密评测试卷（⼀）

解析中P2指《商⽤密码应⽤与安全性评估》教材中的页码，有错的答案欢迎在评论区留⾔

第⼀部分：单择题（每⼩题2分，共60分）

1．密码是指采⽤_______对信息等进⾏加密保护、安全认证的技术、产品和服务 [单选题] *
A．数学变换的⽅法
B．移位变换的⽅法
C．特定变换的⽅法(正确答案)
D．点乘运算的⽅法
2．密码可以对信息实现_______保护。 [单选题] *
A．机密性
B．数据完整性
C．真实性和不可否认⾏
D．以上都是(正确答案)
3．密评是指在采⽤商⽤密码技术、产品和服务集成建设的⽹络与信息系统中，对其密码应⽤的_____进⾏评估 [单选题] *
A．合规性
B．正确性
C．有效性
D．以上都是(正确答案)
4. 在PDCA管理循环保证管理体系中，在计划（Plan)阶段，应详细梳理分析信息系统所包含的⽹络平台、应⽤系统和数据资源的信息保护
需求，并设计出具体的_______。 [单选题] *
A.密码应⽤安全需求
B.密码应⽤⽅案(正确答案)
C.密码应急⽅案
D.密评实施⽅案
５．下列不属于对称算法的是______ [单选题] *
A．SHAKE256(正确答案)
B．SM4
C. ZUC
D．RC4
６．SM2算法私钥长度是__________ [单选题] *
A．1024
B．256(正确答案)
C．128
D．512
７．SM4算法在进⾏密钥扩展过程中，总共会产⽣______轮密钥。 [单选题] *
A．16
B．32(正确答案)
C．8
D．64
８．以上分析密码的⼯作模式中，______加密过程⽆法并⾏化。 [单选题] *
A．CBC(正确答案)
B．ECB
C．CTR
D．BC
９．下列算法中，_____主要⽤于4G移动通信中移动⽤户设备和⽆线⽹络控制设备之间的⽆线链路上通信信令和数据的加密和解密。 [单选
题] *
A．SM4
B．128-EEA3(正确答案)
C．AES
D．3DES
10. 以下_____算法被国家密码管理局警⽰是有风险的算法。 [单选题] *
A．MD5
B．SHA-1
C．DES
D．以上都是(正确答案)
11.关于密钥⽣命周期，以下说法错误的是
[单选题] *
A．⼝令通过派⽣算法⽣成密钥，极⼤地降低了穷举搜索攻击的难度，因此这种密钥派⽣⽅式不推荐使⽤，尤其不能⽤于⽹络通信数据的保
护，仅在某些特定环境中使⽤。
B. 通信双⽅在密钥协商过程中，可以使⽤DH、MQV等算法获得⼀个共享秘密，该共享秘密⼀般不直接作为密钥，⽽是将该共享秘密作为
密钥材料利⽤KDF⽣成密钥。
C．在密钥导⼊和导出过程中，可以将密钥简单地截取成若⼲个分量，每个分量单独导出到密码产品外部。(正确答案)
D．密钥备份与密钥存储⾮常类似，只不过备份的密钥处于不激活状态（不能直接⽤于密码计算），只能完成恢复后才可以激活。
12. IPSEC VPN协议中，在______载荷中，协商了协议所使⽤的密码算法套件。 [单选题] *
A．SA(正确答案)
B．Nonce
C．随机数
D．证书
13. IPSEC VPN在主模式中会利⽤Nonce载荷等交换的数据⽣成基本密钥参数，基本密钥参数不包括下列__________ [单选题] *
A．⽤于产⽣会话密钥的密钥参数
B．⽤于验证完整性和数据源⾝份的⼯作密钥
C．⽤于加密的⼯作密钥
D．会话密钥(正确答案)
14. 下列_____协议⽆法穿越NAT [单选题] *
A．AH协议(正确答案)
B．ESP协议
C．TCP协议
D．UDP协议
15. 在SSL VPN协议中，________ 实现了服务端和客户端之间的⾝份鉴别。 [单选题] *
A. 握⼿协议(正确答案)
B．密码规格变更协议
C．报警协议
D．记录层协议
16. 以下_____技术可以实现信息的真实性保护 [单选题] *
A．MAC
B．PIN码
C．动态⼝令
D．以上都是(正确答案)
17. 密码法的中明确了_______的根本原则 [单选题] *
A．依法⾏政
B．简政放权
C．党管密码(正确答案)
D．事前监管
在密码法实施前，“⼀部涉及规范多项密码管理⼯作的法律”是指________ [单选题] *
A. 商⽤密码管理条例
B．电⼦签名法(正确答案)
C．⽹络安全法
D．⽹络安全等级保护条列
19. 以下说法错误的是? [单选题] *
A．密码法中规定⼤众消费类产品所采⽤的商⽤密码不实⾏进⼝许可和出⼝管制制度。
B．商⽤密码⼯作是密码⼯作的重要组成部分，商⽤密码可以⽤于保护属于国家秘密的信息。(正确答案)
C．商⽤密码应⽤安全性评估是商⽤密码检测认证体系建设的重要组成部分，是衡量商⽤密码应⽤是否合规、正确、有效的重要抓⼿。
D．国家密码管理部门负责全国的密码⼯作。县级以上地⽅各级密码管理部门负责本⾏政区域的密码⼯作。
20. ___⼈民政府应当将密码⼯作纳⼊本级国民经济和社会发展规划，所需经费列⼊本级财政预算。 [单选题] *
A．县级以上(正确答案)
B.市级以上
C．省级以上
D．部委
21. 以下说法正确的是： [单选题] *
A．⽹络与信息系统责任单位即⽹络与信息系统建设、使⽤、管理单位，是商⽤密码应⽤安全性评估的责任单位。
B．测评机构是商⽤密码应⽤安全性评估的承担单位，应当按照有关法律法规和标准要求科学、公正地开展评估。
C．国家密码管理负责指导、监督和检查全国的商⽤密码应⽤安全性评估⼯作；省（部）密码管理部门负责指导、监督和检查本地区、本部
门、本⾏业（系统）的商⽤密码应⽤安全性评估⼯作。
D．以上都正确。(正确答案)
22. 以下标准中，不属于密码基础类标准的是_______ [单选题] *
A．《SM4分组密码算法》
B．《密码术语》
C．《密码应⽤标识规范》
D.《密码设备应⽤接⼝规范》(正确答案)
23. 以下说法错误的是______ [单选题] *
A．商⽤密码产品按照形态可以划分为：软件、芯⽚、模块、板卡、整机、系统。
B．商⽤密码产品按照功能可划分为：密码算法类、数据加解密类、认证鉴别类、证书管理类、密钥管理类、密码防伪类和综合类。
C．密码产品检测检测机构按照《密码模块安全技术要求》对模块类产品实⾏分级检测，最⾼安全等级为密码模块三级。(正确答案)
D．密钥管理类产品主要是指提供密钥产⽣、分发、更新、归档和恢复等功能的产品，如密钥管理系统等，密钥管理类产品常以系统形
态出现。
24. 在IPSEC VPN协议中，SM4分组密码算法的属性值是_____ [单选题] *
A．128
B．129(正确答案)
C．20
D．2
25. 下列服务器密码机的密码接⼝中，_________ 是指使⽤内部存储的私钥进⾏签名 [单选题] *
A．SDF_InternalSign_ECC(正确答案)
B.SDF_OpenDevice
C．SDF_GenerateKeyWithEPK_ECC
D.SDF_Encrypt
26. 下列说法错误的是__________ [单选题] *
A．在数字证书认证系统中，CA可以提供数字证书⽣命周期管理服务。
B．RA负责⽤户证书申请、⾝份审核和证书下载。
C．GM/T 0022-2014《IPsec VPN技术规范》规定签名证书和加密证书可以为同⼀个证书。(正确答案)
D．在数字证书认证系统，应采取通信加密、安全通信协议等安全措施保障CA各⼦系统之间、CA与KM之间、CA与RA之间的安全通
信。
27. 从⼀张数字证书⽆法得到_______信息。 [单选题] *
A.证书⽤途
B．主体公钥信息
C．有效⽇期
D．证书签发机构公钥信息(正确答案)
28. 下列说法不正确的是________ [单选题] *
A．证书更新后，内容与原证书基本⼀样，甚⾄可以沿⽤以前的公钥，不同之处仅在序列号、⽣效和失效⽇期。
B．出于对私钥保密性的要求，⽤户私钥不可以在⽤户本地存储，只能存储在CA的KM中(正确答案)
C．⽬前我国的PKI系统中采⽤的是双证书体系。
D．数字证书不⼀定持续到失效⽇期，当⽤户个⼈信息发⽣变化或⽤户私钥丢失、泄漏，可以提出证书撤销请求。
29. IPSEC VPN在以下哪个阶段使⽤到数字信封技术 [单选题] *
A．算法套件协商过程
B．⾝份鉴别过程(正确答案)
C．协商内容确认过程
D．业务数据加密过程
30. 《密码法》⽴法精神________。 [单选题] *
A．坚持党管密码和依法管理相统⼀
B．坚持创新发展和确保安全相统⼀
C．坚持简政放权和加强管理相统⼀
D．以上都是(正确答案)

第⼆部分：简答题（每⼩题5分，共40分）

1、简述密评测评过程可能对被测系统带来的风险，以及相应规避措施 [填空题]
P300
测评⼯具可能影响系统正常运⾏，信息系统在测试时候可能泄露敏感信息，可能影响信息系统的可⽤⼼，保密性和完整性。
措施：与被测信息系统签署保密协议，加强被测⼈员的保密意识，签署保密协议
2、 简述密码测评过程 [填空题]
_p302图
测评准备活动：项⽬启动，信息收集和分析，⼯具和表单准备
⽅案编制：测评对象确定，测评指标确定，测评检查点确定，测评内容，测评⽅案编制。
现场测评活动：现场测评准备，现场测评和结果记录（确认整体密码部署是否合规，实施检查密码配置是否正确，授权接⼊系统后确认密码
使⽤是否有效）
分析与报告编制活动：单元测评结果判定，整体测评，风险分析，测评结论形成，测评报告编制。
3、简述机构质量管理体系 [填空题]
P292详细
安全管理评测，
制度管理：应制定密码安全管理制度及操作规范。
⼈员管理：了解密码遵守密码相关法律法规，正确使⽤密码产品，密钥管理员（四级信息系统要求）
4、简述密评实施过程中对VPN产品和安全认证⽹关测评⽅法
P270
（1）利⽤端⼝扫描，探测IPSec VPN和SSL VPN端⼝是否开启，IPSec服务对应的UDP端⼝是500,4500，SSL VPN常⽤端⼝TCP
445端⼝。
（2）利⽤通信协议分析⼯具：抓取IPSec协议IKE阶段，SSL协议握⼿阶段的数据报⽂，解析密码算法和密码套件标识是否属于已发布标准
的商⽤密码算法。IPSec协议SM4算法标识为129，SM3标识20，SM2算法标识为2(详细P206)。
（3）协议分⼯具导出证书，查看证书内容，检测证书是否合规
5、简述密评实施过程中对密码机的测评⽅法 [填空题]
P270
（1）利⽤协议分析⼯具，抓取应⽤系统调⽤密码机指令报⽂，验证是否符合预期（如频率是否正常，调⽤的指令是否正确）
（2）管理员登陆密码机，查看相关系统配置，检查内部存储的密钥是否对应合规的密码算法，密码算法计算是否正确
（3）管理员登陆密码机查看⽇志⽂件，检查密钥管理，密码计算相关的⽇志记录是否完整合规
6、 简述针对系统真实性的测评⽅法 [填空题]
P273
（1）如果信息系统使⽤外接密码产品，对密码产品的真实性进⾏鉴别，如密码钥匙，安全认证⽹关，动态令牌
（2）对于不能复⽤的密码产品检测结果，查看实体鉴别协议是否符合GB/T15843中的要求，特别对于挑战-响应鉴别协议，可以通过协议
抓包分析，验证每次挑战值得不同
（3）数字证书和静态⼝令
7、描述主机和计算安全测评要求、测评对象和测评⽅法 [填空题]
P279-286