商用密码应用安全性评估从业人员考核题库(十七)
国密局给的参考题库5000道只是基础题,后续更新完5000还会继续更其他高质量题库,持续学习,共同进步。
4001
多项选择题 网络和通信安全层面的通信主体一般包括哪些()。
A、浏览器与web服务端
B、APP与后台服务端
C、IPSecVPN与IPSecVPN
D、浏览器与SSL VPN
4002
多项选择题 某信息系统包括前台应用系统和后台管理系统,通过互联网或企业内网使用浏览器访问前台应用系统,则网络和通信安全层面的测评对象有哪些()。
A、互联网浏览器与前台应用系统之间的通信信道
B、互联网浏览器与后台管理系统之间的通信信道
C、企业内网浏览器与前台应用系统之间的通信信道
D、企业内网浏览器与后台管理系统之间的通信信道
4003
多项选择题 某信息系统包括前台应用系统和后台管理系统,通过非国密浏览器或国密浏览器访问前台应用系统,则网络和通信安全层面的测评对象有哪些()。
A、互联网国密浏览器与前台应用系统之间的通信信道
B、互联网国密浏览器与后台管理系统之间的通信信道
C、互联网非国密浏览器与前台应用系统之间的通信信道
D、互联网非国密浏览器与后台管理系统之间的通信信道
4004
多项选择题 某互联网端汽车租赁系统采用B/S架构,通过互联网使用了第三方电子认证服务,则网络和通信安全层面的测评对象有哪些()。
A、互联网浏览器与汽车租赁系统之间的通信信道
B、汽车租赁系统与与第三方电子认证服务相关系统之间的通信信道
C、互联网浏览器与第三方电子认证服务相关系统之间的通信信道
D、以上均是
4005
多项选择题 某办公系统部署了SSL VPN安全网关,并向相关用户配发USBKey,实现对PC端登录系统用户的身份鉴别,在密评时以下选项中属于应用和数据安全层面测评对象的是()。
A、SSL VPN安全网关
B、USBKey
C、PC端浏览器
D、办公系统
4006
多项选择题 某办公系统部署了SSL VPN安全网关,并向相关用户配发USBKey,实现对PC端登录系统用户的身份鉴别,在密评时以下选项中属于网络和通信安全层面测评对象的是()。
A、SSL VPN安全网关
B、USBKey
C、PC端浏览器
D、PC端浏览器与SSL VPN 安全网关之间通信信道
4007
多项选择题 某信息系统的机房和办公区在同一个办公楼且系统和办公区同属于一个网络(办公内网),运维时,可以在办公区通过堡垒机进行设备的运维管理,也可以从互联网和政务外网通过SSL VPN进入办公内网再登录堡垒机运维,则在网络和通信安全层面,以下属于该远程运维管理通道测评对象的是()。
A、从互联网访问SSL VPN的通信信道
B、从政务外网访问SSL VPN的通信信道
C、从办公网访问堡垒机的通信信道
D、堡垒机登录设备运维的通信信道
4008
多项选择题 如果被测系统通过统一身份认证系统进行身份鉴别,统一身份认证系统与被测系统不在同一个机房,则“网络和通信安全”层面的测评对象应该包括()。
A、用户访问被测系统的通信信道
B、用户访问统一身份认证系统的通信信道
C、被测系统与统一身份认证系统之间的通信信道
D、统一身份认证系统本地运维通道
4009
多项选择题 物理和环境安全层面的测评对象为被测信息系统所在的物理机房,具体为()。
A、物理机房的门禁系统
B、物理机房的视频监控系统
C、物理机房的动力环境系统
D、物理机房的巡查记录
4010
多项选择题 GM/T 0115《信息系统密码应用测评要求》中,应用和数据安全层面的测评对象为“业务应用以及重要数据”,实际测评时,以下表述正确的是()。
A、应用和数据安全层面的测评对象应包含关键业务应用,具体参考通过专家评审后的密码应用方案设定的范围确定
B、如无密码应用方 案,应根据网络安全等级保护定级报告描述的范围确定
C、关键业务应用一般情况下应包含被测系统的所有业务应用
D、关键业务应用中的关键数据一般包含但不限于以下数 据:鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型
4011
多项选择题 在针对应用和数据安全层面进行测评时,以下属于该安全层面测评对象的是()。
A、应用系统管理员
B、应用系统
C、密码产品
D、技术文档
4012
多项选择题 以下可能属于应用和数据安全层面不可否认性测评单元测评时需要关注的内容是()。
A、接收到重要邮件的确认操作
B、对重要数据进行签名
C、公文管理系统业务用户公文签发操作
D、某银行网上的取钱或转账操作
4013
多项选择题 以下选项中属于业务系统应用和数据安全层面身份鉴别测评单元测评时需要关注的内容是()。
A、应用系统的业务用户
B、应用系统的系统管理员用户
C、应用系统的未注册用户
D、设备管理员用户
4014
多项选择题 以下可纳入业务系统应用和数据安全层面重要数据存储机密性测评单元测评时需要关注的内容()。
A、用户名和口令
B、重要审计数据
C、公开网站的网站信息
D、数据库的应用日志记录
4015
多项选择题 以下选项中可纳入业务系统应用和数据安全层面重要数据存储完整性测评单元测评对象的有()。
A、用户名和口令
B、重要审计数据
C、公开网站用户浏览记录
D、数据库的应用日志记录
4016
多项选择题 业务应用中的关键数据一般包含但不限于以下数据()。
A、鉴别数据
B、重要审计数据
C、个人敏感信息
D、需备份的密钥
4017
多项选择题 使用密码技术的加解密功能实现机密性,信息系统中保护的对象一般包括()。
A、身份鉴别信息
B、公钥数据
C、传输的重要数据
D、信息系统应用中存储的重要数据
4018
判断题 某信息系统部署在公有云平台上,云平台所在机房未开展过商用密码应用安全性评估,在对该系统开展密评时,密评人员需到云平台所在机房现场进行取证。
A、正确
B、错误
4019
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备一般不作为设备和计算安全层面的测评对象。
A、正确
B、错误
4020
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,对信息系统进行测评时,若存在设备管理通道跨越网络边界的情况,需在网络和通信安全层面梳理相应的远程管理数据传输通道作为测评对象。
A、正确
B、错误
4021
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,对信息系统进行测评时,针对通用服务器,以“具有相同硬件、软件配置的设备”为粒度确定测评对象,即具有相同硬件配置(如生产厂商、型号等)和软件配置(如操作系统版本、中间件等)的服务器作为一个测评对象。
A、正确
B、错误
4022
判断题 若系统未部署SSL VPN,管理员通过互联网直接访问堡垒机对设备进行管理,在设备和计算安全层面“远程管理通道安全”测评单元可将访问堡垒机的信息传输通道作为测评对象。
A、正确
B、错误
4023
判断题 针对通用服务器,以“具有相同硬件、软件配置的设备”为粒度确定测评对象。
A、正确
B、错误
4024
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,某信息系统部署了5台生产厂商为型号为操作系统版本为C的应用服务器,则在密评时需抽选任意2台应用服务器作为设备和计算安全层面的测评对象。
A、正确
B、错误
4025
判断题 管理员在互联网通过SSL VPN接入系统内网,登录堡垒机后采用SSH协议对设备进行远程管理,针对设备和计算安全层面的“远程管理通道安全”测评单元,应将管理员在互联网通过VPN接入系统内网的过程进行测评。
A、正确
B、错误
4026
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,应用和数据安全层面的测评对象为关键业务应用,关键业务应用一般情况下应包含被测系统的所有业务应用。
A、正确
B、错误
4027
判断题 某信息系统中通过堡垒机对设备进行远程运维,则设备和计算安全层的远程管理通信安全的测评对象不包括堡垒机。
A、正确
B、错误
4028
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,某三级信息系统部署了经检测认证合格的服务器密码机(密码模块为二级),则密评时针对设备和计算安全层面“系统资源访问控制信息完整性”指标要求,该服务器密码机可直接判定为符合。
A、正确
B、错误
4029
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,可根据网络类型来确定网络和通信安全层面的测评对象。
A、正确
B、错误
4030
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,网络和通信安全层面的测评对象的选择,只需区分系统所属的网络环境是内网还是外网即可确定测评对象。
A、正确
B、错误
4031
判断题 若信息系统在网络边界未部署SSL VPN,管理员通过互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面“通信数据完整性”测评单元应将访问堡垒机的信息传输通道作为测评对象。
A、正确
B、错误
4032
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,网络和通信安全层面的测评对象主要是跨网络访问的通信信道。
A、正确
B、错误
4033
判断题 某等保四级办公系统为独立的内网系统,且不允许跨网络边界进行远程运维,则整个网络和通信安全层面一定作为不适用处理。
A、正确
B、错误
4034
判断题 某信息系统部署在公有云平台的独立VPC内,通过云平台的堡垒机对设备进行远程管理,应将堡垒机与设备之间的远程管理通道作为网络和通信安全层面的测评对象。
A、正确
B、错误
4035
判断题 如果被测信息系统所在的物理机房采用多区域部署时,密评人员在测评时只需到个别机房进行现场取证。
A、正确
B、错误
4036
判断题 如果被测信息系统部署在被测单位管辖范围之外,物理和环境安全层面的测评指标通常为适用。
A、正确
B、错误
4037
判断题 如果被测信息系统所在的IDC机房通过了密评,则可以复用密评报告中“物理和环境安全”层面的相关测评结论。
A、正确
B、错误
4038
判断题 某三级信息系统部署在公有云平台上,由云服务提供商负责机房环境管理,在对该系统开展密评时,物理和环境安全层面一定作为不适用处理。
A、正确
B、错误
4039
判断题 某三级信息系统部署在办公大楼的机房里,机房和办公大楼都部署有电子门禁系统,则仅需将机房的电子门禁系统纳入测评范围。
A、正确
B、错误
4040
判断题 某三级信息系统部署在办公大楼的机房里,机房和办公大楼都部署有视频监控系统,则办公大楼和机房的视频监控系统一定纳入测评。
A、正确
B、错误
4041
判断题 如果被测信息系统所在的IDC机房、运营商机房或云服务提供商机房等未开展密评,测评时,密评人员也需现场取证,对其进行测评。
A、正确
B、错误
4042
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,在对云平台进行密评时,云平台密码资源池的密码管理平台通常作为应用和数据安全层面的测评对象。
A、正确
B、错误
4043
判断题 《商用密码应用安全性评估FAQ( 第二版)》中,关于云平台测评提及的被部分评估的支撑能力,指的是云平台提供的某些支撑服务,这些支撑服务仅用于云上应用而不用于云平台,或者将服务于云平台和云上应用的不同测评对象。
A、正确
B、错误
4044
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,云平台运行所在的机房同时支撑了云平台和云上应用在物理和环境安全层面的密码应用安全,将在云平台密码应用安全性评估时被“完全评估”。
A、正确
B、错误
4045
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,被“完全评估”表明该支撑能力有明确的测评结果(包括量化评估、风险评价等)
A、正确
B、错误
4046
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,如果云平台的电子签章系统仅用于支撑了云上应用进行合同签署,实现抗抵赖保护,而不用于云平台本身,则电子签章服务属于被部分评估的支撑能力。
A、正确
B、错误
4047
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,云服务器密码机在进行数据存储保护时,面向的是云平台和云上应用的不同数据。
此时,该支撑能力在云平台测评时进行“完全评估”。
A、正确
B、错误
4048
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,云上应用密评时,只关注应用本身在各个安全层面的密码应用情况。
A、正确
B、错误
4049
判断题 某一信息系统通过统一身份认证系统进行身份鉴别,统一身份认证系统未开展密评,则该信息系统测评时应把统一身份认证系统纳入测评范围。
A、正确
B、错误
4050
单项选择题 根据()测评指标的要求,测评实施时,需要查看信息系统责任单位是否制定了管理制度发布的相关要求。
A、应明确相关管理制度的发布流程
B、制度执行过程应留存相关执行记录
C、定期对存在不足或需要改进的安全管理制度进行修订
D、应制定密码安全管理制度及操作规范
4051
单项选择题 在第四级信息系统的安全管理测评中,需要对密钥管理员、密码产品操作人员实施必要的审查,具体是指()。
A、在人员录用时对录用人员执业资质、社会关系等进行审查
B、在人员录用时对录用人员家庭背景、犯罪记录和亲属等进行审查
C、在人员录用时对录用人员政治面貌、亲属关系等进行审查
D、在人员录用时对录用人员身份、背景、专业资格和资质等进行审查
4052
单项选择题 某三级信息系统只能在机房通过堡垒机对服务器进行运维管理,则设备和计算安全层面堡垒机、服务器关于“远程管理通道安全”测评指标的适用性分别为( )。
A、不适用,不适用
B、不适用,适用
C、适用,不适用
D、适用,适用
4053
单项选择题 某二级信息系统责任单位认为,该系统某条通信信道的通信机密性和通信完整性难以通过密码技术实现,并在密码应用方案中明确说明了该两个指标作为不适用项,则密码应用方案编制时()。
A、明确说明通信机密性和机密性的不适用情况和原因,并对两个指标采用相应的风险控制措施
B、明确说明通信机密性和机密性的不适用情况和原因,并对通信机密性指标采用相应的风险控制措施
C、明确说明通信机密性和机密性的不适用情况和原因性,并对通信完整性指标采用相应的风险控制措施
D、明确说明通信机密性和机密性的不适用情况和原因,两个指标都无需采用风险控制措施
4054
单项选择题 某二级信息系统责任单位认为,该系统某条通信信道的通信机密性和通信完整性无需实现,并在密码应用方案明确说明了该指标的不适用性,则以下表述更为合理的是()。
A、密评人员在测评 时,可考虑把两个指标不纳入测评范围,但通信信道的通信机密性需核实风险控制措施的适用条件
B、密评人员在测评 时,可考虑把两个指标不纳入测评范围,但通信信道的通信完整性需核实风险控制措施的适用条件
C、密评人员在测评 时,可考虑把两个指标不纳入测评范围,两个指标都要核实风险控制措施的适用条件
D、密评人员在测评 时,可考虑把两个指标直接不纳入测评范围
4055
单项选择题 某三级信息系统责任单位认为该系统在“网络和通信安全”层面无安全接入认证需求,并在密码应用方案明确说明了该指标的不适用原因,则()。
A、密评人员在测评 时,可考虑把该指标直接不纳入测评范围
B、密评人员在测评 时,可考虑把该指标不纳入测评范 围,但需核实风险控制措施的适用条件
C、密评人员在测评 时,可不考虑密码应用方案,直接把该指标纳入测评范围,并判为不符合
D、密评人员在测评 时,可不考虑密码应用方案,直接把该指标纳入测评范围,并根据实际情况测评
4056
单项选择题 某二级信息系统责任单位不计划把电子门禁记录数据存储完整性指标纳入测评范围,则应在设计密码应用方案时()。
A、不需要明确说明电子门禁记录数据存储完整性指标的不适用性
B、需要明确说明电子门禁记录数据存储完整性指标的不适用性,但不需要采取风险控制措施
C、需要明确说明电子门禁记录数据存储完整性指标的不适用性,并且需要采取风险控制措施
D、无法作为不适用项
4057
单项选择题 某二级信息系统责任单位不计划把视频监控记录数据存储完整性指标纳入测评范围,在设计密码应用方案时()。
A、不需要明确说明视频监控记录数据存储完整性指标的不适用性
B、需要明确说明视频监控记录数据存储完整性指标的不适用性,但不需要采取风险控制措施
C、需要明确说明视频监控记录数据存储完整性指标的不适用性,并且需要采取风险控制措施
D、视频监控记录数据存储完整性指标无法作为不适用项
4058
多项选择题 以下哪几项是存在缺陷或有安全问题警示的密码技术()。
A、SSH 1.0
B、SSL 2.0
C、TLS 1.3
D、SSL 3.0
4059
多项选择题 设备和计算安全层面,如果信息系统通过堡垒机统一运维管理设备,而堡垒机前部署了合规的 SSL VPN,以下哪些表述正确()。
A、VPN 解决的是远程管理通道的安全问题
B、VPN不能解决堡垒机与其他被运维设备的身份鉴别
C、堡垒机与被运维设备的身份鉴别应各自独立进行判定
D、未使用密码技术进行身份鉴别的堡垒机可以不作为测评对象
4060
多项选择题 管理员在本地进行应用服务器登录运维,且应用服务器部署在相对安全的机房内部,在设备和计算安全层面,哪些测评指标应作为适用项()。
A、身份鉴别
B、远程管理通道安全
C、系统资源访问控制信息完整性
D、日志记录完整性
4061
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,系统2019年12月27日投入运行, 首次测评时,建设运行方面“投入运行前进行密码应用安全性评估”测评项可判定为不适用。
A、正确
B、错误
4062
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,系统2019年12月27日投入运行,首次测评不通过,改造后在对信息系统进行复评时,建设运行方面“投入运行前进行密码应用安全性评估”测评项可判定不适用。
A、正确
B、错误
4063
判断题 某三级信息系统进行密评时,经访谈运维人员后得知,本系统从未发生安全事件,但有应急处置相关管理制度。
因此,应急处置方面的向有关主管部门上报处置情况指标为不适用。
A、正确
B、错误
4064
判断题 在对设备和计算安全层面“身份鉴别”测评指标进行测评时,若运维管理员均未采用密码技术对登录设备的用户进行身份鉴别,则该测评对象的测评结果为不符合。
A、正确
B、错误
4065
判断题 管理员在本地进行应用服务器登录运维,且应用服务器部署在屏蔽机房内,经核查发现应用服务器关闭了远程运维接口,则针对应用服务器的“远程管理通道安全”测评指标可作为不适用项。
A、正确
B、错误
4066
判断题 经测评发现,某信息系统中所有设备设置不涉及重要信息资源安全标记,测评人员则对设备和计算安全层面的重要信息资源安全标记完整性测评单元判定结果为不符合。
A、正确
B、错误
4067
判断题 在对应用用户的应用和数据安全层面“身份鉴别”测评指标进行测评时,若实现用户身份真实性所采用的密码使用不正确或无效,则该测评对象的测评结果为不符合。
A、正确
B、错误
4068
单项选择题 某信息系统于2018年投入运行,该系统首次密码应用安全性评估时在建设运行层面“投入运行前进行密码应用安全性评估”测评项应如何判定()。
A、判定“不符合”
B、判定“符合”
C、判定“不适用”
D、判定“部分符合”
4069
单项选择题 某信息系统于2022年投入运行,该系统首次密码应用安全性评估时在建设运行层面“投入运行前进行密码应用安全性评估”测评项应如何判定()。
A、判定“不符合”
B、判定“符合”
C、判定“不适用”
D、判定“部分符合”
4070
单项选择题 某信息系统于2021年投入运行,同年开展了商用密码应用安全性评估,则再次开展密码应用安全性评估时在建设运行层面“投入运行前进行密码应用安全性评估”测评项应如何判定()。
A、判定“不符合”
B、判定“符合”
C、判定“不适用”
D、判定“部分符合”
4071
单项选择题 以下哪些密码产品适用于GM/T0028《密码模块安全技术要求》()。
A、服务器密码机
B、安全芯片
C、CA/KM系统
D、电子签章系统
4072
单项选择题 对通过工具测试抓取的数据进行分析,下列哪些说法是不正确的( )。
A、对密文应进行随机性检测
B、查看关键字段是否以明文出现
C、验证杂凑值和签名值是否正确
D、对密文进行解密,验证加密算法的合规性、正确性
4073
单项选择题 经核查,某信息系统通过调用服务器密码机,对系统日志记录进行完整性保护,防止日志记录被非法篡改,则建议配置的密码算法为()。
A、HMAC-MD5
B、HMAC-SM3
C、HMAC-SHA1
D、SM4
4074
单项选择题 某信息系统部署了1 台经检测认证合格的SSL VPN, 则在设备和计算安全层面, 关于该SSL VPN,哪些指标不能直接判定为符合()。
A、身份鉴别
B、系统资源访问控制信息完整性
C、日志记录完整性
D、重要可执行程序完整性
4075
单项选择题 某三级信息系统部署了经检测认证合格的安全认证网关(密码模块二级)实现网络通信传输保护,但该系统客户端浏览器仅支持国外密码算法,则针对网络和通信安全层面的通信过程的机密性和网络边界访问控制信息完整性两个指标的判定为()。
A、都为部分符合
B、前者为部分符合,后者为符合
C、前者为符合,后者为部分符合
D、前者为部分符合,后者为不符合
4076
单项选择题 某电商平台收集了用户的姓名、手机号、地址等信息,需要对这些信息进行存储完整性保护,则应采取的密码技术为()。
A、SM3
B、HMAC-SM3
C、MD5
D、SM4
4077
单项选择题 某信息系统需要采用密码技术实现数据原发行为和接收行为的不可否认性,则应采取的密码技术为()。
A、SM3
B、AES
C、SM4
D、SM2签名算法
4078
单项选择题 某信息系统部署了1台经检测认证合格的SSL VPN安全网关,管理员在互联网通过该SSL VPN安全网关接入系统,经抓包分析发现,使用的密码算法套件为ECC_SM4_SM3,则应用和数据安全层面“重要数据传输机密性”测评单元应判定为()。
A、符合
B、部分符合
C、不符合
D、不适用
4079
单项选择题 某三级信息系统部署在云平台上,则承载该信息系统的云平台的安全保护等级不低于第()级。
A、一
B、二
C、三
D、四
4080
单项选择题 对于数据库中的重要业务数据存储完整性保护,使用SM3算法进行保护,判定为()。
A、符合
B、部分符合
C、不符合
D、采取了风险缓解措施
4081
单项选择题 信息系统用户登录口令通过加盐的杂凑算法运算后存储在数据库中,系统本身不存储原始口令,则该系统对口令存储实现了()保护。
A、真实性
B、机密性
C、完整性
D、不可否认性
4082
单项选择题 在密评实施过程中,发现用户虽然使用HMAC- SM3对口令数据进行完整性保护,且采用认证合格的智能密码钥匙生成MAC,但是只截取使用了 MAC值的前8个比特,那么对应用和数据安全层面的“重要数据存储完整性保护”指标判定时,以下DAK判定最为合理的是()。
A、√√√
B、√××
C、√√×
D、×√√
4083
单项选择题 在密评实施过程中,发现系统对口令进行了SM3杂凑计算对其传输和存储进行了保护,且采用认证合格的智能密码钥匙生成MAC,那么对应用和数据安全层面的“身份鉴别”指标判定时, 以下 DAK判定最为合理的是()。
A、√√√
B、√××
C、√√×
D、×√√
4084
单项选择题 信息系统使用的密码算法如果不是以国家标准或行业标准发布的,在测评时首先应核验()。
A、是否取得国家密码管理部门同意其使用的证明文件
B、密码算法安全性审查文件
C、密码算法正确性验证报告
D、密码算法性能测试报告
4085
单项选择题 某信息系统的网络安全保护等级为S3A2,则对该信息系统进行密评时,则应从GB/T 39786《信息安全技术 信息系统密码应用基本要求》中选择第()级指标要求作为测评指标。
A、一
B、二
C、三
D、四
4086
单项选择题 在对某地级市门户网站系统进行密码应用安全性评估时,发现该系统未完成网络安全等级保护定级备案,则通常应按照GB/T 39786第几级密码应用基本要求进行测评()。
A、一
B、二
C、三
D、四
4087
多项选择题 以下关于密评中针对服务器密码机的测评方法描述,合理的是()。
A、利用Wireshark,抓取应用系统调用密码机的指令报文,验证调用频率是否正常
B、利用Wireshark,抓取应用系统调用密码机的指令报文,验证调用指令是否正确
C、管理员登录密码机查看相关配置,检查内部存储的密钥是否对应合规的密码算法
D、管理员登录密码机查看相关日志文 件,根据与密钥管理、密码计算相关的日志记录,检查是否使用合规的密码算法
4088
多项选择题 以下哪些密码产品不适用于GM/T 0028《密码模块安全技术要求》()。
A、服务器密码机
B、安全芯片
C、CA/KM系统
D、电子签章系统
4089
多项选择题 某三级信息系统部署了1台商用密码产品认证证书编号均为GMxxx的SSL VPN,则针对“密码产品合规性”测评内容主要包括()。
A、核查该密码产品型号、版本等信息是否与证书一致
B、核查该密码产品的使用是否满足其安全运行的条件
C、核查该密码产品的密码模块安全等级是否满足要求
D、核查密码产品是否对登录用户进行身份鉴别
4090
多项选择题 以下选项属于设备和计算安全层面访问控制信息的是()。
A、操作系统权限的访问控制信息
B、系统文件目录的访问控制信息
C、防火墙(不含密码功能)的访问控制列表
D、堡垒机中的权限访问控制信息
4091
多项选择题 对于设备和计算安全层面“重要信息资源安全标记完整性”,测评单位在测评实施时主要实施以下哪些内容()。
A、查看技术文档中重要信息资源安全标记完整性保护所采用的密码技术及实现机制
B、核验并验证系统中重要信息资源安全标记完整性保护的正确性
C、核验系统中重要信息资源安全标记完整性保护的有效性
D、核查重要信息资源安全标记完整性保护使用的密码算法是否符合密码相关国家标准和行业标准
4092
多项选择题 某三级信息系统中使用动态令牌系统实现管理员登录堡垒机的身份鉴别,则关于设备和计算安全层面堡垒机身份鉴别的测评方法包括()。
A、核查动态令牌系统是否为经检测认证合格的商用密码产品
B、核查动态令牌系统配置(算法、协议等)是否正确
C、核查堡垒机使用动态令牌实现身份鉴别所使用的密码算法的合规性
D、核查动态令牌密码模块安全等级是否为二级
4093
多项选择题 在网络和通信安全层面,访问控制信息可能包括以下选项中的()。
A、VPN设备中的访问控制列表
B、堡垒机中的访问控制列表
C、防火墙的访问控制列表
D、边界路由的访问控制列表
4094
多项选择题 在设备和计算安全层面,访问控制信息主要包括( )。
A、操作系统权限的访问控制信息
B、系统文件目录的访问控制信息
C、数据库中的数据访问控制信息
D、堡垒机中的权限访问控制信息
4095
多项选择题 经核查,某信息系统PC端安全浏览器与SSL VPN安全网关之间使用了合规的SSL协议,安全浏览器和SSL VPN安全网关均具有有效期内的认证证书,且密码模块等级符合要求,在网络和通信安全层面哪些测评单元可以判定为符合()。
A、身份鉴别
B、通信数据完整性
C、通信过程中重要数据的机密性
D、安全接入认证
4096
多项选择题 某信息系统部署了安全认证网关代理应用系统,用户通过智能密码钥匙访问应用系统,下列哪些属于该访问应用通信信道身份鉴别测评单元的测评方法()。
A、核查安全认证网关的商用密码产品认证证书
B、核查智能密码钥匙的商用密码产品认证证书
C、通过抓包核查通信过程中的握手协议
D、通过抓包核查通信过程中的记录协议
4097
多项选择题 某网站用户需要通过浏览器采用HTTPS协议进行访问,下列哪些属于该访问网站通信信道身份鉴别测评单元可能涉及到的测评内容()。
A、核查服务端是否采用了合规的商用密码产品
B、核查网站站点证书的证书链
C、通过抓包分析其通信协议中对服务端的身份鉴别方法
D、核查通信协议中数据传输加密使用的算法
4098
多项选择题 某信息系统部署了SSL VPN对设备运维进行保护,系统也部署了防火墙进行网络访问控制,则该运维通信信道的网络边界访问控制信息测评单元的测评方法包括()。
A、核查SSL VPN的商用密码产品认证证书
B、如果SSL VPN合规,则无需核查网络边界访问控制信息完整性的密码实现技术
C、如果SSL VPN不合规,则需核查网络边界访问控制信息完整性的密码实现技术
D、核查防火墙的商用密码产品认证证书
4099
多项选择题 某单位数据中心机房出入口安装了电子门禁系统,则针对“电子门禁记录数据存储完整性”测评单元,主要测评内容包括()。
A、核查是否采用了经检测认证的电子门禁系统
B、核查是否正确使用经检测认证的电子门禁系统
C、核查门禁系统厂商提供的门禁系统进出记录数据存储完整性保护的相关证据
D、验证完整性保护机制是否正确和有效
4100
多项选择题 某信息系统所在机房部署了电子门禁系统进行物理访问身份鉴别,经核查发现电子门禁系统基于指纹对人员进行身份鉴别,则物理和环境安全层面“身份鉴别”测评单元如何判定,风险等级如何变化()。
A、符合
B、不符合
C、风险等级降低
D、风险等级不变
4101
多项选择题 某机房部署了电子门禁系统,以下哪些属于电子门禁系统身份鉴别测评单元的测评方法()。
A、查看发卡时密钥分散的密码算法
B、核查电子门禁系统的商用密码产品认证证书
C、核查门禁卡的管理制度
D、核查是否有机房进出登记记录
4102
多项选择题 某机房电子门禁记录数据完整性保护通过服务器密码机的HMAC实现,以下哪些属于电子门禁记录数据存储完整性测评单元的测评方法()。
A、核查电子门禁系统的商用密码产品认证证书
B、核查服务器密码机的商用密码产品认证证书
C、核查是否能够修改电子门禁记录
D、核查是否能够发现修改电子门禁记录数据
4103
多项选择题 某机房部署了视频监控系统,数据影像记录存储在加密存储系统中,以下哪些不属于视频监控记录数据存储完整性测评单元的测评方法()。
A、核查视频监控系统的商用密码产品认证证书
B、核查加密存储系统的商用密码产品认证证书
C、核查视频监控系统视频传输的密码实现
D、核查摄像头终端的视频传输密码实现
4104
多项选择题 某电商平台收集了用户的姓名、手机号、地址等信息,需要对这些信息进行存储完整性保护,可采用的完整性保护机制包括()。
A、SM3
B、HMAC-SM3
C、HMAC-SM4
D、SM2签名算法
4105
多项选择题 某信息系统采用动态口令机制对登录用户进行身份鉴别,针对应用和数据安全层面“身份鉴别”测评单元,应核查的内容包括()。
A、核查密码算法合规性
B、核查密码技术合规性
C、核查密码产品合规性
D、核查动态口令机制是否正确和有效
4106
多项选择题 某信息系统拟采用密码技术对登录用户进行身份鉴别,可以使用的密码技术包括()。
A、采用动态口令机制
B、基于对称密码算法的消息鉴别码机制
C、基于密码杂凑算法的消息鉴别码机制
D、基于公钥密码算法的数字签名机制
4107
多项选择题 某信息系统拟采用密码技术对保证应用的访问控制信息的完整性,可以使用的密码技术包括()。
A、采用动态口令机制
B、基于对称密码算法的消息鉴别码机制
C、基于密码杂凑算法的消息鉴别码机制
D、基于公钥密码算法的数字签名机制
4108
多项选择题 某云平台部署了服务器密码机对云平台和云上应用提供数据存储保护,部署了电子签章系统供云上应用调用,该云平台未通过密码应用安全性评估,则针对云上应用进行密码应用安全性评估时,以下描述合理的是()。
A、云平台运行所在机房应作为测评对象
B、云平台运行所在机房不作为测评对象
C、服务器密码机应作为测评对象
D、电子签章系统应作为测评对象
4109
多项选择题 某公有云平台部署了服务器密码机对云平台和云上应用提供数据存储保护,部署了电子签章系统仅供云上应用调用,则在对公有云平台进行密码应用安全性评估时,以下关于测评对象选择正确的是()。
A、云平台运行所在机房应作为测评对象
B、服务器密码机不作为测评对象
C、服务器密码机应作为测评对象
D、电子签章系统应作为测评对象
4110
多项选择题 某云平台部署了服务器密码机,同时面向云平台和云上应用提供数据存储保护,且云平台已经通过了密码应用安全性评估,在对云上应用进行密码应用安全性评估时,以下描述正确的是()。
A、服务器密码机不作为测评对象
B、服务器密码机应作为测评对象
C、直接引用云平台的服务器密码机测评结果
D、服务器密码机应结合业务应用一起测评
4111
多项选择题 信息系统通过调用合规的云服务器密码机对重要数据使用SM4-GCM进行保护,以下关于测评工作的描述,正确的是()。
A、需要核查是否实现重要数据的机密性保护
B、需要核查是否实现重要数据的完整性保护
C、需要核查云服务器密码机的商用密码产品认证证书
D、由于云服务器密码机由运营商负责,因此无需核查其合规性
4112
多项选择题 对于更换商用密码产品认证证书的密码产品,如果未标注密码模块安全等级,以下描述正确的是()。
A、需要进一步提供换证前的商用密码产品型号证书
B、需要确认换证前的商用密码产品型号证书的安全等级是否符合要求
C、未提供安全等级证明的按照“密码产品符合一级密码模块”进行判定
D、提供密码产品的密钥管理方案,证明其符合安全要求,并按 “密码产品等级符合”判定
4113
多项选择题 密码产品核查是测评过程的重点,测评时需要核查以下哪些方面()。
A、确认所有实现的密码算法、密码协议是否获得了商密检测机构出具的合格检测报告或密码产品是否获得了商用密码产品认证证书
B、评估密码产品是否被正确、有效使用
C、已经检测认证合格的产品,是否使用了未经认可的密码算法或协议
D、密码产品是否被错误使用、配置,甚至被旁路
4114
多项选择题 以下针对云平台开展测评工作的描述,表述合理的是()。
A、云平台测评与一般信息系统涉及的测评指标基本一致
B、应关注云平台自身的密码应用以及对云租户提供的密码服务
C、对于云平台自身而言,要分别对云平台支持的每类服务模式(IaaS、PaaS、 SaaS)进行密码应用测评
D、应关注对云租户提供的密码服务都有哪些,每台密码设备服务的边界
4115
多项选择题 某信息系统在密码应用方案中明确了需要对注册用户的手机号进行机密性保护,可以采用的密码算法包括()。
A、DES
B、SM2
C、SM3
D、SM4
4116
多项选择题 判断B用户拥有的数字证书是否是CA机构A签发的,需要执行的操作是()。
A、查看B用户证书中颁发者信息和颁发者密钥标识符是否与A机构CA证书中的主体名称信息和主体密钥标识符一致
B、查看B用户证书中主体名称信息和主体密钥标识符是否与A机构CA证书中的主体名称信息和主体密钥标识符一致
C、使用A机构CA证书的公钥,验证B用户证书的签名值是否正确
D、查看B用户证书中主体名称信息和A机构 CA证书的颁发者信息是否一致
4117
判断题 对2020年1月1日以后建设运行的信息系统,由于在系统规划时未制定密码应用方案,因此在密评时“制定密码应用方案”测评指标可判定为“不适用 ”。
A、正确
B、错误
4118
判断题 某三级信息系统部署了1台经检测认证合格的SSL VPN,经核查其产品认证证书,发现证书未标注密码模块安全等级(非换证密码产品), 则该 SSL VPN应按“密码产品符合一级密码模块”进行判定。
A、正确
B、错误
4119
判断题 经核查,某三级信息系统通过调用经检测认证合格的服务器密码机( 密码模块二级), 使用 HMAC-SM3对应用日志记录进行存储完整性保护,则应用和数据安全层面针对日志记录完整性保护可判定为符合。
A、正确
B、错误
4120
判断题 在进行密评时,如果信息系统网络安全等级保护定级为四级,但密码应用方案按照信息系统密码应用等级三级进行评审,则可按照信息系统密码应用安全等级三级进行测评。
A、正确
B、错误
4121
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,某三级信息系统部署了1台经检测认证合格的SSL VPN(密码模块二级),则在设备和计算安全层面,针对该SSL VPN的“身份鉴别”测评指标可直接判定为符合。
A、正确
B、错误
4122
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,某三级信息系统部署了1台经检测认证合格的SSL VPN(二级密码模块),则在设备和计算安全层面,针对该SSL VPN的“系统资源访问控制信息完整性”“日志记录完整性”测评指标可直接判定为符合。
A、正确
B、错误
4123
判断题 某信息系统使用堡垒机对设备进行统一管理,堡垒机使用了合规的智能密码钥匙实现身份鉴别,则针对统一管理的所有设备的“身份鉴别”指标即可判定为“符合”。
A、正确
B、错误
4124
判断题 某信息系统所在机房部署了电子门禁系统进行人员进入机房时的身份鉴别,经核查发现电子门禁系统基于指纹对人员进行身份鉴别,则物理和环境安全层面“身份鉴别”测评单元可判定为符合。
A、正确
B、错误
4125
判断题 某机房的电子门禁系统通过MIFARE卡进行身份鉴别,则该电子门禁系统的身份鉴别通常判定为符合。
A、正确
B、错误
4126
判断题 某机房的电子门禁系统通过ID卡进行身份鉴别,则该电子门禁系统的身份鉴别通常判定为部分符合。
A、正确
B、错误
4127
判断题 某机房的电子门禁系统通过指纹进行身份鉴别,则该电子门禁系统的身份鉴别通常应判定为不符合。
A、正确
B、错误
4128
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,云平台通过密评(即密评结论为“符合”或 “基本符合”),但是当云平台自身密码应用安全等级低于云上应用时,在对云上应用测评时,云平台的“云平台支撑能力说明”不再有效,仍需要对云平台相关的密码应用进行重新测评。
A、正确
B、错误
4129
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,云平台未通过密评(未开展密评,或密评结论为“不符合”)时,在对云上应用测评时,仍需要对云平台相关的密码应用进行(重新)测评。
A、正确
B、错误
4130
判断题 某信息系统使用SM3算法对数据库中的重要数据存储进行完整性保护,则“重要数据存储完整性”的测评单元判定为符合。
A、正确
B、错误
4131
判断题 某信息系统采用动态口令机制对登录应用用户进行身份鉴别,则在应用和数据安全层面“身份鉴别 ”测评单元的判定结果一定为“符合”。
A、正确
B、错误
4132
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,通常来说,云上应用系统所处的云平台通过密评后,云上应用系统才能通过密评。
A、正确
B、错误
4133
判断题 某信息系统部署在公有云平台上,该公有云平台已经通过了密评,且该公有云安全等级不低于云上应用,则在对该云上信息系统进行密评时,物理和环境安全层面可作为不适用。
A、正确
B、错误
4134
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,仅为云上应用提供云密码支撑服务的密码资源池的测评不影响云平台最终测评结论。
A、正确
B、错误
4135
判断题 如果云平台未通过密评,则对云上应用测评时,应涉及为云上应用提供密码运算的云服务器密码机实体机的密评。
A、正确
B、错误
4136
判断题 云平台一般会提供一些原始镜像给租户使用,租户启动原始镜像生成自己的虚拟机。
云平台测评时,租户的原始镜像通常作为重要可执行程序进行测评。
A、正确
B、错误
4137
判断题 某三级信息系统,使用经检测认证合格的商用密码产品(密码模块二级),根据GM/T 0115《信息系统密码应用测评要求》中“5.5密钥管理安全性”测评指标不能直接判定为“符合”。
A、正确
B、错误
4138
判断题 如果密码产品有商用密码产品认证证书但认证证书已经过期,则相应密码应用的密钥管理安全可判为不符合。
A、正确
B、错误
4139
判断题 若信息系统编制了密码应用方案,且方案通过评估,方案中明确了不适用的“宜”的指标要求项,密码应用安全性评估人员在测评时,该测评指标一定为“不适用”。
A、正确
B、错误
4140
判断题 对于已建并且正在运行的信息系统,其密码应用方案并不追溯到系统最初规划时的方案,制定的密码应用改造方案可视为该系统的密码应用方案。
A、正确
B、错误
4141
判断题 在对信息系统密码应用方案进行密评时,如果所有测评指标项评估结论均为通过,则该信息系统密码应用方案密评结论为通过。
A、正确
B、错误
4142
判断题 某信息系统部署了SSL VPN安全网关,PC端安全浏览器与SSL VPN安全网关之间使用SSL协议建立通信信道,测评时应在PC端安全浏览器与SSL VPN安全网关之间设置抓包点,分析通信信道的安全性。
A、正确
B、错误
4143
判断题 某三级信息系统部署了1台经检测认证合格的SSL VPN安全网关,则关于该SSL VPN的“密钥管理安全性”测评可以直接判定为“符合”。
A、正确
B、错误
4144
判断题 在对某三级信息系统进行密评时,通过对应用系统分析核查,发现系统启用了TLS 1.1、TLS 1.2协议,则关于通用要求中的“密码技术合规性”测评单元可直接判定为符合。
A、正确
B、错误
4145
判断题 某信息系统将登录用户口令进行加密后存储在数据库中,经核查所使用的密码算法为SHA-1,这种口令存储加密保护方式符合要求。
A、正确
B、错误
4146
判断题 某信息系统编制了密码应用方案,且方案通过专家评估,方案中明确了不适用的“宜”的指标要求项,在密评时发现密码应用实施情况与方案中所描述的风险控制措施不一致,则这些指标要求项应纳入测评范围。
A、正确
B、错误
4147
单项选择题 密评过程中,依据()标准进行IPSec协议数据的分析。
A、GM/T 0022 《IPSecVPN技术规范》
B、GM/T 0023《IPSecVPN网关产品规范》
C、GM/T 0024 《SSLVPN技术规范》
D、GM/T 0025《SSLVPN网关产品规范》
4148
单项选择题 密评过程中,依据()标准进行SSL协议数据的分析。
A、GM/T 0022 《IPSecVPN技术规范》
B、GM/T 0023《IPSecVPN网关产品规范》
C、GM/T 0024 《SSLVPN技术规范》
D、GM/T 0025《SSLVPN网关产品规范》
4149
单项选择题 某信息系统的通用服务器,通过调用服务器密码机进行加解密处理,以下测评方式不合理的是()。
A、在通用服务器上安装网络抓包分析工具采集交互的数据包
B、在通用服务器和服务器密码机所在的交换机进行端口镜像进行获取
C、在服务器密码机上安装网络抓包分析工具采集交互的数据包
D、登录服务器密码 机,查看相关的配置和日志
4150
单项选择题 密评过程中,采用端口扫描主要用于探测和识别被测信息系统中的VPN、服务器密码机、数据库服务器等设备开放的端口服务,如果发现()端口是开放的,一般可以作为SSL VPN服务开启的辅助证据之一。
A、443
B、3389
C、500
D、22
4151
单项选择题 密评过程中,采用端口扫描主要用于探测和识别被测信息系统中的VPN、服务器密码机、数据库服务器等设备开放的端口服务,如果发现()端口是开放的,可以作为SSH服务开启的证据。
A、443
B、3389
C、500
D、22
4152
单项选择题 在分析对网络信道中的SSL协议的握手协议时,在()报文之后,相应的数据包会被加密无法进行解析。
A、Client Key Exchage
B、Change Cipher Spec
C、Certificate Verify
D、Server Hello Done
4153
单项选择题 在密评时,可以根据GM/T 0005针对()检测其随机数统计特性,判断其是否符合要求。
A、随机数熵源
B、应用中采集的大量 CBC模式下的IV值构成的数据样本
C、应用中采集的大量 CTR模式下的计数器构成的数据样本
D、数字证书
4154
单项选择题 在使用Wireshark工具时,在工具过滤器中输入()可以用于仅显示源IP地址为192.168.1.100的网络数据包。
A、ip.addr == 192.168.1.100
B、ip.src == 192.168.1.100
C、ip.dst == 192.168.1.100
D、ip.host == 192.168.1.100
4155
单项选择题 下列Wireshark过滤表达式()可以捕获所有发往或来自IP地址192.168.1.100的HTTP流量。
A、http.host == 192.168.1.100
B、ip.addr == 192.168.1.100 &&tcp.port == 80
C、http.request.method== “GET” &&ip.addr == 192.168.1.100
D、http.response.code == 200 && ip.dst == 192.168.1.100
4156
单项选择题 下列Wireshark过滤表达式()可以捕获所有发往或来自IP地址192.168.1.100的HTTPS流量。
A、http.host == 192.168.1.100
B、ip.addr == 192.168.1.100 &&tcp.port == 443
C、http.request.method== “GET” &&ip.addr == 192.168.1.100
D、ip.addr == 192.168.1.100 &&tcp.port == 80
4157
单项选择题 密评过程中对网络信道中的IPSec协议数据包进行分析时, 发现IKE Attribute显示加密算法ID 为 129,那么该协议使用的加密算法是()。
A、SM1
B、SM4
C、SM7
D、AES
4158
单项选择题 GB/T 33190《电子文件存储与交换格式 版式文档》中定义的()格式是我国发布的一种自主格式,在电子证照、电子发票、电子签章等领域广泛应用。
A、PDF
B、CFD
C、OFD
D、KFD
4159
单项选择题 密评过程中使用Wireshark工具对网络信道中的 SSL协议数据进行分析时,可以在()数据报文中获取通信双方所协商的密码套件。
A、Client Hello
B、Server Hello
C、Server Key Exchange
D、Client Key Exchange
4160
单项选择题 密评过程中使用Wireshark工具对网络信道中的 SSL协议数据进行分析时,可以在()数据报文中获取客户端所支持的密码套件。
A、Client Hello
B、Server Hello
C、Server Key Exchange
D、Client Key Exchange
4161
单项选择题 密评过程中对网络信道中的IPSec协议数据进行分析时,IKE Attribute显示杂凑算法ID为20,那么该协议所使用的杂凑算法是()。
A、SM3
B、SHA1
C、MD5
D、SHA-256
4162
单项选择题 密评过程中对网络信道中的IPSec协议数据进行分析时,IKE Attribute显示算法ID为2,那么该协议所使用的公钥算法算法是()。
A、RSA-1024
B、SM2
C、SM9
D、RSA-2048
4163
单项选择题 密评过程中对网络信道中的SSL协议数据进行分析时,可以在()数据报文中获取客户端发给服务端的随机数。
A、Client Hello
B、Server Hello
C、Server Key Exchange
D、Client Key Exchange
4164
单项选择题 密评过程中对网络信道中的SSL协议数据进行分析时,可以在()数据报文中获取服务端发给客户端的随机数。
A、Client Hello
B、Server Hello
C、Server Key Exchange
D、Client Key Exchange
4165
单项选择题 若 一 个 数 字 证 书 的 keyUsage 扩 展 项 包 含nonRepudiation,表明该证书为()。
A、加密证书
B、签名证书
C、CA证书
D、终端实体证书
4166
单项选择题 密评过程中对网络信道中的IPSec协议数据进行分析时,在协议的()阶段可以获得通信双方所协商采用的密码算法。
A、ISAKMP协议主模式
B、ISAKMP协议快速模式
C、AH协议
D、ESP协议
4167
单项选择题 Linux系统的用户口令一般存储在/etc/shadow路径下 , 口 令 存 储 字 符 串 格 式 为 : i d id idsalt$encrypted , 其中id为2 时表示口令采用()密码算法进行杂凑后存储。
A、MD5
B、Blowfish
C、SHA-256
D、SHA-512
4168
单项选择题 Linux系统的用户口令一般存储在/etc/shadow路径下 , 口 令 存 储 字 符 串 格 式 为 : i d id idsalt$encrypted , 其中id为5 时表示口令采用()密码算法进行杂凑后存储。
A、MD5
B、Blowfish
C、SHA-256
D、SHA-512
4169
单项选择题 Linux系统的用户口令一般存储在/etc/shadow路径下 , 口 令 存 储 字 符 串 格 式 为 : i d id idsalt$encrypted , 其中id为6 时表示口令采用()密码算法进行杂凑后存储。
A、MD5
B、Blowfish
C、SHA-256
D、SHA-512
4170
单项选择题 对数字证书进行解析时,发现证书的签名算法 OID是1.2.156.10197.1.501,那么该证书使用的密码算法是()。
A、基于SM2算法和SM3算法的签名
B、基于RSA算法和SM3算法的签名
C、基于SM9算法和SHA-256算法的签名
D、基于SM2算法和SHA-256算法的签名
4171
单项选择题 在测评过程中会常遇到的以"-----BEGIN…“开头,”-----END…"结尾的数据编码格式是()。
A、Base64
B、PEM
C、BER
D、DER
4172
单项选择题 密评过程中,采用端口扫描主要用于探测和识别被测信息系统中的VPN、服务器密码机、数据库服务器等设备开放的端口服务。
IPSec VPN中IKE协议常用的UDP端口号是()。
==A、500 ==
B、450
C、4500
D、5000
4173
单项选择题 密评过程中,采用端口扫描主要用于探测和识别被测信息系统中的VPN、服务器密码机、数据库服务器等设备开放的端口服务。
IPSec VPN中通常为了穿透NAT设备会开放UDP端口号()。
A、500
B、450
C、4500
D、5000
4174
单项选择题 密评过程中,依据()标准对数据的随机性进行分析。
A、GM/T 0105 《软件随机数发生器总体框架》
B、GM/T 0028 《密码模块安全技术要求》
C、GM/T 0005 《随机性检测规范》
D、GM/T 0039 《密码模块安全检测要求》
4175
单项选择题 密评过程中,依据()标准对数字证书格式的合规性进行分析。
A、GM/T 0015 《基于 SM2密码算法的数字证书格式规范》
B、GM/T 0028 《密码模块安全技术要求》
C、GM/T 0005 《随机性检测规范》
D、GM/T 0034 《基于 SM2密码算法的证书认证系统密码及其相关安全技术规范》
4176
单项选择题 对数字证书格式进行分析时,无法获得的信息是()。
A、CA对该证书的签名算法
B、该证书的有效日期
C、该证书的用途
D、该证书是否被撤销等有效状态
4177
单项选择题 在密评中,以下()设备一般不作为测评工具接入点。
A、防火墙
B、交换机
C、服务器
D、堡垒机
4178
单项选择题 一般无法通过分析SSL协议数据获得的是()。
A、通信协议使用的密码套件
B、握手协议过程
C、ISAKMP的协议过程
D、记录协议过程
4179
单项选择题 通过对网络信道中的IPSec协议数据进行分析时,无法获得的信息是()。
A、使用的加密算法
B、使用的完整性保护算法
C、使用的鉴别机制
D、会话密钥明文
4180
单项选择题 通过对网络信道中的SSL协议数据进行分析时, Server Hello中显示密码套件ID为{0xe0,0x11},则表示双方所协商的密钥交换算法和加密算法分别为()。
A、SM2密钥交换算法, SM4_CBC
B、RSA公钥加密算法, AES_CBC
C、RSA公钥加密算法, SM4_CBC
D、SM2密钥交换算法, SM1_CBC
4181
单项选择题 通过对网络信道中的SSL协议数据进行分析时, Server Hello中显示密码套件ID为{0xe0,0x13},则表示双方所协商的密钥交换算法和加密算法分别为()
A、SM2密钥交换算法, SM1_CBC
B、SM2公钥加密算法, SM4_CBC
C、SM2密钥交换算法, SM4_CBC
D、SM2公钥加密算法, SM1_CBC
4182
单项选择题 通过对网络信道中的国密SSL协议数据进行分析时,按照GM/T 0024《SSL VPN技术规范》,实现标识为ECC的密码算法和实现标识为IBC的算法分别为()
A、SM3,SM2
B、ECDSA,RSA
C、SM2,SM9
D、SM3,SM9
4183
单项选择题 SSL协议密钥协商过程中,如果密钥交换算法为 ECC,则客户端应产生预主密钥,并采用服务端的()进行加密并放在Client Key Exchange消息中发送给服务端。
A、签名私钥
B、签名私钥
C、签名公钥
D、加密公钥
4184
单项选择题 SSL协议密钥协商过程中,如果密钥交换算法为 ECDHE , 则Client Key Exchange 消息包含计算()的客户端密钥交换参数。
A、工作密钥
B、根密钥
C、主密钥
D、预主密钥
4185
单项选择题 通过对网络信道中的SSL协议数据进行分析, Server Hello中显示密码套件ID为{0xe0,0x53},则表示双方所协商的密钥交换算法为和加密算法分别为()
A、SM2公钥加密算法, SM4_CBC
B、SM2密钥交换算法, SM4_CBC
C、SM2密钥交换算法, SM4_GCM
D、SM2公钥加密算法, SM4_GCM
4186
单项选择题 通过对网络信道中的SSL协议数据进行分析, Server Hello中显示密码套件ID为{0xe0,0x17},则表示双方所协商的密钥交换算法为和加密算法分别为()
A、SM2公钥加密算法, SM4_CBC
B、SM9公钥加密算法, SM4_CBC
C、SM9公钥加密算法, SM4_GCM
D、SM2公钥加密算法, SM4_GCM
4187
多项选择题 密评过程中,以下属于测评实施方式的是()。
A、随机性检测
B、数字证书格式合规性检测
C、IPSec/SSL协议分析
D、端口扫描
4188
多项选择题 通过对数字证书格式进行分析,无法获得的信息是()。
A、证书格式是否合规
B、证书签名结果是否正确
C、证书由谁签发
D、证书用于哪个协议的密钥交换或者身份鉴别
4189
多项选择题 密评过程中,以下能获取的数据是()。
A、SSL协议通信数据
B、IPSec协议通信数据
C、远程管理通道数据
D、密码机内的密钥数据明文
4190
多项选择题 以下能进行密码算法正确性验证的是()。
A、密码杂凑算法
B、数字签名算法
C、分组密码算法
D、虹膜识别算法
4191
多项选择题 在密评中,以下属于测评实施内容的是()。
A、密码算法实现正确性检测
B、数字证书格式合规性检测
C、随机数质量检测
D、与密码相关的漏洞识别
4192
多项选择题 使用Wireshark进行网络数据报文抓取后的数据一般以()格式存储。
A、.pcap
B、.pcapng
C、.cap
D、.cer
4193
多项选择题 以下哪些工具可用于密评工作()。
A、Wireshark
B、端口扫描工具
C、渗透测试工具
D、逆向分析工具
4194
多项选择题 对数字证书分析时,其数字证书的扩展名是cer,那么它可能的编码方式是()。
A、BASE64编码
B、二进制DER编码
C、Goppa编码
D、BCH编码
4195
多项选择题 某证书的签名算法是1.2.156.10197.1.501,则意味着()。
A、该证书所包含的公钥是SM2公钥
B、签发该证书采用的是 SM3withSM2Encrypt ion算法
C、颁发者所使用的公钥是SM2公钥
D、不考虑编码,该证书的签名值长度应为64字节
4196
多项选择题 对数字证书进行解析时,发现该证书的公钥对应的类型是1.2.156.10197.1.301,则意味着()。
A、该证书所包含的公钥是SM2公钥
B、签发该证书采用的是 SM3withSM2Encrypt ion算法
C、颁发者所使用的公钥是SM2公钥
D、不考虑编码,该证书所包括的公钥长度应为64字节
4197
多项选择题 某信息系统使用签名验签服务器对合同进行数字签名后, 通过受SSL协议保护的信道发送给用户,在测评时,可以通过()采集合同及数字签名值进行测评。
A、获取应用程序调用签名验签服务器的报文
B、从受SSL协议保护信道中获取发送给用户的数据
C、在用户端获取合同以及数字签名值
D、在应用程序所在的服务器获取合同以及数字签名值
4198
多项选择题 用户通过安全浏览器与SSL VPN 搭建的SSL 通道,与信息系统所属内网的应用服务器进行数据通信,那么从以下()位置可以抓取到SSL报文。
A、用户使用安全浏览器的终端
B、SSL VPN内部
C、安全浏览器与SSL VPN之间的通信信道
D、信息系统所属内网的服务器
4199
多项选择题 在验证某个密文是否由SM2算法加密时,如果可以知道明文和公钥,但无法获得私钥时,以下方法中可行,并且可以作为证据的是()。
A、分析该密文开头的 64字节是否是SM2椭圆曲线上的点
B、对明文进行公钥加密,对比产生密文是否与待测密文一致
C、分析明密文长度是否相差96字节
D、分析密文长度是否是512字节
4200
多项选择题 以下()方法可以用于辅助数字证书的分析。
A、对数字证书的数字签名算法进行正确性验证
B、对数字证书进行随机性检测
C、使用ASN.1工具对数字证书格式进行解析
D、对数字证书的杂凑密码算法进行正确性验证
4201
多项选择题 某信息系统中部署了IPSec VPN对网络信道进行保护,通过分析信道中的IPSec协议数据,可以获取的信息是()。
A、ISAKMP主模式中的签名证书
B、ISAKMP主模式中的加密证书
C、ISAKMP快速模式中的载荷(除ISAKMP头外)
D、ISAKMP主模式中响应方生成的临时密钥
4202
多项选择题 一般对数据进行随机性检测的内容包括()。
A、单比特频数检测
B、块内频数检测
C、块间频数检测
D、扑克检测
4203
多项选择题 以下可用于协议数据采集的工具有()。
A、Wireshark
B、tcpdump
C、BusHound
D、Fiddler
4204
多项选择题 AES密码算法支持哪些密钥长度()。
A、128比特
B、192比特
C、512比特
D、256比特
4205
多项选择题 证书撤销列表CRL的数据结构中包括()。
A、tbsCertList
B、tbsCertificate
C、signatureAlgorithm
D、signatureValue
4206
多项选择题 对数字证书格式进行分析时,可以分析数字证书的各个字段,一个数字证书的数据结构包括()。
A、tbsCertList
B、tbsCertificate
C、signatureAlgorithm
D、signatureValue
4207
多项选择题 在测评时发现某信息系统数据库中某数据杂凑值长度为256比特,则其使用的算法可能为()。
A、SHA3-256
B、SM3
C、SHA-256
D、SHA1
4208
多项选择题 在测评时发现某信息系统数据库中某数据密文长度为160字节,则其使用的算法可能为()。
A、SM4
B、AES-128
C、AES-192
D、DES
4209
多项选择题 Base64是基于64个可打印的字符来表示二进制数据的一种方法,以下属于64个可打印字符的是()。
A、A到Z
B、0至9
C、a到z
D、$
4210
多项选择题 一般数字证书的后缀名是()。
A、cer
B、crt
C、der
D、pem
4211
多项选择题 数字证书格式中,keyUsage扩展项可以判断证书的用途,当设置了()位中的一位时,表示该证书为签名证书。
A、digitalSignature
B、nonRepudiation
C、keyAgreement
D、keyEncipherment
4212
多项选择题 对数字证书分析,一般要分析哪些内容()。
A、查看数字证书格式
B、查看数字证书密钥用法
C、验证数字证书数字签名
D、验证数字证书链
4213
多项选择题 通过对网络信道中的SSL协议数据包进行分析,能够看到以下哪些信息()。
A、查看Hello消息的密码套件
B、查看派生出的主密钥
C、解密ESP封装的报文
D、查看服务端证书
4214
多项选择题 根据GM/T 0005《随机性检测规范》,可以对被测数据的()进行分析。
A、单比特频数检测
B、自相关性
C、完整性
D、不可否认性
4215
多项选择题 CA对RSA公钥数字证书进行签名的算法可能是()
A、RSA-2048
B、HMAC-SHA256
C、SM2
D、ECDSA
4216
多项选择题 通过对网络信道中的IPSec协议数据包进行分析,密评人员可以获得以下哪些信息()。
A、IPSec协议建立过程中双方协商的密码算法
B、IPSec协议建立过程中双方的证书
C、IPSec协议建立过程中双方协商的会话密钥
D、IPSec协议的报文封装协议
4217
多项选择题 在密评中,使用Wireshark对网络通道的SSL协议数据进行抓取,描述不正确的有()。
A、可接入到安装有国密SSL安全浏览器的客户端,捕获SSL协议建立过程的数据包
B、一定可以查看到握手协议中双方的身份证书
C、可查看到双方协商的用于密钥协商的算法
D、可以在不需要双方公私钥对的情况下,解密SSL协议记录层保护的数据
4218
多项选择题 密码算法合规性检测,包括对()的检测。
A、SM3
B、虹膜识别算法
C、ZUC
D、SM9
4219
多项选择题 通过数字证书格式的分析,可以对数字证书解析出以下信息()。
A、CA的签名算法
B、证书有效期
C、该证书公钥值
D、密钥用法
4220
多项选择题 下列()选项是Base64编码的优点。
A、可以将二进制数据转换为可打印字 符,方便传输
B、编码后的数据比原始数据更小,减少传输流量
C、可以用于加密数 据,保护数据安全
D、可以避免传输中特殊字符被截断或转义的问题
4221
多项选择题 某数据库中存储的口令杂凑字段,长度为256比特,而且所有数据中存在少许相同的杂凑值,以下推断正确的是()。
A、可能采用了SHA-1算法进行口令杂凑
B、可能采用了SM3算法进行口令杂凑
C、口令杂凑的过程 中,可能使用了每个用户不同的盐值
D、口令杂凑的过程 中,可能未加入盐值
4222
多项选择题 以下关于Wireshark过滤规则的说法,()是正确的。
A、icmp and ip.dst192.168.1.1可以用于获取目标IP地址为192.168.1.1并且协议为ICMP的所有数据包==
B、dns.dstport53 and ip.src192.168.1.1用于获取所有源IP地址为192.168.1.1并且目标端口号为53的所有DNS请求数据包
C、udp.dstport00:11:2 2:33:44:55 可以用于获取目标MAC地址为00:11:22:33:44:55并且协议为UDP的所有数据包
D、eth.dst00:11:22:33:44:55可以用于获取所有目标MAC地址为00:11:22:33:44:55的数据包
4223
多项选择题 某信息系统在网络边界处部署了SSL VPN网关,为互联网终端访问内网资源建立安全传输通道,测评人员在以下接入点()无法捕获SSL协议通信数据包。
A、SSL VPN网关上
B、SSL VPN网关与互联网终端之间的交换机上
C、信息系统内的应用服务器上
D、SSL VPN网关与信息系统应用服务器之间的核心交换机上
4224
多项选择题 测评人员通过数字证书格式进行,可以分析数字证书的以下信息()。
A、版本号
B、序列号
C、签名算法
D、主体信息
4225
多项选择题 某信息系统用户口令使用加盐后再计算杂凑值的方式进行存储保护,杂凑算法为SHA-256,测评人员如果想验证杂凑值计算的正确性,需要知道以下信息()。
A、盐值
B、口令明文
C、杂凑值
D、盐值与口令的组合方式
4226
多项选择题 某机构A与分支机构B之间通过成对部署IPSec VPN网关建立安全传输通道,测评人员想要捕获两个IPSec VPN之间的通信数据包,可在以下位置()接入数据采集工具。
A、机构A部署的IPSec VPN
B、分支机构B部署的IPSEC VPN
C、机构A的用户PC端
D、机构B的用户PC端
4227
多项选择题 某信息系统管理员通过远程管理终端访问SSL VPN,再通过VPN访问堡垒机,最后通过堡垒机对通用服务器进行远程管理。
以下哪个接入点能够捕获远程管理终端与SSL VPN网关之间的通信数据()。
A、远程管理终端
B、SSL VPN
C、堡垒机
D、通用服务器
4228
多项选择题 以下可能通过Wireshark解析出的密码套件有()。
A、ECDHE_SM4_CBC_SM3
B、ECDHE_SM4_GCM_SM3
C、IBC_SM4_CBC_SM3
D、ECC_SM4_CBC_SM3
4229
多项选择题 对于Wireshark的使用,以下方式合理的有()。
A、使用tcpdump采集通信数据后,再用 Wireshark分析通信数据包的密码应用情况
B、在用户PC端所连接的交换机通过端口镜像的方式采集数据,再离线使用 Wireshark对通信数据包的密码应用情况进行分析
C、在用户PC端使用 Wireshark对PC端与 SSL VPN之间的通信数据进行采集和分析
D、将Wireshark安装到应用服务器上,对互联网用户通过SSL VPN访问内网资源的网络层通信数据进行采集分析
4230
多项选择题 ASN.1中支持哪些基本类型()。
A、INTEGER
B、BOOLEAN
C、OCTET STRING
D、SET
4231
多项选择题 一个数据的ASN.1 编码如下: {0x02,0x12 , ……},那么以下说法正确的是()。
A、这是一个整数(INTEGER)
B、这是一个序列(SEQUENCE)
C、其实际数据长度是12字节
D、其实际数据长度是18字节
4232
多项选择题 一个数据的ASN.1 编码如下: {0x30,0x12 , ……},那么以下说法正确的是()。
A、这个类型是一个无序的结构
B、这是一个序列(SEQUENCE)
C、其实际数据长度是18字节
D、其实际数据长度是12字节
4233
多项选择题 一个数据的ASN.1编码如下:{0x30,0x81,OxFF,……},那么以下说法正确的是()。
A、这是一个序列(SEQUENCE)
B、其实际数据长度是81字节
C、其实际数据长度是255字节
D、其实际数据长度是129字节
4234
多项选择题 一 个 数 据 的 ASN.1 编 码 如 下 :{0x30,0x82,Ox01,0x00,……},那么以下说法正确的是()。
A、这是一个序列(SEQUENCE)
B、其实际数据长度是82字节
C、其实际数据长度是100字节
D、其实际数据长度是256字节
4235
多项选择题 以下关于Wireshark过滤规则的说法,()是正确的。
A、tcp.port80可以用于获取所有目标端口为80的TCP数据包
B、ip.src192.168.1.1and ip.dst192.168.1.2可以用于获取源IP地址为192.168.1.1,目标IP地址为192.168.1.2的所有数据包
C、ip.addr192.168.1.1 and not tcp.port22可以用于获取目标IP地址为192.168.1.1且不是SSH协议的所有数据包==
D、ip.addr192.168.1.1 and ip.addr192.168.1.2可以用于获取源IP地址为192.168.1.1且目标IP地址为192.168.1.2的所有数据包
4236
多项选择题 以下关于Wireshark过滤规则的说法,()是正确的。
A、tcp.port443可以用于获取所有目标端口为443的TCP数据包
B、ip.addr192.168.1.1可以用于获取源或目标IP地址为 192.168.1.1的所有数据包
C、arp.src.hw_mac00: 11:22:33:44:55可以用于获取源MAC地址为 00:11:22:33:44:55的ARP数据包
D、http.response.code== 200可以用于获取所有HTTP响应状态码为200的数据包==
4237
判断题 当测评工具接入信息系统条件不成熟时,应与被测单位协商,生成必要的离线数据。
A、正确
B、错误
4238
判断题 如果证书相关的算法标识符合要求,则认为该证书是合规的。
A、正确
B、错误
4239
判断题 IPSec协议分析时主要是分析IPSec协议使用的密码算法信息,不需要对证书进行分析。
A、正确
B、错误
4240
判断题 在密评实施过程中,由于无法获取密钥,因此除了密码杂凑算法的测试外,其他算法的正确性测试均无法开展。
A、正确
B、错误
4241
判断题 对SM2签名结果的正确性进行测试时,如果可以获取SM2私钥,那么可以根据GB/T32918.2《信息安全技术 SM2椭圆曲线公钥密码算法 第二部分:数字签名算法》,重新进行SM2签名生成,比对生成的SM2 签名是否与被测试的SM2 签名值一致,如果不一致,则说明使用的不是SM2算法。
A、正确
B、错误
4242
判断题 对SM2加密进行测试时,可以根据GB/T32918.4《信息安全技术 SM2椭圆曲线公钥密码算法 第四部分:公钥加密算法》,进行SM2密文的生成,比对生成的SM2 密文是否与被测试的SM2 密文一致,如果不一致,则说明使用的不是SM2加密算法。
A、正确
B、错误
4243
判断题 在对数字证书进行分析时,发现用户的加密证书和签名证书虽然证书内容不同,但Key Usage均相同,这是一种正常情况。
A、正确
B、错误
4244
判断题 如果IPSec VPN使用的是预共享密钥(PSK)方式,那么在采用Wireshark进行分析时抓取不到证书是正常的, 也可以满足GM/T 0022 《IPSec VPN技术规范》的相关要求。
A、正确
B、错误
4245
判断题 测评工具均基于确定的密码算法、协议等实现,因而不需要校准。
A、正确
B、错误
4246
判断题 协议分析和端口扫描是等级保护测评时常用的测评实施方式,在密码应用安全性评估过程中不涉及上述实施方式。
A、正确
B、错误
4247
判断题 对同一数据分别使用SHA-224和SHA3-224算法计算杂凑值,其输出长度是不一样的。
A、正确
B、错误
4248
判断题 对同一数据分别使用SHA-256和SHA3-256算法计算杂凑值,其输出长度是不一样的。
A、正确
B、错误
4249
判断题 对同一数据分别使用SHA-224和SHA-512/224算法计算杂凑值,其输出长度是一样的。
A、正确
B、错误
4250
判断题 对同一数据分别使用SHA-256和SHA-512/256算法计算杂凑值,其输出长度是一样的。
A、正确
B、错误