电子商务安全技术复习思考题及答案
电子商务安全技术复习参考题
1.电子商务的安全要素有哪些?针对不同要素如何利用安全技术进行安全防范?P3
2.何谓数字签名?其实质内容是什么?在电子商务中数字签名主要起什么作用?其主要实现方法和基
本用途有哪些?p42-43,p187
就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明.签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围.然后,签名者软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值(为实用目的).最后使用签名者的私人密码将哈希函数结果值转化为数字签名.得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的.
实现方法:公钥加密技术和散列算法(Hash算法)相结合的一种数字签名方式。
3.简述身份认证包含的基本内容,并说明如何实现?p45
4.简述CA安全认证体系的功能和特点
(1)认证性。指ca认证体系可以使任何不知道密钥的人无法构造一个密报,可以使意定的接收者能够解密成一个可理解的信息。意定的接收者能够检验和证实信息的合法性和真实性。信息的发送者对所发送的信息不能抵赖。除了合法信息发送者之外,其他人无法伪造合法的信息。
(2)保密性。ca可以使戴获者在不知道密钥的条件下不能解读到该密文的内容。
(3)完整性。在自然和人为干扰条件下,ca有保持恢复信息和原来发送信息一致性的能力。应用中通常借助于纠错、检错技术来保证信息的完整性。
(4)独立性。我国的电了政务ca安全认证体系既和国际接轨,又符合中国国情,拥有自主版权;既符合国际标准,又保持了系统自身的独立性。
(5)应用的广泛性。ca充分考虑了我国各地经济和政治发展的现实状况,使不同应用层次的业务能够在同一认证体系下得以认证,拓宽了业务覆盖面。而且,可以采取多种接入方式,同时方便企业用户和个人用户,采用各种通讯工具在ca安全认证体系的支撑下使用各类业务,扩大了安全认证体系的用户面。
(6)建设的高标准性和规范性。开发者在ca安全认证体系的整个开发建设过程中,始终高度注意逻辑实体和技术等因素的标准、规范化,以使其能够方便地在行业内和跨行业推广应用。
5.简述TCP/IP协议簇的基本结构,并分析每层可能受到的威胁以及如何防御。
讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层.1.物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2.数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3.网络层:针对IP包的攻击是很多的,主要是因为IPv4的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4.传输层:针对TCP 的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5.应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的;
6.何谓数字信封?如何实现?
数字信封的实现步骤:
1、使用会话密钥加密明文;需要会话密钥,加密函数;
2、从CA得到接收方的证书,并用证书的公钥对会话密钥加密;
3、读取接收方证书的ID,把密文,加密的会话密钥,ID以一定的格式压缩打包发送;
7.网络攻击技术主要包括那些方面?常见的攻击类型有哪些?(说明其中5种以上类型,并对其中一种
进行详细说明。)
1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。
2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。
3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。
4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。
5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现
网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。
但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等。
8.网络防御技术分别包括哪些内容?P89
1)安全操作系统和操作系统的安全配置:操作系统是网络安全的关键。
2)加密技术:为了防止被监听和数据被盗取,将所有的逐句进行加密。
3)防火墙技术:利用防火墙,对传输的数据进行限制,从而防止被入侵。
4)入侵检测:如果网络防线最终被攻破,需要及时发出被入侵的警报。
5)网络安全协议:保证传输的数据不被截获和监听。
9.从层次上,网络安全可以分成哪几层,每层有什么特点?P49
11.简述缓冲区溢出攻击的原理。
原理:通过往程序的缓冲区写超出其长度的内容,造成缓冲区的溢出,从而破坏程序的堆栈,使程序转而执行其它指令,以达到攻击的目的。造成缓冲区溢出的原因是程序中没有仔细检查用户输入的参数。
12.简述常用的网络服务以及提供服务的默认端口。
端口:0 服务:Reserved 说明:通常用于分析操作系统。这一方法能够工作是因为在一些系统中“0”
是无效端口,当你试图使用通常的闭合端口连接它时将产生不同的结果。一种典型的扫描,使用IP地址为0.0.0.0,设置ACK位并在以太网层广播。
端口:1 服务:tcpmux 说明:这显示有人在寻找SGI Irix机器。Irix是实现tcpmux的主要提供者,默认情况下tcpmux在这种系统中被打开。Irix机器在发布是含有几个默认的无密码的帐户,如:IP、GUEST UUCP、NUUCP、DEMOS 、TUTOR、DIAG、OUTOFBOX等。许多管理员在安装后忘记删除这些帐户。因此HACKER在INTERNET上搜索tcpmux并利用这些帐户。
端口:7 服务:Echo 说明:能看到许多人搜索Fraggle放大器时,发送到X.X.X.0和X.X.X.255的信息。
端口:19 服务:Character Generator 说明:这是一种仅仅发送字符的服务。UDP版本将会在收到UDP 包后回应含有垃圾字符的包。TCP连接时会发送含有垃圾字符的数据流直到连接关闭。HACKER利用IP 欺骗可以发动DoS攻击。伪造两个chargen服务器之间的UDP包。同样Fraggle DoS攻击向目标地址的这个端口广播一个带有伪造受害者IP的数据包,受害者为了回应这些数据而过载。
端口:21 服务:FTP 说明:FTP服务器所开放的端口,用于上传、下载。最常见的攻击者用于寻找打开anonymous的FTP服务器的方法。这些服务器带有可读写的目录。木马Doly Trojan、Fore、Invisible FTP、WebEx、WinCrash和Blade Runner所开放的端口。
端口:22 服务:Ssh 说明:PcAnywhere建立的TCP和这一端口的连接可能是为了寻找ssh。这一服务有许多弱点,如果配置成特定的模式,许多使用RSAREF库的版本就会有不少的漏洞存在
13.黑客在攻击的过程中,一般需要经过哪些步骤,目的是什么?
(1)隐藏IP:IP隐藏使网络攻击难以被侦破。(2)踩点扫描:踩点是通过各种途径对所要攻击的目标进行多方面的了解,确定攻击的时间和地点。扫描的目的是利用各种工具在攻击目标的IP地址或地址段上的主机上寻找漏洞。(3)获得系统或管理员权限:得到管理员权限的目的是连接到远程计算机,对其控制,达到自己攻击的目的。(4)种植后门:为了保持长期对胜利胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。(5)在网络中隐身:清除登陆日志及其他相关的日志,防止管理员发现。
14.扫描分成哪两类,每类有什么特点?可以使用哪些工具进行扫描,各有什么特点?网络监听技术的原理是什么?
(1)网络扫描一般分为两种策略:一种是主动式策略;另外一种是被动式策略。
(2)被动式策略特点:基于主机之上的,对系统中不合适的设置、脆弱的口令及其他同安全规则相抵触的对象进行检查,被动式扫描不会对系统造成破坏。工具及特点:GetNTUser:系统用户扫描;PortScan:开放端口扫描;Shed:共享目录扫描。
(3)主动式策略特点:基于网络的,它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应,从而发现其中的漏洞。主动式扫描对系统进行模拟攻击可能会对系统造成破坏。工具及特点:X-Scan-v2.3 :对指定IP地址段(单机)进行安全漏洞检测。
15.简述对称加密算法的基本原理。
对称算法又叫传统密码算法:加密密钥能够从解密密钥中推算出来,反过来也成立。
对称算法要求发送者和接收者在安全通信之前,协商一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都能对消息进行加解密。
17.RSA算法设计及明文、密文的计算。P37-38
18.网络管理命令ping、net、netstat、ipconfig、route的功能是什么?如何使用举例说明。
ping是用来侦测网络上的远端主机是否存在,并判断网络状况是否正常的网络侦测工具
校验与远程计算机或本地计算机的连接。只有在安装TCP/IP 协议之后才能使用该命令。
ipconfig,查看当前电脑的ip配置,显示所有TCP/IP网络配置信息、刷新动态主机配置协议(DHCP)和域名系统(DNS)设置,使用不带参数的ipconfig可以显示所有适配器的IP地址、子网掩码和默认网关。在DOS命令行下输入ipconfig指令;
tracert,用来追踪路由,用户确定IP数据访问目标所采取的路径。Tracert指令用IP生存时间字段和ICMP 错误信息来确定一个主机到网络上其他主机的路由;
netstat,用来查看当前电脑的活动会话;
net,在网络安全领域通常用来查看计算机上的用户列表、添加和删除用户、和对方计算机建立连接、启动或者停止某网络服务等。
at,使用at命令建立一个计划任务,并设置在某一刻执行,但是必须首先与对方建立信任连接。
19.HASH函数有何特点?如何使用该函数?在电子商务环境下使用HASH函数实现什么功能?P187
固定长度的输出,单向不可逆,碰撞约束。HASH函数必须具备两个基本特征:单向性和碰撞约束。单向性是指其的操作方向的不可逆性,在HASH函数中是指只能从输入推导出输出,而不能从输出计算出输入;碰撞约束是指不能找到一个输入使其输出结果等于一个已知的输出结果或者不能同时找到两个不同的输入使其输出结果完全一致。一个函数只用同时严格的具备了这样的特性,我们才能认可这样的一个HASH。
1) 文件校验
我们比较熟悉的校验算法有奇偶校验和CRC校验,这2种校验并没有抗数据篡改的能力,它们一定程度上能检测并纠正数据传输中的信道误码,但却不能防止对数据的恶意破坏。
2) 数字签名
Hash 算法也是现代密码体系中的一个重要组成部分。由于非对称算法的运算速度较慢,所以在数字签名协议中,单向散列函数扮演了一个重要的角色。
3) 鉴权协议
如下的鉴权协议又被称作"挑战--认证模式:在传输信道是可被侦听,但不可被篡改的情况下,这是一种简单而安全的方法。
20.散列值具有的特征是什么?P187
21.何谓数字证书?如果在电子商务活动中使用数字证书,举例说明应用方法。P102
网上银行的USBkey和部分使用数字证书的VIEID即网络身份证
22.简述非对称加密算法的基本原理。
不对称加密算法的基本原理是,如果发信方想发送只有收信方才能解读的加密信息,发信方必须首先知道收信方的公钥,然后利用收信方的公钥来加密原文;收信方收到加密密文后,使用自己的私钥才能解密密文。显然,采用不对称加密算法,收发信双方在通信之前,收信方必须将自己早已随机生成的公钥送给发信方,而自己保留私钥
23.简述防火墙的分类,并说明分组过滤防火墙的基本原理
答: 防火墙有3种类型:分组过滤防火墙、应用代理防火墙和状态检测防火墙。
分组过滤防火墙的基本原理:
(1)防火墙审查每个数据包以便确定其是否与某一条过滤规则相匹配。
(2)过滤规则基于可以提供给IP转发过程的包头信息。包头信息中包括IP源地址、IP目的地址、内部协议、TCP、UDP目的端口和ICMP消息类型等。
(3)如果包的信息匹配规则,那么该数据报就会按照路由表中的信息被转发。如果不匹配规则,用户配置的默认参数会决定是转发还是丢弃数据包。
24.什么是入侵检测系统?简述入侵检测系统目前面临的挑战。P76 局限性7点
入侵检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术。
一、如何提高入侵检测系统的检测速度,以适应网络通信的要求。
网络安全设备的处理速度一直是影响网络性能的一大瓶颈,虽然IDS通常以并联方式接入网络的,但如果其检测速度跟不上网络数据的传输速度,那么检测系统就会漏掉其中的部分数据包,从而导致漏报而影响系统的准确性和有效性。在IDS中,截获网络的每一个数据包,并分析、匹配其中是否具有某种攻击的特征需要花费大量的时间和系统资源,因此大部分现有的IDS只有几十兆的检测速度,随着百兆、甚至千兆网络的大量应用,IDS技术发展的速度已经远远落后于网络速度的发展。
二、如何减少入侵检测系统的漏报和误报,提高其安全性和准确度。
基于模式匹配分析方法的IDS将所有入侵行为和手段及其变种表达为一种模式或特征,检测主要判别网络中搜集到的数据特征是否在入侵模式库中出现,因此,面对着每天都有新的攻击方法产生和新漏洞发布,攻击特征库不能及时更新是造成IDS漏报的一大原因。而基于异常发现的IDS通过流量统计分析建立系统
正常行为的轨迹,当系统运行时的数值超过正常阈值,则认为可能受到攻击,该技术本身就导致了其漏报误报率较高。另外,大多IDS是基于单包检查的,协议分析得不够,因此无法识别伪装或变形的网络攻击,也造成大量漏报和误报。
三、如何提高入侵检测系统的互动性能,从而提高整个系统的安全性能。
在大型网络中,网络的不同部分可能使用了多种入侵检测系统,甚至还有防火墙、漏洞扫描等其他类别的安全设备,这些入侵检测系统之间以及IDS和其他安全组件之间如何交换信息,共同协作来发现攻击、作出响应并阻止攻击是关系整个系统安全性的重要因素。例如,漏洞扫描程序例行的试探攻击就不应该触发IDS的报警;而利用伪造的源地址进行攻击,就可能联动防火墙关闭服务从而导致拒绝服务,这也是互动系统需要考虑的问题。
25.简述入侵检测常用的四种方法。
1.静态配置分析通过检查系统的配置,诸如系统文件的内容,来检查系统是否已经或者可能会遭到破坏。静态是指检查系统的静态特征(比如,系统配置信息)。
2.异常性检测技术是一种在不需要操作系统及其安全性缺陷的专门知识的情况下,就可以检测入侵者的方法,同时它也是检测冒充合法用户的入侵者的有效方法。但是。在许多环境中,为用户建立正常行为模式的特征轮廓以及对用户活动的异常性进行报警的门限值的确定都是比较困难的事。因为并不是所有入侵者的行为都能够产生明显的异常性,所以在入侵检测系统中,仅使用异常性检测技术不可能检测出所有的入侵行为。而且,有经验的入侵者还可以通过缓慢地改变他的行为,来改变入侵检测系统中的用户正常行为模式,使其入侵行为逐步变为合法,这样就可以避开使用异常性检测技术的入侵检测系统的检测3.基于行为的检测方法通过检测用户行为中的那些与某些已知的入侵行为模式类似的行为或那些利用系统中缺陷或者是间接地违背系统安全规则的行为,来检测系统中的入侵活动。
26.简述计算机病毒的特征P78和类型P80,远离病毒的八项原则是什么?P77
八项原则:1. 建立良好的安全习惯2. 关闭或删除系统中不需要的服务 3. 经常升级安全补丁4. 使用复杂的密码5. 迅速隔离受感染的计算机 6. 了解一些病毒知识7. 最好安装专业的杀毒软件进行全面监控
8. 用户还应该安装个人防火墙软件进行防黑
27.从我国实际出发,分析论述我国应如何加强电子商务安全。
1,对电子商务进行专门立法。
电子商务是一个新生事物,很多方面不同于传统商务,与传统的法律规范体系也存在着诸多的不相容之处,而且,传统的法律规范体系中还有许多电子商务方面的空白
2,建设我国的电子商务认证机构体系。
电子商务认证机构是电子商务中的重要部门,其担负着维护电子交易安全的责任。因此,要完善我国的电子商务安全运营,必须建立我国的电子商务认证体系。
在目前存在的三种电子商务认证机构模式中,当事人自由约定的电子商务认证体系不适合我国的实际情况。我国,电子商务刚刚发展起来,不完善的地方很多,很多普通的消费者对电子商务还不很了解,根本无法在自由约定时,提出对自己有利的条件。而且,在交易双方的力量对比悬殊的情况下,弱势一方很难通过谈判来取得公平的结果。再进一步说,这种模式的认证结果通用性很差,不适合我国刚起步的电子商务的发展。
因此,目前来看,行业协会主导的电子商务认证体系是更适合我国国情的一种选择。行业协会更了解认证机构的运作,更能有效的对其进行监管。这种认证体系,把电子商务的商业发展的自主性、安全性要求与认证机构的行业特点有效地结合起来。
但另一方面,我国的电子商务认证系统还远不成熟,仍有许多需要完善的地方。我们必须对此给予充分的重视,以便为电子商务的安全发展提供组织保障。
3,大力推进电子签名等技术的发展,从技术上为电子商务提供安全保障。
电子商务的产生、发展是科技发展的结果,其安全运营也要依靠技术给予的保障。因此,为加强电子商务的安全性,我们必须大力推进科技的发展,使技术满足电子商务的安全运营要求。在电子商务中广泛使用的电子签名,就涉及许多复杂的技术问题。
28.以下为TCP协议传送的一个数据报文,请根据TCP的PDU结构,写出该TCP报文首部各字段的详
细含义。
09 80 00 15 9f 56 97 5a 00 00 00 00 70 02 fa f0 6f 17 00 00 70 02 fa f0 6f 17 00 00
1、2字节(09 80)表示源端口号,为2432端口,是文件服务器的端口(把0980转化成十进制);
3、4字节(00 15)表示目的端口号,21端口,ftp的端口;
5、6、7、8(9f 56 97 5a)字节表示32位的序列号;
9、10、11、12(00 00 00 00)表示确认序号(应该是一个请求连接的报文);
13字节(70)的前四位(7表示首部长,以四字节为单位,正好28个字节,后四位没有用);
14字节(02)只后五位000010有用,右数第二位为1,即SYN为一,说明这是一个请求连接;
15、16(fa f0)表示窗口大小;
17、18(6f 17)表示校验和;
19、20(00 00)为紧急指针(由于在14字节那六位中最左边那位为0,所以这两个字节没有用);
21——28为选项字段(比较杂,如果要深究可自己去查一查)。
29.简述暴力攻击的原理。暴力攻击如何破解操作系统的用户密码、如何破解邮箱密码、如何破解Word
文档的密码?针对暴力攻击,如何防御?
1)破解电子邮箱密码,一个比较著名的工具软件是,黑雨——POP3邮箱密码暴力破解器,该软件分别对计算机和网络环境进行优化的攻击算法:深度算法,多线程深度算法,广度算法和多线程广度算法。该程序可以以每秒50到100个密码的速度进行匹配。防范这种暴力攻击,可将密码的位数设置在10位以上,一般利用数字,字母和特殊字符的组合就可以有效地抵抗暴力攻击。2)使用工具软件,Advanced Office XP Password Recovery 可以快速破解Word文档密码。点击工具栏按钮“Open file”,打开刚刚建立的Word 文档,设置密码长度最短是一位,最长是三位,点击工具栏开始的图标,开始破解密码,大约两秒钟后,密码就被破解了。防范这种暴力攻击,可以加长密码。3)程序首先通过扫描得到系统的用户,然后利用字典镇南关每一个密码来登录系统,看是否成功,如果成功则将密码显示。
30.简述Unicode漏洞的基本原理。
攻击者可通过IE浏览器远程运行被攻击计算机的cmd.exe文件,从而使该计算机的文件暴露,且可随意执行和更改文件。Unicode标准被很多软件开发者所采用,无论何种平台、程序或开发语言,Unicode均为每个字符提供独一无二的序号,如向IIS服务器发出包括非法Unicode
UTF-8序列的URL,攻击者可使服务器逐字“进入或退出”目录并执行任意程序,该攻击即称为目录转换攻击。
Unicode用“%2f”和“%5c”分别代表“/”和“\”字符,但也可用“超长”序列来代替这些字符。“超长”序列是非法的Unicode表示符,如用“%c0%af”代表“/”字符。由于IIS不对超长序列进行检查,因此在URL中添加超长的Unicode序列后,可绕过微软的安全检查,如在一个标记为可执行的文件夹发出该请求,攻击者即可在服务器上运行可执行文件。
32. 如何留后门程序?列举三种后门程序,并阐述原理以及如何防御。
网络后门是保持对目标主机长久控制的关键策略。可以通过建立服务端口和克隆管理员账号来实现。
只要能不通过正常登陆进入系统的途径都成为网络后门。后门的好坏取决于被管理员发现的概率。只要不容易被发现的后门都是好后门。留后门的原理和选间谍是一样的,让管理员看了感觉没有任何特别的地方。1)远程启动Telnet服务:利用主机上的Telnet服务,有管理员密码就可以登录到对方的命令行,进而操作对方的文件系统。如果Telnet是关闭的,就不能登陆。2)记录管理员口令修改过程3)建立Web服务和Telnet服务:使用工具软件wnc.exe可以在对方的主机上开启两个服务:Web服务和Telnet服务其中Web 服务的端口是808,Telnet服务的端口是707执行很简单,只要在对方的命令行下执行一下wnc.exe就可以31.系统日志有哪些?如何清除这些日志?
系统日志分为:应用程序日志,安全日志、DNS服务器日志等。
清除日志:可以用管理员的身份来登录Windows,然后在“控制面板”中进入“管理工具”,再双击里面的“事件查看器”。打开后我们就可以在这里清除日志文件了,里面有应用程序、安全和系统日志文件。举个例子,比方说你想清除安全日志,可以右键点击“安全日志”,在弹出的菜单中选择“属性”。接下来在弹出的对话框中,点击下面“清除日志”按钮就可以清除了,如果你想以后再来清除这些日志的话,可以将“按需要改写尺寸”,这样就可以在达到最大日志尺寸时进行改写事件了,不会提示你清除日志。32.简述操作系统帐号密码的重要性,有几种方法可以保护密码不被破解或者被盗取?
操作系统账号密码的安全是很重要的,在个人计算机上也许不觉得,但如果计算机有很重要的文件,或者一些很有价值的账号密码,一旦被黑客盗取,那么就会造成重要信息的泄露,大则损失是无法计算的。有时还会威胁到国家的安全和利益。
一般的黑客攻击都是扫描你的管理员账户的密码是否为空,而我们所做的XP等系统默认的管理员账户administrator为空,安全方面除了一般必要的不要让别人知道你的密码以外,你可以采用密码策略
1. 让一些不必要或不要让人知道你的密码
2. 使用相对安全的密码,比如数字和字母、符号相结合的,这样不容易破解。
3. 启动管理员密码锁定策略,例如输入错误三次则锁定管理员账户。
4. 给管理员账户变身,也就是说,把管理员账号administrator改个名字或者禁用管理员密码,新建一个账户加入管理员组。
33.简述审核策略、密码策略和帐户策略的含义?这些策略如何保护操作系统不被入侵。
审核策略,是windows中本地安全策略的一部分,它是一个维护系统安全性的工具,允许跟踪用户的活动和windows系统的活动。在计算机中设置了审核策略,就可以监控成功或失败的事件。在设置审核事件时,windows将事件执行的情况纪录到安全日志中,安全日志中的每一个审核条目都包含三个方面的内容:执行动作的用户,事件发生的时间及成功与否。对文件和文件夹访问的审核,首先要求审核的对象必须位于NTFS分区之上,其次必须为对象访问事件设置审核策略。符合以上条件,就可以对特定的文件或文件夹进行审核,并且对哪些用户或组指定哪些类型的访问进行审核。
密码策略,即用户账户的保护一般主要围绕着密码的保护来进行。为了避免用户身份由于密码被破解而被夺取或盗用,通常可采取诸如提高密码的破解难度、启用账户锁定策略、限制用户登录、限制外部连接以及防范网络嗅探等措施。密码策略也可以在指定的计算机上用“本地安全策略”来设定,同时也可在网络中特定的组织单元通过组策略进行设定的。
在Windows 2000域中,账户策略是通过域的组策略设置和强制执行的。在其它GPO中对域账户策略进行的设置将会被忽略。而在工作站或者成员服务器上直接配置账户策略也只能影响到相应计算机的本地账户策略以及锁定策略。账户策略中包括密码策略、账户锁定策略和kerberos策略的安全设置。
35.网络监听技术的原理是什么?
原理:在局域网中与其他计算机进行数据交换时,数据包发往所有连在一起的主机,也就是广播,在报头中包含目的机正确地址。因此只有与数据包中目的地址一致的那台主机才会接受数据包,其他的机器都会将包丢弃。但是,当主机工作在监听模式下时,无论接收到的数据包中目的地址是什么,主机都将其接收下来。然后对数据包进行分析,就得到了局域网中通信的数据。一台计算机可以监听同一网段内所有的数据包,不能监听不同网段的计算机传输的信息。
36.简述公开密钥算法的基本原理。
答:加密的传统方法只用一把密钥加密。发出讯息者用这把钥匙对讯息加密。接收讯息者需要有完全相同的钥匙才能将加密了的讯息解密。这把钥匙必须以一种其他人没有机会得到它的方式给予接收讯息者。如果其他人得到了这把钥匙,这种加密方式就没用了。
使用一种称为"公开钥匙"的方法可以解决这个问题。公开钥匙的概念涉及两把钥匙。一把钥匙称为"
公开钥匙"(公钥),可以以所有方式传递,任何人都可以得到。另一把钥匙称为"隐密钥匙"(密钥)。
这把钥匙是秘密的,不能传递出去。只有它的拥有者才能接触和使用它。如果正确实施了这种方法,从公钥不能得出密钥。发出讯息者以接收讯息者的公钥将讯息加密,接收者则以自己的密钥解密。
14.数据加密传输有哪几种方式其特点是什么?P163 P183
电子商务安全技术期末考试复习提要
电子商务安全技术》期末考试复习提要 一.填空类问题 主要涉及教材中各章节的要点,涵盖教案大纲中对各章节所提出的应掌握、理解、了解的内容。 术语解释类问题 1.黑客 2.安全策略 3.电子钱包 4.B—TO—B 5.B—TO—C 6.G—TO —B 7.防火墙 8.EDI 9.DES 10.RSA 11.CA 12.数字证书 13.PKI 14.密钥 15.IC 卡 16.密码系统 17.密码学 18.IP 欺瞒 19.私有密钥系统 20.公有密钥系统 21.数字签名 22.数字信封 23.安全机制 24.安全协议 25.TCP/IP 26.ISO 27.SSL安全协议 28.SET安全协议 29.S—HTTP 安全协 30.DTSS 31.对称加密系统 32.非对称加密系统 33.网上银行
三. 问答题 1.电子商务系统主要受到的安全威胁有那些? 2.简述电子商务的安全需求包括哪 5 个方面的内容? 3.简述电子商务的安全要素。 4.在设计安全可靠的电子商务设施时,需要考虑的 10 个关键性问题是什 么? 5.简述 ISO7498/2 中提出的安全服务和相应的安全机制? 6.简述黑客进行网络攻击时常用的策略有哪些? 7.目前已开发并应用的电子商务安全协议分为哪 6 种类型? 8.简述双钥体制的认证协议的工作原理。 9.简述双向认证协议的实现过程。 10. 简述 SSL 安全协议的特点及实现过程。 11. 简述 SET 安全协议的特点及实现过程。 12. 私钥加密体系与公钥加密体系有何区别,它们各有什么优点? 13. 概述数字签名技术的用途和实现过程。 14. 数字签名技术与认证技术的用途有什么不同? 15. 简述 PKI 系统的基本组成及其安全管理功能。 16. 密钥管理的目的是什么?密钥管理通常涉及的有关问题有哪些? 17. 在电子商务中采用防火墙应有哪些优点? 18. 简述在电子商务中采用的防火墙具备哪些安全业务? 19. 安全支付系统可分为哪几类,它们的特点是什么? 20. Internet 给电子商务带来的安全隐患和安全问题有哪些? 21. 信息安全是电子商务安全的基本保障,请问:信息安全管理应遵 循哪 10 条基本原则? 22. 为了确保电子商务安全,在网络上采用安全保密可靠保险技术要 遵循的 3 项基本原则是什么? 23. 防火墙有哪两种决然不同的安全控制模型,它们的性能和用途有 何区别? 24. 简述智能卡的逻辑组成及其安全机制。 25. 试描述我国发布的《计算机信息系统安全保护等级划分准则》 中,将计算机安全保护划分为哪 5 个级别? 四. 应用分析题 1.如何建立电子商务的安全体系,试说明其各组成部分的技术构成及其作 用。 2.试描述 Hash 签名技术的实现过程,并说明:( 1)Hash 签名的抗攻击 性;(2)为什么说Hash 签名更适合于电子商务? 3.试论述 PKI 系统各组成部分的功能,并说明 PKI 系统在电子商务中所起 的作用。 4.试论述防火墙系统各组成部分的功能,并说明防火墙系统在电子商务中 34. 35. 特洛伊木马 Web 欺骗
电子商务课后习题及答案
电子商务概论复习思考题 第一章电子商务概述 一、判断题 1、网络商务信息是指通过计算机传输的商务信息,包括文字、数据、表格、图形、影像、声音以及内容能够被人工或计算机察知的符号系统。(√) 2、电子商务的核心是人。(√) 3、电子商务是一种以消费者为导向,强调个性化的营销方式。(×) 二、选择题(包括单选题和多选题) 1、下列关于电子商务与传统商务的描述,正确的是(A) A、传统商务受到地域的限制,通常其贸易伙伴是固定的,而电子商务充分利用Internet,其贸易伙伴可以不受地域的限制,选择范围很大 B、随着计算机网络技术的发展,电子商务将完全取代传统商务 C、客户服务职能采用传统的服务形式,电子商务在这一方面还无能为力 D、客服购买的任何产品都只能通过人工送达 2、电子商务以满足企业、商人和顾客的需要为目的,增加(D),改善服务质量,降低交易费用。 A、交易时间 B、贸易机会 C、市场范围 D、服务传递速度 3、电子商务实质上形成了一个(ABC )的市场交换场所。 A、在线实时B虚拟C、全球性D、网上真实 三、问答题 1、E-Commerce和E-Business的区别在哪里? 答:E-Commerce是实现整个贸易过程中各贸易活动的电子化,从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:E―Commerce是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。它的业务包括:信息交换、售前售后服务、销售、电子支付、运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。 E-Business是利用网络实现所有商务活动业务流程的电子化,不仅包括了E-Commerce 面向外部的所有业务流程,还包括了企业内部的业务流程,如企业资源计划、管理信息系统、客户关系管理、供应链管理、人力资源管理、网上市场调研、战略管理及财务管理等。E-Commerce集中于电子交易,强调企业与外部的交易和合作,而E-Business则把涵盖范围扩大到企业外部。 2、试述电子商务活动中的三流分离的各种可能性。 答:在电子商务活动中,信息流、资金流和物流本身是相互独立的。信息流是电子商务交易过程中各个主体之间不断进行的双向交流。物流进行的是一个正向的流程,即从原材料供应商到制造商,再通过经销商或配送中心到顾客。而资金流进行的是一个反向的流程,顾客付款时需要通过他的开户银行将货款汇给经销商,经销商再汇给制造商,制造商汇款给原材料供应商。 信息流、资金流和物流的形成是商品流通不断发展的必然结果。它们在商品价值形态的转化过程中有机地统一起来,共同完成商品的生产—分配—交换—消费—生产的循环。
大学《电子商务》考试题库及答案
B to C属于() A. 企业对企业 B. 消费者对消费者 C. 消费者对政府机构 D. 企业对消费者 回答错误!正确答案: D 下列关于网络营销说法不正确的是()。 A. 不仅仅是网上销售 B. 以互联网为主要手段 C. 可以完全取代传统市场营销 D. 以开拓市场实现盈利为目标 回答错误!正确答案: C 关于电子商务信任管理存在的问题,下列哪一项不正确()。收藏 A. 信任模型可以揭示信任主体的信任风险 B. 缺乏法律依据 C. 信誉信息开放程度较低,信用评级不统一 D. 认证制度存在缺陷 回答错误!正确答案: A 以下哪种后缀形式代表非营利性机构域名() A. .org
B. .gov C. .edu D. .com 回答错误!正确答案: A 电子商务应用框架的四个支柱不包括()。 A. 技术标准 B. 安全意识 C. 公共政策 D. 法律规范 回答错误!正确答案: B ERP是集成化管理的代表技术其核心管理思想就是实现对整个( )的有效管理。收藏 A.供应链 B.社会 C.流程 D.企业 回答错误!正确答案: A ()不属于广义电子商务的范畴。 A. 管理信息系统 B. 电子数据交换 C. 财务管理 D. 客户关系管理 回答错误!正确答案: B
EDI的五个模块属于一个层次结构。其中用户接口模块离用户最近,()离网络系统最近。 收藏 A. 格式转换模块 B. 报文生成及处理模块 C. 内部接口模块 D. 通信模块 回答错误!正确答案: D 电子商务信任管理中,不包括() 收藏 A. 安全交易标准 B. 认证制度 C. 信用评级 D. 在线信誉系统 回答错误!正确答案: B 物流一体化管理是()提出来的。 收藏 A. 1980-1990 B. 1990年以后 C. 1960年前 D. 1970-1980 回答错误!正确答案: A 由专业物流组织进行的物流称为()。
电子商务试题及答案4
一、单项选择题 1、中国“政府上网年”是在(D)。 A、1996 B、1997 C、1998 D、1999 2、网络营销区别于传统营销的根本之处在于(D)。 A、产品、价格、分销、促销 B、是否坚持市场调查 C、人员推销和网络广告 D、网络本身的特性和消费者需求的个性回归 3、ICP的含义是(B)。 A、网络接入服务提供商 B、Internet内容提供商 C、网络营销商 D、网络客户 4、从网上收集的信息,可以通过人工或机器进行处理,一般说来,如信息量较大、较模糊,可采取(D)。 A、人工处理 B、改进计算机处理软件进行机器处理 C、机器处理 D、人工机器结合 5、以新的市场或细分市场为目标市场的现有产品被称为(B)。 A、新产品 B、重定位产品 C、改良新产品 D、新产品线 6、(B)是消费者提出一个价格范围,求购某一商品,由商家出价,出价可以是公开的也可以是隐蔽的,消费者与出价最低或最接近的商家成交。 A、竞价拍卖 B、竞价拍买 C、集体议价 D、网络拍卖 7、网上营销与离线营销相结合的渠道策略是(C)。 A、中间商策略 B、双向策略 C、双渠道策略 D、整合渠道策略 8、网络直接销售渠道的主要类型(D)。 A、企业网页 B、ISP 的主页 C、Internet D、企业网站 9、以下(A)是现代电子商务模式的主流模式。 A、B2B模式 B、B2C模式 C、C2C模式 D、B2G模式 10、(C)是利用企业内部网络进行电子交易。 A、基于EDI网络的电子商务 B、基于Internet的电子商务 C、基于Intranet的电子商务 D、基于Extranet的电子商务 二、多项选择题 1、传统媒体是指(ABC)。 A、报纸 B、无线广播 C、电视传媒 D、互联网络 2、传统营销策略的4P是指(ABCD)。 A、产品 B、价格 C、分销 D、促销 E、人员推销 3、网络营销策略的4C是指(ABDE)。 A、顾客 B、成本 C、网上调查 D、方便 E、沟通 4、传统营销中最能体现强势营销特征的促销手段是(AC)。 A、人员推销 B、网络广告 C、传统广告 D、产品展销会 5、软营销(ABC)。 A、是相对工业化大规模生产时代的“强势营销”而言的 B、其特征之一是遵守“网络礼仪” C、的主动方是消费者 D、的主动方是企业 6、网络商品直销是指消费者和生产者,或需求方和供应方直接利用网络形式开展的交易活动。B2C交易模式最大特点是(ABCD)。 A、提供消费者和生产者直接见面
电子商务基础与应用复习题
复习思考题教科书指《电子商务基础与应用》第六版 (仅供参考) 一、判断题 1、在世界企业电子商务应用中,丹麦、新加波、冰岛等国,基本上都排在最前列。 2、网络商品直销,是指消费者和生产者或者需求方和供应方,直接利用网络形式所开展的买卖活动。 3、一般来说,在电子商务发展的初级阶段,驱动模式相对单一,多为企业领导驱动或业务部门驱动等内部驱动。 4、电子数据交换(EDI)也可译为“无纸贸易”,二者是完全一样的。 5、TCP/IP协议是一个协议集合,它包括TCP协议(Transport Control Protocol,传输控制协议)、IP协议(Internet Protocol,因特网协议)以及其它一些协议。 6、Intranet是指在现有的局域网基础上,运用Internet网络技术,在企业内部所建立的网络系统。 7、虚拟服务器和托管服务器是指用户的服务器从因特网接入到维护管理完全由自己操作。 8、许多网站设立文本管理员、Web管理员、内容管理员和其它职务,以流水线方式完成信息的收集、转换、发布和维护等工作。内容管理员负责收集信息。 9、维护费是信息服务所包涵的几项费用中最复杂、最不确定、也是最核心的一项。 10、信息加工处理的方式主要是两种,即人工处理和机器处理。 11、网络商务信息检索是指在网络上对商务信息的获取和整理。 12、一个人的购买行为,直接或间接地、自觉或不自觉地为了实现某种需求的满足,由需求产生购买动机,再由购买动机导致购买行为。 13、理智动机是指基于理智经验和感情之上,对特定的网站、图标广告、商品产生特殊的信任与偏好而重复地、习惯性地前往访问并购买的一种动机。 14、在移动电子商务中,购物主要是指通过移动电话完成Internet电子商务,也就是说,通过移动电话完成电子商场(即虚拟商场)的订单、支付、购买物理商品和服务等业务。 15、从目前情况看,利用移动电子商务主要集中在“小额”领域,即支付金额不大的小额购物和服务、小额支付。 16、网络站点促销具有直接性特点,快速、简便;而且,买卖双方网上直接对话,成交的几率较高,但其费用相对偏高。 17、网络广告促销主要实施“推战略”,网络站点促销主要实施“拉战略”。一般说来,日用消费品采用广告促销的方法比较好。 18、同传统广告一样,因特网上网络广告的价格也因幅面大小的不同而有所不同。幅面越大,价格越贵。对客户来讲,在可视范围内,尺寸越大越好。 19、电子邮件可以利用软件进行邮件群发,这种方法对于网站来说较省力,也能取得和对个人进行单独寄发邮件差不多的促销效果。 20、病毒式促销是抓住网民的心理特征,通过具有蛊惑力的促销手段的应用,刺激网民利用因特网向他人传递营销信息,使营销信息被快速复制并传给数以万计甚至数以百万计的受众。 21、Web-EDI允许中小企业只需通过浏览器和因特网连接就可实现EDI交换,是目前因特网EDI中最为流行的一种方式。 22、目前,以ebXML为基础的商务应用已进入实际应用阶段。虽然从总体上来说,世界上已完成的ebXML 项目还比较少,但这些项目基本上都取得了成功,达到了预期的效果。 23、在线电子支付是电子商务的关键环节,也是电子商务得以顺利发展的基础条件。 24、电子现金将成为互联网支付的一种重要工具,特别是涉及巨额的电子商务活动。 25、随着市场变化的加快,产品寿命周期正在逐步缩短,小批量多品种的生产已经成为企业生存的关键。 26、从广义的角度以及物流运行的角度看,第三方物流包括一切物流活动,以及发货人可以从专业物流代理商处得到的其他一些增值服务。 27、客户信息认证用于鉴别用户身份,保证通信双方身份的真实性。 28、客户身份认证用于保证通信双方的不可抵赖性和信息的完整性。 29、签署文件的时间是由签署人自己写上的,而数字时间戳是由提供时间戳服务的机构DTS来加的,以DTS收到文件的时间为依据。 30、身份认证是判明和确认贸易双方真实身份的重要环节,但不是电子商务交易过程中最薄弱的环节。
电子商务概论》练习题库及答案
华中师范大学网络教育学院《电子商务概论》练习测试题库本科 一、选择题 1、 Internet是目前全世界规模最大、信息资源最多的计算机网络,它是一个:____C___。 A.外部网 B.专用网 C.公共信息网 D.城域网 2、网上零售是典型的电子商务在___B____的应用。 A.企业一企业 B.企业一消费者 C.企业一政府 D.消费者一政府3、 WWW是一种基于__A_____方式查询文件信息的工具。 A.超文本 B.数据信息交换 C.存储转送 D.数据库 4、目前常用的加密方法主要有两种:___D____。 A.加密密钥和解密密钥 B.DES和密钥密码体系 C.RSA和公钥密码体系 D.密钥密码体系和公钥密码体系 5、电子现金的特点是:__C_____。 A.适合大额消费 B.每笔交易必须通过银行,因此比较安全 C.交易时可以直接将资金从一个持卡人账户转移到另一个账户 D.必须通过智能卡完成交易 6、使用公钥密码体系,每个用户只需妥善保存___A___个密钥。 A.1 B.2 C.3 D.4 7、电子商务认证中心的核心职能是___C_____。 A.颁发数字证书 B.管理数字证书 C.颁发和管理数字证书D.审查数字证书
8、电子商务来自交易的风险有__A_____等等。 A.交易一方不承担交易责任、消费者联机划帐后发现网上卖方子虚乌有 B.信用卡账号被窃取、贸易系统瘫痪 C.黑客扰乱了贸易系统、卖方送货上门而购买者对产品不满意拒绝付款 D.支付正在进行中系统出问题了、买方否认购买要求 9、有关EDI标准,东南亚国家主要选择使用:___A____。 A.UN/EDIFAC B.美国X.12标准 C.欧洲标准 D.ISO标准10、以下关于Extranet(外联网)的概念正确的是:____B___。 A. Extranet可以看作是一种开放的网络 B. Extranet可以看作是利用Internet和防火墙技术或专用网将多个Intranet连接起来的一个大的网络系统 C. Extranet不是一种虚拟专用网络,而是新建的物理网络 D. Extranet相当于EDI 11、网站建设的方案除了企业完全是自己开发和管理的Web网站外,还可以采用___D____方式. A.服务器托管 B.虚拟主机 C.子域发布 D.以上三种方式均可12、 EDI业务所使用的翻译软件主要是用于:__B_____。 A.用户格式报文与平面文件之间的翻译 B.平面文件与EDI标准报文之间的翻译 C.用户格式报文与EDI标准报文之间的翻译 D.不同文字报文之间的翻译13、使用电子支票付款系统须提供_____C__等,以弥补无法面对面地进行交换所带来的缺陷。
电子商务试卷及其答案
电子商务考试试卷 一、单选题(请将正确答案的题号填入括号中,每小题1分,共计20分) 1、电子商务的前提是:() A.商务信息化 B.商务国际化 C.交易国际化 D.交易网络化 2、商家要开展电子商务活动,应该用()作为其主要的生意平台。 A.BBS B.电子邮件 C.在线商店 D.电话定购 3、在线商家要在互联网交易中处理结算卡,必须设置一个:() A.商家账户 B.专业账户 C.大众账户 D.个人账户 4、在网络商品中介交易中,由买卖双方直接完成的是:() A.信息传递 B.送货 C.结算 D.签订合同 5、CA数字证书中不包含的信息有() A.CA的数字签名 B.证书申请者的个人信息 C.证书申请者的私钥 D.证书申请者的公钥信息 6.数字签名可以解决:() A.数据被泄露 B.数据被篡改 C.未经授权擅自访问 D.冒名发送数据或发送后抵赖 7.小型企业互联网解决方案主要是:() A. 主机托管 B.虚拟主机 C.独立服务器 D.不能确定 8.信息服务商是指:() A.ISP B.CSP C.ROI D.IDG 9.按照信息搜集方法分类,Yahoo属于以下哪一类?() A.目录式搜索引擎 B.机器人搜索引擎 C.元搜索引擎 D.非全文数据库检索软件 10.AltaVista搜索引擎使用的关键在于:() A.掌握初级检索功能 B.掌握中级调查功能 C.掌握高级检索功能 D.掌握关键词检索 11.以下关于销售链管理的说法不正确的是:() A.从客户初次联系到订货 B.以业务流程为中心12.呼叫中心的任务是:() A.提醒生产部门及时供货 B.向客户传达各种商品信息 C.通过有效解决疑难和问题来使客户满意 D.协调企业各个部门的工作 13.按钮广告属于:() A.文本广告 B.插页广告 C.电子邮件广告 D.旗帜广告 14.大众媒体促销过程的最重要特征是:() A.销售者是主动的,而购买者是被动的 B.销售者是被动的,而购买者是主动的 C.销售者是主动的,而购买者也是主动的 D.销售者是被动的,而购买者也是被动的 15.域名实质上是一种:() A.企业名称 B.企业标识 C.虚拟地址 D.网上商标 16.企业电子商务的信息认证普遍采用符合SET标准的()认证体系。 A.SSL B.PKI CA C.NONE-SET CA D.SET CA 17.SHECA设计开发的()证书使得一证多用成为可能? A.数字认证证书 B.身份认证证书 C.通用证书系统 D.信息认证证书 18.在B2B电子商务中,()的水平决定了电子商务实现的水平。 A.物流 B.信息流 C.资金流 D.技术流 19.卓越属于()类型的B2C电子商务企业: A.经营着离线商店的零售商 B.没有离线商店的虚拟零售企业 C.商品制造商 D.网络交易服务公司 20. ()接受商家的送货要求,将商品送到消费者手中。 A.邮局 B.快递公司 C.送货公司 D.物流中心 二、多选题(每小题2分,共16分,少选多选均不得分) 1.电子商务是指基于Internet的商务。Internet商务是一场商业革命。具体体现在:() A.打破时空的局限,改变贸易形态 B.传统的商务将被Internet商务所取代
电子商务复习思考题2015.11
电子商务复习思考题 一、填空题 填空题答案________是用于加、解密的一些特殊信息,它是控制明文与密文之间变换的密钥 关键,它可以是数字、词汇或语句。 B2C电子商务企业收益模式有________、会员制、降低价格扩大销 售量收取服务费 CRM中策略的评估标准有远景、策 略、________、行业监察目标与绩效 成功CRM的五大关键要素为:________、策略、人员、流程和技 术。客户 第三方支付平台是指平台提供商通过采用通信、计算机和信息安全技术,在商家,银行 ________和________之间建立起连接,从而实现从消费者到金融机 构、商家的 货币支付、现金流转、资金清算、查询统计等问 题。 电子商务安全体系有________、电子商务系统软件安全、________、电子商电子商务系统 务安全立法硬件安全、电子 商务系统运行安全 电子商务的基本组成要素有Intern et 、 Intranet 、 Extranet 、用户、物流商家 配送、认证中心、银 行、________。 电子商务的任何一笔交易都包含以下三种基本的 “流”,即物流、资金流和信息流 ________。 电子商务模式中,交易的供需信息都是通过交易双 方的________完成的,双网址和网络主方信息的沟通具有快速和高效率的特 点。页 电子商务网站测试主要分为以下几种:可用性测 试、________、接口测试、功能测试 兼容性测试、数据库测试、性能测 试。 电子商务网站的结构、形式、功能、规模上有很多的差别,可以划 分为信息销售型 型、________、综合型 电子商务网站开发可行性分析主要 有:________的可行性分析、技术上可行经济上 性分析、管理的可行性分析、环境的可行性分 析。 电子商务网站是由一系列________、制作工具、编程技术、后台数据库等 构网页 成,具有实现不同电子商务应用的各种功能,可以实现广告宣传、经 销代理、 银行和运输公司中介等方面作 用。 电子商务网站维护主要包括一般性 维护和________维护。网站 电子商务下信息传输中存在的安全问题主要有,冒 名偷窃、________、信息篡改数据丢失、信息传递过程中的破坏、虚假 信息。 电子现金的特点有________、不可跟踪性、节省传输费用、风险小、节省交匿名性 易费用、支付灵活方 便。 电子现金是一种表示现金的________。加密序列数电子支票是将支票的全部内 容________。电子化
电子商务考试试题及答案
电子商务考试 选择题A 1、B2B是电子商务的最主要形式,也是电子商务效益之所在。 2、标准化是实现EDI的关键。 3、出价最高的出价人是按出价第二高的出价人所出的价格来购买拍卖品的方式是维氏拍卖。 4、全球第一家网上银行是安全第一网络银行。 5、在电子商店中享有网站数据库与网络管理系统的最高权限的工作人员是网上商店经理。 6、下列属于非对称加密算法系统的是AES。 7、用电子手段来证实一个用户的身份对网络资源的访问权限的技术叫做认证技术。 8、网络营销中4C中营销策略所主张的营销观念是客户中心。 9、通过Internet从一台计算机向另一台计算机进行文件拷贝的服务是文件传输。 10、WEB页上最常见,也是最有效的广告形式是旗帜广告。 11、对大多数企业网站来说,网站推广最重要的活动是在搜索引擎站点注册。 12、电子现金的英文称谓是E-cash。 13、相对电子现金来说,电子支票存在的最大问题是隐私保护问题。 14、淘宝网属于C2C电子商务模式。 15、以下最能反映网络营销的特点的是网络营销是建立在互联网环境中的营销方式。 选择题B 1、企业间的网络交易是电子商务的哪种形式B2B。 2、检索工具按信息搜索方法的不同,分为:目录式搜索引擎、元搜索引擎和机器人搜索引擎。 3、世界上最早的电子钱包系统出现在英国。 4、PIN是指个人识别码。 5、在社会经济领域,网络安全主要是指党政机关网络安全问题。 6、下列关于防火墙,说法正确的是防火墙的安全性能是根据系统安全的要求而设置的。 7、Internet中本地企业网区域的默认安全级别是中。 8、协议与主机之间应用://符号隔开。 9、在Internet上完成名字与地址间映射的系统为DNS。 判断题(14题) 1、数字签名主要目的是用来识别信息来源与加密功能。(×) 2、如果要实现网络直销型企业间的电子商务,要求企业实力比较雄厚,能进行量性化的生产,业务流以顾为导向。(√) 3、从技术上讲,内部网与互联网没有太大的区别,只是访问内部网需要授权。(×) 4、非对称加密方法主要采用的数据加密标准是DES算法。(×) 5、消息摘要主要采用Hash函数对信息产生一个定长的数字串,哪怕原信息被修改一位,修改前后产生的信息摘要就要完全不同。(√) 6、数字信封技术解决了对称密钥分发困难与公开密钥加密时间长的问题,实现了两种方法的取长补短与优势互补。(√) 7、EDI就是通过计算机网络传递电子数据,比如E-mail。(×) 8、网上最流行的信息发布方式是以HTML的形式将信息发布在WWW.上,传播的内容包括文本、图片、声音 和图像等。(√) 9、电子商店就是进行商品流通的展示及参与竞买竞卖的网站。(×) 10、由于物流相对费用便宜,所以贵重物品很适合在网上销售。(×) 名词解释(10选5) 1、电子商务。 是指各种具有商业活动能力的的实体(如生产企业、商贸企业等)利用计算机技术、网络技术、远程通讯技术和先进的数字化传媒技术进行的各项商业贸易活动。
电子商务安全技术复习思考题及答案
电子商务安全技术复习参考题 1.电子商务的安全要素有哪些?针对不同要素如何利用安全技术进行安全防范?P3 2.何谓数字签名?其实质内容是什么?在电子商务中数字签名主要起什么作用?其主要实现方法和基 本用途有哪些?p42-43,p187 就是只有信息的发送者才能产生的,别人无法伪造的一段数字串,它同时也是对发送者发送的信息的真实性的一个证明.签署一个文件或其他任何信息时,签名者首先须准确界定要签署内容的范围.然后,签名者软件中的哈希函数功能将计算出被签署信息惟一的哈希函数结果值(为实用目的).最后使用签名者的私人密码将哈希函数结果值转化为数字签名.得到的数字签名对于被签署的信息和用以创建数字签名的私人密码而言都是独一无二的. 实现方法:公钥加密技术和散列算法(Hash算法)相结合的一种数字签名方式。 3.简述身份认证包含的基本内容,并说明如何实现?p45 4.简述CA安全认证体系的功能和特点 (1)认证性。指ca认证体系可以使任何不知道密钥的人无法构造一个密报,可以使意定的接收者能够解密成一个可理解的信息。意定的接收者能够检验和证实信息的合法性和真实性。信息的发送者对所发送的信息不能抵赖。除了合法信息发送者之外,其他人无法伪造合法的信息。 (2)保密性。ca可以使戴获者在不知道密钥的条件下不能解读到该密文的内容。 (3)完整性。在自然和人为干扰条件下,ca有保持恢复信息和原来发送信息一致性的能力。应用中通常借助于纠错、检错技术来保证信息的完整性。 (4)独立性。我国的电了政务ca安全认证体系既和国际接轨,又符合中国国情,拥有自主版权;既符合国际标准,又保持了系统自身的独立性。 (5)应用的广泛性。ca充分考虑了我国各地经济和政治发展的现实状况,使不同应用层次的业务能够在同一认证体系下得以认证,拓宽了业务覆盖面。而且,可以采取多种接入方式,同时方便企业用户和个人用户,采用各种通讯工具在ca安全认证体系的支撑下使用各类业务,扩大了安全认证体系的用户面。 (6)建设的高标准性和规范性。开发者在ca安全认证体系的整个开发建设过程中,始终高度注意逻辑实体和技术等因素的标准、规范化,以使其能够方便地在行业内和跨行业推广应用。 5.简述TCP/IP协议簇的基本结构,并分析每层可能受到的威胁以及如何防御。 讨论TCP/IP的时候,总是按五层来看,即物理层,数据链路层,网络层,传输层和应用层.1.物理层:这里的威胁主要是窃听,那使用防窃听技术就可以了;2.数据链路层:有很多工具可以捕获数据帧,如果有条件的话,可以使用数据加密机;3.网络层:针对IP包的攻击是很多的,主要是因为IPv4的数据包本身是不经过加密处理的,所以里面的信息很容易被截获,现在可以使用IPSec来提供加密机制;4.传输层:针对TCP 的攻击也多了,在这里一般使用进程到进程(或者说端到端的)加密,也就是在发送信息之前将信息加密,接收到信息后再去信息进行解密,但一般会使用SSL;5.应用层:在应用层能做的事情太多,所以在这里做一些安全措施也是有效的; 6.何谓数字信封?如何实现? 数字信封的实现步骤: 1、使用会话密钥加密明文;需要会话密钥,加密函数; 2、从CA得到接收方的证书,并用证书的公钥对会话密钥加密; 3、读取接收方证书的ID,把密文,加密的会话密钥,ID以一定的格式压缩打包发送; 7.网络攻击技术主要包括那些方面?常见的攻击类型有哪些?(说明其中5种以上类型,并对其中一种 进行详细说明。) 1)网络监听:自己不主动去攻击别人,而是在计算机上设置一个程序去监听目标计算机与其他计算机通信的数据。 2)网络扫描:利用程序去扫描目标计算机开放的端口等,目的是发现漏洞,为入侵该计算机做准备。 3)网络入侵:当探测发现对方存在漏洞后,入侵到对方计算机获取信息。 4)网络后门:成功入侵目标计算机后,为了实现对“战利品”的长期控制,在目标计算机中种植木马等后门。 5)网络隐身:入侵完毕退出目标计算机后,将自己入侵的痕迹清除,从而防止被对方管理员发现 网络监听是一种监视网络状态、数据流程以及网络上信息传输的管理工具,它可以将网络界面设定成监听模式,并且可以截获网络上所传输的信息。也就是说,当黑客登录网络主机并取得超级用户权限后,若要登录其它主机,使用网络监听便可以有效地截获网络上的数据,这是黑客使用最好的方法。 但是网络监听只能应用于连接同一网段的主机,通常被用来获取用户密码等。
电子商务课后习题及答案
电子商务课后习题及答 案 Document number:WTWYT-WYWY-BTGTT-YTTYU-2018GT
电子商务概论复习思考题 第一章电子商务概述 一、判断题 1、网络商务信息是指通过计算机传输的商务信息,包括文字、数据、表格、图形、影像、声音以及内容能够被人工或计算机察知的符号系统。(√) 2、电子商务的核心是人。(√) 3、电子商务是一种以消费者为导向,强调个性化的营销方式。(×) 二、选择题(包括单选题和多选题) 1、下列关于电子商务与传统商务的描述,正确的是( A ) A、传统商务受到地域的限制,通常其贸易伙伴是固定的,而电子商务充分利用Internet,其贸易伙伴可以不受地域的限制,选择范围很大 B、随着计算机网络技术的发展,电子商务将完全取代传统商务 C、客户服务职能采用传统的服务形式,电子商务在这一方面还无能为力 D、客服购买的任何产品都只能通过人工送达 2、电子商务以满足企业、商人和顾客的需要为目的,增加(D),改善服务质量,降低交易费用。 A、交易时间 B、贸易机会 C、市场范围 D、服务传递速度 3、电子商务实质上形成了一个( ABC )的市场交换场所。 A、在线实时 B虚拟 C、全球性 D、网上真实 三、问答题 1、E-Commerce和E-Business的区别在哪里
答:E-Commerce是实现整个贸易过程中各贸易活动的电子化,从涵盖范围方面可以定义为:交易各方以电子交易方式而不是通过当面交换或直接面谈方式进行的任何形式的商业交易;从技术方面可以定义为:E―Commerce是一种多技术的集合体,包括交换数据、获得数据以及自动捕获数据等。它的业务包括:信息交换、售前售后服务、销售、电子支付、运输、组建虚拟企业、公司和贸易伙伴可以共同拥有和运营共享的商业方法等。 E-Business是利用网络实现所有商务活动业务流程的电子化,不仅包括了E-Commerce面向外部的所有业务流程,还包括了企业内部的业务流程,如企业资源计划、管理信息系统、客户关系管理、供应链管理、人力资源管理、网上市场调研、战略管理及财务管理等。E-Commerce集中于电子交易,强调企业与外部的交易和合作,而E-Business则把涵盖范围扩大到企业外部。 2、试述电子商务活动中的三流分离的各种可能性。 答:在电子商务活动中,信息流、资金流和物流本身是相互独立的。信息流是电子商务交易过程中各个主体之间不断进行的双向交流。物流进行的是一个正向的流程,即从原材料供应商到制造商,再通过经销商或配送中心到顾客。而资金流进行的是一个反向的流程,顾客付款时需要通过他的开户银行将货款汇给经销商,经销商再汇给制造商,制造商汇款给原材料供应商。 信息流、资金流和物流的形成是商品流通不断发展的必然结果。它们在商品价值形态的转化过程中有机地统一起来,共同完成商品的生产—分配—交换—消费—生产的循环。在电子商务交易过程中,信息流、资金流和物流被分离了,它们通过不同的渠道来协同完成其任务,如信息流的渠道主要是网络,物流的渠道是配送中心或快递公司,而资金流的渠道主要是银行。它们无论在时间上或渠道上都是可以分离的,流
电子商务练习题及答案
“电子商务”练习题 一、填空题 1.EDI系统构成三要素包括数据标准化、(EDI软件及硬件)和(通信网络)。 2.B2C电子商务模式主要有:门户网站、(电子零售商)、(内容提供商)、(交易经纪人)和社区服务商。 3. 影响消费者网上购物的因素:商品特性、(商品价格)、(购物便捷性)、(安全可靠性)和服务等几个方面。 数 卫 13电子商务的最基本要求是实现(信息流)、(资金流)、商流和物流的畅通和一致。 14WEB网络广告主要分为(横幅广告)、(按钮广告)、弹出广告、全屏广告、浮动广告、游戏广告、声音广告和编辑广告。 15电子商务的分类按参与主体可分为(B2B)、(B2C)和C2C三种主要模式。16电子商务按使用网络的不同分类可分为基于EDI、基于(Intranet)、基于Extranet和基于(Intranet)的电子商务模式。
17电子商务的应用框架分为四个层次和两个支柱。两个支柱分别为技术标准和政策法律 18对于电子商务的不同定义,主要是由于对(电子)和(商务)两个概念的不同理解引起的。 19电子商务安全交易中,利用(数字签名)防止行为否认,利用(数字时间戳)防止时间否认。 20网络广告主要分为(WEB形广告)和(E—MAIL形广告)两大类。 29电子银行一般认为可分为三个阶段:电话银行、(网上银行)、和(手机银行)。 二、选择题 1、传统企业要走电子商务之路,必然会面临多个方面的变革:(A、C、D ) A、技术的变革 B、主体的变革 C、流程的变革 D、结构的变革 2、与传统的商务活动相比,电子商务具有以下的特点:(A、B、D ) A、交易虚拟化 B、交易效率高 C、交易成本高 D、交易透明化 3、电子商务的基本组成包括下面哪些部分:(B、C、D) A、计算机 B、网络 C、用户 D、网上银行
电子商务试卷及答案.doc
一、单项选择题(11小题,共11分) (1)网络交易中心在网络商品中介交易中扮演着()的角色。 A、买方的卖方 B、卖方的买方 D 、交易的旁观者 (2)电子商务的流通渠道是()。 A、企业-批发商-零售商-消费者 C、企业-中介商-消费者 D、企业-零售商-消费者 (3)在新闻组(Usenet)中常用的一些顶级类别中,Misc表示什么涵义? A、商业类 B、计算机类 C、科学类 (4)消费者对网上商品的比较依赖于厂商对商品的描述,网络营销商对自己的产品描述 可以为 A、描述可以不充分,只要顾客认识即可 B、描述可以夸张,带有一定虚假成分 D、只要文字描述即可,不需要图片描述 (5)C-SHELL的提示符是。 B、$ C、& D、\ (6)ebXML的信息结构从外到里包括5个层次,依次是 A、传输信封,标题和信封内容,信息信封,文件标题和文件内容,清单和标题 C、传输信封,文件标题和文件内容,信息信封,信封标题和信封内容,清单和标题 D、传输信封,信封标题和信封内容,文件标题和文件内容,信息信封,清单和标题 (7)以下哪一项是以综合数字电话网为基础发展而成的,能提供端到端的数字连接。 B、PSTN C、DSL D、ATM (8)()是一种基于超连接(Hyperlink)的超文本(Hypertext)系统,是最为流行的信息检索服务程序。 A、BBS C、FTP D、SMTP (9)以下不属于EDI主要应用的贸易业务是。 A、企业与企业业务 B、企业与批发商业务 C、批发商与零售商业务
(10)以下属于动态分析法的是。 B、销售率分析 C、利润率分析 D、市场占有率分析 (11)SET CA适用于: A、B2B B、B2C及B2B D、二者均不适用 二、多项选择题(8小题,共16分) (1)电子商务安全环境的改善突出表现在()等方面。 A、物流配送系统的进一步改善 (2)目前,我国ISP的服务质量尚不尽如人意。造成这种现状的原因是 A、人为不重视 (3)以下哪些是263数据港为客户提供的服务? A、通信服务D、网络服务E、IP接入服务 (4)以下哪些不属于263数据港提供的基本电信服务7 E、广告设计 (5)属于传统防火墙的类型有。 B远程磁盘镜像技术E、入侵检技术(6)电子商务教学中所使用的案例可分为。 、难以解决问题案例设计型案例(7)企业电子商务网站的收益模式主要包括: A、收取广告代理费、增加商品数量 (8)用户证书从应用角度可将其分为: A、全国CA中心服务器证书 B、RA中心服务器证书 三、判断题 (1)使用“水平网站”这一概念,主要是因为这种网站的行业范围广,很多行业都可以在同一个网站上进行交易活动。(对) (2)WWW服务软件与WWW浏览器是配合使用的,WWW服务软件安装在客户机上,WWW浏览器安装在服务器端。对于客户机用户而言,可能无需知道Web 服务器在什么地方,更不需知道Web服务器的原理,只需知道如何使用就可以了。(错) (3)WWW服务软件与WWW浏览器是配合使用的。(对)
电子商务技术基础复习题有答案
《电子商务技术基础》 一、填空题 1.WEB所有活动的基础是基本的客户/服务器结构,信息存储在__WEB服务器_____上。 2.电子商务系统中,从信息的组织和表达来看,网页成为信息在网络中最有效的表达方式,__网站_成为最常见的信息组织和表达渠道。 3.网页浏览需输入标准网址,其格式一般为:_ 域名__+目录名+文件名。 4.__ SGML ____是最早的标记语言,而且是一种丰富的元语言,几乎可以用来定义无数种标记语言。 5.HTML文件实际上是由HTML语言组成的一种__纯文本___文件。 6.XML文档数据采用___树形___结构表示。 7.__ Java Applet____是Java语言编写的包含在网页里的“小应用程序”。 8.支持ActiveX的唯一的浏览器是__IE ___。 9.CGI程序的输出主要可分为两部分:_输出类型说明_和HTML正文_。 10.__JVM__ 是Java平台的基础,它发挥抽象计算机的作用。 11.模式是对数据库结构的一种描述,不是数据库本身。存储模式__是数据库物理结构和存储方式的描述,是数据库内部的表示方法。 12.传统数据库管理技术的特征在于对_结构化数据_的有效管理和使用。 13.数据加密前的源信息称之为___明文____,加密后变成了_密文___。 二、简答题 1、传统客户/服务器结构在电子商务系统中存在哪些问题?与之相比,三层客户/服务器结构的核心思想是什么?它具有哪些优势? 答:传统客户/服务器结构存在的问题有: 1)维护困难 2)费用增加 3)培训困难 三层客户/服务器体系结构被分解成表达层、应用(逻辑)处理层和数据层。表达层(Presentation Layer)以Web服务器为基础,负责信息的发布;应用层(Application Layer)负责处理核心业务逻辑;数据层(Date Layer)的基础是数据库管理系统DBMS,负责数据的组织,并向应用层提供接口。其特点在于所有用户可以共享商业和应用逻辑,应用服务器是整个系统的核心,为处理系统的具体应用提供事务处理,安全控制,由此形成以应用服务器为中心的辐射状的系统结构。 它的优势是: 1)可伸缩性:由于系统的业务逻辑处理完全在应用服务层完成,因此所有客户端不直接与数据库链接,应用服务层通过一个数据库连接池与数据库连接, 系统可以根据客户端请求的多少来动态调整池中的连接,使系统消耗较少的 资源来完成客户端的请求。 2)可管理性:系统的客户层基本实现了“零管理”,局域网内的主要管理工作集中在顶端Web服务层,整个系统的主要管理工作集中在应用服务层,业务 逻辑的修改对客户层没有影响。此外,由于各层相对独立,可以进行并行开 发,提高开发维护效率。 3)安全性:应用服务层上的安全服务作为一个公用服务被所有应用调用,因此不必为每一个应用编写安全服务,整个系统的安全数据工作只能由安全服务
电子商务试题及答案
《电子商务概论》试题一 一选择题:从下面备选答案中,选出1-4 个正确的答案,将答案代号填在题目后面的括号内。(每 小题3 分,共计60 分) 1、传统企业要走电子商务之路,必然会面临多个方面的变革:( ) A、技术的变革 B、主体的变革 C、流程的变革 D、结构的变革 2、与传统的商务活动相比,电子商务具有以下的特点: ( ) A、交易虚拟化 B、交易效率高 C、交易成本高 D、交易透明化 3、电子商务的基本组成包括下面哪些部分: ( ) A、计算机 B、网络 C、用户 D、网上银行 4、电子商务的经营模式主要有: ( ) A、新兴企业虚拟柜台模式 B、传统企业虚实结合模式 C、新兴企业有形商品模式 D、新兴企业无形商品模式 5、根据网上购物者购物的特点,一般可将网上购物类型分为: ( ) A、专门计划性购物 B、一般计划性购物 C、一般无计划性购物 D、完全无计划性购物 6、B2C 电子商务网站的收益模式主要有: ( ) A、收取广告费 B、收取服务费 C、扩大销售额 D、会员制 7、实现B2B 电子商务必须具备一定的基础,主要表现在: ( ) A、信息标准化 B、技术电子化 C、商务集成化 D、用户身份验证 8、网络商务信息收集的基本要求: ( ) A、及时 B、准确 C、量大 D、经济 9、EDI 标准的三要素是指: ( ) A、数据元 B、数据段 C、段目录 D、标准报文 10、电子商务企业一体化发展的三种基本形式: ( ) A、水平一体化 B、垂直一体化 C、前向一体化 D、后向一体化 11、电子商务安全交易的方法主要有: ( ) A、数字证书 B、数字签名 C、数字摘要 D、数字时间戳 12、网络消费者购买行为的心理动机主要体现在: ( ) A、理智动机 B、感情动机 C、地域动机 D、惠顾动机 13、网络分销的策略主要有: ( ) A、网络直接销售 B、网络间接销售 C、综合法 D、双道法 14、物流配送的模式主要有: ( ) A、混合型配送 B、专业型配送 C、集货型配送 D、散货型配送 15、信息服务型网站所具备的基本功能主要有: ( ) A、导航 B、通信 C、社区 D、娱乐 二问答题 (每小题8 分,共计40 分) 1、简述B2B 电子商务交易的优势及其具体表现? 2、试述电子商务如何降低企业的经营成本? 3、证券电子商务的主要特点有哪些? 4、SET 协议的主要优点有哪些? 5、论述网络营销策略中产品营销策略的主要内容? 《电子商务概论》试题一答案 一选择题(从下面备选答案中,选出1 - 4 个正确的答案,将答案代号填在题目后面的括