2006年1月电子商务安全导论试题

高等教育自学考试电子商务安全导论试题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

错涂、多涂或未涂均无分。

1．美国的橘皮书中为计算机安全的不同级别制定了4个标准：A、 B、C、D级，其中B级又分为B1、B2、B3三个子级，C级又分为C1、C2两个子级。

以下按照安全等级由低到高排列正确的是A.A、B1、B2、B3、C1、C2、DB.A、B3、B2、B1、C2、Cl、DC.D、Cl、C2、B1、B2、B3、AD.D、C2、C1、B3、B2、Bl、A2.在维护系统的安全措施中，保护数据不被未授权者建立的业务是A.保密业务B.认证业务C.数据完整性业务D.不可否认业务3.Diffie与Hellman早期提出的密钥交换体制的名称是A.DESB.EESC.RSAD.Diffie-Hellman4.以下加密体制中，属于双密钥体制的是A.RSAB.IDEAC.AESD.DES5.对不知道内容的文件签名称为A.RSA签名B.ELgamal签名C.盲签名D.双联签名6.MD5散列算法的分组长度是A.16比特B.64比特C.128比特D.512比特7.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72：97)的要求，设备间室温应保持的温度范围是A.0℃-10℃B.10℃-25℃C.0℃-25℃D.25℃-50℃8.通过公共网络建立的临时、安全的连接，被称为A.EDIB.DSLC.VLND.VPN9.检查所有进出防火墙的包标头内容的控制方式是A.包过滤型B.包检验型C.应用层网关型D.代理型10.在接入控制策略中，按主体执行任务所知道的信息最小化的原则分配权力的策略是A.最小权益策略B.最大权益策略C.最小泄露策略D.多级安全策略11.Microsoft Access数据库的加密方法属于A.单钥加密算法B.双钥加密算法C.加密桥技术D.使用专用软件加密数据12.Kerberos域内认证过程的第一个阶段是A.客户向AS申请得到注册许可证B.客户向TGS申请得到注册许可证C.客户向Server申请得到注册许可证D.客户向Workstation申请得到注册许可证13.Kerberos域间认证分为4个阶段，其中第3阶段是（～代表其它Kerberos的认证域）14.证明双钥体制中公钥的所有者就是证书上所记录的使用者的证书是A.双钥证书B.公钥证书C.私钥证书D.CA证书15.通常将用于创建和发放证书的机构称为A.RAB.LDAPC.SSLD.CA16.在PKI的构成中，负责制定整个体系结构的安全政策的机构是A.CAB.PAAC.OPAD.PMA17.在Internet上建立秘密传输信息的信道，保障传输信息的机密性、完整性与认证性的协议是A.HTTPB.FTPC.SMTPD.SSL18.在SET协议中用来确保交易各方身份真实性的技术是A.加密方式B.数字化签名C.数字化签名与商家认证D.传统的纸质上手工签名认证19.牵头建立中国金融认证中心的银行是A.中国银行B.中国人民银行C.中国建设银行D.中国工商银行20.CFCA推出的一套保障网上信息安全传递的完整解决方案是A.TruePassB.EntelligenceC.DirectD.LDAP二、多项选择题（本大题共5小题，每小题2分，共10分）在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

全国高等教育自学考试电子商务安全导论标准预测试卷（一）（考试时间150分钟）第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1.在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为（）A.植入B.通信监视C.通信窜扰来源：考试大D.中断2.消息传送给接收者后，要对密文进行解密是所采用的一组规则称作（）A.加密B.密文C.解密D.解密算法3.基丁•有限域上的离散对数问题的双钥密码体制是（）A.ELGamalB. AESC. IDEAD. RS A4.MD・5是_____ 轮运算，各轮逻辑函数不同。

（）A.2B. 3C・ 4D. 55.在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是（）A.单独数字签名B. RSA签名C.ELGamal签名D.无可争辩签名6.《计算机厉场、地、站技术要求》的国家标准代码是（）A.GB50174- 93B.GB9361- 88C. GB2887-89D.GB50I69 - 927.综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是（）A.IPSccB. L2TPC. VPND. GRE8.VPN按服务类型分类，不包括的类型是（）A. Internet VPNB.Access VPNC. Extranet VPND.Intranet VPN9.接入控制机构的建立主要根据_______ 种类型的信息。

（）A.二B.三C.四D.五10. _____________________________________________ 在通行字的控制措施中，根通行字要求必须采用______________________________________ 进制字符。

（）A. 2B. 8C. 10D. 1611.以下说法不正确的是（）A.在各种不用川途的数字证书类型中最垂要的是私钥证书B.公钥证书是山证书机构签署的，其中包含有持证者的确切身份C.数字证书由发证机构发行D.公仞证书是将公钥体制用于大规模电子商务安全的基本要素12.以下说法不正确的是（）A.RSA的公钥一私钥对既可用于加密，乂可用于签名B.需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C.一般公钥体制的加密川密钥的长度要比签名用的密钥长D.并非所有公钥算法都具有RSA的特点13.______ 是整个CA证书机构的核心，负责证书的签发。

电子商务安全导论 (13) 目录1. 引言1.1 背景1.2 定义2. 电子商务安全的重要性2.1 数据隐私与保护2.2 交易安全性2.3 网络威胁与防范3. 电子商务安全的核心概念3.1 认证与授权3.2 数据加密与解密3.3 安全漏洞与风险评估3.4 安全监控与报告4. 电子商务安全的关键技术4.1 公钥基础设施（PKI）4.2 数字签名与证书4.3 传输层安全协议（TLS）4.4 常用加密算法与协议5. 数据隐私与保护措施5.1 隐私政策与合规5.2 个人身份信息（PII）保护5.3 数据备份与恢复6. 交易安全性保障6.1 支付安全措施6.2 电子商务平台安全6.3 信用卡安全性7. 网络威胁与防范7.1 恶意软件与7.2 网络钓鱼与网络钓鱼7.3 网络攻击与防御8. 法律法规与电子商务安全 8.1 信息安全法律法规8.2 数据保护法案8.3 电子签名法律规定9. 电子商务安全管理9.1 安全策略与规划9.2 网络安全意识教育培训 9.3 安全事件响应与处置10. 结论10.1 电子商务安全的未来发展趋势10.2 本文总结附件：本文档涉及的相关案例分析和实践经验。

法律名词及注释：1. 信息安全法律法规：是指国家关于互联网安全、网络安全、信息安全方面的法律及相关规定。

2. 数据保护法案：是指针对个人隐私数据进行保护的法律法规，以保护用户数据的安全性和隐私权利。

3. 电子签名法律规定：是指国家对电子签名的使用和认可进行法律约束和规范的相关规定。

电子商务安全导论简单题第一篇：电子商务安全导论简单题1、简述橘黄皮书制定的计算机安全等级内容制定了4个标准，由低到高为D，C，B，AD级暂时不分子级，B级和C级是常见的级别。

每个级别后面都跟一个数字，表明它的用户敏感程度，其中2是常见的级别C级分C1和C2两个子级，C2比C1提供更多的保护，C2要求又一个登录过程，用户控制指定资源，并检查数据追踪B级分B1、B2、B3三个子级，由低到高，B2要求有访问控制，不允许用户为自己的文件设定安全级别A级为最高级，暂时不分子级，是用户定制的每级包括它下级的所有特性，这样从低到高是D，C1，C2，C3，B1，B2，B3，A2、简述web站点可能遇到的安全威胁？安全信息被破译非法访问交易信息被截获软件漏洞被利用当CGI脚本编写的程序或其他涉及远程用户从浏览器输入表格并进行像检索之类在主机上直接执行命令时，会给web主机系统造成危险3、论述产生电子商务安全威胁的原因P13在因特网上传输的信息，从起点到目标结点之间的路径是随机选择的，此信息在到达目标之前会通过许多中间结点，在任一结点，信息都有可能被窃取、篡改或删除。

Internet在安全方面的缺陷，包括 Internet各环节的安全漏洞外界攻击，对Internet的攻击有截断信息、伪造、篡改、介入局域网服务和相互信任的主机安全漏洞设备或软件的复杂性带来的安全隐患 TCP/IP协议及其不安全性，IP协议的安全隐患，存在针对IP的拒绝服务攻击、IP的顺序号预测攻击、TCP劫持入侵、嗅探入侵HTTP和web的不安全性E-mail、Telnet及网页的不安全，存在入侵T elnet会话、网页作假、电子邮件炸弹我国的计算机主机、网络交换机、路由器和网络操作系统来自国外受美国出口限制，进入我国的电子商务和网络安全产品是弱加密算法，先进国家早有破解的方法4、通行字的控制措施系统消息限制试探次数通行字有效期双通行字系统最小长度封锁用户系统根通行字的保护系统生成通行字通行字的检验5、对不同密钥对的要求P113答：（1）需要采用两个不同的密钥对分别作为加密/解密和数字签名/验证签名用。

一、不定项选择题（有一个或多个答案：）（每空2分，共20分）1.在防火墙技术中，内网这一概念通常指的是( A )A.受信网络 B .非受信网络C.防火墙内的网络 D .互联网2.电子商务系统可能遭受的攻击有( ABCDE )A.系统穿透D.通信监视B .植入 C.违反授权原则E .计算机病毒3.目前比较常见的备份方式有( ABCDE )A．定期磁带备份数据B．远程磁带库备份C．远程数据库备份D．网络数据镜像E．远程镜像磁盘4.防火墙的基本组成有( ABCDE )A．安全操作系统B．过滤器C．网关D．域名服务E．E-mail 处理5.在认证机构介入的网络商品销售的过程中，认证中心需要对参与网上交易的（ABD ）进行身份认证。

A．消费者 B ．商家C．邮政系统 D ．银行6.在目前电子商务的模式之中，交易金额所占比例最大的是（ C ）。

A．B-to-C 电子商务 B ． B-to-A 电子商务C．B-to-B 电子商务 D ． C-to-A 电子商务7．电子商务发展中存在的问题不包括（ B ）。

A．网络基础设施建设问题 B. 网站种类过于繁多C. 安全问题D. 商家信誉问题8.以下哪一项不．在．证书数据的组成中? ( D )A.版本信息C.签名算法9.SET 要达到的主要目标有( ACDE )B .有效使用期限D..版权信息A.信息的安全传输B.证书的安全发放C.信息的相互隔离D.交易的实时性E.多方认证的解决10.一个完整的商务活动，必须由（ABCD ）几个流动过程有机构成。

A．信息流B．商流C．货币流D．物流二、填空题：（每题2分，共10分）1.SSL 可用于保护正常运行于TCP 上的任何应用协议，如_HTTP 、 FTP 、SMTP 或Telnet 的通信。

2. VP N 利用 隧道 协议在网络之间建立一个 _虚拟 _____ 通_ 道，以完成数据信息的安全传输。

3.PKI 提供电子商务的基本 安全_____需求，是基于_数字证书 ______ 的。

第一章电子商务安全基础1、电子商务：是建立在电子技术基础上的商业运作,是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务.10、电子商务系统可能遭受的攻击：1)系统穿透2)违反授权原则3)植入4)通信监视5)通信窜扰6)中断7)拒绝服务8)否认9)病毒电子商务安全的中心内容：1）机密性2）完整性3）认证性4）不可否认性5）不可拒绝性6）访问的控制性7）其它11、商务数据的机密性：或称保密性是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织, 或者经过加密伪装后, 使未经授权者无法了解其内容。

机密性可用加密和信息隐匿技术实现.12、商务数据的完整性：或称正确性是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

简单地说,数据的完整性就是接收端收到的信息与发送端的一致。

13、商务对象的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份,保证身份的正确性,分辨参与者所声称身份的真伪,防止伪装攻击。

认证性用数字签名和身份认证技术实现。

14、商务服务的不可否认性：是指信息的发送方不能否认已发送的信息, 接受方不能否认已收到的信息,这是一种法律有效性要求。

不可否认性采用数字签名技术实现。

15、商务服务的不可拒绝性：或称可用性是保证授权用户在正常访问信息和资源时不被拒绝,即保证为用户提供稳定的服务。

可用性的不安全是指”延迟”的威胁或”拒绝服务”的威胁。

16、访问的控制性：是指在网络上限制和控制通信链路对主机系统和应用的访问,用于保护计算机系统的资源(信息、计算和通信资源)不被未经授权人或以未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

17、对Internet的攻击有四种类型：1）截断信息: 对服务的可用性进行攻击伪造: 对信息的机密性、完整性、认证性进行攻击。

2）篡改: 对信息的机密性、完整性、认证性进行攻击。

3）介入: 对信息的机密性进行攻击,是一种被动攻击18、IP协议的安全隐患：A.针对IP的”拒绝服务”攻击B.IP地址的顺序号预测攻击C.TCP协议劫持入侵D.嗅探入侵第二章电子商务安全需求与密码技术19、电子商务的安全需求：1）可靠性2）真实性3）机密性4）完整性5）有效性6）不可抵赖性7）内部网的严密性20、单钥密码体制的加解密过程：1）发送方用自己的私有密钥对要发送的信息进行加密2）发送方将加密后的信息通过网络传送给接收方3）接收方用发送方进行加密的那把私有密钥对接收到的加密信息进行解密，得到信息明文21、单钥密码体制的特点：优点:加密和解密的速度快,效率高；缺点:密钥管理困难,不适应互联网大规模应用环境。

电子商务安全导论模拟试题及答案(四)————————————————————————————————作者：————————————————————————————————日期：2第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1．电子商务，在相当长的时间里，不能少了政府在一定范围和一定程度上的介入，这种模式表示为( )A．B-G B．B-CC．B-B D．C-C2．在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是( )A．可靠性B．真实性C．机密性D．完整性3．通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为( )A．密钥B．密文C．解密D．加密算法4．与散列值的概念不同的是( )A．哈希值B．密钥值C．杂凑值D．消息摘要5．SHA的含义是( )A．安全散列算法B．密钥C．数字签名D．消息摘要6．《电子计算机房设计规范》的国家标准代码是( )A. GB50174-93B.GB9361- 88C. GB2887-89D.GB50169- 927．外网指的是( )A.非受信网络B．受信网络C．防火墙内的网络D．局域网8．IPSec提供的安全服务不包括( )A．公有性B．真实性C．完整性D．重传保护9．组织非法用户进入系统使用( )A．数据加密技术B．接入控制C．病毒防御技术D．数字签名技术10. SWIFT网中采用了一次性通行字，系统中可将通行字表划分成_______部分，每部分仅含半个通行字，分两次送给用户，以减少暴露的危险性。

( )A．2 B．3C．4 D．511．Kerberos的域内认证的第一个步骤是( )A. Client →ASB. Client ←ASC．Client AS D．AS Client12．_______可以作为鉴别个人身份的证明：证明在网络上具体的公钥拥有者就是证书上记载的使用者。

第一章1.电子商务系统可能遭受的攻击①系统穿透：未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改、窃取机密信息、非法使用资源等。

②违反授权原则：一个被授权进入系统做某件事的用户，在系统中做未经授权的其他事情。

③植入：在系统穿透或违反授权攻击成功后，入侵者常要在系统中植入一种能力，为其以后攻击系统提供方便条件。

④通信监视：这是一种在通信过程中从信道进行搭线窃听的方式。

⑤通信窜扰：攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中数据的内容，修正信息次序、时间(延时和重放)，注入伪造信息。

⑥中断：对可用性进行攻击，破坏系统中的硬件、硬盘、线路、文件系统等，使系统不能正常工作，破坏信息和网络资源。

⑦拒绝服务：指合法接入信息、业务和其他资源受阻。

⑧否认：一个实体进行某种信息通信或交易活动，稍后否认曾进行过这一活动，不管着中国行为是有意的还是无意的，一旦出现再要解决双方的争执就不太容易。

⑨病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而且internet的出现又促进了病毒制造者之间的交流，使新病毒层出不穷，杀伤力也大有提高。

2.电子商务安全的中心内容：机密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。

商务数据的机密性或称保密性：是指信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露未未经授权的人或组织，或者进过加密伪装后，使未经授权者无法了解其内容。

商务数据的完整性或称正确性：是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

商务数据的认证性：是指网络两端的使用者在沟通之前相互确认对方的身份，保证身份的正确性，分辨参与者所声称身份的真伪，防止伪装攻击。

认证性用数字签名和身份认证技术实现。

商务服务的不可否认性：是指信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息，这是一种法律有效性要求。

商务服务的不可拒绝性或称可用性：是保证授权用户在正常访问信息或资源时不被拒绝，即保证为用户提供稳定的服务。