商密6-5·密评理论技术专项测试题有答案.doc

商密6-5·密评理论技术专项测试题有答案

单选题（总共43题）

1.应用服务器的数据库中，用户的单条记录（包括口令杂凑值、身份证号、手机号等密文值、角色、权限等）利用HMAC-SM3计算后，把得到的MAC值一并存放在该条目中，针对“应用和数据安全”层面的“重要数据存储完整性”指标判定最多可以给（）分。(1分)

A、0

B、0.25

C、0.5

D、1

答案：C

解析：?暂无解析

2.以下选项（）不被认为是云平台“完全评估的支撑能力”。(1分)

A、仅为租户应用提供的电子签章服务

B、云平台所在的物理机房环境

C、云平台管理应用

D、云平台提供的设备运维通信信道

答案：A

解析：?暂无解析

3.某三级信息系统开发人员采用密码机（经检测认证的一级密码模块）实现的SM4算法，为具有“重要数据传输机密性”安全需求的数据提供相应密码保护，经密评人员确认该指标测评对象有2个，且密码保护有效。那么该指标的判定结果较为合理的是（）。(1分)

A、符合，1分

B、部分符合，0.5分

C、部分符合，0.3分

D、不符合，0.25分

答案：B

解析：?暂无解析

4.某二级信息系统，对物理和环境安全层面“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即人脸识别，密评人员在实际测评时核实密码应用方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

5.如果基于数字证书方式进行用户的身份鉴别，在进行密评时，以下核查（）不是必要的。(1分)

A、检查根证书如何安全导入或预置到系统内

B、检查数字证书的合规性

C、验证数字证书的证书链是否通过

D、检查数字证书的机密性是如何保证的

答案：D

解析：?暂无解析

6.某信息系统有两个业务应用，其中应用A有管理员用户和操作员用户两类用户，分别采用用户名+口令和基于动态口令（经过检测认证的密码产品）的身份鉴别方式；应用B有管理员用户和业务员用户两类用户，均基于经过检测认证的智能密码钥匙进行身份鉴别。针对“应用和数据安全”层面的“身份鉴别”指标，最多可以给（）分。(1分)

A、0.5

B、1

C、3

D、0.75

答案：D

解析：?暂无解析

7.测评过程中，对信息系统网络边界内的用户与系统应用之间重要数据传输保护的测评属于（）安全层面的测评内容。(1分)

A、网络和通信安全

B、设备和计算安全

C、应用和数据安全

D、密钥管理

答案：C

解析：?暂无解析

8.某三级信息系统通过堡垒机对通用服务器进行集中管理，其中管理员与堡垒机之间使用HTTP协议建立传输通道，堡垒机与通用服务器之间使用SSH2.0建立传输通道，因此针对“设备和计算安全”层面的“远程管理通道安全”指标的判定结果为()。(1分)

A、符合

B、部分符合

C、不符合

D、无法判断

答案：B

解析：?暂无解析

9.以下因素（）可能导致数字签名功能不正确。(1分)

A、签名中使用固定的随机数

B、待签消息比SM3杂凑值长

C、签名中使用不可预测的随机数

D、使用私钥签名

答案：A

解析：?暂无解析

10.某四级信息系统，对物理和环境安全“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即“口令+指纹”，密评人员在实际测评时核实方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

11.某三级信息系统客户端与服务端之间的网络通信信道使用TLSv1.2协议进行传输保护，使用的密码套件为TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，记录层协议中使用（）算法进行通信数据机密性和完整性保护。(1分)

A、ECDHE，RSA

B、AES_256_GCM,AES__256_GCM

C、AES-GCM，HMAC-SHA384

D、AES-GCM，SHA384

答案：B

解析：?暂无解析

12.根据《商用密码应用安全性评估报告模板（2023版）》，以下哪项信息系统内的资产不属于需要梳理的对象（）。(1分)

A、交换机

B、机房

C、密码设备

D、服务器

答案：A

解析：?暂无解析

13.某三级信息系统，制定了密码安全应急策略，规定了相关应急事件处置措施和流程，明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置