2024商用密码应用安全性评估从业人员考核题库_商用密码应用安全性评估从业人员考核试题及答案

481.信息系统中使用的用于业务数据保护的密钥，以下做法不正确的是（）。
482.某三级信息系统已运行5年，针对“建设运行”部分的“定期开展密码应用安全性评估及攻防对抗演习”指标开展测评时，以下（）可以作为测评证据。
483.在电子不停车收费系统（ETC）中，车辆通过办理和安装ETC卡，实现车辆在高速收费站的流水数据的产生、传输和缴费等功能。
484.以下关于用户密钥的存储方式，说法正确的是（）。
485.对某政务外网信息系统开展测评时，网络和通信安全层面的测评对象可包括（）。
486.测评人员在核查“真实性”密码功能时，可能需要关注以下内容（）。
487.测评人员在核查“传输完整性”密码功能时，可能需要关注以下内容（）。
488.重要数据存储完整性可以通过以下（）密码技术实现。
489.测评人员在核查“传输机密性”密码功能时，可能需要关注以下内容（）。
490.在测评某一信息系统时，其设备和计算安全层面可能涉及的测评对象有（）。
491.对于托管到IDC机房的信息系统，测评其物理和环境安全层面，较为合理的做法有（）。
492.密评人员在检查数据库中存储的口令杂凑值时，发现以下情况：（1）A和B有相同的口令杂凑值；（2）口令杂凑值长度均为256比特。
493.密评人员对SSLVPN进行测评时发现{0xe0，0x13}后，以下判断合理的是（）。
494.在对信息系统进行密钥管理测评时，以下存在风险的有（）。
495.如果设备登录需要使用智能密码钥匙，那么开展密评时，以下测评实施合理的包括（）。
496.在密评中，当IPSecVPN保护的通道作为测评对象时，以下测评实施合理的包括（）。
497.在密评中，当证书认证系统作为测评对象时，以下测评实施合理的包括（）。
498.某业务系统用户手机号利用SM3进行杂凑计算后，将得到完整的杂凑值存放在应用服务器的数据库中，那么对于“应用和数据安全”层面的“重要数据存储完整性”指标最多可以给（）分。
499.密评人员对SSLVPN进行测评时发现所使用的密码套件为{0xe0，0x13}后，以下判断不合理的是（）。
500.测评过程中，对信息系统网络边界内的用户与系统应用之间重要数据传输保护的测评属于（）安全层面的测评内容。
501.密评人员对SSLVPN进行测评时发现所使用的密码套件为{0xe0，0x11}，以下判断不合理的是（）。
502.在密评时，以下密码算法/技术的组合（）认为存在高危风险。
503.某三级信息系统的访问控制信息通过调用服务器密码机（通过商用密码产品检测认证）使用SM3withSM2数字签名算法计算签名值后，将访问控制信息与签名值一同保存在数据库中，但用户访问业务应用时未对访问控制信息的签名...
504.某三级信息系统客户端与服务端之间的网络通信信道使用TLSv1.2协议进行传输保护，使用的密码套件为TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384，记录层协议中使用（）算法进行通信数据机密性和完整性保护。
505.某信息系统有两个业务应用，其中应用A有管理员用户和操作员用户两类用户，分别采用用户名+口令和基于动态口令（经过检测认证的密码产品）的身份鉴别方式；应用B有管理员用户和业务员用户两类用户，均基于经过检测认证...
506.某三级信息系统通过SSLVPN建立远程管理传输通道，管理终端与SSLVPN之间传输协议使用的密码套件为ECC_SM4_GCM_SM3。
507.某三级信息系统通过堡垒机对通用服务器进行集中管理，其中管理员与堡垒机之间使用HTTP协议建立传输通道，堡垒机与通用服务器之间使用SSH2.0建立传输通道，因此针对“设备和计算安全”层面的“远程管理通道安全”指标...
508.某三级信息系统用户端与服务端之间进行通信时，只对服务端进行了基于密码的身份鉴别且身份鉴别机制有效，使用的签名算法为SM2withSM3，针对“网络和通信安全”层面的“身份鉴别”指标最高可以给（）分。
509.某三级信息系统，制定了密码安全应急策略，规定了相关应急事件处置措施和流程，明确了密码应用应急事件处置完成后及时向当地密码管理部门报告事件发生和处置情况。
510.某三级信息系统的系统管理员通过堡垒机登录通用服务器并对其进行远程管理，进入堡垒机后，系统管理员通过用户名+口令的方式访问通用服务器。