题库(十六)"/>
【密评】商用密码应用安全性评估从业人员考核题库(十六)
商用密码应用安全性评估从业人员考核题库(十六)
国密局给的参考题库5000道只是基础题,后续更新完5000还会继续更其他高质量题库,持续学习,共同进步。
3751
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,在测评设备和计算安全层面时,针对系统类的密码产品(如电子签章系统、数字证书认证系统),若密码产品具有合格的商用密码产品认证证书,则该密码产品的“系统资源访问控制信息完整性”测评指标可直接判定为符合。
A、正确
B、错误
3752
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,若系统通过调用合规的服务器密码机,使用 SM3算法(加盐值)计算设备日志记录的杂凑值并定期进行校验,则能够实现设备日志记录的完整性保护。
A、正确
B、错误
3753
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,某三级信息系统重要可执行程序在生成时基于数字签名技术进行签名,在应用服务器端调用时未做验签,数字签名计算使用的密码算法、密码产品和密钥管理等均合规,则针对“设备和计算安全”层面的“重要可执行程序完整性、重要可执行程序来源真实性”测评指标的判定结果为“部分符合”。
A、正确
B、错误
3754
判断题 根据GM/T 0115 《信息系统密码应用测评要求》, 管理员在互联网通过SSL VPN接入系统内网,由于SSL VPN建立了网络和通信安全层面的通信信道,故SSL VPN不作为“设备和计算安全层面”的测评对象。
A、正确
B、错误
3755
判断题 某信息系统密码应用方案中写明设备和计算安全层面未设置重要信息资源安全标记,明确“重要信息资源安全标记”为不适用项,且密码应用方案通过评估,测评人员经核查系统满足方案中的不适用理由,因此该指标可判定为“不适用”。
A、正确
B、错误
3756
判断题 管理员在互联网通过合规的SSL VPN接入系统内网, 管理员使用合规的智能密码钥匙登录SSL VPN,并正确启用国密算法,则“网络和通信安全 ”层面的“身份鉴别”指标可直接判定为符合。
A、正确
B、错误
3757
判断题 某三级信息系统管理员使用智能密码钥匙(经过商用密码检测认证且符合相应的密码模块安全等级)登录堡垒机,其中智能密码钥匙长期插入在访问堡垒机的客户端上,用户通过浏览器输入堡垒机访问地址后可直接访问,则针对设备和计算安全层面的堡垒机“身份鉴别”指标测评结果为“部分符合”。
A、正确
B、错误
3758
判断题 对于信息系统中部署和使用的密码设备,核查其商用密码产品认证证书时发现其证书已过期,则认定该密码设备一定不符合GM/T 0115《信息系统密码应用测评要求》中对“密码产品合规性”的要求。
A、正确
B、错误
3759
判断题 某云管平台面向云管理员提供云资源统一调度、统一管理等功能,面向云租户提供资源实例的申请开通、资源实例的操作等功能。
在对该云管平台进行应用和数据安全层面“身份鉴别”指标测评时,只需要核查云管理员用户的身份鉴别机制,云租户用户的身份鉴别机制应在云租户信息系统密评时核实。
A、正确
B、错误
3760
判断题 某行业主管部门建设电子认证服务系统为本行业提供数字证书制作及签发服务,其网络安全等级保护定级为三级。
该系统主要业务应用为数字证书认证系统应用,经核查,应用各类用户登录可采用智能密码钥匙基于SM2数字签名技术进行身份鉴别,且均同时支持用户名+口令的方式登录以防止智能密码钥匙鉴别失效导致业务中断;其中数字证书认证系统已经商用密码认证机构认证合格。
依据GM/T 0115《信息系统密码应用测评要求》,该系统应用和数据安全层面的“身份鉴别 ”单元测评结果为“部分符合”。
A、正确
B、错误
3761
判断题 在对应用和数据安全层面“身份鉴别”指标测评时发现,应用系统业务用户采用了具有商用密码产品认证证书(证书在有效期内)的智能密码钥匙进行用户登录身份鉴别,具体为智能密码钥匙与用户身份ID绑定,应用通过读取智能密码钥匙中存储的用户ID做身份鉴别,则针对应用用户“身份鉴别”指标的测评结果至少为“部分符合”。
A、正确
B、错误
3762
判断题 政务云平台部署密码支撑平台提供密码资源的统一调度,密码支撑平台采用token验证的方式对接入的租户业务应用系统进行鉴权,该过程可考虑在应用和数据安全层面进行“身份鉴别”指标测评。
A、正确
B、错误
3763
判断题 在对应用和数据安全层面“重要数据传输机密性”指标测评时,经使用协议分析工具捕获并分析某系统重要业务数据传输过程中的数据包,发现重要业务数据先进行BASE64编码再使用SHA256杂凑后传输,则针对“重要数据传输机密性”指标的测评结果至少为“部分符合”。
A、正确
B、错误
3764
判断题 经核查发现某被测业务应用通过调用服务器密码机采用SM4-GCM实现姓名、手机号、身份证号等重要用户信息存储完整性保护,服务器密码机及其密码模块安全等级合规,数据库中数据格式符合预期,则该测评对象的“重要数据存储完整性 ”指标可判定为符合。
A、正确
B、错误
3765
判断题 某WEB应用系统采用HTTPS协议保障重要数据传输的机密性和完整性,经使用协议分析工具捕获并分析Server Hello消息数据包, 密码套件为 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA384,则被测对象部分符合“应用和数据安全”层面的“重要数据传输机密性”和“重要数据传输完整性 ”测评指标。
A、正确
B、错误
3766
判断题 某二级信息系统业务应用具有“不可否认性”安全需求,并由部署的电子签章系统提供相关功能,由于GM/T 0115《信息系统密码应用测评要求》中未给出第二级信息系统应用和数据安全层面“不可否认性”指标的测评要求,因此该电子签章系统及其实现功能等无法纳入测评范围。
A、正确
B、错误
3767
判断题 根据GM/T 0115 《信息系统密码应用测评要求》,应用系统采用静态口令对登录用户进行身份鉴别,口令信息采用合规的密码技术进行加密传输,且采用单向递增函数实现鉴别信息防重用,则应用和数据安全层面“身份鉴别”单元测评结果有可能为符合。
A、正确
B、错误
3768
判断题 对某三级信息系统的通信信道进行测评时,发现通信实体身份鉴别使用的数字证书的签名算法标识为“1.2.156.10197.1.501”,则可直接判定“身份鉴别”测评指标为“符合。
A、正确
B、错误
3769
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方对信息系统开展密码应用安全性评估时,应遵循的原则,其中错误的是()。
A、可重复性和可再现性原则
B、经济性原则
C、客观公正性原则
D、结果完善性原则
3770
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评工作中可能面临的风险,正确的是( )。
A、验证测试可能影响被测信息系统正常运行
B、工具测试可能影响被测信息系统正常运行
C、可能导致被测信息系统敏感信息泄露
D、以上都是
3771
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪种情形不属于测评风险( )。
A、验证系统功能时产生了冗余数据
B、上机查看配置时获取了重要设备的身份鉴别信息
C、对委托方搭建的测试系统进行了攻击测试
D、测试过程中产生了较大网络流量影响了系统的负载
3772
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下测评风险规避措施,错误的是( )。
A、签署保密协议
B、将无法直接接入测试工具采集相关数据的测试对象从测试范围中去除
C、签署测试授权书
D、工具测试避开业务运行高峰期
3773
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于现场测评过程中的测评风险规避措施,错误的是( )。
A、需进行验证测试和工具测试时,应避开被测信息系统业务高峰期
B、需进行验证测试和工具测试时,可以配置与被测信息系统一致的模拟/仿真环境开展测评工作
C、需进行上机验证测试时,密评人员需要在已授权的情况下进行实际验证操作
D、整个现场测评过 程,需要由被测单位和测评方相关人员进行监督。
3774
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项内容不属于测评准备活动的主要任务( )。
A、项目启动
B、信息收集和分析
C、签署风险确认书
D、工具和表单准备
3775
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评准备活动中与项目相关的主要文档是( )。
A、项目管理计划
B、项目计划书
C、测评指导书
D、任务书
3776
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,校准本次测评过程中可能用到的测评工具,发生在( )测评活动中。
A、测评准备活动
B、方案编制活动
C、现场测评活动
D、分析与报告编制活动
3777
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项不属于测评准备活动的输出文档( )。
A、系统情况调研表
B、签署过的测评授权书
C、选用的测评工具清单
D、会议签到表
3778
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评准备活动的输出文档及其内容,说法正确的是( )。
A、调查表格、被测信息系统相关的技术资料内容应涵盖被测信息系统的网络安全保护等级、业务情况、软硬件情况、密码应用情况、密码管理情况
B、工具和表单准备阶段输出物的内容应涵盖测评工具、现场测评授权、测评可能带来的风险、交接的文档名称、会议记录表单、会议签到表单等
C、项目计划书至少应涵盖项目概述、工作依据、技术思路、工作内容和项目组织等内容。
D、以上内容均正确
3779
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估活动中,确定测评对象和测评指标是在( )阶段。
A、测评准备活动
B、方案编制活动
C、现场测评活动
D、分析与报告编制活动
3780
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在密评工作方案编制活动中,关于被测信息系统的核心资产确定,以下说法不正确的是()。
A、核心资产及其他需要保护的配套数据、敏感安全参数的威胁模型和安全策略等均由被测单位自主确定。
B、测评方需要多对信息系统的核心资产进行核查和确认。
C、核心资产可以是业务应用、业务数据或者业务应用的某些设备、组件。
D、被测单位需要确定被测信息系统需要保护的核心资产,以及相应的威胁模型和安全策略。
3781
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下不是被测信息系统密评工作中对硬件设备进行描述的内容的是( )。
A、测评对象所属区域
B、测评对象设备名称
C、测评对象设备信息
D、测评对象数据加密情况
3782
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在确定测评的不适用项时,如无密码应用方案,以下哪项不作为不适用项的论证依据()。
A、是否在被测系统责任边界内
B、系统安全需求
C、不适用的具体原因
D、是否采用了可满足安全要求的其他替代性风险控制措施
3783
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评指标的确定需要依据( )。
A、调查表格
B、GM/T 0115 《信息系统密码应用测评要求》
C、通过评估的密码应用方案
D、以上均包括
3784
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评检查点确定时,应充分考虑到( )。
A、密码产品是否正确配置
B、检查的可行性和风险,对被测信息系统的影响
C、承载核心资产流转的设备
D、系统采用的密码服务情况
3785
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评工具接入点的选择,错误的是( )。
A、信息系统测评工具接入点需要选择三个或三个以上。
B、从系统内部同一网段接入时,测试工具一般接在与被测对象在同一网段的交换机上
C、当从被测信息系统边界外接入时,测试工具一般接在系统边界设备上
D、从系统内部不同网段接入时,测试工具一般接在与被测对象不在同一网段的内部核心交换机上
3786
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下不属于测评方案主要内容的是( )。
A、测评对象
B、测评指标
C、测评检查点
D、风险评估结果
3787
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下不是现场测评活动工作的三项主要内容的是( )。
A、现场测评准备
B、现场测评和结果记录
C、测评内容签字确认
D、结果确认和资料归还
3788
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评活动不包含下列哪一项( )。
A、确认整体密码部署是否合规
B、实地检查密码配置是否正确
C、测评检查点的确定
D、授权接入系统后确认密码使用是否有效
3789
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,关于采集分析被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据,以下说法不正确的是( )。
A、应分析使用的密码算法、密码协议、关键数据结构是否合规
B、应检查传输的口令、用户隐私数据等重要数据是否进行了保护
C、应验证杂凑值和签名值是否正确
D、通过加解密等方式进行对称加密算法的验证
3790
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评过程中被测系统数据安全保护措施验证、数据采集方法说明,说法错误的是( )。
A、在条件允许的情况下,可以重放采集的关键数据(如身份鉴别数据)验证被测信息系统是否具备防重放攻击的能力
B、在条件允许的情况下,可以尝试修改传输的数据验证被测信息系统是否对传输数据进行了完整性保护
C、如果被测系统无法提供数据接入条 件,可以不进行数据采集。
D、在条件允许的情况下,可以搭建与被测信息系统一致的模拟/仿真环境开展测评工作
3791
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评人员在对关键设备进行现场检查时,测评工具接入被测信息系统条件不成熟,测评方应( )。
A、自行模拟被测信息系统搭建测评环境获取测评数据
B、与被测单位协商、配合,生成必要的离线数据
C、告知被测单位风险后,接入被测系统获取真实数据
D、将该测评项做不适用处理
3792
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于密评工作中结果确认和资料归还部分描述不正确的是( )。
A、密评人员在现场测评完成后,应首先汇总现场测评的测评记录,对遗漏和需要进一步验证的内容实施补充测评
B、召开测评现场结束会,对测评过程中得到各类测评结果记录进行现场沟通和确认
C、现场测评活动结束后,可以保留现场测评材料至评估报告编写完成
D、归还测评过程中借阅的所有文档资 料, 将测评现场环境恢复至测评前状态
3793
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于现场测评活动的输出文档,描述正确的是( )。
A、现场测评准备阶段输出文档包括会议记录、更新确认后的密评方案、确认的测评授权书和风险告知书等
B、现场测评和结果记录阶段输出文档主要为各类测评结果记录
C、测评结果确认和资料归还阶段的输出文档为经过被测单位确认的各类测评结果记录
D、以上内容均正确
3794
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪个不属于现场测评活动的输出文档( )。
A、更新确认的密评方案
B、各类测评结果记录
C、签署过的测评授权书
D、项目计划书
3795
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于分析与报告编制活动的输入文档,不正确的是( )。
A、单元测评:经过被测单位确认的各类测评结果记录、 GM/T 0115
B、密评报告编制:经过评审和确认的密评报告
C、量化评估:密评报告的单元测评的结果汇总及整体测评部分
D、风险分析:完成的调查表格,密评报告的整体测评结果和量化评估部分,相关风险评估标准
3796
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下不属于分析与报告编制活动的主要任务的是( )。
A、单元测评
B、整体测评
C、风险分析
D、评估结论修正
3797
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项不属于分析与报告编制活动()。
A、威胁分析
B、量化评估
C、整体测评
D、风险分析
3798
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,单元测评阶段需要密评人员针对各测评单元涉及的各个测评对象,将实际获得的多个测评结果与( )相比较,分别判断每个测评结果与预期结果之间的符合性,综合判定该测评对象的测评结果,从而得到每个测评对象对应的测评结果。
A、测评对象
B、实际配置
C、访谈内容
D、预期结果
3799
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于量化评估的说法,不正确的是()。
A、量化评估的输入是密评报告的单元测评的结果汇总及整体测评部分
B、根据单元测评结 果,计算各测评指标的各个测评对象的测评结果符合程度得分,之后再进行整体测评
C、根据各个测评对象的符合程度得分,计算各测评单元得分
D、根据各测评单元、各层面和整体得 分,总体评价被测信息系统已采取的有效保护措施和存在的密码应用安全问题情况。
3800
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,根据威胁类型和威胁发生频率,判断测评结果汇总中( )所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
A、部分符合项
B、不符合项
C、部分符合项或不符合项
D、符合项、部分符合项和不符合项
3801
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,风险分析的输入不包括( )。
A、被测系统威胁分析结果
B、被测系统的规模
C、被测系统存在的安全问题
D、已有安全措施情况
3802
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于密评报告编制过程的说法,错误的是( )。
A、密评报告通过内部评审后,由授权签字人进行签发,提交被测单位。
B、根据被测单位要 求,多个定级的信息系统可合并形成一份报告
C、针对被测信息系统存在的安全问题,提出相应改进建 议,并编制密评报告安全文件及改进建议部分
D、密评报告编制完成后,测评方应根据委托测评协议书、被测单位提交的相关文档、测评原始记录和其他辅助信息,对密评报告进行内部评审
3803
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于密评报告编制工作,描述错误的是( )。
A、密评人员整理各项任务输出,编制密评报告相应部分。对每一个定级的被测信息系统应单独形成一份密评报告。
B、针对被测信息系统存在的安全问题,提出相应改进建 议,并编制密评报告改进建议部分。
C、密评报告编制完成后,测评方应根据委托测评协议书、被测单位提交的相关文档、测评原始记录和其他辅助信息,将密评报告提交委托单位进行评审。
D、密评报告通过内部评审或专家评审 后,由授权签字人进行签发,提交被测单位。
3804
单项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于分析与报告编制活动的输出文档及其内容描述错误的是( )。
A、单元测评文档内 容:汇总统计各测评指标的各个测评对象的测评结果,给出单元测评结果
B、量化评估文档内 容:综合单元测评和整体测评结果,计算得分,并对被测信息系统的密码应用情况安全性进行总体评价
C、风险分析文档内 容:分析被测信息系统整体安全状况及对各测评对象测评结果的修正情况
D、密评报告编制文档内容:测评项目概述、被测系统情况、测评范围与方法、整体测评、量化评估、评估结论、安全问题及改进建议等
3805
单项选择题 根据《关于规范商用密码应用安全性评估结果备案工作的通知》(国密局字〔2021〕392号),运营者在完成商用密码应用安全性评估工作后,应在( )日内将评估结果报密码管理部门备案。
A、10
B、15
C、20
D、30
3806
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项任务是方案编制活动中的主要任务( )。
A、测评人员确定
B、测评对象确定
C、测评指标确定
D、测评检查点确定
3807
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方对信息系统开展密码应用安全性评估时,应遵循的原则,正确的是( )。
A、可重复性和可再现性原则
B、可重用性原则
C、客观公正性原则
D、结果完善性原则
3808
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在对信息系统开展密码应用安全性评估时,以下属于测评实施过程中客观公正性原则的是( )。
A、测评方应保证在符合国家密码管理部门要求及最佳主观判断情形
B、测评方案需要测评方与被测单位共同认可
C、测评过程需要基于明确定义的测评方式和解释
D、方案合理,测评方即可开展现场测评活动
3809
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方对信息系统开展密码应用安全性评估时,应遵循的原则,正确的是( )。
A、测评方应保证在符合国家密码管理部门要求及最小主观判断情形
B、测评工作可重用商用密码检测认证结果
C、测评工作可重用密码应用安全性评估的测评结果
D、测评所产生的结果应客观反映信息系统的密码应用现状
3810
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于可重复性和可再现性原则正确的是( )。
A、按照同样的要求,不同的密评人员对每个测评实施过程的重复执行应得到同样的结果
B、在同样的环境下,不同的密评人员对每个测评实施过程的重复执行应得到同样的结果
C、可再现性关注不同密评人员测评结果的一致性
D、可重复性关注同一密评人员测评结果的一致性
3811
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方对信息系统开展密码应用安全性评估时,应遵循的原则,错误的是( )。
A、测评工作可重用密码应用安全性评估的测评结果
B、测评方应保证在符合国家密码管理部门要求及最佳主观判断情形
C、方案合理,测评方即可开展现场测评活动
D、测评所产生的结果应客观反映信息系统的密码应用现状
3812
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些情形属于测评风险( )。
A、验证系统功能时产生了冗余数据
B、上机查看配置时获取了重要设备的身份鉴别信息
C、对委托方搭建的测试系统进行了攻击测试
D、测试过程中产生了较大网络流量影响了系统的负载
3813
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在被测系统测评过程中,测评工作面临的风险主要包括( )。
A、人员访谈可能影响系统正常运维工作
B、验证测试可能影响被测信息系统正常运行
C、工具测试可能影响被测信息系统正常运行
D、可能导致被测信息系统敏感信息泄露
3814
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些风险规避措施有效( )。
A、签署保密协议
B、将无法直接接入测试工具采集相关数据的测试对象从测试范围中去除
C、签署测试授权书
D、工具测试避开业务运行高峰期
3815
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下测评风险规避措施不正确的是( )。
A、双方签署委托测评协议书明确测评的目标、范围、计划等
B、双方签署保密协议
C、在业务高峰期进行压力测试以充分验证系统安全措施的有效性
D、需进行上机验证测试时,由密评人员自行进行实际操作
3816
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评过程包括四项基本测评活动,描述正确的是( )。
A、测评准备活动包括项目启动、信息收集和分析等
B、方案编制活动包括测评检查点确定、测评内容确定等
C、现场测评活动包括现场测评和结果记录、结果确认和资料归还等
D、分析与报告编制活动包括单元测评、整体测评、风险分析等
3817
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,项目计划书应包含( )等内容。
A、项目概述、工作依据说明
B、技术思路
C、不适用指标描述
D、工作内容和项目组织安排
3818
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段进行是信息收集和分析的过程中,测评方可以使用( )等方式,了解被测信息系统的构成和密码应用情况,为编写密评方案和开展现场测评工作奠定基础。
A、填写调查表格
B、查阅资料
C、现场调查
D、预测试
3819
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段进行是信息收集和分析的过程中,测评方收集测评所需资料包括( )。
A、被测信息系统总体描述文件、 密码应用总体描述文件
B、网络安全等级保护定级报告、网络安全等级保护测评报告
C、安全总体方案、安全详细设计方案、密码应用方案
D、密码产品的用户操作指南、密码应用安全规章制度
3820
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些材料为测评方需要收集的( )。
A、被测信息系统总体描述文件
B、被测信息系统密码应用总体描述文件
C、被测系统密码应用方案
D、等级保护定级报告及等级测评报告
3821
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段工具和表单准备活动中,需要项目组提前准备并打印的表单包括( )。
A、合同文件
B、现场测评授权书
C、风险告知书、文档交接单
D、会议记录表单、会议签到表单等。
3822
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,下列文档属于测评准备活动阶段需要输出的是( )。
A、现场测评授权书
B、密评方案
C、项目计划书
D、会议签到表单
3823
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评准备活动的输出文档及其内容,说法正确的是( )。
A、在项目启动任务 中,输入文档包括委托测评协议书、保密协议等,输出文档为项目计划书
B、在信息收集和分析任务中,输入文档为调查表格,输出文档为调查表格、被测信息系统相关的技术资料
C、在工具和表单准备任务中输出文档为选用的测评工具清单,打印的各类表单。
D、调查表格、被测信息系统相关的技术资料内容应涵盖被测信息系统的网络安全保护等级、业务情况、软硬件情况、密码应用情况、密码管理情况等
3824
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下属于测评准备活动的输出文档的是()。
A、系统情况调研表
B、签署的合同
C、选用的测评工具清单
D、会议签到表
3825
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在密码应用安全性评估过程中,以下哪些属于测评准备阶段的活动()。
A、项目启动
B、现场测评
C、信息收集和分析
D、工具和表单准备
3826
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些不是测评方案编制活动的主要任务( )。
A、现场测评准备
B、单项测评结果判定
C、测评检查点确定
D、确认测评工具的可用性
3827
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,在密评工作方案编制活动中,测评对象确定阶段的主要任务包括( )。
A、识别被测信息系统的基本情况
B、描述被测信息系统
C、确定测评对象、描述测评对象
D、资产和威胁评估
3828
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方案编制活动中,测评对象确定阶段的任务描述,正确的是( )。
A、描述被测信息系统时,一般以被测信息系统的网络拓扑结构为基础,采用总分式的描述方法
B、被测单位需要确定被测信息系统需要保护的核心资产,以及相应的威胁模型和安全策略
C、资产的价值根据资产的重要性和关键程度确定
D、核心资产及其他需要保护的配套数据、敏感安全参数的威胁模型和安全策略等均由被测单位根据密码应用方案、网络安全等级保护定级报告等确 定,并由测评方进行核查和确认
3829
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,资产的价值根据资产的( )确定。
A、资产的可用性
B、资产的重要性
C、资产的价格
D、资产的关键程度
3830
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评指标确认的依据包括( )。
A、被测信息系统的定级结果
B、信息系统密码应用测评要求
C、相关行业标准及规范
D、密码应用方案
3831
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评检查点确定的主要内容有( )。
A、列出需要接受现场检查的关键设备和检查内容
B、确定测试路径和工具接入点,采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容
C、确定选用的测评工具,并进行校准
D、不适用测评指标分析
3832
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,实施密码应用管理要求评估时,以下哪些选项属于可能的测评对象( )。
A、安全管理制度
B、加密机操作操作规程
C、系统密码应用方案
D、安全事件记录
3833
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评方案应包括以下内容( )。
A、项目概述
B、测评对象、测评指标
C、测评检查点
D、单元测评实施
3834
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于密评方案编制过程中任务描述正确的是( )。
A、根据委托测评协议书和完成的调查表格,提取项目来源、被测单位整体信息化建设情况及被测信息系统与其他系统之间的连接情况等。
B、结合被测信息系统的实际情况,根据通过评估的密码应用方案及GM/T 0115,明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务相关的标准规范。
C、依据委托测评协议书和被测信息系统的情况,估算现场测评工作量。
D、根据测评项目组成员分工,编制工作安排。
3835
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方案编制活动的输出文档及文档内容,说法正确的是( )。
A、输出文档包含测评对象部分、测评指标部分、测评实施部分等内容
B、测评指标部分应说明被测信息系统相应等级对应的适用和不适用的测评指标
C、测评工作所需的人员、资料、场所等保障要求需要在客户确认测评方案后单独进行沟通确认。
D、密评方案应包括但不限于以下内容:项目概述、测评对象、测评指标、测评检查点以及单元测评实施等。
3836
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项属于现场测评活动的内容( )。
A、召开首次会
B、与委托方确认测评记录
C、形成单元测评结果
D、传输数据采集分析==
3837
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估活动过程中,( )属于现场测评阶段的活动。
A、现场测评和结果记录
B、现场测评准备
C、结果确认和资料归还
D、单项测评结果判定
3838
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评活动包含下列哪几项( )。
A、确认整体密码部署是否合规
B、实地检查密码配置是否正确
C、测评检查点的确定
D、授权接入系统后确认密码使用是否有效
3839
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,采集分析被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据时,需从以下方面进行( )。
A、分析使用的密码算法、密码协议、关键数据结构是否合规
B、检查传输的口令、用户隐私数据等重要数据是否进行了保护
C、验证杂凑值和签名值是否正确
D、条件允许的情况下可模拟进行重放攻击
3840
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于针对已经取得商用密码产品认证证书的密码产品的测评工作,说法正确的是()。
A、需要针对密码产品依据产品或检测标准指标进行逐条判定并记录测评结果
B、无需其本身进行重复检测,主要进行符合性核验和配置检查
C、可以联系密码产品审批部门或相应的检测认证机构进行确认
D、无需针对设备进行检测,所有测评内容均可判定为符合
3841
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评过程中数据采集和分析工作,说法正确的是( )。
A、需要检查传输的口令、用户隐私数据等重要数据是否进行了保护(如对密文进行随机性检测、查看关键字段是否以明文出现),验证杂凑值和签名值是否正确
B、需要重点采集被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据,分析使用的密码算法、密码协议、关键数据结构(如数字证书格式)是否合规
C、在条件允许的情况下,可以重放采集的关键数据(如身份鉴别数据)验证被测信息系统是否具备防重放攻击的能力
D、在条件允许的情况下,可以尝试修改存储的数据验证被测信息系统是否对存储数据进行了完整性保护
3842
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,为了验证密码产品是否被正确、有效地使用,可采集密码产品和其调用者之间的通信数据,通过采集的( ),分析密码产品的调用是否符合预期。
A、密码产品的配置文件
B、密码产品调用指令
C、密码产品响应报文
D、密码产品的日志记录
3843
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评人员在对关键设备进行现场检查时,若测评工具接入被测信息系统条件不成熟时。
以下测评操作,不正确的是( )。
A、自行模拟被测信息系统搭建测评环境获取测评数据
B、与被测单位协商、配合,生成必要的离线数据
C、告知被测单位风险后,接入被测系统获取真实数据
D、将该测评项做不适用处理
3844
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些属于现场测评活动的输出文档()。
A、更新确认的密评方案
B、各类测评结果记录
C、签署过的测评授权书
D、风险告知书
3845
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,单元测评主要是针对各测评指标中的各个测评对象,客观、准确地分析测评证据,对每个测评对象分别进行( )。
A、记录修改
B、测评实施
C、结果判定
D、综合分析
3846
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评单元结果判定正确的是()。
A、测评单元包含的所有测评对象的测评结果均为符合或部分符合,则对应测评单元结果判定为符合。
B、测评单元包含的所有测评对象的测评结果均为不符合,则对应测评单元结果判定为不符合。
C、测评单元包含的所有测评对象的测评结果均为不适用,则对应测评单元结果判定为不适用。
D、测评单元包含的所有测评对象的测评结果不全为符合或不符合,则对应测评单元结果判定为部分符合。
3847
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,每个测评对象对应的测评结果可能是()。
A、符合
B、不符合
C、部分符合
D、不适用
3848
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,关于整体测评,以下说法错误的是( )。
A、整体测评的输出是密评报告的单元测评结果修正部分
B、整体测评是对各个单元测评结果进行汇总分析,统计符合情况
C、整体测评包括测评单元间的整体测评、层面间的整体测评
D、测评单元的量化评估在整体测评前完成
3849
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评任务针对测评结果为( )的测评对象,采取逐条判定的方法,给出整体测评的具体结果。
A、符合
B、部分符合
C、不符合
D、不适用
3850
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评过程中,针对测评对象“部分符合 ”及“不符合”要求的单个测评项,分析与该测评项相关的( )的测评对象能否和它发生关联关系,发生何种关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
A、其他测评对象
B、其他测评项
C、其他单元
D、其他层面
3851
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于量化评估工作的说明,正确的是( )。
A、各测评单元得分需要根据各个测评对象的符合程度得分进行计算
B、各安全层面的得分需要根据各测评单元的得分进行计算
C、根据单元测评结果直接计算整体得分
D、根据各测评单元、各层面和整体得 分,总体评价被测信息系统已采取的有效保护措施和存在的密码应用安全问题情况。
3852
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,根据( ),判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
A、威胁发生频率
B、威胁类型
C、自身水平
D、量化评估结果
3853
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,风险分析在( )信息的基础上进行。
A、被测系统威胁分析结果
B、被测系统资产分析结果
C、被测系统存在的安全问题
D、已有安全措施情况
3854
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方根据( )等相关标准要求,对被测信息系统面临的密码应用安全风险进行赋值,风险值的取值范围为高、中和低。
A、单元测评结果
B、自身经验
C、《信息系统密码应用高风险判定指引》
D、整体测评结果
3855
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,关于资产和威胁评估,说法正确的是()。
A、资产价值的认定,是依据资产价格来决定
B、资产价值越高表明资产遭到威胁时将导致越高的风险
C、威胁发生频率越高表明资产的安全越有可能受到威胁
D、资产价值高低的界定可由测评委托单位根据密码应用方案、等级保护定级报告等继承和确 定,并由测评结构进行审查和确认
3856
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估过程中在分析与报告编制阶段,通过( )环节,找出整个系统密码安全保护现状和相应等级保护要求之间的差距。
A、单项测评结果判定
B、单元测评结果判定
C、整体测评
D、风险分析
3857
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,评估结论需要在( )的基础上形成。
A、整体测评
B、测评结果汇总
C、量化评估
D、风险分析
3858
多项选择题 以下关于评估结论的描述正确的是( )。
A、符合:被测信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为100分。
B、基本符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,且综合得分不低于阈值。
C、不符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,综合得分低于阈值。
D、不符合:被测信息系统存在的安全问题会导致 被测信息系统面临高等级安全风险。
3859
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,被测信息系统的密评结论可能是( )。
A、符合
B、部分符合
C、不符合
D、基本符合
3860
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评报告应符合信息系统密码应用安全性评估报告模板要求,包括但不限于以下内容()。
A、测评项目概述、被测系统情况
B、测评范围与方法
C、整体测评、量化评估
D、评估结论、安全问题及改进建议
3861
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评报告编制完成后,测评方应根据()对密评报告进行内部评审。
A、测评原始记录
B、被测单位提交的相关文档
C、其他辅助信息
D、委托测评协议书
3862
多项选择题 根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些属于密评报告的内容( )。
A、整体测评
B、量化评估
C、评估结论
D、总体评价
3863
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方对信息系统开展密码应用安全性评估时,应遵循不可重复性原则。
A、正确
B、错误
3864
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,开展密码应用安全性评估时,可重用性原则要求所有重用结果都应以已有测评结果仍适用于当前被测信息系统为前提,并能够客观反映系统当前的安全状态。
A、正确
B、错误
3865
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估遵循的基本原则有客观公正原则、经济性原则、可重复性和可再现性原则、结果完善性原则。
A、正确
B、错误
3866
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评的可重复性原则是:按照同样的要求、使用同样的测评方法、在同样的环境下,不同测评人员对同一个测评实施过程的重复执行应得到同样的结果。
A、正确
B、错误
3867
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评的可再现性原则是:按照同样的要求、使用同样的测评方法、在同样的环境下,同一测评人员对每个测评实施过程的重复执行应得到同样的结果。
A、正确
B、错误
3868
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,A系统部署的物理环境现状的密评结果已包含在B系统的密评报告中,则A系统密评时可复用B系统密评报告中的相应评估结果。
A、正确
B、错误
3869
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评工作的开展可能会给被测信息系统带来一定风险,测评方应在测评开始前完成全部风险识别工作。
A、正确
B、错误
3870
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评之前,测评方应与被测单位签署现场测评授权书,要求测评相关方对系统及数据进行备份,并针对可能出现的事件制定应急处理方案。
A、正确
B、错误
3871
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评过程中,如果被测系统配置了与被测信息系统一致的模拟/仿真环境,可以在模拟/仿真环境下开展验证测试和工具测试工作。
A、正确
B、错误
3872
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在测评活动开展前,需要对被测信息系统的密码应用方案进行评估,密码应用方案可以作为测评实施的依据。
A、正确
B、错误
3873
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评过程中的分析与报告编制活动的实施顺序是:单元测评、整体测评、量化评估、风险分析、密评报告编制、评估结论形成。
A、正确
B、错误
3874
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,方案编制活动是开展测评工作的关键活动,主要任务是编写收集确认信息系统的资产信息,并确定与被测信息系统相适应的测评对象、测评指标、测评检查点及测评内容,形成密评方案,为实施现场测评提供依据。
A、正确
B、错误
3875
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估基本测评活动包括测评准备活动、方案编制活动、现场测评活动、分析与报告编制活动。
A、正确
B、错误
3876
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评准备活动由信息收集和分析、工具和表单准备两项主要任务组成。
A、正确
B、错误
3877
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段进行是信息收集和分析的过程中,测评方分析调查结果,可以采信自查结果、上次网络安全保护等级测评报告或商用密码应用安全性评估报告中的可信结果。
A、正确
B、错误
3878
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,校准本次测评过程中可能用到的测评工具,发生在现场测评活动中。
A、正确
B、错误
3879
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,如果具备条件,建议密评人员模拟被测信息系统搭建测评环境,进行前期准备和验证。
A、正确
B、错误
3880
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,为确保密评结果的准确性,应针对生产系统进行密评,避免使用搭建的测试环境。
A、正确
B、错误
3881
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评工作中,如果测评准备阶段调查表格中存在相互矛盾的情况,密评人员应与填表人进行沟通和确认,但测评方应尽量避免现场调查,影响系统运行。
A、正确
B、错误
3882
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评工作的测评准备活动中,到被测信息系统现场进行信息收集的过程是必须的。
A、正确
B、错误
3883
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评工作中,工具和表单准备阶段输出物的内容应涵盖测评工具、现场测评授权、测评可能带来的风险、交接的文档名称、会议记录表单、会议签到表单等。
A、正确
B、错误
3884
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在密码应用安全性评估活动中,确定测评对象和测评指标是测评准备活动的内容。
A、正确
B、错误
3885
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方案编制活动中,测评对象确定需要基于完成的调查表格、以及各种与被测信息系统相关的技术资料,并最终确认密评方案中的测评对象。
A、正确
B、错误
3886
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,无论信息系统密码应用方案是否通过评估,测评方均需要对所有不适用项进行逐条核查、评估,论证其安全需求、不适用的具体原因,以及是否采用了可满足安全要求的其他替代性风险控制措施来达到等效控制。
A、正确
B、错误
3887
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,对于“宜”的指标,若信息系统的密码应用方案通过评估且方案中做了明确的不适用说明,可不纳入测评范围。
A、正确
B、错误
3888
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,确定测评检查点需充分考虑检查的可行性和风险,最大限度的避免对被测信息系统的影响。
A、正确
B、错误
3889
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在使用工具进行测评时应在保证被测信息系统正常、安全运行的情况下,确定测试路径和工具接入点,并结合网络拓扑图,采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容。
A、正确
B、错误
3890
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在使用工具进行测评时应在保证被测信息系统正常、安全运行的情况下,确定测试路径和工具接入点,当测评工具接入被测信息系统条件不成熟时,测评方应搭建测试模拟环境进行接入测试。
A、正确
B、错误
3891
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评检查点确定主要任务为确定工具测试的接入点、测试途径、测试目的。
A、正确
B、错误
3892
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在密评工作中,测评内容的确定是将测评对象与测评指标,测评对象与测评方法联系起来的过程。
A、正确
B、错误
3893
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,编写完成的信息系统密评方案应该在提交被测单位并进行签字确认后,进行测评方内部评审。
A、正确
B、错误
3894
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评人员在现场测试结束后,应保持现场环境的测评状态,以便核对测评结果。
A、正确
B、错误
3895
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,某密评人员在现场测试过程中生成了测试账号,现场测试结束后在委托方配合下清除了测试账号及关联数据,以上做法是正确的。
A、正确
B、错误
3896
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评活动的目标是通过与被测单位进行沟通和协调,依据密评方案实施现场测评工作,获取分析与报告编制活动所需且足够的证据和资料。
A、正确
B、错误
3897
判断题 密评实施过程中,需要深入验证密码产品的功能实现,并核查密码产品是否在信息系统中正确、有效地发挥作用。
A、正确
B、错误
3898
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,进行配置检查时,根据被测单位出具的商用密码产品认证证书(复印件)、安全策略文档或用户手册等,先确认实际部署的密码产品与声称情况的一致性,再查看配置的正确性,并记录相关证据。
A、正确
B、错误
3899
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,对于已经取得商用密码产品认证证书的密码产品,测评时不对其本身进行重复检测,主要进行符合性核验和配置检查。
A、正确
B、错误
3900
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,进行工具测试时,需根据测评机构的实际情况选择测试工具,在配置检查无法提供有力证据的情况下,应通过工具测试的方法抓取并分析被测信息系统相关数据。
A、正确
B、错误
3901
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评过程中,若无法在密码产品和调用者之间接入测试工具、且被测信息系统无法提供源代码等有关证据的情况下,可通过逆向分析等方法对被测信息系统应用程序进行逆向分析,探究应用程序内部组成结构及工作原理,核查应用程序调用密码功能的合理性。
A、正确
B、错误
3902
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评时,对于已经取得相应证书的密码产品,确认实际部署的密码产品与声称产品的一致性后,可不进行其他测评。
A、正确
B、错误
3903
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评结果确认和资料归还部分输出文档的内容为测评活动中发现的问题、问题的证据和证据源、每项测评活动中被测单位配合人员的书面认可文件。
A、正确
B、错误
3904
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,密评人员在初步判定各测评单元涉及的各个测评对象的测评结果后,还需进行单元测评、整体测评、量化评估和风险分析。
经过整体测评后,如果发现测评对象的测评结果有所变化,需进一步修订测评结果,而后进行量化评估和风险分析,最后形成评估结论。
A、正确
B、错误
3905
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,由于信息系统测评对象较多,可能导致不同测试人员针对同一测评单元得出的测评结果存在差异。
A、正确
B、错误
3906
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评单元包含的所有测评对象的测评结果均为符合或部分符合,则对应测评单元结果判定为符合。
A、正确
B、错误
3907
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评单元包含的所有测评对象的测评结果不全为符合,则对应测评单元结果判定为不符合。
A、正确
B、错误
3908
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评单元包含的所有测评对象的测评结果均为不适用,则对应测评单元结果判定为不适用。
A、正确
B、错误
3909
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评是对各个单元测评结果进行汇总分析,统计符合情况。
A、正确
B、错误
3910
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,层面间测评是指对同一技术层面或管理方面内的两个或者两个以上不同测评单元间的关联进行测评分析。
A、正确
B、错误
3911
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评任务针对测评结果为符合、部分符合和不符合的测评对象, 采取逐条判定的方法,给出整体测评的具体结果。
A、正确
B、错误
3912
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评过程中,针对测评对象“部分符合 ”及“不符合”要求的单个测评项,分析与该测评项相关的其他测评项、其他单元、其他层面的测评对象能否和它发生关联关系,发生何种关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
A、正确
B、错误
3913
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,层面间测评是指对不同层面内的两个或者两个以上测评单元间的关联关系进行测评分析。
A、正确
B、错误
3914
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,根据单元测评结果,计算各测评指标的各个测评对象的测评结果符合程度得分,之后再进行整体测评。
A、正确
B、错误
3915
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,在量化评估任务中,针对测评对象“部分符合”及“不符合”要求的单个测评项,可以通过不同单元的测评对象直接的关联关系,分析这些关联关系产生的作用是否可以“弥补”某一测评项的不足。
A、正确
B、错误
3916
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,量化评估任务的定义是:综合单元测评结果和整体测评结果,计算修正后的各测评指标的各个测评对象的测评结果得分、各测评单元得分、各安全层面得分和整体得分,并对被测信息系统的密码应用情况安全性进行总体评价。
A、正确
B、错误
3917
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方根据自身经验、相关标准或文件,对被测信息系统面临的密码应用安全风险进行赋值,风险值的取值范围为高、中和低。
A、正确
B、错误
3918
判断题 根据GM/T 0116《信息系统密码应用测评过程指南》,测评方应根据自身经验对被测信息系统面临的密码应用安全风险进行赋值。
A、正确
B、错误
3919
判断题 被测信息系统中存在安全问题,部分符合项和不符合项的统计结果不全为0,且综合得分不低于阈值,被测系统的密评结论可判定为基本符合。
A、正确
B、错误
3920
判断题 被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,而且存在的安全问题会导致被测信息系统面临高等级安全风险,且综合得分低于阈值,被测系统的密评结论可判定为基本符合。
A、正确
B、错误
3921
判断题 某信息系统整体量化评估结果为70分,且风险评估未发现高风险,因此该系统的密评结论应为部分符合。
A、正确
B、错误
3922
判断题 某信息系统整体量化评估结果为70分,且漏洞扫描未发现高危漏洞,因此该系统的密评结论应为部分符合。
A、正确
B、错误
3923
单项选择题 针对管理制度层面的“定期修订安全管理制度”指标要求,密评时主要是通过访谈安全主管,确定是否定期对密码安全管理制度体系的()进行审定。
A、合理性和适用性
B、合理性和完备性
C、合理性和灵活性
D、合理性和通用性
3924
单项选择题 某信息系统通过堡垒机对设备进行集中运维管理,堡垒机采用动态令牌进行身份鉴别。
则对该设备的身份鉴别主要测评的内容包括()。
A、无需测评动态令牌系统产品的合规性
B、如果设备是合规的密码产品,则无需测评,直接判为符合
C、如果设备不是合规的密码产品,则无需测评,直接判为不符合
D、根据实际情况核验该设备的身份鉴别实现机制
3925
单项选择题 某信息系统在互联网边界部署安全认证网关,为用户访问应用建立起安全的通信信道。互联网用户客户端并未部署数字证书,则在网络和通信安全层面,对互联网用户访问应用的网络通信信道的测评的内容是()。
A、互联网客户端和安全认证网关之间的身份鉴别、通信数据机密性和完整性
B、互联网客户端和应用服务器之间的身份鉴别、通信机密性和完整性
C、安全认证网关和应用服务器之间的身份鉴别、通信数据机密性和完整性
D、应用服务器和第三方电子认证服务机构之间的身份鉴别、通信数据机密性和完整性
3926
单项选择题 某信息系统设备管理员在互联网通过SSL VPN访问内网后,再登录堡垒机对设备进行运维管理,运维人员在互联网通过智能密码钥匙登录SSL VPN;则在网络和通信安全层面,对该远程管理通道的主要测评的内容包括()。
A、运维客户端和SSL VPN之间的身份鉴别、通信机密性和完整性
B、运维客户端和堡垒机之间的身份鉴别、通信机密性和完整性
C、SSL VPN和堡垒机之间的身份鉴别、通信机密性和完整性
D、堡垒机和服务器之间的身份鉴别、通信机密性和完整性
3927
单项选择题 某信息系统设备管理员在互联网通过SSL VPN接入内网后,再登录堡垒机对设备进行运维管理,同时在SSL VPN后部署了防火墙进行网络访问控制;则在网络和通信安全层面,针对“网络边界访问控制信息的完整性”测评要求的测评对象为()。
A、防火墙上的网络边界访问控制信息
B、SSL VPN上的网络边界访问控制信息
C、堡垒机上的网络边界访问控制信息
D、服务器上的网络边界访问控制信息
3928
单项选择题 以下属于应用和数据安全层面,业务应用访问控制信息完整性指标测评内容的是()。
A、SSL VPN中的访问控制列表
B、应用系统的权限
C、服务器的系统权限访问控制信息
D、防火墙的访问控制列表
3929
单项选择题 在对应用和数据安全中的“重要数据存储完整性”测评时,以下哪个密码技术量化评估得分无法达到1分()。
A、使用SM3算法计算杂凑值
B、使用SM3、SM2算法计算签名值
C、使用HMAC-SM3算法计算消息鉴别码
D、使用SM4- CBC模式生成消息鉴别码,其中初始向量为全 0,消息长度为约定好的固定长度
3930
单项选择题 密评人员在对关键设备进行现场检查时,测评工具接入被测信息系统条件不成熟,测评方应( )。
A、模拟被测信息系统搭建测评环境获取测评数据
B、与被测单位协商、配合,生成必要的离线数据
C、告知被测单位风险后,接入被测系统获取真实数据
D、将该测评项做不适用处理
3931
多项选择题 对于未标注密码模块安全等级的商用密码产品在现场测评时应考虑以下哪些因素()。
A、分析其是否为换证密码产品,对于换证的密码产品,需要密码厂商进一步提供换证前的商用密码产品型号证 书,如果商用密码产品型号证书中标注了其符合的密码模块等级,则按此等级进行判定
B、对于换证的密码产品,需要密码厂商进一步提供换证前的商用密码产品型号证书,如果商用密码产品型号证书中未标注其符合的密码模块等级,按“密码产品符合一级密码模块”进行判定
C、分析其是否为新认证密码产品,对于新发认证证书的密码产品,需核实其是否为适用于密码模块标准的密码产品
D、若为密码系统类产品(如电子签章系统等),则其不适用于密码模块标 准,但作为系统组件的密码产品则适用于密码模块标 准,在密评时依据这些密码产品的密码模块安全等级进行判定
3932
多项选择题 对运行在云平台上的云上应用进行密评时,特别是云平台和云上应用的运营者不同的情况下,关于两者的责任和范围界定, 以下表述合理的是()。
A、针对云平台自身密评,该部分测评的责任主体为云平台的运营者
B、针对云上应用系统的密评,该部分测评的责任主体为云上应用的运营者
C、云上应用系统所处的云平台通过密评(即获得“符合”或“基本符合”的结论)后,云上应用系统才能通过密评
D、云上应用系统所处的云平台的安全级别应不低于云上应用系统
3933
多项选择题 GB/T 39786 《信息安全技术 信息系统密码应用基本要求》中,信息系统安全管理方面的要求都包括()。
A、管理制度要求
B、人员管理要求
C、建设运行要求
D、应急处置要求
3934
多项选择题 设备和计算安全层面,关于密码设备的“身份鉴别”测评指标要求,需核验、测试以下哪些内容()。
A、判断该密码产品是否为经检测认证合格的商用密码产品
B、确认实际部署的密码产品与获证产品是否一致
C、核查密码产品是否采用了智能IC卡、智能密码钥匙、动态口令等技术对登录设备的管理员进行身份鉴别
D、验证是否按照密码产品使用要求对登录设备的用户使用密码技术进行身份鉴别
3935
多项选择题 下列内容属于设备和计算安全层面系统资源访问控制信息的是()。
A、SSL VPN设备的系统权限访问控制信息
B、运维堡垒机的系统访问控制信息
C、数据库中的数据访问控制信息
D、应用系统的权限
3936
多项选择题 在网络和通信安全层面,访问控制信息主要包括哪些()。
A、部署在网络边界的 VPN中的访问控制列表
B、部署在网络边界的防火墙的访问控制列表
C、部署在网络边界的边界路由的访问控制列表
D、部署在应用域的安全网关的访问控制信息
3937
多项选择题 双活机房之间通信的通信链路,在测评时是否作为网络和通信安全层面的一条通信信道,以下表述正确的是()。
A、因重要业务数据、重要个人信息等数据会在双活机房之间进行传输,应将该通信信道作为测评对象
B、双活机房之间的通信链路采用运营商专线时应将该通信信道作为测评对象
C、双活机房之间的通信链路采用物理裸光纤时原则上应将该通信信道作为测评对象
D、如果双活机房之间通信的通信链路是纯物理传输的裸光纤,若不将该通信信道作为网络和通信安全层面的测评对象,应通过专家评审。
3938
多项选择题 某三级信息系统运维人员从互联网, 通过SSL VPN接入内网后,再登录堡垒机对系统中的服务器进行远程运维管理,运维人员均配置了智能密码钥匙,则在网络和通信安全层面的“身份鉴别”的主要测评内容包括()。
A、客户端对SSL VPN服务端的身份鉴别
B、SSL VPN服务端对客户端使用智能密码钥匙的身份鉴别
C、第三方电子认证服务
D、身份鉴别过程是否采用了挑战响应机制
3939
多项选择题 网络和通信安全、应用和数据安全都有传输安全性(机密性、完整性)的要求,以下说法正确的是()。
A、如果网络和通信安全层面合规,应用和数据安全层面的传输机密性和完整性未采用密码技 术,则网络层可以缓解应用层传输安全的风险
B、如果应用和数据安全层面的某关键数据传输机密性和完整性符合要求,网络和通信安全层面未采用密码技术,则应用层可以弥补网络层的传输安全
C、两个安全层面的数据保护对象不一样
D、两个安全层面可以相互弥补,降低风险
3940
多项选择题 信息系统已确认采用经检测认证合格的商用密码产品实现密钥管理安全,对密钥管理的安全性判定还需现场核查以下哪些内容()。
A、根据信息系统的安全级别,该密码产品的密码模块安全级别是否满足GB/T 39786《信息安全技术 信息系统密码应用基本要求》相应安全等级的要求
B、如果被测系统有密码应用方案,应核查系统密钥管理机制是否与方案一致
C、由密码产品产生的密钥在该密码产品外部进行管理时,是否进行了机密性和完整性保护
D、该密码产品是否按照产品配套的安全策略文档进行部署和使用
3941
多项选择题 面向公众,信息可公开的信息系统,测评时需要重点关注以下哪些内容()。
A、首先需要确定哪些人员可以访问该信息系统
B、管理员的身份鉴别、传输通道安全及其遵循的测评指标
C、对于公众用户而 言,仍需要对网站进行身份鉴别(比如防止钓鱼网站),并对其内容的完整性进行保护
D、需要测评与公众用户相关的“网络和通信安全”层面的“身份鉴别”、“通信过程中数据的完整性”、“通信过程中重要数据的机密性”等指标
3942
多项选择题 某办公系统部署了SSL VPN安全网关,并向相关用户配发USBKey,通过非国密浏览器实现对PC端登录系统用户的身份鉴别,在密码应用安全性评估时应重点测评内容包括()。
A、核查SSL VPN安全网关合规性
B、核查USBKey合规性
C、核查PC端浏览器合规性
D、验证身份鉴别机制是否正确和有效
3943
判断题 在设备和计算安全层面,“采用密码技术保证系统资源访问控制信息的完整性”的指标要求,强调的是被测设备的系统资源。
A、正确
B、错误
3944
判断题 某三级信息系统通过堡垒机对系统中的服务器进行集中运维管理,堡垒机采用动态令牌进行身份鉴别,则对服务器的身份鉴别为主要测评动态令牌的合规性。
A、正确
B、错误
3945
判断题 某信息系统所在机房部署使用的电子门禁系统为经检测认证合格的密码产品,则可判定该电子门禁系统的电子门禁记录数据存储完整性指标为符合。
A、正确
B、错误
3946
判断题 某信息系统所在机房的视频监控系统是一个密码产品,采集端到服务端采用了密码技术实现了通信数据的机密性和完整性保护,则可判定该机房的视频监控记录数据存储完整性指标为符合或部分符合。
A、正确
B、错误
3947
判断题 在应用和数据安全中,“采用密码技术保证信息系统应用的访问控制信息的完整性”指标要求,强调的是系统应用。
A、正确
B、错误
3948
判断题 在应用和数据安全层面,访问控制信息主要包括应用系统的权限、标签等能够决定系统应用访问控制的措施等信息。
A、正确
B、错误
3949
判断题 根据《商用密码应用安全性评估FAQ(第二版)》,信息系统采用经认证合格的密码产品是密钥管理安全性(D)判定为“符合”的必要条件。
A、正确
B、错误
3950
单项选择题 针对已上线运行信息系统,在对其进行安全管理层面测评时,其测评对象包括系统相关人员、安全管理制度文档、记录表单和()。
A、密码应用安全性评估文档
B、立项规划文档
C、技术标准
D、建设实施方案文档
3951
单项选择题 针对整机类密码产品(如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等),以( )为粒度确定设备和计算安全层面的测评对象。
A、具有相同硬件、软件配置的设备
B、具有相同商用密码产品认证证书编号的密码产品
C、具有相同功能的密码产品
D、相同类型的密码产品
3952
单项选择题 某信息系统部署了服务器C三台服务器,三台服务器为同一批次购买,生产厂商、型号和操作系统版本等都相同,购买后,A和B的操作系统升级为了相同的版本,则()。
A、C作为3个不同的测评对象
B、A和B作为一个测评对象,C为另一个测评对象
C、ABC作为一个测评对象
D、A和C作为一个测评对象,B为另一个测评对象
3953
单项选择题 某信息系统部署了B两台服务器,其生产厂商、型号和操作系统版本等都相同,购买后对服务器 A的身份鉴别进行了改造,测评时对服务器的身份鉴别量化评估方法为()。
A、D/A/K均以两个服务器的实际应用情况各自赋分
B、D/A/K均以未改造服务器B的实际应用情况赋分
C、D/A/K均以未改造服务器A的实际应用情况赋分
D、依据被测单位要求对服务器赋分
3954
单项选择题 某三级信息系统运维管理员通过互联网直接访问堡垒机,对设备进行运维管理,则管理员通过互联网访问堡垒机的通信信道( )。
A、仅作为网络和通信安全层面的测评对象
B、仅作为设备和计算安全层面“远程管理通道安全”的测评对象
C、可作为网络和通信安全层面、设备和计算安全层面“远程管理通道安全”的测评对象
D、不可作为网络和通信安全层面、设备和计算安全层面“远程管理通道安全”的测评对象
3955
单项选择题 某三级信息系统运维管理员客户端通过互联网访问VPN接入内网后,再登录堡垒机对通用服务器进行运维管理,则在设备和计算安全层面,通用服务器的“远程管理通道安全”测评指标的测评对象是( )。
A、客户端至VPN间的信道
B、VPN至堡垒机间的信道
C、堡垒机至通用服务器间的信道
D、以上都是
3956
单项选择题 某三级信息系统中,应用包括前台应用系统和后台管理系统;系统运行的网络环境通常包括互联网、政务外网和办公内网,其中,办公内网也属于政务外网。
该信息系统网络通信情况描述如下:(1) 用户可以从互联网、政务外网、办公内网,使用非国密浏览器或国密浏览器通过HTTPS协议访问前台应用系统;(2) 管理员可以从办公内网或使用VPN 客户端通过内网SSLVPN接入办公内网后,再使用国密浏览器通过HTTPS协议访问后台管理系统;(3) 系统管理员可以从互联网先登录运维专用的SSLVPN后,再通过堡垒机对服务器、密码产品等设备进行运维;(4) 信息系统可以通过 IPSec VPN调用外部的密码资源(例如政务外网的数据加密服务)。
根据以上描述,此信息系统网络和通信安全层面的测评对象包括多少个通信信道()。
A、5
B、6
C、7
D、8
3957
单项选择题 政务信息系统中,已经确定的测评对象是政务外网SSL VPN客户端与内网SSL VPN之间的通信信道,则其密码应用场景是()。
A、管理员用户从政务外网通过内网SSL VPN接入办公内网
B、管理员从办公内网使用国密浏览器通过HTTPS协议访问内网应用
C、用户从政务外网使用非国密浏览器通过HTTPS协议访问内网应用
D、用户从互联网使用非国密浏览器通过 HTTPS协议访问内网应用
3958
单项选择题 政务信息系统中,已经确定的测评对象是互联网国密浏览器与前台应用系统之间的通信信道,则其密码应用场景是()。
A、用户从互联网使用国密浏览器通过 HTTPS协议访问前台应用系统
B、用户从政务外网使用国密浏览器通过 HTTPS协议访问前台应用系统
C、用户从互联网使用非国密浏览器通过 HTTPS协议访问前台应用系统
D、用户从政务外网使用非国密浏览器通过HTTPS协议访问前台应用系统
3959
单项选择题 应用和数据安全要求中“采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性”的用户指的是()。
A、所有登录设备的实体
B、所有登录应用进行操作的实体
C、设备管理员
D、应用管理员
3960
单项选择题 某第三级信息系统包括两个重要应用,其中A应用中包括两类不同角色的用户,B应用包括三类不同角色管理员用户,且这些用户之间的的身份鉴别方式均不相同,那么“应用和数据安全”的“身份鉴别”测评时,分为几个测评对象最为合理()。
A、2
B、3
C、4
D、5
3961
单项选择题 使用IPSec协议分析工具抓包,主要抓取并分析的是哪个阶段的数据包()。
A、握手阶段数据包
B、密钥交换协议第一阶段的数据包
C、密钥交换协议第二阶段的数据包
D、安全报文协议
3962
单项选择题 政务信息系统中,已经确定的测评对象是办公内网国密浏览器与后台管理系统之间的通信信道,则其场景是()。
A、用户从政务外网使用国密浏览器通过 HTTPS协议访问前台应用系统
B、系统管理员从互联网访问SSL VPN运维设备
C、用户从政务外网使用非国密浏览器通过HTTPS协议访问前台应用系统
D、管理员从办公内网使用国密浏览器通过HTTPS协议访问后台管理系统
3963
单项选择题 关于云平台“被部分评估的支撑能力”描述错误的是( )。
A、“被部分评估的支撑能力表”只在云平台测评时填写
B、“被部分评估的支撑能力表”包含有适用条件的量化评估和风险分析
C、被部分评估的支撑能力只需在云平台测评
D、被部分评估的支撑能力主要指的是对云上应用提供的密码支撑服务
3964
单项选择题 政务信息系统中,已经确定的测评对象是政务外网IPSec VPN与IPSec VPN之间的通信信道,则其场景是()。
A、用户从政务外网使用非国密浏览器通过HTTPS协议访问前台应用系统
B、系统管理员从互联网访问SSL VPN运维设备
C、管理员从办公内网使用国密浏览器通过HTTPS协议访问后台管理系统
D、信息系统从政务外网通过IPSec VPN调用外部密码资源
3965
单项选择题 如果服务器只能进行本地运维,采用用户名/口令方式进行身份鉴别,则可降低风险的缓解手段不包括( )。
A、基于特定设备识别技术保证用户身份的真实性
B、机房测评合规且有严格的机房管理制度
C、基于生物指纹技术保证用户身份的真实性
D、服务器单独安装在具有良好安防措施的密闭区域且只有运维人员才有权限访问
3966
单项选择题 某一信息系统部署了5台IPSec VPN,均具有商用密 码 产 品 认 证 证 书 , 其 中 3 台 编 号 均 为 GM001110620202027 , 2 台 编 号 为GM001110620202036 , 设备和计算安全层面有()个IPSEC VPN测评对象。
A、2
B、3
C、5
D、8
3967
单项选择题 某机关办公OA信息系统面向机关内所有办公人员提供服务,信息系统系统通过管理员进行运行维护。
经测评,如果办公人员身份鉴别判定为不符合,管理员身份鉴别判定为符合,针对应用和数据层面的“身份鉴别”测评单元,最终判定结果为()。
A、部分符合
B、符合
C、不符合
D、不适用
3968
单项选择题 对于已更换商用密码产品认证证书的密码产品如果未标注密码模块安全等级,以下描述错误的是( )。
A、需要进一步提供换证前的商用密码产品型号证书
B、需要确认换证前的商用密码产品型号证书的安全等级是否符合要求
C、未提供安全等级证明的按照“密码产品等级不符合”进行判定
D、提供密码产品的密钥管理安全措施方案,证明其符合安全要求,并按 “密码产品等级符合”判定
3969
单项选择题 具有商用密码产品认证证书的密码产品,且实际部署与认证通过时的状态一致的情况下,对密码产品可以直接判定为符合的指标是( )。
A、身份鉴别
B、系统资源访问控制信息完整性
C、日志记录完整性
D、重要可执行程序完整性、重要可执行程序来源真实性
3970
单项选择题 管理员在互联网通过SSL VPN接入系信息统内网,再登录堡垒机后采用SSH协议对设备进行远程管理,则在网络和通信安全层面的测评对象为()。
A、浏览器与SSL VPN之间的通信信道
B、堡垒机与设备之间的通信信道
C、浏览器与堡垒机之间的通信信道
D、浏览器与设备之间的通信信道
3971
单项选择题 某信息系统部署在公有云平台的独立VPC内,管理员在互联网通过浏览器访问云平台的堡垒机对设备进行远程管理,则在网络和通信安全层面的测评对象为()。
A、堡垒机与设备之间的通信信道
B、浏览器与堡垒机之间的通信信道
C、浏览器与设备之间的通信信道
D、设备与设备之间的通信信道
3972
单项选择题 某信息系统的安全等级为第三级,被测单位认为网络与通信安全层面的安全接入认证不适用,则应在设计密码应用方案时()。
A、不需要明确说明安全接入认证指标的不适用性
B、需要明确说明安全接入认证指标的不适用性,并且需要采取风险控制措施
C、需要明确说明安全接入认证指标的不适用性,但不需要采取风险控制措施
D、无法作为不适用项
3973
单项选择题 如果被测信息系统所在的物理机房采用多区域部署或被测信息系统重要资产分布在不同的物理机房中,物理和环境测评对象包括()。
A、仅密码设备所在机房
B、所有该信息系统涉及的机房
C、主机房
D、具有门禁和视频监控系统的机房
3974
单项选择题 对信息系统应用和数据安全层面测评时,针对日志记录完整性的测评对象包括应用系统、密码产品、技术文档和()。
A、安全审计员
B、系统管理员
C、系统操作员
D、保密员
3975
单项选择题 对第三级信息系统的密钥管理安全进行测评时,其测评对象主要包括密钥管理制度、应用系统、密码产品和()。
A、系统操作员
B、系统管理员
C、安全审计员
D、密钥管理人员
3976
多项选择题 以下属于云平台被完全评估的支撑能力的是()。
A、云机房
B、密码设备
C、服务器实体机
D、虚拟密码设备
3977
多项选择题 密评人员在测评中,发现某密码产品有商用密码产品认证证书,但认证证书已经过期,测评人员应该( )。
A、核查密码产品的安全等级
B、核查相关的密钥管理制度
C、如果该密码产品产生的密钥在密码产品外管理,核查相应的保护措施
D、核查购买该密码产品的合同
3978
多项选择题 信息系统可采用以下密码产品保护其应用和数据安全层面的安全:()
A、利用智能密码钥匙、智能 IC 卡、动态令牌等作为用户登录应用的凭证。
B、利用服务器密码机等设备对应用系统指定的重要数据进行加密和计算消息杂凑后传输,实现对重要数据(在应用和数据安全层 面)在传输过程中的保密性和完整 性保护。
C、利用服务器密码机等设备对重要数据进行加密、计算 MAC 或签名后存储在数据库中,实现对重要数据在存储过程中的保密性和完整性保护。
D、利用签名验签服务器、智能密码钥匙、电子签章系统、时间戳服务器等设备实现对可能涉及法律责任认定的数据原发、接收行为的不可否认性
3979
多项选择题 一般情况下,以下不是设备和计算安全层面测评对象的是()。
A、交换机
B、网闸
C、应用服务器
D、防火墙(不含密码功能)
3980
多项选择题 某银行金融业务系统重要资产分布在北京主机房、上海业务机房以及苏州灾备机房中,测评时物理和环境测评对象包括()。
A、北京主机房
B、上海业务机房
C、苏州灾备机房
D、用户终端所在办公室
3981
多项选择题 设备和计算层面的测评对象主要包括以下哪些()。
A、通用服务器(如应用服务器、数据库服务器)
B、数据库管理系统
C、整机类和系统类的密码产品
D、堡垒机(当系统使用堡垒机用于对设备进行集中管理 时,不涉及应用和数据安全层面)
3982
多项选择题 对信息系统进行测评时,针对整机类密码产品(如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以下表述正确的是()。
A、以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象
B、具有同一商用密码产品认证证书的密码产品作为一个测评对象
C、同一厂家密码产品作为一个测评对象
D、对密码产品类测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分
3983
多项选择题 对于符合 GM/T 0036-2014《采用非接触卡的门禁系统密码应用技术指南》标准的电子门禁系统,在密评时,以下表述正确的是()。
A、需要核实是否采用并正确应用了经检测认证合格的电子门禁系统
B、按照密评相关标 准,需要门禁系统厂商进一步提供门禁系统进出记录数据存储完整性保护的相关证据
C、按照密评相关标 准,需要门禁系统厂商进一步提供门禁系统进出记录数据存储机密性保护的相关证据
D、门禁卡发卡系统可不纳入测试范围
3984
多项选择题 某些信息系统只能在本地进行设备登录运维,但是设备部署在相对安全的机房内部。
仅进行本地运维的设备时,针对设备和计算安全层面的“身份鉴别”和“远程管理通道安全”进行测评时,以下表述正确的是()。
A、测评机构需要首先核实设备确实仅进行本地运行,关闭了对外运维的接口
B、确保本地端口有效前提下,该测评对象的“远程管理通道安全”测评指标可作为不适用项
C、“身份鉴别”测评指标为适用项
D、在对“身份鉴别”测评指标进行测评时,若本地运维均未采用密码技术对登录设备的用户进行身份鉴别,则该测评对象的测评结果为不符合
3985
多项选择题 以下选项中,通常可作为设备和计算安全层面测评对象的是()。
A、应用服务器
B、数据库服务器
C、数据库管理系统
D、防火墙(不具备密码功能)
3986
多项选择题 管理员在互联网通过SSL VPN接入系统内网,登录堡垒机后采用SSH协议或Telnet协议对设备进行远程管理,则在设备和计算安全层面“远程管理通道安全”分析内容为()。
A、访问SSL VPN时使用的HTTPS协议
B、访问堡垒机时使用的HTTPS协议
C、访问设备时使用的SSH协议
D、访问设备时使用的Telnet协议
3987
多项选择题 某信息系统部署在公有云平台的独立VPC内,通过云平台的堡垒机对设备进行远程管理,则在设备和计算安全层面“远程管理通道安全”测评单元的测评对象为()。
A、堡垒机与设备之间的通信信道
B、浏览器与堡垒机之间的通信信道
C、浏览器与设备之间的通信信道
D、设备与设备之间的通信信道
3988
多项选择题 某电商平台包括用户注册业务和商品交易业务两大类,以下选项中属于应用和数据安全层面的测评时关注的内容的是()。
A、用户注册业务
B、商品交易业务
C、交易订单数据
D、用户浏览记录
3989
多项选择题 以下选项中,属于应用和数据安全层面的重要数据的是()。
A、鉴别数据
B、重要业务数据
C、重要审计数据
D、个人敏感信息
3990
多项选择题 某电商平台用户需使用合规的智能密码钥匙才能登录,则在应用和数据安全层面“身份鉴别”测评单元的测评对象主要包括()。
A、电商平台
B、智能密码钥匙
C、应用服务器
D、数据库服务器
3991
多项选择题 某电商平台用户需使用合规的智能密码钥匙才能登录平台,平台采用HTTPS协议进行访问,则在应用和数据安全层面“重要数据传输机密性”测评单元的测评对象主要包括()。
A、电商平台
B、智能密码钥匙
C、提供机密性保护的服务器密码机
D、数据库服务器
3992
多项选择题 某电商平台用户需使用合规的智能密码钥匙才能登录,平台通过调用服务器密码机对用户注册信息采用SM4算法进行加密存储,则在应用和数据安全层面“重要数据存储机密性”测评单元的测评对象主要包括()。
==A、用户注册信息 ==
B、智能密码钥匙
C、服务器密码机
D、数据库服务器
3993
多项选择题 某信息系统中部署的密码产品包括SSL VPN、服务器密码机等,系统通过堡垒机对服务器进行运维,通过防火墙(不含密码功能)对网络进行访问控制,则设备和计算安全层的测评对象包括()。
A、SSL VPN
B、服务器密码机
C、防火墙(不含密码功能)
D、堡垒机
3994
多项选择题 某信息系统中部署的密码产品有包括SSL VPN、服务器密码机、智能密码钥匙等,系统通过堡垒机对服务器进行运维,通过防火墙(不含密码功能)对网络进行访问控制,则设备和计算安全层的测评对象包括()。
A、服务器
B、服务器密码机
C、防火墙(不含密码功能)
D、堡垒机
3995
多项选择题 一般情况下,以下哪些不是设备和计算层面的测评对象()。
A、防火墙
B、WAF
C、网闸
D、数据库
3996
多项选择题 某整机类密码产品经确认为经检测认证合格的商用密码产品,则在设备和计算安全层面,针对该密码产品的测评,哪些可直接判定为符合()。
A、身份鉴别
B、系统资源访问控制信息完整性
C、重要可执行程序的完整性
D、日志记录完整性
3997
多项选择题 堡垒机使用合规的智能密码钥匙进行身份鉴别,对通用服务器、数据库进行统一管理,针对通用服务器和数据库采用用户名+口令方式实现身份鉴别的情况,以下关于通用服务器、数据库身份鉴别判定合理的是()。
A、判定通用服务器和数据库为部分符合
B、判定通用服务器和数据库为不符合
C、判定通用服务器和数据库采取了风险缓解措施
D、判定通用服务器和数据库为高风险
3998
多项选择题 通常可以从以下哪些方面来确定网络和通信安全层面的测评对象()。
A、通信主体
B、网络类型
C、网络协议
D、通信模式
3999
多项选择题 通过通信主体来确定网络和通信安全层面的测评对象时,以下关于通信主体的描述, 正确的是()。
A、参与通信的各方,典型的如客户端与服务端
B、PC机上运行的浏览器与服务器上运行的web服务系统
C、移动智能终端上运行的APP与服务器上运行的应用系统
D、服务端与服务端,例如,IPSec VPN与 IPSec VPN之间
4000
多项选择题 某网上银行系统通过互联网向其用户提供各种金融服务,用户通过PC端安全浏览器或网银APP进行访问,数据中心部署了SSL VPN网关和应用服务器,以下属于在网络和通信安全层面的测评对象的是()。
A、安全浏览器和SSL VPN 网关
B、SSL VPN网关与应用服务器建立的通信信道
C、安全浏览器与SSL VPN网关建立的通信信道
D、网银APP与SSL VPN网关建立的通信信道
更多推荐
【密评】商用密码应用安全性评估从业人员考核题库(十六)
发布评论