商密6-5·密评理论技术专项试卷（一）.doc

商密6-5·密评理论技术专项试卷

单选题（总共43题）

1.在设备和计算安全层面，若存在100台服务器，其中60台为A厂商生产且为同一型号，40台为B厂商生产且为同一型号，同一厂商的硬件/软件配置相同。为提高测评效率，同时避免遗漏测评对象，以下测评对象选取方法合理的是（）。(1分)

A、同一类机型的服务器作为一个测评对象，所以有两个测评对象，即机型A和机型B两类服务器

B、由于这100台服务器均属于通用设备，可视为一个测评对象

C、每一台服务器均作为一个测评对象，所以测评对象数量为100个

D、以上都正确

答案：A

解析：?暂无解析

2.根据《商用密码应用安全性评估报告模板（2023版）》，在密码应用方案密评报告附录部分，“密评活动有效性证明记录”不涉及（）。(1分)

A、密评委托证明

B、密评人员差旅票证及住宿票证

C、密评报告评审记录

D、密评人员资格情况

答案：B

解析：?暂无解析

3.某三级信息系统的访问控制信息通过调用服务器密码机（通过商用密码产品检测认证）使用SM3withSM2数字签名算法计算签名值后，将访问控制信息与签名值一同保存在数据库中，但用户访问业务应用时未对访问控制信息的签名值进行验证，针对“应用和数据安全”层面的“访问控制信息完整性”为（）分。(1分)

A、0

B、0.25

C、0.5

D、1

答案：A

解析：?暂无解析

4.以下选项（）不被认为是云平台“完全评估的支撑能力”。(1分)

A、仅为租户应用提供的电子签章服务

B、云平台所在的物理机房环境

C、云平台管理应用

D、云平台提供的设备运维通信信道

答案：A

解析：?暂无解析

5.某二级信息系统，对物理和环境安全层面“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即人脸识别，密评人员在实际测评时核实密码应用方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

6.某信息系统部署在云服务提供商（CSP）机房，其物理机房完全由CSP托管，那么在对该信息系统进行密评时，在物理和环境安全层面合理的做法是（）。(1分)

A、若CSP机房未通过密评，则物理和环境安全层面直接判定为“不符合”

B、若CSP机房通过密评，则可以复用该机房的密评结论

C、若CSP机房未通过密评，则可以直接判定为“符合”

D、无论CSP机房是否通过密评，物理和环境安全层面应判定为“不适用”

答案：B

解析：?暂无解析

7.根据《商用密码应用安全性评估报告模板（2023版）》，系统概述部分不需要对应用和数据安全层面的哪些保护对象做梳理（）。(1分)

A、应用系统的用户

B、重要数据

C、用户操作行为

D、网络通道

答案：D

解析：?暂无解析

8.根据《商用密码应用安全性评估报告模板（2023版）》，在方案密评报告的“商用密码应用安全性评估结论”部分不包括以下哪项（）。(1分)

A、方案名称

B、评估结论

C、不适用指标数目

D、密码应用需求

答案：D

解析：?暂无解析

9.密评人员对SSLVPN进行测评时发现所使用的密码套件为{0xe0，0x11}，以下判断不合理的是()。(1分)

A、该套件使用SM2密钥交换算法进行密钥协商

B、该套件使用SM4-GCM进行数据加密

C、该套件使用HMAC-SM3进行数据完整性保护

D、该套件使用SM2算法进行密钥协商

答案：B

解析：?暂无解析

10.根据《商用密码应用安全性评估报告模板（2023版）》，对于委托第三方密评机构实施的密码应用方案密评和信息系统密评的情形，在报告中的“密评活动有效性证明”记录部分，以下说法正确的是（）。(1分)

A、信息系统密评报告需要提供密评活动证明，方案密评报告则不需要

B、信息系统密评时，测评方案需要测评委托方和密评机构双方签字确认，同时需要密评机构内部组织评审

C、方案密评前，应编制测评方案，并对该方案组织内部评审

D、信息系统密评时，测评方案需要测评委托方和密评机构双方签字确认，但不需要密评机构内部组织评审

答案：B

解析：?暂无解析

11.密评人员对SSLVPN进行测评时发现所使用的密码套件为{0xe0，0x13}后，以下判断不合理的是()。(1分)

A、该套件使用SM2密钥交换算法进行密钥协商

B、该套件使用SM4-CBC进行数据加密

C、该套件使