测评过程(共46题,每题1分,合计46.0分)
1.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评单元结果判定正确的是( )。
(题库题号:3846) (1分)
A. 测评单元包含的所有测评对象的测评结果均为符合或部分符合,则对应测评单元结果判定为符合。
B. 测评单元包含的所有测评对象的测评结果均为不符合,则对应测评单元结果判定为不符合。
C. 测评单元包含的所有测评对象的测评结果均为不适用,则对应测评单元结果判定为不适用。
D. 测评单元包含的所有测评对象的测评结果不全为符合或不符合,则对应测评单元结果判定为部分符合。
2.根据GM/T 0115 《信息系统密码应用测评要求 》,下面哪些密码技术能够满足保护视频监控记录数据的存储完整性()。
(题库题号:3620) (1分)
A. 基于对称密码算法的MAC技术
B. 对称加密
C. 基于密码杂凑算法的MAC技术
D. SM2数字签名
3.根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些不是测评方案编制活动的主要任务( )。
(题库题号:3826) (1分)
A. 现场测评准备
B. 单项测评结果判定
C. 测评检查点确定
D. 确认测评工具的可用性
4.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方案编制活动中,测评对象确定阶段的任务描述,正确的是( )。
(题库题号:3828) (1分)
A. 描述被测信息系统时,一般以被测信息系统的网络拓扑结构为基础,采用总分式的描述方法
B. 被测单位需要确定被测信息系统需要保护的核心资产,以及相应的威胁模型和安全策略
C. 资产的价值根据资产的重要性和关键程度确定
D. 核心资产及其他需要保护的配套数据 、敏感安全参数的威胁模型和安全策略等均由被测单位根据密码应用方案 、网络安全等级保护定级报告等确 定,并由测评方进行核查和确认
5.根据GM/T 0116《信息系统密码应用测评过程指南》,在密评工作方案编制活动中,测评对象确定阶段的主要任务包括( )。
(题库题号:3827) (1分)
A. 识别被测信息系统的基本情况
B. 描述被测信息系统
C. 确定测评对象、描述测评对象
D. 资产和威胁评估
6.根据GM/T 0116《信息系统密码应用测评过程指南》,测评指标确认的依据包括( )。
(题库题号:3830) (1分)
A. 被测信息系统的定级结果
B. 信息系统密码应用测评要求
C. 相关行业标准及规范
D. 密码应用方案
7.根据GM/T 0116《信息系统密码应用测评过程指南》,资产的价值根据资产的( )确定。
(题库题号:3829) (1分)
A. 资产的可用性
B. 资产的重要性
C. 资产的价格
D. 资产的关键程度
8.根据GM/T 0116《信息系统密码应用测评过程指南》,实施密码应用管理要求评估时,以下哪些选项属于可能的测评对象( )。
(题库题号:3832) (1分)
A. 安全管理制度
B. 加密机操作操作规程
C. 系统密码应用方案
D. 安全事件记录
9.根据GM/T 0116《信息系统密码应用测评过程指南》,测评检查点确定的主要内容有( )。
(题库题号:3831) (1分)
A. 列出需要接受现场检查的关键设备和检查内容
B. 确定测试路径和工具接入点,采用图示的方式描述测评工具的接入点、测试目的、测试途径和测试对象等相关内容
C. 确定选用的测评工具,并进行校准
D. 不适用测评指标分析
10.根据GM/T 0116《信息系统密码应用测评过程指 南》,以下哪项属于现场测评活动的内容( )
(题库题号:3836) (1分)
A. 召开首次会
B. 与委托方确认测评记录
C. 形成单元测评结果
D. 传输数据采集分析
11.根据GM/T 0116《信息系统密码应用测评过程指南》,被测信息系统的密评结论可能是( )。
(题库题号:3859) (1分)
A. 符合
B. 部分符合
C. 不符合
D. 基本符合
12.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方案编制活动的输出文档及文档内容,说法正确的是( )。
(题库题号:3835) (1分)
A. 输出文档包含测评对象部分、测评指标部分、测评实施部分等内容
B. 测评指标部分应说明被测信息系统相应等级对应的适用和不适用的测评指标
C. 测评工作所需的人员、资料、场所等保障要求需要在客户确认测评方案后单独进行沟通确认 。
D. 密评方案应包括但不限于以下内容:项目概述、测评对象、测评指标、测评检查点以及单元测评实施等。
13.根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估活动过程中,( )属于现场测评阶段的活动。
(题库题号:3837) (1分)
A. 现场测评和结果记录
B. 现场测评准备
C. 结果确认和资料归还
D. 单项测评结果判定
14.根据GM/T 0116《信息系统密码应用测评过程指南》,下列文档属于测评准备活动阶段需要输出的是( )。
(题库题号:3822) (1分)
A. 现场测评授权书
B. 密评方案
C. 项目计划书
D. 会议签到表单
15.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评准备活动的输出文档及其内容,说法正确的是( )。
(题库题号:3823) (1分)
A. 在项目启动任务 中,输入文档包括委托测评协议书、保密协议等,输出文档为项目计划书
B. 在信息收集和分析任务中,输入文档为调查表格,输出文档为调查表格、被测信息系统相关的技术资料
C. 在工具和表单准备任务中输出文档为选用的测评工具清单,打印的各类表单。
D. 调查表格、被测信息系统相关的技术资料内容应涵盖被测信息系统的网络安全保护等级、业务情况、软硬件情况、密码应用情况 、密码管理情况等
16.根据GM/T 0116《信息系统密码应用测评过程指 南》,以下属于测评准备活动的输出文档的是( )
(题库题号:3824) (1分)
A. 系统情况调研表
B. 签署的合同
C. 选用的测评工具清单
D. 会议签到表
17.根据GM/T 0116《信息系统密码应用测评过程指南》,在密码应用安全性评估过程中,以下哪些属于测评准备阶段的活动()。
(题库题号:3825) (1分)
A. 项目启动
B. 现场测评
C. 信息收集和分析
D. 工具和表单准备
18.根据GM/T 0116《信息系统密码应用测评过程指 南》,以下哪些材料为测评方需要收集的( )
(题库题号:3820) (1分)
A. 被测信息系统总体描述文件
B. 被测信息系统密码应用总体描述文件
C. 被测系统密码应用方案
D. 等级保护定级报告及等级测评报告
19.根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段工具和表单准备活动中,需要项目组提前准备并打印的表单包括( )。
(题库题号:3821) (1分)
A. 合同文件
B. 现场测评授权书
C. 风险告知书、文档交接单
D. 会议记录表单、会议签到表单等。
20.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于针对已经取得商用密码产品认证证书的密码产品的测评工作,说法正确的是( )。
(题库题号:3840) (1分)
A. 需要针对密码产品依据产品或检测标准指标进行逐条判定并记录测评结果
B. 无需其本身进行重复检测,主要进行符合性核验和配置检查
C. 可以联系密码产品审批部门或相应的检测认证机构进行确认
D. 无需针对设备进行检测,所有测评内容均可判定为符合
21.根据GM/T 0116《信息系统密码应用测评过程指南》,测评方对信息系统开展密码应用安全性评估时,应遵循的原则,正确的是( )。
(题库题号:3809) (1分)
A. 测评方应保证在符合国家密码管理部门要求及最小主观判断情形
B. 测评工作可重用商用密码检测认证结果
C. 测评工作可重用密码应用安全性评估的测评结果
D. 测评所产生的结果应客观反映信息系统的密码应用现状
22.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评过程中数据采集和分析工作,说法正确的是( )。
(题库题号:3841) (1分)
A. 需要检查传输的口令、用户隐私数据等重要数据是否进行了保护(如对密文进行随机性检测 、查看关键字段是否以明文出现),验证杂凑值和签名值是否正确
B. 需要重点采集被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据,分析使用的密码算法 、密码协议、关键数据结构(如数字证书格式)是否合规
C. 在条件允许的情况下,可以重放采集的关键数据(如身份鉴别数据)验证被测信息系统是否具备防重放攻击的能力
D. 在条件允许的情况下,可以尝试修改存储的数据验证被测信息系统是否对存储数据进行了完整性保护
23.根据GM/T 0116《信息系统密码应用测评过程指南》,在对信息系统开展密码应用安全性评估时,以下属于测评实施过程中客观公正性原则的是( )。
(题库题号:3808) (1分)
A. 测评方应保证在符合国家密码管理部门要求及最佳主观判断情形
B. 测评方案需要测评方与被测单位共同认可
C. 测评过程需要基于明确定义的测评方式和解释
D. 方案合理,测评方即可开展现场测评活动
24.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评方对信息系统开展密码应用安全性评估时,应遵循的原则,正确的是( ) 。
(题库题号:3807) (1分)
A. 可重复性和可再现性原则
B. 可重用性原则
C. 客观公正性原则
D. 结果完善性原则
25.根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪些属于现场测评活动的输出文档( )
(题库题号:3844) (1分)
A. 更新确认的密评方案
B. 各类测评结果记录
C. 签署过的测评授权书
D. 风险告知书
26.根据GM/T 0116《信息系统密码应用测评过程指南》,以下哪项任务是方案编制活动中的主要任务( )。
(题库题号:3806) (1分)
A. 测评人员确定
B. 测评对象确定
C. 测评指标确定
D. 测评检查点确定
27.根据GM/T 0116《信息系统密码应用测评过程指南》,单元测评主要是针对各测评指标中的各个测评对象,客观、准确地分析测评证据,对每个测评对象分别进行( )。
(题库题号:3845) (1分)
A. 记录修改
B. 测评实施
C. 结果判定
D. 综合分析
28.根据GM/T 0116《信息系统密码应用测评过程指南》,项目计划书应包含( )等内容。
(题库题号:3817) (1分)
A. 项目概述、工作依据说明
B. 技术思路
C. 不适用指标描述
D. 工作内容和项目组织安排
29.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于测评过程包括四项基本测评活动,描述正确的是( )。
(题库题号:3816) (1分)
A. 测评准备活动包括项目启动、信息收集和分析等
B. 方案编制活动包括测评检查点确定、测评内容确定等
C. 现场测评活动包括现场测评和结果记录、结果确认和资料归还等
D. 分析与报告编制活动包括单元测评、整体测评、风险分析等
30.根据GM/T 0116《信息系统密码应用测评过程指南》,现场测评活动包含下列哪几项( )。
(题库题号:3838) (1分)
A. 确认整体密码部署是否合规
B. 实地检查密码配置是否正确
C. 测评检查点的确定
D. 授权接入系统后确认密码使用是否有 效
31.根据GM/T 0116《信息系统密码应用测评过程指南》,测评方对信息系统开展密码应用安全性评估时,应遵循的原则,错误的是( )。
(题库题号:3811) (1分)
A. 测评工作可重用密码应用安全性评估的测评结果
B. 测评方应保证在符合国家密码管理部门要求及最佳主观判断情形
C. 方案合理,测评方即可开展现场测评活动
D. 测评所产生的结果应客观反映信息系统的密码应用现状
32.根据GM/T 0116《信息系统密码应用测评过程指南》,采集分析被测信息系统与外界通信的数据以及被测信息系统内部传输和存储的数据时,需从以下方面进行( )。
(题库题号:3839) (1分)
A. 分析使用的密码算法、密码协议、关键数据结构是否合规
B. 检查传输的口令、用户隐私数据等重要数据是否进行了保护
C. 验证杂凑值和签名值是否正确
D. 条件允许的情况下可模拟进行重放攻击
33.根据GM/T 0116《信息系统密码应用测评过程指南》,以下关于可重复性和可再现性原则正确的是( )。
(题库题号:3810) (1分)
A. 按照同样的要求,不同的密评人员对每个测评实施过程的重复执行应得到同样的结果
B. 在同样的环境下,不同的密评人员对每个测评实施过程的重复执行应得到同样的结果
C. 可再现性关注不同密评人员测评结果的一致性
D. 可重复性关注同一密评人员测评结果的一致性
34.以下关于评估结论的描述正确的是( )。
(题库题号:3858) (1分)
A. 符合:被测信息系统中未发现安全问题,测评结果中所有单元测评结果中部分符合和不符合项的统计结果全为 0,综合得分为100分。
B. 基本符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为 0,且综合得分不低于阈值。
C. 不符合:被测信息系统中存在安全问题,部分符合和不符合项的统计结果不全为0,综合得分低于阈值。
D. 不符合:被测信息系统存在的安全问题会导致 被测信息系统面临高等级安全风险。
35.根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段进行是信息收集和分析的过程中,测评方可以使用( )等方式,了解被测信息系统的构成和密码应用情况,为编写密评方案和开展现场测评工作奠定基础。
(题库题号:3818) (1分)
A. 填写调查表格
B. 查阅资料
C. 现场调查
D. 预测试
36.根据GM/T 0116《信息系统密码应用测评过程指南》,在测评准备阶段进行是信息收集和分析的过程中,测评方收集测评所需资料包括( )。
(题库题号:3819) (1分)
A. 被测信息系统总体描述文件、 密码应用总体描述文件
B. 网络安全等级保护定级报告、网络安全等级保护测评报告
C. 安全总体方案、安全详细设计方案、密码应用方案
D. 密码产品的用户操作指南、密码应用安全规章制度
37.根据GM/T 0115 《信息系统密码应用测评要求 》,下列关于网络和通信安全层面“身份鉴别”测评指标的测评过程描述哪些是正确的()。
(题库题号:3580) (1分)
A. 通过访谈,了解采用了哪种通信实体身份鉴别实现机制
B. 核查并验证身份鉴别机制是否正确有效
C. 核查采用的密码算法和密码技术是否合规
D. 核查采用的密钥管理措施是否安全
38.根据GM/T 0116《信息系统密码应用测评过程指南》,关于整体测评,以下说法错误的是( ) 。
(题库题号:3848) (1分)
A. 整体测评的输出是密评报告的单元测评结果修正部分
B. 整体测评是对各个单元测评结果进行汇总分析,统计符合情况
C. 整体测评包括测评单元间的整体测评 、层面间的整体测评
D. 测评单元的量化评估在整体测评前完成
39.根据GM/T 0115 《信息系统密码应用测评要求 》,下列哪些密码技术能够满足保护电子门禁系统进出记录数据的存储完整性()。
(题库题号:3619) (1分)
A. 基于对称密码算法的MAC技术
B. 基于密码杂凑算法的MAC技术
C. 对称加密
D. SM2数字签名
40.根据GM/T 0116《信息系统密码应用测评过程指 南》,每个测评对象对应的测评结果可能是( )
(题库题号:3847) (1分)
A. 符合
B. 不符合
C. 部分符合
D. 不适用
41.根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评过程中,针对测评对象“部分符合 ”及“不符合”要求的单个测评项,分析与该测评项相关的( )的测评对象能否和它发生关联关系,发生何种关联关系,这些关联关系产生的作用是否可以“弥补”该测评项的不足,以及该测评项的不足是否会影响与其有关联关系的其他测评项的测评结果。
(题库题号:3850) (1分)
A. 其他测评对象
B. 其他测评项
C. 其他单元
D. 其他层面
42.根据GM/T 0116《信息系统密码应用测评过程指南》,整体测评任务针对测评结果为( )的测评对象,采取逐条判定的方法,给出整体测评的具体结果。
(题库题号:3849) (1分)
A. 符合
B. 部分符合
C. 不符合
D. 不适用
43.根据GM/T 0116《信息系统密码应用测评过程指南》,关于资产和威胁评估,说法正确的是( )。
(题库题号:3855) (1分)
A. 资产价值的认定,是依据资产价格来决定
B. 资产价值越高表明资产遭到威胁时将导致越高的风险
C. 威胁发生频率越高表明资产的安全越有可能受到威胁
D. 资产价值高低的界定可由测评委托单位根据密码应用方案、等级保护定级报告等继承和确 定,并由测评结构进行审查和确认
44.根据GM/T 0116《信息系统密码应用测评过程指南》,根据( ),判断测评结果汇总中部分符合项或不符合项所产生的安全问题被威胁利用的可能性,可能性的取值范围为高、中和低。
(题库题号:3852) (1分)
A. 威胁发生频率
B. 威胁类型
C. 自身水平
D. 量化评估结果
45.根据GM/T 0116《信息系统密码应用测评过程指南》,评估结论需要在( )的基础上形成。
(题库题号:3857) (1分)
A. 整体测评
B. 测评结果汇总
C. 量化评估
D. 风险分析
46.根据GM/T 0116《信息系统密码应用测评过程指南》,密码应用安全性评估过程中在分析与报告编制阶段,通过( )环节,找出整个系统密码安全保护现状和相应等级保护要求之间的差距。
(题库题号:3856) (1分)
A. 单项测评结果判定
B. 单元测评结果判定
C. 整体测评
D. 风险分析
测评内容(共3题,每题1分,合计3.0分)
1.某信息系统采用动态口令机制对登录用户进行身份鉴别,针对应用和数据安全层面“身份鉴别”测评单元,应核查的内容包括()。
(题库题号:4105) (1分)
A. 核查密码算法合规性
B. 核查密码技术合规性
C. 核查密码产品合规性
D. 核查动态口令机制是否正确和有效
2.密码产品核查是测评过程的重点,测评时需要核查以下哪些方面()。
(题库题号:4113) (1分)
A. 确认所有实现的密码算法、密码协议是否获得了商密检测机构出具的合格检测报告或密码产品是否获得了商用密码产品认证证书
B. 评估密码产品是否被正确、有效使用
C. 已经检测认证合格的产品,是否使用了未经认可的密码算法或协议
D. 密码产品是否被错误使用、配置,甚至被旁路
3.根据GM/T 0115 《信息系统密码应用测评要求 》,以下可作为设备和计算安全层面“远程管理通道安全”测评内容的是()。
(题库题号:3630) (1分)
A. 管理员从互联网使用浏览器直接访问堡垒机管理应用的通道
B. 管理员在互联网通过SSL VPN接入内网后,使用浏览器访问堡垒机管理应用的通道
C. 管理员在内网通过堡垒机对应用服务器进行集中管理的通道
D. 业务用户在互联网使用国密浏览器访问业务应用的通道
测评对象选取(共27题,每题1分,合计27.0分)
1.GM/T 0115《信息系统密码应用测评要求》中,应用和数据安全层面的测评对象为“业务应用以及重要数据”,实际测评时,以下表述正确的是() 。
(题库题号:4010) (1分)
A. 应用和数据安全层面的测评对象应包含关键业务应用,具体参考通过专家评审后的密码应用方案设定的范围确定
B. 如无密码应用方 案,应根据网络安全等级保护定级报告描述的范围确定
C. 关键业务应用一般情况下应包含被测系统的所有业务应用
D. 关键业务应用中的关键数据一般包含 但不限于以下数 据:鉴别数据、重要业务数据、重要审计数据、个人敏感信息以及法律法规规定的其他重要数据类型
2.某信息系统部署于两个自建机房,机房之间通过光纤连接,启用防火墙的IPSec VPN对机房之间的业务流量进行保护,通过服务器密码机对应用服务器的日志记录进行完整性保护。根据GM/T 0115《信息系统密码应用测评要求》,以下作为设备和计算安全层面测评对象的是()。
(题库题号:3589) (1分)
A. 应用服务器
B. 服务器密码机
C. 光纤连接器
D. 防火墙
3.以下选项中可纳入业务系统应用和数据安全层面 重要数据存储完整性测评单元测评对象的有()
(题库题号:4015) (1分)
A. 用户名和口令
B. 重要审计数据
C. 公开网站用户浏览记录
D. 数据库的应用日志记录
4.根据GM/T 0115 《信息系统密码应用测评要求 》,对于三级信息系统,物理和环境安全的测评关注点包括信息系统所在机房等重要区域及其( )。
(题库题号:3577) (1分)
A. 动力环境监控系统
B. 电子门禁系统
C. 消防联动控制系统
D. 视频监控系统
5.在针对应用和数据安全层面进行测评时,以下属于该安全层面测评对象的是()。
(题库题号:4011) (1分)
A. 应用系统管理员
B. 应用系统
C. 密码产品
D. 技术文档
6.根据GM/T 0115 《信息系统密码应用测评要求 》,以下哪些选项属于物理和环境安全层面在测评时应该关注的对象()。
(题库题号:3576) (1分)
A. 信息系统所在机房等重要区域
B. 信息系统所在机房等重要区域的电子门禁系统
C. 信息系统所在机房等重要区域的视频监控系统
D. 信息系统所在机房等重要区域部署的防病毒系统
7.某云平台部署了服务器密码机对云平台和云上应用提供数据存储保护,部署了电子签章系统供云上应用调用,该云平台未通过密码应用安全性评估,则针对云上应用进行密码应用安全性评估时,以下描述合理的是()。
(题库题号:4108) (1分)
A. 云平台运行所在机房应作为测评对象
B. 云平台运行所在机房不作为测评对象
C. 服务器密码机应作为测评对象
D. 电子签章系统应作为测评对象
8.依据GM/T 0115 《信息系统密码应用测评要求 》,以下选项中属于设备和计算安全层面测评对象的有()。
(题库题号:3569) (1分)
A. 应用服务器
B. 虚拟机
C. 数据库
D. 金融数据密码机
9.业务应用中的关键数据一般包含但不限于以下数据()。
(题库题号:4016) (1分)
A. 鉴别数据
B. 重要审计数据
C. 个人敏感信息
D. 需备份的密钥
10.某云平台部署了服务器密码机,同时面向云平台和云上应用提供数据存储保护,且云平台已经通过了密码应用安全性评估,在对云上应用进行密码应用安全性评估时,以下描述正确的是()。
(题库题号:4110) (1分)
A. 服务器密码机不作为测评对象
B. 服务器密码机应作为测评对象
C. 直接引用云平台的服务器密码机测评结果
D. 服务器密码机应结合业务应用一起测评
11.某公有云平台部署了服务器密码机对云平台和云上应用提供数据存储保护,部署了电子签章系统仅供云上应用调用,则在对公有云平台进行密码应用安全性评估时,以下关于测评对象选择正确的是()。
(题库题号:4109) (1分)
A. 云平台运行所在机房应作为测评对象
B. 服务器密码机不作为测评对象
C. 服务器密码机应作为测评对象
D. 电子签章系统应作为测评对象
12.依据GM/T 0115 《信息系统密码应用测评要求 》,下列可能作为应用和数据安全层面“重要数据存储完整性”测评指标具体测评对象的是()。
(题库题号:3606) (1分)
A. 鉴别数据
B. 访问控制信息
C. 重要业务数据
D. 用户操作日志
13.依据GM/T 0115 《信息系统密码应用测评要求 》,下列可能作为应用和数据安全层面“重要数据存储机密性”测评指标具体测评对象的是()。
(题库题号:3604) (1分)
A. 鉴别数据
B. 身份证号
C. 重要业务数据
D. 重要信息资源安全标记
14.根据GM/T 0115 《信息系统密码应用测评要求 》,设备和计算安全层面,系统资源访问控制信息主要包括( )。
(题库题号:3591) (1分)
A. 操作系统文件目录的访问控制信息
B. 设备操作系统的系统权限访问控制信息
C. 堡垒机等第三方运维系统中的权限访问控制信息
D. 数据库中的数据访问控制信息
15.根据GM/T 0115 《信息系统密码应用测评要求 》,以下可作为设备和计算安全层面测评对象的 是()
(题库题号:3590) (1分)
A. 具有密码功能的网络及安全设备
B. 服务器密码机
C. 密钥管理系统
D. 数据库管理系统
16.一般情况下,以下不是设备和计算安全层面测评 对象的是()
(题库题号:3979) (1分)
A. 交换机
B. 网闸
C. 应用服务器
D. 防火墙(不含密码 功能)
17.依据GM/T 0115 《信息系统密码应用测评要求 》,在云平台测评中,下列哪些资产有可能作为应用和数据安全层面的测评对象()。
(题库题号:3642) (1分)
A. 云资源管理系统
B. 密码服务平台
C. 云上应用
D. 统一身份认证平台
18.按照GM/T 0115《信息系统密码应用测评要求》中对测评对象的阐述,以下内容正确的是()。
(题库题号:3608) (1分)
A. 物理和环境安全层面的测评对象仅涉及电子门禁系统
B. 网络和通信安全层面的测评对象包括内网环境中的设备远程运维通道
C. 数据库及其管理系统属于设备和计算安全层面的测评对象
D. 应用和数据安全层面的身份鉴别指标的测评对象是登录应用系统的用户
19.依据GM/T 0115《信息系统密码应用测评要求》, 应急处置层面的测评对象包括()。
(题库题号:3607) (1分)
A. 密码应用应急策略
B. 应急处置记录
C. 攻防对抗演练记录
D. 安全事件报告
20.对信息系统进行测评时,针对整机类密码产品 (如IPSec VPN网关、SSL VPN网关、安全认证网关、金融数据密码机、服务器密码机、签名验签服务器、时间戳服务器、云服务器密码机等)、系统类密码产品(如动态令牌认证系统、证书认证系统、证书认证密钥管理系统等),以下表述正确的是()。
(题库题号:3982) (1分)
A. 以“具有相同商用密码产品认证证书编号的密码产品”为粒度确定测评对象
B. 具有同一商用密码产品认证证书的密码产品作为一个测评对象
C. 同一厂家密码产品作为一个测评对象
D. 对密码产品类测评对象进行量化评估时,D/A/K均以各测评对象所包含的各个整机类的密码产品或系统类密码产品的实际应用情况的最低分值赋分
21.设备和计算层面的测评对象主要包括以下哪些 ()。
(题库题号:3981) (1分)
A. 通用服务器(如应用服务器、数据库服务器)
B. 数据库管理系统
C. 整机类和系统类的密码产品
D. 堡垒机(当系统使用堡垒机用于对设备进行集中管理 时,不涉及应用和数据安全层面)
22.以下选项中,通常可作为设备和计算安全层面测 评对象的是()。
(题库题号:3985) (1分)
A. 应用服务器
B. 数据库服务器
C. 数据库管理系统
D. 防火墙(不具备密 码功能)
23.以下选项中,属于应用和数据安全层面的重要数 据的是()
(题库题号:3989) (1分)
A. 鉴别数据
B. 重要业务数据
C. 重要审计数据
D. 个人敏感信息
24.通过通信主体来确定网络和通信安全层面的测评对象时,以下关于通信主体的描述, 正确的是 ()。
(题库题号:3999) (1分)
A. 参与通信的各方,典型的如客户端与服务端
B. PC机上运行的浏览器与服务器上运行的web服务系统
C. 移动智能终端上运行的APP与服务器上运行的应用系统
D. 服务端与服务端,例如,IPSec VPN与 IPSec VPN之间
25.物理和环境安全层面的测评对象为被测信息系统所在的物理机房,具体为()。
(题库题号:4009) (1分)
A. 物理机房的门禁系统
B. 物理机房的视频监控系统
C. 物理机房的动力环境系统
D. 物理机房的巡查记录
26.一般情况下,以下哪些不是设备和计算层面的测 评对象()
(题库题号:3995) (1分)
A. 防火墙
B. WAF
C. 网闸
D. 数据库
27.通常可以从以下哪些方面来确定网络和通信安全层面的测评对象()。
(题库题号:3998) (1分)
A. 通信主体
B. 网络类型
C. 网络协议
D. 通信模式
第四大题(共1题,每题1分,合计1.0分)
1.对于二级信息系统,以下哪些测评指标可由信息系统责任方自行决定是否按照GM/T 0115《信息系统密码应用测评要求》中该测评指标要求进行测评和结果判定( )。
(题库题号:3566) (1分)
A. 身份鉴别
B. 电子门禁记录数据存储完整性
C. 通信数据完整性
D. 日志记录完整性