1月8日密码应用基本要求（多选）

题目集合

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，当使用第三方电子认证机构提供数字证书服务时，如果信息系统的签名私钥泄露，以下应急处置措施得当的是（）。

A. 立即向电子认证机构申请证书撤销

B. 立即暂停业务中数字签名功能。如因此导致业务中断，考虑暂时转为线下纸质件和手写签名或盖章

C. 尽快组织人员，排查发生私钥泄露的环节和原因，并评估出现更多私钥泄露的可能性

D. 如果原因是工作人员误操作导致，应考虑适时修订相关管理制度，细化操作规程并严格监督执行

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，哪些密码应用等级信息系统责任单位，在密码应用安全事件处置完成后，应及时向信息系统主管部门和归属的密码管理部门报告事件发生情况及处置情况（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，哪些密码应用等级信息系统责任单位，在密码应用安全事件处置完成后，不强制要求向信息系统主管部门或归属的密码管理部门报告事件发生情况及处置情况（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：AB
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于密码应用第三级及以上信息系统责任单位，在密码应用安全事件处置完成后，应及时向哪些部门报告事件发生情况及处置情况（）。

A. 外国驻华机构

B. 信息系统主管部门

C. 归属的密码管理部门

D. 国务院

答案：BC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，当密码设备的随机数发生器故障失效时，以下说法正确的是（）。

A. 不会影响使用已有对称密钥做SM4- ECB加密的安全性

B. 不会影响使用已有私钥做SM2数字签名的安全性

C. 不会影响使用已有公钥做SM2数字信封的安全性

D. 不会影响SM3杂凑运算的安全性

答案：AD
以下属于GB/T 39786 《信息安全技术信息系统密码应用基本要求》应用和数据安全层面保护的对象是（）。

A. 应用用户的身份鉴别信息

B. 应用访问控制信息

C. 重要业务数据

D. 操作行为

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于网络和通信安全层面的身份鉴别的说法，正确的有（）。

A. 通信实体之间身份鉴别可以采用 PKI和数字签名技术实现

B. 通信实体之间身份鉴别可以采用对称密码算法实现

C. 通信实体之间身份鉴别可以采用带密钥的杂凑算法（HMAC）实现

D. 当使用PKI和数字签名来实现时，由于不涉及法律责任认定，所以不一定选择第三方电子认证机构来颁发数字证书

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，属于网络和通信安全层面的身份鉴别的包括（）。

A. 网络设备对登录到设备的管理用户进行身份鉴别

B. SSL VPN设备之间在建立连接之前对通信双方的身份鉴别

C. IPSec VPN设备之间在建立连接之前对通信双方的身份进行鉴别

D. 操作系统开机时的用户登录认证

答案：BC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在某条通信信道上部署SSL VPN设备之后，通常可以满足该条信道在网络和通信安全层面的哪几项安全要求（）。

A. 通信实体之间的身份鉴别

B. 通信过程中重要数据的机密性

C. 业务行为的不可否认性

D. 通信过程中数据的完整性

答案：ABD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在某条通信信道上部署IPSec VPN设备之后，通常可以满足该条信道在网络和通信安全层面的哪几项安全要求（）。

A. 通信实体之间的身份鉴别

B. 通信过程中重要数据的机密性

C. 业务行为的不可否认性

D. 通信过程中数据的完整性

答案：ABD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，密码应用第三级信息系统在网络和通信安全层面的身份鉴别，以下说法正确的是（）。

A. 应在通信前基于密码技术对通信双方进行双向身份鉴别

B. 使用密码技术的机密性和真实性功能来实现防截获、防假冒和防重用，保证传输过程中鉴别信息的机密性和网络设备实体身份的真实性

C. 通信实体身份真实性鉴别必须采用数字签名技术实现

D. 对于实体鉴别协议，要尽可能使用 GB/T 15843《信息技术安全技术实体鉴别》中规定协议，避免由非专业人员自行设计

答案：BD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求，这些要求涉及到的对象包括（）。

A. 通信的主体（通信双方）

B. 信息系统与网络边界外建立的网络通信信道

C. 提供通信保护功能的设备、和产品

D. 提供通信保护功能的组件

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定在网络和通信安全层面“采用密码技术保证网络边界访问控制信息的完整性”，以下属于网络边界访问控制信息的有（）。

A. IPSEC VPN网关中的访问控制列表

B. 防火墙的访问控制列表

C. 边界路由的访问控制列表

D. 业务应用的数据访问控制列表

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于网络 and 通信安全层面保证通信过程中重要数据机密性的说法，不正确的有（）。

A. 网络和通信安全层面对数据进行加密保护之后，应用和数据安全层面肯定无需再次加密了

B. 网络层安全协议例如TLCP，支持对通信报文内容的解析，从而可以有选择的加密报文数据的指定部分，而其他部分不加密

C. 在网络边界部署符合要求的IPSec VPN/SSL VPN设备，能为通信过程中的全部数据提供机密性保护

D. 在网络边界部署符合要求的IPSec VPN/SSL VPN设备，能为通信过程中的全部数据提供完整性保护

答案：AB
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定在网络和通信安全层面“采用密码技术保证网络边界访问控制信息的完整性”，以下不属于网络边界访问控制信息的有（）。

A. 服务器的管理用户访问控制列表

B. 边界防火墙的访问控制列表

C. 边界路由的访问控制列表

D. 业务应用的数据访问控制列表

答案：AD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定在网络和通信安全层面“采用密码技术保证网络边界访问控制信息的完整性”，以下属于网络边界访问控制信息的有（）。

A. IPSEC VPN网关中的访问控制列表

B. 边界防火墙的访问控制列表

C. 边界路由的访问控制列表

D. SSLVPN网关中的访问控制列表

答案：ABCD
某电商平台收集了用户的姓名、手机号、地址等信息，需要对这些信息进行存储完整性保护，可采用的完整性保护机制包括（）。

A. SM3

B. HMAC-SM3

C. CBC-MAC-SM4

D. SM2签名算法

答案：BCD
某信息系统拟采用密码技术对登录用户进行身份鉴别，可以使用的密码技术包括（）。

A. 采用动态口令机制

B. 基于对称密码算法的消息鉴别码机制

C. 基于密码杂凑算法的消息鉴别码机制

D. 基于公钥密码算法的数字签名机制

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用（）信息系统，宜/应采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：CD
GB/T 39786《信息安全技术信息系统密码应用基本要求》中，密码应用第二级信息系统没有明确要求的有（）。

A. 访问控制信息完整性

B. 重要信息资源安全标记完整性

C. 重要数据存储完整性

D. 不可否认性

答案：BD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于应用和数据安全层面保证重要数据传输机密性的说法，不正确的有（）。

A. 若网络和通信安全层面对数据进行加密保护之后，应用和数据安全层面无需再次加密保护

B. 责任单位如果声明信息系统没有重要数据，则密评机构在测评时，直接将相关指标标记为不适用

C. 在网络边界部署符合要求的IPSec VPN/SSL VPN设备，能为数据提供全链路的机密性保护

D. 重要数据传输机密性必须使用非对称加密来实现

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第三级的信息系统，在应用和数据安全层面，宜采用密码技术保护的对象及特性有（）。

A. 重要数据存储机密性

B. 访问控制信息完整性

C. 重要数据传输完整性

D. 重要数据存储完整性

答案：BCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，密码应用第三级信息系统责任单位，应（）。

A. 制定密码应用应急策略

B. 做好应急资源准备

C. 密码应用安全事件发生时，立即启动应急处置措施

D. 为信息系统密码应用购买商业保险

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对哪些密码应用等级的信息系统责任单位，当密码应用安全事件发生时，应立即启动应急处置措施（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对哪些密码应用等级的信息系统责任单位，应制定密码应用应急策略（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：BCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》在采用密码技术保证视频监控音像记录数据的存储完整性方面，对哪些密码应用等级的信息系统未作要求（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：AB
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下可用于保护信息系统物理和环境层面安全的密码产品包括（）。

A. 符合GM/T 0036《采用非接触卡的门禁系统密码应用指南》的电子门禁系统

B. 符合GM/T 0024《 SSL VPN技术规范》的SSL VPN产品

C. 符合 GM/T 0022《 IPSec VPN技术规范》的IP VPN产品

D. 符合GM/T 0030《服务器密码机技术规范》的服务器密码机产品

答案：AD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，哪些密码应用等级的信息系统，宜采用密码技术进行物理访问身份鉴别，保证重要区域进入人员身份的真实性（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：BC
GB/T 39786《信息安全技术信息系统密码应用基本要求》物理和环境安全层面提出的要求包括（）

A. 重要区域进入人员身份的真实性

B. 视频监控音像记录数据的存储完整性

C. 电子门禁系统进出记录数据的存储完整性

D. 计算机终端用户的身份真实性

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，哪些密码应用等级信息系统责任单位，在密码应用安全事件发生后，不强制要求向信息系统主管部门或所属的密码管理部门进行报告。（）

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：AB
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，哪些密码应用等级信息系统责任单位，在密码应用安全事件发生后，应及时向信息系统主管部门进行报告。（）

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下对于应急策略，说法正确的是（）。

A. 信息系统责任单位必须把密码应用应急策略单独作为一份文件颁布，不能合并在已有的网络安全应急策略文件之内

B. 对于密码应用第一级信息系统，不强制要求制定密码应用应急策略

C. 应急策略制定完成后，也要定期复查其适用性，有条件的话可以组织定期演练

D. 应急策略制定完成就应该束之高阁，不再理会

答案：BC
某信息系统拟采用密码技术对保证应用的访问控制信息的完整性，可以使用的密码技术包括（）

A. 采用动态口令机制

B. 基于对称密码算法的消息鉴别码机制

C. 基于密码杂凑算法的消息鉴别码机制

D. 基于公钥密码算法的数字签名机制

答案：BCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，下列属于采用密码技术实现对用户进行身份鉴别的是（）。

A. 智能密码钥匙

B. 短信验证码

C. 动态令牌

D. ID卡

答案：AC
GB/T 39786《信息安全技术信息系统密码应用基本要求》中，在应用和数据安全层面，对（）做了完整性保护要求。

A. 应用的访问控制信息

B. 应用的重要信息资源安全标记

C. 所有业务数据

D. 应用的重要业务数据

答案：ABD
以下属于GB/T 39786 《信息安全技术信息系统密码应用基本要求》应用和数据安全层面访问控制信息的是（）。

A. 应用管理员权限

B. 操作系统访问控制信息

C. 本单位应用用户读写权限

D. 防火墙访问控制信息

答案：AC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，使用以下（）措施可安全、合规地满足应用和数据安全中的“重要数据存储完整性 ”指标的要求。

A. 使用SM3算法计算杂凑值

B. 使用SHA-1和RSA- 1024算法计算签名值

C. 使用HMAC-SM3算法计算消息鉴别码

D. 使用SM3和SM2算法计算签名值

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下属于应用和数据安全层面安全措施的是（）。

A. 在移动终端上使用协同签名密码模块登录APP后台信息系统

B. 通过安全认证网关对登录用户的身份进行鉴别

C. 在PC客户端上调用智能密码钥匙对数据签名后传输

D. 采用密码产品对边界防护设备的访问控制信息计算 MAC或签名后保存，以保证其完整性

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于应用和数据安全层面的访问控制信息完整性的说法，正确的有（）。

A. 应用访问控制信息一般存在应用的数据库中

B. 密码应用二级系统“宜采用密码技术保证信息系统应用的访问控制信息的完整性”

C. 密码应用三级系统“宜采用密码技术保证信息系统应用的访问控制信息的完整性”

D. 密码应用四级系统“应采用密码技术保证信息系统应用的访问控制信息的完整性”

答案：ACD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对密码应用第二级的信息系统应用和数据安全层面的要求，正确的是（）。

A. 宜采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性

B. 可采用密码技术保证信息系统应用的访问控制信息的完整性

C. 可采用密码技术保证信息系统应用的重要信息资源安全标记的完整性

D. 宜采用密码技术保证信息系统应用的重要数据在存储过程中的机密性

答案：ABD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在应用和数据安全层面包括的要求有（）。

A. 对通信实体进行身份鉴别

B. 保证在通信过程中应用重要数据的完整性

C. 保证在通信过程中应用重要数据的机密性

D. 保证网络边界访问控制信息的完整性

答案：BC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可用于应用和数据安全层面保护的技术措施包括（）。

A. 协同签名密码模块

B. 服务器密码机

C. 签名验签服务器

D. 数字证书认证系统

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对密码应用第三级的信息系统应用和数据安全层面的要求，正确的是（）。

A. 应采用密码技术对登录用户进行身份鉴别，保证应用系统用户身份的真实性

B. 宜采用密码技术保证信息系统应用的访问控制信息的完整性

C. 应采用密码技术保证信息系统应用的重要数据在存储过程中的机密性

D. 应采用密码技术保证信息系统应用的重要数据在存储过程中的完整性

答案：ABC
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第三级的信息系统，在应用和数据安全层面，哪些密码机制的实现应使用GB/T 37092二级及以上密码产品（）。

A. 身份鉴别

B. 重要数据存储机密性

C. 访问控制信息完整性

D. 重要数据存储完整性

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》在不可否认性方面，对哪些密码应用等级的信息系统未作要求（）。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：AB
判断B用户拥有的数字证书是否是CA机构A签发的，需要执行的操作是（）。

A. 查看B用户证书中颁发者信息和颁发者密钥标识符是否与A机构CA证书中的主体名称信息和主体密钥标识符一致

B. 查看B用户证书中主体名称信息和主体密钥标识符是否与A机构CA证书中的主体名称信息和主体密钥标识符一致

C. 使用A机构CA证书的公钥，验证B用户证书的签名值是否正确

D. 查看B用户证书中主体名称信息和A机构 CA证书的颁发者信息是否一致

答案：AC
某信息系统在密码应用方案中明确了需要对注册用户的手机号进行机密性保护，可以采用的密码算法包括（）。

A. DES

B. SM2

C. SM3

D. SM4

答案：BD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可能用于应用和数据安全层面保护的密码产品包括（）。

A. 智能密码钥匙

B. IPSec VPN网关

C. 签名验签服务器

D. 数字证书认证系统

答案：ACD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在应用中，可基于（）实现重要行为的不可否认性。

A. 签名验签服务器

B. 时间戳服务器

C. 证书认证系统

D. 电子门禁系统

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，重要数据传输时在以下（）链路不会在网络 and 通信安全层面、应用 and 数据安全层面发生重叠。

A. 发送方客户端到其网络出口IPSec VPN之前

B. 发送方IPSec VPN与接收方IPSec VPN之间

C. 重要数据在ESP协议保护下传输时

D. 接收方网络出口 IPSec VPN到应用服务器

答案：AD
GB/T 39786《信息安全技术信息系统密码应用基本要求》在应用 and 数据安全层面身份鉴别指标保护的对象可能是（）。

A. 登录OA系统的用户

B. 登录密码机的设备管理员

C. 登录即时通信系统的用户

D. 登录网上银行的用户

答案：ACD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥分发，以下说法正确的是（）。1

A. 为了节省密钥资源，一个密钥可以提供给多个不同层面的密码技术措施使用2

B. 每个密钥一般只有单一的用途，明确用途并按用途正确使用是十分必要的3

C. 有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性4

D. 密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等5

答案：BCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，密钥的生存周期可能包括的环节有（）。

A. 密钥的产生、分发

B. 密钥的存储、使用、更新

C. 密钥的归档、撤销

D. 密钥的备份、恢复、销毁

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥管理，以下说法正确的是（）。

A. 密钥分发时要注意抗截取、篡改、假冒等攻击，保证密钥的机密性、完整性

B. 密钥在符合 GB/T 37092的密码产品中产生是十分必要的，产生的同时可在密码产品中记录密钥关联信息，包括密钥种类、长度、拥有者、使用起始时间、使用终止时间等

C. 密钥不以明文方式存储在密码产品外部是十分必要的，应采取严格的安全防护措施，防止密钥被非授权的访问或篡改

D. 公钥可以以明文方式在密码产品外存储、传递和使用，无需采取任何防护措施

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥存储，以下说法正确的是（）。

A. 密钥不以明文方式存储在密码产品外部是十分必要的，应采取严格的安全防护措施，防止密钥被非授权的访问或篡改

B. 公钥可以以明文方式在密码产品外存储、传递和使用，但有必要采取安全防护措施,防止公钥被非授权篡改

C. 为了保证密钥存储安全，可以将密钥存储在密码产品中，或者在对密钥进行机密性和完整性保护后，存储在通用存储设备或系统（如数据库）中

D. 并非所有密钥都需要存储，一些临时密钥或一次一密的密钥在使用完就要立即进行销毁

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥备份，以下说法正确的是（）。

A. 对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性

B. 密钥备份行为是审计涉及的范围,有必要生成审计信息，包括备份的主体、备份的时间等

C. 密钥备份的主要目的是保护密钥的可用性，作为密钥存储的补充以防止密钥的意外损坏

D. 密钥备份时一般将备份的密钥存储在外部存储介质中，需要有安全机制保证仅有密钥拥有者才能恢复出密钥明文

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于已投入运行的密码应用第三级以上信息系统，以下说法正确的是（）。

A. 可以不再定期开展密码应用安全性评估

B. 应严格执行既定的密码应用安全管理制度

C. 应定期开展密码应用安全性评估

D. 应定期开展攻防对抗演习

答案：BCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》中，关于安全管理方面的要求包括（）等内容。

A. 管理制度

B. 人员管理

C. 资金管理

D. 应急处置

答案：ABD
GB/T 39786《信息安全技术信息系统密码应用基本要求》三级及以上要求信息系统应明确相关密码应用安全（）和（）的发布流程并进行版本控制。

A. 管理制度

B. 密码应用方案

C. 操作规程

D. 密码应用建设方案

答案：AC
GB/T 39786《信息安全技术信息系统密码应用基本要求》要求信息系统应具备密码应用安全管理制度，包括（）。

A. 密码人员管理制度

B. 密钥管理制度

C. 建设运行制度

D. 应急处置制度

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下（）级别系统使用的密码产品应符合法律法规的相关要求。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可以提供基于非对称密码算法的数字签名功能的密码产品有（）。

A. 密码键盘

B. 签名验签服务器

C. 服务器密码机

D. 智能密码钥匙

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，管理制度方面密码应用第一级到第四级信息系统均应遵守的指标是（）。

A. 具备密码应用安全管理制度

B. 建立密钥管理规则

C. 建立操作规程

D. 定期修订安全管理制度

答案：AB
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第二级及以上信息系统应对（）人员或（）人员执行的日常管理操作建立操作规程。

A. 密码厂商

B. 管理

C. 操作

D. 检查

答案：BC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可用于保证设备中重要可执行程序完整性、重要可执行程序来源真实性的密码技术措施有（）。

A. 对重要可执行程序做代码签名，安装时验签

B. 使用可信计算，自设备上电开始逐级做完整性度量

C. 对重要可执行程序做CBC-MAC，安装时使用密码机做验证

D. 在操作系统上限制不同用户的软件安装权限

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可用于保证日志记录完整性的密码技术有（）。

A. 数字签名

B. 数字信封

C. 消息鉴别码（MAC）

D. 动态口令

答案：AC
GB/T 39786《信息安全技术信息系统密码应用基本要求》要求信息系统应具备密码应用安全管理制度，包括（）。

A. 密钥管理制度

B. 密码软硬件及介质管理制度

C. 工作秘密信息管理制度

D. 应急处置制度

答案：ABD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可用于保证重要信息资源安全标记完整性的密码技术有（）。

A. 动态口令

B. 数字信封

C. 数字签名

D. 消息鉴别码（MAC）

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下可用于基于密码技术的远程管理通道安全的安全通信协议有（）。

A. SSL

B. TLCP

C. IPSec

D. MPLS

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于密码应用实施，以下说法正确的是（）。

A. 考虑到信息系统的具体情况，可以不按照已通过评估的密码应用方案实施建设

B. 密码应用的实施，由密码应用安全性评估机构负责

C. 应按照已经通过评估的密码应用方案实施建设

D. 密码应用实施由信息系统责任单位及其委托的系统集成商、密码厂商负责

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于密钥安全管理策略中关于密钥的分发，要注意抵抗的攻击有（）。

A. 抗截取

B. 抗篡改

C. 抗假冒

D. 抗断网

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于公钥证书的撤销，以下说法正确的是（）。

A. 撤销后的密钥不再具备使用效力

B. 公钥证书撤销后，还需要再对其所含公钥执行撤销

C. 公钥证书到期后，其公钥自然撤销

D. 公钥证书在CRL中出现，即视为已撤销

答案：ACD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，密钥安全管理策略应涵盖（）。

A. 所有密钥的明文数值

B. 密钥种类

C. 各密钥生命周期环节

D. 每个密钥在各生命周期环节的保护策略

答案：BCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于密钥安全管理策略中关于密钥生成的策略，以下安全的方式有（）。

A. 将服务器的CPU序列号作为密钥

B. 在合规的密码产品内部用随机数发生器生成

C. 两个合规的密码产品通过标准的密钥协商协议生成

D. 通过合规的密码产品计算信息系统主程序的杂凑值，作为密钥

答案：BC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在编制密码应用方案时，以下要识别的信息系统总体状况的有（）。

A. 系统架构与网络拓扑

B. 承载的业务情况

C. 软件与硬件组成

D. 等保定级情况

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在编制密码应用方案时，要了解的信息管理机制情况有（）。

A. 管理机构

B. 人员角色

C. 管理职责

D. 现有安全策略

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于数据资产的分类分级和“重要数据”的确定，以下说法正确的是（）。

A. 如果有适用的国家、行业或团体数据分级分类标准，可参考该标准

B. 对于重要数据，必须针对其传输、存储等生命周期过程中的机密性、完整性、不可否认性安全特性都采取密码措施予以保护，否则将面临高风险

C. 数据资产的分级，是建立在风险评估基础之上的

D. 数据的分类分级，可以脱离信息系统的具体业务，只按照领导的意愿来做

答案：AC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于密码应用第三级信息系统，以下说法正确的是（）。

A. 所有技术层面的完整性要求都是“宜”

B. 所有技术层面的身份鉴别要求都是“应”

C. 所有技术层面的机密性要求都是“应”

D. 所有技术层面所采用的密码产品，都应达到GB/T 37092二级及以上

答案：ACD
以下属于GB/T 39786《信息安全技术信息系统密码应用基本要求》信息系统密码应用第二级及以上管理制度方面的要求是（）。

A. 具备密码应用安全管理制度

B. 建立操作规程

C. 建立密码应用岗位责任制度

D. 建立上岗人员培训制度

答案：AB
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下属于网络和通信安全层面关注的通信信道有（）。

A. 被测系统与第三方电子认证服务相关系统之间的通信信道

B. 政务外网VPN客户端与内网SSL VPN之间的通信信道

C. 办公内网国密浏览器与后台管理系统之间的通信信道

D. 互联网VPN客户端与运维SSL VPN之间的运维通信信道

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，可用于网络 and 通信安全层面的密码产品包括（）。

A. 安全电子签章系统

B. SSL VPN设备

C. IPSec VPN设备

D. 安全浏览器

答案：BCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》对网络 and 通信安全层面提出的要求包括（）。

A. 通信实体身份的真实性

B. 通信过程中数据的完整性、重要数据的机密性

C. 网络边界访问控制信息的完整性

D. 从外部连接到内部网络的设备身份的真实性

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，网络 and 通信安全层面主要关注通信主体之间的信道安全，以下属于该层面关注的通信信道有（）。

A. PC机上运行的浏览器与服务器上运行的web服务系统之间的通信信道

B. 移动智能终端上运行的APP与服务器上运行的应用系统之间的通信信道

C. 服务端与服务端（例如，IPSec VPN与IPSec VPN之间）之间的通信信道

D. 基于专网搭建的安全电子邮件传递

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对密码应用第三级的信息系统网络 and 通信安全层面的要求，正确的是（）。

A. 应采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性

B. 宜采用密码技术保证通信过程中数据的完整性

C. 宜采用密码技术保证通信过程中重要数据的机密性

D. 宜采用密码技术保证网络边界访问控制信息的完整性

答案：ABD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对密码应用第二级的信息系统网络 and 通信安全层面的要求，正确的是（）。

A. 宜采用密码技术对通信实体进行身份鉴别，保证通信实体身份的真实性

B. 宜采用密码技术保证通信过程中数据的完整性

C. 宜采用密码技术保证通信过程中重要数据的机密性

D. 可采用密码技术保证网络边界访问控制信息的完整性

答案：ACD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在人员管理方面，密码应用第四级系统较第三级系统增加的要求有（）。

A. 相关设备与系统的管理和使用账号不得多人共用

B. 密钥管理员、密码安全审计员、密码操作员应由本机构的内部员工担任

C. 密钥管理员、密码安全审计员、密码操作员应在任前对其进行背景调查

D. 对关键岗位建立多人共管机制

答案：BC
GB/T 39786《信息安全技术信息系统密码应用基本要求》要求信息系统的相关人员应了解并遵守密码相关法律法规、密码应用安全管理制度，包括（）。

A. 密码法

B. 电子签名法

C. 密码产品操作规程

D. 密码设备配置说明

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，密码应用第三级信息系统对人员管理层面的要求包括（）。

A. 具备密码应用安全管理制度

B. 建立操作规程

C. 建立密码应用岗位责任制度

D. 建立上岗人员培训制度

答案：CD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下哪些用户在“设备和计算安全 ”层面需要做身份鉴别（）。

A. 数据库的审计员用户

B. 服务器操作系统中的管理员用户

C. 进入机房的安检人员

D. 在OA系统上具有审批权的用户

答案：AB
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下基于密码技术的哪些机制可以用在对登录设备用户的身份鉴别上（）。

A. 动态口令

B. 基于数字签名的挑战响应

C. 基于HMAC的挑战响应

D. 基于CBC-MAC的挑战响应

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在使用堡垒机作为设备管理统一入口时，以下说法正确的是（）。

A. 商密产品认证目录中没有堡垒机这个类别，因此无需在意堡垒机内部密钥管理是否有风险

B. 堡垒机与各个设备的连接通道，如果采用了密码技术，也要考虑避免使用高风险的密码算法

C. 堡垒机如果和登录的客户端之间建立了符合TLCP的安全通道，则无需再使用密码技术对使用该客户端登录的管理员用户做身份鉴别

D. 堡垒机与登录客户端之间的通信通道，应作为远程安全管理通道考虑，需符合远程管理通道的密码应用要求

答案：BD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下哪些情况需要对密钥进行更新（）。

A. 密钥超过使用期限

B. 密钥已泄露

C. 密钥存在泄露风险

D. 密钥已经成功分发

答案：ABC
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥备份和恢复，以下说法正确的是（）。

A. 对于需要备份的密钥，采用安全的备份机制对密钥进行备份是必要的，以确保备份密钥的机密性和完整性

B. 密钥备份行为是审计涉及的范围,有必要生成审计信息，包括备份的主体、备份的时间等

C. 密钥恢复可以支持用户密钥恢复和司法密钥恢复

D. 密钥恢复行为是审计涉及的范围，有必要生成审计信息，包括恢复的主体、恢复的时间等

答案：ABCD
根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密钥使用，以下说法正确的是（）。

A. 每个密钥一般只有单一的用途,明确用途并按用途正确使用是十分必要的

B. 密钥使用环节需要注意的安全问题是：使用密钥前获得授权、使用公钥证书前对其进行有效性验证、采用安全措施防止密钥的泄露和替换等

C. 有必要为密钥设定更换周期，并采取有效措施保证密钥更换时的安全性

D. 密钥生存周期管理的技术实现由密码产品提供，即便密码产品不具有商密产品认证证书，也能保证密钥的安全

答案：ABC
GB/T 39786《信息安全技术信息系统密码应用基本要求》在人员管理方面的（）指标是密码应用第三级信息系统应遵守的。

A. 了解并遵守密码相关法律法规、密码管理制度

B. 建立关键人员保密制度和调离制度

C. 建立上岗人员培训制度

D. 定期对密码应用安全岗位人员进行考核

答案：ABCD
以下属于GB/T 39786《信息安全技术信息系统密码应用基本要求》中物理和环境安全层面中的重要区域的是（）。

A. 被测信息系统所在的云服务提供商机房

B. 被测信息系统所在的运营商机房

C. 被测信息系统所有用户的办公室

D. 被测信息系统所在的物理机房

答案：ABD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第四级的信息系统，物理和环境安全层面应采用密码技术保护的对象及特性包括（）。

A. 物理访问身份鉴别

B. 电子门禁记录数据存储完整性

C. 视频监控记录数据存储完整性

D. 电子门禁记录数据存储机密性

答案：ABC
GB/T 39786《信息安全技术信息系统密码应用基本要求》中，物理 and 环境安全层面的重要区域指被测信息系统所在的物理机房，具体包括（）。

A. 物理机房的防火情况

B. 物理机房的电子门禁系统

C. 物理机房的视频监控系统

D. 物理机房的供电情况

答案：BC
以下哪些项属于GB/T 39786《信息安全技术信息系统密码应用基本要求》中物理 and 环境安全层面中的重要区域（）。

A. 被测信息系统所在的IDC机房

B. 被测信息系统所在的运营商机房

C. 被测信息系统所在的云服务提供商机房

D. 被测信息系统所在的物理机房

答案：ABCD
GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用第三级的信息系统在物理和环境层面，宜采用密码技术保护的对象及特性包括（）。

A. 身份鉴别

B. 电子门禁记录数据存储完整性

C. 视频监控记录数据存储完整性

D. 电子门禁记录数据存储机密性

答案：ABC

GB/T 39786《信息安全技术信息系统密码应用基本要求》规定，密码应用（）的信息系统，可采用密码技术保证电子门禁系统进出记录数据的存储完整性。

A. 第一级

B. 第二级

C. 第三级

D. 第四级

答案：AB

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于网络 and 通信安全层面的安全接入认证和身份鉴别指标的说法，正确的有（）。

A. “身份鉴别”指标适用于两个实体通过不可控的网络（比如互联网）进行通信之前进行 的身份鉴别。

B. IPSec VPN 或者 SSL客户端/服务器的场景，IPSec VPN 之间或者 SSL 客户端和服务端之间的鉴别都属于“身份鉴别”指标的测评范围

C. “安全接入认证”指标适用于设备“物理地”从外部接入信息系统的内部网络之前对设备的身份鉴 别，接入后，该设备将成为信息系统内部网络的一部分

D. IPSec VPN 或者 SSL客户端/服务器的场景，IPSec VPN 之间或者 SSL 客户端和服务端之间的鉴别都属于“设备接入认证”指标的测评范围

答案：ABC

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，以下属于网络 and 通信安全层面的安全措施包括（）。

A. 在网络边界部署符合要求的IPSec VPN设备

B. 在网络边界部署符合要求的SSL VPN设备

C. 采用密码产品对边界防护设备的访问控制信息计算 MAC或签名后保存，以保证信息的完整性

D. 采用HTTPS与信息系统建立安全通信通道

答案：ABCD

以下符合GB/T 39786《信息安全技术信息系统密码应用基本要求》通用要求中对密码算法规定的密码算法有（）。

A. SM4

B. SM9

C. ZUC

D. SM3

答案：ABCD

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于网络 and 通信安全层面的安全接入认证的说法，以下说法错误的有（）。67

A. “安全接入认证”是对从外部连接到内部网络的设备进行接入认证，确保接入网络的设备身份真实性89

B. 密码应用第四级信息系统，应采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性1011

C. 密码应用第三级信息系统，宜采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性1213

D. 密码应用第二级信息系统，宜采用密码技术对从外部连接到内部网络的设备进行接入认证，确保接入设备身份的真实性1415

答案：BCD

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，在网络 and 通信安全层面包括的要求有（）。

A. 对通信实体进行身份鉴别

B. 保证通信过程中数据的完整性

C. 保证通信过程中重要数据的机密性

D. 保证网络边界访问控制信息的完整性

答案：ABCD

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，属于《商用密码产品认证目录》中的密码产品种类的是（）。

A. 签名验签服务器

B. 服务器密码机

C. 随机数发生器

D. 云服务器密码机

答案：ABCD

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于密码服务以下说法错误的是（）。

A. 所有密码应用等级的信息系统，其采用的密码服务均应符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格

B. 只有三级及以上信息系统，采用的密码服务才应符合法律法规的相关要求，需依法接受检测认证的，应经商用密码认证机构认证合格。其他密码应用级别的信息系统可以自由选择

C. 只要密码服务所使用的密码产品是具有商密产品认证证书的，则肯定是合规的密码服务

D. GB/T 39786对信息系统使用的密码服务未提任何要求

答案：BCD

GB/T 39786《信息安全技术信息系统密码应用基本要求》要求信息系统中使用的密码技术应遵循密码相关国家标准和行业标准，以下属于密码技术的是（）。

A. 密码算法

B. 密码协议

C. 密钥管理

D. 恶意软件检测

答案：ABC

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，对于“动态令牌”产品，以下说法正确的是（）。

A. 是一种生成并显示动态口令的载体

B. 应具备SM2数字签名功能

C. 应与“动态令牌认证系统”搭配使用

D. 既可基于对称密码算法来计算动态口令，也可基于密码杂凑算法来计算

答案：ACD

根据GB/T 39786《信息安全技术信息系统密码应用基本要求》，关于商用密码产品检测认证，与密码应用安全性评估的关系，以下说法正确的是（）。16

A. 二者都是针对密码产品的检测17

B. 商用密码产品检测认证的认证对象是商用密码产品，而密评的对象是承载某类信息化业务的信息系统18

C. 即便一个信息系统使用的商用密码产品全都具有商用密码认证证书，也不一定能够通过密评19

D. 国外厂商研制的商用密码产品，一定无法通过商用密码产品检测并获得认证证书20

答案：BC

菜单

1月8日密码应用基本要求（多选）

评论

1月8日 密码应用基本要求（多选）

评论

1月8日密码应用基本要求（多选）