【密评】商用密码应用安全性评估从业人员考核题库(十五)
商用密码应用安全性评估从业人员考核题库(十五)
国密局给的参考题库5000道只是基础题,后续更新完5000还会继续更其他高质量题库,持续学习,共同进步。
3501
单项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于设备和计算安全层面测评内容的是( )。
A、登录SSL VPN时的身份鉴别方式
B、登录应用系统时的身份鉴别方式
C、应用系统的访问控制信息
D、互联网SSL VPN接入系统内网时建立的 SSL通道
3502
单项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于设备和计算安全层面测评内容的是( )。
A、核查是否采用密码技术对设备操作人员等登录设备的用户进行身份鉴别
B、核查是否采用密码技术对网络边界访问控制信息进行完整性保护
C、核查是否采用密码技术对从外部连接到内部网络的设备进行接入认证
D、核查是否采用密码技术对应用的重要信息资源安全标记进行完整性保护
3503
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,以下不属于云平台在设备和计算安全层面的测评对象的是( )。
A、物理服务器
B、虚拟服务器
C、云上应用
D、云服务器密码机
3504
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统在互联网通过SSL VPN接入内网后,再通过堡垒机集中管理服务器,则在设备和计算安全层面“远程管理通道安全”应测评的内容为( )。
A、管理员客户端与SSL VPN之间的通道
B、堡垒机与服务器之间的通道
C、管理员客户端与SSL VPN之间的通道、 SSL VPN与堡垒机之间的通道
D、SSL VPN与堡垒机之间的通道、堡垒机与服务器之间的通道
3505
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对于第二级信息系统,下列应急处置层面测评实施中正确的是()。
A、核查被测单位是否根据密码产品提供的安全策略处置密码应用安全事件
B、核查是否根据密码应用安全事件等级制定了应急策略并对应急策略进行评审
C、如发生过密码应用安全事件,核查事件发生后是否向信息系统主管部门提交了安全事件报告
D、如发生过密码应用安全事件,核查事件处置完成后是否向信息系统主管部门提交了事件发生情况及处置情况报告
3506
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面“身份鉴别”指标主要核查()用户登录的身份鉴别机制。
A、数据库管理员
B、服务器管理员
C、应用管理员
D、所有登录应用进行操作的实体
3507
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某OA办公系统面向被测单位办公人员提供在线办公、公文意见签批等服务,管理员登录后台进行系统管理操作。
经测评,办公人员身份鉴别判定为“不符合”,管理员身份鉴别判定为“符合 ”,则针对应用和数据安全层面的“身份鉴别”测评单元,最终判定结果为()。
A、符合
B、部分符合
C、不符合
D、无法判定
3508
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,下列关于应用和数据安全层面“重要数据传输完整性”测评实施的说法中,错误的是()。
A、从密码算法、密码技术、密码产品、密码服务、密钥管理方面进行通用测评
B、利用协议分析工 具,分析受完整性保护的数据在传输时的数据格式(如签名长度、MAC长度)是否符合预期
C、如果使用数字签名技术进行完整性保护,可使用私钥对抓取的签名结果进行验证
D、如果以外接服务器密码机等密码产品的形式实现,需要核实密码产品是否真正被调用
3509
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在对应用和数据安全中的“重要数据存储完整性”指标测评时,采用以下( )密码技术无法被判定为符合。
A、采用SM3-HMAC算法计算消息鉴别码
B、仅采用SM3算法计算杂凑值
C、使用SM4-CBC模式生成消息鉴别码,其中初始向量为全0,消息长度为约定好的固定长度
D、使用SM3和SM2算法计算签名值
3510
单项选择题 按照GM/T 0115 《信息系统密码应用测评要求》,以下()不属于应用和数据安全层面的测评内容。
A、重要信息资源安全标记完整性
B、访问控制信息完整性
C、日志记录存储完整性
D、重要可执行程序完整性和来源真实性
3511
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,下列关于应用和数据安全层面“重要数据存储机密性”指标测评实施和结果判定的说法中错误的是()。
A、如调用外部密码产品实现,可以通过核查密码产品日志记录或配置信息等来判断使用密码算法的合规性
B、存储机密性保护通过具有商用密码产品认证证书的服务器密码机实现,则该测评指标的测评结果一定为“符合”
C、密码运算和密钥管理均由服务器密码机等合规的密码产品实现,但密钥管理安全性不一定为“符合”
D、可直接读取存储的重要数据,以判断机密性保护措施是否有效
3512
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对于应用和数据安全层面“重要数据存储完整性”测评,以下说法不正确的是()。
A、可以核查应用系统是否采用基于公钥密码算法的数字签名机制等密码技术对重要数据进行存储过程中的完整性保护
B、可以核查应用系统是否采用基于对称密码算法或密码杂凑算法的消息鉴别码机制等密码技术对重要数据进行存储过程中的完整性保护
C、如果没有采用基于公钥密码算法的数字签名机制、基于对称密码算法或密码杂凑算法的消息鉴别码机制等密码技术,则不符合本单元测评指标要求
D、如果没有采用经商用密码认证机构认证合格的密码产品实现存储完整性保护,则不符合本单元测评指标要求
3513
单项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下哪项测评指标在密码应用技术测评要求的四个安全层面均有涉及()。
A、重要数据传输机密性
B、身份鉴别
C、日志记录完整性
D、不可否认性
3514
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对于“宜”的条款,以下做法不正确的是()。
A、若纳入标准符合性测评范围,则密评人员应按照相应测评指标要求进行测评和结果判定
B、若未纳入标准符合性测评范围,密评人员不仅要按照相应测评指标要求进行测评和结果判 定,还应在测评中进一步确认是否存在其他风险控制措施
C、若未纳入标准符合性测评范围,密评人员在测评中应进一步核实密码应用方案中所描述的风险控制措施使用条件在实际的信息系统中是否被满足,且信息系统的实施情况与所描述的风险控制措施是否一致
D、若未纳入标准符合性测评范围,经密评人员确认信息系统实际采用的风险控制措施使用条件和具体措施与密码应用方案保持一 致,则相应测评指标视为“不适用”
3515
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评机构在对某行业信息系统测评过程中,发现系统中使用了某特殊算法(由经检测认证的密码产品实现),系统方出具了国家密码管理部门同意在该行业内使用该算法的证明文件,但该算法并未以国家标准或行业标准形式发布。
针对此情形,“密码算法合规性”应选择以下哪种判定结果()。
A、符合
B、部分符合
C、不符合
D、不适用
3516
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评机构在测评某信息系统时,发现移动端用户采用协同签名技术(由经检测认证的密码产品实现)完成应用系统的登录认证。
但密评人员查阅密码相关标准后发现,该技术并未以密码相关国家标准或行业标准发布。
针对此情形,“密码技术合规性”的判定较为合理的是()。
A、部分符合
B、符合
C、不符合
D、不适用
3517
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评人员在测评某二级系统时,发现该系统在投入运行前有经过初次评估并编制了密码应用安全性评估报告,但整个系统的评估结论为“不符合”。
那么“投入运行前进行密码应用安全性评估”测评单元的判定结果是()。
A、符合
B、部分符合
C、不符合
D、不适用
3518
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统涉及2个物理机房。
根据密码应用方案和现场测评结果,其中1个物理机房的物理和环境安全层面“身份鉴别”项测评结果为不适用,另1个物理机房符合要求。
那么,该系统物理和环境安全层面“身份鉴别”测评单元,最终判定结果为()。
A、符合
B、部分符合
C、不符合
D、不适用
3519
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评人员在测评时,以下()情况可视为密钥管理方式较为安全。
A、将密钥进行切分为不同长度的子密 钥,子密钥进行拼接后得到原始密钥
B、用于验签的公钥未采取任何保护措施存储到数据库中
C、加密密钥使用SM4- ECB算法加密后存储在外部数据库中
D、用于重要数据存储机密性保护的密钥存储在服务器密码机中
3520
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某电子门禁系统通过自身的软件模块使用 SM3算法计算门禁记录数据的杂凑值,并保存到数据库中,从而实现电子门禁记录数据的完整性保护,这种情况可判定为()。
A、符合
B、部分符合
C、不符合
D、不适用
3521
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在测评“网络和通信安全层面”时,如果通信过程采用IPSec协议提供保护,经实际抓包后,测评人员通常查看IPSec协议中( )阶段的报文数据,来获取密码算法属性值,进而确定具体使用的密码算法并进行结果判定。
A、IKE
B、AH
C、ESP
D、以上均可
3522
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对于访问控制信息完整性,以下属于设备和计算安全层面测评内容的是( )。
A、部署在网络边界的 VPN中的访问控制列表
B、通用服务器操作系统的系统权限访问控制信息
C、边界防火墙的ACL列表
D、应用系统的用户权限列表
3523
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,使用以下哪种算法进行日志记录完整性保护的判定结果为不符合()。
A、HMAC-SHA-1
B、CMAC-SM4
C、SM3WithSM2
D、SM3
3524
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统部署和使用了2台A厂商具有B型号商用密码产品认证证书的服务器密码机,3台C厂商具有D型号商用密码产品认证证书的服务器密码机,则在“设备和计算安全”层面选取测评对象时应( )。
A、以服务器密码机作为测评对象
B、将5台服务器密码机均列为测评对象
C、将具有同一商用密码产品认证证书的服务器密码机作为一个测评对象
D、服务器密码机不作为设备和计算安全层面的测评对象
3525
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统管理员在互联网通过合规的SSL VPN接入系统内网,管理员使用合规的智能密码钥匙登录SSL VPN,并正确启用国密算法,数字证书由合规的CA机构颁发,则网络和通信安全层面的“身份鉴别”指标应判定为( )。
A、符合
B、部分符合
C、不符合
D、无法判定
3526
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统基于GMSSL协议使用安全浏览器访 问 堡 垒 机 , GMSSL 协 议 使 用 了 基 于 SM3WithSM2算法的数字证书,且数字证书由合规的CA机构颁发,则堡垒机的“身份鉴别”指标应判定为( )。
A、符合
B、部分符合
C、不符合
D、无法判定
3527
单项选择题 根据《商用密码应用安全性评估FAQ(第二版)》,某三级信息系统于2020年10月投入运行,于 2021年10月进行首次密评, 评估结论为基本符合,于2022年进行了第二次密评,则第二次密评时,“投入运行前进行密码应用安全性评估”应判定为( )。
A、符合
B、部分符合
C、不符合
D、不适用
3528
单项选择题 下列关于应用和数据安全层面“访问控制信息完整性”指标测评的说法中不正确的是()。
A、被测应用系统无身份鉴别模块,则该项测评指标不适用
B、保护对象可能包括用户角色配置信息、角色权限配置信息
C、如使用数字签名技术进行完整性保 护,则可使用公钥对存储的签名结果进行验证
D、如果以外接服务器密码机等密码产品的形式实现,还需要核实密码产品是否真正被调用
3529
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某机关政务应用系统用户登录调用外部系统提供的身份鉴别服务,外部系统采用静态口令和手机验证码组合的身份鉴别方式,在对该政务应用系统进行应用和数据安全层面“身份鉴别”指标测评时,最合适的判定结果为()。
A、符合
B、部分符合
C、不符合
D、不适用
3530
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某网上银行系统在应用和数据安全层面“不可否认性”指标测评的具体对象包括用户关键交易操作、与外部系统的关键交易操作,经核查发现,关键交易操作不可否认性实现均采用数字签名技术,且密码产品、密码服务符合GM/T 0115通用测评要求,但部分网银用户仍使用RSA1024数字证书,则本单元的测评结果最合适的是()。
A、符合
B、部分符合
C、不符合
D、无法判定
3531
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,现场测评环节,在对应用系统鉴别数据进行应用和数据安全层面“重要数据传输机密性”指标测评时,应用系统采取下列哪项技术措施可判定该测评对象机密性保护措施无效()。
A、客户端对口令明文进行SHA-256杂凑运算后,将杂凑值传输至后台应用系统,应用系统对杂凑值进行比对
B、客户端调用智能密码钥匙,采用SM4算法对口令信息加密后传输
C、客户端采用服务端 RSA-2048公钥对口令信息加密后传输
D、客户端采用AES算法对口令信息加密后传输
3532
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,被测应用系统面向业务用户提供WEB端和 APP端2种访问方式,用户通过WEB端注册后,可使用相同账户名口令登录APP; 当用户使用 WEB浏览器登录应用系统时,通过智能密码钥匙对口令信息进行SM4加密后传输;用户登录手机端APP时,口令明文传输。
则在进行应用和数据安全层面“重要数据传输机密性”测评时,口令信息测评结果为()。
A、符合
B、部分符合
C、不符合
D、无法判定
3533
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》, 密评人员在对SSL VPN通信信道进行测评时 , 发 现 协 议 算 法 套 件 为 TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA(0xc013),以下判断合理的是()。
A、采用ECDHE算法进行密钥协商
B、采用RSA算法来保证通信过程中数据的机密性
C、采用AES算法来保证通信过程中数据的完整性
D、采用SHA算法来保证通信过程中数据的完整性
3534
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,下列密码防护措施一定“不符合”应用和数据安全层面“重要数据传输机密性”测评指标要求的是()。
A、采用SM4-CTR算法对重要用户信息加密后传输
B、采用SM2公钥加密算法对口令信息加密后传输
C、采用ZUC-EIA算法对重要用户信息加密后传输
D、采用ChaCha20- Poly1305算法对重要用户信息加密后传输
3535
单项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,关于整体测评要求的描述错误的是( )。
A、整体测评是在单元测评结束后执行的环节
B、存在“等效弥补”
C、整体测评环节可能涉及测评单元的分数调整
D、可能涉及单元间、层面间弥补的情形
3536
单项选择题 在测评某信息系统机房时,发现该机房有A和B两个门,其中机房管理员、设备维护和管理等人员通常从A门(使用经检测认证的电子门禁系统)刷门禁卡进入;B门(刷Mifare门禁卡进入)平时几乎不用。
按照GM/T 0115《信息系统密码应用测评要求》,物理和环境安全层面“身份鉴别”指标的判定结果,最合适的是( )。
A、符合
B、部分符合
C、不符合
D、不适用
3537
单项选择题 某四级信息系统针对“电子门禁记录数据存储完整性”指标要求采取的措施为:门禁日志记录存储在日志审计系统(内置PCI-E密码卡)中,针对日志记录表单会生成一个 MAC 值( 由HMAC- SHA256实现),日志审计系统将日志记录及对应 MAC值保存至后台数据库(数据库登录方式为“用户名+口令”)。
经密评人员核实,相关密码运算由密码卡完成,密码卡经检测认证合格。
那么,依据GM/T 0115《信息系统密码应用测评要求》,针对该测评单元的判定结果较为合理的是( )。
A、符合
B、部分符合
C、不适用
D、不符合
3538
单项选择题 某等保三级信息系统,设备运维人员从互联网先访问网络边界设备SSL VPN网关(网络通道采用国密SSL协议保证安全性),再通过SSL VPN登录堡垒机,进而通过堡垒机完成对应用服务器的访问,堡垒机的“身份鉴别”判定结果为“符合”,应用服务器的登录方式为“用户名+口令”。
针对此情形,应用服务器“身份鉴别”的判定结果为()。
A、不符合
B、部分符合
C、符合
D、基本符合
3539
单项选择题 某云平台和云上应用系统的业务数据存储机密性保护,由同一台云服务器密码机(经检测认证)提供,且均采用SM4-CBC算法计算数据密文。
若云平台率先通过密评,且“重要数据存储机密性”测评单元得到“符合”结论,那么依据GM/T 0115《信息系统密码应用测评要求》,云上应用系统的该测评指标应选择以下哪种判定结果更合适()。
A、符合
B、部分符合
C、不符合
D、不确定,需重新测评
3540
单项选择题 某网上银行信息系统,网银用户持有银行配发的智能密码钥匙,在交易时,用户使用智能密码钥匙对交易信息进行SM9数字签名,网银服务端收到后调用签名验签服务器完成验签。
上述密码运算均在密码产品中完成,密码产品均经过检测认证。
依据GM/T 0115《信息系统密码应用测评要求》,则“不可否认性”最合适的判定结果是()。
A、符合
B、部分符合
C、不符合
D、不确定
3541
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某系统管理员使用智能密码钥匙登录服务器密码机进行身份鉴别,以下哪项不属于设备和计算安全层面应核查的内容( )。
A、服务器密码机的商用密码产品认证证书
B、智能密码钥匙的密码模块安全等级
C、利用协议分析工 具,抓取应用系统调用密码机的指令报文,验证其是否符合预期
D、密码机设备日志记录
3542
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统基于国密SSL协议使用安全浏览器访问堡垒机, 国密 SSL 协议使用了基于 SM3WithSM2算法的数字证书,则以下说法正确的是( )。
A、堡垒机“身份鉴别”测评项可判定为符合
B、数字证书签名算法 OID为 1.2.156.10197.1.501
C、测评人员可通过数字证书获取颁发者的公钥信息
D、数字证书签名算法 OID为 1.2.156.10197.1.502
3543
单项选择题 根据《商用密码应用安全性评估FAQ(第二版)》,对于建设运行层面的“投入运行前进行密码应用安全性评估”测评项,在2020年1月1日之后投入运行的系统,投入运行后进行首次密评时,该项判定为( );如果是非首次密评,且前次密评结果为基本符合,该项可判定( )。
A、不符合、符合
B、不适用、符合
C、不符合、部分符合
D、部分符合、部分符合
3544
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统使用了服务器密码机、签名验签服务器等密码产品,密码产品合规性核查要点不包含以下哪项内容( )。
A、核查密码产品是否具备商用密码产品认证证书
B、核查服务器密码机的随机数发生器是否采用国家密码管理主管部门批准的物理噪声源芯片
C、若密码产品符合密码模块相关标准,则核查其密码模块是否达到相应安全等级要求
D、核查商用密码产品认证证书是否在有效期内
3545
单项选择题 密评人员在测评时发现被测系统调用服务器密码机,对堡垒机的访问控制信息进行完整性保护,并获取了堡垒机访问控制信息的完整性校验值为:0x1073f2a58ae7e43550bc1c11f4cd2899,其长度为128比特,以下说法错误的是( )。
A、一定未采用HMAC- SM3算法对堡垒机访问控制信息进行完整性保护
B、可能采用了HMAC- SM3算法对堡垒机访问控制信息进行完整性保护
C、可能采用了HMAC- MD5算法对堡垒机访问控制信息进行完整性保护
D、可能采用了基于SM4-CBC的MAC算法对堡垒机访问控制信息进行完整性保护
3546
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在对三级信息系统开展设备和计算安全层面的密评时,以下身份鉴别方式符合密评要求的是( )。
A、该系统设置3名设备管理员,并为每名管理员配备了合规的智能密码钥匙和相同的数字证书,并使用合规的密码技术实现了管理员登录的身份鉴别
B、系统管理员使用合规的智能密码钥匙登录SSL VPN时, SSL VPN仅比对智能密码钥匙发送的唯一标识符
C、使用合规的动态令牌登录堡垒机,服务端部署合规的动态令牌认证系统,并正确启用国密算法
D、使用合规的智能密码钥匙登录堡垒 机,智能密码钥匙的PIN码为6位数字,错误口令登录次数限制为12次
3547
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,关于设备和计算安全层面的密评,以下说法正确的是( )。
A、若某信息系统技术人员通过自研软件使用HMAC-SM3算法对堡垒机访问控制信息进行完整性保护,则堡垒机的访问控制信息完整性一项可判定为符合
B、某四级信息系统,使用的服务器密码机(安全等级二 级)具有合格的商用密码产品认证证书,且可以确定实际部署的密码产品与获认证产品一 致,考虑到密码产品功能确定且自身安全防护能力较 高,针对该密码机在设备和计算安全层面的“系统资源访问控制信息完整性”“日志记录完整性”“重要可执行程序完整性、重要可执行程序来源真实性”这三个指标,均可直接判定为“符合”
C、当堡垒机的管理员有多种身份鉴别方式时,应对不同的身份鉴别方式分别进行测评,并以最低分作为量化评估的结果。
D、依照GM/T 0115《信息系统密码应用测评要求》,设备和计算安全层面“身份鉴别”测评指标 “采用密码技术对登录设备的用户进行身份鉴别”中,要求的用户指的是登录设备的用户,同时也指登录设备中应用系统的用户
3548
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,应用系统采用数字签名技术实现用户身份鉴别,经核实签名算法标识,可认为密码算法符合通用测评要求的是()。
A、1.2.156.10197.1.301
B、1.2.840.10045.2.1
C、1.2.840.10045.5.1
D、1.2.156.10197.1.501
3549
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统部署经商用密码产品认证机构认证合格的SSL安全网关代理业务应用系统进行基于SM2数字签名技术的用户身份鉴别,用户经 SSL安全网关鉴别通过后,再采用静态口令登录应用系统;在数字签名身份鉴别机制通用测评要求判定为“符合”的前提下,应用和数据安全层面“身份鉴别”指标最可能的判定结果为()。
A、符合
B、部分符合
C、不符合
D、无法判定
3550
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在对应用和数据安全层面中的“身份鉴别”指标测评时,获取下列哪项测评证据的判定结果一定为“不符合”()。
A、WEB端业务用户采用智能密码钥匙登录应用系统
B、WEB端业务用户使用手机APP客户端扫码登录业务应用系统,手机APP集成手机盾SDK,服务端调用了协同签名平台进行签名验证
C、移动端用户可采用 SM2协同签名技术登录手机APP(集成移动终端密码模块 SDK)。
D、系统管理员采用短信验证码登录业务应用系统,服务端动态口令认证模块基于开源代码实现
3551
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某应用系统面向业务用户提供WEB端和APP端2种访问方式,在WEB端,用户浏览器与应用系统服务端采用国密SSL协议( 国密浏览器实现)保障通信数据机密性,APP客户端与应用系统服务端之间采用HTTP协议传输,经核查发现应用系统用户鉴别数据均以明文方式传输,经整体测评后,鉴别数据在应用和数据安全层面“重要数据传输机密性”指标的测评结果最可能为()。
A、符合
B、部分符合
C、不符合
D、无法判定
3552
单项选择题 在对应用和数据安全层面中的“重要数据存储机密性”指标测评时,采用以下( )密码技术可能被判定为“部分符合”。
A、采用SM3算法对业务数据计算杂凑值后存储
B、采用DES算法对重要业务数据加密后存储
C、采用SM4-ECB模式对所有用户性别信息项进行加密后存储
D、使用RSA算法对个人敏感信息加密后存储
3553
单项选择题 应用和数据安全层面测评时,发现被测应用系统采用SM3算法对口令计算杂凑值后传输和存储,且客户端调用了经商用密码认证机构认证合格的智能密码钥匙生成MAC,则“身份鉴别”指标判定结果为()。
A、符合
B、部分符合
C、不符合
D、无法判定
3554
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在针对网络和通信安全层面的“身份鉴别”指标进行测评时,SSL协议工作流程中,如果服务端需要验证客户端的身份,则测评人员需要核查服务端需向客户端发送的()消息。
A、Server Key Exchange
B、Certificate Request
C、Server Certificate
D、Certificate Verify
3555
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评人员在对某三级信息系统测评时,发现“应用和数据安全”层面的重要数据传输完整性采用签名验签服务器(经检测认证合格,安全等级二级)提供保护。
签名验签服务器采用“口令+智能 IC卡”的方式鉴别设备管理员,但设备管理员将智能IC卡长期插入签名验签服务器使用。
针对此情形,关于“密码产品合规性”的判定较为合理的是()。
A、符合
B、部分符合
C、不符合
D、不适用
3556
单项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对某信息系统进行“网络和通信安全”层面测评时发现,该系统客户端与服务端通信报文采用 SM4算法进行加密后传输,算法为开发人员自己实现(算法实现未经正确性验证),加密密钥嵌入在代码中且不可更改。
因此,“通信过程中重要数据的机密性”测评指标最合适的判定结果是()。
A、符合
B、部分符合
C、不符合
D、不适用
3557
单项选择题 某信息系统管理员使用合规的智能密码钥匙登录服务器密码机时,若服务器密码机仅通过比对智能密码钥匙发送的唯一标识符进行鉴别,则身份鉴别测评项的判定结果为( )。
A、符合
B、部分符合
C、不符合
D、无法判定
3558
单项选择题 在对应急处置层面“应急策略”指标测评时发现,某第三级信息系统制定了符合网络安全等级保护基本要求的应急预案,预案中明确了网络安全事件发生时的应急处理流程、系统恢复流程及其他管理措施,具有事件处置记录模板,但应急预案未涵盖密码应用安全相关事件且信息系统尚未发生密码应用安全事件。
依据GM/T 0115《信息系统密码应用测评要求》,本指标判定结果最合适的是( )。
A、符合
B、部分符合
C、不符合
D、无法判定
3559
单项选择题 某已建信息系统依据GM/T 39786第三级要求进行密码应用改造过程中,制定并正式发布了密码应用安全管理制度,制度中包含应急处置相关规定,其中要求密码应用安全事件处置完成后应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况,并制定了应急处置记录模板及安全事件报告模板;信息系统自投入运行以来尚未发生密码应用安全事件;经核查该系统密码应用方案及其评估意见,管理指标均为适用。
则密评机构在开展应急处置层面“向有关主管部门上报处置情况”指标测评时,依据GM/T 0115《信息系统密码应用测评要求》,最合适的判定结果为( )。
A、符合
B、部分符合
C、不符合
D、不适用
3560
多项选择题 GM/T 0115《信息系统密码应用测评要求》中定义的测评单元包括以下哪些要素()。
A、测评指标
B、测评对象
C、测评实施
D、结果判定
3561
多项选择题 GM/T 0115《信息系统密码应用测评要求》适用于指导信息系统哪些环节的密码应用安全性评估工作()。
A、规划
B、建设
C、运行
D、运维
3562
多项选择题 对第五级密码应用测评要求的描述, 在GM/T 0115《信息系统密码应用测评要求》中哪些部分有出现()。
A、安全接入认证
B、身份鉴别
C、密码技术合规性
D、密钥管理安全性
3563
多项选择题 GM/T 0115《信息系统密码应用测评要求》包含了以下哪些内容()。
A、通用测评要求
B、整体测评要求
C、风险分析和评价
D、密码可用性测评要求
3564
多项选择题 GM/T 0115《信息系统密码应用测评要求》中,术语“核查”包括了哪些实际测评时的测评方式()。
A、访谈
B、文档审查
C、配置检查
D、工具测试
3565
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列说法正确的是()。
A、单元测评可以和整体测评同时执行
B、每个安全层面的单元测评理论上可以同时执行
C、风险分析和评价是在单元测评和整体测评完成后执行的
D、测评结论主要由整体测评后的分数得到,风险分析和评价不影响测评结 论,只是附加说明系统中的安全问题对应的安全风险程度高低
3566
多项选择题 对于二级信息系统,以下哪些测评指标可由信息系统责任方自行决定是否按照GM/T 0115《信息系统密码应用测评要求》中该测评指标要求进行测评和结果判定( )。
A、身份鉴别
B、电子门禁记录数据存储完整性
C、通信数据完整性
D、日志记录完整性
3567
多项选择题 GM/T 0115《信息系统密码应用测评要求》中,不单独判定符合性的测评单元有以下哪些()。
A、密码算法合规性
B、密码产品合规性
C、身份鉴别
D、密钥管理有效性
3568
多项选择题 以下属于GM/T 0115《信息系统密码应用测评要求》中通用测评要求内容的是()。
A、密码算法合规性
B、密码技术合规性
C、密码产品合规性
D、密钥管理安全性
3569
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,以下选项中属于设备和计算安全层面测评对象的有()。
A、应用服务器
B、虚拟机
C、数据库
D、金融数据密码机
3570
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,信息系统的应用用户可能包含以下哪些()。
A、互联网用户
B、单位内部用户
C、应用服务器设备管理员
D、应用管理员
3571
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,关于应用和数据安全层面“不可否认性”测评单元,以下描述正确的是()。
A、该测评指标通常针对于三级和四级信息系统
B、通常可采用基于公钥密码算法的数字签名机制实现该密码功能
C、核查内容包含数据原发行为的不可否认性
D、核查内容包含数据存储行为的不可否认性
3572
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,一个信息系统的测评结论可以是以下哪些()。
A、符合
B、基本符合
C、不符合
D、部分符合
3573
多项选择题 GM/T 0115《信息系统密码应用测评要求》的资料性附录包括以下哪些()。
A、密钥生存周期管理检查要点
B、典型密码产品应用测评技术
C、典型密码产品管理测评技术
D、典型密码功能测评技术
3574
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下结果判定方法正确的是()。
A、针对单个测评对 象,如果某测评单元的测评实施内容均为是,则该测评对象符合这个测评单元的测评指标要求。
B、针对单个测评对 象,如果某测评单元的测评实施内容均为否,则该测评对象不符合本单元的测评指标要求。
C、针对某个测评单 元,对该单元涉及的所有测评对象的判定结果进行汇 总,如果判定结果均为符合,则本单元的测评结果为符合。
D、针对某个测评单 元,对该单元涉及的所有测评对象的判定结果进行汇 总,如果判定结果均为不符合,则本单元的测评结果为不符合。
3575
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,采用下列哪些鉴别技术,物理机房电子门禁系统的“身份鉴别”指标可以判定为“符合”()。
A、动态口令
B、基于对称密码算法或密码杂凑算法的消息鉴别码(MAC)机制
C、基于公钥密码算法的数字签名机制
D、指纹识别
3576
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下哪些选项属于物理和环境安全层面在测评时应该关注的对象()。
A、信息系统所在机房等重要区域
B、信息系统所在机房等重要区域的电子门禁系统
C、信息系统所在机房等重要区域的视频监控系统
D、信息系统所在机房等重要区域部署的防病毒系统
3577
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,物理和环境安全的测评关注点包括信息系统所在机房等重要区域及其()。
A、动力环境监控系统
B、电子门禁系统
C、消防联动控制系统
D、视频监控系统
3578
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对物理和环境安全层面“视频监控记录数据存储完整性”指标进行测评时,应核查是否采用()等密码技术对视频监控音像记录数据进行存储完整性保护,并验证完整性保护机制是否正确和有效。
A、基于对称算法的加解密机制
B、基于对称算法的消息鉴别码机制
C、基于密码杂凑算法的消息鉴别码机制
D、基于公钥密码算法的数字签名机制
3579
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下哪些选项属于网络和通信安全层面的测评关注点()。
A、信息系统与网络边界外建立的网络通信息信道
B、提供网络通信保护功能的设备、组件、密码产品
C、信息系统中互联网接入区的入侵检测系统
D、提供入网接入认证功能的设备或组件、密码产品
3580
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列关于网络和通信安全层面“身份鉴别”测评指标的测评过程描述哪些是正确的()。
A、通过访谈,了解采用了哪种通信实体身份鉴别实现机制
B、核查并验证身份鉴别机制是否正确有效
C、核查采用的密码算法和密码技术是否合规
D、核查采用的密钥管理措施是否安全
3581
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下面哪些属于管理制度方面测评的对象()。
A、密钥管理制度及策略类文档
B、密码人员管理制度
C、服务器密码机操作规程
D、管理制度修订记录
3582
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列哪些属于对密码相关管理人员或操作人员的日常管理操作建立的操作规程()。
A、服务器密码机配置流程
B、门禁卡发卡操作规程
C、密钥管理系统操作规程
D、年度人员培训计划
3583
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,核查关键岗位人员的保密协议时,应核查协议中是否包括下列哪些内容()。
A、保密范围
B、保密责任和违约责任
C、协议的有效期限
D、责任人的签字
3584
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在进行“建立上岗人员培训制度”指标的测评时,下列哪些在其测评对象范围内( )。
A、安全主管
B、密钥管理员
C、密码安全审计员
D、密码操作员
3585
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,密评人员在对某信息系统进行密评时,判定密码产品合规性时应从以下哪些方面实施测评()。
A、了解信息系统中密码产品的型号和版本等配置信息
B、核查密码产品是否经商用密码认证机构认证合格
C、核查密码产品的使用是否满足其安全运行的条件,如其安全策略或使用手册说明的部署条件
D、依据密码模块相关标准的密码产品,还要核查密码产品是否满足密码模块相应安全等级及以上安全要求
3586
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在实施信息系统“密钥管理安全性”测评时,除核查密钥管理安全性实现技术是否正确有效外,还应核查密钥管理使用的( )是否满足要求。
A、密码算法
B、密码技术
C、密码产品
D、密码服务
3587
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在测评信息系统“具备密码应用安全管理制度”指标时,密评人员应核查各项安全管理制度包括()等制度。
A、密码人员管理
B、密钥管理
C、应急处置
D、密码软硬件及介质管理
3588
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,密评人员在对“密钥管理规则”指标进行测评时,应核查()。
A、是否有通过评估的密码应用方案
B、是否根据密码应用方案建立相应密钥管理规则
C、是否对密钥管理规则进行评审
D、信息系统中密钥是否按照密钥管理规则进行生存周期的管理
3589
多项选择题 某信息系统部署于两个自建机房,机房之间通过光纤连接,启用防火墙的IPSec VPN对机房之间的业务流量进行保护,通过服务器密码机对应用服务器的日志记录进行完整性保护。
根据GM/T 0115《信息系统密码应用测评要求》,以下作为设备和计算安全层面测评对象的是()。
A、应用服务器
B、服务器密码机
C、光纤连接器
D、防火墙
3590
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下可作为设备和计算安全层面测评对象的是()。
A、具有密码功能的网络及安全设备
B、服务器密码机
C、密钥管理系统
D、数据库管理系统
3591
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,设备和计算安全层面,系统资源访问控制信息主要包括( )。
A、操作系统文件目录的访问控制信息
B、设备操作系统的系统权限访问控制信息
C、堡垒机等第三方运维系统中的权限访问控制信息
D、数据库中的数据访问控制信息
3592
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,以下属于“身份鉴别”指标的测评实施内容的是()。
A、核查身份鉴别所使用的密码算法合规性、密钥技术合规性
B、核查身份鉴别所使用的密码产品合规性、密码服务合规性,以及相关密钥管理安全性
C、核查是否采用动态口令机制、基于对称密码算法或密码杂凑算法的消息鉴别码、基于公钥密码算法的数字签名机制等密码技术对设备操作人员等登录设备的用户进行身份鉴别
D、验证登录设备的用户身份真实性实现机制是否正确和有效
3593
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,能够确认密码产品具有合格的商用密码产品认证证书,且可以确定实际部署的密码产品与获认证产品一致的情况下,针对整机类密码产品,在设备和计算安全层面,以下哪些指标项可判定为符合()。
A、系统资源访问控制信息完整性
B、日志记录完整性
C、身份鉴别
D、重要可执行程序完整性、重要可执行程序来源真实性
3594
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于二级信息系统“设备和计算安全”层面测评项的是()。
A、身份鉴别
B、远程管理通道安全
C、系统资源访问控制信息完整性
D、日志记录完整性
3595
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于三级信息系统“建设运行”方面测评项的是()。
A、制定密码应用方案
B、定期开展密码应用安全性评估及攻防对抗演习
C、制度执行过程记录留存
D、建立操作规程
3596
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于“定期开展密码应用安全性评估及攻防对抗演习”测评实施要点的是()。
A、核查信息系统投入后,是否定期开展密码密码应用安全性评估及攻防对抗演习
B、核查密码应用安全事件发生后,是否及时向信息系统主管部门进行报告
C、核查是否根据密码应用安全事件等级制定了相应的密码应用应急策略并对应急策略进行评审
D、核查信息系统投入后,是否具有密码应用安全性评估报告及攻防对抗演习报告
3597
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于密钥分发检查要点的是()。
A、确认系统内部采用何种密钥分发方式
B、确认密钥备份的审计信息是否包括备份的主体、时间等信息
C、确认信息系统内部是否具有密钥的更新策略
D、确认密钥传递过程中信息系统使用了哪些密码技术对密钥进行处理以保护其机密性、完整性与真实性,并核实保护措施使用的正确性和有效性
3598
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,关于设备和计算安全层面“日志记录完整性”测评指标,以下属于该项密钥管理核查内容的是()。
A、若密钥管理使用的密码产品符合密码模块相关标准,则核查相关密码产品是否满足密码模块相应安全等级及以上安全要求
B、核查密钥管理安全性实现技术是否正确有效
C、核查日志记录是否进行备份以及备份机制是否合理
D、核查相关密码产品是否按照产品配套的安全策略文档进行部署和使用
3599
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下属于三级信息系统“设备和计算安全”层面测评指标的是()。
A、安全接入认证
B、远程管理通道安全
C、重要信息资源安全标记完整性
D、日志记录完整性
3600
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,信息系统应用的重要数据包括但不限于()。
A、鉴别数据
B、访问控制信息
C、重要业务数据
D、个人敏感信息
3601
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的完整性保护对象有()。
A、安全标记
B、访问控制信息
C、需要传输的重要数据
D、需要存储的重要数据
3602
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,以下哪些指标不属于应用和数据安全层面的测评指标( )。
A、身份鉴别
B、系统资源访问控制信息完整性
C、重要信息资源安全标记完整性
D、重要可执行程序完整性、重要可执行程序来源真实性
3603
多项选择题 被测业务应用在身份鉴别、重要数据传输机密性、重要数据传输完整性方面均未采用密码技术,整体测评时,依据GM/T 0115《信息系统密码应用测评要求》,下列哪些测评指标的测评结果可能会对应用和数据安全层面进行弥补()。
A、网络和通信安全层面“身份鉴别”
B、网络和通信安全层面“通信过程中重要数据的机密性”
C、网络和通信安全层面“通信数据完整性”
D、设备和计算安全层面“身份鉴别”
3604
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,下列可能作为应用和数据安全层面“重要数据存储机密性”测评指标具体测评对象的是()。
A、鉴别数据
B、身份证号
C、重要业务数据
D、重要信息资源安全标记
3605
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》附录C提供的测评技术,在对三级信息系统进行应用和数据安全层面“重要数据存储完整性”指标测评时,预期结果包括()。
A、数据格式(签名长度、MAC长度)符合预期
B、若调用外接密码产品实现,则调用指令、次数等符合预期
C、登录密码产品查看相关配置和密码功能调用日志,密钥配置、日志记录均显示使用合规的密码算法
D、篡改存储数据后,能够检测出存储数据的完整性受到了破坏
3606
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,下列可能作为应用和数据安全层面“重要数据存储完整性”测评指标具体测评对象的是()。
A、鉴别数据
B、访问控制信息
C、重要业务数据
D、用户操作日志
3607
多项选择题 依据GM/T 0115《信息系统密码应用测评要求》,应急处置层面的测评对象包括()。
A、密码应用应急策略
B、应急处置记录
C、攻防对抗演练记录
D、安全事件报告
3608
多项选择题 按照GM/T 0115《信息系统密码应用测评要求》中对测评对象的阐述,以下内容正确的是()。
A、物理和环境安全层面的测评对象仅涉及电子门禁系统
B、网络和通信安全层面的测评对象包括内网环境中的设备远程运维通道
C、数据库及其管理系统属于设备和计算安全层面的测评对象
D、应用和数据安全层面的身份鉴别指标的测评对象是登录应用系统的用户
3609
多项选择题 以下属于GM/T 0115《信息系统密码应用测评要求》中通用测评要求内容的是()。
A、密码算法合规性
B、密码产品正确性
C、密码服务合规性
D、密钥管理有效性
3610
多项选择题 在GM/T 0115 《信息系统密码应用测评要求》中,关于密码应用技术测评要求的测评实施,其中测评实施第一条会关联到其他哪些测评单元()。
A、通用测评要求的“密码算法合规性”
B、通用测评要求的“密码产品合规性”
C、通用测评要求的“密码技术正确性”
D、通用测评要求的“密码技术合规性”
3611
多项选择题 在GM/T 0115 《信息系统密码应用测评要求》中,关于密码应用技术测评要求的测评实施,其中测评实施第二条会关联到其他哪些测评单元()。
A、通用测评要求的“密码算法合规性”
B、通用测评要求的“密码产品合规性”
C、通用测评要求的“密码服务合规性”
D、通用测评要求的“密钥管理安全性”
3612
多项选择题 某三级信息系统机房有A和B两个门,经实地查看发现,无论从A或B门进入后,都可以访问整个机房。
其中A门采用经检测认证的电子门禁系统刷卡进入,B门采用ID卡刷卡进入。
对机房进出访问无其他风险控制措施。
针对这种情形, 依据 GM/T 0115《信息系统密码应用测评要求》,物理和环境安全层面“身份鉴别”的判定结果和风险评价最有可能的是()。
A、部分符合
B、不符合
C、高风险
D、无风险
3613
多项选择题 在GM/T 0115 《信息系统密码应用测评要求》中,在测评到某信息系统的网络和通信安全层面时,密评人员可以选取以下哪些选项作为该安全层面的测评对象()。
A、异地办事人员访问该系统产生的VPN通信信道
B、该系统生产机房和数据灾备机房之间的通信信道(两个机房位于不同城 市)
C、运维人员从办公网区域访问安全运维区的堡垒机而产生的设备运维管理通道(两个区域同属于单位内网)
D、该系统移动端APP访问服务端建立的 HTTPS通信信道
3614
多项选择题 在GM/T 0115 《信息系统密码应用测评要求》中,针对“投入运行前进行密码应用安全性评估”这一项测评指标,以下说法正确的是()。
A、对于第一级和第二级的信息系统,密评人员应核查信息系统投入运行前是否组织进行密码应用安全性评估,且编制有密码应用安全性评估报告
B、对于第二级和第三级的信息系统,密评人员应核查信息系统投入运行前是否组织进行密码应用安全性评估,并核查是否编制有密码应用安全性评估报告且系统通过评估
C、对于所有级别的信息系统,密评人员应核查信息系统投入运行前是否组织进行密码应用安全性评估,并核查是否编制有密码应用安全性评估报告且系统通过评估
D、对于第三级和第四级的信息系统,密评人员应核查信息系统投入运行前是否组织进行密码应用安全性评估,并核查是否编制有密码应用安全性评估报告且系统通过评估
3615
多项选择题 密评人员在测评某三级信息系统时发现,该系统数据加密密钥的管理采用了一台服务器密码机实现,但该密码机对应的认证证书在测评时已过期(系统方采购密码机时间在认证证书有效期内)。
针对这种情形,依据GM/T 0115《信息系统密码应用测评要求》,“密钥管理安全性”可能的判定结果有哪些()。
A、符合
B、不符合
C、不适用
D、以上都有可能
3616
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》附录B,在密评中对密码机可采用以下哪些测评技术()。
A、利用协议分析工 具,抓取应用系统调用密码机的指令报文,验证其是否符合预期(如调用频率是否正常、调用指令是否正确)
B、管理员登录密码机查看相关配置,检查内部存储的密钥是否对应合规的密码算法,密码计算时是否使用合规的密码算法等
C、在模拟的主机或抽选的主机上安装监控软件(如Bus Hound),抓取和分析密码机的APDU指令,确认调用指令格式和内容符合预期
D、管理员登录密码机查看日志文件,根据与密钥管理、密码计算相关的日志记录,检查是否使用合规的密码算法等
3617
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》附录B,在密评中对动态口令系统可采用以下哪些测评技术()。
A、尝试对动态口令进行重放,以确认重放后的口令无法通过认证系统的验证
B、条件允许情况下,确认种子密钥以密文形式导入至认证系统中
C、条件允许情况下,在动态口令计算完成后,确认明文种子密钥不会留存在认证系统中
D、判断动态令牌的PIN码保护机制是否符合相关密码产品技术标准要求,例如 PIN码长度、输入错误次数限制
3618
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对物理和环境安全层面“身份鉴别”指标进行测评时,可采用的方法包括()。
A、尝试发一些错误的门禁卡,验证这些卡无法打开门禁
B、利用发卡系统分发不同权限的卡,验证非授权的卡无法通过门禁验证
C、查看电子门禁系统后台密码算法配 置,确认用于门禁身份鉴别的密码算法合规性
D、通过抓取电子门禁系统后台与门禁日志记录审计系统的通信数据,确认门禁日志记录的完整性保护措施
3619
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列哪些密码技术能够满足保护电子门禁系统进出记录数据的存储完整性()。
A、基于对称密码算法的MAC技术
B、基于密码杂凑算法的MAC技术
C、对称加密
D、SM2数字签名
3620
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下面哪些密码技术能够满足保护视频监控记录数据的存储完整性()。
A、基于对称密码算法的MAC技术
B、对称加密
C、基于密码杂凑算法的MAC技术
D、SM2数字签名
3621
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对网上银行系统进行测评时,客户端与其后台系统进行通信过程中,使用下列哪些密码套件可以判定“密码算法合规性”“密码技术合规性”这两项为“符合”()。
(假定通信两端所采用的密码产品均经过检测认证)
A、ECC_SM4_SM3
B、RSA_SM4_SM3
C、ECDHE_SM4_SM3
D、RSA_AES256_SHA3 84
3622
多项选择题 某应用系统部署在单位内网服务器区,内部办公区用户通过局域网访问应用系统,外部用户通过互联网访问应用系统,运维管理员可以从互联网先登录运维SSL VPN网关后,再通过SSL VPN网关堡垒机对服务器、密码产品等设备进行运维,也可以从机房内的运维终端直接通过管理网对设备进行运维。
依据GM/T 0115《信息系统密码应用测评要求》,下面哪些通信信道可作为网络和通信安全的测评对象()。
A、内部办公区用户终端与应用系统之间的通信信道
B、外部互联网用户终端与应用系统之间的通信信道
C、机房内的运维终端与被管理设备之间的通信信道
D、互联网运维管理员终端与SSL VPN之间的通信信道
3623
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》中对“建立密码应用岗位责任制度”的要求,在测评某三级信息系统时,发现以下哪些情况会判定为不符合关于“互相制约、互相监督”的要求()。
A、密码安全审计员兼任密钥管理员
B、密钥管理员兼任密码操作员
C、关键安全岗位仅设置密钥管理员和密码操作员,而且由同一人兼任
D、密码安全审计员兼任密码操作员
3624
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对某二级信息系统进行“建立上岗人员培训制度”指标的测评时,下列哪些可能成为核查的对象()。
A、人员培训管理制度
B、培训计划
C、培训签到表
D、安全教育类文档
3625
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在测评某三级信息系统“定期进行安全岗位人员考核”指标时,应核查的内容包括()。
A、核查安全管理制度文档是否包含具体的人员考核制度和惩戒措施
B、核查人员考核记录内容是否包括安全意识、密码操作管理技能及相关法律法规
C、核查人员是否具有外部培训的记录
D、核查记录表单类文档以确认是否定期进行岗位人员考核
3626
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,密评人员在进行人员管理方面的测评时,应核查是否定期对密码应用安全岗位人员进行考核,查看人员考核记录内容是否包括()。
A、制定密码应用方案
B、安全意识
C、相关法律法规
D、密码操作管理技能
3627
多项选择题 某信息系统部署了同一生产厂商的4台应用服务器,其中,2台型号为A,操作系统版本分别为 C,2台型号为D,操作系统版本分别为E、F;2台服务器密码机(商用密码产品认证证书编号分别为GMxxx、GMyyy);以下关于设备和计算安全层面测评对象选取的做法中,错误的是()。
A、从4台应用服务器抽选1台作为测评对 象,从2台服务器密码机抽选1台作为测评对象
B、从不同型号的应用服务器分别抽选1台作为测评对象,2台服务器密码机分别作为测评对象
C、4台应用服务器分别作为测评对象,2台服务器密码机也分别作为测评对象
D、从不同操作系统版本的应用服务器抽选1台作为测评对 象,2台服务器密码机分别作为测评对象
3628
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,关于密钥生存周期管理检查要点,以下说法正确的是()。
A、确认密钥是否在经检测认证合格的密码产品中产生,核实密钥产生功能的正确性和有效性
B、确认密钥(含公 钥)存储过程中使用了哪些密码技术对密钥进行处理以保护其机密性,并核实保护措施使用的正确性和有效性
C、核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息
D、核实密钥销毁过程和销毁方式,保证密钥销毁后是可以被恢复的
3629
多项选择题 某信息系统管理员从互联网通过SSL VPN接入内网后,登录堡垒机对应用服务器进行集中管理,应用用户从互联网访问应用系统。
依据GM/T 0115《信息系统密码应用测评要求》,设备和计算安全层面“远程管理通道安全”测评指标涉及的传输通道包括()。
A、从互联网到SSL VPN网关的通信信道
B、接入内网后访问堡垒机的通道
C、通过堡垒机对应用服务器进行管理的通道
D、互联网访问应用系统的通道
3630
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,以下可作为设备和计算安全层面“远程管理通道安全”测评内容的是()。
A、管理员从互联网使用浏览器直接访问堡垒机管理应用的通道
B、管理员在互联网通过SSL VPN接入内网后,使用浏览器访问堡垒机管理应用的通道
C、管理员在内网通过堡垒机对应用服务器进行集中管理的通道
D、业务用户在互联网使用国密浏览器访问业务应用的通道
3631
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列关于应用和数据安全层面测评的说法中不正确的是()。
A、如果被测信息系统无密码应用方案,本安全层面的测评对象可访谈设备管理相关人员了解情况
B、依据GM/T 0115《信息系统密码应用测评要求》,任何情况下,二级信息系统都不必进行“不可否认性”测评
C、某应用系统所在服务器自身不含有用于身份鉴别的软件密码模块,则“身份鉴别”指标为不适用
D、应用系统采用了未经安全性验证的自研密码算法对重要数据进行存储机密性保护,密评人员现场确认重要数据非明文存储,可判定为“部分符合”
3632
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对应用和数据安全层面中的“身份鉴别”指标测评时,应用系统采用以下()密码技术可能被判定为“符合”或“部分符合”。
A、采用SM4算法生成动态口令
B、基于MD5的RSA- 2048数字签名
C、SM3-HMAC
D、基于SHA-256的SM2数字签名
3633
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在移动办公场景下,经访谈了解到手机端移动OA办公平台APP集成了手机盾SDK,应用服务端部署协同签名平台对办公用户采用基于SM2数字证书的协同签名技术实现身份鉴别,则应用和数据安全层面“身份鉴别”指标测评方法通常包括()。
A、核查移动终端密码模块、协同签名平台是否经商用密码认证机构认证合格
B、核查APP用户数字证书格式合规性和数字证书有效性
C、核查APP用户数字证书颁发机构是否获得了密码管理部门颁发的《电子认证服务使用密码许可证》
D、核查应用服务端是否如实调用协同签名平台进行签名验证
3634
多项选择题 被测对象为某网上银行系统,依据GM/T 0115《信息系统密码应用测评要求》,应用和数据安全层面“身份鉴别”测评要点包括()。
A、核查网银应用管理员用户登录网上银行系统时是否采用密码技术进行身份鉴别,并验证身份鉴别机制的正确性和有效性
B、核查网银用户登录网上银行系统后,进行关键交易时是否对关键信息进行签名,并验证签名的正确性和有效性
C、核查身份鉴别采用的密码算法、密码技术、密码产品和密码服务是否合规
D、在密码产品、密码服务合规的前提 下,还应进一步核查密钥管理安全性实现技术是否正确有效
3635
多项选择题 被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限,在对该应用系统进行应用和数据安全层面“访问控制信息完整性” 测评时, 依据GM/T 0115《信息系统密码应用测评要求》,从理论上可采取的实施方法包括()。
A、读取数据库中的用户角色配置信息,判断完整性校验值的格式是否符合预期
B、读取数据库中的角色权限配置信息,判断完整性校验值的格式是否符合预期
C、如使用数字签名技术进行完整性保 护,则可使用公钥对存储的签名结果进行验证
D、如使用消息鉴别码进行完整性保护,则可使用完整性保护密钥对存储的 MAC值进行验证
3636
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面“重要数据传输机密性”的测评实施要点描述正确的是()。
A、依据GM/T 0115《信息系统密码应用测评要求》,还会进行通用测评要求的核查
B、利用协议分析工 具,分析传输的重要数据是否为密 文,数据格式(如分组长度等)是否符合预期
C、使用密码算法合规性验证工具对抓取的密文数据进行验签,并与明文进行对比,以验证密码算法是否与声称的一致
D、如采用IPSec协议保障数据传输安全,利用协议分析工具捕获并分析握手阶段Server hello消息数据包
3637
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对应用和数据安全层面中的“重要数据传输机密性”指标测评时,经核查测评对象采取下列哪些措施时,可能导致机密性保护是无效()。
A、采用RSA-1024公钥加密的方式对口令信息进行传输保护
B、身份证号的后六位采用“*”代替后进行传输
C、同一类重要业务数据在某一传输通道中明文传输,在其他传输通道中密文传输
D、采用DES算法进行加密传输
3638
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,业务应用系统调用服务器密码机,采用对称密码算法对重要数据进行存储机密性保护,在对重要数据进行应用和数据安全层面“重要数据存储机密性”指标测评时,可采取的测评方法包括()。
A、登录数据库查看存储的重要数据是否非明文存储
B、管理员登录服务器密码机查看日志文件,根据与密钥管理、密码计算相关的日志记录,检查是否与声称的一致
C、登录数据库查看存储的重要数据密文格式(如密文长 度)是否符合预期密码算法特征
D、抓取应用系统调用服务器密码机的指令报文,验证其是否符合预期(如调用频率是否正常、调用指令是否正确)
3639
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,在对三级信息系统进行应用和数据安全层面“重要数据存储机密性”指标测评时,预期结果包括()。
A、重要数据为密文存储,且数据格式符合预期
B、若调用外接密码产品实现,调用指令、次数等符合预期
C、密钥配置、日志记录均显示使用合规的密码算法
D、采用的密码产品具有密码管理部门颁发的密码服务许可文件
3640
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面“重要数据传输完整性”的测评实施要点包括()。
A、该测评单元的实施项中第一条和第二条涉及通用测评要求的密码算法合规性、密码技术合规性、密码产品合规性和密码服务合规性四个方面
B、利用协议分析工 具,分析受完整性保护的数据在传输时的数据格式(如签名长度、MAC长度)是否符合预期
C、如果使用数字签名技术进行完整性保护,可使用公钥对抓取的签名结果进行验证
D、如果以外接服务器密码机等密码产品的形式实现,需要核实密码产品是否如实被调用
3641
多项选择题 业务应用系统调用签名验签服务器,采用数字签名技术对重要数据进行存储完整性保护,在对重要数据进行应用和数据安全层面“重要数据存储完整性”指标测评时,依据GM/T 0115《信息系统密码应用测评要求》,可采取的测评方法包括()。
A、登录数据库查看重要数据签名值长度是否符合预期
B、登录签名验签服务器查看日志文件,根据与密钥管理、密码计算相关的日志记录,检查是否与声称的一致
C、生成测试数据,尝试对测试数据进行篡改,验证完整性校验机制是否有效
D、抓取应用系统调用签名验签服务器的指令报文,验证其是否符合预期(如调用顿率是否正常、调用指令是否正确)
3642
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,在云平台测评中,下列哪些资产有可能作为应用和数据安全层面的测评对象()。
A、云资源管理系统
B、密码服务平台
C、云上应用
D、统一身份认证平台
3643
多项选择题 车联网OTA(在线升级)业务场景中,智能网联汽车首先接入某运营商网络,然后与OTA云平台(云上应用系统)建立网络通信信道,下载OTA升级包到车端以完成软固件升级工作。
根据上述所描述的OTA升级场景,依据GM/T 0115《信息系统密码应用测评要求》,密评时的关注点有以下哪些()
A、OTA平台与智能网联汽车的网络通信实体鉴别
B、OTA升级包从车企到OTA平台的重要数据传输完整性保护
C、车端下载的OTA升级包的来源真实性和传输完整性
D、智能网联汽车接入运营商网络的安全认证
3644
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》附录C,在密评中对“真实性”的测评技术,下列描述正确的是()。
A、对于采用“挑战-响应 ”方式的鉴别协议,若通信双方有双向鉴别安全需求,那么按GB/T 15843相关要求,密评人员在分析协议数据包时,应确认用于实现双向鉴别的消息传递次数至少是四次
B、对于采用“挑战-响应 ”方式的鉴别协议,若通信双方有双向鉴别安全需求,那么按GB/T 15843相关要求,密评人员在分析协议数据包时,应确认用于实现双向鉴别的消息传递次数至少是三次
C、对于基于静态口令的鉴别过程,可通过抓取鉴别过程的数据包,确认口令未以明文形式传递
D、若采用基于SM2数字证书方式实现身份鉴别,除了验证签名结果外,还需要对相关数字证书进行验证
3645
多项选择题 根据GM/T 0115《信息系统密码应用测评要求》附录C,在密评中对“传输完整性”的测评技术,下列描述正确的是()。
A、若该密码功能采用HMAC-SM3实现,可利用协议分析工具捕获受完整性保护的数据在传输过程中的数据包,并进一步分析MAC长度是否为256比特或更短
B、若该密码功能采用HMAC-SHA1实现,可利用协议分析工具捕获受完整性保护的数据在传输过程中的数据包,并进一步分析MAC长度是否为128
C、若该密码功能采用基于SM2数字签名技术实现,可利用协议分析工具捕获受完整性保护的数据在传输过程中的数据包,并进一步分析签名值长度是否为512比特
D、若该密码功能采用基于SM2数字签名技术实现,可使用给相应签名证书签发的CA的公钥对签名结果进行签名验证
3646
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面“身份鉴别”指标的测评,下列哪些可能是测评时的考查点()。
A、通过访谈安全管理员并查验设备是否获得了商用密码产品认证证书
B、通过抓包分析握手过程,解析密码算法或密码套件标识可判断采用的密码算法是否符合要求
C、通过抓包分析握手过程,解析通信实体使用的数字证 书,判断采用的密码算法是否符合要求
D、通过验证测试可以判断身份鉴别机制是否正确有效
3647
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面“通信数据完整性”指标的测评,下列哪些说法是正确的()。
A、通过验证测试发 现,可以使用工具修改请求数据包的内容得到想要的响应,因此判断本通信信道不能保证通信数据完整性
B、通过验证测试发 现,无法修改请求数据包,但可以进行重放攻击,因此判断本通信信道不能保证通信数据完整性
C、通过对SSL握手阶段的抓包分析,使用的密码套件中算法全部为国密算法,但依然无法判断本通信信道是否可以保证通信数据完整性
D、通过对SSL握手阶段的抓包分析,获得的服务端的SM2签名证书为可信第三方 CA机构颁发的,因此判断本通信信道能保证通信数据完整性
3648
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面“通信过程中重要数据的机密性”指标的测评,下列哪些说法是正确的()。
A、通过抓取通信过程的数据包,可以发现存在重要数据为明文,因此判断本通信信道不能保证通信过程中重要数据的机密性
B、通过核查发现本通信信道使用的VPN设备不具有商用密码产品认证证书,因此判断本通信信道一定不能保证通信过程中重要数据的机密性
C、通过对SSL握手阶段的抓包分析,获得的服务端的SM2加密证书为可信第三方 CA机构颁发的,因此判断本通信信道能保证通信数据机密性
D、通过对SSL握手阶段的抓包分析,使用的密码套件为国外密码算法,但能判断本通信信道是否保证通信数据完整性
3649
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面“网络边界访问控制信息的完整性”指标的测评,下列哪些说法是正确的()。
A、某通信信道使用 IPSec VPN 进行网络边界访问控制, IPSec VPN 获得了商用密码产品认证证书,通过IPSec VPN自身的安全机制可以保证访问控制信息的完整性
B、某通信信道通过防火墙进行网络边界访问控制,采用服务器密码机对访问控制信息计算MAC后保存, 服务器密码机获得了商用密码产品认证证书,因此可以实现网络边界访问控制信息的完整性保护
C、某通信信道通过边界路由进行网络边界访问控制,并采用自实现的HMAC- SM3对访问控制信息计算MAC后保存,因此可以实现网络边界访问控制信息的完整性保护
D、通过核查发现,某网络边界设备的访问控制信息采用 SM4-ECB算法加密后保存在硬盘中,因此可以判断该设备能够保证访问控制信息的完整性
3650
多项选择题 某信息系统管理员在内网使用浏览器访问堡垒机管理应用,浏览器与堡垒机之间的传输协议为 HTTPS,依据GM/T 0115《信息系统密码应用测评要求》,以下说法正确的是()。
A、HTTPS签名证书中签名算法OID为 1.2.156.10197.1.501,测评人员由此可判定签名算法为SHA256WithRSA204 8
B、测评人员可从 HTTPS签名证书中获取使用者公钥
C、测评人员可通过上级CA证书对HTTPS签名证书的签名值进行验签
D、HTTPS协议算法套件标识为{0xe0,0x13},测评人员由此可判定 HTTPS协议算法套件为 ECDHE_SM4_SM3
3651
多项选择题 在下列身份鉴别应用场景中,根据GM/T 0115《信息系统密码应用测评要求》,该测评对象在应用和数据安全层面“身份鉴别”测评指标可能被判定为“符合”的是()。
A、WEB端业务用户使用手机APP客户端扫码登录业务应用系统,手机APP客户端集成手机盾SDK,服务端部署协同签名平台,采用SM2协同签名算法对登录用户进行身份鉴别
B、WEB端业务用户使用蓝牙型智能密码钥匙作为登录应用系统的凭证,服务端调用签名验签服务器进行签名验证
C、移动端业务用户使用动态令牌作为登录APP应用的凭证,服务端部署动态口令认证系统进行身份验证
D、政务服务系统个人用户通过省统一政务服务门户进行用户身份鉴别,省统一政务服务门户提供微信/支付宝扫码登录、手机验证码登录两种鉴别方式
3652
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列关于应用和数据安全层面“身份鉴别”指标测评实施说法错误的是()。
A、若未采用数字证书对应用系统用户登录进行身份鉴别,则需要验证公钥或对称密钥与实体的绑定方式是否可靠
B、若采用数字证书对应用系统用户登录进行身份鉴别,且采用了合规的密码产品和密码服务,则通用要求中“密钥管理安全”可直接判定为符合
C、若采用智能密码钥匙作为用户登录凭证,智能密码钥匙的口令长度和错误口令登录验证次数无需在应用和数据安全层面考虑
D、不能复用密码产品检测结果时,需要核查实体鉴别协议是否符合GB/T 15843的要求
3653
多项选择题 某应用系统通过主客代理模块对数据和用户进行标记,实现基于安全标记的强制访问控制,在对该应用系统进行应用和数据安全层面“重要信息资源安全标记完整性”测评时,了解到信息系统内仅部署了一台服务器密码机提供密码运算支撑。
依据GM/T 0122《信息系统密码应用测评要求》,经进一步核查,该测评单元可能的测评结果有()。
A、符合
B、部分符合
C、不符合
D、不适用
3654
多项选择题 依据GM/T 0124 《信息系统密码应用测评要求》,在下列重要数据传输机密性保护场景中,经整体测评后,应用和数据安全层面“重要数据传输机密性”测评结果可能为“符合”或“部分符合”的是()。
A、客户端非国密浏览器与应用服务端采用TLS1.2协议,密码套件选用 TLS_ECDHE_RSA_WITH_AES_128_GC M_SHA256
B、客户端浏览器使用服务端RSA(2048)公钥证书对鉴别数据进行加密(JavaScript实现)后传输
C、重要业务数据通过纯物理传输的裸光纤以明文方式备份至同城灾备机房
D、手机端使用TF密码卡对APP鉴别数据、重要业务数据进行 SM4-GCM加密后传输,服务端调用服务器密码机解密重要数据
3655
多项选择题 GM/T 0129《信息系统密码应用测评要求》,在对应用和数据安全层面中的“重要数据存储机密性 ”指标测评时,以下哪些措施可能导致数据泄露()。
A、采用DES算法对用户敏感信息加密后存储
B、调用服务器密码机采用SM4-ECB模式对所有用户性别信息项进行加密后存储
C、采用SM3(加盐)的方式对数据库中存储的口令信息处理
D、对重要用户信息进行脱敏后存储,未采用其他数据存储安全加固措施
3656
多项选择题 GM/T 0134《信息系统密码应用测评要求》,在测评应用和数据安全层面“重要数据存储完整性”指标时,获取到下列哪些证据即可判定测评对象不符合该项测评指标要求()。
A、调用服务器密码机采用SM3算法计算重要用户信息杂凑值,并保存在数据库中
B、调用服务器密码机采用SM4-GCM对个人敏感信息进行存储机密性和完整性保护
C、调用签名验签服务器对重要业务数据进行SM2数字签名,签名值保存在数据库中,未设置签名校验机制
D、使用加密数据库系统存储重要业务数据
3657
多项选择题 GM/T 0137《信息系统密码应用测评要求》,某涉及法律责任认定的应用系统采用电子签章系统实现重要行为的不可否认性,在进行应用和数据安全层面“不可否认性”第三级指标测评时,测评要点包括但不限于()。
A、核查电子签章系统是否具有商用密码产品认证证书,且密码模块安全等级为二级及以上
B、核查电子印章载体是否合规
C、核查制章人和签章人数字证书格式、签名算法标识和颁发机构
D、核查电子印章的验证、电子签章的生成和验证是否符合 GB/T 38540的要求
3658
多项选择题 某信息系统部署了经检测认证的签名验签服务器,且密码模块达到了相应等级要求,关于设备和计算安全层面应用服务器“系统资源访问控制信息完整性”测评项,依据GM/T 0115《信息系统密码应用测评要求》,以下判定结果错误的是()。
A、通过调用签名验签服务器的AES-128 ECB模式加密接口,对访问控制信息加密,取最后一组分组密文作为MAC并存储,值为A;在验证完整性时,调用签名验签服务器的 AES-128 ECB模式加密接口,对访问控制信息加密,取最后一组分组密文作为MAC,值为B,比对A与B是否一致;基于上述措施,测评人员判定为部分符合
B、通过调用签名验签服务器的SM4 CBC- MAC接口,对访问控制信息计算MAC并存储,值为A;在验证完整性时,调用签名验签服务器 SM4 CBC-MAC接口,对访问控制信息计算MAC,值为 B,比对A与B是否一致;其中,计算 SM4 CBC-MAC使用的初始向量为符合密码相关国家和行业标准的随机数;基于上述措施,测评人员判定为符合
C、通过调用签名验签服务器的SM3接口,计算访问控制信息的杂凑值并存储,值为A;在验证完整性时,调用签名验签服务器SM3接口,计算访问控制信息的杂凑值,值为B,比对A与B是否一致;基于上述措 施,测评人员判定为不符合
D、通过调用签名验签服务器的HMAC- SHA256接口,对访问控制信息计算 MAC并存储,值为 A;在验证完整性 时,将访问控制信息与A拼接,并调用签名验签服务器 HMAC-SHA256接口,对拼接数据计算MAC,值为B,比对A与B是否一致;基于上述措施,测评人员判定为部分符合
3659
多项选择题 某信息系统在国密改造实施技术文档中标明,采用SM2签名验签的机制对应用服务器日志记录进行完整性保护,并采用HMAC-SM3算法对系统资源访问控制信息进行完整性保护,两名密码操作员可使用智能密码钥匙登录签名验签服务器,依据GM/T 0115《信息系统密码应用测评要求》,以下关于测评人员在测评实施中,属于错误判定的是()。
A、测评人员经核查发现,系统实际存储 SM2签名的字段值长度为256位,因此判定日志记录完整性保护可能未使用SM2签名验签机制
B、测评人员经核查发现,系统实际存储 HMAC-SM3的字段值长度为128位,因此判定系统资源访问控制信息完整性保护使用的不是 HMAC-SM3算法
C、测评人员经核查发现,智能密码钥匙设置的口令长度不小于6个字符,使用错误口令登录的次数限制不超过10次,因此判定智能密钥钥匙的口令相关设置不符合GM/T 0027的要求
D、测评人员经核查发现,两名密码操作员都使用了合规CA机构签发的同一张数字证书,证书在有效期内,且进行了证书的有效性验证,因此判定数字证书的签发和使用符合密评相关标准要求
3660
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,以下关于测评人员在设备和计算安全层面测评实施过程中,正确的是()。
A、某信息系统访问堡垒机管理应用的远程管理通道使用了 HTTPS协议,算法套件为 TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA;测评人员判定用于通信数据完整性保护的算法为CBC-MAC-AES- 256
B、某信息系统访问堡垒机管理应用的远程管理通道使用了 HTTPS协议,测评人员经核查发现 HTTPS数字证书在有效期内,并使用该证书内的公钥对证书签名值进行验签,验签不通过;测评人员判定该证书为无效证书
C、某信息系统管理员在互联网直接访问堡垒机对设备进行管理;测评人员将访问堡垒机的通信信道作为设备和计算安全层面“远程管理通道安全”的测评对象
D、某信息系统部署和使用了2台SSL VPN网关,商用密码产品认证证书编号分别为GMxxx、 GMyyy;测评人员将2台SSL VPN网关分别作为设备和计算安全层面的两个测评对象
3661
多项选择题 某三级信息系统于2023年进行首次密评,系统于 2018年9月正式投入运行,系统责任单位未制定密码应用方案(或改造方案)和实施方案,密钥管理制度及策略文档中标明非对称密钥对在服务器密码机中进行存储,并且非对称密钥对在数据库服务器进行明文备份,依据GM/T 0115《信息系统密码应用测评要求》,以下关于建设运行层面的判定,正确的是()。
A、测评人员判定“制定密码应用方案”测评项为不符合
B、测评人员判定“投入运行前进行密码应用安全性评估”测评项作为不适用
C、测评人员判定密钥管理及策略文档不存在安全问题
D、测评人员判定“制定实施方案”测评项为部分符合
3662
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,以下关于设备和计算安全层面“身份鉴别”测评项的判定,错误的是()。
A、某信息系统管理员使用用户名+口令或使用经检测认证的智能密码钥匙(密码模块达到相应等级要求)登录签名验签服务器,口令使用加盐SHA256算法进行传输和存储保护,测评人员判定签名验签服务器“身份鉴别”测评项为部分符合
B、某信息系统管理员使用经检测认证的智能密码钥匙(密码模块达到相应等级要求)登录堡垒机,身份鉴别机制符合GB/T 15843标准要求,测评人员判定堡垒机“身份鉴别”测评项一定为符合
C、某信息系统管理员使用智能密码钥匙登录堡垒机,测评人员发现智能密码钥匙换发的商用密码产品认证证书中未标注密码模块安全等级,测评人员判定智能密码钥匙仅符合一级密码模块要求
D、某信息系统管理员使用动态令牌登录堡垒机,测评人员经核查发现,动态令牌设置的PIN码长度不少于6位数字, PIN码尝试次数最大不可超过8次;测评人员判定PIN码相关设置不符合GB/T 38556的要求
3663
多项选择题 某信息系统管理员使用智能密码钥匙登录签名验签服务器,对管理员进行身份鉴别,身份鉴别机制采用数字签名技术,并基于“挑战-响应”鉴别机制。
依据GM/T 0115《信息系统密码应用测评要求》,在上述场景下,以下关于该机制的实现方式,错误的是()。
A、通过智能密码钥匙产生随机数,并检验该随机数来保证唯一性和时效性
B、智能密码钥匙产生并向签名验签服务器发送Token
C、签名验签服务器产生的挑战值“随机数”未包含在Token签名数据中
D、由智能密码钥匙解密私钥对签名数据进行签名,并由签名验签服务器验签
3664
多项选择题 某信息系统设备和计算安全层面,通过SM2签名验签的方式对应用服务器的日志记录进行完整性保护,测评人员提取了4组十六进制字符串的SM2签名值,以下SM2签名值符合GM/T 0009签名数据格式要求的是()。
A、0x304402202DB887 AB6768A70E9F1359 7BDDEBB4B16B284 A8CF51DF21BCFC1 6B6FADC84FB70220531B8EB27F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0
B、0x042DB887AB6768 A70E9F13597BDDE BB4B16B284A8CF5 1DF21BCFC16B6FA DC84FB7531B8EB2 7F12738980E5687D56663AC27D196822E3277F1E68C8456EC206D5D0
C、0x30450220390E325 EB7CF7BABA36988 39A739DCE23504C E058597FB5931CF1 1154B3BB0D9022100BE9C6210A2D99840778F7E9781B8AAB D1CA9060068F3890 2394B7A4693530F1 B
D、0x04390E325EB7CF7BABA3698839A739 DCE23504CE058597 FB5931CF11154B3B B0D9BE9C6210A2D 99840778F7E9781B8 AABD1CA9060068F 38902394B7A4693530F1B
3665
多项选择题 某信息系统基于开源算法库实现国密HTTPS协议,测评人员获取了系统存储的SM2签名私钥文件(符合ASN.1编码)和签名证书,依据GM/T 0115《信息系统密码应用测评要求》,关于密钥管理安全性分析思路,以下说法正确的是()。
A、参考PKCS#8规范可分析该私钥文件为明文结构或密文结构
B、若该私钥文件为符合PKCS#8规范的明文结构,可验证私钥结构中私钥是否符合GB/T 35275中的私钥语法格式
C、通过数字证书格式合规性检测工具可验证私钥结构的合规性
D、若私钥结构中私钥符合GB/T 35275中的私钥语法格式,可从中提取私钥有效值,并通过密码算法合规性检测工具验证SM2私钥和公钥的匹配性
3666
多项选择题 某信息系统使用HMAC-SM3算法对设备和计算安全层面日志记录进行完整性保护。
使用SM4算法对HMAC-SM3密钥进行加密存储,SM4密钥存储在配置文件中;对HMAC-SM3密钥进行杂凑运算,并存储杂凑值,其中,已知杂凑值的长度为32 字 节 , 值 为 0x3b366d29964b5543be7aa7cc064f9eeef9481baaa65 6c8bd3a88b431a8fb6f6c,以下说法正确的是()。
A、测评人员由此可判定对HMAC-SM3密钥进行杂凑运算的杂凑算法不是SHA-1
B、测评人员由此可判定HMAC-SM3密钥管理合规、正确
C、测评人员由此可判定对HMAC-SM3进行杂凑运算的杂凑算法可能为SHA-256
D、测评人员由此可判定对HMAC-SM3进行杂凑运算的杂凑算法可能为SM3
3667
多项选择题 某三级信息系统管理员从互联网使用“用户名+口令+智能密码钥匙”登录VPN网关,智能密码钥匙的密码模块安全等级为一级,通过SSL VPN接入内网后,使用“用户名+口令+短信验证码”登录堡垒机管理应用,并对应用服务器进行运维管理,依据GM/T 0115 《信息系统密码应用测评要求》,以下说法正确的是()。
A、测评人员由此可判定堡垒机的身份鉴别为部分符合
B、测评人员可将接入内网后访问堡垒机管理应用的通道作为设备和计算安全层面“远程管理通道安全”测评项的测评对象
C、测评人员由此可判定应用服务器的身份鉴别为部分符合
D、测评人员由此可判定智能密码钥匙密码模块安全等级未达到系统等级要求
3668
多项选择题 某信息系统应用服务器通过调用最新版OpenSSL密码算法库的HMAC-SM3接口对日志记录计算 MAC,依据GM/T 0115《信息系统密码应用测评要求》,以下哪些HMAC-SM3算法输出长度,使设备和计算安全“日志记录完整性”指标可能是“部分符合”的判定结果()。
A、128比特
B、256比特
C、384比特
D、512比特
3669
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,关于设备和计算安全层面的判定结果,以下说法正确的是()。
A、某三级信息系统,采用经检测认证的服务器密码机,其密码模块等级为二级,调用其SM4- CBC模式的加密算法接口,对应用服务器的日志记录进行加密,测评人员判定该应用服务器“日志记录完整性”为不符合
B、某二级信息系统,采用经检测认证的签名验签服务器,其密码模块等级为一级,调用其SM3算法接口,对应用服务器的系统资源访问控制信息进行杂凑运算,测评人员判定该应用服务器“系统资源访问控制信息完整性”为不符合
C、某信息系统采用智能密码钥匙登录签名验签服务器,智能密码钥匙和签名验签服务器均经过检测认证,密码模块均达到了相应等级安全要求,并采用了符合GB/T 15843标准要求的身份鉴别机制,测评人员判定该签名验签服务器“身份鉴别”为符合
D、某三级信息系统部署了经检测认证的服务器密码机,其密码模块等级为二级,测评人员判定服务器密码机“身份鉴别”为符合
3670
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,关于设备和计算安全层面的判定结果,以下说法正确的是()。
A、某二级信息系统,系统责任方自行决定将“日志记录完整性”指标项不纳入标准符合性测评范围,测评人员将该项判定为“不适用”
B、某三级信息系统,制定了密码应用方案并通过了方案评估,方案评估意见中明确将“系统资源访问控制信息”指标项作为不适用,测评人员在实际测评时可直接将该项判定为“不适用”
C、某三级信息系统,制定了密码应用方案并通过了方案评估,方案评估意见中明确“重要可执行程序完整性、重要可执行程序来源真实性”指标项可采用方案中提供的风险控制措施完成,但测评人员在现场测评中发现方案中描述的风险控制措施使用条件并不满足,故此按照GM/T 0115相应的测评指标要求进行了测评和结果判定
D、若测评单元涉及多台通用设备作为测评对象,则测评人员可直接从中抽选测评对象,并进行测评实施和结果判定
3671
多项选择题 某信息系统设备和计算安全层面“身份鉴别”测评单元包含5个测评对象,依据GM/T 0115《信息系统密码应用测评要求》,以下判定结果正确的是()。
A、若5个测评对象均为符合,则“身份鉴别”测评单元判定为符合
B、若其中2个测评对象为部分符合,3个测评对象为符合,则“身份鉴别”测评单元判定为部分符合
C、若其中2个测评对象为不符合,3个测评对象为符合,则“身份鉴别”测评单元判定为部分符合
D、若其中2个测评对象为不符合,3个测评对象为部分符合,则“身份鉴别”测评单元判定为不符合
3672
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,某业务应用系统在身份鉴别和不可否认性实现方面采用了数字证书,数字证书由经商用密码认证机构认证合格的证书认证系统签发,则密评人员在测评实施时需要()。
A、参考GM/T 0037和 GM/T 0038的要求核查证书认证系统部署是否正确、合规
B、核查证书扩展项 KeyUsage字段,确定是否符合双证书体系要求,并验证证书及其相关私钥是否正确使用
C、核查Signature、 Issuer等字段是否符合预期
D、通过数字证书格式合规性检测工具,验证证书格式是否符合GB/T 20518的有关要求
3673
多项选择题 网上行政审批系统主要提供审批业务受理、承办、审核、批准、结办等功能,其安全保护等级为三级;该单位内部用户采用SM2数字证书认证方式登录审批端业务应用,应用服务端调用签名验签服务器进行签名验证。
依据GM/T 0115《信息系统密码应用测评要求》,在对单位内部用户进行应用和数据安全层面“身份鉴别”指标测评时,经核实发现下列()情况可导致该测评指标无法取得“符合”的测评结果。
A、登录成功后,拔出智能密码钥匙,审批端业务应用长时间未自动退出登录
B、智能密码钥匙的商用密码产品认证证书和原型号证书中均未注明密码模块安全等级
C、SM2数字证书由本单位内部自建CA签发,组成CA的相关密码产品未经过检测认证
D、智能密码钥匙未导入SM2签名证书
3674
多项选择题 依据GM/T 0115 《信息系统密码应用测评要求》,对物联网平台开展应用和数据安全层面测评时,根据其密码应用需求,需要针对下列哪些环节进行“身份鉴别”指标测评()。
A、物联网终端接入
B、管理系统业务用户登录
C、管理系统运维用户登录
D、对感知节点设备上的软件应用进行配置或变更
3675
多项选择题 根据GM/T 0115 《信息系统密码应用测评要求》,下列哪些属于第三级信息系统应急处置方面的测评实施要点()。
A、访谈安全主管被测信息系统是否发生过密码应用安全事件
B、核查是否具有密码应用安全事件处置记录
C、核查管理制度或应急策略中是否明确规定事件发生后和事件处置完成后的上报机制
D、核查密码应用安全事件发生后是否向归属的密码管理部门提交了安全事件发生情况报告
3676
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于“可”的条款,由信息系统责任方自行决定是否按照GM/T 0115《信息系统密码应用测评要求》相应测评指标要求进行测评和结果判定。
A、正确
B、错误
3677
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于“可”的条款,也存在测评指标“不适用”的情形。
A、正确
B、错误
3678
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于“宜”的条款,密评人员无需参考方案评估意见,在测评时只需核实密码应用方案中所描述的风险控制措施是否落实即可。
A、正确
B、错误
3679
判断题 信息系统是否涉及GM/T 0115《信息系统密码应用测评要求》中某项测评指标的安全需求,可通过是否采用密码技术实现该条款的安全防护加以判断。
A、正确
B、错误
3680
判断题 在对某三级信息系统进行密评时,只要是GB/T 39786《信息安全技术 信息系统密码应用基本要求》中“应”的条款,则密评人员务必按照GM/T 0115《信息系统密码应用测评要求》中相应的测评指标要求进行测评和结果判定。
A、正确
B、错误
3681
判断题 在GM/T 0115 《信息系统密码应用测评要求》中,测评单元由测评指标、测评对象、测评实施这三个要素组成。
A、正确
B、错误
3682
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,密码应用技术测评要求中的测评单元若涉及两个测评对象,则每个测评对象需要分别进行测评实施和结果判定,再汇总得出测评单元的结果。
A、正确
B、错误
3683
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,整体测评环节要考虑单元间、对象间是否存在相互弥补的情况。
A、正确
B、错误
3684
判断题 密评人员在执行GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价环节时,可参考《信息系统密码应用高风险判定指引》。
A、正确
B、错误
3685
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,信息系统的测评结论是由量化评估的得分以及风险分析和评价共同决定的。
A、正确
B、错误
3686
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,被测信息系统有密码应用方案且方案通过评估,密码应用方案中明确“物理和环境安全”层面的测评指标为“不适用”。
则根据密码应用方案和方案评估意见,密评人员无需对该层面进行测评,相应测评指标可直接判定为“不适用”。
A、正确
B、错误
3687
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,某三级信息系统密码应用方案中网络和通信安全层面,“身份鉴别”指标要求验证通信双方身份鉴别的有效性,密评人员应按照密码应用方案的要求进行测评,并将结论体现在密评报告中。
A、正确
B、错误
3688
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,密码算法合规性、密码技术合规性、密码产品合规性、密码服务合规性和密钥管理安全性不单独判定符合性,也不单独体现在密码应用安全性评估报告的单元测评结果和整体测评结果中。
A、正确
B、错误
3689
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,经核查和验证某视频监控系统采用HMAC- SHA512算法(算法实现正确)来保证视频监控音像记录数据的存储完整性,因此“视频监控记录数据存储完整性”指标可判定为“部分符合”。
A、正确
B、错误
3690
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,网络和通信安全层面的测评对象不包括信息系统内不同应用服务器之间的通信信道(在同一网段内)。
A、正确
B、错误
3691
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,某三级信息系统,经核查和验证,网络通信信道采用了具有商用密码产品认证证书的SSL VPN 设备, SSL 协议使用的密码算法套件为 ECC_SM4_SM3,因此判定该网络信道符合“通信数据完整性”和“通信过程中重要数据机密性”测评指标的要求。
A、正确
B、错误
3692
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在对“网络和通信安全”层面测评时,如果网络边界的访问控制信息存储在具有商用密码产品认证证书的VPN类设备中,则针对该层面“网络边界访问控制信息的完整性”指标可直接判定为“符合”。
A、正确
B、错误
3693
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在三级信息系统的测评中,针对“建立密码应用岗位责任制度”指标的测评,需要核查相关设备与系统的管理和使用账号是否存在多人共用的情况。
A、正确
B、错误
3694
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,交换机、网闸、防火墙、WAF等未使用密码功能的网络设备、安全设备,一般可不作为设备和计算安全层面的测评对象。
A、正确
B、错误
3695
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,应将系统中全部的设备做为独立的测评对象进行测评和量化评估。
A、正确
B、错误
3696
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统通过堡垒机集中运维管理设备,而堡垒机前部署了合规的SSL VPN,管理员使用合规的身份鉴别机制登录SSL VPN,则在设备和计算安全层面,堡垒机的“身份鉴别”可判定为“符合”。
A、正确
B、错误
3697
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,堡垒机使用合规的智能密码钥匙实现身份鉴别,通用服务器、数据库通过堡垒机进行统一管理。
若堡垒机的“身份鉴别”指标的测评结论为“符合”,则通用服务器的身份鉴别可判定为“符合”。
A、正确
B、错误
3698
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,,某信息系统通过堡垒机对系统中的通用服务器进行统一运维管理,若堡垒机使用合规的智能密码钥匙实现身份鉴别,则在设备和计算安全层面“身份鉴别”指标项中,可不考虑通用服务器的身份鉴别方式。
A、正确
B、错误
3699
判断题 某三级信息系统,若采用密码模块安全等级为一级的智能密码钥匙(具有商用密码产品认证证书,且证书在有效期内)实现登录堡垒机时的身份鉴别,则智能密码钥匙符合GM/T 0115 《信息系统密码应用测评要求》中对密码产品合规性的要求。
A、正确
B、错误
3700
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,若堡垒机登录口令使用合规的SM3算法加密后传输,则堡垒机的身份鉴别可判定为符合。
A、正确
B、错误
3701
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,某信息系统通过堡垒机对设备进行集中运维管理,管理员使用合规的智能密码钥匙登录堡垒机,采用基于国密算法的数字签名机制进行身份鉴别,若堡垒机服务端的验签未采用经商用密码检测认证合格的密码产品实现,则堡垒机的“身份鉴别”指标应判为部分符合。
A、正确
B、错误
3702
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,经核查,某系统责任单位制定有被测系统的商用密码应用方案,则“建设运行”层面的“制定密码应用方案”测评指标则判定为符合。
A、正确
B、错误
3703
判断题 某三级信息系统,在其密码应用方案中将设备和计算安全层面的“重要可执行程序完整性、重要可执行程序来源真实性”判定为不适用,且方案通过评估,则在测评过程中,依据GM/T 0115《信息系统密码应用测评要求》,可直接将该项判定为不适用。
A、正确
B、错误
3704
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的测评对象应包含关键业务应用,具体参考经评估通过的密码应用方案设定的范围确定;如无密码应用方案,应根据网络安全等级保护定级报告描述的范围确定。
A、正确
B、错误
3705
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面的测评对象包括业务应用系统以及提供身份鉴别、完整性保护、机密性保护、不可否认性功能的密码产品。
A、正确
B、错误
3706
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,对云平台的SAAS应用,应用和数据安全层面的测评由云平台负责,租户信息系统密评时可直接复用云平台测评结果。
A、正确
B、错误
3707
判断题 被测业务应用系统采用基于角色的访问控制策略,用户通过角色配置获得该角色拥有的应用系统权限。
依据GM/T 0115《信息系统密码应用测评要求》,应用和数据安全层面“访问控制信息完整性”测评实施主要核查应用系统用户角色配置信息、角色权限配置信息等是否采用了加解密或计算杂凑值等机制进行完整性保护。
A、正确
B、错误
3708
判断题 经核查,被测业务应用系统无重要信息资源安全标记功能,则应用和数据安全层面“重要信息资源安全标记完整性”指标不适用。
A、正确
B、错误
3709
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,应用和数据安全层面“重要数据传输机密性”的测评对象通常包括但不限于应用系统鉴别数据、重要业务数据、个人敏感信息、审计数据、日志数据、访问控制数据、重要配置数据等。
A、正确
B、错误
3710
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,对于政务信息公开网站、门户网站等面向公众的业务应用系统,由于任何人均可访问,且网站数据可以公开,因此应用和数据安全层面“重要数据存储机密性”指标可判定为“不适用”。
A、正确
B、错误
3711
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在进行应用和数据安全层面“重要数据传输完整性”测评时,如果完整性保护采用的是数字签名技术,则测评人员可使用签名私钥对抓取的签名结果进行验证。
A、正确
B、错误
3712
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在进行应用和数据安全层面“重要数据存储完整性”指标测评时,如果现场条件不允许,可不对存储数据进行篡改测试。
A、正确
B、错误
3713
判断题 经访谈和文档审查,某电子合同系统采用电子签章系统实现合同签署行为的不可否认性,在应用和数据安全层面“不可否认性”指标测评时,核查电子签章系统产品合规性和密码算法合规性即可。
A、正确
B、错误
3714
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,在对第三/四级信息系统开展应急处置层面“应急策略”指标测评时,测评人员根据系统方提供的如下证据判定该测评指标为“符合”。
证据为:被测单位提供的管理制度中具有密码应用应急策略文件,且应急策略中明确了密码应用安全事件监测预警机制、信息报送机制、应急处置措施、系统恢复流程、事件总结等内容。
A、正确
B、错误
3715
判断题 在测评三级信息系统时,对于设备和计算安全层面“重要可执行程序完整性、重要可执行程序来源真实性”,可由信息系统责任方自行决定是否按照 GM/T 0115《信息系统密码应用测评要求》进行测评和结果判定。
A、正确
B、错误
3716
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,在实施各技术安全层面的“访问控制信息完整性”指标测评时,密评人员应根据信息系统的密码应用方案和方案评估意见判定相应指标是否按照标准符合性测评。
A、正确
B、错误
3717
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于“宜”的条款,存在两种“不适用”情形。
A、正确
B、错误
3718
判断题 对于三级信息系统,在实施应用和数据安全层面的“不可否认性”指标测评时,若存在相应安全需求,则密评人员应按照GM/T 0115《信息系统密码应用测评要求》相应指标要求进行测评和结果判定。
A、正确
B、错误
3719
判断题 根据某三级信息系统的密码应用需求,涉及到部分第四级信息系统密码应用的相关指标要求,那么在测评时只需要现场核实这些指标落实情况即可,无需将这些特殊情况的测评实施及结论体现在密码应用安全性评估报告中。
A、正确
B、错误
3720
判断题 某三级信息系统,在测评应用和数据安全层面的“重要数据传输机密性”指标时,密评人员发现该系统部署了经检测认证合格的服务器密码机(安全等级二级)对重要数据进行加密保护,那么该测评单元的测评实施第二条可以直接判定为“符合”。
A、正确
B、错误
3721
判断题 GM/T 0115《信息系统密码应用测评要求》中的风险分析和评价针对单元测评结果中产生的不符合项和部分符合项进行的。
A、正确
B、错误
3722
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在做密钥归档检查时,密评人员应重点核实归档密钥是否仅用于解密被加密的历史信息或验证被签名的历史信息。
A、正确
B、错误
3723
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,网络和通信安全层面“安全接入认证”指标,信息系统责任方可自行决定是否将其纳入标准符合性测评范围。
A、正确
B、错误
3724
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,对于二级信息系统,物理和环境安全层面的测评对象仅涉及电子门禁系统。
A、正确
B、错误
3725
判断题 经访谈,某电子门禁系统未采用密码技术来保证电子门禁系统进出记录数据的存储完整性,但记录数据每天都定时备份到数据库中,因此针对“电子门禁记录数据存储完整性”指标可以判定为部分符合。
A、正确
B、错误
3726
判断题 在网络和通信安全层面的测评中发现,系统客户端通过互联网采用HTTPS协议访问应用系统,并使用用户名+口令的方式登录应用系统,因此可以认为是对通信实体进行了双向身份鉴别。
A、正确
B、错误
3727
判断题 某三级信息系统运维用户通过互联网登录SSL VPN后,再通过堡垒机进行运维操作,如果SSL VPN具有商用密码产品认证证书,则可以认为运维管理终端到SSL VPN之间的通信信道是符合 GM/T 0115《信息系统密码应用测评要求》的要求的。
A、正确
B、错误
3728
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面的“通信过程中重要数据的机密性”要求进行测评时,通过核查是否采用密码技术的加解密功能对通信过程中敏感信息或通信报文进行机密性保护,并验证敏感信息或通信报文机密性保护机制是否正确和有效,即可判定是否符合要求。
A、正确
B、错误
3729
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,针对网络和通信安全层面的“安全接入认证”要求进行测评时,如条件允许,测评人员可尝试将未授权设备接入内部网络,核实即便非授权设备使用了合法IP地址,也无法访问内部网络。
A、正确
B、错误
3730
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,进行安全管理制度测评时,应核查各项安全管理制度是否包括密码人员管理、密钥管理、建设运行、应急处置、设备软硬件及介质管理等制度。
A、正确
B、错误
3731
判断题 某信息系统管理员在互联网通过合规的SSL VPN接入系统内网后登录堡垒机对通用服务器进行远程管理,SSL VPN建立合规的GMSSL通道并正确启用国密算法,则设备和计算安全层面“远程管理通道安全”测评单元可判定为“符合”。
A、正确
B、错误
3732
判断题 密评人员对某二级信息系统进行测评时, 经核实,系统中的设备仅进行本地运维,关闭了对外运维的接口。
则该测评对象的“身份鉴别”、“远程管理通道安全”测评指标均可作为不适用项。
A、正确
B、错误
3733
判断题 若管理员在互联网直接访问堡垒机(部署在机房中)对设备进行管理,在网络和通信安全层面将访问堡垒机的信息传输通道作为测评对象,在设备和计算安全层面则不能将该通道作为测评对象。
A、正确
B、错误
3734
判断题 若管理员可在互联网直接访问堡垒机对设备进行管理,在网络和通信安全层面、设备和计算安全层面的“远程管理通道安全”测评单元均可将访问堡垒机的信息传输通道作为测评对象。
A、正确
B、错误
3735
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,其“身份鉴别”、“日志记录完整性”测评指标可直接判定为符合。
A、正确
B、错误
3736
判断题 依据GM/T 0115 《信息系统密码应用测评要求》,在设备和计算安全层面,具有商用密码产品认证证书的整机类密码产品,且可以确定实际部署的密码产品与获认证产品一致的情况下,“系统资源访问控制信息完整性”、“重要可执行程序完整性、重要可执行程序来源真实性”,指标可判定为符合。
A、正确
B、错误
3737
判断题 某三级信息系统在投入运行前进行了商用密码应用安全性评估,且具有相应的评估报告,则“投入运行前进行密码应用安全性评估”测评指标可判定为符合。
A、正确
B、错误
3738
判断题 应用和数据安全层面测评时,经核查发现应用系统客户端调用智能密码钥匙对重要业务数据进行 SM4加密和计算SM3杂凑值后传输,服务端调用服务器密码机进行SM4解密并校验SM3杂凑值,重要业务数据无其他传输场景,则可判定重要业务数据符合本层面“重要数据传输机密性”和“重要数据传输完整性”测评指标。
A、正确
B、错误
3739
判断题 对于政务信息公开网站、门户网站等面向公众的业务应用系统,由于任何人均可访问,且网站数据可以公开,因此应用和数据安全层面的“身份鉴别”指标为“不适用”。
A、正确
B、错误
3740
判断题 在对应用和数据安全层面“访问控制信息完整性”进行测评时,必须对生产环境下应用系统的权限、标签等配置信息进行篡改测试,才能验证完整性保护的有效性。
A、正确
B、错误
3741
判断题 经访谈安全主管,被测三级信息系统投入运行以来尚未发生密码应用安全事件,则应急处置层面“事件处置”指标可直接判定为“不适用”。
A、正确
B、错误
3742
判断题 某三级信息系统在网络和通信安全层面,虽然存在通信实体的双向身份鉴别安全需求,但由于标准条款中对三级系统并未强制要求必须双向鉴别,所以在实际测评时,依据GM/T 0115《信息系统密码应用测评要求》仅核查单向鉴别即可。
A、正确
B、错误
3743
判断题 在车联网场景下,智能网联汽车接入运营商网络时,会对汽车身份的真实性进行确认,具体采用经商用密码认证合格的密码产品提供的SM2数字签名技术实现,则网络和通信安全层面“身份鉴别 ”指标可判定为“符合”。
A、正确
B、错误
3744
判断题 某单位总公司和分公司在不同城市,双方网络层通信仅采用HTTP协议,但是应用和数据安全层面的“重要数据传输机密性”是符合的,那么对于网络和通信安全层面“通信过程中重要数据的机密性”测评指标可直接判定为“部分符合”且存在“高风险”。
A、正确
B、错误
3745
判断题 对于使用满足GM/T 0036并获得商用密码产品认证证书的电子门禁系统,物理和环境安全层面的“身份鉴别”、“电子门禁记录数据存储完整性”可以复用密码产品检测认证结果。
A、正确
B、错误
3746
判断题 测评人员在对某三级信息系统的网络和通信安全层面抓包分析时发现,通信过程中IPSec协议通信双方均发送其签名证书和加密证书,双证书分别用于身份鉴别和会话加密。
A、正确
B、错误
3747
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,对于三级信息系统,密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任,并必须在任前对其进行背景调查。
A、正确
B、错误
3748
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,当密码应用安全管理制度和操作规程在执行过程中发现存在问题时,可以随时进行修订,替换掉存在问题的部分,无需再次评审。
A、正确
B、错误
3749
判断题 在某三级系统的测评中发现,被测单位在制度中规定了人员离岗时及时终止其所有密码应用相关的访问权限、操作权限,并具有相关的记录。
因此“建立关键岗位人员保密制度和调离制度”指标的判定结果可判定为“符合”。
A、正确
B、错误
3750
判断题 密评人员在对网络和通信安全层面进行测评时,可通过端口扫描工具探测IPSec VPN和SSL VPN服务端所对应的端口服务是否开启,其中SSL VPN服务要求开启TCP 443端口,不得修改端口。
A、正确
B、错误