商用密碼應(yīng)用安全性練習(xí)卷含答案

第頁商用密碼應(yīng)用安全性練習(xí)卷含答案1.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時(shí)，IKEAttribute顯示雜湊算法ID為20，那么該協(xié)議所使用的雜湊算法是（）。A、SM3B、SHA1C、MD5D、SHA-256【正確答案】：A2.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級(jí)網(wǎng)銀系統(tǒng)用戶通過智能密碼鑰匙（經(jīng)檢測認(rèn)證的二級(jí)密碼模塊）使用美國GlobalSign頒發(fā)的SHA-256WtihRSA-2048算法數(shù)字證書登錄網(wǎng)銀系統(tǒng)，則該測評對象分值最合理的是為（）。A、0B、0.25C、0.5D、1【正確答案】：B3.在第四級(jí)信息系統(tǒng)的安全管理測評中，需要對密鑰管理員、密碼產(chǎn)品操作人員實(shí)施必要的審查，具體是指（）。A、在人員錄用時(shí)對錄用人員執(zhí)業(yè)資質(zhì)、社會(huì)關(guān)系等進(jìn)行審查B、在人員錄用時(shí)對錄用人員家庭背景、犯罪記錄和親屬等進(jìn)行審查C、在人員錄用時(shí)對錄用人員政治面貌、親屬關(guān)系等進(jìn)行審查D、在人員錄用時(shí)對錄用人員身份、背景、專業(yè)資格和資質(zhì)等進(jìn)行審查【正確答案】：D4.SSL協(xié)議密鑰協(xié)商過程中，如果密鑰交換算法為ECDHE，則Client

KeyExchange消息包含計(jì)算（）的客戶端密鑰交換參數(shù)。A、工作密鑰B、根密鑰C、主密鑰D、預(yù)主密鑰【正確答案】：D5.下列關(guān)于應(yīng)用和數(shù)據(jù)安全層面“訪問控制信息完整性”指標(biāo)測評的說法中不正確的是（）。A、被測應(yīng)用系統(tǒng)無身份鑒別模塊，則該項(xiàng)測評指標(biāo)不適用B、保護(hù)對象可能包括用戶角色配置信息、角色權(quán)限配置信息C、如使用數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)，則可使用公鑰對存儲(chǔ)的簽名結(jié)果進(jìn)行驗(yàn)證D、如果以外接服務(wù)器密碼機(jī)等密碼產(chǎn)品的形式實(shí)現(xiàn)，還需要核實(shí)密碼產(chǎn)品是否真正被調(diào)用【正確答案】：A6.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在測評網(wǎng)絡(luò)和通信安全層面時(shí)，如果通信過程采用SSL協(xié)議提供保護(hù)，經(jīng)實(shí)際抓包后，通常查看握手協(xié)議的（）消息，來獲取密碼套件屬性值，進(jìn)而判定具體使用的密碼算法。A、ClientHelloB、ServerHelloC、ServerHelloDoneD、ServerKeyExchange【正確答案】：B7.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對通用要求中“密碼產(chǎn)品”描述不正確的是（）。A、使用了具有電子認(rèn)證服務(wù)密碼使用許可證的CA機(jī)構(gòu)簽發(fā)是數(shù)字證書，一定不會(huì)導(dǎo)致高風(fēng)險(xiǎn)B、使用自實(shí)現(xiàn)且未提供安全性證明的密碼產(chǎn)品，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、使用存在高危安全漏洞的公開算法庫，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、三級(jí)信息系統(tǒng)中，使用了安全等級(jí)二級(jí)的密碼產(chǎn)品，也可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：A8.在某個(gè)政務(wù)三級(jí)信息系統(tǒng)的設(shè)備和計(jì)算層面測評過程中，發(fā)現(xiàn)采用了具有商用密碼產(chǎn)品認(rèn)證證書的SSLVPN設(shè)備，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該測評對象“日志記錄完整性”的的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：C9.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)包進(jìn)行分析時(shí)，發(fā)現(xiàn)IKE

Attribute顯示加密算法ID為129，那么該協(xié)議使用的加密算法是（）。A、SM1B、SM4C、SM7D、AES【正確答案】：B10.應(yīng)用和數(shù)據(jù)安全層面測評時(shí)，發(fā)現(xiàn)被測應(yīng)用系統(tǒng)采用SM3算法對口令計(jì)算雜湊值后傳輸和存儲(chǔ)，且客戶端調(diào)用了經(jīng)商用密碼認(rèn)證機(jī)構(gòu)認(rèn)證合格的智能密碼鑰匙生成MAC，則“身份鑒別”指標(biāo)判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C11.關(guān)于云平臺(tái)“被部分評估的支撐能力”描述錯(cuò)誤的是（

）。A、“被部分評估的支撐能力表”只在云平臺(tái)測評時(shí)填寫B(tài)、“被部分評估的支撐能力表”包含有適用條件的量化評估和風(fēng)險(xiǎn)分析C、被部分評估的支撐能力只需在云平臺(tái)測評D、被部分評估的支撐能力主要指的是對云上應(yīng)用提供的密碼支撐服務(wù)【正確答案】：C12.某第三級(jí)信息系統(tǒng)包括兩個(gè)重要應(yīng)用，其中A應(yīng)用中包括兩類不同角色的用戶，B應(yīng)用包括三類不同角色管理員用戶，且這些用戶之間的的身份鑒別方式均不相同，那么“應(yīng)用和數(shù)據(jù)安全”的“身份鑒別”測評時(shí)，分為幾個(gè)測評對象最為合理（）。A、2B、3C、4D、5【正確答案】：D13.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，對于以下哪類條款，在排除掉“不適用”的前提下，允許由信息系統(tǒng)責(zé)任方自行決定是否按照相應(yīng)測評指標(biāo)要求進(jìn)行測評和結(jié)果判定（）。A、對于“可”的條款B、對于“宜”的條款C、對于“應(yīng)”的條款D、以上均正確【正確答案】：A14.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評準(zhǔn)備活動(dòng)中與項(xiàng)目相關(guān)的主要文檔是（）。A、項(xiàng)目管理計(jì)劃B、項(xiàng)目計(jì)劃書C、測評指導(dǎo)書D、任務(wù)書【正確答案】：B15.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某二級(jí)信息系統(tǒng)對應(yīng)用和數(shù)據(jù)安全層面測評過程中發(fā)現(xiàn)，系統(tǒng)通過調(diào)用服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證的一級(jí)密碼模塊）使用AES-256算法實(shí)現(xiàn)個(gè)人敏感信息存儲(chǔ)的機(jī)密性保護(hù)，則該測評對象的量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：C16.Linux系統(tǒng)的用戶口令一般存儲(chǔ)在/etc/shadow路徑下，口令存儲(chǔ)字符串格式為：$id$salt$encrypted，其中id為5時(shí)表示口令采用（）密碼算法進(jìn)行雜湊后存儲(chǔ)。A、MD5B、BlowfishC、SHA-256D、SHA-512【正確答案】：C17.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，如果信息系統(tǒng)密碼應(yīng)用方案的評估結(jié)果為通過，由此可得到該信息系統(tǒng)的密評結(jié)果為（）。A、無法確定B、符合C、基本符合D、通過【正確答案】：A18.某信息系統(tǒng)有兩個(gè)業(yè)務(wù)應(yīng)用，其中應(yīng)用A有管理員用戶和操作員用戶兩類用戶，分別采用用戶名+口令和基于動(dòng)態(tài)口令（經(jīng)過檢測認(rèn)證的密碼產(chǎn)品）的身份鑒別方式；應(yīng)用B有管理員用戶和業(yè)務(wù)員用戶兩類用戶，均基于經(jīng)過檢測認(rèn)證的智能密碼鑰匙進(jìn)行身份鑒別。針對“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，最多可以給（）分。A、0.5B、1C、3D、0.75【正確答案】：D19.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，以下屬于信息系統(tǒng)密評報(bào)告“密評活動(dòng)有效性證明記錄”中“密評委托證明”中需要體現(xiàn)的內(nèi)容的是（）A、現(xiàn)場測評授權(quán)書B、風(fēng)險(xiǎn)告知書C、與密評機(jī)構(gòu)簽訂的合同掃描件D、差旅票證【正確答案】：C20.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，以下哪項(xiàng)不屬于方案密評報(bào)告所包含的內(nèi)容（）。A、報(bào)告分發(fā)范圍B、密碼應(yīng)用方案C、密評委托證明D、測評人員進(jìn)入系統(tǒng)所在機(jī)房的證明記錄【正確答案】：D21.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，現(xiàn)場測評活動(dòng)不包含下列哪一項(xiàng)（）。A、確認(rèn)整體密碼部署是否合規(guī)B、實(shí)地檢查密碼配置是否正確C、測評檢查點(diǎn)的確定D、授權(quán)接入系統(tǒng)后確認(rèn)密碼使用是否有效【正確答案】：C22.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在量化評估框架中，字母A表示（）。A、AdherencetocryptographicalgorithmstandardsB、CryptographicalgorithmvalidationC、CryptographyAlgorithmcomplianceD、Algorithmicreviewandapproval【正確答案】：C23.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，風(fēng)險(xiǎn)等級(jí)不包括（）。A、高B、中C、低D、一般【正確答案】：D24.某云平臺(tái)和云上應(yīng)用系統(tǒng)的業(yè)務(wù)數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)，由同一臺(tái)云服務(wù)器密碼機(jī)（經(jīng)檢測認(rèn)證）提供，且均采用SM4-CBC算法計(jì)算數(shù)據(jù)密文。若云平臺(tái)率先通過密評，且“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”測評單元得到“符合”結(jié)論，那么依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，云上應(yīng)用系統(tǒng)的該測評指標(biāo)應(yīng)選擇以下哪種判定結(jié)果更合適（）。A、符合B、部分符合C、不符合D、不確定，需重新測評【正確答案】：D25.在對某信息系統(tǒng)進(jìn)行設(shè)備和計(jì)算層面測評過程中，某個(gè)測評單元具有3個(gè)測評對象，量化得分分別為1、1、0.5，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該測評單元的量化結(jié)果為（）。A、0B、0.5C、0.8333D、1【正確答案】：C26.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，三級(jí)信息系統(tǒng)的密評報(bào)告總體評價(jià)中，設(shè)備和計(jì)算安全層面測評結(jié)果可能存在（）。A、符合2項(xiàng)，部分符合3項(xiàng)，不符合1項(xiàng)，不適用1項(xiàng)的情況B、符合3項(xiàng)，部分符合2項(xiàng)，不符合2項(xiàng)，無不適用項(xiàng)的情況C、符合2項(xiàng)，部分符合1項(xiàng)，不符合2項(xiàng)，不適用1項(xiàng)的情況D、符合4項(xiàng)，部分符合2項(xiàng)，不符合1項(xiàng)，不適用1項(xiàng)【正確答案】：C27.對通過工具測試抓取的數(shù)據(jù)進(jìn)行分析，下列哪些說法是不正確的（）。A、對密文應(yīng)進(jìn)行隨機(jī)性檢測B、查看關(guān)鍵字段是否以明文出現(xiàn)C、驗(yàn)證雜湊值和簽名值是否正確D、對密文進(jìn)行解密，驗(yàn)證加密算法的合規(guī)性、正確性【正確答案】：D28.按照GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下（）不屬于應(yīng)用和數(shù)據(jù)安全層面的測評內(nèi)容。A、重要信息資源安全標(biāo)記完整性B、訪問控制信息完整性C、日志記錄存儲(chǔ)完整性D、重要可執(zhí)行程序完整性和來源真實(shí)性【正確答案】：D29.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，被測系統(tǒng)密評報(bào)告封面的報(bào)告編號(hào)應(yīng)（）。A、根據(jù)國家密碼管理部門的編號(hào)要求進(jìn)行編號(hào)B、根據(jù)系統(tǒng)責(zé)任單位的文件歸檔要求進(jìn)行編號(hào)C、根據(jù)密評機(jī)構(gòu)質(zhì)量管理體系文件要求進(jìn)行編號(hào)D、根據(jù)信息系統(tǒng)網(wǎng)絡(luò)安全等級(jí)保護(hù)備案編號(hào)進(jìn)行編號(hào)【正確答案】：C30.針對整機(jī)類密碼產(chǎn)品（如IPSecVPN網(wǎng)關(guān)、SSLVPN網(wǎng)關(guān)、安全認(rèn)證網(wǎng)關(guān)、金融數(shù)據(jù)密碼機(jī)、服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器、時(shí)間戳服務(wù)器、云服務(wù)器密碼機(jī)等），以()為粒度確定設(shè)備和計(jì)算安全層面的測評對象。A、具有相同硬件、軟件配置的設(shè)備B、具有相同商用密碼產(chǎn)品認(rèn)證證書編號(hào)的密碼產(chǎn)品C、具有相同功能的密碼產(chǎn)品D、相同類型的密碼產(chǎn)品【正確答案】：B31.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，對于訪問控制信息完整性，以下屬于設(shè)備和計(jì)算安全層面測評內(nèi)容的是（）。A、部署在網(wǎng)絡(luò)邊界的VPN中的訪問控制列表B、通用服務(wù)器操作系統(tǒng)的系統(tǒng)權(quán)限訪問控制信息C、邊界防火墻的ACL列表D、應(yīng)用系統(tǒng)的用戶權(quán)限列表【正確答案】：B32.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪項(xiàng)不屬于測評準(zhǔn)備活動(dòng)的輸出文檔（）。A、系統(tǒng)情況調(diào)研表B、簽署過的測評授權(quán)書C、選用的測評工具清單D、會(huì)議簽到表【正確答案】：B33.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，在沒有采用密碼技術(shù)保證進(jìn)入機(jī)房人員身份鑒別安全的情況下，以下能夠降低安全風(fēng)險(xiǎn)的措施是（）。A、采用用戶名+口令+ID卡方式鑒別進(jìn)入人員身份B、人員信息自行登記后進(jìn)入C、機(jī)房出入口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實(shí)時(shí)監(jiān)控D、機(jī)房禁止外部人員進(jìn)入【正確答案】：C34.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某三級(jí)信息系統(tǒng)密評時(shí)所有安全層面均適用，建設(shè)運(yùn)行層面五個(gè)測評單元得分分別為1分、0.5分、0.5分、1分、0分，則該層面量化評估的得分為（）。A、0.3064B、0.6477C、0.8001D、0.9112【正確答案】：B35.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，密碼應(yīng)用安全性評估活動(dòng)中，確定測評對象和測評指標(biāo)是在（）階段。A、測評準(zhǔn)備活動(dòng)B、方案編制活動(dòng)C、現(xiàn)場測評活動(dòng)D、分析與報(bào)告編制活動(dòng)【正確答案】：B36.密評過程中對網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時(shí)，IKEAttribute顯示算法ID為2，那么該協(xié)議所使用的公鑰算法算法是（）。A、RSA-1024B、SM2C、SM9D、RSA-2048【正確答案】：B37.對于數(shù)據(jù)庫中的重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)完整性保護(hù)，使用SM3算法進(jìn)行保護(hù)，判定為（）。A、符合B、部分符合C、不符合D、采取了風(fēng)險(xiǎn)緩解措施【正確答案】：C38.應(yīng)用和數(shù)據(jù)安全要求中“采用密碼技術(shù)對登錄用戶進(jìn)行身份鑒別，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性”的用戶指的是（）。A、所有登錄設(shè)備的實(shí)體B、所有登錄應(yīng)用進(jìn)行操作的實(shí)體C、設(shè)備管理員D、應(yīng)用管理員【正確答案】：B39.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，密碼應(yīng)用管理要求各安全層面的量化評估取值可能是（）。A、{0,0.25,0.5,1}B、{0,0.5,1}C、{0,1}D、[0,1]【正確答案】：B40.某信息系統(tǒng)管理員使用合規(guī)的智能密碼鑰匙登錄服務(wù)器密碼機(jī)時(shí)，若服務(wù)器密碼機(jī)僅通過比對智能密碼鑰匙發(fā)送的唯一標(biāo)識(shí)符進(jìn)行鑒別，則身份鑒別測評項(xiàng)的判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：C41.在對應(yīng)用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”指標(biāo)測評時(shí)，采用以下（）密碼技術(shù)可能被判定為“部分符合”。A、采用SM3算法對業(yè)務(wù)數(shù)據(jù)計(jì)算雜湊值后存儲(chǔ)B、采用DES算法對重要業(yè)務(wù)數(shù)據(jù)加密后存儲(chǔ)C、采用SM4-ECB模式對所有用戶性別信息項(xiàng)進(jìn)行加密后存儲(chǔ)D、使用RSA算法對個(gè)人敏感信息加密后存儲(chǔ)【正確答案】：D42.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪項(xiàng)不屬于分析與報(bào)告編制活動(dòng)（）。A、威脅分析B、量化評估C、整體測評D、風(fēng)險(xiǎn)分析【正確答案】：A43.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，在方案密評報(bào)告的“商用密碼應(yīng)用安全性評估結(jié)論”部分不包括以下哪項(xiàng)（）。A、方案名稱B、評估結(jié)論C、不適用指標(biāo)數(shù)目D、密碼應(yīng)用需求【正確答案】：D44.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，密評報(bào)告模板中報(bào)告聲明頁需（）。A、加蓋機(jī)構(gòu)用章B、加蓋密評人員電子簽章C、機(jī)構(gòu)法人簽字D、批準(zhǔn)人簽字【正確答案】：A45.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，針對“安全控制措施評估結(jié)果”環(huán)節(jié)的工作，以下描述較為合理的是（）。A、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對應(yīng)用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護(hù)均使用國外密碼算法，因此“重要數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評估結(jié)果為“未通過”B、某三級(jí)信息系統(tǒng)41個(gè)基本指標(biāo)中，其中一個(gè)指標(biāo)的安全控制措施評估結(jié)果為“未通過”，因此該信息系統(tǒng)的密碼應(yīng)用方案評估結(jié)果為“不通過”C、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評估結(jié)果均為“通過”，初步量化評估分值為50分，那么該密碼應(yīng)用方案的整體評估結(jié)果仍可為“通過”D、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過其他的安全管理措施降低風(fēng)險(xiǎn)，因此該指標(biāo)的安全控制措施評估結(jié)果一定為“未通過”【正確答案】：B46.某三級(jí)信息系統(tǒng)客戶端與服務(wù)端之間的網(wǎng)絡(luò)通信信道使用TLSv1.2協(xié)議進(jìn)行傳輸保護(hù)，使用的密碼套件為TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進(jìn)行通信數(shù)據(jù)機(jī)密性和完整性保護(hù)。A、ECDHE，RSAB、AES_256_GCM,AES_256_GCMC、AES-GCM，HMAC-SHA384D、AES-GCM，SHA384【正確答案】：B47.在密評時(shí)，以下密碼算法/技術(shù)的組合（）認(rèn)為存在高危風(fēng)險(xiǎn)。A、對數(shù)據(jù)進(jìn)行RSA-3072和SHA-1簽名B、對數(shù)據(jù)進(jìn)行DES加密后，再進(jìn)行SM4加密C、對數(shù)據(jù)進(jìn)行HMAC-SHA256保護(hù)D、對數(shù)據(jù)進(jìn)行SM2和SM3簽名【正確答案】：A48.某面向公眾的三級(jí)信息系統(tǒng)部署在政務(wù)云平臺(tái)上，在對其開展密評工作時(shí)，由于外單位人員進(jìn)入機(jī)房進(jìn)行核查的審批流程繁瑣，故密評機(jī)構(gòu)與系統(tǒng)責(zé)任單位約定由系統(tǒng)責(zé)任單位運(yùn)維人員代為前往機(jī)房進(jìn)行設(shè)備核查，根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，這種方式是否符合密評要求（）。A、符合B、不符合C、只要能夠完成資產(chǎn)核查即可，進(jìn)行核查的不一定為密評機(jī)構(gòu)實(shí)施密評活動(dòng)人員D、目前沒有相關(guān)要求【正確答案】：B49.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，密評人員在對SSLVPN通信信道進(jìn)行測評時(shí)

，

發(fā)

現(xiàn)

協(xié)

議

算

法

套

件

為TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013)，以下判斷合理的是（）。A、采用ECDHE算法進(jìn)行密鑰協(xié)商B、采用RSA算法來保證通信過程中數(shù)據(jù)的機(jī)密性C、采用AES算法來保證通信過程中數(shù)據(jù)的完整性D、采用SHA算法來保證通信過程中數(shù)據(jù)的完整性【正確答案】：A50.在三級(jí)系統(tǒng)測評中，某系被測信息系統(tǒng)為已在建運(yùn)行系統(tǒng)，投入運(yùn)行時(shí)間為2019年1月，該次測評為首次密評，則根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，建設(shè)運(yùn)行層面“投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評估”測評項(xiàng)的量化得分為（）。A、0B、0.5C、1D、不適用【正確答案】：D51.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，測評檢查點(diǎn)確定時(shí)，應(yīng)充分考慮到（）。A、密碼產(chǎn)品是否正確配置B、檢查的可行性和風(fēng)險(xiǎn)，對被測信息系統(tǒng)的影響C、承載核心資產(chǎn)流轉(zhuǎn)的設(shè)備D、系統(tǒng)采用的密碼服務(wù)情況【正確答案】：B52.某網(wǎng)上銀行信息系統(tǒng)，網(wǎng)銀用戶持有銀行配發(fā)的智能密碼鑰匙，在交易時(shí)，用戶使用智能密碼鑰匙對交易信息進(jìn)行SM9數(shù)字簽名，網(wǎng)銀服務(wù)端收到后調(diào)用簽名驗(yàn)簽服務(wù)器完成驗(yàn)簽。上述密碼運(yùn)算均在密碼產(chǎn)品中完成，密碼產(chǎn)品均經(jīng)過檢測認(rèn)證。依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，則“不可否認(rèn)性”最合適的判定結(jié)果是（）。A、符合B、部分符合C、不符合D、不確定【正確答案】：C53.信息系統(tǒng)使用的密碼算法如果不是以國家標(biāo)準(zhǔn)或行業(yè)標(biāo)準(zhǔn)發(fā)布的，在測評時(shí)首先應(yīng)核驗(yàn)（）。A、是否取得國家密碼管理部門同意其使用的證明文件B、密碼算法安全性審查文件C、密碼算法正確性驗(yàn)證報(bào)告D、密碼算法性能測試報(bào)告【正確答案】：A54.某信息系統(tǒng)設(shè)備管理員在互聯(lián)網(wǎng)通過SSLVPN訪問內(nèi)網(wǎng)后，再登錄堡壘機(jī)對設(shè)備進(jìn)行運(yùn)維管理，運(yùn)維人員在互聯(lián)網(wǎng)通過智能密碼鑰匙登錄SSLVPN；則在網(wǎng)絡(luò)和通信安全層面，對該遠(yuǎn)程管理通道的主要測評的內(nèi)容包括（）。A、運(yùn)維客戶端和SSLVPN之間的身份鑒別、通信機(jī)密性和完整性B、運(yùn)維客戶端和堡壘機(jī)之間的身份鑒別、通信機(jī)密性和完整性C、SSLVPN和堡壘機(jī)之間的身份鑒別、通信機(jī)密性和完整性D、堡壘機(jī)和服務(wù)器之間的身份鑒別、通信機(jī)密性和完整性【正確答案】：A55.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，在密碼應(yīng)用技術(shù)各層面的測評對象的量化評估結(jié)果可能是（）。A、{0,0.5,1}B、{0,0.25,0.5,1}C、{0,1}D、{0,0.5,0.75,1}【正確答案】：B56.某二級(jí)信息系統(tǒng)責(zé)任單位不計(jì)劃把電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性指標(biāo)納入測評范圍，則應(yīng)在設(shè)計(jì)密碼應(yīng)用方案時(shí)（）。A、不需要明確說明電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性指標(biāo)的不適用性B、需要明確說明電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性指標(biāo)的不適用性，但不需要采取風(fēng)險(xiǎn)控制措施C、需要明確說明電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性指標(biāo)的不適用性，并且需要采取風(fēng)險(xiǎn)控制措施D、無法作為不適用項(xiàng)【正確答案】：B57.某信息系統(tǒng)的安全等級(jí)為第三級(jí)，被測單位認(rèn)為網(wǎng)絡(luò)與通信安全層面的安全接入認(rèn)證不適用，則應(yīng)在設(shè)計(jì)密碼應(yīng)用方案時(shí)（）。A、不需要明確說明安全接入認(rèn)證指標(biāo)的不適用性B、需要明確說明安全接入認(rèn)證指標(biāo)的不適用性，并且需要采取風(fēng)險(xiǎn)控制措施C、需要明確說明安全接入認(rèn)證指標(biāo)的不適用性，但不需要采取風(fēng)險(xiǎn)控制措施D、無法作為不適用項(xiàng)【正確答案】：C58.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)的網(wǎng)絡(luò)和通信安全層面測評對象包括IPSecVPN通信信道和SSLVPN通信信道，密評人員經(jīng)測評后發(fā)現(xiàn)，針對“通信數(shù)據(jù)完整性”測評單元，IPSecVPN通信信道符合要求，SSLVPN通信信道不符合要求。那么該信息系統(tǒng)在網(wǎng)絡(luò)和通信安全層面“通信數(shù)據(jù)完整性”測評單元的最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、不適用【正確答案】：B59.某三級(jí)信息系統(tǒng)的系統(tǒng)管理員通過堡壘機(jī)登錄通用服務(wù)器并對其進(jìn)行遠(yuǎn)程管理，進(jìn)入堡壘機(jī)后，系統(tǒng)管理員通過用戶名+口令的方式訪問通用服務(wù)器。系統(tǒng)管理員登錄堡壘機(jī)時(shí)通過部署具有商用密碼產(chǎn)品認(rèn)證證書的安全瀏覽器（安全等級(jí)二級(jí)）和智能密碼鑰匙（安全等級(jí)二級(jí)）并基于數(shù)字證書（在有效期內(nèi)）的方式進(jìn)行身份鑒別，算法為SM2。因此該系統(tǒng)在“設(shè)備和計(jì)算安全”層面的通用服務(wù)器測評對象的“身份鑒別”指標(biāo)D、K的判定結(jié)果為（）。A、√，√，√B、×，/，/C、√，×，×D、√，√，×【正確答案】：B60.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)使用了服務(wù)器密碼機(jī)、簽名驗(yàn)簽服務(wù)器等密碼產(chǎn)品，密碼產(chǎn)品合規(guī)性核查要點(diǎn)不包含以下哪項(xiàng)內(nèi)容（）。A、核查密碼產(chǎn)品是否具備商用密碼產(chǎn)品認(rèn)證證書B、核查服務(wù)器密碼機(jī)的隨機(jī)數(shù)發(fā)生器是否采用國家密碼管理主管部門批準(zhǔn)的物理噪聲源芯片C、若密碼產(chǎn)品符合密碼模塊相關(guān)標(biāo)準(zhǔn)，則核查其密碼模塊是否達(dá)到相應(yīng)安全等級(jí)要求D、核查商用密碼產(chǎn)品認(rèn)證證書是否在有效期內(nèi)【正確答案】：B61.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下不屬于建設(shè)運(yùn)行層面第三級(jí)信息系統(tǒng)測評指標(biāo)的是（）。A、制定密碼應(yīng)用方案B、制定密鑰安全管理策略C、投入運(yùn)行前進(jìn)行商用密碼應(yīng)用安全性評估D、密鑰管理規(guī)則【正確答案】：D62.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在測評“網(wǎng)絡(luò)和通信安全層面”時(shí)，如果通信過程采用IPSec協(xié)議提供保護(hù)，經(jīng)實(shí)際抓包后，測評人員通常查看IPSec協(xié)議中（

）階段的報(bào)文數(shù)據(jù)，來獲取密碼算法屬性值，進(jìn)而確定具體使用的密碼算法并進(jìn)行結(jié)果判定。A、IKEB、AHC、ESPD、以上均可【正確答案】：A63.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評過程中被測系統(tǒng)數(shù)據(jù)安全保護(hù)措施驗(yàn)證、數(shù)據(jù)采集方法說明，說法錯(cuò)誤的是（）。A、在條件允許的情況下，可以重放采集的關(guān)鍵數(shù)據(jù)（如身份鑒別數(shù)據(jù)）驗(yàn)證被測信息系統(tǒng)是否具備防重放攻擊的能力B、在條件允許的情況下，可以嘗試修改傳輸?shù)臄?shù)據(jù)驗(yàn)證被測信息系統(tǒng)是否對傳輸數(shù)據(jù)進(jìn)行了完整性保護(hù)C、如果被測系統(tǒng)無法提供數(shù)據(jù)接入條件，可以不進(jìn)行數(shù)據(jù)采集。D、在條件允許的情況下，可以搭建與被測信息系統(tǒng)一致的模擬／仿真環(huán)境開展測評工作【正確答案】：C64.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，（）是建立評估對象所需密鑰管理策略和密鑰管理規(guī)則的主要依據(jù)。A、評審?fù)ㄟ^的密碼應(yīng)用方案B、系統(tǒng)安全性設(shè)計(jì)方案C、系統(tǒng)建設(shè)實(shí)施方案D、項(xiàng)目立項(xiàng)報(bào)告【正確答案】：A65.某一信息系統(tǒng)部署了5臺(tái)IPSecVPN，均具有商用密碼產(chǎn)品認(rèn)證證書，其中3臺(tái)編號(hào)均為GM001110620202027

，

2

臺(tái)

編

號(hào)

為GM001110620202036，設(shè)備和計(jì)算安全層面有（）個(gè)IPSECVPN測評對象。A、2B、3C、5D、8【正確答案】：A66.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下不是被測信息系統(tǒng)密評工作中對硬件設(shè)備進(jìn)行描述的內(nèi)容的是（）。A、測評對象所屬區(qū)域B、測評對象設(shè)備名稱C、測評對象設(shè)備信息D、測評對象數(shù)據(jù)加密情況【正確答案】：D67.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對于通用要求中“密碼技術(shù)”描述正確的是（）。A、該要求適用級(jí)別為一級(jí)到四級(jí)信息系統(tǒng)B、若采用OpenSSL協(xié)議庫實(shí)現(xiàn)TLS，則一定不會(huì)導(dǎo)致高風(fēng)險(xiǎn)C、指標(biāo)要求為“信息系統(tǒng)中使用的密碼技術(shù)應(yīng)遵循密碼相關(guān)國家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)”D、若使用TLS1.1,則一定會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：C68.在密評時(shí)，可以根據(jù)GM/T0005針對（）檢測其隨機(jī)數(shù)統(tǒng)計(jì)特性，判斷其是否符合要求。A、隨機(jī)數(shù)熵源B、應(yīng)用中采集的大量CBC模式下的IV值構(gòu)成的數(shù)據(jù)樣本C、應(yīng)用中采集的大量CTR模式下的計(jì)數(shù)器構(gòu)成的數(shù)據(jù)樣本D、數(shù)字證書【正確答案】：A69.以下哪些密碼產(chǎn)品適用于GM/T0028《密碼模塊安全技術(shù)要求》（）。A、服務(wù)器密碼機(jī)B、安全芯片CA/KM系統(tǒng)D、電子簽章系統(tǒng)【正確答案】：A70.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下關(guān)于網(wǎng)絡(luò)和通信安全層面“通信過程中重要數(shù)據(jù)機(jī)密性”風(fēng)險(xiǎn)緩解措施有效的是（）。A、在“應(yīng)用和數(shù)據(jù)安全”層面僅針對信息系統(tǒng)部分重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡(luò)通信信道B、在“應(yīng)用和數(shù)據(jù)安全”層面對信息系統(tǒng)所有需要保護(hù)的重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進(jìn)行機(jī)密性保護(hù)，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡(luò)通信信道C、針對內(nèi)網(wǎng)訪問的信息系統(tǒng)，因不涉及互聯(lián)網(wǎng)數(shù)據(jù)傳輸，所以可以降低網(wǎng)絡(luò)和通信安全層面“通信過程中重要數(shù)據(jù)的機(jī)密性”面臨的安全風(fēng)險(xiǎn)D、通過專線進(jìn)行數(shù)據(jù)傳輸?shù)耐ǖ?，可以認(rèn)為專線面臨的安全風(fēng)險(xiǎn)可控，能夠降低其面臨的安全風(fēng)險(xiǎn)【正確答案】：B71.在設(shè)備和計(jì)算安全層中，依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，能夠降低服務(wù)器身份鑒別安全風(fēng)險(xiǎn)的措施是（）。A、采用設(shè)備指紋方式登錄服務(wù)器B、采用手機(jī)短信驗(yàn)證碼方式登錄服務(wù)器C、登錄堡壘機(jī)后，再輸入用戶名+口令的方式，登錄服務(wù)器D、采用進(jìn)入機(jī)房，本地運(yùn)維的方式進(jìn)行服務(wù)器管理【正確答案】：A72.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某OA辦公系統(tǒng)面向被測單位辦公人員提供在線辦公、公文意見簽批等服務(wù)，管理員登錄后臺(tái)進(jìn)行系統(tǒng)管理操作。經(jīng)測評，辦公人員身份鑒別判定為“不符合”，管理員身份鑒別判定為“符合”，則針對應(yīng)用和數(shù)據(jù)安全層面的“身份鑒別”測評單元，最終判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：B73.經(jīng)核查，某信息系統(tǒng)通過調(diào)用服務(wù)器密碼機(jī)，對系統(tǒng)日志記錄進(jìn)行完整性保護(hù)，防止日志記錄被非法篡改，則建議配置的密碼算法為（）。A、HMAC-MD5B、HMAC-SM3C、HMAC-SHA1D、SM4【正確答案】：B74.如果被測信息系統(tǒng)所在的物理機(jī)房采用多區(qū)域部署或被測信息系統(tǒng)重要資產(chǎn)分布在不同的物理機(jī)房中，物理和環(huán)境測評對象包括（）。A、僅密碼設(shè)備所在機(jī)房B、所有該信息系統(tǒng)涉及的機(jī)房C、主機(jī)房D、具有門禁和視頻監(jiān)控系統(tǒng)的機(jī)房【正確答案】：B75.某三級(jí)信息系統(tǒng)通過堡壘機(jī)對通用服務(wù)器進(jìn)行集中管理，其中管理員與堡壘機(jī)之間使用HTTP協(xié)議建立傳輸通道，堡壘機(jī)與通用服務(wù)器之間使用SSH2.0建立傳輸通道，因此針對“設(shè)備和計(jì)算安全”層面的“遠(yuǎn)程管理通道安全”指標(biāo)的判定結(jié)果為（）。A、符合B、部分符合C、不符合D、無法判斷【正確答案】：B76.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護(hù)對象不包括（）。A、網(wǎng)絡(luò)和通信安全層面的通信信道B、不同應(yīng)用用戶C、重要數(shù)據(jù)D、通用交換機(jī)【正確答案】：D77.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，網(wǎng)絡(luò)和通信安全層面如果未采用基于（）的數(shù)字簽名機(jī)制等密碼技術(shù)對通信實(shí)體進(jìn)行身份鑒別，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)。A、公鑰密碼算法B、對稱密碼算法C、密碼雜湊算法D、標(biāo)識(shí)算法【正確答案】：A78.密評過程中，如果遇到《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》沒有描述的風(fēng)險(xiǎn)判定情況，那么測評人員應(yīng)（）。A、結(jié)合實(shí)際情況進(jìn)行綜合判定風(fēng)險(xiǎn)B、判定為高風(fēng)險(xiǎn)C、判定為中風(fēng)險(xiǎn)D、判定為低風(fēng)險(xiǎn)【正確答案】：A79.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下不存在缺陷或沒有安全問題警示的密碼技術(shù)是（）。A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0【正確答案】：B80.某三級(jí)信息系統(tǒng)有兩個(gè)機(jī)房A和B。其中，A機(jī)房的訪問方式為“人工值守+視頻監(jiān)控”，訪問人員經(jīng)過審批后才可登記進(jìn)入，該風(fēng)險(xiǎn)控制措施寫入了該系統(tǒng)的密碼應(yīng)用方案中且方案通過了評估，密評人員到系統(tǒng)現(xiàn)場進(jìn)一步核實(shí)了風(fēng)險(xiǎn)控制措施的使用條件和落實(shí)情況與方案描述相符。B機(jī)房有C和D兩個(gè)門，無論從C門還是D門進(jìn)入，都可以訪問整個(gè)機(jī)房。C門的訪問方式為（經(jīng)檢測認(rèn)證合格的）電子門禁系統(tǒng)刷卡，D門的訪問方式為ID卡。那么按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，該系統(tǒng)密評報(bào)告中，在物理和環(huán)境安全層面“身份鑒別”測評單元的判定結(jié)果為（）。A、符合，1分B、部分符合，0.5分C、部分符合，0.75分D、不符合，0分【正確答案】：D81.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，應(yīng)用和數(shù)據(jù)安全層面“身份鑒別”指標(biāo)主要核查（）用戶登錄的身份鑒別機(jī)制。A、數(shù)據(jù)庫管理員B、服務(wù)器管理員C、應(yīng)用管理員D、所有登錄應(yīng)用進(jìn)行操作的實(shí)體【正確答案】：D82.根據(jù)（）測評指標(biāo)的要求，測評實(shí)施時(shí)，需要查看信息系統(tǒng)責(zé)任單位是否制定了管理制度發(fā)布的相關(guān)要求。A、應(yīng)明確相關(guān)管理制度的發(fā)布流程B、制度執(zhí)行過程應(yīng)留存相關(guān)執(zhí)行記錄C、定期對存在不足或需要改進(jìn)的安全管理制度進(jìn)行修訂D、應(yīng)制定密碼安全管理制度及操作規(guī)范【正確答案】：A83.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，若信息系統(tǒng)使用認(rèn)證合格的密碼產(chǎn)品基于SM4-CBC算法實(shí)現(xiàn)了重要數(shù)據(jù)存儲(chǔ)機(jī)密性保護(hù)，但該密碼產(chǎn)品的密碼模塊安全等級(jí)低于應(yīng)達(dá)到的安全等級(jí)要求，則其“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”測評單元的量化評估結(jié)果為（）。A、1B、0.5C、0.25D、無法判斷【正確答案】：B84.某電商平臺(tái)收集了用戶的姓名、手機(jī)號(hào)、地址等信息，需要對這些信息進(jìn)行存儲(chǔ)完整性保護(hù)，則應(yīng)采取的密碼技術(shù)為（）。A、SM3B、HMAC-SM3C、MD5D、SM4【正確答案】：B85.在對應(yīng)急處置層面“應(yīng)急策略”指標(biāo)測評時(shí)發(fā)現(xiàn)，某第三級(jí)信息系統(tǒng)制定了符合網(wǎng)絡(luò)安全等級(jí)保護(hù)基本要求的應(yīng)急預(yù)案，預(yù)案中明確了網(wǎng)絡(luò)安全事件發(fā)生時(shí)的應(yīng)急處理流程、系統(tǒng)恢復(fù)流程及其他管理措施，具有事件處置記錄模板，但應(yīng)急預(yù)案未涵蓋密碼應(yīng)用安全相關(guān)事件且信息系統(tǒng)尚未發(fā)生密碼應(yīng)用安全事件。依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》,本指標(biāo)判定結(jié)果最合適的是（

）。A、符合B、部分符合C、不符合D、無法判定【正確答案】：B86.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，對于“宜”的條款，以下做法不正確的是（）。A、若納入標(biāo)準(zhǔn)符合性測評范圍，則密評人員應(yīng)按照相應(yīng)測評指標(biāo)要求進(jìn)行測評和結(jié)果判定B、若未納入標(biāo)準(zhǔn)符合性測評范圍，密評人員不僅要按照相應(yīng)測評指標(biāo)要求進(jìn)行測評和結(jié)果判定，還應(yīng)在測評中進(jìn)一步確認(rèn)是否存在其他風(fēng)險(xiǎn)控制措施C、若未納入標(biāo)準(zhǔn)符合性測評范圍，密評人員在測評中應(yīng)進(jìn)一步核實(shí)密碼應(yīng)用方案中所描述的風(fēng)險(xiǎn)控制措施使用條件在實(shí)際的信息系統(tǒng)中是否被滿足，且信息系統(tǒng)的實(shí)施情況與所描述的風(fēng)險(xiǎn)控制措施是否一致D、若未納入標(biāo)準(zhǔn)符合性測評范圍，經(jīng)密評人員確認(rèn)信息系統(tǒng)實(shí)際采用的風(fēng)險(xiǎn)控制措施使用條件和具體措施與密碼應(yīng)用方案保持一致，則相應(yīng)測評指標(biāo)視為“不適用”【正確答案】：B87.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在針對網(wǎng)絡(luò)和通信安全層面的“身份鑒別”指標(biāo)進(jìn)行測評時(shí)，SSL協(xié)議工作流程中，如果服務(wù)端需要驗(yàn)證客戶端的身份，則測評人員需要核查服務(wù)端需向客戶端發(fā)送的（）消息。A、ServerKeyExchangeB、CertificateRequestC、ServerCertificateD、CertificateVerify【正確答案】：B88.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，信息系統(tǒng)中使用的密碼產(chǎn)品或服務(wù)可能引起高風(fēng)險(xiǎn)的是（）。A、使用自實(shí)現(xiàn)且能夠提供安全證明的密碼產(chǎn)品B、使用的密碼產(chǎn)品存在高危漏洞C、密碼產(chǎn)品的使用符合國家密碼主管部門的管理要求和標(biāo)準(zhǔn)規(guī)范的要求D、密碼服務(wù)提供商具有國家密碼管理部門的相關(guān)資質(zhì)【正確答案】：B89.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)部署和使用了2臺(tái)A廠商具有B型號(hào)商用密碼產(chǎn)品認(rèn)證證書的服務(wù)器密碼機(jī)，3臺(tái)C廠商具有D型號(hào)商用密碼產(chǎn)品認(rèn)證證書的服務(wù)器密碼機(jī)，則在“設(shè)備和計(jì)算安全”層面選取測評對象時(shí)應(yīng)（）。A、以服務(wù)器密碼機(jī)作為測評對象B、將5臺(tái)服務(wù)器密碼機(jī)均列為測評對象C、將具有同一商用密碼產(chǎn)品認(rèn)證證書的服務(wù)器密碼機(jī)作為一個(gè)測評對象D、服務(wù)器密碼機(jī)不作為設(shè)備和計(jì)算安全層面的測評對象【正確答案】：C90.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下說法正確的是（）。A、在GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，通用測評要求對應(yīng)的是第一級(jí)到第四級(jí)的密碼應(yīng)用要求B、在GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，密碼應(yīng)用技術(shù)測評要求對應(yīng)的是第一級(jí)到第四級(jí)的密碼應(yīng)用要求C、在GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，密碼應(yīng)用管理測評要求對應(yīng)的是第一級(jí)到第五級(jí)的密碼應(yīng)用要求D、在GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，測評單元“密鑰管理安全性”對應(yīng)的是第一級(jí)到第四級(jí)的密碼應(yīng)用要求【正確答案】：B91.測評過程中，對信息系統(tǒng)網(wǎng)絡(luò)邊界內(nèi)的用戶與系統(tǒng)應(yīng)用之間重要數(shù)據(jù)傳輸保護(hù)的測評屬于（）安全層面的測評內(nèi)容。A、網(wǎng)絡(luò)和通信安全B、設(shè)備和計(jì)算安全C、應(yīng)用和數(shù)據(jù)安全D、密鑰管理【正確答案】：C92.某三級(jí)信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計(jì)算MAC值后與數(shù)據(jù)原文一同存儲(chǔ)在數(shù)據(jù)庫中，密碼運(yùn)算為軟件實(shí)現(xiàn)，針對“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：C93.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，某信息系統(tǒng)在互聯(lián)網(wǎng)通過SSLVPN接入內(nèi)網(wǎng)后，再通過堡壘機(jī)集中管理服務(wù)器，則在設(shè)備和計(jì)算安全層面“遠(yuǎn)程管理通道安全”應(yīng)測評的內(nèi)容為（）。A、管理員客戶端與SSLVPN之間的通道B、堡壘機(jī)與服務(wù)器之間的通道C、管理員客戶端與SSLVPN之間的通道、SSLVPN與堡壘機(jī)之間的通道D、SSLVPN與堡壘機(jī)之間的通道、堡壘機(jī)與服務(wù)器之間的通道【正確答案】：D94.某信息系統(tǒng)于2018年投入運(yùn)行，該系統(tǒng)首次密碼應(yīng)用安全性評估時(shí)在建設(shè)運(yùn)行層面“投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評估”測評項(xiàng)應(yīng)如何判定（）。A、判定“不符合”B、判定“符合”C、判定“不適用”D、判定“部分符合”【正確答案】：C95.某三級(jí)測繪系統(tǒng)用戶基于SM2數(shù)字證書登錄系統(tǒng)，SM2數(shù)字證書存儲(chǔ)在智能密碼鑰匙（經(jīng)檢測認(rèn)證的二級(jí)密碼模塊）中，數(shù)字證書由具有電子認(rèn)證服務(wù)密碼使用許可證的第三方CA機(jī)構(gòu)簽發(fā)，并且用戶與服務(wù)器之間的身份鑒別過程符合相關(guān)標(biāo)準(zhǔn)規(guī)范要求。根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，該用戶的身份鑒別量化評估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：D96.下列Wireshark過濾表達(dá)式（）可以捕獲所有發(fā)往或來自IP地址00的HTTP流量。A、http.host==00B、ip.addr==00&&tcp.port==80C、http.request.method=="GET"&&ip.addr==00D、http.response.code==200&&ip.dst==00【正確答案】：B97.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，某信息系統(tǒng)測評時(shí)，網(wǎng)絡(luò)和通信安全層面整體不適用，但其他安全層面得分均為滿分，則對該信息系統(tǒng)量化評估時(shí)，結(jié)果為（）。A、80B、85C、90D、100【正確答案】：D98.某三級(jí)信息系統(tǒng)中，應(yīng)用包括前臺(tái)應(yīng)用系統(tǒng)和后臺(tái)管理系統(tǒng)；系統(tǒng)運(yùn)行的網(wǎng)絡(luò)環(huán)境通常包括互聯(lián)網(wǎng)、政務(wù)外網(wǎng)和辦公內(nèi)網(wǎng)，其中，辦公內(nèi)網(wǎng)也屬于政務(wù)外網(wǎng)。該信息系統(tǒng)網(wǎng)絡(luò)通信情況描述如下：(1)用戶可以從互聯(lián)網(wǎng)、政務(wù)外網(wǎng)、辦公內(nèi)網(wǎng)，使用非國密瀏覽器或國密瀏覽器通過HTTPS協(xié)議訪問前臺(tái)應(yīng)用系統(tǒng)；(2)管理員可以從辦公內(nèi)網(wǎng)或使用VPN客戶端通過內(nèi)網(wǎng)SSLVPN接入辦公內(nèi)網(wǎng)后，再使用國密瀏覽器通過HTTPS協(xié)議訪問后臺(tái)管理系統(tǒng)；(3)系統(tǒng)管理員可以從互聯(lián)網(wǎng)先登錄運(yùn)維專用的SSLVPN后，再通過堡壘機(jī)對服務(wù)器、密碼產(chǎn)品等設(shè)備進(jìn)行運(yùn)維；(4)信息系統(tǒng)可以通過IPSecVPN調(diào)用外部的密碼資源（例如政務(wù)外網(wǎng)的數(shù)據(jù)加密服務(wù)）。根據(jù)以上描述，此信息系統(tǒng)網(wǎng)絡(luò)和通信安全層面的測評對象包括多少個(gè)通信信道（）。A、5B、6C、7D、8【正確答案】：D99.某三級(jí)信息系統(tǒng)只能在機(jī)房通過堡壘機(jī)對服務(wù)器進(jìn)行運(yùn)維管理，則設(shè)備和計(jì)算安全層面堡壘機(jī)、服務(wù)器關(guān)于“遠(yuǎn)程管理通道安全”測評指標(biāo)的適用性分別為（）。A、不適用，不適用B、不適用，適用C、適用，不適用D、適用，適用【正確答案】：B100.某三級(jí)信息系統(tǒng)用戶端與服務(wù)端之間進(jìn)行通信時(shí)，只對服務(wù)端進(jìn)行了基于密碼的身份鑒別且身份鑒別機(jī)制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”指標(biāo)最高可以給（）分。A、0B、0.25C、0.5D、1【正確答案】：D1.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，密碼應(yīng)用安全性評估活動(dòng)過程中，（）屬于現(xiàn)場測評階段的活動(dòng)。A、現(xiàn)場測評和結(jié)果記錄B、現(xiàn)場測評準(zhǔn)備C、結(jié)果確認(rèn)和資料歸還D、單項(xiàng)測評結(jié)果判定【正確答案】：ABC2.根據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》附錄C，在密評中對“真實(shí)性”的測評技術(shù)，下列描述正確的是（）。A、對于采用“挑戰(zhàn)-響應(yīng)”方式的鑒別協(xié)議，若通信雙方有雙向鑒別安全需求，那么按GB/T15843相關(guān)要求，密評人員在分析協(xié)議數(shù)據(jù)包時(shí)，應(yīng)確認(rèn)用于實(shí)現(xiàn)雙向鑒別的消息傳遞次數(shù)至少是四次B、對于采用“挑戰(zhàn)-響應(yīng)”方式的鑒別協(xié)議，若通信雙方有雙向鑒別安全需求，那么按GB/T15843相關(guān)要求，密評人員在分析協(xié)議數(shù)據(jù)包時(shí)，應(yīng)確認(rèn)用于實(shí)現(xiàn)雙向鑒別的消息傳遞次數(shù)至少是三次C、對于基于靜態(tài)口令的鑒別過程，可通過抓取鑒別過程的數(shù)據(jù)包，確認(rèn)口令未以明文形式傳遞D、若采用基于SM2數(shù)字證書方式實(shí)現(xiàn)身份鑒別，除了驗(yàn)證簽名結(jié)果外，還需要對相關(guān)數(shù)字證書進(jìn)行驗(yàn)證【正確答案】：BCD3.某三級(jí)信息系統(tǒng)部署了1臺(tái)商用密碼產(chǎn)品認(rèn)證證書編號(hào)均為GMxxx的SSLVPN，則針對“密碼產(chǎn)品合規(guī)性”測評內(nèi)容主要包括（）。A、核查該密碼產(chǎn)品型號(hào)、版本等信息是否與證書一致B、核查該密碼產(chǎn)品的使用是否滿足其安全運(yùn)行的條件C、核查該密碼產(chǎn)品的密碼模塊安全等級(jí)是否滿足要求D、核查密碼產(chǎn)品是否對登錄用戶進(jìn)行身份鑒別【正確答案】：ABC4.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，某三級(jí)信息系統(tǒng)主備機(jī)房，采用人臉識(shí)別技術(shù)對進(jìn)入機(jī)房的用戶進(jìn)行身份鑒別，并在機(jī)房出入口配備專人值守，并保留了人員進(jìn)出記錄，以下針對身份鑒別測評指標(biāo)的符合性判定以及針對問題風(fēng)險(xiǎn)的判定正確的是（）。A、不符合B、高風(fēng)險(xiǎn)C、部分符合D、中風(fēng)險(xiǎn)【正確答案】：AD5.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下哪項(xiàng)任務(wù)是方案編制活動(dòng)中的主要任務(wù)（）。A、測評人員確定B、測評對象確定C、測評指標(biāo)確定D、測評檢查點(diǎn)確定【正確答案】：BCD6.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸完整性”的測評實(shí)施要點(diǎn)包括（）。A、該測評單元的實(shí)施項(xiàng)中第一條和第二條涉及通用測評要求的密碼算法合規(guī)性、密碼技術(shù)合規(guī)性、密碼產(chǎn)品合規(guī)性和密碼服務(wù)合規(guī)性四個(gè)方面B、利用協(xié)議分析工具，分析受完整性保護(hù)的數(shù)據(jù)在傳輸時(shí)的數(shù)據(jù)格式（如簽名長度、MAC長度）是否符合預(yù)期C、如果使用數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)，可使用公鑰對抓取的簽名結(jié)果進(jìn)行驗(yàn)證D、如果以外接服務(wù)器密碼機(jī)等密碼產(chǎn)品的形式實(shí)現(xiàn)，需要核實(shí)密碼產(chǎn)品是否如實(shí)被調(diào)用【正確答案】：BCD7.根據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》附錄C提供的測評技術(shù)，在對三級(jí)信息系統(tǒng)進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)測評時(shí)，預(yù)期結(jié)果包括（）。A、數(shù)據(jù)格式（簽名長度、MAC長度）符合預(yù)期B、若調(diào)用外接密碼產(chǎn)品實(shí)現(xiàn)，則調(diào)用指令、次數(shù)等符合預(yù)期C、登錄密碼產(chǎn)品查看相關(guān)配置和密碼功能調(diào)用日志，密鑰配置、日志記錄均顯示使用合規(guī)的密碼算法D、篡改存儲(chǔ)數(shù)據(jù)后，能夠檢測出存儲(chǔ)數(shù)據(jù)的完整性受到了破壞【正確答案】：ABCD8.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，應(yīng)用和數(shù)據(jù)安全層面的完整性保護(hù)對象有（）。A、安全標(biāo)記B、訪問控制信息C、需要傳輸?shù)闹匾獢?shù)據(jù)D、需要存儲(chǔ)的重要數(shù)據(jù)【正確答案】：ABCD9.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，下列說法不正確的是（）。A、對同一個(gè)測評指標(biāo)，二級(jí)信息系統(tǒng)和三級(jí)信息的指標(biāo)權(quán)重不一定相同B、二級(jí)信息系統(tǒng)和三級(jí)信息系統(tǒng)（所有安全層面均適用的情況下）安全層面權(quán)重一定相同C、若該系統(tǒng)物理和環(huán)境安全層面、設(shè)備和計(jì)算安全層面不適用，則該系統(tǒng)其他安全層面總權(quán)重之和為75D、密碼應(yīng)用管理各安全層面的權(quán)重均相同【正確答案】：CD10.某信息系統(tǒng)應(yīng)用服務(wù)器通過調(diào)用最新版OpenSSL密碼算法庫的HMAC-SM3接口對日志記錄計(jì)算MAC，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下哪些HMAC-SM3算法輸出長度，使設(shè)備和計(jì)算安全“日志記錄完整性”指標(biāo)可能是“部分符合”的判定結(jié)果（）。A、128比特B、256比特C、384比特D、512比特【正確答案】：AB11.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，密評報(bào)告不再適用的情況有（）。A、被測信息系統(tǒng)業(yè)務(wù)發(fā)生重大變更B、被評估密碼應(yīng)用方案發(fā)生變更C、被測單位名稱發(fā)生變更D、委托雙方合同期滿【正確答案】：AB12.根據(jù)GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》，重要數(shù)據(jù)傳輸時(shí)在以下（）鏈路不會(huì)在網(wǎng)絡(luò)和通信安全層面、應(yīng)用和數(shù)據(jù)安全層面發(fā)生重疊。A、發(fā)送方客戶端到其網(wǎng)絡(luò)出口IPSecVPN之前B、發(fā)送方IPSecVPN與接收方IPSecVPN之間C、重要數(shù)據(jù)在ESP協(xié)議保護(hù)下傳輸時(shí)D、接收方網(wǎng)絡(luò)出口IPSecVPN到應(yīng)用服務(wù)器【正確答案】：AD13.在測評某三級(jí)信息系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲(chǔ)時(shí)發(fā)現(xiàn)，該系統(tǒng)個(gè)人敏感信息使用SM4-GCM算法算法實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)保護(hù)，重要業(yè)務(wù)數(shù)據(jù)使用AES-256、HMAC-SHA-256算法實(shí)現(xiàn)數(shù)據(jù)存儲(chǔ)保護(hù)，且所有密碼算法均通過調(diào)用具有二級(jí)商密產(chǎn)品認(rèn)證證書的密碼設(shè)備實(shí)現(xiàn)，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，下列說法不正確的是（）。A、該系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲(chǔ)機(jī)密性測評單元分值為0.75B、該系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲(chǔ)完整性保護(hù)測評單元分值為0.25C、該系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面重要數(shù)據(jù)存儲(chǔ)機(jī)密性和完整性保護(hù)兩個(gè)測評單元分值不同D、若信息系統(tǒng)改用一級(jí)商密產(chǎn)品認(rèn)證證書的密碼設(shè)備實(shí)現(xiàn)重要數(shù)據(jù)存儲(chǔ)的機(jī)密性和完整性保護(hù)，則量化評估分值不變【正確答案】：BCD14.某數(shù)據(jù)庫中存儲(chǔ)的口令雜湊字段，長度為256比特，而且所有數(shù)據(jù)中存在少許相同的雜湊值，以下推斷正確的是（）。A、可能采用了SHA-1算法進(jìn)行口令雜湊B、可能采用了SM3算法進(jìn)行口令雜湊C、口令雜湊的過程中，可能使用了每個(gè)用戶不同的鹽值D、口令雜湊的過程中，可能未加入鹽值【正確答案】：BD15.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，關(guān)于設(shè)備和計(jì)算安全層面的判定結(jié)果，以下說法正確的是（）。A、某二級(jí)信息系統(tǒng)，系統(tǒng)責(zé)任方自行決定將“日志記錄完整性”指標(biāo)項(xiàng)不納入標(biāo)準(zhǔn)符合性測評范圍，測評人員將該項(xiàng)判定為“不適用”B、某三級(jí)信息系統(tǒng)，制定了密碼應(yīng)用方案并通過了方案評估，方案評估意見中明確將“系統(tǒng)資源訪問控制信息”指標(biāo)項(xiàng)作為不適用，測評人員在實(shí)際測評時(shí)可直接將該項(xiàng)判定為“不適用”C、某三級(jí)信息系統(tǒng)，制定了密碼應(yīng)用方案并通過了方案評估，方案評估意見中明確“重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實(shí)性”指標(biāo)項(xiàng)可采用方案中提供的風(fēng)險(xiǎn)控制措施完成，但測評人員在現(xiàn)場測評中發(fā)現(xiàn)方案中描述的風(fēng)險(xiǎn)控制措施使用條件并不滿足，故此按照GM/T0115相應(yīng)的測評指標(biāo)要求進(jìn)行了測評和結(jié)果判定D、若測評單元涉及多臺(tái)通用設(shè)備作為測評對象，則測評人員可直接從中抽選測評對象，并進(jìn)行測評實(shí)施和結(jié)果判定【正確答案】：AC16.GM/T0129《信息系統(tǒng)密碼應(yīng)用測評要求》，在對應(yīng)用和數(shù)據(jù)安全層面中的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”指標(biāo)測評時(shí)，以下哪些措施可能導(dǎo)致數(shù)據(jù)泄露（）。A、采用DES算法對用戶敏感信息加密后存儲(chǔ)B、調(diào)用服務(wù)器密碼機(jī)采用SM4-ECB模式對所有用戶性別信息項(xiàng)進(jìn)行加密后存儲(chǔ)C、采用SM3（加鹽）的方式對數(shù)據(jù)庫中存儲(chǔ)的口令信息處理D、對重要用戶信息進(jìn)行脫敏后存儲(chǔ)，未采用其他數(shù)據(jù)存儲(chǔ)安全加固措施【正確答案】：ABD17.某單位數(shù)據(jù)中心機(jī)房出入口安裝了電子門禁系統(tǒng)，則針對“電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性”測評單元，主要測評內(nèi)容包括（）。A、核查是否采用了經(jīng)檢測認(rèn)證的電子門禁系統(tǒng)B、核查是否正確使用經(jīng)檢測認(rèn)證的電子門禁系統(tǒng)C、核查門禁系統(tǒng)廠商提供的門禁系統(tǒng)進(jìn)出記錄數(shù)據(jù)存儲(chǔ)完整性保護(hù)的相關(guān)證據(jù)D、驗(yàn)證完整性保護(hù)機(jī)制是否正確和有效【正確答案】：ABCD18.某信息系統(tǒng)管理員通過遠(yuǎn)程管理終端訪問SSLVPN，再通過VPN訪問堡壘機(jī)，最后通過堡壘機(jī)對通用服務(wù)器進(jìn)行遠(yuǎn)程管理。以下哪個(gè)接入點(diǎn)能夠捕獲遠(yuǎn)程管理終端與SSLVPN網(wǎng)關(guān)之間的通信數(shù)據(jù)（）。A、遠(yuǎn)程管理終端B、SSLVPNC、堡壘機(jī)D、通用服務(wù)器【正確答案】：AB19.根據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》附錄B，在密評中對動(dòng)態(tài)口令系統(tǒng)可采用以下哪些測評技術(shù)（）。A、嘗試對動(dòng)態(tài)口令進(jìn)行重放，以確認(rèn)重放后的口令無法通過認(rèn)證系統(tǒng)的驗(yàn)證B、條件允許情況下，確認(rèn)種子密鑰以密文形式導(dǎo)入至認(rèn)證系統(tǒng)中C、條件允許情況下，在動(dòng)態(tài)口令計(jì)算完成后，確認(rèn)明文種子密鑰不會(huì)留存在認(rèn)證系統(tǒng)中D、判斷動(dòng)態(tài)令牌的PIN碼保護(hù)機(jī)制是否符合相關(guān)密碼產(chǎn)品技術(shù)標(biāo)準(zhǔn)要求，例如PIN碼長度、輸入錯(cuò)誤次數(shù)限制【正確答案】：ABCD20.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，在編制系統(tǒng)密評報(bào)告時(shí)，以下與“建設(shè)運(yùn)行”相關(guān)的測評對象包括（）。A、密鑰管理制度及策略類文檔B、應(yīng)急處置記錄C、密評報(bào)告及密碼實(shí)施方案D、管理體系【正確答案】：ACD21.在測評時(shí)發(fā)現(xiàn)某信息系統(tǒng)數(shù)據(jù)庫中某數(shù)據(jù)密文長度為160字節(jié)，則其使用的算法可能為（）。A、SM4B、AES-128C、AES-192D、DES【正確答案】：ABCD22.以下關(guān)于Wireshark過濾規(guī)則的說法，（）是正確的。A、tcp.port==443可以用于獲取所有目標(biāo)端口為443的TCP數(shù)據(jù)包B、ip.addr==可以用于獲取源或目標(biāo)IP地址為的所有數(shù)據(jù)包C、arp.src.hw_mac==00:11:22:33:44:55可以用于獲取源MAC地址為00:11:22:33:44:55的ARP數(shù)據(jù)包D、http.response.code==200可以用于獲取所有HTTP響應(yīng)狀態(tài)碼為200的數(shù)據(jù)包【正確答案】：ABCD23.對數(shù)字證書分析，一般要分析哪些內(nèi)容（）。A、查看數(shù)字證書格式B、查看數(shù)字證書密鑰用法C、驗(yàn)證數(shù)字證書數(shù)字簽名D、驗(yàn)證數(shù)字證書鏈【正確答案】：ABCD24.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，在對信息系統(tǒng)開展密碼應(yīng)用安全性評估時(shí)，以下屬于測評實(shí)施過程中客觀公正性原則的是（）。A、測評方應(yīng)保證在符合國家密碼管理部門要求及最佳主觀判斷情形B、測評方案需要測評方與被測單位共同認(rèn)可C、測評過程需要基于明確定義的測評方式和解釋D、方案合理，測評方即可開展現(xiàn)場測評活動(dòng)【正確答案】：BC25.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，方案密評報(bào)告的評估結(jié)論包括（）。A、符合B、不符合C、通過D、不通過【正確答案】：CD26.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下屬于三級(jí)信息系統(tǒng)“建設(shè)運(yùn)行”方面測評項(xiàng)的是（）。A、制定密碼應(yīng)用方案B、定期開展密碼應(yīng)用安全性評估及攻防對抗演習(xí)C、制度執(zhí)行過程記錄留存D、建立操作規(guī)程【正確答案】：AB27.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密評過程中主要關(guān)注的管理制度有（）。A、密碼人員管理B、密鑰管理C、建設(shè)運(yùn)行D、應(yīng)急處置【正確答案】：ABCD28.根據(jù)《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，下列關(guān)于密碼應(yīng)用方案的說法中，錯(cuò)誤的是（）。A、密碼應(yīng)用方案及其評估意見是判定GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》中“宜”是否適用的重要依據(jù)B、對于部署在同一云平臺(tái)上的云上應(yīng)用，雖然網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)時(shí)進(jìn)行了獨(dú)立定級(jí)，考慮到其物理環(huán)境、通信信道、系統(tǒng)資產(chǎn)等方面的共用的軟硬件比較多，可以編寫一份密碼應(yīng)用方案統(tǒng)一進(jìn)行密碼應(yīng)用分析C、如密碼應(yīng)用方案中對被測信息系統(tǒng)對測評單元“不可否認(rèn)性”進(jìn)行了不適用判定，但在執(zhí)行現(xiàn)場測評過程中，系統(tǒng)責(zé)任單位向密評機(jī)構(gòu)反映系統(tǒng)實(shí)際存在不可否認(rèn)性密碼應(yīng)用需求，應(yīng)根據(jù)通過評估的密碼應(yīng)用方案，對該測評項(xiàng)進(jìn)行不適用判定D、密碼應(yīng)用方案中應(yīng)詳細(xì)梳理應(yīng)用的業(yè)務(wù)流程及業(yè)務(wù)數(shù)據(jù)，根據(jù)流程安全需求及數(shù)據(jù)安全需求，為重要流程及重要數(shù)據(jù)設(shè)計(jì)保護(hù)機(jī)制【正確答案】：BC29.在GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，關(guān)于密碼應(yīng)用技術(shù)測評要求的測評實(shí)施，其中測評實(shí)施第一條會(huì)關(guān)聯(lián)到其他哪些測評單元（）。A、通用測評要求的“密碼算法合規(guī)性”B、通用測評要求的“密碼產(chǎn)品合規(guī)性”C、通用測評要求的“密碼技術(shù)正確性”D、通用測評要求的“密碼技術(shù)合規(guī)性”【正確答案】：AD30.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下屬于密鑰分發(fā)檢查要點(diǎn)的是（）。A、確認(rèn)系統(tǒng)內(nèi)部采用何種密鑰分發(fā)方式B、確認(rèn)密鑰備份的審計(jì)信息是否包括備份的主體、時(shí)間等信息C、確認(rèn)信息系統(tǒng)內(nèi)部是否具有密鑰的更新策略D、確認(rèn)密鑰傳遞過程中信息系統(tǒng)使用了哪些密碼技術(shù)對密鑰進(jìn)行處理以保護(hù)其機(jī)密性、完整性與真實(shí)性，并核實(shí)保護(hù)措施使用的正確性和有效性【正確答案】：AD31.以下關(guān)于用戶密鑰的存儲(chǔ)方式，說法正確的是（）。A、數(shù)據(jù)加密密鑰在經(jīng)過檢測認(rèn)證的三級(jí)密碼模塊中存儲(chǔ)B、SM2簽名私鑰經(jīng)SM4-GCM加密后存儲(chǔ)在數(shù)據(jù)庫中C、SM2簽名證書明文存儲(chǔ)在應(yīng)用服務(wù)器中D、SM4密鑰經(jīng)SHA1加密存儲(chǔ)在數(shù)據(jù)庫【正確答案】：ABC32.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，項(xiàng)目計(jì)劃書應(yīng)包含（）等內(nèi)容。A、項(xiàng)目概述、工作依據(jù)說明B、技術(shù)思路C、不適用指標(biāo)描述D、工作內(nèi)容和項(xiàng)目組織安排【正確答案】：ABD33.在設(shè)備和計(jì)算安全層面，訪問控制信息主要包括（

）。A、操作系統(tǒng)權(quán)限的訪問控制信息B、系統(tǒng)文件目錄的訪問控制信息C、數(shù)據(jù)庫中的數(shù)據(jù)訪問控制信息D、堡壘機(jī)中的權(quán)限訪問控制信息【正確答案】：ABCD34.在電子不停車收費(fèi)系統(tǒng)（ETC）中，車輛通過辦理和安裝ETC卡，實(shí)現(xiàn)車輛在高速收費(fèi)站的流水?dāng)?shù)據(jù)的產(chǎn)生、傳輸和繳費(fèi)等功能。對于該業(yè)務(wù)場景的安全需求分析，正確的是（）。A、車輛途經(jīng)收費(fèi)站時(shí)，收費(fèi)站和車輛的雙向鑒別B、車輛信息、扣費(fèi)金額等業(yè)務(wù)數(shù)據(jù)的傳輸完整性C、收費(fèi)站將ETC業(yè)務(wù)數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費(fèi)中心時(shí)的網(wǎng)絡(luò)通信實(shí)體身份鑒別D、收費(fèi)站將ETC業(yè)務(wù)數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費(fèi)中心時(shí)的通信數(shù)據(jù)完整性保護(hù)【正確答案】：ABCD35.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，下列文檔屬于測評準(zhǔn)備活動(dòng)階段需要輸出的是（）。A、現(xiàn)場測評授權(quán)書B、密評方案C、項(xiàng)目計(jì)劃書D、會(huì)議簽到表單【正確答案】：ACD36.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在對某二級(jí)信息系統(tǒng)進(jìn)行“建立上崗人員培訓(xùn)制度”指標(biāo)的測評時(shí)，下列哪些可能成為核查的對象（）。A、人員培訓(xùn)管理制度B、培訓(xùn)計(jì)劃C、培訓(xùn)簽到表D、安全教育類文檔【正確答案】：ABCD37.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，關(guān)于密鑰生存周期管理檢查要點(diǎn)，以下說法正確的是（）。A、確認(rèn)密鑰是否在經(jīng)檢測認(rèn)證合格的密碼產(chǎn)品中產(chǎn)生，核實(shí)密鑰產(chǎn)生功能的正確性和有效性B、確認(rèn)密鑰（含公鑰）存儲(chǔ)過程中使用了哪些密碼技術(shù)對密鑰進(jìn)行處理以保護(hù)其機(jī)密性，并核實(shí)保護(hù)措施使用的正確性和有效性C、核實(shí)歸檔密鑰是否僅用于解密被加密的歷史信息或驗(yàn)證被簽名的歷史信息D、核實(shí)密鑰銷毀過程和銷毀方式，保證密鑰銷毀后是可以被恢復(fù)的【正確答案】：AC38.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，以下內(nèi)容中應(yīng)體現(xiàn)在系統(tǒng)密評報(bào)告中“商用密碼應(yīng)用安全性評估結(jié)論”的包括（）。A、系統(tǒng)簡介B、測評情況簡介C、評估結(jié)論及綜合得分D、系統(tǒng)測評指標(biāo)的符合情況及數(shù)目【正確答案】：ABC39.依據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下關(guān)于設(shè)備和計(jì)算安全層面“身份鑒別”測評項(xiàng)的判定，錯(cuò)誤的是（）。A、某信息系統(tǒng)管理員使用用戶名+口令或使用經(jīng)檢測認(rèn)證的智能密碼鑰匙（密碼模塊達(dá)到相應(yīng)等級(jí)要求）登錄簽名驗(yàn)簽服務(wù)器，口令使用加鹽SHA256算法進(jìn)行傳輸和存儲(chǔ)保護(hù)，測評人員判定簽名驗(yàn)簽服務(wù)器“身份鑒別”測評項(xiàng)為部分符合B、某信息系統(tǒng)管理員使用經(jīng)檢測認(rèn)證的智能密碼鑰匙（密碼模塊達(dá)到相應(yīng)等級(jí)要求）登錄堡壘機(jī)，身份鑒別機(jī)制符合GB/T15843標(biāo)準(zhǔn)要求，測評人員判定堡壘機(jī)“身份鑒別”測評項(xiàng)一定為符合C、某信息系統(tǒng)管理員使用智能密碼鑰匙登錄堡壘機(jī)，測評人員發(fā)現(xiàn)智能密碼鑰匙換發(fā)的商用密碼產(chǎn)品認(rèn)證證書中未標(biāo)注密碼模塊安全等級(jí)，測評人員判定智能密碼鑰匙僅符合一級(jí)密碼模塊要求D、某信息系統(tǒng)管理員使用動(dòng)態(tài)令牌登錄堡壘機(jī)，測評人員經(jīng)核查發(fā)現(xiàn)，動(dòng)態(tài)令牌設(shè)置的PIN碼長度不少于6位數(shù)字，PIN碼嘗試次數(shù)最大不可超過8次；測評人員判定PIN碼相關(guān)設(shè)置不符合GB/T38556的要求【正確答案】：ABC40.某三級(jí)信息系統(tǒng)在測評過程中發(fā)現(xiàn)物理和環(huán)境安全層面不適用，網(wǎng)絡(luò)和通信安全層面分值為0.75，設(shè)備和計(jì)算安全層面分值為0.6，應(yīng)用和數(shù)據(jù)安全層面分值為0.325，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，以下說法不正確的是（）。A、如果安全管理四個(gè)層面分值均為1，該系統(tǒng)量化評估分值為60.75B、安全管理四個(gè)層面分值均為1，該系統(tǒng)量化評估分值為67.50C、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為30.75D、若該系統(tǒng)安全管理所有層面得分均為0，該系統(tǒng)量化評估分值為37.50【正確答案】：ACD41.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于測評過程包括四項(xiàng)基本測評活動(dòng)，描述正確的是（）。A、測評準(zhǔn)備活動(dòng)包括項(xiàng)目啟動(dòng)、信息收集和分析等B、方案編制活動(dòng)包括測評檢查點(diǎn)確定、測評內(nèi)容確定等C、現(xiàn)場測評活動(dòng)包括現(xiàn)場測評和結(jié)果記錄、結(jié)果確認(rèn)和資料歸還等D、分析與報(bào)告編制活動(dòng)包括單元測評、整體測評、風(fēng)險(xiǎn)分析等【正確答案】：ABCD42.被測業(yè)務(wù)應(yīng)用系統(tǒng)采用基于角色的訪問控制策略，用戶通過角色配置獲得該角色擁有的應(yīng)用系統(tǒng)權(quán)限，在對該應(yīng)用系統(tǒng)進(jìn)行應(yīng)用和數(shù)據(jù)安全層面“訪問控制信息完整性”測評時(shí)，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，從理論上可采取的實(shí)施方法包括（）。A、讀取數(shù)據(jù)庫中的用戶角色配置信息，判斷完整性校驗(yàn)值的格式是否符合預(yù)期B、讀取數(shù)據(jù)庫中的角色權(quán)限配置信息，判斷完整性校驗(yàn)值的格式是否符合預(yù)期C、如使用數(shù)字簽名技術(shù)進(jìn)行完整性保護(hù)，則可使用公鑰對存儲(chǔ)的簽名結(jié)果進(jìn)行驗(yàn)證D、如使用消息鑒別碼進(jìn)行完整性保護(hù)，則可使用完整性保護(hù)密鑰對存儲(chǔ)的MAC值進(jìn)行驗(yàn)證【正確答案】：ABCD43.Base64是基于64個(gè)可打印的字符來表示二進(jìn)制數(shù)據(jù)的一種方法，以下屬于64個(gè)可打印字符的是（）。A到ZB、0至9C、a到zD、$【正確答案】：ABC44.某信息系統(tǒng)部署了經(jīng)檢測認(rèn)證的簽名驗(yàn)簽服務(wù)器，且密碼模塊達(dá)到了相應(yīng)等級(jí)要求，關(guān)于設(shè)備和計(jì)算安全層面應(yīng)用服務(wù)器“系統(tǒng)資源訪問控制信息完整性”測評項(xiàng)，依據(jù)GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》，以下判定結(jié)果錯(cuò)誤的是（）。A、通過調(diào)用簽名驗(yàn)簽服務(wù)器的AES-128ECB模式加密接口，對訪問控制信息加密，取最后一組分組密文作為MAC并存儲(chǔ)，值為A；在驗(yàn)證完整性時(shí)，調(diào)用簽名驗(yàn)簽服務(wù)器的AES-128ECB模式加密接口，對訪問控制信息加密，取最后一組分組密文作為MAC，值為B，比對A與B是否一致；基于上述措施，測評人員判定為部分符合B、通過調(diào)用簽名驗(yàn)簽服務(wù)器的SM4CBC-MAC接口，對訪問控制信息計(jì)算MAC并存儲(chǔ)，值為A；在驗(yàn)證完整性時(shí)，調(diào)用簽名驗(yàn)簽服務(wù)器SM4CBC-MAC接口，對訪問控制信息計(jì)算MAC，值為B，比對A與B是否一致；其中，計(jì)算SM4CBC-MAC使用的初始向量為符合密碼相關(guān)國家和行業(yè)標(biāo)準(zhǔn)的隨機(jī)數(shù)；基于上述措施，測評人員判定為符合C、通過調(diào)用簽名驗(yàn)簽服務(wù)器的SM3接口，計(jì)算訪問控制信息的雜湊值并存儲(chǔ)，值為A；在驗(yàn)證完整性時(shí)，調(diào)用簽名驗(yàn)簽服務(wù)器SM3接口，計(jì)算訪問控制信息的雜湊值，值為B，比對A與B是否一致；基于上述措施，測評人員判定為不符合D、通過調(diào)用簽名驗(yàn)簽服務(wù)器的HMAC-SHA256接口，對訪問控制信息計(jì)算MAC并存儲(chǔ)，值為A；在驗(yàn)證完整性時(shí)，將訪問控制信息與A拼接，并調(diào)用簽名驗(yàn)簽服務(wù)器HMAC-SHA256接口，對拼接數(shù)據(jù)計(jì)算MAC，值為B，比對A與B是否一致；基于上述措施，測評人員判定為部分符合【正確答案】：ABD45.測評人員在核查“傳輸機(jī)密性”密碼功能時(shí)，可能需要關(guān)注以下內(nèi)容（）。A、重要數(shù)據(jù)或鑒別信息是否為密文B、密文數(shù)據(jù)長度是否符合預(yù)期C、相關(guān)密碼產(chǎn)品中密鑰類型D、相關(guān)密碼產(chǎn)品中密碼算法類型【正確答案】：ABCD46.根據(jù)GM/T0116《信息系統(tǒng)密碼應(yīng)用測評過程指南》，以下關(guān)于可重復(fù)性和可再現(xiàn)性原則正確的是（）。A、按照同樣的要求，不同的密評人員對每個(gè)測評實(shí)施過程的重復(fù)執(zhí)行應(yīng)得到同樣的結(jié)果B、在同樣的環(huán)境下，不同的密評人員對每個(gè)測評實(shí)施過程的重復(fù)執(zhí)行應(yīng)得到同樣的結(jié)果C、可再現(xiàn)性關(guān)注不同密評人員測評結(jié)果的一致性D、可重復(fù)性關(guān)注同一密評人員測評結(jié)果的一致性【正確答案】：ABCD47.根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，對測評單元的測評結(jié)果量化評估規(guī)則，以下說法正確的是（）。A、密碼應(yīng)用技術(shù)要求中，測評單元的量化評估結(jié)果為該測評單元內(nèi)所有測評對象測評結(jié)果的算術(shù)平均值B、密碼應(yīng)用技術(shù)要求中，測評單元的量化評估結(jié)果需要保留小數(shù)點(diǎn)后4位C、密碼應(yīng)用管理要求的測評單元得分為各測評對象的算術(shù)平均值D、密碼應(yīng)用管理要求的符合性判定需要根據(jù)GM/T0115給出判定結(jié)果【正確答案】：ABD48.物理和環(huán)境安全層面的測評對象為被測信息系統(tǒng)所在的物理機(jī)房，具體為（）。A、物理機(jī)房的門禁系統(tǒng)B、物理機(jī)房的視頻監(jiān)控系統(tǒng)C、物理機(jī)房的動(dòng)力環(huán)境系統(tǒng)D、物理機(jī)房的巡查記錄【正確答案】：AB49.面向公眾，信息可公開的信息系統(tǒng)，測評時(shí)需要重點(diǎn)關(guān)注以下哪些內(nèi)容（）。A、首先需要確定哪些人員可以訪問該信息系統(tǒng)B、管理員的身份鑒別、傳輸通道安全及其遵循的測評指標(biāo)C、對于公眾用戶而言，仍需要對網(wǎng)站進(jìn)行身份鑒別（比如防止釣魚網(wǎng)站），并對其內(nèi)容的完整性進(jìn)行保護(hù)D、需要測評與公眾用戶相關(guān)的“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”、“通信過程中數(shù)據(jù)的完整性”、“通信過程中重要數(shù)據(jù)的機(jī)密性”等指標(biāo)【正確答案】：ABCD50.在密評中，當(dāng)電子門禁系統(tǒng)作為測評對象時(shí)，以下測評實(shí)施合理的包括（）。A、嘗試發(fā)一些錯(cuò)誤的門禁卡，驗(yàn)證這些卡無法打開門禁B、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗(yàn)證非授權(quán)的卡無法打開門禁C、對電子門禁系統(tǒng)是否滿足GM/T0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測D、檢查電子門禁系統(tǒng)中所使用的智能卡、密碼機(jī)等是否具備商用密碼產(chǎn)品認(rèn)證證書【正確答案】：ABD51.某電商平臺(tái)用戶需使用合規(guī)的智能密碼鑰匙才能登錄平臺(tái)，平臺(tái)采用HTTPS協(xié)議進(jìn)行訪問，則在應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)傳輸機(jī)密性”測評單元的測評對象主要包括（）。A、電商平臺(tái)B、智能密碼鑰匙C、提供機(jī)密性保護(hù)的服務(wù)器密碼機(jī)D、數(shù)據(jù)庫服務(wù)器【正確答案】：AB52.GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》中，術(shù)語“核查”包括了哪些實(shí)際測評時(shí)的測評方式（）。A、訪談B、文檔審查C、配置檢查D、工具測試【正確答案】：ABCD53.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰銷毀和撤銷環(huán)節(jié)可能會(huì)對密鑰管理帶來安全隱患是（）。A、不具備密鑰在應(yīng)急情況下的密鑰銷毀/撤銷的機(jī)制B、未按照設(shè)定的安全機(jī)制進(jìn)行密鑰銷毀/撤銷C、對于磁記錄存儲(chǔ)器存儲(chǔ)的密鑰，簡單的刪除、清0或?qū)?即可D、停止使用的密鑰一般不要立即毀掉，而需再保存一段時(shí)間然后再毀掉【正確答案】：ABC54.某四級(jí)信息系統(tǒng)的責(zé)任單位可采用以下（）機(jī)制以滿足“人員管理”方面的要求。A、設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員并分別由甲、乙、丙三人擔(dān)任B、關(guān)鍵崗位人員由機(jī)構(gòu)內(nèi)部人員擔(dān)任，并在任前進(jìn)行背景調(diào)查C、建立上崗人員培訓(xùn)制度，對涉及密碼的操作和管理人員進(jìn)行專門培訓(xùn)D、建立人員保密和調(diào)離制度，簽訂保密合同【正確答案】：BCD55.某信息系統(tǒng)使用簽名驗(yàn)簽服務(wù)器對合同進(jìn)行數(shù)字簽名后，通過受SSL協(xié)議保護(hù)的信道發(fā)送給用戶，在測評時(shí)，可以通過（）采集合同及數(shù)字簽名值進(jìn)行測評。A、獲取應(yīng)用程序調(diào)用簽名驗(yàn)簽服務(wù)器的報(bào)文B、從受SSL協(xié)議保護(hù)信道中獲取發(fā)送給用戶的數(shù)據(jù)C、在用戶端獲取合同以及數(shù)字簽名值D、在應(yīng)用程序所在的服務(wù)器獲取合同以及數(shù)字簽名值【正確答案】：ACD56.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，以下（）文件應(yīng)作為密評報(bào)告的依據(jù)。A、GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》B、GM/T0115《信息系統(tǒng)密碼應(yīng)用測評要求》C、GM/T0005《隨機(jī)性檢測規(guī)范》D、《XXXXX系統(tǒng)密碼應(yīng)用方案》【正確答案】：ABD57.在密評中發(fā)現(xiàn)被測信息系統(tǒng)使用了以下密碼算法和密碼技術(shù)，合規(guī)的是（）。A、SM4-GCMB、SM3-HMACC、TLS1.3D、TLCP【正確答案】：ABD58.按照《商用密碼應(yīng)用安全性評估報(bào)告模板（2023版）》，在文檔審查中會(huì)涉及的文檔有（）。A、人員培訓(xùn)計(jì)劃B、安全管理制度文件C、密鑰管理制度D、密碼應(yīng)用方案及評審意見【正確答案】：ABCD59.對于未標(biāo)注密碼模塊安全等級(jí)的商用密碼產(chǎn)品在現(xiàn)場測評時(shí)應(yīng)考慮以下哪些因素（）。A、分析其是否為換證密碼產(chǎn)品，對于換證的密碼產(chǎn)品，需要密碼廠商進(jìn)一步提供換證前的商用密碼產(chǎn)品型號(hào)證書，如果商用密碼產(chǎn)品型號(hào)證書中標(biāo)注了其符合的密碼模塊等級(jí)，則按此等級(jí)進(jìn)行判定B、對于換證的密碼產(chǎn)品，需要密碼廠商進(jìn)一步提供換證前的商用密碼產(chǎn)品型號(hào)證書，如果商用密碼產(chǎn)品型號(hào)證書中未標(biāo)注其符合的密碼模塊等級(jí)，按“密碼產(chǎn)品符合一級(jí)密碼模塊”進(jìn)行判定C、分析其是否為新認(rèn)證密碼產(chǎn)品，對于新發(fā)認(rèn)證證書的密碼產(chǎn)品，需核實(shí)其是否為適用于密碼模塊標(biāo)準(zhǔn)的密碼產(chǎn)品D、若為密碼系統(tǒng)類產(chǎn)品（如電子簽章系統(tǒng)等），則其不適用于密碼模塊標(biāo)準(zhǔn)，但作為系統(tǒng)組件的密碼產(chǎn)品則適用于密碼模塊標(biāo)準(zhǔn)，在密評時(shí)依據(jù)這些密碼產(chǎn)品的密碼模塊安全等級(jí)進(jìn)行判定【正確答案】：ABCD60.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，在測評某三級(jí)信息系統(tǒng)“定期進(jìn)行安全崗位人員考核”指標(biāo)時(shí)，應(yīng)核查的內(nèi)容包括（）。A、核查安全管理制度文檔是否包含具體的人員考核制度和懲戒措施B、核查人員考核記錄內(nèi)容是否包括安全意識(shí)、密碼操作管理技能及相關(guān)法律法規(guī)C、核查人員是否具有外部培訓(xùn)的記錄D、核查記錄表單類文檔以確認(rèn)是否定期進(jìn)行崗位人員考核【正確答案】：ABD61.根據(jù)GM/T

0115《信息系統(tǒng)密碼應(yīng)用測評要求》，關(guān)于設(shè)備和計(jì)算安全層面“日志記錄完整性”測評指標(biāo)，以下屬于該項(xiàng)密鑰管理核查內(nèi)容的是（）。A、若密鑰管理使用的密碼產(chǎn)品符合密碼模塊相關(guān)標(biāo)準(zhǔn)，則核查相關(guān)密碼產(chǎn)品是否滿足密碼模塊相應(yīng)安全等級(jí)及以上安全要求B、核查密鑰管理安全性實(shí)現(xiàn)技術(shù)是否正確有效C、核查日志記錄是否進(jìn)行備份以及備份機(jī)制是否合理D、核查相關(guān)密碼產(chǎn)品是否按照產(chǎn)品配套的安全策略文檔進(jìn)行部署和使用【正確答案】：ABD62.GM/T0134《信息系統(tǒng)密碼應(yīng)用測評要求》，在測評應(yīng)用和數(shù)據(jù)安全層面“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)時(shí)，獲取到下列哪些證據(jù)即可判定測評對象不符合該項(xiàng)測評指標(biāo)要求（）。A、調(diào)用服務(wù)器密碼機(jī)采用SM3算法計(jì)算重要用戶信息雜湊值，并保存在數(shù)據(jù)庫中B、調(diào)用服務(wù)器密碼機(jī)采用SM4-GCM對個(gè)人敏感信息進(jìn)行存儲(chǔ)機(jī)密性和完整性保護(hù)C、調(diào)用簽名驗(yàn)簽服務(wù)器對重要業(yè)務(wù)數(shù)據(jù)進(jìn)行SM2數(shù)字簽名，簽名值保存在數(shù)據(jù)庫中，未設(shè)置簽名校驗(yàn)機(jī)制D、使用加密數(shù)據(jù)庫系統(tǒng)存儲(chǔ)重要業(yè)務(wù)數(shù)據(jù)【正確答案】：AC63.已知應(yīng)急處置安全層面所有測評單元的結(jié)果沒有不符合，根據(jù)《商用密碼應(yīng)用安全性評估量化評估規(guī)則（2021版）》，則