🔐 密评考试终极学习指南

整合来源:①5075题题库 ②国密局官方59知识点 ③密码技术速记笔记 ④第一章.docx
版本:2026年3月 · 终极完整版
📚 5大模块 59个知识点 5075道真题 25个陷阱 📊 题库大数据分析(新!) 🔬 实操打分专项(新!)

📋 官方59知识点速查表

10%
密码政策法规
(知识点1-4)
20%
密码技术基础
(知识点5-17)
20%
密码产品原理
(知识点18-45)
20%
密评理论技术
(知识点46-58)
30%
实务综合
(知识点59)

📐 核心算法参数速查表 ★★★★★必背★★★★★

🟦 SM4分组密码(最高频!)

参数数值备注
分组/密钥128 / 128比特★必背
轮数32轮非线性迭代★必背
线性变换L移位2、10、18、24★必背·判断高频
密钥扩展移位13、23★必背·判断高频
解密轮密钥加密轮密钥的逆序★判断题高频
线性变换L存在4个固定点★判断题高频

🟦 ZUC祖冲之序列密码(判断题陷阱密集区!)

⚠️ 陷阱最密集区!ZUC是序列(流)密码不是分组密码!
参数数值备注
类型同步序列密码不是分组密码!
初始化迭代32轮陷阱:不是16轮!
LFSR寄存器16×31=496比特陷阱:不是15个!
S盒4个8×8陷阱:不是2个!
反馈系数15、17、21★必背
128EEA-3保密性(encryption)★必背表
128EIA-3完整性(MAC算法)★必背表
标准化2011→3GPP / 2012→GM/T0001 / 2016→国标★时间顺序必背

🟦 SM3密码杂凑算法(能做完整性检测,不能做加解密!)

参数数值备注
分组/输出512→256比特★必背
初始值IV256比特(8字×32位)★必背
消息扩展132个消息字★必背
压缩函数输入768比特★必背
填充范围最少65比特,最多576比特,填充后最短512比特★★必背
P置换线性运算,2个置换函数★必背
结构Merkle-Damgard(M-D)★必背
能做完整性检测/口令保护/数字签名/证书/密钥派生★必背
不能做加解密数据★判断题陷阱!
标准化2010发布→2012行业→2016国标→2018.10 ISO★时间顺序必背

🟦 SM2公钥密码算法(最高频公钥算法!)

参数数值备注
私钥/公钥256位 / 512位=椭圆曲线上的点★必背·陷阱:不是整数!
签名长度512比特=(r,s),各256比特★必背
安全强度≈3072比特RSA★必背
签名结果(r,s),每次不同(含随机数)不是固定值!
数字签名不能提供消息机密性只能签名不加密!
SM2-1/2/3数字签名/密钥交换/公钥加密★多选题
密文结构C=C1‖C2‖C3(点‖比特串‖杂凑值)★必背

📊 分组密码七模式对比 ★★★★★必考★★★★★

模式全称加密并行解密并行IV要求能做MAC
ECB电码本不需要
CBC密文分组链接随机唯一✅最后组
CTR计数器唯一不可预测
OFB输出反馈可预计算可预计算唯一
CFB密文反馈随机
GCMGalois/Counter唯一
★高频辨析:ECB相同明文生成相同密文,不能抵抗统计分析攻击!CTR加密解密均支持并行,可随机访问!CBC加密串行解密并行!

📑 GM/T标准专项 ★★★★★判断题极高频区★★★★★

🟪 GM/T 0008 安全芯片三级分类

等级能量分析计时攻击故障攻击固件存储
安全等级1无要求无要求无要求明文或密文均可
安全等级2✅须防护无要求✅须防护必须密文存储
安全等级3强防护✅要求强防护硬件保护

🟪 GM/T 0012 TCM(判断题陷阱密集!)

🟪 GM/T 0062 随机数五类产品形态

类别上电处理能力典型产品周期检测
A类随机数发生器芯片(不能独立作功能产品)无要求
B类用时上电有限(严格速度)智能IC卡需检测
C类用时上电有限智能密码钥匙需检测
D类长期加电有限POS机✅需周期检测
E类长期加电较强服务器密码机✅需周期检测

🟪 GM/T 0083/0084 非入侵式攻击 vs 物理攻击

🔍 密评核心标准(★★★实务核心★★★)

标准名称核心内容
GM/T 0054密码应用基本要求31个评估指标;合规性/正确性/有效性三性原则
GM/T 0051密码应用测评要求测评方法(访谈/核查/测试);通用+扩展指标
GM/T 0053高风险判定指引12种高风险情形

十二种高风险情形(★★★★★判断题多选题高频★★★★★)

  1. 关键数据未采用密码技术保护
  2. 使用不符合国家/行业标准的密码算法
  3. 密钥管理存在严重漏洞(明文存储/弱密钥)
  4. 密码模块未通过安全认证
  5. 身份鉴别机制失效或弱化
  6. 重要数据传输未加密
  7. 重要数据存储未加密
  8. 完整性保护机制缺失
  9. 密码服务使用不合规
  10. 密码设备管理不规范
  11. 应急处置机制缺失
  12. 安全审计机制缺失

⚖️ 等级保护与评估频率 ★★★★★最高频数字★★★★★

⚠️⚠️⚠️ 判断题最大陷阱:等保二/三/四级均为每年至少一次!不是每二年!每年!每年!
系统等级投入运行前运行后评估频率
等保一级按要求可自行评估
等保二级按要求每年至少一次
等保三级必须通过密评每年至少一次(不是每二年!)
等保四级必须通过密评每年至少一次(不是每二年!)

⚖️ 密码法核心条款速查表(★★★★★法规核心★★★★★)

场景正确内容
密码三分法核心密码(绝密级)/普通密码(机密级)/商用密码(保护非国家秘密)★不是军/民二分!
密码法管理体制中央密码工作领导机构统一领导;国家密码管理局管全国密码工作;县级以上政府将密码工作纳入本级国民经济和社会发展规划,经费列入本级财政预算
检测认证自愿为主;强制用于国安/国计民生/社会公共利益
进出口许可国务院商务主管部门+国家密码管理局+海关总署制定
★大众消费类商用密码不实行进出口许可!
CA变更手续自变更之日起30日内(不是90日!)
虚假检测数据罚款10-30万元(不是违法所得1-3倍!)
关键信息基础设施实行国家安全审查制度(是网络安全审查的组成部分,不是独立制度!)

🚨 判断题陷阱TOP25(精华汇总·考前必背)

#❌ 错误表述✅ 正确答案
1ZUC是分组密码是序列(流)密码!
2ZUC初始化迭代16轮是32轮!
3ZUC有2个S盒是4个8×8 S盒!
4SM2数字签名可提供消息机密性不能!只能签名不加密!
5SM2签名值固定不变每次不同,含随机数!
6SM2公钥是一个整数是椭圆曲线上的一个点!
7密钥可以明文存储禁止!必须加密或HSM!
8密钥管理员可以兼任审计员必须分离!不得兼任!
9临时人员可以担任密钥管理员必须正式人员!
10等保四级运行后每二年评估一次每年至少一次!
11CA名称变更手续90日内30日内!
12密码检测机构罚款违法所得1-3倍10-30万元!
13SM9是GM/T 0012支持的算法不是!SM9不属于!
14管理引擎是TCM内部引擎不是!
15PCR掉电后数据不丢失会丢失!
16NV存储器掉电后数据丢失不丢失!
17LED指示灯是控制输入接口不是!
18封装时间属于标准封装内容不是!
19穷举攻击是非入侵式攻击不是!能量/计时/电磁才是!
20SM9可用姓名作标识身份证号/手机/邮箱可以,姓名不行!
21MD5输出256比特是128比特!
22A类产品需要周期检测不需要!
23密码模块源文件在密码边界内不是!
24密钥可以明文导出密码设备不可以!任何时候都不行!
25SM3可以做加解密不能!只能做完整性检测!

📅 复习计划

周次重点内容目标
第1周SM4/ZUC/SM3/SM2算法参数+七种分组模式参数全部背熟,达到能默写程度
第2周GM/T标准专项(0008/0012/0028/0051/0062/0083/0084)掌握各标准判断题陷阱密集区
第3周GM/T0054/0051/0053+等保评估频率+安全管理评分精通12种高风险情形和四维度评分
第4周刷题+背TOP25陷阱+查漏补缺考前冲刺,查漏补缺
Created by MiniMax Agent
×

🔬 密评实操专项:评分量化与结论判定完全手册(★新增核心★)

一、测评工作四大阶段(完整流程)

①测评准备 → 组建团队/签协议/信息收集/工具准备
②方案编制 → 确定对象/确定指标/确定检查点/编制方案
③现场测评 → 访谈+文档审查+实地察看+配置检查+工具测试
④分析与报告 → 单元测评→整体测评→量化评估→风险分析→形成结论

二、测评实施三大方法(★★★实操核心★★★)

方法英文具体操作证据类型
访谈Interview与密钥管理员/审计员/操作员访谈口头描述、管理文档
核查Examine查阅制度文档/配置记录/证书/操作日志书面/电子文档证据
测试Test抓包分析/协议分析/配置验证/工具测试技术实测证据

三、三维量化赋分表(★★★最核心打分系统★★★)

评估三个独立维度:D=密码使用有效性 / A=算法合规性 / K=密钥管理安全

DAK分值典型场景
1分(完全符合)三维全部满足
0.5分(部分符合A)密码有效,密钥安全,但算法不合规
0.5分(部分符合B)密码有效,算法合规,但密钥管理有问题
0.25分(部分符合C)密码有效,但算法不合规+密钥管理也有问题
0分(不符合)未使用密码技术或无法满足安全需求
⚠️ ★★★三维度独立判定!判定D时不考虑A和K的影响!各维度互不影响!

四、量化评估四级加权算分步骤(★★★计算题必考★★★)

第一步:测评对象赋分 Si,j,k ∈ {0, 0.25, 0.5, 1}
第二步:测评单元算分(技术要求→算术平均;管理要求→符合1/部分0.5/不符合0)
第三步:安全层面加权:Si = Σ(wi,j × Si,j) / Σwi,j
第四步:整体综合:S = Σ(wi × Si) / Σwi

五、整体结论判定(★★★最终结论怎么定★★★)

结论条件综合得分
符合 ✅所有单元无安全问题,部分符合+不符合项=0S = 100分
基本符合 ⚠️有安全问题但无高风险,且 S ≥ 阈值通常≥60-70分(以当年规则为准)
不符合 ❌有高风险安全问题 S < 阈值S < 阈值 或 有高风险项
⚠️ ★★★判断题最高频陷阱:S=90≠符合!必须=100分才算符合!★★★

六、整体测评弥补机制(★★★单元测评后可调整★★★)

七、高风险判定(GM/T 0053·12种高风险情形★★★★★)

1. 关键数据未采用密码技术保护
2. 使用不符合国标/行标的密码算法
3. 密钥管理严重漏洞(明文存储/弱密钥)
4. 密码模块未通过安全认证
5. 身份鉴别机制失效或弱化
6. 重要数据传输未加密
7. 重要数据存储未加密
8. 完整性保护机制缺失
9. 密码服务使用不合规
10. 密码设备管理不规范
11. 应急处置机制缺失
12. 安全审计机制缺失
⚠️ 满足任意1种即判定高风险→整体结论直接判不符合!

八、管理要求测评要点(★四级分别记忆★)

测评单元第一级第二级第三级第四级
管理制度
密码应用安全管理制度应具备应具备应具备应具备
密钥管理规则应建立应建立应建立应建立
建立操作规程应建立应建立应建立
定期修订安全管理制度应定期应定期
制度执行过程记录留存应留存应留存
人员管理
岗位责任制度应建立应建立+关键岗位设置+多人共管+审计员不可兼任同三级+背景调查
上岗人员培训应建立应建立应建立
定期考核应定期应定期
建设运行
制定密码应用方案应制定应制定应制定应制定
运行前密评可进行可进行应通过!应通过!
定期密评+攻防演习应定期应定期
应急处置
应急策略用户自主制定策略制定+立即启动同三级
事件上报向主管部门向主管部门+密码管理部门

九、实操专项TOP20判断题陷阱

#❌ 错误表述✅ 正确答案
1综合得分=90分=符合必须=100分才算符合!90分属于基本符合!
2算法不合规可直接判定密钥管理不合格三个维度独立判定,互不影响!
3三级运行前密评"可"进行三级和四级都是"应通过"!不是可!
4密钥管理员可以兼任审计员三级起:审计员不得与密钥管理员和操作员兼任!
5整体测评可以降低分值整体测评是弥补机制,可能上调或维持!
6S<100一定有高风险S<100不一定高风险!低于阈值且有高风险才算不符合!
7第一级必须建立操作规程第一级无要求!从第二级开始!
8第一级运行前密评"应"通过第一级是"可"!从第三级才强制要求!
9测评对象不符合,该单元直接得0分取所有对象得分的算术平均!
10定期开展攻防演习从第一级开始从第三级开始!第一二级无此要求!
11三级系统只需向主管部门报告安全事件三级向主管部门;四级还需向密码管理部门报告!
12审计员可以兼任操作员审计员不得与任何密钥相关岗位兼任!
13不适用项直接算符合不适用项不参与计算(分子分母均不计入)!
14算法合规性和密钥管理可以互相弥补不能!两个维度独立判定!
15部分符合直接给0.5分管理要求才直接给0.5分!技术要求是算术平均!
16第二级需要关键岗位背景调查第二级只需明确职责;第三级起需多人共管+背景调查!
17现场测评只需要核查文档必须:访谈+文档审查+实地察看+配置检查+工具测试!
18明文存储密钥可给0.5分明文存储=密钥管理严重问题→高风险→直接判不符合!
19第一级"宜"的要求必须测评第一级"宜"→默认不测评("应"才必须)!
20不符合=100分不符合与分数无关!有高风险或S<阈值=不符合!