商密6-6·密码应用与安全评估复习测试卷附答案.docVIP

商密6-6·密码应用与安全评估复习测试卷附答案

单选题（总共43题）

1.某二级信息系统，对物理和环境安全层面“身份鉴别”这一项，其密码应用方案中论述了无法采用密码技术的客观因素，并提供了目前采用的风险控制措施，即人脸识别，密评人员在实际测评时核实密码应用方案中的措施已落实。那么作为该条款的测评结论合理的是（）。(1分)

A、符合

B、部分符合

C、不符合

D、不适用

答案：C

解析：?暂无解析

2.根据《商用密码应用安全性评估报告模板（2023版）》，系统概述部分不需要对应用和数据安全层面的哪些保护对象做梳理（）。(1分)

A、应用系统的用户

B、重要数据

C、用户操作行为

D、网络通道

答案：D

解析：?暂无解析

3.密评人员对SSLVPN进行测评时发现所使用的密码套件为{0xe0，0x13}后，以下判断不合理的是()。(1分)

A、该套件使用SM2密钥交换算法进行密钥协商

B、该套件使用SM4-CBC进行数据加密

C、该套件使用HMAC-SM3进行数据完整性保护

D、该套件使用SM3作为PRF派生密钥

答案：A

解析：?暂无解析

4.某三级信息系统的访问控制信息通过调用服务器密码机（通过商用密码产品检测认证）使用SM3withSM2数字签名算法计算签名值后，将访问控制信息与签名值一同保存在数据库中，但用户访问业务应用时未对访问控制信息的签名值进行验证，针对“应用和数据安全”层面的“访问控制信息完整性”为（）分。(1分)

A、0

B、0.25

C、0.5

D、1

答案：A

解析：?暂无解析

5.某三级信息系统客户端与服务端之间的网络通信信道使用TLSv1.2协议进行传输保护，使用的密码套件为TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，记录层协议中使用（）算法进行通信数据机密性和完整性保护。(1分)

A、ECDHE，RSA

B、AES_256_GCM,AES__256_GCM

C、AES-GCM，HMAC-SHA384

D、AES-GCM，SHA384

答案：B

解析：?暂无解析

6.某业务系统用户手机号利用SM3进行杂凑计算后，将得到完整的杂凑值存放在应用服务器的数据库中，那么对于“应用和数据安全”层面的“重要数据存储完整性”指标最多可以给（）分。(1分)

A、0

B、0.25

C、0.5

D、1

答案：A

解析：?暂无解析

7.测评过程中，对信息系统网络边界内的用户与系统应用之间重要数据传输保护的测评属于（）安全层面的测评内容。(1分)

A、网络和通信安全

B、设备和计算安全

C、应用和数据安全

D、密钥管理

答案：C

解析：?暂无解析

8.某信息系统在数据库中存储有用户的性别字段的密文，应用开发人员告知密评人员该字段采用SM4-CBC算法进行了加密。密评人员查看该字段信息发现只存在两种密文值，每个密文值长度为128比特。那么以下推断正确的是（）。(1分)

A、如果确实使用SM4-CBC进行加密，那么开发人员可能错误地使用了IV

B、由于密文长度为64比特的整数倍，因此性别字段一定使用了DES或3DES进行加密，开发人员说法存在问题

C、开发人员不可能使用ECB模式加密

D、由于密文长度为128比特的整数倍，符合SM4的分组特征，因此可以判定开发人员的说法是正确的

答案：A

解析：?暂无解析

9.某信息系统有两个业务应用，其中应用A有管理员用户和操作员用户两类用户，分别采用用户名+口令和基于动态口令（经过检测认证的密码产品）的身份鉴别方式；应用B有管理员用户和业务员用户两类用户，均基于经过检测认证的智能密码钥匙进行身份鉴别。针对“应用和数据安全”层面的“身份鉴别”指标，最多可以给（）分。(1分)

A、0.5

B、1

C、3

D、0.75

答案：D

解析：?暂无解析

10.Linux系统的用户口令一般存储在路径（）下。(1分)

A、/etc/group

B、/etc/shadow

C、/etc/login.defs

D、/etc/named.conf

答案：B

解析：?暂无解析

11.根据《商用密码应用安全性评估报告模板（2023版）》，在密码应用方案密评报告附录部分，“密评活动有效性证明记录”不涉及（）。(1分)

A、密评委托证明

B、密评人员差旅票证及住宿票证

C、密评报告评审记录

D、密评人员资格情况

答案：B

解析：?暂无解析

12.某三级信息系统，制定了密码安全应急策略，规定了相关应急事件处置措施和流程，明确了密