商密6-6·密碼應用與安全評估復習測試有答案單選題（總共43題）1.某二級信息系統(tǒng)，對物理和環(huán)境安全層面“身份鑒別”這一項，其密碼應用方案中論述了無法采用密碼技術的客觀因素，并提供了目前采用的風險控制措施，即人臉識別，密評人員在實際測評時核實密碼應用方案中的措施已落實。那么作為該條款的測評結論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無解析2.某三級信息系統(tǒng)通過HMAC-SM3對重要數(shù)據(jù)計算MAC值后與數(shù)據(jù)原文一同存儲在數(shù)據(jù)庫中，密碼運算為軟件實現(xiàn)，針對“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無解析3.某業(yè)務系統(tǒng)用戶手機號利用SM3進行雜湊計算后，將得到完整的雜湊值存放在應用服務器的數(shù)據(jù)庫中，那么對于“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無解析4.以下因素（）可能導致數(shù)字簽名功能不正確。(1分)A、簽名中使用固定的隨機數(shù)B、待簽消息比SM3雜湊值長C、簽名中使用不可預測的隨機數(shù)D、使用私鑰簽名答案：A解析：

暫無解析5.測評過程中，對信息系統(tǒng)網(wǎng)絡邊界內(nèi)的用戶與系統(tǒng)應用之間重要數(shù)據(jù)傳輸保護的測評屬于（）安全層面的測評內(nèi)容。(1分)A、網(wǎng)絡和通信安全B、設備和計算安全C、應用和數(shù)據(jù)安全D、密鑰管理答案：C解析：

暫無解析6.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，編制方案密評報告時，以下對于不適用指標描述不合理的是（）。(1分)A、信息系統(tǒng)不涉及設備中的重要信息資源安全標記，因此設備和計算安全層面的“重要信息資源安全標記完整性”指標為不適用B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機密性安全需求，因此應用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲機密性”指標為不適用C、信息系統(tǒng)的物理機房難以進行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標為不適用D、信息系統(tǒng)責任單位將“可”的指標自行決定為不適用答案：C解析：

暫無解析7.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，對于委托第三方密評機構實施的密碼應用方案密評和信息系統(tǒng)密評的情形，在報告中的“密評活動有效性證明”記錄部分，以下說法正確的是（）。(1分)A、信息系統(tǒng)密評報告需要提供密評活動證明，方案密評報告則不需要B、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機構雙方簽字確認，同時需要密評機構內(nèi)部組織評審C、方案密評前，應編制測評方案，并對該方案組織內(nèi)部評審D、信息系統(tǒng)密評時，測評方案需要測評委托方和密評機構雙方簽字確認，但不需要密評機構內(nèi)部組織評審答案：B解析：

暫無解析8.在設備和計算安全層面，若存在100臺服務器，其中60臺為A廠商生產(chǎn)且為同一型號，40臺為B廠商生產(chǎn)且為同一型號，同一廠商的硬件/軟件配置相同。為提高測評效率，同時避免遺漏測評對象，以下測評對象選取方法合理的是（）。(1分)A、同一類機型的服務器作為一個測評對象，所以有兩個測評對象，即機型A和機型B兩類服務器B、由于這100臺服務器均屬于通用設備，可視為一個測評對象C、每一臺服務器均作為一個測評對象，所以測評對象數(shù)量為100個D、以上都正確答案：A解析：

暫無解析9.某三級信息系統(tǒng)，制定了密碼安全應急策略，規(guī)定了相關應急事件處置措施和流程，明確了密碼應用應急事件處置完成后及時向當?shù)孛艽a管理部門報告事件發(fā)生和處置情況。該系統(tǒng)目前未發(fā)生過密碼應用安全事件，無相應處置記錄。針對“應急處置”層面的“事件處置”指標最高可以給（）分。(1分)A、1B、0.25C、0.5D、0答案：A解析：

暫無解析10.某三級信息系統(tǒng)的重要數(shù)據(jù)包括用戶口令、日志信息、業(yè)務數(shù)據(jù)，這三類數(shù)據(jù)的存儲機密性量化評估分值分別為0.25、0.5、0.25，針對“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲機密性”的測評單元得分為（）。(1分)A、0.3333B、1C、0.5D、0.25答案：A解析：

暫無解析11.某信息系統(tǒng)在數(shù)據(jù)庫中存儲有用戶的性別字段的密文，應用開發(fā)人員告知密評人員該字段采用SM4-CBC算法進行了加密。密評人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個密文值長度為128比特。那么以下推斷正確的是（）。(1分)A、如果確實使用SM4-CBC進行加密，那么開發(fā)人員可能錯誤地使用了IVB、由于密文長度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進行加密，開發(fā)人員說法存在問題C、開發(fā)人員不可能使用ECB模式加密D、由于密文長度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開發(fā)人員的說法是正確的答案：A解析：

暫無解析12.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，密碼應用方案密評報告中的商用密碼應用安全性評估結論部分包含哪項要素（）。(1分)A、方案名稱和評估結論B、方案簡介和評估情況簡介C、不適用項數(shù)目/總測評指標項數(shù)目D、以上均包含答案：D解析：

暫無解析13.某三級信息系統(tǒng)的訪問控制信息通過調(diào)用服務器密碼機（通過商用密碼產(chǎn)品檢測認證）使用SM3withSM2數(shù)字簽名算法計算簽名值后，將訪問控制信息與簽名值一同保存在數(shù)據(jù)庫中，但用戶訪問業(yè)務應用時未對訪問控制信息的簽名值進行驗證，針對“應用和數(shù)據(jù)安全”層面的“訪問控制信息完整性”為（）分。(1分)A、0B、0.25C、0.5D、1答案：A解析：

暫無解析14.某三級信息系統(tǒng)通過堡壘機對通用服務器進行集中管理，其中管理員與堡壘機之間使用HTTP協(xié)議建立傳輸通道，堡壘機與通用服務器之間使用SSH2.0建立傳輸通道，因此針對“設備和計算安全”層面的“遠程管理通道安全”指標的判定結果為()。(1分)A、符合B、部分符合C、不符合D、無法判斷答案：B解析：

暫無解析15.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，如果應用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲完整性”指標未采用密碼應用措施，那么針對該指標的安全控制措施評估結果一定是（）。(1分)A、通過B、未通過C、不符合D、無法判斷答案：D解析：

暫無解析16.Linux系統(tǒng)的用戶口令一般存儲在路徑（）下。(1分)A、/etc/groupB、/etc/shadowC、/etc/login.defsD、/etc/named.conf答案：B解析：

暫無解析17.某三級信息系統(tǒng)用戶端與服務端之間進行通信時，只對服務端進行了基于密碼的身份鑒別且身份鑒別機制有效，使用的簽名算法為SM2withSM3，針對“網(wǎng)絡和通信安全”層面的“身份鑒別”指標最高可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：D解析：

暫無解析18.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在密碼應用方案密評報告附錄部分，“密評活動有效性證明記錄”不涉及（）。(1分)A、密評委托證明B、密評人員差旅票證及住宿票證C、密評報告評審記錄D、密評人員資格情況答案：B解析：

暫無解析19.某三級信息系統(tǒng)通過SSLVPN建立遠程管理傳輸通道，管理終端與SSLVPN之間傳輸協(xié)議使用的密碼套件為ECC_SM4_GCM_SM3。該網(wǎng)絡通信信道使用（）算法實現(xiàn)通信數(shù)據(jù)的機密性保護。(1分)A、ECCB、SM4_GCMC、SM3D、基于SM3的HMAC答案：B解析：

暫無解析20.如果基于數(shù)字證書方式進行用戶的身份鑒別，在進行密評時，以下核查（）不是必要的。(1分)A、檢查根證書如何安全導入或預置到系統(tǒng)內(nèi)B、檢查數(shù)字證書的合規(guī)性C、驗證數(shù)字證書的證書鏈是否通過D、檢查數(shù)字證書的機密性是如何保證的答案：D解析：

暫無解析21.某四級信息系統(tǒng)，對物理和環(huán)境安全“身份鑒別”這一項，其密碼應用方案中論述了無法采用密碼技術的客觀因素，并提供了目前采用的風險控制措施，即“口令+指紋”，密評人員在實際測評時核實方案中的措施已落實。那么作為該條款的測評結論合理的是（）。(1分)A、符合B、部分符合C、不符合D、不適用答案：C解析：

暫無解析22.密評人員對SSLVPN進行測評時發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x13}后，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進行密鑰協(xié)商B、該套件使用SM4-CBC進行數(shù)據(jù)加密C、該套件使用HMAC-SM3進行數(shù)據(jù)完整性保護D、該套件使用SM3作為PRF派生密鑰答案：A解析：

暫無解析23.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，關于方案密評，以下說法那種不正確()。(1分)A、重點判斷系統(tǒng)在某方面是否存在安全風險，通過總體密碼設計是否可以有效解決相應的安全問題B、重點對所有自查符合性進行評估，對所有自查不適用項和對應論證依據(jù)進行逐條核查、評估C、應注意梳理安全需求，尤其是應用和數(shù)據(jù)安全層面各保護對象的安全需求D、重點是對照GB/T39786-2021《信息安全技術信息系統(tǒng)密碼應用基本要求》進行逐條評估答案：D解析：

暫無解析24.某信息系統(tǒng)有兩個業(yè)務應用，其中應用A有管理員用戶和操作員用戶兩類用戶，分別采用用戶名+口令和基于動態(tài)口令（經(jīng)過檢測認證的密碼產(chǎn)品）的身份鑒別方式；應用B有管理員用戶和業(yè)務員用戶兩類用戶，均基于經(jīng)過檢測認證的智能密碼鑰匙進行身份鑒別。針對“應用和數(shù)據(jù)安全”層面的“身份鑒別”指標，最多可以給（）分。(1分)A、0.5B、1C、3D、0.75答案：D解析：

暫無解析25.Linux系統(tǒng)的用戶口令一般存儲在/etc/shadow路徑下，口令存儲字符串格式為：$id$salt$encrypted，其中id為1時表示口令采用()密碼算法進行雜湊后存儲。(1分)A、MD5B、BlowfishC、SHA-256D、SHA-512答案：A解析：

暫無解析26.應用服務器的數(shù)據(jù)庫中，用戶的單條記錄（包括口令雜湊值、身份證號、手機號等密文值、角色、權限等）利用HMAC-SM3計算后，把得到的MAC值一并存放在該條目中，針對“應用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲完整性”指標判定最多可以給（）分。(1分)A、0B、0.25C、0.5D、1答案：C解析：

暫無解析27.某信息系統(tǒng)部署在云服務提供商（CSP）機房，其物理機房完全由CSP托管，那么在對該信息系統(tǒng)進行密評時，在物理和環(huán)境安全層面合理的做法是（）。(1分)A、若CSP機房未通過密評，則物理和環(huán)境安全層面直接判定為“不符合”B、若CSP機房通過密評，則可以復用該機房的密評結論C、若CSP機房未通過密評，則可以直接判定為“符合”D、無論CSP機房是否通過密評，物理和環(huán)境安全層面應判定為“不適用”答案：B解析：

暫無解析28.某三級信息系統(tǒng)開發(fā)人員采用密碼機（經(jīng)檢測認證的一級密碼模塊）實現(xiàn)的SM4算法，為具有“重要數(shù)據(jù)傳輸機密性”安全需求的數(shù)據(jù)提供相應密碼保護，經(jīng)密評人員確認該指標測評對象有2個，且密碼保護有效。那么該指標的判定結果較為合理的是（）。(1分)A、符合，1分B、部分符合，0.5分C、部分符合，0.3分D、不符合，0.25分答案：B解析：

暫無解析29.某三級信息系統(tǒng)客戶端與服務端之間的網(wǎng)絡通信信道使用TLSv1.2協(xié)議進行傳輸保護，使用的密碼套件為TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進行通信數(shù)據(jù)機密性和完整性保護。(1分)A、ECDHE，RSAB、AES_256_GCM,AES__256_GCMC、AES-GCM，HMAC-SHA384D、AES-GCM，SHA384答案：B解析：

暫無解析30.以下選項（）不是對傳輸完整性實現(xiàn)的測評方法。(1分)A、利用Wireshark分析受完整性保護的數(shù)據(jù)在傳輸時的數(shù)據(jù)格式（如簽名長度、MAC長度）是否符合預期B、如果采用數(shù)字簽名技術進行傳輸完整性保護，測評人員可以使用公鑰對抓取的簽名結果進行驗證C、條件允許的情況下，測評人員可嘗試對傳輸數(shù)據(jù)進行篡改（如修改MAC值或數(shù)字簽名值），驗證完整性保護措施的有效性D、檢查傳輸過程是否符合GB/T15843《信息技術安全技術實體鑒別》要求答案：D解析：

暫無解析31.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，以下哪項不屬于方案密評報告所包含的內(nèi)容（）。(1分)A、報告分發(fā)范圍B、密碼應用方案C、密評委托證明D、測評人員進入系統(tǒng)所在機房的證明記錄答案：D解析：

暫無解析32.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在方案密評報告的“商用密碼應用安全性評估結論”部分不包括以下哪項（）。(1分)A、方案名稱B、評估結論C、不適用指標數(shù)目D、密碼應用需求答案：D解析：

暫無解析33.某三級信息系統(tǒng)，網(wǎng)絡和通信安全層面采用了合規(guī)的密碼技術進行通信實體身份鑒別，測評人員經(jīng)核實后判定結果為1分；應用和數(shù)據(jù)安全層面采用“用戶名+口令”的方式對業(yè)務系統(tǒng)登錄用戶進行身份鑒別。則“應用和數(shù)據(jù)安全”層面的“身份鑒別”指標的應用用戶測評對象經(jīng)“網(wǎng)絡和通信安全”層面“身份鑒別”指標結果彌補后的量化評估分值為（）。(1分)A、1B、0.5C、0.25D、0答案：D解析：

暫無解析34.某三級信息系統(tǒng)所在機房部署符合GM/T0036《采用非接觸卡的門禁系統(tǒng)密碼應用指南》的電子門禁系統(tǒng)，使用SM4算法進行密鑰分散，實現(xiàn)門禁卡的“一卡一密”，并基于SM4算法對人員身份進行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“身份鑒別”指標的量化評估結果最多為（）分。(1分)A、0.25B、0.5C、0D、1答案：D解析：

暫無解析35.用戶在某銀行網(wǎng)點取錢，輸入支付口令后，該口令途經(jīng)兩段傳輸過程：1）ATM機到銀行服務端金融數(shù)據(jù)密碼機（經(jīng)檢測認證合格），采用SM4算法提供傳輸機密性；2）銀行服務端金融數(shù)據(jù)密碼機（經(jīng)檢測認證合格）到銀行服務端核心系統(tǒng)服務器（非直連），采用AES-128提供傳輸機密性。以口令作為測評對象，其“重要數(shù)據(jù)傳輸機密性”的判定結果為（）。(1分)A、符合B、部分符合C、不符合D、基本符合答案：B解析：

暫無解析36.密評人員對SSLVPN進行測評時發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x11}，以下判斷不合理的是()。(1分)A、該套件使用SM2密鑰交換算法進行密鑰協(xié)商B、該套件使用SM4-GCM進行數(shù)據(jù)加密C、該套件使用HMAC-SM3進行數(shù)據(jù)完整性保護D、該套件使用SM2算法進行密鑰協(xié)商答案：B解析：

暫無解析37.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，以下哪項信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對象（）。(1分)A、交換機B、機房C、密碼設備D、服務器答案：A解析：

暫無解析38.以下選項（）不被認為是云平臺“完全評估的支撐能力”。(1分)A、僅為租戶應用提供的電子簽章服務B、云平臺所在的物理機房環(huán)境C、云平臺管理應用D、云平臺提供的設備運維通信信道答案：A解析：

暫無解析39.某三級信息系統(tǒng)的系統(tǒng)管理員通過堡壘機登錄通用服務器并對其進行遠程管理，進入堡壘機后，系統(tǒng)管理員通過用戶名+口令的方式訪問通用服務器。系統(tǒng)管理員登錄堡壘機時通過部署具有商用密碼產(chǎn)品認證證書的安全瀏覽器（安全等級二級）和智能密碼鑰匙（安全等級二級）并基于數(shù)字證書（在有效期內(nèi)）的方式進行身份鑒別，算法為SM2。因此該系統(tǒng)在“設備和計算安全”層面的通用服務器測評對象的“身份鑒別”指標D、K的判定結果為（）。(1分)A、√,√,√B、×,/，/C、√,×,×D、√,√,×答案：B解析：

暫無解析40.在測評過程中遇到的PEM編碼格式，除了開頭和結尾，其內(nèi)容體通常以（）格式編碼。(1分)A、BERB、DERC、Base64D、Base64url答案：C解析：

暫無解析41.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，針對“安全控制措施評估結果”環(huán)節(jié)的工作，以下描述較為合理的是（）。(1分)A、某三級信息系統(tǒng)密碼應用方案中，針對應用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護均使用國外密碼算法，因此“重要數(shù)據(jù)傳輸機密性和完整性”指標的安全控制措施評估結果為“未通過”B、某三級信息系統(tǒng)41個基本指標中，其中一個指標的安全控制措施評估結果為“未通過”，因此該信息系統(tǒng)的密碼應用方案評估結果為“不通過”C、某三級信息系統(tǒng)密碼應用方案的安全控制措施評估結果均為“通過”，初步量化評估分值為50分，那么該密碼應用方案的整體評估結果仍可為“通過”D、某三級信息系統(tǒng)密碼應用方案中，針對物理和環(huán)境安全層面的“身份鑒別”指標未采用密碼技術方案，而是通過其他的安全管理措施降低風險，因此該指標的安全控制措施評估結果一定為“未通過”答案：B解析：

暫無解析42.在密評時，以下密碼算法/技術的組合（）認為存在高危風險。(1分)A、對數(shù)據(jù)進行RSA-3072和SHA-1簽名B、對數(shù)據(jù)進行DES加密后，再進行SM4加密C、對數(shù)據(jù)進行HMAC-SHA256保護D、對數(shù)據(jù)進行SM2和SM3簽名答案：A解析：

暫無解析43.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，系統(tǒng)概述部分不需要對應用和數(shù)據(jù)安全層面的哪些保護對象做梳理（）。(1分)A、應用系統(tǒng)的用戶B、重要數(shù)據(jù)C、用戶操作行為D、網(wǎng)絡通道答案：D解析：

暫無解析多選題（總共15題）1.以下做法正確的有（）。(1分)A、利用經(jīng)檢測認證合格的智能密碼鑰匙、智能IC卡、動態(tài)令牌等作為用戶登錄應用的憑證B、使用SM2對口令加密后傳輸，實現(xiàn)可抗重放攻擊的身份鑒別C、利用經(jīng)檢測認證合格的服務器密碼機等設備對重要數(shù)據(jù)進行加密、計算MAC或簽名后存儲在數(shù)據(jù)庫中，實現(xiàn)對重要數(shù)據(jù)在存儲過程中的保密性和完整性保護D、利用經(jīng)檢測認證合格的簽名驗簽服務器、智能密碼鑰匙、電子簽章系統(tǒng)、時間戳服務器等設備實現(xiàn)對可能涉及法律責任認定的數(shù)據(jù)原發(fā)、接收行為的不可否認性保護答案：ACD解析：

暫無解析2.在車路協(xié)同通信場景中，可以采用以下（）方式開展測評。(1分)A、在被測車輛無線通信范圍內(nèi)，使用無線協(xié)議分析類工具抓取智能車輛發(fā)送的通信數(shù)據(jù)，核實其消息中是否附加了數(shù)字簽名B、通過文檔審查、配置檢查等方式驗證車輛接收消息時是否驗證了數(shù)字簽名以及簽名所用證書的有效性C、在核實數(shù)字證書合法性和有效性時，應注意數(shù)字證書管理的各個環(huán)節(jié)D、查看和核實信息系統(tǒng)使用的各密碼產(chǎn)品的商用密碼產(chǎn)品認證證書答案：ABCD解析：

暫無解析3.測評人員在測評時，發(fā)現(xiàn)以下情況，其中密碼應用合規(guī)正確的有()。(1分)A、通信雙方進行加密通信前，使用了雙證書中的加密證書進行SM2密鑰協(xié)商B、通信雙方使用TLS1.3進行通信，并將其中的密碼算法全部替換為SM2/SM3/SM4C、用戶使用SM4-CTR進行加密時，以隨機數(shù)和當前時間值的拼接作為計數(shù)器值，將計數(shù)器值以明文形式與密文一并發(fā)送給接收方D、信息系統(tǒng)使用同一個數(shù)據(jù)密鑰采用SM4-CBC模式對所有用戶的性別信息進行加密保護，并使用全0的IV值答案：AC解析：

暫無解析4.在測評某一信息系統(tǒng)時，其設備和計算安全層面可能涉及的測評對象有（）。(1分)A、數(shù)據(jù)庫管理系統(tǒng)B、虛擬機C、應用服務器D、VPN網(wǎng)關答案：ABCD解析：

暫無解析5.針對“網(wǎng)絡和通信安全”層面的測評，以下描述不合理的是（）。(1分)A、某三級信息系統(tǒng)，移動終端用戶通過SSLVPN訪問內(nèi)網(wǎng)資源，移動終端與SSLVPN之間必須實現(xiàn)雙向身份鑒別B、如果被測系統(tǒng)的遠程管理通道存在跨網(wǎng)絡的情況，那么該遠程管理通道也應該作為“網(wǎng)絡和通信安全”層面的測評對象C、某三級信息系統(tǒng)互聯(lián)網(wǎng)PC端用戶可以通過HTTP或者國密SSL協(xié)議兩種方式訪問被測信息系統(tǒng)，針對“通信數(shù)據(jù)完整性”和“通信過程中重要數(shù)據(jù)機密性”指標可以直接判定為符合D、某三級信息系統(tǒng)主機房和災備機房之間通過部署IPSecVPN設備建立安全傳輸通道，那么該網(wǎng)絡通信信道的測評只能以主機房的IPSecVPN設備作為測評接入點答案：ACD解析：

暫無解析6.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在編寫密碼應用方案時，應該體現(xiàn)()。(1分)A、系統(tǒng)承載業(yè)務情況及網(wǎng)絡拓撲B、系統(tǒng)密碼應用需求分析C、各安全層面的技術實現(xiàn)方案D、安全與和合規(guī)性分析答案：ABCD解析：

暫無解析7.《商用密碼應用安全性評估報告模板（2023版）》中在描述安全控制措施時，需要注意的事項有()。(1分)A、安全控制措施需要包括四個密碼應用技術層面和四個密碼應用管理方面的內(nèi)容B、如果相關保護對象未采用密碼技術措施，那么也需要概括總結相關的風險替代措施C、安全控制措施描述需要結合信息系統(tǒng)的密碼應用部署圖D、系統(tǒng)密碼應用部署圖中需要包含密碼應用方案中涉及的所有密碼產(chǎn)品（冗余配置的除外）和服務答案：ABCD解析：

暫無解析8.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，下列關于密碼應用方案密評報告和信息系統(tǒng)密評報告的說法中，錯誤的是（）。(1分)A、根據(jù)“三同步一評估”的要求，在規(guī)劃階段，評估對象是信息系統(tǒng)的密碼應用方案，在建設和運行階段，評估對象是實際的信息系統(tǒng)B、密碼應用方案密評的評估結論中，可能存在“通過”和“不通過”判定，也可能存在“修改后通過”的判定C、在對密碼應用方案進行密評時，如初步量化評估分數(shù)達到了閾值的要求，則方案評估結論即可為“通過”D、信息系統(tǒng)密評報告中的“檢測結果記錄”中，“安全管理”層面的測評單元得分僅可能為1分、0.5分和0分答案：BC解析：

暫無解析9.如果發(fā)現(xiàn)被測信息系統(tǒng)采用對稱密碼體制，使用“密鑰加密密鑰-數(shù)據(jù)密鑰”的二層密鑰體系進行數(shù)據(jù)的傳輸加密，以下測評實施合理的包括（）。(1分)A、檢查密鑰加密密鑰分發(fā)時是否抗截取、篡改、假冒等攻擊B、檢查密鑰加密密鑰分發(fā)時密鑰的機密性、完整性等C、檢查數(shù)據(jù)密鑰分發(fā)時是否抗截取、篡改、假冒等攻擊D、檢查數(shù)據(jù)密鑰分發(fā)時密鑰的機密性、完整性等答案：ABCD解析：

暫無解析10.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，系統(tǒng)概述部分需要結合系統(tǒng)網(wǎng)絡拓撲圖描述（）。(1分)A、物理機房的個數(shù)及其所在具體位置B、網(wǎng)絡邊界劃分以及與其他系統(tǒng)的互聯(lián)關系C、跨網(wǎng)絡訪問的通信信道D、設備組成及實現(xiàn)功能答案：ABCD解析：

暫無解析11.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在方案密評報告中，以下可判定某指標的評估結果為“通過”的情況有（）。(1分)A、該指標涉及的所有保護對象不涉及高風險B、該指標涉及的所有保護對象的風險替代措施均有效C、該指標涉及的所有保護對象的密碼應用措施均有效，不涉及高風險，且方案中描述的實施保障措施合理D、該指標涉及的所有保護對象的風險替代措施均有效，不涉及高風險，且方案中描述的實施保障措施合理答案：CD解析：

暫無解析12.某四級信息系統(tǒng)的責任單位可采用以下（）機制以滿足“人員管理”方面的要求。(1分)A、設置密鑰管理員、密碼安全審計員、密碼操作員并分別由甲、乙、丙三人擔任B、關鍵崗位人員由機構內(nèi)部人員擔任，并在任前進行背景調(diào)查C、建立上崗人員培訓制度，對涉及密碼的操作和管理人員進行專門培訓D、建立人員保密和調(diào)離制度，簽訂保密合同答案：BCD解析：

暫無解析13.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，方案評估報告在“管理制度”方面，關注重點通常包括（）。(1分)A、安全管理制度類文檔B、密碼應用方案C、密鑰管理制度及策略類文檔D、系統(tǒng)相關人員答案：ABCD解析：

暫無解析14.測評人員在核查“傳輸機密性”密碼功能時，可能需要關注以下內(nèi)容（）。(1分)A、重要數(shù)據(jù)或鑒別信息是否為密文B、密文數(shù)據(jù)長度是否符合預期C、相關密碼產(chǎn)品中密鑰類型D、相關密碼產(chǎn)品中密碼算法類型答案：ABCD解析：

暫無解析15.某三級信息系統(tǒng)已運行5年，針對“建設運行”部分的“定期開展密碼應用安全性評估及攻防對抗演習”指標開展測評時，以下（）可以作為測評證據(jù)。(1分)A、上一次的密評報告B、攻防對抗演習報告C、對上一次密評過程中存在的問題進行整改的文件D、等級保護測評報告答案：ABC解析：

暫無解析判斷題（總共35題）1.測評人員在對某四級信息系統(tǒng)進行測評時，核實該信息系統(tǒng)所屬機構建立了密碼應用崗位責任制度，設置了密鑰管理員、密碼安全審計員、密碼操作員，其中密鑰管理員和密碼安全審計員均由被測系統(tǒng)所屬機構內(nèi)部人員擔任，密碼操作員由被測系統(tǒng)承包商擔任，且密碼安全審計員與密鑰管理員、密碼操作員為不同人員，因此針對“人員管理”層面的“建立密碼應用崗位責任制度”指標可以判定為符合。(1分)A、正確B、錯誤答案：B解析：

暫無解析2.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，針對選定的密評指標，方案密評報告評估結果為“通過/未通過”，系統(tǒng)密評報告的評估結果為“符合/部分符合/不符合/不適用”。(1分)A、正確B、錯誤答案：B解析：

暫無解析3.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在密碼應用方案密評報告中，不適用指標的合計項數(shù)中不應計入存在部分保護對象不適用情況的測評項。(1分)A、正確B、錯誤答案：A解析：

暫無解析4.在進行測評時，發(fā)現(xiàn)某系統(tǒng)的主密鑰采用知識拆分的方式進行導出，但是在做密鑰分片存儲時，使用同一個人的同一個智能密碼鑰匙進行保存，這種方式是不安全的。(1分)A、正確B、錯誤答案：A解析：

暫無解析5.在密評中發(fā)現(xiàn)，信息系統(tǒng)采用一臺服務器密碼機實現(xiàn)對數(shù)據(jù)加密密鑰的管理，但該密碼機對應的產(chǎn)品認證證書在測評時已過期（該密碼機采購時間在認證證書有效期內(nèi)）。針對這種情形，“密鑰管理安全性”一定是“不符合”。(1分)A、正確B、錯誤答案：B解析：

暫無解析6.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，方案評估報告中給出的評估結論僅對報告所附《XXX系統(tǒng)密碼應用方案》的內(nèi)容有效。(1分)A、正確B、錯誤答案：A解析：

暫無解析7.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，如果信息系統(tǒng)密碼應用方案中針對各個層面的保護對象的安全控制措施評估結果為“通過”,那么該系統(tǒng)的密評結果一定是“符合”。(1分)A、正確B、錯誤答案：B解析：

暫無解析8.某二級信息系統(tǒng)于2019年進行規(guī)劃并有密碼應用方案且方案通過評估，2020年建設完成后投入運行，2021年開展首次密評，測評人員在測評時僅以該系統(tǒng)在投入運行前未進行密碼應用安全性評估為由，對“建設運行”層面的“投入運行前進行密碼應用安全性評估”指標判定為“不符合”。(1分)A、正確B、錯誤答案：B解析：

暫無解析9.因通信鏈路上可能承載多個不同應用，這些應用可能需要對各自的用戶實施更細粒度的身份標記和鑒別，因此，網(wǎng)絡和通信安全層面的鑒別一般情況下不能替代其他層面的鑒別。(1分)A、正確B、錯誤答案：A解析：

暫無解析10.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，對于密碼應用方案已通過評估的系統(tǒng)，密評時應把方案作為測評的重要依據(jù)。(1分)A、正確B、錯誤答案：A解析：

暫無解析11.某三級信息系統(tǒng)在密碼應用方案中針對物理和環(huán)境安全給出的安全控制措施為：信息系統(tǒng)所在物理機房使用門禁ID卡+指紋識別的方式對進入機房人員進行身份鑒別，同時機房外有24小時專人值守，并在機房內(nèi)外部署了視頻監(jiān)控系統(tǒng)。根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，針對物理和環(huán)境安全層面的“身份鑒別”指標的安全控制措施評估結果為“通過”。(1分)A、正確B、錯誤答案：A解析：

暫無解析12.測評人員在對某三級信息系統(tǒng)的人員管理中的“建立密碼應用崗位責任制度”測評時發(fā)現(xiàn)，該信息系統(tǒng)根據(jù)密碼應用的實際情況，設置甲、乙、丙三人分別擔任密鑰管理員、密碼安全審計員、密碼操作員，并建立了崗位責任制度、確定了各自的崗位職責，設備與系統(tǒng)的管理和使用人員都有各自單獨的賬號。因此，該測評項可以給1分。(1分)A、正確B、錯誤答案：B解析：

暫無解析13.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在密碼應用方案密評報告和信息系統(tǒng)密評報告中，均需體現(xiàn)被測系統(tǒng)的網(wǎng)絡安全等級保護定級備案名稱、備案時間及等保定級備案證明。(1分)A、正確B、錯誤答案：A解析：

暫無解析14.只需要對口令進行HMAC-SM3計算，就可以保證口令不被替換，實現(xiàn)實體與口令的綁定。(1分)A、正確B、錯誤答案：B解析：

暫無解析15.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在密碼應用方案密評報告中，僅在報告中體現(xiàn)密評機構針對系統(tǒng)責任單位編寫的密碼應用方案進行密評的合規(guī)性判定情況即可，無需附上密碼應用方案。(1分)A、正確B、錯誤答案：B解析：

暫無解析16.由于防火墻、邊界路由器屬于網(wǎng)絡安全產(chǎn)品范疇，在密評時通常不考慮作為測評對象。所以“網(wǎng)絡邊界訪問控制信息的完整性”測評指標的核查只需要確認VPN網(wǎng)關中相應的安全機制即可。(1分)A、正確B、錯誤答案：B解析：

暫無解析17.測評人員在對某三級信息系統(tǒng)測評時，發(fā)現(xiàn)該信息系統(tǒng)運行過程中未發(fā)生任何密碼應用安全事件，因此將GB/T39786中管理要求的“應急處置”相關指標列為不適用。(1分)A、正確B、錯誤答案：B解析：

暫無解析18.某二級信息系統(tǒng)除了災備機房外，其中一部分部署在被測系統(tǒng)單位內(nèi)機房，另一部分部署在云平臺（由運營商托管），那么針對“物理和環(huán)境安全”層面的測評對象僅涉及災備機房和被測系統(tǒng)單位內(nèi)機房。(1分)A、正確B、錯誤答案：B解析：

暫無解析19.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，應用和數(shù)據(jù)安全層面需要進一步梳理各個應用的保護對象（如應用用戶、重要數(shù)據(jù)）及保護對象的相應安全需求。(1分)A、正確B、錯誤答案：A解析：

暫無解析20.公鑰必須保護其與實體的綁定關系，對稱密鑰沒有這種必要，因此在測評時，主要關注的是對稱密鑰的機密性和完整性。(1分)A、正確B、錯誤答案：B解析：

暫無解析21.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，方案評估結論不能作為運行系統(tǒng)的評估結論。(1分)A、正確B、錯誤答案：A解析：

暫無解析22.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，針對應用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸完整性”指標，如果未采用密碼應用措施，那么針對該指標的安全控制措施評估結果一定是“未通過”。(1分)A、正確B、錯誤答案：B解析：

暫無解析23.根據(jù)《商用密碼應用安全性評估報告模板（2023版）》，在密碼應用方案中對指標適用情況及論證說明時，應對不適用部分做出相應的原因論述，體現(xiàn)出能夠降低風險的措施。(1分)A、正確B、錯誤答案：A解析：

暫無解析24.根據(jù)《商