---

國(guó)密局給的參考題庫(kù)5000道只是基礎(chǔ)題，后續(xù)更新完5000還會(huì)繼續(xù)更其他高質(zhì)量題庫(kù)，持續(xù)學(xué)習(xí)，共同進(jìn)步。

4640
單項(xiàng)選擇題 在測(cè)評(píng)過(guò)程中遇到的PEM編碼格式，除了開(kāi)頭和結(jié)尾，其內(nèi)容體通常以（）格式編碼。

A、BER
B、DER
C、Base64
D、Base64url

4641
單項(xiàng)選擇題 某信息系統(tǒng)部署在云服務(wù)提供商（CSP）機(jī)房，其物理機(jī)房完全由CSP托管，那么在對(duì)該信息系統(tǒng)進(jìn)行密評(píng)時(shí)，在物理和環(huán)境安全層面合理的做法是（）。

A、若CSP機(jī)房未通過(guò)密評(píng)，則物理和環(huán)境安全層面直接判定為“不符合”
B、若CSP機(jī)房通過(guò)密評(píng)，則可以復(fù)用該機(jī)房的密評(píng)結(jié)論
C、若CSP機(jī)房未通過(guò)密評(píng)，則可以直接判定為“符合”
D、無(wú)論CSP機(jī)房是否通過(guò)密評(píng)，物理和環(huán)境安全層面應(yīng)判定為“不適用”

4642
單項(xiàng)選擇題 某二級(jí)信息系統(tǒng)，對(duì)物理和環(huán)境安全層面“身份鑒別”這一項(xiàng)，其密碼應(yīng)用方案中論述了無(wú)法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險(xiǎn)控制措施，即人臉識(shí)別，密評(píng)人員在實(shí)際測(cè)評(píng)時(shí)核實(shí)密碼應(yīng)用方案中的措施已落實(shí)。
那么作為該條款的測(cè)評(píng)結(jié)論合理的是（）。

A、符合
B、部分符合
C、不符合
D、不適用

4643
單項(xiàng)選擇題 在設(shè)備和計(jì)算安全層面，若存在100臺(tái)服務(wù)器，其中60臺(tái)為A廠商生產(chǎn)且為同一型號(hào)，40臺(tái)為B廠商生產(chǎn)且為同一型號(hào)，同一廠商的硬件/軟件配置相同。
為提高測(cè)評(píng)效率，同時(shí)避免遺漏測(cè)評(píng)對(duì)象，以下測(cè)評(píng)對(duì)象選取方法合理的是（）。

A、同一類機(jī)型的服務(wù)器作為一個(gè)測(cè)評(píng)對(duì)象，所以有兩個(gè)測(cè)評(píng)對(duì)象，即機(jī)型A和機(jī)型B兩類服務(wù)器
B、由于這100臺(tái)服務(wù)器均屬于通用設(shè)備，可視為一個(gè)測(cè)評(píng)對(duì)象
C、每一臺(tái)服務(wù)器均作為一個(gè)測(cè)評(píng)對(duì)象，所以測(cè)評(píng)對(duì)象數(shù)量為100個(gè)
D、以上都正確

4644
單項(xiàng)選擇題 某四級(jí)信息系統(tǒng)，對(duì)物理和環(huán)境安全“身份鑒別”這一項(xiàng)，其密碼應(yīng)用方案中論述了無(wú)法采用密碼技術(shù)的客觀因素，并提供了目前采用的風(fēng)險(xiǎn)控制措施，即“口令+指紋”，密評(píng)人員在實(shí)際測(cè)評(píng)時(shí)核實(shí)方案中的措施已落實(shí)。
那么作為該條款的測(cè)評(píng)結(jié)論合理的是（）。

A、符合
B、部分符合
C、不符合
D、不適用

4645
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)開(kāi)發(fā)人員采用密碼機(jī)（經(jīng)檢測(cè)認(rèn)證的一級(jí)密碼模塊）實(shí)現(xiàn)的SM4算法，為具有“重要數(shù)據(jù)傳輸機(jī)密性”安全需求的數(shù)據(jù)提供相應(yīng)密碼保護(hù)，經(jīng)密評(píng)人員確認(rèn)該指標(biāo)測(cè)評(píng)對(duì)象有2個(gè)，且密碼保護(hù)有效。
那么該指標(biāo)的判定結(jié)果較為合理的是（）。

A、符合，1分
B、部分符合，0.5分
C、部分符合，0.3分
D、不符合，0.25分

4646
單項(xiàng)選擇題 用戶在某銀行網(wǎng)點(diǎn)取錢，輸入支付口令后，該口令途經(jīng)兩段傳輸過(guò)程：1）ATM機(jī)到銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格），采用SM4算法提供傳輸機(jī)密性；2）銀行服務(wù)端金融數(shù)據(jù)密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格）到銀行服務(wù)端核心系統(tǒng)服務(wù)器（非直連），采用AES-128提供傳輸機(jī)密性。
以口令作為測(cè)評(píng)對(duì)象，其“重要數(shù)據(jù)傳輸機(jī)密性”的判定結(jié)果為（）。

A、符合
B、部分符合
C、不符合
D、基本符合

4647
單項(xiàng)選擇題 以下因素（）可能導(dǎo)致數(shù)字簽名功能不正確。

A、簽名中使用固定的隨機(jī)數(shù)
B、待簽消息比SM3雜湊值長(zhǎng)
C、簽名中使用不可預(yù)測(cè)的隨機(jī)數(shù)
D、使用私鑰簽名

4648
單項(xiàng)選擇題 某信息系統(tǒng)在數(shù)據(jù)庫(kù)中存儲(chǔ)有用戶的性別字段的密文，應(yīng)用開(kāi)發(fā)人員告知密評(píng)人員該字段采用 SM4-CBC算法進(jìn)行了加密。
密評(píng)人員查看該字段信息發(fā)現(xiàn)只存在兩種密文值，每個(gè)密文值長(zhǎng)度為 128比特。
那么以下推斷正確的是（）。

A、如果確實(shí)使用SM4- CBC進(jìn)行加密，那么開(kāi)發(fā)人員可能錯(cuò)誤地使用了IV
B、由于密文長(zhǎng)度為64比特的整數(shù)倍，因此性別字段一定使用了DES或3DES進(jìn)行加密，開(kāi)發(fā)人員說(shuō)法存在問(wèn)題
C、開(kāi)發(fā)人員不可能使用ECB模式加密
D、由于密文長(zhǎng)度為128比特的整數(shù)倍，符合SM4的分組特征，因此可以判定開(kāi)發(fā)人員的說(shuō)法是正確的

4649
單項(xiàng)選擇題 應(yīng)用服務(wù)器的數(shù)據(jù)庫(kù)中，用戶的單條記錄（包括口令雜湊值、身份證號(hào)、手機(jī)號(hào)等密文值、角色、權(quán)限等）利用HMAC-SM3計(jì)算后， 把得到的 MAC值一并存放在該條目中，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)判定最多可以給（）分。

A、0
B、0.25
C、0.5
D、1

4650
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)所在機(jī)房部署符合GM/T 0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用指南》的電子門禁系統(tǒng)，使用SM4算法進(jìn)行密鑰分散，實(shí)現(xiàn)門禁卡的“一卡一密”，并基于SM4算法對(duì)人員身份進(jìn)行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“身份鑒別”指標(biāo)的量化評(píng)估結(jié)果最多為（）分。

A、0.25
B、0.5
C、0
D、1

4651
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)，網(wǎng)絡(luò)和通信安全層面采用了合規(guī)的密碼技術(shù)進(jìn)行通信實(shí)體身份鑒別，測(cè)評(píng)人員經(jīng)核實(shí)后判定結(jié)果為1分；應(yīng)用和數(shù)據(jù)安全層面采用“用戶名+口令”的方式對(duì)業(yè)務(wù)系統(tǒng)登錄用戶進(jìn)行身份鑒別。
則“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)的應(yīng)用用戶測(cè)評(píng)對(duì)象經(jīng)“網(wǎng)絡(luò)和通信安全”層面“身份鑒別”指標(biāo)結(jié)果彌補(bǔ)后的量化評(píng)估分值為（）。

A、1
B、0.5
C、0.25
D、0

4652
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)通過(guò)HMAC-SM3對(duì)重要數(shù)據(jù)計(jì)算 MAC值后與數(shù)據(jù)原文一同存儲(chǔ)在數(shù)據(jù)庫(kù)中，密碼運(yùn)算為軟件實(shí)現(xiàn)，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)最高可以給（）分。

A、0
B、0.25
C、0.5
D、1

4653
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)的重要數(shù)據(jù)包括用戶口令、日志信息、業(yè)務(wù)數(shù)據(jù)，這三類數(shù)據(jù)的存儲(chǔ)機(jī)密性量化評(píng)估分值分別為0.25、0.5、0.25，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的測(cè)評(píng)單元得分為（）。

A、0.3333
B、1
C、0.5
D、0.25

4654
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)，制定了密碼安全應(yīng)急策略，規(guī)定了相關(guān)應(yīng)急事件處置措施和流程，明確了密碼應(yīng)用應(yīng)急事件處置完成后及時(shí)向當(dāng)?shù)孛艽a管理部門報(bào)告事件發(fā)生和處置情況。
該系統(tǒng)目前未發(fā)生過(guò)密碼應(yīng)用安全事件，無(wú)相應(yīng)處置記錄。
針對(duì)“應(yīng)急處置”層面的“事件處置”指標(biāo)最高可以給（）分。

A、1
B、0.25
C、0.5
D、0

4655
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)的系統(tǒng)管理員通過(guò)堡壘機(jī)登錄通用服務(wù)器并對(duì)其進(jìn)行遠(yuǎn)程管理，進(jìn)入堡壘機(jī)后，系統(tǒng)管理員通過(guò)用戶名+口令的方式訪問(wèn)通用服務(wù)器。
系統(tǒng)管理員登錄堡壘機(jī)時(shí)通過(guò)部署具有商用密碼產(chǎn)品認(rèn)證證書(shū)的安全瀏覽器（安全等級(jí)二級(jí)）和智能密碼鑰匙（安全等級(jí)二級(jí)）并基于數(shù)字證書(shū)（在有效期內(nèi)）的方式進(jìn)行身份鑒別，算法為SM2。
因此該系統(tǒng)在“設(shè)備和計(jì)算安全”層面的通用服務(wù)器測(cè)評(píng)對(duì)象的“身份鑒別”指標(biāo)
D、K的判定結(jié)果為（）。

A、√，√，√
B、×，/，/
C、√，×，×
D、√，√，×

4656
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)用戶端與服務(wù)端之間進(jìn)行通信時(shí)，只對(duì)服務(wù)端進(jìn)行了基于密碼的身份鑒別且身份 鑒 別 機(jī) 制 有 效 ， 使 用 的 簽 名 算 法 為 SM2withSM3，針對(duì)“網(wǎng)絡(luò)和通信安全”層面的“身份鑒別”指標(biāo)最高可以給（）分。

A、0
B、0.25
C、0.5
D、1

4657
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)通過(guò)堡壘機(jī)對(duì)通用服務(wù)器進(jìn)行集中管理，其中管理員與堡壘機(jī)之間使用HTTP協(xié)議建立傳輸通道，堡壘機(jī)與通用服務(wù)器之間使用 SSH2.0建立傳輸通道，因此針對(duì)“設(shè)備和計(jì)算安全”層面的“遠(yuǎn)程管理通道安全”指標(biāo)的判定結(jié)果為（）。

A、符合
B、部分符合
C、不符合
D、無(wú)法判斷

4658
單項(xiàng)選擇題 某信息系統(tǒng)有兩個(gè)業(yè)務(wù)應(yīng)用，其中應(yīng)用A有管理員用戶和操作員用戶兩類用戶，分別采用用戶名+口令和基于動(dòng)態(tài)口令（經(jīng)過(guò)檢測(cè)認(rèn)證的密碼產(chǎn)品）的身份鑒別方式；應(yīng)用B有管理員用戶和業(yè)務(wù)員用戶兩類用戶，均基于經(jīng)過(guò)檢測(cè)認(rèn)證的智能密碼鑰匙進(jìn)行身份鑒別。
針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，最多可以給（）分。

A、0.5
B、1
C、3
D、0.75

4659
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)通過(guò)SSL VPN建立遠(yuǎn)程管理傳輸通道，管理終端與SSL VPN之間傳輸協(xié)議使用的密碼套件為ECC_SM4_GCM_SM3。
該網(wǎng)絡(luò)通信信道使用（）算法實(shí)現(xiàn)通信數(shù)據(jù)的機(jī)密性保護(hù)。

A、ECC
B、SM4_GCM
C、SM3
D、基于SM3的HMAC

4660
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)客戶端與服務(wù)端之間的網(wǎng)絡(luò)通信信道使用TLSv1.2協(xié)議進(jìn)行傳輸保護(hù)，使用的密碼套件為 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，記錄層協(xié)議中使用（）算法進(jìn)行通信數(shù)據(jù)機(jī)密性和完整性保護(hù)。

A、ECDHE，RSA
B、AES_256_GCM,AES_256_GCM
C、AES-GCM，HMAC- SHA384
D、AES-GCM，SHA384

4661
單項(xiàng)選擇題 某三級(jí)信息系統(tǒng)的訪問(wèn)控制信息通過(guò)調(diào)用服務(wù)器密碼機(jī)（ 通過(guò)商用密碼產(chǎn)品檢測(cè)認(rèn)證） 使用 SM3withSM2數(shù)字簽名算法計(jì)算簽名值后，將訪問(wèn)控制信息與簽名值一同保存在數(shù)據(jù)庫(kù)中，但用戶訪問(wèn)業(yè)務(wù)應(yīng)用時(shí)未對(duì)訪問(wèn)控制信息的簽名值進(jìn)行驗(yàn)證，針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“訪問(wèn)控制信息完整性”為（）分。

A、0
B、0.25
C、0.5
D、1

4662
單項(xiàng)選擇題 在密評(píng)時(shí)，以下密碼算法/技術(shù)的組合（）認(rèn)為存在高危風(fēng)險(xiǎn)。

A、對(duì)數(shù)據(jù)進(jìn)行RSA- 3072和SHA-1簽名
B、對(duì)數(shù)據(jù)進(jìn)行DES加密后，再進(jìn)行SM4加密
C、對(duì)數(shù)據(jù)進(jìn)行HMAC- SHA256保護(hù)
D、對(duì)數(shù)據(jù)進(jìn)行SM2和SM3簽名

4663
單項(xiàng)選擇題 測(cè)評(píng)過(guò)程中，對(duì)信息系統(tǒng)網(wǎng)絡(luò)邊界內(nèi)的用戶與系統(tǒng)應(yīng)用之間重要數(shù)據(jù)傳輸保護(hù)的測(cè)評(píng)屬于（）安全層面的測(cè)評(píng)內(nèi)容。

A、網(wǎng)絡(luò)和通信安全
B、設(shè)備和計(jì)算安全
C、應(yīng)用和數(shù)據(jù)安全
D、密鑰管理

4664
單項(xiàng)選擇題 密評(píng)人員對(duì)SSL VPN進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn)所使用的密碼套件為{0xe0 ， 0x11}， 以下判斷不合理的是（）。

A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商
B、該套件使用SM4- GCM進(jìn)行數(shù)據(jù)加密
C、該套件使用HMAC- SM3進(jìn)行數(shù)據(jù)完整性保護(hù)
D、該套件使用SM2算法進(jìn)行密鑰協(xié)商

4665
單項(xiàng)選擇題 密評(píng)人員對(duì)SSL VPN進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn)所使用的密碼套件為{0xe0，0x13}后，以下判斷不合理的是（）。

A、該套件使用SM2密鑰交換算法進(jìn)行密鑰協(xié)商
B、該套件使用SM4- CBC進(jìn)行數(shù)據(jù)加密
C、該套件使用HMAC- SM3進(jìn)行數(shù)據(jù)完整性保護(hù)
D、該套件使用SM3作為PRF派生密鑰

4666
單項(xiàng)選擇題 某業(yè)務(wù)系統(tǒng)用戶手機(jī)號(hào)利用SM3進(jìn)行雜湊計(jì)算后，將得到完整的雜湊值存放在應(yīng)用服務(wù)器的數(shù)據(jù)庫(kù)中，那么對(duì)于“應(yīng)用和數(shù)據(jù)安全”層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)最多可以給（）分。

A、0
B、0.25
C、0.5
D、1

4667
多項(xiàng)選擇題 在測(cè)評(píng)時(shí)，信息系統(tǒng)聲稱采用SM4-CBC進(jìn)行個(gè)人隱私信息的存儲(chǔ)機(jī)密性保護(hù)，以下收集的證據(jù)與其聲稱的存在矛盾或證明其使用不合規(guī)的包括（）。

A、密文長(zhǎng)度為192比特
B、密文長(zhǎng)度為64比特
C、IV值以明文形式存儲(chǔ)
D、IV值都為全0

4668
多項(xiàng)選擇題 在密評(píng)中，當(dāng)證書(shū)認(rèn)證系統(tǒng)作為測(cè)評(píng)對(duì)象時(shí)，以下測(cè)評(píng)實(shí)施合理的包括（）。

A、對(duì)信息系統(tǒng)內(nèi)部署證書(shū)認(rèn)證系統(tǒng)，測(cè)評(píng)人員可以參考 GM/T 0037《證書(shū)認(rèn)證系統(tǒng)檢測(cè)規(guī)范》和GM/T 0038《證書(shū)認(rèn)證密鑰管理系統(tǒng)檢測(cè)規(guī)范》的要求進(jìn)行測(cè)評(píng)
B、通過(guò)查看數(shù)字證書(shū)擴(kuò)展項(xiàng)KeyUsage 字段，確定證書(shū)類型（簽名證書(shū)或加密證書(shū)），并驗(yàn)證數(shù)字證書(shū)及其相關(guān)私鑰是否正確使用
C、通過(guò)數(shù)字證書(shū)格式合規(guī)性分析，驗(yàn)證生成或使用的證書(shū)格式是否符合 GM/T 0015《基于 SM2 密碼算法的數(shù)字證書(shū)格式規(guī)范》的有關(guān)要求
D、檢查證書(shū)認(rèn)證系統(tǒng)中所使用的密碼機(jī)等是否具備商用密碼產(chǎn)品認(rèn)證證書(shū)

4669
多項(xiàng)選擇題 在密評(píng)中，當(dāng)電子門禁系統(tǒng)作為測(cè)評(píng)對(duì)象時(shí)，以下測(cè)評(píng)實(shí)施合理的包括（）。

A、嘗試發(fā)一些錯(cuò)誤的門禁卡，驗(yàn)證這些卡無(wú)法打開(kāi)門禁
B、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗(yàn)證非授權(quán)的卡無(wú)法打開(kāi)門禁
C、對(duì)電子門禁系統(tǒng)是否滿足GM/T 0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測(cè)
D、檢查電子門禁系統(tǒng)中所使用的智能卡、密碼機(jī)等是否具備商用密碼產(chǎn)品認(rèn)證證書(shū)

4670
多項(xiàng)選擇題 在密評(píng)中，當(dāng)IPSec VPN保護(hù)的通道作為測(cè)評(píng)對(duì)象時(shí)，以下測(cè)評(píng)實(shí)施合理的包括（）。

A、抓取IPSec通信報(bào)文進(jìn)行分析算法使用情況，以及對(duì)數(shù)字證書(shū)開(kāi)展合規(guī)性分析
B、查看IPSec VPN的配置情況
C、檢查IPSec VPN等是否具備商用密碼產(chǎn)品認(rèn)證證書(shū)
D、對(duì)IPSec VPN是否滿足GM/T 0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測(cè)認(rèn)證

4671
多項(xiàng)選擇題 如果設(shè)備登錄需要使用智能密碼鑰匙，那么開(kāi)展密評(píng)時(shí)，以下測(cè)評(píng)實(shí)施合理的包括（）。

A、在模擬的主機(jī)或抽選的主機(jī)上安裝監(jiān)控軟件（如Bus Hound），用于對(duì)智能密碼鑰匙的APDU指令進(jìn)行抓取和分析，確認(rèn)調(diào)用指令格式和內(nèi)容符合預(yù)期（如口令和密鑰是加密傳輸?shù)?#xff09;
B、如果智能密碼鑰匙存儲(chǔ)有數(shù)字證書(shū)，測(cè)評(píng)人員可以將數(shù)字證書(shū)導(dǎo)出后，對(duì)數(shù)字證書(shū)合規(guī)性進(jìn)行檢測(cè)
C、檢查智能密碼鑰匙是否具備商用密碼產(chǎn)品認(rèn)證證書(shū)
D、對(duì)智能密碼鑰匙是否滿足GM/T 0028《密碼模塊安全技術(shù)要求》進(jìn)行檢測(cè)認(rèn)證

4672
多項(xiàng)選擇題 在密評(píng)中發(fā)現(xiàn)被測(cè)信息系統(tǒng)使用了以下密碼算法和密碼技術(shù)，合規(guī)的是（）。

A、SM4-GCM
B、SM3-HMAC
C、TLS 1.3
D、TLCP

4673
多項(xiàng)選擇題 在對(duì)信息系統(tǒng)進(jìn)行密鑰管理測(cè)評(píng)時(shí)，以下存在風(fēng)險(xiǎn)的有（）。

A、DH密鑰協(xié)商前或協(xié)商過(guò)程中未進(jìn)行身份鑒別
B、利用口令派生的密鑰進(jìn)行傳輸通信保護(hù)
C、一個(gè)密鑰同時(shí)用于加密和MAC
D、IV和計(jì)數(shù)器值公開(kāi)傳遞

4674
多項(xiàng)選擇題 測(cè)評(píng)人員在測(cè)評(píng)時(shí)，發(fā)現(xiàn)以下情況，其中密碼應(yīng)用合規(guī)正確的有( )。

A、通信雙方進(jìn)行加密通信前，使用了雙證書(shū)中的加密證書(shū)進(jìn)行SM2密鑰協(xié)商
B、通信雙方使用TLS 1.3進(jìn)行通信，并將其中的密碼算法全部替換為 SM2/SM3/SM4
C、用戶使用SM4-CTR進(jìn)行加密時(shí)，以隨機(jī)數(shù)和當(dāng)前時(shí)間值的拼接作為計(jì)數(shù)器值，將計(jì)數(shù)器值以明文形式與密文一并發(fā)送給接收方
D、信息系統(tǒng)使用同一個(gè)數(shù)據(jù)密鑰采用 SM4-CBC模式對(duì)所有用戶的性別信息進(jìn)行加密保護(hù)，并使用全0的IV值

4675
多項(xiàng)選擇題 密評(píng)人員對(duì)SSL VPN進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn){0xe0 ，0x13}后，以下判斷合理的是（）。

A、SSL VPN的兩端進(jìn)行了雙向身份鑒別
B、SSL VPN的兩端利用 ECDH協(xié)議進(jìn)行密鑰交換
C、SSL VPN的兩端采用 SM4算法實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)臋C(jī)密性保護(hù)
D、SSL VPN的兩端采用 HMAC-SM3算法實(shí)現(xiàn)數(shù)據(jù)傳輸?shù)耐暾员Ｗo(hù)

4676
多項(xiàng)選擇題 密評(píng)人員在檢查數(shù)據(jù)庫(kù)中存儲(chǔ)的口令雜湊值時(shí)，發(fā)現(xiàn)以下情況：（1）A和B有相同的口令雜湊值；（2）口令雜湊值長(zhǎng)度均為256比特。
以下分析正確的是（）。

A、可以確定使用了SM3對(duì)口令進(jìn)行雜湊保護(hù)
B、可能采用了MD5對(duì)口令進(jìn)行雜湊計(jì)算
C、計(jì)算口令雜湊值時(shí)可能未加入用戶唯一的鹽值
D、A和B可能共享相同的口令

4677
多項(xiàng)選擇題 對(duì)于托管到IDC機(jī)房的信息系統(tǒng)，測(cè)評(píng)其物理和環(huán)境安全層面，較為合理的做法有（）。

A、若IDC機(jī)房通過(guò)密評(píng)，則可以復(fù)用該機(jī)房的密評(píng)結(jié)論
B、若IDC機(jī)房未通過(guò)密評(píng)，對(duì)于條件不允許的情況，可通過(guò) IDC機(jī)房運(yùn)維方提供的相關(guān)說(shuō)明文件和有關(guān)證據(jù)，進(jìn)而給出測(cè)評(píng)結(jié)論
C、若IDC機(jī)房未通過(guò)密評(píng)，則需要現(xiàn)場(chǎng)測(cè)評(píng)取證，判定該機(jī)房的符合程度
D、無(wú)論IDC機(jī)房是否通過(guò)密評(píng)，由于機(jī)房的責(zé)任主體不屬于該信息系統(tǒng)責(zé)任方，所以該機(jī)房的測(cè)評(píng)結(jié)論應(yīng)是“不適用”

4678
多項(xiàng)選擇題 在測(cè)評(píng)某一信息系統(tǒng)時(shí)，其設(shè)備和計(jì)算安全層面可能涉及的測(cè)評(píng)對(duì)象有（）。

A、數(shù)據(jù)庫(kù)管理系統(tǒng)
B、虛擬機(jī)
C、應(yīng)用服務(wù)器
D、VPN網(wǎng)關(guān)

4679
多項(xiàng)選擇題 重要數(shù)據(jù)存儲(chǔ)完整性可以通過(guò)以下（）密碼技術(shù)實(shí)現(xiàn)。

A、帶鹽的SM3
B、HMAC-SHA256
C、CMAC-SM4
D、SM2數(shù)字簽名

4680
多項(xiàng)選擇題 網(wǎng)絡(luò)和通信安全層面的測(cè)評(píng)對(duì)象識(shí)別與確認(rèn)應(yīng)考慮以下因素（）。

A、網(wǎng)絡(luò)類型
B、通信人員
C、傳輸數(shù)據(jù)
D、通信主體

4681
多項(xiàng)選擇題 測(cè)評(píng)人員在核查“傳輸機(jī)密性”密碼功能時(shí)，可能需要關(guān)注以下內(nèi)容（）。

A、重要數(shù)據(jù)或鑒別信息是否為密文
B、密文數(shù)據(jù)長(zhǎng)度是否符合預(yù)期
C、相關(guān)密碼產(chǎn)品中密鑰類型
D、相關(guān)密碼產(chǎn)品中密碼算法類型

4682
多項(xiàng)選擇題 測(cè)評(píng)人員在核查“傳輸完整性”密碼功能時(shí)，可能需要關(guān)注以下內(nèi)容（）。

A、數(shù)字簽名數(shù)據(jù)長(zhǎng)度
B、MAC值長(zhǎng)度
C、使用對(duì)應(yīng)公鑰能否對(duì)簽名值通過(guò)驗(yàn)簽操作
D、相關(guān)密碼產(chǎn)品中加密算法類型

4683
多項(xiàng)選擇題 測(cè)評(píng)人員在核查“真實(shí)性”密碼功能時(shí)，可能需要關(guān)注以下內(nèi)容（）。

A、發(fā)送的挑戰(zhàn)值是否每次均不重復(fù)
B、使用對(duì)應(yīng)公鑰能否對(duì)簽名值通過(guò)驗(yàn)簽操作
C、公鑰或?qū)ΨQ密鑰與實(shí)體的綁定方式
D、對(duì)數(shù)字證書(shū)格式正確性進(jìn)行驗(yàn)證

4684
多項(xiàng)選擇題 對(duì)某政務(wù)外網(wǎng)信息系統(tǒng)開(kāi)展測(cè)評(píng)時(shí)，網(wǎng)絡(luò)和通信安全層面的測(cè)評(píng)對(duì)象可包括（）。

A、互聯(lián)網(wǎng)用戶通過(guò)瀏覽器訪問(wèn)該系統(tǒng)服務(wù)網(wǎng)站的HTTP通信信道
B、該系統(tǒng)與政務(wù)外網(wǎng)上其他單位的系統(tǒng)之間的通信信道
C、異地辦事人員訪問(wèn)該系統(tǒng)建立的VPN通信信道
D、該系統(tǒng)移動(dòng)端APP訪問(wèn)服務(wù)端建立的 HTTPS通信信道

4685
多項(xiàng)選擇題 以下關(guān)于用戶密鑰的存儲(chǔ)方式， 說(shuō)法正確的是（）。

A、數(shù)據(jù)加密密鑰在經(jīng)過(guò)檢測(cè)認(rèn)證的三級(jí)密碼模塊中存儲(chǔ)
B、SM2簽名私鑰經(jīng) SM4-GCM加密后存儲(chǔ)在數(shù)據(jù)庫(kù)中
C、SM2簽名證書(shū)明文存儲(chǔ)在應(yīng)用服務(wù)器中
D、SM4密鑰經(jīng)SHA1加密存儲(chǔ)在數(shù)據(jù)庫(kù)

4686
多項(xiàng)選擇題 應(yīng)急廣播消息一般用于發(fā)布事關(guān)人民群眾的生命財(cái)產(chǎn)安全的內(nèi)容，消息發(fā)布過(guò)程一旦遭到非授權(quán)破壞，將會(huì)嚴(yán)重?cái)_亂社會(huì)秩序。
針對(duì)應(yīng)急廣播業(yè)務(wù)場(chǎng)景中應(yīng)急廣播消息的安全需求分析，正確的是（）。

A、消息來(lái)源真實(shí)性
B、消息傳輸機(jī)密性
C、消息播發(fā)行為的不可否認(rèn)性
D、消息傳輸完整性

4687
多項(xiàng)選擇題 在電子不停車收費(fèi)系統(tǒng)（ETC）中，車輛通過(guò)辦理和安裝ETC卡，實(shí)現(xiàn)車輛在高速收費(fèi)站的流水?dāng)?shù)據(jù)的產(chǎn)生、傳輸和繳費(fèi)等功能。
對(duì)于該業(yè)務(wù)場(chǎng)景的安全需求分析，正確的是（）。

A、車輛途經(jīng)收費(fèi)站 時(shí)，收費(fèi)站和車輛的雙向鑒別
B、車輛信息、扣費(fèi)金額等業(yè)務(wù)數(shù)據(jù)的傳輸完整性
C、收費(fèi)站將ETC業(yè)務(wù)數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費(fèi)中心時(shí)的網(wǎng)絡(luò)通信實(shí)體身份鑒別
D、收費(fèi)站將ETC業(yè)務(wù)數(shù)據(jù)傳輸?shù)绞÷?lián)網(wǎng)收費(fèi)中心時(shí)的通信數(shù)據(jù)完整性保護(hù)

4688
多項(xiàng)選擇題 關(guān)于電子門禁系統(tǒng)的實(shí)操測(cè)試，以下描述正確的有（）。

A、嘗試復(fù)制門禁卡，驗(yàn)證是否可以進(jìn)行有效復(fù)制
B、修改某一條門禁訪問(wèn)日志記錄，驗(yàn)證是否有篡改成功
C、對(duì)每條記錄分別生成MAC值并存放在該條記錄后面一列的做法是可以滿足“電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性”要求的
D、利用發(fā)卡系統(tǒng)分發(fā)不同權(quán)限的卡，驗(yàn)證未授權(quán)的卡無(wú)法打開(kāi)門禁

4689
多項(xiàng)選擇題 信息系統(tǒng)中使用的服務(wù)器密碼機(jī)作為測(cè)評(píng)對(duì)象，針對(duì)“設(shè)備和計(jì)算安全”層面的“身份鑒別”指標(biāo)，服務(wù)器密碼機(jī)采用以下（）鑒別方式時(shí)可以判定為符合。

A、智能IC卡
B、智能密碼鑰匙+口令
C、口令
D、智能密碼鑰匙

4690
多項(xiàng)選擇題 針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)，以下登錄方式最高可以得1分的是（）。

A、用戶名+短信驗(yàn)證碼
B、用戶名+智能密碼鑰匙+PIN碼
C、人臉+指紋
D、用戶名+動(dòng)態(tài)令牌

4691
多項(xiàng)選擇題 某三級(jí)信息系統(tǒng)已運(yùn)行5年，針對(duì)“建設(shè)運(yùn)行”部分的“定期開(kāi)展密碼應(yīng)用安全性評(píng)估及攻防對(duì)抗演習(xí) ”指標(biāo)開(kāi)展測(cè)評(píng)時(shí)，以下（）可以作為測(cè)評(píng)證據(jù)。

A、上一次的密評(píng)報(bào)告
B、攻防對(duì)抗演習(xí)報(bào)告
C、對(duì)上一次密評(píng)過(guò)程中存在的問(wèn)題進(jìn)行整改的文件
D、等級(jí)保護(hù)測(cè)評(píng)報(bào)告

4692
多項(xiàng)選擇題 信息系統(tǒng)中使用的用于業(yè)務(wù)數(shù)據(jù)保護(hù)的密鑰，以下做法不正確的是（）。

A、同一個(gè)密鑰既用于加密保護(hù)又用于安全認(rèn)證
B、公鑰明文存儲(chǔ)在數(shù)據(jù)庫(kù)中，未進(jìn)行完整性保護(hù)
C、在進(jìn)行簽名驗(yàn)簽前未對(duì)公鑰證書(shū)有效性進(jìn)行驗(yàn)證
D、對(duì)簽名私鑰進(jìn)行歸檔

4693
多項(xiàng)選擇題 某網(wǎng)上銀行交易系統(tǒng)，用戶交易信息由用戶智能密碼鑰匙使用SM2算法進(jìn)行數(shù)字簽名后傳輸，實(shí)現(xiàn)交易數(shù)據(jù)原發(fā)行為的不可否認(rèn)性，數(shù)字簽名算法實(shí)現(xiàn)正確。
針對(duì)“應(yīng)用和數(shù)據(jù)安全”層面的“不可否認(rèn)性”指標(biāo)，可能的分值是（）。

A、0
B、0.25
C、0.5
D、1

4694
多項(xiàng)選擇題 以下情況可能會(huì)導(dǎo)致系統(tǒng)的整體評(píng)估結(jié)論為“不符合”的是（）。

A、某三級(jí)信息系統(tǒng)制定了密碼應(yīng)用方案且方案通過(guò)評(píng)審，在測(cè)評(píng)時(shí)發(fā)現(xiàn)系統(tǒng)存在一個(gè)高風(fēng)險(xiǎn)項(xiàng)
B、在對(duì)某運(yùn)行過(guò)程中的四級(jí)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)發(fā)現(xiàn)，被測(cè)單位未建立任何與密碼應(yīng)用安全管理活動(dòng)相關(guān)的管理制度
C、某三級(jí)信息系統(tǒng)未采用密碼技術(shù)對(duì)存儲(chǔ)的重要數(shù)據(jù)進(jìn)行完整性保護(hù)，但系統(tǒng)具有符合要求的身份鑒別措施，保證只有授權(quán)人員才能訪問(wèn)應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對(duì)重要數(shù)據(jù)進(jìn)行備份
D、某四級(jí)電子公文系統(tǒng)使用RSA-1024、 SHA-1算法對(duì)業(yè)務(wù)員的關(guān)鍵行為進(jìn)行數(shù)字簽名，以實(shí)現(xiàn)關(guān)鍵操作行為的不可否認(rèn)性

4695
多項(xiàng)選擇題 在對(duì)醫(yī)療機(jī)構(gòu)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)，涉及不可否認(rèn)性需求的可能有（）。

A、病例完成時(shí)間的不可否認(rèn)性
B、醫(yī)護(hù)人員開(kāi)具處方的不可否人性
C、患者知情同意文書(shū)簽署的不可否認(rèn)性
D、電子病例書(shū)寫的不可否任性

4696
多項(xiàng)選擇題 某四級(jí)信息系統(tǒng)的責(zé)任單位可采用以下（）機(jī)制以滿足“人員管理”方面的要求。

A、設(shè)置密鑰管理員、密碼安全審計(jì)員、密碼操作員并分別由甲、乙、丙三人擔(dān)任
B、關(guān)鍵崗位人員由機(jī)構(gòu)內(nèi)部人員擔(dān)任，并在任前進(jìn)行背景調(diào)查
C、建立上崗人員培訓(xùn)制度，對(duì)涉及密碼的操作和管理人員進(jìn)行專門培訓(xùn)
D、建立人員保密和調(diào)離制度，簽訂保密合同

4697
多項(xiàng)選擇題 云平臺(tái)中使用的云服務(wù)器密碼機(jī)作為測(cè)評(píng)對(duì)象時(shí)，應(yīng)滿足以下管理要求（）。

A、云服務(wù)器密碼機(jī)的宿主機(jī)由云平臺(tái)或云服務(wù)器密碼機(jī)所有者進(jìn)行管理和使用，虛擬密碼機(jī)由租戶管理和使用
B、宿主機(jī)和不同的虛擬密碼機(jī)不能相互訪問(wèn)對(duì)方的管理員賬號(hào)、口令
C、云服務(wù)器密碼機(jī)的宿主機(jī)接受云平臺(tái)管理系統(tǒng)的集中統(tǒng)一管理，虛擬密碼機(jī)不接受云平臺(tái)管理系統(tǒng)的集中統(tǒng)一管理，可由虛擬密碼機(jī)所屬租戶自己的管理系統(tǒng)進(jìn)行集中統(tǒng)一管理
D、云服務(wù)器密碼機(jī)的宿主機(jī)和不同虛擬密碼機(jī)的遠(yuǎn)程管理通道應(yīng)彼此獨(dú)立，并采用加密和身份鑒別等技術(shù)手段對(duì)遠(yuǎn)程管理通道進(jìn)行保護(hù)

4698
多項(xiàng)選擇題 針對(duì)“網(wǎng)絡(luò)和通信安全”層面的測(cè)評(píng)，以下描述不合理的是（）。

A、某三級(jí)信息系統(tǒng)，移動(dòng)終端用戶通過(guò) SSL VPN訪問(wèn)內(nèi)網(wǎng)資源，移動(dòng)終端與SSL VPN之間必須實(shí)現(xiàn)雙向身份鑒別
B、如果被測(cè)系統(tǒng)的遠(yuǎn)程管理通道存在跨網(wǎng)絡(luò)的情況，那么該遠(yuǎn)程管理通道也應(yīng)該作為“網(wǎng)絡(luò)和通信安全”層面的測(cè)評(píng)對(duì)象
C、某三級(jí)信息系統(tǒng)互聯(lián)網(wǎng)PC端用戶可以通過(guò)HTTP或者國(guó)密 SSL協(xié)議兩種方式訪問(wèn)被測(cè)信息系統(tǒng)，針對(duì)“通信數(shù)據(jù)完整性”和“通信過(guò)程中重要數(shù)據(jù)機(jī)密性”指標(biāo)可以直接判定為符合
D、某三級(jí)信息系統(tǒng)主機(jī)房和災(zāi)備機(jī)房之間通過(guò)部署IPSec VPN設(shè)備建立安全傳輸通道，那么該網(wǎng)絡(luò)通信信道的測(cè)評(píng)只能以主機(jī)房的 IPSec VPN設(shè)備作為測(cè)評(píng)接入點(diǎn)

4699
多項(xiàng)選擇題 在車路協(xié)同通信場(chǎng)景中，可以采用以下（）方式開(kāi)展測(cè)評(píng)。

A、在被測(cè)車輛無(wú)線通信范圍內(nèi)，使用無(wú)線協(xié)議分析類工具抓取智能車輛發(fā)送的通信數(shù)據(jù)，核實(shí)其消息中是否附加了數(shù)字簽名
B、通過(guò)文檔審查、配置檢查等方式驗(yàn)證車輛接收消息時(shí)是否驗(yàn)證了數(shù)字簽名以及簽名所用證書(shū)的有效性
C、在核實(shí)數(shù)字證書(shū)合法性和有效性時(shí)，應(yīng)注意數(shù)字證書(shū)管理的各個(gè)環(huán)節(jié)
D、查看和核實(shí)信息系統(tǒng)使用的各密碼產(chǎn)品的商用密碼產(chǎn)品認(rèn)證證書(shū)

4700
多項(xiàng)選擇題 如果發(fā)現(xiàn)被測(cè)信息系統(tǒng)采用對(duì)稱密碼體制，使用“密鑰加密密鑰-數(shù)據(jù)密鑰”的二層密鑰體系進(jìn)行數(shù)據(jù)的傳輸加密，以下測(cè)評(píng)實(shí)施合理的包括（）。

A、檢查密鑰加密密鑰分發(fā)時(shí)是否抗截取、篡改、假冒等攻擊
B、檢查密鑰加密密鑰分發(fā)時(shí)密鑰的機(jī)密性、完整性等
C、檢查數(shù)據(jù)密鑰分發(fā)時(shí)是否抗截取、篡改、假冒等攻擊
D、檢查數(shù)據(jù)密鑰分發(fā)時(shí)密鑰的機(jī)密性、完整性等

4701
多項(xiàng)選擇題 某四級(jí)信息系統(tǒng)中， 采用SSL VPN保護(hù)通信信道， 使用Wireshark 工具得知所使用的套件為 ECC_SM4_SM3，但沒(méi)有抓取到Certificate Request報(bào)文，以下分析正確的是（）。

A、該通道可以滿足雙向鑒別的“身份鑒別”指標(biāo)要求
B、該通道無(wú)法滿足雙向鑒別的“身份鑒別”指標(biāo)要求
C、在Server Certificate報(bào)文可以抓取到SM2證書(shū)
D、抓包時(shí)無(wú)法獲得客戶端證書(shū)

4702
多項(xiàng)選擇題 關(guān)于數(shù)字證書(shū)的使用，以下存在風(fēng)險(xiǎn)的有（）。

A、證書(shū)中未標(biāo)明持有者的身份
B、證書(shū)在使用前未驗(yàn)證真實(shí)性和有效性
C、未及時(shí)更新CRL或未使用OCSP查詢證書(shū)狀態(tài)
D、CA簽發(fā)的用戶證書(shū)在未保護(hù)的通道中進(jìn)行分發(fā)

4703
多項(xiàng)選擇題 某信息系統(tǒng)采用專線來(lái)進(jìn)行網(wǎng)絡(luò)傳輸，但未采用密碼技術(shù)進(jìn)行保護(hù)。
以該專線作為測(cè)評(píng)對(duì)象時(shí)，以下說(shuō)法正確的是()。

A、量化評(píng)估時(shí)，該測(cè)評(píng)對(duì)象的分值為0.5
B、量化評(píng)估時(shí)，該測(cè)評(píng)對(duì)象的分值為0
C、該測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果可能會(huì)導(dǎo)致信息系統(tǒng)整體測(cè)評(píng)結(jié)果為“不符合”
D、該測(cè)評(píng)對(duì)象的測(cè)評(píng)結(jié)果將一定不會(huì)導(dǎo)致信息系統(tǒng)整體測(cè)評(píng)結(jié)果為“不符合”

4704
多項(xiàng)選擇題 以下做法正確的有（）。

A、利用經(jīng)檢測(cè)認(rèn)證合格的智能密碼鑰匙、智能 IC 卡、動(dòng)態(tài)令牌等作為用戶登錄應(yīng)用的憑證
B、使用SM2對(duì)口令加密后傳輸，實(shí)現(xiàn)可抗重放攻擊的身份鑒別
C、利用經(jīng)檢測(cè)認(rèn)證合格的服務(wù)器密碼機(jī)等設(shè)備對(duì)重要數(shù)據(jù)進(jìn)行加密、計(jì)算 MAC 或簽名后存儲(chǔ)在數(shù)據(jù)庫(kù)中，實(shí)現(xiàn)對(duì)重要數(shù)據(jù)在存儲(chǔ)過(guò)程中的保密性和完整性保護(hù)
D、利用經(jīng)檢測(cè)認(rèn)證合格的簽名驗(yàn)簽服務(wù)器、智能密碼鑰匙、電子簽章系統(tǒng)、時(shí)間戳服務(wù)器等設(shè)備實(shí)現(xiàn)對(duì)可能涉及法律責(zé)任認(rèn)定的數(shù)據(jù)原發(fā)、接收行為的不可否認(rèn)性保護(hù)

4705
多項(xiàng)選擇題 某信息系統(tǒng)客戶端APP與服務(wù)端之間通過(guò)SSL VPN建立的安全傳輸通道，對(duì)網(wǎng)絡(luò)和通信安全進(jìn)行保護(hù)，通過(guò)抓取和分析通信數(shù)據(jù)包，使用的密碼套件為 TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，以下分析正確的是（）。

A、該協(xié)議使用RSA密碼算法的數(shù)字信封功能進(jìn)行密鑰協(xié)商
B、該協(xié)議使用AES-256的GCM工作模式保護(hù)傳輸數(shù)據(jù)的機(jī)密性
C、無(wú)法確定所使用RSA算法的密鑰長(zhǎng)度，還需要抓取傳輸中涉及的證書(shū)進(jìn)行判斷
D、該協(xié)議使用AES-256的GCM工作模式保護(hù)傳輸數(shù)據(jù)的完整性

4706
多項(xiàng)選擇題 經(jīng)檢測(cè)認(rèn)證合格的密碼產(chǎn)品作為測(cè)評(píng)對(duì)象，關(guān)于其設(shè)備和計(jì)算安全層面的判定，正確的是（）。

A、身份鑒別一定是“符合”
B、日志記錄完整性為“符合”
C、遠(yuǎn)程管理通道安全性一定是“不適用”
D、重要可執(zhí)行程序完整性、重要可執(zhí)行程序來(lái)源真實(shí)性為“符合”

4707
多項(xiàng)選擇題 針對(duì)車聯(lián)網(wǎng)OTA升級(jí)場(chǎng)景下的安全需求分析，正確的是（）。

A、智能網(wǎng)聯(lián)汽車接入運(yùn)營(yíng)商網(wǎng)絡(luò)的安全認(rèn)證
B、OTA平臺(tái)與智能網(wǎng)聯(lián)汽車的通信實(shí)體真實(shí)性
C、OTA升級(jí)包來(lái)源的真實(shí)性
D、OTA升級(jí)包傳輸完整性

4708
多項(xiàng)選擇題 在針對(duì)“設(shè)備和計(jì)算安全”層面進(jìn)行測(cè)評(píng)時(shí)，以下描述較為合理的是（）。

A、交換機(jī)、網(wǎng)閘、防火墻一般不作為設(shè)備和計(jì)算安全層面的測(cè)評(píng)對(duì)象
B、某三級(jí)信息系統(tǒng)部署了3臺(tái)同一型號(hào)的 SSL VPN，在密評(píng)報(bào)告中可以將這三個(gè) SSL VPN作為一個(gè)測(cè)評(píng)對(duì)象，但在進(jìn)行量化評(píng)估時(shí)，D/A/K需以這三個(gè)SSL VPN的實(shí)際應(yīng)用情況的最低分值賦分
C、設(shè)備和計(jì)算安全層面的“身份鑒別”指標(biāo)無(wú)法彌補(bǔ)“應(yīng)用和數(shù)據(jù)安全”層面的“身份鑒別”指標(biāo)
D、針對(duì)整機(jī)類密碼產(chǎn)品的“身份鑒別”指標(biāo)可以直接判定為符合

4709

判斷題 對(duì)各個(gè)層面的“身份鑒別”指標(biāo)測(cè)試時(shí)，主要檢查所使用的密碼算法是否合規(guī)和相應(yīng)的密鑰管理是否安全，抗重放攻擊不是該指標(biāo)的考察范圍。

A、正確
B、錯(cuò)誤

4710

判斷題 如果某個(gè)服務(wù)器密碼機(jī)部署在核心交換機(jī)上，且沒(méi)有部署必要的邏輯隔離措施，這種部署方式存在很高的安全隱患。

A、正確
B、錯(cuò)誤

4711

判斷題 在進(jìn)行測(cè)評(píng)時(shí)，發(fā)現(xiàn)某系統(tǒng)的主密鑰采用知識(shí)拆分的方式進(jìn)行導(dǎo)出，但是在做密鑰分片存儲(chǔ)時(shí)，使用同一個(gè)人的同一個(gè)智能密碼鑰匙進(jìn)行保存，這種方式是不安全的。

A、正確
B、錯(cuò)誤

4712

判斷題 判斷以下做法是否正確：CA簽發(fā)證書(shū)后，用戶將私鑰和數(shù)字證書(shū)存放在用戶的U盤內(nèi)保存。

A、正確
B、錯(cuò)誤

4713

判斷題 公鑰必須保護(hù)其與實(shí)體的綁定關(guān)系，對(duì)稱密鑰沒(méi)有這種必要，因此在測(cè)評(píng)時(shí)，主要關(guān)注的是對(duì)稱密鑰的機(jī)密性和完整性。

A、正確
B、錯(cuò)誤

4714

判斷題 因通信鏈路上可能承載多個(gè)不同應(yīng)用，這些應(yīng)用可能需要對(duì)各自的用戶實(shí)施更細(xì)粒度的身份標(biāo)記和鑒別，因此，網(wǎng)絡(luò)和通信安全層面的鑒別一般情況下不能替代其他層面的鑒別。

A、正確
B、錯(cuò)誤

4715

判斷題 如果將密鑰以密文形式存放在數(shù)據(jù)庫(kù)中，對(duì)其采用SM4-GCM保護(hù)機(jī)密性和完整性即可，無(wú)需對(duì)密鑰密文和用戶的關(guān)聯(lián)關(guān)系進(jìn)行完整性保護(hù)。

A、正確
B、錯(cuò)誤

4716

判斷題 只需要對(duì)口令進(jìn)行HMAC-SM3計(jì)算，就可以保證口令不被替換，實(shí)現(xiàn)實(shí)體與口令的綁定。

A、正確
B、錯(cuò)誤

4717

判斷題 在測(cè)評(píng)時(shí)發(fā)現(xiàn)系統(tǒng)數(shù)據(jù)庫(kù)中存儲(chǔ)的用戶口令是加鹽存儲(chǔ)的，鹽值采用的策略是每100個(gè)用戶換一個(gè)鹽值的方式，該實(shí)現(xiàn)是安全的。

A、正確
B、錯(cuò)誤

4718

判斷題 某部署在運(yùn)營(yíng)商機(jī)房的信息系統(tǒng)，其物理機(jī)房完全由運(yùn)營(yíng)商托管，那么對(duì)該信息系統(tǒng)進(jìn)行密評(píng)時(shí)，物理和環(huán)境安全層面視為“不適用”。

A、正確
B、錯(cuò)誤

4719

判斷題 某信息系統(tǒng)網(wǎng)絡(luò)通道僅采用HTTP協(xié)議傳輸報(bào)文，但該通道中傳輸?shù)臄?shù)據(jù)在應(yīng)用和數(shù)據(jù)安全層面采用密碼技術(shù)進(jìn)行保護(hù)，“重要數(shù)據(jù)傳輸機(jī)密性 ”“重要數(shù)據(jù)傳輸完整性”這兩項(xiàng)指標(biāo)中得到“符合”的判定結(jié)果。
那么“通信過(guò)程中重要數(shù)據(jù)的機(jī)密性 ”的安全風(fēng)險(xiǎn)等級(jí)可以酌情降低。

A、正確
B、錯(cuò)誤

4720

判斷題 開(kāi)展信息系統(tǒng)密評(píng)時(shí)，“設(shè)備遠(yuǎn)程管理通道安全”測(cè)評(píng)項(xiàng)可能涉及“網(wǎng)絡(luò)和通信安全”和“設(shè)備和計(jì)算安全”兩個(gè)層面。

A、正確
B、錯(cuò)誤

4721

判斷題 在密評(píng)中發(fā)現(xiàn)，信息系統(tǒng)采用一臺(tái)服務(wù)器密碼機(jī)實(shí)現(xiàn)對(duì)數(shù)據(jù)加密密鑰的管理，但該密碼機(jī)對(duì)應(yīng)的產(chǎn)品認(rèn)證證書(shū)在測(cè)評(píng)時(shí)已過(guò)期（該密碼機(jī)采購(gòu)時(shí)間在認(rèn)證證書(shū)有效期內(nèi)）。
針對(duì)這種情形，“密鑰管理安全性”一定是“不符合”。

A、正確
B、錯(cuò)誤

4722

判斷題 在應(yīng)用和數(shù)據(jù)安全層面，某信息系統(tǒng)開(kāi)發(fā)人員對(duì)重要數(shù)據(jù)的傳輸機(jī)密性保護(hù)采用AES-CBC實(shí)現(xiàn)，對(duì)重要數(shù)據(jù)的傳輸完整性保護(hù)采用基于AES的 CBC-MAC實(shí)現(xiàn)，由于這兩項(xiàng)指標(biāo)對(duì)應(yīng)保護(hù)的數(shù)據(jù)不同，因此開(kāi)發(fā)人員使用了同一個(gè)密鑰執(zhí)行上述密碼算法計(jì)算。
這種做法是合理的。

A、正確
B、錯(cuò)誤

4723

判斷題 由于防火墻、邊界路由器屬于網(wǎng)絡(luò)安全產(chǎn)品范疇，在密評(píng)時(shí)通常不考慮作為測(cè)評(píng)對(duì)象。
所以“網(wǎng)絡(luò)邊界訪問(wèn)控制信息的完整性”測(cè)評(píng)指標(biāo)的核查只需要確認(rèn)VPN網(wǎng)關(guān)中相應(yīng)的安全機(jī)制即可。

A、正確
B、錯(cuò)誤

4724

判斷題 某信息系統(tǒng)的設(shè)備運(yùn)維路徑為：設(shè)備管理員操作終端-堡壘機(jī)-應(yīng)用服務(wù)器，其中：1）從操作終端到堡壘機(jī)采用HTTPS/TLS1.2（ 選用密碼套件為 TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384）提供運(yùn)維通道保護(hù)；2）從堡壘機(jī)到服務(wù)器采用SSHv2.0提供運(yùn)維通道保護(hù)。
那么應(yīng)用服務(wù)器的“遠(yuǎn)程管理通道安全”測(cè)評(píng)指標(biāo)的判定結(jié)果為“部分符合”。

A、正確
B、錯(cuò)誤

4725

判斷題 密評(píng)人員在測(cè)評(píng)某信息系統(tǒng)應(yīng)用和數(shù)據(jù)安全層面的“身份鑒別”指標(biāo)時(shí)發(fā)現(xiàn)，該信息系統(tǒng)有應(yīng)用管理員和普通用戶兩類應(yīng)用用戶，其中應(yīng)用管理員采用基于智能密碼鑰匙（經(jīng)檢測(cè)認(rèn)證合格）的登錄方式，普通用戶采用“口令+短信驗(yàn)證碼”的登錄方式。
那么該測(cè)評(píng)單元的得分為0.5分。

A、正確
B、錯(cuò)誤

4726

判斷題 測(cè)評(píng)人員利用Wireshark，發(fā)現(xiàn)某信息系統(tǒng)傳輸?shù)闹匾獢?shù)據(jù)為密文，數(shù)據(jù)密文長(zhǎng)度為128比特，因此可以判定該數(shù)據(jù)使用SM4或AES密碼算法進(jìn)行了加密保護(hù)。

A、正確
B、錯(cuò)誤

4727

判斷題 在對(duì)物理和環(huán)境安全層面中的“身份鑒別”指標(biāo)測(cè)評(píng)時(shí)，如果被測(cè)信息系統(tǒng)所在物理機(jī)房未采用密碼技術(shù)對(duì)機(jī)房進(jìn)入人員進(jìn)行身份鑒別，但在機(jī)房進(jìn)出口配備專人值守并進(jìn)行登記，且采用視頻監(jiān)控系統(tǒng)進(jìn)行實(shí)施監(jiān)控保證機(jī)房進(jìn)入人員身份的真實(shí)性，可酌情降低風(fēng)險(xiǎn)等級(jí)，但該測(cè)評(píng)指標(biāo)的量化評(píng)估分?jǐn)?shù)依然是0分。

A、正確
B、錯(cuò)誤

4728

判斷題 測(cè)評(píng)人員在對(duì)某三級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，發(fā)現(xiàn)該信息系統(tǒng)運(yùn)行過(guò)程中未發(fā)生任何密碼應(yīng)用安全事件，因此將GB/T 39786中管理要求的“應(yīng)急處置”相關(guān)指標(biāo)列為不適用。

A、正確
B、錯(cuò)誤

4729

判斷題 測(cè)評(píng)人員對(duì)某一級(jí)信息系統(tǒng)測(cè)評(píng)時(shí)，發(fā)現(xiàn)該系統(tǒng)在規(guī)劃階段制定了密碼應(yīng)用方案且通過(guò)了方案評(píng)估，因此針對(duì)“建設(shè)運(yùn)行”層面的“制定密碼應(yīng)用方案”指標(biāo)的量化評(píng)估結(jié)果可以為1分，判定為符合。

A、正確
B、錯(cuò)誤

4730

判斷題 某二級(jí)信息系統(tǒng)除了災(zāi)備機(jī)房外，其中一部分部署在被測(cè)系統(tǒng)單位內(nèi)機(jī)房，另一部分部署在云平臺(tái)（由運(yùn)營(yíng)商托管），那么針對(duì)“物理和環(huán)境安全 ”層面的測(cè)評(píng)對(duì)象僅涉及災(zāi)備機(jī)房和被測(cè)系統(tǒng)單位內(nèi)機(jī)房。

A、正確
B、錯(cuò)誤

4731

判斷題 某二級(jí)信息系統(tǒng)于2019年進(jìn)行規(guī)劃并有密碼應(yīng)用方案且方案通過(guò)評(píng)估，2020年建設(shè)完成后投入運(yùn)行，2021年開(kāi)展首次密評(píng)，測(cè)評(píng)人員在測(cè)評(píng)時(shí)僅以該系統(tǒng)在投入運(yùn)行前未進(jìn)行密碼應(yīng)用安全性評(píng)估為由，對(duì)“建設(shè)運(yùn)行”層面的“投入運(yùn)行前進(jìn)行密碼應(yīng)用安全性評(píng)估”指標(biāo)判定為“不符合”。

A、正確
B、錯(cuò)誤

4732

判斷題 測(cè)評(píng)人員在對(duì)某四級(jí)信息系統(tǒng)進(jìn)行測(cè)評(píng)時(shí)，核實(shí)該信息系統(tǒng)所屬機(jī)構(gòu)建立了密碼應(yīng)用崗位責(zé)任制度，設(shè)置了密鑰管理員、密碼安全審計(jì)員、密碼操作員，其中密鑰管理員和密碼安全審計(jì)員均由被測(cè)系統(tǒng)所屬機(jī)構(gòu)內(nèi)部人員擔(dān)任，密碼操作員由被測(cè)系統(tǒng)承包商擔(dān)任，且密碼安全審計(jì)員與密鑰管理員、密碼操作員為不同人員，因此針對(duì)“人員管理”層面的“建立密碼應(yīng)用崗位責(zé)任制度”指標(biāo)可以判定為符合。

A、正確
B、錯(cuò)誤

4733

判斷題 某三級(jí)信息系統(tǒng)所在機(jī)房部署符合GM/T 0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用指南》的電子門禁系統(tǒng)，使用SM4算法進(jìn)行密鑰分散，實(shí)現(xiàn)門禁卡的“一卡一密”，并基于SM4算法對(duì)人員身份進(jìn)行鑒別，因此該系統(tǒng)在“物理和環(huán)境安全”層面的“電子門禁記錄數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)可以判定為符合。

A、正確
B、錯(cuò)誤

4734

判斷題 某三級(jí)信息系統(tǒng)的系統(tǒng)管理員通過(guò)堡壘機(jī)對(duì)通用服務(wù)器進(jìn)行遠(yuǎn)程管理，系統(tǒng)管理員登錄堡壘機(jī)時(shí)通過(guò)檢測(cè)認(rèn)證合格的安全瀏覽器和智能密碼鑰匙并基于數(shù)字證書(shū)的方式進(jìn)行身份鑒別，數(shù)字簽名算法為SM2，因此該信息系統(tǒng)在“設(shè)備和計(jì)算安全 ”層面的通用服務(wù)器測(cè)評(píng)對(duì)象的“身份鑒別”指標(biāo)可以判定為符合。

A、正確
B、錯(cuò)誤

4735

判斷題 某三級(jí)信息系統(tǒng)使用云服務(wù)器密碼機(jī)對(duì)云平臺(tái)內(nèi)的數(shù)據(jù)進(jìn)行保護(hù)，測(cè)評(píng)人員在對(duì)云服務(wù)器密碼機(jī)進(jìn)行測(cè)評(píng)時(shí)，發(fā)現(xiàn)云服務(wù)器密碼機(jī)的宿主機(jī)和三個(gè)虛擬機(jī)密碼機(jī)均有獨(dú)立的管理界面，并通過(guò)同一管理員進(jìn)行管理，管理員登錄前基于合規(guī)的密碼技術(shù)進(jìn)行了身份鑒別。
因此，對(duì)于虛擬機(jī)密碼機(jī)，針對(duì)“設(shè)備和計(jì)算安全”層面的“身份鑒別”指標(biāo)量化評(píng)估結(jié)果為1分。

A、正確
B、錯(cuò)誤

4736

判斷題 測(cè)評(píng)人員發(fā)現(xiàn)，某二級(jí)信息系統(tǒng)系統(tǒng)未使用任何密碼技術(shù)和密碼產(chǎn)品對(duì)系統(tǒng)相關(guān)的物理和環(huán)境、網(wǎng)絡(luò)和通信、設(shè)備和計(jì)算、應(yīng)用和數(shù)據(jù)安全層面進(jìn)行防護(hù)。
鑒于系統(tǒng)不涉及任何密碼技術(shù)和密碼產(chǎn)品，因此將“管理制度”層面的測(cè)評(píng)指標(biāo)列為不適用。

A、正確
B、錯(cuò)誤

4737

判斷題 “密碼算法和密碼技術(shù)合規(guī)性”測(cè)評(píng)單元在測(cè)評(píng)時(shí)，需要匯集信息系統(tǒng)所有密碼算法和密碼技術(shù)，逐個(gè)分析其合規(guī)性，給出相應(yīng)量化評(píng)估分?jǐn)?shù)。

A、正確
B、錯(cuò)誤

4738

判斷題 判斷以下做法是否正確：用戶身份鑒別完成后，用戶利用簽名私鑰與信息系統(tǒng)進(jìn)行SM2密鑰協(xié)商，協(xié)商出會(huì)話密鑰，利用SM4算法和基于SM3的HMAC算法進(jìn)行通信數(shù)據(jù)的機(jī)密性和完整性保護(hù)。

A、正確
B、錯(cuò)誤

4739

判斷題 判斷以下做法是否正確：用戶在生成SM2簽名密鑰對(duì)時(shí)，以當(dāng)前時(shí)間為種子，利用C語(yǔ)言的rand函數(shù)生成隨機(jī)數(shù)；為了保證隨機(jī)數(shù)的隨機(jī)性，將該隨機(jī)數(shù)再利用SHA-256算法進(jìn)行雜湊計(jì)算，獲得256比特?cái)?shù)據(jù)作為私鑰，并生成對(duì)應(yīng)公鑰。

A、正確
B、錯(cuò)誤

4740

判斷題 某信息系統(tǒng)的設(shè)備運(yùn)維路徑為：設(shè)備管理員終端-堡壘機(jī)-通用設(shè)備。
其中，堡壘機(jī)的“身份鑒別”指標(biāo)的測(cè)評(píng)結(jié)果為“符合”，那么通用設(shè)備（自身采用“用戶名+口令”方式登錄）的“身份鑒別”指標(biāo)的量化評(píng)估分值可以一定程度上得到彌補(bǔ)。

A、正確
B、錯(cuò)誤

4741

判斷題 某三級(jí)信息系統(tǒng)使用服務(wù)器密碼機(jī)（經(jīng)檢測(cè)認(rèn)證合格）對(duì)應(yīng)用的重要數(shù)據(jù)進(jìn)行存儲(chǔ)機(jī)密性保護(hù)，針對(duì)該服務(wù)器密碼機(jī)的“設(shè)備和計(jì)算安全”層面的“身份鑒別”指標(biāo)可以直接判定為符合。

A、正確
B、錯(cuò)誤

4742

判斷題 某三級(jí)信息系統(tǒng)有兩個(gè)獨(dú)立的物理機(jī)房，其中機(jī)房1采用門禁ID卡對(duì)進(jìn)入人員進(jìn)行身份鑒別；機(jī)房2有兩個(gè)門，其中門A采用門禁ID卡對(duì)進(jìn)入人員進(jìn)行身份鑒別，門B通過(guò)部署符合GM/T 0036《采用非接觸卡的門禁系統(tǒng)密碼應(yīng)用技術(shù)指南》的電子門禁系統(tǒng)對(duì)進(jìn)入人員進(jìn)行身份鑒別。
針對(duì)“物理和環(huán)境安全”層面的“身份鑒別”指標(biāo)，機(jī)房1的量化評(píng)估結(jié)果為0分，機(jī)房2的量化評(píng)估結(jié)果為0分。

A、正確
B、錯(cuò)誤

4743

判斷題 測(cè)評(píng)人員在對(duì)某三級(jí)信息系統(tǒng)的人員管理中的“建立密碼應(yīng)用崗位責(zé)任制度”測(cè)評(píng)時(shí)發(fā)現(xiàn)，該信息系統(tǒng)根據(jù)密碼應(yīng)用的實(shí)際情況，設(shè)置甲、乙、丙三人分別擔(dān)任密鑰管理員、密碼安全審計(jì)員、密碼操作員，并建立了崗位責(zé)任制度、確定了各自的崗位職責(zé)，設(shè)備與系統(tǒng)的管理和使用人員都有各自單獨(dú)的賬號(hào)。
因此，該測(cè)評(píng)項(xiàng)可以給1分。

A、正確
B、錯(cuò)誤

4744
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，關(guān)于方案密評(píng)，以下說(shuō)法那種不正確（）。

A、重點(diǎn)判斷系統(tǒng)在某方面是否存在安全風(fēng)險(xiǎn)，通過(guò)總體密碼設(shè)計(jì)是否可以有效解決相應(yīng)的安全問(wèn)題
B、重點(diǎn)對(duì)所有自查符合性進(jìn)行評(píng)估，對(duì)所有自查不適用項(xiàng)和對(duì)應(yīng)論證依據(jù)進(jìn)行逐條核查、評(píng)估
C、應(yīng)注意梳理安全需求，尤其是應(yīng)用和數(shù)據(jù)安全層面各保護(hù)對(duì)象的安全需求
D、重點(diǎn)是對(duì)照GB/T 39786-2021《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行逐條評(píng)估

4745
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下哪項(xiàng)不屬于方案密評(píng)報(bào)告所包含的內(nèi)容（）。

A、報(bào)告分發(fā)范圍
B、密碼應(yīng)用方案
C、密評(píng)委托證明
D、測(cè)評(píng)人員進(jìn)入系統(tǒng)所在機(jī)房的證明記錄

4746
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在方案密評(píng)報(bào)告的“商用密碼應(yīng)用安全性評(píng)估結(jié)論”部分不包括以下哪項(xiàng)（）。

A、方案名稱
B、評(píng)估結(jié)論
C、不適用指標(biāo)數(shù)目
D、密碼應(yīng)用需求

4747
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密碼應(yīng)用方案密評(píng)報(bào)告中的商用密碼應(yīng)用安全性評(píng)估結(jié)論部分包含哪項(xiàng)要素（）。

A、方案名稱和評(píng)估結(jié)論
B、方案簡(jiǎn)介和評(píng)估情況簡(jiǎn)介
C、不適用項(xiàng)數(shù)目/總測(cè)評(píng)指標(biāo)項(xiàng)數(shù)目
D、以上均包含

4748
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，系統(tǒng)概述部分不需要對(duì)應(yīng)用和數(shù)據(jù)安全層面的哪些保護(hù)對(duì)象做梳理（）。

A、應(yīng)用系統(tǒng)的用戶
B、重要數(shù)據(jù)
C、用戶操作行為
D、網(wǎng)絡(luò)通道

4749
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，以下哪項(xiàng)信息系統(tǒng)內(nèi)的資產(chǎn)不屬于需要梳理的對(duì)象（）。

A、交換機(jī)
B、機(jī)房
C、密碼設(shè)備
D、服務(wù)器

4750
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，編制方案密評(píng)報(bào)告時(shí)，以下對(duì)于不適用指標(biāo)描述不合理的是（）。

A、信息系統(tǒng)不涉及設(shè)備中的重要信息資源安全標(biāo)記，因此設(shè)備和計(jì)算安全層面的“重要信息資源安全標(biāo)記完整性”指標(biāo)為不適用
B、信息系統(tǒng)中重要數(shù)據(jù)僅有完整性安全需求，不存在機(jī)密性安全需求，因此應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸和存儲(chǔ)機(jī)密性”指標(biāo)為不適用
C、信息系統(tǒng)的物理機(jī)房難以進(jìn)行密碼改造，因此物理和環(huán)境安全層面的“身份鑒別”指標(biāo)為不適用
D、信息系統(tǒng)責(zé)任單位將“可”的指標(biāo)自行決定為不適用

4751
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)“安全控制措施評(píng)估結(jié)果”環(huán)節(jié)的工作，以下描述較為合理的是（）。

A、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的重要數(shù)據(jù)傳輸保護(hù)均使用國(guó)外密碼算法，因此“重要數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”
B、某三級(jí)信息系統(tǒng)41個(gè)基本指標(biāo)中，其中一個(gè)指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”，因此該信息系統(tǒng)的密碼應(yīng)用方案評(píng)估結(jié)果為“不通過(guò)”
C、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評(píng)估結(jié)果均為“通過(guò)”，初步量化評(píng)估分值為50分，那么該密碼應(yīng)用方案的整體評(píng)估結(jié)果仍可為“通過(guò)”
D、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過(guò)其他的安全管理措施降低風(fēng)險(xiǎn)，因此該指標(biāo)的安全控制措施評(píng)估結(jié)果一定為“未通過(guò)”

4752
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，如果應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲(chǔ)完整性”指標(biāo)未采用密碼應(yīng)用措施，那么針對(duì)該指標(biāo)的安全控制措施評(píng)估結(jié)果一定是（）。

A、通過(guò)
B、未通過(guò)
C、不符合
D、無(wú)法判斷

4753
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)于委托第三方密評(píng)機(jī)構(gòu)實(shí)施的密碼應(yīng)用方案密評(píng)和信息系統(tǒng)密評(píng)的情形，在報(bào)告中的“密評(píng)活動(dòng)有效性證明”記錄部分，以下說(shuō)法正確的是（ ）。

A、信息系統(tǒng)密評(píng)報(bào)告需要提供密評(píng)活動(dòng)證明，方案密評(píng)報(bào)告則不需要
B、信息系統(tǒng)密評(píng)時(shí)，測(cè)評(píng)方案需要測(cè)評(píng)委托方和密評(píng)機(jī)構(gòu)雙方簽字確認(rèn)，同時(shí)需要密評(píng)機(jī)構(gòu)內(nèi)部組織評(píng)審
C、方案密評(píng)前，應(yīng)編制測(cè)評(píng)方案，并對(duì)該方案組織內(nèi)部評(píng)審
D、信息系統(tǒng)密評(píng)時(shí)，測(cè)評(píng)方案需要測(cè)評(píng)委托方和密評(píng)機(jī)構(gòu)雙方簽字確認(rèn)，但不需要密評(píng)機(jī)構(gòu)內(nèi)部組織評(píng)審

4754
單項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告附錄部分，“密評(píng)活動(dòng)有效性證明記錄”不涉及（）。

A、密評(píng)委托證明
B、密評(píng)人員差旅票證及住宿票證
C、密評(píng)報(bào)告評(píng)審記錄
D、密評(píng)人員資格情況

4755
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，在應(yīng)用和數(shù)據(jù)安全層面“保護(hù)對(duì)象”表中應(yīng)重點(diǎn)梳理信息系統(tǒng)中（）。

A、各個(gè)應(yīng)用中具有身份鑒別（真實(shí)性）需求的應(yīng)用用戶類型
B、各個(gè)應(yīng)用的重要數(shù)據(jù)及對(duì)應(yīng)具體安全需求
C、各個(gè)應(yīng)用承載業(yè)務(wù)情況
D、各個(gè)應(yīng)用具有不可否認(rèn)性需求的操作行為

4756
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，關(guān)于方案密評(píng)，以下說(shuō)法正確的是（）。

A、依據(jù)被測(cè)信息系統(tǒng)具體業(yè)務(wù)情況，審查被測(cè)信息系統(tǒng)的密碼應(yīng)用方案是否涵蓋了所有需要采用密碼保護(hù)的核心資產(chǎn)
B、依據(jù)被測(cè)信息系統(tǒng)具體業(yè)務(wù)情況，審查被測(cè)信息系統(tǒng)的密碼應(yīng)用方案是否涵蓋了所有需要采用密碼保護(hù)的敏感信息
C、依據(jù)被測(cè)信息系統(tǒng)具體業(yè)務(wù)情況，審查被測(cè)信息系統(tǒng)的密碼應(yīng)用方案采取的密碼保護(hù)措施是否均能夠達(dá)到相應(yīng)等級(jí)的密碼使用要求或規(guī)定
D、方案密評(píng)可由信息系統(tǒng)責(zé)任單位委托密評(píng)機(jī)構(gòu)或自行開(kāi)展密評(píng)

4757
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密碼應(yīng)用方案的“背景”部分可包含（）。

A、系統(tǒng)的建設(shè)規(guī)劃
B、國(guó)家有關(guān)法律法規(guī)的要求
C、與規(guī)劃相關(guān)的前期情況概述
D、項(xiàng)目實(shí)施的必要性

4758
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在編寫密碼應(yīng)用方案時(shí)，應(yīng)該體現(xiàn)（）。

A、系統(tǒng)承載業(yè)務(wù)情況及網(wǎng)絡(luò)拓?fù)?
B、系統(tǒng)密碼應(yīng)用需求分析
C、各安全層面的技術(shù)實(shí)現(xiàn)方案
D、安全與和合規(guī)性分析

4759
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，下列關(guān)于密碼應(yīng)用方案的說(shuō)法中，錯(cuò)誤的是（）。

A、密碼應(yīng)用方案及其評(píng)估意見(jiàn)是判定 GB/T 39786《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》中“宜”是否適用的重要依據(jù)
B、對(duì)于部署在同一云平臺(tái)上的云上應(yīng) 用，雖然網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)時(shí)進(jìn)行了獨(dú)立定級(jí)，考慮到其物理環(huán)境、通信信道、系統(tǒng)資產(chǎn)等方面的共用的軟硬件比較多，可以編寫一份密碼應(yīng)用方案統(tǒng)一進(jìn)行密碼應(yīng)用分析
C、如密碼應(yīng)用方案中對(duì)被測(cè)信息系統(tǒng)對(duì)測(cè)評(píng)單元“不可否認(rèn)性”進(jìn)行了不適用判定，但在執(zhí)行現(xiàn)場(chǎng)測(cè)評(píng)過(guò)程中，系統(tǒng)責(zé)任單位向密評(píng)機(jī)構(gòu)反映系統(tǒng)實(shí)際存在不可否認(rèn)性密碼應(yīng)用需求，應(yīng)根據(jù)通過(guò)評(píng)估的密碼應(yīng)用方案，對(duì)該測(cè)評(píng)項(xiàng)進(jìn)行不適用判定
D、密碼應(yīng)用方案中應(yīng)詳細(xì)梳理應(yīng)用的業(yè)務(wù)流程及業(yè)務(wù)數(shù) 據(jù)，根據(jù)流程安全需求及數(shù)據(jù)安全需求，為重要流程及重要數(shù)據(jù)設(shè)計(jì)保護(hù)機(jī)制

4760
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告的評(píng)估結(jié)論包括（）。

A、符合
B、不符合
C、通過(guò)
D、不通過(guò)

4761
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中系統(tǒng)概述部分內(nèi)容應(yīng)包含（）。

A、系統(tǒng)網(wǎng)絡(luò)拓?fù)?
B、承載的業(yè)務(wù)情況
C、各安全層面保護(hù)對(duì)象
D、項(xiàng)目情況

4762
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，系統(tǒng)概述部分需要結(jié)合系統(tǒng)網(wǎng)絡(luò)拓?fù)鋱D描述（）。

A、物理機(jī)房的個(gè)數(shù)及其所在具體位置
B、網(wǎng)絡(luò)邊界劃分以及與其他系統(tǒng)的互聯(lián)關(guān)系
C、跨網(wǎng)絡(luò)訪問(wèn)的通信信道
D、設(shè)備組成及實(shí)現(xiàn)功能

4763
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中應(yīng)用和數(shù)據(jù)安全層面的保護(hù)對(duì)象應(yīng)重點(diǎn)梳理（）。

A、各個(gè)應(yīng)用具有身份鑒別需求的應(yīng)用用戶
B、各個(gè)應(yīng)用具有可用性需求的重要數(shù)據(jù)
C、各個(gè)應(yīng)用的重要數(shù)據(jù)及對(duì)應(yīng)具體安全需求
D、各個(gè)應(yīng)用具有不可否認(rèn)性需求的操作行為

4764
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告在“管理制度”方面，關(guān)注重點(diǎn)通常包括（）。

A、安全管理制度類文檔
B、密碼應(yīng)用方案
C、密鑰管理制度及策略類文檔
D、系統(tǒng)相關(guān)人員

4765
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告在“建設(shè)運(yùn)行”方面，關(guān)注重點(diǎn)通常包括（）。

A、密碼應(yīng)用方案
B、密鑰管理制度
C、攻防對(duì)抗演習(xí)報(bào)告
D、密碼應(yīng)用安全管理制度

4766
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告在“人員管理”方面，關(guān)注重點(diǎn)通常包括（）。

A、安全管理制度類文檔
B、記錄表單類文檔
C、系統(tǒng)相關(guān)人員
D、整改文檔

4767
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告在“應(yīng)急處置”方面，關(guān)注重點(diǎn)通常包括（）。

A、密碼應(yīng)用應(yīng)急處置方案
B、應(yīng)急處置記錄類文檔
C、安全事件發(fā)生情況及處置情況報(bào)告
D、系統(tǒng)相關(guān)人員

4768
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，系統(tǒng)各安全層面需要梳理的保護(hù)對(duì)象不包括（）。

A、網(wǎng)絡(luò)和通信安全層面的通信信道
B、不同應(yīng)用用戶
C、重要數(shù)據(jù)
D、通用交換機(jī)

4769
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，“安全控制措施描述及指標(biāo)適用情況”章節(jié)的“指標(biāo)適用情況及論證說(shuō)明”部分，應(yīng)體現(xiàn)的內(nèi)容包括（）。

A、各測(cè)評(píng)項(xiàng)的測(cè)評(píng)指標(biāo)適用情況
B、不適用項(xiàng)的不適用性論證說(shuō)明
C、測(cè)評(píng)項(xiàng)中存在部分保護(hù)對(duì)象不適用情況的不適用性論證說(shuō)明
D、不適用指標(biāo)合計(jì)項(xiàng)數(shù)

4770
多項(xiàng)選擇題 《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》中在描述安全控制措施時(shí)，需要注意的事項(xiàng)有（）。

A、安全控制措施需要包括四個(gè)密碼應(yīng)用技術(shù)層面和四個(gè)密碼應(yīng)用管理方面的內(nèi)容
B、如果相關(guān)保護(hù)對(duì)象未采用密碼技術(shù)措施，那么也需要概括總結(jié)相關(guān)的風(fēng)險(xiǎn)替代措施
C、安全控制措施描述需要結(jié)合信息系統(tǒng)的密碼應(yīng)用部署圖
D、系統(tǒng)密碼應(yīng)用部署圖中需要包含密碼應(yīng)用方案中涉及的所有密碼產(chǎn)品（冗余配置的除外）和服務(wù)

4771
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的評(píng)估結(jié)論為“不通過(guò)”，最可能原因包括（）。

A、采用的安全控制措施仍會(huì)導(dǎo)致高風(fēng)險(xiǎn)項(xiàng)存在
B、初步量化評(píng)估未達(dá)到閾值要求
C、密碼應(yīng)用方案中不適用指標(biāo)項(xiàng)數(shù)過(guò)多
D、密碼應(yīng)用方案有較多冗余內(nèi)容

4772
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，“指標(biāo)適用情況及論證說(shuō)明”表格中不涵蓋（）。

A、密碼算法
B、密碼技術(shù)
C、密碼產(chǎn)品
D、密碼服務(wù)

4773
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，編制方案密評(píng)報(bào)告時(shí)，以下屬于風(fēng)險(xiǎn)替代措施的是（）。

A、機(jī)房采用人臉+指紋識(shí)別的方式對(duì)進(jìn)人人員進(jìn)行身份鑒別
B、通用服務(wù)器采用指紋的方式對(duì)登錄設(shè)備用戶進(jìn)行身份鑒別
C、業(yè)務(wù)應(yīng)用采用人臉識(shí)別+短信驗(yàn)證碼的方式對(duì)登錄人員進(jìn)行身份鑒別
D、應(yīng)用層采用了合規(guī)的密碼技術(shù)對(duì)傳輸數(shù)據(jù)進(jìn)行機(jī)密性和完整性保護(hù)

4774
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，不同安全層面指標(biāo)的安全控制措施的評(píng)估結(jié)果可能是（）。

A、通過(guò)
B、未通過(guò)
C、符合
D、不符合

4775
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)安全控制措施評(píng)估，以下描述不合理的是（）。

A、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)網(wǎng)絡(luò)和通信安全層面的通信數(shù)據(jù)傳輸保護(hù)均使用國(guó)外密碼算法，則“通信數(shù)據(jù)傳輸機(jī)密性和完整性”指標(biāo)的安全控制措施評(píng)估結(jié)果仍可能為“通過(guò)”
B、某三級(jí)信息系統(tǒng)41個(gè)基本指標(biāo)中，僅有一個(gè)指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”，因此該密碼應(yīng)用方案評(píng)估結(jié)果為“通過(guò)”
C、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案的安全控制措施評(píng)估結(jié)果中，其中1項(xiàng)為未通過(guò)，但初步量化評(píng)估分值為75分，因此該密碼應(yīng)用方案的整體評(píng)估結(jié)果為“通過(guò)”
D、某三級(jí)信息系統(tǒng)密碼應(yīng)用方案中，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)未采用密碼技術(shù)方案，而是通過(guò)其他的安全管理措施降低風(fēng)險(xiǎn)，因此該指標(biāo)的安全控制措施評(píng)估結(jié)果為“未通過(guò)”

4776
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密評(píng)人員對(duì)密碼應(yīng)用方案中的安全控制措施分析和評(píng)估結(jié)果判定不合理的是（）。

==A、針對(duì)物理和環(huán)境安全層面，密碼應(yīng)用方案中的描述為“機(jī)房雖采用門禁ID卡刷卡進(jìn)入，但機(jī)房門外部署有視頻監(jiān)控系統(tǒng)，能夠?qū)C(jī)房外的環(huán)境進(jìn)行實(shí)時(shí)監(jiān)控，因此不存在高風(fēng)險(xiǎn)”，針對(duì)物理和環(huán)境安全層面“身份鑒別”的安全控制措施評(píng)估結(jié)果為“通過(guò)”
B、針對(duì)網(wǎng)絡(luò)和通信安全層面，密碼應(yīng)用方案中的描述為“雖然互聯(lián)網(wǎng)PC端與系統(tǒng)服務(wù)端在通信時(shí)未采用密碼技術(shù)對(duì)服務(wù)端進(jìn)行身份鑒別，但是系統(tǒng)應(yīng)用層對(duì)登錄用戶采用合規(guī)的密碼技術(shù)進(jìn)行身份鑒別，因此網(wǎng)絡(luò)通信實(shí)體的身份鑒別問(wèn)題不存在高風(fēng)險(xiǎn)”，針對(duì)網(wǎng)絡(luò)和通信安全層面“身份鑒別”的安全控制措施評(píng)估結(jié)果為“通過(guò)”
C、針對(duì)應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對(duì)重要數(shù)據(jù)做存儲(chǔ)機(jī)密性保護(hù)，但是數(shù)據(jù)庫(kù)只能專人訪問(wèn)，且登錄口令定期更換，因此不存在高風(fēng)險(xiǎn)”，針對(duì)“重要數(shù)據(jù)存儲(chǔ)機(jī)密性”的安全控制措施評(píng)估結(jié)果為“通過(guò)” ==
D、針對(duì)應(yīng)用和數(shù)據(jù)安全層面，密碼應(yīng)用方案中的描述為“雖然未采用密碼技術(shù)對(duì)存儲(chǔ)的業(yè)務(wù)數(shù)據(jù)進(jìn)行完整性保護(hù)，但是應(yīng)用系統(tǒng)具有符合要求的身份鑒別措施，只有授權(quán)人員才能訪問(wèn)應(yīng)用系統(tǒng)的重要數(shù)據(jù)，且定期對(duì)數(shù)據(jù)進(jìn)行備份，因此不存在高風(fēng)險(xiǎn)”，針對(duì)“重要數(shù)據(jù)存儲(chǔ)完整性”的安全控制措施評(píng)估結(jié)果為“通過(guò)”

4777
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，下列關(guān)于密碼應(yīng)用方案密評(píng)報(bào)告和信息系統(tǒng)密評(píng)報(bào)告的說(shuō)法中，錯(cuò)誤的是（）。

A、根據(jù)“三同步一評(píng)估”的要求，在規(guī)劃階段，評(píng)估對(duì)象是信息系統(tǒng)的密碼應(yīng)用方案，在建設(shè)和運(yùn)行階段，評(píng)估對(duì)象是實(shí)際的信息系統(tǒng)
B、密碼應(yīng)用方案密評(píng)的評(píng)估結(jié)論中，可能存在“通過(guò)”和“不通過(guò)”判定 ，也可能存在“修改后通過(guò)”的判定
C、在對(duì)密碼應(yīng)用方案進(jìn)行密評(píng)時(shí)，如初步量化評(píng)估分?jǐn)?shù)達(dá)到了閾值的要求，則方案評(píng)估結(jié)論即可為“通過(guò)”
D、信息系統(tǒng)密評(píng)報(bào)告中的“檢測(cè)結(jié)果記錄”中，“安全管理”層面的測(cè)評(píng)單元得分僅可能為1分、0.5分和 0分

4778
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在方案密評(píng)報(bào)告中，以下可判定某指標(biāo)的評(píng)估結(jié)果為“通過(guò)”的情況有（）。

A、該指標(biāo)涉及的所有保護(hù)對(duì)象不涉及高風(fēng)險(xiǎn)
B、該指標(biāo)涉及的所有保護(hù)對(duì)象的風(fēng)險(xiǎn)替代措施均有效
C、該指標(biāo)涉及的所有保護(hù)對(duì)象的密碼應(yīng)用措施均有效，不涉及高風(fēng)險(xiǎn)，且方案中描述的實(shí)施保障措施合理
D、該指標(biāo)涉及的所有保護(hù)對(duì)象的風(fēng)險(xiǎn)替代措施均有效，不涉及高風(fēng)險(xiǎn)，且方案中描述的實(shí)施保障措施合理

4779
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密碼應(yīng)用方案密評(píng)報(bào)告“密評(píng)活動(dòng)證明”部分，一般作為活動(dòng)證明的證明材料包括（）。

A、電子郵件
B、通話記錄
C、會(huì)議記錄
D、系統(tǒng)現(xiàn)場(chǎng)測(cè)評(píng)記錄

4780
多項(xiàng)選擇題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中系統(tǒng)承載業(yè)務(wù)情況應(yīng)包含（）。

A、業(yè)務(wù)應(yīng)用
B、業(yè)務(wù)功能
C、應(yīng)用用戶
D、重要數(shù)據(jù)以及關(guān)鍵的用戶操作行為等

4781

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估工作完成后， 當(dāng)被評(píng)估的《 XXX系統(tǒng)密碼應(yīng)用方案》發(fā)生變更時(shí)，已出具的方案評(píng)估報(bào)告仍然適用。

A、正確
B、錯(cuò)誤

4782

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)于密碼應(yīng)用方案已通過(guò)評(píng)估的系統(tǒng)，密評(píng)時(shí)應(yīng)把方案作為測(cè)評(píng)的重要依據(jù)。

A、正確
B、錯(cuò)誤

4783

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，對(duì)于已建但尚未規(guī)劃密碼方案的系統(tǒng)，信息系統(tǒng)責(zé)任單位應(yīng)通過(guò)調(diào)研分析，梳理形成系統(tǒng)當(dāng)前密碼應(yīng)用的總體架構(gòu)圖，提煉出密碼應(yīng)用情況，作為后續(xù)測(cè)評(píng)實(shí)施的基礎(chǔ)。

A、正確
B、錯(cuò)誤

4784

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)主要工作是對(duì)照GB/T 39786《信息安全技術(shù) 信息系統(tǒng)密碼應(yīng)用基本要求》進(jìn)行逐條評(píng)估，而不是對(duì)信息系統(tǒng)中安全控制措施和指標(biāo)適用情況梳理。

A、正確
B、錯(cuò)誤

4785

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，只需要在報(bào)告中闡述每個(gè)安全層面中各個(gè)保護(hù)對(duì)象的密碼應(yīng)用措施，其他非密碼技術(shù)的安全控制措施無(wú)需描述。

A、正確
B、錯(cuò)誤

4786

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，僅在報(bào)告中體現(xiàn)密評(píng)機(jī)構(gòu)針對(duì)系統(tǒng)責(zé)任單位編寫的密碼應(yīng)用方案進(jìn)行密評(píng)的合規(guī)性判定情況即可，無(wú)需附上密碼應(yīng)用方案。

A、正確
B、錯(cuò)誤

4787

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案中對(duì)指標(biāo)適用情況及論證說(shuō)明時(shí)，應(yīng)對(duì)不適用部分做出相應(yīng)的原因論述，體現(xiàn)出能夠降低風(fēng)險(xiǎn)的措施。

A、正確
B、錯(cuò)誤

4788

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，密碼應(yīng)用方案密評(píng)結(jié)果不需要進(jìn)行密評(píng)結(jié)果備案，僅系統(tǒng)密評(píng)結(jié)果需要進(jìn)行密評(píng)結(jié)果備案。

A、正確
B、錯(cuò)誤

4789

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告中給出的評(píng)估結(jié)論僅對(duì)報(bào)告所附《XXX系統(tǒng)密碼應(yīng)用方案》的內(nèi)容有效。

A、正確
B、錯(cuò)誤

4790

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估報(bào)告可適用于實(shí)際建設(shè)的系統(tǒng)評(píng)估結(jié)論。

A、正確
B、錯(cuò)誤

4791

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案評(píng)估結(jié)論不能作為運(yùn)行系統(tǒng)的評(píng)估結(jié)論。

A、正確
B、錯(cuò)誤

4792

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中的安全控制措施評(píng)估結(jié)果可以直接在系統(tǒng)密評(píng)報(bào)告中復(fù)用。

A、正確
B、錯(cuò)誤

4793

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)選定的密評(píng)指標(biāo)，方案密評(píng)報(bào)告評(píng)估結(jié)果為“通過(guò)/未通過(guò)”，系統(tǒng)密評(píng)報(bào)告的評(píng)估結(jié)果為“符合/部分符合/不符合/不適用”。

A、正確
B、錯(cuò)誤

4794

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，方案密評(píng)報(bào)告中信息系統(tǒng)承載的業(yè)務(wù)情況應(yīng)重點(diǎn)說(shuō)明業(yè)務(wù)的保護(hù)對(duì)象和資產(chǎn)情況。

A、正確
B、錯(cuò)誤

4795

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，應(yīng)用和數(shù)據(jù)安全層面需要進(jìn)一步梳理各個(gè)應(yīng)用的保護(hù)對(duì)象（如應(yīng)用用戶、重要數(shù)據(jù)）及保護(hù)對(duì)象的相應(yīng)安全需求。

A、正確
B、錯(cuò)誤

4796

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在“指標(biāo)適用情況及論證說(shuō)明部分”，即便指標(biāo)為適用，也可能存在部分保護(hù)對(duì)象不適用的情況，需要在方案評(píng)估報(bào)告中給出相關(guān)保護(hù)對(duì)象不適用性的論證說(shuō)明。

A、正確
B、錯(cuò)誤

4797

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，不適用指標(biāo)的合計(jì)項(xiàng)數(shù)中不應(yīng)計(jì)入存在部分保護(hù)對(duì)象不適用情況的測(cè)評(píng)項(xiàng)。

A、正確
B、錯(cuò)誤

4798

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，不同安全層面指標(biāo)的安全控制措施評(píng)估結(jié)果有符合、不符合、部分符合三種情況。

A、正確
B、錯(cuò)誤

4799

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，如果指標(biāo)所涉及的某一保護(hù)對(duì)象的相應(yīng)安全控制措施有效（不存在高風(fēng)險(xiǎn)），則該指標(biāo)的安全控制措施評(píng)估結(jié)果為“通過(guò)”。

A、正確
B、錯(cuò)誤

4800

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)傳輸完整性”指標(biāo)，如果未采用密碼應(yīng)用措施，那么針對(duì)該指標(biāo)的安全控制措施評(píng)估結(jié)果一定是“未通過(guò)”。

A、正確
B、錯(cuò)誤

4801

判斷題 某三級(jí)信息系統(tǒng)在密碼應(yīng)用方案中針對(duì)物理和環(huán)境安全給出的安全控制措施為：信息系統(tǒng)所在物理機(jī)房使用門禁ID卡+指紋識(shí)別的方式對(duì)進(jìn)入機(jī)房人員進(jìn)行身份鑒別，同時(shí)機(jī)房外有24小時(shí)專人值守，并在機(jī)房?jī)?nèi)外部署了視頻監(jiān)控系統(tǒng)。
根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，針對(duì)物理和環(huán)境安全層面的“身份鑒別”指標(biāo)的安全控制措施評(píng)估結(jié)果為“通過(guò)”。

A、正確
B、錯(cuò)誤

4802

判斷題 某四級(jí)信息系統(tǒng)在密碼應(yīng)用方案中，針對(duì)應(yīng)用和數(shù)據(jù)安全層面的“重要數(shù)據(jù)存儲(chǔ)機(jī)密性、存儲(chǔ)完整性”指標(biāo)分別給出如下安全控制措施：重要業(yè)務(wù)數(shù)據(jù)均采用DES算法進(jìn)行存儲(chǔ)機(jī)密性保護(hù)，使用基于SM3的HMAC算法進(jìn)行存儲(chǔ)完整性保護(hù)。
根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，該密碼應(yīng)用方案的評(píng)估結(jié)論很可能是“不通過(guò)”。

A、正確
B、錯(cuò)誤

4803

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，如果信息系統(tǒng)密碼應(yīng)用方案中針對(duì)各個(gè)層面的保護(hù)對(duì)象的安全控制措施評(píng)估結(jié)果為“通過(guò) ”，那么該系統(tǒng)的密評(píng)結(jié)果一定是“符合”。

A、正確
B、錯(cuò)誤

4804

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告中，所有指標(biāo)的安全控制措施評(píng)估結(jié)果均通過(guò)，則可判定方案評(píng)估結(jié)論為“通過(guò)”。

A、正確
B、錯(cuò)誤

4805

判斷題 根據(jù)《商用密碼應(yīng)用安全性評(píng)估報(bào)告模板（2023版）》，在密碼應(yīng)用方案密評(píng)報(bào)告和信息系統(tǒng)密評(píng)報(bào)告中，均需體現(xiàn)被測(cè)系統(tǒng)的網(wǎng)絡(luò)安全等級(jí)保護(hù)定級(jí)備案名稱、備案時(shí)間及等保定級(jí)備案證明。

A、正確
B、錯(cuò)誤