电子商务安全导论自考重点

自考“电子商务安全导论”复习重点（1）

简答题与论述题：

简答

1，简述保护数据完整性的目的，以有被破坏会带来的严重后果。

答：保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。这意味着数据不会由于有意或无意的事件而被改变和丢失。

数据完整性被破坏会带来严重的后果：

（1）造成直接的经济损失，如价格，订单数量等被改变。（2）影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。（3）可能造成过不

了“关”。有的电子商务是与海关，商检，卫检联系的，错误的数据将使一批贷物挡在“关口”之外。（4）会牵涉到经济案件中。与税务，银行，保险等贸易链路相联的电子商务，则会因数据完整性被破坏牵连到漏税，诈骗等经济案件中。（5）造成电子商务经营的混乱与不信任。 2，简述散列函数应用于数据的完整性。

答：可用多种技术的组合来认证消息的完整性。为消除因消息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到消息上。首先用散列算法，由散列函数计算机出散列值后，就将此值——消息摘要附加到这条消息上。当接收者收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。如果接收者所计算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。

3，数字签名与消息的真实性认证有什么不同？

答：数字签名与消息的真实性认证是不同的。消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间相互有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此是需借助数字签名技术。

4，数字签名和手书签名有什么不同？

答：数字签名和手书签名的区别在于：手书签名是模拟的，因人而异，即使同一个人也有细微差别，比较容易伪造，要区别是否是伪造，往往需要特殊专家。而数字签名是0和1的数字串，极难伪造，不需专家。对不同的信息摘要，即使是同一人，其数字签名也是不同的。这样就实现了文件与签署的最紧密的“捆绑”。

5，数字签名可以解决哪些安全鉴别问题？答：数字签名可以解决下述安全鉴别问题：（1）接收方伪造：接收方伪造一份文件，并声称这是发送方发送的；（2）发送者或收者否认：发送者或接收者事后不承认自己曾经发送或接收过文件；（3）第三方冒充：网上的第三方用户冒充发送或接收文件；（4）接收方篡改：接收方对收到的文件进行改动。

6，无可争辩签名有何优缺点？

答：无可争辩签名是在没有签名者自己的合作下不可能验证签名的签名。

无可争辩签名是为了防止所签文件被复制，有利于产权拥有者控制产品的散发。适用于某些应用，如电子出版系统，以利于对知识产权的保护。

在签名人合作下才能验证签名，又会给签名者一种机会，在不利于他时可拒绝合作，因而不具有“不可否认性”。无可争辩签名除了一般签名体制中的签名算法和验证算法外，还需要第三个组成部分，即否认协议：签名者利用无可争辩签名可向法庭或公众证明一个伪造的签名的确是假的；但如果签名者拒绝参与执行否认协议，就表明签名真的由他签署。

7，UPS的作用是防止突然停电造成网络通讯中断。

8，计算机病毒是如何产生的？

答：计算机病毒是人为产生的，是编制者在计算机程序中插入的破坏计算机功能，或进毁坏数据，影响计算机使用，并能自我复制的一组

计算机指令或者程序代码。

自考“电子商务安全导论”复习重点（2）

13，简述数据备份与传统的数据备份的概念。答：数据备份，是指为防止系统出现操作失误或系统故障导致数据丢失，而将全系统或部分数据集合从应用主机的硬盘或阵列复制到其他的存储介质的过程。传统的数据备份主要是采用数据内置或外置的磁带机进行冷备份。

14，列举计算机病毒的主要来源。答：1，引进的计算机病毒和软件中带有的病毒。2，各类出国人员带回的机器和软件染有病毒。3，一些染有病毒的游戏软件。4，非法拷贝引起的病毒。5，计算机生产，经营单位销售的机器和软件染有病毒。6，维修部门交叉感染。7，有人研制，改造病毒。8，敌对份子以病毒进行宣传和破坏。9，通过互联网络传入。

15，数据文件和系统的备份要注意什么？答：日常的定时，定期备份；定期检查备份的质量；重要的备份最好存放在不同介质上；注意备份本身的防窃和防盗；多重备份，分散存放，由不同人员分别保管。

16，一套完整的容灾方案应该包括本地容灾和异地容灾两套系统。

17，简述归档与备份的区别。答：归档是指将文件从计算机的存储介质中转移到其他永久性的介质上的，以便长期保存的过程。备份的目的是从灾难中恢复。归档是把需要的数据拷贝或打包，用于长时间的历史性的存放，归档可以清理和整理服务器中的数据。归档也是提高数据完整性的一种预防性措施。

18，病毒有哪些特征？

答：非授权可执行性；隐藏性；传染性；潜伏性；表现性或破坏性；可触发性。

19，简述计算机病毒的分类方法。

答：按寄生方式分为，引导型，病毒文件型和复合型病毒。按破坏性分为，良性病毒和恶性病毒

20，简述计算机病毒的防治策略？答：依法治毒，建立一套行之有效的病毒防治体系，制定严格的病毒防治技术规范。

21，保证数据完整性的措施有：有效防毒，及时备份，充分考虑系统的容错和冗余。

22，扼制点的作用是控制访问。

23，防火墙不能防止的安全隐患有：不能阻止已感染病毒的软件或文件的传输；内部人员的工作失误。

24，防火墙与VPN之间的本质区别是：堵/通；或防范别人/保护自己。

25，设置防火墙的目的及主要作用是什么？答：设置防火墙的目的是为了在内部网与外部网之间设立惟一通道，允许网络管理员定义一个中心“扼制点”提供两个网络间的访问的控制，使得只有被安全策略明确授权的信息流才被允许通过，对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事件引起的损害，使入侵更难实现，来防止非法用户，比如防止黑客，网络破坏者等进入内部网络。禁止存在安全脆弱性的服务进出网络，并抗击来自各种路线的攻击。

26，简述防火墙的设计须遵循的基本原则。答：（1）由内到外和由外到内的业务流必须经过防火墙。（2）只允许本地安全政策认可的业务流必须经过防火墙。（3）尽可能控制外部用户访问内域网，应严格限制外部用户进入内域网。（4）具有足够的透明性，保证正常业务的流通。（5）具有抗穿透性攻击能力，强化记录，审计和告警。

27，目前防火墙的控制技术可分为：包过滤型，包检验型以及应用层网关型三种。

28，防火墙不能解决的问题有哪些？

答：（1）如果网络管理员不能及时响应报警并审查常规记录，防火墙就形同虚设。在这种情况下，网络管理员永远不会知道防火墙是否受到攻击。（2）防火墙无法防范通过防火墙以外的其他途径的攻击。（3）防火墙不能防止来自内部变节者和不经心的用户带来的威胁。（4）防火墙也不能防止传送已感染病毒的软件或文件。（5）防火墙无法防范数据驱动型的攻击。