----全国2009年1月高等教育自学考试电子商务安全导论试题

高等教育自学考试电子商务安全导论试题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

错涂、多涂或未涂均无分。

1．美国的橘皮书中为计算机安全的不同级别制定了4个标准：A、 B、C、D级，其中B级又分为B1、B2、B3三个子级，C级又分为C1、C2两个子级。

以下按照安全等级由低到高排列正确的是A.A、B1、B2、B3、C1、C2、DB.A、B3、B2、B1、C2、Cl、DC.D、Cl、C2、B1、B2、B3、AD.D、C2、C1、B3、B2、Bl、A2.在维护系统的安全措施中，保护数据不被未授权者建立的业务是A.保密业务B.认证业务C.数据完整性业务D.不可否认业务3.Diffie与Hellman早期提出的密钥交换体制的名称是A.DESB.EESC.RSAD.Diffie-Hellman4.以下加密体制中，属于双密钥体制的是A.RSAB.IDEAC.AESD.DES5.对不知道内容的文件签名称为A.RSA签名B.ELgamal签名C.盲签名D.双联签名6.MD5散列算法的分组长度是A.16比特B.64比特C.128比特D.512比特7.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72：97)的要求，设备间室温应保持的温度范围是A.0℃-10℃B.10℃-25℃C.0℃-25℃D.25℃-50℃8.通过公共网络建立的临时、安全的连接，被称为A.EDIB.DSLC.VLND.VPN9.检查所有进出防火墙的包标头内容的控制方式是A.包过滤型B.包检验型C.应用层网关型D.代理型10.在接入控制策略中，按主体执行任务所知道的信息最小化的原则分配权力的策略是A.最小权益策略B.最大权益策略C.最小泄露策略D.多级安全策略11.Microsoft Access数据库的加密方法属于A.单钥加密算法B.双钥加密算法C.加密桥技术D.使用专用软件加密数据12.Kerberos域内认证过程的第一个阶段是A.客户向AS申请得到注册许可证B.客户向TGS申请得到注册许可证C.客户向Server申请得到注册许可证D.客户向Workstation申请得到注册许可证13.Kerberos域间认证分为4个阶段，其中第3阶段是（～代表其它Kerberos的认证域）14.证明双钥体制中公钥的所有者就是证书上所记录的使用者的证书是A.双钥证书B.公钥证书C.私钥证书D.CA证书15.通常将用于创建和发放证书的机构称为A.RAB.LDAPC.SSLD.CA16.在PKI的构成中，负责制定整个体系结构的安全政策的机构是A.CAB.PAAC.OPAD.PMA17.在Internet上建立秘密传输信息的信道，保障传输信息的机密性、完整性与认证性的协议是A.HTTPB.FTPC.SMTPD.SSL18.在SET协议中用来确保交易各方身份真实性的技术是A.加密方式B.数字化签名C.数字化签名与商家认证D.传统的纸质上手工签名认证19.牵头建立中国金融认证中心的银行是A.中国银行B.中国人民银行C.中国建设银行D.中国工商银行20.CFCA推出的一套保障网上信息安全传递的完整解决方案是A.TruePassB.EntelligenceC.DirectD.LDAP二、多项选择题（本大题共5小题，每小题2分，共10分）在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

全国自考（电子商务安全导论）模拟试卷10(题后含答案及解析)题型有：1. 单项选择题 2. 多项选择题 3. 填空题 4. 名词解释 5. 简答题6. 论述题单项选择题1．在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为A．植入B．通信监视C．通信窜扰D．中断正确答案：B2．消息传送给接收者后，要对密文进行解密时所采用的一组规则称作A．加密B．密文C．解密D．解密算法正确答案：D3．基于有限域上的离散对数问题的双钥密码体制是A．ELGamalB．AESC．IDEAD．RSA正确答案：A4．MD-5是（）轮运算，各轮逻辑函数不同。

A．2B．3C．4D．5正确答案：C5．在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是A．单独数字签名B．RSA签名C．ELGamal签名D．无可争辩签名正确答案：A6．《计算机房场、地、站技术要求》的国家标准代码是A．GB50174—93B．GB9361—88C．GB2887—89D．GB50169—92正确答案：C7．综合了PPTF，和L2F的优点，并提交IETF进行标准化操作的协议是A．IPSecB．L2TPC．VPND．GRE正确答案：B8．VPN按服务类型分类，不包括的类型是A．InternetVPNB．AccessVPNC．ExtranetVPND．IntranetVPN正确答案：A9．接入控制机构的建立主要根据（）种类型的信息。

A．二B．三C．四D．五正确答案：B10．在通行字的控制措施中，根通行字要求必须采用（）进制字符。

A．2B．8C．10D．16正确答案：D11．以下说法不正确的是A．在各种不同用途的数字证书类型中最重要的是私钥证书B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份C．数字证书由发证机构发行D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素正确答案：A12．以下说法不正确的是A．RSA的公钥一私钥对既可用于加密，又可用于签名B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C．一般公钥体制的加密用密钥的长度要比签名用的密钥长D．并非所有公钥算法都具有RSA的特点正确答案：C13．（）是整个CA证书机构的核心，负责证书的签发。

电子商务安全导论简答题1，什么是保持数据的完整性？答：商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。

在存储时，要防止非法篡改，防止网站上的信息被破坏。

在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。

加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。

2，网页攻击的步骤是什么？答：第一步，创建一个网页，看似可信其实是假的拷贝，但这个拷贝和真的“一样”“假网页和真网页一样的页面和链接。

第二步：攻击者完全控制假网页。

所以浏览器和网络是的所有信息交流者经过攻击者。

第二步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。

此外，攻击者可以记录下服务器响应回来的数据。

这样，攻击者可以偷看到许多在线商务使用的表单信息，包括账号，密码和秘密信息。

如果需要，攻击者甚至可以修改数据。

不论是否使用SSL或S-HTTP，攻击者都可以对链接做假。

换句话说，就算受害者的游览器显示出安全链接图标，受害者仍可能链接在一个不安全链接上。

3，什么是Intranet?答：Intranet是指基于TCP/IP协议的内连网络。

它通过防火墙或其他安全机制与Intranet建立连接。

Intranet上可提供所有Intranet的应用服务，如WWW，E-MAIL等，只不过服务面向的是企业内部。

和Intranet一样，Intranet具有很高的灵活性，企业可以根据自己的需求，利用各种Intranet互联技术建立不同规模和功能的网络。

4，为什么交易的安全性是电子商务独有的？答：这也是电子商务系统所独有的。

在我们的日常生活中，进和一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。

但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎么能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。

全国自考电子商务安全导论单项选择题专项强化真题试卷6(总分100,考试时间60分钟)一、单项选择题1. 1.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段?( )A. 三个B. 四个C. 五个D. 六个2. 2.Internet接入控制不能对付以下哪类入侵者? ( )A. 伪装者B. 违法者C. 内部用户D. 地下用户3. 3.DES加密算法所采用的密钥的有效长度为( )A. 32B. 56C. 64D. 1284. 4.不涉及PKI技术应用的是( )A. VPNB. 安全E-mailC. Web安全D. 视频压缩5. 5.计算机病毒最重要的特征是( )A. 隐蔽性B. 传染性C. 潜伏性D. 破坏性6. 6.一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、数据库服务器和( )A. AS服务器B. TGS服务器C. LDAP目录服务器D. LD服务器7. 7.通行字控制措施中一般会限制试探次数，一般设置的输入口令限制为( )A. 0—3次B. 3—6次C. 6—9次D. 9—12次8. 8.DES的加密算法是每次取明文中的连续( )A. 32位B. 64位C. 128位D. 256位9. 9.美国的橘黄皮书中给计算机安全的不同级别制定了标准，由低到高排列正确的是( )A. Cl、Bl、C2、B2B. Bl、B2、Cl、C2C. A、B2、C2、DD. C1、C2、B1、B210. 10.通常PKI的最高管理是通过( )A. 政策管理机构来体现B. 证书作废系统来体现C. 应用接口来体现D. 证书中心CA来体现11. 11.美国的橘皮书中计算机安全B级的子级中，从高到低依次是( )A. Bl B2B. B2 B1C. B1 B2 B3D. B3 B2 B112. 12.使用数字摘要和数字签名技术不能解决的电子商务安全问题是( )A. 机密性B. 完整性C. 认证性D. 不可否认性13. 13.在域内认证中，TGS生成用于Client和Server之间通信的会话密钥Ks发生在( )A. 第1个阶段第2个步骤B. 第2个阶段第1个步骤C. 第2个阶段第2个步骤D. 第3个阶段第1个步骤14. 14.数字信封中采用的加密算法是( )A. AESB. DESC. RC-5D. RSA15. 15.关于散列函数的概念，下列阐述中正确的是( )A. 散列函数的算法是公开的B. 散列函数的算法是保密的C. 散列函数中给定长度不确定的输入串，很难计算出散列值D. 散列函数中给定散列函数值，能计算出输入串16. 16.公钥证书的格式定义在ITU的X.500系列标准中的哪个标准里?( )A. X.501B. X.509C. X.511D. X.51917. 17.CA设置的地区注册CA不具有的功能是( )A. 制作证书B. 撤销证书注册C. 吊销证书D. 恢复备份密钥18. 18.《建筑内部装修设计防火规范》的国家标准代码是( )A. GB50174—93B. GB9361—88C. GB50169—92D. GB50222—9519. 19.下列选项中，不属于有影响的提供PKI服务的公司的是( )A. Baltimore公司B. Entrust公司C. VeriSign公司D. Sun公司20. 20.下列属于良性病毒的是A. 黑色星期五病毒B. 火炬病毒C. 米开朗基罗病毒D. 扬基病毒21. 21.电子商务的发展分成很多阶段，其第一阶段是A. 网络基础设施大量兴建B. 应用软件与服务兴起C. 网址与内容管理的建设发展D. 网上零售业的发展22. 22.下列选项中属于双密钥体制算法特点的是A. 算法速度快B. 适合大量数据的加密C. 适合密钥的分配与管理D. 算法的效率高23. 23.Kerberos系统的四个组成部分中不包含A. BSB. TGSC. ClientD. Server24. 24.使用DES加密算法，需要对明文进行的循环加密运算次数是A. 4次B. 8次C. 16次D. 32次25. 25.计算机安全等级中，C2级称为A. 酌情安全保护级B. 访问控制保护级C. 结构化保护级D. 验证保护级。

2009年1月全国自考（电子商务安全导论）真题试卷精选(题后含答案及解析)题型有：1. 单项选择题 2. 多项选择题 3. 填空题单项选择题1．美国的橘黄皮书中给计算机安全的不同级别制定了标准，由低到高排列正确的是( )A．Cl、Bl、C2、B2B．Bl、B2、Cl、C2C．A、B2、C2、DD．C1、C2、B1、B2正确答案：D2．保证身份的精确性，分辨参与者所声称身份的真伪，防止伪装攻击，这样的业务称为( )A．认证业务B．保密业务C．控制业务D．完整业务正确答案：A3．EES采用的新加密算法是( )A．RSAB．SkipjackC．DESD．Diffie—Hellman正确答案：B4．IDEA加密算法首先将明文分为( )A．16位数据块B．32位数据块C．64位数据块D．128位数据块正确答案：D5．在签名人合作下才能验证的签名为( )A．无可争辩签名B．双联签名C．盲签名D．RSA签名正确答案：A6．消息用散列函数处理得到( )A．公钥B．消息摘要C．私钥D．数字签名正确答案：B7．在计算机机房设计中，设备间应采用UPS不间断电源，UPS功率大小应根据网络设备功率进行计算，并应具有的余量是( )A．5％～10%B．10％～20％C．15％～20％D．20％～30％正确答案：D8．按VPN的服务分类，不属于业务类型的是( )A．Storage VPNB．Intranet VPNC．Access VPND．Extranet VPN正确答案：A9．下列不是防火墙控制技术的是( )A．包过滤型B．包检验型C．VPND．应用层网关型正确答案：C10．为数据库加密字段的存储、检索、索引、运算、删除、修改等功能的实现提供接口的技术是( )A．数字签名B．消息摘要C．双密钥机制D．加密桥技术正确答案：D11．下列不属于Internet的接入控制技术主要对付的入侵者是( ) A．伪装者B．病毒C．违法者D．地下用户正确答案：B12．下列不属于Kerberos存在的局限性的是( )A．时间同步B．重放攻击C．密钥的分配D．口令猜测攻击正确答案：C13．下列属于证书申请方式的是( )A．E—mail申请B．电话申请C．邮寄申请D．短信申请正确答案：A14．将公钥体制用于大规模电子商务安全的基本要素是( ) A．公钥对B．密钥C．数字证书D．公钥证书正确答案：D15．通常PKI的最高管理是通过( )A．政策管理机构来体现B．证书作废系统来体现C．应用接口来体现D．证书中心CA来体现正确答案：A16．SSL协议主要用于交流购买信息，传送( )A．电子现金B．电子信用卡C．电子商贸信息D．客户信息正确答案：C17．为了确保数据的完整性，SET协议是通过( )A．单密钥加密来实现B．双密钥加密来实现C．密钥分配来实现D．数字化签名来实现正确答案：D18．下列不是SHECA证书管理器管理的证书是( )A．个人证书B．服务器证书C．他人证书D．根证书正确答案：B19．CFCA是由( )A．招商银行牵头B．中国人民银行牵头C．中国移动牵头D．中国电信牵头正确答案：B20．Kerberos的域内认证过程共分3个阶段，共6个步骤。

单项选择题〔本大题共20小题，每题1分，共20分〕1．病毒按破坏性划分可以分为( A )A．良性病毒和恶性病毒B．引导型病毒和复合型病毒C．文件型病毒和引导型病毒D．复合型病毒和文件病毒2．在进行你的证件明时，用个人特征识别的方法是( A )A．指纹B．密码C．你的证件D．密钥3．以下选项中，属于电子邮件的平安问题的是( D )A．传输到错误地址B．传输错误C．传输丧失D．网上传送时随时可能被人窃取到4．RC-5加密算法中的可变参数不包含( A )A．校验位B．分组长C．密钥长D．迭代轮数5．一个明文可能有多个数字签名的算法是( D )A．RSA B．DES C．Rabin D．ELGamal6．数字信封技术中，加密消息密钥形成信封的加密方法是( B ) A．对称加密B．非对称加密C．对称加密和非对称加密D．对称加密或非对称加密7．防火墙的组成中不包含的是〔C〕A．平安操作系统B．域名效劳C．网络治理员D．网关8．以下选项中，属于加密桥技术的优点的是( B )A．加密桥与DBMS是不可别离的B．加密桥与DBMS是别离的C．加密桥与一般数据文件是不可别离的D．加密桥与数据库无关9．在不可否认业务中爱护收信人的是( A )A．源的不可否认性B．提交的不可否认性C．递送的不可否认性D．A和B10．为了在因特网上有一种统一的SSL标准版本，IETF标准化的传输层协议是( B )A．SSL B．TLS C．SET D．PKI11．能够全面支持电子商务平安支付业务的第三方网上专业信托效劳机构是( A) A．CFCA B．CTCA C．SHECA D．PKI12．以下选项中，属于中国电信CA平安认证系统结构的是( D )A．地市级CA中心B．地市级RA中心系统C．省CA中心D．省RA中心系统13．美国的橘黄皮书中为计算机平安的不同级别制定了D，Cl，C2，Bl，B2，B3，A标准，其中称为结构化防护的级别是(C )A．B1级B．Cl级C．B2级D．C2级14．以下选项中，属于提高数据完整性的预防性措施的是( D)A．加权平均B．信息认证C．身份认证D．奇偶校验15．一系列爱护IP通信的规则的集合称为( B )A．VPN B．IPSec C．DMZ D．VPN Intranet 16．由系统治理员来分配接入权限和实施操纵的接入操纵方法是( C )A．PKI B．DAC C．MAC D．VPN17．在Kerberos认证中，把对Client向本Kerberos的认证域以外的Server申请效劳称为( C )A．域内认证B．域外认证C．域间认证D．企业认证18．以下关于数字证书的说法中不正确的选项是( A )A．在各种不同用途的数字证书类型中最重要的是私钥证书，它将公开密钥与特定的人联系起来B．公钥证书是由证书机构签署的，其中包含有持证者确实切身份C．数字证书由发证机构〔认证授权中心CA〕发行D．公钥证书是将公钥体制用于大规模电子商务平安的根本要素19．认证机构最核心的组成局部是( C )A．平安效劳器B．CA效劳器C．数据库效劳器D．LDAP效劳器20．PKI中支持的公证效劳是指( C )A．身份认证B．行为认证C．数据认证D．技术认性二、多项选择题〔本大题共5小题，每题2分，共10分〕21．以下属于B-C电子商务模式的网站有( ABCD )A．凡客诚品B．一号店C．京东商城D．当当E．阿里巴巴22．以下选项中，属于数据完整性被破坏后会带来的严峻后果的有( ABCDE) A．造成直接的经济损失B．影响一个供给链上许多厂商的经济活动C．可能造成过不了“关〞D．会牵涉到经济案件中E．造成电子商务经营的混乱与不信托23．接入操纵机构的建立主要依据的信息有( ABC)A．主体B．客体C．接入权限D．伪装者E．违法者24．SET系统的运作是通过软件组件来完成的，这些软件包含( ABCD)A．电子钱包B．商店效劳器C．支付网关D．认证中心E．RA中心25．中国电信CA平安认证系统提供的证书有( ACDE )A．平安电子邮件证书B．网上银行证书C．企业数字证书D．效劳器证书E．SSL 效劳器证书四、名词解释题〔本大题共5小题，每题3分，共15分〕26. 访问操纵性：指在网络上限制和操纵通信链路对主机系统和应用的访问。

全国自考电子商务安全导论多项选择题专项强化真题试卷2(题后含答案及解析)题型有：1.1．公钥证书的类型有( )A．客户证书B．服务器证书C．安全邮件证书D．密钥证书E．机密证书正确答案：ABC2．单钥密码体制的算法包括( )A．DES加密算法B．二重DES加密算法C．ECC加密算法D．RSA加密算法E．SHA加密算法正确答案：AB3．属于构成CA系统的服务器有( )A．安全服务器B．CA服务器C．加密服务器D．LDAP服务器E．数据库服务器正确答案：ABDE4．对SSL提供支持的服务器有( )A．Netscape communicatorB．Mircrosoft Internet ExploreC．Microsoft IISD．Lotus Notes ServerE．MS-DOS正确答案：ABCD5．认证机构是通过电子证书机制来保证网上通信的合法身份的，在运作过程中，认证机构应提供的服务有( )A．证书格式的制订B．证书的颁发C．证书更新D．证书废除E．证书的公布和查询正确答案：BCDE6．IPSec提供的安全服务有( )A．不可否认性B．真实性C．完整性D．破坏性E．私有性正确答案：BCE7．一个大系统的通行字的选择原则为( )A．易记B．长度非常长C．难于被别人猜中或发现D．抗分析能力强E．随时间进行变化正确答案：ACD8．计算机病毒的主要来源有( )A．非法拷贝引起的病毒B．通过互联网络传入的病毒C．有人研制和改造的病毒D．一些游戏软件染有的病毒E．引进的计算机系统和软件中带有的病毒正确答案：ABCDE9．下列选项中，属于电子商务安全的中心内容的有( )A．商务系统的健壮性B．商务数据的机密性C．商务对象的认证性D．商务服务的不可否认性E．商务信息的完整性正确答案：BCDE10．数字签名可以解决的鉴别问题有( )A．发送方伪造B．发送方否认C．接收方篡改D．第三方冒充E．接收方伪造正确答案：BCDE11．SET交易成员有( )A．持卡人B．网上商店C．收单银行D．认证中心CAE．支付网关正确答案：ABCDE12．CTCA采用分级结构管理，其组成包括( )A．全国CA中心B．省级CA中心C．省级RA中心D．地市级RA中心E．地市级业务受理点正确答案：ACE13．为了保证电子商务交易的有效性，在技术手段上必须要( ) A．采用加密措施B．反映交易者的身份C．保证数据的完整性D．提供数字签名功能E．保证交易信息的安全正确答案：CD14．PKI技术能有效地解决电子商务应用中的哪些问题?A．机密性B．完整性C．不可否认性D．存取控制E．真实性正确答案：A,B,C,D,E15．SET要达到的主要目标有A．信息的安全传输B．证书的安全发放C．信息的相互隔离D．交易的实时性E．多方认证的解决正确答案：A,C,D,E16．在下列计算机病毒中，属于良性病毒的有A．小球病毒B．扬基病毒C．黑色星期五病毒D．救护车病毒E．火炬病毒正确答案：A,B,D17．从攻击角度来看，Kerberos的局限性体现出的问题有A．时间同步B．认证域之间的信任C．口令猜测攻击D．密钥的存储E．重放攻击正确答案：A,B,C,D,E18．数据加密的作用在于解决A．外部黑客侵入网络后盗窃计算机数据的问题B．外部黑客侵入网络后修改计算机数据的问题C．外部黑客非法入侵计算机内部网络的问题D．内部黑客在内部网上盗窃计算机数据的问题E．内部黑客在内部网上修改计算机数据的问题正确答案：A,B,D,E19．计算机病毒按照寄生方式，可以分为A．外壳型病毒B．引导型病毒C．操作系统型病毒D．文件型病毒E．复合型病毒正确答案：B,D,E20．接入控制技术在入网访问控制方面具体的实现手段有A．用户名的识别B．用户名的验证C．用户口令的识别D．用户口令的验证E．用户帐号默认限制检查正确答案：A,B,C,D,E。

全国自考电子商务安全导论填空题专项强化真题试卷2(题后含答案及解析)题型有：1.1．网关业务规则根据其使用的证书以及在网上交易是否遵循SET标准分为________业务规则和________业务规则。

正确答案：SET标准支付网关Non-SET标准银行2．无可争辩签名是为了防止所签文件被________，有利于________控制产品的散发。

正确答案：复制产权拥有者3．电子商务安全的中心内容包括机密性，________，认证性，________，不可拒绝性和访问控制性。

正确答案：完整性不可否认4．按寄生方式计算机病毒可分为________，________和复合型病毒。

正确答案：文件型引导型5．身份证明可以分为________和________两大类。

正确答案：身份识别身份证实6．计算机病毒按破坏性分为________和________。

正确答案：良性病毒恶性病毒7．电子商务系统中，商务对象的认证性用________和________技术实现。

正确答案：数字签名身份认证8．在服务器面临的攻击威胁中，攻击者通过控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为_______就是实际的客户端，这种威胁称为________。

正确答案：黑客劫持入侵9．SSL就是客户和商家在通信之前，在Internet上建立一个“秘密传输信息的信道”，保障了传输信息的________、完整性和_______。

正确答案：机密性认证性10．数字时间戳技术利用______和_____来实现其解决有关签署文件的时间方面的仲裁。

正确答案：仲裁方案链接协议11．在我国，制约VPN的发展的客观因素包括________和________。

正确答案：带宽服务质量Qos12．在一次信息传递过程中，可以综合利用消息加密、数字信封、散列函数和数字签名实现安全性、完整性、________和________，这种方法一般称为混合加密系统。