1.什么是保持数据完整性?
2.网页攻击的步骤是什么?
3.为什么交易的安全性是电子商务独有的?
4.攻击Web站点有哪几种方式?
5.Web客户机和Web服务器的任务分是什么?
6.IP地址顺序号预测攻击的步骤是什么?
7.普通电子邮件的两个方面的安全问题是什么?
由什么原因造成的?
8.电子商务安全的六项中心内容是什么?
9.电子商务的可靠性的含义是什么?
10.电子商务的真实性的含义是什么?
11.单钥密码体制的特点是什么?
12.简述替换加密和转换加密的区别
13.什么是集中式密钥分配?
14.什么是分布式密钥分配?
15.Shamir密钥分存思想是什么?
16.双钥密码体制最大的特点是什么?
17.试述双钥密码体制的加密和解密过程。
18.替换加密和转换加密的主要区别是什么?
19.列举单钥密码体制的几种算法
20.简述DES的加密运算法则。
21.什么是双重DES加密方法?简述其算法步骤。
22.什么是三重DES加密方法?简述其算法步骤。
23.简述IDEA加密算法的基本运算、设计思想及加密过程?24.简述两类典型的自动密钥分配途径。
25.简述保护数据完整性的目的
26.简述散列函数应用于数据的完整性
,以及被破坏会带来的严重后果?
27.数字签名如何使用双钥密码加密和散列函数?
28.数字签名与消息的真实性认证有什么不同?
29.数字签名与手书签名有什么不同?
30,数字签名可以解决哪些安全鉴别问题?
31.无可争辩签名有何优缺点?
32.简述利用盲变换实现盲签名的基本原理
33.对比传统手书签名来论述数字签名的必要性?34.简述数字签名的原理?实际使用原理是
35.简述数字时间戳的原理。
的作用是什么?
37.计算机病毒是如何产生的?
38.计算机恶性病毒的危害?
39.简述容错技术的目的及其常用的容错技术。
40.现在网络系统的备份工作变得越来越困难,其原因?41.简述三种基本的备份系统。
42.简述数据备份与传统的数据备份的概念?
43.列举计算机病毒的主要来源。
44.数据文件和系统的备份要注意什么?
45.一套完整的容灾方案应该包括什么系统?
11.简述归档与备份的区别。
46.病毒有哪些特征?
47.简述计算机病毒的分类方法。
48.简述计算机病毒的防治策略?
49.保证数据完整性的措施有哪些?
50.目前比较常见的备份方式有哪些?
51.试述提高数据完整性的预防性措施有哪些?
52.扼制点的作用是什么?
53.防火墙不能防止哪些安全隐患?
54,防火墙与VPN之间的本质区别是什么?
55. .设置防火墙的目的及主要作用是什么
56.简述防火墙的设计须遵循的基本原则。
57。目前防火墙的控制技术可分为哪几种?
58.防火墙不能解决的问题有哪些?
59。VPN提供哪些功能?
60.隧道协议主要包括哪几种
61.简述隧道的基本组成。
62.IPSec提供的安全服务有哪些?
63.选择VPN解决方案时需要考虑哪几个要点?
64。简述VPN的分类。
65.简述VPN的具体实现即解决方案有哪几种?
1.试述防火墙的分类及它们分别在安全性或效率上有其特别的优点?66.试述VPN的优点有哪些?
67,试述IPSec的两种工作模式。
68.论述VPN的应用前景。
69.组建VPN应该遵循的设计原则。
70.为什么DAC易受到攻去?
71.简述加密桥技术的优点。
72.图示说明接入控制机构的建立主要根据的三种类型信息。
73.实体认证与消息认证的差别
74.通行字的选择原则是什么?
75.通行字的控制措施是哪些?
76.通行字的安全存储有哪二种方法?
77.Kerberos的局限性有哪些?
78.试述一下身份证明系统的相关要求。
79.说明口令的控制措施。
80.有效证书应满足的条件有哪些?
81.密钥对生成的两种途径是什么?
82证书有哪些类型?(
83.证书数据由哪些部分组成?
84.如何对密钥进行安全保护?
85.CA认证申请者的身份后,生成证书的步骤
有哪些?
86.LRA(LocalRegistrationAuthority)的功能是什么? 87.公钥证书的基本作用是什么?
88.双钥密码体制加密为什么可以保证数据的机密性? 89。简述证书链中证书复本的传播方式。
90.说明证书机构(CA)的组成?
91.认证机构提供的服务?
92.说出你知道的PK[的应用范围?
93.简述证书政策的作用和意义?
94.简述PKl保密性服务采用的“数字信封”机制原理?95.简述密钥管理中存在的威胁。
96。简述实现源的不可否认性机制的方法。
97.简述实现递送的不可否认性机制的方法
98.仲裁包括的活动有哪些?(
99.简述解决纠纷的步骤。
100.请论述PKI在电子商务活动中应具有的性能。
101.试述公钥基础设施PKI为不用用户提供的安全服务?
102.举出三个事例说明PKI的应用
103.SSL加密协议的用途是什么?
104.要想安全地进行网上购物,如何认准“SET'’商业网站?
105,SSL协议中使用了哪些加密技术?
107.SSL保证浏览器/服务器会话中哪三大安全内容及各使用了什么技术来达到目的?
108.SSL协议体系结构是由几层协议组成的?共有几个协议?
109.简述SET购物过程。
110.SET安全协议要达到的目标有哪五个?
111.参与信用卡安全SET交易的成员除了持卡人和网上商店以外,还有哪些成员?
112.支付网关的作用是什么?
113.SET系统的运作是通过哪四个软件组件来完成的?
114.简单描述一下SET认证中心的管理结构层次?
115.基于SET协议的电子商务的业务过程有哪些。
116.每个在认证中心进行了注册登记的用户都会得到双钥密码体制的一对密钥,这对密钥有些什么用处? 117.SET的主要安全保障来自哪三个方面?
118.电子钱包的功能是什么?
119.SET与SSL试述它们的异同?
120.CFCA体系结构。
121。CTCA的组成及功能?
123.CFCA证书的典型应用。
数字证书业务。
125.试论述数据加密的方法
1.什么是保持数据完整性?商务数据的完整性(Integrity)或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。
2.网页攻击的步骤是什么?
第一步,创建一个网页,看似可信其实是假的拷贝。第二步,攻击者完全控制假网页。第三步,攻击者利用网页做假的后果
3.为什么交易的安全性是电子商务独有的?
这也是电子商务系统所独有的。在我们的日常生活中,进行一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖章以作为法律凭据。但在电子商务中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎样能够向法院证明合同呢?这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意欺诈。
4.攻击Web站点有哪几种方式?<1>安全信息被破译<2>非法访问<3>交易信息被截获<4>软件漏洞被攻击者利用
5.Web客户机和Web服务器的任务分别是什么?
Web客户机的任务是:(1)为客户提出一个服务请求——超链时启动;(2)将客户的请求发送给服务器;(3)解释服务器传送的HTML等格式文档,通过浏览器显示给客户。
Web服务器的任务是:(1)接收客户机来的请求;
(2)检查请求的合法性(3)针对请求,获取并制作数据(4)把信息发送给提出请求的客户机。
6.IP地址顺序号预测攻击的步骤是什么?
分两步:首先,得到服务器的IP地址。然后,攻击者在试过这些IP地址后,可以开始监视网上传送包的序列号,推测服务器能产生的下一个序列号,再将自己有效地插入到服务器和用户之间。接着,便可访问系统传给服务器的密钥文件、日志名、机密数据等信息。
7.普通电子邮件的两个方面的安全问题是什么?由什么原因造成的?
一是电子邮件在网上传送时随时可能被人窃取到;二是可以冒用别人的身份发信。
8.电子商务安全的六项中心内容是什么?
(1)商务数据的机密性(2)商务数据的完整性(3)商务对象的认证性(4)商务服务的不可否认性(5)商务服务的不可拒绝性(6)访问的控制性
9.电子商务的可靠性的含义是什么?可靠性是指电子商务系统的可靠性,电子商务系统也就是计算机系统,其可靠性是指为防止由于计算机失效、程序错误、传输错误、硬件故障、系统软件错误、计算机病毒和自然灾害等听所产生的潜在威胁,并加以控制和预防,确保系统安全可靠性。
10.电子商务的真实性的含义是什么?
真实性是指商务活动中交易者身份的真实性,亦即是交易双方确实是存在的,不是假冒的。
11.单钥密码体制的特点是什么?(1)加密和解密的速度快,效率高;(2)单钥密码体制的加密和解密过程使用同一个密钥。
12.简述替换加密和转换加密的区别。
替换加密是指将每个字母替换为字母表中其他字母。有单字母加密和多字母加密两类方法。转换加密是将原字母的顺序打乱,将其重新排列。
13.什么是集中式密钥分配?
所谓集中式分配是指利用网络中的“密钥管理中心(KMC)”来集中管理系统中的密钥.
14.什么是分布式密钥分配?
分布式分配方案是指网络中各主机具有相同的地位。它们之间的密钥分配取决了它们自己的协商,不受任何其他方面的限制。
15.Shamir密钥分存思想是什么?
它的基本思想是:将一个密钥K破成n个小片K:,K:,…,K+满足:(1)已知任意t个Ki的值易于计算出K;(2)已知任意t-1个或更少个Ki,则由于信息短缺而不能确定出K。
16.双钥密码体制最大的特点是什么?
(1)适合密钥的分配和管理;(2)算法速度慢,只适合加密小数量的信息。
17.试述双钥密码体制的加密和解密过程。
双密钥密码体制有一对密钥——公共密钥和个人(私)密钥,用户将公共密钥交给发送方或公开,发送数据时,信息发送者使用接收人的公共密钥加密被传数据成密文,接收人使用自己的个人密钥解密收到的密文获得明文。
18.替换加密和转换加密的主要区别是什么?
在替换加密法中,原文的顺序没被改变,而是通过各种字母映射关系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将其重新排列。
19.列举单钥密码体制的几种算法:DES加密算法、IDEA加密算法、RC-5加密算法、AES加密算法。
20.简述DES的加密运算法则。每次取明文中的连续64位(二进制位,以下同)数据,利用64位密钥(其中8位是校验位,56位是有效密钥信息),经过16次循环(每一次循环包括一次替换和一次转换)加密运算,将其变为64位的密文数据。
21.什么是双重DES加密方法?简述其算法步骤。
双重DES加密方法是在DES加密算法上的改进,是用两个密钥对明文进行两次加密,
假设两个密钥是K:和K:,其算法的步骤:
(1)用密钥K,进行DES加密;
(2)用K:对步骤1的结果进行DES解密。
22.什么是三重DES加密方法?简述其算法步骤。
三重DES加密方法是在双重DES加密算法上的改进,是用两个密钥对明文进行三次
加密,假设两个密钥是K,和K:,其算法的步骤:(1)用密钥K,进行DES加密;
(2)用K:对步骤1的结果进行DES解密;(3)用步骤2的结果使用密钥K,进行DES加密。
23.简述IDEA加密算法的基本运算、设计思想及加密过程?IDEA采用了三种基本运算:异或运算、模加、模乘。IDEA的设计思想是在不同代数组中进行混合运算。IDEA的加密过程:首先将明文分为64位的数据块,然后进行8轮
迭代和一个输出变换。
24.简述两类典型的自动密钥分配途径。
它们是集中式分配方案和分布式分配方案。所谓集中式分配是指利用网络中的“密钥管理中心“来集中管理系统中的密钥,”“密钥管理中心”接收系统中用户的请求,为用户提供安全分配密钥服务。分布式分配方案是指网络中各主机具有相同的地位,它们之间的密要分配取决于他们自己的协商,不受任何其他方面的限制。
25.简述保护数据完整性的目的,以及被破坏会带来的严重后果?目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。后果:(1)造成直接的经济损失,如价格、订单数量等被改变。(2)影响一个供应链上许多厂商的经济活动(3)可能造成过不了“关”(4)会牵涉到经济案件中(5)造成电子商务经营的混乱与不信任。
26.简述散列函数应用于数据的完整性。
可用多种技术的组合来认证消息的完整性。为消除因消息被更改而导致的欺诈和滥用行为,可将两个算法同时应用到消息上。首先用散列算法,由散列函数计算出散列值后,就将此值——消息摘要附加到这条消息上。当接收者收到消息及附加的消息摘要后,就用此消息独自再计算出一个消息摘要。如果接收者所计算出的消息摘要同消息所附的消息摘要一致,接收者就知道此消息没有被篡改。
27.数字签名如何使用双钥密码加密和散列函数?
消息用散列函数处理得到的消息摘要,再用双钥密码体制的私钥加密称为数字签名。数字签名的使用方法是:消息M用散列函数H得到的消息摘要,然后发送方再用自己的双钥密码体制的私钥对这个散列值进行加密,形成发送方的数字签名。这个数字签名将作为消息M的附件和消息一起发送给消息的接收方。消息的接收方首先从接收到的原始消息M中计算出散列值,接着再用发送方的双钥密码体制的公钥来对消息的数字签名进行解密。如果这两个
散列值,那么接收方就能确认该数字签名是发送方的,而且还可以确定此消息没有被修改过。
28.数字签名与消息的真实性认证有什么不同?
消息认证是使接收方能验证消息发送者及
所发信息内容是否被篡改过。当收发者之间没有利害冲突时,这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此时需借助数字签名技术。
29.数字签名与手书签名有什么不同?
区别在于:手书签名(包括盖章)是模拟的,因人而异。而数字签名是0和1的数字串,极难伪造,要区别是否为伪造,不需专家。对不同的信息摘
要,即使是同一人,其数字签名也是不同的。
30,数字签名可以解决哪些安全鉴别问题?
(1)接收方伪造(2)发送者或接收者否认(3)第三方冒充(4)接收方篡改
31.无可争辩签名有何优缺点?
无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。是为了防止所签文件被复制,有利于产权拥有者控制产品的散发。在签名人合作下才能验证签名,又会给签名者一种机会,在不利于他时可拒绝合作,因而不具有“不可否认性”。无可争辩签名还需要第三个组成部分,即否认协议:签名者利用无可争辩签名可向法庭或公众证明一个伪造的签名的确是假的;但如果签名者拒绝参与执行否认协议,就表明签名真的由他签署。
32.简述利用盲变换实现盲签名的基本原理
(1)A取一文件并以一随机值乘之,称此随机值为盲因子;(2)A将此盲文件送给B;(3)B对盲文件签名;(4)A以盲因子除之,得到B对原文件的签名。
33.对比传统手书签名来论述数字签名的必要性?(1商业中的契约、合同文件,公司指令和条约,以及商务书信等,传统采用手书签名或印章,以便在法律上能认证、核准、生效。传统手书签名仪式要专门预定日期时间,契约各方到指定地点共同签署一个合同文件,短时间的签名工作量需要很长时间的前期准备工作。这种状况对于管理者,是延误时机;对于合作伙伴,是丢失商机;对于政府机关,是办事效率低下。(2在电子商务时代,为了使商、贸、政府机构和直接消费者各方交流商务信息更快、更准确和更便于自动化处理。保障传递文件的机密性应使用加密技术,保障其完整性则用信息摘要技术,而保障认证性和不可否认性则应使用数字签名技术。(3数字签名可做到高效而快速的响应,任意时刻,在地球任何地方都可完成签署工作。34.简述数字签名的原理?实际使用原理是:消息M用散列函数H得到消息摘要h,二H(M),然后发送方A用自己的双钥密码体制的私钥Ksa对这个散列值进行加密:EEss(h:),来形成发送方A的数字签名。然后,这个数字签名将作为消息M的附件和消息M一起发送给消息接收方B。消息的接收方B 首先把接收到的原始消息分成M’和E,(h:)。从M’中计算出散列值h,:H(M’),接着再用发送方的双钥密码体制的公钥K,来对消息的数字签名进行解密D。。(Ex,(L,))得h:。如果散列值h)二儿,那么接收方就能确认该数字签名是发送方A的,而且还可以确定此消息没有被修改过。
35.简述数字时间戳的原理。
数字时间戳应当保证: (1)数据文件加盖的时间戳与存储数据的物理媒体无关。(2)对已加盖时间戳的文件不可能做丝毫改动。(3)要想对某个文件加盖与当前日期和时间不同时间戳是不可能的。仲裁方案:利用单向杂凑函数和数字签名协议实现。(1)A产生文件的单向杂凑函数值。(2)A将杂凑函数值传送给B。(3)B在收到的杂凑函数值的后面附加上日期和时间,并对它进行数字签名。
(4)B将签名的杂凄函数值和时戳一起送还给A。
链接协议:
解决这个问题的一种方法是将A的时间戳同B以前生成的时间戳链接起来。由于B接收到各个时间戳请求的顺序不能确定,A的时间戳很可能产生在前一个时间戳之后。由于后来的请求与A的时间戳链接在一起,他的时间戳一定在前面产生过。
的作用是什么?
UPS的作用是防止突然停电造成网络通讯中断。
37.计算机病毒是如何产生的?
计算机病毒是人为产生的,是编制者在计算机程序中插入的破坏计算机功能,或者毁坏数据,影响计算机使用,并能自我复制的一组计算机指令或者程序代码。
38.计算机恶性病毒的危害?是破坏系统或数据,造成计算机系统瘫痪。
39.简述容错技术的目的及其常用的容错技术。
容错技术的目的是当系统发生某些错误或故障时,在不排除错误和故障的条件下使系统能够继续正常工作或者进入应急工作状态。
容错技术最实用的一种技术是组成冗余系统。另有一种容错技术是使用双系统。用两个相同的系统共同承担同一项任务,当一个系统出现故障时,另一系统承担全部任务。
40.现在网络系统的备份工作变得越来越困难,其原因?原因是网络系统的复杂性随着不同的操作系统和网络应用软件的增加而增加。此外,各种操作系统都自带内置软件的备份,但自动备份和文件管理上都是很基本的,功能不足。
41.简述三种基本的备份系统。
(1)简单的网络备份系统(2)服务器到服务器的备份(3)使用专用的备份服务器
42.简述数据备份与传统的数据备份的概念?
数据备份,是指为防止系统出现操作失误或系统故障导致数据丢失,而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。传统的数据备份主要是采用数据内置或外置的磁带机进行冷备份。
43.列举计算机病毒的主要来源。(1)引进的计算机系统和软件中带有病毒。(2)各类出国人员带回的机器和软件染有病毒。(3)一些染有病毒的游戏软件
(4)非法拷贝引起的病毒(5)计算机生产、经营单位销售的机器和软件染有病毒(6)维修部门交叉感染(7)有人研制、改造病毒(8)敌对分子以病毒进行宣传和破坏(9)通过互联网络传人的。
44.数据文件和系统的备份要注意什么?
(1)日常的定时、定期备份(2)定期检查备份的质量;(3)重要的备份最好存放在不同介质上;(4)注意备份本身的防窃和防盗;(5)多重备份,分散存放,由不同人员分别保管。
45.一套完整的容灾方案应该包括什么系统?
其应该包括本地容灾和异地容灾两套系统。
11.简述归档与备份的区别。
归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的,以便长期保存的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包,用于长时间的历史性的存放,归档可以清理和整理服务器中的数据。
46.病毒有哪些特征?
(1)非授权可执行性(2)隐蔽性(3)传染性(4)潜伏性(5)表现性或破坏性(6)可触发性。
47.简述计算机病毒的分类方法。
按寄生方式分为引导型、病毒文件型和复合型病毒。按破坏性分为良性病毒和恶性病毒。
48.简述计算机病毒的防治策略?
依法治毒、建立一套行之有效的病毒防治体系、制定严格的病毒防治技术规范。
49.保证数据完整性的措施有哪些?
保证数据完整性的措施有:有效防毒、及时备份、充分考虑系统的容错和冗余。
50.目前比较常见的备份方式有哪些?
(1)定期磁带备份数据。(2)远程磁带库、光盘库备份。(3)远程关键数据+磁带备份(4)远程数据库备份。(5)网络数据镜像(6)远程镜像磁盘。
51.试述提高数据完整性的预防性措施有哪些?
措施:镜像技术\故障前兆分析\奇偶校验\隔离不安全的人员\电源保障
52.扼制点的作用是什么?
扼制点的作用是控制访问。
53.防火墙不能防止哪些安全隐患?
不能阻止已感染病毒的软件或文件的传输;内部人员的工作失误。
54,防火墙与VPN之间的本质区别是什么?
堵/通;或防范别人/保护自己。
55.设置防火墙的目的及主要作用是什么?
目的是为了在内部网与外部网之间设立惟一的通道,允许网络管理员定义一个中心“扼制点”提供两个网络间的访问控制。作用是防止发生网络安全事件引起的损害,使入侵更难实现,来防止非法用户。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。
56.简述防火墙的设计须遵循的基本原则。
(1)由内到外和由外到内的业务流必须经过防火墙(2)只允许本地安全政策认可的业务流通过防火墙(3)尽可能控制外部用户访问内域网(4)具有足够的透明性(5)具有抗穿透攻击能力、强化记录、审计和告警。
57。目前防火墙的控制技术可分为哪几种?
包过滤型、包检验型以及应用层网关型三种。58.防火墙不能解决的问题有哪些?
(1)如果网络管理员不能及时响应报警并审查常规记录,防火墙就形同虚设 (2)防火墙无法防范通过防火墙以外的其他途径的攻击(3)防火墙不能防止来自内部变节者和不经心的用户带来的威胁(4)防火墙也不能防止传送已感染病毒的软件或文件(5)防火墙无法防范数据驱动型的攻击。59。VPN提供哪些功能?加密数据、信息认证和身份认证、提供访问控制
60.隧道协议主要包括哪几种?(1)互联网协议安全IPSec(2)第2层转发协议L2F (3)点对点隧道协议PPTP(4)通用路由封装协议GRE
61.简述隧道的基本组成。
一个隧道启动器,一个路由网络(Intemet),一个可选的隧道交换机,一个或多个隧道终结器。
62.IPSec提供的安全服务有哪些?
包括私有性(加密)、真实性(验证发送者的身份)、完整性(防数据篡改)和重传保护(防止未经授权的数据重新发送)等,并制定了密钥管理的方法。63.选择VPN解决方案时需要考虑哪几个要点?
(1)认证方法(2)支持的加密算法(3)支持的认证算法<4)支持的1P压缩算法(5)易于部署(6)兼容分布式或个人防火墙的可用性。
64。简述VPN的分类。
按VPN的部署模式分:端到端(End-to-End)模式;供应商—企业模式;内部供应商模式。
按VPN的服务类型分:IntemetVPN、AccessVPN与Extranet VPN。
65.简述VPN的具体实现即解决方案有哪几种?
(1)虚拟专用拨号网络(VPDN) (2)虚拟专用路由网络(VPRN) (3)虚拟租用线路(VLL) (4)虚拟专用LAN子网段(VPLS)
1.试述防火墙的分类及它们分别在安全性或效率上有其特别的优点?
目前防火墙的控制技术大概可分为:包过滤型、包检验型以及应用层网关型三种。
(1)包过滤型的控制方式最大的好处是效率最高,但却有几个严重缺点:管理复杂、无法对连线作完全的控制、规则设置的先后顺序会严重影响结果、不易维护以及记录功能少。
(2)包检验型:包检验型可谓是包过滤型的加强版,目的在增加包过滤型的安全性,增加控制“连线”的能力式可能会产生极大的差异。
(3)应用层网关型:。这种运作方式是最安全的方式,但也是效率最低的一种方式。
66.试述VPN的优点有哪些?
成本较低、网络结构灵活、管理方便
67,试述IPSec的两种工作模式。
一是传输模式(TransportMode),为源到目的之间已存在的IP包(1Ppacket)提供安全性:IPSec传输模式被用于在端到端的两个通信实体之间提供IP传输的安全性。二是隧道模式(tunnelmode),它把一个IP包放到一个新的IP包中,并以IPSec格式发往目的终点。
68.论述VPN的应用前景。
在国外,Intenlet已成为全社会的信息基础设施,企业端应用也大都基于IP,在Inter-net上构筑应用系统已成为必然趋势,因此基于IP的VPN业务获得了极大的增长空间。
在中国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面。(1)客观因素包括因特网带宽和服务质量(QoS)问题。
(2)主观因素:一是用户总害怕自己内部的数据在Intemet上传输不安全。二是VPN应用最大的障碍,是客户自身的应用跟不上,只有企业将自己的业务完全和网络联系上,VPN才会有了真正的用武之地。
当我们消除了所有这些障碍因素后,VPN将会成为我们网络生活的主要组成部分。
69.组建VPN应该遵循的设计原则。
VPN的设计应该遵循以下原则:安全性、网络优化、VPN管理等。
70.为什么DAC易受到攻去?
DAC为自主式接入控制。它由资源拥有者分配接人权,在辨别各用户的基础上实现接入控制。每个用户的接人权由数据的拥有者来建立,常以接入控制表或权限表实现。这一方法灵活,便于用户访问数据,在安全性要求不高的用户之间分享一般数据时可采用。如果用户疏于利用保护机构时,会危及资源安全,所以DAC易受到攻击。
71.简述加密桥技术的优点。
(1)解决了数据库加密数据没有非密旁路漏洞的问题。(2)便于解决“数据库加密应用群件系统”在不同DBMS之间的通用性。(3)便于解决系统在DBMS 不同版本之间的通用性。(4)不必去分析DBMS的源代码。(5)加密桥是用c++写成的,便于在不同的操作系统之间移植。(6)加密桥与DBMS是分离的,可
以解决嵌入各种自主知识产权加密方法的问题。
72.图示说明接入控制机构的建立主要根据的三种类型信息。(1)主体:是对目标进行访问的实体,它可为用户、用户组、终端、主机或一个应用程序(2)客体:是一个可接受访问和受控的实体,它可以是一个数据文件、一个程序组或一个数据;(3)接人权限:表示主体对客体访问时可拥有的权利,接人权要按每一对主体客体分别限定,权利包括读、写、执行等,读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行。
73.实体认证与消息认证的差别在于,消息认证本身不提供时间性,而实体认证一般都是实时的。另一方面,实体认证通常证实实体本身,而消息认证除了证实消息的合法性和完整性外.还要知道消息的含义。
74.通行字的选择原则是什么? (1)易记;(1)难于被别人猜中或发现;(3)抗分析能力强。
75.通行字的控制措施是哪些?(1)系统消息; (2)限制试探次数;(3)通行字有效期; (4)双通行字系统(5)最小长度;(6)封锁用户系统;(?)根通行字的保护(8)系统生成通行字(9)通行字的检验。
76.通行字的安全存储有哪二种方法?
(1)用户的通行字多以加密形式存储。
(2)许多系统可以存储通行字的单向杂凑值
77.Kerberos的局限性有哪些?
(1)时间同步问题(2)重放攻击问题(3)认证域之间的信任问题;(4)系统程序的安全性和完整性问题(5)口令猜测攻击问题;(6)密钥的存储问题。
78.试述一下身份证明系统的相关要求。(1)验证者正确识别合法示证者的概率极大化。(2)不具可传递性(3)攻击者伪装示证者欺骗验证者成功的概率小到可以忽略,特别是要能抗已知密文攻击。(4)计算有效性(5)通信有效性(6)秘密参数安全存储(7)交互识别(8)第三方的实时参与(9)第三方的可信赖性(10)可证明安全性
79.说明口令的控制措施。
(1)系统消息(2)限制试探次数(3)口令有效期
(4)双口令系统 (5)最小长度(6)封锁用户系统
(7)根口令的保护(8)系统生成口令(9)口令的检验80.有效证书应满足的条件有哪些?
(1)证书没有超过有效期。(2)密钥没有被修改
(3)证书不在CA发行的无效证书清单中。
81.密钥对生成的两种途径是什么?
(1)密钥对持有者自己生成(2)密钥对由通用系统生成
82证书有哪些类型?(1)个人证书(2)服务器证书(3)邮件证书(4)CA证书
83.证书数据由哪些部分组成?
(1)版本信息(2)证书序列号(3)CA所使用的签名算法(4)发证者的识别码(5)有效使用期限(6)证书主题名称(7)公钥信息;(8)使用者(9)使用者识别码(10)额外的特别扩展信息。
84.如何对密钥进行安全保护?
密钥按算法产生后,首先将私钥送给用户,如需备份,应保证安全性,将公钥送给CA,用以生成相应证书。为了防止未授权用户对密钥的访问,应将密钥存人防窜扰硬件或卡中,或加密后存入计算机的文件中。此外,定期更换密钥对是保证安全的重要措施。
85.CA认证申请者的身份后,生成证书的步骤有哪些?①CA检索所需的证书内容信息;②CA证实这些信息的正确性;回CA用其签名密钥对证书签名;④将证书的一个拷贝送给注册者,需要时要求注册者回送证书的收据;⑤CA将证书送人证书数据库,向公用检索业务机构公布:⑥通常,CA将证书存档;
⑦CA将证书生成过程中的一些细节记人审计记录中。
86.LRA(LocalRegistrationAuthority)的功能是什么?①注册、撤销注册、改变注册者属性等;②对注册者进行身份认证;⑧授权时可生成密码对和证书,恢复备份密钥;④接受和授权暂时中止或吊销证书;⑤实际分配个人持证,恢复有故障持证以及授权代为保存。·
87.公钥证书的基本作用是什么?
将公钥与个人的身份、个人信息件或其他实体的有关身份信息联系起来,在用公钥证实数字签名时,在确信签名之前,有时还需要有关签名人的其他信息,特别是要知道签名者是否已被授权为对某特定目的的签名人。授权信息的分配也需用证书实现,可以通过发放证书宣布某人或实体具有特定权限或权威,使别人可以鉴别和承认。
88.双钥密码体制加密为什么可以保证数据的机密性?双钥密码体制加密时有一对公钥和私钥,公钥可以公开,私钥由持有者保存,公钥加密过的数据只有持有者的私钥能解开,这样就保证了数据的机密性。经私钥加密过的数据——数字签名可被所有具有公钥的人解开,由于私钥只有持有者一人保存,这样就证明信息发自私钥持有者,具有不可否认性和完整性。·
89。简述证书链中证书复本的传播方式。
(1)伴有签名的证书,签名者一般已有自己的证书,他可对其证书的复本进行签名,任何人都可以通过验证签名得到相应证书(2)通过检索服务实现传播(3)其他方式
90.说明证书机构(CA)的组成?由一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP服务器和数据库服务器等。
91.认证机构提供的服务?(1)证书申请—网上申请、离线申请证书(2)证书更新(3)证书吊销或撤销——证书持有者申请吊销、认证机构强制吊销证书(4)证书的公布和查询
92.说出你知道的PK[的应用范围?WWW服务器和浏览器之间的通信、安全的电子邮件、电子数据交换、Intemet上的信用卡交易以及VPN等。
93.简述证书政策的作用和意义?证书政策是信息管理和信息技术基础设施的一个组成部分,使得这个基础设施从整体上能够安全地实现公开环境中的
服务提供、管理和通信;用电子形式的认证代替书面形式的认证,从而加快信息流通速度,提高效率,降低成本;鼓励使用基于开放标准的技术;建立与其他开放安全环境的互操作。
94.简述PKl保密性服务采用的“数字信封”机制原理?送方先产生一个对称密钥,并用该对称密钥加密敏感数据。同时,发送方还用接收方的公钥加密对称密钥,就像把它装入一个“数字信封”。然后,把被加密的对称密钥(“数字信封”)和被加密的敏感数据一起传送给接收方。接收方用自己的私钥拆开“数字信封”,得到对称密钥,再用对称密钥解开被加密的敏感数据
95.简述密钥管理中存在的威胁。
(1)密钥的泄露(2)密钥或公钥的确证性的丧失
(3)密钥或公钥未经授权使用
96。简述实现源的不可否认性机制的方法。
(1)源的数字签字;(2)可信赖第三方的数字签字;(3)可信赖第三方对消息的杂凑值进行签字;(4)可信赖第三方的持证;(5)线内可信赖第三方;(6)上述方法的适当组合。
97.简述实现递送的不可否认性机制的方法。
(1)收信人签字认可(2)收信人利用持证认可。.
(3)可信赖递送代理。(4)逐级递送报告。
98.仲裁包括的活动有哪些?(1)收取认可证据(2)进行证实(3)作证或公布签字(4)证实或公布文件复本(5)做出声明,裁定协议书或契约的合法性。99.简述解决纠纷的步骤。
(1)检索不可否认证据;(2)向对方出示证据;
(3)向解决纠纷的仲裁人出示证据;(4)裁决。
100.请论述PKI在电子商务活动中应具有的性能。
PKI的性能要求可扩展性能满足电子商务不断发展的需要,方便用户,保证其安全和经济性,支持与远程参与者通行无阻因此必须具有以下 (1)支持多政策 (2)透明性和易用性(3)互操作性(4)简单的风险管理(5)支持多平台(6)支持多应用
101.试述公钥基础设施PKI为不用用户提供的安全服务?1认证2数据完整性服务3保密性服务4不可否认性服务5公证服务
102.举出三个事例说明PKI的应用:1VPN2安全电子邮件3WEB安全4电子商务应用5应用编程接口API。
103.SSL加密协议的用途是什么?
安全套接层(或叫安全套接口层)协议是用于到购物网站上交易的,并保障交易的安全性。
104.要想安全地进行网上购物,如何认准“SET'’商业网站?在SET发表后,成立了SETCo。它对SET软件建立了一套测试的准则,如测试通过后就可获
得SET特约商店的商标。SET特约商店的商标就成为到SET商店安全购物的重要手段。105,SSL协议中使用了哪些加密技术?
RSA,Diffie-Hellman密钥协议以及KEA算法等。
106.SSL依靠什么来验证通信双方的身份?主要验证哪一方的身份?SSL提供认证性——使用数字证书——用以正确识别对方。首先是利用服务器的数字证书来验证商家的资格。
107.SSL保证浏览器/服务器会话中哪三大安全内容及各使用了什么技术来达到目的?
机密性、完整性和认证性。(1)SSL把客户机和服务器之间的所有通信都进行加密和解密,保证了机密性。(2)SSL提供完整性检验,可防止数据在通信过程中被改动。(3)SSL提供认证性——使用数字证书——用以正确识别对方。
108.SSL协议体系结构是由几层协议组成的?共有几个协议?
SSL是由两层协议组成的。SSL协议体系结构如下:SSL协议共有4个协议组成,它们是SSL记录协议,SSL更改密码规格协议,SSL警告协议,SSL握手协议。SSL记录协议,定义了信息交换中所有数据项的格式,SSL更改密码规格协议由单个消息组成,只有一个值为1的单字节。SSL握手(Handshake)协议用于客户/服务器之间相互认证,协商加密和MAC算法,传送所需的公钥证书,建立SSL记录协议处理完整性校验和加密所需的会话密钥。
109.简述SET购物过程。(1)持卡人订货
(2)通过电子商务服务器与有关在线商店联系
(3)持卡人选择付款方式,确认订单,签发付款指令(4)商店B通过收单银行检查信用卡的有效性
(5)收单银行的确认(6)在线商店发送订单确认信息给持卡人,持卡人端的软件可以记录交易日志,以备将来查询。 (7)结账。
110.SET安全协议要达到的目标有哪五个?
(1)信息的安全传输(2)信息的相互隔离
(3)多方认证的解决(4)交易的实时性 (5)效仿EDI贸易形式,规范协议和消息格式
111.参与信用卡安全SET交易的成员除了持卡人和网上商店以外,还有哪些成员?
(1)持卡人——消费者(2)网上商店(3)收单银行
(4)发卡银行——电子货币发行公司或兼有电子货币发行的银行(5)认证中心CA--可信赖、公正的组织(6)支付网关——付款转接站
112.支付网关的作用是什么?
支付网关——付款转接站:接收由商店端送来的付款信息,并转换到银行网络做处理的组织。
113.SET系统的运作是通过哪四个软件组件来完成的?电子钱包、商店服务器、支付网关和认证中心软件
114.简单描述一下SET认证中心的管理结构层次?最高层的管理单位是RCA--Root CA(根CA),下一层是各信用卡公司的认证单位BCA--BrandCA(分支CA)。基层CA是:①办理持卡人数字证书CA(为持卡人办理数字证书);②办理商店数字证书CA(为商店办理数字证书);③办理支付网关数字证书CA(为
支付网关办理数字证书)。
115.基于SET协议的电子商务的业务过程有哪些。
1注册登记2动态认证3商业机构处理
116.每个在认证中心进行了注册登记的用户都会得到双钥密码体制的一对密钥,这对密钥有些什么用处?(1)对持卡人购买者的作用是:①用私钥解密回函;②用商家公钥填发订单;⑧用银行公钥填发付款单和数字签名等。(2)对银行的作用是:①用私钥解密付款及金融数据:②用商家公钥加密购买者付款通知。(3)对商家供应商的作用是:①用私钥解密订单和付款通知;②用购买者公钥发出付款通知和代理银行公钥。
117.SET的主要安全保障来自哪三个方面?
(1)将所有消息文本用双钥密码体制加密;
(2)将上述密钥的公钥和私钥的字长增加到512B-2048B;(3)采用联机动态的授权和认证检查,以确保交易过程的安全可靠。
118.电子钱包的功能是什么?
①电子证书的管理②进行交易③保存交易记录
119.SET与SSL试述它们的异同?SSL与SET的比较:在使用目的和场合上,SET主要用于信用卡交易,传送电子现金,SSL主要用于购买信息的交流,传送电子商贸信息;在安全性方面,SET要求很高:整个交易过程中(持卡人到商家端、商家到支付网关、到银行网络)都要保护,所有参与者与SET交易的成员(持卡人、商家、支付网关等)都必须先申请数字证书来识别身份,SSL要求很低,因为保护范围只是持卡人到商家一端的信息交换,通常只是商家一端的服务器,而客户端认证是可选的,在实施设置方面,SET要求持卡人必须先申请数字证书,然后在计算机上安装符合SET规格的电子钱包软件:而SSL不需要另外安装软件。
120.CFCA体系结构。
总体为三层CA结构,第一层为根CA;第二层为政策CA;第三层为运营CA,
CA系统:承担证书签发、审批、废止、查询、数字签名、证书/黑名单发布、密钥恢复与管理、证书认定和政策制定,CA系统设在CFCA本部,不直接面对用户。
RA系统:直接面向用户,负责用户身份申请审核,并向CA申请为用户转发证书;
121。CTCA的组成及功能?采用分级结构管理,形成覆盖全国的CA证书申请、发放、管理的完整体系,可以为全国的用户提供CTCA证书服务,使各类电子商务用户可以放心步人电子商务时代,享受电子商务为其带来的丰厚回报和巨大便利。中国电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成。
证书的特点和类型。
SHECA的安全电子商务解决方案既拥有与国际接轨的、符合SET协议的SET证书系统,又拥有结合国内特点自行设计开发的通用证书系统。SHECA提供的
数字证书按业务类型可分为SET证书和Universal证书及特殊证书。
数字证书根据应用对象可将其分为个人用户证书、企业用户证书、服务器证书及代码证书。
123.CFCA证书的典型应用。
(1)网上银行(2)网上证券(3)网上申报缴税
(4)网上企业购销(5)安全移动商务(WAP/短信息):(6)企业级VPN部署(7)基于数字签名的安全E-mail、安全文档管理系统(8)基于数字签名的TmePass 系统(9)CFCA时间戳服务。
数字证书业务。(1)安全电子邮件证书(2)个人数字证书(3)企业数字证书。(4)服务器证书(5)SSL服务器证书
125.试论述数据加密的方法:1使用加密软件加密数据2使用专用软件加密数据库数据3加密桥技术(+上加密桥技术的优点)
126.数据加密的必要:侵入盗窃数据、篡改
电子商务:建立在电子技术基础上的商业运作,利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。
EDI:电子数据交换.实现BtoB方式交易。
BtoB:企业机构间的电子商务活动。
BtoC:企业机构和消费者之间的电于商务活动。
NCSC:美国国家计算机安全中心
Intrmlet:是指基于TCP/IP协议的企业内部网络.
Extranet:是指基于TCP/IP协议的企业外域网
商务数据的机密性:是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。
邮件炸弹:是攻击者向同一个邮件信箱发送大量的(成千上万个)垃圾邮件,以堵塞该邮箱。
TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。
主动攻击:是攻击者直接介入Intemet中的信息流动,攻击后,被攻击的通信双方可以发现攻击的存在。
被动攻击:是攻击者不直接介入Intemet中的信息流动,只是窃听其中的信息。被动攻击后,被攻击的通信双方往往无法发现攻击的存在。
HTFP协议的“无记忆状态”:即服务器在发送给客户机的应答后便遗忘了此次交互。Telnet等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息、请求与应答。
明文:原始的、未被伪装的消息称做明文,也称信源。通常用M
密文:通过一个密钥和加密算法将明文变换成的一种伪装信息,称为密文。通常用C表示。·
加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。通常用E表示。
解密:由密文恢复成明文的过程,称为解密。通常用D表示。
加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。
解密算法:消息传送给接收者后,要对密文进行解密时所采用的一组规则称做解密算法。
密钥:加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作加密密钥和解密密钥。通常用K表示。
主密钥:多层次密钥系统中,最高层的密钥也叫作主密钥。
无条件安全:若它对于拥有无限计算资源的破译者来说是安全的,则称这样的密码体制是五条件安全的。
计算上安全:如若一个密码体制对于拥有有限计算资源的破译者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。
多字母加密:是使用密钥进行加密。密钥是一组信息(一串字符)。同一个明文经过不同的密钥加密后,其密文也会不同。
单钥密码体制:是加密和解密使用相同或实质上等同的密钥的加密体制。
双钥密码体制又称作公共密钥体制或非对称加密体制,这种加密法在加密和解密过程中要使用一对(两个)密钥,一个用与加密,另一个用于解密。即通过一个密钥
数据的完整性:是指数据处于“一种未受损的状态”和“保持完整或未被分割的品质或状态”
数字签名是利用数字技术实现在网络传送文件时,附加个人标记,完成传统上手书签名盖章的作用,以表示确认、负责、经手等。
安全散列算法(SHA),输入消息长度小于264位,输出压缩值为160位,而后送给DSA计算此消息的签名。
双钥密码加密是一对匹配使用的密钥。一个是公钥,是公开的,其他人可以得到;另一个是私钥,为个人所有。这对密钥经常一个用来加密,一个用来解密。
RSA签名体制是利用双钥密码体制的RSA加密算法实现数字签名。
数字信封:发送方用一个随机产生的DES密钥加密消息,然后用接收方的公钥加密DES密钥,称为消息的“数字信封”
混合加密系统:综合利用消息加密、数字信封、散列函数和数字签名实现安全性、完整性、可鉴别和不可否认。成为目前信息安全传送的标准模式,一般把它叫作“混合加密系统”
数字时间戳应当保证:1数据文件加盖的时间戳与存储数据的物理媒体无关(2对已加盖时间戳的文件不可能做丝毫改动 (3要想对某个文件加盖与当前日期和时间不同时间戳是不可能的。
自考电子商务安全导论押密试题及答案(3)第一部分选择题 一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。 1.电子商务,在相当长的时间里,不能少了政府在一定范围和一定程度上的介入,这种模式表示为 ( ) A.B-G B.B-C C.B-B D.C-C 2.在电子商务的安全需求中,交易过程中必须保证信息不会泄露给非授权的人或实体指的是( ) A.可靠性 B.真实性 C.机密性 D.完整性 3.通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为 ( ) A.密钥 B.密文 C.解密 D.加密算法 4.与散列值的概念不同的是 ( ) A.哈希值
B.密钥值 C.杂凑值 D.消息摘要 5.SHA的含义是 ( ) A.安全散列算法 B.密钥 C.数字签名 D.消息摘要 6.《电子计算机房设计规范》的国家标准代码是 ( ) A. GB50174-93 B.GB9361- 88 C. GB2887-89 D.GB50169- 92 7.外网指的是 ( ) A.非受信网络 B.受信网络 C.防火墙内的网络 D.局域网 8.IPSec提供的安全服务不包括 ( ) A.公有性 B.真实性 C.完整性
D.重传保护 9.组织非法用户进入系统使用 ( ) A.数据加密技术 B.接入控制 C.病毒防御技术 D.数字签名技术 10. SWIFT网中采用了一次性通行字,系统中可将通行字表划分成_______部分,每部分仅含半个通行字,分两次送给用户,以减少暴露的危险性。 ( ) A.2 B.3 C.4 D.5 11.Kerberos的域内认证的第一个步骤是 ( ) A. Client →AS B. Client ←AS C.Client AS D.AS Client 12._______可以作为鉴别个人身份的证明:证明在网络上具体的公钥拥有者就是证书上记载的使用者。 ( ) A.公钥对 B.私钥对 C.数字证书
电子商务安全导论电子商务:顾名思义,是建立在电子技术基础上的商业运作,是利用民子技术加强,加快,扩展,增强,改变了其有关过程的商务。Intranet:是指基于TCP/IP协议的企业内部网络,它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。 Extranet:是指基于TCP/IP协议的企业处域网,它是一种合作性网络。 商务数据的机密性:商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取,不被泄露或披露给未经授权的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容。 邮件炸弹:是攻击者向同一个邮件信箱发送大量的垃圾邮件,以堵塞该邮箱。 TCP劫持入侵:是对服务器的最大威胁之一,其基本思想是控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为黑客就是实际的客户端。HTTP协议的“有无记忆状态”:即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的,它们需记住许多关于协议双方的信息,请求与应答。 电子商务的模式1)大字报/告示牌模式。2)在线黄页簿模式。3)电脑空间上的小册子模式。4)虚拟百货店模式。5)预订/订购模式。6)广告推销模式。什么是保持数据的完整性?商务数据的完整性或称正确性是保护数据不被未授权者修改,建立,嵌入,删除,重复传送或由于其他原因使原始数据被更改。在存储时,要防止非法篡改,防止网站上的信息被破坏。在传输过程中,如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏,具有完整性。加密的信息在传输过程,虽能保证其机密性,但并不能保证不被修改。 网页攻击的步骤是什么?第一步,创建一个网页第二步:攻击者完全控制假网页。第三步,攻击者利用网页做假的后果:攻击者记录受害者访问的内容,当受害者填写表单发送数据时,攻击者可以记录下所有数据。此外,攻击者可以记录下服务器响应回来的数据。这样,攻击者可以偷看到许多在线商务使用的表单信息,包括账号,密码和秘密信息。 什么是Intranet?Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet上可提供所有Intranet 的应用服务,如WWW,E-MAIL等,只不过服务面向的是企业内部。和Intranet一样,Intranet具有很高的灵活性,企业可以根据自己的需求,利用各种Intranet互联技术建立不同规模和功能的网络。 为什么交易的安全性是电子商务独有的?这也是电子商务系统所独有的。在我们的日常生活中,进和一次交易必须办理一定的手续,由双方签发各种收据凭证,并签名盖章以作为法律凭据。但在电子商务中,交易在网上进行,双方甚至不会见面,那么一旦一方反悔,另一方怎么能够向法院证明合同呢?这就需要一个网上认证机构对每一笔业务进行认证,以确保交易的安全,避免恶意欺诈。 攻击WEB站点有哪几种方式?安全信息被破译非法访问:交易信息被截获:软件漏洞被攻击者利用:当用CGI脚本编写的程序或其他涉及到远程用户从浏览中输入表格并进行像检索之类在主机上直接操作命令时,会给WEB主机系统造成危险。 WEB客户机和WEB服务器的任务分别是什么? WEB客户机的任务是: 1)为客户提出一个服务请求——超链时启动2)将客户的请求发送给服务器3)解释服务器传送的HTML等格式文档,通过浏览器显示给客户。 WEB服务器的任务是:1)接收客户机来的请求2)检查请求的合法性3)针对请求,获取并制作数据,包括使用CGI脚本等程序,为文件设置适当的MIME类型来对数据进行前期处理和后期处理4)把信息发送给提出请求的客户机。 电子商务安全的六项中心内容是什么? 1)商务数据的机密性或称保密性2)商务数据的完整性或称正确性3)商务对象的认证性4)商务服务的不可否认性5)商务服务的不可拒绝性或称可用性6)访问的控制性 Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势,是它的广袤覆盖及开放结构。由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散,网上内容难以控制,私密性难以保障。从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。企业内域网是为企业内部运作服务的,自然有它安全保密的要求,当它与公网Internet连接时,就要采取措施,防止公网上未授权的无关人员进入,防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施,通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。 (3)Extranet(外连网)一般译为企业外域网,它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网,满足企业内部运作之外,还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系,为达成某一共同目标而共享某些资源。 明文:原始的,未被伪装的消息称做明文,也称信源。通常用M表示。 密文:通过一个密钥和加密算法将明文变换成一种伪信息,称为密文。通常用C表示。 加密:就是用基于数学算法的程序和加密的密钥对信息进行编码,生成别人难以理解的符号,即把明文变成密文的过程。通常用E表示。 解密:由密文恢复成明文的过程,称为解密。通常用D表示。 加密算法:对明文进行加密所采用的一组规则,即加密程序的逻辑称做加密算法。
第一章电子商务安全基础 商务:是经济领域特别是市场经济环境下的一种社会活动,它涉及货品、服务、金融、知识信息等的交易。 电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。 电子商务主客体关系分为: 1、B2B企业、机构之间 2、B2C企业与消费者之间 3、C2C个人用户之间 4、B2G企业政府之间。 电子商务的技术要素组成: 1、网络 2、应用软件 3、硬件。 电子商务的常见模式: 1、大字报或告示牌模式 2、在线黄页簿模式 3、电脑空间上的小册子模式 4、虚拟百货店模式 5、预定或订购模式 6、广告推销模式。 因特网的优劣势: 1、优势:广袤覆盖及开放结构,由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖率增长至几乎无限 2、劣势:因特网的管理松散,网上容难以控制,私密性难以保障,从电子商务等应用看,安全性差也是因特网的又一大缺点。 域网(Intranet):是由某一企业或机构利用因特网的技术,即因特网的标准和协议等,建立起来的该企业专用的计算机网络。 防火墙:是一个介乎域网和因特网其他部分之间的安全服务器。 外域网(Extranet):用域网同样的办法建立的一个连接相关企业、单位、机构的专用网络。 EDI的信息传输方式:存储-转发。 电子商务的驱动力:1、信息产品硬件制造商2、信息产品软件厂商3、大型网上服务厂商4、银行及金融机构5、大企业6、政府。 电子商务的安全隐患: 1、数据的安全 2、交易的安全。 电子商务系统可能遭受的攻击: 1、系统穿透 2、违反授权原则 3、植入 4、通信监视 5、通信窜扰 6、中断 7、拒绝服务 8、否认 9、病毒。电子商务安全的中心容: 1、商务数据的性 2、完整性 3、商务对象的认证性 4、商务服务的不可否认性 5、商务服务的不可拒绝性 6、访问的控制性等。 产生电子商务安全威胁的原因: 1、internet在安全方面的缺陷 2、Internet的安全漏洞 3、TCP/IP协议极其不安全性 4、E-mail,Telnet及网页的不安全性。
2006年1月 一、单项选择题(本大题共20小题,每小题1分,共20分) 1.保证商业服务不可否认的手段主要是( ) A.数字水印B.数据加密 C.身份认证D.数字签名 2.DES加密算法所采用的密钥的有效长度为( ) A.32 B.56 C.64 D.128 3.在防火墙技术中,我们所说的外网通常指的是( ) A.受信网络B.非受信网络 C.防火墙内的网络D.局域网 4.《电子计算机房设计规范》的国家标准代码是( ) A.GB50174—93 B.GB50174—88 C.GB57169—93 D.GB57169—88 5.通行字也称为( ) A.用户名B.用户口令 C.密钥D.公钥 6.不涉及 ...PKI技术应用的是( ) A.VPN B.安全E-mail C.Web安全D.视频压缩 7.多级安全策略属于( ) A.最小权益策略B.最大权益策略 C.接入控制策略D.数据加密策略 8.商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A.SET标准商户业务规则与SSL标准商户业务规则 B.SET标准商户业务规则与Non-SSL标准商户业务规则 C.SET标准商户业务规则与Non-SET标准商户业务规则 D.Non-SET标准商户业务规则与SSL标准商户业务规则 9.SHECA指的是( ) A.上海市电子商务安全证书管理中心 B.深圳市电子商务安全证书管理中心 C.上海市电子商务中心 D.深圳市电子商务中心 10.以下哪一项是密钥托管技术?( ) A.EES B.SKIPJACK C.Diffie-Hellman D.RSA 11.公钥体制用于大规模电子商务安全的基本要素是( ) A.哈希算法B.公钥证书 C.非对称加密算法D.对称加密算法 1
2019年10月全国自考电子商务安全导论试题 一、单项选择题: 1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是 A.A、B1、B2、B3、C1、C2、D B.A、B3、B2、B1、C2、C1、D C.D、C1、C2、B1、B2、B3、A D.D、C2、C1、B3、B2、B1、A 2.以下不属于电子商务遭受的攻击是 A.病毒 B.植入 C.加密
D.中断 3.第一个既能用于数据加密、又能用于数字签名的算法是 A. DES B.EES C.IDEA D. RSA 4.下列属于单钥密码体制算法的是 A.RC-5加密算法 B.rs密码算法 C. ELGamal密码体制 D.椭圆曲线密码体制
5.MD5散列算法的分组长度是 A.16比特 B.64比特 C.128比特 D.512比特 6.充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是 A.数字签名 B.数字指纹 C.数字信封 D.数字时间戳 7.《电气装置安装工程、接地装置施工及验收规范》的国家标准代码
是 A.GB50174-93 B.GB9361-88 C.GB2887-89 D.GB50169-92 8.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是 A.0℃-10℃ B.10℃-25℃ C.0℃-25℃ D.25℃-50℃ 9.内网是指
A.受信网络 B.非受信网络 C.防火墙外的网络 D.互联网 10.检查所有进出防火墙的包标头内容的控制方式是 A.包过滤型 B.包检验型 C.应用层网关型 D.代理型 11.对数据库的加密方法通常有多种,以下软件中,属于使用专用加密软件加密数据库数据的软件是 A. Microsoft Access B. Microsoft Excel
电子商务安全问题初探 随着电子信息技术的迅速普及和广泛应用,电子商务以其快捷、便利等优点越来越受到社会的认可。电子商务的发展前景十分诱人,但商业信息的安全依然是电子商务的首要问题。本文从实现电子商务安全性的基本框架出发,对电子商务中的各种安全技术进行了分析,以探讨一种有效、安全的实现电子商务的途径。 一、电子商务的安全问题 电子商务安全问题主要有: 1?信息的截获和窃取:如果采用加密措施不够,攻击者通过互联网、公共电话网在电磁波辐射范围内安装截获装置或在数据包通过网关和路由器上截获数据,获取 机密信息或通过对信息流量、流向、通信频度和长度分析,推测出有用信息。 2.信息的篡改:当攻击者熟悉网络信息格式后,通过技术手段对网络传输信息中途修改并发往目的地,破坏信息完整性。 3.信息假冒:当攻击者掌握网络信息数据规律或解密商务信息后,假冒合法用户或发送假冒信息欺骗其他用户。 4.交易抵赖:交易抵赖包括多方面,如发信者事后否认曾发送信息、收信者事后否认曾收到消息、购买者做了定货单不承认等。 二、电子商务的安全性要求 要使电子商务健康、顺利发展,必须解决好以下六种关键的安全性要求: (1可靠性要求:可靠性要求是指为了防止计算机的软件错误、硬件故障、网络中断、计算机病毒和自然灾害等突发事件,采取的一系列控制和预防措施来防止数据信息资源部受破坏的可靠程度。
(2保密性要求:信息的存取时在安全的环境中进行,不能被非法窃取、泄露;信息的发送和接收是在安全的网络中进行,交易双方在信息交换过程中没有被窃听的危险,非参与方不能获取交易的信息,保证交易双方的信息安全。 (3完整性要求:完整性是指数据在发送、接收和传递过程中,要求保证数据的一致性,防止非法用户对数据的随意生成、修改和删除,同时还要保证数据传递次序的统一。信息的完整性是从事电子商务交易双方的经营基础。 (4真实性要求:从事电子商务的交易双方的身份不能被假冒或伪装,能够有效鉴别、确定交易双份的真实身份。能否方便而有可靠地确认交易双方身份的真实性,是顺利进行电子商务交易的前提。 (5不可抵赖性要求:在电子商务环境下,通过手写签名和个人印章进行交易双方的鉴别已是不可能的了,必须在交易信息的传递过程中参与交易的个人、企业、商家或其他部门提供可靠的标识,有第三方提供有效的数字化过程记录,使交易各方不能事后抵赖。 (6有效性要求:在网络交易中,交易双方的信息交流(如双方的购销合同、签名、时间等都是以数字化的形式出现的,数字化的文件取代了原有的纸张,那么保证这种数字信息的有效性并为交易双方共同认可,就显得格外重要。一旦签订交易合同后,这项交易就受到法律保护,并防止被篡改或伪造。 三、电子商务信息安全技术 1.防火墙技术。防火墙在网络间建立安全屏障,根据指定策略对数据过滤、分析和审计,并对各种攻击提供防范。安全策略有两条:一是凡是未被准许就是禁止”。防火墙先封闭所有信息流,再审查要求通过信息,符合条件就通过;二是凡是未被禁止就是允许”。防火墙先转发所有信息,然后逐项剔除有害内容。 防火墙技术主要有:(1包过滤技术:在网络层根据系统设定的安全策略决定是否让数据包通过,核心是安全策略即过滤算法设计。(2代理服务技术:提供应用层服务控制,起
电子商务安全导论实践试题及答案 1.简单的加密算法的代码编写(凯撒密码) 2.电子商务安全认证证书的网上申请以及使用说明 3.你使用的机器上本地安全设置中的密码策略如何 4.说明你所使用的机器上的公钥策略基本情况 5.本机IP安全策略中的安全服务器(要求安全设置)属性以及基本情况 6.本机IP安全策略中的客户端(只响应)属性的基本情况 7.本机IP安全策略中的服务器(请求安全设置)属性和基本情况如何(编辑规则常规高级方法) 8.说明智能卡是是如何进行用户鉴别的 9.本机上证书的使用情况 10.上网查询江苏省电子商务安全证书的基本情况 11.说明木马在win.ini条件下的症状如何 12.举例说明你所使用的个人防火墙的功能项目以及使用方法 13.介绍一种你所熟悉的黑客攻击技术 14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题 15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法 解答 《一》简单的加密算法的代码编写(凯撒密码) 凯撒密文的破解编程实现 凯撒密文的破解编程实现 近来安全的发展,对密码学的研究越来越重要,虽然我们现在大多采用的是 非对称密码体制,但是同时由于处理及其它的一些重要原因,对传统密码仍然 是在大量的使用,如移位,替代的基本思想仍然没有改变,我个人认为,将来 的很长时间内,我们必将会花大量的时间对密码学进行研究,从而才能促进我
们的电子政务,电子商务的健康发展,下面我要谈的是对一个古典密码----- 凯撒(kaiser)密码的的解密,也就是找出它的加密密钥,从而进行解密,由于 它是一种对称密码体制,加解密的密钥是一样的,下边简单说明一下加解密 加密过程: 密文:C=M+K (mod 26) 解密过程: 明文:M=C-K (mod 26) 详细过程请参考相关资料 破解时主要利用了概率统计的特性,E字母出现的概率最大。 加密的程序实现我就不说了, 下面重点说一下解密的程序实现:我是用C写的,在VC6.0下调试运行正确 #include"stdio.h" #include"ctype.h" #include"stdlib.h" main(int argc ,char *argv[]) { FILE *fp_ciper,*fp_plain; //密文与明文的文件指针 char ch_ciper,ch_plain; int i,temp=0; //i用来存最多次数的下标 //temp用在求最多次数时用 int key; //密钥 int j; int num[26]; //保存密文中字母出现次数 for(i = 0;i < 26; i++) num = 0; //进行对num[]数组的初始化 printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n"); printf("======================================================\n"); if(argc!=3) { printf("此为KAISER解密用法:[文件名] [密文路径] [明文路径]\n"); printf("如:decryption F:\ciper_2_1.txt F:\plain.txt\n"); } //判断程序输入参数是否正确
绝密★考试结束前 全国2013年10月高等教育自学考试 电子商务安全导论试题 课程代码:00997 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项: 1.答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2.每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸” 的相应代码涂黑。错涂、多涂或未涂均无分。 1.病毒按破坏性划分可以分为 A.良性病毒和恶性病毒B.引导型病毒和复合型病毒 C.文件型病毒和引导型病毒D.复合型病毒和文件病毒 2.在进行身份证明时,用个人特征识别的方法是 A.指纹B.密码 C.身份证D.密钥 3.下列选项中,属于电子邮件的安全问题的是 A.传输到错误地址B.传输错误 C.传输丢失D.网上传送时随时可能被人窃取到 4.RC-5加密算法中的可变参数不包括 ... A.校验位B.分组长 C.密钥长D.迭代轮数 5.一个明文可能有多个数字签名的算法是 00997# 电子商务安全导论试题第1页共5页
A.RSA B.DES C.Rabin D.ELGamal 6.数字信封技术中,加密消息密钥形成信封的加密方法是 A.对称加密B.非对称加密 C.对称加密和非对称加密D.对称加密或非对称加密 7.防火墙的组成中不包括 ...的是 A.安全操作系统B.域名服务 C.网络管理员D.网关 8.下列选项中,属于加密桥技术的优点的是 A.加密桥与DBMS是不可分离的B.加密桥与DBMS是分离的 C.加密桥与一般数据文件是不可分离的D.加密桥与数据库无关 9.在不可否认业务中保护收信人的是 A.源的不可否认性B.提交的不可否认性 C.递送的不可否认性D.A和B 10.为了在因特网上有一种统一的SSL标准版本,IETF标准化的传输层协议是 A.SSL B.TLS C.SET D.PKI 11.能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是 A.CFCA B.CTCA C.SHECA D.PKI 12.下列选项中,属于中国电信CA安全认证系统结构的是 A.地市级CA中心B.地市级RA中心系统 C.省CA中心D.省RA中心系统 13.美国的橘黄皮书中为计算机安全的不同级别制定了D,Cl,C2,Bl,B2,B3,A标准,其中称为结构化防护的级别是 A.B1级B.Cl级 C.B2级D.C2级 14.下列选项中,属于提高数据完整性的预防性措施的是 A.加权平均B.信息认证 C.身份认证D.奇偶校验 00997# 电子商务安全导论试题第2页共5页
全国2010年1月高等教育自学考试 电子商务安全导论试题 课程代码:00997 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 l.美国的橘皮书中计算机安全B级的子级中,从高到低依次是() A.Bl B2 B.B2 B1 C.B1 B2 B3 D.B3 B2 B1 2.现在常用的密钥托管算法是() A.DES算法 B.EES算法 C.RAS算法 D.SHA算法 3.SHA算法输出的哈希值长度为() A.96比特 B.128比特 C.160比特 D.192比特 4.使用数字摘要和数字签名技术不.能.解决的电子商务安全问题是() A.机密性 B.完整性 C.认证性 D.不可否认性 5.在服务器中经常使用偶数块硬盘,通过磁盘镜像技术来提升系统的安全性,这种磁盘冗余技术称为() A.RAID 0 B.RAID 1 C.RAID 3 D.RAID 5 6.防火墙技术中处理效率最低的是() A.包过滤型 B.包检验型 C.应用层网关型 D.状态检测型 7.目前,对数据库的加密方法主要有() A.2种 B.3种 C.4种 D.5种 8.身份证明系统的质量指标中的II型错误率是() A.通过率 B.拒绝率 C.漏报率 D.虚报率 9.在对公钥证书格式的定义中已被广泛接受的标准是() A.X.500 B.X.502 C.X.509 D.X.600 10.使用者在更新自己的数字证书时不可以 ...采用的方式是() A.电话申请 B.E-Mail申请 C.Web申请 D.当面申请 11.在PKI的构成模型中,其功能不包含 ...在PKI中的机构是() A.CA B.ORA C.PAA D.PMA 12.用于客户——服务器之间相互认证的协议是()
做试题,没答案?上自考365,网校名师为你详细解答! 全国2010年10月自学考试电子商务安全导论试题及答案 课程代码:00997 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.计算机安全等级中,C2级称为() A.酌情安全保护级 B.访问控制保护级 C.结构化保护级 D.验证保护级 2.在电子商务的发展过程中,零售业上网成为电子商务发展的热点,这一现象发生在 ()A.1996年 B.1997年 C.1998年 D.1999年 3.电子商务的安全需求中,保证电子商务系统数据传输、数据存储的正确性的根基是 ()A.可靠性 B.完整性 C.真实性 D.有效性 4.最早提出的公开的密钥交换协议是() A.Blom B.Diffie-Hellman C.ELGamal D.Shipjack 5.ISO/IEC9796和ANSI X9.30-199X建议的数字签名的标准算法是() A.HA V AL B.MD-4 C.MD-5 D.RSA 6.发送方使用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,这种技术称为() A.双重加密 B.数字信封 C.双联签名 D.混合加密 7.在以下主要的隧道协议中,属于第二层协议的是() 1 全国2010年10月自学考试电子商务安全导论试题
全国2010年10月自学考试电子商务安全导论试题 2 A.GRE B.IGRP C.IPSec D.PPTP 8.使用专有软件加密数据库数据的是( ) A.Access B.Domino C.Exchange D.Oracle 9.在下列选项中,不是..每一种身份证明系统都必须要求的是( ) A.不具可传递性 B.计算有效性 C.通信有效性 D.可证明安全性 10.Kerberos 的局限性中,通过采用基于公钥体制的安全认证方式可以解决的是( ) A.时间同步 B.重放攻击 C.口令字猜测攻击 D.密钥的存储 11.在下列选项中,不属于...公钥证书的证书数据的是( ) A.CA 的数字签名 B.CA 的签名算法 C.CA 的识别码 D.使用者的识别码 12.在公钥证书发行时规定了失效期,决定失效期的值的是( ) A.用户根据应用逻辑 B.CA 根据安全策略 C.用户根据CA 服务器 D.CA 根据数据库服务器 13.在PKI 的性能要求中,电子商务通信的关键是( ) A.支持多政策 B.支持多应用 C.互操作性 D.透明性 14.主要用于购买信息的交流,传递电子商贸信息的协议是( ) A.SET B.SSL C.TLS D.HTTP 15.在下列计算机系统安全隐患中,属于电子商务系统所独有的是( ) A.硬件的安全 B.软件的安全 C.数据的安全 D.交易的安全 16.第一个既能用于数据加密、又能用于数字签名的算法是( ) A.DES B.EES C.IDEA D.RSA 17.在下列安全鉴别问题中,数字签名技术不能..解决的是( )
第一章电子商务安全基础 一、商务和电子商务的概念 1.电子商务的含义 【名词解释】电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。 2.电子商务的技术要素 【多选】电子商务的技术要素组成包括:网络、应用软件和硬件。 3.电子商务的模式 (1)大字报/告示牌模式。 (2)在线黄页簿模式。 (3)电脑空间上的小册子模式。 (4)虚拟百货店模式。 (5)预订/订购模式。 (6)广告推销模式。 4.Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势,是它的广袤覆盖及开放结构。 由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散,网上内容难以控制,私密性难以保障。从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。 (2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。 企业内域网是为企业内部运作服务的,自然有它安全保密的要求,当它与公网Internet连接时,就要采取措施,防止公网上未授权的无关人员进入,防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施,通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。 (3)Extranet(外连网)一般译为企业外域网,它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网,满足企业内部运作之外,还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系,为达成某一共同目标而共享某些资源。 5.电子商务的发展历史 【单选】有人把现代电子商务的发展分成如下几个阶段,从中也可看出电子商务发展的轨迹、条件和基础: (1)1995年:网络基础设施大量兴建。 (2)1996年:应用软件及服务成为热点。 (3)1997年:网址及内容管理的建设发展,有关企业、业务的调整、重组及融合,所谓“人口门 户”(Portal)公司的出现。 (4)1998年:网上零售业及其他交易蓬勃发展。 二、电子商务安全基础
全国2018年10月高等教育自学考试 电子商务安全导论试题 课程代码:00997 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.TCP/IP协议安全隐患不包括 ...( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.IDEA密钥的长度为( ) A.56 B.64 C.124 D.128 3.在防火墙技术中,内网这一概念通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 4.《计算机场、地、站安全要求》的国家标准代码是( ) A.GB57104-93 B.GB9361-88 C.GB50174-88 D.GB9361-93 5.在Kerberos中,Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段? ( ) A.三个 B.四个 C.五个 D.六个 6.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 7.Internet接入控制不能 ..对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 8.CA不能 ..提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 1
C.安全电子邮件证书 D.SET服务器证书 9.我国电子商务走向成熟的重要里程碑是( ) A.CFCA B.CTCA C.SHECA D.RCA 10.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 11.关于Diffie-Hellman算法描述正确的是( ) A.它是一个安全的接入控制协议 B.它是一个安全的密钥分配协议 C.中间人看不到任何交换的信息 D.它是由第三方来保证安全的 12.以下哪一项不在 ..证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 13.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 14.在Kerberos中,Client向本Kerberos认证域外的Server申请服务包含几个步骤? ( ) A.6 B.7 C.8 D.9 15.属于PKI的功能是( ) A.PAA,PAB,CA B.PAA,PAB,DRA C.PAA,CA,ORA D.PAB,CA,ORA 16.MD-4散列算法中输入消息可以任意长度,但要进行分组,其分组的位数是( ) A.64 B.128 C.256 D.512 17.SHA的含义是( ) A.加密密钥 B.数字水印 C.安全散列算法 D.消息摘要 18.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 2
2017年4月高等教育自学考试全国统一命题考试 电子商务安全导论试卷 (课程代码00997) 本试卷共4页。满分l00分,考试时间l50分钟。 考生答题注意事项: 1.本卷所有试题必须在答题卡上作答。答在试卷上无效,试卷空白处和背面均可作草稿纸。 2.第一部分为选择题。必须对应试卷上的题号使用2B铅笔将“答题卡”的相应代码涂黑。 3.第二部分为非选择题。必须注明大、小题号,使用0.5毫米黑色字迹签字笔作答。 4.合理安排答题空间。超出答题区域无效。 第一部分选择题(共30分) 一、单项选择题(本大题共20小题,每小题l分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题卡” 的相应代码涂黑。错涂、多涂或未涂均无分。 1.下列选项中不属于Internet系统构件的是 A.客户端的局域网 B.服务器的局域网 C.Internet网络 D.VPN网络 2.零售商面向消费者的这种电子商务模式是 A.B.G B.B.C C.B.B D.C.C 3.早期提出的密钥交换体制是用一个素数的指数运算来进行直接密钥交换,这种体制通常称为 A.Kerberos协议 B.LEAF协议 C.skipjack协议 D.Diffie-Hellman协议 4.收发双方持有不同密钥的体制是 A.对称密钥 B.数字签名 C.公钥 D.完整性 5.关于散列函数的概念,下列阐述中正确的是 A.散列函数中给定长度不确定的输入串,很难计算出散列值 B.散列函数的算法是保密的 C.散列函数的算法是公开的 D.散列函数中给定散列函数值,能计算出输入串 6.SHA的含义是 A。安全散列算法 B.密钥 C.数字签名 D.消息摘要 7.下列选项中属于病毒防治技术规范的是 A.严禁归档 B.严禁运行合法授权程序 C.严禁玩电子游戏 D.严禁UPS 8.《电子计算机房设计规范》的国家标准代码是 A.GB50174-93 B.GB9361.88 C.GB2887.89 D.GB50169-92 9.下列选项中,属于防火墙所涉及的概念是
电子商务安全导论 一、单项选择题 1.病毒按破坏性划分可以分为 (良性病毒和恶性病毒) 2.在进行身份证明时,用个人特征识别的方法是(指纹) 3.下列选项中,属于电子邮件的安全问题的是(传输到错误地址) 4.RC-5加密算法中的可变参数不包括 ...(校验位) 5.一个明文可能有多个数字签名的算法是(ELGamal ) 6.数字信封技术中加密消息密钥形成信封的加密方法是(对称加密和非对称加密) 7.防火墙的组成中不包括 ...的是(网络管理员) 8.下列选项中,属于加密桥技术的优点的是(加密桥与DBMS是分离的) 9.在不可否认业务中保护收信人的是(提交的不可否认性) 10.为了在因特网上有一种统一的SSL标准版本,IETF标准化的传输层协议是(TLS) 11.能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是(CFCA ) 12.下列选项中,属于中国电信CA安全认证系统结构的是(省RA中心系统) 13.美国的橘黄皮书中为计算机安全的不同级别制定了D,Cl,C2,Bl,B2,B3,A标准,其中称为结构化防护的级别是(Cl级) 14.下列选项中,属于提高数据完整性的预防性措施的是(奇偶校验) 15.一系列保护IP通信的规则的集合称为( IPSec ) 16.由系统管理员来分配接入权限和实施控制的接入控制方式是(DAC) 17.在Kerberos认证中,把对Client向本Kerberos的认证域以外的Server 申请服务称为(域间认证) 18.下列关于数字证书的说法中不正确 ...的是(在各种不同用途的数字证书类型中最重要的是私钥证书,它将公开密钥与特定的人联系起来) 19.认证机构最核心的组成部分是(数据库服务器) 20.PKI中支持的公证服务是指( 数据认证) 21.对身份证明系统的要求之一是(验证者正确识别示证者的概率极大化)
第一章电子商务的概念 1.电子商务的含义 【名词解释】电子商务:是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。 【单选】第一代或传统的电子商务为:数据交换(EDI)采用的信息传输方式是“存储---转发” 2.电子商务的构成 表现形式:【多选】B-B,B-C,C-C,B-G 技术要素:【多选】电子商务的技术要素组成包括:网络、应用软件和硬件。 技术要素组成的核心:【单选】应用软件 3.电子商务的模式 (1)大字报/告示牌模式。 (2)在线黄页簿模式。 (3)电脑空间上的小册子模式。 (4)虚拟百货店模式。 (5)预订/订购模式。 (6)广告推销模式。 4.【简答】Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势,是它的广袤覆盖及开放结构。 由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散,网上内容难以控制,私密性难以保障。从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。 (2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。 企业内域网是为企业内部运作服务的,自然有它安全保密的要求,当它与公网Internet连接时,就要采取措施,防止公网上未授权的无关人员进入,防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施,通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。 (3)Extranet(外连网)一般译为企业外域网,它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网,满足企业内部运作之外,还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系,为达成某一共同目标而共享某些资源。 5.电子商务的发展历史(设备---软件---推销产品---与客户相联系) 【单选】有人把现代电子商务的发展分成如下几个阶段,从中也可看出电子商务发展的轨迹、条件和基础: (1)1995年:网络基础设施大量兴建。 (2)1996年:应用软件及服务成为热点。 (3)1997年:网址及内容管理的建设发展,有关企业、业务的调整、重组及融合,所谓“人口门户”(Portal)公司的出现。 (4)1998年:网上零售业及其他交易蓬勃发展。 二、电子商务安全基础 1.电子商务的安全隐患 (1)硬件系统计算机是现代电子科技发展的结晶,是一个极其精密的系统,它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大,另一方面又使它极易受到损坏。 (2)软件系统软件是用户与计算机硬件联系的桥梁。任何一个软件都有它自身的弱点,而大多数安全问题都是围绕着系统的软件部分发生的,既包括系统软件也包括应用软件。 电子商务系统的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。 (1)数据的安全。 (2)交易的安全。【简答】为什么说交易的安全是电子商务系统所独有的? 2.【简答】简述电子商务所遭受的攻击。 (1)系统穿透。 【单选】未经授权人通过一定手段假冒合法用户接入系统,对文件进行篡改、窃取机密信息、非法使用资源的攻击行为是:系统穿透 (2)违反授权原则。 【单选】攻击者通过猜测口令接入一个非特许用户账号,取得接入系统权,从而严重危急系统的安全的攻击行为是:违反授权原则。 (3)植入。 【单选】在系统中植入病毒、蛀虫、木马来破坏系统的攻击行为是:植入。 (4)通信监视。 【单选】在通信过程中从信道搭线接听的方式称为:通信监视。 (5)通信窜扰。 【单选】攻击者对通信数据或通信过程进行干预,对完整性进行攻击,篡改系统中的数据内容,注入伪造信息的攻击行为:通信窜扰。 (6)中断。 【单选】破坏系统中的硬件、硬盘、线路、文件系统的攻击方式:中断。 (7)拒绝服务。 【单选】一个业务口被滥用而使其他用户不能正常接入的攻击行为:拒绝服务。 (8)否认。 【单选】一个实体进行某种通信或交易伙同,稍后否认曾进行过这一活动。 (9)病毒。 【单选】曾一度给我国造成巨大损失的病毒:CIH病毒。 3.电子商务安全的六性 多选,简答。名词解释 (1)商务数据的机密性。 【单选】信息在网络上传送或存储的过程不被他人窃取、不被泄露或披露给未经授权的人或组织,或经过加密伪装后,使未经授权者无法了解其内容。是商务数据的机密性。 【多选】保证数据机密性的手段:加密和信息隐匿技术。 (2)商务数据的完整性。
全国自考《电子商务安全导论》考前试题和答案00997 一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 第1题()是加密和解密使用相同或实质上等同的加密体制。 A. 单钥密码体制 B. 公钥密码体制 C. 双钥密码体制 D. 不对称密码体制 【正确答案】 A 【你的答案】 本题分数1分 第2题下列选项中不属于实现身份证明的基本途径的是() A. 所知 B. 所有 C. 个人特征 D. 属性 【正确答案】 D 【你的答案】 本题分数1分 第3题()是Internet电子商务网络上的一个站点,负责接收来自商店服务器送来的SET付款数据,并转换成银行网络的格式,传送给收单银行处理。 A. 支付网关 B. 转换中心 C. CA中心 D. 服务中心 【正确答案】 A 【你的答案】 本题分数1分 第4题下列选项中()不是散列函数的名字。 A. 压缩函数 B. 数字签名
C. 消息摘要 D. 数字指纹 【正确答案】 B 【你的答案】 本题分数1分 第5题 CA需要对注册者进行(),确保公钥的持有者身份和公钥数据的完整性。 A. 主体认证 B. 身份认证 C. 身份注册 D. 身份说明 【正确答案】 A 【你的答案】 本题分数1分 第6题计算机病毒最重要的特征是() A. 传染性 B. 潜伏性 C. 可触发性 D. 破坏性 【正确答案】 A 【你的答案】 本题分数1分 第7题 Client向本Kerberos的认证域以内的Server申请服务的过程分为() A. 4个阶段,共8个步骤 B. 3个阶段,共6个步骤 C. 3个阶段,共8个步骤 D. 4个阶段,共6个步骤 【正确答案】 B 【你的答案】 本题分数1分 第8题 Client 向本Kerberos的认证域以外的Server申请服务的过程分为()A. 4个阶段,共6个步骤