商密6-5·密评理论技术专项试卷（二）.doc

商密6-5·密评理论技术专项试卷

单选题（总共43题）

1.某二级信息系统，对物理和环境安全层面“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即人脸识别，密评人员在实际测评时核实密码应用方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

2.某三级信息系统通过HMAC-SM3对重要数据计算MAC值后与数据原文一同存储在数据库中，密码运算为软件实现，针对“应用和数据安全”层面的“重要数据存储完整性”指标最高可以给（）分。(1分)

A、0

B、0.25

C、0.5

D、1

答案：C

解析：?暂无解析

3.某三级信息系统，制定了密码安全应急策略，规定了相关应急事件处置措施和流程，明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置情况。该系统目前未发生过密码应用安全事件，无相应处置记录。针对“应急处置”层面的“事件处置”指标最高可以给（）分。(1分)

A、1

B、0.25

C、0.5

D、0

答案：A

解析：?暂无解析

4.如果基于数字证书方式进行用户的身份鉴别，在进行密评时，以下核查（）不是必要的。(1分)

A、检查根证书如何安全导入或预置到系统内

B、检查数字证书的合规性

C、验证数字证书的证书链是否通过

D、检查数字证书的机密性是如何保证的

答案：D

解析：?暂无解析

5.Linux系统的用户口令一般存储在路径（）下。(1分)

A、/etc/group

B、/etc/shadow

C、/etc/login.defs

D、/etc/named.conf

答案：B

解析：?暂无解析

6.某三级信息系统开发人员采用密码机（经检测认证的一级密码模块）实现的SM4算法，为具有“重要数据传输机密性”安全需求的数据提供相应密码保护，经密评人员确认该指标测评对象有2个，且密码保护有效。那么该指标的判定结果较为合理的是（）。(1分)

A、符合，1分

B、部分符合，0.5分

C、部分符合，0.3分

D、不符合，0.25分

答案：B

解析：?暂无解析

7.用户在某银行网点取钱，输入支付口令后，该口令途经两段传输过程：1）ATM机到银行服务端金融数据密码机（经检测认证合格），采用SM4算法提供传输机密性；2）银行服务端金融数据密码机（经检测认证合格）到银行服务端核心系统服务器（非直连），采用AES-128提供传输机密性。以口令作为测评对象，其“重要数据传输机密性”的判定结果为（）。(1分)

A、符合

B、部分符合

C、不符合

D、基本符合

答案：B

解析：?暂无解析

8.某四级信息系统，对物理和环境安全“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即“口令+指纹”，密评人员在实际测评时核实方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

9.某三级信息系统所在机房部署符合GM/T0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统，使用SM4算法进行密钥分散，实现门禁卡的“一卡一密”，并基于SM4算法对人员身份进行鉴别，因此该系统在“物理和环境安全”层面的“身份鉴别”指标的量化评估结果最多为（）分。(1分)

A、0.25

B、0.5

C、0

D、1

答案：D

解析：?暂无解析

10.根据《商用密码应用安全性评估报告模板（2023版）》，在密码应用方案密评报告附录部分，“密评活动有效性证明记录”不涉及（）。(1分)

A、密评委托证明

B、密评人员差旅票证及住宿票证

C、密评报告评审记录

D、密评人员资格情况

答案：B

解析：?暂无解析

11.根据《商用密码应用安全性评估报告模板（2023版）》，系统概述部分不需要对应用和数据安全层面的哪些保护对象做梳理（）。(1分)

A、应用系统的用户

B、重要数据

C、用户操作行为

D、网络通道

答案：D

解析：?暂无解析

12.某三级信息系统的访问控制信息通过调用服务器密码机（通过商用密码产品检测认证）使用SM3withSM2数字签名算法计算签名值后，将访问控制信息与签名值一同保存在数据库中，但用户访问业务应用时未对访问控制信息的签名值进行验证，针对“应用和数据安全”层面的“访问控制信息完整性”为（）分。(1分)