1.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,对于密码应用第三级信息系统,应()对密码应用安全管理制度和操作规程的合理性和适用性进行论证和审定。
A.不定期
B.定期
C.随时
D.按需
正确答案:B
2.下列选项中不属于GB/T 39786《信息安全技术 信息系统密码应基本要求》中管理制度方面相关要求的是()。
A.应具备密码应用安全管理制度,包括密码人员管理、密钥管理、建设运行、应急处置、密码软硬件及介质管理等制度
B.应根据密码应用方案建立相应密钥管理规则
C.应对密码厂商相关人员执行的日常管理操作建立操作规程
D.应具有密码应用操作规程的相关执行记录并妥善保存
正确答案:C
3.对于密码应用第二级及以下信息系统的密钥管理策略,根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》以下说法正确的是()。
A.无需制定密钥管理策略
B.应根据密码应用方案,确定系统涉及的密钥种类、体系及其生命周期环节
C.由于信息系统的密码应用要求不高,密钥管理策略可以只涉及密钥生成环节,不必涉及其他环节
D.可以只针对应用和数据安全涉及的密钥制定管理策略,而忽略其他层面的密钥管理
正确答案:B
4.关于信息系统的应用和数据层面的密钥体系,根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,以下说法正确的是()。
A.由业务系统根据密码应用需求在密码应用方案中明确,并在密码应用实施中落实
B.由数字证书认证系统提供
C.由密钥管理系统提供
D.由多类密码设备分别提供
正确答案:A
5.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,关于密钥分发,以下说法错误的是()。
A.密钥分发时要注意抗截取、篡改、 假冒等攻击,保证密钥的机密性、完整性
B.密钥分发是密钥从一个密码产品传递到另一个密码产品的过程
C.密钥分发时要注意保证分发者、接收者身份的真实性
D.密钥分发只能通过人工方式进行
正确答案:D
6.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,对于密码应用第三级信息系统,应建立密码应用岗位责任制度,对关键岗位建立()机制。
A.专人专管
B.多人共管
C.多人单管
D.专人共管
正确答案:B
7.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,对于密码应用第四级信息系统,应建立密码应用岗位责任制度,关键安全岗位应由()员工担任。
A.上级
B.本机构
C.下级
D.密码厂商
正确答案:B
8.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级信息系统,()采用密码技术保证系统资源访问控制信息的完整性。
A.应
B.宜
C.可
D.以上都不是
正确答案:B
9.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级信息系统,远程管理设备时,()采用密码技术保证远程管理通道安全。
A.应
B.宜
C.可
D.以上都不是
正确答案:A
10.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级信息系统所采用的密码产品,以下说法正确的是()。
A.应达到GB/T 37092三级及以上安全级别
B.应达到GB/T 37092二级及以上安全级别
C.应达到GB/T 37092二级及以下安全级别
D.无需具有商密认证证书
正确答案:B
11.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于设备中重要可执行程序完整性,一般未采用密码技术实现的措施是()。
A.对重要可执行程序做代码签名,安装时验签
B.使用可信计算,自设备上电开始逐级做完整性度量
C.对重要可执行程序做CBC-MAC,安装时使用密码机做验证
D.在操作系统上限制不同用户的软件安装权限
正确答案:D
12.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于设备日志记录完整性,以下哪种做法符合信息系统第四级密码应用要求()。
A.直接记录日志,不做任何完整性标记
B.不用密码技术做完整性保护,但对日志文件做定期备份
C.在每条日志记入的同时,对该条日志做数字签名
D.不用密码技术做完整性保护,但将日志包含的数据尽可能减少,不要包含敏感数据项
正确答案:C
13.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于远程管理通道的安全,以下说法正确的是()。
A.常见的远程管理协议包括SSH、RDP等
B.使用HTTP协议做远程管理通道就是安全的
C.租用运营商网络专线做远程管理通道,一定是安全的
D.使用串口直连方式接入设备做配置管理,也属于安全的远程管理通道
正确答案:A
14.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,政务信息系统需要第三方电子认证服务时,应选择()。
A.具有电子政务电子认证服务资质的机构
B.在工商部门合法注册的电子认证机构
C.使用合规密码产品的电子认证机构
D.由国家机关运营的电子认证机构
正确答案:A
15.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,关于网络和通信安全层面的“安全接入认证”要求,以下说法错误的是()。
A.是对从外部连接到内部网络的设备进行接入认证,确保接入网络的设备身份真实性
B…密码应用第四级的信息系统宜满足该要求
C.密码应用第三级的信息系统可满足该要求
D.能防止未授权人员冒充合法的设备管理员身份
正确答案:D
16.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定了信息系统在网络和通信安全层面的密码应用技术要求,这些要求涉及到的对象不包括()。
A.通信的主体(通信双方)
B.信息系统与网络边界外建立的网络通信信道
C.提供通信保护功能的设备、组件和产品
D.应用软件
正确答案:D
18.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,在网络和通信安全层面不包括以下哪方面的要求( )。
A.对通信实体进行身份鉴别
B.保证通信过程中数据的完整性
C.通信设备日志记录的完整性
D.保证网络边界访问控制信息的完整性
正确答案:C
19.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,对密码应用第二级信息系统网络和通信安全层面的要求,不正确的是()。
A.宜采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性
B.宜采用密码技术保证通信过程中数据的完整性
C.宜采用密码技术保证通信过程中重要数据的机密性
D.可采用密码技术保证网络边界访问控制信息的完整性
正确答案:B
20.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,对密码应用第三级信息系统网络和通信安全层面的要求,不正确的是()。
A.应采用密码技术对通信实体进行身份鉴别,保证通信实体身份的真实性
B.宜采用密码技术保证通信过程中数据的完整性
C.宜采用密码技术保证通信过程中重要数据的机密性
D.宜采用密码技术保证网络边界访问控制信息的完整性
正确答案:C
21.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,在网络和通信安全层面的要求不包括()。
A.保证通信过程中数据的完整性
B.重要可执行程序的来源真实性
C.保证通信过程中重要数据的机密性
D.保证网络边界访问控制信息的完整性
正确答案:B
22.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》网络和通信安全层面的要求,以下说法不正确的是()。
A.网络和通信安全层面主要是针对跨网络访问的通信信 道,这里的跨网络访问包括从不受保护的网络区域访问被测系统
B.网络和通信安全层面的密码应用要求主要指利用密码技术保护网络通信链路的安全,不涉及其他层次的相关概念
C.在网络边界部署符合要求的 IPSeC VPN或 SSL VPN 设备,是满足网络和通信安全层面要求的通用实现方法
D.网络和通信安全层面要求对通信过程中的数据,进行区分语义的机密性和完整性保护
正确答案:D
网络和通信安全层面不区分语义,是对信道进行加密
23.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,网络和通信安全层面的身份鉴别用于保证()。
A.重要区域进入人员身份的真实性
B.通信实体身份的真实性
C.登录设备的用户的身份真实性
D.登录业务系统的用户的身份真实性
正确答案:B
24.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,网络和通信安全层面的身份鉴别,以下说法正确的是()。
A.对于密码应用第三级系统,应采用密码技术对通信实体进行双向身份鉴别
B.身份鉴别的对象是通信实体,例如SSL VPN网关设备,而非通过网络访问信息系统的业务用户
C.通信实体身份真实性鉴别必须通过数字签名和验签技术实现
D.只要身份鉴别协议所使用的密码算法是安全的,鉴别协议本身就是安全的
正确答案:B
25.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,密码应用()及以上信息系统,应采用密码技术保证通信过程中重要数据的机密性。
A.第一级
B.第二级
C.第三级
D.第四级
正确答案:CD
26.根据GB/T 39786-2021《信息安全技术 信息系统密码应用基本要求》,以下哪种密码算法,不能满足网络和通信安全层面“采用密码技术保证通信数据完整性”的要求。()
A.HMAC-SM3
B.SM4-GCM
C.SM4-CTR
D.SM2签名算法
正确答案:C
27.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,密码应用第三级的信息系统,宜采用密码技术保证电子门禁系统()。
A.进出记录数据的存储机密性
B.电子门禁系统管理员的身份真实性
C.进出记录数据的存储完整性
D.电子门禁系统固件的存储完整性
正确答案:C
28.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,密码应用()信息系统,宜采用密码技术保证电子门禁系统进出记录数据的存储完整性。
A.第一级
B.第二级
C.第三级
D.第四级
正确答案:C
29.以下哪项不属于GB/T 39786《信息安全技术 信息系统密码应用基本要求》中物理和环境安全层面中的重要区域()。
A.被测信息系统所在的IDC机房
B.被测信息系统终端用户所在的办公室
C.被测信息系统所在的云服务提供商机房
D.被测信息系统所在的物理机房
正确答案:B
30.GB/T 39786《信息安全技术 信息系统密码应用基本要求》物理和环境安全层面的身份鉴别,用于保证()。
A.重要区域进入人员身份的真实性
B.视频监控系统管理员的身份真实性
C.电子门禁系统管理员的身份真实性
D.计算机终端用户的身份真实性
正确答案:A
31.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,密码应用()信息系统,宜采用密码技术进行物理访问身份鉴别,保证重要区域进入人员身份的真实性。
A.第一级
B.第二级
C.第三级
D.第四级
正确答案:BC
32.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,采用密码技术保证视频监控音像记录数据的()。
A.存储完整性
B.存储机密性
C.传输完整性
D.传输机密性
正确答案:A
33.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,密码应用第三级信息系统,()采用密码技术保证视频监控音像记录数据的存储完整性。
A.应
B.宜
C.可
D.无要求
正确答案:B
34.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第二级信息系统的应急处置,以下哪种说法是正确的()。
A.可根据密码产品提供的安全策略,由用户自主处置密码应用安全事件
B.应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,按照应急处置措施结合实际情况及时处置
C.应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置
D.以上都不对
正确答案:B
35.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级及以上信息系统的应急处置,以下哪种说法是正确的()。
A.可根据密码产品提供的安全策略,由用户自主处置密码应用安全事件
B.应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应等待上级批准后再实施处置
C.应制定密码应用应急策略,做好应急资源准备,当密码应用安全事件发生时,应立即启动应急处置措施,结合实际情况及时处置
D.以上都不对
正确答案:C
36.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级信息系统的应急处置,以下说法正确的是()。
A.密码应用安全事件发生后,不强制要求向信息系统主管部门或属地密码管理部门进行报告
B.密码应用安全事件发生后,应及时向信息系统主管部门进行报告
C.密码应用安全事件发生后,应及时向信息系统主管部门及归属的密码管理部门进行报告
D.以上都不对
正确答案:B
37.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第四级信息系统的应急处置,以下说法正确的是()。
A.密码应用安全事件发生后,不强制要求向信息系统主管部门或属地密码管理部门进行报告
B.密码应用安全事件发生后,应及时向信息系统主管部门进行报告
C.密码应用安全事件发生后,应及时向信息系统主管部门及归属的密码管理部门进行报告
D.以上都不对
正确答案:c
39.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第二级信息系统的应急处置情况报告,以下说法正确的是()。
A.事件处置完成后,不强制要求向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况
B.事件处置完成后,应及时向信息系统主管部门报告事件发生情况及处置情况,但不必向归属的密码管理部门报告
C.事件处置完成后,应及时向归属的密码管理部门报告事件发生情况及处置情况,但不必向信息系统主管部门报告
D.事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况
正确答案:A
40.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于密码应用第三级信息系统的应急处置情况报告,以下说法正确的是()。
A.事件处置完成后,不强制要求向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况
B.事件处置完成后,应及时向信息系统主管部门报告事件发生情况及处置情况,但不必向归属的密码管理部门报告
C.事件处置完成后,应及时向归属的密码管理部门报告事件发生情况及处置情况,但不必向信息系统主管部门报告
C.事件处置完成后,应及时向信息系统主管部门及归属的密码管理部门报告事件发生情况及处置情况
正确答案:D
41.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,应用和数据安全层面的身份鉴别用于保证()。
A.重要区域进入人员身份的真实性
B.通信实体身份的真实性
C.登录设备的用户的身份真实性
D.登录业务系统的用户的身份真实性
正确答案:D
42.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,以下可用于应用和数据安全层面身份鉴别保护的密码产品是()。
A.IPSeC VPN设备
B.智能密码钥匙
C.电子文件密码应用系统
D.电子门禁系统
正确答案:B
43.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第四级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的访问控制信息的完整性。
A.应
B.宜
C.可
D.须
正确答案:A
44.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第四级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。
A.应
B.宜
C.可
D.须
正确答案:A
45.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性。
A.应
B.宜
C.可
D.须
正确答案:A
46.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的访问控制信息的完整性。
A.应
B.宜
C.可
D.须
正确答案:B
47.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要信息资源安全标记的完整性。
A.应
B.宜
C.可
D.须
正确答案:B
48.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要数据在传输过程中的机密性。
A.应
B.宜
C.可
D.须
正确答案:A
49.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要数据在存储过程中的机密性。
A.应
B.宜
C.可
D.须
正确答案:A
50.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要数据在传输过程中的完整性。
A.应
B.宜
C.可
D.须
正确答案:B
51.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面()采用密码技术保证信息系统应用的重要数据在存储过程中的完整性。
A.应
B.宜
C.可
D.须
正确答案:B
52.GB/T 39786《信息安全技术 信息系统密码应用基本要求》规定,信息系统第三级密码应用要求应用和数据安全层面,在可能涉及法律责任认定的应用中,()采用密码技术提供数据原发证据和数据接收证据,实现数据原发行为的不可否认性和数据接收行为的不可否认性。
A.应
B.宜
C.可
D.须
正确答案:B
53.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,应用和数据安全层面要求“采用密码技术对登录用户进行身份鉴别,保证应用系统用户身份的真实性”中用户指的是()。
A.所有登录设备的实体
B.所有登录应用进行操作的实体
C.设备管理员
D.应用管理员
正确答案:B
54.GB/T 39786 《信息安全技术 信息系统密码应用基本要求》规定,在应用和数据安全层面,信息系统第三级密码应用中要求采用的密码产品,应达到GB/T 37092( )及以上安全要求。
A.第一级
B.第二级
C.第三级
D.第四级
正确答案:B
55.GB/T 39786 《信息安全技术 信息系统密码应用基本要求》规定,在应用和数据安全层面,信息系统第四级密码应用中要求采用的密码产品,应达到GB/T 37092( )及以上安全要求。
A.第一级
B.第二级
C.第三级
D.第四级
正确答案:C
56.以下哪个措施满足GB/T 39786《信息安全技术 信息系统密码应用基本要求》中应用和数据安全层面的相关要求()。
A.用户将智能密码钥匙中的数字证书的序列号发送给应用系统,由应用系统在后台数据库比 对,如比对成功、证书在有效期内,则身份鉴别通过
B.利用服务器密码机等设备对应用系统指定的重要数据,使用常数12345678作为密钥,SM4加密和计算HMC_SM3消息鉴别码后传输,实现对重要数据(在应用和数据安全层面)传输过程中的机密性和完整性保护。
C.利用开源密码库内置的密码功能,对重要数据进行加密签名后存储在数据库中,实现对重要数据在存储过程中的机密性和完整性保护。
D.使用依法设立的第三方电子认证机构提供数字证书服 务,使用具有商密产品认证证书的安全电子签章系统和时间戳服务器,来对可能涉及法律责任认定的数据原发、接收行为的不可否认性进行保护。
正确答案:D
58.下列关于GB/T 39786《信息安全技术 信息系统密码应用基本要求》应用和数据安全层面,对密码应用第三级信息系统相关指标要求说法正确的是()。
A.可只对重要的登录用户进行身份鉴别,保证其身份的真实性
B.任何数据,都必须做到存储加密,否则构成高风险
C.任何数据,都必须要采用密码技术保证存储过程中的完整性,否则构成高风险
D.“应采用密码技术保证信息系统应用的访问控制信息的完整性”是GB/T 39786标准中仅对四级信息系统的要求
正确答案:D
59.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,测评过程中,对于信息系统用户通过智能密码钥匙对电子数据做数字信封加密,并通过信息系统浏览器前端页面上传,属于()层面的测评的内容。
A.网络和通信安全
B.物理和环境安全
C.应用和数据安全
D.设备和计算安全
正确答案:C
60.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,在应用和数据安全层面的“重要数据传输完整性”一般无法通过部署()密码设备来实现。
A.IPSeC VPN设备
B.智能密码钥匙
C.签名验签服务器
D.服务器密码机
正确答案:A
61.GB/T 39786《信息安全技术 信息系统密码应用基本要求》中,在应用和数据安全层面的“不可否认性”可通过部署()密码设备来实现。
A.动态令牌认证系统
B.安全电子签章系统
C.对称密钥管理系统
D.密码键盘
正确答案:B
62.根据GB/T 39786《信息安全技术 信息系统密码应用基本要求》,对于面向电子政务领域提供电子认证服务的第三方电子认证机构,必须具备的资质有()。
A.密码应用安全性测评资质
B.涉密信息系统集成资质
C.电子认证密码使用许可证
D.电子政务电子认证服务资质
正确答案:D
扫一扫
820
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
