商用密碼應(yīng)用安全性復(fù)習(xí)測試附答案

第頁商用密碼應(yīng)用安全性復(fù)習(xí)測試附答案1.某三級信息系統(tǒng)通過SSLVPN建立遠(yuǎn)程管理傳輸通道，管理終端與SSLVPN之間傳輸協(xié)議使用的密碼套件為ECC_SM4_GCM_SM3。該網(wǎng)絡(luò)通信信道使用（）算法實現(xiàn)通信數(shù)據(jù)的機(jī)密性保護(hù)。A、ECCB、SM4_GCMC、SM3D、基于SM3的HMAC【正確答案】：B2.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，（）應(yīng)對密評報告的生命周期進(jìn)行嚴(yán)格、規(guī)范的管理。A、密評機(jī)構(gòu)B、密碼管理部門C、委托單位D、被測單位【正確答案】：A3.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，IKEAttribute顯示算法ID為2，那么該協(xié)議所使用的公鑰算法算法是（）。A、RSA-1024B、SM2C、SM9D、RSA-2048【正確答案】：B4.在密評中，以下（）設(shè)備一般不作為測評工具接入點。A、防火墻B、交換機(jī)C、服務(wù)器D、堡壘機(jī)【正確答案】：A5.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，對于委托第三方密評機(jī)構(gòu)實施的密碼應(yīng)用方案密評和信息系統(tǒng)密評的情形，在報告中的“密評活動有效性證明”記錄部分，以下說法正確的是（）。A、信息系統(tǒng)密評報告需要提供密評活動證明，方案密評報告則不需要B、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機(jī)構(gòu)雙方簽字確認(rèn)，同時需要密評機(jī)構(gòu)內(nèi)部組織評審C、方案密評前，應(yīng)編制測評方案，并對該方案組織內(nèi)部評審D、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機(jī)構(gòu)雙方簽字確認(rèn)，但不需要密評機(jī)構(gòu)內(nèi)部組織評審【正確答案】：B6.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪項內(nèi)容不屬于測評準(zhǔn)備活動的主要任務(wù)（）。A、項目啟動B、信息收集和分析C、簽署風(fēng)險確認(rèn)書D、工具和表單準(zhǔn)備【正確答案】：C7.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評方對信息系統(tǒng)開展密碼應(yīng)用安全性評估時，應(yīng)遵循的原則，其中錯誤的是（）。A、可重復(fù)性和可再現(xiàn)性原則B、經(jīng)濟(jì)性原則C、客觀公正性原則D、結(jié)果完善性原則【正確答案】：B8.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)密評時所有安全層面均適用，經(jīng)測評，“物理和環(huán)境安全”、“網(wǎng)絡(luò)和通信安全”、“設(shè)備和計算安全”、“應(yīng)用和數(shù)據(jù)安全”量化評估結(jié)果分別為0.5、0.75、0.3333，0.6667，該系統(tǒng)上述4個層面整體量化評估結(jié)果為（）。A、41.25B、43.33C、58.93D、61.9【正確答案】：B9.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評準(zhǔn)備活動的輸出文檔及其內(nèi)容，說法正確的是（）。A、調(diào)查表格、被測信息系統(tǒng)相關(guān)的技術(shù)資料內(nèi)容應(yīng)涵蓋被測信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級、業(yè)務(wù)情況、軟硬件情況、密碼應(yīng)用情況、密碼管理情況B、工具和表單準(zhǔn)備階段輸出物的內(nèi)容應(yīng)涵蓋測評工具、現(xiàn)場測評授權(quán)、測評可能帶來的風(fēng)險、交接的文檔名稱、會議記錄表單、會議簽到表單等C、項目計劃書至少應(yīng)涵蓋項目概述、工作依據(jù)、技術(shù)思路、工作內(nèi)容和項目組織等內(nèi)容。D、以上內(nèi)容均正確【正確答案】：D10.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，編制方案密評報告時，以下對于不適用指標(biāo)描述不合理的是（）。A、信息系統(tǒng)不涉及設(shè)備中的重要信息資源安全標(biāo)記，因此設(shè)備和計算安全層面的“重要信息資源安全標(biāo)記完整性”指標(biāo)為不適用B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機(jī)密性安全需求，因此應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲機(jī)密性”指標(biāo)為不適用C、信息系統(tǒng)的物理機(jī)房難以進(jìn)行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標(biāo)為不適用D、信息系統(tǒng)責(zé)任單位將“可”的指標(biāo)自行決定為不適用【正確答案】：C11.在設(shè)備和計算安全層面，若存在100臺服務(wù)器，其中60臺為A廠商生產(chǎn)且為同一型號，40臺為B廠商生產(chǎn)且為同一型號，同一廠商的硬件/軟件配置相同。為提高測評效率，同時避免遺漏測評對象，以下測評對象選取方法合理的是（）。A、同一類機(jī)型的服務(wù)器作為一個測評對象，所以有兩個測評對象，即機(jī)型A和機(jī)型B兩類服務(wù)器B、由于這100臺服務(wù)器均屬于通用設(shè)備，可視為一個測評對象C、每一臺服務(wù)器均作為一個測評對象，所以測評對象數(shù)量為100個D、以上都正確【正確答案】：A12.某三級信息系統(tǒng)，網(wǎng)絡(luò)和通信安全層面采用了合規(guī)的密碼技術(shù)進(jìn)行通信實體身份鑒別，測評人員經(jīng)核實后判定結(jié)果為1分；應(yīng)用和數(shù)據(jù)安全層面采用“用戶名+口令”的方式對業(yè)務(wù)系統(tǒng)登錄用戶進(jìn)行身份鑒別。則“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)的應(yīng)用用戶測評對象經(jīng)“網(wǎng)絡(luò)和通信安全”層面“身份鑒別”指標(biāo)結(jié)果彌補(bǔ)后的量化評估分值為（）。A、1B、0.5C、0.25D、0【正確答案】：D13.如果被測信息系統(tǒng)所在的物理機(jī)房采用多區(qū)域部署或被測信息系統(tǒng)重要資產(chǎn)分布在不同的物理機(jī)房中，物理和環(huán)境測評對象包括（）。A、僅密碼設(shè)備所在機(jī)房B、所有該信息系統(tǒng)涉及的機(jī)房C、主機(jī)房D、具有門禁和視頻監(jiān)控系統(tǒng)的機(jī)房【正確答案】：B14.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，被測應(yīng)用系統(tǒng)面向業(yè)務(wù)用戶提供WEB端和APP端2種訪問方式，用戶通過WEB端注冊后，可使用相同賬戶名口令登錄APP；當(dāng)用戶使用WEB瀏覽器登錄應(yīng)用系統(tǒng)時，通過智能密碼鑰匙對口令信息進(jìn)行SM4加密后傳輸；用戶登錄手機(jī)端APP時，口令明文傳輸。則在進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機(jī)密性”測評時，口令信息測評結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C15.通過對網(wǎng)絡(luò)信道中的SSL協(xié)議數(shù)據(jù)進(jìn)行分析時，ServerHello中顯示密碼套件ID為{0xe0,0x11}，則表示雙方所協(xié)商的密鑰交換算法和加密算法分別為（）。A、SM2密鑰交換算法，SM4_CBCB、RSA公鑰加密算法，AES_CBCC、RSA公鑰加密算法，SM4_CBCD、SM2密鑰交換算法，SM1_CBC【正確答案】：A16.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，某三級信息系統(tǒng)使用了自行設(shè)計（未經(jīng)檢測認(rèn)證合格）且經(jīng)過安全性證明的密碼算法對業(yè)務(wù)系統(tǒng)重要數(shù)據(jù)進(jìn)行保護(hù)，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲機(jī)密性”指標(biāo)最高可以給（）分。A、0.25B、0C、0.5D、1【正確答案】：A17.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告風(fēng)險分析部分時，以下描述正確的是（）。A、如果系統(tǒng)中使用了SHA-1算法，那么該系統(tǒng)一定面臨高等級安全風(fēng)險B、某個測評指標(biāo)為不符合，量化評估分值為0分，經(jīng)過風(fēng)險分析后發(fā)現(xiàn)僅面臨低等級安全風(fēng)險，因此該指標(biāo)的量化評估分?jǐn)?shù)可以做相應(yīng)的調(diào)整C、如果某個安全層面的測評指標(biāo)為不符合，該指標(biāo)涉及測評對象測評對象B，其中測評對象A經(jīng)分析后面臨高等級安全風(fēng)險，測評對象B經(jīng)分析后面臨中等級安全風(fēng)險，那么該測評指標(biāo)的最終風(fēng)險等級應(yīng)該為中D、如果對測評結(jié)果中所有的不符合和部分符合項進(jìn)行分析后發(fā)現(xiàn)存在高風(fēng)險項，則認(rèn)為信息系統(tǒng)面臨高風(fēng)險；同時也需要考慮多個中低風(fēng)險疊加可能導(dǎo)致的高風(fēng)險問題【正確答案】：D18.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，對采用密碼技術(shù)實現(xiàn)數(shù)據(jù)完整性和機(jī)密性保護(hù)，說法錯誤的是（）。A、業(yè)務(wù)系統(tǒng)中對身份證號、手機(jī)號等重要個人信息不應(yīng)采用雜湊算法保證其機(jī)密性B、數(shù)據(jù)完整性保護(hù)主要基于雜湊算法或數(shù)字簽名算法實現(xiàn)C、數(shù)據(jù)機(jī)密性主要基于對稱或非對稱密碼算法實現(xiàn)D、數(shù)據(jù)完整性和機(jī)密性應(yīng)使用相同的密碼算法實現(xiàn)【正確答案】：D19.以下不屬于GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》的內(nèi)容是（）。A、通用測評要求B、整體測評要求C、測評方案編制D、測評結(jié)論【正確答案】：C20.某已建信息系統(tǒng)依據(jù)GM/T39786第三級要求進(jìn)行密碼應(yīng)用改造過程中，制定并正式發(fā)布了密碼應(yīng)用安全管理制度，制度中包含應(yīng)急處置相關(guān)規(guī)定，其中要求密碼應(yīng)用安全事件處置完成后應(yīng)及時向信息系統(tǒng)主管部門及歸屬的密碼管理部門報告事件發(fā)生情況及處置情況，并制定了應(yīng)急處置記錄模板及安全事件報告模板；信息系統(tǒng)自投入運行以來尚未發(fā)生密碼應(yīng)用安全事件；經(jīng)核查該系統(tǒng)密碼應(yīng)用方案及其評估意見，管理指標(biāo)均為適用。則密評機(jī)構(gòu)在開展應(yīng)急處置層面“向有關(guān)主管部門上報處置情況”指標(biāo)測評時，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，最合適的判定結(jié)果為（

）。A、符合B、部分符合C、不符合D、不適用【正確答案】：A21.某三級信息系統(tǒng)，制定了密碼安全應(yīng)急策略，規(guī)定了相關(guān)應(yīng)急事件處置措施和流程，明確了密碼應(yīng)用應(yīng)急事件處置完成后及時向當(dāng)?shù)孛艽a管理部門報告事件發(fā)生和處置情況。該系統(tǒng)目前未發(fā)生過密碼應(yīng)用安全事件，無相應(yīng)處置記錄。針對“應(yīng)急處置”層面的“事件處置”指標(biāo)最高可以給（）分。A、1B、0.25C、0.5D、0【正確答案】：A22.管理員在互聯(lián)網(wǎng)通過SSLVPN接入系信息統(tǒng)內(nèi)網(wǎng)，再登錄堡壘機(jī)后采用SSH協(xié)議對設(shè)備進(jìn)行遠(yuǎn)程管理，則在網(wǎng)絡(luò)和通信安全層面的測評對象為（）。A、瀏覽器與SSLVPN之間的通信信道B、堡壘機(jī)與設(shè)備之間的通信信道C、瀏覽器與堡壘機(jī)之間的通信信道D、瀏覽器與設(shè)備之間的通信信道【正確答案】：A23.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)在對網(wǎng)絡(luò)和通信安全層面測評過程中發(fā)現(xiàn)，非國密瀏覽器（未通過商用密碼檢測認(rèn)證）和安全認(rèn)證網(wǎng)關(guān)（經(jīng)檢測認(rèn)證的二級密碼模塊）之間通信信道使用自簽的RSA-2048數(shù)字證書進(jìn)行身份鑒別，則該測評對象在“身份鑒別”的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：B24.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果管理制度、人員管理、建設(shè)運行、應(yīng)急處置四個方面的分?jǐn)?shù)分別為1、1、0.5、0.5，則密碼應(yīng)用管理方面的總體得分為（）。A、23B、24C、25D、26【正確答案】：A25.某三級信息系統(tǒng)的重要數(shù)據(jù)包括用戶口令、日志信息、業(yè)務(wù)數(shù)據(jù)，這三類數(shù)據(jù)的存儲機(jī)密性量化評估分值分別為0.25、0.5、0.25，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲機(jī)密性”的測評單元得分為（）。A、0.3333B、1C、0.5D、0.25【正確答案】：A26.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在（）的情況下，引用密評報告結(jié)論時可對其相關(guān)內(nèi)容進(jìn)行修改。A、任何情況都不允許B、系統(tǒng)發(fā)生變動C、委托方授權(quán)D、測評機(jī)構(gòu)同意【正確答案】：A27.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告附錄部分，“密評活動有效性證明記錄”不涉及（）。A、密評委托證明B、密評人員差旅票證及住宿票證C、密評報告評審記錄D、密評人員資格情況【正確答案】：B28.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，校準(zhǔn)本次測評過程中可能用到的測評工具，發(fā)生在（）測評活動中。A、測評準(zhǔn)備活動B、方案編制活動C、現(xiàn)場測評活動D、分析與報告編制活動【正確答案】：A29.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級網(wǎng)銀系統(tǒng)用戶通過智能密碼鑰匙（經(jīng)檢測認(rèn)證的二級密碼模塊）使用美國GlobalSign頒發(fā)的SHA-256WtihRSA-2048算法數(shù)字證書登錄網(wǎng)銀系統(tǒng)，則該測評對象分值最合理的是為（）。A、0B、0.25C、0.5D、1【正確答案】：B30.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下屬于設(shè)備和計算安全層面測評內(nèi)容的是（）。A、核查是否采用密碼技術(shù)對設(shè)備操作人員等登錄設(shè)備的用戶進(jìn)行身份鑒別B、核查是否采用密碼技術(shù)對網(wǎng)絡(luò)邊界訪問控制信息進(jìn)行完整性保護(hù)C、核查是否采用密碼技術(shù)對從外部連接到內(nèi)部網(wǎng)絡(luò)的設(shè)備進(jìn)行接入認(rèn)證D、核查是否采用密碼技術(shù)對應(yīng)用的重要信息資源安全標(biāo)記進(jìn)行完整性保護(hù)【正確答案】：A31.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，密評機(jī)構(gòu)在對某行業(yè)信息系統(tǒng)測評過程中，發(fā)現(xiàn)系統(tǒng)中使用了某特殊算法（由經(jīng)檢測認(rèn)證的密碼產(chǎn)品實現(xiàn)），系統(tǒng)方出具了國家密碼管理部門同意在該行業(yè)內(nèi)使用該算法的證明文件，但該算法并未以國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)形式發(fā)布。針對此情形，“密碼算法合規(guī)性”應(yīng)選擇以下哪種判定結(jié)果（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：A32.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)采用經(jīng)檢測認(rèn)證合格的服務(wù)器密碼機(jī)（密碼模塊安全等級為一級），通過SM4算法對用戶登錄口令的傳輸進(jìn)行機(jī)密性保護(hù)，其應(yīng)用和數(shù)據(jù)安全層面的數(shù)據(jù)傳輸機(jī)密性指標(biāo)的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C33.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某二級信息系統(tǒng)對應(yīng)用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)，系統(tǒng)通過調(diào)用服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證的一級密碼模塊）使用AES-256算法實現(xiàn)個人敏感信息存儲的機(jī)密性保護(hù)，則該測評對象的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C34.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下對信息系統(tǒng)密評報告“總體評價”章節(jié)描述錯誤的是（）。A、總體評價章節(jié)中需要體現(xiàn)本次密評所依據(jù)GB/T39786的級別要求B、總體評價章節(jié)中需要體現(xiàn)本次密評的測評結(jié)果，包括測評項的符合情況及風(fēng)險項數(shù)C、總體評價章節(jié)中需要體現(xiàn)各個層面密碼應(yīng)用實施情況，但不需要體現(xiàn)測評項的符合情況D、總體評價章節(jié)需要給出被測系統(tǒng)是否符合GB/T39786相應(yīng)等級指標(biāo)要求的測評結(jié)論【正確答案】：C35.在密評實施過程中，發(fā)現(xiàn)用戶雖然使用HMAC-SM3對口令數(shù)據(jù)進(jìn)行完整性保護(hù)，且采用認(rèn)證合格的智能密碼鑰匙生成MAC，但是只截取使用了MAC值的前8個比特，那么對應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲完整性保護(hù)”指標(biāo)判定時，以下DAK判定最為合理的是（）。A、√√√B、√××C、√√×D、×√√【正確答案】：D36.某三級信息系統(tǒng)有兩個機(jī)房A和B。其中，A機(jī)房的訪問方式為“人工值守+視頻監(jiān)控”，訪問人員經(jīng)過審批后才可登記進(jìn)入，該風(fēng)險控制措施寫入了該系統(tǒng)的密碼應(yīng)用方案中且方案通過了評估，密評人員到系統(tǒng)現(xiàn)場進(jìn)一步核實了風(fēng)險控制措施的使用條件和落實情況與方案描述相符。B機(jī)房有C和D兩個門，無論從C門還是D門進(jìn)入，都可以訪問整個機(jī)房。C門的訪問方式為（經(jīng)檢測認(rèn)證合格的）電子門禁系統(tǒng)刷卡，D門的訪問方式為ID卡。那么按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，該系統(tǒng)密評報告中，在物理和環(huán)境安全層面“身份鑒別”測評單元的判定結(jié)果為（）。A、符合，1分B、部分符合，0.5分C、部分符合，0.75分D、不符合，0分【正確答案】：D37.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在密碼應(yīng)用技術(shù)層面中，某個測評單元量化評估通常為該單元內(nèi)所有測評對象結(jié)果的（）。A、最大值B、加權(quán)平均值C、算術(shù)平均值D、幾何平均值【正確答案】：C38.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，下列密碼防護(hù)措施一定“不符合”應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機(jī)密性”測評指標(biāo)要求的是（）。A、采用SM4-CTR算法對重要用戶信息加密后傳輸B、采用SM2公鑰加密算法對口令信息加密后傳輸C、采用ZUC-EIA算法對重要用戶信息加密后傳輸D、采用ChaCha20-Poly1305算法對重要用戶信息加密后傳輸【正確答案】：C39.在分析對網(wǎng)絡(luò)信道中的SSL協(xié)議的握手協(xié)議時，在（）報文之后，相應(yīng)的數(shù)據(jù)包會被加密無法進(jìn)行解析。A、ClientKeyExchageB、ChangeCipherSpecC、CertificateVerifyD、ServerHelloDone【正確答案】：B40.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，根據(jù)威脅類型和威脅發(fā)生頻率，判斷測評結(jié)果匯總中（

）所產(chǎn)生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。A、部分符合項B、不符合項C、部分符合項或不符合項D、符合項、部分符合項和不符合項【正確答案】：C41.GB/T33190《電子文件存儲與交換格式版式文檔》中定義的（）格式是我國發(fā)布的一種自主格式，在電子證照、電子發(fā)票、電子簽章等領(lǐng)域廣泛應(yīng)用。A、PDFB、CFDC、OFDD、KFD【正確答案】：C42.某二級信息系統(tǒng)責(zé)任單位不計劃把電子門禁記錄數(shù)據(jù)存儲完整性指標(biāo)納入測評范圍，則應(yīng)在設(shè)計密碼應(yīng)用方案時（）。A、不需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性B、需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，但不需要采取風(fēng)險控制措施C、需要明確說明電子門禁記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，并且需要采取風(fēng)險控制措施D、無法作為不適用項【正確答案】：B43.某信息系統(tǒng)需要采用密碼技術(shù)實現(xiàn)數(shù)據(jù)原發(fā)行為和接收行為的不可否認(rèn)性，則應(yīng)采取的密碼技術(shù)為（）。A、SM3B、AESC、SM4D、SM2簽名算法【正確答案】：D44.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下不屬于云平臺在設(shè)備和計算安全層面的測評對象的是（）。A、物理服務(wù)器B、虛擬服務(wù)器C、云上應(yīng)用D、云服務(wù)器密碼機(jī)【正確答案】：C45.政務(wù)信息系統(tǒng)中，已經(jīng)確定的測評對象是辦公內(nèi)網(wǎng)國密瀏覽器與后臺管理系統(tǒng)之間的通信信道，則其場景是（）。A、用戶從政務(wù)外網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)B、系統(tǒng)管理員從互聯(lián)網(wǎng)訪問SSLVPN運維設(shè)備C、用戶從政務(wù)外網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)D、管理員從辦公內(nèi)網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問后臺管理系統(tǒng)【正確答案】：D46.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下哪項信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對象（）。A、交換機(jī)B、機(jī)房C、密碼設(shè)備D、服務(wù)器【正確答案】：A47.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，單元測評階段需要密評人員針對各測評單元涉及的各個測評對象，將實際獲得的多個測評結(jié)果與（）相比較，分別判斷每個測評結(jié)果與預(yù)期結(jié)果之間的符合性，綜合判定該測評對象的測評結(jié)果，從而得到每個測評對象對應(yīng)的測評結(jié)果。A、測評對象B、實際配置C、訪談內(nèi)容D、預(yù)期結(jié)果【正確答案】：D48.某信息系統(tǒng)的安全等級為第三級，被測單位認(rèn)為網(wǎng)絡(luò)與通信安全層面的安全接入認(rèn)證不適用，則應(yīng)在設(shè)計密碼應(yīng)用方案時（）。A、不需要明確說明安全接入認(rèn)證指標(biāo)的不適用性B、需要明確說明安全接入認(rèn)證指標(biāo)的不適用性，并且需要采取風(fēng)險控制措施C、需要明確說明安全接入認(rèn)證指標(biāo)的不適用性，但不需要采取風(fēng)險控制措施D、無法作為不適用項【正確答案】：C49.對于數(shù)據(jù)庫中的重要業(yè)務(wù)數(shù)據(jù)存儲完整性保護(hù)，使用SM3算法進(jìn)行保護(hù)，判定為（）。A、符合B、部分符合C、不符合D、采取了風(fēng)險緩解措施【正確答案】：C50.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在對信息系統(tǒng)給出最終測評結(jié)論時，若判定為“基本符合”，則說明該系統(tǒng)的安全防護(hù)程度達(dá)到以下哪種情況（）。A、未發(fā)現(xiàn)安全問題，不存在不符合和部分符合項B、存在不符合和部分符合項，而且存在的安全問題會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險C、存在符合項和部分符合項，但存在的安全問題不會導(dǎo)致信息系統(tǒng)面臨高等級安全風(fēng)險，且綜合得分不低于閾值D、以上都不對【正確答案】：C51.密評人員在對關(guān)鍵設(shè)備進(jìn)行現(xiàn)場檢查時，測評工具接入被測信息系統(tǒng)條件不成熟，測評方應(yīng)（）。A、模擬被測信息系統(tǒng)搭建測評環(huán)境獲取測評數(shù)據(jù)B、與被測單位協(xié)商、配合，生成必要的離線數(shù)據(jù)C、告知被測單位風(fēng)險后，接入被測系統(tǒng)獲取真實數(shù)據(jù)D、將該測評項做不適用處理【正確答案】：B52.具有商用密碼產(chǎn)品認(rèn)證證書的密碼產(chǎn)品，且實際部署與認(rèn)證通過時的狀態(tài)一致的情況下，對密碼產(chǎn)品可以直接判定為符合的指標(biāo)是（

）。A、身份鑒別B、系統(tǒng)資源訪問控制信息完整性C、日志記錄完整性D、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性【正確答案】：D53.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，密鑰更新環(huán)節(jié)可能會對密鑰安全造成安全隱患的是（）。A、按照制定的密鑰生命周期的安全管理策略執(zhí)行B、未建立密鑰已泄露或存在泄露風(fēng)險時的密鑰更新機(jī)制C、在更新密鑰過程中，填寫相關(guān)表格進(jìn)行記錄D、密鑰定期備份【正確答案】：B54.在三級信息系統(tǒng)測評中，在網(wǎng)絡(luò)和通信層面，身份鑒別、通信數(shù)據(jù)完整性、通信過程中重要數(shù)據(jù)的機(jī)密性、網(wǎng)絡(luò)邊界訪問控制信息的完整性、安全接入認(rèn)證各測評單元得分為0、0.5、0.5、0、不適用，指標(biāo)權(quán)重分別為，1、0.7、1、0.4、0.4，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該安全層面的量化得分為（）。A、0.625B、0.725C、0.5D、0.2741【正確答案】：D55.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評準(zhǔn)備活動中與項目相關(guān)的主要文檔是（）。A、項目管理計劃B、項目計劃書C、測評指導(dǎo)書D、任務(wù)書【正確答案】：B56.對于已更換商用密碼產(chǎn)品認(rèn)證證書的密碼產(chǎn)品如果未標(biāo)注密碼模塊安全等級，以下描述錯誤的是（

）。A、需要進(jìn)一步提供換證前的商用密碼產(chǎn)品型號證書B、需要確認(rèn)換證前的商用密碼產(chǎn)品型號證書的安全等級是否符合要求C、未提供安全等級證明的按照“密碼產(chǎn)品等級不符合”進(jìn)行判定D、提供密碼產(chǎn)品的密鑰管理安全措施方案，證明其符合安全要求，并按“密碼產(chǎn)品等級符合”判定【正確答案】：D57.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下哪項測評指標(biāo)在密碼應(yīng)用技術(shù)測評要求的四個安全層面均有涉及（）。A、重要數(shù)據(jù)傳輸機(jī)密性B、身份鑒別C、日志記錄完整性D、不可否認(rèn)性【正確答案】：B58.密評過程中，依據(jù)（）標(biāo)準(zhǔn)進(jìn)行IPSec協(xié)議數(shù)據(jù)的分析。A、GM/T0022《IPSecVPN技術(shù)規(guī)范》B、GM/T0023《IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》C、GM/T0024《SSLVPN技術(shù)規(guī)范》D、GM/T0025《SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》【正確答案】：A59.通過對網(wǎng)絡(luò)信道中的國密SSL協(xié)議數(shù)據(jù)進(jìn)行分析時，按照GM/T0024《SSLVPN技術(shù)規(guī)范》，實現(xiàn)標(biāo)識為ECC的密碼算法和實現(xiàn)標(biāo)識為IBC的算法分別為（）A、SM3，SM2B、ECDSA，RSAC、SM2，SM9D、SM3,SM9【正確答案】：C60.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，信息系統(tǒng)在對應(yīng)用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)重要業(yè)務(wù)數(shù)據(jù)使用SM3算法實現(xiàn)數(shù)據(jù)存儲的完整性保護(hù)，則該測評對象的“數(shù)據(jù)存儲完整性保護(hù)”的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：A61.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為2時表示口令采用（）密碼算法進(jìn)行雜湊后存儲。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：B62.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評工作中可能面臨的風(fēng)險，正確的是（）。A、驗證測試可能影響被測信息系統(tǒng)正常運行B、工具測試可能影響被測信息系統(tǒng)正常運行C、可能導(dǎo)致被測信息系統(tǒng)敏感信息泄露D、以上都是【正確答案】：D63.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，信息系統(tǒng)商用密碼應(yīng)用安全性評估的評估結(jié)論能夠判定為符合的情況是（）。A、系統(tǒng)綜合得分不低于60分B、系統(tǒng)密碼得分為100分C、系統(tǒng)密碼應(yīng)用無中、高風(fēng)險D、系統(tǒng)綜合得分不低于60分且系統(tǒng)密碼應(yīng)用無高風(fēng)險【正確答案】：B64.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)基于GMSSL協(xié)議使用安全瀏覽器訪問堡壘機(jī)，GMSSL協(xié)議使用了基于SM3WithSM2算法的數(shù)字證書，且數(shù)字證書由合規(guī)的CA機(jī)構(gòu)頒發(fā)，則堡壘機(jī)的“身份鑒別”指標(biāo)應(yīng)判定為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：D65.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，從DAK三個角度對信息系統(tǒng)進(jìn)行量化評估，其中D表示（）。A、密碼算法合規(guī)性B、密碼算法有效性C、密碼使用合規(guī)性D、密碼使用有效性【正確答案】：D66.某三級信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計算MAC值后與數(shù)據(jù)原文一同存儲在數(shù)據(jù)庫中，密碼運算為軟件實現(xiàn)，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：C67.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在對信息系統(tǒng)進(jìn)行商用密碼應(yīng)用安全性評估時，需保證實施密評活動的人員中至少（）通過密評人員考試。A、1名B、2名C、全員D、無具體要求【正確答案】：B68.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)四個層面的分?jǐn)?shù)分別為1、1、0.5、0.5，則密碼應(yīng)用技術(shù)方面的總體得分為（）。A、50B、45C、55D、60【正確答案】：A69.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下不屬于建設(shè)運行層面第三級信息系統(tǒng)測評指標(biāo)的是（）。A、制定密碼應(yīng)用方案B、制定密鑰安全管理策略C、投入運行前進(jìn)行商用密碼應(yīng)用安全性評估D、密鑰管理規(guī)則【正確答案】：D70.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，以下不存在缺陷或沒有安全問題警示的密碼技術(shù)是（）。A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0【正確答案】：B71.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某機(jī)關(guān)政務(wù)應(yīng)用系統(tǒng)用戶登錄調(diào)用外部系統(tǒng)提供的身份鑒別服務(wù)，外部系統(tǒng)采用靜態(tài)口令和手機(jī)驗證碼組合的身份鑒別方式，在對該政務(wù)應(yīng)用系統(tǒng)進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“身份鑒別”指標(biāo)測評時，最合適的判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：C72.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，密評報告中給出的評估結(jié)論僅對被測信息系統(tǒng)（

）的安全狀態(tài)有效。A、當(dāng)年B、當(dāng)月C、建成時D、被測時【正確答案】：D73.以下哪些密碼產(chǎn)品適用于GM/T0028《密碼模塊安全技術(shù)要求》（）。A、服務(wù)器密碼機(jī)B、安全芯片CA/KM系統(tǒng)D、電子簽章系統(tǒng)【正確答案】：A74.下列Wireshark過濾表達(dá)式（）可以捕獲所有發(fā)往或來自IP地址00的HTTPS流量。A、http.host==00B、ip.addr==00&&tcp.port==443C、http.request.method=="GET"&&ip.addr==00D、ip.addr==00&&tcp.port==80【正確答案】：B75.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在密碼應(yīng)用技術(shù)各層面的測評對象的量化評估結(jié)果可能是（）。A、{0,0.5,1}B、{0,0.25,0.5,1}C、{0,1}D、{0,0.5,0.75,1}【正確答案】：B76.某信息系統(tǒng)部署了B兩臺服務(wù)器，其生產(chǎn)廠商、型號和操作系統(tǒng)版本等都相同，購買后對服務(wù)器A的身份鑒別進(jìn)行了改造，測評時對服務(wù)器的身份鑒別量化評估方法為（）。A、D/A/K均以兩個服務(wù)器的實際應(yīng)用情況各自賦分B、D/A/K均以未改造服務(wù)器B的實際應(yīng)用情況賦分C、D/A/K均以未改造服務(wù)器A的實際應(yīng)用情況賦分D、依據(jù)被測單位要求對服務(wù)器賦分【正確答案】：A77.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下不是設(shè)備和計算安全層面的測評對象的是（）。A、數(shù)據(jù)庫管理系統(tǒng)B、虛擬設(shè)備C、OA辦公系統(tǒng)D、電子簽章系統(tǒng)【正確答案】：C78.SSL協(xié)議密鑰協(xié)商過程中，如果密鑰交換算法為ECC，則客戶端應(yīng)產(chǎn)生預(yù)主密鑰，并采用服務(wù)端的（）進(jìn)行加密并放在ClientKeyExchange消息中發(fā)送給服務(wù)端。A、簽名私鑰B、簽名私鑰C、簽名公鑰D、加密公鑰【正確答案】：D79.密評過程中，采用端口掃描主要用于探測和識別被測信息系統(tǒng)中的VPN、服務(wù)器密碼機(jī)、數(shù)據(jù)庫服務(wù)器等設(shè)備開放的端口服務(wù)，如果發(fā)現(xiàn)（）端口是開放的，一般可以作為SSLVPN服務(wù)開啟的輔助證據(jù)之一。A、443B、3389C、500D、22【正確答案】：A80.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護(hù)對象不包括（）。A、網(wǎng)絡(luò)和通信安全層面的通信信道B、不同應(yīng)用用戶C、重要數(shù)據(jù)D、通用交換機(jī)【正確答案】：D81.某三級信息系統(tǒng)在設(shè)備和計算安全層面測評過程中，對某個密碼設(shè)備（經(jīng)檢測認(rèn)證的二級密碼模塊）進(jìn)行測評時，發(fā)現(xiàn)設(shè)備的登錄采用了WEB登錄方式，登錄界面需要輸入用戶名+口令，口令經(jīng)過加鹽使用SM3計算雜湊后傳輸，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該測評對象的“身份鑒別”的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：A82.某二級信息系統(tǒng)責(zé)任單位不計劃把視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)納入測評范圍，在設(shè)計密碼應(yīng)用方案時（）。A、不需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性B、需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，但不需要采取風(fēng)險控制措施C、需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，并且需要采取風(fēng)險控制措施D、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)無法作為不適用項【正確答案】：A83.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評檢查點確定時，應(yīng)充分考慮到（）。A、密碼產(chǎn)品是否正確配置B、檢查的可行性和風(fēng)險，對被測信息系統(tǒng)的影響C、承載核心資產(chǎn)流轉(zhuǎn)的設(shè)備D、系統(tǒng)采用的密碼服務(wù)情況【正確答案】：B84.某三級信息系統(tǒng)部署在云平臺上，則承載該信息系統(tǒng)的云平臺的安全保護(hù)等級不低于第（）級。A、一B、二C、三D、四【正確答案】：C85.在測評過程中會常遇到的以"BEGIN..."開頭,"END..."結(jié)尾的數(shù)據(jù)編碼格式是（）。A、Base64B、PEMC、BERD、DER【正確答案】：B86.某信息系統(tǒng)部署了1臺經(jīng)檢測認(rèn)證合格的SSLVPN，則在設(shè)備和計算安全層面，關(guān)于該SSLVPN，哪些指標(biāo)不能直接判定為符合（）。A、身份鑒別B、系統(tǒng)資源訪問控制信息完整性C、日志記錄完整性D、重要可執(zhí)行程序完整性【正確答案】：A87.在測評某信息系統(tǒng)機(jī)房時，發(fā)現(xiàn)該機(jī)房有A和B兩個門，其中機(jī)房管理員、設(shè)備維護(hù)和管理等人員通常從A門（使用經(jīng)檢測認(rèn)證的電子門禁系統(tǒng)）刷門禁卡進(jìn)入；B門（刷Mifare門禁卡進(jìn)入）平時幾乎不用。按照GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，物理和環(huán)境安全層面“身份鑒別”指標(biāo)的判定結(jié)果，最合適的是（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：C88.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，能夠最有效緩解應(yīng)用和數(shù)據(jù)層面重要數(shù)據(jù)存儲機(jī)密性安全風(fēng)險的方式是（）。A、使用MD5算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)B、使用SM4算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)C、使用SM3算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)D、使用SHA-256算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)【正確答案】：B89.以下因素（）可能導(dǎo)致數(shù)字簽名功能不正確。A、簽名中使用固定的隨機(jī)數(shù)B、待簽消息比SM3雜湊值長C、簽名中使用不可預(yù)測的隨機(jī)數(shù)D、使用私鑰簽名【正確答案】：A90.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)的網(wǎng)絡(luò)和通信安全層面測評對象包括IPSecVPN通信信道和SSLVPN通信信道，密評人員經(jīng)測評后發(fā)現(xiàn)，針對“通信數(shù)據(jù)完整性”測評單元，IPSecVPN通信信道符合要求，SSLVPN通信信道不符合要求。那么該信息系統(tǒng)在網(wǎng)絡(luò)和通信安全層面“通信數(shù)據(jù)完整性”測評單元的最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：B91.某三級信息系統(tǒng)只能在機(jī)房通過堡壘機(jī)對服務(wù)器進(jìn)行運維管理，則設(shè)備和計算安全層面堡壘機(jī)、服務(wù)器關(guān)于“遠(yuǎn)程管理通道安全”測評指標(biāo)的適用性分別為（）。A、不適用，不適用B、不適用，適用C、適用，不適用D、適用，適用【正確答案】：B92.某三級信息系統(tǒng)用戶端與服務(wù)端之間進(jìn)行通信時，只對服務(wù)端進(jìn)行了基于密碼的身份鑒別且身份鑒別機(jī)制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”指標(biāo)最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：D93.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，已知某個測評單元有5個測評對象，量化評估結(jié)果分別為1，1，1，1，0，則該測評單元得分為（）。A、1B、0C、0.8D、0.5【正確答案】：C94.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，IKEAttribute顯示雜湊算法ID為20，那么該協(xié)議所使用的雜湊算法是（）。A、SM3B、SHA1C、MD5D、SHA-256【正確答案】：A95.國家密碼管理局發(fā)布《關(guān)于規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案工作的通知》，進(jìn)一步規(guī)范了商用密碼應(yīng)用安全性評估結(jié)果備案相關(guān)工作。通知中要求，各地區(qū)網(wǎng)絡(luò)與信息系統(tǒng)運營者應(yīng)當(dāng)在密評報告出具之日起（

）日內(nèi)，填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評備案信息表》，連同密評報告報密碼管理部門備案。A、10B、30C、60D、90【正確答案】：B96.在三級系統(tǒng)測評中，某系被測信息系統(tǒng)為已在建運行系統(tǒng)，投入運行時間為2019年1月，該次測評為首次密評，則根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，建設(shè)運行層面“投入運行前進(jìn)行密碼應(yīng)用安全性評估”測評項的量化得分為（）。A、0B、0.5C、1D、不適用【正確答案】：D97.某三級信息系統(tǒng)于2019年10月建設(shè)完成并投入運行。2021年7月，該系統(tǒng)制定了密碼應(yīng)用改造方案并通過專家評審，2021年12月完成系統(tǒng)密碼應(yīng)用改造。根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，2022年1月，密評機(jī)構(gòu)在對“制定密碼應(yīng)用方案”進(jìn)行測評時，該測評單元的量化評估得分為（）。A、0B、0.5C、1D、不適用【正確答案】：C98.某系統(tǒng)采用了未經(jīng)安全性論證的密碼通信協(xié)議，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，則該情況屬于哪種風(fēng)險（）。A、密碼算法層面的風(fēng)險B、密碼產(chǎn)品層面的風(fēng)險C、密碼技術(shù)層的面風(fēng)險D、密碼服務(wù)層面的風(fēng)險【正確答案】：C99.下列關(guān)于應(yīng)用和數(shù)據(jù)安全層面“訪問控制信息完整性”指標(biāo)測評的說法中不正確的是（）。A、被測應(yīng)用系統(tǒng)無身份鑒別模塊，則該項測評指標(biāo)不適用B、保護(hù)對象可能包括用戶角色配置信息、角色權(quán)限配置信息C、如使用數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)，則可使用公鑰對存儲的簽名結(jié)果進(jìn)行驗證D、如果以外接服務(wù)器密碼機(jī)等密碼產(chǎn)品的形式實現(xiàn)，還需要核實密碼產(chǎn)品是否真正被調(diào)用【正確答案】：A100.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在量化評估框架中，字母K表示（）。A、CryptographyKeySecurityB、KeymanagementsecurityC、KeyconfidentialityD、Cryptographickeylifecyclemanagement【正確答案】：B1.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在對某二級信息系統(tǒng)進(jìn)行“建立上崗人員培訓(xùn)制度”指標(biāo)的測評時，下列哪些可能成為核查的對象（）。A、人員培訓(xùn)管理制度B、培訓(xùn)計劃C、培訓(xùn)簽到表D、安全教育類文檔【正確答案】：ABCD2.在測評某一信息系統(tǒng)時，其設(shè)備和計算安全層面可能涉及的測評對象有（）。A、數(shù)據(jù)庫管理系統(tǒng)B、虛擬機(jī)C、應(yīng)用服務(wù)器D、VPN網(wǎng)關(guān)【正確答案】：ABCD3.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，系統(tǒng)密評報告中關(guān)于風(fēng)險分析的體現(xiàn)，以下表述不合理的是（）。A、如果被測系統(tǒng)確實涉及《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中描述的高風(fēng)險安全問題，那么測評結(jié)果記錄中相關(guān)指標(biāo)或測評對象的量化評估分值一定是0分B、風(fēng)險分析過程需要結(jié)合整體測評結(jié)果中的部分符合項或不符合項的關(guān)聯(lián)威脅C、如果系統(tǒng)涉及高風(fēng)險判例中的問題場景，則需要在報告附錄A中，按照實際評估結(jié)果進(jìn)行填寫，針對該測評項判定為不符合或部分符合，在風(fēng)險分析時需要核查針對該安全風(fēng)險是否存在緩解措施D、被測系統(tǒng)的風(fēng)險分析結(jié)果與被測系統(tǒng)的安全保護(hù)等級無關(guān)，即風(fēng)險分析過程中不用考慮被測系統(tǒng)的安全保護(hù)等級【正確答案】：AD4.在對某三級信息系統(tǒng)設(shè)備和安全層面“身份鑒別”進(jìn)行測評時，該系統(tǒng)三臺操作系統(tǒng)和硬件型號均相同的服務(wù)器密碼機(jī)分值分別為0.25、0.5、0，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，以下說法正確的是（）。A、三臺服務(wù)器密碼機(jī)可能均具有商用密碼產(chǎn)品認(rèn)證證書B、三臺服務(wù)器密碼機(jī)可能均不具有商用密碼產(chǎn)品認(rèn)證證書C、三臺密碼機(jī)作為同一測評對象時的分值為0D、三臺密碼機(jī)作為同一測評對象時的分值為0.5【正確答案】：ABC5.某三級信息系統(tǒng)在測評過程中發(fā)現(xiàn)物理和環(huán)境安全層面不適用，網(wǎng)絡(luò)和通信安全層面分值為0.75，設(shè)備和計算安全層面分值為0.6，應(yīng)用和數(shù)據(jù)安全層面分值為0.325，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，以下說法不正確的是（）。A、如果安全管理四個層面分值均為1，該系統(tǒng)量化評估分值為60.75B、安全管理四個層面分值均為1，該系統(tǒng)量化評估分值為67.50C、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為30.75D、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為37.50【正確答案】：ACD6.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，關(guān)于設(shè)備和計算安全層面的判定結(jié)果，以下說法正確的是（）。A、某三級信息系統(tǒng)，采用經(jīng)檢測認(rèn)證的服務(wù)器密碼機(jī)，其密碼模塊等級為二級，調(diào)用其SM4-CBC模式的加密算法接口，對應(yīng)用服務(wù)器的日志記錄進(jìn)行加密，測評人員判定該應(yīng)用服務(wù)器“日志記錄完整性”為不符合B、某二級信息系統(tǒng)，采用經(jīng)檢測認(rèn)證的簽名驗簽服務(wù)器，其密碼模塊等級為一級，調(diào)用其SM3算法接口，對應(yīng)用服務(wù)器的系統(tǒng)資源訪問控制信息進(jìn)行雜湊運算，測評人員判定該應(yīng)用服務(wù)器“系統(tǒng)資源訪問控制信息完整性”為不符合C、某信息系統(tǒng)采用智能密碼鑰匙登錄簽名驗簽服務(wù)器，智能密碼鑰匙和簽名驗簽服務(wù)器均經(jīng)過檢測認(rèn)證，密碼模塊均達(dá)到了相應(yīng)等級安全要求，并采用了符合GB/T15843標(biāo)準(zhǔn)要求的身份鑒別機(jī)制，測評人員判定該簽名驗簽服務(wù)器“身份鑒別”為符合D、某三級信息系統(tǒng)部署了經(jīng)檢測認(rèn)證的服務(wù)器密碼機(jī)，其密碼模塊等級為二級，測評人員判定服務(wù)器密碼機(jī)“身份鑒別”為符合【正確答案】：ABC7.GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，不單獨判定符合性的測評單元有以下哪些（）。A、密碼算法合規(guī)性B、密碼產(chǎn)品合規(guī)性C、身份鑒別D、密鑰管理有效性【正確答案】：AB8.某信息系統(tǒng)部署在跨兩地的主備機(jī)房，關(guān)于兩個機(jī)房物理和環(huán)境安全層面的量化評估，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，以下說法正確的有（）。A、應(yīng)選取兩個機(jī)房作為測評對象，每項測評單元量化評估結(jié)果應(yīng)為兩機(jī)房量化評估分?jǐn)?shù)的較低值B、應(yīng)選取兩個機(jī)房作為測評對象，每項測評單元量化評估結(jié)果應(yīng)為兩機(jī)房量化評估分?jǐn)?shù)的算術(shù)平均值C、若已通過專家評估的密碼應(yīng)用方案中將備份機(jī)房列為不適用，密評時應(yīng)選取主機(jī)房做為測評對象（備份機(jī)房作為不適用），每項測評單元量化評估結(jié)果應(yīng)為主機(jī)房對應(yīng)測評單元的量化結(jié)果D、應(yīng)選取兩個機(jī)房作為測評對象，但應(yīng)為兩個機(jī)房分配不同的權(quán)重，每項測評單元量化評估結(jié)果應(yīng)為兩機(jī)房量化評估分?jǐn)?shù)的加權(quán)平均值【正確答案】：BC9.對于某個三級信息系統(tǒng)，在應(yīng)用和數(shù)據(jù)安全層面測評過程中，發(fā)現(xiàn)設(shè)備的登錄采用了WEB登錄方式，登錄界面需要輸入用戶名+口令，口令經(jīng)過加鹽并利用SM3做雜湊，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，則以下說法正確的是（）。A、“身份鑒別”的量化結(jié)果分別為0B、“身份鑒別”的量化結(jié)果分別為0.25C、“重要數(shù)據(jù)傳輸機(jī)密性”的量化結(jié)果為0.5D、“重要數(shù)據(jù)存儲機(jī)密性”的量化結(jié)果為1【正確答案】：AC10.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中，對網(wǎng)絡(luò)和通信安全層面的通信實體進(jìn)行身份鑒別時，引發(fā)高風(fēng)險的原因可能是（）。A、密碼技術(shù)實現(xiàn)機(jī)制不正確或無效B、未采用基于消息鑒別碼（MAC）的機(jī)制C、未采用數(shù)字簽名機(jī)制D、采用的密碼產(chǎn)品未獲得商用密碼產(chǎn)品認(rèn)證證書【正確答案】：ABCD11.一個數(shù)據(jù)的ASN.1編碼如下：{0x30,0x12，……}，那么以下說法正確的是（）。A、這個類型是一個無序的結(jié)構(gòu)B、這是一個序列（SEQUENCE）C、其實際數(shù)據(jù)長度是18字節(jié)D、其實際數(shù)據(jù)長度是12字節(jié)【正確答案】：BC12.下列說法正確的是（）。A、《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》應(yīng)遵循法律法規(guī)和最新相關(guān)指導(dǎo)性文件的總體要求B、根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，強(qiáng)調(diào)優(yōu)先在網(wǎng)絡(luò)和通信安全層面、設(shè)備和計算安全層面和應(yīng)用和數(shù)據(jù)安全層面推進(jìn)密碼技術(shù)應(yīng)用C、根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，強(qiáng)調(diào)特別鼓勵使用合規(guī)的密碼算法/產(chǎn)品/服務(wù)D、通用要求和密碼應(yīng)用技術(shù)要求各安全層面的“密碼服務(wù)”和“密碼產(chǎn)品”指標(biāo)不單獨評價【正確答案】：ACD13.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下屬于測評準(zhǔn)備活動的輸出文檔的是（）。A、系統(tǒng)情況調(diào)研表B、簽署的合同C、選用的測評工具清單D、會議簽到表【正確答案】：ACD14.某三級信息系統(tǒng)部署了1臺商用密碼產(chǎn)品認(rèn)證證書編號均為GMxxx的SSLVPN，則針對“密碼產(chǎn)品合規(guī)性”測評內(nèi)容主要包括（）。A、核查該密碼產(chǎn)品型號、版本等信息是否與證書一致B、核查該密碼產(chǎn)品的使用是否滿足其安全運行的條件C、核查該密碼產(chǎn)品的密碼模塊安全等級是否滿足要求D、核查密碼產(chǎn)品是否對登錄用戶進(jìn)行身份鑒別【正確答案】：ABC15.某信息系統(tǒng)設(shè)備和計算安全層面，通過SM2簽名驗簽的方式對應(yīng)用服務(wù)器的日志記錄進(jìn)行完整性保護(hù)，測評人員提取了4組十六進(jìn)制字符串的SM2簽名值，以下SM2簽名值符合GM/T0009簽名數(shù)據(jù)格式要求的是（）。A、0x304402202DB887AB6768A70E9F13597BDDEBB4B16B284A8CF51DF21BCFC16B6FADC84FB70220531B8EB27F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0B、0x042DB887AB6768A70E9F13597BDDEBB4B16B284A8CF51DF21BCFC16B6FADC84FB7531B8EB27F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0C、0x30450220390E325EB7CF7BABA3698839A739DCE23504CE058597FB5931CF11154B3BB0D9022100BE9C6210A2D99840778F7E9781B8AABD1CA9060068F38902394B7A4693530F1BD、0x04390E325EB7CF7BABA3698839A739DCE23504CE058597FB5931CF11154B3BB0D9BE9C6210A2D99840778F7E9781B8AABD1CA9060068F38902394B7A4693530F1B【正確答案】：AC16.某云平臺部署了服務(wù)器密碼機(jī)對云平臺和云上應(yīng)用提供數(shù)據(jù)存儲保護(hù)，部署了電子簽章系統(tǒng)供云上應(yīng)用調(diào)用，該云平臺未通過密碼應(yīng)用安全性評估，則針對云上應(yīng)用進(jìn)行密碼應(yīng)用安全性評估時，以下描述合理的是（）。A、云平臺運行所在機(jī)房應(yīng)作為測評對象B、云平臺運行所在機(jī)房不作為測評對象C、服務(wù)器密碼機(jī)應(yīng)作為測評對象D、電子簽章系統(tǒng)應(yīng)作為測評對象【正確答案】：ACD17.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，被測信息系統(tǒng)的密評結(jié)論可能是（）。A、符合B、部分符合C、不符合D、基本符合【正確答案】：ACD18.《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中，在應(yīng)用和數(shù)據(jù)安全層面，采用以下（）措施，可以可緩解系統(tǒng)在用戶身份鑒別方面存在的安全風(fēng)險。A、采用設(shè)備指紋保證用戶身份的真實性B、采用生物指紋保證用戶身份的真實性C、采用第三方身份鑒別服務(wù)保證用戶身份的真實性D、綁定登錄用戶終端的IP地址【正確答案】：ABC19.對運行在云平臺上的云上應(yīng)用進(jìn)行密評時，特別是云平臺和云上應(yīng)用的運營者不同的情況下，關(guān)于兩者的責(zé)任和范圍界定，以下表述合理的是（）。A、針對云平臺自身密評，該部分測評的責(zé)任主體為云平臺的運營者B、針對云上應(yīng)用系統(tǒng)的密評，該部分測評的責(zé)任主體為云上應(yīng)用的運營者C、云上應(yīng)用系統(tǒng)所處的云平臺通過密評（即獲得“符合”或“基本符合”的結(jié)論）后，云上應(yīng)用系統(tǒng)才能通過密評D、云上應(yīng)用系統(tǒng)所處的云平臺的安全級別應(yīng)不低于云上應(yīng)用系統(tǒng)【正確答案】：ABCD20.某網(wǎng)站用戶需要通過瀏覽器采用HTTPS協(xié)議進(jìn)行訪問，下列哪些屬于該訪問網(wǎng)站通信信道身份鑒別測評單元可能涉及到的測評內(nèi)容（）。A、核查服務(wù)端是否采用了合規(guī)的商用密碼產(chǎn)品B、核查網(wǎng)站站點證書的證書鏈C、通過抓包分析其通信協(xié)議中對服務(wù)端的身份鑒別方法D、核查通信協(xié)議中數(shù)據(jù)傳輸加密使用的算法【正確答案】：ABC21.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，關(guān)于整體測評，以下說法錯誤的是（）。A、整體測評的輸出是密評報告的單元測評結(jié)果修正部分B、整體測評是對各個單元測評結(jié)果進(jìn)行匯總分析，統(tǒng)計符合情況C、整體測評包括測評單元間的整體測評、層面間的整體測評D、測評單元的量化評估在整體測評前完成【正確答案】：BD22.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，編制方案密評報告時，以下屬于風(fēng)險替代措施的是（）。A、機(jī)房采用人臉+指紋識別的方式對進(jìn)人人員進(jìn)行身份鑒別B、通用服務(wù)器采用指紋的方式對登錄設(shè)備用戶進(jìn)行身份鑒別C、業(yè)務(wù)應(yīng)用采用人臉識別+短信驗證碼的方式對登錄人員進(jìn)行身份鑒別D、應(yīng)用層采用了合規(guī)的密碼技術(shù)對傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)【正確答案】：ABC23.信息系統(tǒng)已確認(rèn)采用經(jīng)檢測認(rèn)證合格的商用密碼產(chǎn)品實現(xiàn)密鑰管理安全，對密鑰管理的安全性判定還需現(xiàn)場核查以下哪些內(nèi)容（）。A、根據(jù)信息系統(tǒng)的安全級別，該密碼產(chǎn)品的密碼模塊安全級別是否滿足GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》相應(yīng)安全等級的要求B、如果被測系統(tǒng)有密碼應(yīng)用方案，應(yīng)核查系統(tǒng)密鑰管理機(jī)制是否與方案一致C、由密碼產(chǎn)品產(chǎn)生的密鑰在該密碼產(chǎn)品外部進(jìn)行管理時，是否進(jìn)行了機(jī)密性和完整性保護(hù)D、該密碼產(chǎn)品是否按照產(chǎn)品配套的安全策略文檔進(jìn)行部署和使用【正確答案】：ABCD24.密評人員在檢查數(shù)據(jù)庫中存儲的口令雜湊值時，發(fā)現(xiàn)以下情況：（1）A和B有相同的口令雜湊值；（2）口令雜湊值長度均為256比特。以下分析正確的是（）。A、可以確定使用了SM3對口令進(jìn)行雜湊保護(hù)B、可能采用了MD5對口令進(jìn)行雜湊計算C、計算口令雜湊值時可能未加入用戶唯一的鹽值D、A和B可能共享相同的口令【正確答案】：CD25.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，項目計劃書應(yīng)包含（）等內(nèi)容。A、項目概述、工作依據(jù)說明B、技術(shù)思路C、不適用指標(biāo)描述D、工作內(nèi)容和項目組織安排【正確答案】：ABD26.密評過程中,以下屬于測評實施方式的是（）。A、隨機(jī)性檢測B、數(shù)字證書格式合規(guī)性檢測C、IPSec/SSL協(xié)議分析D、端口掃描【正確答案】：ABCD27.某信息系統(tǒng)所在機(jī)房部署了電子門禁系統(tǒng)進(jìn)行物理訪問身份鑒別，經(jīng)核查發(fā)現(xiàn)電子門禁系統(tǒng)基于指紋對人員進(jìn)行身份鑒別，則物理和環(huán)境安全層面“身份鑒別”測評單元如何判定，風(fēng)險等級如何變化（）。A、符合B、不符合C、風(fēng)險等級降低D、風(fēng)險等級不變【正確答案】：BC28.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，以下內(nèi)容可能會給密鑰管理帶來安全隱患的是（）。A、未采用通過檢測認(rèn)證合格的隨機(jī)數(shù)發(fā)生器生成密鑰，且無公開文獻(xiàn)和證據(jù)證明隨機(jī)數(shù)發(fā)生器的合理性和正確性B、密鑰在不可控的環(huán)境中生成C、密鑰協(xié)商之前或協(xié)商過程中沒有驗證對方身份真實性D、密鑰由具有商用密碼認(rèn)證證書的密碼產(chǎn)品產(chǎn)生【正確答案】：ABC29.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，針對網(wǎng)絡(luò)和通信安全層面“通信過程中重要數(shù)據(jù)的機(jī)密性”指標(biāo)的測評，下列哪些說法是正確的（）。A、通過抓取通信過程的數(shù)據(jù)包，可以發(fā)現(xiàn)存在重要數(shù)據(jù)為明文，因此判斷本通信信道不能保證通信過程中重要數(shù)據(jù)的機(jī)密性B、通過核查發(fā)現(xiàn)本通信信道使用的VPN設(shè)備不具有商用密碼產(chǎn)品認(rèn)證證書，因此判斷本通信信道一定不能保證通信過程中重要數(shù)據(jù)的機(jī)密性C、通過對SSL握手階段的抓包分析，獲得的服務(wù)端的SM2加密證書為可信第三方CA機(jī)構(gòu)頒發(fā)的，因此判斷本通信信道能保證通信數(shù)據(jù)機(jī)密性D、通過對SSL握手階段的抓包分析，使用的密碼套件為國外密碼算法，但能判斷本通信信道是否保證通信數(shù)據(jù)完整性【正確答案】：AD30.以下情況可能會導(dǎo)致系統(tǒng)的整體評估結(jié)論為“不符合”的是（）。A、某三級信息系統(tǒng)制定了密碼應(yīng)用方案且方案通過評審，在測評時發(fā)現(xiàn)系統(tǒng)存在一個高風(fēng)險項B、在對某運行過程中的四級信息系統(tǒng)進(jìn)行測評時發(fā)現(xiàn)，被測單位未建立任何與密碼應(yīng)用安全管理活動相關(guān)的管理制度C、某三級信息系統(tǒng)未采用密碼技術(shù)對存儲的重要數(shù)據(jù)進(jìn)行完整性保護(hù)，但系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對重要數(shù)據(jù)進(jìn)行備份D、某四級電子公文系統(tǒng)使用RSA-1024、SHA-1算法對業(yè)務(wù)員的關(guān)鍵行為進(jìn)行數(shù)字簽名，以實現(xiàn)關(guān)鍵操作行為的不可否認(rèn)性【正確答案】：ABD31.在密評中，以下屬于測評實施內(nèi)容的是（）。A、密碼算法實現(xiàn)正確性檢測B、數(shù)字證書格式合規(guī)性檢測C、隨機(jī)數(shù)質(zhì)量檢測D、與密碼相關(guān)的漏洞識別【正確答案】：ABCD32.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在對應(yīng)用和數(shù)據(jù)安全層面中的“身份鑒別”指標(biāo)測評時，應(yīng)用系統(tǒng)采用以下（）密碼技術(shù)可能被判定為“符合”或“部分符合”。A、采用SM4算法生成動態(tài)口令B、基于MD5的RSA-2048數(shù)字簽名C、SM3-HMACD、基于SHA-256的SM2數(shù)字簽名【正確答案】：ABCD33.以下關(guān)于評估結(jié)論的描述正確的是（）。A、符合：被測信息系統(tǒng)中未發(fā)現(xiàn)安全問題，測評結(jié)果中所有單元測評結(jié)果中部分符合和不符合項的統(tǒng)計結(jié)果全為0，綜合得分為100分。B、基本符合：被測信息系統(tǒng)中存在安全問題，部分符合和不符合項的統(tǒng)計結(jié)果不全為0，且綜合得分不低于閾值。C、不符合：被測信息系統(tǒng)中存在安全問題，部分符合和不符合項的統(tǒng)計結(jié)果不全為0，綜合得分低于閾值。D、不符合：被測信息系統(tǒng)存在的安全問題會導(dǎo)致被測信息系統(tǒng)面臨高等級安全風(fēng)險。【正確答案】：ACD34.信息系統(tǒng)中使用的用于業(yè)務(wù)數(shù)據(jù)保護(hù)的密鑰，以下做法不正確的是（）。A、同一個密鑰既用于加密保護(hù)又用于安全認(rèn)證B、公鑰明文存儲在數(shù)據(jù)庫中，未進(jìn)行完整性保護(hù)C、在進(jìn)行簽名驗簽前未對公鑰證書有效性進(jìn)行驗證D、對簽名私鑰進(jìn)行歸檔【正確答案】：ABCD35.根據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》附錄C提供的測評技術(shù)，在對三級信息系統(tǒng)進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲完整性”指標(biāo)測評時，預(yù)期結(jié)果包括（）。A、數(shù)據(jù)格式（簽名長度、MAC長度）符合預(yù)期B、若調(diào)用外接密碼產(chǎn)品實現(xiàn)，則調(diào)用指令、次數(shù)等符合預(yù)期C、登錄密碼產(chǎn)品查看相關(guān)配置和密碼功能調(diào)用日志，密鑰配置、日志記錄均顯示使用合規(guī)的密碼算法D、篡改存儲數(shù)據(jù)后，能夠檢測出存儲數(shù)據(jù)的完整性受到了破壞【正確答案】：ABCD36.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告單元測評部分時，需要注意（）。A、單元測評中的測評對象需要與測評對象確定結(jié)果和測評結(jié)果記錄（附錄A）中的測評對象保持一致B、單元測評結(jié)果分析中對于判定依據(jù)的相關(guān)描述需要與測評結(jié)果記錄（附錄A）中的保持一致C、單元測評中的不適用指標(biāo)應(yīng)當(dāng)與“測評范圍與方法”中確定的不適用指標(biāo)保持一致D、單元測評結(jié)果中的測評指標(biāo)符合情況需與整體測評結(jié)果中的符合情況保持一致（如果不存在測評結(jié)果修正）【正確答案】：ABCD37.根據(jù)GM/T0005《隨機(jī)性檢測規(guī)范》，可以對被測數(shù)據(jù)的（）進(jìn)行分析。A、單比特頻數(shù)檢測B、自相關(guān)性C、完整性D、不可否認(rèn)性【正確答案】：AB38.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下關(guān)于信息系統(tǒng)密評報告的安全問題及改進(jìn)建議部分編制要求，描述正確的有（）。A、問題描述部分只需要將被測系統(tǒng)中主要問題列舉出，無需逐一列出被測系統(tǒng)存在的密碼應(yīng)用安全問題B、問題描述部分可根據(jù)報告“風(fēng)險分析”章節(jié)中描述，按照各安全層面順序，逐一列出被測系統(tǒng)存在的密碼應(yīng)用安全問題C、改進(jìn)建議要在符合密評要求的基礎(chǔ)上，充分考慮其在被測系統(tǒng)中的可行性D、改進(jìn)建議提供通用的解決方案，能夠滿足密評要求即可，不用考慮其在被測系統(tǒng)中的可行性【正確答案】：BC39.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下可作為設(shè)備和計算安全層面測評對象的是（）。A、具有密碼功能的網(wǎng)絡(luò)及安全設(shè)備B、服務(wù)器密碼機(jī)C、密鑰管理系統(tǒng)D、數(shù)據(jù)庫管理系統(tǒng)【正確答案】：ABCD40.某應(yīng)用系統(tǒng)通過主客代理模塊對數(shù)據(jù)和用戶進(jìn)行標(biāo)記，實現(xiàn)基于安全標(biāo)記的強(qiáng)制訪問控制，在對該應(yīng)用系統(tǒng)進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“重要信息資源安全標(biāo)記完整性”測評時，了解到信息系統(tǒng)內(nèi)僅部署了一臺服務(wù)器密碼機(jī)提供密碼運算支撐。依據(jù)GM/T0122《信息系統(tǒng)密碼應(yīng)用測評要求》，經(jīng)進(jìn)一步核查，該測評單元可能的測評結(jié)果有（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：ABC41.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，下列說法正確的是（）。A、若一個測評對象涉及多個密碼算法/產(chǎn)品/服務(wù)/密鑰，D/A/K都按照最低分值給分B、密碼應(yīng)用管理要求不針對各個測評對象的測評結(jié)果進(jìn)行量化評估，其中符合為1分，不符合為0分，部分符合為0.5分C、通用要求和密碼應(yīng)用技術(shù)要求各安全層面的“密碼服務(wù)”和“密碼產(chǎn)品”指標(biāo)不單獨評價D、若某測評對象使用了經(jīng)檢測認(rèn)證的密碼產(chǎn)品且滿足相應(yīng)的密碼模塊要求，但使用的密碼算法/技術(shù)不合規(guī)，則為部分符合，該測評對象量化評估結(jié)果為0.5【正確答案】：ABCD42.根據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，重要數(shù)據(jù)傳輸時在以下（）鏈路不會在網(wǎng)絡(luò)和通信安全層面、應(yīng)用和數(shù)據(jù)安全層面發(fā)生重疊。A、發(fā)送方客戶端到其網(wǎng)絡(luò)出口IPSecVPN之前B、發(fā)送方IPSecVPN與接收方IPSecVPN之間C、重要數(shù)據(jù)在ESP協(xié)議保護(hù)下傳輸時D、接收方網(wǎng)絡(luò)出口IPSecVPN到應(yīng)用服務(wù)器【正確答案】：AD43.對信息系統(tǒng)進(jìn)行測評時，針對整機(jī)類密碼產(chǎn)品（如IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認(rèn)證網(wǎng)關(guān)、金融數(shù)據(jù)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗簽服務(wù)器、時間戳服務(wù)器、云服務(wù)器密碼機(jī)等）、系統(tǒng)類密碼產(chǎn)品（如動態(tài)令牌認(rèn)證系統(tǒng)、證書認(rèn)證系統(tǒng)、證書認(rèn)證密鑰管理系統(tǒng)等），以下表述正確的是（）。A、以“具有相同商用密碼產(chǎn)品認(rèn)證證書編號的密碼產(chǎn)品”為粒度確定測評對象B、具有同一商用密碼產(chǎn)品認(rèn)證證書的密碼產(chǎn)品作為一個測評對象C、同一廠家密碼產(chǎn)品作為一個測評對象D、對密碼產(chǎn)品類測評對象進(jìn)行量化評估時，D/A/K均以各測評對象所包含的各個整機(jī)類的密碼產(chǎn)品或系統(tǒng)類密碼產(chǎn)品的實際應(yīng)用情況的最低分值賦分【正確答案】：ABD44.堡壘機(jī)使用合規(guī)的智能密碼鑰匙進(jìn)行身份鑒別，對通用服務(wù)器、數(shù)據(jù)庫進(jìn)行統(tǒng)一管理，針對通用服務(wù)器和數(shù)據(jù)庫采用用戶名+口令方式實現(xiàn)身份鑒別的情況，以下關(guān)于通用服務(wù)器、數(shù)據(jù)庫身份鑒別判定合理的是（）。A、判定通用服務(wù)器和數(shù)據(jù)庫為部分符合B、判定通用服務(wù)器和數(shù)據(jù)庫為不符合C、判定通用服務(wù)器和數(shù)據(jù)庫采取了風(fēng)險緩解措施D、判定通用服務(wù)器和數(shù)據(jù)庫為高風(fēng)險【正確答案】：BC45.GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中，信息系統(tǒng)安全管理方面的要求都包括（）。A、管理制度要求B、人員管理要求C、建設(shè)運行要求D、應(yīng)急處置要求【正確答案】：ABCD46.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中，使用（）方法不會觸發(fā)應(yīng)用和數(shù)據(jù)層面“重要數(shù)據(jù)傳輸機(jī)密性”的風(fēng)險判定。A、采用標(biāo)準(zhǔn)tls1.2協(xié)議B、基于SM4-CBC對稱密碼算法C、基于SM2非對稱密碼算法D、基于Base64編碼的方式【正確答案】：ABC47.在測評時發(fā)現(xiàn)某信息系統(tǒng)數(shù)據(jù)庫中某數(shù)據(jù)雜湊值長度為256比特，則其使用的算法可能為（）。A、SHA3-256B、SM3C、SHA-256D、SHA1【正確答案】：ABC48.對數(shù)字證書分析時，其數(shù)字證書的擴(kuò)展名是cer，那么它可能的編碼方式是（）。A、BASE64編碼B、二進(jìn)制DER編碼C、Goppa編碼D、BCH編碼【正確答案】：AB49.某機(jī)房電子門禁記錄數(shù)據(jù)完整性保護(hù)通過服務(wù)器密碼機(jī)的HMAC實現(xiàn)，以下哪些屬于電子門禁記錄數(shù)據(jù)存儲完整性測評單元的測評方法（）。A、核查電子門禁系統(tǒng)的商用密碼產(chǎn)品認(rèn)證證書B、核查服務(wù)器密碼機(jī)的商用密碼產(chǎn)品認(rèn)證證書C、核查是否能夠修改電子門禁記錄D、核查是否能夠發(fā)現(xiàn)修改電子門禁記錄數(shù)據(jù)【正確答案】：BCD50.某信息系統(tǒng)在國密改造實施技術(shù)文檔中標(biāo)明，采用SM2簽名驗簽的機(jī)制對應(yīng)用服務(wù)器日志記錄進(jìn)行完整性保護(hù)，并采用HMAC-SM3算法對系統(tǒng)資源訪問控制信息進(jìn)行完整性保護(hù)，兩名密碼操作員可使用智能密碼鑰匙登錄簽名驗簽服務(wù)器，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下關(guān)于測評人員在測評實施中，屬于錯誤判定的是（）。A、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲SM2簽名的字段值長度為256位，因此判定日志記錄完整性保護(hù)可能未使用SM2簽名驗簽機(jī)制B、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲HMAC-SM3的字段值長度為128位，因此判定系統(tǒng)資源訪問控制信息完整性保護(hù)使用的不是HMAC-SM3算法C、測評人員經(jīng)核查發(fā)現(xiàn)，智能密碼鑰匙設(shè)置的口令長度不小于6個字符，使用錯誤口令登錄的次數(shù)限制不超過10次，因此判定智能密鑰鑰匙的口令相關(guān)設(shè)置不符合GM/T0027的要求D、測評人員經(jīng)核查發(fā)現(xiàn)，兩名密碼操作員都使用了合規(guī)CA機(jī)構(gòu)簽發(fā)的同一張數(shù)字證書，證書在有效期內(nèi)，且進(jìn)行了證書的有效性驗證，因此判定數(shù)字證書的簽發(fā)和使用符合密評相關(guān)標(biāo)準(zhǔn)要求【正確答案】：BCD51.以下屬于云平臺被完全評估的支撐能力的是（）。A、云機(jī)房B、密碼設(shè)備C、服務(wù)器實體機(jī)D、虛擬密碼設(shè)備【正確答案】：ABCD52.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，關(guān)于設(shè)備和計算安全層面“日志記錄完整性”測評指標(biāo)，以下屬于該項密鑰管理核查內(nèi)容的是（）。A、若密鑰管理使用的密碼產(chǎn)品符合密碼模塊相關(guān)標(biāo)準(zhǔn)，則核查相關(guān)密碼產(chǎn)品是否滿足密碼模塊相應(yīng)安全等級及以上安全要求B、核查密鑰管理安全性實現(xiàn)技術(shù)是否正確有效C、核查日志記錄是否進(jìn)行備份以及備份機(jī)制是否合理D、核查相關(guān)密碼產(chǎn)品是否按照產(chǎn)品配套的安全策略文檔進(jìn)行部署和使用【正確答案】：ABD53.經(jīng)檢測認(rèn)證合格的密碼產(chǎn)品作為測評對象，關(guān)于其設(shè)備和計算安全層面的判定，正確的是（）。A、身份鑒別一定是“符合”B、日志記錄完整性為“符合”C、遠(yuǎn)程管理通道安全性一定是“不適用”D、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實性為“符合”【正確答案】：BD54.某證書的簽名算法是0197.1.501，則意味著（）。A、該證書所包含的公鑰是SM2公鑰B、簽發(fā)該證書采用的是SM3withSM2Encryption算法C、頒發(fā)者所使用的公鑰是SM2公鑰D、不考慮編碼，該證書的簽名值長度應(yīng)為64字節(jié)【正確答案】：BCD55.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，對測評對象的測評結(jié)果量化評估規(guī)則，以下說法正確的是（）。A、在密碼技術(shù)要求測評過程中，對于單個測評對象對應(yīng)的多個實體按照每個實體的DAK的算術(shù)平均計算測評對象值B、在密碼技術(shù)要求測評過程中，對于單個測評對象涉及多個實體，按照多個實體的DAK最小值作為測評對象值C、使用的密碼服務(wù)是否安全直接影響DAK的A的符合性判定D、密碼應(yīng)用管理要求不對各個測評對象的測評結(jié)果進(jìn)行量化評估【正確答案】：BD56.在測評時，信息系統(tǒng)聲稱采用SM4-CBC進(jìn)行個人隱私信息的存儲機(jī)密性保護(hù)，以下收集的證據(jù)與其聲稱的存在矛盾或證明其使用不合規(guī)的包括（）。A、密文長度為192比特B、密文長度為64比特C、IV值以明文形式存儲D、IV值都為全0【正確答案】：ABD57.對數(shù)字證書進(jìn)行解析時，發(fā)現(xiàn)該證書的公鑰對應(yīng)的類型是0197.1.301，則意味著（）。A、該證書所包含的公鑰是SM2公鑰B、簽發(fā)該證書采用的是SM3withSM2Encryption算法C、頒發(fā)者所使用的公鑰是SM2公鑰D、不考慮編碼，該證書所包括的公鑰長度應(yīng)為64字節(jié)【正確答案】：AD58.某電商平臺包括用戶注冊業(yè)務(wù)和商品交易業(yè)務(wù)兩大類，以下選項中屬于應(yīng)用和數(shù)據(jù)安全層面的測評時關(guān)注的內(nèi)容的是（）。A、用戶注冊業(yè)務(wù)B、商品交易業(yè)務(wù)C、交易訂單數(shù)據(jù)D、用戶瀏覽記錄【正確答案】：ABCD59.某云平臺部署了服務(wù)器密碼機(jī)，同時面向云平臺和云上應(yīng)用提供數(shù)據(jù)存儲保護(hù)，且云平臺已經(jīng)通過了密碼應(yīng)用安全性評估，在對云上應(yīng)用進(jìn)行密碼應(yīng)用安全性評估時，以下描述正確的是（）。A、服務(wù)器密碼機(jī)不作為測評對象B、服務(wù)器密碼機(jī)應(yīng)作為測評對象C、直接引用云平臺的服務(wù)器密碼機(jī)測評結(jié)果D、服務(wù)器密碼機(jī)應(yīng)結(jié)合業(yè)務(wù)應(yīng)用一起測評【正確答案】：BD60.雙活機(jī)房之間通信的通信鏈路，在測評時是否作為網(wǎng)絡(luò)和通信安全層面的一條通信信道，以下表述正確的是（）。A、因重要業(yè)務(wù)數(shù)據(jù)、重要個人信息等數(shù)據(jù)會在雙活機(jī)房之間進(jìn)行傳輸，應(yīng)將該通信信道作為測評對象B、雙活機(jī)房之間的通信鏈路采用運營商專線時應(yīng)將該通信信道作為測評對象C、雙活機(jī)房之間的通信鏈路采用物理裸光纖時原則上應(yīng)將該通信信道作為測評對象D、如果雙活機(jī)房之間通信的通信鏈路是純物理傳輸?shù)穆愎饫w，若不將該通信信道作為網(wǎng)絡(luò)和通信安全層面的測評對象，應(yīng)通過專家評審?！菊_答案】：ABCD61.某三級信息系統(tǒng)已運行5年，針對“建設(shè)運行”部分的“定期開展密碼應(yīng)用安全性評估及攻防對抗演習(xí)”指標(biāo)開展測評時，以下（）可以作為測評證據(jù)。A、上一次的密評報告B、攻防對抗演習(xí)報告C、對上一次密評過程中存在的問題進(jìn)行整改的文件D、等級保護(hù)測評報告【正確答案】：ABC62.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，對三級系統(tǒng)，各安全層面權(quán)重值正確的是（）。A、物理和環(huán)境安全層面權(quán)重為10B、網(wǎng)絡(luò)和通信安全層面權(quán)重為15C、設(shè)備和計算安全層面權(quán)重為20D、應(yīng)用和數(shù)據(jù)安全層面權(quán)重為30【正確答案】：AD63.在密評中，當(dāng)證書認(rèn)證系統(tǒng)作為測評對象時，以下測評實施合理的包括（）。A、對信息系統(tǒng)內(nèi)部署證書認(rèn)證系統(tǒng)，測評人員可以參考GM/T0037《證書認(rèn)證系統(tǒng)檢測規(guī)范》和GM/T0038《證書認(rèn)證密鑰管理系統(tǒng)檢測規(guī)范》的要求進(jìn)行測評B、通過查看數(shù)字證書擴(kuò)展項KeyUsage字段，確定證書類型（簽名證書或加密證書），并驗證數(shù)字證書及其相關(guān)私鑰是否正確使用C、通過數(shù)字證書格式合規(guī)性分析，驗證生成或使用的證書格式是否符合GM/T0015《基于SM2密碼算法的數(shù)字證書格式規(guī)范》的有關(guān)要求D、檢查證書認(rèn)證系統(tǒng)中所使用的密碼機(jī)等是否具備商用密碼產(chǎn)品認(rèn)證證書【正確答案】：ABCD64.以下關(guān)于Wireshark過濾規(guī)則的說法，（）是正確的。A、icmpandip.dst==可以用于獲取目標(biāo)IP地址為并且協(xié)議為ICMP的所有數(shù)據(jù)包B、dns.dstport==53andip.src==用于獲取所有源IP地址為并且目標(biāo)端口號為53的所有DNS請求數(shù)據(jù)包C、udp.dstport==00:11:22:33:44:55可以用于獲取目標(biāo)MAC地址為00:11:22:33:44:55并且協(xié)議為UDP的所有數(shù)據(jù)包D、eth.dst==00:11:22:33:44:55可以用于獲取所有目標(biāo)MAC地址為00:11:22:33:44:55的數(shù)據(jù)包【正確答案】：AD65.某信息系統(tǒng)包括前臺應(yīng)用系統(tǒng)和后臺管理系統(tǒng)，通過非國密瀏覽器或國密瀏覽器訪問前臺應(yīng)用系統(tǒng)，則網(wǎng)絡(luò)和通信安全層面的測評對象有哪些（）。A、互聯(lián)網(wǎng)國密瀏覽器與前臺應(yīng)用系統(tǒng)之間的通信信道B、互聯(lián)網(wǎng)國密瀏覽器與后臺管理系統(tǒng)之間的通信信道C、互聯(lián)網(wǎng)非國密瀏覽器與前臺應(yīng)用系統(tǒng)之間的通信信道D、互聯(lián)網(wǎng)非國密瀏覽器與后臺管理系統(tǒng)