自考12255《移动商务安全》复习资料Word格式.docx

1、网络决策是分散的，网络协议依赖于所有参与者之间的协作13.对移动商务进行安全保障，首要措施是在高层管理要引起对移动商务安全的足够重视14.移动商务的安全需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其中没有涉及的法律要素是. 有关移动终端知识产权保护的法律15.移动商务是目前和今后移动应用的重要内容，下列对移动商务理解有误的是将移动商务定义为通过移动通讯网络进行数据传输并且利用移动终端开展各种商业经营活动的一种完全创新、独立于电子商务的商务模式16.下面例举的内容分别属于移动商务系统必须遵循的哪些安全原则：（1）对于每一个用户，应该都授

2、予一个唯一的用户ID、识别名称等对其身份进行标识；（2）通过授权等安全机制来保证有合适权限的用户才能访问相应的数据、应用和系统；（3）通过一些加密手段来保证数据在交易过程中不得被XX的人员所正确读取（1）身份识别；（2）接入控制；（3）数据保密性 17.下面例举的内容分别属于移动商务系统必须遵循的哪些安全原则：（1）系统应该能够通过密码、标识或数字认证等来对用户的身标识进行认证；（2）利用信息分类和校验等手段保证数据在整个校验过程中没有被修改；（3）通过数字签名等手段来保证交易各参与方对整个交易过程中的指令和活动部得抵赖（1）身份认证；（2）数据完整性；（3）不可否认性18.下列哪项不属于移动

3、商务法律主要涉及的因素有关政企、企业和消费者、政府等之间权力与责任划分的法律19.按 加密密钥与解密密钥是否相同 划分，可将加密体制划分为对称加密体制和非对称加密体制20.以下哪一项不在证书数据的组成中？ 版权信息21.以下不是数据库加密方法的是信息隐藏 22.保证商业服务不可否认的手段主要是数字签名23.公钥体制用于大规模电子商务安全的基本要素是公钥证书24.在双密钥体制的加密和解密过程中要使用公共密钥和个人密钥，它们的作用是公共密钥用于加密，个人密钥用于解密 25.在数字信封中，先用来打开数字信封的是 私钥26.防火墙能够解决的问题包括 对进出网络的信息进行过滤27.实现数据完整性的主要手

4、段的是 散列算法28.充分发挥了DES和RSA两种加密体制的优点，妥善解决了密钥传送过程中的安全问题的技术是 数字信封 29.对称密钥密码体制的主要缺点是 密钥的分配和管理问题 下列选项中，不属于移动商务的主要安全技术的是DNS第三章 移动电子商务的安全基础30.移动用户（或移动办公人员）与远端个人用户，若通过Internet进入企业的局域网，这样必然带来安全上的隐患，因此可以采用VPN技术来消除这一安全隐患。以下关于VPN说法正确的是VPN指的是用户通过公用网络建立的临时的、安全的链接 WPKI的优势，使得其将被广泛应用于无线网络中各种安全通信服务领域，下列对WPKI的认识准确的是WPKI能

5、够为用户提供身份认证、访问控制和授权、传输机密性和完整性等服务 通过一个 WAP网关 ，用户可以使用各种移动终端访问互联网. GPS网关 31.网上交易的安全性是由 认证中心 来保证的32.移动商务的便捷、高效性已经被大众所熟知，安全问题依然是制约移动商务大规模发展的瓶颈。下面哪一项是移动商务安全的核心问题 移动支付安全问题33.移动终端设备容易丢失和被盗，不法分子就会利用存储的数据，可以访问企业内部网络，造成企业商务信息泄露；不法分子还会直接利用移动设备进行交易，造成个人隐私或者商务信息的泄露，导致个人利益的损失。造成上述恶劣影响的核心问题是缺乏对移动设备拥有者的特定用户身份认证机制34.下

6、列对移动商务环境存在的威胁以及措施理解有误的是即使用户在获取了信息系统的访问权限后，系统中的信息也并不是对所有用户公开的，这就需要采取建立鲁棒的网络35.电子商务和移动商务所处在的网络环境是有差异的，即无线网络和有线网络具有不同特性。下列对无线网络和有线网络的叙述正确的是有线网络的传输环境是确定的，信号质量是稳定的，而无线网络随着用户的移动其信道特性是变化的 36. 下列开展移动商务所处的无线网络环境描述错误的是无线网络能够提供有线网络服务所不具有的基于用户偏好服务 37. 在无线网络和有线网络的比较中，下列哪项叙述不正确无线信道资源虽然丰富、但质量较差，对无线频谱和功率的限制使其带宽较大38

7、.为了保障移动商务的安全，需要各方参与与努力。在管理方面，首先应该进行的内容是在高层管理引起对移动商务安全的足够重视39.无线通信产品将为人们提供速率高达2Mb/s的宽带多媒体业务，支持高质量的话音、分组数据、多媒体业务和多用户速率通信，将手机变为集语音、图像、数据传输等诸多应用于一体的未来通信终端。上述内容描述的是哪个移动商务系统的网络平台特色第三代（3G）移动通信系统平台40.我们常常会从网上下载一些浏览器或者应用程序软件，安装在移动终端设备上，这样移动设备接入网络后，就能通过运行浏览器或者应用程序享受移动服务了。那么，这些安装在移动终端设备上的浏览器以及应用程序软件，属于支持基本的移动商

8、务服务正常工作的哪个构造模块 客户端软件41.目前，市场上出现了一种“智能手机卡”，通过此卡，可以听到别人手机谈话的内容，并且能够进行短信拦截和GPS卫星定位系统。这属于哪种安全威胁通信内容容易被窃听42.当你到达陌生的环境，想了解附近的餐厅、宾馆等信息时，手机可以自动根据你目前的位置提供相应的信息服务，但因此你的位置信息被泄露。这是由移动商务的哪方面安全威胁造成的 移动定位的隐私威胁 43.移动支付作为移动商务的重要安全基础之一，对移动商务的推广与应用起着关键性的作用。相比网上支付，移动支付不具有以下哪项优势移动支付的金融体制比网上支付环境要完善44.下列对移动支付的理解准确的是在推广移动支

9、付业务时，需注意引导消费者建立新的消费观念第四章 信誉和信任模型45.有关移动微支付系统的叙述有误的是 移动微支付采用公钥安全系统 46.小张利用手机从网上买了一个电吹风，但收到货才发现，实物与当时卖家对产品的描述不符合，当他再上网搜寻那家店时，发现站点已经被关闭。这属于移动商务的哪个安全威胁商家欺诈行为47.在考虑提高移动商务系统的安全性时，必须同时保证网络安全的四大要素。下列哪项内容不属于网络安全的四大要素 信息传输的真实性48. 在开展移动商务中，我们常需要输入一些登录账号，如网络登录账号、数据库登录账号、电子邮件账号等来确认身份，可以说这是安全开展移动商务的第一步，因此用户账号的安全性

10、非常重要，下列哪项不能保障用户账号的保密性在系统中保存用户账号，下次登录时不用重复输入49. SET标准是一个能保证通过开放网络（包括Internet）进行安全资金支付的技术标准，是为了在Internet上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。它由哪两大信用卡组织联合开发的 Visa和Master-Card50. 下列对SSL和SET描述错误的是SET标准只支持B2B的电子商务模式，而不支持B2C模式，这限制了SET的应用范围51.下面有关SSL安全协议的说法，不正确的一项是SSL通常用私有密钥加密系统对信息进行加密52. 下列哪项协议是国际上最早应用于电子商务的一种网络安

11、全协议 SSL安全协议53. WPKI目前广泛应用于移动电子商务环境的加密体系中，一个完整的WPKI系统必须具有哪5部分客户端、注册机构、认证机构、证书库、应用接口54. 无线公开密钥体系WPKI（Wireless Public Key Infrastrcture）是在有线网络的公开密钥体系PKI（Public Key Infrastructure）上发展而来的，二者最大的区别是证书的验证和加密算法55. 对WPKI（Wireless Public Key Infrastrcture）技术的描述正确的一项是WPKI系统采用压缩的X.509数字证书56. 椭圆曲线密码体制作为一种公钥密码体制，数

12、学理论非常深奥和复杂，但其占用计算资源较小等明显特点，已成为移动商务环境中加密问题的重要解决方案之一。下列对椭圆曲线密码体制理解错误的一项是椭圆曲线密码体制利用的是大整数分解的困难问题57. 下列实现移动商务身份认证的技术中，能达到的安全级别最高的技术是手机指纹识别技术58. 下列对数字证书原理的叙述正确的是当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密59. 下列对保障移动商务安全采取的技术，理解有误的是密码技术可以保证交易过程中的数据安全，因此将电子商务中应用的密码技术平行应用到移动商务中，可以很好地满足移动商务的安全要求60. 下列对保障移动商务安全

13、采取的技术，理解有误的是为了克服SET安全协议的缺点，两大信用卡组织Visa和 Master-Card联合开发了SSL电子商务交易安全协议61.防范网络攻击最常用的方法就是防火墙，下列防火墙技术叙述有误的是基于ASIC架构的防火墙技术由于采用了软件转发模式、多总线技术、数据层面与控制层面分离等技术，因此解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证62.下列对移动数据库的理解有误的是移动数据库是能够支持移动式计算环境的数据库，其数据在物理上集中而逻辑上分散63.在无线网络和有线网络的比较中，下列哪项叙述不正确无线网络和有线网络都面临着信息被非法截取、未授权信息服务、网络迟延等安全问题

14、64. 电子商务和移动商务所处在的网络环境是有差异的，即无线网络和有线网络具有不同特性。下列对无线网络和有线网络的叙述有误的是有线网络同无线网络一样，都存在着网络的鲁棒性问题65. 移动通信网络的不稳定也会给移动商务的顺利进行带来阻碍，甚至导致出现安全问题。下列属于移动通信网络内部干扰的是 同频干扰66. IEEE802.1x协议可以更准确的描述为一种基于端口的网络接入控制协议 67. IEEE 802.1x协议是一种基于端口的网络接入控制协议，下列选项中对IEEE 802.1x协议理解有误的一项是IEEE 802.1x协议提供具体的认证机制，来实现用户认证和密钥分发68. 为了保证无线网络中

15、的节点即使出现故障，依然能够保证无线通信的正常进行，可以采取的安全措施是 建立鲁棒的网络69. 破坏者通过发射较大功率的同频信号干扰无线信道的正常工作，为了解决这一问题，下列哪项措施不具有针对性 采用基于端口的接入控制协议 70. 入侵检测系统的另一个问题是如何分析原始数据，从而得出关于入侵行为的报警。现在比较成熟的主要检测方法是异常检测和误用检测两种类型。下列相关叙述中有误的是误用检测的检测准确度较高，检测结果有明确的参照，可以检测未知的攻击类型71. 分布式无线入侵检测系统满足了大规模高速网络的需求，一般要使用代理技术来实现。下列对分布式无线入侵检测系统的结构理解有误的是信息获取和预警层主

16、要包含HSensor和NSensor，两者分析的数据来源不同：HSensor是监听网络环境中的数据通讯，而NSensor主要是指从本机的系统中获取信息源第五章 入侵检测和攻击分析72.入侵检测系统的另一个问题是如何分析原始数据，从而得出关于入侵行为的报警。下列关于入侵检测技术叙述有误的是入侵检测系统利用系统当前的配置信息、与入侵检测技术有关的长期信息、网络中的通信信息和被保护系统的审计信息进行检测分析 73. 网络接入控制也是保障移动商务通信安全的一种方法，下列对网络接入控制技术理解有误的是802.1x标准定义了增强分布式协调访问（EDCA）机制，通过设置不同的优先级，保障高优先级实时性业务Q

17、oS的需要74. 目前，网络接入控制存在着基于硬件的网络接入控制、基于代理的网络接入控制、基于无代理的网络接入控制和动态网络接入控制这四种方案。下列有关这些方案的叙述有误的是基于硬件的网络接入控制方案对于地理上分散的或者高度分散的网络是相对理想的方案 75. 目前，网络接入控制存在着基于硬件的网络接入控制、基于代理的网络接入控制、基于无代理的网络接入控制和动态网络接入控制这四种方案。下列有关这些方案的叙述正确的是无代理的网络接入控制的常见方法包括在允许端点设备进入网络之前对端点设备进行安全漏洞扫描或者政策评估扫描，或者同时进行这两项扫描76.在防火墙技术中，我们所说的外网通常指的是 非受信网络

18、77. 下列对电子机票预订系统的安全措施理解错误的是在手机支付渠道上使用与客户账户、卡密码相同的密码，方便客户的保存与使用第六章 基于策略的访问控制二、识记：78TDMA是指 时分多址 通信技术。79无线设备之间传递一小段文字或数字数据的服务是 短信息或SMS 服务。80PKI的中文意思是 公钥基础设施 。81WPKI系统的核心，作为数字证书签发机关的是 CA 。82一种低成本的近距离无线连接开放性全球规范技术是 蓝牙 技术。83主动攻击者将窃听到的有效信息经过一段时间后再传给信息的接受者，这就是 重传攻击。84恶意实体通过对不同实体提供不同效果的服务来削弱对好节点评价的攻击是 偏见攻击。85

19、信任的表示可以分为 布尔值、离散值 和 连续值 三种形式。86需要两个密钥：公开密钥和私有密钥的是 非对称加密算法。87当前的手机来电过滤，主要是指 黑白名单技术。88CDMA是指 码分多址 通信技术。89WAP的中文意思是 无线应用协议 。90PKI提供公钥加密和数字签名服务的目的是为了管理密钥和 证书 。91PKI和WPKI最主要的区别在于证书的验证和 加密 算法。92蓝牙技术中唯一可信的用于生成密钥数据的是 PIN 码。93电子商务中信誉系统体系结构的抽象描述是指 信誉 模型。94多个恶意实体联合起来给信任和信誉系统进行攻击的行为叫做 联合攻击 。95从检测方法上，IDS分为基于 知识

20、的技术和基于 行为 的技术。96访问控制在准则中被分为两类： 自主访问控制 和 强制访问控制。97GPRS是 通用分组无线业务 的简称。984G的中文意思是 第四代移动通信系统 。第七章 基于XML的信任沟通模型99RSA加密体制是采用公钥和私钥二个不同的 密钥。100WAP在简化TLS协议的基础上提出了 WTLS 协议。101当攻击者截获一个合法用户身份信息并用来假冒该合法用户的身份入网，这就是所谓的 身份假冒 攻击。102通过直接提供错误推荐从而影响正确的信誉值或信任度的是 错误推荐 攻击。103一种通过节点非法宣称多个身份而实现攻击的是 Sybil攻击。104Bluetooth是指 蓝牙

21、 通信技术。 105IVR的中文意思是 互动式语音应答。106WPKI 将PKI的安全机制引入到无线网络环境中。107基于现有Internet标准定制的，公开的全球无线协议标准示 WAP 协议。108主动攻击者对窃听到的信息进行修改之后再将信息传给原本的接受者，这就是 信息篡改。109恶意实体通过行为交替好坏，希望在保持高信任度的前提下实施的攻击是 叛国者攻击 。110实体通过有意的离开再加入系统来消除以前身份的坏的信誉度的攻击行为是 洗白攻击或NEWCOMER攻击 。111数据加密标准DES是目前广泛采用的 对称 加密方式之一。112神经网络是一种 并行分布 处理网络。113多播是一种 一点

22、对多点 的数据传输方式。114SET协议是一个能保证通过开放网络进行安全资金支付的技术标准，是为了在开放网络上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。115Ad Hoc网络Ad Hoc网络是一种没有有线基础设施支持的移动网络，网络中的节点均由移动主机构成。116无线接入控制就是在有限系统容量的基础上，以不牺牲已有连接的服务质量为前提，尽可能多的对新到达的连接请求予以接纳的决策问题。117信任协商是建立信任的一种有效途径，信任协商允许协商双方在没有预先存在的关系的情况下也能安全的交互敏感资源。第八章 基于代理模型的移动电子商务安全问题118LGT协议是一个基于分组封装技术的小规

23、模多播路由协议，LGT协议以单播路由协议为基础，在其上构建了一个多播路由树。119SSL协议SSL协议即安全套接层协议最初是由网景公司研究制定的安全协议， 该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。120加密就是把数据信息即明文转换为不可辨识的形式即密文的过程，目的是使不应了解该数据信息的人无法知道和识别。121手机病毒手机病毒原理与计算机病毒一样，以手机为感染对象，以手机网络和计算机网络为平台，通过发送病毒短信等形式对手机进行攻击，从而造成手机状态异常的一种新型病毒。122X-TNL语言X-TNL语言是一种基于XML的语言，X-

24、TNL语言详细描述了信任-X凭证和X-TNL揭露策略。123LAM协议是一个建立在临时序列路由算法TORA上的多播协议，采用了基于核心树算法CBT的思想，为每个多播组建立了一个以核心节点为根的共享多播路由树。124WAPWAP是无线应用协议之意。它由一系列协议组成，用来标准化无线通信设备，客观上已经成为移动终端上网的标准。125信任模型信任模型是电子商务活动中建立和管理信任关系的框架，是用来对交易实体的身份及其相关数据进行验证的机制。126访问控制是在身份认证的基础上，依据授权对提出的资源访问请求加以控制。127移动代理是分布式计算技术和代理技术发展的综合，它是一种具有移动特性的智能代理。12

25、8移动支付是指借助移动终端：手机、掌上电脑、笔记本电脑等现代通信工具，通过移动支付平台移动商务主体在动态中完成的一种支付行为。129WPKI就是无线公开密钥体系，它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系。130对称加密技术又称为私钥加密技术，加密密钥能从解密密钥中推算出来，反之亦然，大多数对称算法中，加解密的密钥是相同的，这些算法也称为秘密密钥算法或单密钥算法。131移动中间件技术是伴随着网络技术、通信技术、嵌入式操作系统和中间件技术的发展和融合而出现的新兴技术，是当前移动数据业务、3/4G业务以及广大智能终端增值业务的关键共性技术。1

26、32ACL是指Agent通信语言，是移动代理通信的基础，是实现MA与MA执行环境以及MA与MA之间通信的高级方式。133无线欺诈无线欺诈就是盗窃行为即盗取某种价值，当个人不付服务费便进行通信时，他就是对服务提供商进行了盗窃。第九章 安全多播移动电子商务的问题和挑战三、掌握：134移动电子商务系统必须满足哪些安全需求1）身份标识2）身份认证3）接入控制4）数据完整性5）不可否认性6）数据保密性135移动电子商务的安全原则1）授权2）完整性3）保密性4）可用性5）可靠性6）可扩展性136手机网络防火墙的优缺点优点：1）采用包过滤技术2）具备实时监控能力3）日志功能方便用户查询网络流量及网络的状态缺

27、点：1）功能单一，只可阻断网络封包2）包过滤的过程有可能造成延迟3）日志的存在137信任关系的性质1）信任关系总是存在于两个主机之间2）主观性3）非对称性138多播和单播的区别1）为了让网络中的多个节点可以同时接受到相同的数据，如果采用单播的方式，那么源节点必须不断产生多个相同的数据来进行发送2）而对于一个节点来说，同时不停的产生一个数据包也是一个很大的负担3）如果采用多播，源节点只需要发送一个数据包就可以到达每个所有的组成员节点上139 SSL协议的功能1）认证用户和服务器2）加密数据以隐藏被传送的数据3）维护数据的完整性140简述无线网络安全隐患有哪些1）网络本身的威胁2）无线Ad Hoc

28、应用的威胁3）网络漫游的威胁4）物理安全第十章 支付系统和欺诈管理141手机病毒攻击方式1）攻击手机本身2）攻击WAP网关3）攻击WAP服务器142信任-X的协商过程1）初始阶段2）策略评估阶段3）凭证交换阶段143多播和广播的区别1）为了让网络中的多个节点可以同时接受到相同的数据，广播采用的方式是把数据传送到网内每个节点上，不管这个节点是否对数据感兴趣。这样就造成了带宽和节点资源的浪费。2）而多播有一套对组员和组之间关系维护的机制，可以明确知道在某个子网中，是否有节点对这类多播数据感兴趣3）如果没有就不会把数据进行转发，并会通知上游路由器不要再转发这类数据到下游路由器上144WAP的特点1）WAP是公开的全球无线协议标准，并且是基于现有的Internet标准定制的2）WAP提供了一套