yīng)用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護(hù)均使用國外密碼算法，因此“重要數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評估結(jié)果為“未通過”B、某三級信息系統(tǒng)41個基本指標(biāo)中，其中一個指標(biāo)的安全控制措施評估結(jié)果為“未通過”，因此該信息系統(tǒng)的密碼應(yīng)用方案評估結(jié)果為“不通過”C、某三級信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評估結(jié)果均為“通過”，初步量化評估分值為50分，那么該密碼應(yīng)用方案的整體評估結(jié)果仍可為“通過”D、某三級信息系統(tǒng)密碼應(yīng)用方案中，針對物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過其他的安全管理措施降低風(fēng)險，因此該指標(biāo)的安全控制措施評估結(jié)果一定為“未通過”答案：B解析：

暫無解析13.某信息系統(tǒng)在數(shù)據(jù)庫中存儲有用戶的性別字段的密文，應(yīng)用開發(fā)人員告知密評人員該字段采用SM4-CBC算法進(jìn)行了加密。密評人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個密文值長度為128比特。那么以下推斷正確的是（）。(1分)A、如果確實(shí)使用SM4-CBC進(jìn)行加密，那么開發(fā)人員可能錯誤地使用了IVB、由于密文長度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進(jìn)行加密，開發(fā)人員說法存在問題C、開發(fā)人員不可能使用ECB模式加密D、由于密文長度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開發(fā)人員的說法是正確的答案：A解析：

暫無解析14.用戶在某銀行網(wǎng)點(diǎn)取錢，輸入支付口令后，該口令途經(jīng)兩段傳輸過程：1）ATM機(jī)到銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測認(rèn)證合格），采用SM4算法提供傳輸機(jī)密性；2）銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測認(rèn)證合格）到銀行服務(wù)端核心系統(tǒng)服務(wù)器（非直連），采用AES-128提供傳輸機(jī)密性。以口令作為測評對象，其“重要數(shù)據(jù)傳輸機(jī)密性”的判定結(jié)果為（）。(1分)A、符合B、部分符合C、不符合D、基本符合答案：B解析：

暫無解析15.某三級信息系統(tǒng)的系統(tǒng)管理員通過堡壘機(jī)登錄通用服務(wù)器并對其進(jìn)行遠(yuǎn)程管理，進(jìn)入堡壘機(jī)后，系統(tǒng)管理員通過用戶名+口令的方式訪問通用服務(wù)器。系統(tǒng)管理員登錄堡壘機(jī)時通過部署具有商用密碼產(chǎn)品認(rèn)證證書的安全瀏覽器（安全等級二級）和智能密碼鑰匙（安全等級二級）并基于數(shù)字證書（在有效期內(nèi)）的方式進(jìn)行身份鑒別，算法為SM2。因此該系統(tǒng)在“設(shè)備和計算安全”層面的通用服務(wù)器測評對象的“身份鑒別”指標(biāo)D、K的判定結(jié)果為（）。(1分)A、√,√,√B、×,/，/C、√,×,×D、√,√,×答案：B解析：

暫無解析16.密評人員對SSLVPN進(jìn)行測評時發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x13}后，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商B、該套件使用SM4-CBC進(jìn)行數(shù)據(jù)加密C、該套件使用HMAC-SM3進(jìn)行數(shù)據(jù)完整性保護(hù)D、該套件使用SM3作為PRF派生密鑰答案：A解析：

暫無解析17.以下因素（）可能導(dǎo)致數(shù)字簽名功能不正確。(1分)A、簽名中使用固定的隨機(jī)數(shù)B、待簽消息比SM3雜湊值長C、簽名中使用不可預(yù)測的隨機(jī)數(shù)D、使用私鑰簽名答案：A解析：

暫無解析18.測評過程中，對信息系統(tǒng)網(wǎng)絡(luò)邊界內(nèi)的用戶與系統(tǒng)應(yīng)用之間重要數(shù)據(jù)傳輸保護(hù)的測評屬于（）安全層面的測評內(nèi)容。(1分)A、網(wǎng)絡(luò)和通信安全B、設(shè)備和計算安全C、應(yīng)用和數(shù)據(jù)安全D、密鑰管理答案：C解析：

暫無解析19.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，系統(tǒng)概述部分不需要對應(yīng)用和數(shù)據(jù)安全層面的哪些保護(hù)對象做梳理（）。(1分)A、應(yīng)用系統(tǒng)的用戶B、重要數(shù)據(jù)C、用戶操作行為D、網(wǎng)絡(luò)通道答案：D解析：

暫無解析20.某三級信息系統(tǒng)，網(wǎng)絡(luò)和通信安全層面采用了合規(guī)的密碼技術(shù)進(jìn)行通信實(shí)體身份鑒別，測評人員經(jīng)核實(shí)后判定結(jié)果為1分；應(yīng)用和數(shù)據(jù)安全層面采用“用戶名+口令”的方式對業(yè)務(wù)系統(tǒng)登錄用戶進(jìn)行身份鑒別。則“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)的應(yīng)用用戶測評對象經(jīng)“網(wǎng)絡(luò)和通信安全”層面“身份鑒別”指標(biāo)結(jié)果彌補(bǔ)后的量化評估分值為（）。(1分)A、1B、0.5C、0.25D、0答案：D解析：

暫無解析21.某三級信息系統(tǒng)的重要數(shù)據(jù)包括用戶口令、日志信息、業(yè)務(wù)數(shù)據(jù)，這三類數(shù)據(jù)的存儲機(jī)密性量化評估分值分別為0.25、0.5、0.25，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲機(jī)密性”的測評單元得分為（）。(1分)A、0.3333B、1C、0.5D、0.25答案：A解析：

暫無解析22.應(yīng)用服務(wù)器的數(shù)據(jù)庫中，用戶的單條記錄（包括口令雜湊值、身份證號、手機(jī)號等密文值、角色、權(quán)限等）利用HMAC-SM3計算后，把得到的MAC值一并存放在該條目中，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)判定最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無解析23.某三級信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計算MAC值后與數(shù)據(jù)原文一同存儲在數(shù)據(jù)庫中，密碼運(yùn)算為軟件實(shí)現(xiàn)，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無解析24.某信息系統(tǒng)部署在云服務(wù)提供商（CSP）機(jī)房，其物理機(jī)房完全由CSP托管，那么在對該信息系統(tǒng)進(jìn)行密評時，在物理和環(huán)境安全層面合理的做法是（）。(1分)A、若CSP機(jī)房未通過密評，則物理和環(huán)境安全層面直接判定為“不符合”B、若CSP機(jī)房通過密評，則可以復(fù)用該機(jī)房的密評結(jié)論C、若CSP機(jī)房未通過密評，則可以直接判定為“符合”D、無論CSP機(jī)房是否通過密評，物理和環(huán)境安全層面應(yīng)判定為“不適用”答案：B解析：

暫無解析25.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)未采用密碼應(yīng)用措施，那么針對該指標(biāo)的安全控制措施評估結(jié)果一定是（）。(1分)A、通過B、未通過C、不符合D、無法判斷答案：D解析：

暫無解析26.以下選項（）不是對傳輸完整性實(shí)現(xiàn)的測評方法。(1分)A、利用Wireshark分析受完整性保護(hù)的數(shù)據(jù)在傳輸時的數(shù)據(jù)格式（如簽名長度、MAC長度）是否符合預(yù)期B、如果采用數(shù)字簽名技術(shù)進(jìn)行傳輸完整性保護(hù)，測評人員可以使用公鑰對抓取的簽名結(jié)果進(jìn)行驗(yàn)證C、條件允許的情況下，測評人員可嘗試對傳輸數(shù)據(jù)進(jìn)行篡改（如修改MAC值或數(shù)字簽名值），驗(yàn)證完整性保護(hù)措施的有效性D、檢查傳輸過程是否符合GB/T15843《信息技術(shù)安全技術(shù)實(shí)體鑒別》要求答案：D解析：

暫無解析27.某三級信息系統(tǒng)的訪問控制信息通過調(diào)用服務(wù)器密碼機(jī)（通過商用密碼產(chǎn)品檢測認(rèn)證）使用SM3withSM2數(shù)字簽名算法計算簽名值后，將訪問控制信息與簽名值一同保存在數(shù)據(jù)庫中，但用戶訪問業(yè)務(wù)應(yīng)用時未對訪問控制信息的簽名值進(jìn)行驗(yàn)證，針對“應(yīng)用和數(shù)據(jù)安全”層面的“訪問控制信息完整性”為（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無解析28.Linux系統(tǒng)的用戶口令一般存儲在路徑（）下。(1分)A、/etc/groupB、/etc/shadowC、/etc/login.defsD、/etc/named.conf答案：B解析：

暫無解析29.某信息系統(tǒng)有兩個業(yè)務(wù)應(yīng)用，其中應(yīng)用A有管理員用戶和操作員用戶兩類用戶，分別采用用戶名+口令和基于動態(tài)口令（經(jīng)過檢測認(rèn)證的密碼產(chǎn)品）的身份鑒別方式；應(yīng)用B有管理員用戶和業(yè)務(wù)員用戶兩類用戶，均基于經(jīng)過檢測認(rèn)證的智能密碼鑰匙進(jìn)行身份鑒別。針對“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，最多可以給（）分。(1分)A、0.5B、1C、3D、0.75答案：D解析：

暫無解析30.在測評過程中遇到的PEM編碼格式，除了開頭和結(jié)尾，其內(nèi)容體通常以（）格式編碼。(1分)A、BERB、DERC、Base64D、Base64url答案：C解析：

暫無解析31.以下選項（）不被認(rèn)為是云平臺“完全評估的支撐能力”。(1分)A、僅為租戶應(yīng)用提供的電子簽章服務(wù)B、云平臺所在的物理機(jī)房環(huán)境C、云平臺管理應(yīng)用D、云平臺提供的設(shè)備運(yùn)維通信信道答案：A解析：

暫無解析32.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告附錄部分，“密評活動有效性證明記錄”不涉及（）。(1分)A、密評委托證明B、密評人員差旅票證及住宿票證C、密評報告評審記錄D、密評人員資格情況答案：B解析：

暫無解析33.某二級信息系統(tǒng)，對物理和環(huán)境安全層面“身份鑒別”這一項，其密碼應(yīng)用方案中論述了無法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險控制措施，即人臉識別，密評人員在實(shí)際測評時核實(shí)密碼應(yīng)用方案中的措施已落實(shí)。那么作為該條款的測評結(jié)論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無解析34.某四級信息系統(tǒng)，對物理和環(huán)境安全“身份鑒別”這一項，其密碼應(yīng)用方案中論述了無法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險控制措施，即“口令+指紋”，密評人員在實(shí)際測評時核實(shí)方案中的措施已落實(shí)。那么作為該條款的測評結(jié)論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無解析35.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，關(guān)于方案密評，以下說法那種不正確()。(1分)A、重點(diǎn)判斷系統(tǒng)在某方面是否存在安全風(fēng)險，通過總體密碼設(shè)計是否可以有效解決相應(yīng)的安全問題B、重點(diǎn)對所有自查符合性進(jìn)行評估，對所有自查不適用項和對應(yīng)論證依據(jù)進(jìn)行逐條核查、評估C、應(yīng)注意梳理安全需求，尤其是應(yīng)用和數(shù)據(jù)安全層面各保護(hù)對象的安全需求D、重點(diǎn)是對照GB/T39786-2021《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行逐條評估答案：D解析：

暫無解析36.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為1時表示口令采用()密碼算法進(jìn)行雜湊后存儲。(1分)A、MD5B、BlowfishC、SHA-256D、SHA-512答案：A解析：

暫無解析37.某三級信息系統(tǒng)用戶端與服務(wù)端之間進(jìn)行通信時，只對服務(wù)端進(jìn)行了基于密碼的身份鑒別且身份鑒別機(jī)制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”指標(biāo)最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：D解析：

暫無解析38.某三級信息系統(tǒng)開發(fā)人員采用密碼機(jī)（經(jīng)檢測認(rèn)證的一級密碼模塊）實(shí)現(xiàn)的SM4算法，為具有“重要數(shù)據(jù)傳輸機(jī)密性”安全需求的數(shù)據(jù)提供相應(yīng)密碼保護(hù)，經(jīng)密評人員確認(rèn)該指標(biāo)測評對象有2個，且密碼保護(hù)有效。那么該指標(biāo)的判定結(jié)果較為合理的是（）。(1分)A、符合，1分B、部分符合，0.5分C、部分符合，0.3分D、不符合，0.25分答案：B解析：

暫無解析39.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下哪項信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對象（）。(1分)A、交換機(jī)B、機(jī)房C、密碼設(shè)備D、服務(wù)器答案：A解析：

暫無解析40.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，編制方案密評報告時，以下對于不適用指標(biāo)描述不合理的是（）。(1分)A、信息系統(tǒng)不涉及設(shè)備中的重要信息資源安全標(biāo)記，因此設(shè)備和計算安全層面的“重要信息資源安全標(biāo)記完整性”指標(biāo)為不適用B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機(jī)密性安全需求，因此應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲機(jī)密性”指標(biāo)為不適用C、信息系統(tǒng)的物理機(jī)房難以進(jìn)行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標(biāo)為不適用D、信息系統(tǒng)責(zé)任單位將“可”的指標(biāo)自行決定為不適用答案：C解析：

暫無解析41.在設(shè)備和計算安全層面，若存在100臺服務(wù)器，其中60臺為A廠商生產(chǎn)且為同一型號，40臺為B廠商生產(chǎn)且為同一型號，同一廠商的硬件/軟件配置相同。為提高測評效率，同時避免遺漏測評對象，以下測評對象選取方法合理的是（）。(1分)A、同一類機(jī)型的服務(wù)器作為一個測評對象，所以有兩個測評對象，即機(jī)型A和機(jī)型B兩類服務(wù)器B、由于這100臺服務(wù)器均屬于通用設(shè)備，可視為一個測評對象C、每一臺服務(wù)器均作為一個測評對象，所以測評對象數(shù)量為100個D、以上都正確答案：A解析：

暫無解析42.密評人員對SSLVPN進(jìn)行測評時發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x11}，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商B、該套件使用SM4-GCM進(jìn)行數(shù)據(jù)加密C、該套件使用HMAC-SM3進(jìn)行數(shù)據(jù)完整性保護(hù)D、該套件使用SM2算法進(jìn)行密鑰協(xié)商答案：B解析：

暫無解析43.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下哪項不屬于方案密評報告所包含的內(nèi)容（）。(1分)A、報告分發(fā)范圍B、密碼應(yīng)用方案C、密評委托證明D、測評人員進(jìn)入系統(tǒng)所在機(jī)房的證明記錄答案：D解析：

暫無解析多選題（總共15題）1.在密評中，當(dāng)電子門禁系統(tǒng)作為測評對象時，以下測評實(shí)施合理的包括（）。(1分)A、嘗試發(fā)一些錯誤的門禁卡，驗(yàn)證這些卡無法打開門禁B、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗(yàn)證非授權(quán)的卡無法打開門禁C、對電子門禁系統(tǒng)是否滿足GM/T0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測D、檢查電子門禁系統(tǒng)中所使用的智能卡、密碼機(jī)等是否具備商用密碼產(chǎn)品認(rèn)證證書答案：ABD解析：

暫無解析2.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，密評人員對密碼應(yīng)用方案中的安全控制措施分析和評估結(jié)果判定不合理的是（）。(1分)A、針對物理和環(huán)境安全層面，密碼應(yīng)用方案中的描述為“機(jī)房雖采用門禁ID卡刷卡進(jìn)入，但機(jī)房門外部署有視頻監(jiān)控系統(tǒng)，能夠?qū)C(jī)房外的環(huán)境進(jìn)行實(shí)時監(jiān)控，因此不存在高風(fēng)險”，針對物理和環(huán)境安全層面“身份鑒別”的安全控制措施評估結(jié)果為“通過”B、針對網(wǎng)絡(luò)和通信安全層面，密碼應(yīng)用方案中的描述為“雖然互聯(lián)網(wǎng)PC端與系統(tǒng)服務(wù)端在通信時未采用密碼技術(shù)對服務(wù)端進(jìn)行身份鑒別，但是系統(tǒng)應(yīng)用層對登錄用戶采用合規(guī)的密碼技術(shù)進(jìn)行身份鑒別，因此網(wǎng)絡(luò)通信實(shí)體的身份鑒別問題不存在高風(fēng)險”，針對網(wǎng)絡(luò)和通信安全層面“身份鑒別”的安全控制措施評估結(jié)果為“通過”C、針對應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對重要數(shù)據(jù)做存儲機(jī)密性保護(hù)，但是數(shù)據(jù)庫只能專人訪問，且登錄口令定期更換，因此不存在高風(fēng)險”，針對“重要數(shù)據(jù)存儲機(jī)密性”的安全控制措施評估結(jié)果為“通過”D、針對應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對存儲的業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性保護(hù)，但是應(yīng)用系統(tǒng)具有符合要求的身份鑒別措施，只有授權(quán)人員才能訪問應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對數(shù)據(jù)進(jìn)行備份，因此不存在高風(fēng)險”，針對“重要數(shù)據(jù)存儲完整性”的安全控制措施評估結(jié)果為“通過”答案：ABC解析：

暫無解析3.在測評某一信息系統(tǒng)時，其設(shè)備和計算安全層面可能涉及的測評對象有（）。(1分)A、數(shù)據(jù)庫管理系統(tǒng)B、虛擬機(jī)C、應(yīng)用服務(wù)器D、VPN網(wǎng)關(guān)答案：ABCD解析：

暫無解析4.密評人員在檢查數(shù)據(jù)庫中存儲的口令雜湊值時，發(fā)現(xiàn)以下情況：（1）A和B有相同的口令雜湊值；（2）口令雜湊值長度均為256比特。以下分析正確的是（）。(1分)A、可以確定使用了SM3對口令進(jìn)行雜湊保護(hù)B、可能采用了MD5對口令進(jìn)行雜湊計算C、計算口令雜湊值時可能未加入用戶唯一的鹽值D、A和B可能共享相同的口令答案：CD解析：

暫無解析5.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，下列關(guān)于密碼應(yīng)用方案密評報告和信息系統(tǒng)密評報告的說法中，錯誤的是（）。(1分)A、根據(jù)“三同步一評估”的要求，在規(guī)劃階段，評估對象是信息系統(tǒng)的密碼應(yīng)用方案，在建設(shè)和運(yùn)行階段，評估對象是實(shí)際的信息系統(tǒng)B、密碼應(yīng)用方案密評的評估結(jié)論中，可能存在“通過”和“不通過”判定，也可能存在“修改后通過”的判定C、在對密碼應(yīng)用方案進(jìn)行密評時，如初步量化評估分?jǐn)?shù)達(dá)到了閾值的要求，則方案評估結(jié)論即可為“通過”D、信息系統(tǒng)密評報告中的“檢測結(jié)果記錄”中，“安全管理”層面的測評單元得分僅可能為1分、0.5分和0分答案：BC解析：

暫無解析6.在對醫(yī)療機(jī)構(gòu)信息系統(tǒng)進(jìn)行測評時，涉及不可否認(rèn)性需求的可能有（）。(1分)A、病例完成時間的不可否認(rèn)性B、醫(yī)護(hù)人員開具處方的不可否人性C、患者知情同意文書簽署的不可否認(rèn)性D、電子病例書寫的不可否任性答案：ABCD解析：

暫無解析7.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，密碼應(yīng)用方案密評報告“密評活動證明”部分，一般作為活動證明的證明材料包括（）。(1分)A、電子郵件B、通話記錄C、會議記錄D、系統(tǒng)現(xiàn)場測評記錄答案：ABC解析：

暫無解析8.針對“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，以下登錄方式最高可以得1分的是（）。(1分)A、用戶名+短信驗(yàn)證碼B、用戶名+智能密碼鑰匙+PIN碼C、人臉+指紋D、用戶名+動態(tài)令牌答案：BD解析：

暫無解析9.如果設(shè)備登錄需要使用智能密碼鑰匙，那么開展密評時，以下測評實(shí)施合理的包括（）。(1分)A、在模擬的主機(jī)或抽選的主機(jī)上安裝監(jiān)控軟件（如BusHound），用于對智能密碼鑰匙的APDU指令進(jìn)行抓取和分析，確認(rèn)調(diào)用指令格式和內(nèi)容符合預(yù)期（如口令和密鑰是加密傳輸?shù)模〣、如果智能密碼鑰匙存儲有數(shù)字證書，測評人員可以將數(shù)字證書導(dǎo)出后，對數(shù)字證書合規(guī)性進(jìn)行檢測C、檢查智能密碼鑰匙是否具備商用密碼產(chǎn)品認(rèn)證證書D、對智能密碼鑰匙是否滿足GM/T0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測認(rèn)證答案：ABC解析：

暫無解析10.某信息系統(tǒng)采用專線來進(jìn)行網(wǎng)絡(luò)傳輸，但未采用密碼技術(shù)進(jìn)行保護(hù)。以該專線作為測評對象時，以下說法正確的是()。(1分)A、量化評估時，該測評對象的分值為0.5B、量化評估時，該測評對象的分值為0C、該測評對象的測評結(jié)果可能會導(dǎo)致信息系統(tǒng)整體測評結(jié)果為“不符合”D、該測評對象的測評結(jié)果將一定不會導(dǎo)致信息系統(tǒng)整體測評結(jié)果為“不符合”答案：BC解析：

暫無解析11.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，方案密評報告的評估結(jié)論包括（）。(1分)A、符合B、不符合C、通過D、不通過答案：CD解析：

暫無解析12.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在編寫密碼應(yīng)用方案時，應(yīng)該體現(xiàn)()。(1分)A、系統(tǒng)承載業(yè)務(wù)情況及網(wǎng)絡(luò)拓?fù)銪、系統(tǒng)密碼應(yīng)用需求分析C、各安全層面的技術(shù)實(shí)現(xiàn)方案D、安全與和合規(guī)性分析答案：ABCD解析：

暫無解析13.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護(hù)對象不包括（）。(1分)A、網(wǎng)絡(luò)和通信安全層面的通信信道B、不同應(yīng)用用戶C、重要數(shù)據(jù)D、通用交換機(jī)答案：BD解析：

暫無解析14.測評人員在核查“傳輸完整性”密碼功能時，可能需要關(guān)注以下內(nèi)容（）。(1分)A、數(shù)字簽名數(shù)據(jù)長度B、MAC值長度C、使用對應(yīng)公鑰能否對簽名值通過驗(yàn)簽操作D、相關(guān)密碼產(chǎn)品中加密算法類型答案：ABC解析：

暫無解析15.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，編制方案密評報告時，以下屬于風(fēng)險替代措施的是（）。(1分)A、機(jī)房采用人臉+指紋識別的方式對進(jìn)人人員進(jìn)行身份鑒別B、通用服務(wù)器采用指紋的方式對登錄設(shè)備用戶進(jìn)行身份鑒別C、業(yè)務(wù)應(yīng)用采用人臉識別+短信驗(yàn)證碼的方式對登錄人員進(jìn)行身份鑒別D、應(yīng)用層采用了合規(guī)的密碼技術(shù)對傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)答案：ABC解析：

暫無解析判斷題（總共35題）1.某三級信息系統(tǒng)使用服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證合格）對應(yīng)用的重要數(shù)據(jù)進(jìn)行存儲機(jī)密性保護(hù)，針對該服務(wù)器密碼機(jī)的“設(shè)備和計算安全”層面的“身份鑒別”指標(biāo)可以直接判定為符合。(1分)A、正確B、錯誤答案：B解析：

暫無解析2.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告中，僅在報告中體現(xiàn)密評機(jī)構(gòu)針對系統(tǒng)責(zé)任單位編寫的密碼應(yīng)用方案進(jìn)行密評的合規(guī)性判定情況即可，無需附上密碼應(yīng)用方案。(1分)A、正確B、錯誤答案：B解析：

暫無解析3.某三級信息系統(tǒng)的系統(tǒng)管理員通過堡壘機(jī)對通用服務(wù)器進(jìn)行遠(yuǎn)程管理，系統(tǒng)管理員登錄堡壘機(jī)時通過檢測認(rèn)證合格的安全瀏覽器和智能密碼鑰匙并基于數(shù)字證書的方式進(jìn)行身份鑒別，數(shù)字簽名算法為SM2，因此該信息系統(tǒng)在“設(shè)備和計算安全”層面的通用服務(wù)器測評對象的“身份鑒別”指標(biāo)可以判定為符合。(1分)A、正確B、錯誤答案：B解析：

暫無解析4.某三級信息系統(tǒng)所在機(jī)房部署符合GM/T0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用指南》的電子門禁系統(tǒng)，使用SM4算法進(jìn)行密鑰分散，實(shí)現(xiàn)門禁卡的“一卡一密”，并基于SM4算法對人員身份進(jìn)行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“電子門禁記錄數(shù)據(jù)存儲完整性”指標(biāo)可以判定為符合。(1分)A、正確B、錯誤答案：B解析：

暫無解析5.因通信鏈路上可能承載多個不同應(yīng)用，這些應(yīng)用可能需要對各自的用戶實(shí)施更細(xì)粒度的身份標(biāo)記和鑒別，因此，網(wǎng)絡(luò)和通信安全層面的鑒別一般情況下不能替代其他層面的鑒別。(1分)A、正確B、錯誤答案：A解析：

暫無解析6.對各個層面的“身份鑒別”指標(biāo)測試時，主要檢查所使用的密碼算法是否合規(guī)和相應(yīng)的密鑰管理是否安全，抗重放攻擊不是該指標(biāo)的考察范圍。(1分)A、正確B、錯誤答案：B解析：

暫無解析7.測評人員在對某四級信息系統(tǒng)進(jìn)行測評時，核實(shí)該信息系統(tǒng)所屬機(jī)構(gòu)建立了密碼應(yīng)用崗位責(zé)任制度，設(shè)置了密鑰管理員、密碼安全審計員、密碼操作員，其中密鑰管理員和密碼安全審計員均由被測系統(tǒng)所屬機(jī)構(gòu)內(nèi)部人員擔(dān)任，密碼操作員由被測系統(tǒng)承包商擔(dān)任，且密碼安全審計員與密鑰管理員、密碼操作員為不同人員，因此針對“人員管理”層面的“建立密碼應(yīng)用崗位責(zé)任制度”指標(biāo)可以判定為符合。(1分)A、正確B、錯誤答案：B解析：

暫無解析8.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，應(yīng)用和數(shù)據(jù)安全層面需要進(jìn)一步梳理各個應(yīng)用的保護(hù)對象（如應(yīng)用用戶、重要數(shù)據(jù)）及保護(hù)對象的相應(yīng)安全需求。(1分)A、正確B、錯誤答案：A解析：

暫無解析9.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，只需要在報告中闡述每個安全層面中各個保護(hù)對象的密碼應(yīng)用措施，其他非密碼技術(shù)的安全控制措施無需描述。(1分)A、正確B、錯誤答案：B解析：

暫無解析10.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，方案評估報告可適用于實(shí)際建設(shè)的系統(tǒng)評估結(jié)論。(1分)A、正確B、錯誤答案：B解析：

暫無解析11.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，對于密碼應(yīng)用方案已通過評估的系統(tǒng)，密評時應(yīng)把方案作為測評的重要依據(jù)。(1分)A、正確B、錯誤答案：A解析：

暫無解析12.判斷以下做法是否正確：CA簽發(fā)證書后，用戶將私鑰和數(shù)字證書存放在用戶的U盤內(nèi)保存。(1分)A、正確B、錯誤答案：B解析：

暫無解析13.測評人員發(fā)現(xiàn)，某二級信息系統(tǒng)系統(tǒng)未使用任何密碼技術(shù)和密碼產(chǎn)品對系統(tǒng)相關(guān)的物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)安全層面進(jìn)行防護(hù)。鑒于系統(tǒng)不涉及任何密碼技術(shù)和密碼產(chǎn)品，因此將“管理制度”層面的測評指標(biāo)列為不適用。(1分)A、正確B、錯誤答案：B解析：

暫無解析14.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，針對應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸完整性”指標(biāo)，如果未采用密碼應(yīng)用措施，那么針對該指標(biāo)的安全控制措施評估結(jié)果一定是“未通過”。(1分)A、正確B、錯誤答案：B解析：

暫無解析15.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果信息系統(tǒng)密碼應(yīng)用方案中針對各個層面的保護(hù)對象的安全控制措施評估結(jié)果為“通過”,那么該系統(tǒng)的密評結(jié)果一定是“符合”。(1分)A、正確B、錯誤答案：B解析：

暫無解析16.如果將密鑰以密文形式存放在數(shù)據(jù)庫中，對其采用SM4-GCM保護(hù)機(jī)密性和完整性即可，無需對密鑰密文和用戶的關(guān)聯(lián)關(guān)系進(jìn)行完整性保護(hù)。(1分)A、正確B、錯誤答案：B解析：

暫無解析17.判斷以下做法是否正確：用戶身份鑒別完成后，用戶利用簽名私鑰與信息系統(tǒng)進(jìn)行SM2密鑰協(xié)商，協(xié)商出會話密鑰，利用SM4算法和基于SM3的HMAC算法進(jìn)行通信數(shù)據(jù)的機(jī)密性和完整性保護(hù)。(1分)A、正確B、錯誤答案：B解析：

暫無解析18.在應(yīng)用和數(shù)據(jù)安全層面，某信息系統(tǒng)開發(fā)人員對重要數(shù)據(jù)的傳輸機(jī)密性保護(hù)采用AES-CBC實(shí)現(xiàn)，對重要數(shù)據(jù)的傳輸完整性保護(hù)采用基于AES的CBC-MAC實(shí)現(xiàn)，由于這兩項指標(biāo)對應(yīng)保護(hù)的數(shù)據(jù)不同，因此開發(fā)人員使用了同一個密鑰執(zhí)行上述密碼算法計算。這種做法是合理的。(1分)A、正確B、錯誤答案：B解析：

暫無解析19.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果指標(biāo)所涉及的某一保護(hù)對象的相應(yīng)安全控制措施有效（不存在高風(fēng)險），則該指標(biāo)的安全控制措施評估結(jié)果為“通過”。(1分)A、正確B、錯誤答案：B解析：

暫無解析20.測評人員在對某三級信息系統(tǒng)的人員管理中的“建立密碼應(yīng)用崗位責(zé)任制度”測評時發(fā)現(xiàn)，該信息系統(tǒng)根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置甲、乙、丙三人分別擔(dān)任密鑰管理員、密碼安全審計員、密碼操作員，并建立了崗位責(zé)任制度、確定了各自的崗位職責(zé)，設(shè)備與系統(tǒng)的管理和使用人員都有各自單獨(dú)的賬號。因此，該測評項可以給1分。(1分)A、正確B、錯誤答案：B解析：

暫無解析21.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告和信息系統(tǒng)密評報告中，均需體現(xiàn)被測系統(tǒng)的網(wǎng)絡(luò)安全等級保護(hù)定級備案名稱、備案時間及等保定級備案證明。(1分)A、正確B、錯誤答案：A解析：

暫無解析22.“密碼算法和密碼技術(shù)合規(guī)性”測評單元在測評時，需要匯集信息系統(tǒng)所有密碼算法和密碼技術(shù)，逐個分析其合規(guī)性，給出相應(yīng)量化評估分?jǐn)?shù)。(1分)A、正確B、錯誤答案：B解析：

暫無解析23.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，針對選定的密評指標(biāo)，方案密評報告評估結(jié)果為“通過/未通過”，系統(tǒng)密評報告的評估結(jié)果為“符合/部分符合/不符合/不適用”。(1分)A、正確B、錯誤答案：