【题库】| 商用密码应用安全性评估从业人员考核题库(十二)
商用密码应用安全性评估从业人员考核题库(551-600)
密码知识题库(551-600题)带解析复习手册
551. 判断题 | 根据《国家政务信息化项目建设管理办法》,国家政务信息化项目验收的内容中,不包括安全风险评估报告。
A. 正确
B. 错误
正确答案:B. 错误
解析:
根据《国家政务信息化项目建设管理办法》,安全风险评估报告是政务信息化项目验收的必备内容之一,用于验证项目安全保障措施的有效性。题干中“不包括”的表述与规定不符,因此该判断错误。
552. 判断题 | 根据《国家政务信息化项目建设管理办法》,国家政务信息化项目建设单位提交验收申请报告时,应当一并附上密码应用安全性评估报告。
A. 正确
B. 错误
正确答案:A. 正确
解析:
《国家政务信息化项目建设管理办法》明确要求,建设单位在提交项目验收申请报告时,必须同步提交密码应用安全性评估报告,以确保项目密码应用符合安全规范。因此该判断正确。
553. 判断题 | 根据《国家政务信息化项目建设管理办法》,对于不符合密码应用和网络安全要求,或者存在重大安全隐患的政务信息系统,可以通过安排运行维护经费进行整改。
A. 正确
B. 错误
正确答案:B. 错误
解析:
对于不符合密码应用和网络安全要求或存在重大安全隐患的政务信息系统,不得通过安排运行维护经费进行整改,必须先完成安全整改并通过验收后,方可纳入运行维护经费保障范围。因此题干表述错误。
554. 判断题 | 根据《国家政务信息化项目建设管理办法》,国务院办公厅、国家发展改革委、财政部、中央网信办会同有关部门对国家政务信息化项目中的密码应用、网络安全等情况实施监督管理。
A. 正确
B. 错误
正确答案:A. 正确
解析:
该办法明确规定,由国务院办公厅、国家发展改革委、财政部、中央网信办等多部门联合,对政务信息化项目的密码应用、网络安全等关键环节进行监督管理,确保项目合规建设与安全运行。因此该判断正确。
555. 判断题 | 根据《国家政务信息化项目建设管理办法》,各部门应当定期开展密码应用安全性评估,确保政务信息系统运行安全和政务信息资源共享交换的数据安全。
A. 正确
B. 错误
正确答案:A. 正确
解析:
定期开展密码应用安全性评估是《国家政务信息化项目建设管理办法》的明确要求,其目的是持续保障政务信息系统运行安全和数据共享交换安全。因此该判断正确。
556. 判断题 | 根据《信息安全等级保护管理办法》,等级保护工作中有关密码工作的监督、检查、指导由国家密码管理部门负责。
A. 正确
B. 错误
正确答案:A. 正确
解析:
《信息安全等级保护管理办法》规定,国家密码管理部门依法负责等级保护工作中密码应用的监督、检查和指导,确保密码技术在等级保护中合规使用。因此该判断正确。
557. 判断题 | 根据《信息安全等级保护管理办法》,国家密码管理部门对信息安全等级保护的密码实行分类分级管理。
A. 正确
B. 错误
正确答案:A. 正确
解析:
为适配不同等级保护对象的安全需求,国家密码管理部门对信息安全等级保护中的密码实施分类分级管理,针对不同安全等级和应用场景制定差异化的密码应用规范。因此该判断正确。
558. 判断题 | 根据《信息安全等级保护管理办法》,信息系统运营、使用单位采用密码进行等级保护的,应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。
A. 正确
B. 错误
正确答案:A. 正确
解析:
信息系统运营、使用单位在等级保护中应用密码技术时,必须严格遵循《信息安全等级保护密码管理办法》《信息安全等级保护商用密码技术要求》等专门的密码管理规定和标准,确保密码应用的规范性和安全性。因此该判断正确。
559. 判断题 | 根据《信息安全等级保护管理办法》,信息系统安全等级保护中密码的配备、使用和管理等,应当严格执行国家密码管理的有关规定。
A. 正确
B. 错误
正确答案:A. 正确
解析:
该办法明确要求,信息系统等级保护中密码的配备、使用和全生命周期管理,必须严格遵守国家密码管理的相关规定,确保密码应用符合安全合规要求。因此该判断正确。
560. 判断题 | 根据《信息安全等级保护管理办法》,采用密码对涉及国家秘密的信息和信息系统进行保护的,应经报保密行政管理部门审批。
A. 正确
B. 错误
正确答案:B. 错误
解析:
采用密码保护涉及国家秘密的信息和信息系统时,应遵循国家保密和密码管理的相关规定,并非仅需报保密行政管理部门审批,还需符合密码管理部门的要求。题干表述片面,因此该判断错误。
561. 判断题 | 根据《信息安全等级保护管理办法》,运用密码技术对信息系统进行系统等级保护建设和整改的,未经批准不得采用含有加密功能的进口信息技术产品。
A. 正确
B. 错误
正确答案:A. 正确
解析:
为保障国家信息安全,该办法规定,在运用密码技术开展等级保护建设和整改时,未经相关部门批准,严禁使用含加密功能的进口信息技术产品,防范供应链安全风险。因此该判断正确。
562. 判断题 | 根据《信息安全等级保护管理办法》,未经国家密码管理局认可的测评机构,不得对信息系统中的密码及密码设备进行评测。
A. 正确
B. 错误
正确答案:A. 正确
解析:
密码及密码设备的评测工作具有高度专业性和安全性要求,必须由经国家密码管理局认可的专业测评机构开展,未经认可的机构不得从事相关评测活动。因此该判断正确。
563. 判断题 | 根据《信息安全等级保护管理办法》,各级密码管理部门对信息系统等级保护工作中密码使用和管理的情况每年至少进行一次检查和测评。
A. 正确
B. 错误
正确答案:B. 错误
解析:
各级密码管理部门对等级保护中密码使用和管理情况的检查频次并非固定为“每年至少一次”,而是根据实际安全需求和监管要求动态开展,题干表述过于绝对且不符合实际规定,因此该判断错误。
564. 判断题 | 根据《信息安全等级保护管理办法》,在等级保护工作的监督检查过程中,发现未达到密码相关标准要求的,应当按照国家密码管理的相关规定进行处置。
A. 正确
B. 错误
正确答案:A. 正确
解析:
在等级保护监督检查中,若发现密码应用未达到相关标准要求,必须依据国家密码管理的规定采取整改、处置等措施,确保密码应用符合安全规范。因此该判断正确。
565. 判断题 | 根据《信息安全等级保护管理办法》,第三级以上信息系统运营单位违反密码管理规定的,由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正。
A. 正确
B. 错误
正确答案:A. 正确
解析:
对于第三级及以上高等级信息系统运营单位违反密码管理规定的行为,由公安机关、国家保密工作部门、国家密码工作管理部门依据职责分工,责令其限期改正,确保高等级系统密码应用安全。因此该判断正确。
566. 判断题 | 根据《个人信息保护法》,个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定,并防止未经授权的访问以及个人信息泄露、篡改、丢失,措施中包括相应的加密、去标识化等安全技术措施。
A. 正确
B. 错误
正确答案:A. 正确
解析:
《个人信息保护法》明确要求,个人信息处理者必须采取包括加密、去标识化在内的安全技术措施,保障个人信息处理活动合法合规,防范未授权访问、泄露、篡改、丢失等安全风险。因此该判断正确。
567. 单项选择题 | 我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中,都应用( )技术构建了密码保障体系。
A. 核心密码
B. 普通密码
C. 商用密码
D. 核心密码和普通密码
正确答案:C. 商用密码
解析:
商用密码用于保护不属于国家秘密的信息,广泛应用于金融、身份认证、电力、社保、教育等关键领域的信息系统,构建安全可靠的密码保障体系。
-
A、D选项:核心密码、普通密码用于保护国家秘密信息,不适用于题干所述的民用或公共服务领域系统。
-
B选项:普通密码同样面向国家秘密保护场景,与题干应用场景不符。
-
C选项:商用密码是保护非国家秘密信息的专用密码技术,完全适配题干所列系统的安全需求,因此正确。
568. 单项选择题 | 商用密码从业单位开展商用密码活动,应当符合该从业单位公开标准的技术要求,对此下列说法正确的是( )。
A. 企业生产的商用密码产品如果执行国家标准,则不需要公开相应标准编号
B. 企业生产的商用密码产品如果执行的标准是本企业制定的,则只要公开标准名称,不必公开标准编号
C. 公开标准的类别和内容由企业自主确定,可以不以公开编码
D. 企业应当公开其提供的密码产品的设计细节
正确答案:C. 公开标准的类别和内容由企业自主确定,可以不以公开编码
解析:
商用密码从业单位公开技术标准时,可自主确定公开的类别和内容,无需强制公开标准编码,只需确保公开内容符合合规要求。
-
A选项:执行国家标准的商用密码产品,需公开相应标准编号,该选项错误。
-
B选项:企业自行制定的标准,需公开标准编号,该选项错误。
-
D选项:企业无需公开密码产品的设计细节,仅需公开符合要求的技术标准,该选项错误。
-
C选项:符合商用密码从业单位公开标准的自主选择权规定,因此正确。
569. 单项选择题 | 以下密码算法没有成为国际标准的是( )。
A. SM1分组密码算法
B. SM4分组密码算法
C. SM9数字签名算法
D. ZUC密码算法
正确答案:A. SM1分组密码算法
解析:
-
A选项:SM1分组密码算法是我国自主研发的商用密码算法,未成为国际标准。
-
B选项:SM4分组密码算法已被纳入ISO/IEC国际标准,成为全球通用的分组密码标准之一。
-
C选项:SM9数字签名算法已成为ISO/IEC国际标准,在身份认证、数字签名等领域广泛应用。
-
D选项:ZUC密码算法是3GPP国际标准中采用的序列密码算法,属于国际标准密码算法。
570. 单项选择题 | 近些年,我国建立和完善商用密码标准体系,商用密码标准取得较大进展,对此下列说法正确的是( )。
A. 我国已经发布了商用密码的强制性国家标准
B. 我国商用密码现行国家标准均为推荐性的
C. 商用密码行业标准不能上升为国家标准
D. 我国有强制性的商用密码行业标准
正确答案:B. 我国商用密码现行国家标准均为推荐性的
解析:
我国现行商用密码国家标准均为推荐性标准,用于指导和规范商用密码技术应用,暂无强制性国家标准。
-
A选项:我国目前无商用密码强制性国家标准,该选项错误。
-
C选项:商用密码行业标准可根据需求上升为国家标准,该选项错误。
-
D选项:商用密码行业标准也为推荐性,无强制性行业标准,该选项错误。
-
B选项:符合我国商用密码标准体系的实际情况,因此正确。
571. 单项选择题 | 密码的加密保护功能用于保证( )。
A. 信息的机密性
B. 信息的真实性
C. 数据的完整性
D. 行为的不可否认性
正确答案:A. 信息的机密性
解析:
加密保护的核心作用是通过密码算法将明文转换为密文,确保只有授权方能够解密获取原始信息,从而保障信息的机密性。
-
B选项:信息真实性需通过数字签名、消息认证码等技术实现,并非加密的核心功能。
-
C选项:数据完整性需通过哈希函数、消息认证码等技术验证,与加密保护功能无关。
-
D选项:行为不可否认性需通过数字签名等技术实现,加密无法直接保障。
-
A选项:精准对应加密保护的核心功能,因此正确。
572. 单项选择题 | 密码在网络空间中身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用,可实现信息的( )、( )和行为的( )。
A. 机密性、真实性、不可否认性
B. 秘密性、确定性、完整性
C. 机密性、安全性、统一性
D. 秘密性、有效性、不可抵赖性
正确答案:A. 机密性、真实性、不可否认性
解析:
密码在网络空间中的核心作用可概括为:
-
保障信息的机密性(加密保护)、真实性(身份认证、消息认证);
-
保障行为的不可否认性(数字签名等抗抵赖技术)。
-
B、C、D选项中的“秘密性、确定性、统一性、有效性”等表述,均不符合密码技术的标准安全目标定义。
-
A选项:精准匹配密码技术的三大核心安全目标,因此正确。
573. 单项选择题 | 商用密码服务是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码( )的活动。
A. 支持和保障
B. 进出口
C. 产品生产
D. 产品销售
正确答案:A. 支持和保障
解析:
商用密码服务的核心是为用户提供密码技术相关的集成、运营、监理等支持与保障服务,而非产品生产、销售或进出口环节。
-
B、C、D选项:均属于商用密码产业的其他环节,与“服务”的定义不符。
-
A选项:准确概括了商用密码服务的内涵,因此正确。
574. 单项选择题 | 关于商用密码应用安全性评估的原则,以下表述错误的是( )。
A. 商用密码应用安全性评估实施分类分级管理
B. 新建的重要领域网络和信息系统,应当在规划、建设、运行三个阶段开展评估
C. 已建成的重要领域网络和信息系统不再需要开展评估
D. 商用密码应用安全性评估的关键点是应用的合规性、正确性和有效性
正确答案:C. 已建成的重要领域网络和信息系统不再需要开展评估
解析:
商用密码应用安全性评估需覆盖全生命周期,已建成的重要领域系统也需定期开展评估,持续验证密码应用的合规性、正确性和有效性。
-
A选项:分类分级管理是商用密码应用安全性评估的基本原则,该选项正确。
-
B选项:新建重要系统需在规划、建设、运行全阶段开展评估,该选项正确。
-
D选项:评估的核心关键点正是应用的合规性、正确性和有效性,该选项正确。
-
C选项:表述与“全生命周期评估”原则相悖,因此错误。
575. 单项选择题 | 截至2023年6月1日,国家密码管理部门已经发布( )期商用密码应用安全性评估试点机构目录。
A. 1
B. 2
C. 3
D. 4
正确答案:B. 2
解析:
截至2023年6月1日,国家密码管理部门已发布2期商用密码应用安全性评估试点机构目录,逐步规范评估机构的资质与管理。
-
A、C、D选项:与官方发布的目录期数不符,因此错误。
-
B选项:符合实际发布情况,因此正确。
576. 单项选择题 | 截至2023年6月1日,根据国家密码管理局发布的相关文件、通知,我国有商用密码应用安全性评估试点机构资格的机构一共有( )。
A. 24家
B. 36家
C. 73家
D. 60家
正确答案:C. 73家
解析:
截至2023年6月1日,国家密码管理局公布的商用密码应用安全性评估试点机构总数为73家,覆盖全国各地区和关键行业。
-
A、B、D选项:与官方公布的机构数量不符,因此错误。
-
C选项:符合实际统计数据,因此正确。
577. 单项选择题 | 《政务信息系统密码应用与安全性评估工作指南》(2020版)的适用对象是( )。
A. 非涉密的国家政务信息系统建设单位和使用单位
B. 政务信息系统集成单位
C. 商用密码应用安全性评估机构
D. 以上都是
正确答案:D. 以上都是
解析:
《政务信息系统密码应用与安全性评估工作指南》(2020版)的适用对象涵盖:
-
非涉密国家政务信息系统的建设单位、使用单位;
-
政务信息系统集成单位;
-
商用密码应用安全性评估机构。
因此所有选项均属于适用对象范围,D选项正确。
578. 单项选择题 | 《政务信息系统密码应用与安全性评估工作指南》(2020版)制定的依据不包括( )。
A. 《国家政务信息化项目建设管理办法》
B. 《商用密码应用安全性评估管理办法(试行)》
C. 《电子政务电子认证服务业务规则规范》
D. 《中华人民共和国密码法》
正确答案:C. 《电子政务电子认证服务业务规则规范》
解析:
该指南的制定依据主要包括《国家政务信息化项目建设管理办法》《商用密码应用安全性评估管理办法(试行)》《中华人民共和国密码法》等核心法规,不包括《电子政务电子认证服务业务规则规范》。
-
A、B、D选项:均为该指南的正式制定依据,因此错误。
-
C选项:属于电子认证服务的专项规范,并非该指南的制定依据,因此正确。
579. 单项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),关于政务信息系统密码应用与安全性评估实施过程的表述,错误的是( )。
A. 密码应用方案通过密评是项目立项的必要条件
B. 建设阶段涉及密码应用的,应用方案调整优化后,应再次对调整后的密码应用方案进行确认
C. 系统通过密评是项目验收的必要条件
D. 初次未通过密评的政务信息系统,不得通过项目验收
正确答案:A. 密码应用方案通过密评是项目立项的必要条件
解析:
密码应用方案通过评估是项目建设实施的重要前提,但并非项目立项的必要条件,立项阶段主要完成可行性研究和审批,密码应用方案评估属于建设阶段的关键环节。
-
B选项:建设阶段密码应用方案调整后需重新确认,符合指南要求,该选项正确。
-
C选项:系统通过密评是项目验收的法定必要条件,该选项正确。
-
D选项:初次未通过密评的系统不得验收,符合指南规定,该选项正确。
-
A选项:混淆了“立项”与“建设实施”阶段的要求,因此错误。
580. 单项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),在政务信息系统运行阶段,关于密码应用与安全性评估的要求,错误的是( )。
A. 在政务信息系统运行阶段,项目使用单位定期委托密码评估机构对系统开展密评
B. 网络安全等级保护第三级及以上的政务信息系统,每年至少密评一次
C. 密评机构对政务信息系统开展密评时,应从总体要求、物理和环境安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估
D. 运行后的政务信息系统未通过单轮密评,项目使用单位要对系统进行整改后再次开展密评
正确答案:B. 网络安全等级保护第三级及以上的政务信息系统,每年至少密评一次
解析:
网络安全等级保护第三级及以上政务信息系统的密评周期为每两年至少一次,并非每年一次,题干表述与指南要求不符。
-
A选项:运行阶段使用单位需定期委托评估机构开展密评,符合指南要求,该选项正确。
-
C选项:密评需覆盖物理、设备、应用、密钥、管理等全维度,符合指南要求,该选项正确。
-
D选项:未通过密评的系统需整改后重新评估,符合指南要求,该选项正确。
-
B选项:密评周期表述错误,因此正确。
581. 单项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),关于密评机构对政务信息系统开展密评工作的表述,正确的是( )。
A. 密评机构负责对政务信息系统的密码应用方案进行密评
B. 密评机构负责对政务信息系统开展密码应用安全性评估
C. 密评机构负责对政务信息系统的密码应用进行监督管理
D. 以上都对
正确答案:D. 以上都对
解析:
密评机构的核心职责包括:
-
对政务信息系统的密码应用方案进行评估;
-
对政务信息系统开展密码应用安全性评估;
-
配合监管部门对密码应用情况进行监督管理。
因此所有选项均符合密评机构的职责定位,D选项正确。
582. 单项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),密评机构对政务信息系统开展密评时,需依据的标准规范、指导性文件及管理要求是( )。
A. 《商用密码应用安全性评估管理办法(试行)》
B. 《信息系统密码应用基本要求》
C. 《商用密码应用安全性评估过程指南(试行)》
D. 以上都是
正确答案:D. 以上都是
解析:
密评机构开展评估工作时,需同时依据:
-
《商用密码应用安全性评估管理办法(试行)》(管理依据);
-
《信息系统密码应用基本要求》(技术依据);
-
《商用密码应用安全性评估过程指南(试行)》(流程依据)。
因此所有选项均为必备依据,D选项正确。
583. 多项选择题 | 密码行业标准化技术委员会的主要职责包括( )。
A. 提出密码行业标准规划和年度标准制定、修订计划的建议
B. 组织密码行业标准的编写、审查、宣贯和推广
C. 组织密码领域的国家标准和行业标准的宣传贯彻,推荐密码领域标准化成果申报科技进步奖
D. 受国家标准化管理委员会委托,对相关国际标准文件进行提案
正确答案:A、B、C、D
解析:
密码行业标准化技术委员会的核心职责覆盖全流程:
-
A选项:提出行业标准规划和计划建议,属于前期规划职责,正确。
-
B选项:组织标准编写、审查、宣贯,属于标准实施与推广职责,正确。
-
C选项:组织标准宣贯、推荐成果评奖,属于标准应用与价值提升职责,正确。
-
D选项:受委托参与国际标准提案,属于国际标准化对接职责,正确。
584. 多项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),某单位拟建设政务信息系统,下列建设环节中符合法律要求的是( )。
A. 密码应用方案应当通过密评
B. 密码应用方案一旦通过密评须严格遵守,不得调整
C. 系统建设完成后,必须对系统开展密评
D. 系统通过密评是项目验收的必要条件
正确答案:A、C、D
解析:
-
A选项:密码应用方案必须通过密评,确保建设前期密码应用合规,正确。
-
B选项:密码应用方案通过密评后,若系统需求或安全场景发生变化,可按程序调整并重新评估,并非“不得调整”,该选项错误。
-
C选项:系统建设完成后必须开展密评,验证密码应用的实际效果,正确。
-
D选项:系统通过密评是项目验收的法定必要条件,未通过不得验收,正确。
585. 多项选择题 | 按照《政务信息系统密码应用与安全性评估工作指南》(2020版)的内容,政务信息系统的建设单位,需要对政务信息系统进行保护,其中包括建立安全的密钥管理方案、采取有效的安全管理措施、采用密码技术措施等,其中密码技术措施包括( )。
A. 物理和环境安全
B. 网络和通信安全
C. 设备和计算安全
D. 应用和数据安全
正确答案:A、B、C、D
解析:
政务信息系统密码技术措施需覆盖全维度安全域:
-
A选项:物理和环境安全(如机房密码门禁、监控加密),正确。
-
B选项:网络和通信安全(如VPN加密、通信链路加密),正确。
-
C选项:设备和计算安全(如设备加密存储、计算节点密码认证),正确。
-
D选项:应用和数据安全(如数据加密存储、应用身份认证),正确。
586. 多项选择题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),政务信息系统密码应用的安全管理措施包括( )。
A. 制度
B. 人员
C. 实施
D. 应急
正确答案:A、B、C、D
解析:
政务信息系统密码应用的安全管理措施是全流程覆盖的体系:
-
A选项:制度(如密码管理制度、操作规程),正确。
-
B选项:人员(如密码管理人员资质、培训、权限管理),正确。
-
C选项:实施(如密码部署、运维、审计流程),正确。
-
D选项:应急(如密码泄露、系统故障的应急处置预案),正确。
587. 多项选择题 | 按照《政务信息系统密码应用与安全性评估工作指南》(2020版),在政务信息系统中,密码机构的职责主要包括( )。
A. 对政务信息系统的密码应用方案进行审查
B. 对单位人员进行密码培训
C. 对政务信息运行流程进行评估
D. 对政务信息系统开展密评
正确答案:A、D
解析:
密码机构的核心职责聚焦于密码专业领域:
-
A选项:审查密码应用方案,确保方案合规性与安全性,正确。
-
B选项:人员密码培训属于使用单位的职责,并非密码机构核心职责,错误。
-
C选项:政务信息运行流程评估不属于密码机构的专业范畴,错误。
-
D选项:开展密码应用安全性评估,是密码机构的核心法定职责,正确。
588. 多项选择题 | 按照人社部《职业分类大典》,以下与密码技术直接相关的职业是( )。
A. 密码技术应用员
B. 密码管理员
C. 密码工程技术人员
D. 密码分析员
正确答案:A、C
解析:
根据人社部《职业分类大典》,与密码技术直接相关的职业明确为:
-
A选项:密码技术应用员(从事密码技术落地实施的一线职业),正确。
-
C选项:密码工程技术人员(从事密码算法研发、系统设计的工程类职业),正确。
-
B、D选项:“密码管理员”“密码分析员”并非《职业分类大典》中明确的独立职业分类,属于相关岗位而非法定职业名称,因此错误。
589. 判断题 | 商用密码在我们生活中无处不在,例如我们的二代居民身份证也使用了商用密码。
A. 正确
B. 错误
正确答案:A. 正确
解析:
二代居民身份证采用了我国自主研发的商用密码技术,实现了身份信息的加密存储和安全认证,是商用密码在民生领域的典型应用。因此该判断正确。
590. 判断题 | 我国商用密码行业标准的代号是GM。
A. 正确
B. 错误
正确答案:A. 正确
解析:
我国商用密码行业标准的代号为GM(“商用密码”拼音首字母缩写),例如GM/T 0001-2012《祖冲之序列密码算法》等。因此该判断正确。
591. 判断题 | 我国密码行业的标准化组织是国家密码管理局。
A. 正确
B. 错误
正确答案:B. 错误
解析:
我国密码行业的标准化组织是密码行业标准化技术委员会,国家密码管理局是密码行业的行政主管部门,并非标准化组织。因此该判断错误。
592. 判断题 | 在《政务信息系统密码应用与安全性评估工作指南》(2020版)中,编制政务信息系统密码应用方案应遵循总体性原则、完备性原则及适用性原则。
A. 正确
B. 错误
正确答案:A. 正确
解析:
该指南明确规定,编制政务信息系统密码应用方案需遵循**总体性原则(覆盖全系统)、完备性原则(覆盖全安全需求)、适用性原则(匹配系统实际场景)**三大核心原则。因此该判断正确。
593. 判断题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),在政务信息系统建设阶段,系统通过密评并不是项目验收的必要条件。
A. 正确
B. 错误
正确答案:B. 错误
解析:
《政务信息系统密码应用与安全性评估工作指南》(2020版)明确规定,系统通过密评是项目验收的法定必要条件,未通过密评的政务信息系统不得通过验收。因此题干表述错误。
594. 判断题 | 根据《政务信息系统密码应用与安全性评估工作指南》(2020版),未经检测认证的密钥管理方案技术实现可向国家密码管理部门备案。
A. 正确
B. 错误
正确答案:B. 错误
解析:
密钥管理方案的技术实现必须通过检测认证,未经检测认证的方案不得备案也不得使用,题干表述与指南要求相悖。因此该判断错误。
595. 多项选择题 | 下面关于密码学的基本概念说法正确的是( )。
A. 原始的消息称为明文
B. 经过加密的消息称为密文
C. 用来传输消息的通道称为信道
D. 消息的接发送者称为信宿
正确答案:A、B、C
解析:
-
A选项:原始未加密的消息定义为明文,正确。
-
B选项:经过加密算法处理后的消息定义为密文,正确。
-
C选项:传输消息的通道定义为信道,正确。
-
D选项:消息的接收者称为信宿,“发送者”称为信源,该选项概念混淆,错误。
596. 单项选择题 | 根据Kerckhoffs原则,密码系统的安全性主要依赖于( )。
A. 密钥
B. 加密算法
C. 解密算法
D. 通信双方
正确答案:A. 密钥
解析:
Kerckhoffs原则(柯克霍夫原则)是密码学的核心原则之一,其核心观点是:密码系统的安全性应完全依赖于密钥的保密性,而非算法的保密性。即使算法公开,只要密钥安全,密码系统依然可靠。
-
B、C选项:加密/解密算法应公开设计,其安全性不依赖算法本身的保密性,因此错误。
-
D选项:通信双方是密码系统的使用主体,并非安全性核心依赖因素,错误。
-
A选项:符合Kerckhoffs原则的核心定义,因此正确。
597. 多项选择题 | 在分组密码中用到扩散和混淆的理论。理想的扩散是( )。
A. 明文的一位只影响密文对应的一位
B. 让密文中的每一位受明文中每一位的影响
C. 让明文中的每一位影响密文中的所有位
D. 一位明文影响对应位置的密文和后续密文
正确答案:B、C
解析:
扩散(Diffusion)是分组密码的核心设计思想,其目标是让明文的每一位影响密文的所有位,同时让密文的每一位受明文所有位的影响,从而隐藏明文的统计特性,抵御统计分析攻击。
-
A选项:仅影响对应位是“无扩散”的表现,无法抵御统计分析,错误。
-
B选项:密文每一位受明文所有位影响,符合理想扩散的定义,正确。
-
C选项:明文每一位影响密文所有位,符合理想扩散的定义,正确。
-
D选项:仅影响对应位置和后续位,属于部分扩散,并非理想扩散,错误。
598. 多项选择题 | 在分组密码设计中用到扩散和混淆的理论。理想的混淆是( )。
A. 使密文和密钥之间的统计关系变得尽可能复杂
B. 使得对手即使获得了关于密文的一些统计特性,也无法推测密钥
C. 使用复杂的非线性代替变换
D. 让密文中的每一位受明文中每一位的影响
正确答案:A、B、C
解析:
混淆(Confusion)是分组密码的核心设计思想,其目标是让密文与密钥、明文之间的统计关系尽可能复杂,使攻击者无法通过密文统计特性推测密钥,通常通过非线性变换实现。
-
A选项:使密文与密钥统计关系复杂,符合混淆的核心目标,正确。
-
B选项:阻止攻击者通过密文统计推测密钥,是混淆的直接效果,正确。
-
C选项:非线性变换是实现混淆的核心技术手段,正确。
-
D选项:描述的是“扩散”的特性,而非混淆,错误。
599. 单项选择题 | 2000年10月,美国NIST宣布( )算法作为新的高级加密标准AES。
A. Rijndael
B. RC6
C. SERPENT
D. Twofish
正确答案:A. Rijndael
解析:
2000年,美国国家标准与技术研究院(NIST)正式选定Rijndael算法作为高级加密标准(AES),取代原有的DES算法,成为全球通用的对称加密标准。
-
B、C、D选项:RC6、SERPENT、Twofish均为AES候选算法,但最终未被选中,因此错误。
-
A选项:符合NIST的官方选定结果,因此正确。
600. 单项选择题 | 根据密码分析者所掌握的分析资料的不同,密码分析一般可分为四类:唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击,其中( )是在公开的网络中能获得的最现实的能力。
A. 唯密文攻击
B. 已知明文攻击
C. 选择明文攻击
D. 选择密文攻击
正确答案:A. 唯密文攻击
解析:
在公开网络环境中,密码分析者最容易获取的只有密文,因此唯密文攻击是最现实、最常见的密码分析场景,攻击者仅能通过截获的密文尝试还原明文或密钥。
-
B选项:已知明文攻击需要获取部分明文-密文对,在公开网络中较难实现,错误。
-
C、D选项:选择明文/密文攻击需要攻击者能主动选择输入并获取对应输出,属于可控场景,在公开网络中几乎无法实现,错误。
-
A选项:符合公开网络中密码分析的现实条件,因此正确。
