密评从业人员考核参考题库 501 ~ 600

  本文是国家密码管理局于 2023 年 6 月 28 日发布的《商用密码应用安全性评估从业人员考核参考题库》第 501 至 600 题的题目和参考答案（答案来源于网上各路大神，非官方标准答案，仅供学习参考，敬请不吝指正）。

1. 《个人信息保护法》要求个人信息处理者应当采取哪些确保个人信息安全的措施（ ）。ABCD

   A. 数据分类

   B. 加密

   C. 去标识化

   D. 制定应急预案

• 第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。

2. 按照《个人信息保护法》，以下关于加密和去标识化的说法正确的是（ ）。ABC

   A. 加密属于去标识化技术的一种

   B. 去标识化和加密属于不同的技术措施

   C. 去标识化可以和加密同时使用

   D. 对于敏感个人信息，去标识化后无必要再采用加密

3. 按照《个人信息保护法》，以下关于加密和匿名化的说法正确的是（ ）。ABD

   A. 加密属于匿名化技术的一种

   B. 匿名化处理后的信息不属于个人信息

   C. 加密可以实现绝对的匿名化

   D. 只有通过不能复原的过程才能实现匿名化

• 第四条　个人信息是以电子或者其他方式记录的与已识别或者可识别的自然人有关的各种信息，不包括匿名化处理后的信息。（四）匿名化，是指个人信息经过处理无法识别特定自然人且不能复原的过程。

4. 在《个人信息保护法》中可以使用密码技术的场景有（ ）。ABCD

   A. 收集个人信息

   B. 存储个人信息

   C. 个人信息出境

   D. 个人信息销毁

5. 按照《个人信息保护法》，在个人信息出境前，应考虑的安全保护机制有（ ）。ABCD

   A. 制定出境计划

   B. 开展出境评估

   C. 进行加密或采取去标识化措施

   D. 签订出境合同

6. 按照《个人信息保护法》，以下属于个人信息的主体可以合理行使的对个人信息的权利有（ ）。ABCD

   A. 要求复制一份自己的个人信息

   B. 拒绝填写非必填内容的个人资料

   C. 要求对所使用的加密技术进行说明

   D. 要求删除自己的个人信息并提供删除凭证

7. 为确保个人信息处理活动符合法律、行政法规的规定，个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列哪些措施（ ）。ABCD

   A. 制定内部管理制度和操作规程

   B. 对个人信息实行分类管理

   C. 采取相应的加密、去标识化等安全技术措施

   D. 制定并组织实施个人信息安全事件应急预案

• 个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；（四）合理确定个人信息处理的操作权限，并定期对从业人员进行安全教育和培训；（五）制定并组织实施个人信息安全事件应急预案；（六）法律、行政法规规定的其他措施。

8. 按照《国家政务信息化项目建设管理办法》，网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实网络安全审查制度要求，各部门应做到（ ）。ABCD

   A. 严格遵守有关保密等法律法规规定

   B. 构建全方位、多层次、一致性的防护体系

   C. 按要求采用密码技术

   D. 定期开展密码应用安全性评估

• 第三十条　网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实网络安全审查制度要求。各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

9. 按照《国家政务信息化项目建设管理办法》，国家政务信息化项目应向国家发展改革委备案。以下属于备案文件的有（ ）。ABCD

   A. 运行维护经费和渠道情况

   B. 信息资源目录和共享开放情况

   C. 等级保护或者分级保护备案情况

   D. 密码应用方案和密码应用安全性评估报告

• 第九条　除国家发展改革委审批或者核报国务院审批的外，其他有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。备案文件应当包括项目名称、建设单位、审批部门、绩效目标及绩效指标、投资额度、运行维护经费、经费渠道、信息资源目录、信息共享开放、应用系统、等级保护或者分级保护备案情况、密码应用方案和密码应用安全性评估报告等内容，其中改建、扩建项目还需提交前期项目第三方后评价报告。

10. 按照《国家政务信息化项目建设管理办法》，国家政务信息化项目的建设管理应当坚持的原则有（ ）。ABCD

    A. 统筹规划

    B. 共建共享

    C. 业务协同

    D. 安全可靠

• 第三条　国家政务信息化建设管理应当坚持统筹规划、共建共享、业务协同、安全可靠的原则。

11. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建设单位在落实密码保障系统的要求时，应考虑（ ）。BCD

    A. 同步设计

    B. 同步规划

    C. 同步建设

    D. 同步运行

• 第十五条　项目建设单位应当落实国家密码管理有关法律法规和标准规范的要求，同步规划、同步建设、同步运行密码保障系统并定期进行评估。

12. 按照《国家政务信息化项目建设管理办法》，国家政务信息化项目验收的重要内容包括（ ）。ABCD

    A. 软硬件产品的安全可靠情况

    B. 密码应用和安全审查情况

    C. 硬件设备能源利用效率情况

    D. 数据中心能源利用效率情况

• 第十六条　项目应当采用安全可靠的软硬件产品。在项目报批阶段，要对产品的安全可靠情况进行说明。项目软硬件产品的安全可靠情况，项目密码应用和安全审查情况，以及硬件设备和新建数据中心能源利用效率情况是项目验收的重要内容。

13. 按照《国家政务信息化项目建设管理办法》，国家政务信息化项目验收时，应提交的验收申请报告和材料包括以下（ ）。ABCD

    A. 审计报告

    B. 安全风险评估报告

    C. 密码应用安全性评估报告

    D. 财务报告

• 第二十五条　国家政务信息化项目建成后半年内，项目建设单位应当按照国家有关规定申请审批部门组织验收，提交验收申请报告时应当一并附上项目建设总结、财务报告、审计报告、安全风险评估报告（包括涉密信息系统安全保密测评报告或者非涉密信息系统网络安全等级保护测评报告等）、密码应用安全性评估报告等材料。项目建设单位不能按期申请验收的，应当向项目审批部门提出延期验收申请。项目审批部门应当及时组织验收。验收完成后，项目建设单位应当将验收报告等材料报项目审批部门备案。

14. 按照《国家政务信息化项目建设管理办法》，以下属于项目建设单位不得新建、改建、扩建政务信息系统的情形是（ ）。ABCD

    A. 重复采集数据

    B. 不符合密码应用要求

    C. 不符合网络安全要求

    D. 存在重大安全隐患

• 第二十八条　加强国家政务信息化项目建设投资和运行维护经费协同联动，坚持“联网通办是原则，孤网是例外”。部门已建的政务信息化项目需升级改造，或者拟新建政务信息化项目，能够按要求进行信息共享的，由国家发展改革委会同有关部门进行审核；如果部门认为根据有关法律法规和党中央、国务院要求不能进行信息共享，但是确有必要建设或者保留的，由国家发展改革委报国务院，由国务院办公厅会同有关部门进行审核，经国务院批准后方可建设或者保留。（一）对于未按要求共享数据资源或者重复采集数据的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。（二）对于未纳入国家政务信息系统总目录的系统，不安排运行维护经费。（三）对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，不安排运行维护经费，项目建设单位不得新建、改建、扩建政务信息系统。

15. 根据《国家政务信息化项目建设管理办法》，在构建政务信息系统防护体系时，应按要求采用密码技术，并定期开展密码应用安全性评估。整体安全架构要求是（ ）。ABD

    A. 全方位

    B. 多层次

    C. 立体化

    D. 一致性

• 第三十条　国务院办公厅、国家发展改革委、财政部、中央网信办会同有关部门按照职责分工，对国家政务信息化项目是否符合国家有关政务信息共享的要求，以及项目建设中招标采购、资金使用、密码应用、网络安全等情况实施监督管理。发现违反国家有关规定或者批复要求的，应当要求项目建设单位限期整改。逾期不整改或者整改后仍不符合要求的，项目审批部门可以对其进行通报批评、暂缓安排投资计划、暂停项目建设直至终止项目。网络安全监管部门应当依法加强对国家政务信息系统的安全监管，并指导监督项目建设单位落实网络安全审查制度要求。各部门应当严格遵守有关保密等法律法规规定，构建全方位、多层次、一致性的防护体系，按要求采用密码技术，并定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。

16. 中国在2020年关于“抓住数字机遇，共谋合作发展 ”的国际研讨会上提出《全球数据安全倡议》，指出在全球分工合作日益密切的背景下，确保信息技术产品和服务的供应链安全对于提升用户信心、保护数据安全、促进数字经济发展至关重要。加密技术作为保障供应链安全的关键技术之一，必然也面临同样的要求。为此，对待密码技术应当秉承（ ）。ACD

    A. 秉持发展和安全并重的原则

    B. 平衡处理密码技术进步与经济发展的关系

    C. 平衡处理密码技术进步与国家安全的关系

    D. 平衡处理密码技术进步与社会公共利益的关系

• 我们呼吁各国秉持发展和安全并重的原则，平衡处理技术进步、经济发展与保护国家安全和社会公共利益的关系。

17. 关于我国在2020年提出的《全球数据安全倡议》，说法正确的有（ ）。ABCD

    A. 各国应积极维护全球信息技术产品和服务的供应链安全

    B. 各国应反对利用信息技术破坏他国关键基础设施或窃取重要数据的行为

    C. 各国应反对滥用信息技术从事针对他国的大规模监控行为

    D. 企业不得利用用户对产品依赖性谋取不正当利益

• ——各国应以事实为依据全面客观看待数据安全问题，积极维护全球信息技术产品和服务的供应链开放、安全、稳定。——各国反对利用信息技术破坏他国关键基础设施或窃取重要数据，以及利用其从事危害他国国家安全和社会公共利益的行为。——各国承诺采取措施防范、制止利用网络侵害个人信息的行为，反对滥用信息技术从事针对他国的大规模监控、非法采集他国公民个人信息。——信息技术企业不得利用用户对产品依赖性谋取不正当利益，强迫用户升级系统或更新换代。产品供应方承诺及时向合作伙伴及用户告知产品的安全缺陷或漏洞，并提出补救措施。

18. 中国在2020年关于“抓住数字机遇，共谋合作发展”的国际研讨会上提出《全球数据安全倡议》，并倡议道：信息技术产品和服务供应企业不得控制或操纵用户系统和设备。根据我国《刑法》规定，对计算机信息系统实施非法控制将面临的处罚描述正确的是（ ）。BC

    A. 情节严重的，处2年以下有期徒刑或拘役，并处或者单处罚金

    B. 情节严重的，处3年以下有期徒刑或者拘役，并处或者单处罚金

    C. 情节特别严重的，处3年以上7年以下有期徒刑，并处罚金

    D. 情节特别严重的，处2年以上5年以下有期徒刑，并处罚金

19. A公司系我国一家商用密码产品生产单位，2022年11月，其接到某国刑事司法调查机构的协助执法函，称该国一起刑事案件的犯罪嫌疑人将其生产的商用密码产品用于加密犯罪证据，要求A公司提供相关的密码算法和密钥数据，根据我国《数据安全法》，下列表述是正确的是（ ）。BC

    A. 由于涉及司法调查，A公司有义务提供相关密码数据

    B. 如果相关密钥存储于境内，则A公司非经我国主管机关批准，不得提供

    C. 如果使用的是未公开的密码算法，则A公司非经我国主管机关批准，不得提供

    D. A公司在任何情况下均不得提供商用密码算法和密钥

20. 根据我国《数据安全法》，以下属于维护数据的完整性、保密性、可用性的内部风险管理机制的是（ ）。ABC

    A. 备份

    B. 加密

    C. 访问控制

    D. 渗透测试

21. 根据我国《数据安全法》《数据出境安全评估办法》的规定，A单位对自身的商用密码技术数据申请重要数据出境安全评估，那么安全评估应当重点评估（ ）。ABCD

    A. 数据出境的目的、范围、方式等的合法性、正当性、必要性

    B. 出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险

    C. 出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，以及数据安全是否能够得到充分有效保障

    D. A单位与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务

• 《数据出境安全评估办法》第五条 数据处理者在申报数据出境安全评估前，应当开展数据出境风险自评估，重点评估以下事项：（一）数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性；（二）出境数据的规模、范围、种类、敏感程度，数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险；（三）境外接收方承诺承担的责任义务，以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全；（四）数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险，个人信息权益维护的渠道是否通畅等；（五）与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等（以下统称法律文件）是否充分约定了数据安全保护责任义务；（六）其他可能影响数据出境安全的事项。

22. 按照《关键信息基础设施安全保护条例》的内容，某漏洞平台为增补现有的商用密码系统漏洞库，拟针对某商用密码科研单位实施大规模的渗透性测试，评估并发现潜在的漏洞风险。在实施渗透性测试之前，该商用密码科研单位被认定为关键信息基础设施运营者，则该漏洞平台为了能够合法地实施渗透性测试，需要（ ）。ABCD

    A. 经过国家网信部门批准

    B. 经过国务院公安部门批准

    C. 经过关键信息基础设施保护工作部门授权

    D. 经过该商用密码科研单位授权

• 第三十一条　未经国家网信部门、国务院公安部门批准或者保护工作部门、运营者授权，任何个人和组织不得对关键信息基础设施实施漏洞探测、渗透性测试等可能影响或者危害关键信息基础设施安全的活动。对基础电信网络实施漏洞探测、渗透性测试等活动，应当事先向国务院电信主管部门报告。

23. 按照《关键信息基础设施安全保护条例》，某商用密码服务机构的信息系统被依法认定为关键信息基础设施，在日常安全审计中，发现该信息系统近日来遭受持续的APT攻击，导致了大量商用密码业务数据的泄露，信息系统所在机构立即采取了相应的应急处置措施，但为了减少对于自身信誉的影响，选择不向主管部门报告，针对该行为，下列表述正确的是（ ）。BCD

    A. 该机构已经采取了应急处置措施，不需要承担任何法律责任

    B. 该机构未向主管部门报告，应当给予警告

    C. 对该机构应当处10万元以上100万元以下罚款

    D. 对直接负责的主管人员应当处1万元以上10万元以下罚款

• 第四十条　运营者在关键信息基础设施发生重大网络安全事件或者发现重大网络安全威胁时，未按照有关规定向保护工作部门、公安机关报告的，由保护工作部门、公安机关依据职责责令改正，给予警告；拒不改正或者导致危害网络安全等后果的，处10万元以上100万元以下罚款，对直接负责的主管人员处1万元以上10万元以下罚款。

24. 按照《关键信息基础设施安全保护条例》，关于关键信息基础设施中的密码管理，以下说法错误的是（ ）。ABD

    A. 关键信息基础设施中使用的密码属于普通密码

    B. 关键信息基础设施中使用密码产品或服务，一律先行经国家安全审查

    C. 国家密码管理局可以依法开展关键信息基础设施网络安全检查

    D. 对国家密码管理局依法开展的关键信息基础设施网络安全检查工作不予配合的，可以处以10万元以下罚款

• 《密码法》：第二十七条　法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施，其运营者应当使用商用密码进行保护，自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接，避免重复评估、测评。关键信息基础设施的运营者采购涉及商用密码的网络产品和服务，可能影响国家安全的，应当按照《中华人民共和国网络安全法》的规定，通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。《关键信息基础设施安全保护条例》：第四十二条　运营者对保护工作部门开展的关键信息基础设施网络安全检查检测工作，以及公安、国家安全、保密行政管理、密码管理等有关部门依法开展的关键信息基础设施网络安全检查工作不予配合的，由有关主管部门责令改正；拒不改正的，处5万元以上50万元以下罚款，对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款；情节严重的，依法追究相应法律责任。

25. 按照《关键信息基础设施安全保护条例》，关键信息基础设施中的密码使用和管理还应当遵守的相关法律、行政法规有（ ）。ABCD

    A. 《密码法》

    B. 《电子签名法》

    C. 《商用密码管理条例》

    D. 《网络安全等级保护基本要求》

26. 按照《关键信息基础设施安全保护条例》，在开展关键信息基础设施网络安全检查工作中，保护工作部门和其他有关检查部门不应当（ ）。ABCD

    A. 收取费用

    B. 要求购买指定密码产品

    C. 指定对检查风险进行整改的服务机构

    D. 将获取的信息用于非检查工作的其他用途

• 第二十七条　国家网信部门统筹协调国务院公安部门、保护工作部门对关键信息基础设施进行网络安全检查检测，提出改进措施。有关部门在开展关键信息基础设施网络安全检查时，应当加强协同配合、信息沟通，避免不必要的检查和交叉重复检查。检查工作不得收取费用，不得要求被检查单位购买指定品牌或者指定生产、销售单位的产品和服务。

27. 依据《信息安全等级保护管理办法》，某单位拟对其信息系统进行整改和升级，下列做法不正确的是（ ）。ABD

    A. 采用美国最先进的密码产品

    B. 使用本单位科研团队研发的先进密码产品

    C. 将密码的配备使用情况向国家密码管理机构备案

    D. 将信息系统中密码及密码设备的测评工作交由其他单位推荐的专家个人承担

28. 关于《网络安全审查办法》，以下说法正确的是（ ）。BCD

    A. 网络安全审查涉及的对象包括所有网络运营者

    B. 国家网络安全审查工作机制的组建和成员机构包括国家密码管理局

    C. 网络安全审查办公室设在国家互联网信息办公室

    D. 网络安全审查涉及对所使用的密码产品或服务的安全性评估

• 第二条 关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。第四条　在中央网络安全和信息化委员会领导下，国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。第二条　关键信息基础设施运营者采购网络产品和服务，网络平台运营者开展数据处理活动，影响或者可能影响国家安全的，应当按照本办法进行网络安全审查。网络安全审查办公室设在国家互联网信息办公室，负责制定网络安全审查相关制度规范，组织网络安全审查。

29. 关于《网络安全审查办法》涉及的密码产品或服务，以下说法正确的是（ ）。ABCD

    A. 关键信息基础设施运营者采购密码产品或服务，应当了解其加密算法、密钥管理和协议等主要机制，预判采购后可能带来的国家安全风险

    B. 国家密码管理局如果认为可能影响国家安全的密码产品或服务需要进行网络安全审查的，由网络安全审查办公室按程序报批后审查

    C. 关键信息基础设施运营者应当强化密码产品和服务的供应链安全风险管理，预判采购后可能带来的国家安全风险

    D. 在进行国家安全审查时，向关键信息基础设施运营者或网络平台运营者提供密码产品或服务的供应商需要配合网络安全审查

• 第五条 关键信息基础设施运营者采购网络产品和服务的，应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的，应当向网络安全审查办公室申报网络安全审查。第六条 对于申报网络安全审查的采购活动，关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查，包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备，无正当理由不中断产品供应或者必要的技术支持服务等。第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动，由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后，依照本办法的规定进行审查。

30. 某安全研究人员发现一款网络产品疑似存在密码漏洞，以下做法不符合《网络产品安全漏洞管理规定》的是（ ）。ABC

    A. 在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息

    B. 披露网络、信息系统及其设备中存在该安全漏洞的细节

    C. 将漏洞信息与位于境外的安全社区共享

    D. 如发布网络产品安全漏洞的，应同步发布修补或者防范措施

• 《网络产品安全漏洞管理规定》：第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的，应当遵循必要、真实、客观以及有利于防范网络安全风险的原则，并遵守以下规定：（一）不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息；认为有必要提前发布的，应当与相关网络产品提供者共同评估协商，并向工业和信息化部、公安部报告，由工业和信息化部、公安部组织评估后进行发布。（二）不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。（三）不得刻意夸大网络产品安全漏洞的危害和风险，不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。（四）不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。（五）在发布网络产品安全漏洞时，应当同步发布修补或者防范措施。（六）在国家举办重大活动期间，未经公安部同意，不得擅自发布网络产品安全漏洞信息。（七）不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。（八）法律法规的其他相关规定。

31. 关于网络产品的密码相关漏洞，以下说法正确的是（ ）。AB

    A. 产品提供者发现其网络产品存在漏洞等风险，应采取补救措施

    B. 密码产品提供者应当在产品的质保期内持续提供安全维护

    C. 产品提供者可以通过委托网络安全服务机构对使用中的密码产品直接进行漏洞检测评估

    D. 密码漏洞不属于《网络安全法》规定的网络产品、服务漏洞

32. 为了有效发现和修复商用密码产品中可能存在的安全漏洞，商用密码产品提供者可以（ ）。ABCD

    A. 为使用该密码产品的用户提供安全维护服务

    B. 对发现并通报所提供的产品安全漏洞的组织或者个人给予奖励

    C. 对网络上疑似发布产品安全漏洞信息的行为保持密切关注

    D. 建立商用密码产品安全漏洞信息接收渠道并保持畅通

33. 实施加密勒索攻击行为可能触犯的刑事罪名有（）。AB

    A. 非法侵入计算机信息系统罪

    B. 非法控制计算机信息系统罪

    C. 拒不履行信息网络安全管理义务罪

    D. 提供侵入、非法控制计算机信息系统程序、工具罪

• 涉嫌非法侵入计算机信息系统罪、非法控制计算机信息系统罪、破坏计算机信息系统罪、敲诈勒索罪。

34. 与勒索攻击有关的刑事罪名有（ ）。ABCD

    A. 非法侵入计算机信息系统罪

    B. 非法控制计算机信息系统罪

    C. 破坏计算机信息系统罪

    D. 侵犯公民个人信息罪

35. 在刑事法律上对勒索攻击需要考虑的构成要件有（ ）。ABCD

    A. 主观上存有故意

    B. 实施了侵入、非法控制计算机信息系统的行为

    C. 获取该计算机信息系统中或造成计算机信息系统不能正常运行等后果

    D. 实施的违法犯罪行为与危害后果之间有因果关系

• 主观上存有故意：指犯罪主体具有故意实施勒索攻击行为的主观意图，即明知或应知自己的行为可能导致非法勒索他人，并故意实施该行为。实施了侵入、非法控制计算机信息系统的行为：勒索攻击通常需要实施对计算机信息系统的侵入或非法控制，以获取对目标数据或系统的控制权，包括非法侵入计算机信息系统、非法控制计算机信息系统等行为。获取该计算机信息系统中或造成计算机信息系统不能正常运行等后果：勒索攻击的行为可能导致获取目标计算机信息系统中的数据或造成计算机信息系统不能正常运行等后果，这些后果是构成勒索攻击犯罪的重要因素。实施的违法犯罪行为与危害后果之间有因果关系：刑事法律对勒索攻击的构成要件还要求实施的违法犯罪行为与所产生的危害后果之间存在因果关系，即攻击行为直接或间接导致了勒索的发生或其它危害后果的产生。

36. 行为人侵入国家核心密码和普通密码研发系统，可能构成的刑事罪名是（ ）。ACD

    A. 非法侵入计算机信息系统罪

    B. 非法利用信息网络罪

    C. 非法获取国家秘密罪

    D. 破坏计算机信息系统罪

37. 某网络运营者未履行对用户敏感个人信息的加密存储义务，如导致以下哪些后果之一的，经监管部门责令采取改正措施而拒不改正，则可能构成拒不履行信息网络安全管理义务罪（ ）。BC

    A. 致使用户无法登录账户，需要重置的

    B. 致使用户信息泄露，造成严重后果的

    C. 致使刑事案件证据灭失，情节严重的

    D. 致使用户个人信息错误，需要更正的

• 《刑法》第二百八十六条之一对拒不履行信息网络安全管理义务罪做了详细规定，“网络服务提供者不履行法律、行政法规规定的信息网络安全管理义务，经监管部门责令采取改正措施而拒不改正，有下列情形之一的，处三年以下有期徒刑、拘役或者管制，并处或者单处罚金：（一）致使违法信息大量传播的；（二）致使用户信息泄露，造成严重后果的；（三）致使刑事案件证据灭失，情节严重的；（四）有其他严重情节的。单位犯前款罪的，对单位判处罚金，并对其直接负责的主管人员和其他直接责任人员，依照前款的规定处罚。有前两款行为，同时构成其他犯罪的，依照处罚较重的规定定罪处罚。”刑法将网络服务提供者积极、主动地履行信息网络安全管理义务正式纳入刑事规制的范围内，也预示着网络服务提供者成为维护信息网络安全的重要组成部分。

38. 我国《刑法》中与出口国家禁止出口的密码管制物项或者未经许可出口密码管制物项有关的罪名有（ ）。AD

    A. 走私国家禁止进出口的货物、物品罪

    B. 非法经营罪

    C. 泄露国家秘密罪

    D. 逃避商检罪

39. 按照商务部《中国禁止出口限制出口技术目录》，以下属于禁止出口的密码的技术或产品包括（ ）。ABCD

    A. 涉及保密原理、方案及线路设计技术的卫星数据加密技术

    B. 涉及加密与解密软件、硬件的卫星数据加密技术

    C. 卫星及其运载无线电遥控遥测编码和加密技术

    D. 北斗卫星导航系统信息传输加密技术

• 关于调整发布《中国禁止出口限制出口技术目录》的公告

40. 按照商务部《中国禁止出口限制出口技术目录》，以下属于限制出口的密码的技术或产品包括（ ）。ABCD

    A. 高速密码算法的密码芯片设计和实现技术

    B. 量子密码技术

    C. 密码漏洞发现和挖掘技术

    D. 片上密码芯片（SOC）设计与实现技术

• 关于调整发布《中国禁止出口限制出口技术目录》的公告

41. 按照商务部、科技部《中国禁止进口限制进口技术目录》，以下属于限制进口的密码的技术或产品包括（ ）。AB

    A. 安全强度不高于64位加密算法的加密技术

    B. 安全强度不高于128位加密算法的加密技术

    C. 安全强度高于256位加密算法的加密技术

    D. 安全强度高于1024位加密算法的加密技术

42. 按照商务部、科技部《中国禁止进口限制进口技术目录》，是否限制进口时考虑的因素包括（）。ABCD

    A. 进口后将对国家安全、社会公共利益造成的不利影响

    B. 进口后对生态环境产生的不利影响

    C. 依照法律、行政法规的规定需要限制进口

    D. 根据我国缔结或者参加的国际公约、国际协定的规定需要限制进口

43. 根据《网络安全法》，网络运营者应对所有数据采取加密措施。错误

44. 根据《网络安全法》，网络运营者应当采取数据分类、重要数据备份和加密等措施，以履行网络安全保护义务。正确

45. 根据《网络安全法》，窃取他人加密保护的信息，非法侵入他人的密码保障系统、并根据《密码法》规定受到处罚的人员，三年内不得从事网络安全管理和网络运营关键岗位的工作。错误

46. 按照《关键信息基础设施安全保护条例》，关键信息基础设施运营者对密码管理部门依法开展的关键信息基础设施网络安全检查工作应当予以配合。正确

47. 按照《关键信息基础设施安全保护条例》，关键信息基础设施运营者如果对密码管理等有关部门依法开展的检查工作不予配合，且由有关主管部门责令改正后拒不改正的，将被处1万元以上10万元以下罚款。错误

48. 按照《关键信息基础设施安全保护条例》，关键信息基础设施中的密码使用和管理，应当遵守《密码法》等相关法律、行政法规的规定。正确

49. 根据《国家政务信息化项目建设管理办法》，除国家发展改革委审批或者核报国务院审批的外，其他有关部门自行审批新建、改建、扩建，以及通过政府购买服务方式产生的国家政务信息化项目，应当按规定履行审批程序并向国家发展改革委备案。正确

50. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建设单位应当同步规划、同步建设、同步运行密码保障系统并定期进行评估。正确

51. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目验收的内容中，不包括安全风险评估报告。错误

52. 根据《国家政务信息化项目建设管理办法》，国家政务信息化项目建设单位提交验收申请报告时,应当一并附上密码应用安全性评估报告。正确

53. 根据《国家政务信息化项目建设管理办法》，对于不符合密码应用和网络安全要求，或者存在重大安全隐患的政务信息系统，可以通过安排运行维护经费进行整改。错误

54. 根据《国家政务信息化项目建设管理办法》，国务院办公厅、国家发展改革委、财政部、中央网信办会同有关部门对国家政务信息化项目中的密码应用、网络安全等情况实施监督管理。正确

55. 根据《国家政务信息化项目建设管理办法》，各部门应当定期开展密码应用安全性评估，确保政务信息系统运行安全和政务信息资源共享交换的数据安全。正确

56. 根据《信息安全等级保护管理办法》,等级保护工作中有关密码工作的监督、检查、指导由国家密码管理部门负责。正确

57. 根据《信息安全等级保护管理办法》,国家密码管理部门对信息安全等级保护的密码实行分类分级管理。正确

58. 根据《信息安全等级保护管理办法》,信息系统运营、使用单位采用密码进行等级保护的，应当遵照《信息安全等级保护密码管理办法》、《信息安全等级保护商用密码技术要求》等密码管理规定和相关标准。正确

• 《信息安全等级保护管理办法》第三十四条 信息系统运营、使用单位采用密码进行等级保护的，应当遵 照《信息安全等级保护密码管理办法》、《信息安全等级保护商用 密码技术要求》等密码管理规定和相关标准。

59. 根据《信息安全等级保护管理办法》,信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。正确

• 第三十五条 信息系统安全等级保护中密码的配备、使用和管理等，应当严格执行国家密码管理的有关规定。

60. 根据《信息安全等级保护管理办法》,采用密码对涉及国家秘密的信息和信息系统进行保护的，应经报保密行政管理部门审批。错误

• 第三十六条 信息系统运营、使用单位应当充分运用密码技术对信息系统进行保护。采用密码对涉及国家秘密的信息和信息系统进行保护的，应报经国家密码管理局审批，密码的设计、实施、使用、运行维护和日常管理等，应当按照国家密码管理有关规定和相关标准执行；采用密码对不涉及国家秘密的信息和信息系统进行保护的，须遵守《商用密码管理条例》和密码分类分级保护有关规定与相关标准，其密码的配备使用情况应当向国家密码管理机构备案。

61. 根据《信息安全等级保护管理办法》,运用密码技术对信息系统进行系统等级保护建设和整改的，未经批准不得采用含有加密功能的进口信息技术产品。正确

• 第三十七条 运用密码技术对信息系统进行系统等级保护建设和整改的，必须采用经国家密码管理部门批准使用或者准于销售的密码产品进行安全保护，不得采用国外引进或者擅自研制的密码产品;未经批准不得采用含有加密功能的进口信息技术产品。

62. 根据《信息安全等级保护管理办法》,未经国家密码管理局认可的测评机构，不得对信息系统中的密码及密码设备进行评测。正确

• 第三十八条 信息系统中的密码及密码设备的测评工作由国家密码管理局认可的测评机构承担，其他任何部门、单位和个人不得对密码进行评测和监控。

63. 根据《信息安全等级保护管理办法》,各级密码管理部门对信息系统等级保护工作中密码使用和管理的情况每年至少进行一次检查和测评。错误

• 第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

64. 根据《信息安全等级保护管理办法》,在等级保护工作的监督检查过程中，发现未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。正确

• 第三十九条 各级密码管理部门可以定期或者不定期对信息系统等级保护工作中密码配备、使用和管理的情况进行检查和测评，对重要涉密信息系统的密码配备、使用和管理情况每两年至少进行一次检查和测评。在监督检查过程中，发现存在安全隐患或者违反密码管理相关规定或者未达到密码相关标准要求的，应当按照国家密码管理的相关规定进行处置。

65. 根据《信息安全等级保护管理办法》,第三级以上信息系统运营单位违反密码管理规定的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正。正确

• 第四十条 第三级以上信息系统运营、使用单位违反本办法规定，有下列行为之一的，由公安机关、国家保密工作部门和国家密码工作管理部门按照职责分工责令其限期改正;逾期不改正的，给予警告，并向其上级主管部门通报情况，建议对其直接负责的主管人员和其他直接责任人员予以处理，并及时反馈处理结果：

66. 根据《个人信息保护法》，个人信息处理者应当采取措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失,措施中包括相应的加密、去标识化等安全技术措施。正确

• 第五十一条　个人信息处理者应当根据个人信息的处理目的、处理方式、个人信息的种类以及对个人权益的影响、可能存在的安全风险等，采取下列措施确保个人信息处理活动符合法律、行政法规的规定，并防止未经授权的访问以及个人信息泄露、篡改、丢失：（一）制定内部管理制度和操作规程；（二）对个人信息实行分类管理；（三）采取相应的加密、去标识化等安全技术措施；

67. 我国金融信息系统、第二代居民身份证管理系统、国家电力信息系统、社会保障信息系统、全国中小学学籍管理系统中，都应用（ ）技术构建了密码保障体系。C

    A. 核心密码

    B. 普通密码

    C. 商用密码

    D. 核心密码和普通密码

• 国家密码管理局政策解读 密码政策问答（五十九）

68. 商用密码从业单位开展商用密码活动，应当符合该从业单位公开标准的技术要求，对此下列说法正确的是（ ）。C

    A. 企业生产的商用密码产品如果执行团体标准，则不需要公开相应标准编号

    B. 企业生产的商用密码产品如果执行的标准是本企业制定的企业标准，只需要公开标准名称

    C. 公开指标的类别和内容由企业根据自身特点自主确定，可以不公开私钥

    D. 企业应当公开其提供的密码产品的设计细节

• 企业生产的商用密码产品和提供的商用密码服务，如果执行国家标准、行业标准和团体标准，企业应该公开相应的标准名称和标准编号；如果企业生产的产品和提供的服务所执行的标准是本企业制定的企业标准，企业除了公开相应的标准名称和标准编号，还应当公开企业产品、服务的技术指标。公开指标的类别和内容由企业根据自身特点自主确定

69. 以下密码算法没有成为国际标准的是（ ）。A

    A. SM1分组密码算法

    B. SM4分组密码算法

    C. SM9数字签名算法

    D. ZUC密码算法

70. 近些年，我国建立和完善商用密码标准体系，商用密码标准取得较大进展，对此下列说法正确的是（ ）。B

    A. 我国已经发布了商用密码的强制性国家标准

    B. 我国商用密码现行国家标准均为推荐性的

    C. 商用密码行业标准不能上升为国家标准

    D. 我国有强制性的商用密码行业标准

71. 密码的加密保护功能用于保证（ ）。A

    A. 信息的机密性

    B. 信息的真实性

    C. 数据的完整性

    D. 行为的不可否认性

72. 密码在网络空间中身份识别、安全隔离、信息加密、完整性保护和抗抵赖性等方面具有不可替代的重要作用，可实现信息的（ ）、（ ）、数据的（ ）和行为的（ ）。A

    A. 机密性、真实性、完整性、不可否认性

    B. 秘密性、确定性、完整性、不可替代性

    C. 机密性、安全性、统一性、不可抵赖性

    D. 秘密性、有效性、统一性、不可逆转性

73. 商用密码服务是指基于商用密码专业技术、技能和设施，为他人提供集成、运营、监理等商用密码（ ）的活动。A

    A. 支持和保障

    B. 进出口

    C. 产品生产

    D. 产品销售

• 密码政策问答（七十九） 商用密码服务,是指基于商用密码专业技术、技能和设施,为他人提供集成、运营、监理等商用密码支持和保障的活动。

74. 关于商用密码应用安全性评估的原则，以下表述错误的是（ ）。C

    A. 商用密码应用安全性评估实施分类分级管理

    B. 新建的重要领域网络和信息系统，应当在规划、建设、运行三个阶段开展评估

    C. 已建成的重要领域网络和信息系统不再需要开展评估

    D. 商用密码应用安全性评估的关键点是网络和信息系统密码应用的合规性、正确性和有效性

75. 截至2023年6月1日，国家密码管理部门已经发布（ ）期商用密码应用安全性评估试点机构目录。B

    A. 1

    B. 2

    C. 3

    D. 4

76. 截至2023年6月1日，根据国家密码管理局发布的相关文件、通知，我国有商用密码应用安全性评估试点机构资格的机构一共有（ ）。C

    A. 24家

    B. 36家

    C. 73家

    D. 60家

77. 《政务信息系统密码应用与安全性评估工作指南》（2020版）的适用对象是（ ）。D

    A. 非涉密的国家政务信息系统建设单位和使用单位

    B. 政务信息系统集成单位

    C. 商用密码应用安全性评估机构

    D. 以上都是

78. 《政务信息系统密码应用与安全性评估工作指南》（2020版）制定的依据不包括（ ）。C

    A. 《国家政务信息化项目建设管理办法》

    B. 《商用密码应用安全性评估管理办法（试行）》

    C. 《电子政务电子认证服务业务规则规范》

    D. 《中华人民共和国密码法》

79. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），关于政务信息系统密码应用与安全性评估实施过程的表述，错误的是（ ）。D

    A. 密码应用方案通过密评是项目立项的必要条件

    B. 建设阶段涉及密码应用方案调整优化的，应委托密评机构再次对调整后的密码应用方案进行确认

    C. 系统通过密评是项目验收的必要条件

    D. 初次未通过密评的政务信息系统，不得通过项目验收。

80. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），在政务信息系统运行阶段，关于密码应用与安全性评估的要求，错误的是（ ）。C

    A. 在政务信息系统运行阶段，项目使用单位定期委托密评机构对系统开展密评

    B. 网络安全保护等级第三级及以上的政务信息系统，每年至少密评一次

    C. 密评可与关键信息基础设施网络安全审查、网络安全等级测评等工作统筹考虑、协调开展。

    D. 运行后的政务信息系统密评未通过的，项目使用单位按要求对系统进行整改后再次开展密评。

81. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），关于密评机构对政务信息系统开展密评工作的表述，正确的是（ ）。D

    A. 密评机构负责对政务信息系统的密码应用方案进行密评

    B. 密评机构负责对政务信息系统开展密评

    C. 密评机构对政务信息系统开展密评 时，应从总体要求、物理和环境安全、网络和通信安全、设备和计算安全、应用和数据安全、密钥管理、安全管理等方面开展评估

    D. 以上都对

82. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），密评机构对政务信息系统开展密评时，需依据的标准规范、指导性文件及管理要求是（ ）。D

    A. 《商用密码应用安全性评估管理办法（试行）》

    B. 《信息系统密码测评要求（试行）》

    C. 《商用密码应用安全性评估测评过程指南（试行）》

    D. 以上都是

83. 密码行业标准化技术委员会的主要职责包括（ ）。ABCD

    A. 提出密码行业标准规划和年度标准制定、修订计划的建议

    B. 组织密码行业标准的编写、审查、复审等工作

    C. 组织密码领域的国家和行业标准的宣传贯彻，推荐密码领域标准化成果申报科技进步奖励

    D. 受国家标准化管理委员会委托，对相关国际标准文件进行表决、审查我国提案

• (1)提出密码行业标准规划和年度标准制定、修订计划的建议；(2)组织密码行业标准的编写、审查、复审等工作;(3)组织密码领域的国家和行业标准的宣传贯彻,推荐密码领域标准化成果申报科技进步奖励,或向国家标准化管理委员会提出项目奖励建议;(4)受国家标准化管理委员会委托,对相关国际标准文件进行表决、审查我国提案,并组织开展国际技术交流与合作等。

84. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），某单位拟建设政务信息系统，下列建设环节中符合法律要求的是（ ）。ACD

    A. 密码应用方案应当通过密评

    B. 密码应用方案一旦通过密评须严格遵守，不得调整

    C. 系统建设完成后，必须对系统开展密评

    D. 系统通过密评是项目验收的必要条件

85. 按照《政务信息系统密码应用与安全性评估工作指南》（2020版）的内容，政务信息系统的建设单位，需要对政务信息系统进行保护，其中包括建立安全的密钥管理方案、采取有效的安全管理措施、采用密码技术措施等，其中密码技术措施包括（ ）。ABCD

    A. 物理和环境安全

    B. 网络和通信安全

    C. 设备和计算安全

    D. 应用和数据安全

• 总体上，项目建设单位需从物理和环境安全、网络和通信安全、 设备和计算安全、应用和数据安全等四个层面采用密码技术措施

86. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），政务信息系统的安全管理措施包括（ ）。ABCD

    A. 制度

    B. 人员

    C. 实施

    D. 应急

• 制度、人员、实施、应急

87. 按照《政务信息系统密码应用与安全性评估工作指南》（2020版），在政务信息系统中，密评机构的职责主要包括（ ）。AD

    A. 对政务信息系统的密码应用方案进行密评

    B. 对单位人员进行审查

    C. 对政务信息运行流程进行评估

    D. 对政务信息系统开展密评

• （三）密评机构 密评机构负责对政务信息系统的密码应用方案进行密评，并对政务信息系统开展密评。

88. 按照人社部《职业分类大典》，以下与密码技术直接相关的职业是（ ）。AC

    A. 密码技术应用员

    B. 密码管理员

    C. 密码工程技术人员

    D. 密码分析员

89. 商用密码在我们生活中无处不在，例如我们的二代居民身份证也使用了商用密码。正确

90. 我国商用密码行业标准的代号是GM。正确

91. 我国密码行业的标准化组织是国家密码管理局。错误

92. 在《政务信息系统密码应用与安全性评估工作指南》（2020版）中，编制政务信息系统密码应用方案应遵循总体性原则、完备性原则及适用性原则。正确

• （一）项目建设单位和使用单位

93. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），在政务信息系统建设阶段，系统通过密评并不是项目验收的必要条件。错误

94. 根据《政务信息系统密码应用与安全性评估工作指南》（2020版），未经检测认证的密钥管理方案技术实现可向国家密码管理部门进行备案。错误

• 密钥管理方案的技术实现需由通过检测认证的商用密码产品提 供。未经检测认证的密钥管理方案技术实现可提请国家密码管理部门 组织开展安全性审查。

95. 下面关于密码学的基本概念说法正确的是（ ）。ABC

    A. 原始的消息称为明文

    B. 经过加密的消息称为密文

    C. 用来传输消息的通道称为信道

    D. 消息的接发送者称为信宿

• 信源位于发送端信宿位于接收端

96. 根据Kerckhoffs原则，密码系统的安全性主要依赖于（ ）。A

    A. 密钥

    B. 加密算法

    C. 解密算法

    D. 通信双方

• Kerckhoffs准则认为，一个安全保护系统的安全性不是建立在它的算法对于对手来说是保密的，而是应该建立在它所选择的密钥对于对手来说是保密的。

97. Kerckhoffs准则认为，一个安全保护系统的安全性不是建立在它的算法对于对手来说是保密的，而是应该建立在它所选择的密钥对于对手来说是保密的。BC

    A. 明文的一位只影响密文对应的一位

    B. 让密文中的每一位受明文中每一位的影响

    C. 让明文中的每一位影响密文中的所有位。

    D. 一位明文影响对应位置的密文和后续密文

• 扩散(diffusion)和混淆(confusion)是C.E.Shannon提出的设计密码体制的两种基本方法，其目的是为了抵抗对手对密码体制的统计分析．在分组密码的设计中，充分利用扩散和混淆，可以有效地抵抗对手从密文的统计特性推测明文或密钥．扩散和混淆是现代分组密码的设计基础。所谓扩散就是让明文中的每一位影响密文中的许多位，或者说让密文中的每一位受明文中的许多位的影响．这样可以隐蔽明文的统计特性．当然，理想的情况是让明文中的每一位影响密文中的所有位，或者说让密文中的每一位受明文中所有位的影响。

98. 在分组密码设计中用到扩散和混淆的理论。理想的混淆是（ ）。ABC

    A. 使密文和密钥之间的统计关系变得尽可能复杂

    B. 使得对手即使获得了关于密文的一些统计特性，也无法推测密钥

    C. 使用复杂的非线性代换

    D. 让密文中的每一位受明文中每一位的影响

• 所谓混淆就是将密文与密钥之间的统计关系变得尽可能复杂，使得对手即使获取了关于密文的一些统计特性，也无法推测密钥．使用复杂的非线性代替变换可以达到比较好的混淆效果，而简单的线性代替变换得到的混淆效果则不理想．可以用"揉面团"来形象地比喻扩散和混淆．当然，这个"揉面团"的过程应该是可逆的．乘积和迭代有助于实现扩散和混淆．选择某些较简单的受密钥控制的密码变换，通过乘积和迭代可以取得比较好的扩散和混淆的效果．

99. 2000年10月，美国NIST宣布（ ）算法作为新的高级加密标准AES。A

    A. Rijndael

    B. RC6

    C. SERPENT

    D. Twofish

100. 根据密码分析者所掌握的分析资料的不同，密码分析一般可为四类：唯密文攻击、已知明文攻击、选择明文攻击、选择密文攻击，其中（）是在公开的网络中能获得的最现实的能力。A

**A. 唯密文攻击**

B. 已知明文攻击

C. 选择明文攻击

D. 选择密文攻击

• 教材55页