电子商务安全习题.docx

1、电子商务安全习题电子商务安全习题 一、 选择题（单选或多选）1. 电子商务的主要参与者是（C）A 企业、商家、银行、ISP B 消费者、企业、商家、银行C 企业、消费者、中介机构、政府 D 消费者、IT行业、网络公司、商家2. 下列说法错误的是（BE）A 电子商务本身并不是高科技B 电子商务是对传统商务的一种革命C 电子商务的本质是商务 D 电子商务本身并不是高科技，它只是高科技的应用。 E 网上教育并不属于电子商务的范畴3. 属于电子商务基础中的支柱是（AC）A 公共政策 B WWW C 技术标准 D Internet E 密码4. 在电子商务交易过程中，消费者个人的隐私一般指（C）A 消费

2、者个人购买商品的价格、数量等。B 消费者个人信用卡的密码、电话号码、年龄等。C 消费者个人人的姓名、肖像、性别、身份等D 小分这个人的姓名、家庭地址、婚姻情况等5. 在网上交易中，如果订单在传输过程中订货数量发生变化，则破坏了安全需求中的（C）A 身份鉴别 B 数据机密性 C 数据完整性 D 不可抵赖性二、填空题1、按照使用网络的类型来分类，电子商务可分为基于（EDI网络）的电子商务、基于(内联网)的电子商务和基于（互联网）的电子商务。2、电子商务的一般框架从最基础的技术层次到电子商务的应用层次分为（网络层）、（消息/信息发布层）和（一般业务服务层）3个层次，它们构成电子商务的基础层次。3、电

3、子商务安全交易体系，概括起来包括3个层次（信息加密算法）、（安全认证技术）、（安全交易协议）。4、所谓访问控制，包括（进入物理区域）的限制和对（计算机存取数据过程）的限制。5、电子商务的本质是（商务），核心是（人）。6、电子商务的安全问题主要涉及（信息安全问题）、（信用安全问题）、（安全的管理问题）以及电子商务的法律保障问题。7、电子商务安全国际规范最具有代表性的有（SSL协议）和（SET协议）。8、实现电子商务安全必须具有的3个特征为（保密性）、(完整性)和（可用性）。三、判断题（错误或正确）1、 电子商务系统一般是基于C/S结构的。 （）2、电子商务安全仅仅是一个企业安全部门的事情。 （）

4、3、 为了推动电子商务发展，应立足于允许企业尽可能收集个人数据，但必须注意保密，以最大限度的保护企业利益的原则来制定关于网络隐私的法律。 （）4、保障电子商务安全除了应用技术手段外，还必须采用法律手段。 （）四、简答题1、电子商务的技术特征是什么？电子商务的应用特征是什么？答：电子商务的技术特征主要包括：信息化，虚拟性，集成性，可拓展性，安全性，系统性；电子商务的应用特征主要包括：商务性，服务性，协调性，社会性，全球性。2、一个企业开展电子商务需要考虑那几方面的风险？从电子交易过程看存在哪些风险？答：一个企业开展电子商务需要考虑风险的三个领域：危害性、不确定性和机遇。（1）危害性：安全性、法律

5、和规则问题、税收、电子商务的弹性（2）不确定性：消费者的信心、与广告商的关系、改变流程（3）机遇：建立客户忠诚度、优化业务流程、创造新的产品和服务从电子交易过程看存在风险有：产品识别风险、质量控制风险、网上支付风险、物权转移中的风险、信息传递风险。3、电子商务安全涉及到的法律要素主要有哪些？答：电子商务安全涉及到的法律要素主要有：保障交易各方身份认证的法律电子合同的法律地位对电子商务中消费者权益保护的法律网络知识产权保护的法律。4、简述电子商务系统的典型结构。（1）客户机/服务器（C/S）结构（2）B/W/S三层结构（3）电子商务系统结构：客户层、web服务层、应用服务层、企业信息系统层5、简

6、述电子商务系统安全的构成。答：电子商务系统的基本组成有：计算机网络、用户、配送中心、认证中心、银行、商家。信息源节点信息目的节点一、选择题（单选或多选）非法用户1、图27所示表示信息被 （B） A 篡改 B 伪造 C 截取 D 窃听图 27选择题1图示2、下列表述错误的是（B）A 选择统计是利用人体所具备的生物特征来认证，其中包换 多种类型的验证，如指纹、眼膜、语谙音等。 B 入侵检测是100%安全的，能检测出合法用户对信息的非正常访问。C 防病毒软件如果没设置合理，那么可以降低系统遭受恶意攻击的机会D 智能卡有漏洞，不能防止对系统漏洞进行攻击3、在电子商务安全设置中。利用指纹、声音、DNA图

7、案、视图膜扫描图案等信息来设置安全信息的属于（A）A 生物统计系统 B 智能卡技术 C 验证技术 D 入侵检测技术4、在网上交易中，如果订单在传输过程中订货数量发生变化，则破坏了安全需求中的（C）A 身份鉴别 B 数据机密性 C 数据完整性 D 不可抵赖性 二、填空题1、网络信息安全目标有（完整性）（保密性）（及时性）(真实性)以及可控性。2、电子商务安全交易体系的一般框架从最基础的网络安全层次到系统应用层次分成（加密技术）（完全认证）（安全协议）3个层次它们构成电子商务安全交易体系。3、在电子商务安全交易体系中，安全协议层涉及到的安全技术有（SET）和（SSL）4、数字签名技术属于（安全认证

8、层）的安全技术 。三、判断题（错误或正确）1、加密技术层的安全技术手段有加密技术和SET协议（错）2、防火墙可以防范所有的入侵，是目前世界最安全的防范技术（错）3、对于电子商务来说，我们不能依赖于任何一种安全方案或安全产品，事实上是没有一种产品可以全面保护系统的信息财产。我们需要综合使用，合理配置。 （对）四、简答题1、什么情况下防火墙无效？答：在受到黑客攻击、感染了病毒DNS服务器解释出错、与设置代理服务器有关或设置了防火墙无效的情况下防火墙是无效的。2、简述安全防范体系有那些，各自的优缺点是什么？安全防范系统是指以维护社会公共安全和预防、制止违法犯罪和重大治安事故为目的的,将人防、物防、技

9、防有机结合的整体.主要有以下三类： （1）阻止非法侵入特定场所、非法使用特定器物。如电子锁、电子门禁系统、机动车防盗器等。 （2）对非法侵入、非法触及、非法使用等行为，或人身伤害进行有效监测、警示的装置。如银行使用的监视系统、防盗抢系统，住宅安全防盗系统，旅行防盗器、贵重物品防盗器、小孩走失报警器等。 （3）探测各种灾害、事故的先兆，并发出警告的预警装置等。如：火灾报警器、煤气泄露报警等。 3、简述电子商务系统安全交易体系的构成。（1）系统应用层：保密性、认证性、及时性、真实性、不可否认性、不可拒绝性、访问控制性（2）安全协议层：SET协议、SSL协议（3）安全认证层：数字证书、数字时间戳、数

10、字签名、数字摘要（4）加密技术层：对称加密、非对称加密（5），网络安全层：防火墙、智能卡、入侵检测、反病毒。一、选择题1.加密技术是电子商务采取的主要安全措施之一，贸易方可根据需要在信息交换的过程中使用。所谓加密技术指的是（D）A将数据进行编码，使它成为一段数字字符B将数据进行编码，使它成为一种不可理解的形式C将数据进行编码，使它成为一段字母字符D将数据进行编码，使它成为一段看不见的字母、数字混合字符2.非对称加密将密钥分解为一对密钥，即（D）A一把公开的加密密钥和一把公开的解密密钥B一把秘密的加密密钥和一把公开的解密密钥C一把公开的加密密钥和一把秘密的解密密钥D一把公开的密钥或加密密钥和一把

11、专用的密钥或揭秘密钥3.密钥的长度是指密钥的位数，一般来说（A）A密钥的位数越长，被破译的可能就越小B密钥的位数越短，被破译的可能就越小C密钥的位数越长，被破译的可能就越大D以上说法都正确4.数据（A）服务可以保证接收方所接收的信息流与发送方的信息流是一致的。A完整性 B.加密 C.访问控制 D.认证技术5.常见的非对称密钥加密算法是（B）A.DES算法 B.RSA算法 C.MD5算法 D.IDEA算法6.目前最常见的对称加密方法是（B）A.RSA B.DES C.IDEA D.CA7.包过滤器又称（B D）A.堡垒主机 B.筛选路由器 C.代理服务器 D.屏蔽路由器8.双宿主主机是一台（B）

12、网络接口卡的计算机A.有1块 B.有2块 C.有3块 D.没有9.IPSec协议和下列（C）隧道协议同处于一个层次A.PPTP B.L2TP C.GER D.没有10.通常所说的移动式VPN，指（C）A.Internet VPN B.Extranet VPN C.Acess VPN D.没有11.防火墙（A）不通过它的连接A.不能控制 B.能控制 C.能过滤 D.能禁止12.最简单的防火墙是使用（C）A.双宿主网关 B.主机过滤 C.包过滤 D.子网过滤13.包是网络上信息流动的单位，每个包由（A B C）组成A.包头 B.包尾 C.数据 D.地址二、判断题1.与公钥加密相比，私钥加密速度慢，

13、但性能好。（）2.加密密钥和解密密钥相同的称为公钥加密。（）3.被动攻击是指在不影响网络正常工作的情况下，黑客进行信息的截获、窃取、破译等攻击方式。（）4.一个密钥在停止使用后，该密钥保护的信息就可以公开了，因为这个密钥以及加密过的文件已经不重要了。（）5.在网络安全中，采取了数据备份以及恢复措施后，就不用考虑网络防病毒措施了，因为出现病毒后可以重新安装系统。（）6.由于新病毒总是先于杀病毒软件的出现，所以，杀毒软件应该定期不断第更新才能更好地预防病毒、减少损失。（）7.安全问题可以说是电子商务中最重要的问题。（）8.伪造是指未授权方不仅获取了对信息的访问而且篡改了信息。（）9.数据签名是使用

14、单向Hash函数加密算法对一个任意长度的报文进行加密，生成一个固定长度的密文。（）10.密钥恢复功能发生在密钥管理生命期的撤销阶段。（）三、填空题1.防止信息源节点用户对他所发送的信息事后不承认，或者是信息目的的节点接收到信息之后却不认账问题地出现称为（抵赖）。2.黑客有选择地破坏信息的有效性和完整性的攻击方式称为（主动攻击）。3.防火墙技术可根据防范的方式和侧重点不同而分为很多种类型，但总体来讲可分为3类，它们是（分组过滤）、（代理服务）、（状态检测）。4.目前，防火墙的体系结构一般有4种，它们是（屏蔽路由器体系结构）、（双重宿主主机体系结构）、（被屏蔽主机体系结构）、（被屏蔽子网体系结构）

15、。5.一般VPN组网方式有3种，它们是（Access VPN）、（Intranet VPN）、（Extranet VPN）。6.VPN中，生成隧道的协议有两种：第二层隧道协议和第三层隧道协议，其中第二层隧道协议有（L2F）、（PPTP）和（L2TP）7.公共入侵检测框架（Common Intrusion Framework，CIDF）阐述了一个入侵检测系统（IDS）的通用模型。它将一个入侵检测系统分为4个组件，它们是（事件产生器）、（事件分析器）、（响应单元）和（事件数据库）8.入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术，根据信息源不同，入侵检测系统可分为（基于主机入侵检测

16、）和（基于网络的入侵检测）两大类。9.基于网络的入侵检测系统的攻击分析模块通常使用4种常用技术来识别攻击标志，它们是（模式匹配）、（频率或穿越阈值）、（次要时间的相关性）和（统计学意义上的异常现象检测）。10.计算机病毒的基本特征包括以下几部分：（计算机病毒的传染性）、（计算机病毒的破坏性）、（计算机病毒的潜伏性）和（计算机病毒的隐蔽性）。四、简答题1.在一个互联网中，是否允许网络用户不经过允许就可以私自与外界网络建立连接，并且进行双向数据交换？为什么？如果预防此种情况的发生？答：允许不允许。这首先要看工作时是否需要用到外网，如果需要用外网肯定是允许的。其次是看企业内部网络对安全的要求有多高，

17、安全性要求越高就越不能上外网，因为互联网存在很多不安全的因素，比如木马、病毒等等。预防这种情况主要两个方面：（1）、防火墙：屏蔽部分外网链接或 允许部分外网链接（2）、路由器或交换机：端口限制。2.对称加密体制和非对称加密体制有什么区别？答：在对称加密体制中，加密使用的密钥和解密使用的密钥是形同，即使加密密钥和解密密钥不相同，也可以从其中一个推导出另一个。对称加密体制又称为“单密钥体制”。对称加密体制的算法是公开的，交换信息的双方不需要交换加密算法，而是采用相同的加密算法，但需要交换加密密钥，即使用对称加密方法，加密方法和解密方法必须使用同一加密算法和相同的密钥。非对称加密体制对信息的加密和解

18、密使用不同的密钥，即需要两个密钥：公开密钥和私有密钥。公开密钥使用密钥对，如果用公开密钥对数据进行加密，只有用对应的似有密钥才能进行解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密，又称为公钥加密技术3.简述防火墙定义。答：防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合，它是不同网络或网络安全之间信息的唯一出入口根据企业的总体安全策略控制（如允许、拒绝）出入内部可信任网络的信息流，而且防火墙本身具备很强的抗攻击能力提供信息安全服务和实现网络及信息安全的基础设施。4.简述分组过滤防火墙的优点和缺点。答：分组过滤器是目前使用最为广泛的防火墙，其原理很简单：（1

19、）、有选择地允许数据分组穿过防火墙，实现内部和外部主机之间的数据交换；（2）、作用在网络层和传输层；（3）、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。满足过滤逻辑的数据包才被转发，否则丢弃。7.写出DNS服务、SMTP服务、SNMP服务和FTP服务分别对应的端口。答：DNS：53 SMTP：25 SNMP:161，162 FTP：21,20一、 填空题1、 PKI的英文全称和中文全称分别是（Public Key Infrastructure）和（公共基础设施）。2、 PKI的性能要求主要包括（安全性）、（开放性）、（扩展性）和（易操作性）。3、 PKI系统的常用

20、信任模型主要包括（认证机构的严格层次结构模型）、（分布式信任结构模型）、（Web模型）、（以用户为中心的信任模型）。二、 判断题1、 用户一般都无法在Internet Explore 浏览器中查看数字证书。（）2、 在Windows2000PKI中，独立根CA是认证体系中最高的级别的证书颁发机构，它不需要活动目录。（）3、 目前，智能卡同普通信用卡的功能几乎相同。（）三、 单项选择题1、 关于数字签名，以下说法不正确的是（A）A 能够保证签名者身份的权威性B 能够保证信息是由签发者自己签名发送的C 能够保证信息是由签发后到收到为止未曾做过任何的修改D 是由发送者用自己的私钥对信息加以处理而生成

21、的文件2、关于CA机构，以下说法不正确的是（B）A CA机构又称为认证中心B CA机构不需要为银行发放数字证书C CA机构承担公钥系统中公钥的合法性检验的责任D CA机构认证的数字签名使得攻击者不能伪造和篡改数字证书3、关于数字证书的应用，以下说法正确的是（D）A 目前还无法为个人用户发放数字证书B 企业用户数字证书的申请可以直接在网上进行 C 数字证书目前还没有应用于非支付型的电子商务活动D 数字证书的应用范围涉及需要身份认证和数据安全的各个行业四、多项选择题1、关于数字证书以下说法正确的是（ ABCD）A 有认证中心发型 B 经认证中心数字签名C 其作用类似于日程生活中的身份证D 是网络通

22、讯中证明各方身份的一系列数据2、可以使用数字证书，通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证（BCD）A 传输的信息是正确的B 发送方对于自己发送的信息不能抵赖C 信息除发送方和接收方以外不被他人窃取D 接收方能够通过数字证书来确认发送方的身份3、关于公钥体制，以下说法正确的是（AD）A 利用私钥解密和签名B 利用公钥加密和签名C 利用私钥解密和验证签名D 利用公钥加密和验证签名五、简答题1、简述PKI的组成和功能答：典型的PKI系统是由5个部分组成的：证书申请者、注册机构、认证中心、证书库和证书信任方。其中，认证中心、注册机构和证书库三部分是PKI的核心，证

23、书申请者和证书信任方则是利用PKI进行网上交易的参加者。1、证书申请者的功能证书请求生成密钥对生成证书请求格式密钥更新技术安装/存储私有密钥安装/存储证书私有密钥的签名和解密向其他用户传送证书证书撤销请求2、 注册机构验证申请者的身份批准证书证书撤销请求3、 认证中心批准证书请求生成密钥对密钥的备份撤销证书发布CRL生成CA根证书签发证书证书发放交叉认证4、 证书库 存储证书提供证书确认证书状态5、 证书信任方接受证书证书请求核实证书检查身份和数字签名数据加密一、选择题（单选或多选）1. 如果贸易双方的账号在不同的银行，可采取下列（AC）支付方式。A支票支付 B汇票支付 C本票支付 D通过自动

24、清算所ACH支付 E电子资金汇兑支付2.下列电子交易模型中不适合小额交易的是（ABC）A支付系统无安全措施的模型 B通过第三方经纪人支付的模型C电子现金支付模型 D支付系统使用简单加密的模型3.电子钱包内可以装入（BCDE）信息。A传统现金 B电子现金 C电子零钱D电子信用卡 E所有者的身份证书4.微支付系统的设计目标是（ABCD）.A费用低 B延迟为不可忽略程度 C具有普遍性和可伸缩性 D单击就可以支付二、填空题1.支付是指为清偿（商品交换）和（劳务活动）引起的债务、债权关系，由（银行）提供的（金融服务）业务。2.信用卡是由（银行）或（专门的信用卡公司）签发的证明持卡人（信誉良好），并可以在

25、指定的商店所进行消费的一种（信用凭证）。3.实时在线电子支付是电子商务的（关键环节），也是电子商务得以顺利发展的（基础条件）。4.目前比较有影响力的电子现金支付系统有（Digicash）、（Netcash）和（Mandex）。5.目前流行的主要互联网支票有（Netcheque）、（PayNow）和（Echeck）。三、判断题1.纸币本身没有价值。（）2.硬币本身没有价值。（）3.信用卡按功能分为贷记卡、借记卡和复合卡3种.（）4.电子支付对软硬件设施都有很高的要求。（）5.电子支付的工作环境是基于一个封闭的系统平台之中。（）6.电子信用卡又称智能卡。（）四.简答题1.什么是电子支付？ 答：电子

26、支付，指的是以金融电子化网络为基础，以商用电子化机具和各类交易卡为媒介，以计算机技术和通信技术为手段，以电子数据形式存储在银行的计算机系统中，并通过计算机网络系统以电子信息传递形式实现流通和支付。2. 什么是电子现金？答：电子现金是一种以数据形式存在的现金货币。它把现金数值转换成为一系列加密序列数，通过这些序列数来表示现实中各种金额的币值。用户在开展电子现金业务的银行开设账户内存钱后就可以在接受电子现金的商店购物。3. 什么是电子钱包？答：电子钱包是一种具有存取款和转账消费功能的智能卡。 4. 什么是电子支票？答：电子支票（Electronic check, echeck）是一种借鉴纸质支票转

27、移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式 。一、选择题1.数字证书采用公钥体制，即利用一对相互匹配的密钥进行（ B ）。A 加密 B 加密、解密 C 解密 D 安全认证2.数字证书的作用是证明证书中列出的用户合法拥有证书中列出的（ D ）。A 私人密钥 B 加密密钥 C 解密密钥 D 公开密钥3.在电子钱包内可以装入各种（ A ）。A 电子货币 B 数字证书 C 用户资料 D 认证资料4.电子钱包是与浏览器一起工作的（ D ）。A 应用软件 B 信息系统 C 集成系统 D 助手应用程序5.CA的中文含义是（ D ）。A 电子中心 B 金融中心 C 银行中心 D认

28、证中心二、填空题1.SET协议的内容包括（SET的交易流程）、（程序设计规格）和（SET协议的完整描述）。2.SET协议中的相关成员有（持卡人）、（商家）、（收单银行）、（支付网关）、（电子货币）、（认证机构）和（付款转接站）。3.在SET协议中使用（随机）产生的（对称）密钥来加密数据。然后将此（对称密钥）用接受者的（公钥加密）称为消息的数字信封。4.（双重签名）是SET协议提出的数字签名的新应用。三、判断题1.SET即安全电子交易。 （ ）2.VISA与MasterCard两家公司共同制定了SET协议。 （ ）3.密钥系统又称非对称密码系统。 （）4.公钥系统又称密码系统。 （）5.Hash算法并不是加密算法。 （）四、解答题1.SET协议的主要目标是什么？答：SET是一个基于可信的第三方认证中心的方案，它要实现的主要目标有下列三个方面：（1）保障付款安全 （2）确定应用的互通性（3）达到全球市场的接受性 因此，SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。 2.简述SET协议的购物流程与支付流程。SET协议的购物流程 （1）在消费者与特约商店之间，持卡人消费前先确认商店的合法性，由商店出示它的证书。 （2）持卡人确认后即可下订单，