高風(fēng)險(xiǎn)判定指引復(fù)習(xí)測(cè)試卷

第頁(yè)高風(fēng)險(xiǎn)判定指引復(fù)習(xí)測(cè)試卷1.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，能夠最有效緩解應(yīng)用和數(shù)據(jù)層面重要數(shù)據(jù)存儲(chǔ)機(jī)密性安全風(fēng)險(xiǎn)的方式是（）。A、使用MD5算法實(shí)現(xiàn)重要數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)B、使用SM4算法實(shí)現(xiàn)重要數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)C、使用SM3算法實(shí)現(xiàn)重要數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)D、使用SHA-256算法實(shí)現(xiàn)重要數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)【正確答案】：B2.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，網(wǎng)絡(luò)和通信安全層面如果未采用基于對(duì)稱密碼算法或（）的消息鑒別碼（MAC）機(jī)制等密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)。A、密碼雜湊算法B、生物特征C、祖沖之密碼算法D、公鑰密碼算法【正確答案】：A3.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)通用要求中“密碼產(chǎn)品”描述不正確的是（）。A、使用了具有電子認(rèn)證服務(wù)密碼使用許可證的CA機(jī)構(gòu)簽發(fā)是數(shù)字證書，一定不會(huì)導(dǎo)致高風(fēng)險(xiǎn)B、使用自實(shí)現(xiàn)且未提供安全性證明的密碼產(chǎn)品，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、使用存在高危安全漏洞的公開(kāi)算法庫(kù)，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、三級(jí)信息系統(tǒng)中，使用了安全等級(jí)二級(jí)的密碼產(chǎn)品，也可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：A4.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，關(guān)于指標(biāo)“信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務(wù)應(yīng)符合法律法規(guī)的相關(guān)要求”，主要是針對(duì)（）系統(tǒng)提出的。A、第二級(jí)以上B、第三級(jí)以上C、所有級(jí)別D、第三級(jí)【正確答案】：C解析：

《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》5.3密碼產(chǎn)品和密碼服務(wù)：指標(biāo)要求：信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務(wù)應(yīng)符合法律法規(guī)的相關(guān)要求。適用范圍：所有級(jí)別信息系統(tǒng)。5.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，通常使用（）方法來(lái)實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。A、加密B、時(shí)間戳C、數(shù)字簽名D、手寫簽字【正確答案】：C解析：

在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，未采用基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)數(shù)據(jù)原發(fā)行為和接收行為實(shí)現(xiàn)不可否認(rèn)性6.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，網(wǎng)絡(luò)通信過(guò)程中重要數(shù)據(jù)的機(jī)密性可以從（）層面進(jìn)行緩解，從而降低安全風(fēng)險(xiǎn)。A、設(shè)備和計(jì)算安全B、應(yīng)用和數(shù)據(jù)安全C、物理和環(huán)境安全D、安全管理制度【正確答案】：B7.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下不存在缺陷或沒(méi)有安全問(wèn)題警示的密碼技術(shù)是（）。A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0【正確答案】：B解析：

使用存在缺陷或有安全問(wèn)題警示的密碼技術(shù)，如SSH1.0、SSL2.0、SSL3.0、TLS1.0等；8.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下關(guān)于網(wǎng)絡(luò)和通信安全層面“通信過(guò)程中重要數(shù)據(jù)機(jī)密性”風(fēng)險(xiǎn)緩解措施有效的是（）。A、在“應(yīng)用和數(shù)據(jù)安全”層面僅針對(duì)信息系統(tǒng)部分重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡(luò)通信信道B、在“應(yīng)用和數(shù)據(jù)安全”層面對(duì)信息系統(tǒng)所有需要保護(hù)的重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡(luò)通信信道C、針對(duì)內(nèi)網(wǎng)訪問(wèn)的信息系統(tǒng)，因不涉及互聯(lián)網(wǎng)數(shù)據(jù)傳輸，所以可以降低網(wǎng)絡(luò)和通信安全層面“通信過(guò)程中重要數(shù)據(jù)的機(jī)密性”面臨的安全風(fēng)險(xiǎn)D、通過(guò)專線進(jìn)行數(shù)據(jù)傳輸?shù)耐ǖ溃梢哉J(rèn)為專線面臨的安全風(fēng)險(xiǎn)可控，能夠降低其面臨的安全風(fēng)險(xiǎn)【正確答案】：B9.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，應(yīng)用系統(tǒng)在身份鑒別方面，可能存在高風(fēng)險(xiǎn)的是（）。A、使用了基于國(guó)產(chǎn)密碼算法的USBKey實(shí)現(xiàn)用戶身份的鑒別B、采用的密碼產(chǎn)品具有商用密碼產(chǎn)品認(rèn)證證書C、用戶身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制正確且有效D、用戶口令使用SM3密碼算法處理后存儲(chǔ)【正確答案】：D10.數(shù)據(jù)庫(kù)服務(wù)器采用SSH協(xié)議進(jìn)行遠(yuǎn)程管理，協(xié)議中使用非國(guó)密算法保障遠(yuǎn)程管理通道的安全，且經(jīng)漏洞掃描發(fā)現(xiàn)SSH協(xié)議存在高風(fēng)險(xiǎn)漏洞。依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)遠(yuǎn)程管理通道安全測(cè)評(píng)指標(biāo)結(jié)果判定正確的是（）。A、0.5分B、0分C、存在高風(fēng)險(xiǎn)安全問(wèn)題D、存在低風(fēng)險(xiǎn)安全問(wèn)題【正確答案】：C11.在設(shè)備和計(jì)算安全層中，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，能夠降低服務(wù)器身份鑒別安全風(fēng)險(xiǎn)的措施是（）。A、采用設(shè)備指紋方式登錄服務(wù)器B、采用手機(jī)短信驗(yàn)證碼方式登錄服務(wù)器C、登錄堡壘機(jī)后，再輸入用戶名+口令的方式，登錄服務(wù)器D、采用進(jìn)入機(jī)房，本地運(yùn)維的方式進(jìn)行服務(wù)器管理【正確答案】：A解析：

8.1身份鑒別：采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別，保證用戶身份的真實(shí)性?？赡艿木徑獯胧夯谔囟ㄗR(shí)別技術(shù)（如設(shè)備指紋、生物指紋等）保證用戶身份的真實(shí)性。12.SSL

VPN設(shè)備采用HTTPS協(xié)議進(jìn)行管理（TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384），依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)遠(yuǎn)程管理通道安全測(cè)評(píng)指標(biāo)的結(jié)果判定最合理的是（）。A、符合B、部分符合C、不適用D、不符合【正確答案】：B解析：

非國(guó)產(chǎn)13.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)于通用要求中“密碼技術(shù)”描述正確的是（）。A、該要求適用級(jí)別為一級(jí)到四級(jí)信息系統(tǒng)B、若采用OpenSSL協(xié)議庫(kù)實(shí)現(xiàn)TLS，則一定不會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、指標(biāo)要求為“信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)”D、若使用TLS1.1,則一定會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：C14.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰分發(fā)環(huán)節(jié)可采取的安全措施有（）。A、使用沒(méi)有訪問(wèn)控制機(jī)制的存儲(chǔ)介質(zhì)（如普通信封、普通U盤）等傳輸明文密鑰B、密鑰在可控的環(huán)境中分發(fā)，使用了密碼技術(shù)保護(hù)密鑰的機(jī)密性和完整性C、分發(fā)密鑰時(shí)，一人可領(lǐng)取多段密鑰D、密鑰明文及其組件采用電子郵件、傳真、電傳、電話等方式直接傳遞【正確答案】：B15.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，（）是建立評(píng)估對(duì)象所需密鑰管理策略和密鑰管理規(guī)則的主要依據(jù)。A、評(píng)審?fù)ㄟ^(guò)的密碼應(yīng)用方案B、系統(tǒng)安全性設(shè)計(jì)方案C、系統(tǒng)建設(shè)實(shí)施方案D、項(xiàng)目立項(xiàng)報(bào)告【正確答案】：A16.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，沒(méi)有采用密碼技術(shù)保證遠(yuǎn)程通道管理安全的情況下，信息系統(tǒng)為降低安全風(fēng)險(xiǎn)，可采用的緩解措施包括：搭建與業(yè)務(wù)網(wǎng)絡(luò)（）隔離，并采取相應(yīng)的安全防護(hù)措施的專用管理網(wǎng)絡(luò)。A、邏輯B、物理C、區(qū)域D、邊界【正確答案】：B解析：

《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》8.2遠(yuǎn)程管理通道安全：搭建了與業(yè)務(wù)網(wǎng)絡(luò)物理隔離、采取相應(yīng)的安全防護(hù)措施的專用管理網(wǎng)絡(luò)（如帶外管理網(wǎng)絡(luò)）進(jìn)行遠(yuǎn)程管理；若遠(yuǎn)程管理設(shè)備時(shí)未采用密碼技術(shù)建立安全的信息傳輸通道，或遠(yuǎn)程管理信道所采用的密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無(wú)效，但通過(guò)搭建與業(yè)務(wù)網(wǎng)絡(luò)物理隔離、采取相應(yīng)的安全防護(hù)措施的專用管理網(wǎng)絡(luò)進(jìn)行遠(yuǎn)程管理，可酌情降低風(fēng)險(xiǎn)等級(jí)；17.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，信息系統(tǒng)應(yīng)用和數(shù)據(jù)層面，未采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別時(shí)，可以采用的緩解措施有（）。A、安排專人值守B、部署視頻監(jiān)控C、部署入侵檢測(cè)系統(tǒng)D、采用基于特定識(shí)別技術(shù)進(jìn)行身份鑒別，如設(shè)備指紋、生物指紋和第三方身份鑒別服務(wù)等【正確答案】：D解析：

可能的緩解措施：1)基于生物識(shí)別技術(shù)（如指紋等）對(duì)重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別；2)重要區(qū)域出入口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控等。18.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，信息系統(tǒng)中使用的密碼產(chǎn)品或服務(wù)可能引起高風(fēng)險(xiǎn)的是（）。A、使用自實(shí)現(xiàn)且能夠提供安全證明的密碼產(chǎn)品B、使用的密碼產(chǎn)品存在高危漏洞C、密碼產(chǎn)品的使用符合國(guó)家密碼主管部門的管理要求和標(biāo)準(zhǔn)規(guī)范的要求D、密碼服務(wù)提供商具有國(guó)家密碼管理部門的相關(guān)資質(zhì)【正確答案】：B19.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，網(wǎng)絡(luò)和通信安全層面如果未采用基于（）的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)通信實(shí)體進(jìn)行身份鑒別，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)。A、公鑰密碼算法B、對(duì)稱密碼算法C、密碼雜湊算法D、標(biāo)識(shí)算法【正確答案】：A20.某系統(tǒng)采用了未經(jīng)安全性論證的密碼通信協(xié)議，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，則該情況屬于哪種風(fēng)險(xiǎn)（）。A、密碼算法層面的風(fēng)險(xiǎn)B、密碼產(chǎn)品層面的風(fēng)險(xiǎn)C、密碼技術(shù)層的面風(fēng)險(xiǎn)D、密碼服務(wù)層面的風(fēng)險(xiǎn)【正確答案】：C21.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，在沒(méi)有采用密碼技術(shù)保證進(jìn)入機(jī)房人員身份鑒別安全的情況下，以下能夠降低安全風(fēng)險(xiǎn)的措施是（）。A、采用用戶名+口令+ID卡方式鑒別進(jìn)入人員身份B、人員信息自行登記后進(jìn)入C、機(jī)房出入口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控D、機(jī)房禁止外部人員進(jìn)入【正確答案】：C22.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)采用密碼技術(shù)實(shí)現(xiàn)數(shù)據(jù)完整性和機(jī)密性保護(hù)，說(shuō)法錯(cuò)誤的是（）。A、業(yè)務(wù)系統(tǒng)中對(duì)身份證號(hào)、手機(jī)號(hào)等重要個(gè)人信息不應(yīng)采用雜湊算法保證其機(jī)密性B、數(shù)據(jù)完整性保護(hù)主要基于雜湊算法或數(shù)字簽名算法實(shí)現(xiàn)C、數(shù)據(jù)機(jī)密性主要基于對(duì)稱或非對(duì)稱密碼算法實(shí)現(xiàn)D、數(shù)據(jù)完整性和機(jī)密性應(yīng)使用相同的密碼算法實(shí)現(xiàn)【正確答案】：D23.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，網(wǎng)絡(luò)和通信安全層面的身份鑒別高風(fēng)險(xiǎn)適用于以下信息系統(tǒng)（）。A、一級(jí)信息系統(tǒng)B、二級(jí)信息系統(tǒng)C、三級(jí)及以上級(jí)別信息系統(tǒng)D、二級(jí)及以上級(jí)別信息系統(tǒng)【正確答案】：C解析：

《高風(fēng)險(xiǎn)判定指引》7.124.對(duì)測(cè)評(píng)單元“重要數(shù)據(jù)存儲(chǔ)完整性”的測(cè)評(píng)結(jié)果如果為“部分符合”，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下哪些情況可以緩解風(fēng)險(xiǎn)（）。A、應(yīng)用系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問(wèn)應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對(duì)重要數(shù)據(jù)進(jìn)行備份B、對(duì)數(shù)據(jù)進(jìn)行加密存儲(chǔ)保護(hù)C、定期對(duì)重要數(shù)據(jù)進(jìn)行備份D、對(duì)數(shù)據(jù)進(jìn)行加密傳輸保護(hù)【正確答案】：A解析：

可能的緩解措施：應(yīng)用系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問(wèn)應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對(duì)重要數(shù)據(jù)進(jìn)行備份。25.密評(píng)過(guò)程中，如果遇到《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》沒(méi)有描述的風(fēng)險(xiǎn)判定情況，那么測(cè)評(píng)人員應(yīng)（）。A、結(jié)合實(shí)際情況進(jìn)行綜合判定風(fēng)險(xiǎn)B、判定為高風(fēng)險(xiǎn)C、判定為中風(fēng)險(xiǎn)D、判定為低風(fēng)險(xiǎn)【正確答案】：A26.某面向公眾的三級(jí)門戶網(wǎng)站系統(tǒng)通過(guò)部署經(jīng)檢測(cè)認(rèn)證合格的安全網(wǎng)關(guān)（密碼模塊二級(jí)），使用TLS

_ECDHE_

RSA_WITH

_AES_

256_

GCM_SHA384密碼算法套件，實(shí)現(xiàn)通信過(guò)程中重要數(shù)據(jù)的機(jī)密性和完整性保護(hù)，則根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)該密碼技術(shù)實(shí)現(xiàn)方式的風(fēng)險(xiǎn)分析描述正確的是（）。A、使用的密碼算法可能不合規(guī)B、存在密鑰被非法授權(quán)篡改，或密鑰與實(shí)體之間的關(guān)聯(lián)關(guān)系被非法授權(quán)篡改的風(fēng)險(xiǎn)C、密鑰質(zhì)量隨機(jī)性不好，存在被攻擊者猜測(cè)的風(fēng)險(xiǎn)D、存在通信數(shù)據(jù)在信息系統(tǒng)外部被截取、篡改的風(fēng)險(xiǎn)【正確答案】：A27.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，應(yīng)用和數(shù)據(jù)安全層面沒(méi)有采用密碼技術(shù)保證用戶身份鑒別安全的情況下，不屬于降低信息系統(tǒng)安全風(fēng)險(xiǎn)可采用的緩解措施是（）。A、動(dòng)態(tài)口令機(jī)制B、設(shè)備指紋C、生物指紋D、第三方身份鑒別服務(wù)【正確答案】：A解析：

可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋、第三方身份鑒別服務(wù)等）保證用戶身份的真實(shí)性28.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰更新環(huán)節(jié)可能會(huì)對(duì)密鑰安全造成安全隱患的是（）。A、按照制定的密鑰生命周期的安全管理策略執(zhí)行B、未建立密鑰已泄露或存在泄露風(fēng)險(xiǎn)時(shí)的密鑰更新機(jī)制C、在更新密鑰過(guò)程中，填寫相關(guān)表格進(jìn)行記錄D、密鑰定期備份【正確答案】：B解析：

《高風(fēng)險(xiǎn)判定指引》附錄A29.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)安全接入認(rèn)證問(wèn)題的風(fēng)險(xiǎn)判定適用于（）。A、第一級(jí)信息系統(tǒng)B、第二級(jí)信息系統(tǒng)C、第三級(jí)信息系統(tǒng)D、第四級(jí)信息系統(tǒng)【正確答案】：D解析：

適用范圍：第四級(jí)信息系統(tǒng)。1.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰銷毀和撤銷環(huán)節(jié)可能會(huì)對(duì)密鑰管理帶來(lái)安全隱患是（）。A、不具備密鑰在應(yīng)急情況下的密鑰銷毀/撤銷的機(jī)制B、未按照設(shè)定的安全機(jī)制進(jìn)行密鑰銷毀/撤銷C、對(duì)于磁記錄存儲(chǔ)器存儲(chǔ)的密鑰，簡(jiǎn)單的刪除、清0或?qū)?即可D、停止使用的密鑰一般不要立即毀掉，而需再保存一段時(shí)間然后再毀掉【正確答案】：ABC解析：

C雖然在原文沒(méi)有，但是確實(shí)會(huì)帶來(lái)風(fēng)險(xiǎn)2.密評(píng)過(guò)程中發(fā)現(xiàn)的問(wèn)題，在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中沒(méi)有相關(guān)描述的，仍需從（）方面核查該問(wèn)題是否存在風(fēng)險(xiǎn)。A、密碼算法B、密碼技術(shù)C、密碼產(chǎn)品D、密碼服務(wù)【正確答案】：ABCD3.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)高風(fēng)險(xiǎn)判定，從（）方面進(jìn)行了描述。A、指標(biāo)要求B、適用范圍C、安全問(wèn)題D、可能的緩解措施和風(fēng)險(xiǎn)評(píng)價(jià)【正確答案】：ABCD4.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)通用要求“密碼算法”描述不正確的是（）。A、指標(biāo)要求是“信息系統(tǒng)中使用的密碼算法應(yīng)符合密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求”B、對(duì)所有不同安全等級(jí)的信息系統(tǒng)均適用C、存在可能的緩解措施D、若信息系統(tǒng)中采用OpenSSL算法庫(kù)實(shí)現(xiàn)AES，為信息系統(tǒng)提供加密保護(hù)，則會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：CD解析：

《高風(fēng)險(xiǎn)判定指引》5.15.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，以下實(shí)現(xiàn)用戶身份真實(shí)性的措施，不會(huì)帶來(lái)安全問(wèn)題的是（）。A、生物指紋技術(shù)B、動(dòng)態(tài)口令機(jī)制C、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制D、基于公鑰密碼算法的數(shù)字簽名機(jī)制【正確答案】：BCD解析：

6.1章節(jié)6.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，下列屬于密鑰管理環(huán)節(jié)的是（）。A、產(chǎn)生B、撤銷C、備份D、恢復(fù)【正確答案】：ABCD7.用戶先通過(guò)SSLVPN接入信息系統(tǒng)內(nèi)網(wǎng)，然后再通過(guò)瀏覽器登錄系統(tǒng)內(nèi)部應(yīng)用。根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)該系統(tǒng)風(fēng)險(xiǎn)緩解的描述，合理的有（）。A、用戶通過(guò)使用智能密碼鑰匙登錄SSLVPN，經(jīng)測(cè)評(píng)為符合；因此，該應(yīng)用的用戶角色的“身份鑒別”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低B、如果SSLVPN所涉及的通信信道對(duì)應(yīng)的“網(wǎng)絡(luò)和應(yīng)用安全”層面的“身份鑒別”指標(biāo)均為符合，那么應(yīng)用和數(shù)據(jù)安全層面的“身份鑒別”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低C、如果SSLVPN所涉及的通信信道相應(yīng)的“網(wǎng)絡(luò)和應(yīng)用安全”層面的“通信過(guò)程中重要數(shù)據(jù)的機(jī)密性”指標(biāo)均為符合，那么應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸機(jī)密性”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低D、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》不涉及“網(wǎng)絡(luò)和應(yīng)用安全”層面的“重要數(shù)據(jù)傳輸完整性”指標(biāo)，因此該指標(biāo)不會(huì)存在高風(fēng)險(xiǎn)【正確答案】：AC8.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)通用要求中“密碼算法”的描述正確的是（）。A、采用DES算法提供數(shù)據(jù)加密，則很可能導(dǎo)致高風(fēng)險(xiǎn)B、采用SHA-1提供口令存儲(chǔ)完整性保護(hù)，則很可能導(dǎo)致高風(fēng)險(xiǎn)C、采用自行設(shè)計(jì)的數(shù)據(jù)處理算法，達(dá)到將數(shù)據(jù)不可讀的目的，則該算法依然可能導(dǎo)致高風(fēng)險(xiǎn)D、采用MD5withRSA2048進(jìn)行數(shù)字簽名，不會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：ABC解析：

該部分包括以下內(nèi)容:a)指標(biāo)要求:信息系統(tǒng)中使用的密碼算法應(yīng)符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求。b)適用范圍:所有級(jí)別信息系統(tǒng)安全問(wèn)題:c)MD51)采用存在安全問(wèn)題或安全強(qiáng)度不足的密碼算法對(duì)重要數(shù)據(jù)進(jìn)行保護(hù)，DES.SHA-1、RSA(不足2048比特)等密碼算法;2)采用安全性未知的密碼算法，如自行設(shè)計(jì)的密碼算法、經(jīng)認(rèn)證的密碼產(chǎn)品中未經(jīng)安全性論證的密碼算法。d)可能的緩解措施:無(wú)。風(fēng)險(xiǎn)評(píng)價(jià):上述安全問(wèn)題一旦被威脅利用后，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。e)9.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，使用（）方法不會(huì)觸發(fā)應(yīng)用和數(shù)據(jù)層面“重要數(shù)據(jù)傳輸機(jī)密性”的風(fēng)險(xiǎn)判定。A、采用標(biāo)準(zhǔn)tls1.2協(xié)議B、基于SM4-CBC對(duì)稱密碼算法C、基于SM2非對(duì)稱密碼算法D、基于Base64編碼的方式【正確答案】：ABC解析：

base64容易破解，不安全，其余是比較安全的算法。10.某信息系統(tǒng)的用戶僅使用“用戶名+口令”方式進(jìn)行登錄系統(tǒng)，根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下（）措施可以緩解這種登錄方式帶來(lái)的風(fēng)險(xiǎn)A、設(shè)備指紋B、人臉識(shí)別C、第三方身份鑒別服務(wù)D、指紋識(shí)別【正確答案】：ABCD11.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，某三級(jí)信息系統(tǒng)主備機(jī)房，采用人臉識(shí)別技術(shù)對(duì)進(jìn)入機(jī)房的用戶進(jìn)行身份鑒別，并在機(jī)房出入口配備專人值守，并保留了人員進(jìn)出記錄，以下針對(duì)身份鑒別測(cè)評(píng)指標(biāo)的符合性判定以及針對(duì)問(wèn)題風(fēng)險(xiǎn)的判定正確的是（）。A、不符合B、高風(fēng)險(xiǎn)C、部分符合D、中風(fēng)險(xiǎn)【正確答案】：AD解析：

生物識(shí)別未采用密碼技術(shù)，為不符合生物識(shí)別+有人值守，可降低風(fēng)險(xiǎn)，但不改變符合性結(jié)果12.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)于通用要求“密碼技術(shù)”的描述正確的是（）。A、測(cè)評(píng)過(guò)程中，在該方面若發(fā)現(xiàn)問(wèn)題，存在可能的緩解措施B、系統(tǒng)采用了未經(jīng)安全性論證的密碼協(xié)議，可能會(huì)給系統(tǒng)帶來(lái)高風(fēng)險(xiǎn)C、使用TLS1.0協(xié)議實(shí)現(xiàn)對(duì)通信信道的保護(hù)，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、信息系統(tǒng)選用密碼技術(shù)時(shí)，需考慮該密碼技術(shù)是否遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)【正確答案】：BCD13.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)網(wǎng)絡(luò)和通信安全層面的通信實(shí)體進(jìn)行身份鑒別時(shí)，引發(fā)高風(fēng)險(xiǎn)的原因可能是（）。A、密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無(wú)效B、未采用基于消息鑒別碼（MAC）的機(jī)制C、未采用數(shù)字簽名機(jī)制D、采用的密碼產(chǎn)品未獲得商用密碼產(chǎn)品認(rèn)證證書【正確答案】：ABCD14.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，以下存儲(chǔ)保護(hù)方式會(huì)導(dǎo)致系統(tǒng)在“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”方面存在高危風(fēng)險(xiǎn)的有（）。A、使用DES-CBC進(jìn)行數(shù)字簽名B、使用SM4-CBC算法加密C、使用RSA-1024算法對(duì)SM4密鑰加密D、使用SM4-GCM算法對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)【正確答案】：AC解析：

密碼算法：采用存在安全問(wèn)題或安全強(qiáng)度不足的密碼算法對(duì)重要數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法；SM4無(wú)線局域網(wǎng)標(biāo)準(zhǔn)的分組數(shù)據(jù)算法。對(duì)稱加密，密鑰長(zhǎng)度和分組長(zhǎng)度均為128位，SM4算法主要包含5種基本模式:ECB、CBCFB、OFB，CTR(后4種都是ECB算法模塊衍生而來(lái))15.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，網(wǎng)絡(luò)和通信安全層面如果通信實(shí)體身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制（）或無(wú)效，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)。A、不科學(xué)B、不安全C、不完整D、不正確【正確答案】：ABCD16.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，某三級(jí)信息系統(tǒng)主備機(jī)房，采用8位以上的口令，對(duì)進(jìn)入機(jī)房的用戶進(jìn)行身份鑒別。以下針對(duì)身份鑒別測(cè)評(píng)指標(biāo)的符合性判定以及針對(duì)問(wèn)題風(fēng)險(xiǎn)的判定正確的是（）。A、不符合B、高風(fēng)險(xiǎn)C、部分符合D、中風(fēng)險(xiǎn)【正確答案】：AB解析：

靜態(tài)口令未采用密碼技術(shù)，為不符合無(wú)其他風(fēng)險(xiǎn)緩解措施17.設(shè)備指紋是指可以用于標(biāo)識(shí)出該設(shè)備的設(shè)備特征或者獨(dú)特的設(shè)備標(biāo)識(shí)，用于區(qū)分和識(shí)別不同的設(shè)備。按照《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》的規(guī)定，設(shè)備指紋因子包括（）。A、計(jì)算機(jī)的操作系統(tǒng)類型B、設(shè)備的硬件IDC、手機(jī)的IMEID、電腦的網(wǎng)卡MAC地址【正確答案】：ABCD18.《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，在應(yīng)用和數(shù)據(jù)安全層面，采用以下（）措施，可以可緩解系統(tǒng)在用戶身份鑒別方面存在的安全風(fēng)險(xiǎn)。A、采用設(shè)備指紋保證用戶身份的真實(shí)性B、采用生物指紋保證用戶身份的真實(shí)性C、采用第三方身份鑒別服務(wù)保證用戶身份的真實(shí)性D、綁定登錄用戶終端的IP地址【正確答案】：ABC解析：

9.1身份鑒別，可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋、第三方身份鑒別服務(wù)等）保證用戶身份的真實(shí)性19.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，屬于物理和環(huán)境安全層面身份鑒別方面引發(fā)的安全問(wèn)題的是（）。A、對(duì)進(jìn)出機(jī)房人員采用的身份鑒別類產(chǎn)品不符合密碼產(chǎn)品相關(guān)要求B、對(duì)進(jìn)出機(jī)房人員的身份鑒別機(jī)制無(wú)效C、機(jī)房未采用視頻監(jiān)控系統(tǒng)D、對(duì)進(jìn)出機(jī)房人員未采用基于密碼技術(shù)的身份鑒別措施【正確答案】：AB20.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下采用的措施對(duì)物理和環(huán)境安全的身份鑒別，可能帶來(lái)安全風(fēng)險(xiǎn)的是（）。A、采用口令方式鑒別進(jìn)入人員身份B、采用ID卡方式鑒別進(jìn)入人員身份C、采用指紋識(shí)別方式鑒別進(jìn)入人員身份D、機(jī)房采用物理鎖方式控制人員進(jìn)出【正確答案】：ABCD解析：

只要是不符合都可能帶來(lái)風(fēng)險(xiǎn)21.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密評(píng)過(guò)程中主要關(guān)注的管理制度有（）。A、密碼人員管理B、密鑰管理C、建設(shè)運(yùn)行D、應(yīng)急處置【正確答案】：ABCD22.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，使用（）身份鑒別方式，可能會(huì)觸發(fā)應(yīng)用和數(shù)據(jù)安全層面“身份鑒別”的風(fēng)險(xiǎn)判定。A、USB-KeyB、動(dòng)態(tài)口令機(jī)制C、短信驗(yàn)證碼D、郵箱驗(yàn)證碼【正確答案】：CD解析：

CD不涉及密碼技術(shù)23.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)“通用要求”部分的理解正確的是（）。A、指標(biāo)要求來(lái)自于GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》的通用要求部分B、描述的內(nèi)容適用范圍是從二級(jí)到四級(jí)信息系統(tǒng)C、不存在可能的緩解措施D、若出現(xiàn)相應(yīng)安全問(wèn)題的情形，則一定會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：AC解析：

本文件中判定內(nèi)容由指標(biāo)要求、適用范圍、安全問(wèn)題、可能的緩解措施和風(fēng)險(xiǎn)評(píng)價(jià)構(gòu)成。其中，指標(biāo)要求源自GB/T39786—2021的部分指標(biāo)，對(duì)于本文件未覆蓋的其他指標(biāo)，仍需核查本文件第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問(wèn)題是否存在適用范圍：所有級(jí)別信息系統(tǒng)。可能的緩解措施：無(wú)。風(fēng)險(xiǎn)評(píng)價(jià)：上述任一安全問(wèn)題一旦被威脅利用后，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)24.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，采用密碼技術(shù)對(duì)重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別的措施可包括（）。A、采用動(dòng)態(tài)口令機(jī)制B、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制C、基于公鑰密碼算法的數(shù)字簽名機(jī)制D、基于生物特征識(shí)別【正確答案】：ABCD25.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，通用要求“密碼產(chǎn)品和密碼服務(wù)”中，密碼產(chǎn)品存在可能導(dǎo)致高風(fēng)險(xiǎn)的問(wèn)題有（）。A、密碼產(chǎn)品在使用時(shí)未按照產(chǎn)品的安全策略文檔部署和使用B、不具有商用密碼產(chǎn)品認(rèn)證證書C、密碼服務(wù)提供商不具有相關(guān)資質(zhì)D、密碼廠商自研一套軟件密碼模塊，但無(wú)法提供該密碼產(chǎn)品的安全性證明結(jié)論【正確答案】：ABCD26.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，（）屬于應(yīng)用和數(shù)據(jù)層面“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的涉及范圍。A、業(yè)務(wù)系統(tǒng)采用AES加密存儲(chǔ)數(shù)據(jù)B、使用SM3密碼算法保存了銀行客戶的身份證號(hào)，以便發(fā)給公安系統(tǒng)進(jìn)行比對(duì)C、使用HMAC-SM3算法對(duì)關(guān)鍵業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性保護(hù)D、使用SM4算法實(shí)現(xiàn)重要數(shù)據(jù)傳輸?shù)臋C(jī)密性【正確答案】：AB解析：

C是完整性、D是傳輸過(guò)程27.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)于通用要求“密碼算法”的描述正確的是（）。A、描述的內(nèi)容適用范圍為所有級(jí)別信息系統(tǒng)B、RSA（不足2048比特）可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、采用自行設(shè)計(jì)的密碼算法可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、使用MD5雜湊算法可能導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：ABCD28.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，未涉及的安全問(wèn)題場(chǎng)景，以下判定其風(fēng)險(xiǎn)程度的做法正確的是（）。A、結(jié)合實(shí)際場(chǎng)景客觀判斷B、無(wú)需關(guān)注C、需分析考慮是否對(duì)其造成嚴(yán)重的安全隱患D、直接判定為中或低風(fēng)險(xiǎn)【正確答案】：AC29.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下內(nèi)容可能會(huì)給密鑰管理帶來(lái)安全隱患的是（）。A、未采用通過(guò)檢測(cè)認(rèn)證合格的隨機(jī)數(shù)發(fā)生器生成密鑰，且無(wú)公開(kāi)文獻(xiàn)和證據(jù)證明隨機(jī)數(shù)發(fā)生器的合理性和正確性B、密鑰在不可控的環(huán)境中生成C、密鑰協(xié)商之前或協(xié)商過(guò)程中沒(méi)有驗(yàn)證對(duì)方身份真實(shí)性D、密鑰由具有商用密碼認(rèn)證證書的密碼產(chǎn)品產(chǎn)生【正確答案】：ABC30.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，在應(yīng)用和數(shù)據(jù)安全層面，可能存在高風(fēng)險(xiǎn)項(xiàng)的是（）。A、身份鑒別B、重要數(shù)據(jù)傳輸機(jī)密性C、重要數(shù)據(jù)傳輸完整性D、重要數(shù)據(jù)存儲(chǔ)完整性【正確答案】：ABD解析：

存儲(chǔ)完整性無(wú)可緩解措施31.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，以下存儲(chǔ)保護(hù)方式會(huì)導(dǎo)致系統(tǒng)在“重要數(shù)據(jù)存儲(chǔ)完整性”方面存在高危風(fēng)險(xiǎn)的有（）。A、使用SHA1WithRSA-2048進(jìn)行數(shù)字簽名B、使用SM3雜湊算法對(duì)數(shù)據(jù)進(jìn)行雜湊計(jì)算，雜湊值與數(shù)據(jù)一同存放C、使用SM4-GCM算法對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)D、使用HMAC-SM3對(duì)數(shù)據(jù)進(jìn)行MAC計(jì)算，但是僅截取MAC的8個(gè)比特進(jìn)行使用【正確答案】：ABD32.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下措施能夠緩解設(shè)備和計(jì)算安全層面遠(yuǎn)程管理通道安全測(cè)評(píng)項(xiàng)的高風(fēng)險(xiǎn)的是（）。A、采用帶外管理的方式對(duì)所有設(shè)備進(jìn)行遠(yuǎn)程管理B、所有運(yùn)維人員均需要通過(guò)堡壘機(jī)進(jìn)行身份認(rèn)證C、所有設(shè)備均需要運(yùn)維人員通過(guò)SSLVPN設(shè)備進(jìn)行遠(yuǎn)程管理，且采用的密碼技術(shù)符合要求D、運(yùn)維人員采用兩種身份鑒別措施對(duì)設(shè)備進(jìn)行遠(yuǎn)程管理，其中一種身份鑒別措施為密碼技術(shù)【正確答案】：AC解析：

題干說(shuō)的是遠(yuǎn)程管理與身份鑒別沒(méi)有關(guān)系33.某單位管理員遠(yuǎn)程登錄服務(wù)器時(shí)，采用密碼協(xié)議保證遠(yuǎn)程管理通道安全，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，避免帶來(lái)高風(fēng)險(xiǎn)，以下可能采用的協(xié)議包括（）。A、SSH2.0B、SSL2.0C、SSL3.0D、TLS1.2【正確答案】：AD解析：

安全問(wèn)題:使用存在缺陷或有安全問(wèn)題警示的密碼技術(shù)，如SSH1.0、SSL2.0、SSL3.0、TLS1.0等.0使用安全性未知的密碼技術(shù)，如自行設(shè)計(jì)的密碼通信協(xié)議、未經(jīng)安全性論證的密碼通信2)協(xié)議等?？赡艿木徑獯胧?無(wú)。風(fēng)險(xiǎn)評(píng)價(jià):上述任一安全問(wèn)題一旦被威脅利用后，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)。34.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中,以下屬于密碼算法安全問(wèn)題的是（）。A、采用了安全強(qiáng)度不夠的密碼算法B、自行設(shè)計(jì)的密碼算法C、采用未經(jīng)安全性論證的密碼算法D、采用了符合法律、法規(guī)規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)有關(guān)要求的算法【正確答案】：ABC35.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)于通用要求“密碼算法”的描述不正確的是（）。A、存在安全問(wèn)題或安全強(qiáng)度不足的密碼算法可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)B、使用自行設(shè)計(jì)的密碼算法可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、未經(jīng)安全性論證的密碼算法可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、該指標(biāo)對(duì)應(yīng)的密碼算法不僅要符合法律要求，還應(yīng)遵循國(guó)家標(biāo)準(zhǔn)【正確答案】：ABCD36.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，以下屬于不安全的密碼算法是（）。A、SM2B、SHA-1C、RSA-1024D、MD5【正確答案】：BCD37.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，下列說(shuō)法錯(cuò)誤的是（）。A、可使用密碼雜湊算法的消息鑒別碼（MAC）機(jī)制解決數(shù)據(jù)傳輸機(jī)密性的高風(fēng)險(xiǎn)問(wèn)題B、可使用基于公鑰密碼算法的數(shù)字簽名機(jī)制解決數(shù)據(jù)存儲(chǔ)完整性問(wèn)題C、三級(jí)及以上信息系統(tǒng)一定存在不可否認(rèn)性的高風(fēng)險(xiǎn)問(wèn)題D、使用RSA1024算法可解決重要數(shù)據(jù)存儲(chǔ)機(jī)密性問(wèn)題【正確答案】：ACD解析：

MAC單向函數(shù)，無(wú)法解決機(jī)密性問(wèn)題，A錯(cuò)；公鑰密碼算法數(shù)字簽名可保障完整性，B對(duì)；業(yè)務(wù)場(chǎng)景不一定有不可否認(rèn)性場(chǎng)景，C錯(cuò)；RSA1024高風(fēng)險(xiǎn)算法，D錯(cuò)。1.《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中所涉及的指標(biāo)要求包括了《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》所有要求項(xiàng)。A、正確B、錯(cuò)誤【正確答案】：B2.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，系統(tǒng)可采用RSA1024密碼算法，實(shí)現(xiàn)信息系統(tǒng)重要數(shù)據(jù)在傳輸過(guò)程中的機(jī)密性。A、正確B、錯(cuò)誤【正確答案】：B解析：

c)安全問(wèn)題：1)使用存在安全問(wèn)題或安全強(qiáng)度不足的密碼算法對(duì)重要數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法3.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，第二級(jí)及以上級(jí)別信息系統(tǒng)，未采用密碼技術(shù)保證信息系統(tǒng)應(yīng)用的重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的完整性，可直接判定為高風(fēng)險(xiǎn)問(wèn)題。A、正確B、錯(cuò)誤【正確答案】：B解析：

存儲(chǔ)完整性高風(fēng)險(xiǎn)要密評(píng)三級(jí)以上4.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，在應(yīng)用和數(shù)據(jù)安全層面，未采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性，但基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋、第三方身份鑒別服務(wù)等）保證用戶身份的真實(shí)性，可酌情降低風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：A5.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，業(yè)務(wù)用戶登錄系統(tǒng)時(shí)，系統(tǒng)對(duì)登錄用戶僅采用指紋認(rèn)證的方式進(jìn)行身份鑒別，由于鑒別過(guò)程未采用密碼技術(shù)實(shí)現(xiàn)，則用戶身份真實(shí)性方面可判定存在高風(fēng)險(xiǎn)問(wèn)題。A、正確B、錯(cuò)誤【正確答案】：B解析：

可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋等）保證用戶身份的真實(shí)性。6.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，二級(jí)及以上的信息系統(tǒng)必須具備密碼安全管理制度，否則在密評(píng)時(shí)會(huì)因不具備密碼應(yīng)用安全管理制度而面臨高風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：A解析：

高風(fēng)險(xiǎn)判定指引，此項(xiàng)不可緩解，缺失就是高風(fēng)險(xiǎn)。見(jiàn)截圖。7.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，設(shè)備和計(jì)算安全層面的身份鑒別，必須采用密碼技術(shù)保證用戶身份的真實(shí)性，沒(méi)有緩解措施。A、正確B、錯(cuò)誤【正確答案】：B解析：

可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋等）保證用戶身份的真實(shí)性。8.信息系統(tǒng)測(cè)評(píng)過(guò)程中的風(fēng)險(xiǎn)判定只需依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》所列出的相關(guān)安全問(wèn)題所引發(fā)的風(fēng)險(xiǎn)等級(jí)做出判斷。A、正確B、錯(cuò)誤【正確答案】：B9.按照《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，某信息系統(tǒng)的用戶僅使用“用戶名+口令”方式進(jìn)行登錄，則“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)判定為不符合，但是不會(huì)存在高危風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：B解析：

若未采用密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別，或用戶身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無(wú)效，基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋、第三方身份鑒別服務(wù)等）保證用戶身份的真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)。10.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，在“網(wǎng)絡(luò)和通信安全”層面，采用符合要求的密碼技術(shù)為網(wǎng)絡(luò)通信信道提供機(jī)密性保護(hù)，且網(wǎng)絡(luò)通信信道經(jīng)評(píng)估無(wú)高風(fēng)險(xiǎn)，可酌情降低“應(yīng)用和數(shù)據(jù)安全”層面未采用密碼技術(shù)對(duì)重要數(shù)據(jù)進(jìn)行傳輸機(jī)密性保護(hù)的風(fēng)險(xiǎn)等級(jí)。A、正確B、錯(cuò)誤【正確答案】：A解析：

風(fēng)險(xiǎn)評(píng)價(jià)：若未采用密碼技術(shù)的加解密功能對(duì)重要數(shù)據(jù)在傳輸過(guò)程中進(jìn)行機(jī)密性保護(hù)，或重要數(shù)據(jù)傳輸機(jī)密性保護(hù)的實(shí)現(xiàn)機(jī)制不正確或無(wú)效，但在“網(wǎng)絡(luò)和通信安全”層面通信實(shí)體間采用符合要求的密碼技術(shù)建立網(wǎng)絡(luò)通信信道，且網(wǎng)絡(luò)通信信道經(jīng)評(píng)估無(wú)高風(fēng)險(xiǎn)，可酌情降低風(fēng)險(xiǎn)等級(jí)。11.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，雖未采用密碼技術(shù)對(duì)重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別，但基于生物識(shí)別技術(shù)（如指紋等）同樣保證了人員身份真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)。A、正確B、錯(cuò)誤【正確答案】：A12.按照《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，某二級(jí)信息系統(tǒng)在網(wǎng)絡(luò)和通信安全層面，未使用密碼技術(shù)實(shí)現(xiàn)通信前通信實(shí)體的身份鑒別，則密評(píng)時(shí)網(wǎng)絡(luò)和通信安全層面身份鑒別測(cè)評(píng)單元的風(fēng)險(xiǎn)評(píng)價(jià)結(jié)果應(yīng)為高風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：B解析：

網(wǎng)絡(luò)層身份鑒別高風(fēng)險(xiǎn)要密評(píng)三級(jí)以上13.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，若信息系統(tǒng)中使用了存在安全問(wèn)題的密碼產(chǎn)品、密碼服務(wù)，則可通過(guò)采取一定的緩解措施來(lái)降低可能的風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：B解析：

高風(fēng)險(xiǎn)判定指引，密碼技術(shù)、算法、產(chǎn)品、服務(wù)無(wú)緩解措施。14.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，應(yīng)確保三級(jí)以上的信息系統(tǒng)中使用的密碼算法符合法律、法規(guī)的規(guī)定和密碼相關(guān)國(guó)家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求，其他級(jí)別可酌情考慮。A、正確B、錯(cuò)誤【正確答案】：B15.《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，安全接入認(rèn)證方面的要求適用范圍包含三級(jí)和四級(jí)信息系統(tǒng)。A、正確B、錯(cuò)誤【正確答案】：B解析：

適用范圍：第四級(jí)信息系統(tǒng)。16.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，若未采用密碼技術(shù)對(duì)重要區(qū)域進(jìn)入人員進(jìn)行身份鑒別，但基于生物識(shí)別技術(shù)（如指紋等）保證人員身份真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)。A、正確B、錯(cuò)誤【正確答案】：A17.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰在恢復(fù)使用時(shí)，在對(duì)其他系統(tǒng)缺乏鑒別機(jī)制的情況下，可以被導(dǎo)入到其他系統(tǒng)中。A、正確B、錯(cuò)誤【正確答案】：B解析：

密鑰恢復(fù)環(huán)節(jié)可能會(huì)對(duì)密鑰管理造成嚴(yán)重安全隱患的安全問(wèn)題主要包括：1)密鑰在恢復(fù)使用時(shí)沒(méi)有鑒別機(jī)制，可以被導(dǎo)入到其他系統(tǒng)中。18.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，若信息系統(tǒng)所使用的密碼技術(shù)未遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)，則一定會(huì)導(dǎo)致信息系統(tǒng)面臨高等級(jí)安全風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：B19.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，遠(yuǎn)程管理設(shè)備時(shí)，未采用密碼技術(shù)建立安全的信息傳輸通道且無(wú)緩解措施的情況下，風(fēng)險(xiǎn)分析應(yīng)判斷為高風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：A20.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密碼應(yīng)用安全管理制度描述的內(nèi)容適用范圍是三級(jí)及以上級(jí)別信息系統(tǒng)。A、正確B、錯(cuò)誤【正確答案】：B解析：

適用范圍：第二級(jí)及以上級(jí)別信息系統(tǒng)。21.未納入《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》的指標(biāo)條款，則一定不會(huì)導(dǎo)致高風(fēng)險(xiǎn)情形。A、正確B、錯(cuò)誤【正確答案】：B解析：

由于信息系統(tǒng)密碼應(yīng)用場(chǎng)景的復(fù)雜性，本文件無(wú)法涵蓋密碼應(yīng)用的所有高風(fēng)險(xiǎn)安全問(wèn)題，對(duì)于本文件未涉及但確實(shí)可能會(huì)對(duì)信息系統(tǒng)造成嚴(yán)重安全隱患的安全問(wèn)題，應(yīng)結(jié)合信息系統(tǒng)的實(shí)際情況對(duì)相關(guān)安全問(wèn)題所引發(fā)的風(fēng)險(xiǎn)等級(jí)做出客觀判斷。在某些情況下，受限于具體場(chǎng)景的安全需求和各項(xiàng)條件，本文件給出的安全問(wèn)題也可能不會(huì)導(dǎo)致信息系統(tǒng)面臨較高安全風(fēng)險(xiǎn)，在信息系統(tǒng)密碼應(yīng)用的規(guī)劃、建設(shè)、運(yùn)行及測(cè)評(píng)時(shí)應(yīng)結(jié)合具體場(chǎng)景進(jìn)行合理判定。22.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，業(yè)務(wù)系統(tǒng)用戶登錄時(shí)，系統(tǒng)可通過(guò)用戶名、口令的鑒別方式實(shí)現(xiàn)用戶身份的鑒別。A、正確B、錯(cuò)誤【正確答案】：B解析：

c)安全問(wèn)題：1)存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問(wèn)題；2)未采用動(dòng)態(tài)口令機(jī)制、基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)登錄用戶進(jìn)行身份鑒別；3)用戶身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無(wú)效；4)采用的密碼產(chǎn)品未獲得商用密碼認(rèn)證機(jī)構(gòu)頒發(fā)的商用密碼產(chǎn)品認(rèn)證證書（適用時(shí)）。d)可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋、第三方身份鑒別服務(wù)等）保證用戶身份的真實(shí)性。23.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，未采取密碼技術(shù)措施實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性，則無(wú)其他可能的緩解措施對(duì)該問(wèn)題風(fēng)險(xiǎn)進(jìn)行緩解。A、正確B、錯(cuò)誤【正確答案】：A解析：

a)指標(biāo)要求：在可能涉及法律責(zé)任認(rèn)定的應(yīng)用中，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實(shí)現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認(rèn)性和數(shù)據(jù)接收行為的不可否認(rèn)性。d)可能的緩解措施：無(wú)。24.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，設(shè)備和計(jì)算安全中，身份鑒別方面的高風(fēng)險(xiǎn)問(wèn)題沒(méi)有緩解措施。A、正確B、錯(cuò)誤【正確答案】：B解析：

可能的緩解措施：基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋等）保證用戶身份的真實(shí)性。25.依據(jù)《信息系統(tǒng)密碼應(yīng)用高