商用密码应用安全性评估从业人员考核题库(二十-完结)
国密局给的参考题库5000道只是基础题,后续更新完5000还会继续更其他高质量题库,持续学习,共同进步。
4640
单项选择题 在测评过程中遇到的PEM编码格式,除了开头和结尾,其内容体通常以()格式编码。
A、BER
B、DER
C、Base64
D、Base64url
4641
单项选择题 某信息系统部署在云服务提供商(CSP)机房,其物理机房完全由CSP托管,那么在对该信息系统进行密评时,在物理和环境安全层面合理的做法是()。
A、若CSP机房未通过密评,则物理和环境安全层面直接判定为“不符合”
B、若CSP机房通过密评,则可以复用该机房的密评结论
C、若CSP机房未通过密评,则可以直接判定为“符合”
D、无论CSP机房是否通过密评,物理和环境安全层面应判定为“不适用”
4642
单项选择题 某二级信息系统,对物理和环境安全层面“身份鉴别”这一项,其密码应用方案中论述了无法采用密码技术的客观因素,并提供了目前采用的风险控制措施,即人脸识别,密评人员在实际测评时核实密码应用方案中的措施已落实。
那么作为该条款的测评结论合理的是()。
A、符合
B、部分符合
C、不符合
D、不适用
4643
单项选择题 在设备和计算安全层面,若存在100台服务器,其中60台为A厂商生产且为同一型号,40台为B厂商生产且为同一型号,同一厂商的硬件/软件配置相同。
为提高测评效率,同时避免遗漏测评对象,以下测评对象选取方法合理的是()。
A、同一类机型的服务器作为一个测评对象,所以有两个测评对象,即机型A和机型B两类服务器
B、由于这100台服务器均属于通用设备,可视为一个测评对象
C、每一台服务器均作为一个测评对象,所以测评对象数量为100个
D、以上都正确
4644
单项选择题 某四级信息系统,对物理和环境安全“身份鉴别”这一项,其密码应用方案中论述了无法采用密码技术的客观因素,并提供了目前采用的风险控制措施,即“口令+指纹”,密评人员在实际测评时核实方案中的措施已落实。
那么作为该条款的测评结论合理的是()。
A、符合
B、部分符合
C、不符合
D、不适用
4645
单项选择题 某三级信息系统开发人员采用密码机(经检测认证的一级密码模块)实现的SM4算法,为具有“重要数据传输机密性”安全需求的数据提供相应密码保护,经密评人员确认该指标测评对象有2个,且密码保护有效。
那么该指标的判定结果较为合理的是()。
A、符合,1分
B、部分符合,0.5分
C、部分符合,0.3分
D、不符合,0.25分
4646
单项选择题 用户在某银行网点取钱,输入支付口令后,该口令途经两段传输过程:1)ATM机到银行服务端金融数据密码机(经检测认证合格),采用SM4算法提供传输机密性;2)银行服务端金融数据密码机(经检测认证合格)到银行服务端核心系统服务器(非直连),采用AES-128提供传输机密性。
以口令作为测评对象,其“重要数据传输机密性”的判定结果为()。
A、符合
B、部分符合
C、不符合
D、基本符合
4647
单项选择题 以下因素()可能导致数字签名功能不正确。
A、签名中使用固定的随机数
B、待签消息比SM3杂凑值长
C、签名中使用不可预测的随机数
D、使用私钥签名
4648
单项选择题 某信息系统在数据库中存储有用户的性别字段的密文,应用开发人员告知密评人员该字段采用 SM4-CBC算法进行了加密。
密评人员查看该字段信息发现只存在两种密文值,每个密文值长度为 128比特。
那么以下推断正确的是()。
A、如果确实使用SM4- CBC进行加密,那么开发人员可能错误地使用了IV
B、由于密文长度为64比特的整数倍,因此性别字段一定使用了DES或3DES进行加密,开发人员说法存在问题
C、开发人员不可能使用ECB模式加密
D、由于密文长度为128比特的整数倍,符合SM4的分组特征,因此可以判定开发人员的说法是正确的
4649
单项选择题 应用服务器的数据库中,用户的单条记录(包括口令杂凑值、身份证号、手机号等密文值、角色、权限等)利用HMAC-SM3计算后, 把得到的 MAC值一并存放在该条目中,针对“应用和数据安全”层面的“重要数据存储完整性”指标判定最多可以给()分。
A、0
B、0.25
C、0.5
D、1
4650
单项选择题 某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“身份鉴别”指标的量化评估结果最多为()分。
A、0.25
B、0.5
C、0
D、1
4651
单项选择题 某三级信息系统,网络和通信安全层面采用了合规的密码技术进行通信实体身份鉴别,测评人员经核实后判定结果为1分;应用和数据安全层面采用“用户名+口令”的方式对业务系统登录用户进行身份鉴别。
则“应用和数据安全”层面的“身份鉴别”指标的应用用户测评对象经“网络和通信安全”层面“身份鉴别”指标结果弥补后的量化评估分值为()。
A、1
B、0.5
C、0.25
D、0
4652
单项选择题 某三级信息系统通过HMAC-SM3对重要数据计算 MAC值后与数据原文一同存储在数据库中,密码运算为软件实现,针对“应用和数据安全”层面的“重要数据存储完整性”指标最高可以给()分。
A、0
B、0.25
C、0.5
D、1
4653
单项选择题 某三级信息系统的重要数据包括用户口令、日志信息、业务数据,这三类数据的存储机密性量化评估分值分别为0.25、0.5、0.25,针对“应用和数据安全”层面的“重要数据存储机密性”的测评单元得分为()。
A、0.3333
B、1
C、0.5
D、0.25
4654
单项选择题 某三级信息系统,制定了密码安全应急策略,规定了相关应急事件处置措施和流程,明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置情况。
该系统目前未发生过密码应用安全事件,无相应处置记录。
针对“应急处置”层面的“事件处置”指标最高可以给()分。
A、1
B、0.25
C、0.5
D、0
4655
单项选择题 某三级信息系统的系统管理员通过堡垒机登录通用服务器并对其进行远程管理,进入堡垒机后,系统管理员通过用户名+口令的方式访问通用服务器。
系统管理员登录堡垒机时通过部署具有商用密码产品认证证书的安全浏览器(安全等级二级)和智能密码钥匙(安全等级二级)并基于数字证书(在有效期内)的方式进行身份鉴别,算法为SM2。
因此该系统在“设备和计算安全”层面的通用服务器测评对象的“身份鉴别”指标
D、K的判定结果为()。
A、√,√,√
B、×,/,/
C、√,×,×
D、√,√,×
4656
单项选择题 某三级信息系统用户端与服务端之间进行通信时,只对服务端进行了基于密码的身份鉴别且身份 鉴 别 机 制 有 效 , 使 用 的 签 名 算 法 为 SM2withSM3,针对“网络和通信安全”层面的“身份鉴别”指标最高可以给()分。
A、0
B、0.25
C、0.5
D、1
4657
单项选择题 某三级信息系统通过堡垒机对通用服务器进行集中管理,其中管理员与堡垒机之间使用HTTP协议建立传输通道,堡垒机与通用服务器之间使用 SSH2.0建立传输通道,因此针对“设备和计算安全”层面的“远程管理通道安全”指标的判定结果为()。
A、符合
B、部分符合
C、不符合
D、无法判断
4658
单项选择题 某信息系统有两个业务应用,其中应用A有管理员用户和操作员用户两类用户,分别采用用户名+口令和基于动态口令(经过检测认证的密码产品)的身份鉴别方式;应用B有管理员用户和业务员用户两类用户,均基于经过检测认证的智能密码钥匙进行身份鉴别。
针对“应用和数据安全”层面的“身份鉴别”指标,最多可以给()分。
A、0.5
B、1
C、3
D、0.75
4659
单项选择题 某三级信息系统通过SSL VPN建立远程管理传输通道,管理终端与SSL VPN之间传输协议使用的密码套件为ECC_SM4_GCM_SM3。
该网络通信信道使用()算法实现通信数据的机密性保护。
A、ECC
B、SM4_GCM
C、SM3
D、基于SM3的HMAC
4660
单项选择题 某三级信息系统客户端与服务端之间的网络通信信道使用TLSv1.2协议进行传输保护,使用的密码套件为 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,记录层协议中使用()算法进行通信数据机密性和完整性保护。
A、ECDHE,RSA
B、AES_256_GCM,AES_256_GCM
C、AES-GCM,HMAC- SHA384
D、AES-GCM,SHA384
4661
单项选择题 某三级信息系统的访问控制信息通过调用服务器密码机( 通过商用密码产品检测认证) 使用 SM3withSM2数字签名算法计算签名值后,将访问控制信息与签名值一同保存在数据库中,但用户访问业务应用时未对访问控制信息的签名值进行验证,针对“应用和数据安全”层面的“访问控制信息完整性”为()分。
A、0
B、0.25
C、0.5
D、1
4662
单项选择题 在密评时,以下密码算法/技术的组合()认为存在高危风险。
A、对数据进行RSA- 3072和SHA-1签名
B、对数据进行DES加密后,再进行SM4加密
C、对数据进行HMAC- SHA256保护
D、对数据进行SM2和SM3签名
4663
单项选择题 测评过程中,对信息系统网络边界内的用户与系统应用之间重要数据传输保护的测评属于()安全层面的测评内容。
A、网络和通信安全
B、设备和计算安全
C、应用和数据安全
D、密钥管理
4664
单项选择题 密评人员对SSL VPN进行测评时发现所使用的密码套件为{0xe0 , 0x11}, 以下判断不合理的是()。
A、该套件使用SM2密钥交换算法进行密钥协商
B、该套件使用SM4- GCM进行数据加密
C、该套件使用HMAC- SM3进行数据完整性保护
D、该套件使用SM2算法进行密钥协商
4665
单项选择题 密评人员对SSL VPN进行测评时发现所使用的密码套件为{0xe0,0x13}后,以下判断不合理的是()。
A、该套件使用SM2密钥交换算法进行密钥协商
B、该套件使用SM4- CBC进行数据加密
C、该套件使用HMAC- SM3进行数据完整性保护
D、该套件使用SM3作为PRF派生密钥
4666
单项选择题 某业务系统用户手机号利用SM3进行杂凑计算后,将得到完整的杂凑值存放在应用服务器的数据库中,那么对于“应用和数据安全”层面的“重要数据存储完整性”指标最多可以给()分。
A、0
B、0.25
C、0.5
D、1
4667
多项选择题 在测评时,信息系统声称采用SM4-CBC进行个人隐私信息的存储机密性保护,以下收集的证据与其声称的存在矛盾或证明其使用不合规的包括()。
A、密文长度为192比特
B、密文长度为64比特
C、IV值以明文形式存储
D、IV值都为全0
4668
多项选择题 在密评中,当证书认证系统作为测评对象时,以下测评实施合理的包括()。
A、对信息系统内部署证书认证系统,测评人员可以参考 GM/T 0037《证书认证系统检测规范》和GM/T 0038《证书认证密钥管理系统检测规范》的要求进行测评
B、通过查看数字证书扩展项KeyUsage 字段,确定证书类型(签名证书或加密证书),并验证数字证书及其相关私钥是否正确使用
C、通过数字证书格式合规性分析,验证生成或使用的证书格式是否符合 GM/T 0015《基于 SM2 密码算法的数字证书格式规范》的有关要求
D、检查证书认证系统中所使用的密码机等是否具备商用密码产品认证证书
4669
多项选择题 在密评中,当电子门禁系统作为测评对象时,以下测评实施合理的包括()。
A、尝试发一些错误的门禁卡,验证这些卡无法打开门禁
B、利用发卡系统分发不同权限的卡,验证非授权的卡无法打开门禁
C、对电子门禁系统是否满足GM/T 0028《密码模块安全技术要求》进行检测
D、检查电子门禁系统中所使用的智能卡、密码机等是否具备商用密码产品认证证书
4670
多项选择题 在密评中,当IPSec VPN保护的通道作为测评对象时,以下测评实施合理的包括()。
A、抓取IPSec通信报文进行分析算法使用情况,以及对数字证书开展合规性分析
B、查看IPSec VPN的配置情况
C、检查IPSec VPN等是否具备商用密码产品认证证书
D、对IPSec VPN是否满足GM/T 0028《密码模块安全技术要求》进行检测认证
4671
多项选择题 如果设备登录需要使用智能密码钥匙,那么开展密评时,以下测评实施合理的包括()。
A、在模拟的主机或抽选的主机上安装监控软件(如Bus Hound),用于对智能密码钥匙的APDU指令进行抓取和分析,确认调用指令格式和内容符合预期(如口令和密钥是加密传输的)
B、如果智能密码钥匙存储有数字证书,测评人员可以将数字证书导出后,对数字证书合规性进行检测
C、检查智能密码钥匙是否具备商用密码产品认证证书
D、对智能密码钥匙是否满足GM/T 0028《密码模块安全技术要求》进行检测认证
4672
多项选择题 在密评中发现被测信息系统使用了以下密码算法和密码技术,合规的是()。
A、SM4-GCM
B、SM3-HMAC
C、TLS 1.3
D、TLCP
4673
多项选择题 在对信息系统进行密钥管理测评时,以下存在风险的有()。
A、DH密钥协商前或协商过程中未进行身份鉴别
B、利用口令派生的密钥进行传输通信保护
C、一个密钥同时用于加密和MAC
D、IV和计数器值公开传递
4674
多项选择题 测评人员在测评时,发现以下情况,其中密码应用合规正确的有( )。
A、通信双方进行加密通信前,使用了双证书中的加密证书进行SM2密钥协商
B、通信双方使用TLS 1.3进行通信,并将其中的密码算法全部替换为 SM2/SM3/SM4
C、用户使用SM4-CTR进行加密时,以随机数和当前时间值的拼接作为计数器值,将计数器值以明文形式与密文一并发送给接收方
D、信息系统使用同一个数据密钥采用 SM4-CBC模式对所有用户的性别信息进行加密保护,并使用全0的IV值
4675
多项选择题 密评人员对SSL VPN进行测评时发现{0xe0 ,0x13}后,以下判断合理的是()。
A、SSL VPN的两端进行了双向身份鉴别
B、SSL VPN的两端利用 ECDH协议进行密钥交换
C、SSL VPN的两端采用 SM4算法实现数据传输的机密性保护
D、SSL VPN的两端采用 HMAC-SM3算法实现数据传输的完整性保护
4676
多项选择题 密评人员在检查数据库中存储的口令杂凑值时,发现以下情况:(1)A和B有相同的口令杂凑值;(2)口令杂凑值长度均为256比特。
以下分析正确的是()。
A、可以确定使用了SM3对口令进行杂凑保护
B、可能采用了MD5对口令进行杂凑计算
C、计算口令杂凑值时可能未加入用户唯一的盐值
D、A和B可能共享相同的口令
4677
多项选择题 对于托管到IDC机房的信息系统,测评其物理和环境安全层面,较为合理的做法有()。
A、若IDC机房通过密评,则可以复用该机房的密评结论
B、若IDC机房未通过密评,对于条件不允许的情况,可通过 IDC机房运维方提供的相关说明文件和有关证据,进而给出测评结论
C、若IDC机房未通过密评,则需要现场测评取证,判定该机房的符合程度
D、无论IDC机房是否通过密评,由于机房的责任主体不属于该信息系统责任方,所以该机房的测评结论应是“不适用”
4678
多项选择题 在测评某一信息系统时,其设备和计算安全层面可能涉及的测评对象有()。
A、数据库管理系统
B、虚拟机
C、应用服务器
D、VPN网关
4679
多项选择题 重要数据存储完整性可以通过以下()密码技术实现。
A、带盐的SM3
B、HMAC-SHA256
C、CMAC-SM4
D、SM2数字签名
4680
多项选择题 网络和通信安全层面的测评对象识别与确认应考虑以下因素()。
A、网络类型
B、通信人员
C、传输数据
D、通信主体
4681
多项选择题 测评人员在核查“传输机密性”密码功能时,可能需要关注以下内容()。
A、重要数据或鉴别信息是否为密文
B、密文数据长度是否符合预期
C、相关密码产品中密钥类型
D、相关密码产品中密码算法类型
4682
多项选择题 测评人员在核查“传输完整性”密码功能时,可能需要关注以下内容()。
A、数字签名数据长度
B、MAC值长度
C、使用对应公钥能否对签名值通过验签操作
D、相关密码产品中加密算法类型
4683
多项选择题 测评人员在核查“真实性”密码功能时,可能需要关注以下内容()。
A、发送的挑战值是否每次均不重复
B、使用对应公钥能否对签名值通过验签操作
C、公钥或对称密钥与实体的绑定方式
D、对数字证书格式正确性进行验证
4684
多项选择题 对某政务外网信息系统开展测评时,网络和通信安全层面的测评对象可包括()。
A、互联网用户通过浏览器访问该系统服务网站的HTTP通信信道
B、该系统与政务外网上其他单位的系统之间的通信信道
C、异地办事人员访问该系统建立的VPN通信信道
D、该系统移动端APP访问服务端建立的 HTTPS通信信道
4685
多项选择题 以下关于用户密钥的存储方式, 说法正确的是()。
A、数据加密密钥在经过检测认证的三级密码模块中存储
B、SM2签名私钥经 SM4-GCM加密后存储在数据库中
C、SM2签名证书明文存储在应用服务器中
D、SM4密钥经SHA1加密存储在数据库
4686
多项选择题 应急广播消息一般用于发布事关人民群众的生命财产安全的内容,消息发布过程一旦遭到非授权破坏,将会严重扰乱社会秩序。
针对应急广播业务场景中应急广播消息的安全需求分析,正确的是()。
A、消息来源真实性
B、消息传输机密性
C、消息播发行为的不可否认性
D、消息传输完整性
4687
多项选择题 在电子不停车收费系统(ETC)中,车辆通过办理和安装ETC卡,实现车辆在高速收费站的流水数据的产生、传输和缴费等功能。
对于该业务场景的安全需求分析,正确的是()。
A、车辆途经收费站 时,收费站和车辆的双向鉴别
B、车辆信息、扣费金额等业务数据的传输完整性
C、收费站将ETC业务数据传输到省联网收费中心时的网络通信实体身份鉴别
D、收费站将ETC业务数据传输到省联网收费中心时的通信数据完整性保护
4688
多项选择题 关于电子门禁系统的实操测试,以下描述正确的有()。
A、尝试复制门禁卡,验证是否可以进行有效复制
B、修改某一条门禁访问日志记录,验证是否有篡改成功
C、对每条记录分别生成MAC值并存放在该条记录后面一列的做法是可以满足“电子门禁记录数据存储完整性”要求的
D、利用发卡系统分发不同权限的卡,验证未授权的卡无法打开门禁
4689
多项选择题 信息系统中使用的服务器密码机作为测评对象,针对“设备和计算安全”层面的“身份鉴别”指标,服务器密码机采用以下()鉴别方式时可以判定为符合。
A、智能IC卡
B、智能密码钥匙+口令
C、口令
D、智能密码钥匙
4690
多项选择题 针对“应用和数据安全”层面的“身份鉴别”指标,以下登录方式最高可以得1分的是()。
A、用户名+短信验证码
B、用户名+智能密码钥匙+PIN码
C、人脸+指纹
D、用户名+动态令牌
4691
多项选择题 某三级信息系统已运行5年,针对“建设运行”部分的“定期开展密码应用安全性评估及攻防对抗演习 ”指标开展测评时,以下()可以作为测评证据。
A、上一次的密评报告
B、攻防对抗演习报告
C、对上一次密评过程中存在的问题进行整改的文件
D、等级保护测评报告
4692
多项选择题 信息系统中使用的用于业务数据保护的密钥,以下做法不正确的是()。
A、同一个密钥既用于加密保护又用于安全认证
B、公钥明文存储在数据库中,未进行完整性保护
C、在进行签名验签前未对公钥证书有效性进行验证
D、对签名私钥进行归档
4693
多项选择题 某网上银行交易系统,用户交易信息由用户智能密码钥匙使用SM2算法进行数字签名后传输,实现交易数据原发行为的不可否认性,数字签名算法实现正确。
针对“应用和数据安全”层面的“不可否认性”指标,可能的分值是()。
A、0
B、0.25
C、0.5
D、1
4694
多项选择题 以下情况可能会导致系统的整体评估结论为“不符合”的是()。
A、某三级信息系统制定了密码应用方案且方案通过评审,在测评时发现系统存在一个高风险项
B、在对某运行过程中的四级信息系统进行测评时发现,被测单位未建立任何与密码应用安全管理活动相关的管理制度
C、某三级信息系统未采用密码技术对存储的重要数据进行完整性保护,但系统具有符合要求的身份鉴别措施,保证只有授权人员才能访问应用系统的重要数据,且定期对重要数据进行备份
D、某四级电子公文系统使用RSA-1024、 SHA-1算法对业务员的关键行为进行数字签名,以实现关键操作行为的不可否认性
4695
多项选择题 在对医疗机构信息系统进行测评时,涉及不可否认性需求的可能有()。
A、病例完成时间的不可否认性
B、医护人员开具处方的不可否人性
C、患者知情同意文书签署的不可否认性
D、电子病例书写的不可否任性
4696
多项选择题 某四级信息系统的责任单位可采用以下()机制以满足“人员管理”方面的要求。
A、设置密钥管理员、密码安全审计员、密码操作员并分别由甲、乙、丙三人担任
B、关键岗位人员由机构内部人员担任,并在任前进行背景调查
C、建立上岗人员培训制度,对涉及密码的操作和管理人员进行专门培训
D、建立人员保密和调离制度,签订保密合同
4697
多项选择题 云平台中使用的云服务器密码机作为测评对象时,应满足以下管理要求()。
A、云服务器密码机的宿主机由云平台或云服务器密码机所有者进行管理和使用,虚拟密码机由租户管理和使用
B、宿主机和不同的虚拟密码机不能相互访问对方的管理员账号、口令
C、云服务器密码机的宿主机接受云平台管理系统的集中统一管理,虚拟密码机不接受云平台管理系统的集中统一管理,可由虚拟密码机所属租户自己的管理系统进行集中统一管理
D、云服务器密码机的宿主机和不同虚拟密码机的远程管理通道应彼此独立,并采用加密和身份鉴别等技术手段对远程管理通道进行保护
4698
多项选择题 针对“网络和通信安全”层面的测评,以下描述不合理的是()。
A、某三级信息系统,移动终端用户通过 SSL VPN访问内网资源,移动终端与SSL VPN之间必须实现双向身份鉴别
B、如果被测系统的远程管理通道存在跨网络的情况,那么该远程管理通道也应该作为“网络和通信安全”层面的测评对象
C、某三级信息系统互联网PC端用户可以通过HTTP或者国密 SSL协议两种方式访问被测信息系统,针对“通信数据完整性”和“通信过程中重要数据机密性”指标可以直接判定为符合
D、某三级信息系统主机房和灾备机房之间通过部署IPSec VPN设备建立安全传输通道,那么该网络通信信道的测评只能以主机房的 IPSec VPN设备作为测评接入点
4699
多项选择题 在车路协同通信场景中,可以采用以下()方式开展测评。
A、在被测车辆无线通信范围内,使用无线协议分析类工具抓取智能车辆发送的通信数据,核实其消息中是否附加了数字签名
B、通过文档审查、配置检查等方式验证车辆接收消息时是否验证了数字签名以及签名所用证书的有效性
C、在核实数字证书合法性和有效性时,应注意数字证书管理的各个环节
D、查看和核实信息系统使用的各密码产品的商用密码产品认证证书
4700
多项选择题 如果发现被测信息系统采用对称密码体制,使用“密钥加密密钥-数据密钥”的二层密钥体系进行数据的传输加密,以下测评实施合理的包括()。
A、检查密钥加密密钥分发时是否抗截取、篡改、假冒等攻击
B、检查密钥加密密钥分发时密钥的机密性、完整性等
C、检查数据密钥分发时是否抗截取、篡改、假冒等攻击
D、检查数据密钥分发时密钥的机密性、完整性等
4701
多项选择题 某四级信息系统中, 采用SSL VPN保护通信信道, 使用Wireshark 工具得知所使用的套件为 ECC_SM4_SM3,但没有抓取到Certificate Request报文,以下分析正确的是()。
A、该通道可以满足双向鉴别的“身份鉴别”指标要求
B、该通道无法满足双向鉴别的“身份鉴别”指标要求
C、在Server Certificate报文可以抓取到SM2证书
D、抓包时无法获得客户端证书
4702
多项选择题 关于数字证书的使用,以下存在风险的有()。
A、证书中未标明持有者的身份
B、证书在使用前未验证真实性和有效性
C、未及时更新CRL或未使用OCSP查询证书状态
D、CA签发的用户证书在未保护的通道中进行分发
4703
多项选择题 某信息系统采用专线来进行网络传输,但未采用密码技术进行保护。
以该专线作为测评对象时,以下说法正确的是()。
A、量化评估时,该测评对象的分值为0.5
B、量化评估时,该测评对象的分值为0
C、该测评对象的测评结果可能会导致信息系统整体测评结果为“不符合”
D、该测评对象的测评结果将一定不会导致信息系统整体测评结果为“不符合”
4704
多项选择题 以下做法正确的有()。
A、利用经检测认证合格的智能密码钥匙、智能 IC 卡、动态令牌等作为用户登录应用的凭证
B、使用SM2对口令加密后传输,实现可抗重放攻击的身份鉴别
C、利用经检测认证合格的服务器密码机等设备对重要数据进行加密、计算 MAC 或签名后存储在数据库中,实现对重要数据在存储过程中的保密性和完整性保护
D、利用经检测认证合格的签名验签服务器、智能密码钥匙、电子签章系统、时间戳服务器等设备实现对可能涉及法律责任认定的数据原发、接收行为的不可否认性保护
4705
多项选择题 某信息系统客户端APP与服务端之间通过SSL VPN建立的安全传输通道,对网络和通信安全进行保护,通过抓取和分析通信数据包,使用的密码套件为 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,以下分析正确的是()。
A、该协议使用RSA密码算法的数字信封功能进行密钥协商
B、该协议使用AES-256的GCM工作模式保护传输数据的机密性
C、无法确定所使用RSA算法的密钥长度,还需要抓取传输中涉及的证书进行判断
D、该协议使用AES-256的GCM工作模式保护传输数据的完整性
4706
多项选择题 经检测认证合格的密码产品作为测评对象,关于其设备和计算安全层面的判定,正确的是()。
A、身份鉴别一定是“符合”
B、日志记录完整性为“符合”
C、远程管理通道安全性一定是“不适用”
D、重要可执行程序完整性、重要可执行程序来源真实性为“符合”
4707
多项选择题 针对车联网OTA升级场景下的安全需求分析,正确的是()。
A、智能网联汽车接入运营商网络的安全认证
B、OTA平台与智能网联汽车的通信实体真实性
C、OTA升级包来源的真实性
D、OTA升级包传输完整性
4708
多项选择题 在针对“设备和计算安全”层面进行测评时,以下描述较为合理的是()。
A、交换机、网闸、防火墙一般不作为设备和计算安全层面的测评对象
B、某三级信息系统部署了3台同一型号的 SSL VPN,在密评报告中可以将这三个 SSL VPN作为一个测评对象,但在进行量化评估时,D/A/K需以这三个SSL VPN的实际应用情况的最低分值赋分
C、设备和计算安全层面的“身份鉴别”指标无法弥补“应用和数据安全”层面的“身份鉴别”指标
D、针对整机类密码产品的“身份鉴别”指标可以直接判定为符合
4709
判断题 对各个层面的“身份鉴别”指标测试时,主要检查所使用的密码算法是否合规和相应的密钥管理是否安全,抗重放攻击不是该指标的考察范围。
A、正确
B、错误
4710
判断题 如果某个服务器密码机部署在核心交换机上,且没有部署必要的逻辑隔离措施,这种部署方式存在很高的安全隐患。
A、正确
B、错误
4711
判断题 在进行测评时,发现某系统的主密钥采用知识拆分的方式进行导出,但是在做密钥分片存储时,使用同一个人的同一个智能密码钥匙进行保存,这种方式是不安全的。
A、正确
B、错误
4712
判断题 判断以下做法是否正确:CA签发证书后,用户将私钥和数字证书存放在用户的U盘内保存。
A、正确
B、错误
4713
判断题 公钥必须保护其与实体的绑定关系,对称密钥没有这种必要,因此在测评时,主要关注的是对称密钥的机密性和完整性。
A、正确
B、错误
4714
判断题 因通信链路上可能承载多个不同应用,这些应用可能需要对各自的用户实施更细粒度的身份标记和鉴别,因此,网络和通信安全层面的鉴别一般情况下不能替代其他层面的鉴别。
A、正确
B、错误
4715
判断题 如果将密钥以密文形式存放在数据库中,对其采用SM4-GCM保护机密性和完整性即可,无需对密钥密文和用户的关联关系进行完整性保护。
A、正确
B、错误
4716
判断题 只需要对口令进行HMAC-SM3计算,就可以保证口令不被替换,实现实体与口令的绑定。
A、正确
B、错误
4717
判断题 在测评时发现系统数据库中存储的用户口令是加盐存储的,盐值采用的策略是每100个用户换一个盐值的方式,该实现是安全的。
A、正确
B、错误
4718
判断题 某部署在运营商机房的信息系统,其物理机房完全由运营商托管,那么对该信息系统进行密评时,物理和环境安全层面视为“不适用”。
A、正确
B、错误
4719
判断题 某信息系统网络通道仅采用HTTP协议传输报文,但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护,“重要数据传输机密性 ”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。
那么“通信过程中重要数据的机密性 ”的安全风险等级可以酌情降低。
A、正确
B、错误
4720
判断题 开展信息系统密评时,“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
A、正确
B、错误
4721
判断题 在密评中发现,信息系统采用一台服务器密码机实现对数据加密密钥的管理,但该密码机对应的产品认证证书在测评时已过期(该密码机采购时间在认证证书有效期内)。
针对这种情形,“密钥管理安全性”一定是“不符合”。
A、正确
B、错误
4722
判断题 在应用和数据安全层面,某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现,对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现,由于这两项指标对应保护的数据不同,因此开发人员使用了同一个密钥执行上述密码算法计算。
这种做法是合理的。
A、正确
B、错误
4723
判断题 由于防火墙、边界路由器属于网络安全产品范畴,在密评时通常不考虑作为测评对象。
所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
A、正确
B、错误
4724
判断题 某信息系统的设备运维路径为:设备管理员操作终端-堡垒机-应用服务器,其中:1)从操作终端到堡垒机采用HTTPS/TLS1.2( 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384)提供运维通道保护;2)从堡垒机到服务器采用SSHv2.0提供运维通道保护。
那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。
A、正确
B、错误
4725
判断题 密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现,该信息系统有应用管理员和普通用户两类应用用户,其中应用管理员采用基于智能密码钥匙(经检测认证合格)的登录方式,普通用户采用“口令+短信验证码”的登录方式。
那么该测评单元的得分为0.5分。
A、正确
B、错误
4726
判断题 测评人员利用Wireshark,发现某信息系统传输的重要数据为密文,数据密文长度为128比特,因此可以判定该数据使用SM4或AES密码算法进行了加密保护。
A、正确
B、错误
4727
判断题 在对物理和环境安全层面中的“身份鉴别”指标测评时,如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别,但在机房进出口配备专人值守并进行登记,且采用视频监控系统进行实施监控保证机房进入人员身份的真实性,可酌情降低风险等级,但该测评指标的量化评估分数依然是0分。
A、正确
B、错误
4728
判断题 测评人员在对某三级信息系统测评时,发现该信息系统运行过程中未发生任何密码应用安全事件,因此将GB/T 39786中管理要求的“应急处置”相关指标列为不适用。
A、正确
B、错误
4729
判断题 测评人员对某一级信息系统测评时,发现该系统在规划阶段制定了密码应用方案且通过了方案评估,因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分,判定为符合。
A、正确
B、错误
4730
判断题 某二级信息系统除了灾备机房外,其中一部分部署在被测系统单位内机房,另一部分部署在云平台(由运营商托管),那么针对“物理和环境安全 ”层面的测评对象仅涉及灾备机房和被测系统单位内机房。
A、正确
B、错误
4731
判断题 某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估,2020年建设完成后投入运行,2021年开展首次密评,测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由,对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。
A、正确
B、错误
4732
判断题 测评人员在对某四级信息系统进行测评时,核实该信息系统所属机构建立了密码应用岗位责任制度,设置了密钥管理员、密码安全审计员、密码操作员,其中密钥管理员和密码安全审计员均由被测系统所属机构内部人员担任,密码操作员由被测系统承包商担任,且密码安全审计员与密钥管理员、密码操作员为不同人员,因此针对“人员管理”层面的“建立密码应用岗位责任制度”指标可以判定为符合。
A、正确
B、错误
4733
判断题 某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统,使用SM4算法进行密钥分散,实现门禁卡的“一卡一密”,并基于SM4算法对人员身份进行鉴别,因此该系统在“物理和环境安全”层面的“电子门禁记录数据存储完整性”指标可以判定为符合。
A、正确
B、错误
4734
判断题 某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理,系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别,数字签名算法为SM2,因此该信息系统在“设备和计算安全 ”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。
A、正确
B、错误
4735
判断题 某三级信息系统使用云服务器密码机对云平台内的数据进行保护,测评人员在对云服务器密码机进行测评时,发现云服务器密码机的宿主机和三个虚拟机密码机均有独立的管理界面,并通过同一管理员进行管理,管理员登录前基于合规的密码技术进行了身份鉴别。
因此,对于虚拟机密码机,针对“设备和计算安全”层面的“身份鉴别”指标量化评估结果为1分。
A、正确
B、错误
4736
判断题 测评人员发现,某二级信息系统系统未使用任何密码技术和密码产品对系统相关的物理和环境、网络和通信、设备和计算、应用和数据安全层面进行防护。
鉴于系统不涉及任何密码技术和密码产品,因此将“管理制度”层面的测评指标列为不适用。
A、正确
B、错误
4737
判断题 “密码算法和密码技术合规性”测评单元在测评时,需要汇集信息系统所有密码算法和密码技术,逐个分析其合规性,给出相应量化评估分数。
A、正确
B、错误
4738
判断题 判断以下做法是否正确:用户身份鉴别完成后,用户利用签名私钥与信息系统进行SM2密钥协商,协商出会话密钥,利用SM4算法和基于SM3的HMAC算法进行通信数据的机密性和完整性保护。
A、正确
B、错误
4739
判断题 判断以下做法是否正确:用户在生成SM2签名密钥对时,以当前时间为种子,利用C语言的rand函数生成随机数;为了保证随机数的随机性,将该随机数再利用SHA-256算法进行杂凑计算,获得256比特数据作为私钥,并生成对应公钥。
A、正确
B、错误
4740
判断题 某信息系统的设备运维路径为:设备管理员终端-堡垒机-通用设备。
其中,堡垒机的“身份鉴别”指标的测评结果为“符合”,那么通用设备(自身采用“用户名+口令”方式登录)的“身份鉴别”指标的量化评估分值可以一定程度上得到弥补。
A、正确
B、错误
4741
判断题 某三级信息系统使用服务器密码机(经检测认证合格)对应用的重要数据进行存储机密性保护,针对该服务器密码机的“设备和计算安全”层面的“身份鉴别”指标可以直接判定为符合。
A、正确
B、错误
4742
判断题 某三级信息系统有两个独立的物理机房,其中机房1采用门禁ID卡对进入人员进行身份鉴别;机房2有两个门,其中门A采用门禁ID卡对进入人员进行身份鉴别,门B通过部署符合GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》的电子门禁系统对进入人员进行身份鉴别。
针对“物理和环境安全”层面的“身份鉴别”指标,机房1的量化评估结果为0分,机房2的量化评估结果为0分。
A、正确
B、错误
4743
判断题 测评人员在对某三级信息系统的人员管理中的“建立密码应用岗位责任制度”测评时发现,该信息系统根据密码应用的实际情况,设置甲、乙、丙三人分别担任密钥管理员、密码安全审计员、密码操作员,并建立了岗位责任制度、确定了各自的岗位职责,设备与系统的管理和使用人员都有各自单独的账号。
因此,该测评项可以给1分。
A、正确
B、错误
4744
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,关于方案密评,以下说法那种不正确()。
A、重点判断系统在某方面是否存在安全风险,通过总体密码设计是否可以有效解决相应的安全问题
B、重点对所有自查符合性进行评估,对所有自查不适用项和对应论证依据进行逐条核查、评估
C、应注意梳理安全需求,尤其是应用和数据安全层面各保护对象的安全需求
D、重点是对照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》进行逐条评估
4745
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,以下哪项不属于方案密评报告所包含的内容()。
A、报告分发范围
B、密码应用方案
C、密评委托证明
D、测评人员进入系统所在机房的证明记录
4746
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在方案密评报告的“商用密码应用安全性评估结论”部分不包括以下哪项()。
A、方案名称
B、评估结论
C、不适用指标数目
D、密码应用需求
4747
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案密评报告中的商用密码应用安全性评估结论部分包含哪项要素()。
A、方案名称和评估结论
B、方案简介和评估情况简介
C、不适用项数目/总测评指标项数目
D、以上均包含
4748
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,系统概述部分不需要对应用和数据安全层面的哪些保护对象做梳理()。
A、应用系统的用户
B、重要数据
C、用户操作行为
D、网络通道
4749
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,以下哪项信息系统内的资产不属于需要梳理的对象()。
A、交换机
B、机房
C、密码设备
D、服务器
4750
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,编制方案密评报告时,以下对于不适用指标描述不合理的是()。
A、信息系统不涉及设备中的重要信息资源安全标记,因此设备和计算安全层面的“重要信息资源安全标记完整性”指标为不适用
B、信息系统中重要数据仅有完整性安全需求,不存在机密性安全需求,因此应用和数据安全层面的“重要数据传输和存储机密性”指标为不适用
C、信息系统的物理机房难以进行密码改造,因此物理和环境安全层面的“身份鉴别”指标为不适用
D、信息系统责任单位将“可”的指标自行决定为不适用
4751
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,针对“安全控制措施评估结果”环节的工作,以下描述较为合理的是()。
A、某三级信息系统密码应用方案中,针对应用和数据安全层面的重要数据传输保护均使用国外密码算法,因此“重要数据传输机密性和完整性”指标的安全控制措施评估结果为“未通过”
B、某三级信息系统41个基本指标中,其中一个指标的安全控制措施评估结果为“未通过”,因此该信息系统的密码应用方案评估结果为“不通过”
C、某三级信息系统密码应用方案的安全控制措施评估结果均为“通过”,初步量化评估分值为50分,那么该密码应用方案的整体评估结果仍可为“通过”
D、某三级信息系统密码应用方案中,针对物理和环境安全层面的“身份鉴别”指标未采用密码技术方案,而是通过其他的安全管理措施降低风险,因此该指标的安全控制措施评估结果一定为“未通过”
4752
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,如果应用和数据安全层面的“重要数据存储完整性”指标未采用密码应用措施,那么针对该指标的安全控制措施评估结果一定是()。
A、通过
B、未通过
C、不符合
D、无法判断
4753
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,对于委托第三方密评机构实施的密码应用方案密评和信息系统密评的情形,在报告中的“密评活动有效性证明”记录部分,以下说法正确的是( )。
A、信息系统密评报告需要提供密评活动证明,方案密评报告则不需要
B、信息系统密评时,测评方案需要测评委托方和密评机构双方签字确认,同时需要密评机构内部组织评审
C、方案密评前,应编制测评方案,并对该方案组织内部评审
D、信息系统密评时,测评方案需要测评委托方和密评机构双方签字确认,但不需要密评机构内部组织评审
4754
单项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告附录部分,“密评活动有效性证明记录”不涉及()。
A、密评委托证明
B、密评人员差旅票证及住宿票证
C、密评报告评审记录
D、密评人员资格情况
4755
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,在应用和数据安全层面“保护对象”表中应重点梳理信息系统中()。
A、各个应用中具有身份鉴别(真实性)需求的应用用户类型
B、各个应用的重要数据及对应具体安全需求
C、各个应用承载业务情况
D、各个应用具有不可否认性需求的操作行为
4756
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,关于方案密评,以下说法正确的是()。
A、依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的核心资产
B、依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的敏感信息
C、依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案采取的密码保护措施是否均能够达到相应等级的密码使用要求或规定
D、方案密评可由信息系统责任单位委托密评机构或自行开展密评
4757
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案的“背景”部分可包含()。
A、系统的建设规划
B、国家有关法律法规的要求
C、与规划相关的前期情况概述
D、项目实施的必要性
4758
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在编写密码应用方案时,应该体现()。
A、系统承载业务情况及网络拓扑
B、系统密码应用需求分析
C、各安全层面的技术实现方案
D、安全与和合规性分析
4759
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,下列关于密码应用方案的说法中,错误的是()。
A、密码应用方案及其评估意见是判定 GB/T 39786《信息安全技术 信息系统密码应用基本要求》中“宜”是否适用的重要依据
B、对于部署在同一云平台上的云上应 用,虽然网络安全等级保护定级时进行了独立定级,考虑到其物理环境、通信信道、系统资产等方面的共用的软硬件比较多,可以编写一份密码应用方案统一进行密码应用分析
C、如密码应用方案中对被测信息系统对测评单元“不可否认性”进行了不适用判定,但在执行现场测评过程中,系统责任单位向密评机构反映系统实际存在不可否认性密码应用需求,应根据通过评估的密码应用方案,对该测评项进行不适用判定
D、密码应用方案中应详细梳理应用的业务流程及业务数 据,根据流程安全需求及数据安全需求,为重要流程及重要数据设计保护机制
4760
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告的评估结论包括()。
A、符合
B、不符合
C、通过
D、不通过
4761
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中系统概述部分内容应包含()。
A、系统网络拓扑
B、承载的业务情况
C、各安全层面保护对象
D、项目情况
4762
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,系统概述部分需要结合系统网络拓扑图描述()。
A、物理机房的个数及其所在具体位置
B、网络边界划分以及与其他系统的互联关系
C、跨网络访问的通信信道
D、设备组成及实现功能
4763
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中应用和数据安全层面的保护对象应重点梳理()。
A、各个应用具有身份鉴别需求的应用用户
B、各个应用具有可用性需求的重要数据
C、各个应用的重要数据及对应具体安全需求
D、各个应用具有不可否认性需求的操作行为
4764
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“管理制度”方面,关注重点通常包括()。
A、安全管理制度类文档
B、密码应用方案
C、密钥管理制度及策略类文档
D、系统相关人员
4765
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“建设运行”方面,关注重点通常包括()。
A、密码应用方案
B、密钥管理制度
C、攻防对抗演习报告
D、密码应用安全管理制度
4766
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“人员管理”方面,关注重点通常包括()。
A、安全管理制度类文档
B、记录表单类文档
C、系统相关人员
D、整改文档
4767
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“应急处置”方面,关注重点通常包括()。
A、密码应用应急处置方案
B、应急处置记录类文档
C、安全事件发生情况及处置情况报告
D、系统相关人员
4768
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,系统各安全层面需要梳理的保护对象不包括()。
A、网络和通信安全层面的通信信道
B、不同应用用户
C、重要数据
D、通用交换机
4769
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,“安全控制措施描述及指标适用情况”章节的“指标适用情况及论证说明”部分,应体现的内容包括()。
A、各测评项的测评指标适用情况
B、不适用项的不适用性论证说明
C、测评项中存在部分保护对象不适用情况的不适用性论证说明
D、不适用指标合计项数
4770
多项选择题 《商用密码应用安全性评估报告模板(2023版)》中在描述安全控制措施时,需要注意的事项有()。
A、安全控制措施需要包括四个密码应用技术层面和四个密码应用管理方面的内容
B、如果相关保护对象未采用密码技术措施,那么也需要概括总结相关的风险替代措施
C、安全控制措施描述需要结合信息系统的密码应用部署图
D、系统密码应用部署图中需要包含密码应用方案中涉及的所有密码产品(冗余配置的除外)和服务
4771
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,某三级信息系统密码应用方案的评估结论为“不通过”,最可能原因包括()。
A、采用的安全控制措施仍会导致高风险项存在
B、初步量化评估未达到阈值要求
C、密码应用方案中不适用指标项数过多
D、密码应用方案有较多冗余内容
4772
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,“指标适用情况及论证说明”表格中不涵盖()。
A、密码算法
B、密码技术
C、密码产品
D、密码服务
4773
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,编制方案密评报告时,以下属于风险替代措施的是()。
A、机房采用人脸+指纹识别的方式对进人人员进行身份鉴别
B、通用服务器采用指纹的方式对登录设备用户进行身份鉴别
C、业务应用采用人脸识别+短信验证码的方式对登录人员进行身份鉴别
D、应用层采用了合规的密码技术对传输数据进行机密性和完整性保护
4774
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,不同安全层面指标的安全控制措施的评估结果可能是()。
A、通过
B、未通过
C、符合
D、不符合
4775
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,针对安全控制措施评估,以下描述不合理的是()。
A、某三级信息系统密码应用方案中,针对网络和通信安全层面的通信数据传输保护均使用国外密码算法,则“通信数据传输机密性和完整性”指标的安全控制措施评估结果仍可能为“通过”
B、某三级信息系统41个基本指标中,仅有一个指标的安全控制措施评估结果为“未通过”,因此该密码应用方案评估结果为“通过”
C、某三级信息系统密码应用方案的安全控制措施评估结果中,其中1项为未通过,但初步量化评估分值为75分,因此该密码应用方案的整体评估结果为“通过”
D、某三级信息系统密码应用方案中,针对物理和环境安全层面的“身份鉴别”指标未采用密码技术方案,而是通过其他的安全管理措施降低风险,因此该指标的安全控制措施评估结果为“未通过”
4776
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,密评人员对密码应用方案中的安全控制措施分析和评估结果判定不合理的是()。
==A、针对物理和环境安全层面,密码应用方案中的描述为“机房虽采用门禁ID卡刷卡进入,但机房门外部署有视频监控系统,能够对机房外的环境进行实时监控,因此不存在高风险”,针对物理和环境安全层面“身份鉴别”的安全控制措施评估结果为“通过”
B、针对网络和通信安全层面,密码应用方案中的描述为“虽然互联网PC端与系统服务端在通信时未采用密码技术对服务端进行身份鉴别,但是系统应用层对登录用户采用合规的密码技术进行身份鉴别,因此网络通信实体的身份鉴别问题不存在高风险”,针对网络和通信安全层面“身份鉴别”的安全控制措施评估结果为“通过”
C、针对应用和数据安全层面,密码应用方案中的描述为“虽然未采用密码技术对重要数据做存储机密性保护,但是数据库只能专人访问,且登录口令定期更换,因此不存在高风险”,针对“重要数据存储机密性”的安全控制措施评估结果为“通过” ==
D、针对应用和数据安全层面,密码应用方案中的描述为“虽然未采用密码技术对存储的业务数据进行完整性保护,但是应用系统具有符合要求的身份鉴别措施,只有授权人员才能访问应用系统的重要数据,且定期对数据进行备份,因此不存在高风险”,针对“重要数据存储完整性”的安全控制措施评估结果为“通过”
4777
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,下列关于密码应用方案密评报告和信息系统密评报告的说法中,错误的是()。
A、根据“三同步一评估”的要求,在规划阶段,评估对象是信息系统的密码应用方案,在建设和运行阶段,评估对象是实际的信息系统
B、密码应用方案密评的评估结论中,可能存在“通过”和“不通过”判定 ,也可能存在“修改后通过”的判定
C、在对密码应用方案进行密评时,如初步量化评估分数达到了阈值的要求,则方案评估结论即可为“通过”
D、信息系统密评报告中的“检测结果记录”中,“安全管理”层面的测评单元得分仅可能为1分、0.5分和 0分
4778
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,在方案密评报告中,以下可判定某指标的评估结果为“通过”的情况有()。
A、该指标涉及的所有保护对象不涉及高风险
B、该指标涉及的所有保护对象的风险替代措施均有效
C、该指标涉及的所有保护对象的密码应用措施均有效,不涉及高风险,且方案中描述的实施保障措施合理
D、该指标涉及的所有保护对象的风险替代措施均有效,不涉及高风险,且方案中描述的实施保障措施合理
4779
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案密评报告“密评活动证明”部分,一般作为活动证明的证明材料包括()。
A、电子邮件
B、通话记录
C、会议记录
D、系统现场测评记录
4780
多项选择题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中系统承载业务情况应包含()。
A、业务应用
B、业务功能
C、应用用户
D、重要数据以及关键的用户操作行为等
4781
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估工作完成后, 当被评估的《 XXX系统密码应用方案》发生变更时,已出具的方案评估报告仍然适用。
A、正确
B、错误
4782
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,对于密码应用方案已通过评估的系统,密评时应把方案作为测评的重要依据。
A、正确
B、错误
4783
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,对于已建但尚未规划密码方案的系统,信息系统责任单位应通过调研分析,梳理形成系统当前密码应用的总体架构图,提炼出密码应用情况,作为后续测评实施的基础。
A、正确
B、错误
4784
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评主要工作是对照GB/T 39786《信息安全技术 信息系统密码应用基本要求》进行逐条评估,而不是对信息系统中安全控制措施和指标适用情况梳理。
A、正确
B、错误
4785
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,只需要在报告中阐述每个安全层面中各个保护对象的密码应用措施,其他非密码技术的安全控制措施无需描述。
A、正确
B、错误
4786
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,仅在报告中体现密评机构针对系统责任单位编写的密码应用方案进行密评的合规性判定情况即可,无需附上密码应用方案。
A、正确
B、错误
4787
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案中对指标适用情况及论证说明时,应对不适用部分做出相应的原因论述,体现出能够降低风险的措施。
A、正确
B、错误
4788
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案密评结果不需要进行密评结果备案,仅系统密评结果需要进行密评结果备案。
A、正确
B、错误
4789
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告中给出的评估结论仅对报告所附《XXX系统密码应用方案》的内容有效。
A、正确
B、错误
4790
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告可适用于实际建设的系统评估结论。
A、正确
B、错误
4791
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案评估结论不能作为运行系统的评估结论。
A、正确
B、错误
4792
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中的安全控制措施评估结果可以直接在系统密评报告中复用。
A、正确
B、错误
4793
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,针对选定的密评指标,方案密评报告评估结果为“通过/未通过”,系统密评报告的评估结果为“符合/部分符合/不符合/不适用”。
A、正确
B、错误
4794
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中信息系统承载的业务情况应重点说明业务的保护对象和资产情况。
A、正确
B、错误
4795
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,应用和数据安全层面需要进一步梳理各个应用的保护对象(如应用用户、重要数据)及保护对象的相应安全需求。
A、正确
B、错误
4796
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在“指标适用情况及论证说明部分”,即便指标为适用,也可能存在部分保护对象不适用的情况,需要在方案评估报告中给出相关保护对象不适用性的论证说明。
A、正确
B、错误
4797
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,不适用指标的合计项数中不应计入存在部分保护对象不适用情况的测评项。
A、正确
B、错误
4798
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,不同安全层面指标的安全控制措施评估结果有符合、不符合、部分符合三种情况。
A、正确
B、错误
4799
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,如果指标所涉及的某一保护对象的相应安全控制措施有效(不存在高风险),则该指标的安全控制措施评估结果为“通过”。
A、正确
B、错误
4800
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,针对应用和数据安全层面的“重要数据传输完整性”指标,如果未采用密码应用措施,那么针对该指标的安全控制措施评估结果一定是“未通过”。
A、正确
B、错误
4801
判断题 某三级信息系统在密码应用方案中针对物理和环境安全给出的安全控制措施为:信息系统所在物理机房使用门禁ID卡+指纹识别的方式对进入机房人员进行身份鉴别,同时机房外有24小时专人值守,并在机房内外部署了视频监控系统。
根据《商用密码应用安全性评估报告模板(2023版)》,针对物理和环境安全层面的“身份鉴别”指标的安全控制措施评估结果为“通过”。
A、正确
B、错误
4802
判断题 某四级信息系统在密码应用方案中,针对应用和数据安全层面的“重要数据存储机密性、存储完整性”指标分别给出如下安全控制措施:重要业务数据均采用DES算法进行存储机密性保护,使用基于SM3的HMAC算法进行存储完整性保护。
根据《商用密码应用安全性评估报告模板(2023版)》,该密码应用方案的评估结论很可能是“不通过”。
A、正确
B、错误
4803
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,如果信息系统密码应用方案中针对各个层面的保护对象的安全控制措施评估结果为“通过 ”,那么该系统的密评结果一定是“符合”。
A、正确
B、错误
4804
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,所有指标的安全控制措施评估结果均通过,则可判定方案评估结论为“通过”。
A、正确
B、错误
4805
判断题 根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告和信息系统密评报告中,均需体现被测系统的网络安全等级保护定级备案名称、备案时间及等保定级备案证明。
A、正确
B、错误
