密评测试卷附答案

密评测试卷附答案1.中国共产党机要密码工作的创始人是（）。（）[单选题]A.毛泽东B.周恩来(正确答案)C.朱德D.李克农2.完善党中央对科技工作统一领导的体制，健全新型举国体制，强化国家（），优化配置创新资源，提升国家创新体系整体效能。（）[单选题]A.科技战略力量B.战略技术力量C.战略科技力量(正确答案)D.战术科技力量3.《密码法》第十条规定，国家采取多种形式加强密码安全教育，将密码安全教育纳入国民教育体系和（）体系。（）[单选题]A.党员教育培训B.领导干部教育培训C.公务员教育培训(正确答案)D.企业员工教育培训4.《密码法》第二十七条规定，关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家（）会同国家密码管理部门等有关部门组织的国家安全审查。（）[单选题]A.行政部门B.网信部门(正确答案)C.公安部门D.监察部门5.以下哪个不属于访问控制信息（）。（）[单选题]A.操作系统访问控制列表B.网关的访问控制策略C.应用系统用户权限列表D.应用系统的用户鉴别数据（如口令等）(正确答案)6.单表代换密码不能抵抗（）。（）[单选题]A.差分分析B.线性分析C.频率分析(正确答案)D.代数攻击7.GM/T0006《密码应用标识规范》定义的标识中，不包括以下哪种对称密码算法？（）[单选题]A.SM1B.SM4C.AES(正确答案)D.ZUC（祖冲之算法）8.GM/T0022《IPSecVPN技术规范》中，哪个协议用于实现密钥协商？（）[单选题]A.AH协议B.ESP协议C.IKE协议(正确答案)D.SSL协议9.GM/T0047-2016《安全电子签章密码检测规范》通过使用安全电子签章技术，不能确保文档的（）。（）[单选题]A.机密性(正确答案)B.完整性C.来源的真实性D.不可否认性10.GM/T0036-2014标准的电子门禁系统没有规定使用（）算法进行密钥分散和身份鉴别。（）[单选题]A.SM1B.SM4C.SM7D.祖冲之密码（ZUC）(正确答案)11.根据GM/T0041《智能IC卡密码检测规范》，以下不是密码算法实现性能检测的项目为（）（）[单选题]A.分组密钥密码算法的解密性能测试B.非对称密钥密码算法的签名验证性能测试C.非对称密钥密码算法密钥对生成性能测试D.随机数生成的性能测试(正确答案)12.编制报告过程中，当某测评项的实地察看、配置核查、文档审查和访谈结果之间出现“矛盾”时，则该项测评以（）结果作为“优势证据”。（）[单选题]A.实地察看B.配置核查(正确答案)C.文档审核D.访谈结果13.测评方与受测方之间的（）应贯穿整个测评过程。（）[单选题]A.理解与信任B.沟通与洽谈(正确答案)C.配合与协助D.独立与客观14.测评过程中，对系统数据存储安全的测评属于哪类测评的内容（）（）[单选题]A.网络和通信安全测评B.物理和环境安全测评C.设备和计算安全测评D.应用和数据安全测评(正确答案)15.对于资产和威胁的评估，合理的方式是由（）判定。（）[单选题]A.测评机构B.测评委托机构C.测评机构与测评委托单位共同(正确答案)D.系统集成商16.关于工具测试，下面说法错误的是（）（）[单选题]A.测评人员，逐个设备尝试，将工具接入到被测系统设备上采集所需数据(正确答案)B.测试过程中的关键步骤、重要证据，要及时截图、取证C.测试结束后，需要被测系统相关人员确认被测系统运行正常，并签字后离场D.测试过程中被测系统出现了异常情况，测评人员立即停止工具测试，并记录。17.某第三级信息系统使用了安全等级一级的密码模块，单个测评对象最高可以得（）。（）[单选题]A.1分B.0分C.0.25分D.0.5分(正确答案)18.安全三级在安全二级的基础上进一步增加了对安全芯片（）数量的要求。（）[单选题]A.物理随机源(正确答案)B.硬件C.软件D.内部算法19.实现真实性的核心是（）。（）[单选题]A.加密B.解密C.可信第三方D.鉴别(正确答案)20.将密钥保存在通用存储设备中，应该对密钥数据（）。（）[单选题]A.利用密码杂凑函数进行完整性保护B.利用对称密码算法进行保密性和完整性保护(正确答案)C.直接存储D.利用ECB模式加密21.密码应用方案中包括的所有方案的模板都已由（）制定并发布实施。（）[单选题]A.国家密码管理局(正确答案)B.全国信息安全标准化技术委员会C.密码行业标准化技术委员会D.中国国家标准化管理委员会22.密钥生成时，一般会伴随生成对应的密钥控制信息，包括但不限于密钥拥有者、密钥用途、密钥索引号、生命周期起止时间等，这些信息至少应进行（）以确保密钥被正确使用。（）[单选题]A.真实性和完整性保护B.保密性保护C.完整性保护(正确答案)D.保密性和完整性保护23.按照GM/T0115-2021《信息系统密码应用测评要求》，以下()属于设备和计算安全层面的测评对象。（）[单选题]A.交换机B.路由器C.防火墙D.堡垒机(正确答案)24.认证鉴别类产品主要是指提供（）的产品。（）[单选题]A.基础密码运算B.身份鉴别(正确答案)C.密钥分发D.密钥托管25.如果支付平台被定为等级保护三级，则设备管理员应采用（）的方式登录设备。（）[单选题]A.口令B.口令+验证密码C.指纹D.口令+Ukey(正确答案)26.商用密码产品是指采用密码技术对不涉及国家秘密内容的信息进行加密保护或者（）的产品。（）[单选题]A.身份认证B.安全检测C.风险防护D.安全认证(正确答案)27.商用密码检测、认证机构应当依法取得相关（），并依照法律、行政法规的规定和商用密码检测认证技术规范、规则开展商用密码检测认证。（）[单选题]A.资质(正确答案)B.资格C.授权D.文件28.使用测评工具之前，应先确定测评对象、测评指标、（）和测评内容。（）[单选题]A.测评工具类型B.测评工具输出结果形式C.测评工具接入点(正确答案)D.测评工具使用步骤29.数据完整性保护的目的在于保护信息免受（）的篡改或替代。（）[单选题]A.授权实体B.非授权实体(正确答案)C.发送方D.接收方30.根据客户要求，密码机厂商在经检测认证合格、符合密码模块二级要求的密码机中自行增加了AES密码算法（厂商提供了AES算法实现正确性的相关证明），用于对某第三级信息系统的重要数据进行加密保护，以下对密码使用安全D、密码算法/技术合规性A、密钥管理安全K的判定结果中，最合适的是（）。（）[单选题]A.√，×，√B.√，√，×C.√，×，×(正确答案)D.×，/，/31.网络和通信安全层面的典型密钥中的完整性保护密钥，包括对传输数据和（）进行完整性保护的密钥。（）[单选题]A.网络边界和系统资源访问控制信息(正确答案)B.日志记录C.重要业务数据D.重要用户信息32.下列说法错误的是（）。（）[单选题]A.对网络边界内的安全设备、安全组件进行集中管理时，需建立一条与普通业务数据通信链路相隔离的专用信息安全传输通道，用于保护设备远程管理的数据和鉴别信息B.对于一些网络设备较少、拓扑简单的小型信息系统，可能不需要对实体标识与鉴别数据进行有效绑定(正确答案)C.通信实体身份真实性鉴别通常采用安全认证网关与PKI相结合的方式实现，其中安全认证网关可由IPSec/SSLVPN实现D.在采用PKI时，应当按照GM/T0034-2014《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》要求进行部署33.下面说法错误的是（）。（）[单选题]A.具有密码产品型号证书的密码产品，在测评过程中，也可能被判为不合规B.密钥分发过程，只需要采用数据完整性、数据机密性两项安全措施即可(正确答案)C.测试过程中的关键步骤、重要证据，要及时截图、取证zD.测评人员使用工具测试时，先从核心系统的外围系统进行测评34.消息鉴别码主要用于保护数据的（）。（）[单选题]A.保密性B.完整性(正确答案)C.可用性D.不可抵赖性35.以下不属于密码技术内容是？（）[单选题]A.密码算法B.密钥管理C.入侵检测(正确答案)D.密码协议36.以下关于对内网管理通道内的敏感数据（如管理员鉴别信息）的保护机制说法正确的是（）。（）[单选题]A.只需进行保密性保护B.只需进行完整性保护C.应与内部网络中的业务通道相分离(正确答案)D.如果认为内网网络相对安全，可不进行保护37.应用和数据安全要求中“采用密码技术对登录用户进行身份鉴别”的用户指的是（）。（）[单选题]A.所有登录设备的实体B.所有登录应用进行操作的实体(正确答案)C.部分登录应用进行操作的实体D.应用管理员38.远程移动支付服务业务系统，支付平台应用服务器验签公钥应保存在（）。（）[单选题]A.证书中(正确答案)B.SE中C.管理员手中D.领导手中39.在GM/T0043《数字证书互操作检测规范》中，CRL是指（）。（）[单选题]A.CA机构撤销列表B.证书撤销列表(正确答案)C.用户撤销列表D.撤销列表40.针对非敏感网络字段（如命令字、状态信息等）需要进行（）。（）[单选题]A.机密性保护B.完整性保护(正确答案)C.机密性、完整性保护D.不需要进行保护41.以下选项中一般与算法安全强度无关的是（）。（）[单选题]A.密文长度(正确答案)B.密钥长度C.密钥使用频率D.已知攻击方法42.支付平台调用服务器密码机，采用HMAC-SM3，对支付平台重要应用数据存储进行完整性保护，则密钥应存放在（）。（）[单选题]A.业务服务器B.密码管理工员的U盘C.密码机(正确答案)D.最高领导的U盘43.时间戳服务器是一款基于（）的时间戳权威系统。（）[单选题]A.IC技术B.SIM技术C.PKI技术(正确答案)D.AKE技术44.智能密码钥匙至少支持（），用户密钥和会话密钥。（）[单选题]A.非对称密钥B.对称密钥C.设备认证密钥(正确答案)D.加密密钥45.测评过程中，对SSLVPN管理员身份鉴别方式的测评属于哪类测评的内容（）。（）[单选题]A.网络和通信安全测评B.物理和环境安全测评C.设备和计算安全测评(正确答案)D.应用和数据安全测评46.根据2021年12月17日发布的《商用密码应用安全性评估量化评估规则》，密评从D、A、K三个维度对测评对象进行量化评估，其中A是指（）。（）[单选题]A.密码使用有效性B.密码算法/技术安全C.密码使用安全性D.密码算法/技术合规性(正确答案)47.某网络安全保护等级为三级的OA系统，远程办公用户在互联网通过SSLVPN访问（SSLVPN具有商用密码产品认证证书，且证书在有效期内），测评时发现SSLVPN建立数据传输通道使用RSA-AES-CBC-SHA-1密码套件，应用层面未使用密码技术实现重要数据传输的完整性保护，则应用和数据安全层面重要数据传输完整性保护测评单元的量化评估结果为（）。（）[单选题]A.0B.0.25(正确答案)C.0.125D.0.548.关于CBC模式的加解密模式下列描述正确的是（）。（）[单选题]A.加密串行，解密串行B.加密串行，解密并行(正确答案)C.加密并行，解密串行D.加密并行，解密并行49.某系统使用身份鉴别合规的堡垒机对服务器进行集中管理，服务器使用用户名和口令登录，这种情况下服务器在身份鉴别测评项的量化评估得分为（）分。（）[单选题]A.0(正确答案)B.0.25C.0.5D.150.某系统发生了安全事件，评估其处理的是否合理，属于哪类测评（）。（）[单选题]A.应急管理测评(正确答案)B.制度管理测评C.人员管理测评D.实施管理测评51.密码杂凑算法具有如下性质（）。（）A.单向性（抗原像攻击）(正确答案)B.弱抗碰撞性（抗第二原像攻击）(正确答案)C.强抗碰撞性(正确答案)D.机密性52.密钥生成有哪些要求（）。（）A.密钥应在符合GM/T0028-2014要求的密码模块中产生(正确答案)B.密钥应在密码模块内部产生，不得以明文方式出现在密码模块之外(正确答案)C.应具备检查和剔除弱密钥的能力(正确答案)D.密钥生成使用的随机数应符合GM/T0005-2012（国标）的要求(正确答案)53.应优先在（）层面推进密码技术应用。（）A.物理和环境B.网络和通信(正确答案)C.设备和计算D.应用和环境(正确答案)54.GM/T0016《智能密码钥匙密码应用接口规范》关于设备中的各种密钥的说法正确的是（）。（）A.签名密钥对由内部产生(正确答案)B.加密密钥对由外部产生并安全导入(正确答案)C.会话密钥可由内部产生或者由外部产生并安全导入(正确答案)D.签名密钥对也可由外部产生并安全导入55.GM/T0047-2016《安全电子签章密码检测规范》电子印章的验证应包括（）几个方面，若这几项检测均通过，则电子印章的检测方可通过。（）A.印章数据格式验证(正确答案)B.印章签名值验证(正确答案)C.制章人证书有效性验证(正确答案)D.印章有效期验证(正确答案)56.编制测评方案过程中，确定测试检查点时需要考虑的因素（）。（）A.密码措施的正确性(正确答案)B.密码措施的有效性(正确答案)C.检查点设置的可行性(正确答案)D.可能引入的安全风险(正确答案)57.测评过程中，判断密码算法是否合规的依据是（）。（）A.算法是否以国家标准或行业标准形式发布(正确答案)B.算法是否取得国家密码管理部门同意其使用的证明文件(正确答案)C.算法是否遵循国际标准D.算法是否广泛应用58.测评机构应在测评开始前及测评过程中及时进行风险识别及分析，针对可能发生的风险采取有效措施如下（）。（）A.测评方案得到测评委托单位的确认和授权(正确答案)B.测评人员签订保密协议并遵守系统运行使用单位的管理制度(正确答案)C.制定应急预案并做好数据备份(正确答案)D.指导管理员及时针对测评中发现的安全问题进行整改59.测评机构有（）情形的，国家密码管理局应责令其限期整改。（）A.未按标准规范开展测评(正确答案)B.未妥善保管密评相关资料(正确答案)C.分包或转包测评项目(正确答案)D.未通过培训考核从事密评工作(正确答案)60.测评实施能力要求包括（）。（）A.测评人员应熟悉密码应用安全性评估相关管理规定(正确答案)B.测评机构应具备密评技术测评实施能力(正确答案)C.测评机构应具备密码应用安全性管理测评实施能力(正确答案)D.测评机构应具备系统整体评估能力(正确答案)61.现场测评过程中，主要的活动包括（）。（）A.确认密码部署是否合规(正确答案)B.对密码产品进行安全等级符合性和功能标准符合项性检测C.实地检测密码配置是否正确(正确答案)D.授权接入系统后确认密码使用是否有效(正确答案)62.发生以下（）情况时，可以对测评机构发出的报告进行更改。（）A.由于测评委托单位自身原因提出，并经测评机构确认所提要求合理的。(正确答案)B.测评委托单位对测评报告存在异议，申诉后经复验证明原测评报告存在问题的。(正确答案)C.测评机构发现测评报告存在问题的。(正确答案)D.测评委托单位完成整改后要求做相应更改的。63.密码应用安全性测评工作的开展可能会给被测信息系统带来一定安全风险，主要有（）。（）A.验证测试可能影响系统正常运行(正确答案)B.工具测试可能影响系统正常运行(正确答案)C.可能导致业务流程被泄露(正确答案)D.可能导致加密机制被泄露(正确答案)64.商用密码应用安全性评估量化评估的设计，遵照以下原则（）。（）A.遵循法律法规和最新相关指导性文件的总体要求(正确答案)B.遵循GB/T39786-2021和GM/T0115-2021(正确答案)C.鼓励使用密码技术，特别鼓励使用合规的密码算法/技术/产品/服务(正确答案)D.优先在网络和通信安全层面、设备和计算安全层面、应用和数据安全层面推进密码技术应用65.密码测评过程包括（）。（）A.测评准备活动(正确答案)B.现场测评活动(正确答案)C.测评记录编制活动D.分析与报告编制活动(正确答案)66.密评机构发生下列（）事项变更时，应在10个工作日内向国家密码管理局报告。（）A.测评机构名称发生变更(正确答案)B.测评机构法人发生变更(正确答案)C.测评机构股权结构发生变更(正确答案)D.测评机构主要负责人发生变更(正确答案)67.商用密码产品检测框架分为哪两个方面（）。（）A.应用标准符合性检测B.安全等级符合性检测(正确答案)C.功能标准符合性检测(正确答案)D.使用标准符合性检测68.通过工具测试的方法抓取并分析信息系统相关数据时，常见的分析内容包括：（）。（）A.分析使用的密码算法、密码协议等是否合规(正确答案)B.重要数据是否进行了加密和完整性保护。(正确答案)C.验证杂凑值和签名值是否正确(正确答案)D.验证信息系统是否具备防重放的能力(正确答案)69.下面哪些属于动态口令系统的测评内容（）。（）A.核实是否具有常用密码产品型号证书(正确答案)B.尝试对动态口令进行重放，验证安全(正确答案)C.评估种子密钥的安全管理机制(正确答案)D.核实系统承建商的资质70.在风险分析过程中，测评机构根据（），对被测信息系统面临的安全风险进行赋值，风险值的取值范围为高、中和低。（）A.资产价值(正确答案)B.威胁类型及频率(正确答案)C.标准要求(正确答案)D.自身经验(正确答案)71.在国家和地方密码管理部门开展密码应用安全性评估工作监督检查过程中，检查的主要内容包括：（）A.测评机构开展测评工作的规范性、客观性、公正性、独立性(正确答案)B.测评报告的真实性、客观性、公正性(正确答案)C.重要领域的网络与信息系统的密评落实情况(正确答案)D.重要领域的网络与信息系统的密码应用整改情况(正确答案)72.在现场结果确认和资料归还任务阶段，下列描述正确的是：（）A.测评人员在现场测评完成之后，应首先汇总现场测评的测评记录(正确答案)B.对遗漏和需要进一步验证的内容实施补充测评(正确答案)C.测评方与受测方对测评过程中发现的问题进行现场确认(正确答案)D.测评机构归还测评过程中借阅和产生的所有文档资料（包括现场记录），并由测评委托单位签字73.假设CBC模式加密的密文分组中有一个分组的内容被篡改，但该分组的长度不发生改变，解密时可能会影响（）个分组数据的正确性。（）A.1(正确答案)B.2(正确答案)C.3D.474.智能IC卡可构建哪些应用系统（）。（）A.门禁卡系统(正确答案)B.公交车乘车系统(正确答案)C.地铁乘车系统(正确答案)D.银行卡系统(正确答案)75.测评机构关于人员方面的要求包括（）。（）A.应配备测评技术负责人1人(正确答案)B.应配备质量负责人1人(正确答案)C.测评人员应为签订正式合同的员工(正确答案)D.测评人员应通过密码应用安全性测评人员考核(正确答案)76.在设备和计算安全层面，对于第三级系统，量化评估权重为1的测评单元为：（）A.身份鉴别(正确答案)B.远程管理通道安全(正确答案)C.日志记录完整性D.重要可执行程序完整性、重要可执行程序来源真实性77.商用密码应用安全性评估量化评估的设计，遵照以下原则：（）A.遵循法律法规和最新相关指导性文件的总体要求(正确答案)B.遵循GB/T39786-2021和GM/T0115-2021(正确答案)C.鼓励使用密码技术，特别鼓励使用合规的密码算法/技术/产品/服务(正确答案)D.优先在网络和通信安全层面、设备和计算安全层面、应用和数据安全层面推进密码技术应用78.以下关于量化评估，说法不正确的是（）。（）A.信息系统使用自行设计、未经安全性论证的密码算法，可认为D符合要求(正确答案)B.网络和通信安全层面身份鉴别量化评估结果为1分，应用和数据安全层面身份鉴别量化评估结果0分，经过弥补后，应用和数据安全层面身份鉴别测评单元量化评估得分为0.5分(正确答案)C.应用和数据安全层面重要数据传输使用DES算法进行加密，因使用不安全的密码算法，重要数据传输机密性测评项量化评估得分为0分(正确答案)D.用户通过用户名+口令登录信息系统，口令通过合规的密技术进行加密传输，则应用和数据安全层面身份鉴别测评单元量化评估得分为1分(正确答案)79.下列关于数字证书，说法正确的是()。（）A.数字证书主要是为了解决密钥归属问题(正确答案)B.数字证书也称公钥证书，在证书中包含公钥持有者信息、公开密钥、有效期、扩展信息以及由根CA对这些信息进行的数字签名C.“双证书“是指加密证书和解密证书D.证书的产生包括密钥生成、提交申请、审核检查和证书签发四个步骤(正确答案)80.《商用密码应用安全性评估量化评估规则》依据的标准有（）。（）A.GB/T17901-2020B.GB/T39786-2021(正确答案)C.GM/T0115-2021(正确答案)D.GB/T25070-201981.GM/T0017《智能密码钥匙密码应用接口数据格式规范》中，命令是应用接口向设备发出的一条信息，该信息启动一个操作或请求一个应答。（）[单选题]A.正确(正确答案)B.错误82.商用密码应用安全性评估工作由省级密码管理部门认证的密码测评机构承担。（）[单选题]A.正确B.错误(正确答案)83.安全二级芯片在安全一级的基础上增加了对安全芯片物理随机源的要求。（）[单选题]A.正确(正确答案)B.错误84.按照密评要求，测评机构只能在系统建设完成后及运行阶段开展评估。（）[单选题]A.正确B.错误(正确答案)85.测评机构存档的报告及相关文档只允许内部人员查阅，查阅测评报告须经过审批。（）[单选题]A.正确(正确答案)B.错误86.测评机构在进行系统调研时，可以采信自查结果、上次等级测评报告或测评报告中的可信结果。（）[单选题]A.正确(正确答案)B.错误87.大量信息传输或存储的机密性保护主要通过对称密码技术完