新网站排名优化,浙江建设三类人员报名网站,wordpress admin init,花都区建设工程造价管理网站商用密码应用安全性评估从业人员考核题库#xff08;二十-完结#xff09; 国密局给的参考题库5000道只是基础题#xff0c;后续更新完5000还会继续更其他高质量题库#xff0c;持续学习#xff0c;共同进步。 4640 单项选择题 在测评过程中遇到的PEM编码格式#xff0c… 商用密码应用安全性评估从业人员考核题库二十-完结 国密局给的参考题库5000道只是基础题后续更新完5000还会继续更其他高质量题库持续学习共同进步。 4640 单项选择题 在测评过程中遇到的PEM编码格式除了开头和结尾其内容体通常以格式编码。
A、BER B、DER C、Base64 D、Base64url
4641 单项选择题 某信息系统部署在云服务提供商CSP机房其物理机房完全由CSP托管那么在对该信息系统进行密评时在物理和环境安全层面合理的做法是。
A、若CSP机房未通过密评则物理和环境安全层面直接判定为“不符合” B、若CSP机房通过密评则可以复用该机房的密评结论 C、若CSP机房未通过密评则可以直接判定为“符合” D、无论CSP机房是否通过密评物理和环境安全层面应判定为“不适用”
4642 单项选择题 某二级信息系统对物理和环境安全层面“身份鉴别”这一项其密码应用方案中论述了无法采用密码技术的客观因素并提供了目前采用的风险控制措施即人脸识别密评人员在实际测评时核实密码应用方案中的措施已落实。 那么作为该条款的测评结论合理的是。
A、符合 B、部分符合 C、不符合 D、不适用
4643 单项选择题 在设备和计算安全层面若存在100台服务器其中60台为A厂商生产且为同一型号40台为B厂商生产且为同一型号同一厂商的硬件/软件配置相同。 为提高测评效率同时避免遗漏测评对象以下测评对象选取方法合理的是。
A、同一类机型的服务器作为一个测评对象所以有两个测评对象即机型A和机型B两类服务器 B、由于这100台服务器均属于通用设备可视为一个测评对象 C、每一台服务器均作为一个测评对象所以测评对象数量为100个 D、以上都正确
4644 单项选择题 某四级信息系统对物理和环境安全“身份鉴别”这一项其密码应用方案中论述了无法采用密码技术的客观因素并提供了目前采用的风险控制措施即“口令指纹”密评人员在实际测评时核实方案中的措施已落实。 那么作为该条款的测评结论合理的是。
A、符合 B、部分符合 C、不符合 D、不适用
4645 单项选择题 某三级信息系统开发人员采用密码机经检测认证的一级密码模块实现的SM4算法为具有“重要数据传输机密性”安全需求的数据提供相应密码保护经密评人员确认该指标测评对象有2个且密码保护有效。 那么该指标的判定结果较为合理的是。
A、符合1分 B、部分符合0.5分 C、部分符合0.3分 D、不符合0.25分
4646 单项选择题 用户在某银行网点取钱输入支付口令后该口令途经两段传输过程1ATM机到银行服务端金融数据密码机经检测认证合格采用SM4算法提供传输机密性2银行服务端金融数据密码机经检测认证合格到银行服务端核心系统服务器非直连采用AES-128提供传输机密性。 以口令作为测评对象其“重要数据传输机密性”的判定结果为。
A、符合 B、部分符合 C、不符合 D、基本符合
4647 单项选择题 以下因素可能导致数字签名功能不正确。
A、签名中使用固定的随机数 B、待签消息比SM3杂凑值长 C、签名中使用不可预测的随机数 D、使用私钥签名
4648 单项选择题 某信息系统在数据库中存储有用户的性别字段的密文应用开发人员告知密评人员该字段采用 SM4-CBC算法进行了加密。 密评人员查看该字段信息发现只存在两种密文值每个密文值长度为 128比特。 那么以下推断正确的是。
A、如果确实使用SM4- CBC进行加密那么开发人员可能错误地使用了IV B、由于密文长度为64比特的整数倍因此性别字段一定使用了DES或3DES进行加密开发人员说法存在问题 C、开发人员不可能使用ECB模式加密 D、由于密文长度为128比特的整数倍符合SM4的分组特征因此可以判定开发人员的说法是正确的
4649 单项选择题 应用服务器的数据库中用户的单条记录包括口令杂凑值、身份证号、手机号等密文值、角色、权限等利用HMAC-SM3计算后 把得到的 MAC值一并存放在该条目中针对“应用和数据安全”层面的“重要数据存储完整性”指标判定最多可以给分。
A、0 B、0.25 C、0.5 D、1
4650 单项选择题 某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统使用SM4算法进行密钥分散实现门禁卡的“一卡一密”并基于SM4算法对人员身份进行鉴别因此该系统在“物理和环境安全”层面的“身份鉴别”指标的量化评估结果最多为分。
A、0.25 B、0.5 C、0 D、1
4651 单项选择题 某三级信息系统网络和通信安全层面采用了合规的密码技术进行通信实体身份鉴别测评人员经核实后判定结果为1分应用和数据安全层面采用“用户名口令”的方式对业务系统登录用户进行身份鉴别。 则“应用和数据安全”层面的“身份鉴别”指标的应用用户测评对象经“网络和通信安全”层面“身份鉴别”指标结果弥补后的量化评估分值为。
A、1 B、0.5 C、0.25 D、0
4652 单项选择题 某三级信息系统通过HMAC-SM3对重要数据计算 MAC值后与数据原文一同存储在数据库中密码运算为软件实现针对“应用和数据安全”层面的“重要数据存储完整性”指标最高可以给分。
A、0 B、0.25 C、0.5 D、1
4653 单项选择题 某三级信息系统的重要数据包括用户口令、日志信息、业务数据这三类数据的存储机密性量化评估分值分别为0.25、0.5、0.25针对“应用和数据安全”层面的“重要数据存储机密性”的测评单元得分为。
A、0.3333 B、1 C、0.5 D、0.25
4654 单项选择题 某三级信息系统制定了密码安全应急策略规定了相关应急事件处置措施和流程明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置情况。 该系统目前未发生过密码应用安全事件无相应处置记录。 针对“应急处置”层面的“事件处置”指标最高可以给分。
A、1 B、0.25 C、0.5 D、0
4655 单项选择题 某三级信息系统的系统管理员通过堡垒机登录通用服务器并对其进行远程管理进入堡垒机后系统管理员通过用户名口令的方式访问通用服务器。 系统管理员登录堡垒机时通过部署具有商用密码产品认证证书的安全浏览器安全等级二级和智能密码钥匙安全等级二级并基于数字证书在有效期内的方式进行身份鉴别算法为SM2。 因此该系统在“设备和计算安全”层面的通用服务器测评对象的“身份鉴别”指标 D、K的判定结果为。
A、√√√ B、×// C、√×× D、√√×
4656 单项选择题 某三级信息系统用户端与服务端之间进行通信时只对服务端进行了基于密码的身份鉴别且身份 鉴 别 机 制 有 效 使 用 的 签 名 算 法 为 SM2withSM3针对“网络和通信安全”层面的“身份鉴别”指标最高可以给分。
A、0 B、0.25 C、0.5 D、1
4657 单项选择题 某三级信息系统通过堡垒机对通用服务器进行集中管理其中管理员与堡垒机之间使用HTTP协议建立传输通道堡垒机与通用服务器之间使用 SSH2.0建立传输通道因此针对“设备和计算安全”层面的“远程管理通道安全”指标的判定结果为。
A、符合 B、部分符合 C、不符合 D、无法判断
4658 单项选择题 某信息系统有两个业务应用其中应用A有管理员用户和操作员用户两类用户分别采用用户名口令和基于动态口令经过检测认证的密码产品的身份鉴别方式应用B有管理员用户和业务员用户两类用户均基于经过检测认证的智能密码钥匙进行身份鉴别。 针对“应用和数据安全”层面的“身份鉴别”指标最多可以给分。
A、0.5 B、1 C、3 D、0.75
4659 单项选择题 某三级信息系统通过SSL VPN建立远程管理传输通道管理终端与SSL VPN之间传输协议使用的密码套件为ECC_SM4_GCM_SM3。 该网络通信信道使用算法实现通信数据的机密性保护。
A、ECC B、SM4_GCM C、SM3 D、基于SM3的HMAC
4660 单项选择题 某三级信息系统客户端与服务端之间的网络通信信道使用TLSv1.2协议进行传输保护使用的密码套件为 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384记录层协议中使用算法进行通信数据机密性和完整性保护。
A、ECDHERSA B、AES_256_GCM,AES_256_GCM C、AES-GCMHMAC- SHA384 D、AES-GCMSHA384
4661 单项选择题 某三级信息系统的访问控制信息通过调用服务器密码机 通过商用密码产品检测认证 使用 SM3withSM2数字签名算法计算签名值后将访问控制信息与签名值一同保存在数据库中但用户访问业务应用时未对访问控制信息的签名值进行验证针对“应用和数据安全”层面的“访问控制信息完整性”为分。
A、0 B、0.25 C、0.5 D、1
4662 单项选择题 在密评时以下密码算法/技术的组合认为存在高危风险。
A、对数据进行RSA- 3072和SHA-1签名 B、对数据进行DES加密后再进行SM4加密 C、对数据进行HMAC- SHA256保护 D、对数据进行SM2和SM3签名
4663 单项选择题 测评过程中对信息系统网络边界内的用户与系统应用之间重要数据传输保护的测评属于安全层面的测评内容。
A、网络和通信安全 B、设备和计算安全 C、应用和数据安全 D、密钥管理
4664 单项选择题 密评人员对SSL VPN进行测评时发现所使用的密码套件为{0xe0 0x11} 以下判断不合理的是。
A、该套件使用SM2密钥交换算法进行密钥协商 B、该套件使用SM4- GCM进行数据加密 C、该套件使用HMAC- SM3进行数据完整性保护 D、该套件使用SM2算法进行密钥协商
4665 单项选择题 密评人员对SSL VPN进行测评时发现所使用的密码套件为{0xe00x13}后以下判断不合理的是。
A、该套件使用SM2密钥交换算法进行密钥协商 B、该套件使用SM4- CBC进行数据加密 C、该套件使用HMAC- SM3进行数据完整性保护 D、该套件使用SM3作为PRF派生密钥
4666 单项选择题 某业务系统用户手机号利用SM3进行杂凑计算后将得到完整的杂凑值存放在应用服务器的数据库中那么对于“应用和数据安全”层面的“重要数据存储完整性”指标最多可以给分。
A、0 B、0.25 C、0.5 D、1
4667 多项选择题 在测评时信息系统声称采用SM4-CBC进行个人隐私信息的存储机密性保护以下收集的证据与其声称的存在矛盾或证明其使用不合规的包括。
A、密文长度为192比特 B、密文长度为64比特 C、IV值以明文形式存储 D、IV值都为全0
4668 多项选择题 在密评中当证书认证系统作为测评对象时以下测评实施合理的包括。
A、对信息系统内部署证书认证系统测评人员可以参考 GM/T 0037《证书认证系统检测规范》和GM/T 0038《证书认证密钥管理系统检测规范》的要求进行测评 B、通过查看数字证书扩展项KeyUsage 字段确定证书类型签名证书或加密证书并验证数字证书及其相关私钥是否正确使用 C、通过数字证书格式合规性分析验证生成或使用的证书格式是否符合 GM/T 0015《基于 SM2 密码算法的数字证书格式规范》的有关要求 D、检查证书认证系统中所使用的密码机等是否具备商用密码产品认证证书
4669 多项选择题 在密评中当电子门禁系统作为测评对象时以下测评实施合理的包括。
A、尝试发一些错误的门禁卡验证这些卡无法打开门禁 B、利用发卡系统分发不同权限的卡验证非授权的卡无法打开门禁 C、对电子门禁系统是否满足GM/T 0028《密码模块安全技术要求》进行检测 D、检查电子门禁系统中所使用的智能卡、密码机等是否具备商用密码产品认证证书
4670 多项选择题 在密评中当IPSec VPN保护的通道作为测评对象时以下测评实施合理的包括。
A、抓取IPSec通信报文进行分析算法使用情况以及对数字证书开展合规性分析 B、查看IPSec VPN的配置情况 C、检查IPSec VPN等是否具备商用密码产品认证证书 D、对IPSec VPN是否满足GM/T 0028《密码模块安全技术要求》进行检测认证
4671 多项选择题 如果设备登录需要使用智能密码钥匙那么开展密评时以下测评实施合理的包括。
A、在模拟的主机或抽选的主机上安装监控软件如Bus Hound用于对智能密码钥匙的APDU指令进行抓取和分析确认调用指令格式和内容符合预期如口令和密钥是加密传输的 B、如果智能密码钥匙存储有数字证书测评人员可以将数字证书导出后对数字证书合规性进行检测 C、检查智能密码钥匙是否具备商用密码产品认证证书 D、对智能密码钥匙是否满足GM/T 0028《密码模块安全技术要求》进行检测认证
4672 多项选择题 在密评中发现被测信息系统使用了以下密码算法和密码技术合规的是。
A、SM4-GCM B、SM3-HMAC C、TLS 1.3 D、TLCP
4673 多项选择题 在对信息系统进行密钥管理测评时以下存在风险的有。
A、DH密钥协商前或协商过程中未进行身份鉴别 B、利用口令派生的密钥进行传输通信保护 C、一个密钥同时用于加密和MAC D、IV和计数器值公开传递
4674 多项选择题 测评人员在测评时发现以下情况其中密码应用合规正确的有( )。
A、通信双方进行加密通信前使用了双证书中的加密证书进行SM2密钥协商 B、通信双方使用TLS 1.3进行通信并将其中的密码算法全部替换为 SM2/SM3/SM4 C、用户使用SM4-CTR进行加密时以随机数和当前时间值的拼接作为计数器值将计数器值以明文形式与密文一并发送给接收方 D、信息系统使用同一个数据密钥采用 SM4-CBC模式对所有用户的性别信息进行加密保护并使用全0的IV值
4675 多项选择题 密评人员对SSL VPN进行测评时发现{0xe0 0x13}后以下判断合理的是。
A、SSL VPN的两端进行了双向身份鉴别 B、SSL VPN的两端利用 ECDH协议进行密钥交换 C、SSL VPN的两端采用 SM4算法实现数据传输的机密性保护 D、SSL VPN的两端采用 HMAC-SM3算法实现数据传输的完整性保护
4676 多项选择题 密评人员在检查数据库中存储的口令杂凑值时发现以下情况1A和B有相同的口令杂凑值2口令杂凑值长度均为256比特。 以下分析正确的是。
A、可以确定使用了SM3对口令进行杂凑保护 B、可能采用了MD5对口令进行杂凑计算 C、计算口令杂凑值时可能未加入用户唯一的盐值 D、A和B可能共享相同的口令
4677 多项选择题 对于托管到IDC机房的信息系统测评其物理和环境安全层面较为合理的做法有。
A、若IDC机房通过密评则可以复用该机房的密评结论 B、若IDC机房未通过密评对于条件不允许的情况可通过 IDC机房运维方提供的相关说明文件和有关证据进而给出测评结论 C、若IDC机房未通过密评则需要现场测评取证判定该机房的符合程度 D、无论IDC机房是否通过密评由于机房的责任主体不属于该信息系统责任方所以该机房的测评结论应是“不适用”
4678 多项选择题 在测评某一信息系统时其设备和计算安全层面可能涉及的测评对象有。
A、数据库管理系统 B、虚拟机 C、应用服务器 D、VPN网关
4679 多项选择题 重要数据存储完整性可以通过以下密码技术实现。
A、带盐的SM3 B、HMAC-SHA256 C、CMAC-SM4 D、SM2数字签名
4680 多项选择题 网络和通信安全层面的测评对象识别与确认应考虑以下因素。
A、网络类型 B、通信人员 C、传输数据 D、通信主体
4681 多项选择题 测评人员在核查“传输机密性”密码功能时可能需要关注以下内容。
A、重要数据或鉴别信息是否为密文 B、密文数据长度是否符合预期 C、相关密码产品中密钥类型 D、相关密码产品中密码算法类型
4682 多项选择题 测评人员在核查“传输完整性”密码功能时可能需要关注以下内容。
A、数字签名数据长度 B、MAC值长度 C、使用对应公钥能否对签名值通过验签操作 D、相关密码产品中加密算法类型
4683 多项选择题 测评人员在核查“真实性”密码功能时可能需要关注以下内容。
A、发送的挑战值是否每次均不重复 B、使用对应公钥能否对签名值通过验签操作 C、公钥或对称密钥与实体的绑定方式 D、对数字证书格式正确性进行验证
4684 多项选择题 对某政务外网信息系统开展测评时网络和通信安全层面的测评对象可包括。
A、互联网用户通过浏览器访问该系统服务网站的HTTP通信信道 B、该系统与政务外网上其他单位的系统之间的通信信道 C、异地办事人员访问该系统建立的VPN通信信道 D、该系统移动端APP访问服务端建立的 HTTPS通信信道
4685 多项选择题 以下关于用户密钥的存储方式 说法正确的是。
A、数据加密密钥在经过检测认证的三级密码模块中存储 B、SM2签名私钥经 SM4-GCM加密后存储在数据库中 C、SM2签名证书明文存储在应用服务器中 D、SM4密钥经SHA1加密存储在数据库
4686 多项选择题 应急广播消息一般用于发布事关人民群众的生命财产安全的内容消息发布过程一旦遭到非授权破坏将会严重扰乱社会秩序。 针对应急广播业务场景中应急广播消息的安全需求分析正确的是。
A、消息来源真实性 B、消息传输机密性 C、消息播发行为的不可否认性 D、消息传输完整性
4687 多项选择题 在电子不停车收费系统ETC中车辆通过办理和安装ETC卡实现车辆在高速收费站的流水数据的产生、传输和缴费等功能。 对于该业务场景的安全需求分析正确的是。
A、车辆途经收费站 时收费站和车辆的双向鉴别 B、车辆信息、扣费金额等业务数据的传输完整性 C、收费站将ETC业务数据传输到省联网收费中心时的网络通信实体身份鉴别 D、收费站将ETC业务数据传输到省联网收费中心时的通信数据完整性保护
4688 多项选择题 关于电子门禁系统的实操测试以下描述正确的有。
A、尝试复制门禁卡验证是否可以进行有效复制 B、修改某一条门禁访问日志记录验证是否有篡改成功 C、对每条记录分别生成MAC值并存放在该条记录后面一列的做法是可以满足“电子门禁记录数据存储完整性”要求的 D、利用发卡系统分发不同权限的卡验证未授权的卡无法打开门禁
4689 多项选择题 信息系统中使用的服务器密码机作为测评对象针对“设备和计算安全”层面的“身份鉴别”指标服务器密码机采用以下鉴别方式时可以判定为符合。
A、智能IC卡 B、智能密码钥匙口令 C、口令 D、智能密码钥匙
4690 多项选择题 针对“应用和数据安全”层面的“身份鉴别”指标以下登录方式最高可以得1分的是。
A、用户名短信验证码 B、用户名智能密码钥匙PIN码 C、人脸指纹 D、用户名动态令牌
4691 多项选择题 某三级信息系统已运行5年针对“建设运行”部分的“定期开展密码应用安全性评估及攻防对抗演习 ”指标开展测评时以下可以作为测评证据。
A、上一次的密评报告 B、攻防对抗演习报告 C、对上一次密评过程中存在的问题进行整改的文件 D、等级保护测评报告
4692 多项选择题 信息系统中使用的用于业务数据保护的密钥以下做法不正确的是。
A、同一个密钥既用于加密保护又用于安全认证 B、公钥明文存储在数据库中未进行完整性保护 C、在进行签名验签前未对公钥证书有效性进行验证 D、对签名私钥进行归档
4693 多项选择题 某网上银行交易系统用户交易信息由用户智能密码钥匙使用SM2算法进行数字签名后传输实现交易数据原发行为的不可否认性数字签名算法实现正确。 针对“应用和数据安全”层面的“不可否认性”指标可能的分值是。
A、0 B、0.25 C、0.5 D、1
4694 多项选择题 以下情况可能会导致系统的整体评估结论为“不符合”的是。
A、某三级信息系统制定了密码应用方案且方案通过评审在测评时发现系统存在一个高风险项 B、在对某运行过程中的四级信息系统进行测评时发现被测单位未建立任何与密码应用安全管理活动相关的管理制度 C、某三级信息系统未采用密码技术对存储的重要数据进行完整性保护但系统具有符合要求的身份鉴别措施保证只有授权人员才能访问应用系统的重要数据且定期对重要数据进行备份 D、某四级电子公文系统使用RSA-1024、 SHA-1算法对业务员的关键行为进行数字签名以实现关键操作行为的不可否认性
4695 多项选择题 在对医疗机构信息系统进行测评时涉及不可否认性需求的可能有。
A、病例完成时间的不可否认性 B、医护人员开具处方的不可否人性 C、患者知情同意文书签署的不可否认性 D、电子病例书写的不可否任性
4696 多项选择题 某四级信息系统的责任单位可采用以下机制以满足“人员管理”方面的要求。
A、设置密钥管理员、密码安全审计员、密码操作员并分别由甲、乙、丙三人担任 B、关键岗位人员由机构内部人员担任并在任前进行背景调查 C、建立上岗人员培训制度对涉及密码的操作和管理人员进行专门培训 D、建立人员保密和调离制度签订保密合同
4697 多项选择题 云平台中使用的云服务器密码机作为测评对象时应满足以下管理要求。
A、云服务器密码机的宿主机由云平台或云服务器密码机所有者进行管理和使用虚拟密码机由租户管理和使用 B、宿主机和不同的虚拟密码机不能相互访问对方的管理员账号、口令 C、云服务器密码机的宿主机接受云平台管理系统的集中统一管理虚拟密码机不接受云平台管理系统的集中统一管理可由虚拟密码机所属租户自己的管理系统进行集中统一管理 D、云服务器密码机的宿主机和不同虚拟密码机的远程管理通道应彼此独立并采用加密和身份鉴别等技术手段对远程管理通道进行保护
4698 多项选择题 针对“网络和通信安全”层面的测评以下描述不合理的是。
A、某三级信息系统移动终端用户通过 SSL VPN访问内网资源移动终端与SSL VPN之间必须实现双向身份鉴别 B、如果被测系统的远程管理通道存在跨网络的情况那么该远程管理通道也应该作为“网络和通信安全”层面的测评对象 C、某三级信息系统互联网PC端用户可以通过HTTP或者国密 SSL协议两种方式访问被测信息系统针对“通信数据完整性”和“通信过程中重要数据机密性”指标可以直接判定为符合 D、某三级信息系统主机房和灾备机房之间通过部署IPSec VPN设备建立安全传输通道那么该网络通信信道的测评只能以主机房的 IPSec VPN设备作为测评接入点
4699 多项选择题 在车路协同通信场景中可以采用以下方式开展测评。
A、在被测车辆无线通信范围内使用无线协议分析类工具抓取智能车辆发送的通信数据核实其消息中是否附加了数字签名 B、通过文档审查、配置检查等方式验证车辆接收消息时是否验证了数字签名以及签名所用证书的有效性 C、在核实数字证书合法性和有效性时应注意数字证书管理的各个环节 D、查看和核实信息系统使用的各密码产品的商用密码产品认证证书
4700 多项选择题 如果发现被测信息系统采用对称密码体制使用“密钥加密密钥-数据密钥”的二层密钥体系进行数据的传输加密以下测评实施合理的包括。
A、检查密钥加密密钥分发时是否抗截取、篡改、假冒等攻击 B、检查密钥加密密钥分发时密钥的机密性、完整性等 C、检查数据密钥分发时是否抗截取、篡改、假冒等攻击 D、检查数据密钥分发时密钥的机密性、完整性等
4701 多项选择题 某四级信息系统中 采用SSL VPN保护通信信道 使用Wireshark 工具得知所使用的套件为 ECC_SM4_SM3但没有抓取到Certificate Request报文以下分析正确的是。
A、该通道可以满足双向鉴别的“身份鉴别”指标要求 B、该通道无法满足双向鉴别的“身份鉴别”指标要求 C、在Server Certificate报文可以抓取到SM2证书 D、抓包时无法获得客户端证书
4702 多项选择题 关于数字证书的使用以下存在风险的有。
A、证书中未标明持有者的身份 B、证书在使用前未验证真实性和有效性 C、未及时更新CRL或未使用OCSP查询证书状态 D、CA签发的用户证书在未保护的通道中进行分发
4703 多项选择题 某信息系统采用专线来进行网络传输但未采用密码技术进行保护。 以该专线作为测评对象时以下说法正确的是()。
A、量化评估时该测评对象的分值为0.5 B、量化评估时该测评对象的分值为0 C、该测评对象的测评结果可能会导致信息系统整体测评结果为“不符合” D、该测评对象的测评结果将一定不会导致信息系统整体测评结果为“不符合”
4704 多项选择题 以下做法正确的有。
A、利用经检测认证合格的智能密码钥匙、智能 IC 卡、动态令牌等作为用户登录应用的凭证 B、使用SM2对口令加密后传输实现可抗重放攻击的身份鉴别 C、利用经检测认证合格的服务器密码机等设备对重要数据进行加密、计算 MAC 或签名后存储在数据库中实现对重要数据在存储过程中的保密性和完整性保护 D、利用经检测认证合格的签名验签服务器、智能密码钥匙、电子签章系统、时间戳服务器等设备实现对可能涉及法律责任认定的数据原发、接收行为的不可否认性保护
4705 多项选择题 某信息系统客户端APP与服务端之间通过SSL VPN建立的安全传输通道对网络和通信安全进行保护通过抓取和分析通信数据包使用的密码套件为 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384以下分析正确的是。
A、该协议使用RSA密码算法的数字信封功能进行密钥协商 B、该协议使用AES-256的GCM工作模式保护传输数据的机密性 C、无法确定所使用RSA算法的密钥长度还需要抓取传输中涉及的证书进行判断 D、该协议使用AES-256的GCM工作模式保护传输数据的完整性
4706 多项选择题 经检测认证合格的密码产品作为测评对象关于其设备和计算安全层面的判定正确的是。
A、身份鉴别一定是“符合” B、日志记录完整性为“符合” C、远程管理通道安全性一定是“不适用” D、重要可执行程序完整性、重要可执行程序来源真实性为“符合”
4707 多项选择题 针对车联网OTA升级场景下的安全需求分析正确的是。
A、智能网联汽车接入运营商网络的安全认证 B、OTA平台与智能网联汽车的通信实体真实性 C、OTA升级包来源的真实性 D、OTA升级包传输完整性
4708 多项选择题 在针对“设备和计算安全”层面进行测评时以下描述较为合理的是。
A、交换机、网闸、防火墙一般不作为设备和计算安全层面的测评对象 B、某三级信息系统部署了3台同一型号的 SSL VPN在密评报告中可以将这三个 SSL VPN作为一个测评对象但在进行量化评估时D/A/K需以这三个SSL VPN的实际应用情况的最低分值赋分 C、设备和计算安全层面的“身份鉴别”指标无法弥补“应用和数据安全”层面的“身份鉴别”指标 D、针对整机类密码产品的“身份鉴别”指标可以直接判定为符合
4709
判断题 对各个层面的“身份鉴别”指标测试时主要检查所使用的密码算法是否合规和相应的密钥管理是否安全抗重放攻击不是该指标的考察范围。
A、正确 B、错误
4710
判断题 如果某个服务器密码机部署在核心交换机上且没有部署必要的逻辑隔离措施这种部署方式存在很高的安全隐患。
A、正确 B、错误
4711
判断题 在进行测评时发现某系统的主密钥采用知识拆分的方式进行导出但是在做密钥分片存储时使用同一个人的同一个智能密码钥匙进行保存这种方式是不安全的。
A、正确 B、错误
4712
判断题 判断以下做法是否正确CA签发证书后用户将私钥和数字证书存放在用户的U盘内保存。
A、正确 B、错误
4713
判断题 公钥必须保护其与实体的绑定关系对称密钥没有这种必要因此在测评时主要关注的是对称密钥的机密性和完整性。
A、正确 B、错误
4714
判断题 因通信链路上可能承载多个不同应用这些应用可能需要对各自的用户实施更细粒度的身份标记和鉴别因此网络和通信安全层面的鉴别一般情况下不能替代其他层面的鉴别。
A、正确 B、错误
4715
判断题 如果将密钥以密文形式存放在数据库中对其采用SM4-GCM保护机密性和完整性即可无需对密钥密文和用户的关联关系进行完整性保护。
A、正确 B、错误
4716
判断题 只需要对口令进行HMAC-SM3计算就可以保证口令不被替换实现实体与口令的绑定。
A、正确 B、错误
4717
判断题 在测评时发现系统数据库中存储的用户口令是加盐存储的盐值采用的策略是每100个用户换一个盐值的方式该实现是安全的。
A、正确 B、错误
4718
判断题 某部署在运营商机房的信息系统其物理机房完全由运营商托管那么对该信息系统进行密评时物理和环境安全层面视为“不适用”。
A、正确 B、错误
4719
判断题 某信息系统网络通道仅采用HTTP协议传输报文但该通道中传输的数据在应用和数据安全层面采用密码技术进行保护“重要数据传输机密性 ”“重要数据传输完整性”这两项指标中得到“符合”的判定结果。 那么“通信过程中重要数据的机密性 ”的安全风险等级可以酌情降低。
A、正确 B、错误
4720
判断题 开展信息系统密评时“设备远程管理通道安全”测评项可能涉及“网络和通信安全”和“设备和计算安全”两个层面。
A、正确 B、错误
4721
判断题 在密评中发现信息系统采用一台服务器密码机实现对数据加密密钥的管理但该密码机对应的产品认证证书在测评时已过期该密码机采购时间在认证证书有效期内。 针对这种情形“密钥管理安全性”一定是“不符合”。
A、正确 B、错误
4722
判断题 在应用和数据安全层面某信息系统开发人员对重要数据的传输机密性保护采用AES-CBC实现对重要数据的传输完整性保护采用基于AES的 CBC-MAC实现由于这两项指标对应保护的数据不同因此开发人员使用了同一个密钥执行上述密码算法计算。 这种做法是合理的。
A、正确 B、错误
4723
判断题 由于防火墙、边界路由器属于网络安全产品范畴在密评时通常不考虑作为测评对象。 所以“网络边界访问控制信息的完整性”测评指标的核查只需要确认VPN网关中相应的安全机制即可。
A、正确 B、错误
4724
判断题 某信息系统的设备运维路径为设备管理员操作终端-堡垒机-应用服务器其中1从操作终端到堡垒机采用HTTPS/TLS1.2 选用密码套件为 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384提供运维通道保护2从堡垒机到服务器采用SSHv2.0提供运维通道保护。 那么应用服务器的“远程管理通道安全”测评指标的判定结果为“部分符合”。
A、正确 B、错误
4725
判断题 密评人员在测评某信息系统应用和数据安全层面的“身份鉴别”指标时发现该信息系统有应用管理员和普通用户两类应用用户其中应用管理员采用基于智能密码钥匙经检测认证合格的登录方式普通用户采用“口令短信验证码”的登录方式。 那么该测评单元的得分为0.5分。
A、正确 B、错误
4726
判断题 测评人员利用Wireshark发现某信息系统传输的重要数据为密文数据密文长度为128比特因此可以判定该数据使用SM4或AES密码算法进行了加密保护。
A、正确 B、错误
4727
判断题 在对物理和环境安全层面中的“身份鉴别”指标测评时如果被测信息系统所在物理机房未采用密码技术对机房进入人员进行身份鉴别但在机房进出口配备专人值守并进行登记且采用视频监控系统进行实施监控保证机房进入人员身份的真实性可酌情降低风险等级但该测评指标的量化评估分数依然是0分。
A、正确 B、错误
4728
判断题 测评人员在对某三级信息系统测评时发现该信息系统运行过程中未发生任何密码应用安全事件因此将GB/T 39786中管理要求的“应急处置”相关指标列为不适用。
A、正确 B、错误
4729
判断题 测评人员对某一级信息系统测评时发现该系统在规划阶段制定了密码应用方案且通过了方案评估因此针对“建设运行”层面的“制定密码应用方案”指标的量化评估结果可以为1分判定为符合。
A、正确 B、错误
4730
判断题 某二级信息系统除了灾备机房外其中一部分部署在被测系统单位内机房另一部分部署在云平台由运营商托管那么针对“物理和环境安全 ”层面的测评对象仅涉及灾备机房和被测系统单位内机房。
A、正确 B、错误
4731
判断题 某二级信息系统于2019年进行规划并有密码应用方案且方案通过评估2020年建设完成后投入运行2021年开展首次密评测评人员在测评时仅以该系统在投入运行前未进行密码应用安全性评估为由对“建设运行”层面的“投入运行前进行密码应用安全性评估”指标判定为“不符合”。
A、正确 B、错误
4732
判断题 测评人员在对某四级信息系统进行测评时核实该信息系统所属机构建立了密码应用岗位责任制度设置了密钥管理员、密码安全审计员、密码操作员其中密钥管理员和密码安全审计员均由被测系统所属机构内部人员担任密码操作员由被测系统承包商担任且密码安全审计员与密钥管理员、密码操作员为不同人员因此针对“人员管理”层面的“建立密码应用岗位责任制度”指标可以判定为符合。
A、正确 B、错误
4733
判断题 某三级信息系统所在机房部署符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统使用SM4算法进行密钥分散实现门禁卡的“一卡一密”并基于SM4算法对人员身份进行鉴别因此该系统在“物理和环境安全”层面的“电子门禁记录数据存储完整性”指标可以判定为符合。
A、正确 B、错误
4734
判断题 某三级信息系统的系统管理员通过堡垒机对通用服务器进行远程管理系统管理员登录堡垒机时通过检测认证合格的安全浏览器和智能密码钥匙并基于数字证书的方式进行身份鉴别数字签名算法为SM2因此该信息系统在“设备和计算安全 ”层面的通用服务器测评对象的“身份鉴别”指标可以判定为符合。
A、正确 B、错误
4735
判断题 某三级信息系统使用云服务器密码机对云平台内的数据进行保护测评人员在对云服务器密码机进行测评时发现云服务器密码机的宿主机和三个虚拟机密码机均有独立的管理界面并通过同一管理员进行管理管理员登录前基于合规的密码技术进行了身份鉴别。 因此对于虚拟机密码机针对“设备和计算安全”层面的“身份鉴别”指标量化评估结果为1分。
A、正确 B、错误
4736
判断题 测评人员发现某二级信息系统系统未使用任何密码技术和密码产品对系统相关的物理和环境、网络和通信、设备和计算、应用和数据安全层面进行防护。 鉴于系统不涉及任何密码技术和密码产品因此将“管理制度”层面的测评指标列为不适用。
A、正确 B、错误
4737
判断题 “密码算法和密码技术合规性”测评单元在测评时需要汇集信息系统所有密码算法和密码技术逐个分析其合规性给出相应量化评估分数。
A、正确 B、错误
4738
判断题 判断以下做法是否正确用户身份鉴别完成后用户利用签名私钥与信息系统进行SM2密钥协商协商出会话密钥利用SM4算法和基于SM3的HMAC算法进行通信数据的机密性和完整性保护。
A、正确 B、错误
4739
判断题 判断以下做法是否正确用户在生成SM2签名密钥对时以当前时间为种子利用C语言的rand函数生成随机数为了保证随机数的随机性将该随机数再利用SHA-256算法进行杂凑计算获得256比特数据作为私钥并生成对应公钥。
A、正确 B、错误
4740
判断题 某信息系统的设备运维路径为设备管理员终端-堡垒机-通用设备。 其中堡垒机的“身份鉴别”指标的测评结果为“符合”那么通用设备自身采用“用户名口令”方式登录的“身份鉴别”指标的量化评估分值可以一定程度上得到弥补。
A、正确 B、错误
4741
判断题 某三级信息系统使用服务器密码机经检测认证合格对应用的重要数据进行存储机密性保护针对该服务器密码机的“设备和计算安全”层面的“身份鉴别”指标可以直接判定为符合。
A、正确 B、错误
4742
判断题 某三级信息系统有两个独立的物理机房其中机房1采用门禁ID卡对进入人员进行身份鉴别机房2有两个门其中门A采用门禁ID卡对进入人员进行身份鉴别门B通过部署符合GM/T 0036《采用非接触卡的门禁系统密码应用技术指南》的电子门禁系统对进入人员进行身份鉴别。 针对“物理和环境安全”层面的“身份鉴别”指标机房1的量化评估结果为0分机房2的量化评估结果为0分。
A、正确 B、错误
4743
判断题 测评人员在对某三级信息系统的人员管理中的“建立密码应用岗位责任制度”测评时发现该信息系统根据密码应用的实际情况设置甲、乙、丙三人分别担任密钥管理员、密码安全审计员、密码操作员并建立了岗位责任制度、确定了各自的岗位职责设备与系统的管理和使用人员都有各自单独的账号。 因此该测评项可以给1分。
A、正确 B、错误
4744 单项选择题 根据《商用密码应用安全性评估报告模板2023版》关于方案密评以下说法那种不正确。
A、重点判断系统在某方面是否存在安全风险通过总体密码设计是否可以有效解决相应的安全问题 B、重点对所有自查符合性进行评估对所有自查不适用项和对应论证依据进行逐条核查、评估 C、应注意梳理安全需求尤其是应用和数据安全层面各保护对象的安全需求 D、重点是对照GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》进行逐条评估
4745 单项选择题 根据《商用密码应用安全性评估报告模板2023版》以下哪项不属于方案密评报告所包含的内容。
A、报告分发范围 B、密码应用方案 C、密评委托证明 D、测评人员进入系统所在机房的证明记录
4746 单项选择题 根据《商用密码应用安全性评估报告模板2023版》在方案密评报告的“商用密码应用安全性评估结论”部分不包括以下哪项。
A、方案名称 B、评估结论 C、不适用指标数目 D、密码应用需求
4747 单项选择题 根据《商用密码应用安全性评估报告模板2023版》密码应用方案密评报告中的商用密码应用安全性评估结论部分包含哪项要素。
A、方案名称和评估结论 B、方案简介和评估情况简介 C、不适用项数目/总测评指标项数目 D、以上均包含
4748 单项选择题 根据《商用密码应用安全性评估报告模板2023版》系统概述部分不需要对应用和数据安全层面的哪些保护对象做梳理。
A、应用系统的用户 B、重要数据 C、用户操作行为 D、网络通道
4749 单项选择题 根据《商用密码应用安全性评估报告模板2023版》以下哪项信息系统内的资产不属于需要梳理的对象。
A、交换机 B、机房 C、密码设备 D、服务器
4750 单项选择题 根据《商用密码应用安全性评估报告模板2023版》编制方案密评报告时以下对于不适用指标描述不合理的是。
A、信息系统不涉及设备中的重要信息资源安全标记因此设备和计算安全层面的“重要信息资源安全标记完整性”指标为不适用 B、信息系统中重要数据仅有完整性安全需求不存在机密性安全需求因此应用和数据安全层面的“重要数据传输和存储机密性”指标为不适用 C、信息系统的物理机房难以进行密码改造因此物理和环境安全层面的“身份鉴别”指标为不适用 D、信息系统责任单位将“可”的指标自行决定为不适用
4751 单项选择题 根据《商用密码应用安全性评估报告模板2023版》针对“安全控制措施评估结果”环节的工作以下描述较为合理的是。
A、某三级信息系统密码应用方案中针对应用和数据安全层面的重要数据传输保护均使用国外密码算法因此“重要数据传输机密性和完整性”指标的安全控制措施评估结果为“未通过” B、某三级信息系统41个基本指标中其中一个指标的安全控制措施评估结果为“未通过”因此该信息系统的密码应用方案评估结果为“不通过” C、某三级信息系统密码应用方案的安全控制措施评估结果均为“通过”初步量化评估分值为50分那么该密码应用方案的整体评估结果仍可为“通过” D、某三级信息系统密码应用方案中针对物理和环境安全层面的“身份鉴别”指标未采用密码技术方案而是通过其他的安全管理措施降低风险因此该指标的安全控制措施评估结果一定为“未通过”
4752 单项选择题 根据《商用密码应用安全性评估报告模板2023版》如果应用和数据安全层面的“重要数据存储完整性”指标未采用密码应用措施那么针对该指标的安全控制措施评估结果一定是。
A、通过 B、未通过 C、不符合 D、无法判断
4753 单项选择题 根据《商用密码应用安全性评估报告模板2023版》对于委托第三方密评机构实施的密码应用方案密评和信息系统密评的情形在报告中的“密评活动有效性证明”记录部分以下说法正确的是 。
A、信息系统密评报告需要提供密评活动证明方案密评报告则不需要 B、信息系统密评时测评方案需要测评委托方和密评机构双方签字确认同时需要密评机构内部组织评审 C、方案密评前应编制测评方案并对该方案组织内部评审 D、信息系统密评时测评方案需要测评委托方和密评机构双方签字确认但不需要密评机构内部组织评审
4754 单项选择题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告附录部分“密评活动有效性证明记录”不涉及。
A、密评委托证明 B、密评人员差旅票证及住宿票证 C、密评报告评审记录 D、密评人员资格情况
4755 多项选择题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告中在应用和数据安全层面“保护对象”表中应重点梳理信息系统中。
A、各个应用中具有身份鉴别真实性需求的应用用户类型 B、各个应用的重要数据及对应具体安全需求 C、各个应用承载业务情况 D、各个应用具有不可否认性需求的操作行为
4756 多项选择题 根据《商用密码应用安全性评估报告模板2023版》关于方案密评以下说法正确的是。
A、依据被测信息系统具体业务情况审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的核心资产 B、依据被测信息系统具体业务情况审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的敏感信息 C、依据被测信息系统具体业务情况审查被测信息系统的密码应用方案采取的密码保护措施是否均能够达到相应等级的密码使用要求或规定 D、方案密评可由信息系统责任单位委托密评机构或自行开展密评
4757 多项选择题 根据《商用密码应用安全性评估报告模板2023版》密码应用方案的“背景”部分可包含。
A、系统的建设规划 B、国家有关法律法规的要求 C、与规划相关的前期情况概述 D、项目实施的必要性
4758 多项选择题 根据《商用密码应用安全性评估报告模板2023版》在编写密码应用方案时应该体现。
A、系统承载业务情况及网络拓扑 B、系统密码应用需求分析 C、各安全层面的技术实现方案 D、安全与和合规性分析
4759 多项选择题 根据《商用密码应用安全性评估报告模板2023版》下列关于密码应用方案的说法中错误的是。
A、密码应用方案及其评估意见是判定 GB/T 39786《信息安全技术 信息系统密码应用基本要求》中“宜”是否适用的重要依据 B、对于部署在同一云平台上的云上应 用虽然网络安全等级保护定级时进行了独立定级考虑到其物理环境、通信信道、系统资产等方面的共用的软硬件比较多可以编写一份密码应用方案统一进行密码应用分析 C、如密码应用方案中对被测信息系统对测评单元“不可否认性”进行了不适用判定但在执行现场测评过程中系统责任单位向密评机构反映系统实际存在不可否认性密码应用需求应根据通过评估的密码应用方案对该测评项进行不适用判定 D、密码应用方案中应详细梳理应用的业务流程及业务数 据根据流程安全需求及数据安全需求为重要流程及重要数据设计保护机制
4760 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告的评估结论包括。
A、符合 B、不符合 C、通过 D、不通过
4761 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告中系统概述部分内容应包含。
A、系统网络拓扑 B、承载的业务情况 C、各安全层面保护对象 D、项目情况
4762 多项选择题 根据《商用密码应用安全性评估报告模板2023版》系统概述部分需要结合系统网络拓扑图描述。
A、物理机房的个数及其所在具体位置 B、网络边界划分以及与其他系统的互联关系 C、跨网络访问的通信信道 D、设备组成及实现功能
4763 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告中应用和数据安全层面的保护对象应重点梳理。
A、各个应用具有身份鉴别需求的应用用户 B、各个应用具有可用性需求的重要数据 C、各个应用的重要数据及对应具体安全需求 D、各个应用具有不可否认性需求的操作行为
4764 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告在“管理制度”方面关注重点通常包括。
A、安全管理制度类文档 B、密码应用方案 C、密钥管理制度及策略类文档 D、系统相关人员
4765 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告在“建设运行”方面关注重点通常包括。
A、密码应用方案 B、密钥管理制度 C、攻防对抗演习报告 D、密码应用安全管理制度
4766 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告在“人员管理”方面关注重点通常包括。
A、安全管理制度类文档 B、记录表单类文档 C、系统相关人员 D、整改文档
4767 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告在“应急处置”方面关注重点通常包括。
A、密码应用应急处置方案 B、应急处置记录类文档 C、安全事件发生情况及处置情况报告 D、系统相关人员
4768 多项选择题 根据《商用密码应用安全性评估报告模板2023版》系统各安全层面需要梳理的保护对象不包括。
A、网络和通信安全层面的通信信道 B、不同应用用户 C、重要数据 D、通用交换机
4769 多项选择题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告中“安全控制措施描述及指标适用情况”章节的“指标适用情况及论证说明”部分应体现的内容包括。
A、各测评项的测评指标适用情况 B、不适用项的不适用性论证说明 C、测评项中存在部分保护对象不适用情况的不适用性论证说明 D、不适用指标合计项数
4770 多项选择题 《商用密码应用安全性评估报告模板2023版》中在描述安全控制措施时需要注意的事项有。
A、安全控制措施需要包括四个密码应用技术层面和四个密码应用管理方面的内容 B、如果相关保护对象未采用密码技术措施那么也需要概括总结相关的风险替代措施 C、安全控制措施描述需要结合信息系统的密码应用部署图 D、系统密码应用部署图中需要包含密码应用方案中涉及的所有密码产品冗余配置的除外和服务
4771 多项选择题 根据《商用密码应用安全性评估报告模板2023版》某三级信息系统密码应用方案的评估结论为“不通过”最可能原因包括。
A、采用的安全控制措施仍会导致高风险项存在 B、初步量化评估未达到阈值要求 C、密码应用方案中不适用指标项数过多 D、密码应用方案有较多冗余内容
4772 多项选择题 根据《商用密码应用安全性评估报告模板2023版》“指标适用情况及论证说明”表格中不涵盖。
A、密码算法 B、密码技术 C、密码产品 D、密码服务
4773 多项选择题 根据《商用密码应用安全性评估报告模板2023版》编制方案密评报告时以下属于风险替代措施的是。
A、机房采用人脸指纹识别的方式对进人人员进行身份鉴别 B、通用服务器采用指纹的方式对登录设备用户进行身份鉴别 C、业务应用采用人脸识别短信验证码的方式对登录人员进行身份鉴别 D、应用层采用了合规的密码技术对传输数据进行机密性和完整性保护
4774 多项选择题 根据《商用密码应用安全性评估报告模板2023版》不同安全层面指标的安全控制措施的评估结果可能是。
A、通过 B、未通过 C、符合 D、不符合
4775 多项选择题 根据《商用密码应用安全性评估报告模板2023版》针对安全控制措施评估以下描述不合理的是。
A、某三级信息系统密码应用方案中针对网络和通信安全层面的通信数据传输保护均使用国外密码算法则“通信数据传输机密性和完整性”指标的安全控制措施评估结果仍可能为“通过” B、某三级信息系统41个基本指标中仅有一个指标的安全控制措施评估结果为“未通过”因此该密码应用方案评估结果为“通过” C、某三级信息系统密码应用方案的安全控制措施评估结果中其中1项为未通过但初步量化评估分值为75分因此该密码应用方案的整体评估结果为“通过” D、某三级信息系统密码应用方案中针对物理和环境安全层面的“身份鉴别”指标未采用密码技术方案而是通过其他的安全管理措施降低风险因此该指标的安全控制措施评估结果为“未通过”
4776 多项选择题 根据《商用密码应用安全性评估报告模板2023版》密评人员对密码应用方案中的安全控制措施分析和评估结果判定不合理的是。
A、针对物理和环境安全层面密码应用方案中的描述为“机房虽采用门禁ID卡刷卡进入但机房门外部署有视频监控系统能够对机房外的环境进行实时监控因此不存在高风险”针对物理和环境安全层面“身份鉴别”的安全控制措施评估结果为“通过” B、针对网络和通信安全层面密码应用方案中的描述为“虽然互联网PC端与系统服务端在通信时未采用密码技术对服务端进行身份鉴别但是系统应用层对登录用户采用合规的密码技术进行身份鉴别因此网络通信实体的身份鉴别问题不存在高风险”针对网络和通信安全层面“身份鉴别”的安全控制措施评估结果为“通过” C、针对应用和数据安全层面密码应用方案中的描述为“虽然未采用密码技术对重要数据做存储机密性保护但是数据库只能专人访问且登录口令定期更换因此不存在高风险”针对“重要数据存储机密性”的安全控制措施评估结果为“通过” D、针对应用和数据安全层面密码应用方案中的描述为“虽然未采用密码技术对存储的业务数据进行完整性保护但是应用系统具有符合要求的身份鉴别措施只有授权人员才能访问应用系统的重要数据且定期对数据进行备份因此不存在高风险”针对“重要数据存储完整性”的安全控制措施评估结果为“通过”
4777 多项选择题 根据《商用密码应用安全性评估报告模板2023版》下列关于密码应用方案密评报告和信息系统密评报告的说法中错误的是。
A、根据“三同步一评估”的要求在规划阶段评估对象是信息系统的密码应用方案在建设和运行阶段评估对象是实际的信息系统 B、密码应用方案密评的评估结论中可能存在“通过”和“不通过”判定 也可能存在“修改后通过”的判定 C、在对密码应用方案进行密评时如初步量化评估分数达到了阈值的要求则方案评估结论即可为“通过” D、信息系统密评报告中的“检测结果记录”中“安全管理”层面的测评单元得分仅可能为1分、0.5分和 0分
4778 多项选择题 根据《商用密码应用安全性评估报告模板2023版》在方案密评报告中以下可判定某指标的评估结果为“通过”的情况有。
A、该指标涉及的所有保护对象不涉及高风险 B、该指标涉及的所有保护对象的风险替代措施均有效 C、该指标涉及的所有保护对象的密码应用措施均有效不涉及高风险且方案中描述的实施保障措施合理 D、该指标涉及的所有保护对象的风险替代措施均有效不涉及高风险且方案中描述的实施保障措施合理
4779 多项选择题 根据《商用密码应用安全性评估报告模板2023版》密码应用方案密评报告“密评活动证明”部分一般作为活动证明的证明材料包括。
A、电子邮件 B、通话记录 C、会议记录 D、系统现场测评记录
4780 多项选择题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告中系统承载业务情况应包含。
A、业务应用 B、业务功能 C、应用用户 D、重要数据以及关键的用户操作行为等
4781
判断题 根据《商用密码应用安全性评估报告模板2023版》方案评估工作完成后 当被评估的《 XXX系统密码应用方案》发生变更时已出具的方案评估报告仍然适用。
A、正确 B、错误
4782
判断题 根据《商用密码应用安全性评估报告模板2023版》对于密码应用方案已通过评估的系统密评时应把方案作为测评的重要依据。
A、正确 B、错误
4783
判断题 根据《商用密码应用安全性评估报告模板2023版》对于已建但尚未规划密码方案的系统信息系统责任单位应通过调研分析梳理形成系统当前密码应用的总体架构图提炼出密码应用情况作为后续测评实施的基础。
A、正确 B、错误
4784
判断题 根据《商用密码应用安全性评估报告模板2023版》方案密评主要工作是对照GB/T 39786《信息安全技术 信息系统密码应用基本要求》进行逐条评估而不是对信息系统中安全控制措施和指标适用情况梳理。
A、正确 B、错误
4785
判断题 根据《商用密码应用安全性评估报告模板2023版》只需要在报告中阐述每个安全层面中各个保护对象的密码应用措施其他非密码技术的安全控制措施无需描述。
A、正确 B、错误
4786
判断题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告中仅在报告中体现密评机构针对系统责任单位编写的密码应用方案进行密评的合规性判定情况即可无需附上密码应用方案。
A、正确 B、错误
4787
判断题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案中对指标适用情况及论证说明时应对不适用部分做出相应的原因论述体现出能够降低风险的措施。
A、正确 B、错误
4788
判断题 根据《商用密码应用安全性评估报告模板2023版》密码应用方案密评结果不需要进行密评结果备案仅系统密评结果需要进行密评结果备案。
A、正确 B、错误
4789
判断题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告中给出的评估结论仅对报告所附《XXX系统密码应用方案》的内容有效。
A、正确 B、错误
4790
判断题 根据《商用密码应用安全性评估报告模板2023版》方案评估报告可适用于实际建设的系统评估结论。
A、正确 B、错误
4791
判断题 根据《商用密码应用安全性评估报告模板2023版》方案评估结论不能作为运行系统的评估结论。
A、正确 B、错误
4792
判断题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告中的安全控制措施评估结果可以直接在系统密评报告中复用。
A、正确 B、错误
4793
判断题 根据《商用密码应用安全性评估报告模板2023版》针对选定的密评指标方案密评报告评估结果为“通过/未通过”系统密评报告的评估结果为“符合/部分符合/不符合/不适用”。
A、正确 B、错误
4794
判断题 根据《商用密码应用安全性评估报告模板2023版》方案密评报告中信息系统承载的业务情况应重点说明业务的保护对象和资产情况。
A、正确 B、错误
4795
判断题 根据《商用密码应用安全性评估报告模板2023版》应用和数据安全层面需要进一步梳理各个应用的保护对象如应用用户、重要数据及保护对象的相应安全需求。
A、正确 B、错误
4796
判断题 根据《商用密码应用安全性评估报告模板2023版》在“指标适用情况及论证说明部分”即便指标为适用也可能存在部分保护对象不适用的情况需要在方案评估报告中给出相关保护对象不适用性的论证说明。
A、正确 B、错误
4797
判断题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告中不适用指标的合计项数中不应计入存在部分保护对象不适用情况的测评项。
A、正确 B、错误
4798
判断题 根据《商用密码应用安全性评估报告模板2023版》不同安全层面指标的安全控制措施评估结果有符合、不符合、部分符合三种情况。
A、正确 B、错误
4799
判断题 根据《商用密码应用安全性评估报告模板2023版》如果指标所涉及的某一保护对象的相应安全控制措施有效不存在高风险则该指标的安全控制措施评估结果为“通过”。
A、正确 B、错误
4800
判断题 根据《商用密码应用安全性评估报告模板2023版》针对应用和数据安全层面的“重要数据传输完整性”指标如果未采用密码应用措施那么针对该指标的安全控制措施评估结果一定是“未通过”。
A、正确 B、错误
4801
判断题 某三级信息系统在密码应用方案中针对物理和环境安全给出的安全控制措施为信息系统所在物理机房使用门禁ID卡指纹识别的方式对进入机房人员进行身份鉴别同时机房外有24小时专人值守并在机房内外部署了视频监控系统。 根据《商用密码应用安全性评估报告模板2023版》针对物理和环境安全层面的“身份鉴别”指标的安全控制措施评估结果为“通过”。
A、正确 B、错误
4802
判断题 某四级信息系统在密码应用方案中针对应用和数据安全层面的“重要数据存储机密性、存储完整性”指标分别给出如下安全控制措施重要业务数据均采用DES算法进行存储机密性保护使用基于SM3的HMAC算法进行存储完整性保护。 根据《商用密码应用安全性评估报告模板2023版》该密码应用方案的评估结论很可能是“不通过”。
A、正确 B、错误
4803
判断题 根据《商用密码应用安全性评估报告模板2023版》如果信息系统密码应用方案中针对各个层面的保护对象的安全控制措施评估结果为“通过 ”那么该系统的密评结果一定是“符合”。
A、正确 B、错误
4804
判断题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告中所有指标的安全控制措施评估结果均通过则可判定方案评估结论为“通过”。
A、正确 B、错误
4805
判断题 根据《商用密码应用安全性评估报告模板2023版》在密码应用方案密评报告和信息系统密评报告中均需体现被测系统的网络安全等级保护定级备案名称、备案时间及等保定级备案证明。
A、正确 B、错误
