第頁密評(píng)答案含解析復(fù)習(xí)測(cè)試卷附答案1.某信息系統(tǒng)基于OpenSSL軟件實(shí)現(xiàn)的RSA-2048算法，對(duì)用戶登錄口令的傳輸機(jī)密性進(jìn)行保護(hù)。根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，該信息系統(tǒng)在應(yīng)用和數(shù)據(jù)安全層面的身份鑒別的量化評(píng)估結(jié)果為（）。A、0B、0.25C、0.5D、1【正確答案】：B解析：

RSA-2048能實(shí)現(xiàn)傳輸機(jī)密性有效性D符合，密碼算法/技術(shù)合規(guī)性A不符合，密鑰管理安全K不符合，分值為0.252.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，密鑰更新環(huán)節(jié)可能會(huì)對(duì)密鑰安全造成安全隱患的是（）。A、按照制定的密鑰生命周期的安全管理策略執(zhí)行B、未建立密鑰已泄露或存在泄露風(fēng)險(xiǎn)時(shí)的密鑰更新機(jī)制C、在更新密鑰過程中，填寫相關(guān)表格進(jìn)行記錄D、密鑰定期備份【正確答案】：B解析：

《高風(fēng)險(xiǎn)判定指引》附錄A3.根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，各安全層面的量化結(jié)果的小數(shù)處理采取的方法是（）。A、向上取整B、向下取整C、直接舍棄D、四舍五入【正確答案】：D解析：

四舍五入，取小數(shù)點(diǎn)后4位4.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下屬于信息系統(tǒng)密評(píng)報(bào)告“密評(píng)活動(dòng)有效性證明記錄”中“密評(píng)委托證明”中需要體現(xiàn)的內(nèi)容的是（）A、現(xiàn)場(chǎng)測(cè)評(píng)授權(quán)書B、風(fēng)險(xiǎn)告知書C、與密評(píng)機(jī)構(gòu)簽訂的合同掃描件D、差旅票證【正確答案】：C解析：

主要指合同、任務(wù)書或其他委托證明文件掃描件，文件內(nèi)容、頁數(shù)過多的，只需提供服務(wù)內(nèi)容、收費(fèi)金額、簽字蓋章等關(guān)鍵頁。運(yùn)營(yíng)者自行開展密評(píng)的，無須提供。5.對(duì)信息系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面測(cè)評(píng)時(shí)，針對(duì)日志記錄完整性的測(cè)評(píng)對(duì)象包括應(yīng)用系統(tǒng)、密碼產(chǎn)品、技術(shù)文檔和（）。A、安全審計(jì)員B、系統(tǒng)管理員C、系統(tǒng)操作員D、保密員【正確答案】：A解析：

大白書285頁6.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在（）的情況下，引用密評(píng)報(bào)告結(jié)論時(shí)可對(duì)其相關(guān)內(nèi)容進(jìn)行修改。A、任何情況都不允許B、系統(tǒng)發(fā)生變動(dòng)C、委托方授權(quán)D、測(cè)評(píng)機(jī)構(gòu)同意【正確答案】：A解析：

在任何情況下，若需引用本報(bào)告中的評(píng)估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。7.下列Wireshark過濾表達(dá)式（）可以捕獲所有發(fā)往或來自IP地址00的HTTPS流量。A、http.host==00B、ip.addr==00&&tcp.port==443C、http.request.method=="GET"&&ip.addr==00D、ip.addr==00&&tcp.port==80【正確答案】：B8.密評(píng)人員在對(duì)關(guān)鍵設(shè)備進(jìn)行現(xiàn)場(chǎng)檢查時(shí)，測(cè)評(píng)工具接入被測(cè)信息系統(tǒng)條件不成熟，測(cè)評(píng)方應(yīng)（）。A、模擬被測(cè)信息系統(tǒng)搭建測(cè)評(píng)環(huán)境獲取測(cè)評(píng)數(shù)據(jù)B、與被測(cè)單位協(xié)商、配合，生成必要的離線數(shù)據(jù)C、告知被測(cè)單位風(fēng)險(xiǎn)后，接入被測(cè)系統(tǒng)獲取真實(shí)數(shù)據(jù)D、將該測(cè)評(píng)項(xiàng)做不適用處理【正確答案】：A9.對(duì)數(shù)字證書格式進(jìn)行分析時(shí)，無法獲得的信息是（）。A、CA對(duì)該證書的簽名算法B、該證書的有效日期C、該證書的用途D、該證書是否被撤銷等有效狀態(tài)【正確答案】：D解析：

數(shù)字證書也稱公鑰證書,在證書中包含公鑰持有者信息、公開密鑰、有效期、擴(kuò)展信息以及由CA對(duì)這些信息進(jìn)行的數(shù)字簽名10.某三級(jí)信息系統(tǒng)的重要數(shù)據(jù)包括用戶口令、日志信息、業(yè)務(wù)數(shù)據(jù)，這三類數(shù)據(jù)的存儲(chǔ)機(jī)密性量化評(píng)估分值分別為0.25、0.5、0.25，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的測(cè)評(píng)單元得分為（）。A、0.3333B、1C、0.5D、0.25【正確答案】：A11.根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，對(duì)某四級(jí)信息系統(tǒng)進(jìn)行量化評(píng)時(shí)，物理和環(huán)境安全層面身份鑒別、電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性、視頻記錄數(shù)據(jù)存儲(chǔ)完整性三個(gè)測(cè)評(píng)單元得分分別為0.5分、0.5分、0.5分，則該層面量化評(píng)估的最終得分為（）。A、0.6296B、0.6667C、0.8333D、0.5【正確答案】：D解析：

量化評(píng)估表2，權(quán)重為1、0.7、0.7。12.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下哪項(xiàng)信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對(duì)象（）。A、交換機(jī)B、機(jī)房C、密碼設(shè)備D、服務(wù)器【正確答案】：A解析：

參考商用密碼應(yīng)用安全性評(píng)估FAQ（第二版）中中6.設(shè)備和計(jì)算安全層面的測(cè)評(píng)對(duì)象描述：交換機(jī)、網(wǎng)閘、防火墻、WAF等未使用密碼功能的網(wǎng)絡(luò)設(shè)備、安全設(shè)備一般不作為設(shè)備和計(jì)算安全層面的測(cè)評(píng)對(duì)象。需要注意若存在管理通道跨越邊界的情況，需在網(wǎng)絡(luò)和通信安全層面梳理一條遠(yuǎn)程管理數(shù)據(jù)傳輸通道作為測(cè)評(píng)對(duì)象。13.具有商用密碼產(chǎn)品認(rèn)證證書的密碼產(chǎn)品，且實(shí)際部署與認(rèn)證通過時(shí)的狀態(tài)一致的情況下，對(duì)密碼產(chǎn)品可以直接判定為符合的指標(biāo)是（）。A、身份鑒別B、系統(tǒng)資源訪問控制信息完整性C、日志記錄完整性D、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實(shí)性【正確答案】：D解析：

不確定14.某三級(jí)信息系統(tǒng)在測(cè)評(píng)過程中發(fā)現(xiàn)物理和環(huán)境安全層面不適用，網(wǎng)絡(luò)和通信安全層面為0.625，設(shè)備和計(jì)算安全層面分值為0.4，應(yīng)用和數(shù)據(jù)安全層面分值為0.5，安全管理四個(gè)層面分值均為1，根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，則該系統(tǒng)整體量化評(píng)估結(jié)果為（）。A、61.5B、68.3333C、68.33D、83.33【正確答案】：C解析：

整體量化評(píng)估取小數(shù)點(diǎn)后兩位15.根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，某三級(jí)網(wǎng)銀系統(tǒng)用戶通過智能密碼鑰匙（經(jīng)檢測(cè)認(rèn)證的二級(jí)密碼模塊）使用美國(guó)GlobalSign頒發(fā)的SHA-256WtihRSA-2048算法數(shù)字證書登錄網(wǎng)銀系統(tǒng)，則該測(cè)評(píng)對(duì)象分值最合理的是為（）。A、0B、0.25C、0.5D、1【正確答案】：C解析：

D/A/K的A不符合16.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)采用密碼技術(shù)實(shí)現(xiàn)數(shù)據(jù)完整性和機(jī)密性保護(hù)，說法錯(cuò)誤的是（）。A、業(yè)務(wù)系統(tǒng)中對(duì)身份證號(hào)、手機(jī)號(hào)等重要個(gè)人信息不應(yīng)采用雜湊算法保證其機(jī)密性B、數(shù)據(jù)完整性保護(hù)主要基于雜湊算法或數(shù)字簽名算法實(shí)現(xiàn)C、數(shù)據(jù)機(jī)密性主要基于對(duì)稱或非對(duì)稱密碼算法實(shí)現(xiàn)D、數(shù)據(jù)完整性和機(jī)密性應(yīng)使用相同的密碼算法實(shí)現(xiàn)【正確答案】：D17.SSLVPN設(shè)備采用HTTPS協(xié)議進(jìn)行管理（TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384），依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)遠(yuǎn)程管理通道安全測(cè)評(píng)指標(biāo)的結(jié)果判定最合理的是（）。A、符合B、部分符合C、不適用D、不符合【正確答案】：B解析：

非國(guó)產(chǎn)18.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，應(yīng)用系統(tǒng)在身份鑒別方面，可能存在高風(fēng)險(xiǎn)的是（）。A、使用了基于國(guó)產(chǎn)密碼算法的USBKey實(shí)現(xiàn)用戶身份的鑒別B、采用的密碼產(chǎn)品具有商用密碼產(chǎn)品認(rèn)證證書C、用戶身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制正確且有效D、用戶口令使用SM3密碼算法處理后存儲(chǔ)【正確答案】：D19.密評(píng)過程中，采用端口掃描主要用于探測(cè)和識(shí)別被測(cè)信息系統(tǒng)中的VPN、服務(wù)器密碼機(jī)、數(shù)據(jù)庫服務(wù)器等設(shè)備開放的端口服務(wù)。IPSecVPN中通常為了穿透NAT設(shè)備會(huì)開放UDP端口號(hào)（）。A、500B、450C、4500D、5000【正確答案】：C20.對(duì)于數(shù)據(jù)庫中的重要業(yè)務(wù)數(shù)據(jù)存儲(chǔ)完整性保護(hù)，使用SM3算法進(jìn)行保護(hù)，判定為（）。A、符合B、部分符合C、不符合D、采取了風(fēng)險(xiǎn)緩解措施【正確答案】：C21.國(guó)家密碼管理局發(fā)布《關(guān)于規(guī)范商用密碼應(yīng)用安全性評(píng)估結(jié)果備案工作的通知》，進(jìn)一步規(guī)范了商用密碼應(yīng)用安全性評(píng)估結(jié)果備案相關(guān)工作。通知中要求，各地區(qū)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者應(yīng)當(dāng)在密評(píng)報(bào)告出具之日起（）日內(nèi)，填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評(píng)備案信息表》，連同密評(píng)報(bào)告報(bào)密碼管理部門備案。A、10B、30C、60D、90【正確答案】：B解析：

《通知》提出，落實(shí)《密碼法》及國(guó)家商用密碼管理相關(guān)要求，進(jìn)一步規(guī)范商用密碼應(yīng)用安全性評(píng)估結(jié)果備案相關(guān)工作?！锻ㄖ芬?，各地區(qū)網(wǎng)絡(luò)與信息系統(tǒng)運(yùn)營(yíng)者應(yīng)當(dāng)在密評(píng)報(bào)告出具之日起30日內(nèi)，填寫《網(wǎng)絡(luò)與信息系統(tǒng)密評(píng)備案信息表》，連同密評(píng)報(bào)告報(bào)網(wǎng)絡(luò)與信息系統(tǒng)所在地省級(jí)密碼管理部門備案。22.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在編制系統(tǒng)密評(píng)報(bào)告整體測(cè)評(píng)章節(jié)時(shí)，以下情況處理得當(dāng)?shù)氖牵ǎ、設(shè)備和計(jì)算安全層面中，堡壘機(jī)“系統(tǒng)資源訪問控制信息完整性”和“日志記錄完整性”保護(hù)采用通用操作系統(tǒng)自身安全機(jī)制實(shí)現(xiàn)，但如果堡壘機(jī)“身份鑒別”判定結(jié)果為“符合”，那么通過單元間的彌補(bǔ)后，前兩項(xiàng)測(cè)評(píng)單元的判定結(jié)果可修正為“符合”B、某省中心系統(tǒng)有與市中心系統(tǒng)業(yè)務(wù)交互需求，在應(yīng)用和數(shù)據(jù)安全層面未采用密碼技術(shù)對(duì)重要數(shù)據(jù)傳輸機(jī)密性保護(hù)。但采用了符合要求的密碼技術(shù)對(duì)網(wǎng)絡(luò)通信信道進(jìn)行保護(hù)，且網(wǎng)絡(luò)和通信安全層面測(cè)評(píng)指標(biāo)的測(cè)評(píng)結(jié)果為符合。則“重要數(shù)據(jù)傳輸機(jī)密性”測(cè)評(píng)結(jié)果可修正為“符合”，彌補(bǔ)后分值為1分C、某系統(tǒng)的設(shè)備遠(yuǎn)程管理路徑為：管理員終端->SSLVPN網(wǎng)關(guān)->通用設(shè)備（靜態(tài)口令登錄）。所以只要終端到SSLVPN網(wǎng)關(guān)之間建立起基于國(guó)密SSL協(xié)議的網(wǎng)絡(luò)通信通道，則通用設(shè)備“身份鑒別”測(cè)評(píng)單元可以由“不符合”彌補(bǔ)為“部分符合”，最高得0.5分D、某第三方支付平臺(tái)和銀行有業(yè)務(wù)交互需求，在網(wǎng)絡(luò)和通信安全層面未采用密碼技術(shù)建立安全傳輸信道，通信報(bào)文的傳輸機(jī)密性無法得到保障。但在“應(yīng)用和數(shù)據(jù)安全”層面，采用了符合要求的密碼技術(shù)對(duì)重要數(shù)據(jù)傳輸機(jī)密性進(jìn)行保護(hù)，且加密后的數(shù)據(jù)流能夠覆蓋網(wǎng)絡(luò)通信信道。則“通信過程中重要數(shù)據(jù)的機(jī)密性”測(cè)評(píng)結(jié)果可以得到一定彌補(bǔ)【正確答案】：D23.某機(jī)關(guān)辦公OA信息系統(tǒng)面向機(jī)關(guān)內(nèi)所有辦公人員提供服務(wù)，信息系統(tǒng)系統(tǒng)通過管理員進(jìn)行運(yùn)行維護(hù)。經(jīng)測(cè)評(píng)，如果辦公人員身份鑒別判定為不符合，管理員身份鑒別判定為符合，針對(duì)應(yīng)用和數(shù)據(jù)層面的“身份鑒別”測(cè)評(píng)單元，最終判定結(jié)果為（）。A、部分符合B、符合C、不符合D、不適用【正確答案】：A24.密評(píng)過程中對(duì)網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)進(jìn)行分析時(shí)，IKEAttribute顯示算法ID為2，那么該協(xié)議所使用的公鑰算法算法是（）。A、RSA-1024B、SM2C、SM9D、RSA-2048【正確答案】：B25.某信息系統(tǒng)部署了服務(wù)器C三臺(tái)服務(wù)器，三臺(tái)服務(wù)器為同一批次購買，生產(chǎn)廠商、型號(hào)和操作系統(tǒng)版本等都相同，購買后，A和B的操作系統(tǒng)升級(jí)為了相同的版本，則（）。A、C作為3個(gè)不同的測(cè)評(píng)對(duì)象B、A和B作為一個(gè)測(cè)評(píng)對(duì)象，C為另一個(gè)測(cè)評(píng)對(duì)象C、ABC作為一個(gè)測(cè)評(píng)對(duì)象D、A和C作為一個(gè)測(cè)評(píng)對(duì)象，B為另一個(gè)測(cè)評(píng)對(duì)象【正確答案】：B解析：

faq726.在密評(píng)時(shí)，以下密碼算法/技術(shù)的組合（）認(rèn)為存在高危風(fēng)險(xiǎn)。A、對(duì)數(shù)據(jù)進(jìn)行RSA-3072和SHA-1簽名B、對(duì)數(shù)據(jù)進(jìn)行DES加密后，再進(jìn)行SM4加密C、對(duì)數(shù)據(jù)進(jìn)行HMAC-SHA256保護(hù)D、對(duì)數(shù)據(jù)進(jìn)行SM2和SM3簽名【正確答案】：A解析：

《商用密碼應(yīng)用安全性評(píng)估高風(fēng)險(xiǎn)判定指引》采用存在安全問題或安全強(qiáng)度不足的密碼算法對(duì)重要數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法；27.某三級(jí)信息系統(tǒng)部署在云平臺(tái)上，則承載該信息系統(tǒng)的云平臺(tái)的安全保護(hù)等級(jí)不低于第（）級(jí)。A、一B、二C、三D、四【正確答案】：C28.在某個(gè)政務(wù)三級(jí)信息系統(tǒng)的設(shè)備和計(jì)算層面測(cè)評(píng)過程中，發(fā)現(xiàn)采用了具有商用密碼產(chǎn)品認(rèn)證證書的SSLVPN設(shè)備，根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，該測(cè)評(píng)對(duì)象“系統(tǒng)資源訪問控制信息完整性”的量化結(jié)果為（）。A、0B、0.5C、1D、不確定【正確答案】：C解析：

依據(jù)FAQ9.1，在確認(rèn)密碼產(chǎn)品具有合格的商用密碼產(chǎn)品認(rèn)證證書,且可以確定實(shí)際部署的密碼產(chǎn)品與獲認(rèn)證產(chǎn)品一致的情況下，考慮到密碼產(chǎn)品功能確定且自身安全防護(hù)能力較高，針對(duì)整機(jī)類密碼產(chǎn)品在設(shè)備和計(jì)算安全層面的“系統(tǒng)資源訪問控制信息完整性””“日志記錄完整性”“重要可執(zhí)行程序完整性、重要可執(zhí)行程序來源真實(shí)性”這三個(gè)指標(biāo)，可判定為符合。但是，針對(duì)整機(jī)類密碼產(chǎn)品的“身份鑒別”指標(biāo)不能直接判定為符合，還需要進(jìn)一步實(shí)地查看密碼產(chǎn)品是否采用了密碼技術(shù)(如智能IC卡、智能密碼鑰匙、動(dòng)態(tài)口令等)、是否按照密碼產(chǎn)品使用要求對(duì)登錄設(shè)備的用戶等進(jìn)行身份鑒別，從而保證用戶身份的真實(shí)性。1.某信息系統(tǒng)包括前臺(tái)應(yīng)用系統(tǒng)和后臺(tái)管理系統(tǒng)，通過互聯(lián)網(wǎng)或企業(yè)內(nèi)網(wǎng)使用瀏覽器訪問前臺(tái)應(yīng)用系統(tǒng)，則網(wǎng)絡(luò)和通信安全層面的測(cè)評(píng)對(duì)象有哪些（）。A、互聯(lián)網(wǎng)瀏覽器與前臺(tái)應(yīng)用系統(tǒng)之間的通信信道B、互聯(lián)網(wǎng)瀏覽器與后臺(tái)管理系統(tǒng)之間的通信信道C、企業(yè)內(nèi)網(wǎng)瀏覽器與前臺(tái)應(yīng)用系統(tǒng)之間的通信信道D、企業(yè)內(nèi)網(wǎng)瀏覽器與后臺(tái)管理系統(tǒng)之間的通信信道【正確答案】：ABCD2.由于密碼技術(shù)的安全依賴于密鑰安全，因此密鑰的安全管理是密碼技術(shù)應(yīng)用中非常重要的環(huán)節(jié)，下列屬于密鑰管理環(huán)節(jié)的是（）。A、使用B、更新C、歸檔D、銷毀【正確答案】：ABCD3.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，通用要求“密碼產(chǎn)品和密碼服務(wù)”中，密碼產(chǎn)品存在可能導(dǎo)致高風(fēng)險(xiǎn)的問題有（）。A、密碼產(chǎn)品在使用時(shí)未按照產(chǎn)品的安全策略文檔部署和使用B、不具有商用密碼產(chǎn)品認(rèn)證證書C、密碼服務(wù)提供商不具有相關(guān)資質(zhì)D、密碼廠商自研一套軟件密碼模塊，但無法提供該密碼產(chǎn)品的安全性證明結(jié)論【正確答案】：ABCD4.網(wǎng)絡(luò)和通信安全層面的通信主體一般包括哪些（）。A、瀏覽器與web服務(wù)端B、APP與后臺(tái)服務(wù)端C、IPSecVPN與IPSecVPND、瀏覽器與SSLVPN【正確答案】：ABCD5.某信息系統(tǒng)中部署了IPSecVPN對(duì)網(wǎng)絡(luò)信道進(jìn)行保護(hù)，通過分析信道中的IPSec協(xié)議數(shù)據(jù)，可以獲取的信息是（）。A、ISAKMP主模式中的簽名證書B、ISAKMP主模式中的加密證書C、ISAKMP快速模式中的載荷（除ISAKMP頭外）D、ISAKMP主模式中響應(yīng)方生成的臨時(shí)密鑰【正確答案】：ABD解析：

通過分析IPSec協(xié)議數(shù)據(jù)只能獲取有關(guān)網(wǎng)絡(luò)通信的元數(shù)據(jù)信息，而無法獲取有效載荷中的具體內(nèi)容，因?yàn)镮PSec協(xié)議提供了機(jī)密性保護(hù)。要獲取有效載荷內(nèi)部的具體數(shù)據(jù)，需要在端點(diǎn)設(shè)備上進(jìn)行解密和解封裝，才能獲得詳細(xì)的通信內(nèi)容。6.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，不同安全層面指標(biāo)的安全控制措施的評(píng)估結(jié)果可能是（）。A、通過B、未通過C、符合D、不符合【正確答案】：AB解析：

參考商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(2023版)—方案密評(píng)報(bào)告中3.安全控制措施評(píng)估結(jié)果：針對(duì)密碼應(yīng)用方案中各個(gè)安全層面保護(hù)對(duì)象所采取的安全控制措施（包含密碼應(yīng)用措施和/或風(fēng)險(xiǎn)替代措施）按指標(biāo)進(jìn)行評(píng)估，如表5所示。若指標(biāo)涉及的所有保護(hù)對(duì)象的相應(yīng)安全控制措施有效（不存在高風(fēng)險(xiǎn)），且方案中描述的實(shí)施保障措施合理，則該指標(biāo)的評(píng)估結(jié)果為通過；否則，該指標(biāo)的評(píng)估結(jié)果為未通過。注：系統(tǒng)密評(píng)報(bào)告中無“安全控制措施”7.某信息系統(tǒng)部署了SSLVPN對(duì)設(shè)備運(yùn)維進(jìn)行保護(hù)，系統(tǒng)也部署了防火墻進(jìn)行網(wǎng)絡(luò)訪問控制，則該運(yùn)維通信信道的網(wǎng)絡(luò)邊界訪問控制信息測(cè)評(píng)單元的測(cè)評(píng)方法包括（）。A、核查SSLVPN的商用密碼產(chǎn)品認(rèn)證證書B、如果SSLVPN合規(guī)，則無需核查網(wǎng)絡(luò)邊界訪問控制信息完整性的密碼實(shí)現(xiàn)技術(shù)C、如果SSLVPN不合規(guī)，則需核查網(wǎng)絡(luò)邊界訪問控制信息完整性的密碼實(shí)現(xiàn)技術(shù)D、核查防火墻的商用密碼產(chǎn)品認(rèn)證證書【正確答案】：ABC8.某信息系統(tǒng)在密碼應(yīng)用方案中明確了需要對(duì)注冊(cè)用戶的手機(jī)號(hào)進(jìn)行機(jī)密性保護(hù)，可以采用的密碼算法包括（）。A、DESB、SM2C、SM3D、SM4【正確答案】：BCD解析：

SM3可以實(shí)現(xiàn)機(jī)密性保護(hù)。機(jī)密性：信息的保密性是指保證信息不被泄露給非授權(quán)的個(gè)人、進(jìn)程等實(shí)體的性質(zhì)。采用密碼技術(shù)中的加密和解密技術(shù)，可以方便地實(shí)現(xiàn)信息的保密性。9.對(duì)于某個(gè)三級(jí)系統(tǒng)，已知安全管理要求中，管理制度、人員管理、建設(shè)運(yùn)行、應(yīng)急處置的得分均為0.5，根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，以下（）是可能出現(xiàn)且整體結(jié)論正確的。A、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全分別為不適用、不適用、不適用、0.4，總分為45.00分B、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全分別為不適用、不適用、不適用、0.4，總分為27分C、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全分別為不適用、0.6、不適用、0.4，總分為48.75分D、物理和環(huán)境安全、網(wǎng)絡(luò)和通信安全、設(shè)備和計(jì)算安全、應(yīng)用和數(shù)據(jù)安全分別為0.4、不適用、0.4、0，總分為39.00分【正確答案】：AC10.根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，在密碼應(yīng)用技術(shù)層面中，某個(gè)測(cè)評(píng)單元量化評(píng)估結(jié)果可以是（）。A、0.25B、0.3333C、0.5D、1【正確答案】：ABCD11.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中應(yīng)用和數(shù)據(jù)安全層面的保護(hù)對(duì)象應(yīng)重點(diǎn)梳理（）。A、各個(gè)應(yīng)用具有身份鑒別需求的應(yīng)用用戶B、各個(gè)應(yīng)用具有可用性需求的重要數(shù)據(jù)C、各個(gè)應(yīng)用的重要數(shù)據(jù)及對(duì)應(yīng)具體安全需求D、各個(gè)應(yīng)用具有不可否認(rèn)性需求的操作行為【正確答案】：ABCD解析：

參考商用密碼應(yīng)用安全性評(píng)估報(bào)告模板(2023版)—方案密評(píng)報(bào)告中1.系統(tǒng)概述中：表2應(yīng)用和數(shù)據(jù)安全層面保護(hù)對(duì)象描述12.在網(wǎng)絡(luò)和通信安全層面，訪問控制信息主要包括哪些（）。A、部署在網(wǎng)絡(luò)邊界的VPN中的訪問控制列表B、部署在網(wǎng)絡(luò)邊界的防火墻的訪問控制列表C、部署在網(wǎng)絡(luò)邊界的邊界路由的訪問控制列表D、部署在應(yīng)用域的安全網(wǎng)關(guān)的訪問控制信息【正確答案】：ABC解析：

faq1413.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密評(píng)報(bào)告一般應(yīng)在（）蓋章。A、封面和聲明頁B、單元測(cè)評(píng)C、報(bào)告附錄D、報(bào)告騎縫【正確答案】：AD14.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)系統(tǒng)密評(píng)報(bào)告中的風(fēng)險(xiǎn)分析表格描述錯(cuò)誤的是（）。A、風(fēng)險(xiǎn)分析時(shí)可從威脅類型和威脅發(fā)生頻率等方面闡述B、表格中每一行是一個(gè)測(cè)評(píng)對(duì)象的問題描述、關(guān)聯(lián)威脅、風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)等級(jí)C、在網(wǎng)絡(luò)和通信安全層面關(guān)聯(lián)的安全威脅包括“非法設(shè)備從外部接入內(nèi)部網(wǎng)絡(luò)，或網(wǎng)絡(luò)邊界被D、在填寫表格時(shí)，只需要注意識(shí)別出的高風(fēng)險(xiǎn)，無需考慮多個(gè)中低風(fēng)險(xiǎn)疊加而導(dǎo)致的高風(fēng)險(xiǎn)問【正確答案】：BD解析：

具體地，根據(jù)威脅類型和威脅發(fā)生頻率，判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威脅利用的可能性，可能性的取值范圍為高、中和低。根據(jù)資產(chǎn)價(jià)值的高低，判斷測(cè)評(píng)結(jié)果匯總中部分符合項(xiàng)或不符合項(xiàng)所產(chǎn)生的安全問題被威脅利用后，對(duì)被測(cè)系統(tǒng)的業(yè)務(wù)信息安全造成的影響程度，影響程度取值范圍為高、中和低。綜合以上的結(jié)果，密評(píng)機(jī)構(gòu)根據(jù)自身經(jīng)驗(yàn)和相關(guān)國(guó)家標(biāo)準(zhǔn)要求，對(duì)被測(cè)系統(tǒng)面臨的安全風(fēng)險(xiǎn)進(jìn)行賦值，風(fēng)險(xiǎn)值的取值范圍為高、中和低。結(jié)合被測(cè)系統(tǒng)的安全保護(hù)等級(jí)對(duì)風(fēng)險(xiǎn)分析結(jié)果進(jìn)行評(píng)價(jià)，即對(duì)國(guó)家安全、社會(huì)秩序、公共利益以及公民、法人和其他組織的合法權(quán)益造成的風(fēng)險(xiǎn)。如果存在高風(fēng)險(xiǎn)項(xiàng)，則認(rèn)為信息系統(tǒng)面臨高風(fēng)險(xiǎn)；同時(shí)也需要考慮多個(gè)中低風(fēng)險(xiǎn)疊加可能導(dǎo)致的高風(fēng)險(xiǎn)問題。表格：?jiǎn)栴}描述、關(guān)聯(lián)威脅、風(fēng)險(xiǎn)分析、風(fēng)險(xiǎn)等級(jí)15.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在任何情況下，若需引用密評(píng)報(bào)告中的評(píng)估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行（）。A、增加B、修改C、偽造D、掩蓋事實(shí)【正確答案】：ABCD解析：

在任何情況下，若需引用本報(bào)告中的評(píng)估結(jié)果或結(jié)論都應(yīng)保持其原有的意義，不得對(duì)相關(guān)內(nèi)容擅自進(jìn)行增加、修改和偽造或掩蓋事實(shí)。16.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，以下存儲(chǔ)保護(hù)方式會(huì)導(dǎo)致系統(tǒng)在“重要數(shù)據(jù)存儲(chǔ)完整性”方面存在高危風(fēng)險(xiǎn)的有（）。A、使用SHA1WithRSA-2048進(jìn)行數(shù)字簽名B、使用SM3雜湊算法對(duì)數(shù)據(jù)進(jìn)行雜湊計(jì)算，雜湊值與數(shù)據(jù)一同存放C、使用SM4-GCM算法對(duì)數(shù)據(jù)進(jìn)行加密保護(hù)D、使用HMAC-SM3對(duì)數(shù)據(jù)進(jìn)行MAC計(jì)算，但是僅截取MAC的8個(gè)比特進(jìn)行使用【正確答案】：ABD解析：

A：5.1密碼算法，1)使用存在安全問題或安全強(qiáng)度不足的密碼算法對(duì)重要數(shù)據(jù)進(jìn)行保護(hù)，如MD5、DES、SHA-1、RSA（不足2048比特）等密碼算法；B：9.4重要數(shù)據(jù)存儲(chǔ)完整性，2)未采用基于對(duì)稱密碼算法或密碼雜湊算法的消息鑒別碼（MAC）機(jī)制、基于公鑰密碼算法的數(shù)字簽名機(jī)制等密碼技術(shù)對(duì)重要數(shù)據(jù)在存儲(chǔ)過程中進(jìn)行完整性保護(hù)；D：9.4重要數(shù)據(jù)存儲(chǔ)完整性，重要數(shù)據(jù)存儲(chǔ)完整性保護(hù)的密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無效；17.某信息系統(tǒng)中部署的密碼產(chǎn)品有包括SSLVPN、服務(wù)器密碼機(jī)、智能密碼鑰匙等，系統(tǒng)通過堡壘機(jī)對(duì)服務(wù)器進(jìn)行運(yùn)維，通過防火墻（不含密碼功能）對(duì)網(wǎng)絡(luò)進(jìn)行訪問控制，則設(shè)備和計(jì)算安全層的測(cè)評(píng)對(duì)象包括（）。A、服務(wù)器B、服務(wù)器密碼機(jī)C、防火墻（不含密碼功能）D、堡壘機(jī)【正確答案】：ABD解析：

不確定18.對(duì)數(shù)字證書進(jìn)行解析時(shí)，發(fā)現(xiàn)該證書的公鑰對(duì)應(yīng)的類型是0197.1.301，則意味著（）。A、該證書所包含的公鑰是SM2公鑰B、簽發(fā)該證書采用的是SM3withSM2Encryption算法C、頒發(fā)者所使用的公鑰是SM2公鑰D、不考慮編碼，該證書所包括的公鑰長(zhǎng)度應(yīng)為64字節(jié)【正確答案】：AC解析：

1）證書數(shù)據(jù)結(jié)構(gòu)數(shù)字證書使用ASN.1編碼，證書文件以二進(jìn)制或Base64格式存放，數(shù)據(jù)格式使用TLV（TagLengthValue）形式，T代表類型標(biāo)識(shí)符，L是長(zhǎng)度值標(biāo)識(shí)符，V代表值編碼。數(shù)字證書中的每一項(xiàng)都有個(gè)對(duì)應(yīng)的類型T。一個(gè)數(shù)字證書就是一個(gè)大的TLV序列，然后V又由多個(gè)TLV組合而成。SM2證書數(shù)據(jù)和RSA算法證書一樣，包含證書版本、序列號(hào)、頒發(fā)者、使用者主體信息、使用者公鑰、有效期、證書擴(kuò)展項(xiàng)等，只不過SM2證書的公鑰算法是使用ECC算法的Oid標(biāo)識(shí)（1.2.840.10045.2.1），然后公鑰參數(shù)使用SM2國(guó)密算法的Oid標(biāo)識(shí)（0197.1.301）。2）簽名算法SM2證書配套的簽名算法是基于SM3的SM2簽名算法，算法Oid標(biāo)識(shí)為0197.1.501，另外SM2國(guó)密算法還定義基于SHA_1、SHA_256的簽名，以及使用SM3算法的RSA的簽名，只不過簽名算法Oid標(biāo)識(shí)不一樣。3）簽名數(shù)據(jù)SM2的簽名數(shù)據(jù)由2個(gè)BigInteger大數(shù)組成，再使用Der編碼存放簽名數(shù)據(jù)。證書的簽名數(shù)據(jù)由根證書私鑰進(jìn)行簽名，使用根證書公鑰驗(yàn)證，頂級(jí)根證書使用自己的證書公鑰驗(yàn)證。19.在密評(píng)中，當(dāng)IPSecVPN保護(hù)的通道作為測(cè)評(píng)對(duì)象時(shí)，以下測(cè)評(píng)實(shí)施合理的包括（）。A、抓取IPSec通信報(bào)文進(jìn)行分析算法使用情況，以及對(duì)數(shù)字證書開展合規(guī)性分析B、查看IPSecVPN的配置情況C、檢查IPSecVPN等是否具備商用密碼產(chǎn)品認(rèn)證證書D、對(duì)IPSecVPN是否滿足GM/T0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測(cè)認(rèn)證【正確答案】：ABC解析：

《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》附錄B20.密評(píng)過程中，以下能獲取的數(shù)據(jù)是（）。A、SSL協(xié)議通信數(shù)據(jù)B、IPSec協(xié)議通信數(shù)據(jù)C、遠(yuǎn)程管理通道數(shù)據(jù)D、密碼機(jī)內(nèi)的密鑰數(shù)據(jù)明文【正確答案】：ABC21.以下哪些工具可用于密評(píng)工作（）。A、WiresharkB、端口掃描工具C、滲透測(cè)試工具D、逆向分析工具【正確答案】：ABCD22.通過對(duì)網(wǎng)絡(luò)信道中的IPSec協(xié)議數(shù)據(jù)包進(jìn)行分析，密評(píng)人員可以獲得以下哪些信息（）。A、IPSec協(xié)議建立過程中雙方協(xié)商的密碼算法B、IPSec協(xié)議建立過程中雙方的證書C、IPSec協(xié)議建立過程中雙方協(xié)商的會(huì)話密鑰D、IPSec協(xié)議的報(bào)文封裝協(xié)議【正確答案】：ABCD解析：

利用通信協(xié)議分析工具，抓取IPSec協(xié)議IKE階段,解析密碼算法或密碼套件標(biāo)識(shí)。利用協(xié)議分析工具，抓取并解析IPSec協(xié)議IKE階段，IKE，用于鑒別通信雙方身份、創(chuàng)建安全聯(lián)盟(SecurityAssociation,SA)、協(xié)商加密算法以及生成共享會(huì)話密鑰等，其中ISAKMP(Internet安全連接和密鑰管理協(xié)議）是IKE的核心協(xié)議，定義了建立、協(xié)商、修改和刪除SA的過程和報(bào)文格式，并定義了密鑰交換數(shù)據(jù)和身份鑒別數(shù)據(jù)的載荷格式。23.在測(cè)評(píng)時(shí)發(fā)現(xiàn)某信息系統(tǒng)數(shù)據(jù)庫中某數(shù)據(jù)密文長(zhǎng)度為160字節(jié)，則其使用的算法可能為（）。A、SM4B、AES-128C、AES-192DES【正確答案】：ABC解析：

SM4是一種對(duì)稱密鑰算法，其安全性與AES類似，其使用的分組長(zhǎng)度為128位（16字節(jié)），密鑰長(zhǎng)度為128位（16字節(jié)）。對(duì)于普通的單次DES加密操作，密文長(zhǎng)度也為64位（8字節(jié)）。每個(gè)64位的明文分組通過DES算法加密后會(huì)得到一個(gè)對(duì)應(yīng)的64位密文分組。DES分組長(zhǎng)度為8字節(jié)，可被160字節(jié)整除24.依據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，對(duì)于通用要求“密碼技術(shù)”的描述正確的是（）。A、測(cè)評(píng)過程中，在該方面若發(fā)現(xiàn)問題，存在可能的緩解措施B、系統(tǒng)采用了未經(jīng)安全性論證的密碼協(xié)議，可能會(huì)給系統(tǒng)帶來高風(fēng)險(xiǎn)C、使用TLS1.0協(xié)議實(shí)現(xiàn)對(duì)通信信道的保護(hù)，可能會(huì)導(dǎo)致高風(fēng)險(xiǎn)D、信息系統(tǒng)選用密碼技術(shù)時(shí)，需考慮該密碼技術(shù)是否遵循密碼相關(guān)國(guó)家標(biāo)準(zhǔn)和行業(yè)標(biāo)準(zhǔn)【正確答案】：BCD25.某信息系統(tǒng)部署了安全認(rèn)證網(wǎng)關(guān)代理應(yīng)用系統(tǒng)，用戶通過智能密碼鑰匙訪問應(yīng)用系統(tǒng)，下列哪些屬于該訪問應(yīng)用通信信道身份鑒別測(cè)評(píng)單元的測(cè)評(píng)方法（）。A、核查安全認(rèn)證網(wǎng)關(guān)的商用密碼產(chǎn)品認(rèn)證證書B、核查智能密碼鑰匙的商用密碼產(chǎn)品認(rèn)證證書C、通過抓包核查通信過程中的握手協(xié)議D、通過抓包核查通信過程中的記錄協(xié)議【正確答案】：AC解析：

ACB是設(shè)備層的身份鑒別，與網(wǎng)絡(luò)層信道無關(guān)26.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，下列關(guān)于密評(píng)結(jié)果備案的說法中，正確的內(nèi)容包括（）。A、密評(píng)結(jié)果備案的備案主體是信息系統(tǒng)運(yùn)營(yíng)者B、所屬北京市的信息系統(tǒng)的密評(píng)結(jié)果備案材料應(yīng)首先提交到北京市密碼管理部門C、密評(píng)機(jī)構(gòu)應(yīng)每半年填寫一次《密評(píng)機(jī)構(gòu)工作情況統(tǒng)計(jì)表》并報(bào)送國(guó)家密碼管理局D、中央和國(guó)家機(jī)關(guān)有關(guān)部委規(guī)劃建設(shè)的關(guān)鍵信息基礎(chǔ)設(shè)施或者國(guó)家政務(wù)信息系統(tǒng)可以直接將密評(píng)結(jié)果備案材料報(bào)送國(guó)家密碼管理局【正確答案】：BD解析：

密評(píng)結(jié)果備案報(bào)告模版未提及，前提錯(cuò)誤。實(shí)質(zhì)上密評(píng)結(jié)果備案的主體是測(cè)評(píng)機(jī)構(gòu)。備案一般取省級(jí)密碼部門，2023年權(quán)限下放到市級(jí)。27.按照《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在編制密評(píng)報(bào)告的整體測(cè)評(píng)部分時(shí)，需要注意的事項(xiàng)有（）。A、測(cè)評(píng)對(duì)象作為整體測(cè)評(píng)時(shí)彌補(bǔ)的最小單位B、彌補(bǔ)后的測(cè)評(píng)結(jié)果只能是“部分符合”C、彌補(bǔ)后的分?jǐn)?shù)最多0.5分D、彌補(bǔ)后的分?jǐn)?shù)最多0.25分【正確答案】：AC解析：

針對(duì)各個(gè)“部分符合”及“不符合”測(cè)評(píng)指標(biāo)要求的測(cè)評(píng)對(duì)象，若測(cè)評(píng)對(duì)象A彌補(bǔ)了測(cè)評(píng)對(duì)象B的不足，測(cè)評(píng)對(duì)象A的分值為PA，測(cè)評(píng)對(duì)象B的彌補(bǔ)前分值為PB，則測(cè)評(píng)對(duì)象B彌補(bǔ)后的分值為MAX(0.5×PA,PB)，即0.5×PA和PB之間的較大值。28.某四級(jí)信息系統(tǒng)的責(zé)任單位可采用以下（）機(jī)制以滿足“人員管理”方面的要求。A、設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員并分別由甲、乙、丙三人擔(dān)任B、關(guān)鍵崗位人員由機(jī)構(gòu)內(nèi)部人員擔(dān)任，并在任前進(jìn)行背景調(diào)查C、建立上崗人員培訓(xùn)制度，對(duì)涉及密碼的操作和管理人員進(jìn)行專門培訓(xùn)D、建立人員保密和調(diào)離制度，簽訂保密合同【正確答案】：ABCD解析：

《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》6.629.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)“通用要求”部分的理解正確的是（）。A、指標(biāo)要求來自于GB/T39786《信息安全技術(shù)信息系統(tǒng)密碼應(yīng)用基本要求》的通用要求部分B、描述的內(nèi)容適用范圍是從二級(jí)到四級(jí)信息系統(tǒng)C、不存在可能的緩解措施D、若出現(xiàn)相應(yīng)安全問題的情形，則一定會(huì)導(dǎo)致高風(fēng)險(xiǎn)【正確答案】：AC解析：

本文件中判定內(nèi)容由指標(biāo)要求、適用范圍、安全問題、可能的緩解措施和風(fēng)險(xiǎn)評(píng)價(jià)構(gòu)成。其中，指標(biāo)要求源自GB/T39786—2021的部分指標(biāo)，對(duì)于本文件未覆蓋的其他指標(biāo)，仍需核查本文件第5章通用要求中密碼算法、密碼技術(shù)、密碼產(chǎn)品和密碼服務(wù)相關(guān)安全問題是否存在適用范圍：所有級(jí)別信息系統(tǒng)。可能的緩解措施：無。風(fēng)險(xiǎn)評(píng)價(jià)：上述任一安全問題一旦被威脅利用后，可能會(huì)導(dǎo)致信息系統(tǒng)面臨高風(fēng)險(xiǎn)30.證書撤銷列表CRL的數(shù)據(jù)結(jié)構(gòu)中包括（）。A、tbsCertListB、tbsCertificateC、signatureAlgorithmD、signatureValue【正確答案】：ACD解析：

GB/T20518《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》31.對(duì)于托管到IDC機(jī)房的信息系統(tǒng)，測(cè)評(píng)其物理和環(huán)境安全層面，較為合理的做法有（）。A、若IDC機(jī)房通過密評(píng)，則可以復(fù)用該機(jī)房的密評(píng)結(jié)論B、若IDC機(jī)房未通過密評(píng)，對(duì)于條件不允許的情況，可通過IDC機(jī)房運(yùn)維方提供的相關(guān)說明文件和有關(guān)證據(jù)，進(jìn)而給出測(cè)評(píng)結(jié)論C、若IDC機(jī)房未通過密評(píng)，則需要現(xiàn)場(chǎng)測(cè)評(píng)取證，判定該機(jī)房的符合程度D、無論IDC機(jī)房是否通過密評(píng)，由于機(jī)房的責(zé)任主體不屬于該信息系統(tǒng)責(zé)任方，所以該機(jī)房的測(cè)評(píng)結(jié)論應(yīng)是“不適用”【正確答案】：ABC解析：

FAQ2022版如果被測(cè)信息系統(tǒng)所在的IDC機(jī)房、運(yùn)營(yíng)商機(jī)房或云服務(wù)提供商機(jī)房等通過了商用密碼應(yīng)用安全性評(píng)估，則可以復(fù)用商用密碼應(yīng)用安全性評(píng)估報(bào)告中“物理和環(huán)境安全”層面的相關(guān)測(cè)評(píng)結(jié)論；如果被測(cè)信息系統(tǒng)所在的IDC機(jī)房、運(yùn)營(yíng)商機(jī)房或云服務(wù)提供商機(jī)房等未通過或未開展商用密碼應(yīng)用安全性評(píng)估，密評(píng)人員需現(xiàn)場(chǎng)取證，對(duì)于條件不允許的情況，可以要求IDC機(jī)房或云服務(wù)提供商機(jī)房等的運(yùn)維方提供相關(guān)說明文件和證據(jù)以支撐測(cè)評(píng)結(jié)論。32.一個(gè)數(shù)據(jù)的ASN.1編碼如下：{0x02,0x12，……}，那么以下說法正確的是（）。A、這是一個(gè)整數(shù)（INTEGER）B、這是一個(gè)序列（SEQUENCE）C、其實(shí)際數(shù)據(jù)長(zhǎng)度是12字節(jié)D、其實(shí)際數(shù)據(jù)長(zhǎng)度是18字節(jié)【正確答案】：AD33.在《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》中，對(duì)高風(fēng)險(xiǎn)判定，從（）方面進(jìn)行了描述。A、指標(biāo)要求B、適用范圍C、安全問題D、可能的緩解措施和風(fēng)險(xiǎn)評(píng)價(jià)【正確答案】：ABCD34.在測(cè)評(píng)某一信息系統(tǒng)時(shí)，其設(shè)備和計(jì)算安全層面可能涉及的測(cè)評(píng)對(duì)象有（）。A、數(shù)據(jù)庫管理系統(tǒng)B、虛擬機(jī)C、應(yīng)用服務(wù)器D、VPN網(wǎng)關(guān)【正確答案】：ABCD解析：

《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》通用設(shè)備（及其操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)）、網(wǎng)絡(luò)及安全設(shè)備、密碼設(shè)備、各類虛擬設(shè)備，以及提供完整性保護(hù)和來源真實(shí)性功能的密碼產(chǎn)品。35.用戶先通過SSLVPN接入信息系統(tǒng)內(nèi)網(wǎng)，然后再通過瀏覽器登錄系統(tǒng)內(nèi)部應(yīng)用。根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，以下對(duì)該系統(tǒng)風(fēng)險(xiǎn)緩解的描述，合理的有（）。A、用戶通過使用智能密碼鑰匙登錄SSLVPN，經(jīng)測(cè)評(píng)為符合；因此，該應(yīng)用的用戶角色的“身份鑒別”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低B、如果SSLVPN所涉及的通信信道對(duì)應(yīng)的“網(wǎng)絡(luò)和應(yīng)用安全”層面的“身份鑒別”指標(biāo)均為符合，那么應(yīng)用和數(shù)據(jù)安全層面的“身份鑒別”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低C、如果SSLVPN所涉及的通信信道相應(yīng)的“網(wǎng)絡(luò)和應(yīng)用安全”層面的“通信過程中重要數(shù)據(jù)的機(jī)密性”指標(biāo)均為符合，那么應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸機(jī)密性”指標(biāo)的風(fēng)險(xiǎn)可以適當(dāng)降低D、《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》不涉及“網(wǎng)絡(luò)和應(yīng)用安全”層面的“重要數(shù)據(jù)傳輸完整性”指標(biāo)，因此該指標(biāo)不會(huì)存在高風(fēng)險(xiǎn)【正確答案】：ABC1.如果密碼產(chǎn)品有商用密碼產(chǎn)品認(rèn)證證書但認(rèn)證證書已經(jīng)過期，則相應(yīng)密碼應(yīng)用的密鑰管理安全可判為不符合。A、正確B、錯(cuò)誤【正確答案】：B解析：

FAQ16.商密產(chǎn)品證書過期判定2.判斷以下做法是否正確：用戶在生成SM2簽名密鑰對(duì)時(shí)，以當(dāng)前時(shí)間為種子，利用C語言的rand函數(shù)生成隨機(jī)數(shù)；為了保證隨機(jī)數(shù)的隨機(jī)性，將該隨機(jī)數(shù)再利用SHA-256算法進(jìn)行雜湊計(jì)算，獲得256比特?cái)?shù)據(jù)作為私鑰，并生成對(duì)應(yīng)公鑰。A、正確B、錯(cuò)誤【正確答案】：B解析：

C語言的RAND函數(shù)并不能保證隨機(jī)性3.某信息系統(tǒng)，投入運(yùn)營(yíng)時(shí)間為2019年10月，該系統(tǒng)無法提供密碼應(yīng)用方案，但系統(tǒng)制定了密碼應(yīng)用改造方案并經(jīng)過評(píng)審，根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，建設(shè)運(yùn)行層面的“制定密碼應(yīng)用方案”得分為0分。A、正確B、錯(cuò)誤【正確答案】：B解析：

對(duì)于已建信息系統(tǒng)，其密碼應(yīng)用方案并不追溯到系統(tǒng)最初規(guī)劃時(shí)的方案，該信息系統(tǒng)根據(jù)相關(guān)標(biāo)準(zhǔn)、密碼應(yīng)用需求以及前期密評(píng)的整改建議，制定的密碼應(yīng)用改造方案可視為該系統(tǒng)的密碼應(yīng)用方案。后續(xù)，即可依據(jù)GM/T0115-2021《信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)要求》的相關(guān)要求進(jìn)行判定。需要說明的是，對(duì)于新建信息系統(tǒng)，除依據(jù)GM/T0115-2021進(jìn)行符合性判定外，還應(yīng)按照《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。4.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在編制系統(tǒng)密評(píng)報(bào)告的風(fēng)險(xiǎn)分析內(nèi)容時(shí)，如果不存在《商用密碼應(yīng)用安全性評(píng)估高風(fēng)險(xiǎn)判定指引》中的高風(fēng)險(xiǎn)項(xiàng)，則可以判定被測(cè)系統(tǒng)一定不會(huì)面臨高風(fēng)險(xiǎn)。A、正確B、錯(cuò)誤【正確答案】：B解析：

高風(fēng)險(xiǎn)判定指引的高風(fēng)險(xiǎn)項(xiàng)與應(yīng)用系統(tǒng)的高風(fēng)險(xiǎn)沒有關(guān)聯(lián)關(guān)系。5.在對(duì)物理和環(huán)境安全層面中的“身份鑒別”指標(biāo)測(cè)評(píng)時(shí)，如果被測(cè)信息系統(tǒng)所在物理機(jī)房未采用密碼技術(shù)對(duì)機(jī)房進(jìn)入人員進(jìn)行身份鑒別，但在機(jī)房進(jìn)出口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實(shí)施監(jiān)控保證機(jī)房進(jìn)入人員身份的真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)，但該測(cè)評(píng)指標(biāo)的量化評(píng)估分?jǐn)?shù)依然是0分。A、正確B、錯(cuò)誤【正確答案】：A解析：

高風(fēng)險(xiǎn)判定指引及FAQ186.根據(jù)《信息系統(tǒng)密碼應(yīng)用高風(fēng)險(xiǎn)判定指引》，依據(jù)相關(guān)密碼算法標(biāo)準(zhǔn)自行開發(fā)實(shí)現(xiàn)的國(guó)密算法滿足標(biāo)準(zhǔn)要求。A、正確B、錯(cuò)誤【正確答案】：B7.在設(shè)備和計(jì)算安全層面，“采用密碼技術(shù)保證系統(tǒng)資源訪問控制信息的完整性”的指標(biāo)要求，強(qiáng)調(diào)的是被測(cè)設(shè)備的系統(tǒng)資源。A、正確B、錯(cuò)誤【正確答案】：A8.在使用Wireshark進(jìn)行信息系統(tǒng)密碼應(yīng)用測(cè)評(píng)時(shí)，Wireshark只能從被測(cè)信息系統(tǒng)邊界設(shè)備上接入并進(jìn)行數(shù)據(jù)采集。A、正確B、錯(cuò)誤【正確答案】：B解析：

只要有數(shù)據(jù)包流量的任何設(shè)備都可以進(jìn)行連接9.對(duì)各個(gè)層面的“身份鑒別”指標(biāo)測(cè)試時(shí)，主要檢查所使用的密碼算法是否合規(guī)和相應(yīng)的密鑰管理是否安全，抗重放攻擊不是該指標(biāo)的考察范圍。A、正確B、錯(cuò)誤【正確答案】：B解析：

網(wǎng)絡(luò)與和通信安全：身份鑒別：在通信前基于密碼技術(shù)對(duì)通信雙方進(jìn)行驗(yàn)證和認(rèn)證，使用密碼技術(shù)的保密性和真實(shí)性功能來實(shí)現(xiàn)防攔截、防假冒、防重用，保證傳輸過程中鑒別信息的保密性和網(wǎng)絡(luò)設(shè)備實(shí)體身份的真實(shí)性應(yīng)用和數(shù)據(jù)安全層：身份鑒別：應(yīng)使用密碼技術(shù)對(duì)登錄的用戶進(jìn)行身份標(biāo)識(shí)和鑒定，實(shí)現(xiàn)身份鑒別信息的防截取、防假冒和防重用，保證應(yīng)用系統(tǒng)用戶身份的真實(shí)性10.根據(jù)《商用密碼應(yīng)用安全性評(píng)估FAQ（第二版）》，某三級(jí)信息系統(tǒng)部署了經(jīng)檢測(cè)認(rèn)證合格的服務(wù)器密碼機(jī)（密碼模塊為二級(jí)），則密評(píng)時(shí)針對(duì)設(shè)備和計(jì)算安全層面“系統(tǒng)資源訪問控制信息完整性”指標(biāo)要求，該服務(wù)器密碼機(jī)可直接判定為符合。A、正確B、錯(cuò)誤【正確答案】：B解析：

FAQ第二版9.合規(guī)密碼產(chǎn)品身份鑒別、完整性相關(guān)指標(biāo)的判定在確認(rèn)密碼產(chǎn)品有證且可以確定實(shí)際部署了密碼產(chǎn)品與獲證產(chǎn)品一致后才可判定為符合11.某二級(jí)信息系統(tǒng)除了災(zāi)備機(jī)房外，其中一部分部署在被測(cè)系統(tǒng)單位內(nèi)機(jī)房，另一部分部署在云平臺(tái)（由運(yùn)營(yíng)商托管），那么針對(duì)“物理和環(huán)境安全”層面的測(cè)評(píng)對(duì)象僅涉及災(zāi)備機(jī)房和被測(cè)系統(tǒng)單位內(nèi)機(jī)房。A、正確B、錯(cuò)誤【正確答案】：B解析：

FAQ21在對(duì)云上應(yīng)用測(cè)評(píng)時(shí)，仍需要對(duì)云平臺(tái)相關(guān)的密碼應(yīng)用進(jìn)行評(píng)估12.某等保四級(jí)辦公系統(tǒng)為獨(dú)立的內(nèi)網(wǎng)系統(tǒng)，且不允許跨網(wǎng)絡(luò)邊界進(jìn)行遠(yuǎn)程運(yùn)維，則整個(gè)網(wǎng)絡(luò)和通信安全層面一定作為不適用處理。A、正確B、錯(cuò)誤【正確答案】：B13.根據(jù)《商用密碼應(yīng)用安全性評(píng)估量化評(píng)估規(guī)則（2021版）》，低于100分、不低于閾值（目前是60分），且經(jīng)風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)沒有高風(fēng)險(xiǎn)，則判定被測(cè)信息系統(tǒng)“基本符合”。A、正確B、錯(cuò)誤【正確答案】：A14.某三級(jí)信息系統(tǒng)采用堡壘機(jī)對(duì)服務(wù)器進(jìn)行統(tǒng)一運(yùn)維管理，堡壘機(jī)采用用戶名+口令方式登錄，服務(wù)器通過堡壘機(jī)采用用戶名+口令方式登錄，兩次身份鑒別措施不相同，則針對(duì)“設(shè)備和計(jì)算安全”層面的身份鑒別測(cè)評(píng)可以判定系統(tǒng)存在中風(fēng)險(xiǎn)安全問題。A、正確B、錯(cuò)誤【正確答案】：B解析：

若未采用密碼技術(shù)對(duì)登錄設(shè)備的用戶進(jìn)行身份鑒別，或用戶身份真實(shí)性的密碼技術(shù)實(shí)現(xiàn)機(jī)制不正確或無效，但基于特定識(shí)別技術(shù)（如設(shè)備指紋、生物指紋等）保證用戶身份的真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)15.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告中給出的評(píng)估結(jié)論僅對(duì)報(bào)告所附《XXX系統(tǒng)密碼應(yīng)用方案》的內(nèi)容有效。A、正確B、錯(cuò)誤【正確答案】：A16.當(dāng)測(cè)評(píng)工具接入信息系統(tǒng)條件不成熟時(shí)，應(yīng)與被測(cè)單位協(xié)商，生成必要的離線數(shù)據(jù)。A、正確B、錯(cuò)誤【正確答案】：A17.根據(jù)《商用密碼應(yīng)用安全性評(píng)估FAQ（第二版）》，云服務(wù)器密碼機(jī)在進(jìn)行數(shù)據(jù)存儲(chǔ)保護(hù)時(shí)，面向的是云平臺(tái)和云上應(yīng)用的不同數(shù)據(jù)。此時(shí)，該支撐能力在云平臺(tái)測(cè)評(píng)時(shí)進(jìn)行“完全評(píng)估”。A、正確B、錯(cuò)誤【正確答案】：B解析：

同上18.某三級(jí)信息系統(tǒng)有兩個(gè)獨(dú)立的物理機(jī)房，其中機(jī)房1采用門禁ID卡對(duì)進(jìn)入人員進(jìn)行身份鑒別；機(jī)房2有兩個(gè)門，其中門A采用門禁ID卡對(duì)進(jìn)入人員進(jìn)行身份鑒別，門B通過部署符合GM/T0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》的電子門禁系統(tǒng)對(duì)進(jìn)入人員進(jìn)行身份鑒別。針對(duì)“物理和環(huán)境安全”層面的“身份鑒別”指標(biāo)，機(jī)房1的量化評(píng)估結(jié)果為0分，機(jī)房2的量化評(píng)估結(jié)果為0分。A、正確B、錯(cuò)誤【正確答案】：A解析：

A不符合要求0分，B有一個(gè)一個(gè)門不符合，一項(xiàng)否決，所以也是零分19.解析數(shù)字證書中的keyUsage擴(kuò)展項(xiàng)，如果keyCertSign位被置為1，則表示該證書為CA證書。A、正確B、錯(cuò)誤【正確答案】：B解析：

GB/T20518《信息安全技術(shù)公鑰基礎(chǔ)設(shè)施數(shù)字證書格式》附錄A.3基本證書域，雙證書標(biāo)記為關(guān)鍵、雙證書標(biāo)記為非關(guān)鍵。20.某信息系統(tǒng)的設(shè)備運(yùn)維路徑為：設(shè)備管理員終端-堡壘機(jī)-通用設(shè)備。其中，堡壘機(jī)的“身份鑒別”指標(biāo)的測(cè)評(píng)結(jié)果為“符合”，那么通用設(shè)備（自身采用“用戶名+口令”方式登錄）的“身份鑒別”指標(biāo)的量化評(píng)估分值可以一定程度上得到彌補(bǔ)。A、正確B、錯(cuò)誤【正確答案】：B解析：

風(fēng)險(xiǎn)降低，但測(cè)評(píng)分?jǐn)?shù)保持不變21.根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密評(píng)結(jié)果記錄應(yīng)形成單獨(dú)的文件，在密評(píng)結(jié)束后由密評(píng)機(jī)構(gòu)歸檔，不用作為附件附在密評(píng)報(bào)告后面，密碼管理部門需要檢查時(shí)可要求密評(píng)機(jī)構(gòu)提供。A、正確B、錯(cuò)誤【正確答案】：B解析：

附錄A測(cè)評(píng)結(jié)果記錄將每一層面相關(guān)的測(cè)評(píng)記錄照片、圖片等證明材料放在每一個(gè)表的后面，添加題注，并交叉引用。如果涉及到單元、層面間分值調(diào)整的，僅寫調(diào)整后的分值，但需要注明調(diào)整前后的分值。22.經(jīng)核查，某三級(jí)信息系統(tǒng)通過調(diào)用經(jīng)檢測(cè)認(rèn)證合格的服務(wù)器密碼機(jī)（密碼模塊二級(jí)），使用HMAC-SM3對(duì)應(yīng)用日志記錄進(jìn)行存儲(chǔ)完整性保護(hù)，則應(yīng)用和數(shù)據(jù)安全層面針對(duì)日志記錄完整性保護(hù)可判定為符合。A、正確B、錯(cuò)誤【正