密码法理论知识考核试题及答案

密码法理论知识考核试题及答案一、单项选择题（每题1分，共20分。每题只有一个正确答案，请将正确选项字母填入括号内）1.《中华人民共和国密码法》正式施行的日期是（）A.2019年10月26日B.2020年1月1日C.2020年10月26日D.2021年1月1日答案：B2.下列哪一类密码被密码法明确列入“核心密码”管理范畴（）A.用于个人网银登录的口令B.用于国家秘密信息加密的高级密码C.用于区块链智能合约的哈希算法D.用于社交媒体端到端加密的密钥答案：B3.国家密码管理部门对商用密码产品实行（）制度。A.强制认证B.自愿备案C.目录管理+自愿检测D.目录管理+强制检测认证答案：D4.违反密码法规定，擅自销售未经检测认证的商用密码产品的，最高可处违法所得（）罚款。A.一倍以上三倍以下B.三倍以上五倍以下C.五倍以上十倍以下D.十倍以上答案：C5.核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁全过程实行（）管理。A.分级分类B.统一标准C.自愿备案D.事后抽查答案：A6.密码法规定，国家推动商用密码（）体系建设。A.标准+检测+认证+认可B.标准+认证+保险C.检测+认证+审计D.标准+专利+保险答案：A7.关键信息基础设施运营者采购涉及商用密码的网络产品和服务，应当按照（）进行安全审查。A.网络安全法B.密码法C.数据安全法D.国家安全审查办法答案：A8.国家密码管理部门依法建立商用密码（）平台，实现全流程可追溯。A.信用信息共享B.检测认证信息公示C.投诉举报统一D.溯源监管技术答案：B9.核心密码、普通密码属于国家秘密，其密级分为（）三级。A.绝密、机密、秘密B.绝密、敏感、内部C.核心、重要、一般D.高、中、低答案：A10.商用密码产品检测认证机构应当取得（）的批准。A.国家市场监督管理总局B.国家密码管理局C.工信部D.国家网信办答案：B11.密码法明确，国家支持（）参与商用密码国际标准化活动。A.仅国有企业B.仅科研机构C.企业、科研机构、社会团体D.仅行业协会答案：C12.对涉及国家安全、社会公共利益的商用密码产品，实行（）制度。A.自愿检测B.目录管理+强制检测认证C.事后备案D.企业自我声明答案：B13.密码法规定，国家鼓励商用密码技术的（）转化。A.专利B.科研C.成果D.标准答案：C14.核心密码、普通密码的科研生产单位应当通过（）审查。A.安全保密资质B.ISO27001C.商用密码产品认证D.网络安全等级保护答案：A15.密码法规定，国家建立统一的商用密码（）公共服务系统。A.标准查询B.检测认证信息C.漏洞收集D.算法备案答案：B16.商用密码产品检测认证证书有效期为（）年。A.1B.3C.5D.10答案：C17.密码法要求，任何组织和个人不得利用密码从事（）活动。A.危害国家安全、社会公共利益B.商业广告C.数据加密D.跨境支付答案：A18.国家密码管理部门对核心密码、普通密码实行（）统计制度。A.年度B.季度C.月度D.实时答案：A19.商用密码产品认证标志的式样由（）规定。A.国家市场监督管理总局B.国家密码管理局C.工信部D.国家标准委答案：B20.密码法规定，国家推动商用密码与（）融合发展。A.人工智能B.区块链C.新一代信息通信技术D.量子计算答案：C二、多项选择题（每题2分，共20分。每题有两个或两个以上正确答案，请将所有正确选项字母填入括号内，漏选、错选均不得分）21.下列属于商用密码产品检测认证依据的技术标准有（）A.GM/T0005-2012随机性检测规范B.GB/T32907-2016信息安全技术SM4分组密码算法C.ISO/IEC27001:2018D.GM/T0028-2014密码模块安全技术要求答案：A、B、D22.核心密码、普通密码使用单位应当建立的安全管理制度包括（）A.密钥全生命周期管理B.密码设备台账管理C.密码安全审计D.密码产品广告审查答案：A、B、C23.国家鼓励在哪些方面使用商用密码技术（）A.电子政务B.电子商务C.关键信息基础设施D.个人社交软件答案：A、B、C24.商用密码产品检测认证机构应当具备的条件有（）A.法人资格B.相应技术能力C.通过国家密码管理局批准D.上市融资答案：A、B、C25.密码法规定的“密码工作领导体制”包括（）A.中央密码工作领导机构B.省级密码工作领导机构C.市级密码工作领导机构D.县级密码工作机构答案：A、B26.违反密码法规定，可能承担的法律责任形式有（）A.行政处罚B.民事赔偿C.刑事责任D.党内警告答案：A、B、C27.国家密码管理部门在履行监督检查职责时，有权采取的措施包括（）A.进入场所检查B.查阅复制相关资料C.查封扣押违法设备D.冻结企业股票答案：A、B、C28.商用密码产品目录由（）联合发布。A.国家密码管理局B.工信部C.海关总署D.国家市场监督管理总局答案：A、D29.密码法规定，国家支持商用密码（）A.技术创新B.标准制定C.国际合作D.专利垄断答案：A、B、C30.下列行为中，属于“非法利用密码”的有（）A.利用加密技术隐藏赌博资金流转B.擅自销售未经认证的加密VPNC.将核心密码算法出口至境外未审批机构D.个人使用开源算法加密硬盘答案：A、B、C三、填空题（每空1分，共20分）31.密码法所称密码，是指采用特定变换的方法对信息等进行________、________的技术、产品和服务。答案：加密保护、安全认证32.国家密码管理部门应当自受理商用密码产品检测认证申请之日起________日内作出是否批准的决定。答案：4533.核心密码、普通密码的密级、保密期限和知悉范围由________按照国家秘密有关规定确定。答案：国家密码管理部门34.商用密码产品检测认证机构出具虚假结论的，由________责令改正，并处十万元以上五十万元以下罚款。答案：国家密码管理部门35.国家推动________与________双轨并行的商用密码标准体系。答案：国家标准、行业标准36.关键信息基础设施运营者未按照要求使用商用密码产品的，由有关主管部门依据________法给予处罚。答案：网络安全37.密码法规定，国家支持________、________、社会团体参与商用密码国际标准化活动。答案：企业、科研机构38.商用密码产品认证标志应当显著标注于产品________或者________。答案：外壳、包装39.国家建立商用密码________制度，对违法失信主体依法实施联合惩戒。答案：信用记录40.核心密码、普通密码的科研、生产、服务、检测、装备、使用和销毁全过程实行________、________管理。答案：分级、分类四、判断题（每题1分，共10分。正确打“√”，错误打“×”）41.密码法规定，个人使用开源密码算法不需要任何备案。（）答案：√42.所有商用密码产品都必须取得国家密码管理局颁发的型号证书。（）答案：×43.核心密码可以用于加密国家绝密级信息。（）答案：√44.商用密码产品检测认证证书被吊销后，企业可以立即重新申请同一型号认证。（）答案：×45.密码法赋予国家密码管理部门对境外组织从事商用密码活动的域外管辖权。（）答案：√46.商用密码产品出口必须办理《密码产品和含有密码技术的设备出口许可证》。（）答案：√47.国家鼓励金融机构优先使用经检测认证的商用密码产品。（）答案：√48.密码法规定，商用密码技术必须全部开源。（）答案：×49.核心密码、普通密码的销毁应当符合国家秘密载体销毁标准。（）答案：√50.商用密码产品检测认证机构可以从事相关产品的生产、销售活动。（）答案：×五、简答题（封闭型，每题5分，共20分）51.简述密码法对“核心密码”与“普通密码”的定义差异。答案：核心密码是指用于保护国家绝密级、机密级秘密信息的密码；普通密码是指用于保护国家秘密级秘密信息的密码。二者在密级保护对象、管理要求、使用审批流程上存在差异，核心密码安全等级更高，实行更严格的全程分级分类管理。52.列举商用密码产品检测认证的五个主要环节。答案：申请与受理、型式试验、工厂检查、认证结果评价与批准、获证后监督。53.简述国家密码管理部门对违法销售未经检测认证商用密码产品的处罚措施。答案：责令停止销售、没收违法产品和违法所得，并处违法所得五倍以上十倍以下罚款；没有违法所得或违法所得不足十万元的，处十万元以上五十万元以下罚款；对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款。54.简述密码法对“密码安全评估”制度的要求。答案：关键信息基础设施运营者应当自行或者委托商用密码检测机构每年至少开展一次密码应用安全性评估，评估结果报主管部门备案；评估内容包括密码算法、密钥管理、随机数生成、密码模块安全等级符合性等；未通过评估的应当及时整改。六、简答题（开放型，每题10分，共20分）55.结合密码法条文，论述我国为何对商用密码实行“目录管理+强制检测认证”双轨制度，并分析其对产业链的影响。答案：我国对涉及国家安全、社会公共利益的商用密码产品实行目录管理，列入目录的产品必须强制检测认证，主要目的在于：一是保障国家安全，防止弱密码、后门密码流入关键领域；二是统一市场准入门槛，避免“劣币驱逐良币”；三是与国际通行做法接轨，提升国产密码产品国际竞争力。对产业链的影响：上游芯片、算法厂商需加大合规投入，提升产品质量；中游检测认证机构获得增量市场，但需承担更大责任；下游系统集成商采购成本短期上升，长期获得更高安全溢价；整体推动产业从价格竞争转向质量、品牌、服务竞争，促进密码产业高端化、标准化、国际化。56.试论密码法在数字经济时代对数据跨境流动安全治理的制度贡献，并提出两条完善建议。答案：密码法通过确立商用密码检测认证、出口管制、安全评估、信用监管等制度，为数据跨境流动提供了加密工具安全可信、密钥管理可控、违规责任可追的基础治理框架，与《网络安全法》《数据安全法》形成“安全三角”，填补了加密环节立法空白。贡献：一是把“加密”作为数据跨境流动安全的基础技术抓手，实现“以密码保数据”；二是建立全流程可追溯的信用体系，降低跨境合规不确定性；三是通过国际标准化合作，减少跨境数据流动技术壁垒。完善建议：1.细化跨境数据加密场景下的密钥托管与司法协助规则，明确境外执法机构获取密钥的触发条件、审查程序与救济渠道；2.建立跨境密码服务“白名单”制度，对高信誉境外服务商给予快速通道，降低数字贸易成本。七、应用题（综合类，共40分）57.计算分析题（12分）某电子政务系统采用SM4-CBC模式加密户籍敏感数据，密钥长度128位，系统每日新增数据量200GB，网络带宽1Gbps，要求加密时延不超过50ms。已知经检测认证的某款PCI-E密码卡性能指标：SM4-CBC吞吐量6Gbps，平均时延8ms；未认证山寨卡吞吐量2Gbps，平均时延80ms。（1）计算单张密码卡加密200GB数据所需时间（理论最小值，忽略I/O瓶颈）。（2）判断山寨卡是否满足时延要求并说明风险。（3）依据密码法，指出使用山寨卡可能触发的法律责任。答案：（1）t=200GB÷6Gbps=200×8÷6=266.7秒≈4分27秒。（2）山寨卡平均时延80ms>50ms，不满足时延要求；风险：造成业务阻塞、用户体验下降，且未通过检测认证，存在算法实现错误、侧信道泄露、后门植入等安全隐患。（3）依据密码法第32条，使用未经检测认证的商用密码产品用于电子政务，由密码管理部门责令改正，给予警告；拒不改正或造成危害后果的，对单位处十万元以上五十万元以下罚款，对直接责任人处一万元以上十万元以下罚款；构成犯罪的，依法追究刑事责任。58.案例分析题（14分）A公司开发一款区块链钱包APP，内置SM2、SM3、SM4算法，对用户私钥进行加密存储。A公司未申请任何商用密码产品认证，亦未在APP内提供认证信息。2023年6月，该APP被境外黑客组织攻击，因随机数发生器存在缺陷导致数千用户私钥泄露，损失数字资产折合人民币1.2亿元。事件发生后，国家密码管理部门介入调查。问题：（1）指出A公司违反密码法的具体条款及行为表现。（2）说明国家密码管理部门可采取的行政措施。（3）用户能否依据密码法提起民事赔偿？请说明理由。答案：（1）违反密码法第21条（目录管理产品未检测认证）、第36条（未使用经检测认证的商用密码产品保护关键数据）、第38条（未建立密码安全管理制度）。行为表现：未对内置密码模块申请认证；未进行密码应用安全性评估；未公开认证信息即上市运营。（2）依据第51条，责令停止运营、下架APP、限期整改；没收违法所得；处违法所得五倍以上十倍以下罚款（若违法所得不足十万元，处十万元以上五十万元以下罚款）；对直接负责的主管人员和其他责任人员处一万元以上十万元以下罚款；纳入信用记录并公示。（3）可以。密码法第54条规定，因违反本法规定造成他人损害的，依法承担民事责任。用户可依据《民法典》侵权责任编，主张A公司未履行密码安全保障义务，存在过错，且过错与损害结果存在因果关系，要求赔偿损失。59.方案设计题（14分）某省级“一网通办”政务云平台计划上线“公民电子印章”服务，需在云侧实现印章私钥生成、存储、签名、注销全生命周期管理，并保证司法取证可还原、用户本人可控、云运营方无法越权使用。请结合密码法、网络安全法、数据安全法要求，设计一套合规的密码技术方案，内容包括：（1）密码算法与模块选型；（2）密钥管理架构（含生成、分发、存储、备份、恢复、销毁）；（3）检测认证与评估安排；（4）合规风险点与应对措施。答案：（1）算法与模块：采用SM2椭圆曲线数字签名算法、SM3杂凑算法、SM4对称加密算法；选用通过商用密码产品认证、安全等级