量化评估(共38题,每题1分,合计38.0分)
1.对于某个三级系统,已知安全管理要求中,管理制度、人员管理、建设运行、应急处置的得分均为0.5,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下()是可能出现且整体结论正确的。
(题库题号:4363) (1分)
A. 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4,总分为43.00分
B. 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、不适用、不适用、0.4,总分为27分
C. 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为不适用、0.6、不适用、0.4,总分为48.60分
D. 物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全分别为0.4、不适用、 0.4、0,总分为39.00分
2.根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法正确的是()。
(题库题号:4364) (1分)
A. 密码应用管理要求不针对各个测评对象的测评结果进行量化评估
B. 《商用密码应用安全性评估量化评估规则(2023版)》适用于指导、规范信息系统密码应用的规划、建设、运行及测评
C. 信息系统在进行测评过程中,若测评对象的D不符合,则分值为0.5分
D. 信息系统测评结果无高风险且分值不低于阈值,该信息系统的测评结果不一定为基本符合
3.根据《商用密码应用安全性评估量化评估规则(2023版)》,对整体结果量化评估规则,以下说法正确的是()。
(题库题号:4361) (1分)
A. 密码应用技术要求中,最终的量化评估结果为各安全层面的加权平均值
B. 若某个安全层面的大部分测评指标都不适用,则该安全层面不参与量化评估过程
C. 密码应用技术要求中,安全层面的量化评估结果需要保留小数点后4位
D. 在计算整体结果量化过程中,作为分母的权重值总和总是100分
4.根据《商用密码应用安全性评估量化评估规则(2023版)》,对最终的结论,以下说法正确的是()。
(题库题号:4362) (1分)
A. 信息系统的最终结论需要同时参考量化评估的结果和风险判定结果
B. 对于分值大于阈值分的系统,如果经风险评估发现存在风险即判定为不符合
C. 对于分值小于阈值分的系统或存在高风险的系统,最终结论都是不符合
D. 只有整体量化评估结果为 100 分的系统才能判定最终结论为符合
5.根据《商用密码应用安全性评估量化评估规则(2023版)》,对测评单元的测评结果量化评估规则,以下说法正确的是()。
(题库题号:4359) (1分)
A. 密码应用技术要求中,测评单元的量化评估结果为该测评单元内所有测评对象测评结果的算术平均值
B. 密码应用技术要求中,测评单元的量化评估结果需要保留小数点后4位
C. 密码应用管理要求的测评单元得分为各测评对象的算术平均值
D. 密码应用管理要求的符合性判定需要根据GB/T43206-2023给出判定结果
6.根据《商用密码应用安全性评估量化评估规则(2023版)》,对安全层面的测评结果量化评估规则,以下说法不正确的是()。
(题库题号:4360) (1分)
A. 密码应用技术要求中,安全层面的量化评估结果为层面内各测评单元的算术平均值
B. 密码应用管理要求的安全层面得分为各测评单元的算术平均值
C. 密码应用技术要求中,安全层面的量化评估结果需要保留小数点后2位
D. 某测评指标不适 用,则该安全层面的得分为0
7.根据《商用密码应用安全性评估量化评估规则(2023版)》,对测评对象的测评结果量化评估规则,以下说法错误的是()。
(题库题号:4357) (1分)
A. 通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品” 指标需单独评价
B. 密码技术要求和应用管理要求都需要对各个测评对象的测评结果进行量化评估
C. 密码技术要求和应用管理要求的分值取值都是{0, 0.25, 0.5,1}
D. 密码技术要求中对各测评对象符合性表述均为符合、部分符合、不符合
8.根据《商用密码应用安全性评估量化评估规则(2023版)》,对测评对象的测评结果量化评估规则,以下说法正确的是()。
(题库题号:4358) (1分)
A. 在密码技术要求测评过程中,对于单个测评对象对应的多个实体按照每个实体的DAK的算术平均计算测评对象值
B. 在密码技术要求测评过程中,对于单个测评对象涉及多个实体,按照多个实体的DAK最小值作为测评对象值
C. 使用的密码服务是否安全直接影响 DAK的A的符合性判定
D. 密码应用管理要求不对各个测评对象的测评结果进行量化评估
9.根据《商用密码应用安全性评估量化评估规则(2023版)》,量化评估计算过程中需要考虑的量化内容包括()。
(题库题号:4355) (1分)
A. 各测评对象的测评结果
B. 测评单元的测评结果
C. 安全层面的测评结果
D. 整体测评结果
10.对于双活机房间的物理裸光纤数据传输通道,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下做法正确的包括()。
(题库题号:4337) (1分)
A. 密评机构应将该通道做为网络和通信安全层面的测评对象,进行量化评估和风险评估
B. 若该通道在通过专家评审的密码应用方案中被列为不适用,且方案描述的保护措施与现场情况一致,密评时该通道可做为不适用
C. 密评机构可根据系统情况、该通传输道数据重要性,酌情判定该通道为适用或不适用
D. 若双活机房间使用的为运营商专线,密评机构应将该通道做为网络和通信安全层面的测评对象,进行量化评估和风险评估
11.根据《商用密码应用安全性评估量化评估规则(2023版)》,对于密码技术要求的量化规则,以下说法正确的是()。
(题库题号:4356) (1分)
A. 只有DAK全部符合的测评对象得分为1分
B. 密码使用有效,具备安全的密钥管理机制,但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定的得分最多为0.5分
C. 密码使用有效,但使用的密码算法/技术不符合法律法规的规定和密码相关国家标准、行业标准的有关规定,相关的密钥管理机制存在问题得分为0.5分
D. 密码使用有效,使用的密码算法/技术符合法律 法规的规定和密码相关国家标准、行 业标准的 有关规定,相关的密钥管理机制存在问题判定为0分
12.对运行在云平台上的云应用进行密评时,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下关于量化评估的说法错误的有()。
(题库题号:4338) (1分)
A. 若云平台和云上应用均定级为三级且云平台已通过密 评,针对云平台密评时被完全评估的支撑能力,云上应用对应的测评对象必须直接按照云平台的量化评估结果进行量化评价
B. 若云平台和云上应用均定级为三级且云平台已通过密 评,针对云平台密评时被完全评估的支撑能力,云上应用对应的测评对象可以判定为不适用
C. 若云平台和云上应用均定级为三级且云平台已通过密 评,针对云平台密评时被部分评估的支撑能力,云上应用对应的测评对象的量化评估结论需要结合现场测评和云平台支撑能力说明给定结果
D. 若云平台和云上应用均定级为三级且云平台已通过密 评,针对云平台密评时被部分评估的支撑能力,云上应用对应的测评对象可直接取云平台的量化评估结果的一半分数做为量化评价结果
13.根据《商用密码应用安全性评估量化评估规则(2023版)》,在测评对象量化评估中,以下得分可能为0.5的有()。
(题库题号:4335) (1分)
A. D(√)A(√)K (√)
B. D(√)A(√)K (×)
C. D(√)A(×)K (√)
D. D(√)A(×)K (×)
14.某三级信息系统,在内网接入区通过部署SSL VPN网关(经检测认证的二级密码模块)、国密浏览器(经检测认证的一级密码模块),实现对办公内网通道的密码应用改造。上述使用的密码产品均进行了正确的配置。根据《商用密码应用安全性评估量化评估规则(2023版)》,以下量化评估描述中,正确的有()。
(题库题号:4336) (1分)
A. 测评时使用国密览器访问系统时,发现其HTTPS协议使用的加密算法为 SM4-GCM,该通道通信过程中重要数据的机密性测评单元量化评估结果为 0.6
B. 测评时使用国密浏览器访问系统时,发现其HTTPS协议使用的数字签名算法为RSA _2048,该通道身份鉴别测评单元量化评估结果为0.5
C. 测评时使用国密览器访问系统时,发现其HTTPS协议使用的MAC算法为 HMAC-SM3,该通道通信过程中重要数据的机密性测评单元量化评估结果为1
D. 测评时使用谷歌览器访问系统时,发现其HTTPS协议使用的MAC算法为 HMAC-SHA1,该通道通信过程中重要数据的完整性测评单元量化评估结果为0.25
15.根据《商用密码应用安全性评估量化评估规则(2023版)》,以下密评量化评估结果中,应取小数点后4位的有()。
(题库题号:4333) (1分)
A. 测评对象
B. 测评单元
C. 安全层面
D. 整体量化评估结果
16.根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法正确的是()。
(题库题号:4334) (1分)
A. 若某测评指标不适用,则不参与量化评估过程
B. 若某测评指标为特殊指标,则不参与量化评估过程
C. 量化评估规则为每个测评单元分配了相应的权重,该权重与信息系统等级情况无关
D. 量化评估规则为每个安全层面分配了相应的权重,该权重与信息系统等级情况无关
17.根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法不正确的是()。
(题库题号:4346) (1分)
A. 对同一个测评指 标,二级信息系统和三级信息的指标权重不一定相同
B. 二级信息系统和三级信息系统(所有安全层面均适用的情况下)安全层面权重一定相同
C. 若该系统物理和环境安全层面、设备和计算安全层面不适用,则该系统其他安全层面总权重之和为75
D. 密码应用管理各安全层面的权重均相同
18.根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法不正确的是()。
(题库题号:4347) (1分)
A. 网络和通信安全、设备和计算安全和应用和数据安全三个层面“访问控制信息完整性”量化评估权重相同
B. 若信息系统未制定密码应用方案,则可判定该系统建设运行层面各测评单元量化评估分值一定为0
C. 若信息系统未制定密码应用方案,已知信息系统于2021年2月1日上线运 行,则该系统建设运行中“投入运行前进行密码应用安全性评估”量化评估分值为1
D. 若信息系统测评时发现,其使用的服务器密码机采购时间在商用密码产品认证证书的有效期内,但测评时该证书已过期,则对测评单元评估时,K为×
19.某三级信息系统应用和数据安全层面测评过程中发现,用户身份鉴别数据(即用户口令)和重要业务数据均通过调用服务器密码机(具有二级商密产品认证证书)进行保护,使用SM3带盐杂凑和HMAC-SM3对身份鉴别数据进行存储机密性保护和存储完整性保护,使用SM4-CBC、SM3算法实现重要业务数据存储机密性和存储完整性保护,则根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法正确的是()。
(题库题号:4348)已废弃 (1分)
A. 重要业务数据存储机密性和存储完整性,量化评估分值相同
B. 重要业务数据存储机密性和存储完整性,量化评估分值不相同
C. 若该系统应用层仅涉及身份鉴别数据 、重要业务数据,则数据存储机密性测评单元的量化评估分值为0.5
D. 若该系统应用层仅涉及这两类关键数据,则数据存储完整性测评单元的量化评估分值为0.5
20.在测评某三级信息系统应用和数据安全层面重要数据存储时发现,该系统个人敏感信息使用SM4- GCM算法实现数据存储保护,重要业务数据使用AES-256、HMAC-SHA-256算法实现数据存储保护,且所有密码算法均通过调用具有二级商密产品认证证书的密码设备实现,根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法不正确的是()。
(题库题号:4349) (1分)
A. 该系统应用和数据安全层面重要数据存储机密性测评单元分值为0.75
B. 该系统应用和数据安全层面重要数据存储完整性保护测评单元分值为0.25
C. 该系统应用和数据安全层面重要数据存储机密性和完整性保护两个测评单元分值不同
D. 若信息系统改用一级商密产品认证证书的密码设备实现重要数据存储的机密性和完整性保 护,则量化评估分值不变
21.下列说法正确的是()。
(题库题号:4342)已废弃 (1分)
A. 《商用密码应用安全性评估量化评估规则(2021版)》应遵循法律法规和最新相关指导性文件的总体要求
B. 根据《商用密码应用安全性评估量化评估规则(2021 版)》,强调优先在网络和通信安全层面、设备和计算安全层面和应用和数据安全层面推进密码技术应用
C. 根据《商用密码应用安全性评估量化评估规则(2021 版)》,强调特别鼓励使用合规的密码算法/产品/服务
D. 通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品”指标不单独评价
22.根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法正确的是()。
(题库题号:4343) (1分)
A. 若一个测评对象涉及多个密码算法/产品/服务/密钥, D/A/K都按照最低分值给分
B. 密码应用管理要求不针对各个测评对象的测评结果进行量化评估,其中符合为1分,不符合为 0分,部分符合为0.5分
C. 通用要求和密码应用技术要求各安全层面的“密码服务”和 “密码产品”指标不单独评价
D. 若某测评对象使用了经检测认证的密码产品且满足相应的密码模块要求,但使用的密码算法/技术不合规,则为部分符合,该测评对象量化评估结果至多为0.5
23.某三级信息系统的个人身份信息使用服务器密码机(经检测认证合格)基于SM4算法实现数据存储的机密性保护,而重要业务数据使用了自研且未提供安全性证据的算法实现数据存储的机密性保护,根据《商用密码应用安全性评估量化评估规则(2023版)》,则个人身份信息和重要业务数据的存储机密性量化评估结果可能是()。
(题库题号:4344) (1分)
A. 0.6,0
B. 1,0
C. 0.25,0.25
D. 0.5,0.25
24.根据《商用密码应用安全性评估量化评估规则(2023版)》,下列说法正确的是()。
(题库题号:4345) (1分)
A. 密码应用技术要求和密码应用管理要求的量化评估方法不相同
B. 密码应用技术要求中,某个安全层面的某个测评单元的量化评估结果为该测评单元内所有测评对象测评结果的算术平均值
C. 安全层面的不适用测评指标不参与量化评估过程
D. 对同一个测评指 标,二级信息系统和三级信息的指标权重不一定相同
25.根据《商用密码应用安全性评估量化评估规则(2023版)》,在某次测评中,物理和环境安全层面被列为不适用,以下()是可能发生的。
(题库题号:4354) (1分)
A. 该系统最终得分大于90分
B. 该系统最终测评结论为不符合
C. 该系统最终测评结论为符合
D. 该安全层面属于密码应用技术要求维度
26.根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法错误的有()。
(题库题号:4339) (1分)
A. 无论哪个安全层 面,测评单元的量化评估结果共有 {0,0.25,0.5,1} 四种情况
B. 在技术要求中,测评单元的量化评估结果介于[0,1]之间,取小数点后4位
C. 在密码应用技术各层面中,测评单元的量化评估结果介于[0,1]之间,取小数点后2位
D. 在密码应用管理各层面中,测评单元的量化评估结果共有{0,0.25,0.5, 1}四种情况
27.某信息系统部署在跨两地的主备机房,关于两个机房物理和环境安全层面的量化评估,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法正确的有()。
(题库题号:4340) (1分)
A. 应选取两个机房作为测评对象,每项测评单元量化评估结果应为两机房量化评估分数的较低值
B. 应选取两个机房作为测评对象,每项测评单元量化评估结果应为两机房量化评估分数的算术平均值
C. 若已通过专家评估的密码应用方案中将备份机房列为不适用,密评时应选取主机房做为测评对象(备份机房作为不适用),每项测评单元量化评估结果应为主机房对应测评单元的量化结果
D. 应选取两个机房作为测评对象,但应为两个机房分配不同的权重,每项测评单元量化评估结果应为两机房量化评估分数的加权平均值
28.2023年密评联委会发布的《商用密码应用安全性评估量化评估规则(2023版)》,适用于指导、规范信息系统密码应用的()。
(题库题号:4341) (1分)
A. 规划
B. 建设
C. 运行
D. 测评
29.在对某三级信息系统设备和安全层面“身份鉴别”进行测评时,该系统三台操作系统和硬件型号均相同的服务器密码机分值分别为0.25、0.5、0,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法正确的是()。
(题库题号:4350) (1分)
A. 三台服务器密码机可能均具有商用密码产品认证证书
B. 三台服务器密码机可能均不具有商用密码产品认证证书
C. 三台密码机作为同一测评对象时的分值为0
D. 三台密码机作为同一测评对象时的分值为0.5
30.某三级信息系统在测评过程中发现物理和环境安全层面不适用, 网络和通信安全层面分值为 0.75,设备和计算安全层面分值为0.6,应用和数据安全层面分值为0.325,根据《商用密码应用安全性评估量化评估规则(2023版)》,以下说法不正确的是()。
(题库题号:4351) (1分)
A. 如果安全管理四个层面分值均为1,该系统量化评估分值为60.75
B. 如果安全管理四个层面分值均为1,该系统量化评估分值为 65.88
C. 若该系统安全管理所有层面得分均为 0,该系统量化评估分值为30.75
D. 若该系统安全管理所有层面得分均为 0,该系统量化评估分值为35.88
31.根据《商用密码应用安全性评估量化评估规则(2023版)》,以下()情况下,测评对象的量化结果最多为0.5。
(题库题号:4352) (1分)
A. 在网络边界部署采用具有密码产品认证证书的VPN设备(满足密码模块二级要求),并使用 ECC_SM4_SM3套件
B. 在网络边界部署采用具有密码产品认证证书的VPN设备(满足密码模块二级要求),并使用TLS_ECDHE_RSA_ WITH_AES_128_GC M_SHA256套件
C. 在三级系统中,在网络边界部署相应的安全模块(不满足密码模块等级要求),并使用ECC_SM4_SM3套件
D. 在网络边界部署未经检测认证的VPN设备,并使用TLS1.2协议
32.已知应急处置安全层面所有测评单元的结果没有不符合,根据《商用密码应用安全性评估量化评估规则(2023版)》,则该安全层面可能的得分为()。
(题库题号:4353) (1分)
A. 0.25
B. 0.5
C. 0.6458
D. 0.8542
33.根据《商用密码应用安全性评估量化评估规则(2023版)》,量化评估从()方面进行。
(题库题号:4330) (1分)
A. 密码使用正确性
B. 密码使用有效性
C. 密码算法/技术合规性
D. 密钥管理安全
34.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于量化评估工作的说明,正确的是 ( )。
(题库题号:3851) (1分)
A. 各测评单元得分需要根据各个测评对象的符合程度得分进行计算
B. 各安全层面的得分需要根据各测评单元的得分进行计算
C. 根据单元测评结果直接计算整体得分
D. 根据各测评单元、各层面和整体得 分,总体评价被测信息系统已采取的有效保护措施和存在的密码应用安全问题情况。
35.根据《商用密码应用安全性评估量化评估规则(2023版)》,对三级系统,各安全层面权重值正确的是()。
(题库题号:4366) (1分)
A. 物理和环境安全层面权重为10
B. 网络和通信安全层面权重为15
C. 设备和计算安全层面权重为20
D. 应用和数据安全层面权重为30
36.根据《商用密码应用安全性评估量化评估规则(2023版)》,以下关于量化评估过程,说法正确的是()。
(题库题号:4332) (1分)
A. 在判定密码使用有效性时,需综合考虑密码算法/技术合规性和密钥管理安全导致的风险
B. 在判定密码使用有效性时,无需综合考虑密码算法/技术合规性和密钥管理安全导致的风险
C. 若密码算法/技术合规性判定为不符 合,则无需对密码使用有效性、密钥管理安全进行判定
D. 若密码使用有效性判定为不符合,则无需对密码算法/技术合规性、密钥管理安全进行判定
37.根据《商用密码应用安全性评估量化评估规则(2023版)》,在密码应用技术层面中,某个测评单元量化评估结果可以是()。
(题库题号:4331) (1分)
A. 0.25
B. 0.3333
C. 0.5
D. 1
38.对于某个三级信息系统,在应用和数据安全层面测评过程中,发现设备的登录采用了WEB登录方式,登录界面需要输入用户名+口令,口令经过加盐并利用合规的密码模块SM3做杂凑,根据《商用密码应用安全性评估量化评估规则(2023版)》,则以下说法正确的是()。
(题库题号:4365)已废弃 (1分)
A. “身份鉴别”的量化结果分别为 0
B. “身份鉴别”的量化结果分别为 0.25
C. “重要数据传输机密性”的量化结果为0.5
D. “重要数据存储机密性”的量化结果为1
风险分析(共44题,每题1分,合计44.0分)
1.依据《信息系统密码应用高风险判定指引》,以下对通用要求“密码算法”描述不正确的是()。
(题库题号:4446) (1分)
A. 指标要求是“信息系统中使用的密码算法应符合密码相关国家标准、行业标准的有关要求”
B. 对所有不同安全等级的信息系统均适用
C. 存在可能的缓解措施
D. 若信息系统中采用 OpenSSL算法库实现 AES,为信息系统提供加密保护,则会导致高风险
2.依据《信息系统密码应用高风险判定指引》,网络和通信安全层面如果通信实体身份真实性的密码技术实现机制()或无效,可能会导致信息系统面临高风险。
(题库题号:4445)已废弃 (1分)
A. 不科学
B. 不安全
C. 不完整
D. 不正确
3.根据《信息系统密码应用高风险判定指引》,以下采用的措施对物理和环境安全的身份鉴别,可能带来安全风险的是()。
(题库题号:4483) (1分)
A. 采用口令方式鉴别进入人员身份
B. 采用ID卡方式鉴别进入人员身份
C. 采用指纹识别方式鉴别进入人员身份
D. 机房采用物理锁方式控制人员进出
4.依据《信息系统密码应用高风险判定指引》,以下措施能够缓解设备和计算安全层面远程管理通道安全测评项的高风险的是()。
(题库题号:4482) (1分)
A. 采用带外管理的方式对所有设备进行远程管理
B. 所有运维人员均需要通过堡垒机进行身份认证
C. 所有设备均需要运维人员通过SSL VPN设备进行远程管 理,且采用的密码技术符合要求
D. 运维人员采用两种身份鉴别措施对设备进行远程管理,其中一种身份鉴别措施为密码技术
5.依据《信息系统密码应用高风险判定指引》,某三级信息系统主备机房,采用人脸识别技术对进入机房的用户进行身份鉴别,并在机房出入口配备专人值守,并保留了人员进出记录,以下针对身份鉴别测评指标的符合性判定以及针对问题风险的判定正确的是()。
(题库题号:4481) (1分)
A. 不符合
B. 高风险
C. 部分符合
D. 中风险
6.依据《信息系统密码应用高风险判定指引》,对于通用要求“密码算法”的描述正确的是()。
(题库题号:4475) (1分)
A. 描述的内容适用范围为所有级别信息系统
B. RSA(不足2048比特)可能会导致高风险
C. 采用自行设计的密码算法可能会导致高风险
D. 使用MD5杂凑算法可能导致高风险
7.在《信息系统密码应用高风险判定指引》中,对“通用要求”部分的理解正确的是()。
(题库题号:4474) (1分)
A. 指标要求来自于 GB/T 39786《信息安全技术 信息系统密码应用基本要求 》的通用要求部分
B. 描述的内容适用范围是从二级到四级信息系统
C. 不存在可能的缓解措施
D. 若出现相应安全问题的情形,则一定会导致高风险
8.依据《信息系统密码应用高风险判定指引》,对于通用要求“密码算法”的描述正确的是()。
(题库题号:4477) (1分)
A. 存在安全问题或安全强度不足的密码算法可能会导致高风险
B. 使用自行设计的密码算法可能会导致高风险
C. 未经安全性论证的密码算法可能会导致高风险
D. 该指标对应的密码算法不仅要符合法律要求,还应遵循国家标准
9.根据GM/T 0116《信息系统密码应用测评过程指南》,风险分析在( )信息的基础上进行。
(题库题号:3853) (1分)
A. 被测系统威胁分析结果
B. 被测系统资产分析结果
C. 被测系统存在的安全问题
D. 已有安全措施情况
10.根据GM/T 0116《信息系统密码应用测评过程指南》,以下测评风险规避措施不正确的是( ) 。
(题库题号:3815) (1分)
A. 双方签署委托测评协议书明确测评的目标、范围、计划等
B. 双方签署保密协议
C. 在业务高峰期进行压力测试以充分验证系统安全措施的有效性
D. 需进行上机验证测试时,由密评人员自行进行实际操作
11.依据《信息系统密码应用高风险判定指引》,对于通用要求“密码技术”的描述正确的是()。
(题库题号:4476) (1分)
A. 测评过程中,在该方面若发现问题,存在可能的缓解措施
B. 系统采用了未经安全性论证的密码协议,可能会给系统带来高风险
C. 使用TLS 1.0协议实现对通信信道的保护,可能会导致高风险
D. 信息系统选用密码技术时,需考虑该密码技术是否遵循密码相关国家标准和行业标准
12.以下哪几项是存在缺陷或有安全问题警示的密码 技术()
(题库题号:4058) (1分)
A. SSH 1.0
B. SSL 2.0
C. TLS 1.3
D. SSL 3.0
13.根据《信息系统密码应用高风险判定指引》,下列属于密钥管理环节的是()。
(题库题号:4479) (1分)
A. 产生
B. 撤销
C. 备份
D. 恢复
14.根据GM/T 0116《信息系统密码应用测评过程指南》,测评方根据( )等相关标准要求,对被测信息系统面临的密码应用安全风险进行赋值,风险值的取值范围为高、中和低。
(题库题号:3854) (1分)
A. 单元测评结果
B. 自身经验
C. 《信息系统密码应用高风险判定指引 》
D. 整体测评结果
15.依据《信息系统密码应用高风险判定指引》,通用要求“密码产品和密码服务”中,密码产品存在可能导致高风险的问题有()。
(题库题号:4478) (1分)
A. 密码产品在使用时未按照产品的安全策略文档部署和使用
B. 不具有商用密码产品认证证书
C. 密码服务提供商不具有相关资质
D. 密码厂商自研一套软件密码模块,但无法提供该密码产品的安全性证明结论
16.依据《信息系统密码应用高风险判定指引》,采用密码技术对重要区域进入人员进行身份鉴别的措施可包括()。
(题库题号:4454) (1分)
A. 采用动态口令机制
B. 基于对称密码算法或密码杂凑算法的消息鉴别码 (MAC)机制
C. 基于公钥密码算法的数字签名机制
D. 基于生物特征识别
17.依据《信息系统密码应用高风险判定指引》,属于物理和环境安全层面身份鉴别方面引发的安全问题的是()。
(题库题号:4455) (1分)
A. 对进出机房人员采用的身份鉴别类产品不符合密码产品相关要求
B. 对进出机房人员的身份鉴别机制无效
C. 机房未采用视频监控系统
D. 对进出机房人员未采用基于密码技术的身份鉴别措施
18.在《信息系统密码应用高风险判定指引》中,对网络和通信安全层面的通信实体进行身份鉴别时,引发高风险的原因可能是()。
(题库题号:4456) (1分)
A. 密码技术实现机制不正确或无效
B. 未采用基于消息鉴别码(MAC)的机制
C. 未采用数字签名机制
D. 采用的密码产品未获得商用密码产品认证证书
19.某单位管理员远程登录服务器时,采用密码协议保证远程管理通道安全,依据《信息系统密码应用高风险判定指引》,避免带来高风险,以下可能采用的协议包括()。
(题库题号:4450) (1分)
A. SSH 2.0
B. SSL 2.0
C. SSL 3.0
D. TLS 1.2
20.在《信息系统密码应用高风险判定指引》中,未涉及的安全问题场景,以下判定其风险程度的做法正确的是()。
(题库题号:4451) (1分)
A. 结合实际场景客观判断
B. 无需关注
C. 需分析考虑是否对其造成严重的安全隐患
D. 直接判定为中或低风险
21.在《信息系统密码应用高风险判定指引》中,对高风险判定,从()方面进行了描述。
(题库题号:4452) (1分)
A. 指标要求
B. 适用范围
C. 安全问题
D. 可能的缓解措施和风险评价
22.密评过程中发现的问题,在《信息系统密码应用高风险判定指引》中没有相关描述的,仍需从 ()方面核查该问题是否存在风险。
(题库题号:4453) (1分)
A. 密码算法
B. 密码技术
C. 密码产品
D. 密码服务
23.依据《信息系统密码应用高风险判定指引》,以下对通用要求中“密码算法”的描述正确的是() 。
(题库题号:4447) (1分)
A. 采用DES算法提供数据加密,则很可能导致高风险
B. 采用SHA-1提供口令存储完整性保护,则很可能导致高风险
C. 采用自行设计的数据处理算法,达到将数据不可读的目的,则该算法依然可能导致高风险
D. 采用MD5 with RSA2048进行数字签名,不会导致高风险
24.在《信息系统密码应用高风险判定指引》中,以下属于不安全的密码算法是()。
(题库题号:4448) (1分)
A. SM2
B. SHA-1
C. RSA-1024
D. MD5
25.在《信息系统密码应用高风险判定指引》中,以下属于密码算法安全问题的是()。
(题库题号:4449) (1分)
A. 采用了安全强度不够的密码算法
B. 自行设计的密码算法
C. 采用未经安全性论证的密码算法
D. 采用了符合法律、法规规定和密码相关国家标准、行业标准有关要求的算法
26.在《信息系统密码应用高风险判定指引》中,以下实现用户身份真实性的措施,不会带来安全问题的是()。
(题库题号:4462) (1分)
A. 生物指纹技术
B. 动态口令机制
C. 基于对称密码算法或密码杂凑算法的消息鉴别码 (MAC)机制
D. 基于公钥密码算法的数字签名机制
27.依据《信息系统密码应用高风险判定指引》,某三级信息系统主备机房,采用8位以上的口令,对进入机房的用户进行身份鉴别。以下针对身份鉴别测评指标的符合性判定以及针对问题风险的判定正确的是()。
(题库题号:4480) (1分)
A. 不符合
B. 高风险
C. 部分符合
D. 中风险
28.某信息系统的用户仅使用“用户名+口令”方式进行登录系统,根据《信息系统密码应用高风险判定指引》,以下()措施可以缓解这种登录方式带来的风险
(题库题号:4457) (1分)
A. 设备指纹
B. 人脸识别
C. 第三方身份鉴别服务
D. 指纹识别
29.在《信息系统密码应用高风险判定指引》中,以下存储保护方式会导致系统在“重要数据存储机密性”方面存在高危风险的有()。
(题库题号:4461) (1分)
A. 使用DES-CBC进行数字签名
B. 使用SM4-CBC算法加密
C. 使用RSA-1024算法对SM4密钥加密
D. 使用SM4-GCM算法对数据进行加密保护
30.在《信息系统密码应用高风险判定指引》中,以下存储保护方式会导致系统在“重要数据存储完整性”方面存在高危风险的有()。
(题库题号:4460) (1分)
A. 使用SHA1 With RSA-2048进行数字签名
B. 使用SM3杂凑算法对数据进行杂凑计 算,杂凑值与数据一同存放
C. 使用SM4-GCM算法对数据进行加密保护
D. 使用HMAC-SM3对 数据进行MAC计算,但是仅截取 MAC的8个比特进行使用
31.用户先通过SSL VPN接入信息系统内网,然后再通过浏览器登录系统内部应用。根据《信息系统密码应用高风险判定指引》,以下对该系统风险缓解的描述,合理的有()。
(题库题号:4459) (1分)
A. 用户通过使用智能密码钥匙登录SSL VPN,经测评为符合;因此,该应用的用户角色的“身份鉴别”指标的风险可以适当降低
B. 如果SSL VPN所涉及的通信信道对应的“网络和应用安全”层面的“身份鉴别”指标均为符合,那么应用和数据安全层面的“身份鉴别”指标的风险可以适当降低
C. 如果SSL VPN所涉及的通信信道相应的“网络和应用安全”层面的“通信过程中重要数据的机密性”指标均为符合,那么应用和数据安全层面的“重要数据传输机密性”指标的风险可以适当降低
D. 《信息系统密码应用高风险判定指引 》不涉及“网络和应用安全”层面的“重要数据传输完整性”指标,因此该指标不会存在高风险
32.设备指纹是指可以用于标识出该设备的设备特征或者独特的设备标识,用于区分和识别不同的设备。按照《信息系统密码应用高风险判定指引》的规定,设备指纹因子包括()。
(题库题号:4458) (1分)
A. 计算机的操作系统类型
B. 设备的硬件ID
C. 手机的IMEI
D. 电脑的网卡MAC地址
33.根据GM/T 0116《信息系统密码应用测评过程指南》,在被测系统测评过程中,测评工作面临的风险主要包括( )。
(题库题号:3813) (1分)
A. 人员访谈可能影响系统正常运维工作
B. 验证测试可能影响被测信息系统正常运行
C. 工具测试可能影响被测信息系统正常运行
D. 可能导致被测信息系统敏感信息泄露
34.根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些风险规避措施有效( )。
(题库题号:3814) (1分)
A. 签署保密协议
B. 将无法直接接入测试工具采集相关数据的测试对象从测试范围中去除
C. 签署测试授权书
D. 工具测试避开业务运行高峰期
35.根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些情形属于测评风险( )。
(题库题号:3812) (1分)
A. 验证系统功能时产生了冗余数据
B. 上机查看配置时获取了重要设备的身份鉴别信息
C. 对委托方搭建的测试系统进行了攻击测试
D. 测试过程中产生了较大网络流量影响了系统的负载
36.依据《信息系统密码应用高风险判定指引》,密钥销毁和撤销环节可能会对密钥管理带来安全隐患是()。
(题库题号:4473) (1分)
A. 不具备密钥在应急情况下的密钥销毁/撤销的机制
B. 未按照设定的安全机制进行密钥销毁/撤销
C. 对于磁记录存储器存储的密钥,简单的删除、清0或写1即可
D. 停止使用的密钥一般不要立即毁掉,而需再保存一段时间然后再毁掉
37.依据《信息系统密码应用高风险判定指引》,密评过程中主要关注的管理制度有()。
(题库题号:4469) (1分)
A. 密码人员管理
B. 密钥管理
C. 建设运行
D. 应急处置
38.依据《信息系统密码应用高风险判定指引》,以下内容可能会给密钥管理带来安全隐患的是() 。
(题库题号:4471) (1分)
A. 未采用通过检测认证合格的随机数发生器生成密钥,且无公开文献和证据证明随机数发生器的合理性和正确性
B. 密钥在不可控的环境中生成
C. 密钥协商之前或协商过程中没有验证对方身份真实性
D. 密钥由具有商用密码认证证书的密码产品产生
39.依据《信息系统密码应用高风险判定指引》,下列说法错误的是()。
(题库题号:4467) (1分)
A. 可使用密码杂凑算法的消息鉴别码 (MAC)机制解决数据传输机密性的高风险问题
B. 可使用基于公钥密码算法的数字签名机制解决数据存储完整性问题
C. 三级及以上信息系统一定存在不可否认性的高风险问题
D. 使用RSA1024算法可解决重要数据存储机密性问题
40.依据《信息系统密码应用高风险判定指引》 在应用和数据安全层面,可能存在高风险项的是 ()
(题库题号:4468) (1分)
A. 身份鉴别
B. 重要数据传输机密性
C. 重要数据传输完整性
D. 重要数据存储完整性
41.在《信息系统密码应用高风险判定指引》中,使用()方法不会触发应用和数据层面“重要数据传输机密性”的风险判定。
(题库题号:4465) (1分)
A. 采用标准tls 1.2协议
B. 基于SM4-CBC对称密码算法
C. 基于SM2非对称密码算法
D. 基于Base64编码的方式
42.在《信息系统密码应用高风险判定指引》中, ()属于应用和数据层面“重要数据存储机密性”的涉及范围。
(题库题号:4466) (1分)
A. 业务系统采用AES加密存储数据
B. 使用SM3密码算法保存了银行客户的身份证号,以便发给公安系统进行比对
C. 使用HMAC-SM3算 法对关键业务数据进行完整性保护
D. 使用SM4算法实现重要数据传输的机密性
43.《信息系统密码应用高风险判定指引》中,在应用和数据安全层面,采用以下()措施,可以可缓解系统在用户身份鉴别方面存在的安全风险。
(题库题号:4463) (1分)
A. 采用设备指纹保证用户身份的真实性
B. 采用生物指纹保证用户身份的真实性
C. 采用第三方身份鉴别服务保证用户身份的真实性
D. 绑定登录用户终端的IP地址
44.在《信息系统密码应用高风险判定指引》中,使用()身份鉴别方式,可能会触发应用和数据安全层面“身份鉴别”的风险判定。
(题库题号:4464) (1分)
A. USB-Key
B. 动态口令机制
C. 短信验证码
D. 邮箱验证码
方案密评(共27题,每题1分,合计27.0分)
1.根据《商用密码应用安全性评估报告模板(2023版)》,下列关于密码应用方案的说法中,错误的是()。
(题库题号:4759) (1分)
A. 密码应用方案及其评估意见是判定 GB/T 39786《信息安全技术 信息系统密码应用基本要求 》中“宜”是否适用的重要依据
B. 对于部署在同一云平台上的云上应 用,虽然网络安全等级保护定级时进行了独立定级,考虑到其物理环境、通信信道、系统资产等方面的共用的软硬件比较多,可以编写一份密码应用方案统一进行密码应用分析
C. 如密码应用方案中对被测信息系统对测评单元“不可否认性”进行了不适用判定,但在执行现场测评过程中,系统责任单位向密评机构反映系统实际存在不可否认性密码应用需求,应根据通过评估的密码应用方案,对该测评项进行不适用判定
D. 密码应用方案中应详细梳理应用的业务流程及业务数 据,根据流程安全需求及数据安全需求,为重要流程及重要数据设计保护机制
2.根据《商用密码应用安全性评估报告模板(2023版)》,在编写密码应用方案时,应该体现() 。
(题库题号:4758) (1分)
A. 系统承载业务情况及网络拓扑
B. 系统密码应用需求分析
C. 各安全层面的技术实现方案
D. 安全与和合规性分析
3.根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案的“背景”部分可包含() 。
(题库题号:4757) (1分)
A. 系统的建设规划
B. 国家有关法律法规的要求
C. 与规划相关的前期情况概述
D. 项目实施的必要性
4.根据《商用密码应用安全性评估报告模板(2023版)》,关于方案密评,以下说法正确的是() 。
(题库题号:4756) (1分)
A. 依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的核心资产
B. 依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案是否涵盖了所有需要采用密码保护的敏感信息
C. 依据被测信息系统具体业务情况,审查被测信息系统的密码应用方案采取的密码保护措施是否均能够达到相应等级的密码使用要求或规定
D. 方案密评可由信息系统责任单位委托密评机构或自行开展密评
5.根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中应用和数据安全层面的保护对象应重点梳理()。
(题库题号:4763) (1分)
A. 各个应用具有身份鉴别需求的应用用户
B. 各个应用具有可用性需求的重要数据
C. 各个应用的重要数据及对应具体安全需求
D. 各个应用具有不可否认性需求的操作行为
6.根据《商用密码应用安全性评估报告模板(2023版)》,系统概述部分需要结合系统网络拓扑图描述()。
(题库题号:4762) (1分)
A. 物理机房的个数及其所在具体位置
B. 网络边界划分以及与其他系统的互联关系
C. 跨网络访问的通信信道
D. 设备组成及实现功能
7.根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中系统概述部分内容应包含()。
(题库题号:4761) (1分)
A. 系统网络拓扑
B. 承载的业务情况
C. 各安全层面保护对象
D. 项目情况
8.根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告的评估结论包括()。
(题库题号:4760) (1分)
A. 符合
B. 不符合
C. 通过
D. 不通过
9.根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“建设运行”方面,关注重点通常包括()。
(题库题号:4765) (1分)
A. 密码应用方案
B. 密钥管理制度
C. 攻防对抗演习报告
D. 密码应用安全管理制度
10.根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“管理制度”方面,关注重点通常包括()。
(题库题号:4764) (1分)
A. 安全管理制度类文档
B. 密码应用方案
C. 密钥管理制度及策略类文档
D. 系统相关人员
11.根据GM/T 0116《信息系统密码应用测评过程指南》,密评方案应包括以下内容( )。
(题库题号:3833) (1分)
A. 项目概述
B. 测评对象、测评指标
C. 测评检查点
D. 单元测评实施
12.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于密评方案编制过程中任务描述正确的是( )。
(题库题号:3834) (1分)
A. 根据委托测评协议书和完成的调查表格,提取项目来源 、被测单位整体信息化建设情况及被测信息系统与其他系统之间的连接情况等。
B. 结合被测信息系统的实际情况,根据通过评估的密码应用方案及GM/T 0115,明确测评活动所要依据和参考的与密码算法、密码技术、密码产品和密码服务相关的标准规范。
C. 依据委托测评协议书和被测信息系统的情况,估算现场测评工作量。
D. 根据测评项目组成员分工,编制工作安排。
13.根据《商用密码应用安全性评估报告模板(2023版)》,“指标适用情况及论证说明”表格中不涵盖()。
(题库题号:4772) (1分)
A. 密码算法
B. 密码技术
C. 密码产品
D. 密码服务
14.根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,在应用和数据安全层面“保护对象”表中应重点梳理信息系统中()。
(题库题号:4755) (1分)
A. 各个应用中具有身份鉴别(真实性)需求的应用用户类型
B. 各个应用的重要数据及对应具体安全需求
C. 各个应用承载业务情况
D. 各个应用具有不可否认性需求的操作行为
15.根据《商用密码应用安全性评估报告模板(2023版)》,不同安全层面指标的安全控制措施的评估结果可能是()。
(题库题号:4774) (1分)
A. 通过
B. 未通过
C. 符合
D. 不符合
16.根据《商用密码应用安全性评估报告模板(2023版)》,编制方案密评报告时,以下属于风险替代措施的是()。
(题库题号:4773) (1分)
A. 机房采用人脸+指纹识别的方式对进人人员进行身份鉴别
B. 通用服务器采用指纹的方式对登录设备用户进行身份鉴别
C. 业务应用采用人脸识别+短信验证码的方式对登录人员进行身份鉴别
D. 应用层采用了合规的密码技术对传输数据进行机密性和完整性保护
17.根据《商用密码应用安全性评估报告模板(2023版)》,密评人员对密码应用方案中的安全控制措施分析和评估结果判定不合理的是()。
(题库题号:4776) (1分)
A. 针对物理和环境安全层面,密码应用方案中的描述为“机房虽采用门禁ID卡刷卡进入,但机房门外部署有视频监控系统,能够对机房外的环境进行实时监控,因此不存在高风险”,针对物理和环境安全层面“身份鉴别”的安全控制措施评估结果为“通过”
B. 针对网络和通信安全层面,密码应用方案中的描述为“虽然互联网PC端与系统服务端在通信时未采用密码技术对服务端进行身份鉴别,但是系统应用层对登录用户采用合规的密码技术进行身份鉴别,因此网络通信实体的身份鉴别问题不存在高风险”,针对网络和通信安全层面“身份鉴别”的安全控制措施评估结果为“通过”
C. 针对应用和数据安全层面,密码应用方案中的描述为“虽然未采用密码技术对重要数据做存储机密性保护,但是数据库只能专人访问,且登录口令定期更换,因此不存在高风险”,针对“重要数据存储机密性”的安全控制措施评估结果为“通过”
D. 针对应用和数据安全层面,密码应用方案中的描述为“虽然未采用密码技术对存储的业务数据进行完整性保护, 但是应用系统具有符合要求的身份鉴别措施,只有授权人员才能访问应用系统的重要数据,且定期对数据进行备份,因此不存在高风险”,针对“重要数据存储完整性”的安全控制措施评估结果为“通过”
18.根据《商用密码应用安全性评估报告模板(2023版)》,针对安全控制措施评估,以下描述不合理的是()。
(题库题号:4775) (1分)
A. 某三级信息系统密码应用方案中,针对网络和通信安全层面的通信数据传输保护均使用国外密码算法,则“通信数据传输机密性和完整性”指标的安全控制措施评估结果仍可能为“通过”
B. 某三级信息系统41个基本指标中,仅有一个指标的安全控制措施评估结果为“未通过”,因此该密码应用方案评估结果为“通过”
C. 某三级信息系统密码应用方案的安全控制措施评估结果中,其中1项为未通过,但初步量化评估分值为75分,因此该密码应用方案的整体评估结果为“通过”
D. 某三级信息系统密码应用方案中,针对物理和环境安全层面的“身份鉴别”指标未采用密码技术方案,而是通过其他的安全管理措施降低风险,因此该指标的安全控制措施评估结果为“未通过”
19.根据《商用密码应用安全性评估报告模板(2023版)》,在方案密评报告中,以下可判定某指标的评估结果为“通过”的情况有()。
(题库题号:4778) (1分)
A. 该指标涉及的所有保护对象不涉及高风险
B. 该指标涉及的所有保护对象的风险替代措施均有效
C. 该指标涉及的所有保护对象的密码应用措施均有效,不涉及高风险,且方案中描述的实施保障措施合理
D. 该指标涉及的所有保护对象的风险替代措施均有效,不涉及高风险,且方案中描述的实施保障措施合理
20.根据《商用密码应用安全性评估报告模板(2023版)》,下列关于密码应用方案密评报告和信息系统密评报告的说法中,错误的是()。
(题库题号:4777) (1分)
A. 根据“三同步一评估”的要求,在规划阶段,评估对象是信息系统的密码应用方案,在建设和运行阶段,评估对象是实际的信息系统
B. 密码应用方案密评的评估结论中,可能存在“通过”和“不通过”判定 ,也可能存在“修改后通过”的判定
C. 在对密码应用方案进行密评时,如初步量化评估分数达到了阈值的要求,则方案评估结论即可为“通过”
D. 信息系统密评报告中的“检测结果记录”中,“安全管理”层面的测评单元得分仅可能为1分、0.5分和 0分
21.根据《商用密码应用安全性评估报告模板(2023版)》,方案密评报告中系统承载业务情况应包含()。
(题库题号:4780) (1分)
A. 业务应用
B. 业务功能
C. 应用用户
D. 重要数据以及关键的用户操作行为等
22.根据《商用密码应用安全性评估报告模板(2023版)》,密码应用方案密评报告“密评活动证明”部分,一般作为活动证明的证明材料包括()。
(题库题号:4779) (1分)
A. 电子邮件
B. 通话记录
C. 会议记录
D. 系统现场测评记录
23.根据《商用密码应用安全性评估报告模板(2023版)》,在密码应用方案密评报告中,“安全控制措施描述及指标适用情况”章节的“指标适用情况及论证说明”部分,应体现的内容包括()。
(题库题号:4769) (1分)
A. 各测评项的测评指标适用情况
B. 不适用项的不适用性论证说明
C. 测评项中存在部分保护对象不适用情况的不适用性论证说明
D. 不适用指标合计项数
24.《商用密码应用安全性评估报告模板(2023版) 》中在描述安全控制措施时,需要注意的事项有 ()。
(题库题号:4770) (1分)
A. 安全控制措施需要包括四个密码应用技术层面和四个密码应用管理方面的内容
B. 如果相关保护对象未采用密码技术措施,那么也需要概括总结相关的风险替代措施
C. 安全控制措施描述需要结合信息系统的密码应用部署图
D. 系统密码应用部署图中需要包含密码应用方案中涉及的所有密码产品(冗余配置的除外)和服务
25.根据《商用密码应用安全性评估报告模板(2023版)》,某三级信息系统密码应用方案的评估结论为“不通过”,最可能原因包括()。
(题库题号:4771) (1分)
A. 采用的安全控制措施仍会导致高风险项存在
B. 初步量化评估未达到阈值要求
C. 密码应用方案中不适用指标项数过多
D. 密码应用方案有较多冗余内容
26.根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“人员管理”方面,关注重点通常包括()。
(题库题号:4766) (1分)
A. 安全管理制度类文档
B. 记录表单类文档
C. 系统相关人员
D. 整改文档
27.根据《商用密码应用安全性评估报告模板(2023版)》,方案评估报告在“应急处置”方面,关注重点通常包括()。
(题库题号:4767) (1分)
A. 密码应用应急处置方案
B. 应急处置记录类文档
C. 安全事件发生情况及处置情况报告
D. 系统相关人员