密码安全基础题库

（新版）密码安全基础题库（总）

一、单选题

1.在密码应用的密码模块中，包含密码机、TF卡、USBKEY、软设备和密码卡等,

其中属丁USBKEY的是1）

A、一级软模块、一级软卡、二级软卡

B、DTE、LTE、HTE

C、千兆卡、万兆卡

D、云服务器密码机

答案：B

2.防护sql注入最有效的措施是什么？（）

A、参数化查询

B、过滤单引号，双引号等特殊字符

C、过滤方式为黑名单过滤方式

D、html编码输入字符

答案：A

3.资产识别中对资产进行赋值需要考虑的因素是：）

A、机密性

B、完整性

C、可用性

D、资产重要性

E、以上均是

答案：E

4.国标中，风险值计算方法是()

A、安全事件发生的可能性及发生后的损失

B、威胁发生频率

C、资产减值

D、以上均是

答案：A

5.根据Kerkhoff准则，密码算法可以公开，()必须保密

A、密钥

B、密码算法

C、密码协议

D、密码实现

答案：A

6.以下哪个服务是PKI的应用0

A、认证服务、公证服务

B、数据完整性服务、数据保密性服务

C、数据保密性服务、不可否认服务

D、以上均是

答案:D

7.普通密码不能用于保护下列哪种级别的信息()

A、绝密

B、机密

C、秘密

D、都可以

答案：A

8.设备运维功能页面有个测试连通性的ping功能，测试人员输入127.0.0.1&&I

d或者127.O。1;id是在尝试什么漏洞0

A、sql注入

B、文件包含漏洞

C、命令执行漏洞

D、越权访问

答案：C

9.数字签名技术中用什么进行签名（）

A、公钥

B、私钥

C、会话密钥

D、主密钥

答案:B

10.在需要保护的信息资产中，是最重要的。（）

A、环境

B、硬件

C、数据

D、软件

答案：C

C、密钥备份、密钥恢复

D、密钥撤销、密钥转保护

答案：D

15.SSL协议主要分为哪两部分0

A、记录协议、握手协议

B、记录协议、封装协议

C、握手协议、传输协议

D、传输协议、封装协议

答案：A

16.密码法的正式施行时间是0

A、2014年12月

B、2019年6月25日

C、2019年10月26日

D、2020年1月1日

答案：D

17.下列哪两种漏洞组合可产生蠕虫攻击？()

A、SQL注入漏洞、CSRF漏洞

B、XSS漏洞、CSRF漏洞

C、CSRF漏洞、不安全的对像直接引用漏洞

D、以上均不是

答案:B

18.以下哪些结构是构造分组密码的常见结构()

A、FeisteKSPN

B、FeisteL海绵结构

C、SPN、M-D

D、SPN、海绵结构

答案：A

19.信息必须依赖其存储、传输、处理及应用的载体(媒体)而存在，信息系统

设备的安全主要包括()

A、秘密性、可靠性、稳定性

B、秘密性、完整性、可用性

C、稳定性、可靠性、可用性

D、稳定性、完整性、可用性

答案：C

20.下述算法不属于公钥密码算法()

A、RSA

B、ECC

C、SM1

D、SM9

答案：C

21.在SSL的认证算法中，下列哪对是一个公私钥对0

A、服务器方的写密钥和客户方的读密钥

B、服务器方的写密钥和服务器方的读密钥

C、服务器方的写密钥和客户方的写密钥

D、服务器方的读密钥和客户方的读密钥

答案：A

22.以下哪个分组密码算法是公开的()

A、SM1

B、SM4

C、SM7

D、都不是

答案:B

23.在消息鉴别中，采用杂凑函数机制的是()

A、HMAC

B、C-MAC

C、摘要计算

D、以上均是

答案：A

24.国标中风险值计算方法包括0

A、矩阵法、指数法

B、矩阵法、相乘法

C、数值法、指数法

D、数值法、相乘法

答案：B

25.关于网络安全防御技术的描述不正确的是()

A、防火墙主要是实现网络安全的安全策略，可以对策略中涉及的网络访问行为

实施有效管理，也可以对策略之外的网络访问行为进行控制

B、入侵检测系统注重的是网络安全状态的监督，绝大多数IDS系统都是被动的

C、蜜罐技术是一种主动防御技术，是一个“诱捕”攻击者的陷阱

D、虚拟专用网络是在公网中建立专用的，阿暖的数据通信通道

答案：B

26.2021年9月1日起施行的《关键信息基础设施安全保护条例》(中华人民共

和国国务院令第745号)规定，运营者应当自行或者委托网络安全服务机构对关

键信息基础设施()网络安全监测和风险评估。

A、每两年至少进行一次

B、每年至少进行一次

C、每半年至少进行一次

D、每季度至少进行一次

答案：B

27.N个人之间采用非对称密码通信，系统中有多少个密钥需要保密()

A、N

B、N(N-1)

C、N(N-1)/2

D、N(N+1)

答案:A

28.对称密码算法包括哪些()

A、公钥密码、杂凑函数

B、分组密码、杂凑函数

C、序列密码、分组密码

D、序列密码、公钥密码

答案：C

29.关于消息认证(如MAC等)，下列说法错误的是()

A、消息认证有助于验证发送者的身份

B、消息认证有助于验证消息是否被篡改

C、收发者之间存在利害冲突时，采用消息认证技术可以解决纠纷

D、收发者之间存在利害冲突时，单纯采用消息认证技术无法彻底解决纠纷

答案：C

30.利用密码技术保证不可否认性的行为分为哪些()

A、数据原发行为、数据传输行为

B、数据原发行为、数据接收行为

C、数据接收行为、数据备份行为

D、数据传输行为、数据备份行为

答案:B

31.以下哪种密码用于保护不属于国家秘密的信息()

A、核心密码

B、普通密码

C、商用密码

D、都不是

答案：C

32.公钥密码难以抵御中间人攻击，可通过什么方式预防此问题()

A、数字信封

B、密钥转保护

C、公钥证书

D、无法预防

答案：C

33.AH协议不能提供以下哪项安全保护()

A、数据源验证

B、数据机密性

C、数据完整性

D、抗重放

答案：B

34.以下哪种密码算法加密密钥与解密密钥不同()

A、对称密码

B、公钥密码

C、杂凑函数

D、都不是

答案：B

35.在文件安全存储中，实现密钥安全分发，保证文件流转安全的密码技术是()

A、哈希算法

B、密钥转保护

C、公钥密码

D、对称密码

答案：B

36.以下哪个协议不属于IPSec的协议集合()

A、AH

B、ESP

C、IKE

D、UDP

答案:D

37.数字证书管理中不包含()

A、证书申请、证书下载、

B、证书更新、证书冻结

C、证书恢复、证书吊销

D、证书转让、证书转用

答案：D

38.通用密码中间件的作用是什么0

A、屏蔽设备差异，提供统一密码运算接口

B、支持密码机、密码卡、USBKEY、软卡等密码设备

C、帮助应用引入密码能力

D、以上均是

答案：D

39.在通用密码中间件中，主要采用什么密码技术确保操作行为抗抵赖()

A、对称加密与非对称加密

B、数字签名

C、消息认证码

D、以上均是

答案：B

40.下列哪个不是国密标准算法（）

A、ZUC

B、SM2

C、SM4

D、SM5

答案：D

41.在密码技术中，使用产生随机数的接口，可以抵御以下哪类攻击0

A、拒绝服务攻击

B、APT攻击

C、重放攻击

D、网络监听

答案:C

42.关于漏洞的防护，下列的措施哪些是不正确的？（）

A、对SQL注入的防护，可设置参数化（parameter）查询，特殊字符过滤/白名

单

B、对XSS漏洞的防护，可设置输入过滤（白名单）输出转码（html转码）

C、对CSRF漏洞的防护，可设置单次令牌验证以及验证refer来源

D、对会话管理漏洞的防护，可设置把身份权限控制直接以参数的形式加载到co

okie中，无需设置session值

答案:D

43.信息系统安全等级保护实施的基本过程包括系统定级、、安全实施、安全运

维、系统终止。()

A\风险评估

B、安全规划

C、安全加固

D、安全应急

答案：B

44.关于websheII,说法错误的是0

A、是一种web后门程序

B、＜?phpeval($_POST[,c'])?＞是websell

C、当websheII不能执行命令的时候，可以上传cmd.exe到可以执行命令的目录

执行

D、php.ini配置disable_functions禁用sheIl_exec,exec,system的时候就

不可以利用websheII执行命令了

答案：D

45.PHP文件包含漏洞主要由下面哪个函数导致？()

A、incIude()

B、include_once()

C\require()

D、require_once()

E、以上均是

答案：E

46./show.php?id=-1unionseIect1,2,3,4,Ioad_fiIe('/etc/passwd*)

利用了什么漏洞？()

A、SQL注入漏洞

B、文件包含漏洞

C、XSS漏洞

D、列目录漏洞

答案：A

47.以下不属于国密算法的是0

A、ZUC

B、MD5

C、SM2

D、SM4

答案:B

48.下列哪种密码算法属于多表代换密码()

A、凯撒密码

B、Scytale密码

C、维吉尼亚密码

D、RSA

答案：C

49.在数据库安全存储中，以下哪种方式最合理()

A、使用公钥加密技术，公钥加密私钥解密

B、采用三层密钥体系，逐层保护专钥专用

C、使用对称加密技术，性能损耗最小

D、以上均可

答案：B

50.N个人之间采用对称密码通信，至少需要多少个密钥0

A、N

B、N(N-1)

C、N(N-1)/2

D、N(N+1)

答案：C

51.密码分类中不包含：)

A、普通密码

B、核心密码

C、军事密码

D、商用密码

答案：C

52.在通用密码中间件中，主要采用什么密码技术确保日志完整性保护()

A、对称加密与非对称加密

B、数字签名

C、消息认证码

D、以上均是

答案：C

53.信息系统常见安全威胁有0

A、窃听

B、篡改

C、否认

D、以上都是

答案:D

54.下列方法不可以防范SQL攻击()

A、对客户端的输入进行完备的输入检查

B、把SQL语句替换为存储过程、预编译或者使用ADO命令对象

G使用SiteKey技术

D、关掉数据库服务器或者不使用数据库

答案：C

55.关于Web安全及其威胁防护技术的描述，不正确的是()

A、当前Web面临的重要威胁有可信任站点的漏洞、浏览器及其插件的漏洞、网

络钓鱼、僵尸网络等

B、Web防篡改技术包括单点登录、时间轮询，事件触发等

C、Web内容安全管理技术包括点击右键过滤，网页过滤，反间谍软件等

D、Web访问控制的主要任务是保证网络资源不被非法访问者访问

答案:B

56.关于信息安全的描述，不正确的是()

A、数据安全属性包括秘密性、完整性、可用性

B、信息的完整性是指信息随时可以正常使用

C、内容安全包括信息内容保密、信息隐私保护等

D、数据安全是静态安全、行为安全是动态安全

答案：B

57.数字签名常用的算法有()

A、DES算法

B、RSA算法

C、Hash算法

D、AES算法

二、判断

答案：B

58.以下哪个算法不是序列密码算法0

A、A5-1

B、RC4

C、AES

D、ZUC

答案：C

59.等级保护实施过程的基本原则包括重点保护原则，同步建设原则，动态调整

原则。()

A、自主保护原则

B、整体保护原则

c、一致性原则

D、稳定性原则

答案：A

60.在密码应用的密码模块中，包含密码机、TF卡、USBKEY、软设备和密码卡等,

其中属于软设备的是()

A、一级软模块、一级软卡、二级软卡

B、DTE、LTE、HTE

C、千兆卡、万兆卡

D、云服务器密码机

答案：A

61.IPSec中以下哪种封装模式会增加额外的IP头()

A、主模式

B、隧道模式

C、传输模式

D、快速模式

答案:B

62.商用密码用户保护。信息

A、绝密

B、机密

C、秘密

D、不属于国家秘密的

答案：D

63.以下哪项技术用来保护信息的机密性()

A、数字签名技术

B、信息隐藏技术

C、消息认证码技术

D、加解密技术

答案：D

64.IKE协商过程使用的协议是()

A、TCP

B、IP

C、UDP

D、STCP

答案：C

65.密码技术的核心是什么()

Av密钥

B、密码算法

C、密码协议

D、密码实现

答案：B

66.在SKF标准接口中，属于标准接口之外的扩展接口的是()

A、设置日志参数

B、密码运算类

C、访问控制类

D、容器管理类

答案：A

67.IS0/IE017859标准将安全审计功能分为6个部分，其中（）通过分析系统活动

和审计数据，寻找可能的或真正的安全违规操作，可以用于入侵检测或者安全违

规的自动响应。

A、安全审计事件存储功能

B、安全审计数据生成功能

C、安全审计分析功能

D、安全审计浏览功能

答案：C

68.国家秘密划分级别中不包含0

A、非密

B、绝密

C、机密

D、秘密

答案：A

69.密码学分为哪两大类0

A、密码编码学、密码分析学

B、密码理论学、密码编码学

C、密码分析学、密码实践学

D、密码理论学、密码实践学

答案:A

70.机密性的实现方式不包括()

A、访问控制

B、信息隐藏

C、信息加密

D、身份鉴别

答案：D

71.一般来讲，哪种XSS漏洞造成的危害更大0

A、反射型XSS

B、存储型XSS

C、D0M型XSS

D、self-XSS

答案：B

72.数据安全包括：数据完整性、数据保密性、。()

A、数据备份

B、数据机密性

C、数据不可否认性

D、数据删除性

答案：A

73.Secportal客户端不支持以下哪个网络安全协议()

A、SSL

B、IKE

C、ESP

D、AH

答案：D

74.信息安全等级保护管理办法中，如果信息系统受到破坏后，会对社会秩序和

公共利益造成特别严重损害，或者对国家安全造成严重损害，则该系统应受到()

等级保护。

A、第二级

B、第三级

C、第四级

D、第五级

答案：C

75.文件是WEB应用很常见的一种功能，但是如果在上传时没有对文件进行正确

的处理，则有可能会发生安全问题，请问以下哪些措施不利于设计出一个较为安

全的文件上传功能？()

A、设置保存上传文件的目录为可执行

B、判断文件类型及后缀

C、使用随机数改写文件名

D、定义上传类型白名单

答案：A

76.造成web应用程序安全问题的最大原因是什么()

A、输入不可信

B、逻辑错误

C、权限控制不到位

D、未进行身份验证

答案：A

77.测试人员输入<script>alert()</script>到文本框，是为了测试什么漏洞()

A、sql注入

B、XSS漏洞

C、文件包含

D、缓冲区溢出

答案:B

78.常见Web攻击方法，不包括0

A、利用服务器配置漏洞

B、恶意代码上传下载

C、构造恶意输入(SQL注入攻击、命令注入攻击、跨站脚本攻击)

D、SYNFLOOD

答案：D

79.RSA算法的安全性是基于什么困难问题()

A、大整数因子分解

B、离散对数难题

C、格中向量

D、纠错码编码译码

答案:A

80,为互联网通信提供安全及数据完整性保障的安全协议中，有安全套接层和传

输层安全协议，其英文缩写为()

A、SSL/TSL

B、SSL/TLS

C、SSH/TSL

D、SSH/TLS

答案：B

81.关于文件上传，以下哪些web容器不存在解析漏洞0

A、IIS

B、Nginx

C、Apache

D、tomcat

答案：D

82.当明文改变时，相应的散列值会()

A、不会改变

B、一定改变

C、在绝大多数时候会改变

D、在绝大多数情况下不会改变

答案：B

83.商用密码应用安全性评估是指对采用商用密码技术、产品和服务集成建设的

网络与信息系统密码应用的()进行评估

A、合规性

B、正确性

C、有效性

D、以上都选

答案：D

84.采购合同属于0

A、绝密

B、机密

C、商密

D、秘密

答案:C

85.密码应用安全属性中，包含机密性、真实性、完整性和不可否认性等，其中

确保机密性可以使用以下哪类接口()

A、哈希计算类接口

B、加解密类接口

C、签名验签类接口

D、消息认证码类接口

答案：B

86.在密码应用中，标准规范包含算法标准、应用标准、接口标准，其中属于接

口标准的是()

A、智能密码钥匙密码应用接口规范

B、证书应用接口规范

C、通用密码服务接口规范

D、以上均是

答案：D

87.数据安全及备份恢复涉及到、、3个控制点()

A、数据完整性数据保密性备份和恢复

B、数据完整性数据保密性不可否认性

C、数据完整性不可否认性备份和恢复

D、不可否认性数据保密性备份和恢复

答案：A

88.针对窃听攻击采取的安全服务是0

A、鉴别服务

B、数据机密性服务

C、数据完整性服务

D、抗抵赖服务

答案：B

89.以下哪个协议是由VISA和MasterCard两大信用卡公司联合推出的应用于保

障网上购物信息安全的协议0

A、SSL

B、PGP

C、SSH

D、SET

答案：D

90.数字证书采用公钥体制进行加密和解密，每个用户有一个私钥，用它进行()

A、解密和验证

B、解密和签名

C、加密和釜名

D、加密和验证

答案：B

91.XSS漏洞不包含以下哪种类型()

A、反射型

B、存储型

GDOM型

D、报错型

答案:D

92.在安全评估过程中，采取手段，可以模拟黑客入侵过程，检测系统安

全脆弱性。()

A、问卷调查

B、人员访谈

C、渗透性测试

D、手工检查

答案:C

93.SSL是位于哪层的安全通信协议()

A、TCP/IP层和数据链路层

B、TCP/IP层和应用层

C、物理层和数据链路层

D、以上均不是

答案：B

94.密码应用安全属性中，包含机密性、真实性、完整性和不可否认性等，其中

确保不可否认性可以使用以下哪类接口（）

A、哈希计算类接口

B、加解密类接口

C、签名验签类接口

D、消息认证码类接口

答案：C

95.信息安全风险评估的三要素不包括0

A、资产

B、威胁

C、脆弱性

D、保密

答案：D

96.关于xss漏洞，错误的是？（）

A、xss被利用于邮件中，可能导致邮件信息，通讯录泄露等

B、xss在客户端浏览器执行

C、xss存在于标签值中，可以htmspeciaIchar编码解决

D、xss可以直接获取服务端sql数据信息

答案:D

97.加密密钥等短数据可以采用分组密码的什么工作模式（）

A、ECB

B、CBC

C、CFB

D、OFB

E、CTR

答案：A

98.真实性的实现方式有()

A、基于密码技术的鉴别机制

B、基于静态口令的鉴别机制

C、基于动态口令的鉴别机制

D、以上均是

答案：D

99.密码设计的两大原则是什么()

A、混淆、隐藏

B、混淆、扩散

C、保密、隐藏

D、保密、扩散

答案:B

100.Shamir门限方案的好处不包括()

A、为密钥合理地创建了备份，克服了以往保存副本的数量越大，安全性泄露的

危险越大，保存副本越小，则副本丢失的风险越大的缺点。

B、有利于防止权力过分集中以导致被滥用的问题。

C、攻击者必须获取足够多的子密钥才能恢复出所共享的密钥，保证了密钥的安

全性和完整性。

D、具有不可抵赖性，防止不信任的个体间互相推脱责任

答案:D

判断题

1.脆弱性分析技术，也被通俗地称为漏洞扫描技术。该技术是检测远程或本地系

统安全脆弱性的一种安全技术。（）

A、正确

B、错误

答案：A

2.区块链是保存比特币全部交易记录的公共账簿，记录了比特币体系中所有地址

至今为止的所有交易（）

A、正确

B、错误

答案：A

3.分组密码的CBC工作模式常用于通信信道加密。（）

A、正确

B、错误

答案：A

4.ZUC是我国第一个成为国际标准的密码算法。（）

A、正确

B、错误

答案:A

5.AES是Feistel结构()

A、正确

B、错误

答案：B

6.SM2算法适用于轻量级密码环境。（）

A、正确

B、错误

答案：A

7.公钥密码的出现使得密码应用进入一个新阶段；密码不仅可以实现加密保护,

还可以实现实体身份和信息来源的安全认证等功能。（）

A、正确

B、错误

答案：A

8.ECC的单比特安全强度高于RSA。（）

A、正确

B、错误

答案：A

9.行业标准是强制性标准。（）

A、正确

B、错误

答案：B

10.SM9算法的公钥是月户身份标识。（）

A、正确

B、错误

答案：A

11.供应商资料密级为商密，保管期限为短期，移交频率为半年()

A、正确

B、错误

答案：B

12.公钥密码实现密钥分配非常简单。()

Av正确

B、错误

答案：B

13.HMAC计算过程中调用了两次杂凑函数()

A、正确

B、错误

答案：A

14.涉密计算机密码设置，口令长度为8位，数字和字符混排，更换周期为一个

月()

A、正确

B、错误

答案：A

15.商用密码检测、认证机构应当对其在商用密码检测认证中所知悉的国家秘密

和商业秘密承担保密义务()

A、正确

B、错误

答案：A

16.密码能保证信息系统的绝对安全。（）

A、正确

B、错误

答案：B

17.采购合同密级为商密，保管期限为长期，移交频率为一年0

Av正确

B、错误

答案：B

18.密码是使用特定变换对数据等信息进行加密保护或者安全认证的物项和技术

和服务。（）

A、正确

B、错误

答案：A

19.信息安全事件（event）指识别出的发生的系统、服务或网络事件表明可能违反

信息安全策略或防护措施失效（）

A、正确

B、错误

答案:A

20.消息认证码没有密钥。（）

A、正确

B、错误

答案：B

21.可用性是指授权实体可访问和使用的特性0

A、正确

B、错误

答案：A

22.SM3算法在SM2和SM9中都有使用。0

Av正确

B、错误

答案：A

23.公钥密码一定比传统密码安全（）

A、正确

B、错误

答案：B

24.PKI/CA体系主要解决证书管理问题。（）

A、正确

B、错误

答案：A

25.对称密码算法速度快，适用于对加密效率要求高的环境。（）

Ax正确

B、错误

答案:A

26.DES是SPN结构的分组密码算法。（）

A、正确

B、错误

答案：B

27.在计算机计算能力足够高时，可以在可预期的时间内破译一次性密码本。（）

A、正确

B、错误

答案:B

28.比特币体系是中心化的（）

A、正确

B、错误

答案：B

29.PCI加密卡、U盾、金融数据密码机能够提供加解密服务0

A、正确

B、错误

答案：A

30.量子计算机的出现对传统基于计算困难的公