【密评】商用密码应用安全性评估从业人员考核题库（十九）

商用密码应用安全性评估从业人员考核题库（十九）

国密局给的参考题库5000道只是基础题，后续更新完5000还会继续更其他高质量题库，持续学习，共同进步。

在这里插入图片描述
4501

判断题依据《信息系统密码应用高风险判定指引》，在网络和通信安全中，安全接入认证方面的高风险问题没有缓解措施。

A、正确
B、错误

4502

判断题《信息系统密码应用高风险判定指引》中，安全接入认证方面的要求适用范围包含三级和四级信息系统。

A、正确
B、错误

4503

判断题依据《信息系统密码应用高风险判定指引》，设备和计算安全中，身份鉴别方面的高风险问题没有缓解措施。

A、正确
B、错误

4504

判断题依据《信息系统密码应用高风险判定指引》，设备和计算安全层面的身份鉴别，必须采用密码技术保证用户身份的真实性，没有缓解措施。

A、正确
B、错误

4505

判断题依据《信息系统密码应用高风险判定指引》，业务系统用户登录时，系统可通过用户名、口令的鉴别方式实现用户身份的鉴别。

A、正确
B、错误

4506

判断题依据《信息系统密码应用高风险判定指引》，业务用户登录时，可使用基于动态令牌的身份鉴别方式实现用户身份的鉴别，其中采用DES算法生成动态令牌。

A、正确
B、错误

4507

判断题依据《信息系统密码应用高风险判定指引》，业务用户登录系统时，系统对登录用户仅采用指纹认证的方式进行身份鉴别，由于鉴别过程未采用密码技术实现，则用户身份真实性方面可判定存在高风险问题。

A、正确
B、错误

4508

判断题依据《信息系统密码应用高风险判定指引》，系统可采用RSA1024密码算法，实现信息系统重要数据在传输过程中的机密性。

A、正确
B、错误

4509

判断题依据《信息系统密码应用高风险判定指引》，在“网络和通信安全”层面，采用符合要求的密码技术为网络通信信道提供机密性保护，且网络通信信道经评估无高风险，可酌情降低“应用和数据安全 ”层面未采用密码技术对重要数据进行传输机密性保护的风险等级。

A、正确
B、错误

4510

判断题依据《信息系统密码应用高风险判定指引》，使用MD5算法实现对重要数据存储完整性保护，可判定为高风险问题。

A、正确
B、错误

4511

判断题依据《信息系统密码应用高风险判定指引》，未采取密码技术措施实现数据原发行为的不可否认性和数据接收行为的不可否认性，则无其他可能的缓解措施对该问题风险进行缓解。

A、正确
B、错误

4512

判断题依据《信息系统密码应用高风险判定指引》，现场“对密码关键岗位人员进行上岗培训”测评时，测评人员应核查安全教育和培训计划文档是否具有针对涉及密码应用的操作和管理人员的培训计划，以及开展培训的记录。

A、正确
B、错误

4513

判断题依据《信息系统密码应用高风险判定指引》，针对存量系统要制定密码应用整改方案，该方案可不进行评审。

A、正确
B、错误

4514

判断题依据《信息系统密码应用高风险判定指引》，密钥在恢复使用时，在对其他系统缺乏鉴别机制的情况下，可以被导入到其他系统中。

A、正确
B、错误

4515

判断题依据《信息系统密码应用高风险判定指引》，密码应用安全管理制度描述的内容适用范围是三级及以上级别信息系统。

A、正确
B、错误

4516

判断题依据《信息系统密码应用高风险判定指引》，在通用要求的“密码技术”方面发现的高风险问题，存在可能的缓解措施。

A、正确
B、错误

4517

判断题未纳入《信息系统密码应用高风险判定指引》的指标条款，则一定不会导致高风险情形。

A、正确
B、错误

4518

判断题某三级信息系统采用堡垒机对服务器进行统一运维管理，堡垒机采用用户名+口令方式登录，服务器通过堡垒机采用用户名+口令方式登录，两次身份鉴别措施不相同，则针对“设备和计算安全 ”层面的身份鉴别测评可以判定系统存在中风险安全问题。

A、正确
B、错误

4519

判断题按照《信息系统密码应用高风险判定指引》，某信息系统的用户仅使用“用户名+口令”方式进行登录，则“应用和数据安全”层面的“身份鉴别”指标判定为不符合，但是不会存在高危风险。

A、正确
B、错误

4520

判断题某信息系统改造前，使用DES算法对数据进行加密保护，改造后，新增服务器密码机，使用SM4- GCM对原先DES加密的数据密文进行进一步加密保护。
在进行测评时，这种方式一定会导致“重要数据存储机密性”指标存在高危风险。

A、正确
B、错误

4521

判断题某信息系统在“网络和通信安全”层面对接入的用户设备进行了身份鉴别，但“应用和数据安全”未对用户进行身份鉴别，而是直接使用了“网络和通信安全”层面的“身份鉴别”结果，默认接入的用户可以登录应用。
因此，按照《信息系统密码应用高风险判定指引》，“身份鉴别”指标的风险可以进行适当降低；如果风险降为“低”，则该指标结果可以弥补为“符合”。

A、正确
B、错误

4522

判断题用户登录某信息系统的方式为“用户名+口令”方式，口令通过SSL VPN加密传输保护。
在进行测评时这种方式不会导致“身份鉴别”指标存在高危风险。

A、正确
B、错误

4523

判断题某信息系统为用户提供期货交易服务，交易过程涉及信息系统和用户之间的法律责任认定。
用户每次交易时，需要对期货交易信息进行数字签名，用户的公钥证书为该信息系统自建的CA签发。
在进行测评时，这种公钥证书的签发方式可能会导致“不可否认性”指标存在高危风险。

A、正确
B、错误

4524

判断题按照《信息系统密码应用高风险判定指引》，某二级信息系统在网络和通信安全层面，未使用密码技术实现通信前通信实体的身份鉴别，则密评时网络和通信安全层面身份鉴别测评单元的风险评价结果应为高风险。

A、正确
B、错误

4525

判断题依据《信息系统密码应用高风险判定指引》，某四级信息系统在网络和通信安全层面，存在安全接入认证需求，但采用密码技术实现短时间内难以实现，因此，可以通过设置白名单和终端ID绑定方式对该项测评指标面临的安全风险进行缓解。

A、正确
B、错误

4526

判断题依据《信息系统密码应用高风险判定指引》，新建二级信息系统如果未制定密码应用方案，密评时不会因未制定密码应用方案而面临高风险。

A、正确
B、错误

4527

判断题依据《信息系统密码应用高风险判定指引》，二级及以上的信息系统必须具备密码安全管理制度，否则在密评时会因不具备密码应用安全管理制度而面临高风险。

A、正确
B、错误

4528
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，如果信息系统密码应用方案的评估结果为通过，由此可得到该信息系统的密评结果为（）。

A、无法确定
B、符合
C、基本符合
D、通过

4529
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告时，以下不属于分析与报告编制活动内容的是（）。

A、单项测评结果判定
B、单元测评结果判定
C、风险分析
D、测评对象和测评内容确定

4530
单项选择题国家密码管理局发布《关于规范商用密码应用安全性评估结果备案工作的通知》，进一步规范了商用密码应用安全性评估结果备案相关工作。
通知中要求，各地区网络与信息系统运营者应当在密评报告出具之日起（）日内，填写《网络与信息系统密评备案信息表》，连同密评报告报密码管理部门备案。

A、10
B、30
C、60
D、90

4531
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，方案密评报告和系统密评报告分别可以在（）阶段产生。

A、系统规划阶段和系统运行阶段
B、系统建设阶段和系统运行阶段
C、系统建设阶段和系统改造阶段
D、系统运维阶段和系统运行阶段

4532
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告的封面应包含（）。

A、被测信息系统名称
B、合同编号
C、被测单位
D、密评机构

4533
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，被测系统密评报告封面的报告编号应（）。

A、根据国家密码管理部门的编号要求进行编号
B、根据系统责任单位的文件归档要求进行编号
C、根据密评机构质量管理体系文件要求进行编号
D、根据信息系统网络安全等级保护备案编号进行编号

4534
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》中声明部分的相关内容，被测单位提供相关证据的（）对评估结论的有效性至关重要。

A、真实性
B、完整性
C、机密性
D、主动性

4535
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，密评报告中给出的评估结论仅对被测信息系统（）的安全状态有效。

A、当年
B、当月
C、建成时
D、被测时

4536
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，在（）的情况下，引用密评报告结论时可对其相关内容进行修改。

A、任何情况都不允许
B、系统发生变动
C、委托方授权
D、测评机构同意

4537
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，三级信息系统的密评报告总体评价中，设备和计算安全层面测评结果可能存在（）。

A、符合2项，部分符合 3项，不符合1项，不适用1项的情况
B、符合3项，部分符合 2项，不符合2项，无不适用项的情况
C、符合2项，部分符合 1项，不符合2项，不适用1项的情况
D、符合4项，部分符合 2项，不符合1项，不适用1项

4538
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，以下对信息系统密评报告“总体评价”章节描述错误的是（）。

A、总体评价章节中需要体现本次密评所依据GB/T 39786的级别要求
B、总体评价章节中需要体现本次密评的测评结果，包括测评项的符合情况及风险项数
C、总体评价章节中需要体现各个层面密码应用实施情况，但不需要体现测评项的符合情况
D、总体评价章节需要给出被测系统是否符合GB/T 39786相应等级指标要求的测评结论

4539
单项选择题某三级信息系统通过调用密码模块为安全一级的服务器密码机（该密码机经检测认证合格），使用SM4算法(CBC模式）实现应用和数据安全层面重要业务数据存储机密性保护，则在信息系统密评报告“安全问题及改进建议”部分，以下选项中关于该测评结果面临的安全威胁分析合理的是（）。

A、设备资源被登录设备的非授权用户获取
B、搭建的远程管理通道被非授权使用，或传输的管理数据被非授权获取和篡改
C、密钥被非法获取，导致加密数据明文泄露
D、设备内重要程序和文件的来源不可信

4540
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，（）应对密评报告的生命周期进行严格、规范的管理。

A、密评机构
B、密码管理部门
C、委托单位
D、被测单位

4541
单项选择题某三级信息系统有两个机房，机房1的身份鉴别指标量化评估结果为0分，机房2的身份鉴别指标量化评估结果为0.5分，针对物理和安全层面的“身份鉴别”指标的量化评估和判定结果为（）。

A、0.25，部分符合
B、0，不符合
C、0.5，部分符合
D、无法判断

4542
单项选择题某三级信息系统有两个机房A和B。
其中，A机房的访问方式为“人工值守+视频监控”，访问人员经过审批后才可登记进入，该风险控制措施写入了该系统的密码应用方案中且方案通过了评估，密评人员到系统现场进一步核实了风险控制措施的使用条件和落实情况与方案描述相符。
B机房有C和D两个门，无论从C门还是D门进入，都可以访问整个机房。
C门的访问方式为（经检测认证合格的）电子门禁系统刷卡，D门的访问方式为ID卡。
那么按照《商用密码应用安全性评估报告模板（2023版）》，该系统密评报告中，在物理和环境安全层面“身份鉴别”测评单元的判定结果为（）。

A、符合，1分
B、部分符合，0.5分
C、部分符合，0.75分
D、不符合，0分

4543
单项选择题某三级信息系统有两个业务应用，应用1的用户A身份鉴别为符合，量化评估分值为1；用户B身份鉴别为部分符合，量化评估分值为0.5。
应用2的用户身份鉴别为不符合，量化评估分值为0。
按照《商用密码应用安全性评估报告模板（2023版）》，针对应用和数据安全层面的“身份鉴别”指标的量化评估和判定结果为（）。

A、0.5，不符合
B、0.75，部分符合
C、0.5，部分符合
D、0.75，不符合

4544
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，某三级信息系统使用了自行设计（未经检测认证合格）且经过安全性证明的密码算法对业务系统重要数据进行保护，针对“应用和数据安全”层面的“重要数据存储机密性”指标最高可以给（）分。

A、0.25
B、0
C、0.5
D、1

4545
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，管理制度中“具备密码应用安全管理制度 ”测评单元结果为部分符合，其量化评估分值可能为（）。

A、0
B、0.25
C、0.5
D、无法确定

4546
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告整体测评章节时，以下情况处理得当的是（）。

A、设备和计算安全层面中，堡垒机“系统资源访问控制信息完整性”和“日志记录完整性”保护采用通用操作系统自身安全机制实现，但如果堡垒机“身份鉴别”判定结果为“符合”，那么通过单元间的弥补后，前两项测评单元的判定结果可修正为“符合”
B、某省中心系统有与市中心系统业务交互需求，在应用和数据安全层面未采用密码技术对重要数据传输机密性保护。但采用了符合要求的密码技术对网络通信信道进行保护，且网络和通信安全层面测评指标的测评结果为符合。则“重要数据传输机密性”测评结果可修正为“符合”，弥补后分值为1分
C、某系统的设备远程管理路径为：管理员终端->SSL VPN网关->通用设备（静态口令登录）。所以只要终端到SSL VPN网关之间建立起基于国密SSL协议的网络通信通道，则通用设备“身份鉴别”测评单元可以由“不符合”弥补为“部分符合 ”，最高得0.5分
D、某第三方支付平台和银行有业务交互需求，在网络和通信安全层面未采用密码技术建立安全传输信道，通信报文的传输机密性无法得到保障。但在“应用和数据安全”层面，采用了符合要求的密码技术对重要数据传输机密性进行保护，且加密后的数据流能够覆盖网络通信信道。则“通信过程中重要数据的机密性”测评结果可以得到一定弥补

4547
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，如果管理制度、人员管理、建设运行、应急处置四个方面的分数分别为1 、1 、0.5 、 0.5，则密码应用管理方面的总体得分为（）。

A、23
B、24
C、25
D、26

4548
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，某三级信息系统，设备和计算安全层面应用服务器的“身份鉴别”指标为1分，应用和数据安全层面应用用户的“身份鉴别”指标为0分，则应用用户的身份鉴别经应用服务器的身份鉴别弥补后为（）。

A、1分
B、0.25分
C、0.5分
D、0分（无法弥补）

4549
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，如果物理和环境、网络和通信、设备和计算、应用和数据四个层面的分数分别为1、1、0.5 、0.5 ，则密码应用技术方面的总体得分为（）。

A、50
B、45
C、55
D、60

4550
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，以下对信息系统密评报告“总体评价”及”测评结果记录”描述正确的是（）。

A、某二级信息系统责任单位编写有密码应用方案，且方案通过密评，在密码应用方案中对“系统资源访问控制信息完整性”测评项判定为不适用，但在实际测评过程中，系统责任单位对该测评项进行了密码保护，应依据密码应用方案，在“测评结果记录”中体现其不适用的情况
B、某信息系统通过未经认证的SSL VPN，使用HTTPS（V1.1）协议和AES-128-CBC算法，实现网络和通信安全层面业务数据传输通道通信过程中重要数据的机密性保护，在密评报告“测评结果记录”中D/A/K判定为√××
C、某信息系统在应用和数据安全层面，使用AES-128-CBC算法，实现重要业务数据存储的机密性保护。在密评报告“测评结果记录”中 D/A/K判定为×/ /
D、某信息系统中部署了SSL VPN，该设备用于建立管理员从互联网登录VPN客户端接入内网的运维通道。管理员在内网，通过登录其专用的设备管理应用对该SSL VPN设备进行运维管理。那么在密评报告“测评结果记录”部分，描述其登录管理应用时的身份鉴别方式即可，无需描述管理员登录SSL VPN客户端的身份鉴别方式

4551
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，在密评报告的测评结果修正部分，若测评对象A弥补了测评对象B的不足，测评对象A的分值为PA，测评对象B的弥补前分值为PB，则测评对象B弥补后的分值为（）。

A、PA
B、0.5×PA
C、MAX(0.5×PA, PB)
D、PB

4552
单项选择题根据《商用密码应用安全性评估报告模板（2023版）》，风险等级不包括（）。

A、高
B、中
C、低
D、一般

4553
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告中风险分析与（）完全无关。

A、不符合项或部分符合项导致的安全问题
B、关联威胁
C、资产价值
D、测评对象或测评单元分数

4554
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告时，某三级信息系统选取的基本指标数量为41，其中不适用指标4项，特殊指标0项，经整体测评后符合项20项，不符合项10项，部分符合项7项。
那么风险分析结果中的高、中、低风险项数之和应为（）。

A、17
B、41
C、10
D、7

4555
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告风险分析部分时，以下描述正确的是（）。

A、如果系统中使用了 SHA-1算法，那么该系统一定面临高等级安全风险
B、某个测评指标为不符合，量化评估分值为0分，经过风险分析后发现仅面临低等级安全风险，因此该指标的量化评估分数可以做相应的调整
C、如果某个安全层面的测评指标为不符合，该指标涉及测评对象测评对象B，其中测评对象A经分析后面临高等级安全风险，测评对象B经分析后面临中等级安全风险，那么该测评指标的最终风险等级应该为中
D、如果对测评结果中所有的不符合和部分符合项进行分析后发现存在高风险项，则认为信息系统面临高风险；同时也需要考虑多个中低风险叠加可能导致的高风险问题

4556
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，信息系统商用密码应用安全性评估的评估结论能够判定为符合的情况是（）。

A、系统综合得分不低于60分
B、系统密码得分为100分
C、系统密码应用无中、高风险
D、系统综合得分不低于60分且系统密码应用无高风险

4557
单项选择题密评人员在对某网络安全等级保护定级为第三级的OA办公系统的应急处置安全层面进行测评时发现，该系统责任单位制定并发布了详细的密码应用应急处置策略，在应急处置策略中明确了发生密码应用安全事件时的处置措施、报告流程以及完成事件处置后的汇报机制，设置了相应的责任岗位，相关应急处置策略合理可行，岗位职责明确，但现场测评发现，该系统从上线运行到本次密评，未发生过密码安全事件，且该系统未制定密码应用方案，则以下关于本系统“事件处置”和“向主管部门上报处置情况”两项指标的结果分析描述正确的是（）。

A、由于被测系统从上线运行至本次密评期间，均未发生密码安全事件，故事件处置、向主管部门上报处置情况均为不适用
B、由于被测系统从上线运行至本次密评期间，均未发生密码安全事件，仅有相应的应急管理制度，但无法验证其真在发生密码安全事件后能够按照相应的应急制度进行处置，故分别为不符合
C、由于被测系统从上线运行至本次密评期间，均未发生密码安全事件，仅有相应的应急管理制度，但无法验证其真在发生密码安全事件后能够按照相应的应急制度进行处置，故分别为部分符合
D、被测系统责任制定并发布了完善的密码应用应急处置策略，策略合理可行，人员岗位职责明确，故判定为符合

4558
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在对信息系统进行商用密码应用安全性评估时，需保证实施密评活动的人员中至少（）通过密评人员考试。

A、1名
B、2名
C、全员
D、无具体要求

4559
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下属于信息系统密评报告“密评活动有效性证明记录”中“密评委托证明”中需要体现的内容的是（）
A、现场测评授权书
B、风险告知书
C、与密评机构签订的合同扫描件
D、差旅票证

4560
单项选择题某面向公众的三级信息系统部署在政务云平台上，在对其开展密评工作时，由于外单位人员进入机房进行核查的审批流程繁琐，故密评机构与系统责任单位约定由系统责任单位运维人员代为前往机房进行设备核查，根据《商用密码应用安全性评估报告模板（2023版）》，这种方式是否符合密评要求（）。

A、符合
B、不符合
C、只要能够完成资产核查即可，进行核查的不一定为密评机构实施密评活动人员
D、目前没有相关要求

4561
单项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告模板中报告声明页需（）。

A、加盖机构用章
B、加盖密评人员电子签章
C、机构法人签字
D、批准人签字

4562
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告时，针对云平台和云上应用的测评，以下表述合理的是（）。

A、如果云平台为SaaS服务模式，其上运行的电子签章系统仅用于支撑云上应用合同的抗抵赖保护，而不用于云平台本身，那么在对云平台测评时，需要对电子签章系统的支撑能力进行“部分评估”，并体现在系统密评报告中
B、如果云平台已经通过密评（即获得“符合”或“基本符合”的结论）且安全等级不低于云上应用，则目前针对云平台被完全评估的支撑能力，所对应的云上应用测评对象的测评结论可以为“不适用”
C、针对云平台被部分评估的支撑能力，可以在该云平台测评结论中体现相关支撑能力的名称、量化评估分值和适用条件、风险评估情况和适用条件
D、针对云平台被完全评估的支撑能力，可以在该云平台测评结论中体现相关支撑能力的安全层面、测评对象和所涉及的指标

4563
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下有关云平台密评报告编写的描述错误的是（）。

A、云平台测评结论中应包含“云平台（密码）支撑能力说明”
B、在编写云平台密评报告时，被完全评估的支撑能力一般不涉及量化评估和风险判定过程
C、在编写云平台密评报告时，被部分评估的支撑能力一定不涉及量化评估和风险判定过程
D、云平台密评报告和传统信息系统密评报告所涉及的内容完全一致

4564
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下有关云平台密评报告编写的描述正确的是（）。

A、云平台密评报告和传统信息系统密评报告所涉及内容不完全一致
B、云平台的密评报告中，应在云平台支撑能力分析环节对“被部分评估的支撑能力”的D/A/K分别进行判定
C、“云平台（密码）支撑能力说明”包含被完全评估的支撑能力、被部分评估的支撑能力两类
D、在编写云平台密评报告时，被完全评估的支撑能力一般不涉及量化评估和风险判定

4565
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，信息系统密评报告中应包含（）。

A、单元测评结果
B、整体测评结果
C、风险分析
D、评估结论

4566
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，信息系统密评报告中涉及编写测评对象的地方有（）。

A、测评对象确定结果
B、单元测评
C、测评结果记录
D、测评结果修正

4567
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，下列关于密评结果备案的说法中，正确的内容包括（）。

A、密评结果备案的备案主体是信息系统运营者
B、所属北京市的信息系统的密评结果备案材料应首先提交到北京市密码管理部门
C、密评机构应每半年填写一次《密评机构工作情况统计表》并报送国家密码管理局
D、中央和国家机关有关部委规划建设的关键信息基础设施或者国家政务信息系统可以直接将密评结果备案材料报送国家密码管理局

4568
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告不再适用的情况有（）。

A、被测信息系统业务发生重大变更
B、被评估密码应用方案发生变更
C、被测单位名称发生变更
D、委托双方合同期满

4569
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在任何情况下，若需引用密评报告中的评估结果或结论都应保持其原有的意义，不得对相关内容擅自进行（）。

A、增加
B、修改
C、伪造
D、掩盖事实

4570
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告的被测信息系统基本信息表中，涉及到（）签字。

A、编制人
B、审核人
C、批准人
D、机构法人

4571
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下应体现在信息系统密评报告“总体评价”章节中内容为（）。

A、不适用项数目
B、测评结果
C、风险项数目
D、系统密评得分

4572
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告的评估结论包括（）。

A、符合
B、不符合
C、通过
D、不通过

4573
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下关于信息系统密评报告中总体评价部分编制要求，描述正确的有（）。

A、总体评价为概要性描述，详细描述在报告第四章和结果记录部分已有详细描述，本章节仅需要给出各安全层面符合项、部分不符合项、不符合项、不适用项的数量统计结果即可，不需要展开说明
B、总体评价为概要性描述，除给出各安全层面符合项、部分不符合项、不符合项、不适用项的数量统计结果外，还需要对各安全层面密码应用的整体情况进行概要介绍
C、总体评价部分应说明测评中涉及的不适用项数量和具体的不适用项指标，不需要对不适用原因进行描述，不适用项不适用原因在结果记录和报告第四章均有具体描述
D、总体评价部分除对不适用项数量和具体的不适用项指标进行说明外，还需要对不适用的原因进行描述

4574
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下关于信息系统密评报告的安全问题及改进建议部分编制要求，描述正确的有（）。

A、问题描述部分只需要将被测系统中主要问题列举出，无需逐一列出被测系统存在的密码应用安全问题
B、问题描述部分可根据报告“风险分析”章节中描述，按照各安全层面顺序，逐一列出被测系统存在的密码应用安全问题
C、改进建议要在符合密评要求的基础上，充分考虑其在被测系统中的可行性
D、改进建议提供通用的解决方案，能够满足密评要求即可，不用考虑其在被测系统中的可行性

4575
多项选择题下列针对《商用密码应用安全性评估报告模板（2023版）》的说法中，正确的是（）。

A、被测信息系统基本信息表中，审核批准部分涉及编制人、审核人、批准人三类人员签字
B、三级信息系统，其密评报告的“总体评价”部分，设备和计算安全层面测评结果存在“符合2项，部分符合3项，不符合 1项，不适用1项”的情况
C、密评结果记录应形成单独的文件，在密评结束后由密评机构归档，不用作为附件附在密评报告后面，密码管理部门需要检查时可要求密评机构提供
D、二级信息系统，其密评报告的“总体评价”部分，“管理制度 ”安全层面测评结果存在：符合1项，部分符合1项，不符合 1项的情况

4576
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告一般应在（）盖章。

A、封面和声明页
B、单元测评
C、报告附录
D、报告骑缝

4577
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告中测评项目概述应包括（）。

A、测评目的
B、测评依据
C、测评过程
D、报告分发范围

4578
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下（）文件应作为密评报告的依据。

A、GB/T 39786 《信息安全技术信息系统密码应用基本要求》
B、GM/T 0115《信息系统密码应用测评要求》
C、GM/T 0005《随机性检测规范》
D、《XXXXX系统密码应用方案》

4579
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告中系统网络拓扑应说明（）。

A、系统体系架构
B、网络所在机房情况（物理机房的个数及其所在具体位置）
C、网络边界划分
D、与其他系统的互联关系（网络互联、数据互通等情况）

4580
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，密评报告中现场测评方法通常包括（）。

A、访谈、文档审查
B、实地查看
C、配置检查
D、工具测试

4581
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，现场测评方法中，访谈工作主要内容包括（）。

A、与被测单位的相关人员进行交流和问询
B、了解被测信息系统技术方面的基本信息
C、了解被测信息系统管理方面的基本信息
D、对测评内容进行确认

4582
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在文档审查中会涉及的文档有（）。

A、人员培训计划
B、安全管理制度文件
C、密钥管理制度
D、密码应用方案及评审意见

4583
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告单元测评部分时，需要注意（）。

A、单元测评中的测评对象需要与测评对象确定结果和测评结果记录（附录A）中的测评对象保持一致
B、单元测评结果分析中对于判定依据的相关描述需要与测评结果记录（附录 A）中的保持一致
C、单元测评中的不适用指标应当与“测评范围与方法”中确定的不适用指标保持一致
D、单元测评结果中的测评指标符合情况需与整体测评结果中的符合情况保持一致（如果不存在测评结果修正）

4584
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告的单元测评结果包括（）。

A、符合
B、不符合
C、部分符合
D、不适用

4585
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，某三级信息系统只有一个网络通信信道，如果针对网络和通信安全层面的“身份鉴别”指标的判定结果为部分符合，其量化评估分值可能为（）。

A、0
B、0.25
C、0.5
D、无法确定

4586
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，编制系统密评报告时，针对“网络和通信安全”层面的结果分析，以下描述不合理的是（）。

A、某三级信息系统，移动终端用户通过 SSL VPN访问内网资源，移动终端与SSL VPN之间必须实现双向身份鉴别才能符合标准的要求
B、被测系统的远程管理通道存在跨网络的情况，跨网的信道不需要作为“网络和通信安全”层面的测评对象进行分析
C、某三级信息系统互联网PC端用户可以通过HTTP或者国密 SSL协议两种方式访问被测信息系统，鉴于网络通信信道支持国密SSL协议，因此针对“通信过程中重要数据完整性”和“通信过程中重要数据机密性”指标可以判定为符合
D、某三级信息系统主机房和灾备机房之间通过部署IPSec VPN设备建立安全传输通道，测评人员将主机房到灾备机房和灾备机房到主机房的通信链路作为两个测评对象进行分析

4587
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，对于应用和数据安全部分的报告编制，以下说法正确的是（）。

A、测评指标可分为“应用用户身份鉴别”、“重要数据安全”、“关键操作不可否认性”三类
B、应用用户可以是应用管理员和业务用户等
C、重要数据通常可分为“鉴别类”“业务类” “日志类”这三类数据
D、该安全层面的测评对象为应用系统，而不是应用用户、重要数据等

4588
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，管理制度中“制定密码应用方案”测评单元结果为部分符合，其量化评估分值不可能为（）。

A、0
B、0.25
C、0.5
D、1

4589
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，管理制度中“具备密码应用安全管理制度 ”测评单元结果为部分符合，其量化评估分值不可能为（）。

A、0
B、1
C、0.25
D、0.5

4590
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告时，以下与“建设运行”相关的测评对象包括（）。

A、密钥管理制度及策略类文档
B、应急处置记录
C、密评报告及密码实施方案
D、管理体系

4591
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告中的测评结果修正是对（）开展的。

A、不适用指标
B、符合指标要求的测评对象
C、不符合指标要求的测评对象
D、部分符合指标要求的测评对象

4592
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制密评报告的整体测评部分时，需要注意的事项有（）。

A、测评对象作为整体测评时弥补的最小单位
B、弥补后的测评结果只能是“部分符合”
C、弥补后的分数最多0.5分
D、弥补后的分数最多0.25分

4593
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下案例不能进行测评结果修正的是（）。

A、设备和计算安全层面的“身份鉴别”指标为符合，能够弥补设备和计算安全层面的“系统资源访问控制信息完整性”指标
B、应用和数据安全层面的“身份鉴别”指标为符合，能够弥补“重要数据存储机密性”指标
C、应用和数据安全层面“重要数据传输完整性”指标可以弥补网络和通信安全层面的“通信数据完整性”指标
D、堡垒机的身份鉴别判定结果为符合，可以弥补通用服务器的身份鉴别指标

4594
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下应体现在信息系统密评报告“整体测评”章节中内容为（）。

A、总体评价
B、安全问题及改进建议
C、测评结果修正
D、整体测评结果和量化评估

4595
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，编制系统密评报告时，以下说法不合理的是（）。

A、如果信息系统有密码应用方案且方案通过评估，针对密码应用方案中采用密码技术实现的指标，可以在系统密评报告的单元测评中直接判定为符合
B、如果安全管理方面的指标均不适用，那么被测系统的综合得分最高为70分
C、如果现场测评获取的技术证据与密码应用方案中描述的不一致，则应以密码应用方案中给出的技术措施为准
D、根据系统密评报告模板（2023版），测评结果修正只需要考虑层面间的弥补情况

4596
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，系统密评报告中关于风险分析的体现，以下表述不合理的是（）。

A、如果被测系统确实涉及《信息系统密码应用高风险判定指引》中描述的高风险安全问题，那么测评结果记录中相关指标或测评对象的量化评估分值一定是0分
B、风险分析过程需要结合整体测评结果中的部分符合项或不符合项的关联威胁
C、如果系统涉及高风险判例中的问题场景，则需要在报告附录A中，按照实际评估结果进行填写，针对该测评项判定为不符合或部分符合，在风险分析时需要核查针对该安全风险是否存在缓解措施
D、被测系统的风险分析结果与被测系统的安全保护等级无关，即风险分析过程中不用考虑被测系统的安全保护等级

4597
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告风险分析环节时，以下情况处理合适的是（）。

A、某三级信息系统的设备仅支持本地运维，其登录方式为“用户名+口令+指纹 ”，这种情形下设备和计算安全层面的“身份鉴别”指标的风险等级可酌情降低
B、某第三方支付平台和银行有业务交互需求，在应用和数据安全层面未采用密码技术对重要数据进行传输机密性保护。但采用了符合要求的密码技术建立网络通信信道，且网络和通信安全层面适用指标的测评结果为满分。因此“重要数据传输机密性”的风险等级可酌情降低
C、某三级信息系统的设备远程管理路径为：管理员终端- SSL VPN网关-通用设备（静态口令登录）。通用设备只能通过SSL VPN网关访问登录（由访问控制策略保证），若SSL VPN网关登录方式符合密评要求，则通用设备“身份鉴别”的风险等级可酌情降低
D、某省中心系统和市中心系统有业务交互需求，在网络和通信安全层面未采用密码技术建立安全通信信道，通信报文的传输机密性无法得到保障。但采用了符合要求的密码技术对重要数据传输机密性进行保护，且加密后的数据流能够覆盖网络通信信道。因此“通信过程中重要数据的机密性”的风险等级可酌情降低

4598
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，对系统密评报告中的风险分析表格描述错误的是（）。

A、风险分析时可从威胁类型和威胁发生频率等方面阐述
B、表格中每一行是一个测评对象的问题描述、关联威胁、风险分析和风险等级
C、在网络和通信安全层面关联的安全威胁包括“非法设备从外部接入内部网络，或网络边界被
D、在填写表格时，只需要注意识别出的高风险，无需考虑多个中低风险叠加而导致的高风险问

4599
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，以下内容中应体现在系统密评报告中“商用密码应用安全性评估结论”的包括（）。

A、系统简介
B、测评情况简介
C、评估结论及综合得分
D、系统测评指标的符合情况及数目

4600
多项选择题根据《商用密码应用安全性评估报告模板（2023版）》，分析以下给出的密评报告中“A.测评结果记录”示例，其中错误的是（）
A、测评项：应用和数据安全层面身份鉴别测评对象：金融IC卡结果记录：某银行三级IC卡发卡系统，已完成国密改造并通过验收，该系统为用户分发了合规的金融IC卡（通过安全认证，密码模块等级为二级），用户在ATM机（或POS机上）插入IC卡进行联机交易时，在交易前首先通过在密码键盘输入PIN码实现对 ATM（或POS）对金融IC卡的鉴别，未使用密码技术实现金融IC卡联机认证，因此该测评对象身份鉴别判定结果为不符合。量化判定：错/错/错
B、测评项：应用和数据安全层面数据存储机密性测评对象：用户支付口令结果记录：某银行三级的网银系统，其系统注册用户的用户支付口令存储在数据库服务器中，数据库服务器通过调用合规的签名验签服务器（通过安全认证，密码模块安全等级为二级）使用SM4算法（CBC模式）实现了用户支付口令存储机密性保护。用户支付口令存储加密密钥由合规的签名验签服务器生成，仅用于用户支付口令存储机密性保护，该密钥加密存储在签名验签服务器中，不涉及分发、导入导出。因此该测评对象存储机密性判定结果为符合。量化判定：对/对/对
C、测评项：设备和计算安全层面身份鉴别测评对象：堡垒机结果记录：受测系统管理员通过用户名+静态口令+动态口令登录堡垒机，通过在堡垒管理应用中集成动态令牌认证系统，并为用户配置动态令牌，使用合规的SM3算法实现用户的身份鉴别，身份鉴别涉及的密钥为动态令牌种子密钥，动态令牌种子密钥由服务器密码机产生，在堡垒机和动态令牌中存储、使用，不涉及分发、更新、备份、恢复、归档、撤销和销毁系统部署和使用的动态令牌为经检测认证合格的密码产品（密码模块等级为二级），因此该测评对象身份鉴别判定结果为符合。量化判定：对/对/对
D、测评项：应用和数据安全层面身份鉴别测评对象：应用用户受测系统为App，应用用户通过用户名+口令+APP 扫码登录，APP集成了移动智能终端二级密码模块：通过身份认证网关、移动智能终端安全密码模块，使用合规的SM3WithSM2算法通过挑战响应机制实现身份鉴别。密钥管理由合规的密码产品执行，移动智能终端安全密码模块、身份认证网关，均具有商用密码产品认证证书，证书由合规的电子认证服务机构签发量化判定：对/对/对

4601
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在信息系统密评报告中“密评活动有效性证明记录”部分，应体现的密评活动质量文件有（）。

A、现场测评授权书及风险告知书
B、测评方案的评审记录及确认记录
C、方案密评报告的评审记录及确认记录
D、系统密评报告的评审记录

4602
多项选择题按照《商用密码应用安全性评估报告模板（2023版）》，在密评报告“密评活动有效性证明记录”中，在“密评委托证明”部分，需要提供证明文件（）才能满足密评报告形式审查要求。

A、合同关键页，需包含服务内容、收费金额、签字盖章等关键页
B、任务书关键页，需包含任务内容、任务委托单位、任务资金支持（如有）、签字盖章等关键页
C、其他委托证明文件，需包含委托内容、委托单位、签字盖章等关键页
D、运营者自行开展密评的，无须提供

4603

判断题按照《商用密码应用安全性评估报告模板（2023版）》，即便信息系统密码应用方案通过了评估，那么针对某个安全层面的某个测评指标或者某个测评指标相关的测评对象，可能存在系统密评报告与方案密评报告中的判定结果不一致的情况。

A、正确
B、错误

4604

判断题某云平台为三级信息系统，已进行了密评，评估结论为基本符合。
在该云平台上部署有一个四级信息系统（云上应用），在对该云上应用进行密评时，应依据云平台密评时的“云平台支撑能力说明”，采信“被完全评估的支撑能力”所对应测评对象的测评结果。

A、正确
B、错误

4605

判断题按照《商用密码应用安全性评估报告模板（2023版）》，委托密评机构开展密评的运营者，可以委托密评机构具体承担备案工作。

A、正确
B、错误

4606

判断题按照《商用密码应用安全性评估报告模板（2023版）》，被测信息系统业务发生重大变更后，应重新对其进行评估，已出具的密评报告不再适用。

A、正确
B、错误

4607

判断题按照《商用密码应用安全性评估报告模板（2023版）》，密评结论不能作为系统构成组件（如密码产品）的评估结论。

A、正确
B、错误

4608

判断题按照《商用密码应用安全性评估报告模板（2023版）》，二级系统的密评报告总体评价中，管理制度安全层面测评结果可能存在：符合1项，部分符合1项，不符合1项的情况。

A、正确
B、错误

4609

判断题按照《商用密码应用安全性评估报告模板（2023版）》，被测信息系统“总体评价”部分的部分符合项及不符合项数量总和，与“安全问题及改进建议”中的高、中风险数量总和应该一致。

A、正确
B、错误

4610

判断题应用和数据安全层面的密码应用通常与信息系统承载的业务息息相关，这部分应是密评报告中“密码应用情况”章节重点描述的内容。

A、正确
B、错误

4611

判断题根据《商用密码应用安全性评估报告模板（2023版）》，在密评报告中，应在“测评工具检查点”章节体现对系统中部署的每个设备的配置检查，且需要体现对信息系统传输、存储的数据进行抓取、分析。

A、正确
B、错误

4612

判断题根据《商用密码应用安全性评估报告模板（2023版）》，GB/T 39786《信息安全技术信息系统密码应用基本要求》中不适用于被测信息系统的密码应用要求的个别项称为不适用指标。

A、正确
B、错误

4613

判断题根据《商用密码应用安全性评估报告模板（2023版）》，在信息系统密评报告中，如某一测评指标中的部分测评对象存在不适用情况，则应在报告“不适用指标”中体现，并说明该部分测评对象在该测评指标中的不适用原因。

A、正确
B、错误

4614

判断题根据《商用密码应用安全性评估报告模板（2023版）》，在密评报告中，测评工具检查点部分应描述在何处接入何种测评工具进行何种测试工作。

A、正确
B、错误

4615

判断题根据《商用密码应用安全性评估报告模板（2023版）》，单元测评中不同测评对象的结果判定应依据附录A测评结果记录中各个测评对象的量化评估分值来确定。

A、正确
B、错误

4616

判断题在编写系统密评报告（2023版）时，“单元测评”中的测评对象应该与“测评对象确定结果”中的测评对象保持一致。

A、正确
B、错误

4617

判断题在《商用密码应用安全性评估报告模板（2023版）》中，如果附录A测评结果记录中某个测评单元的测评对象量化评估结果为0.25分或0.5分，则在“单元测评”环节中该测评对象的结果应写部分符合。

A、正确
B、错误

4618

判断题《商用密码应用安全性评估报告模板（2023版）》中的单元测评结果为“弥补”修正后的结果。

A、正确
B、错误

4619

判断题根据《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告时，对于网络和通信安全层面的测评结果可以仅依据访谈和实地查看提供的证据给出。

A、正确
B、错误

4620

判断题根据《商用密码应用安全性评估报告模板（2023版）》，如果被测系统存在弥补的情况，那么在完成测评结果修正后需要同步修改系统密评报告中第4章的单元测评结果。

A、正确
B、错误

4621

判断题在《商用密码应用安全性评估报告模板（2023版）》中，整体测评分为测评结果修正、整体测评结果和量化评估。
其中测评结果修正要按测评单元、测评对象，填写弥补前和弥补后的测评结果和分值，并说明弥补原因。

A、正确
B、错误

4622

判断题根据《商用密码应用安全性评估报告模板（2023版）》，“测评结果修正”是针对“单元测评”中所有测评指标要求的测评对象进行分析是否存在弥补的情况。

A、正确
B、错误

4623

判断题根据《商用密码应用安全性评估报告模板（2023版）》，如果被测系统为三级信息系统，则整体测评结果汇总表中的“符合”“部分符合”“不符合”“不适用”指标项数之和应为41。

A、正确
B、错误

4624

判断题根据《商用密码应用安全性评估报告模板（2023版）》，编制系统密评报告时，如果安全管理四个层面均为不适用，那么该系统最高得分为70分。

A、正确
B、错误

4625

判断题根据《商用密码应用安全性评估报告模板（2023版）》，系统密评报告中的整体测评结果为修正后的整体测评结果和量化评估分数。

A、正确
B、错误

4626

判断题根据《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告的风险分析内容时，如果不存在《商用密码应用安全性评估高风险判定指引》中的高风险项，则可以判定被测系统一定不会面临高风险。

A、正确
B、错误

4627

判断题密评人员在编制系统密评报告风险分析部分时，将网络和通信安全“通信过程中重要数据的机密性 ”测评单元降至中低风险，并给出如下分析：在网络和通信安全层面未采用密码技术建立安全通信信道，但采用了符合要求的密码技术对重要数据传输机密性进行保护，因此“通信过程中重要数据的机密性”的风险等级可以酌情降低。
报告审核人员认为该风险缓解分析是到位的。

A、正确
B、错误

4628

判断题在《商用密码应用安全性评估报告模板（2023版）》中，可按照威胁类型和威胁发生频率进行风险分析，并将单元测评后的部分符合项或不符合项逐一进行关联威胁确认、风险分析和风险等级判定。

A、正确
B、错误

4629

判断题被测系统责任单位制定有密码应用应急处置方案，但截至目前系统未发生过密码应用相关安全事件，根据《商用密码应用安全性评估报告模板（2023版）》，应在信息系统密评报告的“检测结果记录”部分将“事件处置”、“向有关主管部门上报处置情况”两个测评项判定为“不适用”。

A、正确
B、错误

4630

判断题某三级信息系统在其通过密评的密码应用方案中将“不可否认性”作为不适用项，并说明系统无不可否认性保护需求，密评机构测评人员在实际测评过程中，发现该系统存在不可否认性应用场景，依据通过密评的密码应用方案，应在信息系统密评报告“检测结果记录”部分将该项判定为“不适用”。

A、正确
B、错误

4631

判断题根据《商用密码应用安全性评估报告模板（2023版）》，当被测信息系统经过测评结果修正，涉及到单元间或层面间的分值调整时，在信息系统密评报告的“检测结果记录”部分将测评对象及测评单元的原始分值替换为调整后的得分即可。

A、正确
B、错误

4632

判断题根据《商用密码应用安全性评估报告模板（2023版）》，当被测信息系统中存在可能涉及高风险的安全问题，但因为具备一定的缓解措施而降低为中风险时，应在信息系统密评报告测评结果记录部分修正测评结果为部分符合。

A、正确
B、错误

4633

判断题根据《商用密码应用安全性评估报告模板（2023版）》，密评结果记录应形成单独的文件，在密评结束后由密评机构归档，不用作为附件附在密评报告后面，密码管理部门需要检查时可要求密评机构提供。

A、正确
B、错误

4634

判断题某单位规划在2023年新建一个三级信息系统（协同办公信息系统），按照《国家政务信息化项目建设管理办法》（国办发[2019] 57号）要求，系统建设完成后应通过商用密码应用安全性评估。
为简化招投标流程，A单位将密评事项在建设之初，就全权委托给系统建设总集成商单位B，由B单位选择相应密评机构，并B单位与密评机构签订测评委托协议，向密评机构支付密评费用，三方约定密评机构出具的最终密评报告仅交付给 A，根据《商用密码应用安全性评估报告模板（2023版）》，这种情况符合密评管理要求。

A、正确
B、错误

4635
单项选择题如果基于数字证书方式进行用户的身份鉴别，在进行密评时，以下核查（）不是必要的。

A、检查根证书如何安全导入或预置到系统内
B、检查数字证书的合规性
C、验证数字证书的证书链是否通过
D、检查数字证书的机密性是如何保证的

4636
单项选择题以下选项（）不是对传输完整性实现的测评方法。

A、利用Wireshark分析受完整性保护的数据在传输时的数据格式（如签名长度、MAC 长度）是否符合预期
B、如果采用数字签名技术进行传输完整性保护，测评人员可以使用公钥对抓取的签名结果进行验证
C、条件允许的情况下，测评人员可尝试对传输数据进行篡改（如修改MAC值或数字签名值），验证完整性保护措施的有效性
D、检查传输过程是否符合GB/T 15843《信息技术安全技术实体鉴别》要求

4637
单项选择题以下选项（）不被认为是云平台“完全评估的支撑能力”。

A、仅为租户应用提供的电子签章服务
B、云平台所在的物理机房环境
C、云平台管理应用
D、云平台提供的设备运维通信信道

4638
单项选择题 Linux系统的用户口令一般存储在路径（）下。

A、/etc/group
B、/etc/shadow
C、/etc/login.defs
D、/etc/named.conf

4639
单项选择题 Linux系统的用户口令一般存储在/etc/shadow路径下，口令存储字符串格式为： $i d$ salt$encrypted ，其中id为1 时表示口令采用（）密码算法进行杂凑后存储。

A、MD5
B、Blowfish
C、SHA-256
D、SHA-512

在这里插入图片描述