商用密码知识测验题库 (二)
解析中p2指《商用密码应用与安全性评估》教材中的页码,有错的答案欢迎在评论区留言
填空题(每空1分,共40空,计40分)
1、密码是指采用____特定变换____的方法对信息等进行__加密保护______、______安全认证_____的______技术_、__产品______和__服务__________。
.jpg)
2、在我国,密码分为_________核心密码____、__普通密码____________、____商用密码________,其中商用密码用于保护不属于国家秘密的信息。
3、______密码算法______是实现密码对信息进行“明”“密”变换、产生认证“标签”的一种特定规则。不同的密码算法实现不同的变换规则:______加密______算法实现从明文到密文的变换;________解密_____算法实现从密文到明文的变换;____数字签名_____算法实现类似于手写签名的功能;_____杂凑_______算法实现任意长消息压缩为固定长摘要的功能。
4、密码可以实现信息的____机密性______、信息来源的___真实性_______、数据的_____完整性_____、行为的___不可否认_______。
5、密钥管理是指根据安全策略,对密钥的____产生___、_分发_____、存储______、___更新___、__归档____、____撤销__、_备份_____、恢复和销毁等密钥生命周期的管理。
6、 商用密码密码应用安全性评估(简称“密评”)是指在采用商用密码技术、产品和服务集成建设的网络与信息系统中,对其密码应用的_____正确性_____、______合规性____、_______有效性___等进行评估。
7、商用密码产品按功能可以划分为七类:密码算法类、____数据加密类_____、___认证鉴别类______、密钥管理类_________、证书管理类、密码防伪类和综合类。p151
8、_____国家密码局或国家密码管理局__________负责管理全国的密码工作。
9、《国家政务信息化项目管理建设办法》(国办发【2019】57号文)第十五条规定:项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求,_同步规划_______、同步建设__、_同步运行密码保障系统并__定期进行安全性评估__。p114
10、gm/t0054-2018 《信息系统密码应用基本要求》中密码技术应用要求包括:_____物理和环境________安全、___网络与通信__________安全、___设备与计算__________安全、____应用与数据_________安全。
11、________核心密码__、_____普通密码______属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对__核心密码________、__普通密码_________实行严格统一管理。
12、涉及__国家安全_______、___国际民生_______、____社会公共利益_______应当列入关键信息基础设施。
13、《网络安全法》要求应实行网络安全等级保护制度,采取监测、记录网络运行状态、网络安全事件的技术措施,并按照规定留存相关的网络日志不少于___6___个月。
14、《网络安全法》要求应实行网络安全等级保护制度,采取数据分类、重要数据备份和____加密_____等措施。
15、密码测评中的_____应_代表必须做,__宜_____代表有条件的情况下可以做一般情况下可不做,____可____代表一般情况下可不做。
16、数字签名算法有____md5____、___sha_____、____sm3____。
17、等保中等级划分为__五_____个等级。
18、电信网、水利系统、电力系统属于____关键信息基础设施__________。
19、“没有网络安全就没有国家安全,没有信息化就没有现代化”这句话是由_习近平_______提出。
20、网络信息安全的牵头人是___习近平_______。
21._____核技术______、______航天技术______、______密码技术________是国家安全三大技术
判断题(每题1.5分,共20道题,计30分)
1.任何单位或者个人都可以使用商用密码产品 ( × )
任何单位或个人只能使用经国家密码管理机构认可的商用密码产品,不得使用自行研制或境外生产的密码产品。
2、简单的说,密码学中的“明文”是指没有经过加密的信息;而“密文”是指已经加了密的信息。 ( √ )
3、为了保证安全性,密码算法应该进行保密。 ( × )
4、用密码管理机构的工作人员滥用职权、玩忽职守、徇私舞弊,构成犯罪的,依法追究刑事责任;尚不构成犯罪的,依法给予行政处分。 ( √ )
5、伪造、冒用、盗用他人的电子签名,构成犯罪的,依法追究刑事责任;给他人造成损失的,依法承担民事责任。 ( √ )
6、商用密码的科研、生产、销售、服务和进出口,不得损害国家安全、社会公共利益或者他人合法权益。 ( √ )
7、核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为机密级,普通密码保护信息的最高密级为秘密级。 ( × )
核心密码是用于保护国家绝密级、机密级、秘密级信息的密码。
普通密码是用于保护国家机密级、秘密级信息的密码
8、商用密码用于保护不属于国家秘密的信息。 ( √ )
9、任何组织或个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。 ( √ )
10、密码管理部门因工作需要,按照国家有关规定,可以提请公安、交通运输、海关等部门对核心密码、普通密码有关物品和人员提供免检等便利,有关部门应当予以协助。 ( √ )
11、涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品名录,由具备资格的机构检测认证合格后,方可销售或者提供。 ( √ )
12、商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。 (√ )
13、sm2、sm4、zuc算法都是对称密码算法。 (× )
14、gb/t39786-2021 《信息安全技术 信息系统密码应用基本要求》属于密码行业标准,于2021年3月9日发布,2021年10月1日实施。 ( √ )
15、《中华人民共和国密码法》由中华人民共和国第十三届全国人民代表大会常务委员会第十四次会议于2020年10月26日通过,自2021年1月1日起实行。 ( × )
2019年10月26号 正式通过,2020年1月1号起实行
16、一般来说,云密码机可以虚拟出多数量、多种类的密码功能设备(√ )17、安全认证网关是采用数字证书为应用系统提供用户管理、身份鉴别、单点登录、传输加密、访问控制和安全审计服务等功能的产品,保证了网络资源的安全访问。p200 ( √ )
18、目前,湖南省内能开展密评的机构为中安密码检测(长沙)有限公司和湖南金盾信息安全等级保护评估中心有限公司。 ( √ )
19、目前,我国密码算法国际标准化工作取得重大突破,zuc算法已成为4g国际标准,sm2、sm3、sm9成为了iso/iec国际标准,sm4算法国际化推进工作也正在有序展开。( √ )
20、对称密码算法的加密和解密密钥不相同。 ( × )
21、市级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入本级财政预算。解析:应该是县级以上 ( × )22、在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用商用密码进行加密保护、安全认证。
解析使用核心密码,普通密码( × )
23、网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。 ( √ )
24、国家要求关键信息基础设施以外的网络运营者必须参与关键信息基础设施保护体系。
解析关键信息基础设施以外的网络运营者自愿参与( × )
25、网络安全法的实施日期是2017年6月1日 (√ )
26、关键信息基础设施、网络安全等级保护第三级及以上信息系统,至少每两年进行评估一次商密评估。 解析是每年 ( × )
27、等保三级以上强制实施密评,密评通过后才可上线运行。 ( √ ) 28、在工作中为了效率更高,密钥可以交给他人使用 。( × )
29、rsa、des、3des、aes、sha都属于公钥体系算法。 ( × )
30、rsa属于公钥体系中的商密算法。 ( × )
31、des、3ed、aes、sm4属于对称算法。 ( √ ) 32、sm3属于杂凑算法。 ( √ ) 33、如果一个单位的信息化系统出现安全事件,并引起了社会的广泛关注,第一责任人是单位的信息中心。
主管部门负责人是第一负责人 ( × )
34、电子签章系统必须要配一台密码机做为支撑。 ( √ ) 35、密码四性中的不可否认性可以用密码机来实现。 (× ) 三、单选题
1、密码安全教育以学习宣传贯彻_a__为重要抓手,面向不同人群,开展不同形式的密码安全教育。 a.《密码法》 b.密码学理论 c.信息安全知识 d.网络安全知识
2、国家密码管理部门和有关部门制定印发了核心密码、普通密码管理的一系列法规制度和标准规范,对核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁等各个环节实行__d_的严格统一管理。 a.全封闭 b.全开放 c.半生命周期 d.全生命周期
3、我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息
系统、全国中小学学籍管理系统中,都应用__c_技术构建了密码保障体系。a.核心密码b.普通密码c.商用密码d.工作密码4、我国密码算法首次成为国际标准是下列哪个算法。aa.祖冲之算法b.sm2c.sm3d.sm45、商用密码行业标准是d__。a.国际标准b.强制性标准c.国家规定d.推荐性标准6、密码工作人员按照涉密程度实行_d。a.分区域管理b.分行业管理c.分专业管理d.分类管理7、密码工作人员离岗离职实行_b__。a.社会化管理b.脱密期管理c.用人单位管理d.国家管理8、涉及国家安全、国计民生、社会公共利益的商用密码产品与使用网络关键设备和网络安全专用产品的商用密码服务实行_d__检测认证制度。a.非强制性b.自愿接受c.鼓励式
d.强制性9、商用密码产品检测认证适用《中华人民共和国网络安全法》的有关规定,避免_a__检测认证。a.重复b.缺乏c.无效d.强制性10、密码管理部门和密码工作机构应当建立健全严格的__a_制度,对其工作人员遵守法律和纪律等情况进行监督,并依法采取必要措施,定期或者不定期组织开展安全审查。a.监督和安全审查b.经费审计c.检测认证d.安全检查11、商用密码的科研、生产、销售、服务、进出口,不得损害_d___。a.国家安全b.社会公共利益c.他人合法权益d.以上全都是12、截至2019年12月,我国商用密码从业单位已达__d____。a.100多家b.200多家c.500多家d.1000多家13、____a__,是指数据电文中以电子形式所含、所附用于识别签名人身份并标明签名人认可其中内容的数据。a.数字签名b.电子印章c.数字证书d.加密签名14、国务院标准化行政主管部门和__b_依据各自职责,组织制定商用密码国家标准、行业
标准。a.密码业务部门b.国家密码管理部门c.密码使用部门d.政府部门15、国家支持社会团体、企业利用自主创新技术制定__c_国家标准、行业标准相关技术要求的商用密码团体标准、企业标准。a.低于b.多于c.高于d.相当于16、我国___a_被采纳为新一代宽带无线移动通信系统(lte)国际标准。a.祖冲之算法b.sm2算法c.sm3算法d.sm4算法17、下面哪一种算法不需要密钥?da.sm2b.sm4c.zucd.sm318、密码学在信息安全中的应用是多样的,以下__a___不属于密码学的具体应用。a.网络协议生成b.完整性验证c.加密保护d.身份认证19、在生物特征认证中,不适宜于作为认证特征的是___d。a.指纹b.虹膜c.脸像
d.体重20、一个密码系统至少由明文、密文、加密算法、解密算法和密钥5部分组成,而其安全性是由___d决定的。a.加密算法b.解密算法c.加解密算法d.密钥21、基于通信双方共同拥有的但是不为别人知道的秘密,利用计算机强大的计算能力,以该秘密作为加密和解密的密钥的认证是__c_。a.公钥认证b.零知识认证c.共享密钥认证d.口令认证22、关于公钥和私钥,下列说法错误的是_d__。a.公钥可以用来加密b.私钥可以用来加密c.公私钥对密码算法是一种对称密码算法d.公钥一般是指公开的密钥,私钥一般是指不公开的密钥23、下列密码学方法不能用于文本加密的是_d__。a.desb.rsac.sm2d.sha24、关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照___c_的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。a.《中华人民共和国行政许可法》b.《中华人民共和国刑法》c.《中华人民共和国网络安全法》d.《中华人民共和国安全生产法》
25、关键信息基础设施的运营者违反《密码法》第二十七条第二款规定,使用未经安全审查或者安全审查未通过的产品或者服务的,以下法律责任错误的是_a___。a.没收违法产品和违法所得b.由有关主管部门责令停止使用c.处采购金额一倍以上十倍以下罚款d.对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款26、县级以上人民政府应当将密码工作纳入本级国民经济和社会发展规划,所需经费列入____c财政预算。a.中央b.上级c.本级d.下级27、商用密码检测、认证机构违反《密码法》第二十五条第二款、第三款规定开展商用密码检测认证的,由__b__会同密码管理部门责令改正或者停止违法行为,给予警告,没收违法所得。a.国家网信部门b.市场监督管理部门c.国务院商务主管部门d.海关总署28、关于《密码法》,下列说法错误的是:__d____。a.本法所说的密码并非由数字、字母和符号组成的登录或支付密码。b.县级以上的人民政府应当将密码工作所需经费列入本级财政预算c.采用日常监管和随机抽查相结合的商用密码事中事后监管制度d.核心密码、普通密码和商用密码用于保护属于国家秘密的信息。29、国家密码管理部门对采用商用密码技术从事电子政务电子认证服务的机构进行认定,会同有关部门负责政务活动中使用_b____、数据电文的管理。a.电子数据b.电子签名c.电子文档d.电子证照
30、密码是保障网络与信息安全___a___、______、______的手段。a.最有效、最可靠、最经济b.最有效、最便捷、最简易c.最简易、最科学、最有力d.最简易、最安全、最基础31、密码在网络空间中身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用,可实现信息的_____a_、______、数据的______和行为的______。a.机密性、真实性、完整性、不可否认性b.秘密性、确定性、完整性、不可替代性c.机密性、安全性、统一性、不可抵赖性d.秘密性、有效性、统一性、不可逆转性32、关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响_c__的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。a.政府安全b.信息安全c.国家安全d.网络安全33、不实行进口许可和出口管制制度的商用密码是_c__。a.涉及国家安全的商用密码b.涉及社会公共利益且具有加密保护功能的商用密码c.大众消费类产品所采用的商用密码d.涉及中国承担国际义务的商用密码
《密码法》第二十八条规定,国务院商务主管部门、国家密码管理部门依法对涉及国家安全、社会公共利益且具有加密保护功能的商用密码实施进口许可,对涉及国家安全、社会公共利益或者中国承担国际义务的商用密码实施出口管制。商用密码进口许可清单和出口管制清单由国务院商务主管部门会同国家密码管理部门和海关总署制定并公布。大众消费类产品所采用的商用密码不实行进口许可和出口管制制度。
34、《“十三五”国家信息化规划》指出,实现数据的加解密、d___验证,必须使用密码技术为其提供基础支撑。a.机密性b.可用性c.安全性d.完整性35、国家政务信息化工程全面推进安全可靠产品及国产密码应用,提高d___能力,切实保
障政务信息系统的安全可靠运行。a.安全保护b.应急处置c.风险防控d.自主保障36、国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的__c_,按照国家有关规定给予表彰和奖励。a.组织b.个人c.组织和个人d.工作人员
四、多选题(每题2分,共15道题,计30分)1、请选择如下哪些算法属于公钥密码算法(abc)a.sm2算法b.sm9算法c.rsa算法d.sm3算法2、在单个政务系统(含移动端用户)密码应用方案中标配的密码产品有哪些?(abcde)a.服务器密码机b.sslvpnc.签名验签服务器d.协同签名系统e.数字证书3、根据《信息系统密码应用基本要求》,在进行密码应用安全性评估时,测评人员需要对那几个方面进行核查?(abcd)a.密码算法b.密码技术c.密码产品d.密码服务4、哪些信息系统需要做密评?(abcde)a.基础信息网络:电信、广播、互联网等领域。b.重要信息系统:能源、教育、公安、医疗、社保、交通、金融等领域。c.重要工业控制系统:核设施、航空航天、电力、水利、油气、先进制造等领域。d.面向社会服务的政务信息系统:党政机关、使用财政资金的事业单位、团体组织等。e.等保三级以上的信息系统。5、以下各项中,与密码安全相关的法律包括哪些?(abcd)a.《密码法》b.《国家安全法》c.《网络安全法》d.《保守国家秘密法》6、为了___,保护公民、法人和其他组织的合法权益,制定《密码法》法。(abcd)a.规范密码应用和管理b.促进密码事业发展c.保障网络与信息安全d.维护国家安全和社会公共利益7、法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,____或者委托商用密码检测机构开展_____。(ab)a.自行b.商用密码应用安全性评估c.授权d.商用密码安全审查8、商用密码从业单位开展商用密码活动,应当符合有关法律、行政法规、商用密码______以及该从业单位_______的技术要求。国家鼓励商用密码从业单位采用商用密码推荐性国家标准、行业标准,提升商用密码的防护能力,维护用户的合法权益。(cd)
a.行业标准b.内部标准c.强制性国家标准d.公开标准9、发生核心密码、普通密码泄密案件的,由____、____建议有关国家机关、单位对直接负责的主管人员和其他直接责任人员依法给予处分或者处理。aba.保密行政管理部门b.密码管理部门c.公安部门d.国家网信部门10、密码标准体系框架从几个维度对密码标准进行刻画?(abc)a.技术维b.管理维c.应用维d.标准维11、实现信息来源的真实性的核心是鉴别。使用密码技术可以安全的实现对实体身份的鉴别,常用的鉴别方式包括哪些?(abcd)a.基于密码技术的鉴别机制b.基于静态口令的鉴别机制c.基于动态口令的鉴别机制d.基于生物特征的鉴别机制12、密码在网络空间中的重要作用包括哪些?(abcd)a.密码支撑构建网络空间安全防护综合体。b.密码助力打造网络空间数据共享价值链。c.密码推动形成网络空间安全系统生态圈。d.密码促进激发网络空间安全发展创造力。13、能够提供加解密服务的设备是哪些?(bcd)a.路由器b.pci密码卡c.u盾d.云密码机
14、电子签章系统可以应用在哪些领域?(abcd)a.电子公文b.电子合同c.电子证照d.电子票据15、密码技术应用中“物理和环境安全”的要求与实现要点包括哪些?(abc)a.采用密码技术实施对重要场所、监控设备等的物理访问控制b.采用密码技术对物理访问控制记录、监控信息等物理和环境的敏感信息数据实施完整性保护c.采用密码技术实现的电子门禁系统应当遵循gm/t0036-2014要求d.采用密码技术对连接到内部网络的设备进行安全认证16、以下哪些信息系统需要做密评?(abcd)a.电信网、广播电视网、互联网b.能源、教育、公安、测绘地理信息、社保、交通、卫生计生、金融等涉及国计民生和基础信息资源的重要信息系统。c.核设施、航空航天、先进制造、石油石化、油气管网、电力系统、交通运输、水利
枢纽、城市设施等重要工业控制系统。d.党政机关和使用财政性资金的事业单位和团体组织使用的面向社会服务的信息系统。e.等保二级以上系统17、以下哪些文件可以作为支撑商密项目的文件?(abacde)a.《金融和重要领域密码应用与创新发展工作规划(2018—2022年)》(厅字[2018]36号)b.《国家政务信息化项目建设管理办法》——国办发〔2019〕57号c.《密码法》d.《网络安全等级保护2.0》e.《网络安全法》18、新建系统密评测评包括哪些内容?(ac)a.方案评估b.系统整改c.系统评估d.安全运维19、已建系统密评测评包括哪些内容?(abcd)a.差距测评b.方案评估c.系统整改d.系统评估e.安全运维20、以下哪些可以作为密评的依据和标准(ac)a.《gm/t0054-2018信息系统密码应用基本要求》b.《gm/t0053-2018信息系统密码应用基本要求》c.《gb/t39786-2021信息系统密码应用基本要求》d.《gb/t39789-2021信息系统密码应用基本要求》21、以下哪些是商密项目中必配的产品(abcdefg)a.sslvpnb.密码机c.协同签名系统d.签名验签系统e.智能密码钥匙f.安全浏览器g.数字证书22、以下哪些属于商密体系中的算法(abcdf)a.sm1b.sm2c.zucd.sm3
e.sm8f.sm9g.md523、以下哪些属于数字证书系统中的双证书、双中心?(abdf)a.数字签名证书b.数据加密证书c.秘钥证书d.证书认证中心e.密钥管理中心f密钥检测中心24、密码工作坚持党的绝对领导,主要体现在:_abcd______a.密码工作的重大事项向中央报告,密码工作的重大决策由中央决定b.坚决贯彻执行中央关于密码工作的方针政策c.坚决落实中央确定的密码工作领导和管理体制d.充分发挥党的领导核心作用,各级党委(党组)和密码工作领导机构要认真履行党管密码的政治责任25、密码工作表彰奖励工作贯彻的方针有_abcd_____。a.尊重劳动b.尊重知识c.尊重人才d.尊重创造26、密码管理部门和有关部门、单位的工作人员在密码工作中出现__abcd____行为的,依法给予处分。a.滥用职权b.玩忽职守c.徇私舞弊d.非法向他人提供知悉的商业秘密和个人隐私27、下列选项中属于行政处分的方式有_abcd_____。a.警告b.记过、记大过c.降级、撤职
d.开除
五、问答题:
1、什么是关键信息基础设施?
涉及国家安全,社会公共利益,国计民生
2、什么是安全三同步一评估?为什么要做安全三同步一评估?
同步规划,同步建设,同步运行,密评
3、请简述密评中的合规性、正确性、有效性。
信息系统测评以及相关文件合规、正确的使用商用密码、技术产品、真正的密码设备用起来
3、请简述为什么要做密评?
开展密评是国家相关法律的明确要求,是网络安全运营者的责任和义务,密评是指采用密码技术产品,服务建设网络和信息系统中,对其密码的合规性,有效性,正确性进行评估。
5、请简述不做密评带来的后果。
受到行政处罚,预算无法通过,项目无法验收
6、请简述新建项目密评测评流程。
申请-评审-建设-测评-备案
7、密码四性有哪些?请简述密码四性。
机密性,完整性,真实性,不可否认性
8、请简述密码测评中的应、宜、可的要求。
应:必须做,宜:有条件可做,一般可以不做,可:一般情况下可以不做
9、请简述服务器密码机的作用。
p189服务器密码机作为通用型密码机产品,主要为应用提供最为基础和底层的密钥管理和密码计算服务,一类服务器密码机采用“工控机+pci/pci-e密码卡”的结构,另一类密码机采用硬件自主设计的而技术路线,将计算机主板的功能和密码芯片集成到一个板卡上,进一步提高集成度和稳定性。
典型的框架结构,有接口,功能组件,操作系统,硬件
密码机是以征集形态出现,具备完整密码功能的产品,通常实现数据加解密,签名、验证、密钥管理、随机数生成等功能。它可供各类应用系统调用,为其提供数据加解密,签名、验证等密码服务
10、请简述签名验签系统的作用。
数字签名以及验证,保证数据的完整性,不可否认性
11、请简述数字证书是什么,数字证书的作用。
数字证书指ca(电子认证服务)机构发行的一种电子文档,是一串能够表明网络用户身份信息的数字,提供了种在计算机网络上验证用户身份的方式,保证数据的真实性,以数字证书中双证书双中心保证数据的完整性,不可否认性
12、请简述电子签章的作用。
对公文以及电子票据等实现纸质的印章的效果,并做了加密保护还实现了完整性,不可否认性,真实性
13数字信封是什么
数字信封是将对称密钥通过非对称加密的结果分发对称密钥的方法,因为非对称密钥加密速度慢,对称密钥加密速度快,用非对称方式加密对称密钥让传输变得更安全。
