2006年1月电子商务安全导论试题

高等教育自学考试电子商务安全导论试题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

错涂、多涂或未涂均无分。

1．美国的橘皮书中为计算机安全的不同级别制定了4个标准：A、 B、C、D级，其中B级又分为B1、B2、B3三个子级，C级又分为C1、C2两个子级。

以下按照安全等级由低到高排列正确的是A.A、B1、B2、B3、C1、C2、DB.A、B3、B2、B1、C2、Cl、DC.D、Cl、C2、B1、B2、B3、AD.D、C2、C1、B3、B2、Bl、A2.在维护系统的安全措施中，保护数据不被未授权者建立的业务是A.保密业务B.认证业务C.数据完整性业务D.不可否认业务3.Diffie与Hellman早期提出的密钥交换体制的名称是A.DESB.EESC.RSAD.Diffie-Hellman4.以下加密体制中，属于双密钥体制的是A.RSAB.IDEAC.AESD.DES5.对不知道内容的文件签名称为A.RSA签名B.ELgamal签名C.盲签名D.双联签名6.MD5散列算法的分组长度是A.16比特B.64比特C.128比特D.512比特7.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72：97)的要求，设备间室温应保持的温度范围是A.0℃-10℃B.10℃-25℃C.0℃-25℃D.25℃-50℃8.通过公共网络建立的临时、安全的连接，被称为A.EDIB.DSLC.VLND.VPN9.检查所有进出防火墙的包标头内容的控制方式是A.包过滤型B.包检验型C.应用层网关型D.代理型10.在接入控制策略中，按主体执行任务所知道的信息最小化的原则分配权力的策略是A.最小权益策略B.最大权益策略C.最小泄露策略D.多级安全策略11.Microsoft Access数据库的加密方法属于A.单钥加密算法B.双钥加密算法C.加密桥技术D.使用专用软件加密数据12.Kerberos域内认证过程的第一个阶段是A.客户向AS申请得到注册许可证B.客户向TGS申请得到注册许可证C.客户向Server申请得到注册许可证D.客户向Workstation申请得到注册许可证13.Kerberos域间认证分为4个阶段，其中第3阶段是（～代表其它Kerberos的认证域）14.证明双钥体制中公钥的所有者就是证书上所记录的使用者的证书是A.双钥证书B.公钥证书C.私钥证书D.CA证书15.通常将用于创建和发放证书的机构称为A.RAB.LDAPC.SSLD.CA16.在PKI的构成中，负责制定整个体系结构的安全政策的机构是A.CAB.PAAC.OPAD.PMA17.在Internet上建立秘密传输信息的信道，保障传输信息的机密性、完整性与认证性的协议是A.HTTPB.FTPC.SMTPD.SSL18.在SET协议中用来确保交易各方身份真实性的技术是A.加密方式B.数字化签名C.数字化签名与商家认证D.传统的纸质上手工签名认证19.牵头建立中国金融认证中心的银行是A.中国银行B.中国人民银行C.中国建设银行D.中国工商银行20.CFCA推出的一套保障网上信息安全传递的完整解决方案是A.TruePassB.EntelligenceC.DirectD.LDAP二、多项选择题（本大题共5小题，每小题2分，共10分）在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

全国高等教育自学考试电子商务安全导论标准预测试卷（一）（考试时间150分钟）第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1.在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为（）A.植入B.通信监视C.通信窜扰来源：考试大D.中断2.消息传送给接收者后，要对密文进行解密是所采用的一组规则称作（）A.加密B.密文C.解密D.解密算法3.基丁•有限域上的离散对数问题的双钥密码体制是（）A.ELGamalB. AESC. IDEAD. RS A4.MD・5是_____ 轮运算，各轮逻辑函数不同。

（）A.2B. 3C・ 4D. 55.在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是（）A.单独数字签名B. RSA签名C.ELGamal签名D.无可争辩签名6.《计算机厉场、地、站技术要求》的国家标准代码是（）A.GB50174- 93B.GB9361- 88C. GB2887-89D.GB50I69 - 927.综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是（）A.IPSccB. L2TPC. VPND. GRE8.VPN按服务类型分类，不包括的类型是（）A. Internet VPNB.Access VPNC. Extranet VPND.Intranet VPN9.接入控制机构的建立主要根据_______ 种类型的信息。

（）A.二B.三C.四D.五10. _____________________________________________ 在通行字的控制措施中，根通行字要求必须采用______________________________________ 进制字符。

（）A. 2B. 8C. 10D. 1611.以下说法不正确的是（）A.在各种不用川途的数字证书类型中最垂要的是私钥证书B.公钥证书是山证书机构签署的，其中包含有持证者的确切身份C.数字证书由发证机构发行D.公仞证书是将公钥体制用于大规模电子商务安全的基本要素12.以下说法不正确的是（）A.RSA的公钥一私钥对既可用于加密，乂可用于签名B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密川密钥的长度要比签名用的密钥长D.并非所有公钥算法都具有RSA的特点13.______ 是整个CA证书机构的核心，负责证书的签发。

电子商务安全导论 (13) 目录1. 引言1.1 背景1.2 定义2. 电子商务安全的重要性2.1 数据隐私与保护2.2 交易安全性2.3 网络威胁与防范3. 电子商务安全的核心概念3.1 认证与授权3.2 数据加密与解密3.3 安全漏洞与风险评估3.4 安全监控与报告4. 电子商务安全的关键技术4.1 公钥基础设施（PKI）4.2 数字签名与证书4.3 传输层安全协议（TLS）4.4 常用加密算法与协议5. 数据隐私与保护措施5.1 隐私政策与合规5.2 个人身份信息（PII）保护5.3 数据备份与恢复6. 交易安全性保障6.1 支付安全措施6.2 电子商务平台安全6.3 信用卡安全性7. 网络威胁与防范7.1 恶意软件与7.2 网络钓鱼与网络钓鱼7.3 网络攻击与防御8. 法律法规与电子商务安全 8.1 信息安全法律法规8.2 数据保护法案8.3 电子签名法律规定9. 电子商务安全管理9.1 安全策略与规划9.2 网络安全意识教育培训 9.3 安全事件响应与处置10. 结论10.1 电子商务安全的未来发展趋势10.2 本文总结附件：本文档涉及的相关案例分析和实践经验。

法律名词及注释：1. 信息安全法律法规：是指国家关于互联网安全、网络安全、信息安全方面的法律及相关规定。

2. 数据保护法案：是指针对个人隐私数据进行保护的法律法规，以保护用户数据的安全性和隐私权利。

3. 电子签名法律规定：是指国家对电子签名的使用和认可进行法律约束和规范的相关规定。

电子商务安全导论简单题第一篇：电子商务安全导论简单题1、简述橘黄皮书制定的计算机安全等级内容制定了4个标准，由低到高为D，C，B，AD级暂时不分子级，B级和C级是常见的级别。

每个级别后面都跟一个数字，表明它的用户敏感程度，其中2是常见的级别C级分C1和C2两个子级，C2比C1提供更多的保护，C2要求又一个登录过程，用户控制指定资源，并检查数据追踪B级分B1、B2、B3三个子级，由低到高，B2要求有访问控制，不允许用户为自己的文件设定安全级别A级为最高级，暂时不分子级，是用户定制的每级包括它下级的所有特性，这样从低到高是D，C1，C2，C3，B1，B2，B3，A2、简述web站点可能遇到的安全威胁？安全信息被破译非法访问交易信息被截获软件漏洞被利用当CGI脚本编写的程序或其他涉及远程用户从浏览器输入表格并进行像检索之类在主机上直接执行命令时，会给web主机系统造成危险3、论述产生电子商务安全威胁的原因P13在因特网上传输的信息，从起点到目标结点之间的路径是随机选择的，此信息在到达目标之前会通过许多中间结点，在任一结点，信息都有可能被窃取、篡改或删除。

Internet在安全方面的缺陷，包括 Internet各环节的安全漏洞外界攻击，对Internet的攻击有截断信息、伪造、篡改、介入局域网服务和相互信任的主机安全漏洞设备或软件的复杂性带来的安全隐患 TCP/IP协议及其不安全性，IP协议的安全隐患，存在针对IP的拒绝服务攻击、IP的顺序号预测攻击、TCP劫持入侵、嗅探入侵HTTP和web的不安全性E-mail、Telnet及网页的不安全，存在入侵T elnet会话、网页作假、电子邮件炸弹我国的计算机主机、网络交换机、路由器和网络操作系统来自国外受美国出口限制，进入我国的电子商务和网络安全产品是弱加密算法，先进国家早有破解的方法4、通行字的控制措施系统消息限制试探次数通行字有效期双通行字系统最小长度封锁用户系统根通行字的保护系统生成通行字通行字的检验5、对不同密钥对的要求P113答：（1）需要采用两个不同的密钥对分别作为加密/解密和数字签名/验证签名用。

一、不定项选择题（有一个或多个答案：）（每空2分，共20分）1.在防火墙技术中，内网这一概念通常指的是( A )A.受信网络 B .非受信网络C.防火墙内的网络 D .互联网2.电子商务系统可能遭受的攻击有( ABCDE )A.系统穿透D.通信监视B .植入 C.违反授权原则E .计算机病毒3.目前比较常见的备份方式有( ABCDE )A．定期磁带备份数据B．远程磁带库备份C．远程数据库备份D．网络数据镜像E．远程镜像磁盘4.防火墙的基本组成有( ABCDE )A．安全操作系统B．过滤器C．网关D．域名服务E．E-mail 处理5.在认证机构介入的网络商品销售的过程中，认证中心需要对参与网上交易的（ABD ）进行身份认证。

A．消费者 B ．商家C．邮政系统 D ．银行6.在目前电子商务的模式之中，交易金额所占比例最大的是（ C ）。

A．B-to-C 电子商务 B ． B-to-A 电子商务C．B-to-B 电子商务 D ． C-to-A 电子商务7．电子商务发展中存在的问题不包括（ B ）。

A．网络基础设施建设问题 B. 网站种类过于繁多C. 安全问题D. 商家信誉问题8.以下哪一项不．在．证书数据的组成中? ( D )A.版本信息C.签名算法9.SET 要达到的主要目标有( ACDE )B .有效使用期限D..版权信息A.信息的安全传输B.证书的安全发放C.信息的相互隔离D.交易的实时性E.多方认证的解决10.一个完整的商务活动，必须由（ABCD ）几个流动过程有机构成。

A．信息流B．商流C．货币流D．物流二、填空题：（每题2分，共10分）1.SSL 可用于保护正常运行于TCP 上的任何应用协议，如_HTTP 、 FTP 、SMTP 或Telnet 的通信。

2. VP N 利用 隧道 协议在网络之间建立一个 _虚拟 _____ 通_ 道，以完成数据信息的安全传输。

3.PKI 提供电子商务的基本 安全_____需求，是基于_数字证书 ______ 的。

第一章电子商务安全基础1、电子商务：是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务.10、电子商务系统可能遭受的攻击：1)系统穿透2)违反授权原则3)植入4)通信监视5)通信窜扰6)中断7)拒绝服务8)否认9)病毒电子商务安全的中心内容：1）机密性2）完整性3）认证性4）不可否认性5）不可拒绝性6）访问的控制性7）其它11、商务数据的机密性：或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织, 或者经过加密伪装后, 使未经授权者无法了解其内容。

机密性可用加密和信息隐匿技术实现.12、商务数据的完整性：或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

简单地说,数据的完整性就是接收端收到的信息与发送端的一致。

13、商务对象的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。

认证性用数字签名和身份认证技术实现。

14、商务服务的不可否认性：是指信息的发送方不能否认已发送的信息, 接受方不能否认已收到的信息,这是一种法律有效性要求。

不可否认性采用数字签名技术实现。

15、商务服务的不可拒绝性：或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。

可用性的不安全是指”延迟”的威胁或”拒绝服务”的威胁。

16、访问的控制性：是指在网络上限制和控制通信链路对主机系统和应用的访问,用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

17、对Internet的攻击有四种类型：1）截断信息: 对服务的可用性进行攻击伪造: 对信息的机密性、完整性、认证性进行攻击。

2）篡改: 对信息的机密性、完整性、认证性进行攻击。

3）介入: 对信息的机密性进行攻击,是一种被动攻击18、IP协议的安全隐患：A.针对IP的”拒绝服务”攻击B.IP地址的顺序号预测攻击C.TCP协议劫持入侵D.嗅探入侵第二章电子商务安全需求与密码技术19、电子商务的安全需求：1）可靠性2）真实性3）机密性4）完整性5）有效性6）不可抵赖性7）内部网的严密性20、单钥密码体制的加解密过程：1）发送方用自己的私有密钥对要发送的信息进行加密2）发送方将加密后的信息通过网络传送给接收方3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文21、单钥密码体制的特点：优点:加密和解密的速度快,效率高；缺点:密钥管理困难,不适应互联网大规模应用环境。

电子商务安全导论模拟试题及答案(四)————————————————————————————————作者：————————————————————————————————日期：2第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1．电子商务，在相当长的时间里，不能少了政府在一定范围和一定程度上的介入，这种模式表示为( )A．B-G B．B-CC．B-B D．C-C2．在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是( )A．可靠性B．真实性C．机密性D．完整性3．通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为( )A．密钥B．密文C．解密D．加密算法4．与散列值的概念不同的是( )A．哈希值B．密钥值C．杂凑值D．消息摘要5．SHA的含义是( )A．安全散列算法B．密钥C．数字签名D．消息摘要6．《电子计算机房设计规范》的国家标准代码是( )A. GB50174-93B.GB9361- 88C. GB2887-89D.GB50169- 927．外网指的是( )A.非受信网络B．受信网络C．防火墙内的网络D．局域网8．IPSec提供的安全服务不包括( )A．公有性B．真实性C．完整性D．重传保护9．组织非法用户进入系统使用( )A．数据加密技术B．接入控制C．病毒防御技术D．数字签名技术10. SWIFT网中采用了一次性通行字，系统中可将通行字表划分成_______部分，每部分仅含半个通行字，分两次送给用户，以减少暴露的危险性。

( )A．2 B．3C．4 D．511．Kerberos的域内认证的第一个步骤是( )A. Client →ASB. Client ←ASC．Client AS D．AS Client12．_______可以作为鉴别个人身份的证明：证明在网络上具体的公钥拥有者就是证书上记载的使用者。

第一章1.电子商务系统可能遭受的攻击①系统穿透：未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改、窃取机密信息、非法使用资源等。

②违反授权原则：一个被授权进入系统做某件事的用户，在系统中做未经授权的其他事情。

③植入：在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，为其以后攻击系统提供方便条件。

④通信监视：这是一种在通信过程中从信道进行搭线窃听的方式。

⑤通信窜扰：攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的内容，修正信息次序、时间(延时和重放)，注入伪造信息。

⑥中断：对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。

⑦拒绝服务：指合法接入信息、业务和其他资源受阻。

⑧否认：一个实体进行某种信息通信或交易活动，稍后否认曾进行过这一活动，不管着中国行为是有意的还是无意的，一旦出现再要解决双方的争执就不太容易。

⑨病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且internet的出现又促进了病毒制造者之间的交流，使新病毒层出不穷，杀伤力也大有提高。

2.电子商务安全的中心内容：机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。

商务数据的机密性或称保密性：是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露未未经授权的人或组织，或者进过加密伪装后，使未经授权者无法了解其内容。

商务数据的完整性或称正确性：是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

商务数据的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者所声称身份的真伪，防止伪装攻击。

认证性用数字签名和身份认证技术实现。

商务服务的不可否认性：是指信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息，这是一种法律有效性要求。

商务服务的不可拒绝性或称可用性：是保证授权用户在正常访问信息或资源时不被拒绝，即保证为用户提供稳定的服务。

全国高等教育自学考试电子商务安全导论标准预测试卷（一）（考试时间150分钟）第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1．在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为 ( )A．植入 B．通信监视 C．通信窜扰来源：考试大D．中断2．消息传送给接收者后，要对密文进行解密是所采用的一组规则称作 ( )A．加密 B．密文 C．解密 D．解密算法3．基于有限域上的离散对数问题的双钥密码体制是 ( ) A．ELGamal B．AES C．IDEA D．RSA4．MD-5是_______轮运算，各轮逻辑函数不同。

( )A．2 B．3 C．4 D．55．在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是 ( )A．单独数字签名 B．RSA签名C．ELGamal签名 D．无可争辩签名6．《计算机房场、地、站技术要求》的国家标准代码是 ( )A. GB50174- 93B.GB9361- 88C. GB2887-89D.GB50169 - 927．综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是 ( )A．IPSec B．L2TP C．VPN D．GRE8．VPN按服务类型分类，不包括的类型是 ( )A. Internet VPNB.Access VPNC. Extranet VPND.Intranet VPN9．接入控制机构的建立主要根据_______种类型的信息。

( ) A．二 B．三 C．四 D．五10.在通行字的控制措施中，根通行字要求必须采用_______进制字符。

( )A．2 B．8 C．10 D．1611.以下说法不正确的是 ( )A.在各种不用用途的数字证书类型中最重要的是私钥证书B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份C．数字证书由发证机构发行D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素12.以下说法不正确的是 ( )A. RSA的公钥一私钥对既可用于加密，又可用于签名B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C．一般公钥体制的加密用密钥的长度要比签名用的密钥长D．并非所有公钥算法都具有RSA的特点13. _______是整个CA证书机构的核心，负责证书的签发。

电子商务安全导论，填空题。

1.出现网上商店等后，就有了B-C模式，即（企业）与（消费者）之间的电子商务。

2.典型的两类自动密钥分配途径有（集中式）分配方案和（分布式）分配方案。

3.一个好的散列函数h=H(M)，其中H 为（散列函数）；M为长度不确定的输入串；h为（散列值），长度是确定。

4.数据库的加密方法有（三）种，其中，与DBMS分离的加密方法是（加密桥技术）。

5.公钥证书系统由一个（证书机构CA）和（一群用户）组成。

6.最早的电子商务模式出现在（企业）、（机构）之间，即B-B。

7.目前有三种基本的备份系统：简单的网络备份系统、（服务器到服务器的备份）和（使用专用的备份的服务器）。

8.身份证明系统的质量指标之一为合法用户遭拒绝的概率，即（拒绝率）或（虚拟率）。

9.基于SET协议电子商务系统的业务过程可分为（注册登记申请数字证书）、（动态认证）和商业机构的处理。

10.CTCA系统由（全国CA中心）、（省RA中心系统）、地市级业务受理点组成。

11.多层次的密钥系统中的密钥分为两大类：（数据）加密密钥DK和（密钥）加密密钥KK。

12.病毒的特征包括非授权可执行性、（隐蔽性）、（传染性）、潜伏性、表现性或破坏性、可触发性。

13.VPN解决方案一般分为VPN（服务器）和VPN（客户端）。

14.身份证明技术，又称（识别）、（实体认证）、身份证实等。

15.密钥备份与恢复只能针对（解密密钥）、（签名私钥）为确保其唯一性而不能够作备份。

16.现在广为人们知晓的（传输控制）协议TCP和（网际）协议IP，常写为TCP/IP。

17.计算机病毒具有正常程序的一切特征：（可存储性）、（可执行性）。

18.VPN利用（隧道）协议在网络之间建立一个（虚拟）通道，以完成数据信息的安全传输。

19.接入控制机构由（用户）的认证与识别、对（认证的用户）进行授权两部分组成。

20.实现身份证明的基本途径有（所知）、（所有）、个人特征。

21.数字签名分为（确定性）数字签名和（随机化式）数字签名。

2006年1月全国自考（电子商务安全导论）真题试卷精选(题后含答案及解析)题型有：1. 单项选择题 2. 多项选择题 3. 填空题单项选择题1．保证商业服务不可否认的手段主要是( )A．数字水印B．数据加密C．身份认证D．数字签名正确答案：D2．DES加密算法所采用的密钥的有效长度为( )A．32B．56C．64D．128正确答案：C3．在防火墙技术中，我们所说的外网通常指的是( )A．受信网络B．非受信网络C．防火墙内的网络D．局域网正确答案：B4．《电子计算机房设计规范》的国家标准代码是( )A．GB50174—93B．GB50174—88C．GB57169—93D．GB57169—88正确答案：A5．通行字也称为( )A．用户名B．用户口令C．密钥D．公钥正确答案：B6．不涉及PKI技术应用的是( )A．VPNB．安全E-mailC．Web安全D．视频压缩正确答案：D7．多级安全策略属于( )A．最小权益策略B．最大权益策略C．接入控制策略D．数据加密策略正确答案：C8．商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( )A．SET标准商户业务规则与SSL标准商户业务规则B．SET标准商户业务规则与Non-SSL标准商户业务规则C．SET标准商户业务规则与Non-SET标准商户业务规则D．Non-SET标准商户业务规则与SSL标准商户业务规则正确答案：C9．SHECA指的是( )A．上海市电子商务安全证书管理中心B．深圳市电子商务安全证书管理中心C．上海市电子商务中心D．深圳市电子商务中心正确答案：A10．以下哪一项是密钥托管技术?( )A．EESB．SKIPJACKC．Diffie-HellmanD．RSA正确答案：A11．公钥体制用于大规模电子商务安全的基本要素是( ) A．哈希算法B．公钥证书C．非对称加密算法D．对称加密算法正确答案：B12．文件型病毒是寄生在以下哪类文件中的病毒?( ) A．仅可执行文件B．可执行文件或数据文件C．仅数据文件D．主引导区正确答案：B13．身份证明系统应该由几方构成?( )A．2B．3C．4D．5正确答案：B14．不属于PKI基础技术的是( )A．加密技术B．数字签名技术C．数字信封技术D．数字水印技术正确答案：D15．HTTPS是使用以下哪种协议的HTTP?( )A．SSLB．SSHC．SecurityD．TCP正确答案：A16．消息经过散列函数处理后得到的是( )A．公钥B．私钥C．消息摘要D．数字签名正确答案：C17．关于双联签名描述正确的是( )A．一个用户对同一消息做两次签名B．两个用户分别对同一消息签名C．对两个有联系的消息分别签名D．对两个有联系的消息同时签名正确答案：D18．Kerberos中最重要的问题是它严重依赖于( ) A．服务器B．口令C．时钟D．密钥正确答案：C19．网络安全的最后一道防线是( )A．数据加密B．访问控制C．接入控制D．身份识别正确答案：A20．关于加密桥技术实现的描述正确的是( ) A．与密码设备无关，与密码算法无关B．与密码设备有关，与密码算法无关C．与密码设备无关，与密码算法有关D．与密码设备有关，与密码算法有关正确答案：A多项选择题21．对Internet的攻击有多种类型，包括( ) A．截断信息B．中断C．伪造D．病毒E．介入正确答案：ACE22．单钥密码体制的算法包括( )A．DES加密算法B．二重DES加密算法C．ECC加密算法D．RSA加密算法E．SHA加密算法正确答案：AB23．关于仲裁方案实现的描述以下哪些是正确的?( )A．申请方生成文件的单向杂凑函数值B．申请方将杂凑函数值及原文一并传递给加戳方C．加戳方在杂凑函数值后附上时间与日期，并进行数字签名D．加戳方将签名的杂凑函数值，时戳一并发给申请者E．加戳方生成文件的单向杂凑函数正确答案：ACD24．属于构成CA系统的服务器有( )A．安全服务器B．CA服务器C．加密服务器D．LDAP服务器E．数据库服务器正确答案：ABDE25．对SSL提供支持的服务器有( )A．Netscape communicatorB．Mircrosoft Internet ExploreC．Microsoft IISD．Lotus Notes ServerE．MS-DOS正确答案：ABCD填空题26．电子商务安全的中心内容包括机密性，________，认证性，________，不可拒绝性和访问控制性。

202x年10月高等教育自学考试全国统一命题考试电子商务平安导论卷子(课程代码00997)本卷子共4页，总分值100分，考试时间150分钟。

考生答题本卷须知：1．本卷全部真题必须在答题卡上作答。

答在卷子上无效，卷子空白处和反面均可作草稿纸。

2．第—局部为选择题。

必须对应卷子上的题号使用2B铅笔将“答题卡〞的相应代码涂黑。

3．第二局部为非选择题。

必须注明大、小题号，使用0.5毫米黑色字迹签字笔作答。

4．合理安排答题空间，超出答题地域无效。

第—局部选择题一、单项选择题：本大题共20小题，每题1分，共20分。

在每题列出的备选项中只有一项为哪一项最符合题目要求的，请将其选出。

1．网上商店的模式为A．B-B B．B-C C．C-C D．B-G2．为了确保数据的完整性，SET协议是通过A．单密钥加密来完成 B．双密钥加密来完成C．密钥分配来完成 D．数字化签名来完成3．下面不属于SET交易成员的是A．持卡人 B．电子钱包 C．支付网关 D．发卡银行4．CFCA认证系统的第二层为A．根CA B．XCA C．运营CA D．审批CA5．托管加密标准EES的托管方案是通过什么芯片来完成的A．DES算法芯片 B．防窜扰芯片C．RSA算法芯片D．VPN算法芯片6．数字信封中采纳的加密算法是A．AES B．DES C．RC．5 D．RSA7．在电子商务中，保证认证性和不可否认性的电子商务平安技术是A．数字签名 B．数字摘要 C．数字指纹 D．数字信封8．在防火墙技术中，非军事化区这一概念通常指的是A．受信网络 B．非受信网络C．内网和外网中的隔离带 D．互联网9．以下不属于Internet的接入操作技术主要应付的入侵者是A．伪装者 B．病毒 C．违法者 D．地下用户10．Kerberos的局限性中，通过采纳基于公钥体制的平安认证方法可以解决的是A．时间同步 B．重放攻击C．口令字猜测攻击 D．密钥的存储11．CA不能提供以下哪种证书A．SET效劳器证书 B．SSL效劳器证书C．平安电子邮件证书 D．个人数字证书12．LDAP效劳器提供A．目录效劳 B．公钥效劳 C．私钥效劳 D．证书效劳13．在PKI的性能要求中，电子商务通信的关键是A．支持多X B．支持多应用 C．互操作性 D．透明性14．依据《建筑与建筑群综合布线系统工程设计标准》(CECS72：97)的要求，计算机机房室温应该保持的温度范围为A．0℃～5℃ B．5℃～10℃C．5℃～l5℃ D．10℃～25℃15．在域内认证中，TGS生成用于Client和Server之间通信的会话密钥Ks发生在A．第1个阶段第2个步骤B．第2个阶段第l个步骤C．第2个阶段第2个步骤D．第3个阶段第l个步骤16．在PKI的性能中，以下哪些效劳是指从技术上保证实体对其行为的认可A．认证 B．数据完整性C．数据保密性 D．不可否认性17．对Internet的攻击的四种类型不包含A．截断信息 B．伪造 C．病毒 D．篡改18．AES支持的密钥长度不可能是A．64 B．128 C．192 D．25619．以下不是计算机病毒主要X的是A．非法拷贝中毒B．引进的计算机系统和软件中带有病毒C．通过Internet传入D．隔离不当20．VPN不能提供的功能是A．加密数据 B．信息认证和身份认证C．提供访问操作 D．滤二、多项选择题：本大题共5小题，每题2分，共10分。

一、单项选择题：本大题共20小题，每题l分，共20分。

在每题列出的备选项中只有一项为哪一项最符合题目要求的，请将其选出。

1．在计算机平安等级中，用户在使用前必须在系统中注册，系统治理员可以为一些程序或数据设立访问许可权限，这种平安等级是A．Cl级B．C2级C．Bl级D．B2级2．Diffie与Hellman早期提出的密钥交换体制的名称是A．DES B．EES C．RSA D．Diffie-Hellman3．以下加密体制中，属于双密钥体制的是A．RSA B．IDEA C．AES D．DES4．对不了解内容的文件签名称为A．RSA签名B．ELgamal签名C．盲签名D．双联签名5．有时需要某人对一个文件签名，而又不让他了解文件内容，一般将采纳A．RSA签名B．无可争辩签名C．盲签名D．ELGamal签名6．当用户运行正常程序时，病毒却能得以抢先运行，这表现了病毒的A．非授权可执行性B．埋伏性C．传染性D．隐藏性7．计算机病毒的最根本特征是A．隐蔽性B．传染性C．自我复制性D．埋伏性8．通过公共网络建立的临时、平安的连接，被称为A．EDi B．DSL C．VLN D. VPN9. 外网指的是A．受信网络B．非受信网络C．防火墙内的网络D．局域网10．接入操纵的方法有多种，其中由系统治理员分配接入权限的方法是A．自主式接入操纵B．强制式接入操纵C．单级平安操纵D．多级平安操纵11．在接入操纵策略中，按主体执行任务所了解的信息最小化的原则分配权力的策略是A．最小权益策略B．最大权益策略C. 最小泄露策略D．多级平安策略12．在Kerberos的认证过程中，Client向域外的效劳器申请效劳的过程为四个阶段，以下描述属于第3阶段的是A．客户向域内AS申请注册许可证B．客户向域外AS申请注册许可证C．客户向域内的TGS申请效劳的效劳许可证D．客户向域外的TGS申请效劳的效劳许可证13．通常将用于创立和发放证书的机构称为A．RA B．LDAP C．SSL D．CA14．身份认证中的证书发行部门是A．个人B．政府机构C．非营利自发机构D．认证授权机构15．通常PKl的最高治理是通过A．政策治理机构来表达B．证书作废系统来表达C．应用接口来表达D．证书中心CA来表达16．在PKl的构成中，负责制定整个体系结构的平安政策的机构是A．CA B．PAA C．OPA D．PMA17．以信用卡为根底、在Intemet上交易的付款协议是A．Visa B．RSA C．SSL D．SET18．开发SSL平安协议的公司是A．IBM B．Micorsoft C．Netscape D。

电子商务安全导论（自考全）电子商务安全导论名词解释：1.混合加密系统：是指综合利用消息加密。

数字信封、散列函数和数字签名实现安全性、完整性、可鉴别性和不可否认性。

它成为目前信息安全传送的标准模式，被广泛采用。

4.通行字（Password，也称口令、护字符）：是一种根据已知事务验证身份的方法，也是一种研究和使用最广的身份验证法。

6.C1级：有时也叫做酌情安全保护级，它要求系统硬件中有一定的安全保护，用户在使用前必须在系统中注册。

14.RSA密码算法：是第一个既能用于数据加密也能用于数字签名的算法。

RSA密码体质是基于群Z n中大整数因子分解的困难性。

15.接入限制：表示主体对客体访问时可拥有的权利，接入权要按每一对主体客体分别限定，权利包括读、写、执行等，读写含义明确，而执行权指目标位一个程序时它对文件的查找和执行。

21.加密桥技术：是一个数据库加密应用设计平台，根据应用系统开发环境不同，提供不同接口，实现对不同环境下（不同主机、不同操作系统、不同数据库管理系统、不同国家语言）数据库数据加密以后的数据操作。

22.公钥数字证书：是网络上的证明文件：证明双钥体质中的公钥所有者就是证书上所记录的使用者。

28.数字签名：（也称数字签字、电子签名）在信息安全方面有重要的应用，是实现认证的重要工具，在电子商务系统中是比不可少的。

29.PKI：即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

31.个人数字证书：是指个人使用电子商务应用系统应具备的证书。

44.双连签名：是指在一次电子商务活动过程中可能同时有两个有联系的消息M1和 M2，要对它们同时进行数字签名。

46.中国金融认证中心（CFCA）:是中国人民银行牵头，联合14家全国性商业银行共同建立的国家级权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。

第二章一、单项选择题1.IDEA密钥的长度为( D )A.56B.64C.124D.1282.关于Diffie-Hellman算法描述正确的是( B )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的3．DES加密算法所采用的密钥的有效长度为( C )A．32 B．56 C．64 D．1284．以下哪一项是密钥托管技术?( A )A．EES B．SKIPJACK C．Diffie-Hellman D．RSA5.电子商务的安全需求不包括( B )A.可靠性B.稳定性C.真实性D.完整性6.双钥密码体制算法中既能用于数据加密，也能用于数字签名的算法是( C )A.AESB.DESC.RSAD.RC-56.托管加密标准EES的托管方案是通过什么芯片来实现的?( B )A.DES算法芯片B.防窜扰芯片C.RSA算法芯片D.VPN算法芯片7.早期提出的密钥交换体制是用模一个素数的指数运算来进行直接密钥交换，这种体制通常称为( D )A.Kerberos协议B.LEAF协议C.Skipjack协议D.Diffie-Hellman协议8.在大量的密钥分配协议中，最早提出的公开的密钥交换协议是（ A ）A.Diffie—Hellman协议B.Blom密钥分配协议C.基于对称密码体制的密钥分配协议D.基于身份的密钥分配协议9．IDEA的输入和输出都是64位，密钥长度为（ C ）A．32位B．64位 C．128位D．256位10．DES的加密算法是每次取明文中的连续（ B ）A．32位B．64位 C．128位 D．256位11.EES采用的新加密算法是( B )A.RSAB.SkipjackC.DESD.Diffie—Hellman12.IDEA加密算法首先将明文分为( D )A.16位数据块B.32位数据块C.64位数据块D.128位数据块13．使用DES加密算法，需要对明文进行的循环加密运算次数是（ C ）A．4次B．8次 C．16次D．32次14．在密钥管理系统中最核心、最重要的部分是（ D ）A．工作密钥 B．数据加密密钥 C．密钥加密密钥D．主密钥15．数字证书采用公钥体制，即利用一对互相匹配的密钥进行（ B ）A．加密 B．加密、解密 C．解密D．安全认证16.现在常用的密钥托管算法是( B )A.DES算法B.EES算法C.RAS算法D.SHA算法17.下列选项中属于双密钥体制算法特点的是( C )A.算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高18.美国政府在1993年公布的EES技术所属的密钥管理技术是( D )A.密钥设置B.密钥的分配C.密钥的分存D.密钥的托管19.电子商务的安全需求中，保证电子商务系统数据传输、数据存储的正确性的根基是（ A ）A.可靠性B.完整性C.真实性D.有效性20.最早提出的公开的密钥交换协议是（ B ）A.BlomB.Diffie-HellmanC.ELGamalD.Shipjack21．下列属于单钥密码体制算法的是（ A ）A．RC—5加密算法 B．RSA密码算法 C．ELGamal密码体制D．椭圆曲线密码体制22．第一个既能用于数据加密，又能用于数字签名的加密算法是（D ）A．DES加密 B．IDEA加密 C．RC—5加密D．RSA加密23．密钥管理的目的是维持系统中各实体的密钥关系，下列选项中不属于．．．密钥管理抗击的可能威胁的是（A ）A．密钥的遗失 B．密钥的泄露 C．密钥未经授权使用D．密钥的确证性的丧失二、多项选择题1.属于公钥加密体制的算法包括( CDE )A.DESB.二重DESC.RSAD.ECCE.ELGamal2．单钥密码体制的算法包括( AB )A．DES加密算法 B．二重DES加密算法 C．ECC加密算法 D．RSA加密算法 E．SHA 加密算法3.密钥管理在密码学中有着重大的作用，在密钥管理中最棘手的问题可能是( CD )A.密钥的设置B.密钥的产生C.密钥的分配D.密钥的存储E.密钥的装入4.双钥密码体制算法的特点包括（ ACDE ）A.算法速度慢B.算法速度快C.适合加密小数量的信息D.适合密钥的分配E.适合密钥的管理5．将自然语言格式转换成密文的基本加密方法有（ AB ）A．替换加密 B．转换加密 C．DES加密D．RSA加密 E．IDEA加密6．使用两个密钥的算法是（ ABC ）A．双密钥加密B．单密钥加密 C．双重DES D．三重DES E．双重RSA7.下列属于单密钥体制算法的有( ACE )A.DESB.RSAC.AESD.SHAE.IDEA8.在下列加密算法中，属于使用两个密钥进行加密的单钥密码体制的是（ AB ）A.双重DESB.三重DESC.RSAD.IDEAE.RC-59．一种加密体制采用不同的加密密钥和解密密钥，这种加密体制可能是（ABCDE ）A．单密钥加密 B．双密钥加密 C．双重DES加密 D．三重DES加密 E．RSA 加密三、填空题1.采用密码技术保护的现代信息系统，其安全性取决于对_密钥_的保护，而不是对_算法_和硬件本身的保护。

电子商务安全导论实践试题及答案1.简单的加密算法的代码编写（凯撒密码）2.电子商务安全认证证书的网上申请以及使用说明3.你使用的机器上本地安全设置中的密码策略如何4.说明你所使用的机器上的公钥策略基本情况5.本机IP安全策略中的安全服务器（要求安全设置）属性以及基本情况6.本机IP安全策略中的客户端（只响应）属性的基本情况7.本机IP安全策略中的服务器（请求安全设置）属性和基本情况如何（编辑规则常规高级方法）8.说明智能卡是是如何进行用户鉴别的9.本机上证书的使用情况10.上网查询江苏省电子商务安全证书的基本情况11.说明木马在win.ini条件下的症状如何12.举例说明你所使用的个人防火墙的功能项目以及使用方法13.介绍一种你所熟悉的黑客攻击技术14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法解答《一》简单的加密算法的代码编写（凯撒密码）凯撒密文的破解编程实现凯撒密文的破解编程实现近来安全的发展，对密码学的研究越来越重要，虽然我们现在大多采用的是非对称密码体制，但是同时由于处理及其它的一些重要原因，对传统密码仍然是在大量的使用，如移位，替代的基本思想仍然没有改变，我个人认为，将来的很长时间内，我们必将会花大量的时间对密码学进行研究，从而才能促进我们的电子政务，电子商务的健康发展，下面我要谈的是对一个古典密码-----凯撒（kaiser)密码的的解密，也就是找出它的加密密钥，从而进行解密，由于它是一种对称密码体制，加解密的密钥是一样的，下边简单说明一下加解密加密过程：密文：C=M+K (mod 26)解密过程：明文：M=C-K (mod 26)详细过程请参考相关资料破解时主要利用了概率统计的特性，E字母出现的概率最大。

加密的程序实现我就不说了，下面重点说一下解密的程序实现：我是用C写的，在VC6.0下调试运行正确#include"stdio.h"#include"ctype.h"#include"stdlib.h"main(int argc ,char *argv[]){FILE *fp_ciper,*fp_plain; //密文与明文的文件指针char ch_ciper,ch_plain;int i,temp=0; //i用来存最多次数的下标//temp用在求最多次数时用int key; //密钥int j;int num[26]; //保存密文中字母出现次数for(i = 0;i < 26; i++)num = 0; //进行对num[]数组的初始化printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n");printf("======================================================\n");if(argc!=3){printf("此为KAISER解密用法：[文件名] [密文路径] [明文路径]\n");printf("如：decryption F:\ciper_2_1.txt F:\plain.txt\n");} //判断程序输入参数是否正确if((fp_ciper=fopen(argv[1],"r"))==NULL){printf("打开密文出错!解密失败\n");exit(0);}while((ch_ciper=fgetc(fp_ciper))!=EOF)switch(ch_ciper){case 'A':num[0]=num[0]+1; break; //统计密文各字母出现次数 case 'B':num[1]=num[1]+1; break; //与上同,下边一样case 'C':num[2]=num[2]+1; break;case 'D':num[3]=num[3]+1; break;case 'E':num[4]=num[4]+1; break;case 'F':num[5]=num[5]+1; break;case 'G':num[6]=num[6]+1; break;case 'H':num[7]=num[7]+1; break;case 'I':num[8]=num[8]+1; break;case 'J':num[9]=num[9]+1; break;case 'K':num[10]=num[10]+1;break;case 'L':num[11]=num[11]+1;break;case 'M':num[12]=num[12]+1;break;case 'N':num[13]=num[13]+1;break;case '0':num[14]=num[14]+1;break;case 'P':num[15]=num[15]+1;break;case 'Q':num[16]=num[16]+1;break;case 'R':num[17]=num[17]+1;break;case 'S':num[18]=num[18]+1;break;case 'T':num[19]=num[19]+1;break;case 'U':num[20]=num[20]+1;break;case 'V':num[21]=num[21]+1;break;case 'W':num[22]=num[22]+1;break;case 'X':num[23]=num[23]+1;break;case 'Y':num[24]=num[24]+1;break;case 'Z':num[25]=num[25]+1;break;}fclose(fp_ciper);for(i=0;i<26;i++)if(num>temp){j=i; // 求出最大次数的下下标temp=num;}if(j<5)key=(j+1+26)-5; //是按字母表的第几位计算//而不是按下标，故加1//5是指E在字母表中的位序elsekey=(j+1)-5;if((fp_ciper=fopen(argv[1],"r"))==NULL){printf("再次打开密文出错!解密失败\n");exit(0);} //再次打开密文，进行解密if((fp_plain=fopen(argv[2],"w"))==NULL){printf("打开或建立明文文件出错!解密失败\n");exit(0);} //把明文存到此文件while((ch_ciper=fgetc(fp_ciper))!=EOF){if(ch_ciper > 'E')ch_plain=(((ch_ciper-'A'-key)%26)+'A'); //解密elsech_plain=(((ch_ciper-'A'-key+26)%26)+'A'); //解密ch_plain=tolower(ch_plain); //把大写明文转化为小写fputc(ch_plain,fp_plain); //把明文写到文件文件plain}fclose(fp_ciper);fclose(fp_plain);printf("解密成功，密钥KEY=%d,明文已保存到文件中，谢谢使用!\n",key);}〈二〉.电子商务安全认证证书的网上申请以及使用说明用户以PKCS#10格式提出证书申请请求，加密服务提供者CSP产生公/私钥对，可以在用户本地产生，也可以在CA出生成。

简答1，简述保护数据完整性的目的，以有被破坏会带来的严重后果。

答：保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。

这意味着数据不会由于有意或无意的事件而被改变和丢失。

数据完整性被破坏会带来严重的后果：（1）造成直接的经济损失，如价格，订单数量等被改变。

（2）影响一个供应链上许多厂商的经济活动。

一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。

（3）可能造成过不了“关”。

有的电子商务是与海关，商检，卫检联系的，错误的数据将使一批贷物挡在“关口”之外。

（4）会牵涉到经济案件中。

与税务，银行，保险等贸易链路相联的电子商务，则会因数据完整性被破坏牵连到漏税，诈骗等经济案件中。

（5）造成电子商务经营的混乱与不信任。

2，简述散列函数应用于数据的完整性。

答：可用多种技术的组合来认证消息的完整性。

为消除因消息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到消息上。

首先用散列算法，由散列函数计算机出散列值后，就将此值——消息摘要附加到这条消息上。

当接收者收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。

如果接收者所计算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。

3，数字签名与消息的真实性认证有什么不同？答：数字签名与消息的真实性认证是不同的。

消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。

当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。

但当接收者和发送者之间相互有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此是需借助数字签名技术。

4，数字签名和手书签名有什么不同？答：数字签名和手书签名的区别在于：手书签名是模拟的，因人而异，即使同一个人也有细微差别，比较容易伪造，要区别是否是伪造，往往需要特殊专家。

而数字签名是0和1的数字串，极难伪造，不需专家。

对不同的信息摘要，即使是同一人，其数字签名也是不同的。