《2022年商用密码应用与安全性评估密评测试卷及答案(一)》由会员分享,可在线阅读,更多相关《2022年商用密码应用与安全性评估密评测试卷及答案(一)(19页珍藏版)》请在装配图网上搜索。
1、2022年商用密码应用与安全性评估密评测试卷及答案(一)第一部分:单择题(每小题2分,共60分)1. 密码是指采用对信息等进行加密保护、安全认证的技术、产品和服务单选题*A. 数学变换的方法B移位变换的方法C. 特定变换的方法(正确答案)D. 点乘运算的方法2. 密码可以对信息实现保护。单选题*A. 机密性B. 数据完整性C. 真实性和不可否认行D. 以上都是(正确答案)3. 密评是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的进行评估单选题*A. 合规性B. 正确性C. 有效性D. 以上都是(正确答案)4. 在PDCA管理循环保证管理体系中,在计划(Plan)阶段
2、,应详细梳理分析信息系统所包含的网络平台、应用系统和数据资源的信息保护需求,并设计出具体的。单选题*A. 密码应用安全需求B. 密码应用方案(正确答案)C. 密码应急方案D. 密评实施方案5.下列不属于对称算法的是单选题*A. SHAKE256(正确答案)B. SM4C. ZUCD. RC46. SM2算法私钥长度是单选题*A. 1024B.256(正确答案)C.128D.5127. SM4算法在进行密钥扩展过程中,总共会产生轮密钥。单选题*A. 16B. 32(正确答案)C. 8D. 648以上分析密码的工作模式中,加密过程无法并行化。单选题*A. CBC(正确答案)B. ECBC. CTR
3、D. BC9. 下列算法中,主要用于4G移动通信中移动用户设备和无线网络控制设备之间的无线链路上通信信令和数据的加密和解密。单A.SM4B. 128-EEA3(正确答案)C. AESD. 3DES10. 以下算法被国家密码管理局警示是有风险的算法。单选题*A. MD5B. SHA-1C. DESD. 以上都是(正确答案)11关于密钥生命周期,以下说法错误的是单选题*A. 口令通过派生算法生成密钥,极大地降低了穷举搜索攻击的难度,因此这种密钥仅在某些特定环境中使用。B. 通信双方在密钥协商过程中,可以使用DH、MQV等算法获得一个共享秘密,该材料利用KDF生成密钥。C. 在密钥导入和导出过程中,
4、可以将密钥简单地截取成若干个分量,每个分量单独D. 密钥备份与密钥存储非常类似,只不过备份的密钥处于不激活状态(不能直接用12.IPSECVPN协议中,在载荷中,协商了协议所使用的密码算法套件。单选题*A. SA(正确答案)B. NonceC. 随机数D. 证书13. IPSECVPN在主模式中会利用Nonce载荷等交换的数据生成基本密钥参数,基本密钥参数不包括下列单选题*A. 用于产生会话密钥的密钥参数B. 用于验证完整性和数据源身份的工作密钥C. 用于加密的工作密钥D. 会话密钥(正确答案)14. 下列协议无法穿越NAT单选题*A. AH协议(正确答案)B. ESP协议C. TCP协议D.
5、 UDP协议实现了服务端和客户端之间的身15.在SSLVPN协议中,份鉴别。单选题*A.握手协议(正确答案)B. 密码规格变更协议C报警协议D. 记录层协议16. 以下技术可以实现信息的真实性保护单选题*A. MACB. PIN码C. 动态口令D. 以上都是(正确答案)17. 密码法的中明确了的根本原则单选题*A. 依法行政B. 简政放权C. 党管密码(正确答案)D. 事前监管在密码法实施前,“一部涉及规范多项密码管理工作的法律”是指单选题*A. 商用密码管理条例B. 电子签名法(正确答案)C. 网络安全法D. 网络安全等级保护条列19. 以下说法错误的是?单选题*A. 密码法中规定大众消费类
6、产品所采用的商用密码不实行进口许可和出口管制制度B. 商用密码工作是密码工作的重要组成部分,商用密码可以用于保护属于国家秘密C. 商用密码应用安全性评估是商用密码检测认证体系建设的重要组成部分,是衡量D. 国家密码管理部门负责全国的密码工作。县级以上地方各级密码管理部门负责本20. _人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。单选题*A. 县级以上(正确答案)B. 市级以上C. 省级以上D部委21.以下说法正确的是:单选题*A. 网络与信息系统责任单位即网络与信息系统建设、使用、管理单位,是商用密码B. 测评机构是商用密码应用安全性评估的承担单位,应当按照
7、有关法律法规和标准C. 国家密码管理负责指导、监督和检查全国的商用密码应用安全性评估工作;省本行业(系统)的商用密码应用安全性评估工作。D. 以上都正确。(正确答案)22.以下标准中,不属于密码基础类标准的是单选题*A. SM4分组密码算法B. 密码术语C. 密码应用标识规范D. 密码设备应用接口规范(正确答案)23.以下说法错误的是单选题*A. 商用密码产品按照形态可以划分为:软件、芯片、模块、板卡、整机、系统。B. 商用密码产品按照功能可划分为:密码算法类、数据加解密类、认证鉴别类、证C. 密码产品检测检测机构按照密码模块安全技术要求对模块类产品实行分级检D. 密钥管理类产品主要是指提供密
8、钥产生、分发、更新、归档和恢复等功能的产品24.在IPSECVPN协议中,SM4分组密码算法的属性值是单选题*A. 128B. 129(正确答案)C. 20D. 2是指使用内部存储25.下列服务器密码机的密码接口中,的私钥进行签名单选题*A. SDF_InternalSign_ECC(正确答案)B. SDF_OpenDeviceC. SDF_GenerateKeyWithEPK_ECCD. SDF_Encrypt26. 下列说法错误的是单选题*A. 在数字证书认证系统中,CA可以提供数字证书生命周期管理服务。B. RA负责用户证书申请、身份审核和证书下载。C. GM/T0022-2014IPs
9、ecVPN技术规范规定签名证书和加密证书可以为同一个证D. 在数字证书认证系统,应采取通信加密、安全通信协议等安全措施保障CA各子27. 从一张数字证书无法得到信息。单选题*A. 证书用途B. 主体公钥信息C. 有效日期D. 证书签发机构公钥信息(正确答案)28. 下列说法不正确的是单选题*A. 证书更新后,内容与原证书基本一样,甚至可以沿用以前的公钥,不同之处仅在B. 出于对私钥保密性的要求,用户私钥不可以在用户本地存储,只能存储在CA的C. 目前我国的PKI系统中采用的是双证书体系。D. 数字证书不一定持续到失效日期,当用户个人信息发生变化或用户私钥丢失、泄29.IPSECVPN在以下哪个
10、阶段使用到数字信封技术单选题*A. 算法套件协商过程B. 身份鉴别过程(正确答案)C. 协商内容确认过程D. 业务数据加密过程30.密码法立法精神。单选题*A. 坚持党管密码和依法管理相统一B. 坚持创新发展和确保安全相统一C. 坚持简政放权和加强管理相统一D. 以上都是(正确答案)第二部分:简答题(每小题5分,共40分)1、简述密评测评过程可能对被测系统带来的风险,以及相应规避措施填空题P300测评工具可能影响系统正常运行,信息系统在测试时候可能泄露敏感信息,可能影响信息系统的可用性,保密性和完整性。0措施:与被测信息系统签署保密协议,加强被测人员的保密意识,签制度管理:应制定密码安全管理制
11、度及操作规范。钥管理员(四级信息系统要求)署保密协议2、简述密码测评过程填空题_p302图测评准备活动:项目启动,信息收集和分析,工具和表单准备方案编制:测评对象确定,测评指标确定,测评检查点确定,测评内容,测评方案编制。现场测评活动:现场测评准备,现场测评和结果记录(确认整体密码部署是否合规,实施检查密码配置是否正确,授权接入系统后确认密码使用是否有效)分析与报告编制活动:单元测评结果判定,整体测评,风险分析,测评结论形成,测评报告编制。3、简述机构质量管理体系填空题P292详细安全管理评测,人员管理:了解密码遵守密码相关法律法规,正确使用密码产品,密4、简述密评实施过程中对VPN产品和安全
12、认证网关测评方法P270(1)利用端口扫描,探测IPSecVPN和SSLVPN端口是否开启,IPSec服务对应的UDP端口是500,4500,SSLVPN常用端口TCP445端口。(2)利用通信协议分析工具:抓取IPSec协议IKE阶段,SSL协议握手阶段的数据报文,解析密码算法和密码套件标识是否属于已发布标准的商用密码算法。IPSec协议SM4算法标识为129,SM3标识20,SM2算法标识为2(详细P206)。(3)协议分工具导出证书,查看证书内容,检测证书是否合规5、简述密评实施过程中对密码机的测评方法填空题P270(1)利用协议分析工具,抓取应用系统调用密码机指令报文,验证是否符合预期
13、(如频率是否正常,调用的指令是否正确)(2)管理员登陆密码机,查看相关系统配置,检查内部存储的密钥是否对应合规的密码算法,密码算法计算是否正确关的日志记录是否完整合规,z:-t(3)管理员登陆密码机查看日志文件,检查密钥管理,密码计算相6、简述针对系统真实性的测评方法填空题P273(1) 如果信息系统使用外接密码产品,对密码产品的真实性进行鉴别,如密码钥匙,安全认证网关,动态令牌(2) 对于不能复用的密码产品检测结果,查看实体鉴别协议是否符合GB/T15843中的要求,特别对于挑战-响应鉴别协议,可以通过协议抓包分析,验证每次挑战值得不同(3) 数字证书和静态口令7、描述主机和计算安全测评要求、测评对象和测评方法填空题P279-286
2022年商用密码应用与安全性评估密评测试卷及答案(一)
