电子商务安全期末考试A卷
一、选择题(单选)
下列选项中属于双密钥体制算法特点的是(C)
算法速度快 B.适合大量数据的加密 C.适合密钥的分配与管理 D.算法的效率高
实现数据完整性的主要手段是(D)
对称加密算法 B.非对称加密算法 C.混合加密算法 D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】
数字签名技术不能解决的安全问题是(C)
第三方冒充 B.接收方篡改 C.传输安全
4.病毒的重要特征是(B)
隐蔽性 B.传染性 C.破坏性 D.可触发性
在双密钥体制的加密和解密过程中,要使用公共密钥和个人密钥,它们的作用是(A)公共密钥用于加密,个人密钥用于解密 B.公共密钥用于解密,个人密钥用于加密C.两个密钥都用于加密 D.两个密钥都用于解密
在一次信息传递过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采用的安全手段是(B)
双密钥机制 B.数字信封 C.双联签名 D.混合加密系统
一个密码系统的安全性取决于对(A)
密钥的保护 B.加密算法的保护 C.明文的保护 D.密文的保护
在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于(A)
包过滤型 B.包检检型 C.应用层网关型 D.代理服务型
电子商务的安全需求不包括(B)[机密性、完整性、认证性、有效性、匿名性、不可抵赖]
可靠性 B.稳定性 C.真实性 D.完整性
SSL握手协议包含四个主要步骤,其中第二个步骤为(B)
客户机Hello B.服务器Hello C.HTTP数据流 D.加密解密
SET安全协议要达到的目标主要有(C)【机密性、保护隐私、完整性、多方认证、标准性】
三个 B.四个 C.五个 D.六个
下面不属于SET交易成员的是(B)
持卡人 B.电子钱包 C.支付网关 D.发卡银行
X205证书包含许多具体内容,下列选项中不包含在其中的是(C)
版本号 B.公钥信息 C.私钥信息 D.签名算法
身份认证中的证书由(D)
政府机构 B.银行发行 C. 企业团体或行业协会 D.认证授权机构发行
目前发展很快的基于PKI的安全电子邮件协议是(A)
A. S/MIME B.POP C.SMTP D.IMAP
选择题(多选)
下列属于单密钥体制算法的有(AC)
DES B.RSA C.AES D.SHA
下列公钥——私钥对的生成途径合理的有(BCD)
网络管理员生成 B.CA生成
C.用户依赖的、可信的中心机构生成
D.密钥对的持有者生成
防火墙不能解决的问题包括(BCE)
非法用户进入网络 B.传送已感染病毒的文件或软件
C.数据驱动型的攻击
D.对进出网络的信息进行过滤
E.通过防火墙以外的其它途径的攻击
PKI技术能有效的解决电子商务应用中的哪些问题(ABC)全选
A.机密性
B.完整性
C.不可否认性 D.存取控制
E.真实性
20.SET要达到的主要目标有(ACDE)
A.信息的安全传输
B.证书的安全发放
C.信息的相互隔离
D.交易的实时性
E.多方认证的解决
填空:
1. SSL可用于保护正常运行于TCP上的任何应用协议,如_HTTP__、__FTP_、SMTP 或Telnet的通信。
2. VPN利用__隧道_协议在网络之间建立一个_虚拟__通道,以完成数据信息的安全传输。
3.PKI提供电子商务的基本__安全_需求,是基于_数字证书__的。
4.密码技术是保证网络、信息安全的核心技术。信息在网络中传输时,通常不是以_明文_而是以__密文_的方式进行通讯传输的。
5.现在广为人们知晓的_传输控制_协议(TCP)和_网际__协议(IP),常写为TCP/IP。
6.数字签名分为确定和随机两种,其中RSA签名属于确定性签名,ELGamal 签名属于
随机签名。
简答:
1.电子商务系统可能受到的攻击类型【粗体字为推荐答案】
答:(1)系统穿透:未经授权人同意,冒充合法用户接入系统,对文件进行篡改、窃取机密信息非法使用资源等。
(2)违反授权原则:一个被授权进入系统做一件事的用户,在系统中做未经授权的其他事情。
(3)植入:在系统穿透成功后,入侵者在系统中植入一种能力,为其以后攻击系统提供方便条件。如注入病毒、蛀虫、特洛伊木马、陷阱等来破坏系统正常工作。
(4)通信监视:这是一种在通信过程中从信道进行搭线窃听的方式。通过搭线和电磁泄漏等对机密性进行攻击,造成泄密。
(5)通信干扰:攻击者对通信数据或通信数据进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消息次序、时间,注入伪造信息。
(6)中断:对可用性进行攻击,破坏系统中的硬盘、硬件、线路等,使系统不能正常工作,破译信息和网络资源。
(7)拒绝服务:指合法接入信息、业务或其他资源受阻。
(8)否认:一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动,不管这种行为是有意还是无意,一旦出现,再解决双方的争执就不容易了。
(9)病毒:由于Internet的开放性,病毒在网络上的传播比以前快了许多,
而Internet 的出现又促进了病毒复制者间的交流,使新病毒层出不穷,杀伤力也大有提高。
(10)钓鱼网站。
2.PKI作为安全基础设施,能为用户提供哪些服务?
答: (1)认证;(1分)
(2)数据完整性服务;(1分)
(3)数据保密性服务;(1分)
(4)不可否认性服务;(1分)
(5)公证服务。
五.论述:
1.双钥密码体制加密为什么可以保证数据的机密性和不可否认性?
答:(1)双钥密码体制加密时有一对公钥和私钥,公钥公开,私钥由持有者保存;
(2)公钥加密后的数据只有持有者的私钥能解开,这样保证了数据的机密性;
(3)经私钥加密后的数据可被所有具有公钥的人解开,由于私钥只有持有者一人保存,这样就证明信息发自私钥持有者,具有不可否认性。
2.论述数字签名的必要性(对比传统签名,数字签名解决了什么问题)
答:(1)传统手书签名仪式要专门预定日期时间,契约各方到指定地点共同签署一个合同文件,短时间的签名工作需要很长时间的前期准备工作。(3分)这种状况对于管理者是延误时机,对于合作伙伴是丢失商机,对于政府机关是办事效率低下。(2分)
(2)电子商务时代各种单据的管理必须实现网络化的传递。(2分)保障传递文件的机密性应使用加密技术,保障其完整性则用信息摘要技术,而保障认证
性和不可否认性则应使用数字签名技术。(3分)
(3)数字签名可做到高效而快速的响应,任意时刻,在任何地点,只要有Internet就可以完成签署工作。(3分)
(4)数字签名除了可用于电子商务中的签署外,还可用于电子办公、电子转帐及电子邮递等系统。(2分)
公钥证书包括的具体内容:
答:
(1)版本信息;
(2)证书序列号;
(3)CA使用的签名算法;
(4)有效期;
(5)发证者的识别码;
(6)证书主题名;
(7)公钥信息;
(8)使用者Subject ;
(9)使用者识别码;
(10)额外的特别扩展信息;
电子商务安全期末考试B卷
一、选择题:
1.电子商务的技术组成要素中不包括(D)
A.网络 B、用户 C、应用软件 D、硬件
在中国制约VPN发展、普及的客观因素是(D)
客户自身的应用 B、网络规模 C、客户担心传输安全 D 、网络带宽
【思路点拨:在我国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面;客观因素包括因特网带宽和服务质量QoS问题;主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全;主观因素之二客户自身的应用跟不上。】
3.在单公钥证书系统中,签发CA 证书的机构是(C)
A.国家主管部门 B、用户 C、仅CA自己 D、其他CA
CA系统中一般由多个部分组成,其核心部分为(B)
安全服务器 B、CA服务器 C、注册机构RA D、LDAP服务器
5.得到IBM、微软公司的支持已经成为事实上的工业标准的安全协议是(B)
A.SSL B、SET C、HTTPS D、TLS
6.SET协议中用来鉴别信息完整性的是(C)
RSA算法 B、数字签名 C、散列函数算法 D、DES算法SET软件组件中安装在客户端的电子钱包一般是一个(B)
独立运行的程序 B、浏览器的一个插件 C、客户端程序 D、单独的浏览器
8.在不可否认业务中,用来保护收信人的业务是(A)
源的不可否认性 B、传递的不可否认性
C、提交的不可否认性
D、专递的不可否认性
不属于公钥证书类型的有(A)
密钥证书 B、客户证书 C、安全邮件证书 D、CA证书
10.PKI是公钥的一种管理体制,在宏观上呈现一种域结构,在PKI的构成模型中,制定整个体系结构的安全政策是(B)
A.PMA B、PA C、CA D、OPA
11.在数字信封证,先用来打开数字信封的是(B)
公钥 B、私钥 C、DES密钥 D、RSA密钥
SSL握手协议的主要步骤有(B)
三个 B、四个 C、五个 D、六个
计算机病毒最重要的特征是(B)
隐蔽性 B、传染性 C、潜伏性 D、破坏性
一个典型的CA系统主要由几个部分构成(C)
A、3
B、4
C、5
D、6
15目前信息安全传送的标准模式是(C)
数字签名 B、消息加密 C、混合加密 D、数字信封
多选题:
1.电子商务系统可能遭受的攻击有 ( ABCDE )
A.系统穿透
B.植入
C.违反授权原则
D.通信监视
E.计算机病毒
2.目前比较常见的备份方式有( ABCDE )
A.定期磁带备份数据B.远程磁带库备份 C.远程数据库备份
D.网络数据镜像 E.远程镜像磁盘
3.防火墙的基本组成有( ABCDE )
A.安全操作系统B.过滤器C.网关
D.域名服务 E.E-mail处理
4. 在认证机构介入的网络商品销售的过程中,认证中心需要对参与网上交易的( ABD )进行身份认证。
A.消费者 B.商家
C.邮政系统 D.银行
5.SET要达到的主要目标有( ACDE )
A.信息的安全传输
B.证书的安全发放
C.信息的相互隔离
D.交易的实时性
E.多方认证的解决
6.一个完整的商务活动,必须由( ABCD )几个流动过程有机构成。
A.信息流 B.商流 C.货币流 D.物流
三、填空题(每个空格2分,共20分)
1.散列函数是将一个长度不确定的输入串转换成一个长度确定的输出串。
2.计算机病毒按破坏性分为良性病毒和恶性病毒。
3.对于商家和顾客的交易双方,SSL协议有利于商家而不利于顾客。
4.要保证证书是有效的,必须要满足这样一些条件:一是证书没有超过有效期,二是密钥没有被修改,三是证书不在CA发行的无效证书清单中。
5.数字签名技术的主要功能是:保证信息传输过程中的完整性,对发送者的身份认证,防止交易中的抵赖发生。
6.数字签名分为两种,其中RSA和Rabin签名属于确定性_签名,ELGamal签名属于_随机式__签名。
三、简答题(每题10分,共20分)
1.简述防火墙的基本组成部分。
答: (1)安全操作系统;
﹙2)过滤器;
﹙3﹚网关;
﹙4﹚域名服务器;
﹙5﹚E-mail处理;
2.简述对称密钥体制的基本概念。
答:对称加密又叫秘密秘钥加密,其特点是数据的发送方和接收方使用的是同一把秘钥,即把明文加密成密文和把密文解密成明文用的是同一把秘钥。加密过程为:发送方用自己的秘密秘钥对要发送的信息进行加密。发送方将加密后的信息通过网络传送给接收方。接收方用发送方进行加密的那把秘钥对接收到的加密信息进行解密,得到信息明文。
3.SET与SLL的区别与联系
答:联系:采用的都是公开秘钥加密法、私有秘钥加密法、数字摘要等加密技术与数字证书等认证手段。都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。
区别:1)SSL与SET两种协议在网络中的层次不一样,SSL是基于传输层的协议,SET则是基于应用层的协议。
2)SSL加密所有的信息,而SET加密部分敏感信息,SET的安全性更高一些
3)SSL主要应用在浏览器上,而SET则主要应用于信用卡。
4)SSL速度快,成本低,SET速度慢,成本高。
四、论述题(每小题15分,共30分)
1.论述对称加密和非对称密钥体制的原理及各自特点。解释在加密过程中为何常常将二者结合使用。
答:对称加密(也称私钥加密)体制基本思想是,加密和解密均采用同一把秘密钥匙,在双方进行通信的时候,必须都要获得这把钥匙并保持钥匙的秘密,当给对刚
发送信息的时,用自己的加密秘钥进行解锁,而在接收方收到数据后,用对方所给的密钥进行解密。【特点】算法简单、加解密速度快、算法公开、计算量小、加密速度快、加密效率高、安全性高、。缺点是密钥太多、密钥的产生、管理、分发都很复杂;不能实现数字签名;
非对称密钥加密(也称公钥加密)过程:这种秘钥是成对使用的,每个用户都有一对选定的密钥,一个公开,另一个由用户安全拥有,当给对方发送信息的时候,用对方的公开密钥进行加密,而在接收方收到数据后,用自己的秘密密钥进行解密。具体过程;(1)用户生成一对密钥并将其中的一个作为公钥向其他用户公开;(2)发送方使用该用户的公钥对信息进行加密后发送给接收方;(3)接收方利用自己保存的私钥对加密信息进行解密,接收方只能用自己的私钥解密由其公钥加密后的任何信息。[特点]算法复杂、加解密速度慢、密钥管理简单、可用于数字签名。
正因为公开、秘密秘钥加密各有所长,所以将两者结合起来,形成混合加密方法。将对称加密体制和非对称加密体制二者联合使用,可以解决电子商务所要求的机密性、真实性、不可否认性等安全要素,达到扬长避短的目的。
2.试述RSA加密算法中密钥的计算方法,并根据该方法计算:(为计算方便)取p=3,q=5,e=3时的一组公式—私钥对。如果明文为7,计算密文。
答: (1)计算方法:
①独立选取两个素数: p 、q ;
②计算n=pq;
③计算小于n并且与n互质的整数的个数?(n)=(p-1)(q-1);
④随机选取加密密钥e;要求e满足1≤e≤?(n),并且和?(n)互质;
⑤最后利用Euclid算法计算解密密钥d,满足ed=1(mod(?(n)));
其中n,d也要互质,e,n为公钥,d为私钥;
(2)计算密钥对∶
n=3×5=15
?(n)=2×4=8
e=3
由ed=1(mod(?(n)))得d=3
(3)计算密文:
当明文为7时,密文为﹙7×7×7﹚mod15=13
附录:
一、不定项选择题:
1.在防火墙技术中,内网这一概念通常指的是( A )
A.受信网络
B.非受信网络
C.防火墙内的网络
D.互联网
2.在目前电子商务的模式之中,交易金额所占比例最大的是( C )。A.B-to-C电子商务 B. B-to-A电子商务
C.B-to-B电子商务 D. C-to-A电子商务
3.电子商务发展中存在的问题不包括( B )。
A.网络基础设施建设问题 B. 网站种类过于繁多
C. 安全问题
D. 商家信誉问题
4.以下哪一项不在证书数据的组成中? ( D )
A.版本信息
B.有效使用期限
C.签名算法
D.版权信息
二、填空题(本大题共10空,每空1分,共10分)
1.电子商务安全的中心内容包括机密性,_完整性_,认证性,_不可否认_,不可拒绝性和访问控制性。
2.CFCA是由_中国人民银行_牵头的、联合14家全国性商业银行共同建立的_国家级权威性金融认证_机构。
3.实现不可否认性从机制上应当完成业务需求分析,证据生成,证据传送,_证据证实_,_证据保存_等业务活动。
4.按寄生方式计算机病毒可分为_文件型_,_引导型_和复合型病毒。
5.数字信封是用__接受方_的公钥加密DES的密钥,该DES密钥是_发送方_随机产生的用来加密消息的密钥。
6.身份证明可以分为身份识别和身份证实两大类。
7.美国的橘黄皮书中为计算机安全的不同级别制定了 4 个标准,其中C2级又称为访问控制保护级。
8.常用的对数据库的加密方法有 3 种,其中与DBMS分离的加密方法是加密桥。
一个身份证明系统一般由3方组成,一方是示证者,另一方是验证者,第三方是可信赖者。
9.电子商务系统中,商务对象的认证性用数字签名和身份认证技术实现。
10.Internet的接入控制主要对付三类入侵者,他们是地下用户、伪装者和违法者。
11.提高数据完整性的预防性措施一般有:镜像技术、故障前兆分析、奇偶校验、隔离不安全的人员和电源保障。
12.CTCA目前提供如下几种证书:安全电子邮件证书、个人数字证书、企业数字证书、服务器数字证书和 SSL服务器。
13.Kerberos服务任务被分配到两个相对独立的服务器:__认证_服务器和__票据授权__服务器,它同时应该连接并维护一个中央数据库存放用户口令、标识等重要信息。
14.接入控制的功能有三个:阻止非法用户进入系统__、__允许合法用户进入系统_和使合法人按其权限进行各种信息活动。
15.IPSec有两种工作模式,分别是_____传输模式_____和____隧道模式______。
16.商务数据的机密性可用_____加密_____和__信息隐匿______技术实现。
17.PKI是基于__数字ID____的,作用就象是一个电子护照,把用户的____数字签名_____绑接到其公钥上。
18.通过一个____密钥_____和__加密算法____可将明文变换成一种伪装的信息。
19.CTCA采用分级管理,由全国CA中心、省____RA中心___和地市级____业务受理点____组成。
美国橘黄皮书中为计算机安全的不同级别制定了4个共____7_____级标准,其中_____D____级为最低级别。
28.IPSec是一系列保护IP通信的规则的集合,它包含__传输模式____与___隧道模式______两种工作模式。
29.证书申请包括了用户证书的申请与商家证书的申请,其申请方式包括__网上申请__和__离线申请____。
30.中国金融认证中心的英文简写为__CFCA____,它是由__中国人名银行___牵头,联合多家商业银行共同建立的国家级权威金融认证机构。
6.在服务器面临的攻击威胁中,攻击者通过控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为___黑客____就是实际的客户端,这种威胁称为_劫持入侵___。
27.根据近代密码学的观点,一个密码系统的安全性取决于对__密钥___的保护,而不取决于对__算法_的保密。
28.在网络连接技术中,从表面上看它类似于一种专用连接,但实际上是在共享网络上实现的,这种连接技术称为__VPN__,它往往使用一种被称作___隧道__的技术。
29.一个典型的CA系统包括安全服务器、注册机构RA、__CA服务器__、__LDAP服务器__和数据库服务器等。
30.SSL就是客户和商家在通信之前,在Internet上建立一个“秘密传输信息的信道”,保障了传输信息的___机密性_、完整性和__认证性_____。
2.试述提高数据完整性的预防性措施。
答:预防性措施是用来防止危及到数据完整性事情的发生。可采用以下措施:
(1)镜像技术。镜橡技术是指将数据原样地从一台设备机器拷贝到另一台设备机器上。
(2)故障前兆分析。有些部件不是一下子完全坏了,例如磁盘驱动器,在出故障之前往往有些征兆,进行故障前兆分析有利于系统的安全。
(3)奇偶校验。奇偶校验也是服务器的一个特性。它提供一种机器机制来保证对内存错误的检测,因此,不会引起由于服务器出错而造成数据完整性的丧失。
(4)隔离不安全的人员。对本系统有不安全的潜在威胁人员,应设法与本系统隔离。
电源保障。使用不间断电源是组成一个完整的服务器系统的良好方案。
3.简述电子商务的安全隐患
答:电子商务系统的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。
(1)数据的安全。一个电子商务系统必然要存储大量的商务数据,这是其运转的核心。一旦发生数据丢失或损坏,后果不堪设想。
(2)交易的安全。这也是电子商务系统所独有的。
4.简述计算机病毒的分类方法
答:(1)按寄生方式分为引导型病毒,文件型病毒和复合型病毒。
(2)按破坏性分为良性病毒和恶性病毒。
实验名称:电子商务安全技术 2010081126 吕吕 一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有: PKI协议:PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议,主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本,正是这一特点使得S-HTTP 与SSL 有了本质上的区别,因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议(SSL):SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。 安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有:
自考电子商务安全导论押密试题及答案(3)第一部分选择题 一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。 1.电子商务,在相当长的时间里,不能少了政府在一定范围和一定程度上的介入,这种模式表示为 ( ) A.B-G B.B-C C.B-B D.C-C 2.在电子商务的安全需求中,交易过程中必须保证信息不会泄露给非授权的人或实体指的是( ) A.可靠性 B.真实性 C.机密性 D.完整性 3.通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为 ( ) A.密钥 B.密文 C.解密 D.加密算法 4.与散列值的概念不同的是 ( ) A.哈希值
B.密钥值 C.杂凑值 D.消息摘要 5.SHA的含义是 ( ) A.安全散列算法 B.密钥 C.数字签名 D.消息摘要 6.《电子计算机房设计规范》的国家标准代码是 ( ) A. GB50174-93 B.GB9361- 88 C. GB2887-89 D.GB50169- 92 7.外网指的是 ( ) A.非受信网络 B.受信网络 C.防火墙内的网络 D.局域网 8.IPSec提供的安全服务不包括 ( ) A.公有性 B.真实性 C.完整性
D.重传保护 9.组织非法用户进入系统使用 ( ) A.数据加密技术 B.接入控制 C.病毒防御技术 D.数字签名技术 10. SWIFT网中采用了一次性通行字,系统中可将通行字表划分成_______部分,每部分仅含半个通行字,分两次送给用户,以减少暴露的危险性。 ( ) A.2 B.3 C.4 D.5 11.Kerberos的域内认证的第一个步骤是 ( ) A. Client →AS B. Client ←AS C.Client AS D.AS Client 12._______可以作为鉴别个人身份的证明:证明在网络上具体的公钥拥有者就是证书上记载的使用者。 ( ) A.公钥对 B.私钥对 C.数字证书
电子商务安全期末复习题(1) 一、单项选择题 1.TCP/IP协议的安全隐患通常不包括( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.防火墙技术中,内网这通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 3.数字签名技术使用几把钥匙进行加解密?( ) A.2把 B.1把 .3把 D.4把 4.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 5.Internet接入控制不能对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 6.CA不能提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 C.安全电子邮件证书 D.SET服务器证书 7.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 8.以下哪一项不在证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 9.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 10. 在对称加密体制中,密钥被分解为一对,一个是公开密钥,一个是私用密钥。 ( ) A、对 B、错 11. 要使网上交易成功,参与交易的人首先要能确认对方的身份,确定对方的真实身份与对方所声称的是否一致。 ( ) A.对 B.错 12.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 C.示证者能够识别验证者 D.验证者正确识别示证者的概率极大化 13.阻止非法用户进入系统使用( ) A.病毒防御技术 B.数据加密技术 C.接入控制技术 D.数字签名技术
实验名称:电子商务安全技术 26 吕吕 一、实验目的: 通过本实验加深对电子商务安全威胁、重要性的理解,了解电子商务安全的措施及相关技术。 二、实验内容: (1)上网搜集电子商务安全威胁的案例,分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个,了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有: PKI协议:PKI是Public Key Infrastructure的缩写,是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心,也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议(S-HTTP):安全超文本传输协议(S-HTTP)是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议,主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本,正是这一特点使得S-HTTP 与SSL 有了本质上的区别,因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息,这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议(SSL):SSL 能使客户机与服务器之间的通信不被攻击者窃听,并且始终保持对服务器进行认证,还可选择对客户进行认证。SSL 建立在TCP 协议之上,它的优势在于与应用层协议独立无关,应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后,应用层协议所传送的数据都会被加密,从而保证了在因特网上通信的机密性。 安全电子交易协议(SET): SET 协议采用了对称密钥和非对称密钥体制,把对称密钥的快速、低成本和非对称密钥的有效性结合在一起,以保护在开放网络上传输的个人信息,保证交易信息的隐蔽性。其采用的核心技术包括:电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有: 加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密
2006年1月 一、单项选择题(本大题共20小题,每小题1分,共20分) 1.保证商业服务不可否认的手段主要是( ) A.数字水印B.数据加密 C.身份认证D.数字签名 2.DES加密算法所采用的密钥的有效长度为( ) A.32 B.56 C.64 D.128 3.在防火墙技术中,我们所说的外网通常指的是( ) A.受信网络B.非受信网络 C.防火墙内的网络D.局域网 4.《电子计算机房设计规范》的国家标准代码是( ) A.GB50174—93 B.GB50174—88 C.GB57169—93 D.GB57169—88 5.通行字也称为( ) A.用户名B.用户口令 C.密钥D.公钥 6.不涉及 ...PKI技术应用的是( ) A.VPN B.安全E-mail C.Web安全D.视频压缩 7.多级安全策略属于( ) A.最小权益策略B.最大权益策略 C.接入控制策略D.数据加密策略 8.商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A.SET标准商户业务规则与SSL标准商户业务规则 B.SET标准商户业务规则与Non-SSL标准商户业务规则 C.SET标准商户业务规则与Non-SET标准商户业务规则 D.Non-SET标准商户业务规则与SSL标准商户业务规则 9.SHECA指的是( ) A.上海市电子商务安全证书管理中心 B.深圳市电子商务安全证书管理中心 C.上海市电子商务中心 D.深圳市电子商务中心 10.以下哪一项是密钥托管技术?( ) A.EES B.SKIPJACK C.Diffie-Hellman D.RSA 11.公钥体制用于大规模电子商务安全的基本要素是( ) A.哈希算法B.公钥证书 C.非对称加密算法D.对称加密算法 1
四、名词解释题 1.计算上安全: 如果一个密码体制对于拥有有限资源的破译者来说是安全的,则称这样的密码体制是计算上安全的,计算上安全的密码表明破译的难度很大。 2.SSL协议: 是基于TCP/IP的安全套接层(Secure Sockets Layer)协议,由Netscape 开发,是服务器与客户机之间安全通信的加密机制,用一个密钥加密在SSL连接上传输的数据。 3.身份证明系统: 身份证明系统由三方组成,一方是出示证件的人,称做示证者,由称申请者,提出某种要求;另一方为验证者,检验示证者提出的证件的正确性和合法性,决定是否满足其要求;第三方示可信赖者,用以调解纠纷。 4.PKI: PKI即“公钥基础设施”,是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范,它能够为所有网络应用提供加密和数字签名等,密码服务及所必要的密钥和证书管理体系。 5.单钥密码体制: 单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时,通信双方A、B必须相互交换密钥,当A发送信息给B时,A 用自己的加密密钥进行加密,而B在接收到数据后,用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。 五、简答题 1.在交易双方的通信过程中如何实现源的不可否认性? (1)源的数字签名; (2)可信赖第三方的数字签名; (3)可信赖第三方对消息的杂凑值进行签名; (4)可信赖第三方的持证; (5)线内可信赖第三方; (6)上述方法的适当组合。 2.电子商务安全的中心内容是什么? (1)商务数据的机密性; (2)商务数据的完整性; (3)商务对象的认证性; (4)商务服务的不可否认性; (5)访问控制性; 3.简述SSL的体系结构。 SSL协议共由四个协议组成,它们是SSL记录协议,SSL更改密码规格协议,SSL警报协议,SSL握手协议。 (1)SSL记录协议,定义了信息交换中所有数据项的格式。其中,MAC是一个定长数据,用于信息的完整性;信息内容是网络的上一层——应用层传来的数据;附加数据是加密后所产生的附加数据。
实验四电子商务安全 一、 1、什么是数字证书 数字证书又称为数字标识(Digital Certificate,Digit al ID)。它提供了一种在Internet上身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件,与司机驾照或日常生活中的身份证相似。在网上进行电子商务、政务活动时,双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。通俗地讲,数字证书就是个人或单位在Internet的身份证。 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥、证书颁发机构的签名. 一个标准的X。509格式数字证书通常包含以下内容:
1.证书的版本信息; 2.证书的序列号(每个证书都有一个唯一的证书序列号); 3.证书所使用的签名算法; 4.证书的发行机构名称(命名规则一般采用X.500格式)及其私 钥的签名; 5.证书的有效期; 6.证书使用者的名称及其公钥的信息. 2、什么是电子签名 电子签名,是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据.所谓数据电文,是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 电子签名同时符合下列条件的,视为可靠的电子签名: (一)电子签名制作数据用于电子签名时,属于电子签名人专 有;(二)签署时电子签名制作数据仅由电子签名人控制;(三)签署后对电子签名的任何改动能够被发现;(四)签署后对数据电文内容和形式的任何改动能够被发现。可靠的电子签名与手写签名或者盖章具有同等的法律效力。 电子签名人,是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人.
《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科,它主要针对翻新的网络破坏和犯罪形式,新的安全技术不断出现和被采用,有力地保障了电子商务的正常开展,本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题,同时涉及交易系统安全管理,介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试,满分100分,考试时间90 分钟。考试试题题型及答题技巧如下: 一、单项选择题(每题2分,共20 分) 二、多选选择题(每题3分,共15 分) 三、名词解释题(每题 5 分,共20 分) 四、简答题(每题9分,共27 分) 答题技巧:能够完整例举出所有答题点,不需要全部展开阐述,适当展开一些,但一定要条理清晰,字迹工整,结构明朗。 五、分析题(每题9 分,共18分) 答题技巧:对所考查的问题进行比较详尽的分析,把握大的方向的同时要尽可能的展开叙述,对问题进行分析,回答问题要全面,同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类(重点掌握):WEB欺骗、网络协议攻击、IP欺骗、远程攻击
2. 电子商务的安全性需求(了解):有效性、不可抵赖性、严密性 3?因特网的主要安全协议(了解):SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术(了解) 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求(重点掌握):有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒(了解) 3. 计算机病毒的传播途径(重点掌握):(1)因特网传播:① 通过电子邮件传播,② 通过浏览网页和下载软件传播,③ 通过及时通讯软件传播;(2)局域网传播;(3)通过不可转移的计算机硬件设备传播;(4)通过移动存储设备传播;(5)无线设备传播。 4. 特洛伊木马种类(重点掌握):破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施(重点掌握):(1)建立良好的安全习惯;(2)关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务;(3)经常升级操作系统的安全补丁;(4)使用复杂的密码;(5)迅速隔离受感染的计算机;(6) 安徽专业的防病毒软件进行全面监控;(7)及时安装防火墙 6.防火墙的类型(重点掌握):包过滤防火强、代理服务器防火墙 7?防火墙的安全业务(重点掌握):用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括(了解):隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成(了解):PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术
电子商务安全导论实践试题及答案 1.简单的加密算法的代码编写(凯撒密码) 2.电子商务安全认证证书的网上申请以及使用说明 3.你使用的机器上本地安全设置中的密码策略如何 4.说明你所使用的机器上的公钥策略基本情况 5.本机IP安全策略中的安全服务器(要求安全设置)属性以及基本情况 6.本机IP安全策略中的客户端(只响应)属性的基本情况 7.本机IP安全策略中的服务器(请求安全设置)属性和基本情况如何(编辑规则常规高级方法) 8.说明智能卡是是如何进行用户鉴别的 9.本机上证书的使用情况 10.上网查询江苏省电子商务安全证书的基本情况 11.说明木马在win.ini条件下的症状如何 12.举例说明你所使用的个人防火墙的功能项目以及使用方法 13.介绍一种你所熟悉的黑客攻击技术 14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题 15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法 解答 《一》简单的加密算法的代码编写(凯撒密码) 凯撒密文的破解编程实现 凯撒密文的破解编程实现 近来安全的发展,对密码学的研究越来越重要,虽然我们现在大多采用的是 非对称密码体制,但是同时由于处理及其它的一些重要原因,对传统密码仍然 是在大量的使用,如移位,替代的基本思想仍然没有改变,我个人认为,将来 的很长时间内,我们必将会花大量的时间对密码学进行研究,从而才能促进我
们的电子政务,电子商务的健康发展,下面我要谈的是对一个古典密码----- 凯撒(kaiser)密码的的解密,也就是找出它的加密密钥,从而进行解密,由于 它是一种对称密码体制,加解密的密钥是一样的,下边简单说明一下加解密 加密过程: 密文:C=M+K (mod 26) 解密过程: 明文:M=C-K (mod 26) 详细过程请参考相关资料 破解时主要利用了概率统计的特性,E字母出现的概率最大。 加密的程序实现我就不说了, 下面重点说一下解密的程序实现:我是用C写的,在VC6.0下调试运行正确 #include"stdio.h" #include"ctype.h" #include"stdlib.h" main(int argc ,char *argv[]) { FILE *fp_ciper,*fp_plain; //密文与明文的文件指针 char ch_ciper,ch_plain; int i,temp=0; //i用来存最多次数的下标 //temp用在求最多次数时用 int key; //密钥 int j; int num[26]; //保存密文中字母出现次数 for(i = 0;i < 26; i++) num = 0; //进行对num[]数组的初始化 printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n"); printf("======================================================\n"); if(argc!=3) { printf("此为KAISER解密用法:[文件名] [密文路径] [明文路径]\n"); printf("如:decryption F:\ciper_2_1.txt F:\plain.txt\n"); } //判断程序输入参数是否正确
电子商务实训报告范文 电子商务实训报告不知道怎么写?下面为大家整理电子商务实训报告范文,希望你能从中获得想要的信息! 电子商务实训报告范文一 一、实训时间 20XX年6月7日-6月10日 二、实训目标和要求 1、加深对电子商务专业基本知识的理解; 2、掌握B2C、B2B、C2C等商务形式的基本操作流程; 3、掌握电子商务中各功能模块的基本功能,使学习者获取丰富的商务管理知识和电子商务操作的感性认识; 4、了解电子商务相关知识的发展动向; 5、熟练运用安全工具保障电子商务活动安全。 三、实训过程和内容 (一)浙科电子商务模拟软件应用 《浙科电子商务模拟教学软件》集培训、教学、实验和实践功能为一体,极大程度的满足了电子商务实践教学的需要。模拟环境包括了BTB、BTC、CTC、BTC和在线拍购几大交易类型。不同角色的学生可以在权限范围内自主操作和使用这些网络平台提供的服务项目,通过通过建立自己的企业,创建企业网站、企业邮箱申请、数字证书申请/安装、EDI申请、产品生产、采购、库存、财务管理、
信息发布、投标、出口、客户管理、事件任务管理、履行合同、金融业务、在线支付、转帐、记帐、出运货物、收货等操作,完成相关业务流程,小秘书的提醒功能,帮助学生及时处理各种业务,从而为自己扮演的角色获得利润或满足需求。主要是在电子商务实训室的模拟平台上面进行的操作,实训过程中我们自主组队,还选了小组长,模拟了B2C、B2B、C2C等商务形式的基本操作,各个成员都扮演不同的角色,刚开始我们都不是很熟练,要做好这些操作也并非一件容易的事,因为这里面每一个细节的操作都是很重要的,稍有错误就完成不了交易。但是我们有不懂的问题都向老师讨教,在老师认真的指导以及我们队员默契的配合下,我们团队都一一克服了困难,我们的操作进步很快,随着一个个角色的成功扮演和一个个流程的顺利操作后,我们都体会到了那份收获的喜悦感。这次的实训,我们学到的不仅仅是专业的理论知识,还体会到了团队精神的重要性,并且熟练地掌握了相关流程,为我们以后更好地学好自己专业打下了良好的基础。 (二)电子商务安全认识 一、从上世纪90开始出现电子商务模式,我国的电子商务取得了快速的发展。子商务的广度和深度空前扩展,已经深入国民经济和日常生活的各个方面。但是,也有一些制约电子商务发展的因素,安全问题就是中之一。安全问题不仅造成巨大的经济损失,而且严重打击人们对电子商务的信心。电子商务的安全认识是我们实训的最后一个内容,通过这个学习的过程,我们基本上熟练地运用了安
2019年10月全国自考电子商务安全导论试题 一、单项选择题: 1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是 A.A、B1、B2、B3、C1、C2、D B.A、B3、B2、B1、C2、C1、D C.D、C1、C2、B1、B2、B3、A D.D、C2、C1、B3、B2、B1、A 2.以下不属于电子商务遭受的攻击是 A.病毒 B.植入 C.加密
D.中断 3.第一个既能用于数据加密、又能用于数字签名的算法是 A. DES B.EES C.IDEA D. RSA 4.下列属于单钥密码体制算法的是 A.RC-5加密算法 B.rs密码算法 C. ELGamal密码体制 D.椭圆曲线密码体制
5.MD5散列算法的分组长度是 A.16比特 B.64比特 C.128比特 D.512比特 6.充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是 A.数字签名 B.数字指纹 C.数字信封 D.数字时间戳 7.《电气装置安装工程、接地装置施工及验收规范》的国家标准代码
是 A.GB50174-93 B.GB9361-88 C.GB2887-89 D.GB50169-92 8.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是 A.0℃-10℃ B.10℃-25℃ C.0℃-25℃ D.25℃-50℃ 9.内网是指
A.受信网络 B.非受信网络 C.防火墙外的网络 D.互联网 10.检查所有进出防火墙的包标头内容的控制方式是 A.包过滤型 B.包检验型 C.应用层网关型 D.代理型 11.对数据库的加密方法通常有多种,以下软件中,属于使用专用加密软件加密数据库数据的软件是 A. Microsoft Access B. Microsoft Excel
一、名词解释 1、网络营销:是企业整体营销的一个组成部分,借助互联网、计算机通信和数字交互式媒体,来满足客户需求,实现企业营销目标的一系列活动。 2、移动电子商务:是指对通过移动网络进行数据传输,并利用手机等移动终端开展各种商业经营活动的一种新电子商务模式。 3、电子钱包:是一种虚拟钱包,它以智能卡为电子支付系统,增加了多种用途,具有信息储存、查询管理、安全密码锁等功能。 4、电子数据交换技术EDI:是一种用于计算机之间商业信息传递的方式,包括买卖双方数据交换,企业内部数据交换等。它将贸易、运输、保险、银行和海关等行业信息,用一种国际公认的标准格式,形式结构化的事务处理报文数据格式,通过计算机通信网络,使有关部门、公司、企业之间进行数据交换与处理,并完成以贸易为中心的企业全部业务过程。(按照协议,对具有一定结构性的标准经济信息,经过电子数据、通信网络,在商业贸易伙伴的电子计算机系统之间进行交换和自动处理) 5、第三方支付系统:指的是与各大银行签约、具备一定实力和信誉保障的第三方独立机构提供的交易支持平台,如为淘宝网交易提供担保的支付宝。 6、DES对称密钥加密: 对称加密,又称私有密钥加密,他又且只有一个密钥,对信息进行加密和解密,加密密钥和解密密钥相同,即K=H。 7、RSA非对称密钥加密:非对称加密体制,这种加密法在加密和解密过程中要使用一对密钥,一个用与加密,另一上用于解密。即通过一个密钥加密的信息,只有使用另一个密钥才能够解密。 8、网上拍卖:是指网络服务商利用internet通信传输技术向商品所有者或某些权益所有人提供有偿或无偿使用的internet技术平台,让商品所有者或某些权益所有人在其平台上独立开展以竞价、议价方式为主的在线交易模式。 9、电子现金:它把现金数值转化为一系列的加密序列数,通过这些序列数来表示现实中各种金额的币值,用户在开展电子现金的银行开设账户并在账户内存钱后,就可以在接受电子现金的商家使用。 10、电子虚拟市场:是指商务活动中的生产者、中间商和消费者在某种程度上以数字方式进行交互式商业活动的市场,是传统实物市场的虚拟形态。 11、不完全电子商务:如果在全部商务活动中,至少有一个或一个以上的业务环节应用了IT技术的商务形态,一般称为不完全电子商务。 12、网络市场调研:就是基于互联网对网络营销决策相关的数据系统地进行计划、收集与分析,并把分析结果向管理者沟通的过程。 13、第三方物流:是指生产经营企业为集中精力搞好主业把原来属于自己处理的物流合同,以合同方式委托给专业物流服务企业,同时通过信息系统与物流服务业保持密切联系,以达到对物流全程的管理和控制的一种物流运作与管理方式。 14、网上拍买:也称反拍卖或标价求购,由卖方出价,卖方成了“买方”,其竞争的是向消费者提供服务的机会,反拍卖具体指消费者提出一个价格范围,求购其一商品,由商家出价,出价可以是公开或隐蔽的。消费者将与出价最低或最近的商家成交。 二、简答 1、网银的特点 1、高安全性:网络安全;通信安全 ;数据安全; 支付安全 2.方便,用户不受空间、时间的限制,享受每天24小时的不间断服务,即实现3A服务
实验一数字证书 一、实验目的及要求 1.了解数字证书的作用; 2.了解数字证书的种类; 3.明确认证中心和数字证书的作用; 4.理解CPS,下载安装根证书。 二、实验内容与步骤 1、登录上海市数字证书认证中心https://www.doczj.com/doc/bd10631317.html,,了解上海市数字认证中心提供的数字证书种类并了解个人证书的申请流程; 2、下载电子认证业务规则(CPS)和证书策略并阅读; 3、下载根证书; 4、安装根证书; 5、查看根证书; 6、回答下列问题。 1)上海市数字认证中心提供哪些数字证书种类? 2)上海市数字认证中心的个人证书的申请流程是怎样的? 3)电子认证业务规则 (CPS)和证书策略有什么作用? 其他数字认证网: 上海市数字证书认证中心:https://www.doczj.com/doc/bd10631317.html, 中国数字认证网:https://www.doczj.com/doc/bd10631317.html, 天威诚信网站:https://www.doczj.com/doc/bd10631317.html, 中国金融认证网:https://www.doczj.com/doc/bd10631317.html, 中国电子邮政安全证书管理中心:https://www.doczj.com/doc/bd10631317.html,/ca/index.htm 北京数字证书认证中心:https://www.doczj.com/doc/bd10631317.html, 广东省电子商务认证中心:https://www.doczj.com/doc/bd10631317.html, 实验二安全电子邮件 一、实验目的及要求 1、了解个人数字证书在发送和接受安全电子邮件中的应用 2、掌握Outlook Express等邮件客户端软件中配置数字证书的使用方法 3、掌握利用个人数字证书收发签名邮件和加密邮件的方法 二、实验内容与步骤(各步骤需附操作结果截图) 1、登录上海市数字证书认证中心https://www.doczj.com/doc/bd10631317.html,,,申请并下载一个免费的个人安全电子邮件数字证书。 2、按上一步得到的数字证书,在IE浏览器中进行数字证书的安装操作(注意:首先完成根证书安装)。 3、将安装好的个人数字证书及私钥以默认格式的文件导出备份至U盘中。 4、将U盘中的人数字证书及私钥一起倒入IE浏览器中。
绝密★考试结束前 全国2013年10月高等教育自学考试 电子商务安全导论试题 课程代码:00997 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项: 1.答题前,考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2.每小题选出答案后,用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动,用橡皮擦干净后,再选涂其他答案标号。不能答在试题卷上。 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其选出并将“答题纸” 的相应代码涂黑。错涂、多涂或未涂均无分。 1.病毒按破坏性划分可以分为 A.良性病毒和恶性病毒B.引导型病毒和复合型病毒 C.文件型病毒和引导型病毒D.复合型病毒和文件病毒 2.在进行身份证明时,用个人特征识别的方法是 A.指纹B.密码 C.身份证D.密钥 3.下列选项中,属于电子邮件的安全问题的是 A.传输到错误地址B.传输错误 C.传输丢失D.网上传送时随时可能被人窃取到 4.RC-5加密算法中的可变参数不包括 ... A.校验位B.分组长 C.密钥长D.迭代轮数 5.一个明文可能有多个数字签名的算法是 00997# 电子商务安全导论试题第1页共5页
A.RSA B.DES C.Rabin D.ELGamal 6.数字信封技术中,加密消息密钥形成信封的加密方法是 A.对称加密B.非对称加密 C.对称加密和非对称加密D.对称加密或非对称加密 7.防火墙的组成中不包括 ...的是 A.安全操作系统B.域名服务 C.网络管理员D.网关 8.下列选项中,属于加密桥技术的优点的是 A.加密桥与DBMS是不可分离的B.加密桥与DBMS是分离的 C.加密桥与一般数据文件是不可分离的D.加密桥与数据库无关 9.在不可否认业务中保护收信人的是 A.源的不可否认性B.提交的不可否认性 C.递送的不可否认性D.A和B 10.为了在因特网上有一种统一的SSL标准版本,IETF标准化的传输层协议是 A.SSL B.TLS C.SET D.PKI 11.能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是 A.CFCA B.CTCA C.SHECA D.PKI 12.下列选项中,属于中国电信CA安全认证系统结构的是 A.地市级CA中心B.地市级RA中心系统 C.省CA中心D.省RA中心系统 13.美国的橘黄皮书中为计算机安全的不同级别制定了D,Cl,C2,Bl,B2,B3,A标准,其中称为结构化防护的级别是 A.B1级B.Cl级 C.B2级D.C2级 14.下列选项中,属于提高数据完整性的预防性措施的是 A.加权平均B.信息认证 C.身份认证D.奇偶校验 00997# 电子商务安全导论试题第2页共5页
电子商务安全技术试卷
————————————————————————————————作者:————————————————————————————————日期:
XX 大学2009-2010学年第一学期考试试卷 电子商务安全技术 注意事项: 1. 请考生按要求在试卷装订线内填写姓名、学号和年级专业。 2. 请仔细阅读各种题目的回答要求,在规定的位置填写答案。 3. 不要在试卷上乱写乱画,不要在装订线内填写无关的内容。 4. 满分100分,考试时间为120分钟。 题 号 一 二 三 四 总 分 统分人 得 分 一、填空题(共10分,每空1分): 1.电子商务安全从整体上分为( )和电子商务交易安全两大部分。 2.所谓加密,就是用基于( )方法的程序和保密的密钥对信息进行编码,把明文变成密文。 3.密码体制从原理上可分为单钥体制和( )。 4.链路-链路加密中,由于传送的信息在每个节点处都将以( )形式存在,故要加强每个节点的实体安全。 5. 电子商务活动是需要诚信的,如何来确定交易双方的身份就显得特别重要。目前,是通过认证中心(CA )发放( )来实现的。 6. 数字证书是利用数字签名和( )来分发的。 7. ( )允许一台机器中的程序像访问本地服务器那样访问远程另一台主机中的资源。 8. 分布式防火墙是一种( )的安全系统,用以保护企业网络中的关键节点服务器、数据及工作站免受非法入侵的破坏。 9. ( )又称灾难恢复,是指灾难产生后迅速采取措施恢复网络系统的正常运行。 得 分 评分人
10. 信息安全等级的具体划分主要从信息完整性、保密性和( )三个方面 综合考虑 。 二、判断题(共10分,每题1分) 1.故意攻击网站触发安全问题,以此来研究新的安全防范措施是对电子商务安全善意 的攻击。 ( ) 2.分组密码是一种重要的对称加密机制,它是将明文按一定的位长分组,输出不定长 度的密文。 ( ) 3.在代理多重签名中,一个代理签名可以代表多个原始签名人。 ( ) 4.数字签名使用的是发送方的密钥对,发送方用自己的私有密钥进行加密,接受方用 发送方的公开密钥进行解密。 ( ) 5.SSL 建立在TCP 协议之上,它与应用层协议独立无关,应用层协议能透明地建立于 SSL 协议之上。 ( ) 6.认证机构CA 和注册机构RA 都可以发放数字证书。 ( ) 7.实现防火墙的网络安全策略时,可以遵循的两条原则是:一是未被明确允许的一定 都将被禁止;二是未被明确禁止的未必都被允许。 ( ) 8.不连网的计算机不会感染计算机病毒。 ( ) 9.为了确保系统管理人员的忠诚可靠,系统管理的工作应当长期由一人来负责。( ) 10.计算机信息媒体出入境的普遍办理过程一般为先申报,后检测,最后报送。 ( ) 三、选择题(共40分,每小题2分) 1. 软件开发人员为了方便,通常也会在软件里留下“后门”,通过在后门里植入 ( ),很容易就可获取用户隐私。 A.木马程序 B.反击程序 C.跟踪程序 D.蠕虫程序 2.确保交易信息的真实性和交易双方身份的合法性是电子商务安全需求中的 ( ) A 、不可否认性 B 、完整性 C 、认证性 D 、保密性 3. 小雪想要加密一封E-mail 发给她的朋友小刚。为了只让小刚看到这封信,她需要用 什么来加密 ( ) A 、她的公钥 B 、她的私钥 C 、小刚的公钥 D 、小刚的私钥 4. 下列对于数字签名要求的说法中,不正确的是 ( ) A 、收方能够确认或证实发方的签名,但不能伪造 得 分 评分人 得 分 评分人
全国2010年1月高等教育自学考试 电子商务安全导论试题 课程代码:00997 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 l.美国的橘皮书中计算机安全B级的子级中,从高到低依次是() A.Bl B2 B.B2 B1 C.B1 B2 B3 D.B3 B2 B1 2.现在常用的密钥托管算法是() A.DES算法 B.EES算法 C.RAS算法 D.SHA算法 3.SHA算法输出的哈希值长度为() A.96比特 B.128比特 C.160比特 D.192比特 4.使用数字摘要和数字签名技术不.能.解决的电子商务安全问题是() A.机密性 B.完整性 C.认证性 D.不可否认性 5.在服务器中经常使用偶数块硬盘,通过磁盘镜像技术来提升系统的安全性,这种磁盘冗余技术称为() A.RAID 0 B.RAID 1 C.RAID 3 D.RAID 5 6.防火墙技术中处理效率最低的是() A.包过滤型 B.包检验型 C.应用层网关型 D.状态检测型 7.目前,对数据库的加密方法主要有() A.2种 B.3种 C.4种 D.5种 8.身份证明系统的质量指标中的II型错误率是() A.通过率 B.拒绝率 C.漏报率 D.虚报率 9.在对公钥证书格式的定义中已被广泛接受的标准是() A.X.500 B.X.502 C.X.509 D.X.600 10.使用者在更新自己的数字证书时不可以 ...采用的方式是() A.电话申请 B.E-Mail申请 C.Web申请 D.当面申请 11.在PKI的构成模型中,其功能不包含 ...在PKI中的机构是() A.CA B.ORA C.PAA D.PMA 12.用于客户——服务器之间相互认证的协议是()
1.MAC:由只有通信双方知道的秘密密钥K来控制的消息的散列值。 2.数字信封:用对称密码体制的密钥加密明文,而用公钥密码体制的公钥加密这个对称密钥。 3.数字证书:就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件,其中CA的数字签名可以确保用户公钥的真实性。 4.PKI:公钥基础设施通常简称PKI。所谓PKI就是一个以公钥技术为基础的,提供和实施安全服务的具有普适性的安全基础设施。 5.PDRR:电子商务安全是在安全策略的指导下,由保护、检测、响应和恢复四个环节组成. 6.SQL注入攻击:攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码,作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。特点:广泛性、技术难度不高、危害性大。 7.VPN:虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来,或将一个或多个远程用户与内部网络安全的连接在一起,从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来,构成一个扩展了的企业内部网。 8.单点登录技术:简称SSO,是指用户只需向网络进行一次身份认证,以后再无需另外验证身份,便可访问所有被授权的网络资源。 9.替代和置换:假设明文消息中的每个字母不是同时移动相同的位数,而是根据一张替代表使用随机替换,则在一个明文消息中,每个A可以替换成B~Z中的任意字母,B也可以替换成A或C~Z中的任意字母。置换密码通过改变明文消息中各元素出现的相对位置,但明文消息元素本身的取值不变。 乘积密码:是以某种方式连续执行两个或多个密码交换。 10.IPSec协议主要功能:①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性 11.电子支付的支付方式:电子现金、电子支票、电子信用卡,微支付 1.电子商务安全要素:机密性(信息不被泄露给非授权用户)、完整性(信息是未被篡改的)、不可抵赖性(信息的收发双方不能否认曾经受发过信息)、即时性(在规定的时间内完成服务)、真实性(确保对方的真实信息和身份的来源是真的)、访问控制(对访问者访问资源时的权限控制)、可用性(访问者需要的时候是可用的)。 2.电子商务面临的安全威胁:中断、截获、篡改、伪造、抵赖。 3.风险管理定义和过程:风险管理由风险评估、风险处理、基于风险的决策组成。风险评估将全面评估企业的资产、威胁、脆弱性以及现有的安全措施,分析安全事件发生的可能性以及可能的损失,从而确定企业的风险,并判断风险的优先级,建议处理风险的措施。基于风险评估的结果,风险处理过程将考察企业安全措施的成本,选择合适的方法处理风险,将风险控制在可接受的程度。基于风险的决策旨在由企业的管理者判断残余的风险是否处在可接受的水平之内,基于这一判断,管理者将作出决策,决定是否进行某项电子商务活动。 4.安全等级和对应的操作系统:类别有ABCD,级别和对应的操作系统分别为A、B1、B2、B3、C1 (Windows 9x系列)、C2 (Windows 2000)、D(Windows 2003及Unix、MS-DOS)。 5.数据加密标准DES:DES是一种分组密码算法,它将明文从算法的一端输入,将密文从另一端输出。由于采用的是对称密钥,因此加密和解密使用相同的算法和密钥,并且加密和解密算法是公开的,系统的安全性完全依赖于密钥的保密。 6.DES加密过程:DES是一个分组加密算法①输入64比特明文数据②初始置换IP③在密钥控制下16轮迭代④交换左右32比特⑤初始逆置换IP1 ⑥输出64比特密文数据 7.异常检测与误用检测的区别:异常检测假设所有的入侵行为和正常行为不同,入侵是异常行为的子集。异常检测系统通过监控程序监控用户的行为,将当前主题的活动情况与用户轮廓进行比较,用户轮廓通常定义为各种行为参数及其阈值的集合,用于描述正常行为范围。误用检测是对已知的入侵行为和系统漏洞进行分析,研究入侵行为过程和系统漏洞的特征,对这些已知的攻击或入侵做出正确性的描述,用一种模式表示出来,形成入侵行为特征库。
做试题,没答案?上自考365,网校名师为你详细解答! 全国2010年10月自学考试电子商务安全导论试题及答案 课程代码:00997 一、单项选择题(本大题共20小题,每小题1分,共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.计算机安全等级中,C2级称为() A.酌情安全保护级 B.访问控制保护级 C.结构化保护级 D.验证保护级 2.在电子商务的发展过程中,零售业上网成为电子商务发展的热点,这一现象发生在 ()A.1996年 B.1997年 C.1998年 D.1999年 3.电子商务的安全需求中,保证电子商务系统数据传输、数据存储的正确性的根基是 ()A.可靠性 B.完整性 C.真实性 D.有效性 4.最早提出的公开的密钥交换协议是() A.Blom B.Diffie-Hellman C.ELGamal D.Shipjack 5.ISO/IEC9796和ANSI X9.30-199X建议的数字签名的标准算法是() A.HA V AL B.MD-4 C.MD-5 D.RSA 6.发送方使用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,这种技术称为() A.双重加密 B.数字信封 C.双联签名 D.混合加密 7.在以下主要的隧道协议中,属于第二层协议的是() 1 全国2010年10月自学考试电子商务安全导论试题
全国2010年10月自学考试电子商务安全导论试题 2 A.GRE B.IGRP C.IPSec D.PPTP 8.使用专有软件加密数据库数据的是( ) A.Access B.Domino C.Exchange D.Oracle 9.在下列选项中,不是..每一种身份证明系统都必须要求的是( ) A.不具可传递性 B.计算有效性 C.通信有效性 D.可证明安全性 10.Kerberos 的局限性中,通过采用基于公钥体制的安全认证方式可以解决的是( ) A.时间同步 B.重放攻击 C.口令字猜测攻击 D.密钥的存储 11.在下列选项中,不属于...公钥证书的证书数据的是( ) A.CA 的数字签名 B.CA 的签名算法 C.CA 的识别码 D.使用者的识别码 12.在公钥证书发行时规定了失效期,决定失效期的值的是( ) A.用户根据应用逻辑 B.CA 根据安全策略 C.用户根据CA 服务器 D.CA 根据数据库服务器 13.在PKI 的性能要求中,电子商务通信的关键是( ) A.支持多政策 B.支持多应用 C.互操作性 D.透明性 14.主要用于购买信息的交流,传递电子商贸信息的协议是( ) A.SET B.SSL C.TLS D.HTTP 15.在下列计算机系统安全隐患中,属于电子商务系统所独有的是( ) A.硬件的安全 B.软件的安全 C.数据的安全 D.交易的安全 16.第一个既能用于数据加密、又能用于数字签名的算法是( ) A.DES B.EES C.IDEA D.RSA 17.在下列安全鉴别问题中,数字签名技术不能..解决的是( )