商用密碼應(yīng)用安全性復(fù)習(xí)測試題

第頁商用密碼應(yīng)用安全性復(fù)習(xí)測試題1.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某二級信息系統(tǒng)對應(yīng)用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)，系統(tǒng)通過調(diào)用服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證的一級密碼模塊）使用AES-256算法實現(xiàn)個人敏感信息存儲的機(jī)密性保護(hù)，則該測評對象的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C2.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，在確定測評的不適用項時，如無密碼應(yīng)用方案，以下哪項不作為不適用項的論證依據(jù)（）。A、是否在被測系統(tǒng)責(zé)任邊界內(nèi)B、系統(tǒng)安全需求C、不適用的具體原因D、是否采用了可滿足安全要求的其他替代性風(fēng)險控制措施【正確答案】：A3.某三級信息系統(tǒng)只能在機(jī)房通過堡壘機(jī)對服務(wù)器進(jìn)行運維管理，則設(shè)備和計算安全層面堡壘機(jī)、服務(wù)器關(guān)于“遠(yuǎn)程管理通道安全”測評指標(biāo)的適用性分別為（）。A、不適用，不適用B、不適用，適用C、適用，不適用D、適用，適用【正確答案】：B4.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，各安全層面的量化結(jié)果的小數(shù)處理采取的方法是（）。A、向上取整B、向下取整C、直接舍棄D、四舍五入【正確答案】：D5.SSL協(xié)議密鑰協(xié)商過程中，如果密鑰交換算法為ECC，則客戶端應(yīng)產(chǎn)生預(yù)主密鑰，并采用服務(wù)端的（）進(jìn)行加密并放在ClientKeyExchange消息中發(fā)送給服務(wù)端。A、簽名私鑰B、簽名私鑰C、簽名公鑰D、加密公鑰【正確答案】：D6.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在人員管理測評中發(fā)現(xiàn)，被測單位設(shè)置了密鑰管理員、密碼安全審計員、密碼操作員崗位并定義崗位職責(zé)；并對關(guān)鍵崗位采用AB角機(jī)制，其中密鑰管理員與密碼安全審計員互為AB角，這種情況針對“建立密碼應(yīng)用崗位責(zé)任制度”測評指標(biāo)最合適的判定結(jié)果是（）。A、符合B、部分符合C、基本符合D、不符合【正確答案】：B7.在使用Wireshark工具時，在工具過濾器中輸入（）可以用于僅顯示源IP地址為00的網(wǎng)絡(luò)數(shù)據(jù)包。A、ip.addr==00B、ip.src==00C、ip.dst==00D、ip.host==00【正確答案】：B8.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，在密評工作方案編制活動中，關(guān)于被測信息系統(tǒng)的核心資產(chǎn)確定，以下說法不正確的是（）。A、核心資產(chǎn)及其他需要保護(hù)的配套數(shù)據(jù)、敏感安全參數(shù)的威脅模型和安全策略等均由被測單位自主確定。B、測評方需要多對信息系統(tǒng)的核心資產(chǎn)進(jìn)行核查和確認(rèn)。C、核心資產(chǎn)可以是業(yè)務(wù)應(yīng)用、業(yè)務(wù)數(shù)據(jù)或者業(yè)務(wù)應(yīng)用的某些設(shè)備、組件。D、被測單位需要確定被測信息系統(tǒng)需要保護(hù)的核心資產(chǎn)，以及相應(yīng)的威脅模型和安全策略?！菊_答案】：A9.政務(wù)信息系統(tǒng)中，已經(jīng)確定的測評對象是互聯(lián)網(wǎng)國密瀏覽器與前臺應(yīng)用系統(tǒng)之間的通信信道，則其密碼應(yīng)用場景是（）。A、用戶從互聯(lián)網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)B、用戶從政務(wù)外網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)C、用戶從互聯(lián)網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)D、用戶從政務(wù)外網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)【正確答案】：A10.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中，網(wǎng)絡(luò)通信過程中重要數(shù)據(jù)的機(jī)密性可以從（）層面進(jìn)行緩解，從而降低安全風(fēng)險。A、設(shè)備和計算安全B、應(yīng)用和數(shù)據(jù)安全C、物理和環(huán)境安全D、安全管理制度【正確答案】：B11.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，在協(xié)議的（）階段可以獲得通信雙方所協(xié)商采用的密碼算法。A、ISAKMP協(xié)議主模式B、ISAKMP協(xié)議快速模式C、AH協(xié)議D、ESP協(xié)議【正確答案】：A12.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，（）應(yīng)對密評報告的生命周期進(jìn)行嚴(yán)格、規(guī)范的管理。A、密評機(jī)構(gòu)B、密碼管理部門C、委托單位D、被測單位【正確答案】：A13.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，信息系統(tǒng)應(yīng)用和數(shù)據(jù)層面，未采用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別時，可以采用的緩解措施有（）。A、安排專人值守B、部署視頻監(jiān)控C、部署入侵檢測系統(tǒng)D、采用基于特定識別技術(shù)進(jìn)行身份鑒別，如設(shè)備指紋、生物指紋和第三方身份鑒別服務(wù)等【正確答案】：D14.根據(jù)《商用密碼應(yīng)用安全性評估FAQ（第二版）》，某三級信息系統(tǒng)于2020年10月投入運行，于2021年10月進(jìn)行首次密評，評估結(jié)論為基本符合，于2022年進(jìn)行了第二次密評，則第二次密評時，“投入運行前進(jìn)行密碼應(yīng)用安全性評估”應(yīng)判定為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：A15.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，已知某個測評單元有5個測評對象，量化評估結(jié)果分別為1，1，1，1，0，則該測評單元得分為（）。A、1B、0C、0.8D、0.5【正確答案】：C16.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，根據(jù)威脅類型和威脅發(fā)生頻率，判斷測評結(jié)果匯總中（

）所產(chǎn)生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。A、部分符合項B、不符合項C、部分符合項或不符合項D、符合項、部分符合項和不符合項【正確答案】：C17.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，風(fēng)險分析的輸入不包括（）。A、被測系統(tǒng)威脅分析結(jié)果B、被測系統(tǒng)的規(guī)模C、被測系統(tǒng)存在的安全問題D、已有安全措施情況【正確答案】：B18.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，管理制度中“具備密碼應(yīng)用安全管理制度”測評單元結(jié)果為部分符合，其量化評估分值可能為（）。A、0B、0.25C、0.5D、無法確定【正確答案】：C19.某信息系統(tǒng)部署了服務(wù)器C三臺服務(wù)器，三臺服務(wù)器為同一批次購買，生產(chǎn)廠商、型號和操作系統(tǒng)版本等都相同，購買后，A和B的操作系統(tǒng)升級為了相同的版本，則（）。A、C作為3個不同的測評對象B、A和B作為一個測評對象，C為另一個測評對象C、ABC作為一個測評對象D、A和C作為一個測評對象，B為另一個測評對象【正確答案】：B20.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，對某四級信息系統(tǒng)進(jìn)行量化評時，物理和環(huán)境安全層面身份鑒別、電子門禁記錄數(shù)據(jù)存儲完整性、視頻記錄數(shù)據(jù)存儲完整性三個測評單元得分分別為0.5分、0.5分、0.5分，則該層面量化評估的最終得分為（）。A、0.6296B、0.6667C、0.8333D、0.5【正確答案】：D21.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于分析與報告編制活動的輸入文檔，不正確的是（）。A、單元測評：經(jīng)過被測單位確認(rèn)的各類測評結(jié)果記錄、GM/T0115B、密評報告編制：經(jīng)過評審和確認(rèn)的密評報告C、量化評估：密評報告的單元測評的結(jié)果匯總及整體測評部分D、風(fēng)險分析：完成的調(diào)查表格，密評報告的整體測評結(jié)果和量化評估部分，相關(guān)風(fēng)險評估標(biāo)準(zhǔn)【正確答案】：B22.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，被測系統(tǒng)密評報告封面的報告編號應(yīng)（）。A、根據(jù)國家密碼管理部門的編號要求進(jìn)行編號B、根據(jù)系統(tǒng)責(zé)任單位的文件歸檔要求進(jìn)行編號C、根據(jù)密評機(jī)構(gòu)質(zhì)量管理體系文件要求進(jìn)行編號D、根據(jù)信息系統(tǒng)網(wǎng)絡(luò)安全等級保護(hù)備案編號進(jìn)行編號【正確答案】：C23.管理員在互聯(lián)網(wǎng)通過SSLVPN接入系信息統(tǒng)內(nèi)網(wǎng)，再登錄堡壘機(jī)后采用SSH協(xié)議對設(shè)備進(jìn)行遠(yuǎn)程管理，則在網(wǎng)絡(luò)和通信安全層面的測評對象為（）。A、瀏覽器與SSLVPN之間的通信信道B、堡壘機(jī)與設(shè)備之間的通信信道C、瀏覽器與堡壘機(jī)之間的通信信道D、瀏覽器與設(shè)備之間的通信信道【正確答案】：A24.密評過程中，依據(jù)（）標(biāo)準(zhǔn)進(jìn)行IPSec協(xié)議數(shù)據(jù)的分析。A、GM/T0022《IPSecVPN技術(shù)規(guī)范》B、GM/T0023《IPSecVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》C、GM/T0024《SSLVPN技術(shù)規(guī)范》D、GM/T0025《SSLVPN網(wǎng)關(guān)產(chǎn)品規(guī)范》【正確答案】：A25.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，對于應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲完整性”測評，以下說法不正確的是（）。A、可以核查應(yīng)用系統(tǒng)是否采用基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對重要數(shù)據(jù)進(jìn)行存儲過程中的完整性保護(hù)B、可以核查應(yīng)用系統(tǒng)是否采用基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機(jī)制等密碼技術(shù)對重要數(shù)據(jù)進(jìn)行存儲過程中的完整性保護(hù)C、如果沒有采用基于公鑰密碼算法的數(shù)字簽名機(jī)制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼機(jī)制等密碼技術(shù)，則不符合本單元測評指標(biāo)要求D、如果沒有采用經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的密碼產(chǎn)品實現(xiàn)存儲完整性保護(hù)，則不符合本單元測評指標(biāo)要求【正確答案】：D26.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)基于國密SSL協(xié)議使用安全瀏覽器訪問堡壘機(jī)，國密SSL協(xié)議使用了基于SM3WithSM2算法的數(shù)字證書，則以下說法正確的是（）。A、堡壘機(jī)“身份鑒別”測評項可判定為符合B、數(shù)字證書簽名算法OID為0197.1.501C、測評人員可通過數(shù)字證書獲取頒發(fā)者的公鑰信息D、數(shù)字證書簽名算法OID為0197.1.502【正確答案】：B27.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，信息系統(tǒng)中使用的密碼產(chǎn)品或服務(wù)可能引起高風(fēng)險的是（）。A、使用自實現(xiàn)且能夠提供安全證明的密碼產(chǎn)品B、使用的密碼產(chǎn)品存在高危漏洞C、密碼產(chǎn)品的使用符合國家密碼主管部門的管理要求和標(biāo)準(zhǔn)規(guī)范的要求D、密碼服務(wù)提供商具有國家密碼管理部門的相關(guān)資質(zhì)【正確答案】：B28.某三級信息系統(tǒng)通過調(diào)用密碼模塊為安全一級的服務(wù)器密碼機(jī)（該密碼機(jī)經(jīng)檢測認(rèn)證合格），使用SM4算法(CBC模式）實現(xiàn)應(yīng)用和數(shù)據(jù)安全層面重要業(yè)務(wù)數(shù)據(jù)存儲機(jī)密性保護(hù)，則在信息系統(tǒng)密評報告“安全問題及改進(jìn)建議”部分，以下選項中關(guān)于該測評結(jié)果面臨的安全威脅分析合理的是（）。A、設(shè)備資源被登錄設(shè)備的非授權(quán)用戶獲取B、搭建的遠(yuǎn)程管理通道被非授權(quán)使用，或傳輸?shù)墓芾頂?shù)據(jù)被非授權(quán)獲取和篡改C、密鑰被非法獲取，導(dǎo)致加密數(shù)據(jù)明文泄露D、設(shè)備內(nèi)重要程序和文件的來源不可信【正確答案】：C29.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)包進(jìn)行分析時，發(fā)現(xiàn)IKE

Attribute顯示加密算法ID為129，那么該協(xié)議使用的加密算法是（）。A、SM1B、SM4C、SM7D、AES【正確答案】：B30.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在量化評估框架中，字母K表示（）。A、CryptographyKeySecurityB、KeymanagementsecurityC、KeyconfidentialityD、Cryptographickeylifecyclemanagement【正確答案】：B31.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評工具接入點的選擇，錯誤的是（）。A、信息系統(tǒng)測評工具接入點需要選擇三個或三個以上。B、從系統(tǒng)內(nèi)部同一網(wǎng)段接入時，測試工具一般接在與被測對象在同一網(wǎng)段的交換機(jī)上C、當(dāng)從被測信息系統(tǒng)邊界外接入時，測試工具一般接在系統(tǒng)邊界設(shè)備上D、從系統(tǒng)內(nèi)部不同網(wǎng)段接入時，測試工具一般接在與被測對象不在同一網(wǎng)段的內(nèi)部核心交換機(jī)上【正確答案】：A32.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護(hù)對象不包括（）。A、網(wǎng)絡(luò)和通信安全層面的通信信道B、不同應(yīng)用用戶C、重要數(shù)據(jù)D、通用交換機(jī)【正確答案】：D33.在某個政務(wù)三級信息系統(tǒng)的設(shè)備和計算層面測評過程中，發(fā)現(xiàn)采用了具有商用密碼產(chǎn)品認(rèn)證證書的SSLVPN設(shè)備，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該測評對象“系統(tǒng)資源訪問控制信息完整性”的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：C34.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某信息系統(tǒng)測評時，網(wǎng)絡(luò)和通信安全層面整體不適用，但其他安全層面得分均為滿分，則對該信息系統(tǒng)量化評估時，結(jié)果為（）。A、80B、85C、90D、100【正確答案】：D35.某已建信息系統(tǒng)依據(jù)GM/T39786第三級要求進(jìn)行密碼應(yīng)用改造過程中，制定并正式發(fā)布了密碼應(yīng)用安全管理制度，制度中包含應(yīng)急處置相關(guān)規(guī)定，其中要求密碼應(yīng)用安全事件處置完成后應(yīng)及時向信息系統(tǒng)主管部門及歸屬的密碼管理部門報告事件發(fā)生情況及處置情況，并制定了應(yīng)急處置記錄模板及安全事件報告模板；信息系統(tǒng)自投入運行以來尚未發(fā)生密碼應(yīng)用安全事件；經(jīng)核查該系統(tǒng)密碼應(yīng)用方案及其評估意見，管理指標(biāo)均為適用。則密評機(jī)構(gòu)在開展應(yīng)急處置層面“向有關(guān)主管部門上報處置情況”指標(biāo)測評時，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，最合適的判定結(jié)果為（

）。A、符合B、部分符合C、不符合D、不適用【正確答案】：A36.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)在對網(wǎng)絡(luò)和通信安全層面測評過程中發(fā)現(xiàn)，非國密瀏覽器（未通過商用密碼檢測認(rèn)證）和安全認(rèn)證網(wǎng)關(guān)（經(jīng)檢測認(rèn)證的二級密碼模塊）之間通信信道使用自簽的RSA-2048數(shù)字證書進(jìn)行身份鑒別，則該測評對象在“身份鑒別”的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：B37.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，風(fēng)險等級不包括（）。A、高B、中C、低D、一般【正確答案】：D38.在某個政務(wù)三級信息系統(tǒng)的網(wǎng)絡(luò)和通信安全層面測評過程中，發(fā)現(xiàn)采用了SSLVPN設(shè)備（經(jīng)檢測認(rèn)證的二級密碼模塊）實現(xiàn)通信鏈路數(shù)據(jù)的安全傳輸。通過抓包分析，采用的密碼套件為RSA_SM4_SM3，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該層面的“身份鑒別”的量化結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C39.在物理和物理和環(huán)境安全層面，某個信息系統(tǒng)所在機(jī)房，采用指紋技術(shù)對進(jìn)入機(jī)房的用戶進(jìn)行身份鑒別，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該對象的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：A40.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評準(zhǔn)備活動中與項目相關(guān)的主要文檔是（）。A、項目管理計劃B、項目計劃書C、測評指導(dǎo)書D、任務(wù)書【正確答案】：B41.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下對信息系統(tǒng)密評報告“總體評價”章節(jié)描述錯誤的是（）。A、總體評價章節(jié)中需要體現(xiàn)本次密評所依據(jù)GB/T39786的級別要求B、總體評價章節(jié)中需要體現(xiàn)本次密評的測評結(jié)果，包括測評項的符合情況及風(fēng)險項數(shù)C、總體評價章節(jié)中需要體現(xiàn)各個層面密碼應(yīng)用實施情況，但不需要體現(xiàn)測評項的符合情況D、總體評價章節(jié)需要給出被測系統(tǒng)是否符合GB/T39786相應(yīng)等級指標(biāo)要求的測評結(jié)論【正確答案】：C42.某信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級為S3A2，則對該信息系統(tǒng)進(jìn)行密評時，則應(yīng)從GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中選擇第（）級指標(biāo)要求作為測評指標(biāo)。A、一B、二C、三D、四【正確答案】：C43.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在測評網(wǎng)絡(luò)和通信安全層面時，如果通信過程采用SSL協(xié)議提供保護(hù)，經(jīng)實際抓包后，通常查看握手協(xié)議的（）消息，來獲取密碼套件屬性值，進(jìn)而判定具體使用的密碼算法。A、ClientHelloB、ServerHelloC、ServerHelloDoneD、ServerKeyExchange【正確答案】：B44.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，現(xiàn)場測評活動不包含下列哪一項（）。A、確認(rèn)整體密碼部署是否合規(guī)B、實地檢查密碼配置是否正確C、測評檢查點的確定D、授權(quán)接入系統(tǒng)后確認(rèn)密碼使用是否有效【正確答案】：C45.某三級信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計算MAC值后與數(shù)據(jù)原文一同存儲在數(shù)據(jù)庫中，密碼運算為軟件實現(xiàn)，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標(biāo)最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：C46.對第三級信息系統(tǒng)的密鑰管理安全進(jìn)行測評時，其測評對象主要包括密鑰管理制度、應(yīng)用系統(tǒng)、密碼產(chǎn)品和（）。A、系統(tǒng)操作員B、系統(tǒng)管理員C、安全審計員D、密鑰管理人員【正確答案】：D47.政務(wù)信息系統(tǒng)中，已經(jīng)確定的測評對象是辦公內(nèi)網(wǎng)國密瀏覽器與后臺管理系統(tǒng)之間的通信信道，則其場景是（）。A、用戶從政務(wù)外網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)B、系統(tǒng)管理員從互聯(lián)網(wǎng)訪問SSLVPN運維設(shè)備C、用戶從政務(wù)外網(wǎng)使用非國密瀏覽器通過HTTPS協(xié)議訪問前臺應(yīng)用系統(tǒng)D、管理員從辦公內(nèi)網(wǎng)使用國密瀏覽器通過HTTPS協(xié)議訪問后臺管理系統(tǒng)【正確答案】：D48.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，如果物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計算、應(yīng)用和數(shù)據(jù)四個層面的分?jǐn)?shù)分別為1、1、0.5、0.5，則密碼應(yīng)用技術(shù)方面的總體得分為（）。A、50B、45C、55D、60【正確答案】：A49.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，密碼應(yīng)用管理要求各安全層面的量化評估取值可能是（）。A、{0,0.25,0.5,1}B、{0,0.5,1}C、{0,1}D、[0,1]【正確答案】：B50.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪個不屬于現(xiàn)場測評活動的輸出文檔（）。A、更新確認(rèn)的密評方案B、各類測評結(jié)果記錄C、簽署過的測評授權(quán)書D、項目計劃書【正確答案】：D51.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)中，用戶登錄過程中使用智能密碼鑰匙（經(jīng)檢測認(rèn)證的二級密碼模塊）進(jìn)行簽名，服務(wù)器使用服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證的一級密碼模塊）進(jìn)行簽名驗證，同時智能密碼鑰匙使用獲得電子認(rèn)證服務(wù)密碼使用許可證的CA機(jī)構(gòu)簽發(fā)的SM2數(shù)字證書，該登錄用戶的身份鑒別過程量化評估結(jié)果較為合理的是（）。A、0B、0.25C、0.5D、1【正確答案】：C52.密評過程中使用Wireshark工具對網(wǎng)絡(luò)信道中的SSL協(xié)議數(shù)據(jù)進(jìn)行分析時，可以在（）數(shù)據(jù)報文中獲取通信雙方所協(xié)商的密碼套件。A、ClientHelloB、ServerHelloC、ServerKeyExchangeD、ClientKeyExchange【正確答案】：B53.根據(jù)《關(guān)于規(guī)范商用密碼應(yīng)用安全性評估結(jié)果備案工作的通知》（國密局字〔2021〕392號），運營者在完成商用密碼應(yīng)用安全性評估工作后，應(yīng)在（）日內(nèi)將評估結(jié)果報密碼管理部門備案。A、10B、15C、20D、30【正確答案】：D54.某三級測繪系統(tǒng)用戶基于SM2數(shù)字證書登錄系統(tǒng)，SM2數(shù)字證書存儲在智能密碼鑰匙（經(jīng)檢測認(rèn)證的二級密碼模塊）中，數(shù)字證書由具有電子認(rèn)證服務(wù)密碼使用許可證的第三方CA機(jī)構(gòu)簽發(fā)，并且用戶與服務(wù)器之間的身份鑒別過程符合相關(guān)標(biāo)準(zhǔn)規(guī)范要求。根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該用戶的身份鑒別量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：D55.某三級信息系統(tǒng)運維管理員通過互聯(lián)網(wǎng)直接訪問堡壘機(jī)，對設(shè)備進(jìn)行運維管理，則管理員通過互聯(lián)網(wǎng)訪問堡壘機(jī)的通信信道（）。A、僅作為網(wǎng)絡(luò)和通信安全層面的測評對象B、僅作為設(shè)備和計算安全層面“遠(yuǎn)程管理通道安全”的測評對象C、可作為網(wǎng)絡(luò)和通信安全層面、設(shè)備和計算安全層面“遠(yuǎn)程管理通道安全”的測評對象D、不可作為網(wǎng)絡(luò)和通信安全層面、設(shè)備和計算安全層面“遠(yuǎn)程管理通道安全”的測評對象【正確答案】：C56.某信息系統(tǒng)部署了1臺經(jīng)檢測認(rèn)證合格的SSLVPN，則在設(shè)備和計算安全層面，關(guān)于該SSLVPN，哪些指標(biāo)不能直接判定為符合（）。A、身份鑒別B、系統(tǒng)資源訪問控制信息完整性C、日志記錄完整性D、重要可執(zhí)行程序完整性【正確答案】：A57.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在密碼應(yīng)用技術(shù)各層面的測評對象的量化評估結(jié)果可能是（）。A、{0,0.5,1}B、{0,0.25,0.5,1}C、{0,1}D、{0,0.5,0.75,1}【正確答案】：B58.針對管理制度層面的“定期修訂安全管理制度”指標(biāo)要求，密評時主要是通過訪談安全主管，確定是否定期對密碼安全管理制度體系的（）進(jìn)行審定。A、合理性和適用性B、合理性和完備性C、合理性和靈活性D、合理性和通用性【正確答案】：A59.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下哪項測評指標(biāo)在密碼應(yīng)用技術(shù)測評要求的四個安全層面均有涉及（）。A、重要數(shù)據(jù)傳輸機(jī)密性B、身份鑒別C、日志記錄完整性D、不可否認(rèn)性【正確答案】：B60.某網(wǎng)上銀行信息系統(tǒng)，網(wǎng)銀用戶持有銀行配發(fā)的智能密碼鑰匙，在交易時，用戶使用智能密碼鑰匙對交易信息進(jìn)行SM9數(shù)字簽名，網(wǎng)銀服務(wù)端收到后調(diào)用簽名驗簽服務(wù)器完成驗簽。上述密碼運算均在密碼產(chǎn)品中完成，密碼產(chǎn)品均經(jīng)過檢測認(rèn)證。依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，則“不可否認(rèn)性”最合適的判定結(jié)果是（）。A、符合B、部分符合C、不符合D、不確定【正確答案】：C61.某面向公眾的三級信息系統(tǒng)部署在政務(wù)云平臺上，在對其開展密評工作時，由于外單位人員進(jìn)入機(jī)房進(jìn)行核查的審批流程繁瑣，故密評機(jī)構(gòu)與系統(tǒng)責(zé)任單位約定由系統(tǒng)責(zé)任單位運維人員代為前往機(jī)房進(jìn)行設(shè)備核查，根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，這種方式是否符合密評要求（）。A、符合B、不符合C、只要能夠完成資產(chǎn)核查即可，進(jìn)行核查的不一定為密評機(jī)構(gòu)實施密評活動人員D、目前沒有相關(guān)要求【正確答案】：B62.某三級信息系統(tǒng)責(zé)任單位認(rèn)為該系統(tǒng)在“網(wǎng)絡(luò)和通信安全”層面無安全接入認(rèn)證需求，并在密碼應(yīng)用方案明確說明了該指標(biāo)的不適用原因，則（）。A、密評人員在測評時，可考慮把該指標(biāo)直接不納入測評范圍B、密評人員在測評時，可考慮把該指標(biāo)不納入測評范圍，但需核實風(fēng)險控制措施的適用條件C、密評人員在測評時，可不考慮密碼應(yīng)用方案，直接把該指標(biāo)納入測評范圍，并判為不符合D、密評人員在測評時，可不考慮密碼應(yīng)用方案，直接把該指標(biāo)納入測評范圍，并根據(jù)實際情況測評【正確答案】：A63.某信息系統(tǒng)設(shè)備管理員在互聯(lián)網(wǎng)通過SSLVPN訪問內(nèi)網(wǎng)后，再登錄堡壘機(jī)對設(shè)備進(jìn)行運維管理，運維人員在互聯(lián)網(wǎng)通過智能密碼鑰匙登錄SSLVPN；則在網(wǎng)絡(luò)和通信安全層面，對該遠(yuǎn)程管理通道的主要測評的內(nèi)容包括（）。A、運維客戶端和SSLVPN之間的身份鑒別、通信機(jī)密性和完整性B、運維客戶端和堡壘機(jī)之間的身份鑒別、通信機(jī)密性和完整性C、SSLVPN和堡壘機(jī)之間的身份鑒別、通信機(jī)密性和完整性D、堡壘機(jī)和服務(wù)器之間的身份鑒別、通信機(jī)密性和完整性【正確答案】：A64.密評人員對SSLVPN進(jìn)行測評時發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x13}后，以下判斷不合理的是（）。A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商B、該套件使用SM4-CBC進(jìn)行數(shù)據(jù)加密C、該套件使用HMAC-SM3進(jìn)行數(shù)據(jù)完整性保護(hù)D、該套件使用SM3作為PRF派生密鑰【正確答案】：A65.某四級信息系統(tǒng)針對“電子門禁記錄數(shù)據(jù)存儲完整性”指標(biāo)要求采取的措施為：門禁日志記錄存儲在日志審計系統(tǒng)（內(nèi)置PCI-E密碼卡）中，針對日志記錄表單會生成一個MAC值（由HMAC-SHA256實現(xiàn)），日志審計系統(tǒng)將日志記錄及對應(yīng)MAC值保存至后臺數(shù)據(jù)庫（數(shù)據(jù)庫登錄方式為“用戶名+口令”）。經(jīng)密評人員核實，相關(guān)密碼運算由密碼卡完成，密碼卡經(jīng)檢測認(rèn)證合格。那么，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，針對該測評單元的判定結(jié)果較為合理的是（

）。A、符合B、部分符合C、不適用D、不符合【正確答案】：B66.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，在沒有采用密碼技術(shù)保證進(jìn)入機(jī)房人員身份鑒別安全的情況下，以下能夠降低安全風(fēng)險的措施是（）。A、采用用戶名+口令+ID卡方式鑒別進(jìn)入人員身份B、人員信息自行登記后進(jìn)入C、機(jī)房出入口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實時監(jiān)控D、機(jī)房禁止外部人員進(jìn)入【正確答案】：C67.某二級信息系統(tǒng)責(zé)任單位不計劃把視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)納入測評范圍，在設(shè)計密碼應(yīng)用方案時（）。A、不需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性B、需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，但不需要采取風(fēng)險控制措施C、需要明確說明視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)的不適用性，并且需要采取風(fēng)險控制措施D、視頻監(jiān)控記錄數(shù)據(jù)存儲完整性指標(biāo)無法作為不適用項【正確答案】：A68.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)的網(wǎng)絡(luò)和通信安全層面測評對象包括IPSecVPN通信信道和SSLVPN通信信道，密評人員經(jīng)測評后發(fā)現(xiàn)，針對“通信數(shù)據(jù)完整性”測評單元，IPSecVPN通信信道符合要求，SSLVPN通信信道不符合要求。那么該信息系統(tǒng)在網(wǎng)絡(luò)和通信安全層面“通信數(shù)據(jù)完整性”測評單元的最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：B69.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在建設(shè)運行層面僅涉及第三級及以上信息系統(tǒng)測評指標(biāo)的是（）。A、制定密碼應(yīng)用方案B、制定密鑰安全管理策略C、投入運行前進(jìn)行商用密碼應(yīng)用安全性評估D、定期開展密碼應(yīng)用安全性評估及攻防對抗演習(xí)【正確答案】：D70.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，密評人員在對某三級信息系統(tǒng)測評時，發(fā)現(xiàn)“應(yīng)用和數(shù)據(jù)安全”層面的重要數(shù)據(jù)傳輸完整性采用簽名驗簽服務(wù)器（經(jīng)檢測認(rèn)證合格，安全等級二級）提供保護(hù)。簽名驗簽服務(wù)器采用“口令+智能IC卡”的方式鑒別設(shè)備管理員，但設(shè)備管理員將智能IC卡長期插入簽名驗簽服務(wù)器使用。針對此情形，關(guān)于“密碼產(chǎn)品合規(guī)性”的判定較為合理的是（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：C71.密評過程中，如果遇到《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》沒有描述的風(fēng)險判定情況，那么測評人員應(yīng)（）。A、結(jié)合實際情況進(jìn)行綜合判定風(fēng)險B、判定為高風(fēng)險C、判定為中風(fēng)險D、判定為低風(fēng)險【正確答案】：A72.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，信息系統(tǒng)商用密碼應(yīng)用安全性評估的評估結(jié)論能夠判定為符合的情況是（）。A、系統(tǒng)綜合得分不低于60分B、系統(tǒng)密碼得分為100分C、系統(tǒng)密碼應(yīng)用無中、高風(fēng)險D、系統(tǒng)綜合得分不低于60分且系統(tǒng)密碼應(yīng)用無高風(fēng)險【正確答案】：B73.在第四級信息系統(tǒng)的安全管理測評中，需要對密鑰管理員、密碼產(chǎn)品操作人員實施必要的審查，具體是指（）。A、在人員錄用時對錄用人員執(zhí)業(yè)資質(zhì)、社會關(guān)系等進(jìn)行審查B、在人員錄用時對錄用人員家庭背景、犯罪記錄和親屬等進(jìn)行審查C、在人員錄用時對錄用人員政治面貌、親屬關(guān)系等進(jìn)行審查D、在人員錄用時對錄用人員身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查【正確答案】：D74.若一個數(shù)字證書的keyUsage擴(kuò)展項包含nonRepudiation，表明該證書為（）。A、加密證書B、簽名證書CA證書D、終端實體證書【正確答案】：B75.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在對應(yīng)用和數(shù)據(jù)安全層面中的“身份鑒別”指標(biāo)測評時，獲取下列哪項測評證據(jù)的判定結(jié)果一定為“不符合”（）。A、WEB端業(yè)務(wù)用戶采用智能密碼鑰匙登錄應(yīng)用系統(tǒng)B、WEB端業(yè)務(wù)用戶使用手機(jī)APP客戶端掃碼登錄業(yè)務(wù)應(yīng)用系統(tǒng)，手機(jī)APP集成手機(jī)盾SDK，服務(wù)端調(diào)用了協(xié)同簽名平臺進(jìn)行簽名驗證C、移動端用戶可采用SM2協(xié)同簽名技術(shù)登錄手機(jī)APP（集成移動終端密碼模塊SDK）。D、系統(tǒng)管理員采用短信驗證碼登錄業(yè)務(wù)應(yīng)用系統(tǒng)，服務(wù)端動態(tài)口令認(rèn)證模塊基于開源代碼實現(xiàn)【正確答案】：D76.根據(jù)（）測評指標(biāo)的要求，測評實施時，需要查看信息系統(tǒng)責(zé)任單位是否制定了管理制度發(fā)布的相關(guān)要求。A、應(yīng)明確相關(guān)管理制度的發(fā)布流程B、制度執(zhí)行過程應(yīng)留存相關(guān)執(zhí)行記錄C、定期對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂D、應(yīng)制定密碼安全管理制度及操作規(guī)范【正確答案】：A77.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告風(fēng)險分析部分時，以下描述正確的是（）。A、如果系統(tǒng)中使用了SHA-1算法，那么該系統(tǒng)一定面臨高等級安全風(fēng)險B、某個測評指標(biāo)為不符合，量化評估分值為0分，經(jīng)過風(fēng)險分析后發(fā)現(xiàn)僅面臨低等級安全風(fēng)險，因此該指標(biāo)的量化評估分?jǐn)?shù)可以做相應(yīng)的調(diào)整C、如果某個安全層面的測評指標(biāo)為不符合，該指標(biāo)涉及測評對象測評對象B，其中測評對象A經(jīng)分析后面臨高等級安全風(fēng)險，測評對象B經(jīng)分析后面臨中等級安全風(fēng)險，那么該測評指標(biāo)的最終風(fēng)險等級應(yīng)該為中D、如果對測評結(jié)果中所有的不符合和部分符合項進(jìn)行分析后發(fā)現(xiàn)存在高風(fēng)險項，則認(rèn)為信息系統(tǒng)面臨高風(fēng)險；同時也需要考慮多個中低風(fēng)險疊加可能導(dǎo)致的高風(fēng)險問題【正確答案】：D78.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，方案密評報告和系統(tǒng)密評報告分別可以在（）階段產(chǎn)生。A、系統(tǒng)規(guī)劃階段和系統(tǒng)運行階段B、系統(tǒng)建設(shè)階段和系統(tǒng)運行階段C、系統(tǒng)建設(shè)階段和系統(tǒng)改造階段D、系統(tǒng)運維階段和系統(tǒng)運行階段【正確答案】：A79.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，IKEAttribute顯示算法ID為2，那么該協(xié)議所使用的公鑰算法算法是（）。A、RSA-1024B、SM2C、SM9D、RSA-2048【正確答案】：B80.針對整機(jī)類密碼產(chǎn)品（如IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認(rèn)證網(wǎng)關(guān)、金融數(shù)據(jù)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗簽服務(wù)器、時間戳服務(wù)器、云服務(wù)器密碼機(jī)等），以()為粒度確定設(shè)備和計算安全層面的測評對象。A、具有相同硬件、軟件配置的設(shè)備B、具有相同商用密碼產(chǎn)品認(rèn)證證書編號的密碼產(chǎn)品C、具有相同功能的密碼產(chǎn)品D、相同類型的密碼產(chǎn)品【正確答案】：B81.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》中，對安全接入認(rèn)證問題的風(fēng)險判定適用于（）。A、第一級信息系統(tǒng)B、第二級信息系統(tǒng)C、第三級信息系統(tǒng)D、第四級信息系統(tǒng)【正確答案】：D82.密評人員在對關(guān)鍵設(shè)備進(jìn)行現(xiàn)場檢查時，測評工具接入被測信息系統(tǒng)條件不成熟，測評方應(yīng)（）。A、模擬被測信息系統(tǒng)搭建測評環(huán)境獲取測評數(shù)據(jù)B、與被測單位協(xié)商、配合，生成必要的離線數(shù)據(jù)C、告知被測單位風(fēng)險后，接入被測系統(tǒng)獲取真實數(shù)據(jù)D、將該測評項做不適用處理【正確答案】：B83.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，被測應(yīng)用系統(tǒng)面向業(yè)務(wù)用戶提供WEB端和APP端2種訪問方式，用戶通過WEB端注冊后，可使用相同賬戶名口令登錄APP；當(dāng)用戶使用WEB瀏覽器登錄應(yīng)用系統(tǒng)時，通過智能密碼鑰匙對口令信息進(jìn)行SM4加密后傳輸；用戶登錄手機(jī)端APP時，口令明文傳輸。則在進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機(jī)密性”測評時，口令信息測評結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C84.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，若信息系統(tǒng)使用認(rèn)證合格的密碼產(chǎn)品基于SM4-CBC算法實現(xiàn)了重要數(shù)據(jù)存儲機(jī)密性保護(hù)，但該密碼產(chǎn)品的密碼模塊安全等級低于應(yīng)達(dá)到的安全等級要求，則其“重要數(shù)據(jù)存儲機(jī)密性”測評單元的量化評估結(jié)果為（）。A、1B、0.5C、0.25D、無法判斷【正確答案】：B85.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，能夠最有效緩解應(yīng)用和數(shù)據(jù)層面重要數(shù)據(jù)存儲機(jī)密性安全風(fēng)險的方式是（）。A、使用MD5算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)B、使用SM4算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)C、使用SM3算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)D、使用SHA-256算法實現(xiàn)重要數(shù)據(jù)存儲機(jī)密性保護(hù)【正確答案】：B86.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在對信息系統(tǒng)進(jìn)行商用密碼應(yīng)用安全性評估時，需保證實施密評活動的人員中至少（）通過密評人員考試。A、1名B、2名C、全員D、無具體要求【正確答案】：B87.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為6時表示口令采用（）密碼算法進(jìn)行雜湊后存儲。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：D88.某三級信息系統(tǒng)，制定了密碼安全應(yīng)急策略，規(guī)定了相關(guān)應(yīng)急事件處置措施和流程，明確了密碼應(yīng)用應(yīng)急事件處置完成后及時向當(dāng)?shù)孛艽a管理部門報告事件發(fā)生和處置情況。該系統(tǒng)目前未發(fā)生過密碼應(yīng)用安全事件，無相應(yīng)處置記錄。針對“應(yīng)急處置”層面的“事件處置”指標(biāo)最高可以給（）分。A、1B、0.25C、0.5D、0【正確答案】：A89.密評過程中，依據(jù)（）標(biāo)準(zhǔn)對數(shù)字證書格式的合規(guī)性進(jìn)行分析。A、GM/T0015《基于SM2密碼算法的數(shù)字證書格式規(guī)范》B、GM/T0028《密碼模塊安全技術(shù)要求》C、GM/T0005《隨機(jī)性檢測規(guī)范》D、GM/T0034《基于SM2密碼算法的證書認(rèn)證系統(tǒng)密碼及其相關(guān)安全技術(shù)規(guī)范》【正確答案】：A90.對數(shù)字證書進(jìn)行解析時，發(fā)現(xiàn)證書的簽名算法OID是0197.1.501，那么該證書使用的密碼算法是（）。A、基于SM2算法和SM3算法的簽名B、基于RSA算法和SM3算法的簽名C、基于SM9算法和SHA-256算法的簽名D、基于SM2算法和SHA-256算法的簽名【正確答案】：A91.通過對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，無法獲得的信息是（）。A、使用的加密算法B、使用的完整性保護(hù)算法C、使用的鑒別機(jī)制D、會話密鑰明文【正確答案】：D92.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)密評時所有安全層面均適用，建設(shè)運行層面五個測評單元得分分別為1分、0.5分、0.5分、1分、不適用，單元指標(biāo)權(quán)重分別是1，1，0.7，1，0.7，則該層面量化評估的得分為（）。A、0.3064B、0.5011C、0.7703D、0.9112【正確答案】：C93.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，經(jīng)核實后發(fā)現(xiàn)，某信息系統(tǒng)確實不涉及某項測評指標(biāo)對應(yīng)的安全需求，那么這種情形對于以下哪類條款可視為“不適用”（）。A、對于“可”的條款B、對于“宜”的條款C、對于“應(yīng)”的條款D、以上均正確【正確答案】：D94.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時，IKEAttribute顯示雜湊算法ID為20，那么該協(xié)議所使用的雜湊算法是（）。A、SM3B、SHA1C、MD5D、SHA-256【正確答案】：A95.某信息系統(tǒng)在數(shù)據(jù)庫中存儲有用戶的性別字段的密文，應(yīng)用開發(fā)人員告知密評人員該字段采用SM4-CBC算法進(jìn)行了加密。密評人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個密文值長度為128比特。那么以下推斷正確的是（）。A、如果確實使用SM4-CBC進(jìn)行加密，那么開發(fā)人員可能錯誤地使用了IVB、由于密文長度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進(jìn)行加密，開發(fā)人員說法存在問題C、開發(fā)人員不可能使用ECB模式加密D、由于密文長度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開發(fā)人員的說法是正確的【正確答案】：A96.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，安全層面的測評結(jié)果需要保留小數(shù)點后（）位。A、1B、2C、3D、4【正確答案】：D97.關(guān)于云平臺“被部分評估的支撐能力”描述錯誤的是（

）。A、“被部分評估的支撐能力表”只在云平臺測評時填寫B(tài)、“被部分評估的支撐能力表”包含有適用條件的量化評估和風(fēng)險分析C、被部分評估的支撐能力只需在云平臺測評D、被部分評估的支撐能力主要指的是對云上應(yīng)用提供的密碼支撐服務(wù)【正確答案】：C98.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評指標(biāo)的確定需要依據(jù)（）。A、調(diào)查表格B、GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》C、通過評估的密碼應(yīng)用方案D、以上均包括【正確答案】：D99.信息系統(tǒng)用戶登錄口令通過加鹽的雜湊算法運算后存儲在數(shù)據(jù)庫中，系統(tǒng)本身不存儲原始口令，則該系統(tǒng)對口令存儲實現(xiàn)了（）保護(hù)。A、真實性B、機(jī)密性C、完整性D、不可否認(rèn)性【正確答案】：B100.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級信息系統(tǒng)采用經(jīng)檢測認(rèn)證合格的服務(wù)器密碼機(jī)（密碼模塊安全等級為一級），通過SM4算法對用戶登錄口令的傳輸進(jìn)行機(jī)密性保護(hù)，其應(yīng)用和數(shù)據(jù)安全層面的數(shù)據(jù)傳輸機(jī)密性指標(biāo)的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C1.密評過程中,以下屬于測評實施方式的是（）。A、隨機(jī)性檢測B、數(shù)字證書格式合規(guī)性檢測C、IPSec/SSL協(xié)議分析D、端口掃描【正確答案】：ABCD2.設(shè)備指紋是指可以用于標(biāo)識出該設(shè)備的設(shè)備特征或者獨特的設(shè)備標(biāo)識，用于區(qū)分和識別不同的設(shè)備。按照《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》的規(guī)定，設(shè)備指紋因子包括（）。A、計算機(jī)的操作系統(tǒng)類型B、設(shè)備的硬件IDC、手機(jī)的IMEID、電腦的網(wǎng)卡MAC地址【正確答案】：ABCD3.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告中，在應(yīng)用和數(shù)據(jù)安全層面“保護(hù)對象”表中應(yīng)重點梳理信息系統(tǒng)中（）。A、各個應(yīng)用中具有身份鑒別（真實性）需求的應(yīng)用用戶類型B、各個應(yīng)用的重要數(shù)據(jù)及對應(yīng)具體安全需求C、各個應(yīng)用承載業(yè)務(wù)情況D、各個應(yīng)用具有不可否認(rèn)性需求的操作行為【正確答案】：ABD4.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，以下對通用要求“密碼算法”描述不正確的是（）。A、指標(biāo)要求是“信息系統(tǒng)中使用的密碼算法應(yīng)符合密碼相關(guān)國家標(biāo)準(zhǔn)、行業(yè)標(biāo)準(zhǔn)的有關(guān)要求”B、對所有不同安全等級的信息系統(tǒng)均適用C、存在可能的緩解措施D、若信息系統(tǒng)中采用OpenSSL算法庫實現(xiàn)AES，為信息系統(tǒng)提供加密保護(hù)，則會導(dǎo)致高風(fēng)險【正確答案】：CD5.下列內(nèi)容屬于設(shè)備和計算安全層面系統(tǒng)資源訪問控制信息的是（）。A、SSLVPN設(shè)備的系統(tǒng)權(quán)限訪問控制信息B、運維堡壘機(jī)的系統(tǒng)訪問控制信息C、數(shù)據(jù)庫中的數(shù)據(jù)訪問控制信息D、應(yīng)用系統(tǒng)的權(quán)限【正確答案】：ABC6.根據(jù)《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在密碼應(yīng)用方案密評報告中，“安全控制措施描述及指標(biāo)適用情況”章節(jié)的“指標(biāo)適用情況及論證說明”部分，應(yīng)體現(xiàn)的內(nèi)容包括（）。A、各測評項的測評指標(biāo)適用情況B、不適用項的不適用性論證說明C、測評項中存在部分保護(hù)對象不適用情況的不適用性論證說明D、不適用指標(biāo)合計項數(shù)【正確答案】：ABCD7.經(jīng)核查，某信息系統(tǒng)PC端安全瀏覽器與SSLVPN安全網(wǎng)關(guān)之間使用了合規(guī)的SSL協(xié)議，安全瀏覽器和SSLVPN安全網(wǎng)關(guān)均具有有效期內(nèi)的認(rèn)證證書，且密碼模塊等級符合要求，在網(wǎng)絡(luò)和通信安全層面哪些測評單元可以判定為符合（）。A、身份鑒別B、通信數(shù)據(jù)完整性C、通信過程中重要數(shù)據(jù)的機(jī)密性D、安全接入認(rèn)證【正確答案】：BC8.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，針對網(wǎng)絡(luò)和通信安全層面“身份鑒別”指標(biāo)的測評，下列哪些可能是測評時的考查點（）。A、通過訪談安全管理員并查驗設(shè)備是否獲得了商用密碼產(chǎn)品認(rèn)證證書B、通過抓包分析握手過程，解析密碼算法或密碼套件標(biāo)識可判斷采用的密碼算法是否符合要求C、通過抓包分析握手過程，解析通信實體使用的數(shù)字證書，判斷采用的密碼算法是否符合要求D、通過驗證測試可以判斷身份鑒別機(jī)制是否正確有效【正確答案】：ABCD9.管理員在互聯(lián)網(wǎng)通過SSLVPN接入系統(tǒng)內(nèi)網(wǎng)，登錄堡壘機(jī)后采用SSH協(xié)議或Telnet協(xié)議對設(shè)備進(jìn)行遠(yuǎn)程管理，則在設(shè)備和計算安全層面“遠(yuǎn)程管理通道安全”分析內(nèi)容為（）。A、訪問SSLVPN時使用的HTTPS協(xié)議B、訪問堡壘機(jī)時使用的HTTPS協(xié)議C、訪問設(shè)備時使用的SSH協(xié)議D、訪問設(shè)備時使用的Telnet協(xié)議【正確答案】：BCD10.某信息系統(tǒng)使用簽名驗簽服務(wù)器對合同進(jìn)行數(shù)字簽名后，通過受SSL協(xié)議保護(hù)的信道發(fā)送給用戶，在測評時，可以通過（）采集合同及數(shù)字簽名值進(jìn)行測評。A、獲取應(yīng)用程序調(diào)用簽名驗簽服務(wù)器的報文B、從受SSL協(xié)議保護(hù)信道中獲取發(fā)送給用戶的數(shù)據(jù)C、在用戶端獲取合同以及數(shù)字簽名值D、在應(yīng)用程序所在的服務(wù)器獲取合同以及數(shù)字簽名值【正確答案】：ACD11.某信息系統(tǒng)采用專線來進(jìn)行網(wǎng)絡(luò)傳輸，但未采用密碼技術(shù)進(jìn)行保護(hù)。以該專線作為測評對象時，以下說法正確的是()。A、量化評估時，該測評對象的分值為0.5B、量化評估時，該測評對象的分值為0C、該測評對象的測評結(jié)果可能會導(dǎo)致信息系統(tǒng)整體測評結(jié)果為“不符合”D、該測評對象的測評結(jié)果將一定不會導(dǎo)致信息系統(tǒng)整體測評結(jié)果為“不符合”【正確答案】：BC12.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下應(yīng)體現(xiàn)在信息系統(tǒng)密評報告“整體測評”章節(jié)中內(nèi)容為（）。A、總體評價B、安全問題及改進(jìn)建議C、測評結(jié)果修正D、整體測評結(jié)果和量化評估【正確答案】：CD13.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某業(yè)務(wù)應(yīng)用系統(tǒng)在身份鑒別和不可否認(rèn)性實現(xiàn)方面采用了數(shù)字證書，數(shù)字證書由經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的證書認(rèn)證系統(tǒng)簽發(fā)，則密評人員在測評實施時需要（）。A、參考GM/T0037和GM/T0038的要求核查證書認(rèn)證系統(tǒng)部署是否正確、合規(guī)B、核查證書擴(kuò)展項KeyUsage字段，確定是否符合雙證書體系要求，并驗證證書及其相關(guān)私鑰是否正確使用C、核查Signature、Issuer等字段是否符合預(yù)期D、通過數(shù)字證書格式合規(guī)性檢測工具，驗證證書格式是否符合GB/T20518的有關(guān)要求【正確答案】：ABCD14.數(shù)字證書格式中，keyUsage擴(kuò)展項可以判斷證書的用途，當(dāng)設(shè)置了（）位中的一位時，表示該證書為簽名證書。A、digitalSignatureB、nonRepudiationC、keyAgreementD、keyEncipherment【正確答案】：AB15.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，在測評準(zhǔn)備階段進(jìn)行是信息收集和分析的過程中，測評方收集測評所需資料包括（）。A、被測信息系統(tǒng)總體描述文件、密碼應(yīng)用總體描述文件B、網(wǎng)絡(luò)安全等級保護(hù)定級報告、網(wǎng)絡(luò)安全等級保護(hù)測評報告C、安全總體方案、安全詳細(xì)設(shè)計方案、密碼應(yīng)用方案D、密碼產(chǎn)品的用戶操作指南、密碼應(yīng)用安全規(guī)章制度【正確答案】：ABCD16.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，以下對通用要求中“密碼算法”的描述正確的是（）。A、采用DES算法提供數(shù)據(jù)加密，則很可能導(dǎo)致高風(fēng)險B、采用SHA-1提供口令存儲完整性保護(hù)，則很可能導(dǎo)致高風(fēng)險C、采用自行設(shè)計的數(shù)據(jù)處理算法，達(dá)到將數(shù)據(jù)不可讀的目的，則該算法依然可能導(dǎo)致高風(fēng)險D、采用MD5withRSA2048進(jìn)行數(shù)字簽名，不會導(dǎo)致高風(fēng)險【正確答案】：ABC17.根據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，可能用于應(yīng)用和數(shù)據(jù)安全層面保護(hù)的密碼產(chǎn)品包括（）。A、智能密碼鑰匙B、IPSecVPN網(wǎng)關(guān)C、簽名驗簽服務(wù)器D、數(shù)字證書認(rèn)證系統(tǒng)【正確答案】：ACD18.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評準(zhǔn)備活動的輸出文檔及其內(nèi)容，說法正確的是（）。A、在項目啟動任務(wù)中，輸入文檔包括委托測評協(xié)議書、保密協(xié)議等，輸出文檔為項目計劃書B、在信息收集和分析任務(wù)中，輸入文檔為調(diào)查表格，輸出文檔為調(diào)查表格、被測信息系統(tǒng)相關(guān)的技術(shù)資料C、在工具和表單準(zhǔn)備任務(wù)中輸出文檔為選用的測評工具清單，打印的各類表單。D、調(diào)查表格、被測信息系統(tǒng)相關(guān)的技術(shù)資料內(nèi)容應(yīng)涵蓋被測信息系統(tǒng)的網(wǎng)絡(luò)安全保護(hù)等級、業(yè)務(wù)情況、軟硬件情況、密碼應(yīng)用情況、密碼管理情況等【正確答案】：ABCD19.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，以下采用的措施對物理和環(huán)境安全的身份鑒別，可能帶來安全風(fēng)險的是（）。A、采用口令方式鑒別進(jìn)入人員身份B、采用ID卡方式鑒別進(jìn)入人員身份C、采用指紋識別方式鑒別進(jìn)入人員身份D、機(jī)房采用物理鎖方式控制人員進(jìn)出【正確答案】：ABCD20.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，密評方案應(yīng)包括以下內(nèi)容（）。A、項目概述B、測評對象、測評指標(biāo)C、測評檢查點D、單元測評實施【正確答案】：ABCD21.某些信息系統(tǒng)只能在本地進(jìn)行設(shè)備登錄運維，但是設(shè)備部署在相對安全的機(jī)房內(nèi)部。僅進(jìn)行本地運維的設(shè)備時，針對設(shè)備和計算安全層面的“身份鑒別”和“遠(yuǎn)程管理通道安全”進(jìn)行測評時，以下表述正確的是（）。A、測評機(jī)構(gòu)需要首先核實設(shè)備確實僅進(jìn)行本地運行，關(guān)閉了對外運維的接口B、確保本地端口有效前提下，該測評對象的“遠(yuǎn)程管理通道安全”測評指標(biāo)可作為不適用項C、“身份鑒別”測評指標(biāo)為適用項D、在對“身份鑒別”測評指標(biāo)進(jìn)行測評時，若本地運維均未采用密碼技術(shù)對登錄設(shè)備的用戶進(jìn)行身份鑒別，則該測評對象的測評結(jié)果為不符合【正確答案】：ABCD22.某四級信息系統(tǒng)中，采用SSLVPN保護(hù)通信信道，使用Wireshark工具得知所使用的套件為ECC_SM4_SM3，但沒有抓取到CertificateRequest報文，以下分析正確的是（）。A、該通道可以滿足雙向鑒別的“身份鑒別”指標(biāo)要求B、該通道無法滿足雙向鑒別的“身份鑒別”指標(biāo)要求C、在ServerCertificate報文可以抓取到SM2證書D、抓包時無法獲得客戶端證書【正確答案】：BCD23.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，下列關(guān)于應(yīng)用和數(shù)據(jù)安全層面測評的說法中不正確的是（）。A、如果被測信息系統(tǒng)無密碼應(yīng)用方案，本安全層面的測評對象可訪談設(shè)備管理相關(guān)人員了解情況B、依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，任何情況下，二級信息系統(tǒng)都不必進(jìn)行“不可否認(rèn)性”測評C、某應(yīng)用系統(tǒng)所在服務(wù)器自身不含有用于身份鑒別的軟件密碼模塊，則“身份鑒別”指標(biāo)為不適用D、應(yīng)用系統(tǒng)采用了未經(jīng)安全性驗證的自研密碼算法對重要數(shù)據(jù)進(jìn)行存儲機(jī)密性保護(hù)，密評人員現(xiàn)場確認(rèn)重要數(shù)據(jù)非明文存儲，可判定為“部分符合”【正確答案】：ABCD24.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下可作為設(shè)備和計算安全層面測評對象的是（）。A、具有密碼功能的網(wǎng)絡(luò)及安全設(shè)備B、服務(wù)器密碼機(jī)C、密鑰管理系統(tǒng)D、數(shù)據(jù)庫管理系統(tǒng)【正確答案】：ABCD25.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，量化評估計算過程中需要考慮的量化內(nèi)容包括（）。A、各測評對象的測評結(jié)果B、測評單元的測評結(jié)果C、安全層面的測評結(jié)果D、整體測評結(jié)果【正確答案】：ABCD26.GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，術(shù)語“核查”包括了哪些實際測評時的測評方式（）。A、訪談B、文檔審查C、配置檢查D、工具測試【正確答案】：ABCD27.某網(wǎng)站用戶需要通過瀏覽器采用HTTPS協(xié)議進(jìn)行訪問，下列哪些屬于該訪問網(wǎng)站通信信道身份鑒別測評單元可能涉及到的測評內(nèi)容（）。A、核查服務(wù)端是否采用了合規(guī)的商用密碼產(chǎn)品B、核查網(wǎng)站站點證書的證書鏈C、通過抓包分析其通信協(xié)議中對服務(wù)端的身份鑒別方法D、核查通信協(xié)議中數(shù)據(jù)傳輸加密使用的算法【正確答案】：ABC28.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評檢查點確定的主要內(nèi)容有（）。A、列出需要接受現(xiàn)場檢查的關(guān)鍵設(shè)備和檢查內(nèi)容B、確定測試路徑和工具接入點，采用圖示的方式描述測評工具的接入點、測試目的、測試途徑和測試對象等相關(guān)內(nèi)容C、確定選用的測評工具，并進(jìn)行校準(zhǔn)D、不適用測評指標(biāo)分析【正確答案】：AB29.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，應(yīng)用和數(shù)據(jù)安全層面的完整性保護(hù)對象有（）。A、安全標(biāo)記B、訪問控制信息C、需要傳輸?shù)闹匾獢?shù)據(jù)D、需要存儲的重要數(shù)據(jù)【正確答案】：ABCD30.某三級信息系統(tǒng)管理員從互聯(lián)網(wǎng)使用“用戶名+口令+智能密碼鑰匙”登錄VPN網(wǎng)關(guān)，智能密碼鑰匙的密碼模塊安全等級為一級，通過SSLVPN接入內(nèi)網(wǎng)后，使用“用戶名+口令+短信驗證碼”登錄堡壘機(jī)管理應(yīng)用，并對應(yīng)用服務(wù)器進(jìn)行運維管理，依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下說法正確的是（）。A、測評人員由此可判定堡壘機(jī)的身份鑒別為部分符合B、測評人員可將接入內(nèi)網(wǎng)后訪問堡壘機(jī)管理應(yīng)用的通道作為設(shè)備和計算安全層面“遠(yuǎn)程管理通道安全”測評項的測評對象C、測評人員由此可判定應(yīng)用服務(wù)器的身份鑒別為部分符合D、測評人員由此可判定智能密碼鑰匙密碼模塊安全等級未達(dá)到系統(tǒng)等級要求【正確答案】：BD31.面向公眾，信息可公開的信息系統(tǒng)，測評時需要重點關(guān)注以下哪些內(nèi)容（）。A、首先需要確定哪些人員可以訪問該信息系統(tǒng)B、管理員的身份鑒別、傳輸通道安全及其遵循的測評指標(biāo)C、對于公眾用戶而言，仍需要對網(wǎng)站進(jìn)行身份鑒別（比如防止釣魚網(wǎng)站），并對其內(nèi)容的完整性進(jìn)行保護(hù)D、需要測評與公眾用戶相關(guān)的“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”、“通信過程中數(shù)據(jù)的完整性”、“通信過程中重要數(shù)據(jù)的機(jī)密性”等指標(biāo)【正確答案】：ABCD32.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評方對信息系統(tǒng)開展密碼應(yīng)用安全性評估時，應(yīng)遵循的原則，正確的是（）。A、測評方應(yīng)保證在符合國家密碼管理部門要求及最小主觀判斷情形B、測評工作可重用商用密碼檢測認(rèn)證結(jié)果C、測評工作可重用密碼應(yīng)用安全性評估的測評結(jié)果D、測評所產(chǎn)生的結(jié)果應(yīng)客觀反映信息系統(tǒng)的密碼應(yīng)用現(xiàn)狀【正確答案】：ABCD33.判斷B用戶擁有的數(shù)字證書是否是CA機(jī)構(gòu)A簽發(fā)的，需要執(zhí)行的操作是（）。A、查看B用戶證書中頒發(fā)者信息和頒發(fā)者密鑰標(biāo)識符是否與A機(jī)構(gòu)CA證書中的主體名稱信息和主體密鑰標(biāo)識符一致B、查看B用戶證書中主體名稱信息和主體密鑰標(biāo)識符是否與A機(jī)構(gòu)CA證書中的主體名稱信息和主體密鑰標(biāo)識符一致C、使用A機(jī)構(gòu)CA證書的公鑰，驗證B用戶證書的簽名值是否正確D、查看B用戶證書中主體名稱信息和A機(jī)構(gòu)CA證書的頒發(fā)者信息是否一致【正確答案】：AC34.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，對網(wǎng)上銀行系統(tǒng)進(jìn)行測評時，客戶端與其后臺系統(tǒng)進(jìn)行通信過程中，使用下列哪些密碼套件可以判定“密碼算法合規(guī)性”“密碼技術(shù)合規(guī)性”這兩項為“符合”（）。（假定通信兩端所采用的密碼產(chǎn)品均經(jīng)過檢測認(rèn)證）A、ECC_SM4_SM3B、RSA_SM4_SM3C、ECDHE_SM4_SM3D、RSA_AES256_SHA384【正確答案】：AC35.某網(wǎng)上銀行交易系統(tǒng)，用戶交易信息由用戶智能密碼鑰匙使用SM2算法進(jìn)行數(shù)字簽名后傳輸，實現(xiàn)交易數(shù)據(jù)原發(fā)行為的不可否認(rèn)性，數(shù)字簽名算法實現(xiàn)正確。針對“應(yīng)用和數(shù)據(jù)安全”層面的“不可否認(rèn)性”指標(biāo)，可能的分值是（）。A、0B、0.25C、0.5D、1【正確答案】：CD36.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，單元測評主要是針對各測評指標(biāo)中的各個測評對象，客觀、準(zhǔn)確地分析測評證據(jù)，對每個測評對象分別進(jìn)行（

）。A、記錄修改B、測評實施C、結(jié)果判定D、綜合分析【正確答案】：BC37.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險判定指引》，網(wǎng)絡(luò)和通信安全層面如果通信實體身份真實性的密碼技術(shù)實現(xiàn)機(jī)制（）或無效，可能會導(dǎo)致信息系統(tǒng)面臨高風(fēng)險。A、不科學(xué)B、不安全C、不完整D、不正確【正確答案】：ABCD38.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，下列說法正確的是（）。A、若一個測評對象涉及多個密碼算法/產(chǎn)品/服務(wù)/密鑰，D/A/K都按照最低分值給分B、密碼應(yīng)用管理要求不針對各個測評對象的測評結(jié)果進(jìn)行量化評估，其中符合為1分，不符合為0分，部分符合為0.5分C、通用要求和密碼應(yīng)用技術(shù)要求各安全層面的“密碼服務(wù)”和“密碼產(chǎn)品”指標(biāo)不單獨評價D、若某測評對象使用了經(jīng)檢測認(rèn)證的密碼產(chǎn)品且滿足相應(yīng)的密碼模塊要求，但使用的密碼算法/技術(shù)不合規(guī)，則為部分符合，該測評對象量化評估結(jié)果為0.5【正確答案】：ABCD39.根據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》附錄C，在密評中對“傳輸完整性”的測評技術(shù)，下列描述正確的是（）。A、若該密碼功能采用HMAC-SM3實現(xiàn)，可利用協(xié)議分析工具捕獲受完整性保護(hù)的數(shù)據(jù)在傳輸過程中的數(shù)據(jù)包，并進(jìn)一步分析MAC長度是否為256比特或更短B、若該密碼功能采用HMAC-SHA1實現(xiàn)，可利用協(xié)議分析工具捕獲受完整性保護(hù)的數(shù)據(jù)在傳輸過程中的數(shù)據(jù)包，并進(jìn)一步分析MAC長度是否為128C、若該密碼功能采用基于SM2數(shù)字簽名技術(shù)實現(xiàn)，可利用協(xié)議分析工具捕獲受完整性保護(hù)的數(shù)據(jù)在傳輸過程中的數(shù)據(jù)包，并進(jìn)一步分析簽名值長度是否為512比特D、若該密碼功能采用基于SM2數(shù)字簽名技術(shù)實現(xiàn)，可使用給相應(yīng)簽名證書簽發(fā)的CA的公鑰對簽名結(jié)果進(jìn)行簽名驗證【正確答案】：AC40.一個數(shù)據(jù)的ASN.1編碼如下：{0x02,0x12，……}，那么以下說法正確的是（）。A、這是一個整數(shù)（INTEGER）B、這是一個序列（SEQUENCE）C、其實際數(shù)據(jù)長度是12字節(jié)D、其實際數(shù)據(jù)長度是18字節(jié)【正確答案】：AD41.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，以下內(nèi)容中應(yīng)體現(xiàn)在系統(tǒng)密評報告中“商用密碼應(yīng)用安全性評估結(jié)論”的包括（）。A、系統(tǒng)簡介B、測評情況簡介C、評估結(jié)論及綜合得分D、系統(tǒng)測評指標(biāo)的符合情況及數(shù)目【正確答案】：ABC42.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機(jī)密性”的測評實施要點描述正確的是（）。A、依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，還會進(jìn)行通用測評要求的核查B、利用協(xié)議分析工具，分析傳輸?shù)闹匾獢?shù)據(jù)是否為密文，數(shù)據(jù)格式（如分組長度等）是否符合預(yù)期C、使用密碼算法合規(guī)性驗證工具對抓取的密文數(shù)據(jù)進(jìn)行驗簽，并與明文進(jìn)行對比，以驗證密碼算法是否與聲稱的一致D、如采用IPSec協(xié)議保障數(shù)據(jù)傳輸安全，利用協(xié)議分析工具捕獲并分析握手階段Serverhello消息數(shù)據(jù)包【正確答案】：AB43.一般數(shù)字證書的后綴名是（）。A、cerB、crtC、derD、pem【正確答案】：ABCD44.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下屬于三級信息系統(tǒng)“建設(shè)運行”方面測評項的是（）。A、制定密碼應(yīng)用方案B、定期開展密碼應(yīng)用安全性評估及攻防對抗演習(xí)C、制度執(zhí)行過程記錄留存D、建立操作規(guī)程【正確答案】：AB45.某信息系統(tǒng)在密碼應(yīng)用方案中明確了需要對注冊用戶的手機(jī)號進(jìn)行機(jī)密性保護(hù)，可以采用的密碼算法包括（）。A、DESB、SM2C、SM3D、SM4【正確答案】：BD46.某機(jī)房部署了視頻監(jiān)控系統(tǒng)，數(shù)據(jù)影像記錄存儲在加密存儲系統(tǒng)中，以下哪些不屬于視頻監(jiān)控記錄數(shù)據(jù)存儲完整性測評單元的測評方法（）。A、核查視頻監(jiān)控系統(tǒng)的商用密碼產(chǎn)品認(rèn)證證書B、核查加密存儲系統(tǒng)的商用密碼產(chǎn)品認(rèn)證證書C、核查視頻監(jiān)控系統(tǒng)視頻傳輸?shù)拿艽a實現(xiàn)D、核查攝像頭終端的視頻傳輸密碼實現(xiàn)【正確答案】：ACD47.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪些不是測評方案編制活動的主要任務(wù)（）。A、現(xiàn)場測評準(zhǔn)備B、單項測評結(jié)果判定C、測評檢查點確定D、確認(rèn)測評工具的可用性【正確答案】：ABD48.某信息系統(tǒng)采用動態(tài)口令機(jī)制對登錄用戶進(jìn)行身份鑒別，針對應(yīng)用和數(shù)據(jù)安全層面“身份鑒別”測評單元，應(yīng)核查的內(nèi)容包括（）。A、核查密碼算法合規(guī)性B、核查密碼技術(shù)合規(guī)性C、核查密碼產(chǎn)品合規(guī)性D、核查動態(tài)口令機(jī)制是否正確和有效【正確答案】：ABCD49.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，針對網(wǎng)絡(luò)和通信安全層面“通信數(shù)據(jù)完整性”指標(biāo)的測評，下列哪些說法是正確的（）。A、通過驗證測試發(fā)現(xiàn)，可以使用工具修改請求數(shù)據(jù)包的內(nèi)容得到想要的響應(yīng)，因此判斷本通信信道不能保證通信數(shù)據(jù)完整性B、通過驗證測試發(fā)現(xiàn)，無法修改請求數(shù)據(jù)包，但可以進(jìn)行重放攻擊，因此判斷本通信信道不能保證通信數(shù)據(jù)完整性C、通過對SSL握手階段的抓包分析，使用的密碼套件中算法全部為國密算法，但依然無法判斷本通信信道是否可以保證通信數(shù)據(jù)完整性D、通過對SSL握手階段的抓包分析，獲得的服務(wù)端的SM2簽名證書為可信第三方CA機(jī)構(gòu)頒發(fā)的，因此判斷本通信信道能保證通信數(shù)據(jù)完整性【正確答案】：AC50.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在測評對象量化評估中，以下得分為0.5的有（）。A、D（√）A（√）K（√）B、D（√）A（√）K（×）C、D（√）A（×）K（√）D、D（√）A（×）K（×）【正確答案】：BC51.以下針對云平臺開展測評工作的描述，表述合理的是（）。A、云平臺測評與一般信息系統(tǒng)涉及的測評指標(biāo)基本一致B、應(yīng)關(guān)注云平臺自身的密碼應(yīng)用以及對云租戶提供的密碼服務(wù)C、對于云平臺自身而言，要分別對云平臺支持的每類服務(wù)模式（IaaS、PaaS、SaaS）進(jìn)行密碼應(yīng)用測評D、應(yīng)關(guān)注對云租戶提供的密碼服務(wù)都有哪些，每臺密碼設(shè)備服務(wù)的邊界【正確答案】：ABCD52.某三級信息系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)，用戶身份鑒別數(shù)據(jù)（即用戶口令）和重要業(yè)務(wù)數(shù)據(jù)均通過調(diào)用服務(wù)器密碼機(jī)（具有二級商密產(chǎn)品認(rèn)證證書）進(jìn)行保護(hù)，使用SM3帶鹽雜湊和HMAC-SM3對身份鑒別數(shù)據(jù)進(jìn)行存儲機(jī)密性保護(hù)和存儲完整性保護(hù)，使用SM4-CBC、SM3算法實現(xiàn)重要業(yè)務(wù)數(shù)據(jù)存儲機(jī)密性和存儲完整性保護(hù)，則根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，以下說法正確的是（）。A、重要業(yè)務(wù)數(shù)據(jù)存儲機(jī)密性和存儲完整性，量化評估分值相同B、重要業(yè)務(wù)數(shù)據(jù)存儲機(jī)密性和存儲完整性，量化評估分值不相同C、若該系統(tǒng)應(yīng)用層僅涉及身份鑒別數(shù)據(jù)、重要業(yè)務(wù)數(shù)據(jù)，則數(shù)據(jù)存儲機(jī)密性測評單元的量化評估分值為0.5D、若該系統(tǒng)應(yīng)用層僅涉及這兩類關(guān)鍵數(shù)據(jù)，則數(shù)據(jù)存儲完整性測評單元的量化評估分值為0.5【正確答案】：BD53.以下關(guān)于用戶密鑰的存儲方式，說法正確的是（）。A、數(shù)據(jù)加密密鑰在經(jīng)過檢測認(rèn)證的三級密碼模塊中存儲B、SM2簽名私鑰經(jīng)SM4-GCM加密后存儲在數(shù)據(jù)庫中C、SM2簽名證書明文存儲在應(yīng)用服務(wù)器中D、SM4密鑰經(jīng)SHA1加密存儲在數(shù)據(jù)庫【正確答案】：ABC54.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在編制系統(tǒng)密評報告時，針對云平臺和云上應(yīng)用的測評，以下表述合理的是（）。A、如果云平臺為SaaS服務(wù)模式，其上運行的電子簽章系統(tǒng)僅用于支撐云上應(yīng)用合同的抗抵賴保護(hù)，而不用于云平臺本身，那么在對云平臺測評時，需要對電子簽章系統(tǒng)的支撐能力進(jìn)行“部分評估”，并體現(xiàn)在系統(tǒng)密評報告中B、如果云平臺已經(jīng)通過密評（即獲得“符合”或“基本符合”的結(jié)論）且安全等級不低于云上應(yīng)用，則目前針對云平臺被完全評估的支撐能力，所對應(yīng)的云上應(yīng)用測評對象的測評結(jié)論可以為“不適用”C、針對云平臺被部分評估的支撐能力，可以在該云平臺測評結(jié)論中體現(xiàn)相關(guān)支撐能力的名稱、量化評估分值和適用條件、風(fēng)險評估情況和適用條件D、針對云平臺被完全評估的支撐能力，可以在該云平臺測評結(jié)論中體現(xiàn)相關(guān)支撐能力的安全層面、測評對象和所涉及的指標(biāo)【正確答案】：ABCD55.被測業(yè)務(wù)應(yīng)用在身份鑒別、重要數(shù)據(jù)傳輸機(jī)密性、重要數(shù)據(jù)傳輸完整性方面均未采用密碼技術(shù)，整體測評時，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，下列哪些測評指標(biāo)的測評結(jié)果可能會對應(yīng)用和數(shù)據(jù)安全層面進(jìn)行彌補(bǔ)（）。A、網(wǎng)絡(luò)和通信安全層面“身份鑒別”B、網(wǎng)絡(luò)和通信安全層面“通信過程中重要數(shù)據(jù)的機(jī)密性”C、網(wǎng)絡(luò)和通信安全層面“通信數(shù)據(jù)完整性”D、設(shè)備和計算安全層面“身份鑒別”【正確答案】：BC56.按照《商用密碼應(yīng)用安全性評估報告模板（2023版）》，在任何情況下，若需引用密評報告中的評估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對相關(guān)內(nèi)容擅自進(jìn)行（）。A、增加B、修改C、偽造D、掩蓋事實【正確答案】：ABCD57.設(shè)備和計算安全層面，關(guān)于密碼設(shè)備的“身份鑒別”測評指標(biāo)要求，需核驗、測試以下哪些內(nèi)容（）。A、判斷該密碼產(chǎn)品是否為經(jīng)檢測認(rèn)證合格的商用密碼產(chǎn)品B、確認(rèn)實際部署的密碼產(chǎn)品與獲證產(chǎn)品是否一致C、核查密碼產(chǎn)品是否采用了智能IC卡、智能密碼鑰匙、動態(tài)口令等技術(shù)對登錄設(shè)備的管理員進(jìn)行身份鑒別D、驗證是否按照密碼產(chǎn)品使用要求對登錄設(shè)備的用戶使用密碼技術(shù)進(jìn)行身份鑒別【正確答案】：ABCD58.GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》包含了以下哪些內(nèi)容（）。A、通用測評要求B、整體測評要求C、風(fēng)險分析和評價D、密碼可用性測評要求【正確答案】：ABC59.某信息系統(tǒng)擬采用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，可以使用的密碼技術(shù)包括（）。A、采用動態(tài)口令機(jī)制B、基于對稱密碼算法的消息鑒別碼機(jī)制C、基于密碼雜湊算法的消息鑒別碼機(jī)制D、基于公鑰密碼算法的數(shù)字簽名機(jī)制【正確答案】：ABCD60.對于未標(biāo)注密碼模塊安全等級的商用密碼產(chǎn)品在現(xiàn)場測評時應(yīng)考慮以下哪些因素（）。A、分析其是否為換證密碼產(chǎn)品，對于換證的密碼產(chǎn)品，需要密碼廠商進(jìn)一步提供換證前的商用密碼產(chǎn)品型號證書，如果商用密碼產(chǎn)品型號證書中標(biāo)注了其符合的密碼模塊等級，則按此等級進(jìn)行判定B、對于換證的密碼產(chǎn)品，需要密碼廠商進(jìn)一步提供換證前的商用密碼產(chǎn)品型號證書，如果商用密碼產(chǎn)品型號證書中未標(biāo)注其符合的密碼模塊等級，按“密碼產(chǎn)品符合一級密碼模塊”進(jìn)行判定C、分析其是否為新認(rèn)證密碼產(chǎn)品，對于新發(fā)認(rèn)證證書的密碼產(chǎn)品，需核實其是否為適用于密碼模塊標(biāo)準(zhǔn)的密碼產(chǎn)品D、若為密碼系統(tǒng)類產(chǎn)品（如電子簽章系統(tǒng)等），則其不適用于密碼模塊標(biāo)準(zhǔn)，但作為系統(tǒng)組件的密碼產(chǎn)品則適用于密碼模塊標(biāo)準(zhǔn)，在密評時依據(jù)這些密碼產(chǎn)品的密碼模塊安全等級進(jìn)行判定【正確答案】：ABCD61.某電商平臺用戶需使用合規(guī)的智能密碼鑰匙才能登錄，則在應(yīng)用和數(shù)據(jù)安全層面“身份鑒別”測評單元的測評對象主要包括（）。A、電商平臺B、智能密碼鑰匙C、應(yīng)用服務(wù)器D、數(shù)據(jù)庫服務(wù)器【正確答案】：AB62.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，風(fēng)險分析在（）信息的基礎(chǔ)上進(jìn)行。A、被測系統(tǒng)威脅分析結(jié)果B、被測系統(tǒng)資產(chǎn)分析結(jié)果C、被測系統(tǒng)存在的安全問題D、已有安全措施情況【正確答案】：ABCD63.某信息系統(tǒng)在國密改造實施技術(shù)文檔中標(biāo)明，采用SM2簽名驗簽的機(jī)制對應(yīng)用服務(wù)器日志記錄進(jìn)行完整性保護(hù)，并采用HMAC-SM3算法對系統(tǒng)資源訪問控制信息進(jìn)行完整性保護(hù)，兩名密碼操作員可使用智能密碼鑰匙登錄簽名驗簽服務(wù)器，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下關(guān)于測評人員在測評實施中，屬于錯誤判定的是（）。A、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲SM2簽名的字段值長度為256位，因此判定日志記錄完整性保護(hù)可能未使用SM2簽名驗簽機(jī)制B、測評人員經(jīng)核查發(fā)現(xiàn)，系統(tǒng)實際存儲HMAC-SM3的字段值長度為128位，因此判定系統(tǒng)資源訪問控制信息完整性保護(hù)使用的不是HMAC-SM3算法C、測評人員經(jīng)核查發(fā)現(xiàn)，智能密碼鑰匙設(shè)置的口令長度不小于6個字符，使用錯誤口令登錄的次數(shù)限制不超過10次，因此判定智能密鑰鑰匙的口令相關(guān)設(shè)置不符合GM/T0027的要求D、測評人員經(jīng)核查發(fā)現(xiàn)，兩名密碼操作員都使用了合規(guī)CA機(jī)構(gòu)簽發(fā)的同一張數(shù)字證書，證書在有效期內(nèi)，且進(jìn)行了證書的有效性驗證，因此判定數(shù)字證書的簽發(fā)和使用符合密評相關(guān)標(biāo)準(zhǔn)要求【正確答案】：BCD64.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，項目計劃書應(yīng)包含（）等內(nèi)容。A、項目概述、工作依據(jù)說明B、技術(shù)思路C、不適用指標(biāo)描述D、工作內(nèi)容和項目組織安排【正確答案】：ABD65.以下屬于GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中通用測評要求內(nèi)容的是（）。A、密碼算法合規(guī)性B、密碼產(chǎn)品正確性C、密碼服務(wù)合規(guī)性D、密鑰管理有效性【正確答案】：AC66.某信息系統(tǒng)使用HMAC-SM3算法對設(shè)備和計算安全層面日志記錄進(jìn)行完整性保護(hù)。使用SM4算法對HMAC-SM3密鑰進(jìn)行加密存儲，SM4密鑰存儲在配置文件中；對HMAC-SM3密鑰進(jìn)行雜湊運算，并存儲雜湊值，其中，已知雜湊值的長度為32

字

節(jié)

，

值

為0x3b366d29964b5543be7aa7cc064f9eeef9481baaa656c8bd3a88b431a8fb6f6c，以下說法正確的是（）。A、測評人員由此可判定對HMAC-SM3密鑰進(jìn)行雜湊運算的雜湊算法不是SHA-1B、測評人員由此可判定HMAC-SM3密鑰管理合規(guī)、正確C、測評人員由此可判定對HMAC-SM3進(jìn)行雜湊運算的雜湊算法可能為SHA-256D、測評人員由此可判定對HMAC-SM3進(jìn)行雜湊運算的雜湊算法可能為SM3【正確答案】：ACD67.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，對測評對象的測評結(jié)果量化評估規(guī)則，以下說法錯誤的是（）。A、通用要求和密碼應(yīng)用技術(shù)要求各安全