商用密码应用安全性评估从业人员技能竞赛考试题库-下（多选、判断题）

PAGEPAGE1商用密码应用安全性评估从业人员技能竞赛考试题库-下（多选、判断题汇总）多选题1.在车路协同通信场景中，可以采用以下（）方式开展测评。A、在被测车辆无线通信范围内，使用无线协议分析类工具抓取智能车辆发送的通信数据，核实其消息中是否附加了数字签名B、通过文档审查、配置检查等方式验证车辆接收消息时是否验证了数字签名以及签名所用证书的有效性C、在核实数字证书合法性和有效性时，应注意数字证书管理的各个环节D、查看和核实信息系统使用的各密码产品的商用密码产品认证证书答案：ABCD2.某电商平台用户需使用合规的智能密码钥匙才能登录，平台通过调用服务器密码机对用户注册信息采用SM4算法进行加密存储，则在应用和数据安全层面“重要数据存储机密性”测评单元的测评对象主要包括（）。A、用户注册信息B、智能密码钥匙C、服务器密码机D、数据库服务器答案：AC3.根据GM/T0048《智能密码钥匙密码检测规范》，以下哪些为应用管理测试包含的操作（）A、下载应用B、枚举应用C、删除应用D、关闭应用答案：BCD4.按照《密码法》《网络安全法》和《关键信息基础设施安全保护条例》等规定，关键信息基础设施运营者需要开展以下（）工作。A、商用密码应用安全性评估B、灾难恢复性评估C、关键信息基础设施安全检测评估D、网络安全等级测评答案：ACD5.GM/T0115《信息系统密码应用测评要求》包含了以下哪些内容（）。A、通用测评要求B、整体测评要求C、风险分析和评价D、密码可用性测评要求答案：ABC6.在GM/T0123《时间戳服务器密码检测规范》中，时间戳服务器的日志内容应包括（）A、管理员操作行为B、异常事件C、敏感参数D、对应用接口的调用进行日志记录答案：ABD7.在GM/T0027《智能密码钥匙技术规范》中，功能要求中的初始化要求包括（）。A、出厂初始化B、设备初始化C、应用初始化D、个人化数据初始化答案：AC8.按照《商用密码应用安全性评估报告模板（2023版）》，对系统密评报告中的风险分析表格描述错误的是（）。A、风险分析时可从威胁类型和威胁发生频率等方面阐述B、表格中每一行是一个测评对象的问题描述、关联威胁、风险分析和风险等级C、在网络和通信安全层面关联的安全威胁包括“非法设备从外部接入内部网络，或网络边界被D、在填写表格时，只需要注意识别出的高风险，无需考虑多个中低风险叠加而导致的高风险问答案：BD9.按照《电子签名法》的内容，关于数据电文的发送、接收时间，下列说法正确的是（）。A、数据电文进入发件人控制之外的某个信息系统的时间，视为该数据电文的发送时间B、收件人指定特定系统接收数据电文的，数据电文进入该特定系统的时间视为该数据电文的接收时间C、未指定特定系统的，数据电文进入收件人的任何系统的首次时间，视为该数据电文的接收时间D、当事人对数据电文的发送时间、接收时间另有约定的，从其约定答案：ABCD10.参照GM/T0024标准实现的SSL协议，握手协议的描述错误的是（）。A、在客户端和服务端Hello消息之后，服务端向客户端发送服务端证书且必须向客户端发送证书请求消息B、在对交换数据进行加密和签名计算时，交换数据的加密和签名运算可以采用同一公私钥对C、客户端和服务端之间使用的密钥交换算法由协议的版本决定D、工作密钥的具体密钥长度由选用的密码算法决定答案：ABC11.某电商平台用户需使用合规的智能密码钥匙才能登录，则在应用和数据安全层面“身份鉴别”测评单元的测评对象主要包括（）。A、电商平台B、智能密码钥匙C、应用服务器D、数据库服务器答案：AB12.根据《密码法》，关于我国商用密码标准化体系，下列表述正确的是（）。A、国家标准由国家密码管理局组织制定B、团体标准代号为GMC、行业标准需要报国家标准化管理委员会备案D、企业标准由商业密码企业制定或企业联合制定答案：CD13.根据GM/T0036《采用非接触卡的门禁系统密码应用技术指南》，非接触卡门禁系统中应用系统的后台管理系统包括（）。A、后台管理数据库B、密码模块C、前台管理数据库D、射频接口答案：AB14.在GM/T0041《智能IC卡密码检测规范》中，测试对象符合下列哪些条件，可判定为合格（）。A、至少应使用一种经国家密码管理主管部门批准的密码算法B、如测试对象支持GMT0041《智能IC卡密码检测规范》的6.2COS安全管理功能检测规定的全部或部分测试C、应通过GMT0041《智能IC卡密码检测规范》6.3COS安全机制检测规定的全部或部分测试D、如测试对象具有RSA算法密钥对生成功能，应通过GMT0041《智能IC卡密码检测规范》6.4RSA密钥的素性检测规定的测试答案：ABCD15.根据GM/T0030-2014《服务器密码机技术规范》，以下属于服务器密码机可提供的算法工作模式的有（）。A、CRLB、OFBC、BCD、ECB答案：BCD16.根据GM/T0028《密码模块安全技术要求》，公开安全参数是与安全性相关的公开信息，一旦被修改，会威胁到密码模块安全。以下为公开安全参数的为（）A、公钥B、自签名证书C、签名私钥D、信任锚答案：ABD17.根据GM/T0059《服务器密码机检测规范》，服务器密码机的API接口检测应包括以下哪几类（）A、设备管理类函数B、对称算法运算类函数C、用户文件操作类函数D、杂凑运算类函数答案：ABCD18.SM9数字签名算法的辅助函数包括（）。A、杂凑函数B、密钥派生函数C、随机数发生器D、分组密码算法答案：AC19.某信息系统管理员使用智能密码钥匙登录签名验签服务器，对管理员进行身份鉴别，身份鉴别机制采用数字签名技术，并基于“挑战-响应”鉴别机制。依据GM/T0115《信息系统密码应用测评要求》，在上述场景下，以下关于该机制的实现方式，错误的是（）。A、通过智能密码钥匙产生随机数，并检验该随机数来保证唯一性和时效性B、智能密码钥匙产生并向签名验签服务器发送TokenC、签名验签服务器产生的挑战值“随机数”未包含在Token签名数据中D、由智能密码钥匙解密私钥对签名数据进行签名，并由签名验签服务器验签答案：ACD20.下列密码体制的安全性是基于离散对数问题的是（）A、RSAB、RabinC、SM2D、ElGamal答案：CD21.根据GM/T0027《智能密码钥匙技术规范》，智能密码钥匙必须至少支持三种密钥，分别是（）A、设备认证密钥B、用户密钥C、会话密钥D、密钥加密密钥答案：ABC22.根据GM/T0039《密码模块安全检测要求》，检测机构可以以下面一个或多个方式对密码模块的安全性进行测试（）。A、检测人员使用检测机构的设备进行测试B、检测人员使用送检单位的设备进行测试C、送检单位的检测人员使用检测机构的设备进行测试D、检测人员监督送检单位使用送检单位的设备进行测试答案：ABD23.GB/T39786《信息安全技术信息系统密码应用基本要求》对网络和通信安全层面提出的要求包括（）。A、通信实体身份的真实性B、通信过程中数据的完整性、重要数据的机密性C、网络边界访问控制信息的完整性D、从外部连接到内部网络的设备身份的真实性答案：ABCD24.以下关于Wireshark过滤规则的说法，（）是正确的。A、tcp.port==443可以用于获取所有目标端口为443的TCP数据包B、ip.addr==可以用于获取源或目标IP地址为的所有数据包C、arp.src.hw_mac==00:11:22:33:44:55可以用于获取源MAC地址为00:11:22:33:44:55的ARP数据包D、http.response.code==200可以用于获取所有HTTP响应状态码为200的数据包答案：ABCD25.关于《网络安全审查办法》涉及的密码产品或服务，以下说法正确的是（）。A、关键信息基础设施运营者采购密码产品或服务，应当了解其加密算法、密钥管理和协议等主要机制，预判采购后可能带来的国家安全风险B、国家密码管理局如果认为可能影响国家安全的密码产品或服务需要进行网络安全审查的，由网络安全审查办公室按程序报批后审查C、关键信息基础设施运营者应当强化密码产品和服务的供应链安全风险管理，预判采购后可能带来的国家安全风险D、在进行国家安全审查时，向关键信息基础设施运营者或网络平台运营者提供密码产品或服务的供应商需要配合网络安全审查答案：ABCD26.在GM/T0022《IPSecVPN技术规范》中，IPSecVPN需要使用（）类型的密钥。A、设备密钥B、工作密钥C、会话密钥D、存储密钥答案：ABC27.根据GM/T0045《金融数据密码机技术规范》，（）属于金融数据密码机功能检测中的强制检测项目A、初始化检测B、随机数检测C、访问控制检测D、设备管理检测答案：ABCD28.DES的三种主要的攻击方法是（）。A、穷举攻击B、差分密码分析C、线性密码分析D、查表攻击答案：ABC29.GM/T0008《安全芯片密码检测准则》中，下列内容属于安全等级3的安全芯片对电磁分析攻击的要求的是（）。A、安全芯片须具有相应措施保证算法运算时电磁辐射特征与密钥和敏感信息之间没有明显的相关性B、送检单位必须通过文档或其他方式对相应的防护措施及其有效性进行描述和说明C、防护措施的有效性必须通过检测D、送检单位必须通过文档或其他方式对相应的防护措施及其有效性进行证明答案：ABCD30.某信息系统部署于两个自建机房，机房之间通过光纤连接，启用防火墙的IPSecVPN对机房之间的业务流量进行保护，通过服务器密码机对应用服务器的日志记录进行完整性保护。根据GM/T0115《信息系统密码应用测评要求》，以下作为设备和计算安全层面测评对象的是（）。A、应用服务器B、服务器密码机C、光纤连接器D、防火墙答案：ABD31.根据GM/T0116《信息系统密码应用测评过程指南》，根据（），判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性，可能性的取值范围为高、中和低。A、威胁发生频率B、威胁类型C、自身水平D、量化评估结果答案：AB32.根据《密码法》，关于列入网络关键设备和网络安全专用产品目录的商用密码产品，以下说法正确的是（）。A、一般是涉及国家安全、国计民生、社会公共利益和敏感个人信息的产品B、应由具备资格的机构检测认证合格后方可销售或者提供C、商用密码服务使用目录产品的，还需要经商用密码服务认证合格D、《网络关键设备安全通用要求》和《网络关键设备和网络安全专用产品安全认证实施规则》等提供了检测认证的具体要求答案：BCD33.某信息系统中部署了IPSecVPN对网络信道进行保护，通过分析信道中的IPSec协议数据，可以获取的信息是（）。A、ISAKMP主模式中的签名证书B、ISAKMP主模式中的加密证书C、ISAKMP快速模式中的载荷（除ISAKMP头外）D、ISAKMP主模式中响应方生成的临时密钥答案：AB34.根据《密码法》，大众消费类产品所使用的商用密码应当符合的条件包括（）。A、社会公众可以不受限制地通过常规零售渠道购买B、仅供个人使用C、不能轻易改变密码功能D、只用于加密，不用于认证答案：ABC35.下列可以预防重放攻击的是（）。A、时间戳B、nonceC、序号D、明文填充答案：ABC36.按照《商用密码应用安全性评估报告模板（2023版）》，密评报告中测评项目概述应包括（）。A、测评目的B、测评依据C、测评过程D、报告分发范围答案：ABCD37.密码学发展的三个阶段（）。A、代换、置换密码B、古典密码C、近代密码D、现代密码答案：BCD38.根据GM/T0028《密码模块安全技术要求》，以下为密码模块安全三级要求的是（）。A、置零响应电路B、软件密码模块可以运行在可修改的环境中C、基于身份的鉴别机制D、有效防止电压、温度超出模块正常运行范围对密码模块安全性的破坏答案：ACD39.根据GM/T0116《信息系统密码应用测评过程指南》，风险分析在（）信息的基础上进行。A、被测系统威胁分析结果B、被测系统资产分析结果C、被测系统存在的安全问题D、已有安全措施情况答案：ABCD40.数字中国建设“2522”的整体框架是指（）。A、夯实数字基础设施和数据资源体系“两大基础”B、推进数字技术与经济、政治、文化、社会、生态文明建设五位一体深度融合C、强化数字技术创新体系和数字安全屏障两大能力D、优化数字化发展国内国际两个环境答案：ABCD41.GM/T0104《云服务器密码机技术规范》规定设备的管理检测包括（）。A、管理操作检测B、管理登录检测C、管理接口检测D、日志审计检测答案：ABCD42.在针对应用和数据安全层面进行测评时，以下属于该安全层面测评对象的是（）。A、应用系统管理员B、应用系统C、密码产品D、技术文档答案：BC43.根据GM/T0024《SSLVPN技术规范》，SSLVPN中非对称密码算法包括（）。A、SM2B、SM9C、ElGamalD、RSA答案：ABD44.为了有效发现和修复商用密码产品中可能存在的安全漏洞，商用密码产品提供者可以（）。A、为使用该密码产品的用户提供安全维护服务B、对发现并通报所提供的产品安全漏洞的组织或者个人给予奖励C、对网络上疑似发布产品安全漏洞信息的行为保持密切关注D、建立商用密码产品安全漏洞信息接收渠道并保持畅通答案：ABCD45.GB/T39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第二级及以上信息系统应对（）人员或（）人员执行的日常管理操作建立操作规程。A、密码厂商B、管理C、操作D、检查答案：BC46.量子计算中的Shor算法，对哪些传统密码算法安全性产生较大威胁（）。A、RSAB、DSAC、AESD、SM3答案：AB47.根据《国家政务信息化项目建设管理办法》，在构建政务信息系统防护体系时，应按要求采用密码技术，并定期开展密码应用安全性评估。整体安全架构要求是（）。A、全方位B、多层次C、立体化D、一致性答案：ABD48.GM/T0055《电子文件密码应用技术规范》规定的安全电子文件，通过标签与文件建立唯一绑定关系，下列关于验证标签与文件绑定关系的流程叙述哪些是正确的（）。A、除标签头中的签名值属性外的所有标签内容计算摘要B、验证标签签名C、文件内容计算摘要D、验证文件签名答案：ABCD49.在GM/T0018《密码设备应用接口规范》中，ECC公钥数据结构定义中的字段包括（）。A、密钥位长B、公钥x坐标C、公钥y坐标D、私钥答案：ABC50.按照《商用密码应用安全性评估报告模板（2023版）》，在编制系统密评报告单元测评部分时，需要注意（）。A、单元测评中的测评对象需要与测评对象确定结果和测评结果记录（附录A）中的测评对象保持一致B、单元测评结果分析中对于判定依据的相关描述需要与测评结果记录（附录A）中的保持一致C、单元测评中的不适用指标应当与“测评范围与方法”中确定的不适用指标保持一致D、单元测评结果中的测评指标符合情况需与整体测评结果中的符合情况保持一致（如果不存在测评结果修正）答案：ABCD51.根据GM/T0116《信息系统密码应用测评过程指南》，测评方根据（）等相关标准要求，对被测信息系统面临的密码应用安全风险进行赋值，风险值的取值范围为高、中和低。A、单元测评结果B、自身经验C、《信息系统密码应用高风险判定指引》D、整体测评结果答案：BC52.根据GM/T0014《数字证书认证系统密码协议规范》，用户申请证书需要向RA/CA提供下列选项中的（）。A、用户信息B、用户签名公钥C、用户加密公钥D、用户加密私钥答案：AB53.根据GM/T0116《信息系统密码应用测评过程指南》，以下关于测评准备活动的输出文档及其内容，说法正确的是（）。A、在项目启动任务中，输入文档包括委托测评协议书、保密协议等，输出文档为项目计划书B、在信息收集和分析任务中，输入文档为调查表格，输出文档为调查表格、被测信息系统相关的技术资料C、在工具和表单准备任务中输出文档为选用的测评工具清单，打印的各类表单。D、调查表格、被测信息系统相关的技术资料内容应涵盖被测信息系统的网络安全保护等级、业务情况、软硬件情况、密码应用情况、密码管理情况等答案：ABCD54.下列哪些选项是GM/T0028《密码模块安全技术要求》规定的安全域（）。A、角色/服务/鉴别B、自测试C、有限状态模型D、密码算法答案：AB55.以下选项中，属于应用和数据安全层面的重要数据的是（）A、鉴别数据B、重要业务数据C、重要审计数据D、个人敏感信息答案：ABCD56.关于ZUC算法描述正确的是（）。A、3GPPLTE唯一标准B、基于素域上的LFSR设计C、算法结构新颖D、算法软硬件实现性能良好答案：BCD57.GM/T0031《安全电子签章密码技术规范》中规定验证制章人证书的有效性，验证项至少包括（）A、制章人证书信任链验证B、制章人证书有效期验证C、制章人证书撤销时间D、密钥用法是否正确答案：ABCD58.设备和计算层面的测评对象主要包括以下哪些（）。A、通用服务器（如应用服务器、数据库服务器）B、数据库管理系统C、整机类和系统类的密码产品D、堡垒机（当系统使用堡垒机用于对设备进行集中管理时，不涉及应用和数据安全层面）答案：ABCD59.根据《密码法》，关于商用密码检测认证体系建设的说法正确的有（）。A、商用密码从业单位基于自愿原则接受商用密码检测认证，另有规定的除外B、商用密码检测、认证机构应当依法取得相关资质C、商用密码检测认证体系参与主体包括商用密码检测、认证机构和商用密码产业单位D、商用密码检测、认证机构应向密码管理部门披露密码源代码答案：ABC60.在GM/T0049-2016《密码键盘密码检测规范》中，环境失效保护要求（）。A、对于安全1级、2级的密码键盘，不要求具有环境失效保护（EFP）特性或者经过环境失效检测（EFT）B、安全3级的密码键盘应具有EFP特性或经过EFT，安全4级的密码键盘应具有EFP特性C、如果温度或电压超出密码键盘的正常运行范围，则保护电路应关闭键盘，防止继续运行或立即置零所有敏感信息D、如果键盘检测到外部暴力拆解、强力振动、强电磁干扰，则保护电路应关闭键盘，防止继续运行或立即置零所有敏感信息。答案：ABC61.网上行政审批系统主要提供审批业务受理、承办、审核、批准、结办等功能，其安全保护等级为三级；该单位内部用户采用SM2数字证书认证方式登录审批端业务应用，应用服务端调用签名验签服务器进行签名验证。依据GM/T0115《信息系统密码应用测评要求》，在对单位内部用户进行应用和数据安全层面“身份鉴别”指标测评时，经核实发现下列（）情况可导致该测评指标无法取得“符合”的测评结果。A、登录成功后，拔出智能密码钥匙，审批端业务应用长时间未自动退出登录B、智能密码钥匙的商用密码产品认证证书和原型号证书中均未注明密码模块安全等级C、SM2数字证书由本单位内部自建CA签发，组成CA的相关密码产品未经过检测认证D、智能密码钥匙未导入SM2签名证书答案：ABCD62.根据GM/T0059《服务器密码机检测规范》，服务器密码机的日志内容可以包括（）。A、管理员操作行为，包括登录认证、系统配置、密钥管理等操作B、异常事件，包括认证失败、非法访问等异常事件的记录C、如与设备管理中心连接，则对相应操作进行记录D、对应用接口中密钥管理相关调用记录日志答案：ABCD63.下列哪几个测试属于GM/T0063《智能密码钥匙应用接口检测规范》的测试范围（）。A、性能检测B、安全性检测C、接口功能检测D、互操作性检测答案：BCD64.根据GM/T0116《信息系统密码应用测评过程指南》，密评方案应包括以下内容（）。A、项目概述B、测评对象、测评指标C、测评检查点D、单元测评实施答案：ABCD65.AES由四个不同的模块组成，其中不是非线性模块的有（）A、字节代换B、行位移C、列混淆D、轮密钥加答案：BCD66.按照《国家政务信息化项目建设管理办法》，国家政务信息化项目的建设管理应当坚持的原则有（）。A、统筹规划B、共建共享C、业务协同D、安全可靠答案：ABCD67.GM/T0031《安全电子签章密码技术规范》属于电子签章验证环节的是（）。A、验证电子签章数据格式的合规性B、验证电子签章签名值是否正确C、验证签章人数字证书有效性D、验证原文杂凑答案：ABCD68.根据《密码法》，以下关于商用密码国家标准的说法正确的是（）。A、分为强制性标准、推荐性标准B、目前尚无商用密码的强制性国家标准C、企业标准应高于国家标准、行业标准相关技术要求D、强制性国家标准必须执行答案：ABD69.某信息系统所在机房部署了电子门禁系统进行物理访问身份鉴别，经核查发现电子门禁系统基于指纹对人员进行身份鉴别，则物理和环境安全层面“身份鉴别”测评单元如何判定，风险等级如何变化（）。A、符合B、不符合C、风险等级降低D、风险等级不变答案：BC70.按照《网络安全审查办法》的内容，某国家机关系被认定的关键信息基础设施运营者，其欲采购某款境外设计的商用密码产品，下列表述正确的是（）。A、该国家机关应当首先自行预判该商用密码产品是否可能产生国家安全风险B、如果该国家机关认为使用该商用密码产品可能产生国家安全风险，应当申报网络安全审查C、如果国家密码管理局认为使用该商用密码产品可能产生国家安全风险，网络安全审查办公室可以依职权对该国家机关启动网络安全审查D、由于该国家机关采购的是境外设计的商用密码产品，故只能通过国家机关申请来启动网络安全审查，网络安全审查办公室无权自行启动网络安全审查答案：ABC71.在密评中，当IPSecVPN保护的通道作为测评对象时，以下测评实施合理的包括（）。A、抓取IPSec通信报文进行分析算法使用情况，以及对数字证书开展合规性分析B、查看IPSecVPN的配置情况C、检查IPSecVPN等是否具备商用密码产品认证证书D、对IPSecVPN是否满足GM/T0028《密码模块安全技术要求》进行检测认证答案：ABC72.GM/T0084《密码模块物理攻击缓解技术指南》规定的在开发过程中可以阻止或缓解物理攻击的方法有（）。A、进行安全测试B、移除、禁用测试调试机制C、预装密钥D、提供攻击反馈答案：ABC73.在《信息系统密码应用高风险判定指引》中,以下属于密码算法安全问题的是（）。A、采用了安全强度不够的密码算法B、自行设计的密码算法C、采用未经安全性论证的密码算法D、采用了符合法律、法规规定和密码相关国家标准、行业标准有关要求的算法答案：ABC74.根据GM/T0029《签名验签服务器技术规范》，签名验签服务器应提供日志（）功能，具备相应的配置管理和查看界面。A、记录B、查看C、审计D、导出答案：ABCD75.根据GM/T0018《密码设备应用接口规范》，以下哪些属于密码设备的基本功能（）。A、密钥管理B、数据加密C、应用管理D、随机数生成答案：ABD76.根据《电子认证服务密码管理办法》，申请《电子认证服务使用密码许可证》应当在电子认证服务系统建设完成后,向所在地的省、自治区、直辖市密码管理机构或者国家密码管理局提交的材料包括（）。A、《电子认证服务使用密码许可证申请表》B、企业法人营业执照复印件C、电子认证服务系统安全性审查相关技术材料D、电子认证服务系统互联互通测试相关技术材料答案：ABCD77.SM3密码杂凑算法的运算中（）起到混淆的作用A、循环移位B、P置换C、模加D、布尔函数答案：CD78.某整机类密码产品经确认为经检测认证合格的商用密码产品，则在设备和计算安全层面，针对该密码产品的测评，哪些可直接判定为符合（）。A、身份鉴别B、系统资源访问控制信息完整性C、重要可执行程序的完整性D、日志记录完整性答案：BCD79.代换（substitution）密码分为以下哪些类型（）A、单表代换密码B、多表代换密码C、循环移位密码D、置换密码答案：AB80.GM/T0105《软件随机数发生器设计指南》规定的关键安全参数包括（）。A、熵源产生的熵B、DRNG内部状态中的敏感状态信息C、DRNG熵输入D、RNG中重播种计数器阈值答案：ABC81.杂凑算法又称密码散列杂凑算法摘要算法到目前为止，以下算法是不安全的杂凑算法的有（）A、MD4B、RIPEMDC、SM3D、SHA-0答案：ABD82.根据《密码法》，从事核心密码、普通密码的密码工作机构，需（），确保核心密码、普通密码的安全。A、建立健全安全管理制度B、采取严格的保密措施C、形成可考核、可评价的保密责任制D、采购列入网络关键设备和网络安全专用产品目录的商用密码产品答案：ABC83.根据GM/T0027《智能密码钥匙技术规范》，智能密码钥匙要能够具备抵抗的攻击包括（）。A、能量分析攻击B、电磁分析攻击C、时间分析攻击D、错误注入攻击答案：ABCD84.根据《信息系统密码应用高风险判定指引》，以下采用的措施对物理和环境安全的身份鉴别，可能带来安全风险的是（）。A、采用口令方式鉴别进入人员身份B、采用ID卡方式鉴别进入人员身份C、采用指纹识别方式鉴别进入人员身份D、机房采用物理锁方式控制人员进出答案：ABCD85.根据GM/T0039《密码模块安全检测要求》，所有进出密码模块的逻辑信息流，都应当仅通过已定义的物理端口和逻辑接口。送检文档中应通过（）说明密码模块的信息流和物理接入点。A、框图B、设计规格C、源代码D、原理图答案：ABCD86.在GM/T0048《智能密码钥匙密码检测规范》中，下列哪些检测项的检测条件要求所需的应用和容器已打开（）。A、获取设备信息B、取随机数C、导入数字证书D、生成SM2签名密钥对答案：CD87.ZUC算法非线性函数F部分使用的非线性运算包括（）A、S-盒变换B、模2^{32}的加法C、模2^{31}-1的加法D、比特串异或运算答案：AB88.2021年密评联委会发布的《商用密码应用安全性评估量化评估规则（2021版）》，适用于指导、规范信息系统密码应用的（）。A、立项、启动B、规划、建设C、运行、测评D、验收、维护答案：BC89.以下（）算法可以安全地为变长的数据生成MACA、CBC-MACB、HMACC、GCMD、CMAC答案：BCD90.党的二十大报告指出，我们要健全人民当家作主制度体系，扩大人民有序政治参与，保证人民依法实行（）、民主管理、民主监督，发挥人民群众积极性、主动性、创造性，巩固和发展生动活泼、安定团结的政治局面。A、民主参政B、民主选举C、民主协商D、民主决策答案：BCD91.党的二十大报告指出，我们开展了史无前例的反腐败斗争，以“得罪千百人、不负十四亿”的使命担当祛疴治乱，不敢腐、（）、一体推进。A、不可腐B、不能腐C、不想腐D、不愿腐答案：BC92.根据GM/T0014《数字证书认证系统密码协议规范》，一个OCSP请求包含下列选项中的（）。A、协议版本B、服务请求C、目标证书标识D、可选扩展答案：ABCD93.以下属于GB/T39786《信息安全技术信息系统密码应用基本要求》应用和数据安全层面保护的对象是（）。A、应用用户的身份鉴别信息B、应用访问控制信息C、重要业务数据D、操作行为答案：ABCD94.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，可以提供基于非对称密码算法的数字签名功能的密码产品有（）。A、密码键盘B、签名验签服务器C、服务器密码机D、智能密码钥匙答案：BCD95.根据GM/T0116《信息系统密码应用测评过程指南》，测评检查点确定的主要内容有（）。A、列出需要接受现场检查的关键设备和检查内容B、确定测试路径和工具接入点，采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容C、确定选用的测评工具，并进行校准D、不适用测评指标分析答案：AB96.根据GM/T0116《信息系统密码应用测评过程指南》，以下哪些情形属于测评风险（）。A、验证系统功能时产生了冗余数据B、上机查看配置时获取了重要设备的身份鉴别信息C、对委托方搭建的测试系统进行了攻击测试D、测试过程中产生了较大网络流量影响了系统的负载答案：ABD97.GB/T33560-2017《信息安全技术密码应用标识规范》中，包括（）的密钥分类标识。A、主密钥B、设备密钥C、用户密钥D、密钥加密密钥答案：ABCD98.根据GM/T0116《信息系统密码应用测评过程指南》，在测评准备阶段工具和表单准备活动中，需要项目组提前准备并打印的表单包括（）。A、合同文件B、现场测评授权书C、风险告知书、文档交接单D、会议记录表单、会议签到表单等。答案：BCD99.GM/T0005《随机性检测规范》中，关于检测原理以下说法正确的是（）。A、“Maurer通用统计检测”用于检测待检序列能否被无损压缩，如果待检序列能被显著地压缩，那么就认为该序列是不随机的B、“重叠子序列检测”通过比较m位可重叠子序列模式的频数和m+1位可重叠子序列模式的频数来检测其随机性C、“扑克检测”用于检测待检序列中m位非重叠子序列的每一种模式的个数是否接近D、“矩阵秩检测”用于检测待检序列中给定长度的子序列之间的线性独立性答案：ACD100.对于在安全研究中发现的密码安全漏洞，在确定是否与境外安全社区共享时，应符合的法律法规和规定包括（）。A、《密码法》B、《出口管制法》C、《网络产品安全漏洞管理规定》D、《数据安全法》答案：AC101.根据GM/T0059《服务器密码机检测规范》，服务器密码机权限配置宜具备哪些类角色管理（）A、管理员B、安全员C、统计员D、操作员答案：ABD102.根据《密码法》，以下属于核心密码和普通密码工作机构的密码活动的有（）。A、密码科研B、密码生产、服务C、密码进出口D、密码使用、销毁答案：ABD103.《区域全面经济伙伴关系协定》（RCEP）于2022年1月1日正式对中国生效，以下关于RCEP的说法正确的是（）。A、重申密码技术作为主要应用场景的电子签名的法律效力B、各缔约国应就网络安全相关的事项开展合作C、各缔约国对于计算设施的使用或位置可能有各自的措施，包括寻求保证通信安全和保密的要求D、不得将强制要求数据本地化作为其他缔约国在一国领土内进行商业行为的条件答案：ABCD104.被测业务应用系统采用基于角色的访问控制策略，用户通过角色配置获得该角色拥有的应用系统权限，在对该应用系统进行应用和数据安全层面“访问控制信息完整性”测评时，依据GM/T0115《信息系统密码应用测评要求》，从理论上可采取的实施方法包括（）。A、读取数据库中的用户角色配置信息，判断完整性校验值的格式是否符合预期B、读取数据库中的角色权限配置信息，判断完整性校验值的格式是否符合预期C、如使用数字签名技术进行完整性保护，则可使用公钥对存储的签名结果进行验证D、如使用消息鉴别码进行完整性保护，则可使用完整性保护密钥对存储的MAC值进行验证答案：ABCD105.按照《商用密码产品认证目录（第一批）》，密码随机数检测应符合的标准有（）。A、《密码随机数生成模块设计指南》B、《软件随机数发生器设计指南》C、《随机性检测规范》D、《密码产品随机数检测要求》答案：CD106.根据GM/T0116《信息系统密码应用测评过程指南》，以下哪项属于现场测评活动的内容（）A、召开首次会B、与委托方确认测评记录C、形成单元测评结果D、传输数据采集分析答案：ABD107.某信息系统设备和计算安全层面，通过SM2签名验签的方式对应用服务器的日志记录进行完整性保护，测评人员提取了4组十六进制字符串的SM2签名值，以下SM2签名值符合GM/T0009签名数据格式要求的是（）。A、0x304402202DB887AB6768A70E9F13597BDDEBB4B16B284A8CF51DF21BCFC16B6FADC84FB70220531B8EB27F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0B、0x042DB887AB6768A70E9F13597BDDEBB4B16B284A8CF51DF21BCFC16B6FADC84FB7531B8EB27F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0C、0x30450220390E325EB7CF7BABA3698839A739DCE23504CE058597FB5931CF11154B3BB0D9022100BE9C6210A2D99840778F7E9781B8AABD1CA9060068F38902394B7A4693530F1BD、0x04390E325EB7CF7BABA3698839A739DCE23504CE058597FB5931CF11154B3BB0D9BE9C6210A2D99840778F7E9781B8AABD1CA9060068F38902394B7A4693530F1B答案：AC108.以下密码结构，具备逆变换的有（）。A、FeistelB、MISTYC、SpongeD、Benes答案：AB109.根据《商用密码应用安全性评估报告模板（2023版）》，在编写密码应用方案时，应该体现（）。A、系统承载业务情况及网络拓扑B、系统密码应用需求分析C、各安全层面的技术实现方案D、安全与和合规性分析答案：ABCD110.有中心的密钥分发模式中，会话密钥可以由（）生成A、通信发起方B、认证服务器C、代理服务器D、密钥分发中心KDC答案：AD111.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于应用和数据安全层面保证重要数据传输机密性的说法，不正确的有（）。A、若网络和通信安全层面对数据进行加密保护之后，应用和数据安全层面无需再次加密保护B、责任单位如果声明信息系统没有重要数据，则密评机构在测评时，直接将相关指标标记为不适用C、在网络边界部署符合要求的IPSecVPN/SSLVPN设备，能为数据提供全链路的机密性保护D、重要数据传输机密性必须使用非对称加密来实现答案：ABD112.数字签名使用密码杂凑函数预先处理消息可以（）A、防范伪造攻击B、提高签名的计算速度C、缩小待签名消息的长度D、提高签名验证的速度答案：ABCD113.根据《商用密码应用安全性评估量化评估规则（2021版）》，在某次测评中，物理和环境安全层面被列为不适用，以下（）是可能发生的。A、该系统最终得分大于90分B、该系统最终测评结论为不符合C、该系统最终测评结论为符合D、该安全层面属于密码应用技术要求维度答案：ABCD114.分组密码的可鉴别的加密模式可以保护数据的（）A、机密性B、不可否认性C、完整性D、数据起源认证答案：ACD115.对商用密码服务的认识正确的是（）。A、是为他人提供集成、运营、监理等商用密码支持和保障的活动的一类服务B、提供商用密码服务应具备相应的商用密码专业技术、技能和设施、人力等资源C、典型的商用密码服务包括密码保障系统集成和密码保障系统运营D、云服务商可以提供商用密码服务答案：ABCD116.商用密码检测机构开展检测工作应当遵循商用密码管理政策和相关密码标准的要求，遵循（）的原则A、保密B、独立C、客观D、公正答案：BCD117.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，属于《商用密码产品认证目录》中的密码产品种类的是（）。A、签名验签服务器B、服务器密码机C、随机数发生器D、云服务器密码机答案：ABCD118.GB/T39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第四级的信息系统，物理和环境安全层面应采用密码技术保护的对象及特性包括（）。A、物理访问身份鉴别B、电子门禁记录数据存储完整性C、视频监控记录数据存储完整性D、电子门禁记录数据存储机密性答案：ABC119.按照《关键信息基础设施安全保护条例》的内容，某漏洞平台为增补现有的商用密码系统漏洞库，拟针对某商用密码科研单位实施大规模的渗透性测试，评估并发现潜在的漏洞风险。在实施渗透性测试之前，该商用密码科研单位被认定为关键信息基础设施运营者，则该漏洞平台为了能够合法地实施渗透性测试，需要（）。A、经过国家网信部门批准B、经过国务院公安部门批准C、经过关键信息基础设施保护工作部门授权D、经过该商用密码科研单位授权答案：ABCD120.根据GM/T0005《随机性检测规范》，可以对被测数据的（）进行分析。A、单比特频数检测B、自相关性C、完整性D、不可否认性答案：AB121.根据《密码法》，下列关于我国密码工作管理体制的表述，正确的有（）。A、国家密码管理部门负责管理全国的密码工作B、县级以上地方各级密码管理部门负责管理本行政区域的密码工作C、国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作D、密码工作保护部门负责本行业、本领域的密码工作答案：ABC122.按照《国家密码管理局关于取消证明事项的通知》和《证明事项取消目录》，以下事项不再要求企业提供或出具书面证明的有（）。A、申请商用密码科研成果审查鉴定的知识产权证明B、申请商用密码产品质量检测机构审批时的质量检测能力其它证明C、申请商用密码产品出口许可的法人资格证明D、申请电子认证使用密码许可证名称变更的名称变更证明答案：ABCD123.根据《密码法》，关于在有线、无线通信中传递的国家秘密信息，以及存储、处理国家秘密信息的信息系统，以下说法不正确的是（）。A、应按照法律法规和规定使用核心密码、普通密码B、必要时可以使用商用密码进行临时传递和存储C、使用AES256进行加密保护D、通过采购公有云和部署密码技术以提升集约化和安全水平答案：BCD124.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，当密码设备的随机数发生器故障失效时，以下说法正确的是（）。A、不会影响使用已有对称密钥做SM4-ECB加密的安全性B、不会影响使用已有私钥做SM2数字签名的安全性C、不会影响使用已有公钥做SM2数字信封的安全性D、不会影响SM3杂凑运算的安全性答案：AD125.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于网络和通信安全层面的身份鉴别的说法，正确的有（）。A、通信实体之间身份鉴别可以采用PKI和数字签名技术实现B、通信实体之间身份鉴别可以采用对称密码算法实现C、通信实体之间身份鉴别可以采用带密钥的杂凑算法（HMAC）实现D、当使用PKI和数字签名来实现时，由于不涉及法律责任认定，所以不一定选择第三方电子认证机构来颁发数字证书答案：ABCD126.根据GM/T0116《信息系统密码应用测评过程指南》，为了验证密码产品是否被正确、有效地使用，可采集密码产品和其调用者之间的通信数据，通过采集的（），分析密码产品的调用是否符合预期。A、密码产品的配置文件B、密码产品调用指令C、密码产品响应报文D、密码产品的日志记录答案：BC127.GM/T0031《安全电子签章密码技术规范》中电子印章的有效期验证需要获取印章格式的（）信息A、印章有效起始日期B、印章有效终止日期C、制章人证书有效期D、制章日期答案：AB128.按照《商用密码应用安全性评估报告模板（2023版）》，密评报告中现场测评方法通常包括（）A、访谈、文档审查B、实地查看C、配置检查D、工具测试答案：ABCD129.以下属于商用密码产品的有（）。A、商用密码软件B、商用密码芯片C、商用密码整机D、商用密码系统答案：ABCD130.根据《商用密码应用安全性评估报告模板（2023版）》，方案密评报告中系统承载业务情况应包含（）。A、业务应用B、业务功能C、应用用户D、重要数据以及关键的用户操作行为等答案：ABCD131.推进密码应用需要密码管理部门和相关部门密切配合，分工负责，统筹协调，具体应当（）。A、加强顶层制度设计B、强调密码管理部门的权力C、健全协调工作机制D、形成有力的保障机制答案：ACD132.按照《法律、行政法规、国务院决定设定的行政许可事项清单（2023年版）》，其中涉及密码领域的许可事项包括（）。A、商用密码科研成果审查鉴定B、商用密码产品质量检测机构资质认定C、电子认证服务使用密码许可D、电子政务电子认证服务资质认定答案：ABCD133.GM/T0129《信息系统密码应用测评要求》，在对应用和数据安全层面中的“重要数据存储机密性”指标测评时，以下哪些措施可能导致数据泄露（）。A、采用DES算法对用户敏感信息加密后存储B、调用服务器密码机采用SM4-ECB模式对所有用户性别信息项进行加密后存储C、采用SM3（加盐）的方式对数据库中存储的口令信息处理D、对重要用户信息进行脱敏后存储，未采用其他数据存储安全加固措施答案：ABD134.根据GM/T0122《区块链密码检测规范》，区块链中节点和用户身份的鉴别机制应符合（）中的一种要求。A、GB/T15843.2《信息技术安全技术实体鉴别第2部分：采用对称加密算法的机制》B、GB/T15843.3《信息技术安全技术实体鉴别第3部分：采用数字签名技术的机制》C、GB/T15843.4《信息技术安全技术实体鉴别第4部分:采用密码校验函数的机制》D、GB/T15843.5《信息技术安全技术实体鉴别第5部分：使用零知识技术的机制》答案：ABCD135.根据GM/T0026-2014《安全认证网关产品规范》，安全认证网关应确保设备密钥得到安全保护，工作密钥和会话密钥不存放在（）中。A、硬盘B、内存C、易失性存储介质D、非易失性存储介质答案：AD136.某三级信息系统应用和数据安全层面测评过程中发现，用户身份鉴别数据（即用户口令）和重要业务数据均通过调用服务器密码机（具有二级商密产品认证证书）进行保护，使用SM3带盐杂凑和HMAC-SM3对身份鉴别数据进行存储机密性保护和存储完整性保护，使用SM4-CBC、SM3算法实现重要业务数据存储机密性和存储完整性保护，则根据《商用密码应用安全性评估量化评估规则（2021版）》，以下说法正确的是（）。A、重要业务数据存储机密性和存储完整性，量化评估分值相同B、重要业务数据存储机密性和存储完整性，量化评估分值不相同C、若该系统应用层仅涉及身份鉴别数据、重要业务数据，则数据存储机密性测评单元的量化评估分值为0.5D、若该系统应用层仅涉及这两类关键数据，则数据存储完整性测评单元的量化评估分值为0.5答案：BCD137.分组密码的认证加密模式在应用过程中可以输出的信息有（）A、NonceB、密文C、标签D、密钥答案：ABC138.GM/T0028《密码模块安全技术要求》要求，密码算法条件自测试可以是（）。A、已知答案测试B、对比测试C、错误检测测试D、性能测试答案：ABC139.SM4算法由国家密码管理局发布，下列是正确描述SM4算法是（）。A、SM4是一种分组密码算法B、SM4分组长度为128比特C、SM4密钥长度为128比特D、SM4加密算法的迭代次数为32答案：ABCD140.GM/T0071《电子文件密码应用指南》指出电子文件的文件内容解密操作方法，下面选项正确的有（）。A、从安全属性中获取加密电子文件的对称算法和非对称算法标识B、根据对称算法标识调用对称解密服务，使用加密公钥解密加密后的对称密钥，得到对称密钥C、根据非对称算法标识调用非对称解密服务，使用加密私钥解密加密后的对称密钥，得到对称密钥D、根据对称算法标识调用对称解密服务，对加密后的文件内容进行解密答案：ACD141.根据GM/T0049《密码键盘密码检测规范》，环境失效保护检测的通用要求有哪些（）。A、对于安全1级、2级的密码键盘，不要求具有环境失效保护（EFP）特性或者经过环境失效检测（EFT）B、如果温度或电压超出密码键盘的正常运行范围，则保护电路应关闭键盘，防止继续运行或立即置零所有敏感信息C、安全3级的密码键盘应具有EFP特性或经过EFT，安全4级的密码键盘应具有EFP特性D、密码键盘加密一组已知的数据，把得到的密文送给检测平台答案：ABC142.某信息系统使用HMAC-SM3算法对设备和计算安全层面日志记录进行完整性保护。使用SM4算法对HMAC-SM3密钥进行加密存储，SM4密钥存储在配置文件中；对HMAC-SM3密钥进行杂凑运算，并存储杂凑值，其中，已知杂凑值的长度为32字节，值为0x3b366d29964b5543be7aa7cc064f9eeef9481baaa656c8bd3a88b431a8fb6f6c，以下说法正确的是（）。A、测评人员由此可判定对HMAC-SM3密钥进行杂凑运算的杂凑算法不是SHA-1B、测评人员由此可判定HMAC-SM3密钥管理合规、正确C、测评人员由此可判定对HMAC-SM3进行杂凑运算的杂凑算法可能为SHA-256D、测评人员由此可判定对HMAC-SM3进行杂凑运算的杂凑算法可能为SM3答案：ACD143.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，在某条通信信道上部署SSLVPN设备之后，通常可以满足该条信道在网络和通信安全层面的哪几项安全要求（）。A、通信实体之间的身份鉴别B、通信过程中重要数据的机密性C、业务行为的不可否认性D、通信过程中数据的完整性答案：ABD144.GM/T0103《随机数发生器总体框架》中，随机数发生器后处理算法有很多，其中密码函数后处理方法包括（）等。A、基于分组密码B、基于杂凑函数C、基于公钥密码D、基于m序列答案：ABD145.根据GM/T0046《金融数据密码机检测规范》，金融数据密码机初始化应支持（）。A、未初始化状态指示B、管理员生成C、服务端口配置D、管理端口配置答案：ABCD146.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，使用以下（）措施可安全、合规地满足应用和数据安全中的“重要数据存储完整性”指标的要求。A、使用SM3算法计算杂凑值B、使用SHA-1和RSA-1024算法计算签名值C、使用HMAC-SM3算法计算消息鉴别码D、使用SM3和SM2算法计算签名值答案：CD147.根据GM/T0024《SSLVPN技术规范》，SSLVPN中握手协议族包括哪些（）。A、密码规格变更协议B、报警协议C、握手协议D、加密协议答案：ABC148.根据《信息系统密码应用高风险判定指引》，下列属于密钥管理环节的是（）。A、产生B、撤销C、备份D、恢复答案：ABCD149.在密评中，当证书认证系统作为测评对象时，以下测评实施合理的包括（）。A、对信息系统内部署证书认证系统，测评人员可以参考GM/T0037《证书认证系统检测规范》和GM/T0038《证书认证密钥管理系统检测规范》的要求进行测评B、通过查看数字证书扩展项KeyUsage字段，确定证书类型（签名证书或加密证书），并验证数字证书及其相关私钥是否正确使用C、通过数字证书格式合规性分析，验证生成或使用的证书格式是否符合GM/T0015《基于SM2密码算法的数字证书格式规范》的有关要求D、检查证书认证系统中所使用的密码机等是否具备商用密码产品认证证书答案：ABCD150.在SM4算法的线性变换中，循环左移运算的移位数包括（）A、2B、10C、18D、24答案：ABCD151.GM/T0134《信息系统密码应用测评要求》，在测评应用和数据安全层面“重要数据存储完整性”指标时，获取到下列哪些证据即可判定测评对象不符合该项测评指标要求（）。A、调用服务器密码机采用SM3算法计算重要用户信息杂凑值，并保存在数据库中B、调用服务器密码机采用SM4-GCM对个人敏感信息进行存储机密性和完整性保护C、调用签名验签服务器对重要业务数据进行SM2数字签名，签名值保存在数据库中，未设置签名校验机制D、使用加密数据库系统存储重要业务数据答案：AC152.应急广播消息一般用于发布事关人民群众的生命财产安全的内容，消息发布过程一旦遭到非授权破坏，将会严重扰乱社会秩序。针对应急广播业务场景中应急广播消息的安全需求分析，正确的是（）。A、消息来源真实性B、消息传输机密性C、消息播发行为的不可否认性D、消息传输完整性答案：ACD153.根据《商用密码应用安全性评估报告模板（2023版）》，编制方案密评报告时，以下属于风险替代措施的是（）。A、机房采用人脸+指纹识别的方式对进人人员进行身份鉴别B、通用服务器采用指纹的方式对登录设备用户进行身份鉴别C、业务应用采用人脸识别+短信验证码的方式对登录人员进行身份鉴别D、应用层采用了合规的密码技术对传输数据进行机密性和完整性保护答案：ABC154.以下哪些密码系统的参数应该与密钥一样进行保护（）。A、SM4加密过程中的轮密钥B、密码算法中随机数发生器的内部状态C、椭圆曲线密码体制所使用的域的参数D、SM2密钥交换临时产生的随机数答案：ABD155.根据《政务信息系统密码应用与安全性评估工作指南》（2020版），政务信息系统的安全管理措施包括（）。A、制度B、人员C、实施D、应急答案：ABCD156.在GM/T0062《密码产品随机数检测要求》中，（）需要对随机数进行周期检测。A、B类产品B、C类产品C、D类产品D、E类产品答案：CD157.Kerberos协议使用的凭证有（）。A、口令B、证书C、票据D、鉴别码答案：CD158.下列属于《密码法》禁止的密码违法犯罪行为有（）。A、贾某未经授权访问其用户的密码保障系统B、李某为寻找出轨证据，拦截其女友的加密通信信息C、张某私自加密了室友的毕业论文，并匿名索要解密赎金D、季某为褚某实施的加密勒索行为提供支付结算业务答案：ABCD159.AES算法的步骤有（）。A、字节代替B、行移位C、列混淆D、轮密钥加答案：ABCD160.国务院标准化行政主管部门和国家密码管理部门有权制定商用密码国家标准和行业标准。根据《密码法》《标准化法》，制定标准应当在科学技术研究成果和社会实践经验的基础上，深入调查论证，广泛征求意见，需要实现标准的要求有（）。A、先进性B、科学性C、规范性D、时效性答案：BCD161.以下属于非对称密码体制的有（）。A、ESB、VigenereC、ElGamalD、RSA答案：CD162.依照GM/T0118《浏览器数字证书应用接口规范》的定义，在证书存储区中查找证书时，支持的方式有（）。A、按证书序列号查找证书B、按用户自定义数据查找证书C、可按证书算法类型查找RSA算法证书D、可按证书存储区类型、证书用途、颁发者等标志组合查找答案：ABCD163.下列关于杂凑函数的说法正确的是（）。A、杂凑函数是可逆的B、杂凑函数具有强抗碰撞性C、杂凑函数具有弱抗碰撞性D、杂凑函数是一种具有压缩特性的函数答案：BCD164.按照GM/T0115《信息系统密码应用测评要求》中对测评对象的阐述，以下内容正确的是（）。A、物理和环境安全层面的测评对象仅涉及电子门禁系统B、网络和通信安全层面的测评对象包括内网环境中的设备远程运维通道C、数据库及其管理系统属于设备和计算安全层面的测评对象D、应用和数据安全层面的身份鉴别指标的测评对象是登录应用系统的用户答案：CD165.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于密钥备份和恢复，以下说法正确的是（）。A、对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性B、密钥备份行为是审计涉及的范围,有必要生成审计信息，包括备份的主体、备份的时间等C、密钥恢复可以支持用户密钥恢复和司法密钥恢复D、密钥恢复行为是审计涉及的范围，有必要生成审计信息，包括恢复的主体、恢复的时间等答案：ABCD166.按照《商用密码应用安全性评估报告模板（2023版）》，密评报告不再适用的情况有（）。A、被测信息系统业务发生重大变更B、被评估密码应用方案发生变更C、被测单位名称发生变更D、委托双方合同期满答案：AB167.在GM/T0016《智能密码钥匙密码应用接口规范》中，关于用户PIN说法正确的是A、用户PIN码的解锁需要管理员权限B、用户PIN码具有最大可重试次数C、用户PIN码的修改需要管理员权限D、PIN码长度不少于8个字节答案：AB168.在GM/T0022《IPSecVPN技术规范》中，安全联盟SA由一个三元组唯一标识，该三元组包括（）A、安全参数索引SPIB、源IP地址C、目的IP地址D、安全协议标识符答案：ACD169.GM/T0031《安全电子签章密码技术规范》电子印章数据的结构包括（）。A、印章信息B、签名信息C、签章信息D、原文属性答案：AB170.（）算法不需要消息鉴别码函数作为辅助函数A、SM9数字签名B、SM9密钥交换C、SM9密钥封装D、SM9公钥加密答案：ABC171.根据GM/T0046《金融数据密码机检测规范》，金融数据密码机设备自检应包括（）。A、密码算法正确性检查B、关键部件正确性检测C、存储密钥和数据完整性检查D、随机数发生器检查答案：ABCD172.在《信息系统密码应用高风险判定指引》中，对高风险判定，从（）方面进行了描述。A、指标要求B、适用范围C、安全问题D、可能的缓解措施和风险评价答案：ABCD173.按照人社部《职业分类大典》，以下与密码技术直接相关的职业是（）。A、密码技术应用员B、密码管理员C、密码工程技术人员D、密码分析员答案：AC174.以下（）操作是SM3密码杂凑算法的过程。A、消息填充B、迭代压缩C、链接变量截取D、生成杂凑值答案：ABD175.党的二十大报告指出，强化社会治安整体防控，推进扫黑除恶常态化，依法严惩群众反映强烈的各类违法犯罪活动。发展壮大群防群治力量，营造见义勇为社会氛围，建设（）的社会治理共同体。A、人人参与B、人人有责C、人人尽责D、人人享有答案：BCD176.以下关于SM9算法与SM2算法的描述正确的是（）。A、基于的困难问题略有不同B、SM9的私钥均需要由密钥管理中心生成，用户自己无法产生C、SM2的私钥产生可以不需要密钥管理中心的参与D、SM9使用时不需要数字证书实现实体与公钥的绑定答案：ABCD177.GB/T39786《信息安全技术信息系统密码应用基本要求》中，在应用和数据安全层面，对（）做了完整性保护要求。A、应用的访问控制信息B、应用的重要信息资源安全标记C、所有业务数据D、应用的重要业务数据答案：ABD178.根据GM/T0030-2014《服务器密码机技术规范》，服务器密码机日志的内容包括哪些（）。A、登录认证B、异常事件C、系统配置D、与设备管理中心连接情况答案：ABCD179.下列是密码杂凑算法的是（）。A、MD5B、SHA-1C、SHA-3D、SM3答案：ABCD180.根据《商用密码应用安全性评估报告模板（2023版）》，密码应用方案密评报告“密评活动证明”部分，一般作为活动证明的证明材料包括（）。A、电子邮件B、通话记录C、会议记录D、系统现场测评记录答案：ABC181.根据GM/T0049《密码键盘密码检测规范》，MAC算法检测的步骤包括以下哪些内容（）。A、检测机构将测试数据发送给密码键盘B、密码键盘利用检测机构提供的MAC参数对接收到的数据进行加密运算C、将密码键盘生成的MAC与检测机构的MAC进行比对D、用指定的密钥对测试数据进行解密运算，密码键盘返回运算结果答案：ABC182.以下关于Diffie-Hellman密钥交换协议说法正确的是（）。A、Diffie-Hellman密钥交换协议能提供建立会话密钥的功能B、Diffie-Hellman密钥交换协议不能抵抗中间人攻击C、Diffie-Hellman密钥交换协议不能提供相互认证的安全保障D、iffie-Hellman密钥交换协议运算在有限循环群上答案：ABCD183.党的二十大报告指出，坚持（）一体建设，全面推进科学立法、严格执法、公正司法、全民守法，全面推进国家各方面工作法治化。A、法治国家B、法治政府C、法治社会D、法治人民答案：ABC184.密评人员在测评某三级信息系统时发现，该系统数据加密密钥的管理采用了一台服务器密码机实现，♘该密码机对应的认证证书在测评时已过期（系统方采购密码机时间在认证证书有效期内）。针对这种情形，依据GM/T0115《信息系统密码应用测评要求》，“密钥管理安全性”可能的判定结果有哪些（）。A、符合B、不符合C、不适用D、以上都有可能答案：AB185.在GM/T0058《可信计算TCM服务模块接口规范》中，类与对象的关系中，工作对象可以分为（）A、授权工作对象B、非授权工作对象C、NV存储对象D、迁移数据对象答案：AB186.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，在编制密码应用方案时，要了解的信息管理机制情况有（）。A、管理机构B、人员角色C、管理职责D、现有安全策略答案：ABCD187.线性移位反馈寄存器输出序列的周期与（）有关A、初始状态B、初始状态唯一决定C、结构常数D、反馈函数答案：ACD188.在GM/T0041《智能IC卡密码检测规范》中，密码算法实现正确性检测项中包括哪几项（）。A、分组算法实现正确性测试B、序列算法正确性测试C、杂凑算法实现正确性测试D、非对称密钥密码算法数字签名及签名验证正确性测试答案：ABCD189.某信息系统中部署的密码产品有包括SSLVPN、服务器密码机、智能密码钥匙等，系统通过堡垒机对服务器进行运维，通过防火墙（不含密码功能）对网络进行访问控制，则设备和计算安全层的测评对象包括（）。A、服务器B、服务器密码机C、防火墙（不含密码功能）D、堡垒机答案：ABD190.依据GM/T0115《信息系统密码应用测评要求》，信息系统的应用用户可能包含以下哪些（）A、互联网用户B、单位内部用户C、应用服务器设备管理员D、应用管理员答案：ABD191.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于密钥使用，以下说法正确的是（）。A、每个密钥一般只有单一的用途,明确用途并按用途正确使用是十分必要的B、密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等C、有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性D、密钥生存周期管理的技术实现由密码产品提供，即便密码产品不具有商密产品认证证书，也能保证密钥的安全答案：ABC192.根据《商用密码应用安全性评估量化评估规则（2021版）》，量化评估从（）方面进行。A、密码使用正确性B、密码使用有效性C、密码算法/技术合规性D、密钥管理安全答案：BCD193.我国PKI的部件主要包括（）。A、签发证书的证书机构CAB、登记证书的注册机构RAC、存储和发布证书的电子目录D、密钥管理系统KM答案：ABCD194.用户通过安全浏览器与SSLVPN搭建的SSL通道，与信息系统所属内网的应用服务器进行数据通信，那么从以下（）位置可以抓取到SSL报文。A、用户使用安全浏览器的终端B、SSLVPN内部C、安全浏览器与SSLVPN之间的通信信道D、信息系统所属内网的服务器答案：ABC195.根据GM/T0035.2《射频识别系统密码应用技术要求第2部分：电子标签芯片密码应用技术要求》，下列选项中属于电子标签的密钥管理的是（）。A、密钥注入B、密钥存储C、密钥使用D、密钥导出答案：ABC196.对于符合GM/T0036-2014《采用非接触卡的门禁系统密码应用技术指南》标准的电子门禁系统，在密评时，以下表述正确的是（）。A、需要核实是否采用并正确应用了经检测认证合格的电子门禁系统B、按照密评相关标准，需要门禁系统厂商进一步提供门禁系统进出记录数据存储完整性保护的相关证据C、按照密评相关标准，需要门禁系统厂商进一步提供门禁系统进出记录数据存储机密性保护的相关证据D、门禁卡发卡系统可不纳入测试范围答案：AB197.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于密钥管理，以下说法正确的是（）。A、密钥分发时要注意抗截取、篡改、假冒等攻击，保证密钥的机密性、完整性B、密钥在符合GB/T37092的密码产品中产生是十分必要的，产生的同时可在密码产品中记录密钥关联信息，包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等C、密钥不以明文方式存储在密码产品外部是十分必要的，应采取严格的安全防护措施，防止密钥被非授权的访问或篡改D、公钥可以以明文方式在密码产品外存储、传递和使用，无需采取任何防护措施答案：ABC198.按照《商用密码应用安全性评估报告模板（2023版）》，信息系统密评报告中应包含（）。A、单元测评结果B、整体测评结果C、风险分析D、评估结论答案：ABCD199.GM/T0009《SM2密码算法使用规范》中，在SM2密钥协商过程中,发起方计算共享密钥时的输入数据包括（）。A、自身的公钥B、自身的临时公钥C、自身的私钥D、自身的用户身份标识答案：ABCD200.以下关于密钥的描述，正确的是（）。A、在消息认证码中，发送者和接收者使用共享的密钥来进行认证B、在数字签名中，签名的生成和验证使用不同的密钥C、消息认证码所使用的密钥，是用于认证的密钥D、对称密码和非对称加密的密钥都可以用于机密性保护答案：ABCD201.根据GM/T0115《信息系统密码应用测评要求》，以下属于三级信息系统“设备和计算安全”层面测评指标的是（）。A、安全接入认证B、远程管理通道安全C、重要信息资源安全标记完整性D、日志记录完整性答案：BCD202.某信息系统部署了安全认证网关代理应用系统，用户通过智能密码钥匙访问应用系统，下列哪些属于该访问应用通信信道身份鉴别测评单元的测评方法（）。A、核查安全认证网关的商用密码产品认证证书B、核查智能密码钥匙的商用密码产品认证证书C、通过抓包核查通信过程中的握手协议D、通过抓包核查通信过程中的记录协议答案：ABC203.根据GM/T0028《密码模块安全技术要求》，角色是与用户关联的安全属性，它定义了对密码模块服务的访问权限。关于角色的描述正确的是（）。A、一个角色可以与一个或多个服务相关联B、一个用户只能担任一个角色C、一个角色可以与一个或多个用户相关联D、一个用户可以担任一个或多个角色答案：ACD204.根据GM/T0046《金融数据密码机检测规范》，金融数据密码机应提供日志审计功能，包括（）A、日志记录B、日志查看C、日志导入D、日志导出答案：ABD205.根据GM/T0021《动态口令密码应用技术规范》，动态口令生成方法中，参与运算的动态因子包括的类型有（）。A、时间因子B、事件因子C、挑战因子D、生物特征答案：ABC206.在GM/T0041《智能IC卡密码检测规范》中，应用防火墙测试，下列哪些步骤正确（）。A、外部认证安全状态测试B、PIN认证安全状态测试C、应用锁定状态测试D、文件更新测试答案：ABCD207.根据GB/T39786《信息安全技术信息系统密码应用基本要求》，关于密钥分发，以下说法正确的是（）。A、为了节省密钥资源，一个密钥可以提供给多个不同层面的密码技术措施使用B、每个密钥一般只有单一的用途，明确用途并按用途正确使用是十分必要的C、有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性D、密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等答案：BCD208.以下选项中可纳入业务系统应用和数据安全层面重要数据存储完整性测评单元测评对象的有（）A、用户名和口令B、重要审计数据C、公开网站用户浏览记录D、数据库的应用日志记录答案：ABD209.车联网OTA（在线升级）业务场景中，智能网联汽车首先接入某运营商网络，然后与OTA云平台（云上应用系统）建立网络通信信道，下载OTA升级包到车端以完成软固件升级工作。根据上述所描述的OTA升级场景，依据GM/T0115《信息系统密码应用测评要求》，密评时的关注点有以下哪些（）A、OTA平台与智能网联汽车的网络通信实体鉴别B、OTA升级包从车企到OTA平台的重要数据传输完整性保护C、车端下载的OTA升级包的来源真实性和传输完整性D、智能网联汽车接入运营商网络的安全认证答案：ACD210.（）算法用于SM9密码算法的辅助函数。A、SM1B、SM2C、SM3D、SM4答案：CD211.以下场景利用了密码的不可否认功能的是（）。A、网银用户对交易信息进行签名B、电子证照C、服务端对挑战值进行签名D、SSL协议中对会话计算MAC答案：AB212.我国SM2公钥密码算法包含的3个算法是（）。A、数字签名算法B、密钥封装算法C、密钥交换协议D、公钥加密解密算法答案：ACD213.下列属于公钥的分配方法（）。A、公用目录表B、公钥管理机构C、公钥证书D、秘密传输答案：ABC214.GM/T0028《密码模块安全技术要求》中，常见的错误注入技术包括通过应用短暂的（）技术，导致硬件中的操作行为发生变化的技术。A、电压B、辐射C、激光D、时钟偏移答案：ABCD215.根据我国《数据安全法》，以下属于维护数据的完整性、保密性、可用性的内部风险管理机制的是（）。A、备份B、加密C、访问控制D、渗透测试答案：ABC216.GM/T0037《证书认证系统检测规范》中，证书认证系统产品包括下