【密评】商用密码应用安全性评估从业人员考核题库（十八）

商用密码应用安全性评估从业人员考核题库（十八）

国密局给的参考题库5000道只是基础题，后续更新完5000还会继续更其他高质量题库，持续学习，共同进步。

在这里插入图片描述

4251

判断题对同一数据分别使用MD5和SHA1算法计算杂凑值，其输出长度是一样的。

A、正确
B、错误

4252

判断题 ISAKMP快速模式中的载荷（除ISAKMP 头外）可以通过Wireshark进行解析。

A、正确
B、错误

4253

判断题通过Wireshark可以解析ESP协议中的数据字段。

A、正确
B、错误

4254

判断题通过Wireshark可以解析SSL协议中记录层的字段。

A、正确
B、错误

4255

判断题 CA机构可以为同一个实体以相同的甄别名称（Distinguished Name,DN）签发多张数字证书。

A、正确
B、错误

4256

判断题解析数字证书中的keyUsage 扩展项，如果keyCertSign位被置为1，则表示该证书为CA证书。

A、正确
B、错误

4257

判断题用Windows系统自带解析工具查看数字证书，其中解析出的“指纹”字段即表示CA对该证书数字签名的结果。

A、正确
B、错误

4258

判断题 GB/T 20518《信息安全技术公钥基础设施数字证书格式》规定CRL数据结构若包含version 字段，必须是v2。

A、正确
B、错误

4259

判断题证书撤销列表CRL数据结构中的nextUpdate字段表明下一次CRL发布的时间不能早于该时间。

A、正确
B、错误

4260

判断题证书撤销列表CRL中列出了被撤销的数字证书的完整内容。

A、正确
B、错误

4261

判断题一个签名证书的 keyUsage 扩展项中的digitalSignature和nonRepudiation中的1位须置为1。

A、正确
B、错误

4262

判断题使用Wireshark获取的SSL协议数据，Server Hello中显示密码套件ID为{0xe0,0x13}，则表示双方所协商的密钥交换算法为SM2公钥加密，加密算法为SM4。

A、正确
B、错误

4263

判断题使用Wireshark获取的SSL协议数据，Server Hello中显示密码套件ID为{0xe0,0x11}，则表示双方所协商的密钥交换算法为SM2密钥交换，加密算法为SM4。

A、正确
B、错误

4264

判断题在IPSec VPN中，如果采用隧道模式，则ESP协议的加密范围和认证范围是一致的。

A、正确
B、错误

4265

判断题在IPSec VPN中，如果采用传输模式，则ESP协议的加密范围和认证范围是不一致的。

A、正确
B、错误

4266

判断题 Wireshark是对网络和通信安全层面进行测评常用的工具。

A、正确
B、错误

4267

判断题随机性检测应包括GM/T 0005《随机性检测规范》中的单比特频数检测、扑克检测等12项检测。

A、正确
B、错误

4268

判断题如果一张数字证书的公钥字段是RSA2048，那么签发这张证书的签名算法不可能是SM3withSM2。

A、正确
B、错误

4269

判断题 Wireshark可以帮助密评人员核实在IPSec 协议Hello消息中，通信双方协商的密码算法。

A、正确
B、错误

4270

判断题密评人员可通过Wireshark，确认SSL协议握手阶段采用的是单向鉴别还是双向鉴别机制。

A、正确
B、错误

4271

判断题分析数字证书格式时，通过ASN.1 DER格式展示证书签名值（采用SM2签名算法），该字段TLV三元组长度为64字节。

A、正确
B、错误

4272

判断题在做SM2签名验证时，提供以下数据：消息/摘要值、公钥值、签名值、随机数。

A、正确
B、错误

4273

判断题密评人员在对密码算法进行分析时，若遇到SM4- CBC加密模式，应进一步确认算法的填充方式。

A、正确
B、错误

4274

判断题测评人员在对某三级信息系统进行密评时，发现测评工具接入被测信息系统条件还不成熟，因此测评人员只能等到条件成熟时才能继续开展测评。

A、正确
B、错误

4275

判断题在使用Wireshark进行信息系统密码应用测评时， Wireshark只能从被测信息系统边界设备上接入并进行数据采集。

A、正确
B、错误

4276

判断题在对信息系统进行密评时，测评人员需要获取存储在密码机内部的密钥，并分析该密钥的随机性进而确定密钥生成是否符合要求，以此作为“密钥管理安全性”判定结果的考虑依据。

A、正确
B、错误

4277

判断题移动终端用户通过互联网经SSL VPN访问内网资源，测评人员可以在移动终端上接入Wireshark，对移动终端用户与SSL VPN网关之间通信信道密码应用的合规、正确和有效性进行分析。

A、正确
B、错误

4278

判断题密评时对SSL协议进行抓包分析以验证密码算法合规性，主要抓取的是记录层协议的数据包。

A、正确
B、错误

4279
单项选择题若某信息系统中“应急处置”层面所有测评指标都不适用，而其他各层面均为适用的测评指标，根据《商用密码应用安全性评估量化评估规则（2021版）》进行量化评估时，分值计算公式的分母为（）。

A、90
B、92
C、94
D、100

4280
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，若信息系统使用认证合格的密码产品基于SM4-CBC算法实现了重要数据存储机密性保护，但该密码产品的密码模块安全等级低于应达到的安全等级要求，则其“重要数据存储机密性”测评单元的量化评估结果为（）。

A、1
B、0.5
C、0.25
D、无法判断

4281
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某信息系统使用签名验证服务器（获得商用密码产品认证证书）实现SM2数字签名功能，在设备和计算层面对签名验签服务器进行量化评估时，其结果为（）。

A、1
B、0.5
C、0
D、无法判断

4282
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对某四级信息系统进行量化评时，物理和环境安全层面身份鉴别、电子门禁记录数据存储完整性、视频记录数据存储完整性三个测评单元得分分别为0.5分、0.5分、0.5分，则该层面量化评估的最终得分为（）。

A、0.6296
B、0.6667
C、0.8333
D、0.5

4283
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对某三级信息系统进行量化评估时，物理和环境安全层面身份鉴别、电子门禁记录数据存储完整性、视频记录数据存储完整性三个测评单元得分分别为不适用、0.5分、1分，则该层面量化评估的得分为（）。

A、0.75
B、0.6667
C、0.4375
D、0.5

4284
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对某三级信息系统进行量化评估时，共选取了四条通信信道作为网络和通信安全层面测评对象，在身份鉴别测评单元中，四条通信信道的测评结果分别为1分、0.25分、0.5分、不适用，则身份鉴别测评单元的量化评估结果为（）。

A、0.25
B、0.4375
C、0.5833
D、0.6667

4285
单项选择题对某三级信息系统进行量化评估时，设备和计算层面某一个测评对象涉及2台设备，这2台设备在日志记录完整性测评单元测评结果得分分别为0.5分、0.25分。
根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象在日志记录完整性测评单元的量化评估结果为（）。

A、0.25
B、0.375
C、0.5
D、无法判断

4286
单项选择题某信息系统调用经检测认证合格的签名验签服务器，使用SM3算法对数据库存储的重要数据进行完整性保护，该签名验签服务器符合相应的密码模块安全等级要求。
根据《商用密码应用安全性评估量化评估规则（2021版）》，“重要数据存储完整性”测评单元的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4287
单项选择题某信息系统基于OpenSSL软件实现的RSA-2048算法，对用户登录口令的传输机密性进行保护。
根据《商用密码应用安全性评估量化评估规则（2021版）》，该信息系统在应用和数据安全层面的身份鉴别的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4288
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统采用经检测认证合格的服务器密码机（密码模块安全等级为一级），通过SM4算法对用户登录口令的传输进行机密性保护，其应用和数据安全层面的数据传输机密性指标的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4289
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某信息系统测评时，网络和通信安全层面整体不适用，但其他安全层面得分均为满分，则对该信息系统量化评估时，结果为（）。

A、80
B、85
C、90
D、100

4290
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统密评时所有安全层面均适用，建设运行层面五个测评单元得分分别为1分、0.5分、0.5分、1分、0分，则该层面量化评估的得分为（）。

A、0.3064
B、0.6477
C、0.8001
D、0.9112

4291
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统密评时所有安全层面均适用，建设运行层面五个测评单元得分分别为1分、0.5分、0.5分、1分、不适用，单元指标权重分别是1，1，0.7，1，0.7，则该层面量化评估的得分为（）。

A、0.3064
B、0.5011
C、0.7703
D、0.9112

4292
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统中，用户登录过程中使用智能密码钥匙（经检测认证的二级密码模块）进行签名，服务器使用服务器密码机（经检测认证的一级密码模块）进行签名验证，同时智能密码钥匙使用获得电子认证服务密码使用许可证的CA机构签发的SM2数字证书，该登录用户的身份鉴别过程量化评估结果较为合理的是（）。

A、0
B、0.25
C、0.5
D、1

4293
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统密评时所有安全层面均适用，经测评，“物理和环境安全”、“网络和通信安全”、“设备和计算安全”、“应用和数据安全”量化评估结果分别为0.5、0.75、0.3333， 0.6667，该系统上述4个层面整体量化评估结果为（）。

A、41.25
B、43.33
C、58.93
D、61.9

4294
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，从DAK三个角度对信息系统进行量化评估，其中D表示（）。

A、密码算法合规性
B、密码算法有效性
C、密码使用合规性
D、密码使用有效性

4295
单项选择题某三级测绘系统用户基于SM2数字证书登录系统，SM2数字证书存储在智能密码钥匙（经检测认证的二级密码模块）中，数字证书由具有电子认证服务密码使用许可证的第三方CA机构签发，并且用户与服务器之间的身份鉴别过程符合相关标准规范要求。
根据《商用密码应用安全性评估量化评估规则（2021版）》，该用户的身份鉴别量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4296
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，若三级信息系统使用密码产品（经检测认证合格）中的AES-256算法实现身份鉴别数据的存储机密性保护，同时使用该密码产品中的SM4算法实现重要业务数据的存储机密性保护，则身份鉴别数据存储机密性和重要业务数据存储机密性的分值分别最多为（）。

A、0，0
B、0.25，0.5
C、0.5，1
D、0.5，0.5

4297
单项选择题某三级电力系统通过部署安全认证网关（经检测认证的二级密码模块）实现通信数据安全传输。
经抓包分析，该通信信道上采用了电力专用的 SSF09算法实现通信数据的机密性保护，经咨询行业主管部门和密码主管部门，SSF09算法属于密码主管部门批准使用的算法，则根据《商用密码应用安全性评估量化评估规则（2021版）》，该通信信道上数据传输机密性保护的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4298
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，信息系统在对应用和数据安全层面测评过程中发现重要业务数据使用SM3算法实现数据存储的完整性保护，则该测评对象的“数据存储完整性保护”的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4299
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级信息系统在对网络和通信安全层面测评过程中发现，非国密浏览器（未通过商用密码检测认证）和安全认证网关（经检测认证的二级密码模块）之间通信信道使用自签的 RSA-2048数字证书进行身份鉴别，则该测评对象在“身份鉴别”的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4300
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某二级信息系统对应用和数据安全层面测评过程中发现，系统通过调用服务器密码机（经检测认证的一级密码模块）使用AES- 256算法实现个人敏感信息存储的机密性保护，则该测评对象的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4301
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在对某三级信息系统进行“建立上岗人员培训制度”测评单元测评时，若仅制定了相关人员培训制度，但未提供《培训内容纪要》和《培训人员签到表》，则该测评单元的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4302
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某三级网银系统用户通过智能密码钥匙（经检测认证的二级密码模块）使用美国 GlobalSign 颁发的SHA-256WtihRSA-2048 算法数字证书登录网银系统，则该测评对象分值最合理的是为（）。

A、0
B、0.25
C、0.5
D、1

4303
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下哪个方面不属于量化评估需要考虑的方面（）。

A、密码使用有效性
B、密码算法/技术合规性
C、密钥管理安全
D、密码算法/技术实现正确性

4304
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在量化评估框架中，字母D表示（）。

A、CryptographyDeployment Effectiveness
B、Cryptography Data Security
C、Key Distribution Security
D、Cryptography Deployment Security

4305
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在量化评估框架中，字母K表示（）。

A、Cryptography Key Security
B、Key management security
C、Key confidentiality
D、Cryptographic key lifecycle management

4306
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在量化评估框架中，字母A表示（）。

A、Adherence to cryptographic algorithm standards
B、Cryptographic algorithm validation
C、Cryptography Algorithm compliance
D、Algorithmic review and approval

4307
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在密码应用技术各层面的测评对象的量化评估结果可能是（）。

A、{0,0.5,1}
B、{0,0.25,0.5,1}
C、{0,1}
D、{0,0.5,0.75,1}

4308
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在密码应用技术层面中，某个测评单元量化评估通常为该单元内所有测评对象结果的（）。

A、最大值
B、加权平均值
C、算术平均值
D、几何平均值

4309
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，测评单元量化结果的小数处理采取的方法是（）。

A、向上取整
B、向下取整
C、直接舍弃
D、四舍五入

4310
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，密码应用管理要求各安全层面的量化评估取值可能是（）。

A、{0,0.25,0.5,1}
B、{0,0.5,1}
C、{0,1}
D、[0,1]

4311
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，某个安全层面的量化评值通常为该安全层面内所有测评单元结果的（）。

A、最大值
B、加权平均值
C、算术平均值
D、几何平均值

4312
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，各安全层面的量化结果的小数处理采取的方法是（）。

A、向上取整
B、向下取整
C、直接舍弃
D、四舍五入

4313
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，安全层面的测评结果需要保留小数点后（）位。

A、1
B、2
C、3
D、4

4314
单项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，已知某个测评单元有5个测评对象，量化评估结果分别为1，1，1，1，0，则该测评单元得分为（）。

A、1
B、0
C、0.8
D、0.5

4315
单项选择题在物理和物理和环境安全层面，某个信息系统所在机房，采用指纹技术对进入机房的用户进行身份鉴别，根据《商用密码应用安全性评估量化评估规则（2021版）》，该对象的量化评估结果为（）。

A、0
B、0.25
C、0.5
D、1

4316
单项选择题在物理和环境安全层面，某个机房采用具有商用密码产品认证证书的门禁系统，满足GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》的要求，并采用HMAC-SM3算法实现日志的完整性保护，根据《商用密码应用安全性评估量化评估规则（2021版）》，该“电子门禁记录数据完整性”的量化评估结果最合理的为（）。

A、无法判定
B、0.25
C、0.5
D、1

4317
单项选择题在某个政务三级信息系统的网络和通信安全层面测评过程中，发现该系统采用获得电子认证服务密码使用许可证的CA机构签发的数字证书，该证书存放在智能钥匙（经检测认证的二级密码模块）中，证书的签名算法 Oid 标识为 1.2.156.10197.1.501，证书在有效期内，身份鉴别过程采用SM2算法，根据《商用密码应用安全性评估量化评估规则（2021版）》，该层面的身份鉴别量化结果为（）。

A、0
B、0.25
C、0.5
D、1

4318
单项选择题在某个政务三级信息系统的网络和通信安全层面测评过程中，发现采用了SSL VPN设备（经检测认证的二级密码模块）实现通信链路数据的安全传输。
通过抓包分析，采用的密码套件为 RSA_SM4_SM3，根据《商用密码应用安全性评估量化评估规则（2021版）》，该层面的“身份鉴别”的量化结果为（）。

A、0
B、0.25
C、0.5
D、1

4319
单项选择题在某个政务三级信息系统的设备和计算层面测评过程中，发现采用了具有商用密码产品认证证书的SSL VPN设备，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象“日志记录完整性”的的量化结果为（）。

A、0
B、0.5
C、1
D、不确定

4320
单项选择题某三级信息系统在设备和计算安全层面测评过程中，对某个密码设备（经检测认证的二级密码模块）进行测评时，发现设备的登录采用了WEB登录方式，登录界面需要输入用户名+口令，口令经过加盐使用SM3计算杂凑后传输，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象的“身份鉴别”的量化结果为（）。

A、0
B、0.5
C、1
D、不确定

4321
单项选择题对于某三级系统，在设备和计算安全层面测评过程中，对某个密码设备（经检测认证的二级密码模块），发现设备的登录采用了WEB登录方式，登录界面需要输入用户名+口令，口令经过加盐并用SHA256计算杂凑后传输，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象的“身份鉴别”的量化结果为（）。

A、0
B、0.5
C、1
D、不确定

4322
单项选择题在某个政务三级信息系统的设备和计算层面测评过程中，发现采用了具有商用密码产品认证证书的SSL VPN设备，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象“系统资源访问控制信息完整性”的量化结果为（）。

A、0
B、0.5
C、1
D、不确定

4323
单项选择题在对某信息系统进行设备和计算层面测评过程中，某个测评单元具有3个测评对象，量化得分分别为1、1、0.5，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评单元的量化结果为（）。

A、0
B、0.5
C、0.8333
D、1

4324
单项选择题在某信息系统进行设备和计算层面测评过程中，某个测评对象对应3个具体的设备，每个设备的 D/A/K得分分别为1、0、0.5，根据《商用密码应用安全性评估量化评估规则（2021版）》，该测评对象的量化结果为（）。

A、0
B、0.25
C、0.5
D、1

4325
单项选择题在三级信息系统测评中，在网络和通信层面，身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证各测评单元得分为0、0.5、0.5、0、不适用，指标权重分别为， 1 、0.7 、1 、0.4 、 0.4，根据《商用密码应用安全性评估量化评估规则（2021版）》，该安全层面的量化得分为（）。

A、0.625
B、0.725
C、0.5
D、0.2741

4326
单项选择题在三级信息系统测评中，在网络和通信层面，身份鉴别、通信数据完整性、通信过程中重要数据的机密性、网络边界访问控制信息的完整性、安全接入认证各测评单元得分为0、0.5、0.5、0、 0，指标权重分别为1、0.7、1、0.4、0.4，根据《商用密码应用安全性评估量化评估规则（2021版）》，该安全层面的量化得分为（）。

A、0.6247
B、0.2429
C、0.5
D、0.725

4327
单项选择题某三级信息系统于2019年10月建设完成并投入运行。
2021年7月，该系统制定了密码应用改造方案并通过专家评审，2021年12月完成系统密码应用改造。
根据《商用密码应用安全性评估量化评估规则（2021版）》，2022年1月，密评机构在对“制定密码应用方案”进行测评时，该测评单元的量化评估得分为（）。

A、0
B、0.5
C、1
D、不适用

4328
单项选择题在三级系统测评中，某系被测信息系统为已在建运行系统，投入运行时间为2019年1月，该次测评为首次密评，则根据《商用密码应用安全性评估量化评估规则（2021版）》，建设运行层面“投入运行前进行密码应用安全性评估”测评项的量化得分为（）。

A、0
B、0.5
C、1
D、不适用

4329
单项选择题某三级信息系统在测评过程中发现物理和环境安全层面不适用，网络和通信安全层面为0.625，设备和计算安全层面分值为0.4，应用和数据安全层面分值为0.5，安全管理四个层面分值均为1，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该系统整体量化评估结果为（）。

A、61.5
B、68.3333
C、68.33
D、83.33

4330
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，量化评估从（）方面进行。

A、密码使用正确性
B、密码使用有效性
C、密码算法/技术合规性
D、密钥管理安全

4331
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在密码应用技术层面中，某个测评单元量化评估结果可以是（）。

A、0.25
B、0.3333
C、0.5
D、1

4332
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下关于量化评估过程，说法正确的是（）。

A、在判定密码使用有效性时，需综合考虑密码算法/技术合规性和密钥管理安全导致的风险
B、在判定密码使用有效性时，无需综合考虑密码算法/技术合规性和密钥管理安全导致的风险
C、若密码算法/技术合规性判定为不符合，则无需对密码使用有效性、密钥管理安全进行判定
D、若密码使用有效性判定为不符合，则无需对密码算法/技术合规性、密钥管理安全进行判定

4333
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下密评量化评估结果中，应取小数点后4位的有（）。

A、测评对象
B、测评单元
C、安全层面
D、整体量化评估结果

4334
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法正确的是（）。

A、若某测评指标不适用，则不参与量化评估过程
B、若某测评指标为特殊指标，则不参与量化评估过程
C、量化评估规则为每个测评单元分配了相应的权重，该权重与信息系统等级情况无关
D、量化评估规则为每个安全层面分配了相应的权重，该权重与信息系统等级情况无关

4335
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在测评对象量化评估中，以下得分为0.5的有（）。

A、D（√）A（√）K（√）
B、D（√）A（√）K（×）
C、D（√）A（×）K（√）
D、D（√）A（×）K（×）

4336
多项选择题某三级信息系统，在内网接入区通过部署SSL VPN网关（经检测认证的二级密码模块）、国密浏览器（经检测认证的一级密码模块），实现对办公内网通道的密码应用改造。上述使用的密码产品均进行了正确的配置。根据《商用密码应用安全性评估量化评估规则（2021版）》，以下量化评估描述中，正确的有（）。

A、测评时使用国密览器访问系统时，发现其HTTPS协议使用的加密算法为 SM4-GCM，该通道通信过程中重要数据的机密性测评单元量化评估结果为 0.5
B、测评时使用国密浏览器访问系统时，发现其HTTPS协议使用的数字签名算法为RSA，该通道身份鉴别测评单元量化评估结果为0.5
C、测评时使用国密览器访问系统时，发现其HTTPS协议使用的MAC算法为 HMAC-SM3，该通道通信过程中重要数据的机密性测评单元量化评估结果为1
D、测评时使用谷歌览器访问系统时，发现其HTTPS协议使用的MAC算法为 HMAC-SHA1，该通道通信过程中重要数据的机密性测评单元量化评估结果为0.25

4337
多项选择题对于双活机房间的物理裸光纤数据传输通道，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下做法正确的包括（）。

A、密评机构应将该通道做为网络和通信安全层面的测评对象，进行量化评估和风险评估
B、若该通道在通过专家评审的密码应用方案中被列为不适用，且方案描述的保护措施与现场情况一致，密评时该通道可做为不适用
C、密评机构可根据系统情况、该通传输道数据重要性，酌情判定该通道为适用或不适用
D、若双活机房间使用的为运营商专线，密评机构应将该通道做为网络和通信安全层面的测评对象，进行量化评估和风险评估

4338
多项选择题对运行在云平台上的云应用进行密评时，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下关于量化评估的说法错误的有（）。

A、若云平台和云上应用均定级为三级且云平台已通过密评，针对云平台密评时被完全评估的支撑能力，云上应用对应的测评对象必须直接按照云平台的量化评估结果进行量化评价
B、若云平台和云上应用均定级为三级且云平台已通过密评，针对云平台密评时被完全评估的支撑能力，云上应用对应的测评对象可以判定为不适用
C、若云平台和云上应用均定级为三级且云平台已通过密评，针对云平台密评时被部分评估的支撑能力，云上应用对应的测评对象的量化评估结论需要结合现场测评和云平台支撑能力说明给定结果
D、若云平台和云上应用均定级为三级且云平台已通过密评，针对云平台密评时被部分评估的支撑能力，云上应用对应的测评对象可直接取云平台的量化评估结果的一半分数做为量化评价结果

4339
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法错误的有（）。

A、无论哪个安全层面，测评单元的量化评估结果共有{0，0.25，0.5，1}四种情况
B、在技术要求中，测评单元的量化评估结果介于[0,1]之间，取小数点后4位
C、在密码应用技术各层面中，测评单元的量化评估结果介于[0,1]之间，取小数点后2位
D、在密码应用管理各层面中，测评单元的量化评估结果共有{0，0.25，0.5， 1}四种情况

4340
多项选择题某信息系统部署在跨两地的主备机房，关于两个机房物理和环境安全层面的量化评估，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法正确的有（）。

A、应选取两个机房作为测评对象，每项测评单元量化评估结果应为两机房量化评估分数的较低值
B、应选取两个机房作为测评对象，每项测评单元量化评估结果应为两机房量化评估分数的算术平均值
C、若已通过专家评估的密码应用方案中将备份机房列为不适用，密评时应选取主机房做为测评对象（备份机房作为不适用），每项测评单元量化评估结果应为主机房对应测评单元的量化结果
D、应选取两个机房作为测评对象，但应为两个机房分配不同的权重，每项测评单元量化评估结果应为两机房量化评估分数的加权平均值

4341
多项选择题 2021年密评联委会发布的《商用密码应用安全性评估量化评估规则（2021版）》，适用于指导、规范信息系统密码应用的（）。

A、立项、启动
B、规划、建设
C、运行、测评
D、验收、维护

4342
多项选择题下列说法正确的是（）。

A、《商用密码应用安全性评估量化评估规则（2021版）》应遵循法律法规和最新相关指导性文件的总体要求
B、根据《商用密码应用安全性评估量化评估规则（2021 版）》，强调优先在网络和通信安全层面、设备和计算安全层面和应用和数据安全层面推进密码技术应用
C、根据《商用密码应用安全性评估量化评估规则（2021 版）》，强调特别鼓励使用合规的密码算法/产品/服务
D、通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品”指标不单独评价

4343
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法正确的是（）。

A、若一个测评对象涉及多个密码算法/产品/服务/密钥， D/A/K都按照最低分值给分
B、密码应用管理要求不针对各个测评对象的测评结果进行量化评估，其中符合为1分，不符合为 0分，部分符合为0.5分
C、通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品”指标不单独评价
D、若某测评对象使用了经检测认证的密码产品且满足相应的密码模块要求，但使用的密码算法/技术不合规，则为部分符合，该测评对象量化评估结果为0.5

4344
多项选择题某三级信息系统的个人身份信息使用服务器密码机（经检测认证合格）基于SM4算法实现数据存储的机密性保护，而重要业务数据使用了自研且未提供安全性证据的算法实现数据存储的机密性保护，根据《商用密码应用安全性评估量化评估规则（2021版）》，则个人身份信息和重要业务数据的存储机密性量化评估结果可能是（）。

A、0.5，0
B、1，0
C、0.25，0.25
D、0.5，0.25

4345
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法正确的是（）。

A、密码应用技术要求和密码应用管理要求的量化评估方法不相同
B、密码应用技术要求中，某个安全层面的某个测评单元的量化评估结果为该测评单元内所有测评对象测评结果的算术平均值
C、安全层面的不适用测评指标不参与量化评估过程
D、对同一个测评指标，二级信息系统和三级信息的指标权重不一定相同

4346
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法不正确的是（）。

A、对同一个测评指标，二级信息系统和三级信息的指标权重不一定相同
B、二级信息系统和三级信息系统（所有安全层面均适用的情况下）安全层面权重一定相同
C、若该系统物理和环境安全层面、设备和计算安全层面不适用，则该系统其他安全层面总权重之和为75
D、密码应用管理各安全层面的权重均相同

4347
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法不正确的是（）。

A、网络和通信安全、设备和计算安全和应用和数据安全三个层面“访问控制信息完整性”量化评估权重相同
B、若信息系统未制定密码应用方案，则可判定该系统建设运行层面各测评单元量化评估分值一定为0
C、若信息系统未制定密码应用方案，已知信息系统于2021年2月1日上线运行，则该系统建设运行中“投入运行前进行密码应用安全性评估”量化评估分值为1
D、若信息系统测评时发现，其使用的服务器密码机采购时间在商用密码产品认证证书的有效期内，但测评时该证书已过期，则对测评单元评估时，K为×

4348
多项选择题某三级信息系统应用和数据安全层面测评过程中发现，用户身份鉴别数据（即用户口令）和重要业务数据均通过调用服务器密码机（具有二级商密产品认证证书）进行保护，使用SM3带盐杂凑和HMAC-SM3对身份鉴别数据进行存储机密性保护和存储完整性保护，使用SM4-CB
C、SM3算法实现重要业务数据存储机密性和存储完整性保护，则根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法正确的是（）。

A、重要业务数据存储机密性和存储完整性，量化评估分值相同
B、重要业务数据存储机密性和存储完整性，量化评估分值不相同
C、若该系统应用层仅涉及身份鉴别数据、重要业务数据，则数据存储机密性测评单元的量化评估分值为0.5
D、若该系统应用层仅涉及这两类关键数据，则数据存储完整性测评单元的量化评估分值为0.5

4349
多项选择题在测评某三级信息系统应用和数据安全层面重要数据存储时发现，该系统个人敏感信息使用SM4- GCM算法算法实现数据存储保护，重要业务数据使用AES-256、HMAC-SHA-256算法实现数据存储保护，且所有密码算法均通过调用具有二级商密产品认证证书的密码设备实现，根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法不正确的是（）。

A、该系统应用和数据安全层面重要数据存储机密性测评单元分值为0.75
B、该系统应用和数据安全层面重要数据存储完整性保护测评单元分值为0.25
C、该系统应用和数据安全层面重要数据存储机密性和完整性保护两个测评单元分值不同
D、若信息系统改用一级商密产品认证证书的密码设备实现重要数据存储的机密性和完整性保护，则量化评估分值不变

4350
多项选择题在对某三级信息系统设备和安全层面“身份鉴别”进行测评时，该系统三台操作系统和硬件型号均相同的服务器密码机分值分别为0.25、0.5、0，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法正确的是（）。

A、三台服务器密码机可能均具有商用密码产品认证证书
B、三台服务器密码机可能均不具有商用密码产品认证证书
C、三台密码机作为同一测评对象时的分值为0
D、三台密码机作为同一测评对象时的分值为0.5

4351
多项选择题某三级信息系统在测评过程中发现物理和环境安全层面不适用，网络和通信安全层面分值为 0.75，设备和计算安全层面分值为0.6，应用和数据安全层面分值为0.325，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法不正确的是（）。

A、如果安全管理四个层面分值均为1，该系统量化评估分值为60.75
B、安全管理四个层面分值均为1，该系统量化评估分值为 67.50
C、若该系统安全管理所有层面得分均为 0，该系统量化评估分值为30.75
D、若该系统安全管理所有层面得分均为 0，该系统量化评估分值为37.50

4352
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，以下（）情况下，测评对象的量化结果最多为0.5。

A、在网络边界部署采用具有密码产品认证证书的VPN设备（满足密码模块二级要求），并使用 ECC_SM4_SM3套件
B、在网络边界部署采用具有密码产品认证证书的VPN设备（满足密码模块二级要求），并使用TLS_ECDHE_RSA_ WITH_AES_128_GC M_SHA256套件
C、在三级系统中，在网络边界部署相应的安全模块（满足密码模块一级要求），并使用ECC_SM4_SM3套件
D、在网络边界部署未经检测认证的VPN设备，并使用TLS1.2 协议

4353
多项选择题已知应急处置安全层面所有测评单元的结果没有不符合，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面可能的得分为（）。

A、0.25
B、0.5
C、0.6458
D、0.8542

4354
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，在某次测评中，物理和环境安全层面被列为不适用，以下（）是可能发生的。

A、该系统最终得分大于90分
B、该系统最终测评结论为不符合
C、该系统最终测评结论为符合
D、该安全层面属于密码应用技术要求维度

4355
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，量化评估计算过程中需要考虑的量化内容包括（）。

A、各测评对象的测评结果
B、测评单元的测评结果
C、安全层面的测评结果
D、整体测评结果

4356
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对于密码技术要求的量化规则，以下说法正确的是（）。

A、只有DAK全部符合的测评对象得分为1分
B、密码使用有效，具备安全的密钥管理机制，但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定的得分为0.5分
C、密码使用有效，但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定，相关的密钥管理机制存在问题得分为0.5分
D、密码使用有效，使用的密码算法/技术符合法律法规的规定和密码相关国家标准、行业标准的有关规定，相关的密钥管理机制存在问题判定为0分

4357
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对测评对象的测评结果量化评估规则，以下说法错误的是（）。

A、通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品” 指标需单独评价
B、密码技术要求和应用管理要求都需要对各个测评对象的测评结果进行量化评估
C、密码技术要求和应用管理要求的分值取值都是{0, 0.25,0.5,1}
D、密码技术要求中对各测评对象符合性表述均为符合、部分符合、不符合

4358
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对测评对象的测评结果量化评估规则，以下说法正确的是（）。

A、在密码技术要求测评过程中，对于单个测评对象对应的多个实体按照每个实体的DAK的算术平均计算测评对象值
B、在密码技术要求测评过程中，对于单个测评对象涉及多个实体，按照多个实体的DAK最小值作为测评对象值
C、使用的密码服务是否安全直接影响 DAK的A的符合性判定
D、密码应用管理要求不对各个测评对象的测评结果进行量化评估

4359
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对测评单元的测评结果量化评估规则，以下说法正确的是（）。

A、密码应用技术要求中，测评单元的量化评估结果为该测评单元内所有测评对象测评结果的算术平均值
B、密码应用技术要求中，测评单元的量化评估结果需要保留小数点后4位
C、密码应用管理要求的测评单元得分为各测评对象的算术平均值
D、密码应用管理要求的符合性判定需要根据GM/T 0115给出判定结果

4360
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对安全层面的测评结果量化评估规则，以下说法不正确的是（）。

A、密码应用技术要求中，安全层面的量化评估结果为层面内各测评单元的算术平均值
B、密码应用管理要求的安全层面得分为各测评单元的算术平均值
C、密码应用技术要求中，安全层面的量化评估结果需要保留小数点后2位
D、某测评指标不适用，则该安全层面的得分为0

4361
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对整体结果量化评估规则，以下说法正确的是（）。

A、密码应用技术要求中，最终的量化评估结果为各安全层面的加权平均值
B、若某个安全层面的大部分测评指标都不适用，则该安全层面不参与量化评估过程
C、密码应用技术要求中，安全层面的量化评估结果需要保留小数点后4位
D、在计算整体结果量化过程中，作为分母的权重值总和总是100分

4362
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对最终的结论，以下说法正确的是（）。

A、信息系统的最终结论需要同时参考量化评估的结果和风险判定结果
B、对于分值大于阈值分的系统，如果经风险评估发现存在风险即判定为不符合
C、对于分值小于阈值分的系统或存在高风险的系统，最终结论都是不符合
D、只有整体量化评估结果为 100 分的系统才能判定最终结论为符合

4363
多项选择题对于某个三级系统，已知安全管理要求中，管理制度、人员管理、建设运行、应急处置的得分均为0.5，根据《商用密码应用安全性评估量化评估规则（2021版）》，以下（）是可能出现且整体结论正确的。

A、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4，总分为45.00分
B、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4，总分为27分
C、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、0.6、不适用、0.4，总分为48.75分
D、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为0.4、不适用、 0.4、0，总分为39.00分

4364
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法正确的是（）。

A、密码应用管理要求不针对各个测评对象的测评结果进行量化评估
B、《商用密码应用安全性评估量化评估规则（2021版）》适用于指导、规范信息系统密码应用的规划、建设、运行及测评
C、信息系统在进行测评过程中，若测评对象的D不符合，则分值为0.5分
D、信息系统测评结果无高风险且分值不低于阈值，该信息系统的测评结果不一定为基本符合

4365
多项选择题对于某个三级信息系统，在应用和数据安全层面测评过程中，发现设备的登录采用了WEB登录方式，登录界面需要输入用户名+口令，口令经过加盐并利用SM3做杂凑，根据《商用密码应用安全性评估量化评估规则（2021版）》，则以下说法正确的是（）。

A、“身份鉴别”的量化结果分别为 0
B、“身份鉴别”的量化结果分别为 0.25
C、“重要数据传输机密性”的量化结果为0.5
D、“重要数据存储机密性”的量化结果为1

4366
多项选择题根据《商用密码应用安全性评估量化评估规则（2021版）》，对三级系统，各安全层面权重值正确的是（）。

A、物理和环境安全层面权重为10
B、网络和通信安全层面权重为15
C、设备和计算安全层面权重为20
D、应用和数据安全层面权重为30

4367

判断题若某测评指标不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面不参与量化评估过程。

A、正确
B、错误

4368

判断题若某个安全层面的所有测评指标都不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面得分为0。

A、正确
B、错误

4369

判断题若某个安全层面的所有测评指标都不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面不参与量化评估过程。

A、正确
B、错误

4370

判断题若某二级被测信息系统整体量化评估结果为 83.26，根据《商用密码应用安全性评估量化评估规则（2021版）》，则可直接判定被测信息系统密评结论为“基本符合”。

A、正确
B、错误

4371

判断题某第二级信息系统密评时，若“应急处置”中“事件处置”测评指标做为适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则“事件处置”测评指标应参与量化评估。

A、正确
B、错误

4372

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，在密码应用管理要求中，部分符合的测评单元得分一定为0.5分。

A、正确
B、错误

4373

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，在密码应用技术要求中，部分符合的测评单元得分一定为0.5分。

A、正确
B、错误

4374

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，各安全层面的测评结果量化评估结果，应四舍五入取小数点后4位。

A、正确
B、错误

4375

判断题 GB/T 39786规定的第一级信息系统密码应用要求中无“视频记录数据存储完整性”，因此针对第一级信息系统进行量化评估时，根据《商用密码应用安全性评估量化评估规则（2021版）》，该指标不参与量化评估过程。

A、正确
B、错误

4376

判断题 GB/T 39786规定的第二级信息系统密码应用要求中，“网络边界访问控制信息完整性”应用要求为“可”，因此针对第二级信息系统进行量化评估时，根据《商用密码应用安全性评估量化评估规则（2021版）》，该指标一定不参与量化评估过程。

A、正确
B、错误

4377

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，低于100分、不低于阈值（目前是60分），且经风险评估发现没有高风险，则判定被测信息系统“基本符合”。

A、正确
B、错误

4378

判断题若某信息系统管理安全层面的所有指标都不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则整体量化评估结果满分不足 100分。

A、正确
B、错误

4379

判断题若信息系统中某测评单元不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则整体量化评估结果满分不足100分。

A、正确
B、错误

4380

判断题若某安全层面的所有指标都不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面不影响整体量化评估结果。

A、正确
B、错误

4381

判断题在判定
D、K安全三个维度时，根据《商用密码应用安全性评估量化评估规则（2021版）》，应进行综合考虑和独立判定。

A、正确
B、错误

4382

判断题在判定
D、K安全三个维度时，根据《商用密码应用安全性评估量化评估规则（2021版）》，均进行独立判定。

A、正确
B、错误

4383

判断题若一个信息系统测评完成后，分值为60分，且无高风险，根据《商用密码应用安全性评估量化评估规则（2021版）》，则可判定该系统的测评结论为“符合”。

A、正确
B、错误

4384

判断题《商用密码应用安全性评估量化评估规则（2021版）》中的原则包括优先在设备和计算安全、应用和数据安全层面推进密码技术应用。

A、正确
B、错误

4385

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，通用要求和密码应用技术要求各安全层面的“密码服务”和“密码产品”指标均应单独评价。

A、正确
B、错误

4386

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，针对三级信息系统，设备和计算安全层面、应用和数据安全层面“重要信息资源安全标记完整性”的指标权重是一样的。

A、正确
B、错误

4387

判断题《商用密码应用安全性评估量化评估规则（2021版）》中测评单元的测评结果量化评估规则，针对密码应用技术要求和密码应用管理要求的判定规则完全相同。

A、正确
B、错误

4388

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，针对三级信息系统，在量化评估的过程中，安全管理要求所有测评单元的指标权重一定为0.7或1。

A、正确
B、错误

4389

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，三级信息系统和四级信息系统在安全管理要求的四个安全层面的指标权重均一致。

A、正确
B、错误

4390

判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，若信息系统存在特殊指标项，则该特殊指标不参与量化评估过程。

A、正确
B、错误

4391
判断题某三级信息系统用户通过智能密码钥匙（具有二级商密产品认证证书），通过和数据库比对智能密码钥匙证书字符串信息的方式实现身份鉴别，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该测评对象分值为0.5。

A、正确
B、错误

4392
判断题某二级信息系统使用具有商密产品认证证书的密钥管理系统（软件），且进行了正确的部署，根据《商用密码应用安全性评估量化评估规则（2021版）》，密钥管理系统所运行的服务器在设备和计算安全层面“日志记录完整性”量化评估分值一定为1分。

A、正确
B、错误

4393
判断题某第三级信息系统普通用户使用智能密码钥匙（具有二级商密产品认证证书）进行身份鉴别，但未使用获得电子认证服务密码使用许可证的机构颁发的数字证书，根据《商用密码应用安全性评估量化评估规则（2021版）》，量化评估时， K为不符合。

A、正确
B、错误

4394
判断题针对信息系统设备和安全层面“日志记录完整性 ”，某信息系统有三台操作系统和硬件型号均相同的应用服务器，量化评估后分值分别为0.25、0.5、0.25，根据《商用密码应用安全性评估量化评估规则（2021版）》，则这三台应用服务器作为一个测评对象量化评估分值为0.3333。

A、正确
B、错误

4395
判断题若某个安全层面的部分测评指标不适用，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面不参与量化评估过程。

A、正确
B、错误

4396
判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，密码应用管理要求不针对各个测评对象的测评结果进行量化评估。

A、正确
B、错误

4397
判断题整体量化评估结果为 100 分，根据《商用密码应用安全性评估量化评估规则（2021版）》，则判定被测信息系统的测评结果为“符合”。

A、正确
B、错误

4398
判断题整体量化评估结果低于 100 分但不低于阈值，根据《商用密码应用安全性评估量化评估规则（2021版）》，则判定被测信息系统测评结果为“基本符合”。

A、正确
B、错误

4399
判断题整体量化评估结果低于阈值，或经风险评估发现存在高风险，根据《商用密码应用安全性评估量化评估规则（2021版）》，则判定被测信息系统不符合GB/T39786相应等级要求。
A、正确
B、错误

4400
判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，经认证合格的密码产品，在应用和数据层面测评过程中可直接对DAK中的K直接判定为“符合”。
A、正确
B、错误

4401
判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，若一个测评对象，涉及多个密码算法/产品/服务/密钥， D/A/K按照平均值给分。

A、正确
B、错误

4402
判断题某个三级系统在网络和通信安全层面测评中，某个测评单元存在4个测评对象，分别得分为1、1、0.5、0.5，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该测评单元得分为 0.75分。

A、正确
B、错误

4403
判断题某个三级系统在网络和通信安全层面测评中，某个测评单元存在3个测评对象，分别得分为1、0.5、0.5，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该测评单元得分为0.5分。

A、正确
B、错误

4404
判断题已知某系统管理制度的6项测评指标得分分别为0.5、0.5、0.5、0.5、0.5、0.5，对应权重为1、0.7、0.7、0.7、0.7、0.7，根据《商用密码应用安全性评估量化评估规则（2021版）》，则该安全层面得分为0.5000。

A、正确
B、错误

4405
判断题《商用密码应用安全性评估量化评估规则（2021版）》中某层面的不适用项数量不会影响其他安全层面得分。

A、正确
B、错误

4406
判断题《商用密码应用安全性评估量化评估规则（2021版）》中不适用项对应的权重指标在计算过程中不计入分值。

A、正确
B、错误

4407
判断题《商用密码应用安全性评估量化评估规则（2021版）》中对于不同的等级同一测评项的指标权重总是相同。

A、正确
B、错误

4408
判断题《商用密码应用安全性评估量化评估规则（2021版）》中不同的安全层面权重分值相同。

A、正确
B、错误

4409
判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，在测评过程中，重要数据传输机密性与传输完整性两个指标涉及的测评对象数量可以是不同的。

A、正确
B、错误

4410
判断题某信息系统测评过程中，提供了管理系统人员的相关培训制度文件，根据《商用密码应用安全性评估量化评估规则（2021版）》，在人员管理层面的“定期进行安全岗位人员考核”一项得分为1分。

A、正确
B、错误

4411
判断题某信息系统，投入运营时间为2019年10月，该系统无法提供密码应用方案，但系统制定了密码应用改造方案并经过评审，根据《商用密码应用安全性评估量化评估规则（2021版）》，建设运行层面的“制定密码应用方案”得分为0分。

A、正确
B、错误

4412
判断题某个三级系统使用SM3算法保护系统数据的传输完整性，根据《商用密码应用安全性评估量化评估规则（2021版）》，应用和数据安全层面中重要数据传输完整性的量化得分为1分。

A、正确
B、错误

4413
判断题某个四级系统在网络间采用了SSL VPN，通过网络抓包发现服务器端发送了国密数字证书，客户端未发送任何数字证书，根据《商用密码应用安全性评估量化评估规则（2021版）》，网络和通信安全层面的身份鉴别项，得分为1分。

A、正确
B、错误

4414
判断题根据《商用密码应用安全性评估量化评估规则（2021版）》，安全层面的测评结果不需要保留小数。

A、正确
B、错误

4415
判断题某三级信息系统用户口令存储时，先使用DES算法加密后再使用SM4算法加密，使用的密码产品具有二级密码模块认证证书，根据《商用密码应用安全性评估量化评估规则（2021版）》，口令做为测评对象在“重要数据存储机密性”测评单元的量化评估结果为1分。

A、正确
B、错误

4416
判断题某三级信息系统用户口令传输时，用户可选择使用MD5算法或者SM3算法进行杂凑后，将杂凑结果发至服务端校验，服务器根据用户选取的算法类型使用MD5或者SM3算法进行校验，客户端使用的密码产品具有二级认证证书，根据《商用密码应用安全性评估量化评估规则（2021版）》，口令做为测评对象在“重要数据传输机密性”测评单元的量化评估结果为1分。

A、正确
B、错误

4417
单项选择题依据《信息系统密码应用高风险判定指引》，信息系统应用和数据层面，未采用密码技术对登录用户进行身份鉴别时，可以采用的缓解措施有（）。

A、安排专人值守
B、部署视频监控
C、部署入侵检测系统
D、采用基于特定识别技术进行身份鉴别，如设备指纹、生物指纹和第三方身份鉴别服务等

4418
单项选择题密评过程中，如果遇到《信息系统密码应用高风险判定指引》没有描述的风险判定情况，那么测评人员应（）。

A、结合实际情况进行综合判定风险
B、判定为高风险
C、判定为中风险
D、判定为低风险

4419
单项选择题依据《信息系统密码应用高风险判定指引》，信息系统中使用的密码产品或服务可能引起高风险的是（）。

A、使用自实现且能够提供安全证明的密码产品
B、使用的密码产品存在高危漏洞
C、密码产品的使用符合国家密码主管部门的管理要求和标准规范的要求
D、密码服务提供商具有国家密码管理部门的相关资质

4420
单项选择题在《信息系统密码应用高风险判定指引》中，对安全接入认证问题的风险判定适用于（）。

A、第一级信息系统
B、第二级信息系统
C、第三级信息系统
D、第四级信息系统

4421
单项选择题依据《信息系统密码应用高风险判定指引》，以下不存在缺陷或没有安全问题警示的密码技术是（）。

A、SSH 1.0
B、TLS 1.3
C、SSL 2.0
D、SSL 3.0

4422
单项选择题某系统采用了未经安全性论证的密码通信协议，依据《信息系统密码应用高风险判定指引》，则该情况属于哪种风险（）。

A、密码算法层面的风险
B、密码产品层面的风险
C、密码技术层的面风险
D、密码服务层面的风险

4423
单项选择题在《信息系统密码应用高风险判定指引》中，关于指标“信息系统中使用的密码产品、密码服务应符合法律法规的相关要求”，主要是针对（）系统提出的。

A、第二级以上
B、第三级以上
C、所有级别
D、第三级

4424
单项选择题依据《信息系统密码应用高风险判定指引》中，网络通信过程中重要数据的机密性可以从（）层面进行缓解，从而降低安全风险。

A、设备和计算安全
B、应用和数据安全
C、物理和环境安全
D、安全管理制度

4425
单项选择题依据《信息系统密码应用高风险判定指引》，网络和通信安全层面如果未采用基于（）的数字签名机制等密码技术对通信实体进行身份鉴别，可能会导致信息系统面临高风险。

A、公钥密码算法
B、对称密码算法
C、密码杂凑算法
D、标识算法

4426
单项选择题依据《信息系统密码应用高风险判定指引》，网络和通信安全层面如果未采用基于对称密码算法或（）的消息鉴别码（MAC）机制等密码技术对通信实体进行身份鉴别，可能会导致信息系统面临高风险。

A、密码杂凑算法
B、生物特征
C、祖冲之密码算法
D、公钥密码算法

4427
单项选择题依据《信息系统密码应用高风险判定指引》，没有采用密码技术保证远程通道管理安全的情况下，信息系统为降低安全风险，可采用的缓解措施包括：搭建与业务网络（）隔离，并采取相应的安全防护措施的专用管理网络。

A、逻辑
B、物理
C、区域
D、边界

4428
单项选择题依据《信息系统密码应用高风险判定指引》，应用系统在身份鉴别方面，可能存在高风险的是（）。

A、使用了基于国产密码算法的USBKey实现用户身份的鉴别
B、采用的密码产品具有商用密码产品认证证书
C、用户身份真实性的密码技术实现机制正确且有效
D、用户口令使用SM3密码算法处理后存储

4429
单项选择题依据《信息系统密码应用高风险判定指引》，应用和数据安全层面没有采用密码技术保证用户身份鉴别安全的情况下，不属于降低信息系统安全风险可采用的缓解措施是（）。

A、动态口令机制
B、设备指纹
C、生物指纹
D、第三方身份鉴别服务

4430
单项选择题依据《信息系统密码应用高风险判定指引》，能够最有效缓解应用和数据层面重要数据存储机密性安全风险的方式是（）。

A、使用MD5算法实现重要数据存储机密性保护
B、使用SM4算法实现重要数据存储机密性保护
C、使用SM3算法实现重要数据存储机密性保护
D、使用SHA-256算法实现重要数据存储机密性保护

4431
单项选择题依据《信息系统密码应用高风险判定指引》，在没有采用密码技术保证进入机房人员身份鉴别安全的情况下，以下能够降低安全风险的措施是（）。

A、采用用户名+口令+ID卡方式鉴别进入人员身份
B、人员信息自行登记后进入
C、机房出入口配备专人值守并进行登记，且采用视频监控系统进行实时监控
D、机房禁止外部人员进入

4432
单项选择题依据《信息系统密码应用高风险判定指引》，以下对于通用要求中“密码技术”描述正确的是（）。

A、该要求适用级别为一级到四级信息系统
B、若采用OpenSSL协议库实现TLS，则一定不会导致高风险
C、指标要求为“信息系统中使用的密码技术应遵循密码相关国家标准和行业标准”
D、若使用TLS 1.1,则一定会导致高风险

4433
单项选择题依据《信息系统密码应用高风险判定指引》，以下对通用要求中“密码产品”描述不正确的是（）。

A、使用了具有电子认证服务密码使用许可证的CA机构签发是数字证书，一定不会导致高风险
B、使用自实现且未提供安全性证明的密码产品，可能会导致高风险
C、使用存在高危安全漏洞的公开算法库，可能会导致高风险
D、三级信息系统中，使用了安全等级二级的密码产品，也可能会导致高风险

4434
单项选择题对测评单元“重要数据存储完整性”的测评结果如果为“部分符合”，依据《信息系统密码应用高风险判定指引》，以下哪些情况可以缓解风险（）。

A、应用系统具有符合要求的身份鉴别措施，保证只有授权人员才能访问应用系统的重要数据，且定期对重要数据进行备份
B、对数据进行加密存储保护
C、定期对重要数据进行备份
D、对数据进行加密传输保护

4435
单项选择题在设备和计算安全层中，依据《信息系统密码应用高风险判定指引》，能够降低服务器身份鉴别安全风险的措施是（）。

A、采用设备指纹方式登录服务器
B、采用手机短信验证码方式登录服务器
C、登录堡垒机后，再输入用户名+口令的方式，登录服务器
D、采用进入机房，本地运维的方式进行服务器管理

4436
单项选择题 SSL VPN 设备采用 HTTPS 协议进行管理（ TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384），依据《信息系统密码应用高风险判定指引》，对远程管理通道安全测评指标的结果判定最合理的是（）。

A、符合
B、部分符合
C、不适用
D、不符合

4437
单项选择题数据库服务器采用SSH协议进行远程管理，协议中使用非国密算法保障远程管理通道的安全，且经漏洞扫描发现SSH协议存在高风险漏洞。
依据《信息系统密码应用高风险判定指引》，以下对远程管理通道安全测评指标结果判定正确的是（）。

A、0.5分
B、0分
C、存在高风险安全问题
D、存在低风险安全问题

4438
单项选择题根据《信息系统密码应用高风险判定指引》，对采用密码技术实现数据完整性和机密性保护，说法错误的是（）。

A、业务系统中对身份证号、手机号等重要个人信息不应采用杂凑算法保证其机密性
B、数据完整性保护主要基于杂凑算法或数字签名算法实现
C、数据机密性主要基于对称或非对称密码算法实现
D、数据完整性和机密性应使用相同的密码算法实现

4439
单项选择题根据《信息系统密码应用高风险判定指引》，通常使用（）方法来实现数据原发行为的不可否认性和数据接收行为的不可否认性。

A、加密
B、时间戳
C、数字签名
D、手写签字

4440
单项选择题依据《信息系统密码应用高风险判定指引》，（）是建立评估对象所需密钥管理策略和密钥管理规则的主要依据。

A、评审通过的密码应用方案
B、系统安全性设计方案
C、系统建设实施方案
D、项目立项报告

4441
单项选择题某面向公众的三级门户网站系统通过部署经检测认证合格的安全网关（密码模块二级），使用 TLS ECDHE RSA_WITH AES 256_ GCM_SHA384密码算法套件，实现通信过程中重要数据的机密性和完整性保护，则根据《信息系统密码应用高风险判定指引》，以下对该密码技术实现方式的风险分析描述正确的是（）。

A、使用的密码算法可能不合规
B、存在密钥被非法授权篡改，或密钥与实体之间的关联关系被非法授权篡改的风险
C、密钥质量随机性不好，存在被攻击者猜测的风险
D、存在通信数据在信息系统外部被截取、篡改的风险

4442
单项选择题根据《信息系统密码应用高风险判定指引》，网络和通信安全层面的身份鉴别高风险适用于以下信息系统（）。

A、一级信息系统
B、二级信息系统
C、三级及以上级别信息系统
D、二级及以上级别信息系统

4443
单项选择题依据《信息系统密码应用高风险判定指引》，以下关于网络和通信安全层面“通信过程中重要数据机密性”风险缓解措施有效的是（）。

A、在“应用和数据安全”层面仅针对信息系统部分重要数据传输采用符合要求的密码技术进行机密性保护，且加密后的数据流能够覆盖网络通信信道
B、在“应用和数据安全”层面对信息系统所有需要保护的重要数据传输采用符合要求的密码技术进行机密性保护，且加密后的数据流能够覆盖网络通信信道
C、针对内网访问的信息系统，因不涉及互联网数据传输，所以可以降低网络和通信安全层面“通信过程中重要数据的机密性”面临的安全风险
D、通过专线进行数据传输的通道，可以认为专线面临的安全风险可控，能够降低其面临的安全风险

4444
单项选择题依据《信息系统密码应用高风险判定指引》，密钥更新环节可能会对密钥安全造成安全隐患的是（）。

A、按照制定的密钥生命周期的安全管理策略执行
B、未建立密钥已泄露或存在泄露风险时的密钥更新机制
C、在更新密钥过程中，填写相关表格进行记录
D、密钥定期备份

4445
多项选择题依据《信息系统密码应用高风险判定指引》，网络和通信安全层面如果通信实体身份真实性的密码技术实现机制（）或无效，可能会导致信息系统面临高风险。

A、不科学
B、不安全
C、不完整
D、不正确

4446
多项选择题依据《信息系统密码应用高风险判定指引》，以下对通用要求“密码算法”描述不正确的是（）。

A、指标要求是“信息系统中使用的密码算法应符合密码相关国家标准、行业标准的有关要求”
B、对所有不同安全等级的信息系统均适用
C、存在可能的缓解措施
D、若信息系统中采用 OpenSSL算法库实现 AES，为信息系统提供加密保护，则会导致高风险

4447
多项选择题依据《信息系统密码应用高风险判定指引》，以下对通用要求中“密码算法”的描述正确的是（）。

A、采用DES算法提供数据加密，则很可能导致高风险
B、采用SHA-1提供口令存储完整性保护，则很可能导致高风险
C、采用自行设计的数据处理算法，达到将数据不可读的目的，则该算法依然可能导致高风险
D、采用MD5 with RSA2048进行数字签名，不会导致高风险

4448
多项选择题在《信息系统密码应用高风险判定指引》中，以下属于不安全的密码算法是（）。

A、SM2
B、SHA-1
C、RSA-1024
D、MD5

4449
多项选择题在《信息系统密码应用高风险判定指引》中,以下属于密码算法安全问题的是（）。

A、采用了安全强度不够的密码算法
B、自行设计的密码算法
C、采用未经安全性论证的密码算法
D、采用了符合法律、法规规定和密码相关国家标准、行业标准有关要求的算法

4450
多项选择题某单位管理员远程登录服务器时，采用密码协议保证远程管理通道安全，依据《信息系统密码应用高风险判定指引》，避免带来高风险，以下可能采用的协议包括（）。

A、SSH 2.0
B、SSL 2.0
C、SSL 3.0
D、TLS 1.2

4451
多项选择题在《信息系统密码应用高风险判定指引》中，未涉及的安全问题场景，以下判定其风险程度的做法正确的是（）。

A、结合实际场景客观判断
B、无需关注
C、需分析考虑是否对其造成严重的安全隐患
D、直接判定为中或低风险

4452
多项选择题在《信息系统密码应用高风险判定指引》中，对高风险判定，从（）方面进行了描述。

A、指标要求
B、适用范围
C、安全问题
D、可能的缓解措施和风险评价

4453
多项选择题密评过程中发现的问题，在《信息系统密码应用高风险判定指引》中没有相关描述的，仍需从（）方面核查该问题是否存在风险。

A、密码算法
B、密码技术
C、密码产品
D、密码服务

4454
多项选择题依据《信息系统密码应用高风险判定指引》，采用密码技术对重要区域进入人员进行身份鉴别的措施可包括（）。

A、采用动态口令机制
B、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制
C、基于公钥密码算法的数字签名机制
D、基于生物特征识别

4455
多项选择题依据《信息系统密码应用高风险判定指引》，属于物理和环境安全层面身份鉴别方面引发的安全问题的是（）。

A、对进出机房人员采用的身份鉴别类产品不符合密码产品相关要求
B、对进出机房人员的身份鉴别机制无效
C、机房未采用视频监控系统
D、对进出机房人员未采用基于密码技术的身份鉴别措施

4456
多项选择题在《信息系统密码应用高风险判定指引》中，对网络和通信安全层面的通信实体进行身份鉴别时，引发高风险的原因可能是（）。

A、密码技术实现机制不正确或无效
B、未采用基于消息鉴别码（MAC）的机制
C、未采用数字签名机制
D、采用的密码产品未获得商用密码产品认证证书

4457
多项选择题某信息系统的用户仅使用“用户名+口令”方式进行登录系统，根据《信息系统密码应用高风险判定指引》，以下（）措施可以缓解这种登录方式带来的风险
A、设备指纹
B、人脸识别
C、第三方身份鉴别服务
D、指纹识别

4458
多项选择题设备指纹是指可以用于标识出该设备的设备特征或者独特的设备标识，用于区分和识别不同的设备。
按照《信息系统密码应用高风险判定指引》的规定，设备指纹因子包括（）。

A、计算机的操作系统类型
B、设备的硬件ID
C、手机的IMEI
D、电脑的网卡MAC地址

4459
多项选择题用户先通过SSL VPN接入信息系统内网，然后再通过浏览器登录系统内部应用。
根据《信息系统密码应用高风险判定指引》，以下对该系统风险缓解的描述，合理的有（）。

A、用户通过使用智能密码钥匙登录SSL VPN，经测评为符合；因此，该应用的用户角色的“身份鉴别”指标的风险可以适当降低
B、如果SSL VPN所涉及的通信信道对应的“网络和应用安全”层面的“身份鉴别”指标均为符合，那么应用和数据安全层面的“身份鉴别”指标的风险可以适当降低
C、如果SSL VPN所涉及的通信信道相应的“网络和应用安全”层面的“通信过程中重要数据的机密性”指标均为符合，那么应用和数据安全层面的“重要数据传输机密性”指标的风险可以适当降低
D、《信息系统密码应用高风险判定指引》不涉及“网络和应用安全”层面的“重要数据传输完整性”指标，因此该指标不会存在高风险

4460
多项选择题在《信息系统密码应用高风险判定指引》中，以下存储保护方式会导致系统在“重要数据存储完整性”方面存在高危风险的有（）。

A、使用SHA1 With RSA-2048进行数字签名
B、使用SM3杂凑算法对数据进行杂凑计算，杂凑值与数据一同存放
C、使用SM4-GCM算法对数据进行加密保护
D、使用HMAC-SM3对数据进行MAC计算，但是仅截取MAC的8个比特进行使用

4461
多项选择题在《信息系统密码应用高风险判定指引》中，以下存储保护方式会导致系统在“重要数据存储机密性”方面存在高危风险的有（）。

A、使用DES-CBC进行数字签名
B、使用SM4-CBC算法加密
C、使用RSA-1024算法对SM4密钥加密
D、使用SM4-GCM算法对数据进行加密保护

4462
多项选择题在《信息系统密码应用高风险判定指引》中，以下实现用户身份真实性的措施，不会带来安全问题的是（）。

A、生物指纹技术
B、动态口令机制
C、基于对称密码算法或密码杂凑算法的消息鉴别码（MAC）机制
D、基于公钥密码算法的数字签名机制

4463
多项选择题《信息系统密码应用高风险判定指引》中，在应用和数据安全层面，采用以下（）措施，可以可缓解系统在用户身份鉴别方面存在的安全风险。

A、采用设备指纹保证用户身份的真实性
B、采用生物指纹保证用户身份的真实性
C、采用第三方身份鉴别服务保证用户身份的真实性
D、绑定登录用户终端的IP地址

4464
多项选择题在《信息系统密码应用高风险判定指引》中，使用（）身份鉴别方式，可能会触发应用和数据安全层面“身份鉴别”的风险判定。

A、USB-Key
B、动态口令机制
C、短信验证码
D、邮箱验证码

4465
多项选择题在《信息系统密码应用高风险判定指引》中，使用（）方法不会触发应用和数据层面“重要数据传输机密性”的风险判定。

A、采用标准tls 1.2协议
B、基于SM4-CBC对称密码算法
C、基于SM2非对称密码算法
D、基于Base64编码的方式

4466
多项选择题在《信息系统密码应用高风险判定指引》中，（）属于应用和数据层面“重要数据存储机密性”的涉及范围。

A、业务系统采用AES加密存储数据
B、使用SM3密码算法保存了银行客户的身份证号，以便发给公安系统进行比对
C、使用HMAC-SM3算法对关键业务数据进行完整性保护
D、使用SM4算法实现重要数据传输的机密性

4467
多项选择题依据《信息系统密码应用高风险判定指引》，下列说法错误的是（）。

A、可使用密码杂凑算法的消息鉴别码（MAC）机制解决数据传输机密性的高风险问题
B、可使用基于公钥密码算法的数字签名机制解决数据存储完整性问题
C、三级及以上信息系统一定存在不可否认性的高风险问题
D、使用RSA1024算法可解决重要数据存储机密性问题

4468
多项选择题依据《信息系统密码应用高风险判定指引》，在应用和数据安全层面，可能存在高风险项的是（）。

A、身份鉴别
B、重要数据传输机密性
C、重要数据传输完整性
D、重要数据存储完整性

4469
多项选择题依据《信息系统密码应用高风险判定指引》，密评过程中主要关注的管理制度有（）。

A、密码人员管理
B、密钥管理
C、建设运行
D、应急处置

4470
多项选择题由于密码技术的安全依赖于密钥安全，因此密钥的安全管理是密码技术应用中非常重要的环节，下列属于密钥管理环节的是（）。

A、使用
B、更新
C、归档
D、销毁

4471
多项选择题依据《信息系统密码应用高风险判定指引》，以下内容可能会给密钥管理带来安全隐患的是（）。

A、未采用通过检测认证合格的随机数发生器生成密钥，且无公开文献和证据证明随机数发生器的合理性和正确性
B、密钥在不可控的环境中生成
C、密钥协商之前或协商过程中没有验证对方身份真实性
D、密钥由具有商用密码认证证书的密码产品产生

4472
多项选择题依据《信息系统密码应用高风险判定指引》，密钥分发环节可采取的安全措施有（）。

A、使用没有访问控制机制的存储介质（如普通信封、普通U盘）等传输明文密钥
B、密钥在可控的环境中分发，使用了密码技术保护密钥的机密性和完整性
C、分发密钥时，一人可领取多段密钥
D、密钥明文及其组件采用电子邮件、传真、电传、电话等方式直接传递

4473
多项选择题依据《信息系统密码应用高风险判定指引》，密钥销毁和撤销环节可能会对密钥管理带来安全隐患是（）。

A、不具备密钥在应急情况下的密钥销毁/撤销的机制
B、未按照设定的安全机制进行密钥销毁/撤销
C、对于磁记录存储器存储的密钥，简单的删除、清0或写1即可
D、停止使用的密钥一般不要立即毁掉，而需再保存一段时间然后再毁掉

4474
多项选择题在《信息系统密码应用高风险判定指引》中，对“通用要求”部分的理解正确的是（）。

A、指标要求来自于 GB/T 39786《信息安全技术信息系统密码应用基本要求》的通用要求部分
B、描述的内容适用范围是从二级到四级信息系统
C、不存在可能的缓解措施
D、若出现相应安全问题的情形，则一定会导致高风险

4475
多项选择题依据《信息系统密码应用高风险判定指引》，对于通用要求“密码算法”的描述正确的是（）。

A、描述的内容适用范围为所有级别信息系统
B、RSA（不足2048比特）可能会导致高风险
C、采用自行设计的密码算法可能会导致高风险
D、使用MD5杂凑算法可能导致高风险

4476
多项选择题依据《信息系统密码应用高风险判定指引》，对于通用要求“密码技术”的描述正确的是（）。

A、测评过程中，在该方面若发现问题，存在可能的缓解措施
B、系统采用了未经安全性论证的密码协议，可能会给系统带来高风险
C、使用TLS 1.0协议实现对通信信道的保护，可能会导致高风险
D、信息系统选用密码技术时，需考虑该密码技术是否遵循密码相关国家标准和行业标准

4477
多项选择题依据《信息系统密码应用高风险判定指引》，对于通用要求“密码算法”的描述不正确的是（）。

A、存在安全问题或安全强度不足的密码算法可能会导致高风险
B、使用自行设计的密码算法可能会导致高风险
C、未经安全性论证的密码算法可能会导致高风险
D、该指标对应的密码算法不仅要符合法律要求，还应遵循国家标准

4478
多项选择题依据《信息系统密码应用高风险判定指引》，通用要求“密码产品和密码服务”中，密码产品存在可能导致高风险的问题有（）。

A、密码产品在使用时未按照产品的安全策略文档部署和使用
B、不具有商用密码产品认证证书
C、密码服务提供商不具有相关资质
D、密码厂商自研一套软件密码模块，但无法提供该密码产品的安全性证明结论

4479
多项选择题根据《信息系统密码应用高风险判定指引》，下列属于密钥管理环节的是（）。

A、产生
B、撤销
C、备份
D、恢复

4480
多项选择题依据《信息系统密码应用高风险判定指引》，某三级信息系统主备机房，采用8位以上的口令，对进入机房的用户进行身份鉴别。
以下针对身份鉴别测评指标的符合性判定以及针对问题风险的判定正确的是（）。

A、不符合
B、高风险
C、部分符合
D、中风险

4481
多项选择题依据《信息系统密码应用高风险判定指引》，某三级信息系统主备机房，采用人脸识别技术对进入机房的用户进行身份鉴别，并在机房出入口配备专人值守，并保留了人员进出记录，以下针对身份鉴别测评指标的符合性判定以及针对问题风险的判定正确的是（）。

A、不符合
B、高风险
C、部分符合
D、中风险

4482
多项选择题依据《信息系统密码应用高风险判定指引》，以下措施能够缓解设备和计算安全层面远程管理通道安全测评项的高风险的是（）。

A、采用带外管理的方式对所有设备进行远程管理
B、所有运维人员均需要通过堡垒机进行身份认证
C、所有设备均需要运维人员通过SSL VPN设备进行远程管理，且采用的密码技术符合要求
D、运维人员采用两种身份鉴别措施对设备进行远程管理，其中一种身份鉴别措施为密码技术

4483
多项选择题根据《信息系统密码应用高风险判定指引》，以下采用的措施对物理和环境安全的身份鉴别，可能带来安全风险的是（）。

A、采用口令方式鉴别进入人员身份
B、采用ID卡方式鉴别进入人员身份
C、采用指纹识别方式鉴别进入人员身份
D、机房采用物理锁方式控制人员进出

4484
判断题依据《信息系统密码应用高风险判定指引》，若未采用密码技术对重要区域进入人员进行身份鉴别，但基于生物识别技术（如指纹等）保证人员身份真实性，可酌情降低风险等级。

A、正确
B、错误

4485
判断题根据《信息系统密码应用高风险判定指引》，依据相关密码算法标准自行开发实现的国密算法满足标准要求。

A、正确
B、错误

4486
判断题根据《信息系统密码应用高风险判定指引》，远程管理设备时，未采用密码技术建立安全的信息传输通道且无缓解措施的情况下，风险分析应判断为高风险。

A、正确
B、错误

4487

判断题依据《信息系统密码应用高风险判定指引》，在应用和数据安全层面，未采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性，但基于特定识别技术（如设备指纹、生物指纹、第三方身份鉴别服务等）保证用户身份的真实性，可酌情降低风险。

A、正确
B、错误

4488

判断题根据《信息系统密码应用高风险判定指引》，在应用和数据安全层面，未采用密码技术保证信息系统应用的重要数据在传输过程中的机密性，可直接判定为高风险问题。

A、正确
B、错误

4489

判断题根据《信息系统密码应用高风险判定指引》，第二级及以上级别信息系统，未采用密码技术保证信息系统应用的重要数据在存储过程中的完整性，可直接判定为高风险问题。

A、正确
B、错误

4490

判断题某单位在密码应用改造方案中，采用了自行设计研发的密码算法实现数据的保密性保护，经内部确认该算法比较安全，该算法不会触发高风险判定。

A、正确
B、错误

4491

判断题根据《信息系统密码应用高风险判定指引》，应确保三级以上的信息系统中使用的密码算法符合法律、法规的规定和密码相关国家标准、行业标准的有关要求，其他级别可酌情考虑。

A、正确
B、错误

4492

判断题根据《信息系统密码应用高风险判定指引》，若信息系统所使用的密码技术未遵循密码相关国家标准和行业标准，则一定会导致信息系统面临高等级安全风险。

A、正确
B、错误

4493

判断题根据《信息系统密码应用高风险判定指引》，若信息系统中使用了存在安全问题的密码产品、密码服务，则可通过采取一定的缓解措施来降低可能的风险。

A、正确
B、错误

4494

判断题某单位在密码改造工作中，采用自实现且未提供安全性证据的密码产品实现数据库的数据存储保密性保护，但考虑到数据仅内网访问，且数据库部署了审计产品，可从一定程度上缓解风险程度。

A、正确
B、错误

4495

判断题信息系统测评过程中的风险判定只需依据《信息系统密码应用高风险判定指引》所列出的相关安全问题所引发的风险等级做出判断。

A、正确
B、错误

4496

判断题依据《信息系统密码应用高风险判定指引》，缓解措施是指可以降低威胁利用安全问题导致安全事件发生造成严重程度的安全措施。

A、正确
B、错误

4497

判断题《信息系统密码应用高风险判定指引》中所涉及的指标要求包括了《信息安全技术信息系统密码应用基本要求》所有要求项。

A、正确
B、错误

4498

判断题依据《信息系统密码应用高风险判定指引》，虽未采用密码技术对重要区域进入人员进行身份鉴别，但基于生物识别技术（如指纹等）同样保证了人员身份真实性，可酌情降低风险等级。

A、正确
B、错误

4499

判断题依据《信息系统密码应用高风险判定指引》，在网络和通信安全中，通信实体身份鉴别方面的高风险问题可以有缓解措施。

A、正确
B、错误

4500

判断题依据《信息系统密码应用高风险判定指引》，在网络通信过程中，重要数据机密性方面的高风险问题有缓解措施。

A、正确
B、错误

在这里插入图片描述

【密评】商用密码应用安全性评估从业人员考核题库（十八）

商用密码应用安全性评估从业人员考核题库（十八）

相关文章

centos7部署nginx

Snagit 2024.0.1(mac截屏软件)

【npm run dev 报错：error:0308010C:digital envelope routines::unsupported】

测试老鸟，Python接口自动化测试框架搭建-全过程，看这篇就够了...

uniapp 省市区三级联动选择器

2023.10.31 关于 Spring 的基本概念

Redis-持久化+主从架构

Modelsim 使用教程（4）—— Working With Multiple Libraries

美团面试：Redis 除了缓存还能做什么？可以做消息队列吗？

VBA之正则表达式（44）-- 拆分商品和规格

BUUCTF 数据包中的线索 1

基于SSM的同学录网站

【星海出品】VUE（一）

【HTML】播放器如何自动播放【已解决】

一座 “数智桥梁”，华为助力“天堑变通途”

Linux的常见指令（一）

学习 SpringMVC 必备的 4 大知识点

Java多条件排序使用Comparator和thenComparing【包含排序List＜Map＜String, String＞＞】

Rust 语言常见的一些概念（下）

机器学习中的嵌入：释放表征的威力