商用密碼應用安全性練習卷含答案

第頁商用密碼應用安全性練習卷含答案1.密評過程中對網(wǎng)絡信道中的IPSec協(xié)議數(shù)據(jù)進行分析時，IKEAttribute顯示雜湊算法ID為20，那么該協(xié)議所使用的雜湊算法是（）。A、SM3B、SHA1C、MD5D、SHA-256【正確答案】：A2.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某三級網(wǎng)銀系統(tǒng)用戶通過智能密碼鑰匙（經(jīng)檢測認證的二級密碼模塊）使用美國GlobalSign頒發(fā)的SHA-256WtihRSA-2048算法數(shù)字證書登錄網(wǎng)銀系統(tǒng)，則該測評對象分值最合理的是為（）。A、0B、0.25C、0.5D、1【正確答案】：B3.在第四級信息系統(tǒng)的安全管理測評中，需要對密鑰管理員、密碼產(chǎn)品操作人員實施必要的審查，具體是指（）。A、在人員錄用時對錄用人員執(zhí)業(yè)資質(zhì)、社會關(guān)系等進行審查B、在人員錄用時對錄用人員家庭背景、犯罪記錄和親屬等進行審查C、在人員錄用時對錄用人員政治面貌、親屬關(guān)系等進行審查D、在人員錄用時對錄用人員身份、背景、專業(yè)資格和資質(zhì)等進行審查【正確答案】：D4.SSL協(xié)議密鑰協(xié)商過程中，如果密鑰交換算法為ECDHE，則Client

KeyExchange消息包含計算（）的客戶端密鑰交換參數(shù)。A、工作密鑰B、根密鑰C、主密鑰D、預主密鑰【正確答案】：D5.下列關(guān)于應用和數(shù)據(jù)安全層面“訪問控制信息完整性”指標測評的說法中不正確的是（）。A、被測應用系統(tǒng)無身份鑒別模塊，則該項測評指標不適用B、保護對象可能包括用戶角色配置信息、角色權(quán)限配置信息C、如使用數(shù)字簽名技術(shù)進行完整性保護，則可使用公鑰對存儲的簽名結(jié)果進行驗證D、如果以外接服務器密碼機等密碼產(chǎn)品的形式實現(xiàn)，還需要核實密碼產(chǎn)品是否真正被調(diào)用【正確答案】：A6.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在測評網(wǎng)絡和通信安全層面時，如果通信過程采用SSL協(xié)議提供保護，經(jīng)實際抓包后，通常查看握手協(xié)議的（）消息，來獲取密碼套件屬性值，進而判定具體使用的密碼算法。A、ClientHelloB、ServerHelloC、ServerHelloDoneD、ServerKeyExchange【正確答案】：B7.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對通用要求中“密碼產(chǎn)品”描述不正確的是（）。A、使用了具有電子認證服務密碼使用許可證的CA機構(gòu)簽發(fā)是數(shù)字證書，一定不會導致高風險B、使用自實現(xiàn)且未提供安全性證明的密碼產(chǎn)品，可能會導致高風險C、使用存在高危安全漏洞的公開算法庫，可能會導致高風險D、三級信息系統(tǒng)中，使用了安全等級二級的密碼產(chǎn)品，也可能會導致高風險【正確答案】：A8.在某個政務三級信息系統(tǒng)的設備和計算層面測評過程中，發(fā)現(xiàn)采用了具有商用密碼產(chǎn)品認證證書的SSLVPN設備，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該測評對象“日志記錄完整性”的的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：C9.密評過程中對網(wǎng)絡信道中的IPSec協(xié)議數(shù)據(jù)包進行分析時，發(fā)現(xiàn)IKE

Attribute顯示加密算法ID為129，那么該協(xié)議使用的加密算法是（）。A、SM1B、SM4C、SM7D、AES【正確答案】：B10.應用和數(shù)據(jù)安全層面測評時，發(fā)現(xiàn)被測應用系統(tǒng)采用SM3算法對口令計算雜湊值后傳輸和存儲，且客戶端調(diào)用了經(jīng)商用密碼認證機構(gòu)認證合格的智能密碼鑰匙生成MAC，則“身份鑒別”指標判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C11.關(guān)于云平臺“被部分評估的支撐能力”描述錯誤的是（

）。A、“被部分評估的支撐能力表”只在云平臺測評時填寫B(tài)、“被部分評估的支撐能力表”包含有適用條件的量化評估和風險分析C、被部分評估的支撐能力只需在云平臺測評D、被部分評估的支撐能力主要指的是對云上應用提供的密碼支撐服務【正確答案】：C12.某第三級信息系統(tǒng)包括兩個重要應用，其中A應用中包括兩類不同角色的用戶，B應用包括三類不同角色管理員用戶，且這些用戶之間的的身份鑒別方式均不相同，那么“應用和數(shù)據(jù)安全”的“身份鑒別”測評時，分為幾個測評對象最為合理（）。A、2B、3C、4D、5【正確答案】：D13.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，對于以下哪類條款，在排除掉“不適用”的前提下，允許由信息系統(tǒng)責任方自行決定是否按照相應測評指標要求進行測評和結(jié)果判定（）。A、對于“可”的條款B、對于“宜”的條款C、對于“應”的條款D、以上均正確【正確答案】：A14.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，測評準備活動中與項目相關(guān)的主要文檔是（）。A、項目管理計劃B、項目計劃書C、測評指導書D、任務書【正確答案】：B15.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某二級信息系統(tǒng)對應用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)，系統(tǒng)通過調(diào)用服務器密碼機（經(jīng)檢測認證的一級密碼模塊）使用AES-256算法實現(xiàn)個人敏感信息存儲的機密性保護，則該測評對象的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C16.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為5時表示口令采用（）密碼算法進行雜湊后存儲。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：C17.按照《商用密碼應用安全性評估報告模板（2023版）》，如果信息系統(tǒng)密碼應用方案的評估結(jié)果為通過，由此可得到該信息系統(tǒng)的密評結(jié)果為（）。A、無法確定B、符合C、基本符合D、通過【正確答案】：A18.某信息系統(tǒng)有兩個業(yè)務應用，其中應用A有管理員用戶和操作員用戶兩類用戶，分別采用用戶名+口令和基于動態(tài)口令（經(jīng)過檢測認證的密碼產(chǎn)品）的身份鑒別方式；應用B有管理員用戶和業(yè)務員用戶兩類用戶，均基于經(jīng)過檢測認證的智能密碼鑰匙進行身份鑒別。針對“應用和數(shù)據(jù)安全”層面的“身份鑒別”指標，最多可以給（）分。A、0.5B、1C、3D、0.75【正確答案】：D19.按照《商用密碼應用安全性評估報告模板（2023版）》，以下屬于信息系統(tǒng)密評報告“密評活動有效性證明記錄”中“密評委托證明”中需要體現(xiàn)的內(nèi)容的是（）A、現(xiàn)場測評授權(quán)書B、風險告知書C、與密評機構(gòu)簽訂的合同掃描件D、差旅票證【正確答案】：C20.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，以下哪項不屬于方案密評報告所包含的內(nèi)容（）。A、報告分發(fā)范圍B、密碼應用方案C、密評委托證明D、測評人員進入系統(tǒng)所在機房的證明記錄【正確答案】：D21.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，現(xiàn)場測評活動不包含下列哪一項（）。A、確認整體密碼部署是否合規(guī)B、實地檢查密碼配置是否正確C、測評檢查點的確定D、授權(quán)接入系統(tǒng)后確認密碼使用是否有效【正確答案】：C22.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，在量化評估框架中，字母A表示（）。A、AdherencetocryptographicalgorithmstandardsB、CryptographicalgorithmvalidationC、CryptographyAlgorithmcomplianceD、Algorithmicreviewandapproval【正確答案】：C23.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，風險等級不包括（）。A、高B、中C、低D、一般【正確答案】：D24.某云平臺和云上應用系統(tǒng)的業(yè)務數(shù)據(jù)存儲機密性保護，由同一臺云服務器密碼機（經(jīng)檢測認證）提供，且均采用SM4-CBC算法計算數(shù)據(jù)密文。若云平臺率先通過密評，且“重要數(shù)據(jù)存儲機密性”測評單元得到“符合”結(jié)論，那么依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，云上應用系統(tǒng)的該測評指標應選擇以下哪種判定結(jié)果更合適（）。A、符合B、部分符合C、不符合D、不確定，需重新測評【正確答案】：D25.在對某信息系統(tǒng)進行設備和計算層面測評過程中，某個測評單元具有3個測評對象，量化得分分別為1、1、0.5，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該測評單元的量化結(jié)果為（）。A、0B、0.5C、0.8333D、1【正確答案】：C26.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，三級信息系統(tǒng)的密評報告總體評價中，設備和計算安全層面測評結(jié)果可能存在（）。A、符合2項，部分符合3項，不符合1項，不適用1項的情況B、符合3項，部分符合2項，不符合2項，無不適用項的情況C、符合2項，部分符合1項，不符合2項，不適用1項的情況D、符合4項，部分符合2項，不符合1項，不適用1項【正確答案】：C27.對通過工具測試抓取的數(shù)據(jù)進行分析，下列哪些說法是不正確的（）。A、對密文應進行隨機性檢測B、查看關(guān)鍵字段是否以明文出現(xiàn)C、驗證雜湊值和簽名值是否正確D、對密文進行解密，驗證加密算法的合規(guī)性、正確性【正確答案】：D28.按照GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下（）不屬于應用和數(shù)據(jù)安全層面的測評內(nèi)容。A、重要信息資源安全標記完整性B、訪問控制信息完整性C、日志記錄存儲完整性D、重要可執(zhí)行程序完整性和來源真實性【正確答案】：D29.按照《商用密碼應用安全性評估報告模板（2023版）》，被測系統(tǒng)密評報告封面的報告編號應（）。A、根據(jù)國家密碼管理部門的編號要求進行編號B、根據(jù)系統(tǒng)責任單位的文件歸檔要求進行編號C、根據(jù)密評機構(gòu)質(zhì)量管理體系文件要求進行編號D、根據(jù)信息系統(tǒng)網(wǎng)絡安全等級保護備案編號進行編號【正確答案】：C30.針對整機類密碼產(chǎn)品（如IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認證網(wǎng)關(guān)、金融數(shù)據(jù)密碼機、服務器密碼機、簽名驗簽服務器、時間戳服務器、云服務器密碼機等），以()為粒度確定設備和計算安全層面的測評對象。A、具有相同硬件、軟件配置的設備B、具有相同商用密碼產(chǎn)品認證證書編號的密碼產(chǎn)品C、具有相同功能的密碼產(chǎn)品D、相同類型的密碼產(chǎn)品【正確答案】：B31.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，對于訪問控制信息完整性，以下屬于設備和計算安全層面測評內(nèi)容的是（）。A、部署在網(wǎng)絡邊界的VPN中的訪問控制列表B、通用服務器操作系統(tǒng)的系統(tǒng)權(quán)限訪問控制信息C、邊界防火墻的ACL列表D、應用系統(tǒng)的用戶權(quán)限列表【正確答案】：B32.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下哪項不屬于測評準備活動的輸出文檔（）。A、系統(tǒng)情況調(diào)研表B、簽署過的測評授權(quán)書C、選用的測評工具清單D、會議簽到表【正確答案】：B33.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，在沒有采用密碼技術(shù)保證進入機房人員身份鑒別安全的情況下，以下能夠降低安全風險的措施是（）。A、采用用戶名+口令+ID卡方式鑒別進入人員身份B、人員信息自行登記后進入C、機房出入口配備專人值守并進行登記，且采用視頻監(jiān)控系統(tǒng)進行實時監(jiān)控D、機房禁止外部人員進入【正確答案】：C34.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)密評時所有安全層面均適用，建設運行層面五個測評單元得分分別為1分、0.5分、0.5分、1分、0分，則該層面量化評估的得分為（）。A、0.3064B、0.6477C、0.8001D、0.9112【正確答案】：B35.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，密碼應用安全性評估活動中，確定測評對象和測評指標是在（）階段。A、測評準備活動B、方案編制活動C、現(xiàn)場測評活動D、分析與報告編制活動【正確答案】：B36.密評過程中對網(wǎng)絡信道中的IPSec協(xié)議數(shù)據(jù)進行分析時，IKEAttribute顯示算法ID為2，那么該協(xié)議所使用的公鑰算法算法是（）。A、RSA-1024B、SM2C、SM9D、RSA-2048【正確答案】：B37.對于數(shù)據(jù)庫中的重要業(yè)務數(shù)據(jù)存儲完整性保護，使用SM3算法進行保護，判定為（）。A、符合B、部分符合C、不符合D、采取了風險緩解措施【正確答案】：C38.應用和數(shù)據(jù)安全要求中“采用密碼技術(shù)對登錄用戶進行身份鑒別，保證應用系統(tǒng)用戶身份的真實性”的用戶指的是（）。A、所有登錄設備的實體B、所有登錄應用進行操作的實體C、設備管理員D、應用管理員【正確答案】：B39.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，密碼應用管理要求各安全層面的量化評估取值可能是（）。A、{0,0.25,0.5,1}B、{0,0.5,1}C、{0,1}D、[0,1]【正確答案】：B40.某信息系統(tǒng)管理員使用合規(guī)的智能密碼鑰匙登錄服務器密碼機時，若服務器密碼機僅通過比對智能密碼鑰匙發(fā)送的唯一標識符進行鑒別，則身份鑒別測評項的判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C41.在對應用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)存儲機密性”指標測評時，采用以下（）密碼技術(shù)可能被判定為“部分符合”。A、采用SM3算法對業(yè)務數(shù)據(jù)計算雜湊值后存儲B、采用DES算法對重要業(yè)務數(shù)據(jù)加密后存儲C、采用SM4-ECB模式對所有用戶性別信息項進行加密后存儲D、使用RSA算法對個人敏感信息加密后存儲【正確答案】：D42.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下哪項不屬于分析與報告編制活動（）。A、威脅分析B、量化評估C、整體測評D、風險分析【正確答案】：A43.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在方案密評報告的“商用密碼應用安全性評估結(jié)論”部分不包括以下哪項（）。A、方案名稱B、評估結(jié)論C、不適用指標數(shù)目D、密碼應用需求【正確答案】：D44.按照《商用密碼應用安全性評估報告模板（2023版）》，密評報告模板中報告聲明頁需（）。A、加蓋機構(gòu)用章B、加蓋密評人員電子簽章C、機構(gòu)法人簽字D、批準人簽字【正確答案】：A45.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，針對“安全控制措施評估結(jié)果”環(huán)節(jié)的工作，以下描述較為合理的是（）。A、某三級信息系統(tǒng)密碼應用方案中，針對應用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護均使用國外密碼算法，因此“重要數(shù)據(jù)傳輸機密性和完整性”指標的安全控制措施評估結(jié)果為“未通過”B、某三級信息系統(tǒng)41個基本指標中，其中一個指標的安全控制措施評估結(jié)果為“未通過”，因此該信息系統(tǒng)的密碼應用方案評估結(jié)果為“不通過”C、某三級信息系統(tǒng)密碼應用方案的安全控制措施評估結(jié)果均為“通過”，初步量化評估分值為50分，那么該密碼應用方案的整體評估結(jié)果仍可為“通過”D、某三級信息系統(tǒng)密碼應用方案中，針對物理和環(huán)境安全層面的“身份鑒別”指標未采用密碼技術(shù)方案，而是通過其他的安全管理措施降低風險，因此該指標的安全控制措施評估結(jié)果一定為“未通過”【正確答案】：B46.某三級信息系統(tǒng)客戶端與服務端之間的網(wǎng)絡通信信道使用TLSv1.2協(xié)議進行傳輸保護，使用的密碼套件為TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進行通信數(shù)據(jù)機密性和完整性保護。A、ECDHE，RSAB、AES_256_GCM,AES_256_GCMC、AES-GCM，HMAC-SHA384D、AES-GCM，SHA384【正確答案】：B47.在密評時，以下密碼算法/技術(shù)的組合（）認為存在高危風險。A、對數(shù)據(jù)進行RSA-3072和SHA-1簽名B、對數(shù)據(jù)進行DES加密后，再進行SM4加密C、對數(shù)據(jù)進行HMAC-SHA256保護D、對數(shù)據(jù)進行SM2和SM3簽名【正確答案】：A48.某面向公眾的三級信息系統(tǒng)部署在政務云平臺上，在對其開展密評工作時，由于外單位人員進入機房進行核查的審批流程繁瑣，故密評機構(gòu)與系統(tǒng)責任單位約定由系統(tǒng)責任單位運維人員代為前往機房進行設備核查，根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，這種方式是否符合密評要求（）。A、符合B、不符合C、只要能夠完成資產(chǎn)核查即可，進行核查的不一定為密評機構(gòu)實施密評活動人員D、目前沒有相關(guān)要求【正確答案】：B49.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，密評人員在對SSLVPN通信信道進行測評時

，

發(fā)

現(xiàn)

協(xié)

議

算

法

套

件

為TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)，以下判斷合理的是（）。A、采用ECDHE算法進行密鑰協(xié)商B、采用RSA算法來保證通信過程中數(shù)據(jù)的機密性C、采用AES算法來保證通信過程中數(shù)據(jù)的完整性D、采用SHA算法來保證通信過程中數(shù)據(jù)的完整性【正確答案】：A50.在三級系統(tǒng)測評中，某系被測信息系統(tǒng)為已在建運行系統(tǒng)，投入運行時間為2019年1月，該次測評為首次密評，則根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，建設運行層面“投入運行前進行密碼應用安全性評估”測評項的量化得分為（）。A、0B、0.5C、1D、不適用【正確答案】：D51.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，測評檢查點確定時，應充分考慮到（）。A、密碼產(chǎn)品是否正確配置B、檢查的可行性和風險，對被測信息系統(tǒng)的影響C、承載核心資產(chǎn)流轉(zhuǎn)的設備D、系統(tǒng)采用的密碼服務情況【正確答案】：B52.某網(wǎng)上銀行信息系統(tǒng)，網(wǎng)銀用戶持有銀行配發(fā)的智能密碼鑰匙，在交易時，用戶使用智能密碼鑰匙對交易信息進行SM9數(shù)字簽名，網(wǎng)銀服務端收到后調(diào)用簽名驗簽服務器完成驗簽。上述密碼運算均在密碼產(chǎn)品中完成，密碼產(chǎn)品均經(jīng)過檢測認證。依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，則“不可否認性”最合適的判定結(jié)果是（）。A、符合B、部分符合C、不符合D、不確定【正確答案】：C53.信息系統(tǒng)使用的密碼算法如果不是以國家標準或行業(yè)標準發(fā)布的，在測評時首先應核驗（）。A、是否取得國家密碼管理部門同意其使用的證明文件B、密碼算法安全性審查文件C、密碼算法正確性驗證報告D、密碼算法性能測試報告【正確答案】：A54.某信息系統(tǒng)設備管理員在互聯(lián)網(wǎng)通過SSLVPN訪問內(nèi)網(wǎng)后，再登錄堡壘機對設備進行運維管理，運維人員在互聯(lián)網(wǎng)通過智能密碼鑰匙登錄SSLVPN；則在網(wǎng)絡和通信安全層面，對該遠程管理通道的主要測評的內(nèi)容包括（）。A、運維客戶端和SSLVPN之間的身份鑒別、通信機密性和完整性B、運維客戶端和堡壘機之間的身份鑒別、通信機密性和完整性C、SSLVPN和堡壘機之間的身份鑒別、通信機密性和完整性D、堡壘機和服務器之間的身份鑒別、通信機密性和完整性【正確答案】：A55.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，在密碼應用技術(shù)各層面的測評對象的量化評估結(jié)果可能是（）。A、{0,0.5,1}B、{0,0.25,0.5,1}C、{0,1}D、{0,0.5,0.75,1}【正確答案】：B56.某二級信息系統(tǒng)責任單位不計劃把電子門禁記錄數(shù)據(jù)存儲完整性指標納入測評范圍，則應在設計密碼應用方案時（）。A、不需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標的不適用性B、需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標的不適用性，但不需要采取風險控制措施C、需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標的不適用性，并且需要采取風險控制措施D、無法作為不適用項【正確答案】：B57.某信息系統(tǒng)的安全等級為第三級，被測單位認為網(wǎng)絡與通信安全層面的安全接入認證不適用，則應在設計密碼應用方案時（）。A、不需要明確說明安全接入認證指標的不適用性B、需要明確說明安全接入認證指標的不適用性，并且需要采取風險控制措施C、需要明確說明安全接入認證指標的不適用性，但不需要采取風險控制措施D、無法作為不適用項【正確答案】：C58.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)的網(wǎng)絡和通信安全層面測評對象包括IPSecVPN通信信道和SSLVPN通信信道，密評人員經(jīng)測評后發(fā)現(xiàn)，針對“通信數(shù)據(jù)完整性”測評單元，IPSecVPN通信信道符合要求，SSLVPN通信信道不符合要求。那么該信息系統(tǒng)在網(wǎng)絡和通信安全層面“通信數(shù)據(jù)完整性”測評單元的最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：B59.某三級信息系統(tǒng)的系統(tǒng)管理員通過堡壘機登錄通用服務器并對其進行遠程管理，進入堡壘機后，系統(tǒng)管理員通過用戶名+口令的方式訪問通用服務器。系統(tǒng)管理員登錄堡壘機時通過部署具有商用密碼產(chǎn)品認證證書的安全瀏覽器（安全等級二級）和智能密碼鑰匙（安全等級二級）并基于數(shù)字證書（在有效期內(nèi)）的方式進行身份鑒別，算法為SM2。因此該系統(tǒng)在“設備和計算安全”層面的通用服務器測評對象的“身份鑒別”指標D、K的判定結(jié)果為（）。A、√，√，√B、×，/，/C、√，×，×D、√，√，×【正確答案】：B60.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)使用了服務器密碼機、簽名驗簽服務器等密碼產(chǎn)品，密碼產(chǎn)品合規(guī)性核查要點不包含以下哪項內(nèi)容（）。A、核查密碼產(chǎn)品是否具備商用密碼產(chǎn)品認證證書B、核查服務器密碼機的隨機數(shù)發(fā)生器是否采用國家密碼管理主管部門批準的物理噪聲源芯片C、若密碼產(chǎn)品符合密碼模塊相關(guān)標準，則核查其密碼模塊是否達到相應安全等級要求D、核查商用密碼產(chǎn)品認證證書是否在有效期內(nèi)【正確答案】：B61.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下不屬于建設運行層面第三級信息系統(tǒng)測評指標的是（）。A、制定密碼應用方案B、制定密鑰安全管理策略C、投入運行前進行商用密碼應用安全性評估D、密鑰管理規(guī)則【正確答案】：D62.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在測評“網(wǎng)絡和通信安全層面”時，如果通信過程采用IPSec協(xié)議提供保護，經(jīng)實際抓包后，測評人員通常查看IPSec協(xié)議中（

）階段的報文數(shù)據(jù)，來獲取密碼算法屬性值，進而確定具體使用的密碼算法并進行結(jié)果判定。A、IKEB、AHC、ESPD、以上均可【正確答案】：A63.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評過程中被測系統(tǒng)數(shù)據(jù)安全保護措施驗證、數(shù)據(jù)采集方法說明，說法錯誤的是（）。A、在條件允許的情況下，可以重放采集的關(guān)鍵數(shù)據(jù)（如身份鑒別數(shù)據(jù)）驗證被測信息系統(tǒng)是否具備防重放攻擊的能力B、在條件允許的情況下，可以嘗試修改傳輸?shù)臄?shù)據(jù)驗證被測信息系統(tǒng)是否對傳輸數(shù)據(jù)進行了完整性保護C、如果被測系統(tǒng)無法提供數(shù)據(jù)接入條件，可以不進行數(shù)據(jù)采集。D、在條件允許的情況下，可以搭建與被測信息系統(tǒng)一致的模擬／仿真環(huán)境開展測評工作【正確答案】：C64.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，（）是建立評估對象所需密鑰管理策略和密鑰管理規(guī)則的主要依據(jù)。A、評審通過的密碼應用方案B、系統(tǒng)安全性設計方案C、系統(tǒng)建設實施方案D、項目立項報告【正確答案】：A65.某一信息系統(tǒng)部署了5臺IPSecVPN，均具有商用密碼產(chǎn)品認證證書，其中3臺編號均為GM001110620202027

，

2

臺

編

號

為GM001110620202036，設備和計算安全層面有（）個IPSECVPN測評對象。A、2B、3C、5D、8【正確答案】：A66.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下不是被測信息系統(tǒng)密評工作中對硬件設備進行描述的內(nèi)容的是（）。A、測評對象所屬區(qū)域B、測評對象設備名稱C、測評對象設備信息D、測評對象數(shù)據(jù)加密情況【正確答案】：D67.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對于通用要求中“密碼技術(shù)”描述正確的是（）。A、該要求適用級別為一級到四級信息系統(tǒng)B、若采用OpenSSL協(xié)議庫實現(xiàn)TLS，則一定不會導致高風險C、指標要求為“信息系統(tǒng)中使用的密碼技術(shù)應遵循密碼相關(guān)國家標準和行業(yè)標準”D、若使用TLS1.1,則一定會導致高風險【正確答案】：C68.在密評時，可以根據(jù)GM/T0005針對（）檢測其隨機數(shù)統(tǒng)計特性，判斷其是否符合要求。A、隨機數(shù)熵源B、應用中采集的大量CBC模式下的IV值構(gòu)成的數(shù)據(jù)樣本C、應用中采集的大量CTR模式下的計數(shù)器構(gòu)成的數(shù)據(jù)樣本D、數(shù)字證書【正確答案】：A69.以下哪些密碼產(chǎn)品適用于GM/T0028《密碼模塊安全技術(shù)要求》（）。A、服務器密碼機B、安全芯片CA/KM系統(tǒng)D、電子簽章系統(tǒng)【正確答案】：A70.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下關(guān)于網(wǎng)絡和通信安全層面“通信過程中重要數(shù)據(jù)機密性”風險緩解措施有效的是（）。A、在“應用和數(shù)據(jù)安全”層面僅針對信息系統(tǒng)部分重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進行機密性保護，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡通信信道B、在“應用和數(shù)據(jù)安全”層面對信息系統(tǒng)所有需要保護的重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進行機密性保護，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡通信信道C、針對內(nèi)網(wǎng)訪問的信息系統(tǒng)，因不涉及互聯(lián)網(wǎng)數(shù)據(jù)傳輸，所以可以降低網(wǎng)絡和通信安全層面“通信過程中重要數(shù)據(jù)的機密性”面臨的安全風險D、通過專線進行數(shù)據(jù)傳輸?shù)耐ǖ溃梢哉J為專線面臨的安全風險可控，能夠降低其面臨的安全風險【正確答案】：B71.在設備和計算安全層中，依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，能夠降低服務器身份鑒別安全風險的措施是（）。A、采用設備指紋方式登錄服務器B、采用手機短信驗證碼方式登錄服務器C、登錄堡壘機后，再輸入用戶名+口令的方式，登錄服務器D、采用進入機房，本地運維的方式進行服務器管理【正確答案】：A72.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某OA辦公系統(tǒng)面向被測單位辦公人員提供在線辦公、公文意見簽批等服務，管理員登錄后臺進行系統(tǒng)管理操作。經(jīng)測評，辦公人員身份鑒別判定為“不符合”，管理員身份鑒別判定為“符合”，則針對應用和數(shù)據(jù)安全層面的“身份鑒別”測評單元，最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：B73.經(jīng)核查，某信息系統(tǒng)通過調(diào)用服務器密碼機，對系統(tǒng)日志記錄進行完整性保護，防止日志記錄被非法篡改，則建議配置的密碼算法為（）。A、HMAC-MD5B、HMAC-SM3C、HMAC-SHA1D、SM4【正確答案】：B74.如果被測信息系統(tǒng)所在的物理機房采用多區(qū)域部署或被測信息系統(tǒng)重要資產(chǎn)分布在不同的物理機房中，物理和環(huán)境測評對象包括（）。A、僅密碼設備所在機房B、所有該信息系統(tǒng)涉及的機房C、主機房D、具有門禁和視頻監(jiān)控系統(tǒng)的機房【正確答案】：B75.某三級信息系統(tǒng)通過堡壘機對通用服務器進行集中管理，其中管理員與堡壘機之間使用HTTP協(xié)議建立傳輸通道，堡壘機與通用服務器之間使用SSH2.0建立傳輸通道，因此針對“設備和計算安全”層面的“遠程管理通道安全”指標的判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判斷【正確答案】：B76.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護對象不包括（）。A、網(wǎng)絡和通信安全層面的通信信道B、不同應用用戶C、重要數(shù)據(jù)D、通用交換機【正確答案】：D77.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面如果未采用基于（）的數(shù)字簽名機制等密碼技術(shù)對通信實體進行身份鑒別，可能會導致信息系統(tǒng)面臨高風險。A、公鑰密碼算法B、對稱密碼算法C、密碼雜湊算法D、標識算法【正確答案】：A78.密評過程中，如果遇到《信息系統(tǒng)密碼應用高風險判定指引》沒有描述的風險判定情況，那么測評人員應（）。A、結(jié)合實際情況進行綜合判定風險B、判定為高風險C、判定為中風險D、判定為低風險【正確答案】：A79.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下不存在缺陷或沒有安全問題警示的密碼技術(shù)是（）。A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0【正確答案】：B80.某三級信息系統(tǒng)有兩個機房A和B。其中，A機房的訪問方式為“人工值守+視頻監(jiān)控”，訪問人員經(jīng)過審批后才可登記進入，該風險控制措施寫入了該系統(tǒng)的密碼應用方案中且方案通過了評估，密評人員到系統(tǒng)現(xiàn)場進一步核實了風險控制措施的使用條件和落實情況與方案描述相符。B機房有C和D兩個門，無論從C門還是D門進入，都可以訪問整個機房。C門的訪問方式為（經(jīng)檢測認證合格的）電子門禁系統(tǒng)刷卡，D門的訪問方式為ID卡。那么按照《商用密碼應用安全性評估報告模板（2023版）》，該系統(tǒng)密評報告中，在物理和環(huán)境安全層面“身份鑒別”測評單元的判定結(jié)果為（）。A、符合，1分B、部分符合，0.5分C、部分符合，0.75分D、不符合，0分【正確答案】：D81.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，應用和數(shù)據(jù)安全層面“身份鑒別”指標主要核查（）用戶登錄的身份鑒別機制。A、數(shù)據(jù)庫管理員B、服務器管理員C、應用管理員D、所有登錄應用進行操作的實體【正確答案】：D82.根據(jù)（）測評指標的要求，測評實施時，需要查看信息系統(tǒng)責任單位是否制定了管理制度發(fā)布的相關(guān)要求。A、應明確相關(guān)管理制度的發(fā)布流程B、制度執(zhí)行過程應留存相關(guān)執(zhí)行記錄C、定期對存在不足或需要改進的安全管理制度進行修訂D、應制定密碼安全管理制度及操作規(guī)范【正確答案】：A83.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，若信息系統(tǒng)使用認證合格的密碼產(chǎn)品基于SM4-CBC算法實現(xiàn)了重要數(shù)據(jù)存儲機密性保護，但該密碼產(chǎn)品的密碼模塊安全等級低于應達到的安全等級要求，則其“重要數(shù)據(jù)存儲機密性”測評單元的量化評估結(jié)果為（）。A、1B、0.5C、0.25D、無法判斷【正確答案】：B84.某電商平臺收集了用戶的姓名、手機號、地址等信息，需要對這些信息進行存儲完整性保護，則應采取的密碼技術(shù)為（）。A、SM3B、HMAC-SM3C、MD5D、SM4【正確答案】：B85.在對應急處置層面“應急策略”指標測評時發(fā)現(xiàn)，某第三級信息系統(tǒng)制定了符合網(wǎng)絡安全等級保護基本要求的應急預案，預案中明確了網(wǎng)絡安全事件發(fā)生時的應急處理流程、系統(tǒng)恢復流程及其他管理措施，具有事件處置記錄模板，但應急預案未涵蓋密碼應用安全相關(guān)事件且信息系統(tǒng)尚未發(fā)生密碼應用安全事件。依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》,本指標判定結(jié)果最合適的是（

）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：B86.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，對于“宜”的條款，以下做法不正確的是（）。A、若納入標準符合性測評范圍，則密評人員應按照相應測評指標要求進行測評和結(jié)果判定B、若未納入標準符合性測評范圍，密評人員不僅要按照相應測評指標要求進行測評和結(jié)果判定，還應在測評中進一步確認是否存在其他風險控制措施C、若未納入標準符合性測評范圍，密評人員在測評中應進一步核實密碼應用方案中所描述的風險控制措施使用條件在實際的信息系統(tǒng)中是否被滿足，且信息系統(tǒng)的實施情況與所描述的風險控制措施是否一致D、若未納入標準符合性測評范圍，經(jīng)密評人員確認信息系統(tǒng)實際采用的風險控制措施使用條件和具體措施與密碼應用方案保持一致，則相應測評指標視為“不適用”【正確答案】：B87.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在針對網(wǎng)絡和通信安全層面的“身份鑒別”指標進行測評時，SSL協(xié)議工作流程中，如果服務端需要驗證客戶端的身份，則測評人員需要核查服務端需向客戶端發(fā)送的（）消息。A、ServerKeyExchangeB、CertificateRequestC、ServerCertificateD、CertificateVerify【正確答案】：B88.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，信息系統(tǒng)中使用的密碼產(chǎn)品或服務可能引起高風險的是（）。A、使用自實現(xiàn)且能夠提供安全證明的密碼產(chǎn)品B、使用的密碼產(chǎn)品存在高危漏洞C、密碼產(chǎn)品的使用符合國家密碼主管部門的管理要求和標準規(guī)范的要求D、密碼服務提供商具有國家密碼管理部門的相關(guān)資質(zhì)【正確答案】：B89.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)部署和使用了2臺A廠商具有B型號商用密碼產(chǎn)品認證證書的服務器密碼機，3臺C廠商具有D型號商用密碼產(chǎn)品認證證書的服務器密碼機，則在“設備和計算安全”層面選取測評對象時應（）。A、以服務器密碼機作為測評對象B、將5臺服務器密碼機均列為測評對象C、將具有同一商用密碼產(chǎn)品認證證書的服務器密碼機作為一個測評對象D、服務器密碼機不作為設備和計算安全層面的測評對象【正確答案】：C90.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下說法正確的是（）。A、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，通用測評要求對應的是第一級到第四級的密碼應用要求B、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，密碼應用技術(shù)測評要求對應的是第一級到第四級的密碼應用要求C、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，密碼應用管理測評要求對應的是第一級到第五級的密碼應用要求D、在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，測評單元“密鑰管理安全性”對應的是第一級到第四級的密碼應用要求【正確答案】：B91.測評過程中，對信息系統(tǒng)網(wǎng)絡邊界內(nèi)的用戶與系統(tǒng)應用之間重要數(shù)據(jù)傳輸保護的測評屬于（）安全層面的測評內(nèi)容。A、網(wǎng)絡和通信安全B、設備和計算安全C、應用和數(shù)據(jù)安全D、密鑰管理【正確答案】：C92.某三級信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計算MAC值后與數(shù)據(jù)原文一同存儲在數(shù)據(jù)庫中，密碼運算為軟件實現(xiàn)，針對“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：C93.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，某信息系統(tǒng)在互聯(lián)網(wǎng)通過SSLVPN接入內(nèi)網(wǎng)后，再通過堡壘機集中管理服務器，則在設備和計算安全層面“遠程管理通道安全”應測評的內(nèi)容為（）。A、管理員客戶端與SSLVPN之間的通道B、堡壘機與服務器之間的通道C、管理員客戶端與SSLVPN之間的通道、SSLVPN與堡壘機之間的通道D、SSLVPN與堡壘機之間的通道、堡壘機與服務器之間的通道【正確答案】：D94.某信息系統(tǒng)于2018年投入運行，該系統(tǒng)首次密碼應用安全性評估時在建設運行層面“投入運行前進行密碼應用安全性評估”測評項應如何判定（）。A、判定“不符合”B、判定“符合”C、判定“不適用”D、判定“部分符合”【正確答案】：C95.某三級測繪系統(tǒng)用戶基于SM2數(shù)字證書登錄系統(tǒng)，SM2數(shù)字證書存儲在智能密碼鑰匙（經(jīng)檢測認證的二級密碼模塊）中，數(shù)字證書由具有電子認證服務密碼使用許可證的第三方CA機構(gòu)簽發(fā)，并且用戶與服務器之間的身份鑒別過程符合相關(guān)標準規(guī)范要求。根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，該用戶的身份鑒別量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：D96.下列Wireshark過濾表達式（）可以捕獲所有發(fā)往或來自IP地址00的HTTP流量。A、http.host==00B、ip.addr==00&&tcp.port==80C、http.request.method=="GET"&&ip.addr==00D、http.response.code==200&&ip.dst==00【正確答案】：B97.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，某信息系統(tǒng)測評時，網(wǎng)絡和通信安全層面整體不適用，但其他安全層面得分均為滿分，則對該信息系統(tǒng)量化評估時，結(jié)果為（）。A、80B、85C、90D、100【正確答案】：D98.某三級信息系統(tǒng)中，應用包括前臺應用系統(tǒng)和后臺管理系統(tǒng)；系統(tǒng)運行的網(wǎng)絡環(huán)境通常包括互聯(lián)網(wǎng)、政務外網(wǎng)和辦公內(nèi)網(wǎng)，其中，辦公內(nèi)網(wǎng)也屬于政務外網(wǎng)。該信息系統(tǒng)網(wǎng)絡通信情況描述如下：(1)用戶可以從互聯(lián)網(wǎng)、政務外網(wǎng)、辦公內(nèi)網(wǎng)，使用非國密瀏覽器或國密瀏覽器通過HTTPS協(xié)議訪問前臺應用系統(tǒng)；(2)管理員可以從辦公內(nèi)網(wǎng)或使用VPN客戶端通過內(nèi)網(wǎng)SSLVPN接入辦公內(nèi)網(wǎng)后，再使用國密瀏覽器通過HTTPS協(xié)議訪問后臺管理系統(tǒng)；(3)系統(tǒng)管理員可以從互聯(lián)網(wǎng)先登錄運維專用的SSLVPN后，再通過堡壘機對服務器、密碼產(chǎn)品等設備進行運維；(4)信息系統(tǒng)可以通過IPSecVPN調(diào)用外部的密碼資源（例如政務外網(wǎng)的數(shù)據(jù)加密服務）。根據(jù)以上描述，此信息系統(tǒng)網(wǎng)絡和通信安全層面的測評對象包括多少個通信信道（）。A、5B、6C、7D、8【正確答案】：D99.某三級信息系統(tǒng)只能在機房通過堡壘機對服務器進行運維管理，則設備和計算安全層面堡壘機、服務器關(guān)于“遠程管理通道安全”測評指標的適用性分別為（）。A、不適用，不適用B、不適用，適用C、適用，不適用D、適用，適用【正確答案】：B100.某三級信息系統(tǒng)用戶端與服務端之間進行通信時，只對服務端進行了基于密碼的身份鑒別且身份鑒別機制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡和通信安全”層面的“身份鑒別”指標最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：D1.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，密碼應用安全性評估活動過程中，（）屬于現(xiàn)場測評階段的活動。A、現(xiàn)場測評和結(jié)果記錄B、現(xiàn)場測評準備C、結(jié)果確認和資料歸還D、單項測評結(jié)果判定【正確答案】：ABC2.根據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》附錄C，在密評中對“真實性”的測評技術(shù)，下列描述正確的是（）。A、對于采用“挑戰(zhàn)-響應”方式的鑒別協(xié)議，若通信雙方有雙向鑒別安全需求，那么按GB/T15843相關(guān)要求，密評人員在分析協(xié)議數(shù)據(jù)包時，應確認用于實現(xiàn)雙向鑒別的消息傳遞次數(shù)至少是四次B、對于采用“挑戰(zhàn)-響應”方式的鑒別協(xié)議，若通信雙方有雙向鑒別安全需求，那么按GB/T15843相關(guān)要求，密評人員在分析協(xié)議數(shù)據(jù)包時，應確認用于實現(xiàn)雙向鑒別的消息傳遞次數(shù)至少是三次C、對于基于靜態(tài)口令的鑒別過程，可通過抓取鑒別過程的數(shù)據(jù)包，確認口令未以明文形式傳遞D、若采用基于SM2數(shù)字證書方式實現(xiàn)身份鑒別，除了驗證簽名結(jié)果外，還需要對相關(guān)數(shù)字證書進行驗證【正確答案】：BCD3.某三級信息系統(tǒng)部署了1臺商用密碼產(chǎn)品認證證書編號均為GMxxx的SSLVPN，則針對“密碼產(chǎn)品合規(guī)性”測評內(nèi)容主要包括（）。A、核查該密碼產(chǎn)品型號、版本等信息是否與證書一致B、核查該密碼產(chǎn)品的使用是否滿足其安全運行的條件C、核查該密碼產(chǎn)品的密碼模塊安全等級是否滿足要求D、核查密碼產(chǎn)品是否對登錄用戶進行身份鑒別【正確答案】：ABC4.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，某三級信息系統(tǒng)主備機房，采用人臉識別技術(shù)對進入機房的用戶進行身份鑒別，并在機房出入口配備專人值守，并保留了人員進出記錄，以下針對身份鑒別測評指標的符合性判定以及針對問題風險的判定正確的是（）。A、不符合B、高風險C、部分符合D、中風險【正確答案】：AD5.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下哪項任務是方案編制活動中的主要任務（）。A、測評人員確定B、測評對象確定C、測評指標確定D、測評檢查點確定【正確答案】：BCD6.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸完整性”的測評實施要點包括（）。A、該測評單元的實施項中第一條和第二條涉及通用測評要求的密碼算法合規(guī)性、密碼技術(shù)合規(guī)性、密碼產(chǎn)品合規(guī)性和密碼服務合規(guī)性四個方面B、利用協(xié)議分析工具，分析受完整性保護的數(shù)據(jù)在傳輸時的數(shù)據(jù)格式（如簽名長度、MAC長度）是否符合預期C、如果使用數(shù)字簽名技術(shù)進行完整性保護，可使用公鑰對抓取的簽名結(jié)果進行驗證D、如果以外接服務器密碼機等密碼產(chǎn)品的形式實現(xiàn)，需要核實密碼產(chǎn)品是否如實被調(diào)用【正確答案】：BCD7.根據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》附錄C提供的測評技術(shù)，在對三級信息系統(tǒng)進行應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲完整性”指標測評時，預期結(jié)果包括（）。A、數(shù)據(jù)格式（簽名長度、MAC長度）符合預期B、若調(diào)用外接密碼產(chǎn)品實現(xiàn)，則調(diào)用指令、次數(shù)等符合預期C、登錄密碼產(chǎn)品查看相關(guān)配置和密碼功能調(diào)用日志，密鑰配置、日志記錄均顯示使用合規(guī)的密碼算法D、篡改存儲數(shù)據(jù)后，能夠檢測出存儲數(shù)據(jù)的完整性受到了破壞【正確答案】：ABCD8.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，應用和數(shù)據(jù)安全層面的完整性保護對象有（）。A、安全標記B、訪問控制信息C、需要傳輸?shù)闹匾獢?shù)據(jù)D、需要存儲的重要數(shù)據(jù)【正確答案】：ABCD9.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，下列說法不正確的是（）。A、對同一個測評指標，二級信息系統(tǒng)和三級信息的指標權(quán)重不一定相同B、二級信息系統(tǒng)和三級信息系統(tǒng)（所有安全層面均適用的情況下）安全層面權(quán)重一定相同C、若該系統(tǒng)物理和環(huán)境安全層面、設備和計算安全層面不適用，則該系統(tǒng)其他安全層面總權(quán)重之和為75D、密碼應用管理各安全層面的權(quán)重均相同【正確答案】：CD10.某信息系統(tǒng)應用服務器通過調(diào)用最新版OpenSSL密碼算法庫的HMAC-SM3接口對日志記錄計算MAC，依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，以下哪些HMAC-SM3算法輸出長度，使設備和計算安全“日志記錄完整性”指標可能是“部分符合”的判定結(jié)果（）。A、128比特B、256比特C、384比特D、512比特【正確答案】：AB11.按照《商用密碼應用安全性評估報告模板（2023版）》，密評報告不再適用的情況有（）。A、被測信息系統(tǒng)業(yè)務發(fā)生重大變更B、被評估密碼應用方案發(fā)生變更C、被測單位名稱發(fā)生變更D、委托雙方合同期滿【正確答案】：AB12.根據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》，重要數(shù)據(jù)傳輸時在以下（）鏈路不會在網(wǎng)絡和通信安全層面、應用和數(shù)據(jù)安全層面發(fā)生重疊。A、發(fā)送方客戶端到其網(wǎng)絡出口IPSecVPN之前B、發(fā)送方IPSecVPN與接收方IPSecVPN之間C、重要數(shù)據(jù)在ESP協(xié)議保護下傳輸時D、接收方網(wǎng)絡出口IPSecVPN到應用服務器【正確答案】：AD13.在測評某三級信息系統(tǒng)應用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲時發(fā)現(xiàn)，該系統(tǒng)個人敏感信息使用SM4-GCM算法算法實現(xiàn)數(shù)據(jù)存儲保護，重要業(yè)務數(shù)據(jù)使用AES-256、HMAC-SHA-256算法實現(xiàn)數(shù)據(jù)存儲保護，且所有密碼算法均通過調(diào)用具有二級商密產(chǎn)品認證證書的密碼設備實現(xiàn)，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，下列說法不正確的是（）。A、該系統(tǒng)應用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲機密性測評單元分值為0.75B、該系統(tǒng)應用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲完整性保護測評單元分值為0.25C、該系統(tǒng)應用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲機密性和完整性保護兩個測評單元分值不同D、若信息系統(tǒng)改用一級商密產(chǎn)品認證證書的密碼設備實現(xiàn)重要數(shù)據(jù)存儲的機密性和完整性保護，則量化評估分值不變【正確答案】：BCD14.某數(shù)據(jù)庫中存儲的口令雜湊字段，長度為256比特，而且所有數(shù)據(jù)中存在少許相同的雜湊值，以下推斷正確的是（）。A、可能采用了SHA-1算法進行口令雜湊B、可能采用了SM3算法進行口令雜湊C、口令雜湊的過程中，可能使用了每個用戶不同的鹽值D、口令雜湊的過程中，可能未加入鹽值【正確答案】：BD15.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，關(guān)于設備和計算安全層面的判定結(jié)果，以下說法正確的是（）。A、某二級信息系統(tǒng)，系統(tǒng)責任方自行決定將“日志記錄完整性”指標項不納入標準符合性測評范圍，測評人員將該項判定為“不適用”B、某三級信息系統(tǒng)，制定了密碼應用方案并通過了方案評估，方案評估意見中明確將“系統(tǒng)資源訪問控制信息”指標項作為不適用，測評人員在實際測評時可直接將該項判定為“不適用”C、某三級信息系統(tǒng)，制定了密碼應用方案并通過了方案評估，方案評估意見中明確“重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性”指標項可采用方案中提供的風險控制措施完成，但測評人員在現(xiàn)場測評中發(fā)現(xiàn)方案中描述的風險控制措施使用條件并不滿足，故此按照GM/T0115相應的測評指標要求進行了測評和結(jié)果判定D、若測評單元涉及多臺通用設備作為測評對象，則測評人員可直接從中抽選測評對象，并進行測評實施和結(jié)果判定【正確答案】：AC16.GM/T0129《信息系統(tǒng)密碼應用測評要求》，在對應用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)存儲機密性”指標測評時，以下哪些措施可能導致數(shù)據(jù)泄露（）。A、采用DES算法對用戶敏感信息加密后存儲B、調(diào)用服務器密碼機采用SM4-ECB模式對所有用戶性別信息項進行加密后存儲C、采用SM3（加鹽）的方式對數(shù)據(jù)庫中存儲的口令信息處理D、對重要用戶信息進行脫敏后存儲，未采用其他數(shù)據(jù)存儲安全加固措施【正確答案】：ABD17.某單位數(shù)據(jù)中心機房出入口安裝了電子門禁系統(tǒng)，則針對“電子門禁記錄數(shù)據(jù)存儲完整性”測評單元，主要測評內(nèi)容包括（）。A、核查是否采用了經(jīng)檢測認證的電子門禁系統(tǒng)B、核查是否正確使用經(jīng)檢測認證的電子門禁系統(tǒng)C、核查門禁系統(tǒng)廠商提供的門禁系統(tǒng)進出記錄數(shù)據(jù)存儲完整性保護的相關(guān)證據(jù)D、驗證完整性保護機制是否正確和有效【正確答案】：ABCD18.某信息系統(tǒng)管理員通過遠程管理終端訪問SSLVPN，再通過VPN訪問堡壘機，最后通過堡壘機對通用服務器進行遠程管理。以下哪個接入點能夠捕獲遠程管理終端與SSLVPN網(wǎng)關(guān)之間的通信數(shù)據(jù)（）。A、遠程管理終端B、SSLVPNC、堡壘機D、通用服務器【正確答案】：AB19.根據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》附錄B，在密評中對動態(tài)口令系統(tǒng)可采用以下哪些測評技術(shù)（）。A、嘗試對動態(tài)口令進行重放，以確認重放后的口令無法通過認證系統(tǒng)的驗證B、條件允許情況下，確認種子密鑰以密文形式導入至認證系統(tǒng)中C、條件允許情況下，在動態(tài)口令計算完成后，確認明文種子密鑰不會留存在認證系統(tǒng)中D、判斷動態(tài)令牌的PIN碼保護機制是否符合相關(guān)密碼產(chǎn)品技術(shù)標準要求，例如PIN碼長度、輸入錯誤次數(shù)限制【正確答案】：ABCD20.按照《商用密碼應用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告時，以下與“建設運行”相關(guān)的測評對象包括（）。A、密鑰管理制度及策略類文檔B、應急處置記錄C、密評報告及密碼實施方案D、管理體系【正確答案】：ACD21.在測評時發(fā)現(xiàn)某信息系統(tǒng)數(shù)據(jù)庫中某數(shù)據(jù)密文長度為160字節(jié)，則其使用的算法可能為（）。A、SM4B、AES-128C、AES-192D、DES【正確答案】：ABCD22.以下關(guān)于Wireshark過濾規(guī)則的說法，（）是正確的。A、tcp.port==443可以用于獲取所有目標端口為443的TCP數(shù)據(jù)包B、ip.addr==可以用于獲取源或目標IP地址為的所有數(shù)據(jù)包C、arp.src.hw_mac==00:11:22:33:44:55可以用于獲取源MAC地址為00:11:22:33:44:55的ARP數(shù)據(jù)包D、http.response.code==200可以用于獲取所有HTTP響應狀態(tài)碼為200的數(shù)據(jù)包【正確答案】：ABCD23.對數(shù)字證書分析，一般要分析哪些內(nèi)容（）。A、查看數(shù)字證書格式B、查看數(shù)字證書密鑰用法C、驗證數(shù)字證書數(shù)字簽名D、驗證數(shù)字證書鏈【正確答案】：ABCD24.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，在對信息系統(tǒng)開展密碼應用安全性評估時，以下屬于測評實施過程中客觀公正性原則的是（）。A、測評方應保證在符合國家密碼管理部門要求及最佳主觀判斷情形B、測評方案需要測評方與被測單位共同認可C、測評過程需要基于明確定義的測評方式和解釋D、方案合理，測評方即可開展現(xiàn)場測評活動【正確答案】：BC25.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，方案密評報告的評估結(jié)論包括（）。A、符合B、不符合C、通過D、不通過【正確答案】：CD26.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下屬于三級信息系統(tǒng)“建設運行”方面測評項的是（）。A、制定密碼應用方案B、定期開展密碼應用安全性評估及攻防對抗演習C、制度執(zhí)行過程記錄留存D、建立操作規(guī)程【正確答案】：AB27.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密評過程中主要關(guān)注的管理制度有（）。A、密碼人員管理B、密鑰管理C、建設運行D、應急處置【正確答案】：ABCD28.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，下列關(guān)于密碼應用方案的說法中，錯誤的是（）。A、密碼應用方案及其評估意見是判定GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》中“宜”是否適用的重要依據(jù)B、對于部署在同一云平臺上的云上應用，雖然網(wǎng)絡安全等級保護定級時進行了獨立定級，考慮到其物理環(huán)境、通信信道、系統(tǒng)資產(chǎn)等方面的共用的軟硬件比較多，可以編寫一份密碼應用方案統(tǒng)一進行密碼應用分析C、如密碼應用方案中對被測信息系統(tǒng)對測評單元“不可否認性”進行了不適用判定，但在執(zhí)行現(xiàn)場測評過程中，系統(tǒng)責任單位向密評機構(gòu)反映系統(tǒng)實際存在不可否認性密碼應用需求，應根據(jù)通過評估的密碼應用方案，對該測評項進行不適用判定D、密碼應用方案中應詳細梳理應用的業(yè)務流程及業(yè)務數(shù)據(jù)，根據(jù)流程安全需求及數(shù)據(jù)安全需求，為重要流程及重要數(shù)據(jù)設計保護機制【正確答案】：BC29.在GM/T0115《信息系統(tǒng)密碼應用測評要求》中，關(guān)于密碼應用技術(shù)測評要求的測評實施，其中測評實施第一條會關(guān)聯(lián)到其他哪些測評單元（）。A、通用測評要求的“密碼算法合規(guī)性”B、通用測評要求的“密碼產(chǎn)品合規(guī)性”C、通用測評要求的“密碼技術(shù)正確性”D、通用測評要求的“密碼技術(shù)合規(guī)性”【正確答案】：AD30.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下屬于密鑰分發(fā)檢查要點的是（）。A、確認系統(tǒng)內(nèi)部采用何種密鑰分發(fā)方式B、確認密鑰備份的審計信息是否包括備份的主體、時間等信息C、確認信息系統(tǒng)內(nèi)部是否具有密鑰的更新策略D、確認密鑰傳遞過程中信息系統(tǒng)使用了哪些密碼技術(shù)對密鑰進行處理以保護其機密性、完整性與真實性，并核實保護措施使用的正確性和有效性【正確答案】：AD31.以下關(guān)于用戶密鑰的存儲方式，說法正確的是（）。A、數(shù)據(jù)加密密鑰在經(jīng)過檢測認證的三級密碼模塊中存儲B、SM2簽名私鑰經(jīng)SM4-GCM加密后存儲在數(shù)據(jù)庫中C、SM2簽名證書明文存儲在應用服務器中D、SM4密鑰經(jīng)SHA1加密存儲在數(shù)據(jù)庫【正確答案】：ABC32.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，項目計劃書應包含（）等內(nèi)容。A、項目概述、工作依據(jù)說明B、技術(shù)思路C、不適用指標描述D、工作內(nèi)容和項目組織安排【正確答案】：ABD33.在設備和計算安全層面，訪問控制信息主要包括（

）。A、操作系統(tǒng)權(quán)限的訪問控制信息B、系統(tǒng)文件目錄的訪問控制信息C、數(shù)據(jù)庫中的數(shù)據(jù)訪問控制信息D、堡壘機中的權(quán)限訪問控制信息【正確答案】：ABCD34.在電子不停車收費系統(tǒng)（ETC）中，車輛通過辦理和安裝ETC卡，實現(xiàn)車輛在高速收費站的流水數(shù)據(jù)的產(chǎn)生、傳輸和繳費等功能。對于該業(yè)務場景的安全需求分析，正確的是（）。A、車輛途經(jīng)收費站時，收費站和車輛的雙向鑒別B、車輛信息、扣費金額等業(yè)務數(shù)據(jù)的傳輸完整性C、收費站將ETC業(yè)務數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費中心時的網(wǎng)絡通信實體身份鑒別D、收費站將ETC業(yè)務數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費中心時的通信數(shù)據(jù)完整性保護【正確答案】：ABCD35.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，下列文檔屬于測評準備活動階段需要輸出的是（）。A、現(xiàn)場測評授權(quán)書B、密評方案C、項目計劃書D、會議簽到表單【正確答案】：ACD36.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在對某二級信息系統(tǒng)進行“建立上崗人員培訓制度”指標的測評時，下列哪些可能成為核查的對象（）。A、人員培訓管理制度B、培訓計劃C、培訓簽到表D、安全教育類文檔【正確答案】：ABCD37.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，關(guān)于密鑰生存周期管理檢查要點，以下說法正確的是（）。A、確認密鑰是否在經(jīng)檢測認證合格的密碼產(chǎn)品中產(chǎn)生，核實密鑰產(chǎn)生功能的正確性和有效性B、確認密鑰（含公鑰）存儲過程中使用了哪些密碼技術(shù)對密鑰進行處理以保護其機密性，并核實保護措施使用的正確性和有效性C、核實歸檔密鑰是否僅用于解密被加密的歷史信息或驗證被簽名的歷史信息D、核實密鑰銷毀過程和銷毀方式，保證密鑰銷毀后是可以被恢復的【正確答案】：AC38.按照《商用密碼應用安全性評估報告模板（2023版）》，以下內(nèi)容中應體現(xiàn)在系統(tǒng)密評報告中“商用密碼應用安全性評估結(jié)論”的包括（）。A、系統(tǒng)簡介B、測評情況簡介C、評估結(jié)論及綜合得分D、系統(tǒng)測評指標的符合情況及數(shù)目【正確答案】：ABC39.依據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，以下關(guān)于設備和計算安全層面“身份鑒別”測評項的判定，錯誤的是（）。A、某信息系統(tǒng)管理員使用用戶名+口令或使用經(jīng)檢測認證的智能密碼鑰匙（密碼模塊達到相應等級要求）登錄簽名驗簽服務器，口令使用加鹽SHA256算法進行傳輸和存儲保護，測評人員判定簽名驗簽服務器“身份鑒別”測評項為部分符合B、某信息系統(tǒng)管理員使用經(jīng)檢測認證的智能密碼鑰匙（密碼模塊達到相應等級要求）登錄堡壘機，身份鑒別機制符合GB/T15843標準要求，測評人員判定堡壘機“身份鑒別”測評項一定為符合C、某信息系統(tǒng)管理員使用智能密碼鑰匙登錄堡壘機，測評人員發(fā)現(xiàn)智能密碼鑰匙換發(fā)的商用密碼產(chǎn)品認證證書中未標注密碼模塊安全等級，測評人員判定智能密碼鑰匙僅符合一級密碼模塊要求D、某信息系統(tǒng)管理員使用動態(tài)令牌登錄堡壘機，測評人員經(jīng)核查發(fā)現(xiàn)，動態(tài)令牌設置的PIN碼長度不少于6位數(shù)字，PIN碼嘗試次數(shù)最大不可超過8次；測評人員判定PIN碼相關(guān)設置不符合GB/T38556的要求【正確答案】：ABC40.某三級信息系統(tǒng)在測評過程中發(fā)現(xiàn)物理和環(huán)境安全層面不適用，網(wǎng)絡和通信安全層面分值為0.75，設備和計算安全層面分值為0.6，應用和數(shù)據(jù)安全層面分值為0.325，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，以下說法不正確的是（）。A、如果安全管理四個層面分值均為1，該系統(tǒng)量化評估分值為60.75B、安全管理四個層面分值均為1，該系統(tǒng)量化評估分值為67.50C、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為30.75D、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為37.50【正確答案】：ACD41.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于測評過程包括四項基本測評活動，描述正確的是（）。A、測評準備活動包括項目啟動、信息收集和分析等B、方案編制活動包括測評檢查點確定、測評內(nèi)容確定等C、現(xiàn)場測評活動包括現(xiàn)場測評和結(jié)果記錄、結(jié)果確認和資料歸還等D、分析與報告編制活動包括單元測評、整體測評、風險分析等【正確答案】：ABCD42.被測業(yè)務應用系統(tǒng)采用基于角色的訪問控制策略，用戶通過角色配置獲得該角色擁有的應用系統(tǒng)權(quán)限，在對該應用系統(tǒng)進行應用和數(shù)據(jù)安全層面“訪問控制信息完整性”測評時，依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，從理論上可采取的實施方法包括（）。A、讀取數(shù)據(jù)庫中的用戶角色配置信息，判斷完整性校驗值的格式是否符合預期B、讀取數(shù)據(jù)庫中的角色權(quán)限配置信息，判斷完整性校驗值的格式是否符合預期C、如使用數(shù)字簽名技術(shù)進行完整性保護，則可使用公鑰對存儲的簽名結(jié)果進行驗證D、如使用消息鑒別碼進行完整性保護，則可使用完整性保護密鑰對存儲的MAC值進行驗證【正確答案】：ABCD43.Base64是基于64個可打印的字符來表示二進制數(shù)據(jù)的一種方法，以下屬于64個可打印字符的是（）。A到ZB、0至9C、a到zD、$【正確答案】：ABC44.某信息系統(tǒng)部署了經(jīng)檢測認證的簽名驗簽服務器，且密碼模塊達到了相應等級要求，關(guān)于設備和計算安全層面應用服務器“系統(tǒng)資源訪問控制信息完整性”測評項，依據(jù)GM/T0115《信息系統(tǒng)密碼應用測評要求》，以下判定結(jié)果錯誤的是（）。A、通過調(diào)用簽名驗簽服務器的AES-128ECB模式加密接口，對訪問控制信息加密，取最后一組分組密文作為MAC并存儲，值為A；在驗證完整性時，調(diào)用簽名驗簽服務器的AES-128ECB模式加密接口，對訪問控制信息加密，取最后一組分組密文作為MAC，值為B，比對A與B是否一致；基于上述措施，測評人員判定為部分符合B、通過調(diào)用簽名驗簽服務器的SM4CBC-MAC接口，對訪問控制信息計算MAC并存儲，值為A；在驗證完整性時，調(diào)用簽名驗簽服務器SM4CBC-MAC接口，對訪問控制信息計算MAC，值為B，比對A與B是否一致；其中，計算SM4CBC-MAC使用的初始向量為符合密碼相關(guān)國家和行業(yè)標準的隨機數(shù)；基于上述措施，測評人員判定為符合C、通過調(diào)用簽名驗簽服務器的SM3接口，計算訪問控制信息的雜湊值并存儲，值為A；在驗證完整性時，調(diào)用簽名驗簽服務器SM3接口，計算訪問控制信息的雜湊值，值為B，比對A與B是否一致；基于上述措施，測評人員判定為不符合D、通過調(diào)用簽名驗簽服務器的HMAC-SHA256接口，對訪問控制信息計算MAC并存儲，值為A；在驗證完整性時，將訪問控制信息與A拼接，并調(diào)用簽名驗簽服務器HMAC-SHA256接口，對拼接數(shù)據(jù)計算MAC，值為B，比對A與B是否一致；基于上述措施，測評人員判定為部分符合【正確答案】：ABD45.測評人員在核查“傳輸機密性”密碼功能時，可能需要關(guān)注以下內(nèi)容（）。A、重要數(shù)據(jù)或鑒別信息是否為密文B、密文數(shù)據(jù)長度是否符合預期C、相關(guān)密碼產(chǎn)品中密鑰類型D、相關(guān)密碼產(chǎn)品中密碼算法類型【正確答案】：ABCD46.根據(jù)GM/T0116《信息系統(tǒng)密碼應用測評過程指南》，以下關(guān)于可重復性和可再現(xiàn)性原則正確的是（）。A、按照同樣的要求，不同的密評人員對每個測評實施過程的重復執(zhí)行應得到同樣的結(jié)果B、在同樣的環(huán)境下，不同的密評人員對每個測評實施過程的重復執(zhí)行應得到同樣的結(jié)果C、可再現(xiàn)性關(guān)注不同密評人員測評結(jié)果的一致性D、可重復性關(guān)注同一密評人員測評結(jié)果的一致性【正確答案】：ABCD47.根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，對測評單元的測評結(jié)果量化評估規(guī)則，以下說法正確的是（）。A、密碼應用技術(shù)要求中，測評單元的量化評估結(jié)果為該測評單元內(nèi)所有測評對象測評結(jié)果的算術(shù)平均值B、密碼應用技術(shù)要求中，測評單元的量化評估結(jié)果需要保留小數(shù)點后4位C、密碼應用管理要求的測評單元得分為各測評對象的算術(shù)平均值D、密碼應用管理要求的符合性判定需要根據(jù)GM/T0115給出判定結(jié)果【正確答案】：ABD48.物理和環(huán)境安全層面的測評對象為被測信息系統(tǒng)所在的物理機房，具體為（）。A、物理機房的門禁系統(tǒng)B、物理機房的視頻監(jiān)控系統(tǒng)C、物理機房的動力環(huán)境系統(tǒng)D、物理機房的巡查記錄【正確答案】：AB49.面向公眾，信息可公開的信息系統(tǒng)，測評時需要重點關(guān)注以下哪些內(nèi)容（）。A、首先需要確定哪些人員可以訪問該信息系統(tǒng)B、管理員的身份鑒別、傳輸通道安全及其遵循的測評指標C、對于公眾用戶而言，仍需要對網(wǎng)站進行身份鑒別（比如防止釣魚網(wǎng)站），并對其內(nèi)容的完整性進行保護D、需要測評與公眾用戶相關(guān)的“網(wǎng)絡和通信安全”層面的“身份鑒別”、“通信過程中數(shù)據(jù)的完整性”、“通信過程中重要數(shù)據(jù)的機密性”等指標【正確答案】：ABCD50.在密評中，當電子門禁系統(tǒng)作為測評對象時，以下測評實施合理的包括（）。A、嘗試發(fā)一些錯誤的門禁卡，驗證這些卡無法打開門禁B、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗證非授權(quán)的卡無法打開門禁C、對電子門禁系統(tǒng)是否滿足GM/T0028《密碼模塊安全技術(shù)要求》進行檢測D、檢查電子門禁系統(tǒng)中所使用的智能卡、密碼機等是否具備商用密碼產(chǎn)品認證證書【正確答案】：ABD51.某電商平臺用戶需使用合規(guī)的智能密碼鑰匙才能登錄平臺，平臺采用HTTPS協(xié)議進行訪問，則在應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機密性”測評單元的測評對象主要包括（）。A、電商平臺B、智能密碼鑰匙C、提供機密性保護的服務器密碼機D、數(shù)據(jù)庫服務器【正確答案】：AB52.GM/T0115《信息系統(tǒng)密碼應用測評要求》中，術(shù)語“核查”包括了哪些實際測評時的測評方式（）。A、訪談B、文檔審查C、配置檢查D、工具測試【正確答案】：ABCD53.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰銷毀和撤銷環(huán)節(jié)可能會對密鑰管理帶來安全隱患是（）。A、不具備密鑰在應急情況下的密鑰銷毀/撤銷的機制B、未按照設定的安全機制進行密鑰銷毀/撤銷C、對于磁記錄存儲器存儲的密鑰，簡單的刪除、清0或?qū)?即可D、停止使用的密鑰一般不要立即毀掉，而需再保存一段時間然后再毀掉【正確答案】：ABC54.某四級信息系統(tǒng)的責任單位可采用以下（）機制以滿足“人員管理”方面的要求。A、設置密鑰管理員、密碼安全審計員、密碼操作員并分別由甲、乙、丙三人擔任B、關(guān)鍵崗位人員由機構(gòu)內(nèi)部人員擔任，并在任前進行背景調(diào)查C、建立上崗人員培訓制度，對涉及密碼的操作和管理人員進行專門培訓D、建立人員保密和調(diào)離制度，簽訂保密合同【正確答案】：BCD55.某信息系統(tǒng)使用簽名驗簽服務器對合同進行數(shù)字簽名后，通過受SSL協(xié)議保護的信道發(fā)送給用戶，在測評時，可以通過（）采集合同及數(shù)字簽名值進行測評。A、獲取應用程序調(diào)用簽名驗簽服務器的報文B、從受SSL協(xié)議保護信道中獲取發(fā)送給用戶的數(shù)據(jù)C、在用戶端獲取合同以及數(shù)字簽名值D、在應用程序所在的服務器獲取合同以及數(shù)字簽名值【正確答案】：ACD56.按照《商用密碼應用安全性評估報告模板（2023版）》，以下（）文件應作為密評報告的依據(jù)。A、GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》B、GM/T0115《信息系統(tǒng)密碼應用測評要求》C、GM/T0005《隨機性檢測規(guī)范》D、《XXXXX系統(tǒng)密碼應用方案》【正確答案】：ABD57.在密評中發(fā)現(xiàn)被測信息系統(tǒng)使用了以下密碼算法和密碼技術(shù)，合規(guī)的是（）。A、SM4-GCMB、SM3-HMACC、TLS1.3D、TLCP【正確答案】：ABD58.按照《商用密碼應用安全性評估報告模板（2023版）》，在文檔審查中會涉及的文檔有（）。A、人員培訓計劃B、安全管理制度文件C、密鑰管理制度D、密碼應用方案及評審意見【正確答案】：ABCD59.對于未標注密碼模塊安全等級的商用密碼產(chǎn)品在現(xiàn)場測評時應考慮以下哪些因素（）。A、分析其是否為換證密碼產(chǎn)品，對于換證的密碼產(chǎn)品，需要密碼廠商進一步提供換證前的商用密碼產(chǎn)品型號證書，如果商用密碼產(chǎn)品型號證書中標注了其符合的密碼模塊等級，則按此等級進行判定B、對于換證的密碼產(chǎn)品，需要密碼廠商進一步提供換證前的商用密碼產(chǎn)品型號證書，如果商用密碼產(chǎn)品型號證書中未標注其符合的密碼模塊等級，按“密碼產(chǎn)品符合一級密碼模塊”進行判定C、分析其是否為新認證密碼產(chǎn)品，對于新發(fā)認證證書的密碼產(chǎn)品，需核實其是否為適用于密碼模塊標準的密碼產(chǎn)品D、若為密碼系統(tǒng)類產(chǎn)品（如電子簽章系統(tǒng)等），則其不適用于密碼模塊標準，但作為系統(tǒng)組件的密碼產(chǎn)品則適用于密碼模塊標準，在密評時依據(jù)這些密碼產(chǎn)品的密碼模塊安全等級進行判定【正確答案】：ABCD60.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，在測評某三級信息系統(tǒng)“定期進行安全崗位人員考核”指標時，應核查的內(nèi)容包括（）。A、核查安全管理制度文檔是否包含具體的人員考核制度和懲戒措施B、核查人員考核記錄內(nèi)容是否包括安全意識、密碼操作管理技能及相關(guān)法律法規(guī)C、核查人員是否具有外部培訓的記錄D、核查記錄表單類文檔以確認是否定期進行崗位人員考核【正確答案】：ABD61.根據(jù)GM/T

0115《信息系統(tǒng)密碼應用測評要求》，關(guān)于設備和計算安全層面“日志記錄完整性”測評指標，以下屬于該項密鑰管理核查內(nèi)容的是（）。A、若密鑰管理使用的密碼產(chǎn)品符合密碼模塊相關(guān)標準，則核查相關(guān)密碼產(chǎn)品是否滿足密碼模塊相應安全等級及以上安全要求B、核查密鑰管理安全性實現(xiàn)技術(shù)是否正確有效C、核查日志記錄是否進行備份以及備份機制是否合理D、核查相關(guān)密碼產(chǎn)品是否按照產(chǎn)品配套的安全策略文檔進行部署和使用【正確答案】：ABD62.GM/T0134《信息系統(tǒng)密碼應用測評要求》，在測評應用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲完整性”指標時，獲取到下列哪些證據(jù)即可判定測評對象不符合該項測評指標要求（）。A、調(diào)用服務器密碼機采用SM3算法計算重要用戶信息雜湊值，并保存在數(shù)據(jù)庫中B、調(diào)用服務器密碼機采用SM4-GCM對個人敏感信息進行存儲機密性和完整性保護C、調(diào)用簽名驗簽服務器對重要業(yè)務數(shù)據(jù)進行SM2數(shù)字簽名，簽名值保存在數(shù)據(jù)庫中，未設置簽名校驗機制D、使用加密數(shù)據(jù)庫系統(tǒng)存儲重要業(yè)務數(shù)據(jù)【正確答案】：AC63.已知應急處置安全層面所有測評單元的結(jié)果沒有不符合，根據(jù)《商用密碼應用安全性評估量化評估規(guī)則（2021版）》，則