31、应急广播消息一般用于发布事关人民群众的生命财产安全的内容,消息发布过程一旦遭到非授权破坏,将会严重扰乱社会秩序。
针对应急广播业务场景中应急广播消息的安全需求分析,正确的是()。
A、消息来源真实性
B、消息传输机密性
C、消息播发行为的不可否认性
D、消息传输完整性
正确答案:点击查看
32、针对“应用和数据安全”层面的“身份鉴别”指标,以下登录方式最高可以得1分的是()。
A、用户名+短信验证码
B、用户名+智能密码钥匙+PIN码
C、人脸+指纹
D、用户名+动态令牌
正确答案:点击查看
33、信息系统中使用的服务器密码机作为测评对象,针对“设备和计算安全”层面的“身份鉴别”指标,服务器密码机采用以下()鉴别方式时可以判定为符合。
A、智能IC卡
B、智能密码钥匙+口令
C、口令
D、智能密码钥匙
正确答案:点击查看
34、关于电子门禁系统的实操测试,以下描述正确的有()。
A、尝试复制门禁卡,验证是否可以进行有效复制
B、修改某一条门禁访问日志记录,验证是否有篡改成功
C、对每条记录分别生成MAC值并存放在该条记录后面一列的做法是可以满足“电子门禁记录数据存储完整性”要求的
D、利用发卡系统分发不同权限的卡,验证未授权的卡无法打开门禁
正确答案:点击查看
35、以下情况可能会导致系统的整体评估结论为“不符合”的是()。
A、某三级信息系统制定了密码应用方案且方案通过评审,在测评时发现系统存在一个高风险项
B、在对某运行过程中的四级信息系统进行测评时发现,被测单位未建立任何与密码应用安全管理活动相关的管理制度
C、某三级信息系统未采用密码技术对存储的重要数据进行完整性保护,但系统具有符合要求的身份鉴别措施,保证只有授权人员才能访问应用系统的重要数据,且定期对重要数据进行备份
D、某四级电子公文系...
正确答案:点击查看
36、针对“网络和通信安全”层面的测评,以下描述不合理的是()。
A、某三级信息系统,移动终端用户通过SSLVPN访问内网资源,移动终端与SSLVPN之间必须实现双向身份鉴别
B、如果被测系统的远程管理通道存在跨网络的情况,那么该远程管理通道也应该作为“网络和通信安全”层面的测评对象
C、某三级信息系统互联网PC端用户可以通过HTTP或者国密SSL协议两种方式访问被测信息系统,针对“通信数据完整性”和“通信过程中重要数据机密性”指标可以直接判定为符合正确答案:点击查看
37、在测评时,信息系统声称采用SM4-CBC进行个人隐私信息的存储机密性保护,以下收集的证据与其声称的存在矛盾或证明其使用不合规的包括()。
A、密文长度为192比特
B、密文长度为64比特
C、IV值以明文形式存储
D、IV值都为全0
正确答案:点击查看
38、在密评中,当电子门禁系统作为测评对象时,以下测评实施合理的包括()。
A、尝试发一些错误的门禁卡,验证这些卡无法打开门禁
B、利用发卡系统分发不同权限的卡,验证非授权的卡无法打开门禁
C、对电子门禁系统是否满足GM/T0028《密码模块安全技术要求》进行检测
D、检查电子门禁系统中所使用的智能卡、密码机等是否具备商用密码产品认证证书
正确答案:点击查看
39、在密评中发现被测信息系统使用了以下密码算法和密码技术,合规的是()。
A、SM4-GCM
B、SM3-HMAC
C、TLS1.3
D、TLCP
正确答案:点击查看
40、测评人员在测评时,发现以下情况,其中密码应用合规正确的有()。
A、通信双方进行加密通信前,使用了双证书中的加密证书进行SM2密钥协商
B、通信双方使用TLS1.3进行通信,并将其中的密码算法全部替换为SM2/SM3/SM4
C、用户使用SM4-CTR进行加密时,以随机数和当前时间值的拼接作为计数器值,将计数器值以明文形式与密文一并发送给接收方
D、信息系统使用同一个数据密钥采用SM4-CBC模式对所有用户的性别信息进行加密保护,并使用...
正确答案:点击查看
41、网络和通信安全层面的测评对象识别与确认应考虑以下因素()。
A、网络类型
B、通信人员
C、传输数据
D、通信主体
正确答案:点击查看
42、按照《商用密码应用安全性评估报告模板(2023版)》,对系统密评报告中的风险分析表格描述错误的是()。
A、风险分析时可从威胁类型和威胁发生频率等方面阐述
B、表格中每一行是一个测评对象的问题描述、关联威胁、风险分析和风险等级
C、在网络和通信安全层面关联的安全威胁包括“非法设备从外部接入内部网络,或网络边界被
D、在填写表格时,只需要注意识别出的高风险,无需考虑多个中低风险叠加而导致的高风险问
正确答案:点击查看
43、按照《商用密码应用安全性评估报告模板(2023版)》,系统密评报告中关于风险分析的体现,以下表述不合理的是()。
A、如果被测系统确实涉及《信息系统密码应用高风险判定指引》中描述的高风险安全问题,那么测评结果记录中相关指标或测评对象的量化评估分值一定是0分
B、风险分析过程需要结合整体测评结果中的部分符合项或不符合项的关联威胁
C、如果系统涉及高风险判例中的问题场景,则需要在报告附录A中,按照实际评估结果进行填写,针对该测评项判定为不符合或部分符合...
正确答案:点击查看
44、按照《商用密码应用安全性评估报告模板(2023版)》,在信息系统密评报告中“密评活动有效性证明记录”部分,应体现的密评活动质量文件有()。
A、现场测评授权书及风险告知书
B、测评方案的评审记录及确认记录
C、方案密评报告的评审记录及确认记录
D、系统密评报告的评审记录
正确答案:点击查看
45、根据《商用密码应用安全性评估报告模板(2023版)》,分析以下给出的密评报告中“A.测评结果记录”示例,其中错误的是()
A、测评项:应用和数据安全层面身份鉴别测评对象:金融IC卡结果记录:某银行三级IC卡发卡系统,已完成国密改造并通过验收,该系统为用户分发了合规的金融IC卡(通过安全认证,密码模块等级为二级),用户在ATM机(或POS机上)插入IC卡进行联机交易时,在交易前首先通过在密码键盘输入PIN码实现对ATM(或POS)对金融IC卡的鉴别,未使用密码技术实现金融I...
正确答案:点击查看
46、按照《商用密码应用安全性评估报告模板(2023版)》,管理制度中“制定密码应用方案”测评单元结果为部分符合,其量化评估分值不可能为()。
A、0
B、0.25
C、0.5
D、1
正确答案:点击查看
47、按照《商用密码应用安全性评估报告模板(2023版)》,以下()文件应作为密评报告的依据。
A、GB/T39786《信息安全技术信息系统密码应用基本要求》
B、GM/T0115《信息系统密码应用测评要求》
C、GM/T0005《随机性检测规范》
D、《XXXXX系统密码应用方案》
正确答案:点击查看
48、按照《商用密码应用安全性评估报告模板(2023版)》,在编制系统密评报告时,以下与“建设运行”相关的测评对象包括()。
A、密钥管理制度及策略类文档
B、应急处置记录
C、密评报告及密码实施方案
D、管理体系
正确答案:点击查看
49、按照《商用密码应用安全性评估报告模板(2023版)》,以下案例不能进行测评结果修正的是()。
A、设备和计算安全层面的“身份鉴别”指标为符合,能够弥补设备和计算安全层面的“系统资源访问控制信息完整性”指标
B、应用和数据安全层面的“身份鉴别”指标为符合,能够弥补“重要数据存储机密性”指标
C、应用和数据安全层面“重要数据传输完整性”指标可以弥补网络和通信安全层面的“通信数据完整性”指标
D、堡垒机的身份鉴别判定结果为符合,可以弥补通用服...
正确答案:点击查看
50、按照《商用密码应用安全性评估报告模板(2023版)》,下列关于密评结果备案的说法中,正确的内容包括()。
A、密评结果备案的备案主体是信息系统运营者
B、所属北京市的信息系统的密评结果备案材料应首先提交到北京市密码管理部门
C、密评机构应每半年填写一次《密评机构工作情况统计表》并报送国家密码管理局
D、中央和国家机关有关部委规划建设的关键信息基础设施或者国家政务信息系统可以直接将密评结果备案材料报送国家密码管理局
正确答案:点击查看
51、按照《商用密码应用安全性评估报告模板(2023版)》,以下有关云平台密评报告编写的描述正确的是()。
A、云平台密评报告和传统信息系统密评报告所涉及内容不完全一致
B、云平台的密评报告中,应在云平台支撑能力分析环节对“被部分评估的支撑能力”的D/A/K分别进行判定
C、“云平台(密码)支撑能力说明”包含被完全评估的支撑能力、被部分评估的支撑能力两类
D、在编写云平台密评报告时,被完全评估的支撑能力一般不涉及量化评估和风险判定
正确答案:点击查看
52、按照《商用密码应用安全性评估报告模板(2023版)》,以下关于信息系统密评报告中总体评价部分编制要求,描述正确的有()。
A、总体评价为概要性描述,详细描述在报告第四章和结果记录部分已有详细描述,本章节仅需要给出各安全层面符合项、部分不符合项、不符合项、不适用项的数量统计结果即可,不需要展开说明
B、总体评价为概要性描述,除给出各安全层面符合项、部分不符合项、不符合项、不适用项的数量统计结果外,还需要对各安全层面密码应用的整体情况进行概要介绍
C、...
正确答案:点击查看
53、按照《商用密码应用安全性评估报告模板(2023版)》,密评报告一般应在()盖章。
A、封面和声明页
B、单元测评
C、报告附录
D、报告骑缝
正确答案:点击查看
54、下列针对《商用密码应用安全性评估报告模板(2023版)》的说法中,正确的是()。
A、被测信息系统基本信息表中,审核批准部分涉及编制人、审核人、批准人三类人员签字
B、三级信息系统,其密评报告的“总体评价”部分,设备和计算安全层面测评结果存在“符合2项,部分符合3项,不符合1项,不适用1项”的情况
C、密评结果记录应形成单独的文件,在密评结束后由密评机构归档,不用作为附件附在密评报告后面,密码管理部门需要检查时可要求密评机构提供
D、二...
正确答案:点击查看
55、在《信息系统密码应用高风险判定指引》中,对“通用要求”部分的理解正确的是()。
A、指标要求来自于GB/T39786《信息安全技术信息系统密码应用基本要求》的通用要求部分
B、描述的内容适用范围是从二级到四级信息系统
C、不存在可能的缓解措施
D、若出现相应安全问题的情形,则一定会导致高风险
正确答案:点击查看
56、依据《信息系统密码应用高风险判定指引》,以下措施能够缓解设备和计算安全层面远程管理通道安全测评项的高风险的是()。
A、采用带外管理的方式对所有设备进行远程管理
B、所有运维人员均需要通过堡垒机进行身份认证
C、所有设备均需要运维人员通过SSLVPN设备进行远程管理,且采用的密码技术符合要求
D、运维人员采用两种身份鉴别措施对设备进行远程管理,其中一种身份鉴别措施为密码技术
正确答案:点击查看
57、按照《商用密码应用安全性评估报告模板(2023版)》,系统密评报告的封面应包含()。
A、被测信息系统名称
B、合同编号
C、被测单位
D、密评机构
正确答案:点击查看
58、依据《信息系统密码应用高风险判定指引》,某三级信息系统主备机房,采用人脸识别技术对进入机房的用户进行身份鉴别,并在机房出入口配备专人值守,并保留了人员进出记录,以下针对身份鉴别测评指标的符合性判定以及针对问题风险的判定正确的是()。
A、不符合
B、高风险
C、部分符合
D、中风险
正确答案:点击查看
59、某单位管理员远程登录服务器时,采用密码协议保证远程管理通道安全,依据《信息系统密码应用高风险判定指引》,避免带来高风险,以下可能采用的协议包括()。
A、SSH2.0
B、SSL2.0
C、SSL3.0
D、TLS1.2
正确答案:点击查看
60、在《信息系统密码应用高风险判定指引》中,未涉及的安全问题场景,以下判定其风险程度的做法正确的是()。
A、结合实际场景客观判断
B、无需关注
C、需分析考虑是否对其造成严重的安全隐患
D、直接判定为中或低风险
正确答案:点击查看
热门答案