高風險判定指引復習測試卷

第頁高風險判定指引復習測試卷1.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，能夠最有效緩解應用和數(shù)據(jù)層面重要數(shù)據(jù)存儲機密性安全風險的方式是（）。A、使用MD5算法實現(xiàn)重要數(shù)據(jù)存儲機密性保護B、使用SM4算法實現(xiàn)重要數(shù)據(jù)存儲機密性保護C、使用SM3算法實現(xiàn)重要數(shù)據(jù)存儲機密性保護D、使用SHA-256算法實現(xiàn)重要數(shù)據(jù)存儲機密性保護【正確答案】：B2.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面如果未采用基于對稱密碼算法或（）的消息鑒別碼（MAC）機制等密碼技術(shù)對通信實體進行身份鑒別，可能會導致信息系統(tǒng)面臨高風險。A、密碼雜湊算法B、生物特征C、祖沖之密碼算法D、公鑰密碼算法【正確答案】：A3.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對通用要求中“密碼產(chǎn)品”描述不正確的是（）。A、使用了具有電子認證服務密碼使用許可證的CA機構(gòu)簽發(fā)是數(shù)字證書，一定不會導致高風險B、使用自實現(xiàn)且未提供安全性證明的密碼產(chǎn)品，可能會導致高風險C、使用存在高危安全漏洞的公開算法庫，可能會導致高風險D、三級信息系統(tǒng)中，使用了安全等級二級的密碼產(chǎn)品，也可能會導致高風險【正確答案】：A4.在《信息系統(tǒng)密碼應用高風險判定指引》中，關(guān)于指標“信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務應符合法律法規(guī)的相關(guān)要求”，主要是針對（）系統(tǒng)提出的。A、第二級以上B、第三級以上C、所有級別D、第三級【正確答案】：C解析：

《信息系統(tǒng)密碼應用高風險判定指引》5.3密碼產(chǎn)品和密碼服務：指標要求：信息系統(tǒng)中使用的密碼產(chǎn)品、密碼服務應符合法律法規(guī)的相關(guān)要求。適用范圍：所有級別信息系統(tǒng)。5.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，通常使用（）方法來實現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性。A、加密B、時間戳C、數(shù)字簽名D、手寫簽字【正確答案】：C解析：

在可能涉及法律責任認定的應用中，未采用基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對數(shù)據(jù)原發(fā)行為和接收行為實現(xiàn)不可否認性6.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》中，網(wǎng)絡通信過程中重要數(shù)據(jù)的機密性可以從（）層面進行緩解，從而降低安全風險。A、設備和計算安全B、應用和數(shù)據(jù)安全C、物理和環(huán)境安全D、安全管理制度【正確答案】：B7.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下不存在缺陷或沒有安全問題警示的密碼技術(shù)是（）。A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0【正確答案】：B解析：

使用存在缺陷或有安全問題警示的密碼技術(shù)，如SSH1.0、SSL2.0、SSL3.0、TLS1.0等；8.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下關(guān)于網(wǎng)絡和通信安全層面“通信過程中重要數(shù)據(jù)機密性”風險緩解措施有效的是（）。A、在“應用和數(shù)據(jù)安全”層面僅針對信息系統(tǒng)部分重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進行機密性保護，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡通信信道B、在“應用和數(shù)據(jù)安全”層面對信息系統(tǒng)所有需要保護的重要數(shù)據(jù)傳輸采用符合要求的密碼技術(shù)進行機密性保護，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡通信信道C、針對內(nèi)網(wǎng)訪問的信息系統(tǒng)，因不涉及互聯(lián)網(wǎng)數(shù)據(jù)傳輸，所以可以降低網(wǎng)絡和通信安全層面“通信過程中重要數(shù)據(jù)的機密性”面臨的安全風險D、通過專線進行數(shù)據(jù)傳輸?shù)耐ǖ溃梢哉J為專線面臨的安全風險可控，能夠降低其面臨的安全風險【正確答案】：B9.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，應用系統(tǒng)在身份鑒別方面，可能存在高風險的是（）。A、使用了基于國產(chǎn)密碼算法的USBKey實現(xiàn)用戶身份的鑒別B、采用的密碼產(chǎn)品具有商用密碼產(chǎn)品認證證書C、用戶身份真實性的密碼技術(shù)實現(xiàn)機制正確且有效D、用戶口令使用SM3密碼算法處理后存儲【正確答案】：D10.數(shù)據(jù)庫服務器采用SSH協(xié)議進行遠程管理，協(xié)議中使用非國密算法保障遠程管理通道的安全，且經(jīng)漏洞掃描發(fā)現(xiàn)SSH協(xié)議存在高風險漏洞。依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對遠程管理通道安全測評指標結(jié)果判定正確的是（）。A、0.5分B、0分C、存在高風險安全問題D、存在低風險安全問題【正確答案】：C11.在設備和計算安全層中，依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，能夠降低服務器身份鑒別安全風險的措施是（）。A、采用設備指紋方式登錄服務器B、采用手機短信驗證碼方式登錄服務器C、登錄堡壘機后，再輸入用戶名+口令的方式，登錄服務器D、采用進入機房，本地運維的方式進行服務器管理【正確答案】：A解析：

8.1身份鑒別：采用密碼技術(shù)對登錄設備的用戶進行身份鑒別，保證用戶身份的真實性?？赡艿木徑獯胧夯谔囟ㄗR別技術(shù)（如設備指紋、生物指紋等）保證用戶身份的真實性。12.SSL

VPN設備采用HTTPS協(xié)議進行管理（TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384），依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，對遠程管理通道安全測評指標的結(jié)果判定最合理的是（）。A、符合B、部分符合C、不適用D、不符合【正確答案】：B解析：

非國產(chǎn)13.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對于通用要求中“密碼技術(shù)”描述正確的是（）。A、該要求適用級別為一級到四級信息系統(tǒng)B、若采用OpenSSL協(xié)議庫實現(xiàn)TLS，則一定不會導致高風險C、指標要求為“信息系統(tǒng)中使用的密碼技術(shù)應遵循密碼相關(guān)國家標準和行業(yè)標準”D、若使用TLS1.1,則一定會導致高風險【正確答案】：C14.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰分發(fā)環(huán)節(jié)可采取的安全措施有（）。A、使用沒有訪問控制機制的存儲介質(zhì)（如普通信封、普通U盤）等傳輸明文密鑰B、密鑰在可控的環(huán)境中分發(fā)，使用了密碼技術(shù)保護密鑰的機密性和完整性C、分發(fā)密鑰時，一人可領取多段密鑰D、密鑰明文及其組件采用電子郵件、傳真、電傳、電話等方式直接傳遞【正確答案】：B15.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，（）是建立評估對象所需密鑰管理策略和密鑰管理規(guī)則的主要依據(jù)。A、評審通過的密碼應用方案B、系統(tǒng)安全性設計方案C、系統(tǒng)建設實施方案D、項目立項報告【正確答案】：A16.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，沒有采用密碼技術(shù)保證遠程通道管理安全的情況下，信息系統(tǒng)為降低安全風險，可采用的緩解措施包括：搭建與業(yè)務網(wǎng)絡（）隔離，并采取相應的安全防護措施的專用管理網(wǎng)絡。A、邏輯B、物理C、區(qū)域D、邊界【正確答案】：B解析：

《信息系統(tǒng)密碼應用高風險判定指引》8.2遠程管理通道安全：搭建了與業(yè)務網(wǎng)絡物理隔離、采取相應的安全防護措施的專用管理網(wǎng)絡（如帶外管理網(wǎng)絡）進行遠程管理；若遠程管理設備時未采用密碼技術(shù)建立安全的信息傳輸通道，或遠程管理信道所采用的密碼技術(shù)實現(xiàn)機制不正確或無效，但通過搭建與業(yè)務網(wǎng)絡物理隔離、采取相應的安全防護措施的專用管理網(wǎng)絡進行遠程管理，可酌情降低風險等級；17.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，信息系統(tǒng)應用和數(shù)據(jù)層面，未采用密碼技術(shù)對登錄用戶進行身份鑒別時，可以采用的緩解措施有（）。A、安排專人值守B、部署視頻監(jiān)控C、部署入侵檢測系統(tǒng)D、采用基于特定識別技術(shù)進行身份鑒別，如設備指紋、生物指紋和第三方身份鑒別服務等【正確答案】：D解析：

可能的緩解措施：1)基于生物識別技術(shù)（如指紋等）對重要區(qū)域進入人員進行身份鑒別；2)重要區(qū)域出入口配備專人值守并進行登記，且采用視頻監(jiān)控系統(tǒng)進行實時監(jiān)控等。18.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，信息系統(tǒng)中使用的密碼產(chǎn)品或服務可能引起高風險的是（）。A、使用自實現(xiàn)且能夠提供安全證明的密碼產(chǎn)品B、使用的密碼產(chǎn)品存在高危漏洞C、密碼產(chǎn)品的使用符合國家密碼主管部門的管理要求和標準規(guī)范的要求D、密碼服務提供商具有國家密碼管理部門的相關(guān)資質(zhì)【正確答案】：B19.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面如果未采用基于（）的數(shù)字簽名機制等密碼技術(shù)對通信實體進行身份鑒別，可能會導致信息系統(tǒng)面臨高風險。A、公鑰密碼算法B、對稱密碼算法C、密碼雜湊算法D、標識算法【正確答案】：A20.某系統(tǒng)采用了未經(jīng)安全性論證的密碼通信協(xié)議，依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，則該情況屬于哪種風險（）。A、密碼算法層面的風險B、密碼產(chǎn)品層面的風險C、密碼技術(shù)層的面風險D、密碼服務層面的風險【正確答案】：C21.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，在沒有采用密碼技術(shù)保證進入機房人員身份鑒別安全的情況下，以下能夠降低安全風險的措施是（）。A、采用用戶名+口令+ID卡方式鑒別進入人員身份B、人員信息自行登記后進入C、機房出入口配備專人值守并進行登記，且采用視頻監(jiān)控系統(tǒng)進行實時監(jiān)控D、機房禁止外部人員進入【正確答案】：C22.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，對采用密碼技術(shù)實現(xiàn)數(shù)據(jù)完整性和機密性保護，說法錯誤的是（）。A、業(yè)務系統(tǒng)中對身份證號、手機號等重要個人信息不應采用雜湊算法保證其機密性B、數(shù)據(jù)完整性保護主要基于雜湊算法或數(shù)字簽名算法實現(xiàn)C、數(shù)據(jù)機密性主要基于對稱或非對稱密碼算法實現(xiàn)D、數(shù)據(jù)完整性和機密性應使用相同的密碼算法實現(xiàn)【正確答案】：D23.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面的身份鑒別高風險適用于以下信息系統(tǒng)（）。A、一級信息系統(tǒng)B、二級信息系統(tǒng)C、三級及以上級別信息系統(tǒng)D、二級及以上級別信息系統(tǒng)【正確答案】：C解析：

《高風險判定指引》7.124.對測評單元“重要數(shù)據(jù)存儲完整性”的測評結(jié)果如果為“部分符合”，依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下哪些情況可以緩解風險（）。A、應用系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問應用系統(tǒng)的重要數(shù)據(jù)，且定期對重要數(shù)據(jù)進行備份B、對數(shù)據(jù)進行加密存儲保護C、定期對重要數(shù)據(jù)進行備份D、對數(shù)據(jù)進行加密傳輸保護【正確答案】：A解析：

可能的緩解措施：應用系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問應用系統(tǒng)的重要數(shù)據(jù)，且定期對重要數(shù)據(jù)進行備份。25.密評過程中，如果遇到《信息系統(tǒng)密碼應用高風險判定指引》沒有描述的風險判定情況，那么測評人員應（）。A、結(jié)合實際情況進行綜合判定風險B、判定為高風險C、判定為中風險D、判定為低風險【正確答案】：A26.某面向公眾的三級門戶網(wǎng)站系統(tǒng)通過部署經(jīng)檢測認證合格的安全網(wǎng)關(guān)（密碼模塊二級），使用TLS

_ECDHE_

RSA_WITH

_AES_

256_

GCM_SHA384密碼算法套件，實現(xiàn)通信過程中重要數(shù)據(jù)的機密性和完整性保護，則根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對該密碼技術(shù)實現(xiàn)方式的風險分析描述正確的是（）。A、使用的密碼算法可能不合規(guī)B、存在密鑰被非法授權(quán)篡改，或密鑰與實體之間的關(guān)聯(lián)關(guān)系被非法授權(quán)篡改的風險C、密鑰質(zhì)量隨機性不好，存在被攻擊者猜測的風險D、存在通信數(shù)據(jù)在信息系統(tǒng)外部被截取、篡改的風險【正確答案】：A27.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，應用和數(shù)據(jù)安全層面沒有采用密碼技術(shù)保證用戶身份鑒別安全的情況下，不屬于降低信息系統(tǒng)安全風險可采用的緩解措施是（）。A、動態(tài)口令機制B、設備指紋C、生物指紋D、第三方身份鑒別服務【正確答案】：A解析：

可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋、第三方身份鑒別服務等）保證用戶身份的真實性28.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰更新環(huán)節(jié)可能會對密鑰安全造成安全隱患的是（）。A、按照制定的密鑰生命周期的安全管理策略執(zhí)行B、未建立密鑰已泄露或存在泄露風險時的密鑰更新機制C、在更新密鑰過程中，填寫相關(guān)表格進行記錄D、密鑰定期備份【正確答案】：B解析：

《高風險判定指引》附錄A29.在《信息系統(tǒng)密碼應用高風險判定指引》中，對安全接入認證問題的風險判定適用于（）。A、第一級信息系統(tǒng)B、第二級信息系統(tǒng)C、第三級信息系統(tǒng)D、第四級信息系統(tǒng)【正確答案】：D解析：

適用范圍：第四級信息系統(tǒng)。1.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰銷毀和撤銷環(huán)節(jié)可能會對密鑰管理帶來安全隱患是（）。A、不具備密鑰在應急情況下的密鑰銷毀/撤銷的機制B、未按照設定的安全機制進行密鑰銷毀/撤銷C、對于磁記錄存儲器存儲的密鑰，簡單的刪除、清0或?qū)?即可D、停止使用的密鑰一般不要立即毀掉，而需再保存一段時間然后再毀掉【正確答案】：ABC解析：

C雖然在原文沒有，但是確實會帶來風險2.密評過程中發(fā)現(xiàn)的問題，在《信息系統(tǒng)密碼應用高風險判定指引》中沒有相關(guān)描述的，仍需從（）方面核查該問題是否存在風險。A、密碼算法B、密碼技術(shù)C、密碼產(chǎn)品D、密碼服務【正確答案】：ABCD3.在《信息系統(tǒng)密碼應用高風險判定指引》中，對高風險判定，從（）方面進行了描述。A、指標要求B、適用范圍C、安全問題D、可能的緩解措施和風險評價【正確答案】：ABCD4.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對通用要求“密碼算法”描述不正確的是（）。A、指標要求是“信息系統(tǒng)中使用的密碼算法應符合密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求”B、對所有不同安全等級的信息系統(tǒng)均適用C、存在可能的緩解措施D、若信息系統(tǒng)中采用OpenSSL算法庫實現(xiàn)AES，為信息系統(tǒng)提供加密保護，則會導致高風險【正確答案】：CD解析：

《高風險判定指引》5.15.在《信息系統(tǒng)密碼應用高風險判定指引》中，以下實現(xiàn)用戶身份真實性的措施，不會帶來安全問題的是（）。A、生物指紋技術(shù)B、動態(tài)口令機制C、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制D、基于公鑰密碼算法的數(shù)字簽名機制【正確答案】：BCD解析：

6.1章節(jié)6.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，下列屬于密鑰管理環(huán)節(jié)的是（）。A、產(chǎn)生B、撤銷C、備份D、恢復【正確答案】：ABCD7.用戶先通過SSLVPN接入信息系統(tǒng)內(nèi)網(wǎng)，然后再通過瀏覽器登錄系統(tǒng)內(nèi)部應用。根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對該系統(tǒng)風險緩解的描述，合理的有（）。A、用戶通過使用智能密碼鑰匙登錄SSLVPN，經(jīng)測評為符合；因此，該應用的用戶角色的“身份鑒別”指標的風險可以適當降低B、如果SSLVPN所涉及的通信信道對應的“網(wǎng)絡和應用安全”層面的“身份鑒別”指標均為符合，那么應用和數(shù)據(jù)安全層面的“身份鑒別”指標的風險可以適當降低C、如果SSLVPN所涉及的通信信道相應的“網(wǎng)絡和應用安全”層面的“通信過程中重要數(shù)據(jù)的機密性”指標均為符合，那么應用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸機密性”指標的風險可以適當降低D、《信息系統(tǒng)密碼應用高風險判定指引》不涉及“網(wǎng)絡和應用安全”層面的“重要數(shù)據(jù)傳輸完整性”指標，因此該指標不會存在高風險【正確答案】：AC8.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下對通用要求中“密碼算法”的描述正確的是（）。A、采用DES算法提供數(shù)據(jù)加密，則很可能導致高風險B、采用SHA-1提供口令存儲完整性保護，則很可能導致高風險C、采用自行設計的數(shù)據(jù)處理算法，達到將數(shù)據(jù)不可讀的目的，則該算法依然可能導致高風險D、采用MD5withRSA2048進行數(shù)字簽名，不會導致高風險【正確答案】：ABC解析：

該部分包括以下內(nèi)容:a)指標要求:信息系統(tǒng)中使用的密碼算法應符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求。b)適用范圍:所有級別信息系統(tǒng)安全問題:c)MD51)采用存在安全問題或安全強度不足的密碼算法對重要數(shù)據(jù)進行保護，DES.SHA-1、RSA(不足2048比特)等密碼算法;2)采用安全性未知的密碼算法，如自行設計的密碼算法、經(jīng)認證的密碼產(chǎn)品中未經(jīng)安全性論證的密碼算法。d)可能的緩解措施:無。風險評價:上述安全問題一旦被威脅利用后，可能會導致信息系統(tǒng)面臨高等級安全風險。e)9.在《信息系統(tǒng)密碼應用高風險判定指引》中，使用（）方法不會觸發(fā)應用和數(shù)據(jù)層面“重要數(shù)據(jù)傳輸機密性”的風險判定。A、采用標準tls1.2協(xié)議B、基于SM4-CBC對稱密碼算法C、基于SM2非對稱密碼算法D、基于Base64編碼的方式【正確答案】：ABC解析：

base64容易破解，不安全，其余是比較安全的算法。10.某信息系統(tǒng)的用戶僅使用“用戶名+口令”方式進行登錄系統(tǒng)，根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下（）措施可以緩解這種登錄方式帶來的風險A、設備指紋B、人臉識別C、第三方身份鑒別服務D、指紋識別【正確答案】：ABCD11.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，某三級信息系統(tǒng)主備機房，采用人臉識別技術(shù)對進入機房的用戶進行身份鑒別，并在機房出入口配備專人值守，并保留了人員進出記錄，以下針對身份鑒別測評指標的符合性判定以及針對問題風險的判定正確的是（）。A、不符合B、高風險C、部分符合D、中風險【正確答案】：AD解析：

生物識別未采用密碼技術(shù)，為不符合生物識別+有人值守，可降低風險，但不改變符合性結(jié)果12.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，對于通用要求“密碼技術(shù)”的描述正確的是（）。A、測評過程中，在該方面若發(fā)現(xiàn)問題，存在可能的緩解措施B、系統(tǒng)采用了未經(jīng)安全性論證的密碼協(xié)議，可能會給系統(tǒng)帶來高風險C、使用TLS1.0協(xié)議實現(xiàn)對通信信道的保護，可能會導致高風險D、信息系統(tǒng)選用密碼技術(shù)時，需考慮該密碼技術(shù)是否遵循密碼相關(guān)國家標準和行業(yè)標準【正確答案】：BCD13.在《信息系統(tǒng)密碼應用高風險判定指引》中，對網(wǎng)絡和通信安全層面的通信實體進行身份鑒別時，引發(fā)高風險的原因可能是（）。A、密碼技術(shù)實現(xiàn)機制不正確或無效B、未采用基于消息鑒別碼（MAC）的機制C、未采用數(shù)字簽名機制D、采用的密碼產(chǎn)品未獲得商用密碼產(chǎn)品認證證書【正確答案】：ABCD14.在《信息系統(tǒng)密碼應用高風險判定指引》中，以下存儲保護方式會導致系統(tǒng)在“重要數(shù)據(jù)存儲機密性”方面存在高危風險的有（）。A、使用DES-CBC進行數(shù)字簽名B、使用SM4-CBC算法加密C、使用RSA-1024算法對SM4密鑰加密D、使用SM4-GCM算法對數(shù)據(jù)進行加密保護【正確答案】：AC解析：

密碼算法：采用存在安全問題或安全強度不足的密碼算法對重要數(shù)據(jù)進行保護，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法；SM4無線局域網(wǎng)標準的分組數(shù)據(jù)算法。對稱加密，密鑰長度和分組長度均為128位，SM4算法主要包含5種基本模式:ECB、CBCFB、OFB，CTR(后4種都是ECB算法模塊衍生而來)15.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，網(wǎng)絡和通信安全層面如果通信實體身份真實性的密碼技術(shù)實現(xiàn)機制（）或無效，可能會導致信息系統(tǒng)面臨高風險。A、不科學B、不安全C、不完整D、不正確【正確答案】：ABCD16.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，某三級信息系統(tǒng)主備機房，采用8位以上的口令，對進入機房的用戶進行身份鑒別。以下針對身份鑒別測評指標的符合性判定以及針對問題風險的判定正確的是（）。A、不符合B、高風險C、部分符合D、中風險【正確答案】：AB解析：

靜態(tài)口令未采用密碼技術(shù)，為不符合無其他風險緩解措施17.設備指紋是指可以用于標識出該設備的設備特征或者獨特的設備標識，用于區(qū)分和識別不同的設備。按照《信息系統(tǒng)密碼應用高風險判定指引》的規(guī)定，設備指紋因子包括（）。A、計算機的操作系統(tǒng)類型B、設備的硬件IDC、手機的IMEID、電腦的網(wǎng)卡MAC地址【正確答案】：ABCD18.《信息系統(tǒng)密碼應用高風險判定指引》中，在應用和數(shù)據(jù)安全層面，采用以下（）措施，可以可緩解系統(tǒng)在用戶身份鑒別方面存在的安全風險。A、采用設備指紋保證用戶身份的真實性B、采用生物指紋保證用戶身份的真實性C、采用第三方身份鑒別服務保證用戶身份的真實性D、綁定登錄用戶終端的IP地址【正確答案】：ABC解析：

9.1身份鑒別，可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋、第三方身份鑒別服務等）保證用戶身份的真實性19.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，屬于物理和環(huán)境安全層面身份鑒別方面引發(fā)的安全問題的是（）。A、對進出機房人員采用的身份鑒別類產(chǎn)品不符合密碼產(chǎn)品相關(guān)要求B、對進出機房人員的身份鑒別機制無效C、機房未采用視頻監(jiān)控系統(tǒng)D、對進出機房人員未采用基于密碼技術(shù)的身份鑒別措施【正確答案】：AB20.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下采用的措施對物理和環(huán)境安全的身份鑒別，可能帶來安全風險的是（）。A、采用口令方式鑒別進入人員身份B、采用ID卡方式鑒別進入人員身份C、采用指紋識別方式鑒別進入人員身份D、機房采用物理鎖方式控制人員進出【正確答案】：ABCD解析：

只要是不符合都可能帶來風險21.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密評過程中主要關(guān)注的管理制度有（）。A、密碼人員管理B、密鑰管理C、建設運行D、應急處置【正確答案】：ABCD22.在《信息系統(tǒng)密碼應用高風險判定指引》中，使用（）身份鑒別方式，可能會觸發(fā)應用和數(shù)據(jù)安全層面“身份鑒別”的風險判定。A、USB-KeyB、動態(tài)口令機制C、短信驗證碼D、郵箱驗證碼【正確答案】：CD解析：

CD不涉及密碼技術(shù)23.在《信息系統(tǒng)密碼應用高風險判定指引》中，對“通用要求”部分的理解正確的是（）。A、指標要求來自于GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》的通用要求部分B、描述的內(nèi)容適用范圍是從二級到四級信息系統(tǒng)C、不存在可能的緩解措施D、若出現(xiàn)相應安全問題的情形，則一定會導致高風險【正確答案】：AC解析：

本文件中判定內(nèi)容由指標要求、適用范圍、安全問題、可能的緩解措施和風險評價構(gòu)成。其中，指標要求源自GB/T39786—2021的部分指標，對于本文件未覆蓋的其他指標，仍需核查本文件第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務相關(guān)安全問題是否存在適用范圍：所有級別信息系統(tǒng)。可能的緩解措施：無。風險評價：上述任一安全問題一旦被威脅利用后，可能會導致信息系統(tǒng)面臨高風險24.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，采用密碼技術(shù)對重要區(qū)域進入人員進行身份鑒別的措施可包括（）。A、采用動態(tài)口令機制B、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制C、基于公鑰密碼算法的數(shù)字簽名機制D、基于生物特征識別【正確答案】：ABCD25.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，通用要求“密碼產(chǎn)品和密碼服務”中，密碼產(chǎn)品存在可能導致高風險的問題有（）。A、密碼產(chǎn)品在使用時未按照產(chǎn)品的安全策略文檔部署和使用B、不具有商用密碼產(chǎn)品認證證書C、密碼服務提供商不具有相關(guān)資質(zhì)D、密碼廠商自研一套軟件密碼模塊，但無法提供該密碼產(chǎn)品的安全性證明結(jié)論【正確答案】：ABCD26.在《信息系統(tǒng)密碼應用高風險判定指引》中，（）屬于應用和數(shù)據(jù)層面“重要數(shù)據(jù)存儲機密性”的涉及范圍。A、業(yè)務系統(tǒng)采用AES加密存儲數(shù)據(jù)B、使用SM3密碼算法保存了銀行客戶的身份證號，以便發(fā)給公安系統(tǒng)進行比對C、使用HMAC-SM3算法對關(guān)鍵業(yè)務數(shù)據(jù)進行完整性保護D、使用SM4算法實現(xiàn)重要數(shù)據(jù)傳輸?shù)臋C密性【正確答案】：AB解析：

C是完整性、D是傳輸過程27.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，對于通用要求“密碼算法”的描述正確的是（）。A、描述的內(nèi)容適用范圍為所有級別信息系統(tǒng)B、RSA（不足2048比特）可能會導致高風險C、采用自行設計的密碼算法可能會導致高風險D、使用MD5雜湊算法可能導致高風險【正確答案】：ABCD28.在《信息系統(tǒng)密碼應用高風險判定指引》中，未涉及的安全問題場景，以下判定其風險程度的做法正確的是（）。A、結(jié)合實際場景客觀判斷B、無需關(guān)注C、需分析考慮是否對其造成嚴重的安全隱患D、直接判定為中或低風險【正確答案】：AC29.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下內(nèi)容可能會給密鑰管理帶來安全隱患的是（）。A、未采用通過檢測認證合格的隨機數(shù)發(fā)生器生成密鑰，且無公開文獻和證據(jù)證明隨機數(shù)發(fā)生器的合理性和正確性B、密鑰在不可控的環(huán)境中生成C、密鑰協(xié)商之前或協(xié)商過程中沒有驗證對方身份真實性D、密鑰由具有商用密碼認證證書的密碼產(chǎn)品產(chǎn)生【正確答案】：ABC30.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，在應用和數(shù)據(jù)安全層面，可能存在高風險項的是（）。A、身份鑒別B、重要數(shù)據(jù)傳輸機密性C、重要數(shù)據(jù)傳輸完整性D、重要數(shù)據(jù)存儲完整性【正確答案】：ABD解析：

存儲完整性無可緩解措施31.在《信息系統(tǒng)密碼應用高風險判定指引》中，以下存儲保護方式會導致系統(tǒng)在“重要數(shù)據(jù)存儲完整性”方面存在高危風險的有（）。A、使用SHA1WithRSA-2048進行數(shù)字簽名B、使用SM3雜湊算法對數(shù)據(jù)進行雜湊計算，雜湊值與數(shù)據(jù)一同存放C、使用SM4-GCM算法對數(shù)據(jù)進行加密保護D、使用HMAC-SM3對數(shù)據(jù)進行MAC計算，但是僅截取MAC的8個比特進行使用【正確答案】：ABD32.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，以下措施能夠緩解設備和計算安全層面遠程管理通道安全測評項的高風險的是（）。A、采用帶外管理的方式對所有設備進行遠程管理B、所有運維人員均需要通過堡壘機進行身份認證C、所有設備均需要運維人員通過SSLVPN設備進行遠程管理，且采用的密碼技術(shù)符合要求D、運維人員采用兩種身份鑒別措施對設備進行遠程管理，其中一種身份鑒別措施為密碼技術(shù)【正確答案】：AC解析：

題干說的是遠程管理與身份鑒別沒有關(guān)系33.某單位管理員遠程登錄服務器時，采用密碼協(xié)議保證遠程管理通道安全，依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，避免帶來高風險，以下可能采用的協(xié)議包括（）。A、SSH2.0B、SSL2.0C、SSL3.0D、TLS1.2【正確答案】：AD解析：

安全問題:使用存在缺陷或有安全問題警示的密碼技術(shù)，如SSH1.0、SSL2.0、SSL3.0、TLS1.0等.0使用安全性未知的密碼技術(shù)，如自行設計的密碼通信協(xié)議、未經(jīng)安全性論證的密碼通信2)協(xié)議等?？赡艿木徑獯胧?無。風險評價:上述任一安全問題一旦被威脅利用后，可能會導致信息系統(tǒng)面臨高風險。34.在《信息系統(tǒng)密碼應用高風險判定指引》中,以下屬于密碼算法安全問題的是（）。A、采用了安全強度不夠的密碼算法B、自行設計的密碼算法C、采用未經(jīng)安全性論證的密碼算法D、采用了符合法律、法規(guī)規(guī)定和密碼相關(guān)國家標準、行業(yè)標準有關(guān)要求的算法【正確答案】：ABC35.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，對于通用要求“密碼算法”的描述不正確的是（）。A、存在安全問題或安全強度不足的密碼算法可能會導致高風險B、使用自行設計的密碼算法可能會導致高風險C、未經(jīng)安全性論證的密碼算法可能會導致高風險D、該指標對應的密碼算法不僅要符合法律要求，還應遵循國家標準【正確答案】：ABCD36.在《信息系統(tǒng)密碼應用高風險判定指引》中，以下屬于不安全的密碼算法是（）。A、SM2B、SHA-1C、RSA-1024D、MD5【正確答案】：BCD37.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，下列說法錯誤的是（）。A、可使用密碼雜湊算法的消息鑒別碼（MAC）機制解決數(shù)據(jù)傳輸機密性的高風險問題B、可使用基于公鑰密碼算法的數(shù)字簽名機制解決數(shù)據(jù)存儲完整性問題C、三級及以上信息系統(tǒng)一定存在不可否認性的高風險問題D、使用RSA1024算法可解決重要數(shù)據(jù)存儲機密性問題【正確答案】：ACD解析：

MAC單向函數(shù)，無法解決機密性問題，A錯；公鑰密碼算法數(shù)字簽名可保障完整性，B對；業(yè)務場景不一定有不可否認性場景，C錯；RSA1024高風險算法，D錯。1.《信息系統(tǒng)密碼應用高風險判定指引》中所涉及的指標要求包括了《信息安全技術(shù)信息系統(tǒng)密碼應用基本要求》所有要求項。A、正確B、錯誤【正確答案】：B2.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，系統(tǒng)可采用RSA1024密碼算法，實現(xiàn)信息系統(tǒng)重要數(shù)據(jù)在傳輸過程中的機密性。A、正確B、錯誤【正確答案】：B解析：

c)安全問題：1)使用存在安全問題或安全強度不足的密碼算法對重要數(shù)據(jù)進行保護，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法3.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，第二級及以上級別信息系統(tǒng)，未采用密碼技術(shù)保證信息系統(tǒng)應用的重要數(shù)據(jù)在存儲過程中的完整性，可直接判定為高風險問題。A、正確B、錯誤【正確答案】：B解析：

存儲完整性高風險要密評三級以上4.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，在應用和數(shù)據(jù)安全層面，未采用密碼技術(shù)對登錄用戶進行身份鑒別，保證應用系統(tǒng)用戶身份的真實性，但基于特定識別技術(shù)（如設備指紋、生物指紋、第三方身份鑒別服務等）保證用戶身份的真實性，可酌情降低風險。A、正確B、錯誤【正確答案】：A5.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，業(yè)務用戶登錄系統(tǒng)時，系統(tǒng)對登錄用戶僅采用指紋認證的方式進行身份鑒別，由于鑒別過程未采用密碼技術(shù)實現(xiàn)，則用戶身份真實性方面可判定存在高風險問題。A、正確B、錯誤【正確答案】：B解析：

可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋等）保證用戶身份的真實性。6.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，二級及以上的信息系統(tǒng)必須具備密碼安全管理制度，否則在密評時會因不具備密碼應用安全管理制度而面臨高風險。A、正確B、錯誤【正確答案】：A解析：

高風險判定指引，此項不可緩解，缺失就是高風險。見截圖。7.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，設備和計算安全層面的身份鑒別，必須采用密碼技術(shù)保證用戶身份的真實性，沒有緩解措施。A、正確B、錯誤【正確答案】：B解析：

可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋等）保證用戶身份的真實性。8.信息系統(tǒng)測評過程中的風險判定只需依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》所列出的相關(guān)安全問題所引發(fā)的風險等級做出判斷。A、正確B、錯誤【正確答案】：B9.按照《信息系統(tǒng)密碼應用高風險判定指引》，某信息系統(tǒng)的用戶僅使用“用戶名+口令”方式進行登錄，則“應用和數(shù)據(jù)安全”層面的“身份鑒別”指標判定為不符合，但是不會存在高危風險。A、正確B、錯誤【正確答案】：B解析：

若未采用密碼技術(shù)對登錄用戶進行身份鑒別，或用戶身份真實性的密碼技術(shù)實現(xiàn)機制不正確或無效，基于特定識別技術(shù)（如設備指紋、生物指紋、第三方身份鑒別服務等）保證用戶身份的真實性，可酌情降低風險等級。10.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，在“網(wǎng)絡和通信安全”層面，采用符合要求的密碼技術(shù)為網(wǎng)絡通信信道提供機密性保護，且網(wǎng)絡通信信道經(jīng)評估無高風險，可酌情降低“應用和數(shù)據(jù)安全”層面未采用密碼技術(shù)對重要數(shù)據(jù)進行傳輸機密性保護的風險等級。A、正確B、錯誤【正確答案】：A解析：

風險評價：若未采用密碼技術(shù)的加解密功能對重要數(shù)據(jù)在傳輸過程中進行機密性保護，或重要數(shù)據(jù)傳輸機密性保護的實現(xiàn)機制不正確或無效，但在“網(wǎng)絡和通信安全”層面通信實體間采用符合要求的密碼技術(shù)建立網(wǎng)絡通信信道，且網(wǎng)絡通信信道經(jīng)評估無高風險，可酌情降低風險等級。11.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，雖未采用密碼技術(shù)對重要區(qū)域進入人員進行身份鑒別，但基于生物識別技術(shù)（如指紋等）同樣保證了人員身份真實性，可酌情降低風險等級。A、正確B、錯誤【正確答案】：A12.按照《信息系統(tǒng)密碼應用高風險判定指引》，某二級信息系統(tǒng)在網(wǎng)絡和通信安全層面，未使用密碼技術(shù)實現(xiàn)通信前通信實體的身份鑒別，則密評時網(wǎng)絡和通信安全層面身份鑒別測評單元的風險評價結(jié)果應為高風險。A、正確B、錯誤【正確答案】：B解析：

網(wǎng)絡層身份鑒別高風險要密評三級以上13.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，若信息系統(tǒng)中使用了存在安全問題的密碼產(chǎn)品、密碼服務，則可通過采取一定的緩解措施來降低可能的風險。A、正確B、錯誤【正確答案】：B解析：

高風險判定指引，密碼技術(shù)、算法、產(chǎn)品、服務無緩解措施。14.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，應確保三級以上的信息系統(tǒng)中使用的密碼算法符合法律、法規(guī)的規(guī)定和密碼相關(guān)國家標準、行業(yè)標準的有關(guān)要求，其他級別可酌情考慮。A、正確B、錯誤【正確答案】：B15.《信息系統(tǒng)密碼應用高風險判定指引》中，安全接入認證方面的要求適用范圍包含三級和四級信息系統(tǒng)。A、正確B、錯誤【正確答案】：B解析：

適用范圍：第四級信息系統(tǒng)。16.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，若未采用密碼技術(shù)對重要區(qū)域進入人員進行身份鑒別，但基于生物識別技術(shù)（如指紋等）保證人員身份真實性，可酌情降低風險等級。A、正確B、錯誤【正確答案】：A17.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密鑰在恢復使用時，在對其他系統(tǒng)缺乏鑒別機制的情況下，可以被導入到其他系統(tǒng)中。A、正確B、錯誤【正確答案】：B解析：

密鑰恢復環(huán)節(jié)可能會對密鑰管理造成嚴重安全隱患的安全問題主要包括：1)密鑰在恢復使用時沒有鑒別機制，可以被導入到其他系統(tǒng)中。18.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，若信息系統(tǒng)所使用的密碼技術(shù)未遵循密碼相關(guān)國家標準和行業(yè)標準，則一定會導致信息系統(tǒng)面臨高等級安全風險。A、正確B、錯誤【正確答案】：B19.根據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，遠程管理設備時，未采用密碼技術(shù)建立安全的信息傳輸通道且無緩解措施的情況下，風險分析應判斷為高風險。A、正確B、錯誤【正確答案】：A20.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，密碼應用安全管理制度描述的內(nèi)容適用范圍是三級及以上級別信息系統(tǒng)。A、正確B、錯誤【正確答案】：B解析：

適用范圍：第二級及以上級別信息系統(tǒng)。21.未納入《信息系統(tǒng)密碼應用高風險判定指引》的指標條款，則一定不會導致高風險情形。A、正確B、錯誤【正確答案】：B解析：

由于信息系統(tǒng)密碼應用場景的復雜性，本文件無法涵蓋密碼應用的所有高風險安全問題，對于本文件未涉及但確實可能會對信息系統(tǒng)造成嚴重安全隱患的安全問題，應結(jié)合信息系統(tǒng)的實際情況對相關(guān)安全問題所引發(fā)的風險等級做出客觀判斷。在某些情況下，受限于具體場景的安全需求和各項條件，本文件給出的安全問題也可能不會導致信息系統(tǒng)面臨較高安全風險，在信息系統(tǒng)密碼應用的規(guī)劃、建設、運行及測評時應結(jié)合具體場景進行合理判定。22.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，業(yè)務系統(tǒng)用戶登錄時，系統(tǒng)可通過用戶名、口令的鑒別方式實現(xiàn)用戶身份的鑒別。A、正確B、錯誤【正確答案】：B解析：

c)安全問題：1)存在第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務相關(guān)安全問題；2)未采用動態(tài)口令機制、基于對稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機制、基于公鑰密碼算法的數(shù)字簽名機制等密碼技術(shù)對登錄用戶進行身份鑒別；3)用戶身份真實性的密碼技術(shù)實現(xiàn)機制不正確或無效；4)采用的密碼產(chǎn)品未獲得商用密碼認證機構(gòu)頒發(fā)的商用密碼產(chǎn)品認證證書（適用時）。d)可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋、第三方身份鑒別服務等）保證用戶身份的真實性。23.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，未采取密碼技術(shù)措施實現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性，則無其他可能的緩解措施對該問題風險進行緩解。A、正確B、錯誤【正確答案】：A解析：

a)指標要求：在可能涉及法律責任認定的應用中，采用密碼技術(shù)提供數(shù)據(jù)原發(fā)證據(jù)和數(shù)據(jù)接收證據(jù)，實現(xiàn)數(shù)據(jù)原發(fā)行為的不可否認性和數(shù)據(jù)接收行為的不可否認性。d)可能的緩解措施：無。24.依據(jù)《信息系統(tǒng)密碼應用高風險判定指引》，設備和計算安全中，身份鑒別方面的高風險問題沒有緩解措施。A、正確B、錯誤【正確答案】：B解析：

可能的緩解措施：基于特定識別技術(shù)（如設備指紋、生物指紋等）保證用戶身份的真實性。25.依據(jù)《信息系統(tǒng)密碼應用高