商密练习测试题附答案

商密练习测试题附答案单选题（总共40题）1.ECDSA公钥加密算法无法抵抗的攻击有（）。(1分)A、密钥恢复攻击B、唯密文攻击C、选择明文攻击D、量子计算攻击答案：D解析：

暂无解析2.GB/T39786《信息安全技术信息系统密码应用基本要求》中，在网络和通信安全层面的要求不包括（）。(1分)A、保证通信过程中数据的完整性B、重要可执行程序的来源真实性C、保证通信过程中重要数据的机密性D、保证网络边界访问控制信息的完整性答案：B解析：

暂无解析3.下列不属于GM/T0083《密码模块非入侵式攻击缓解技术指南》中的测试内容的是（）。(1分)A、计时分析攻击B、简单能量分析C、差分电磁分析D、缓存攻击分析答案：D解析：

暂无解析4.根据《政务信息系统密码应用与安全性评估工作指南》（2020版），在政务信息系统运行阶段，关于密码应用与安全性评估的要求，错误的是()。(1分)A、在政务信息系统运行阶段，项目使用单位定期委托密评机构对系统开展密评B、网络安全保护等级第三级及以上的政务信息系统，每年至少密评一次C、密评可与关键信息基础设施网络安全审查、网络安全等级测评等工作统筹考虑、协调开展。D、运行后的政务信息系统密评未通过的，项目使用单位按要求对系统进行整改后再次开展密评。答案：C解析：

暂无解析5.《密码法》规定，我国密码管理体制自上而下分为（）级。(1分)A、五B、四C、三D、二答案：B解析：

暂无解析6.根据GM/T0116《信息系统密码应用测评过程指南》，以下不属于分析与报告编制活动的主要任务的是（）。(1分)A、单元测评B、整体测评C、风险分析D、评估结论修正答案：D解析：

暂无解析7.根据GM/T0025-2014《SSLVPN网关产品规范》，SSLVPN网关产品软件升级应具备修复安全漏洞的能力，在升级前应对升级包文件进行()。(1分)A、机密性校验B、病毒扫描C、完整性校验D、功能校验答案：C解析：

暂无解析8.根据GM/T0083《密码模块非入侵式攻击缓解技术指南》，简单侧信道分析和高级侧信道分析的区别是（）。(1分)A、是否使用了统计分析方法B、是否采集了侧信道物理量C、分析对象是否是分组密码算法D、分析对象是否是非对称密码算法答案：A解析：

暂无解析9.在GM/T0018《密码设备应用接口规范》中提供的算法不包括（）。(1分)A、非对称算法B、对称算法C、杂凑算法D、共识算法答案：D解析：

暂无解析10.在GM/T0121《密码卡检测规范》中，密码卡密钥销毁检测要求描述错误的是（）。(1分)A、密码卡内的密钥采用加密方式存储时，应对用于加密存储的密钥提供安全有效的销毁措施B、对密码卡内以密文形式存储的密钥，在需要销毁时应提供安全有效的销毁措施C、对出现在密码卡内密码运算部件中的明文密钥，使用完应及时销毁D、若密码卡采用微电保护措施存储密钥，可不具备销毁密钥的触发装置答案：D解析：

暂无解析11.依据《信息系统密码应用高风险判定指引》，以下不存在缺陷或没有安全问题警示的密码技术是()。(1分)A、SSH1.0B、TLS1.3C、SSL2.0D、SSL3.0答案：B解析：

暂无解析12.根据《密码法》，商用密码认证机构泄露其在商用密码认证中所知悉的商业秘密，由（）会同密码管理部门责令改正或者停止违法行为，给予警告，没收违法所得。(1分)A、国家网信部门B、市场监督管理部门C、国务院商务主管部门D、海关总署答案：B解析：

暂无解析13.SM2算法采用的素域椭圆曲线构成的数学结构是()。(1分)A、交换群B、非交换群C、环D、域答案：A解析：

暂无解析14.政务信息系统中，已经确定的测评对象是互联网国密浏览器与前台应用系统之间的通信信道，则其密码应用场景是（）。(1分)A、用户从互联网使用国密浏览器通过HTTPS协议访问前台应用系统B、用户从政务外网使用国密浏览器通过HTTPS协议访问前台应用系统C、用户从互联网使用非国密浏览器通过HTTPS协议访问前台应用系统D、用户从政务外网使用非国密浏览器通过HTTPS协议访问前台应用系统答案：A解析：

暂无解析15.下列哪条指令不属于在GM/T0017《智能密码钥匙密码应用接口数格式规范》中规定的访问控制指令（）。(1分)A、DevAuth（设备认证）B、VerifyAppSign（验证应用签名）C、VerifyPin（校验PIN）D、UnblockPin（解锁PIN）答案：B解析：

暂无解析16.经核查，某信息系统通过调用服务器密码机，对系统日志记录进行完整性保护，防止日志记录被非法篡改，则建议配置的密码算法为（）。(1分)A、HMAC-MD5B、HMAC-SM3C、HMAC-SHA1D、SM4答案：B解析：

暂无解析17.以下（）算法可以提供密钥封装功能。(1分)A、SM1B、SM3C、SM4D、SM9答案：D解析：

暂无解析18.GM/T0084《密码模块物理攻击缓解技术指南》中通过RFID轮询技术，能够对哪种攻击进行检测()。(1分)A、辐射数据印痕攻击B、物理位置改变或替换C、高电压数据印痕攻击D、时钟毛刺答案：B解析：

暂无解析19.目前公钥密码主要用来进行数字签名，或用于保护传统密码的密钥，而不主要用于数据加密，主要因为（）。(1分)A、公钥密码的私钥太长B、公钥密码的效率比较低C、公钥密码的安全性不好D、公钥密码抗攻击性比较差答案：B解析：

暂无解析20.GM/T0017《智能密码钥匙密码应用接口数格式规范》适用于哪种产品（）。(1分)A、密码卡B、签名验签服务器C、智能密码钥匙D、服务器密码机答案：C解析：

暂无解析21.若一个SM2公钥表示为（x，y），那么该公钥可以压缩为（）。(1分)A、x分量，以及y分量的最高位B、x分量，以及y分量的最低位C、x分量的最高位，以及y分量D、x分量的最低位，以及y分量答案：B解析：

暂无解析22.根据GM/T0033《时间戳接口规范》，时间戳请求消息格式包括（）。(1分)A、请求头、请求体B、响应头、响应体C、请求头、响应头D、请求体、响应体答案：A解析：

暂无解析23.SM9是一种（）算法。(1分)A、序列密码B、分组密码C、公钥密码D、杂凑函数答案：C解析：

暂无解析24.根据《商用密码应用安全性评估量化评估规则（2021版）》，密码应用管理要求各安全层面的量化评估取值可能是（）。(1分)A、{0,0.25,0.5,1}B、{0,0.5,1}C、{0,1}D、[0,1]答案：B解析：

暂无解析25.根据GM/T0049《密码键盘密码检测规范》，PIN正确情况检测中，哪些数据是无需提供的（）。(1分)A、PIN数据块加密密钥B、PIN码C、主账号D、MAC密钥答案：D解析：

暂无解析26.在GM/T0048《智能密码钥匙密码检测规范》中，产品的对称算法性能应满足哪个标准中的要求（）。(1分)A、GM/T0016《智能密码钥匙密码应用接口规范》B、GM/T0017《智能密码钥匙密码应用接口数据格式规范》C、GM/T0027《智能密码钥匙技术规范》D、GM/T0028《密码模块安全技术要求》答案：C解析：

暂无解析27.GM/T0055《电子文件密码应用技术规范》规定对文件和标签内容进行加密时，其加密数据的填充方式遵循（）。(1分)A、PKCS#1B、PKCS#5C、PKCS#7D、以上都可以答案：B解析：

暂无解析28.GM/T0034《基于SM2密码算法的证书认证系统密码及其相关安全技术规范》中，关于密钥库以下说法不正确的是（）。(1分)A、密钥库中的密钥数据应加密存放B、分为备用库、在用库和历史库C、CA申请的密钥从在用库中取出D、历史库存放过期或已被注销的密钥对答案：C解析：

暂无解析29.根据《商用密码应用安全性评估报告模板（2023版）》，某三级信息系统，设备和计算安全层面应用服务器的“身份鉴别”指标为1分，应用和数据安全层面应用用户的“身份鉴别”指标为0分，则应用用户的身份鉴别经应用服务器的身份鉴别弥补后为（）。(1分)A、1分B、0.25分C、0.5分D、0分（无法弥补）答案：D解析：

暂无解析30.根据GM/T0024《SSLVPN技术规范》，SSLVPN协议中，用于生成主密钥是（）。(1分)A、主密钥B、预主密钥C、服务端密钥D、客户端密钥答案：B解析：

暂无解析31.截至2023年6月1日，国家密码管理部门已经发布()期商用密码应用安全性评估试点机构目录。(1分)A、1B、2C、3D、4答案：B解析：

暂无解析32.GM/T0008《安全芯片密码检测准则》中，关于安全芯片固件，以下说法错误的是（）。(1分)A、安全芯片固件可以实现未声明的功能B、安全芯片需要能够正确、有效地实现声明的功能C、安全一级的安全芯片固件可以再次导入D、安全芯片固件导入时应支持导入源的身份鉴别答案：A解析：

暂无解析33.依据GM/T0115《信息系统密码应用测评要求》，现场测评环节，在对应用系统鉴别数据进行应用和数据安全层面“重要数据传输机密性”指标测评时，应用系统采取下列哪项技术措施可判定该测评对象机密性保护措施无效（）。(1分)A、客户端对口令明文进行SHA-256杂凑运算后，将杂凑值传输至后台应用系统，应用系统对杂凑值进行比对B、客户端调用智能密码钥匙，采用SM4算法对口令信息加密后传输C、客户端采用服务端RSA-2048公钥对口令信息加密后传输D、客户端采用AES算法对口令信息加密后传输答案：A解析：

暂无解析34.在GM/T0063《智能密码钥匙应用接口检测规范》中，下列哪项权限不属于权限使用范畴（）。(1分)A、应用权限B、容器权限C、文件权限D、会话密钥权限答案：D解析：

暂无解析35.对输入为448比特的消息，SM3密码杂凑算法生成杂凑值时需要调用（）次压缩函数。(1分)A、1B、2C、3D、4答案：B解析：

暂无解析36.在GM/T0023《IPSecVPN网关产品规范》中，封装安全载荷ESP能提供（）。(1分)A、可用性与完整性B、完整性与机密性C、授权和完整性D、授权和机密性答案：B解析：

暂无解析37.在《PCI密码卡技术规范》中，规定会话密钥长度不低于（）比特。(1分)A、1024B、512C、256D、128答案：D解析：

暂无解析38.GM/T0031-2014《安全电子签章密码技术规范》电子签章中的时间信息字段是（）。(1分)A、印章的制作时间B、印章的有效起始日期C、印章的终止起始日期D、电子签章产生的时间答案：D解析：

暂无解析39.按照《网络安全法》的要求，关键信息基础设施的运营者应当对其网络的安全性和可能存在的风险（）检测评估。(1分)A、每三个月至少一次B、每半年至少进行一次C、每年至少进行一次D、每两年至少一次答案：C解析：

暂无解析40.GB/T38636《信息安全技术传输层密码协议（TLCP）》中规定在校验算法数据处理时，计算校验码使用的算法是（）。(1分)A、非对称密码算法B、分组密码算法C、密码杂凑算法D、序列加密算法答案：C解析：

暂无解析多选题（总共30题）1.SM9密码算法的标识可以有（）。(1分)A、性别B、电子邮箱C、年龄D、手机号码答案：BD解析：

暂无解析2.按照《个人信息保护法》，以下关于加密和匿名化的说法正确的是（）。(1分)A、加密属于匿名化技术的一种B、匿名化处理后的信息不属于个人信息C、加密可以实现绝对的匿名化D、只有通过不能复原的过程才能实现匿名化答案：ABD解析：

暂无解析3.根据《密码法》，关于密码分类的说法正确的是()。(1分)A、密码分为核心密码、普通密码和商用密码B、核心密码、普通密码和商用密码都是采用特定变换的方法对信息等进行加密保护、安全认证C、核心密码和商用密码属于一类D、普通密码和商用密码属于一类答案：AB解析：

暂无解析4.《密码法》规定商用密码进出口监管清单包括()。(1分)A、《商用密码进口许可清单》B、《商用密码出口管制清单》C、《商用密码进口审查清单》D、《商用密码进出口监管目录》答案：AB解析：

暂无解析5.根据《密码法》，关于我国商用密码标准化体系，下列表述正确的是（）。(1分)A、国家标准由国家密码管理局组织制定B、团体标准代号为GMC、行业标准需要报国家标准化管理委员会备案D、企业标准由商业密码企业制定或企业联合制定答案：CD解析：

暂无解析6.根据GM/T0029《签名验签服务器技术规范》，签名验签服务器的日志内容可以为（）。(1分)A、登录认证B、系统配置C、密钥管理D、应用接口的调用答案：ABCD解析：

暂无解析7.截至2017年底，（）没有被ISO/IEC通过为国际标准。(1分)A、SM2数字签名算法B、SM2密钥交换协议C、SM9数字签名算法D、SM9密钥交换协议答案：BD解析：

暂无解析8.根据《商用密码应用安全性评估量化评估规则（2021版）》，下列说法正确的是（）。(1分)A、密码应用技术要求和密码应用管理要求的量化评估方法不相同B、密码应用技术要求中，某个安全层面的某个测评单元的量化评估结果为该测评单元内所有测评对象测评结果的算术平均值C、安全层面的不适用测评指标不参与量化评估过程D、对同一个测评指标，二级信息系统和三级信息的指标权重不一定相同答案：ABCD解析：

暂无解析9.某公有云平台部署了服务器密码机对云平台和云上应用提供数据存储保护，部署了电子签章系统仅供云上应用调用，则在对公有云平台进行密码应用安全性评估时，以下关于测评对象选择正确的是（）。(1分)A、云平台运行所在机房应作为测评对象B、服务器密码机不作为测评对象C、服务器密码机应作为测评对象D、电子签章系统应作为测评对象答案：ACD解析：

暂无解析10.GB/T39786《信息安全技术信息系统密码应用基本要求》规定在网络和通信安全层面“采用密码技术保证网络边界访问控制信息的完整性”，以下属于网络边界访问控制信息的有（）。(1分)A、IPSECVPN网关中的访问控制列表B、边界防火墙的访问控制列表C、边界路由的访问控制列表D、SSLVPN网关中的访问控制列表答案：ABCD解析：

暂无解析11.以下关于SM3密码杂凑算法的描述正确的是()。(1分)A、SM3密码杂凑算法是我国密码行业标准算法B、SM3密码杂凑算法是双管道杂凑函数C、SM3密码杂凑算法是MD结构的杂凑函数D、SM3密码杂凑算法的杂凑值长度和链接变量长度相同答案：ACD解析：

暂无解析12.下列不属于序列密码的是（）。(1分)A、DESB、ZUCC、AESD、ECC答案：ACD解析：

暂无解析13.根据《商用密码应用安全性评估报告模板（2023版）》，方案评估报告在“应急处置”方面，关注重点通常包括（）。(1分)A、密码应用应急处置方案B、应急处置记录类文档C、安全事件发生情况及处置情况报告D、系统相关人员答案：ABCD解析：

暂无解析14.根据《网络安全审查办法》，针对某关键信息基础设施采购商用密码产品的活动，网络安全审查工作机制成员单位、相关部门无法形成是否存在国家安全风险的一致性意见，下列相关表述是正确的是（）。(1分)A、网络安全审查办公室应当作出允许采购的决定B、网络安全审查办公室应当启动特别审查程序处理C、网络安全审查办公室应当再次形成审查结论建议D、再次形成的审查结论建议应当报请中央网络安全和信息化委员会批准答案：BCD解析：

暂无解析15.GB/T39786《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求，这些要求涉及到的对象包括（）。(1分)A、通信的主体（通信双方）B、信息系统与网络边界外建立的网络通信信道C、提供通信保护功能的设备、和产品D、提供通信保护功能的组件答案：ABCD解析：

暂无解析16.根据《密码法》，商用密码标准体系包括()。(1分)A、国家标准B、团体标准C、个人标准D、行业标准答案：ABD解析：

暂无解析17.在GM/T0071《电子文件密码应用指南》中，电子文件的文件内容完整性保护时，验证签名值过程正确的是（）。(1分)A、从安全属性中获取杂凑算法、签名算法标识、签名证书信息和签名值B、调用杂凑算法服务对文件内容计算摘要，将所有摘要按照既定规则进行组装C、调用杂凑算法服务对组装后的数据计算HMACD、调用签名验证服务，使用签名公钥和摘要验证文件内容的签名值答案：ABD解析：

暂无解析18.在GM/T0016《智能密码钥匙密码应用接口规范》中，应用由以下哪些组件构成（）。(1分)A、管理员PINB、用户PINC、文件D、容器答案：ABCD解析：

暂无解析19.根据GM/T0029《签名验签服务器技术规范》，应用实体注册的内容可包括（）。(1分)A、设置应用实体名称B、配置密钥索引号C、导入证书D、设置IP地址答案：ABCD解析：

暂无解析20.根据《密码法》，有关核心密码、普通密码和商用密码说法正确的是（）。(1分)A、核心密码、普通密码用于保护国家秘密信息B、核心密码、普通密码属于国家秘密C、商用密码可以用于在互联网中保护信息D、商用密码用于保护不属于国家秘密的信息答案：ABCD解析：

暂无解析21.根据GM/T0045《金融数据密码机技术规范》，金融数据密码机应提供设备自检功能，设备自检项包括（）。(1分)A、算法正确性检查B、随机数发生器检查C、存储密钥完整性检查D、敏感数据完整性检查答案：ABCD解析：

暂无解析22.根据GM/T0115《信息系统密码应用测评要求》，下列说法正确的是（）。(1分)A、单元测评可以和整体测评同时执行B、每个安全层面的单元测评理论上可以同时执行C、风险分析和评价是在单元测评和整体测评完成后执行的D、测评结论主要由整体测评后的分数得到，风险分析和评价不影响测评结论，只是附加说明系统中的安全问题对应的安全风险程度高低答案：BC解析：

暂无解析23.GM/T0009《SM2密码算法使用规范》中，在SM2密钥协商过程中,发起方计算共享密钥时的输入数据包括（）。(1分)A、自身的公钥B、自身的临时公钥C、自身的私钥D、自身的用户身份标识答案：ABCD解析：

暂无解析24.设备和计算安全层面，如果信息系统通过堡垒机统一运维管理设备，而堡垒机前部署了合规的SSLVPN，以下哪些表述正确（）。(1分)A、VPN解决的是远程管理通道的安全问题B、VPN不能解决堡垒机与其他被运维设备的身份鉴别C、堡垒机与被运维设备的身份鉴别应各自独立进行判定D、未使用密码技术进行身份鉴别的堡垒机可以不作为测评对象答案：ABC解析：

暂无解析25.某机房电子门禁记录数据完整性保护通过服务器密码机的HMAC实现，以下哪些属于电子门禁记录数据存储完整性测评单元的测评方法（）。(1分)A、核查电子门禁系统的商用密码产品认证证书B、核查服务器密码机的商用密码产品认证证书C、核查是否能够修改电子门禁记录D、核查是否能够发现修改电子门禁记录数据答案：BCD解析：

暂无解析26.根据《国家政务信息化项目建设管理办法》，在构建政务信息系统防护体系时，应按要求采用密码技术，并定期开展密码应用安全性评估。整体安全架构要求是（）。(1分)A、全方位B、多层次C、立体化D、一致性答案：ABD解析：

暂无解析27.根据《商用密码应用安全性评估报告模板（2023版）》，密码应用方案密评报告“密评活动证明”部分，一般作为活动证明的证明材料包括（）。(1分)A、电子邮件B、通话记录C、会议记录D、系统现场测评记录答案：ABC解析：

暂无解析28.GM/T0031-2014《安全电子签章密码技术规范》通过使用安全电子签章技术，可以确保文档的()。(1分)A、机密性B、完整性C、来源的真实性D、不可否认性答案：BCD解析：

暂无解析29.证书撤销列表CRL的数据结构中包括（）。(1分)A、tbsCertListB、tbsCertificateC、signatureAlgorithmD、signatureValue答案：ACD解析：

暂无解析30.非对称密码体制可实现数据的（）。(1分)A、机密性B、完整性C、真实性D、不可抵赖性答案：ABCD解析：

暂无解析判断题（总共30题）1.GB/T39786《信息安全技术信息系统密码应用基本要求》规定，所有密码应用等级信息系统均应根据密码应用方案建立相应密钥管理规则。(1分)A、正确B、错误答案：A解析：

暂无解析2.根据GM/T0083《密码模块非入侵式攻击缓解技术指南》，在非入侵式攻击缓解技术中，关键安全参数的分类，包括密钥、鉴别数据（如口令、PINs码、生物鉴别数据）等。(1分)A、正确B、错误答案：A解析：

暂无解析3.依据《信息系统密码应用高风险判定指引》，业务用户登录时，可使用基于动态令牌的身份鉴别方式实现用户身份的鉴别，其中采用DES算法生成动态令牌。(1分)A、正确B、错误答案：B解析：

暂无解析4.在GM/T0017《智能密码钥匙密码应用接口数格式规范》中，命令报文是从密码钥匙发送到接口设备。(1分)A、正确B、错误答案：B解析：

暂无解析5.某信息系统所在机房的视频监控系统是一个密码产品，采集端到服务端采用了密码技术实现了通信数据的机密性和完整性保护，则可判定该机房的视频监控记录数据存储完整性指标为符合或部分符合。(1分)A、正确B、错误答案：B解析：

暂无解析6.根据《商用密码应用安全性评估量化评估规则（2021版）》，密码应用管理要求不针对各个测评对象的测评结果进行量化评估。(1分)A、正确B、错误答案：A解析：

暂无解析7.针对信息系统设备和安全层面“日志记录完整性”,某信息系统有三台操作系统和硬件型号均相同的应用服务器，量化评估后分值分别为0.25、0.5、0.25，根据《商用密码应用安全性评估量化评估规则（2021版）》，则这三台应用服务器作为一个测评对象量化评估分值为0.3333。(1分)A、正确B、错误答案：B解析：

暂无解析8.类似于AES算法的S盒，SM4算法的S盒也是基于有限域逆运算构造。(1分)A、正确B、错误答案：B解析：

暂无解析9.根据《信息系统密码应用高风险判定指引》，若信息系统中使用了存在安全问题的密码产品、密码服务，则可通过采取一定的缓解措施来降低可能的风险。(1分)A、正确B、错误答案：B解析：

暂无解析10.根据《商用密码应用安全性评估报告模板（2023版）》，方案评估报告中给出的评估结论仅对报告所附《XXX系统密码应用方案》的内容有效。(1分)A、正确B、错误答案：A解析：

暂无解析11.根据GM/T0116《信息系统密码应用测评过程指南》，在量化评估任务中，针对测评对象“部分符合”及“不符合”要求的单个测评项，可以通过不同单元的测评对象直接的关联关系，分析这些关联关系产生的作用是否可以“弥补”某一测评项的不足。(1分)A、正确B、错误答案：B解析：

暂无解析12.在公钥密码体制中，使用接收方的公钥加密的消息只能被接收方的私钥解密，而公钥是可以公开的，因此，密钥离线分发的必要性就不存在了。(1分)A、正确B、错误答案：B解析：

暂无解析13.若信息系统编制了密码应用方案，且方案通过评估，方案中明确了不适用的“宜”的指标要求项，密码应用安全性评估人员在测评时，该测评指标一定为“不适用”。(1分)A、正确B、错误答案：B解析：

暂无解析14.根据GM/T0022《IPSecVPN技术规范》，IPSecVPN中，VPN设备的签名密钥对由设备自己生成。(1分)A、正确B、错误答案：A解析：

暂无解析15.根据《密码法》规定，窃取他人加密保护的信息，非法侵入他人的密码保障系统，由有关部门依照《中华人民共和国网络安全法》和其他有关法律、行政法规的规定追究法律责任。(1分)A、正确B、错误答案：A解析：

暂无解析16.在实际应用，RSA的加密过程是直接使用公钥对原始消息直接进行模幂计算。(1分)A、正确B、错误答案：B解析：

暂无解析17.ZUC算法LFSR部分产生的二元序列具有较大周期。(1分)A、正确B、错误答案