电子商务安全期末复习题(1)

四、名词解释题

1.计算上安全：

如果一个密码体制对于拥有有限资源的破译者来说是安全的，则称这样的密码体制是计算上安全的，计算上安全的密码表明破译的难度很大。

2.SSL协议：

是基于TCP/IP的安全套接层（Secure Sockets Layer）协议，由Netscape 开发，是服务器与客户机之间安全通信的加密机制，用一个密钥加密在SSL连接上传输的数据。

3.身份证明系统：

身份证明系统由三方组成，一方是出示证件的人，称做示证者，由称申请者，提出某种要求；另一方为验证者，检验示证者提出的证件的正确性和合法性，决定是否满足其要求；第三方示可信赖者，用以调解纠纷。

4.PKI：

PKI即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等，密码服务及所必要的密钥和证书管理体系。

5.单钥密码体制：

单钥密码体制是加密和解密使用相同或实质上等同的密钥的加密体制。使用单钥密码体制时，通信双方A、B必须相互交换密钥，当A发送信息给B时，A 用自己的加密密钥进行加密，而B在接收到数据后，用A的密钥进行解密。单钥密码体制又称做秘密密钥体制或对称密钥体制。

五、简答题

1.在交易双方的通信过程中如何实现源的不可否认性？

（1）源的数字签名；

（2）可信赖第三方的数字签名；

（3）可信赖第三方对消息的杂凑值进行签名；

（4）可信赖第三方的持证；

（5）线内可信赖第三方；

（6）上述方法的适当组合。

2.电子商务安全的中心内容是什么?

（1）商务数据的机密性；

（2）商务数据的完整性；

（3）商务对象的认证性；

（4）商务服务的不可否认性；

（5）访问控制性；

3.简述SSL的体系结构。

SSL协议共由四个协议组成，它们是SSL记录协议，SSL更改密码规格协议，SSL警报协议，SSL握手协议。

（1）SSL记录协议，定义了信息交换中所有数据项的格式。其中，MAC是一个定长数据，用于信息的完整性；信息内容是网络的上一层——应用层传来的数据；附加数据是加密后所产生的附加数据。

（2）更改密码规格协议由单个消息组成，只有一个值为1的单字节。其目的是使未决状态拷贝为当前状态，更新用于当前连接的密码组。

（3）SSL警报协议用于传送SSL的有关警报。

（4）SSL握手协议用于客户/服务器之间相互认证，协商加密和MAC算法，传送所需要的公钥证书，建立SSL记录协议处理完整性校验和加密所需的会话密钥。

4.简述双钥密码体制的基本概念及特点。

双钥密码体制又称作公钥密码体制或非对称加密体制，这种加密法在加密和解密过程种要使用一对密钥，一个用于加密，一个用于解密。即通过一个密钥加密的信息，只有使用另一个密钥才能解密。这样每个用户有两个密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接收人的公开密钥加密的信息只有接收人才能解密。

双钥密码体制算法的特点是：

（1）适合密钥的分配和管理。

（2）算法速度慢，只适合加密小数量的信息。

5.试比较SSL协议和SET协议之间的差别。

（1）在使用目的和场合上，SET主要用于信用卡交易，传递电子现金，SSL主要用于购买信息的交流，传递电子商贸信息；

（2）在安全性方面，SET要求很高，SSL要求很低；

（3）在交易对象的资格方面，SET要求所有参与者必须先申请数字证书来识别身份，SSL通常只要求商家的服务器认证；

（4）在实施费用方面，SET较高，SSL较低；

（5）在使用情况方面，SET普及率较低，SSL较高。

6．证书有哪些类型？

（1）个人证书：证实客户身份和密钥所有权。在一些情况下，服务器会在建立SSL边接时要求用个人证书来证实客户身份。用户可以向一个CA申请，经审查后获得个人证书。

（2）服务器证书：证实服务器的身份和公钥。当客户请求建立SSL连接时，服务器把服务器证书传给客户。客户收到证书后，可以检查发行该证书的CA是否应该信任。对于不信任的CA，浏览器会提示用户接受或拒绝这个证书。

（3）邮件证书：证实电子邮件用户的身份和公钥。一些有安全功能的电了邮件应用程序能使用邮件证书来验证用户身份和加密解密信息。

（4）CA证书：证实CA身份和CA的签名密钥。在Netscape浏览器里，服务器管理员可以看到服务受接受的CA证书，并选择是否信任这些证书。CA证书允许CA发行其他类型的证书。

六、论述题

试述公钥证书的申请和吊销的过程。

（1）公钥证书的申请过程

用户申请证书要向CA注册，填证书申请表，建立起注册者与CA的关系，注册者向CA提供必要的有关信息。在Internet环境下，可以通过联机实现申请。

CA需要对注册者进行主体认证，确保公钥的持有者身份和公钥数据的完整性。持有者身份的确认是重要的一环，可以联机方式确认，必要时，通过脱机以传统方式进行。在多级安全系统中，通过认证可以决定申请者生成和发放何种等级的证书。可以采用多种技术实现：

①个人出面方式，这是常用的可靠认证身份的方式；

②出示身份证件，通过身份证件，供CA审查实现对申请者的认证。当CA认证申请者的身份后，按以下步骤生成证书：

①CA检索所需要的证书内容信息；

②CA证实这些信息的正确性后；CA用其签名密钥对证书签名；

③向发卡银行申请信用卡SET认证服务；

④将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；

⑤CA将证书送入证书数据库，向公用检索业务机构公布；

⑥CA将证书存档；

⑦CA将证书生成过程中的一些细节记入审计记录中。

（2）公钥证书吊销过程

公钥——私钥对在证书发行时规定了失效期。其值由CA根据安全策略来定。此外如发现或怀疑私钥泄露，或检测出证书已被篡改，则CA可以提前吊销或暂停使用。

注册用户可以向CA申请吊销其证书，CA通过认证核实，即可履行吊销职责，并通知有关组织何个人，注册用户的上级等也可以申请吊销用户证书。

对于已吊销的证书，CA要将它们记入证书吊销表中，并向可能的用户公布，以供查询。CRL中应包括名称、发布时间、已吊销证书号、吊销时戳、CA签名等。用户在接收一个公钥证书时，不仅要对其进行认证，同时还要检查它是否被列入最新的CRL中。

CRL吊销的方式有：

①广播。CA通过广播方式公布CRL，即可通过E-mail或称为“推式”的安全查

询方式。

②立即吊销。定期吊销表方式有一定延迟，立即吊销可以避免此类风险。它通

过实时吊销检验或联机状态检验，使用公钥的系统能够和CA的服务器联络，以肯定所用证书的合法性。

题前有#号为重点题，所有资料仅供参考

一、名词解释

#1、防火墙：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。它是一个或一组网络设备系统和部件的汇集器，用来在两个或多个网络间加强访问控制、实施相应的访问控制策略，力求把那些非法用户隔离在特定的网络之外，从而保护某个特定的网络不受其他网络的攻击，但又不影响该特定网络正常的工作。

#2、数字签名：是一种类似写在纸上的普通的物理签名，但是使用了公钥加密领域的技术实现，用于鉴别数字信息的方法。

#3、数字证书：提供了一种在Internet 上验证身份的方式，

钥的文件

#4、加密技术：是电子商务采取的主要安全保密措施，是最常用的安全保密手段，利用技术

传送，到达目的地后再用相同或不同的手段还原（解密）。5入侵检测技术：是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。

6、PKI：公共密钥基础设施是一种集中化的、易于管理的网络安全方案。可以通过一个基于数字认证的框架处理所有的数据加密和数字签名工作。

7、电子商务标准的制定原则：全面性、系统性、先进性、预见性、可扩充性

8、包过滤型防火墙：在路由器上实现。包过滤防火墙通常只包括对源和目的IP地址及端口的检查。包过滤防火墙的安全性是基于对包的IP地址的校验。包过滤防火墙将所有通过的数据包中发送方IP地址、接收方IP地址、TCP端口、TCP链路状态等信息读出，并按照预先设定的过滤原则过滤数据包。

9、物理隔离技术：物理隔离产品主要有物理隔离卡和隔离网闸。物理隔离卡主要分为单硬盘物理隔离卡和双硬盘物理隔离卡。物理隔离网闸由物理隔离网络电脑和物理隔离系统交换机组成。其中，物理隔离网络电脑负责与物理隔离交换机通信，并承担选择内网服务器和外网服务器的功能。物理隔离交换机实际上就是一个加载了智能功能的电子选择开关。物理隔离交换机不但具有传统交换机的功能，而且增加了选择网络的能力

10、入侵检测系统：入侵检测系统帮助系统对付网络攻击，扩展了系统管理员的安全管理能力(包括安全审计、监视、进攻识别和响应)，提高了信息安全基础结构的完整性。它从计算机网络系统中的若干关键点收集信息，并分析这些信息，看看网络中是否有违反安全策略的行为和遇到袭击的迹象。

11、对称加密技术：在对称加密技术中，加密和解密过程采用一把相同的密钥，通信时双方都必须具备这把密钥，并保证密钥不被泄露。通信双方先约定一个密钥，发送方使用这一密钥，并采用合适的加密算法将所要发送的明文转变为密文。密文到达接收方后，接收方用解密算法，并把密钥作为算法的一个运算因子，将密文转变为原来的明文

12、公钥加密技术：公钥密码体制对数据进行加密解密时使用一对密码，其中一个用于加密，而另外一个用于解密，这两个密码分别称为加密密钥和解密密钥，也称为公钥和私钥，它们在数学上彼此关联。加密密钥可以向外界公开，而解密密钥由自己保管，必须严格保密13、“电子签字”系指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，它可用于鉴别与数据电文相关的签名人和表明签名人认可数据电文所含信息。14、电子支付系统是电子商务系统的重要组成部分，它指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务，即把新型支付手段包括电子现金、信用卡、借记卡、智能卡)等的支付信息通过网络安全传送到银行或相应的处理机构，来实现电子支付；是融购物流程、支付工具、安全技术、认证体系、信用体系以及现在的金融体系为一体的综合大系统。

15、电子支付是支付命令发送方把存放于商业银行的资金，通过一条线路划入收益方开户银行，以支付给收益方的一系列转移过程。我国给出的定义是：电子支付是指单位、个人直接或授权他人通过电子终端发出支付指令，实现货币支付与资金转移的行为。

16、电子现金，是一种以电子数据形式流通的，能被客户和商家普遍接受的，通过互联网购买商品或服务时可以使用的货币。电子现金是现实货币的电子化或数字模拟，它把现金数值转换成为一系列的加密序列数，通过这些序列数来表示现实中各种金额的币值。

信用卡使用流程中的参与者主要包括发卡行、收单行、持卡人、商家及信用卡组织。

17、电子钱包也是电子商务活动中购物顾客常用的一种支付工具，是一种客户端的小数据库，用于存放电子现金和电子信用卡，同时包含诸如信用卡账号、数字签字以及身份验证等信息18第三方支付平台是属于第三方的服务型中介机构，它主要是面向开展电子商务业务的企业提供与电子商务支付活动有关的基础支撑与应用支撑的服务。

18、移动支付是使用移动设备通过无线方式完成支付行为的一种新型的支付方式

二、问答题

#1、电子商务有哪些安全威胁？

{1}计算机网络风险

（1）物理安全问题：物理安全是保护计算机网络设备、设施以及其他媒体免遭地震、水灾、火灾等环境事故，以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。主要包括三个方面：环境安全、设备安全、媒介安全

（2）网络安全问题：在网络安全问题中，重要的是内部网与外部网之间的访问控制问题，另一个问题是内部网不同网络安全域的访问控制问题。

（3）网络病毒的威胁

（4）黑客攻击

（5）电子商务安全自身的安全问题

{2}电子商务交易风险

（1）在线交易主体的市场准入（2）信息风险（3）信用风险（4）网上欺骗犯罪（5）电子合同问题（6）电子支付问题（7）在线消费者保护问题（8）电子商务中产品交付问题（9）电子商务中虚拟财产的保护问题

{3}管理风险

{4}政策法律风险

2、电子商务的安全要素

一个安全的电子商务系统要求做到真实性、机密性、完整性和不可抵赖性等。

{1}真实性：在进行电子商务交易时首先要保证身份的可认证性。

{2}保密性：对敏感信息进行加密

{3}有效性：贸易数据在确定的时刻、确定的地点是有效的。

{4}完整性：信息在数据发送、传输和接收过程中始终保持原有的状态。

{5}不可抵赖性：在电子交易过程的各个环节中都必须保存完整的记录并且不可更改

3、电子支付存在的问题

{1}银行支付系统互联互通有待时日

{2}对更有效的安全机制的探讨

{3}支付标准有待提高

{4}社会诚信体系尚未建立

#4、电子商务安全的体系结构

{1}电子商务交易安全保障体系是一个复合型系统：它是一个开放的、人在其中频繁活动的、与社会系统紧密耦合的复杂巨系统。它是由商业组织本身与信息技术系统复合构成的。{2}人网结合是电子商务安全保障的本质特征

{3}电子商务交易安全是一个动态过程

#5、电子商务安全的技术保障

{1}防火墙技术：在内部网和外部网之间的界面上构造一个保护层，并强制所有的连接都必须经过此保护层，由其进行检查和连接。

{2}

传送，到达目的地后再用相同或不同的手段还原（解密）。{3}认证技术：

#6电子商务标准的作用和意义

{1}标准是电子商务整体框架的重要组成部分

{2}电子商务相关标准为实现电子商务提供了统一平台

{3}电子商务标准是电子商务的基本安全屏障

{4}电子商务标准关系到国家的经济安全和经济利益

7、防火墙的分类：

{1}线路级网关：它工作在会话层，它在两个主机首次建立TCP连接时创立一个电子屏障，监视两主机建立连接时的握手信息

{2}包过滤路由器：检查所通过数据包合法性的路由器，它对外部用户传入局域网的数据包加以限定。

{3}应用网关：它的逻辑位置是在OSI七层协议的应用层上。它主要采取应用协议代理服务的工作方式实施安全策略。

{4}双重基地型网关：使用了一个含有两个网络接口的应用网关，并将其接在内部网和包过滤路由器之间，信息服务器则接在二者之间。

{5}屏蔽主机防火墙：防火墙的应用网关只需要单个网络端口，并以物理方式连接在包过滤。路由器的网络总线上。但是其工作的逻辑位置仍然是在应用层，所有的通信业务都要通过它的代理服务。

{6}屏蔽主网防火墙：使用了两个包过滤路由器，从而形成了一个子网的态势。在理论上，该种防火墙当然可以连接多个子网，构成一个完善的综合防御体系。

8、入侵检测系统分类：误用检测和异常检测。

误用检测即基于特征的检测。首先根据已知的攻击行为建立一个特征库，然后提取系统当前动作到特征库中进行匹配，如果匹配则表明当前动作是一个入侵行为。优点是误报率低，但由于攻击行为多，特征库会变得很大，并只能检测到已知的攻击行为。

异常检测即基于行为的检测。原理是建立一个正常的特征库，根据使用者的行为或资源使用情况来判断是否入侵。优点是与系统关联不大，通用性强，有可能检测到以前未出现过的攻击方法。

9、密码分析者攻击密码的方法主要有穷举攻击、统计分析攻击和数学分析攻击。

穷举攻击（Exhaustive attack），是指密码分析者采用遍历（ergodic）全部密钥空间的方式对所获密文进行解密，直到获得正确的明文；

统计分析攻击（Statistical analysis attack），是指密码分析者通过分析密文和明文的统计规律来破译密码；

数学分析攻击（Mathematical analysis attack），是指密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码

10、单表代替密码

(1)混字法，就是简单代替密码(simple substitution cipher)，将记有字母表中每个字母的卡片打乱秩序后重新排列，并与明文字母相对应，可构成一张单表代替表

例1：根据表1完成明文substitution cipher的英文单表代替加密，并计算其密钥空间

(2) 移位法，就是移位代替密码(Shift substitution cipher)，就是将明文字母表字母循环左移k 位，构成密文字母表

例如：步长为4，则明文A、B、C、…、Y、Z可分别由E、F、G、…、C、D代替。如果明文是“about”，则变为密文?，其密钥k=+4

(3) 乘数密码。将明文字母乘以密钥k并对q 取模得到密文字母。加密过程可表示为:

ek(m) = km mod q = c，

其中k和q为互素的，这样字母表中的字母会产生一个复杂的剩余集合。

(4) 仿射密码。明文字母经过线性变换得到密文字母。加密的形式为:

ek(m) = (k1m+k2 ) mod q = c，

其中要求k1和q是互素的，理由同上。

简单代替密码由于使用从明文到密文的单一映射，所以明文中单字母出现频率分布与密文中相同，可以很容易地通过使用字母频率分析法进行破译。

11、公钥加密技术原理概述

1976年Diffie和Hellman在其划时代的文献New Directions in Cryptography(密码学新方向)中提出公钥加密的概念，公钥加密是基于单向陷门(trap door)函数来实现的。单向陷门函数是指满足下列条件的函数f(x):

(1) 给定x，计算y=f(x)是容易的；

(2) 给定y，计算x=f-1 (y)是困难的；

(3) 存在δ，已知δ时，对给定的任何y，若相应的x存在，则计算x= f-1 (y)是容易的。

仅满足第(1)条、第(2)条的称为单向函数，第(3)条称为陷门性，δ称为陷门信息。当用陷门函数f(x)作为加密函数时可将f(x)公开，这相当于公钥。

f(x)函数的设计者将δ保密，用作解密密钥，这相当于私钥。由于加密函数是公开的，任何人都可以将信息x加密成y=f(x)，然后送给函数的设计者，当然可以通过不安全信道传送，由于设计者拥有δ(私钥)，他可以容易地解出x=f-1(y)。单向陷门函数的第(2)条性质表明窃听者由截获的密文y=f(x)推测x是不可行的。

目前公钥密码系统单向陷门函数的设计主要依赖下面3种数学难题:

(1) 背包问题；

(2) 大整数因子分解问题；

(3) 离散对数问题。

12、RSA算法的实现步骤

选取两个大素数，p和q。为了保证最大的安全性，p和q的长度应该相近。计算乘积: n = pq(公开)

φ(n) = (p-1)(q-1)(不公开)

然后随机选取加密密钥e(公开)，使e和φ(n)互素。计算出解密密钥d(不公开)，以满足:

d = e-1 mod φ(n)

注意,d和n也互素。e和n是公钥，d和φ(n)是私钥。两个素数p和q不再需要，它们应该被丢弃，但是绝对不可以泄漏。

加密消息M时，先将其数字化，转化成数字序列，

然后将数字序列分组，M=m1m2…ms，每个分组mi的长度相同(位数不够可在高位补0)且小于n的长度，加密后的密文C将由相同长度的分组ci组成。加密公式如下: ci= me mod n

解密时取每一密文分组ci并计算:

mi = cd mod n

消息用d加密就像用e解密一样容易，举一个简单的例子可以更清楚地说明这一点。

选两个素数p = 11，q = 5，那么

n = pq = 55，

φ(n) = (p-1)(q-1) = 10×4 = 40

随机选取e，如3，它与φ(n) = 40没有公因子，那么

d = 3-1 mod 40 = 27。

公开e和n，将d保密，丢弃p和q。

设明文编码为：

空格=00,A=01,B=02, …,Z=26

m= HI=0809

C1=(08)3 mod 55=17

C2=(09)3 mod 55=14

N=14,Q=17

所以，密文为QN

恢复明文

M1=Cd=(17)27 mod 55=8

M2=Cd=(14)27 mod 55=9

因此明文为“HI”。

13、隔离网闸与物理隔离卡的主要区别是什么？

安全隔离网闸主管一个网络，能够实现网络间的安全适度的信息交换，而物理隔离卡不提供这样的功能，主管一个主机。

14、隔离了，怎么还可以交换数据？

通过网闸隔离硬件实现两个网络在链路层断开，但是为了交换数据，通过设计的隔离硬件在两个网络对应的服务器上进行切换，通过对硬件上的存储芯片的读写，完成数据的交换。15、隔离网闸与防火墙有何不同？

防火墙一般在进行IP包转发的同时，通过对IP包的处理，实现对TCP会话的控制，但是对应用数据的内容不进行检查。这种工作方式无法防止泄密，也无法防止病毒和黑客程序的攻击。

16、国际电子商务立法主要内容和特点

市场准入、税收、电子商务合同、电子支付、安全与保密、知识产权、隐私权的保护

从上述国际电子商务立法的发展和主要内容来看，其特点有：国际立法的超前性、提供宽松、简约的电子商务的法制环境、电子商务立法修改的频繁性

《电子商务安全与支付》复习提纲

1.简述电子商务安全面临的主要问题。

交易环境的安全性

交易对象和交易过程的安全性

网上支付的安全需求

2. 对销售者而言，他面临的安全威胁主要有哪些？

(1) 中央系统安全性被破坏

(2) 竞争者检索商品递送状况

(3) 客户资料被竞争者获悉

(4) 被他人假冒而损害公司的信誉

(5) 消费者提交订单后不付款

(6) 虚假订单

(7) 获取他人的机密数据

3. 对消费者而言，他面临的安全威胁主要有哪些？

(1) 虚假订单

(2) 付款后不能收到商品

(3) 机密性丧失

(4) 拒绝服务

4.网上进行电子交易的5个安全性要求

(1) 真实性要求

(2) 有效性要求

(3) 机密性要求

(4) 完整性要求

(5) 不可抵赖要求

5.对称密钥算法和非对称密钥算法的原理和特点。

对称密钥加密，又称私钥加密，即发送和接收数据的双方必须使用相同的对称的密钥对明文进行加密和解密运算。对称加密技术的最大优势是加/解密速度快，适合于对大数据量进行加密，但密钥管理困难。

非对称密钥加密系统，又称公钥密钥加密，它需要使用一对密钥来分别完成加密和解密操作，一个公开发布，称为公开密钥；另一个由用户自己秘密保存，称为私有密钥。

非对称加密体系不要求通信双方事先传递密钥或有任何约定就能完成保密通信，并且密钥管理方便，可实现防止假冒和抵赖，因此，更适合网络通信中的保密通信要求。

非对称加密算法与对称加密算法的区别

首先，用于消息解密的密钥值与用于消息加密的密钥值不同;

其次，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称加密算法却具有对称密码难以企及的优势。

6.DES、AES算法的基本原理和特点。

DES中数据以64bit分组进行加密，密钥长度作为56bit。加密算法经过一系列的步骤把64位的输入变换为64bit的输出，解密过程中使用同样的步骤和同样的密钥。明文和密文的长度均为64位，密钥长度为56位。

DES的加密解密需要完成的只是简单的算术运算，因此速度快，密钥生成容易，能以硬件或软件的方式非常有效地实现。

AES算法的基本原理：①是对称密码体制，亦即秘密密钥算法；②算法应为分组密码算法；③算法明密文分组长度为128比特，应支持128比特、192比特、256比特的密钥长度。

7.RSA算法的基本原理和特点。

RSA公钥密码算法是基于数论中的同余理论。如果用m代表明文，c代表密文，E(m)代表加密运算，D(c)代表解密运算，用x=y(modulo z)表示x和y模z同余，则加密和解密算法简单表示如下：

c=E(m)=me (modulo n)

m=D(c)=cd (modulo n)

特点：RSA的安全性；RSA的实用性；

8.什么是数字签名，它的基本要求有哪些？

数字签名：指发送者根据消息产生摘要，并对摘要用自身的签名私钥进行加密。消息和用自身签名私钥加密的数字摘要组合成数字签名。

数字签名的要求：

（1）收方能够确认或证实发方的签名，但不能伪造。

（2）发方发出签名的消息送收方后，就不能再否认他所签发的信息。

（3）收方对已收到的签名消息不能否认，即有收到认证。

（4）第三者可以确认收发双方之间的消息传送，但不能伪造这一过程。

以电子形式存在于数据信息之中的，或作为其附件的或逻辑上与之有联系的数据，可用于辨别数据签署人的身份，并表明签署人对数据信息中包含的信息的认可。

保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名算法依靠公钥加密技术来实现的。在公钥加密技术里，每一个使用者有一对密钥：一把公钥和一把私钥。公钥可以自由发布，但私钥则秘密保存；还有一个要求就是要让通过公钥推算出私钥的做法不可能实现。

9. 画图及描述数字签名和验证的过程。

（1)发送方首先用哈希函数讲需要传送的消息转换成报文摘要；

（2)发送方采用自己的私有密钥对报文摘要进行加密，形成数字签名；

（3)发送方把加密后的数字签名附加在要发送的报文后面，传递给接收方；

（4)接收方使用发送方的公有密钥对数字签名进行解密，得到报文摘要；

（5)接收方用哈希函数将接收到的报文转换成报文摘要，与发送方形成的报文摘要相比较，若相同，说明文件在传输过程中没有被破坏。

10.画图及描述数字信封的基本过程。

数字信封技术首先使用秘密密钥加密技术对要发送的数据信息进行加密，然后利用公开密钥加密算法对秘密密钥加密技术中使用的秘密密钥进行加密。

11.对协议安全性的分析的5个方面。

(1)监听和中间人式攻击。

(2)流量数据分拆式攻击。

(3)截取再拼接式攻击。

(4)报文重发式攻击。

(5)密钥管理问题。

12. SSL协议的基本功能和特点。

安全套接层协议是一种保护Web通信的工业标准，主要目的是提供Internet 上的安全通信服务，是基于强公钥加密技术以及RSA的专用密钥序列密码，能够对信用卡和个人信息、电子商务提供较强的加密保护。

SSL记录协议：①SSL记录头格式②SSL记录数据的格式

SSL握手协议：（重点掌握）SSL握手协议利用SSL记录协议，在支持SSL的客户端和服务器端之间建立安全传输通道之后提供一系列消息，

用来实现：①在客户端验证服务器②允许客户端和服务器选择

双方都支持的加密算法、密钥算子③在服务器端验证客户（可

选的）④用公钥加密算法产生“共享秘密”⑤建立加密SSL连

接。

SSL同时使用对称密钥算法和公钥加密算法（双向认证）

主要目的就是要解决WEB上信息传输的安全顾虑。

SSL协议提供的服务可以归纳为如下三个方面：（简答题）

(1)用户和服务器的合法性认证。

(2)加密数据以隐藏被传送的数据。

(3)维护数据的完整性。

13. SET协议的基本功能和特点。

关键的认证机构（CA），CA根据X.509标准发布和管理证书

基于互联网的卡基支付，是授权业务信息传输的安全标准

采用RSA公开密钥体系对通信双方进行认证

利用DES、RC4或任何标准对称加密方法进行信息的加密传输，并用HASH算法来鉴别消息真伪，有无涂改

提供身份认证、数据保密、数据完整性等服务

14. 简述数字签名与数字加密在原理与应用等方面的不同之处。

RSA加密：用公钥加密，用私钥解密

RSA签名：用私钥签名，用公钥验证

数字签名使用的是发送方的密钥对，发送方用自己的私有密钥进行加密，接收方用发送方的公开密钥进行解密，这是一个一对多的关系，任何拥有发送方公开密钥的人都可以验证数字签名的正确性。数字加密则使用的是接收方的密钥对，这是多对一的关系，任何知道接收方公开密钥的人都可以向接收方发送加密信息，只有唯一拥有接收方私有密钥的人才能对信息解密。另外，数字签名只采用了非对称密钥加密算法，它能保证发送信息的完整性、身份认证和不可否认性，而数字加密采用了对称密钥加密算法和非对称密钥加密算法相结合的方法。

15. 什么是身份认证，及常用身份认证技术。

身份认证的定义：证实客户的真实身份与其所声称的身份是否相符的过程。

常用的身份认证技术：

口令

标记方法

生物特征法

16. 什么是访问控制？访问控制的目的和核心是什么？

主要任务是保证网络资源不被非法使用和访问。

目的:保护被访问的客体安全，在保证安全的前提下最大限度共享资源。

核心是授权控制，既控制不同用户对信息资源的访问权限。

17.什么是入侵检测系统，其基本类型有哪些？

通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象。

分类：根据被监控对象的不同分为：

基于主机的IDS

基于网络的IDS

18.什么是PKI，PKI的基本组成？

公钥基础设施是指用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施。

PKI提供的核心安全服务有：认证、完整性、机密性。

PKI提供的附加服务有：不可否认性、安全通信、安全时间戳、公证

基本组成：PKI策略、软硬件系统、证书结构CA、注册机构RA、证书发布系统、PKI应用。

19. 什么是数字证书，论述数字证书的基本结构和作用。

数字证书是一条数字签名的消息，它通常用于证明某个实体的公钥的有效性。数字证书是一个数据结构，具有一种公共的格式，它将某一成员的识别符和一个公钥值绑定在一起。证书数据结构由某一证书权威机构的成员进行数字签名。

数字证书，是由认证中心发放并经认证中心数字签名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实身份。

数字证书采用公－私钥密码体制，每个用户拥有一把仅为本人所掌握的私钥，用它进行信息解密和数字签名；同时拥有一把公钥，并可以对外公开，用于信息加密和签名验证。

数字证书可用于：发送安全电子邮件、访问安全站点、网上证券交易、网上采购招标、网上办公、网上保险、网上税务、网上签约和网上银行等安全电子事务处理和安全电子交易活动。

数字证书包括以下内容如图所示：

证书拥有者的姓名；

证书拥有者的公钥；

公钥的有限期；

颁发数字证书的单位；

颁发数字证书单位的数字签名；

数字证书的序列号等。

20.论述数字证书的交叉认证。

用户的数字证书都是认证中心签发的，通常一个CA中心的所有用户都自动信任该CA所签发的所有证书，这些证书能够自动进行认证，而不同的CA所签发的证书不能自动进行认证。为使不同的CA所签发的数字证书能够互相认证，就需

要使用交叉认证技术。交叉认证是PKI技术中连接两个独立的信任域的一种方法，每一个CA都有自己的信任域，在该信任域中的所有用户都能够相互信任，而不同信任域中的用户需要相互信任，就需要通过在CA之间进行交叉认证来完成。

交叉认证的作用就是能够扩大认证域的信用范围，使用户在更加广泛的范围内建立起信任关系。从技术角度来看，两个CA之间的交叉认证就是两个CA互相为对方的根CA签发一张证书，从而使两个CA体系内的证书可以互相验证；从业务角度来看，CA间通过进行交叉认证可以扩展信用范围。

21.简述WWW面临的风险。

WWW服务器软件是用来响应HTTP请求进行页面传输的。虽然WWW服务器软件本身并没有内在的高风险性，但其主要设计目标是支持WWW服务和方便使用，所以软件越复杂，包含错误代码的概率就越高，有安全漏洞的概率也就越高。安全漏洞是指破坏者可因之进入系统的安全方面的缺陷。在大多数情况下，WWW服务器提供的是在低权限下能完成的普通服务和任务。

（1）存放于Web服务器文件系统上的机密文件被非法用户窃取。

（2）由远程用户发送给Web服务器的私人或保密信息被截获。

（3）有关Web服务器主机的详细信息泄露，使侵入者得以分析，找出漏洞并闯入系统。

（4）服务器存在允许外来者在Web服务器主机上执行命令的漏洞，使他们得以改动或破坏系统。

22.什么是防火墙？企业选购防火墙应注意的问题？

在被保护网络和Internet之间，或者和其它网络之间限制访问的软件和硬件的组合。

防火墙主要有三种类型：包过滤防火墙、代理服务器防火墙、应用层防火墙。

防火墙作为网络安全体系的基础和核心控制设备，它贯穿于受控网络通信主干线。因此，选用一个安全、稳定和可靠的防火墙产品，其重要性不言而喻。

1.防火墙自身是否安全

防火墙自身的安全性主要体现在自身设计和管理两个方面。防火墙安全指标最终可归结为以下两个问题：

(1)防火墙是否基于安全的操作系统。

(2)防火墙是否采用专用的硬件平台。

2.系统是否稳定

可以从以下几个渠道获得：

(1)国家权威的测评认证机构，如公安部计算机安全产品检测中心和中国国家信息安全测评认证中心。

(2)与其他产品相比，是否获得更多的国家权威机构的认证、推荐和入网证明。

(3)施加调查(这是最有效的方法)，考察使用单位和用户对该防火墙的评价。

(4)自己试用。

(5)厂商开发研制的历史。

(6)厂商的实力。

3.防火墙是否高效

高性能是防火墙的一个重要指标，它直接体现可防火墙的可用性，也体现可用户使用防火墙所需付出的安全代价。

4.防火墙是否可靠

可靠性对防火墙类访问控制设备来说尤为重要，其直接影响受控网络的可用性。

5.防火墙功能是否灵活

对通信行为的有效控制，要求防火墙设备有一系列不同级别，满足不同拥护的各类安全控制要求的控制注意。控制注意的有效性、多样性、级别目标的清晰性、制定的难易性和经济性等，体现着控制注意的高效和质量。

6.防火墙配置是否方便

防火墙有没有简洁的安装方法呢？有！就是支持透明通信的防火墙。

7.防火墙管理是简便

提供灵活的管理方式和方法。通常体现为管理途径、管理工具和管理权限。

8.防火墙是否可以抵抗解决服务攻击

拒绝服务攻击可以分为两类：一类是由于操作系统或应用软件本身设计或编程上的缺陷而造成的，由此带来的攻击种类很多，只有通过打补丁的办法来解决；另一类是由于TCP/IP协议本身的缺陷造成的，只有有数的几种，但危害性非常大。

9.防火墙是否可以针对用户身份进行过滤

10.防火墙是否具有可扩展、可升级性

23.电子商务支付系统的5个功能？

（1）使用数字签名和数字证书实现对各方的认证。

（2）使用加密技术对业务进行加密。

（3）使用消息摘要算法以确认业务的完整性。

（4）当交易双方出现纠纷时，保证对业务的不可否认性。

（5）能够处理贸易业务的多边支付问题。

24. 网上支付系统的3种基本类型。

1．基于信用卡的网上支付系统；

2．电子现金网上支付系统；

3．电子支票网上支付系统。

25.什么是电子现金？电子现金支付方式存在的问题？

电子现金是一种以数据形式流通的货币。

1．电子现金的特点：

（1）银行和商家之间应有协议和授权关系。

（2）用户、商家和电子现金银行都需使用E—Cash软件。

（3）电子现金银行负责用户和商家之间资金的转移。

（4）身份验证是由电子现金系统本身完成的。

（5）匿名性。

（6）具有现金特点，可以存、取、转让，适用于小额交易。

2．电子现金支付方式存在的问题

（1）目前，只有少数商家接受电子现金，而且只有少数几家银行提供电子现金开户服务，给使用者带来许多不便。

（2）成本较高。

（3）存在货币兑换问题。由于电子现金仍以传统的货币体系为基础，因此从事跨国贸易就必须要使用特殊的兑换软件。

（4）风险较大。如果某个用户的计算机存储器损坏了，电子现金也就丢失了，钱就无法恢复。

26.电子支票交易的过程。

电子支票是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。

消费者和商家达成购销协议选择用电子支票支付。

消费者通过网络向商家发出电子支票，同时向银行发出付款通知单。

商家通过验证中心对消费者提供的电子支票进行验证，验证无误后将电子支票送银行兑付。

银行在商家兑付时通过验证中心对消费者提供的电子支票进行验证，验证无误后即向商家兑付或转账。

电子商务安全与应用考题

一单项选择题 1、计算机病毒（D ） A、不影响计算机的运算速度 B、可能会造成计算机器件的永久失效 C、不影响计算机的运算结果 D、影响程序执行，破坏数据与程序 2、数字签名通常使用（B ）方式。 A、公钥密码体系中的私钥 B、公钥密码体系中的私钥对数字摘要加密 C、密钥密码体系 D、公钥密码体系中公钥对数字摘要加密 3、不对称密码体系中加密和解密使用（B ）个密钥。 A、1 B、2 C、3 D、4 4、在非对称加密体制中，（A ）是最著名和实用。 A、RSA B、PGP C、SET D、SSL 5、数字证书的内容不包含（B ） A、签名算法 B、证书拥有者的信用等级 C、数字证书的序列号 D、颁发数字证书单位的数字签名 6、关于数字签名的说法正确的是（ A ）。 A.数字签名的加密方法以目前计算机技术水平破解是不现实的 B.采用数字签名，不能够保证信息自签发后至收到为止未曾作过任何修改，签发的文件真实性。 C. 采用数字签名，能够保证信息是由签名者自己签名发送的，但由于不是真实签名，签名者容易否认 D.用户可以采用公钥对信息加以处理，形成了数字签名 7、公钥机制利用一对互相匹配的（B ）进行加密、解密。 A.私钥 B.密钥 C.数字签名 D.数字证书 8.网络安全是目前电子交易中存在的问题，（D ）不是网络安全的主要因素。 A.信息传输的完整性 B.数据交换的保密性 C.发送信息的可到达性 D.交易者身份的确定性 9.在进行网上交易时，信用卡的帐号、用户名、证件号码等被他人知晓，这是破坏了信息的（ D ）。 A.完整性 B.身份的可确定性 C.有效性 D.保密性

电子商务安全 练习题及答案

电子商务安全练习题 一、单项选择题。 1．保证实现安全电子商务所面临的任务中不包括( )。 A.数据的完整性 B.信息的保密性 C.操作的正确性 D.身份认证的真实性 2. SET用户证书不包括( )。 A.持卡人证书 B.商家证书 C.支付网关 D.企业证书 3．数字证书不包含以下哪部分信息（）。 A. 用户公钥 B. 用户身份信息 C. CA签名 D. 工商或公安部门签章 4．电子商务安全协议SET主要用于（）。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付 5．电子商务安全需求一般不包括（）。 A. 保密性 B. 完整性 C. 真实性 D. 高效性 6．现代密码学的一个基本原则：一切秘密寓于（）之中。 A．密文 B.密钥C．加密算法 D.解密算法 7.SET的含义是 ( ) A．安全电子支付协议 B．安全电子交易协议 C．安全电子邮件协议 D．安全套接层协议 8.关于SET协议，以下说法不正确的是（）。 A. SET是“安全电子交易”的英文缩写 B. 属于网络对话层标准协议 C. 与SSL协议一起同时在被应用 D. 规定了交易各方进行交易结算时的具体流程和安全控制策略 9.以下现象中，可能由病毒感染引起的是( ) A 出现乱码 B 磁盘出现坏道 C 打印机卡纸 D 机箱过热 10.目前，困扰电子支付发展的最关键的问题是( ) A 技术问题 B 成本问题 C 安全问题 D 观念问题 11.为网站和银行之间通过互联网传输结算卡结算信息提供安全保证的协议是( ) A DES B SET C SMTP D Email 12、数字签名是解决（）问题的方法。 A．未经授权擅自访问网络B．数据被泄露或篡改 C．冒名发送数据或发送数据后抵赖D．以上三种 13、数字签名通常使用（）方式 A．非对称密钥加密技术中的公开密钥与Hash结合B．密钥密码体系 C．非对称密钥加密技术中的私人密钥与Hash结合D．公钥密码系统中的私人密钥二、填空题。 1．电子商务安全协议主要有和两个协议。 2．SSL协议由和两个协议构成。 三、问答题。 分析比较对称密码密钥体系和非对称密码密钥体系的各自的特点及优缺点。

电子商务安全试题

电子商务安全试题（一） 一、填空题。（每空两分，共二十分） 1．电子商务安全协议主要有和两个协议。 2．电子商务系统的安全需求可分为的安全性、的安全性、的安全性和的安全性四个方面。 3．黑客攻击电子商务系统的手段有、、和。4．是确保电子商务系统中数据的安全性、真实性和完整性的重要手段。5．DES机密过程中，密钥长度是比特串，其中位是密钥。 6．传统密钥密码体制中，密码按加密方式不同可以分为和。 7．P2DR模型包含4个主要部分：、、和。 8．防火墙根据防范的方式和侧重点不同，可以分成三大类：、、和。 9．防火墙按构成方式的不同，可以分为：、和。10．是公用网和金融专用网之间的接口。 11．电子支付系统可以分为三大类，分别是：、和。12．身份证明系统由三方组成，分别是：、和。13．电子商务CA体系包括两大部分，符合SET标准的认证体系和基于X.509的体系。 14．SET使用多种密钥技术，其中技术、技术和算法是其核心。 15．SSL协议由和两个协议构成。 二、选择题，四中选一作为正确答案。（每题两分，共二十分） 1．保证实现安全电子商务所面临的任务中不包括( )。 A.数据的完整性 B.信息的保密性 C.操作的正确性 D.身份认证的真实性 2. SET用户证书不包括( )。 A.持卡人证书 B.商家证书 C.支付网关 D.企业证书 3．按( )划分，可将加密体制划分为对称加密体制和不对称加密体制。 A. 加密与解密算法是否相同 B. 加密与解密算法是否可逆 C. 加密与解密密钥是否相同 D. 加密与解密密钥的长度是否相同 4．数字证书不包含以下哪部分信息（）。 A. 用户公钥 B. 用户身份信息 C. CA签名 D. 工商或公安部门签章 5．电子商务安全协议SET主要用于（）。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付 6．PKI最核心的组成是（）。 A. 认证中心 B. 浏览器 C. Web服务器 D. 数据库 7．电子商务安全需求一般不包括（）。 A. 保密性 B. 完整性 C. 真实性 D. 高效性 8．黑客攻击电子商务系统的手段中，窃听这种手段攻击的是系统的（）。

电子商务考试练习试题

一、电子商务安全 1、计算机的安全问题可分为：(1分) Ａ．实体的安全性、运行环境的安全性、信息的安全性 Ｂ．实体的安全性，运行环境的安全性、信息的可靠性 Ｃ．实体的可靠性，运行环境的可靠性、信息的安全性 Ｄ．实体的可靠性，运行环境的安全性、信息的可靠性 2、W32.Sircam是一种首发于____的恶性邮件病毒，主要通过电子邮件附件进行传播，用户打开带有病毒的附件，病毒就会自动发作。(1分) p109 A. 美国 B. 加拿大 C. 英国 D. 中国 3、网页病毒多是利用操作系统和浏览器的漏洞，使用_____技术来实现的。(1分) p108 A. ActiveX 和JavaScript B. Activex 和Java C. Java 和HTML D. Javascritp 和HTML 4、下述哪一项不属于计算机病毒的特点？(1分) p107 A. 破坏性 B. 针对性

C. 可触发性 D. 强制性 5、病毒程序的引导功能模块是伴随着____的运行，将病毒程序从外部引入内存。(1分) p108 A. .com程序 B. 邮件程序 C. 宿主程序 D. .exe程序 6、对CIH病毒哪种说法是正确的？(1分) p109 A. CIH是一种宏病毒 B. CIH是一种网页型病毒 C. CIH是一种文件型病毒 D. CIH是一种邮件型病毒 7、在社会经济领域，下述哪个不是网络安全主要考虑的内容？(1分) A.国防和军队网络安全问题 B. 党政机关网络安全问题 C.市民上网的网络安全问题 D. 国家经济领域内网络安全问题 8、黑客是指什么？(1分) P101 A. 利用病毒破坏计算机的人 B. 穿黑衣的人

浙师大电子商务安全技术单选题题目

单项选择题 1．在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为( ) A．植入B．通信监视C．通信窜扰D．中断 2．消息传送给接收者后，要对密文进行解密是所采用的一组规则称作( ) A．加密B．密文C．解密D．解密算法 3．在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是( ) A．单独数字签名B．RSA签名C．ELGamal签名D．无可争辩签名4．MD-5是____轮运算，各轮逻辑函数不同。A．2 B．3 C．4 D．5 5．综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是( ) A．IPSec B．L2TP C．VPN D．GRE 6．VPN按服务类型分类，不包括的类型是( ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 7.目前发展很快的安全电子邮件协议是_______ ，这是一个允许发送加密和有签名 邮件的协议。( ) A．IPSec B．SMTP C．S/MIME D．TCP/1P 8. 对SET软件建立了一套测试的准则。( ) A．SETCo B．SSL C．SET Toolkit D．电子钱包 9．CFCA认证系统的第二层为( ) A．根CA B．政策CA C．运营CA D．审批CA 10. SHECA提供了_____种证书系统。A．2 B．4 C．5 D．7 11.以下说法不正确的是( ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份 C．数字证书由发证机构发行 D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素 12.以下说法不正确的是( ) A. RSA的公钥一私钥对既可用于加密，又可用于签名 B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C．一般公钥体制的加密用密钥的长度要比签名用的密钥长 D．并非所有公钥算法都具有RSA的特点 13. _______是整个CA证书机构的核心，负责证书的签发。( ) A．安全服务器B．CA服务器C．注册机构RA D．LDAP服务器14．能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是( ) A. PKI B．SET C．SSL D．ECC 15. _______在CA体系中提供目录浏览服务。( ) A．安全服务器B．CA服务器C．注册机构RA D．LDAP服务器 16. Internet上很多软件的签名认证都来自_______公司。( ) A．Baltimore B．Entrust C．Sun D．VeriSign 17．SSL支持的HTTP，是其安全版，名为( ) A．HTTPS B．SHTTP C．SMTP D．HTMS 18. SET系统的运作是通过个软件组件来完成的。A．2 B．3 C．4 D．5 19．设在CFCA本部，不直接面对用户的是( ) A．CA系统B．RA系统C．LRA系统D．LCA系统 20. CTCA的个人数字证书，用户的密钥位长为( ) A．128 B．256 C．512 D．1024

(最终)电子商务安全复习题(本科)

电子商务安全复习题 第1章、概论 1.电子商务安全问题主要涉及哪些方面?p5 (信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题) 2.电子商务系统安全由系统有哪些部分组成? p7 (实体安全、系统运行安全、系统信息安全) 3.电子商务安全的基本需求包括哪些?P16 (保密性、完整性、认证性、可控性、不可否认性) 4.电子商务安全依靠哪些方面支持?P17 (技术措施、管理措施、法律环境) 5.什么是身份鉴别，什么是信息鉴别？p15 答：身份鉴别是提供对信息收发方（包括用户、设备和进程）真实身份的鉴别。所谓身份鉴别，是提供对用户身份鉴别，主要用于阻止非授权用户对系统资源的访问。 信息鉴别则是提供对信息的正确性完整性和不可否认性的鉴别。 第2章、信息安全技术 1.信息传输中的加密方式主要有哪些? P27 (链路-链路加密、节点加密、端-端加密) 2.简述对称加密和不对称加密的优缺点。P35 p40 答：对称加密 优点：由于加密算法相同，从而计算机速度非常快，且使用方便计算量小加密与解密效率高。 缺点：1.密钥管理较困难；2.新密钥发送给接收方也是件较困难的事情，因为需对新密钥进行加密；3.其规模很难适应互联网这样的大环境。 不对称加密 优点：由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程，因此有助于加强数据的安全性； 缺点：加密和解密的速度很慢，不适合对大量的文件信息进行加密。 3.常见的对称加密算法有哪些?P35 (DES、AES、三重DES) 4.什么是信息验证码，有哪两种生成方法？P36 答:信息验证码（MAC）也称为完整性校验值或信息完整校验。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。 两种生成方式:1)基于散列函数的方法；2）基于对称加密的方法。 5.如何通过公开密钥加密同时实现信息的验证和加密？P39 答：1）发送方用自己的私有密钥对要发送的信息进行加密，得到一次加密信息。

电子商务安全试题和答案

2011年助理电子商务考试安全基础知识习题及答案 1 (多选) 电子商务安全立法与电子商务应用的(ABC)有关,基本上不属于技术上的系统设计问题。P76 A.环境 B.人员素质 C.社会 D.政治环境 2 (单选) (D )就是对电子商务犯罪的约束,它就是利用国家机器,通过安全立法,体现与犯罪斗争的国家意志。P76 A.硬件安全立法 B.软件安全立法 C.电子商务系统运行安全立法 D.电子商务安全立法 3 (单选) 硬件安全就是指保护计算机系统硬件(包括外部设备)的安全,保证其自身的( B)与为系统提供基本安全机制。P76 A.安全性 B.可靠 C.实用性 D.方便性 4 (多选) 新《刑法》有关计算机犯罪的规定,就是惩处计算机犯罪最有力的武器与最基本的依据,其犯罪内容具体表现有(ABCD )。P79 A.非法侵入计算机信息系统 B.破坏计算机信息系统功能 C.破坏计算机信息系统数据、应用程序 D.制作、传播计算机破坏性程序 5 (单选) 我国的新刑法确定了计算机犯罪( A)种主要形式。P79 A.五 B.六 C.七 D.八 6(单选) 对计算机病毒与危害社会公共安全的其她有害数据的防治研究工作,由(C )归口管理。”P78 A.信息产业部 B.国务院 C.公安部 D.政府 7 (单选) 1994年2月18日,我国颁布了( B),这就是我国的第一个计算机安全法规,就是我国计算机安全工作的总体纲领。P76 A.《计算机信息管理办法》 B.《中华人民共与国计算机信息系统安全保护条例》 C.《计算机信息系统网络国际联网安全管理办法》 D.《中国公用计算机互联网国际联网管理办法》 8 (多选) 计算机安全通常表现在哪几个方面:( AB)。P76 A.对计算机系统的安全保护

电子商务安全复习资料试题(供参考)

一、填空题（每空1分，共15分） 1.电子商务安全从整体上分为：网络安全和交易安全。 2.按密钥方式划分，密码技术分为：对称密码和非对称密码。 3.分组密码是将明文按一定的位长分组，输出也是固定长度的密文。 4.目前使用的电子签名主要有三种模式，分别是智慧卡式、密码式以及生物测定式。 5.放火墙一般用来保护内网。 6.CA的功能是证书的颁发、证书的更新、证书的销毁、证书的归档。 7.入侵检测(Qos)是通过计算机网络或计算机系统中的若干关键点收集信息并对其进行分析，以发现网络或系统中是否有违反安全策略的行为和遭到袭击的迹象，主要分成基于的入侵检测系统和基于行为的入侵检测和分布式入侵检测系统三大类。 8.包过滤路由器放火墙一般放置在INTERNET和内部网之间，是连接内外网的桥梁，选择的依据是系统内设置的路由规则。 9.Internet中用于发送安全电子邮件的协议是PGP 。 10.数字时间戳服务是网上电子商务安全服务的项目之一，他能提供电子文件的日期和时间信息的安全保护，它必须由专门的机构提供。 19.电子商务安全涉及的三大基本技术是：网络安全技术、密码技术、PKI技术。 20.在公开密钥体制中,加密密钥和解密密钥分离,公开公钥。 21.信息鲁莽性指不因图像文件的某种改动而导致图像丢失的能力。 22.数字签名的功能有完整性、保密性、认证性和不可抵赖。 23.常用的电子商务安全服务协议有SET 协议和SSL协议。 24.VPN按照接入方式划分，一般分为专线 VPN和拨号 VPN。 25.Internet中用于保障超文本传输的安全协议是HTTP 。 二、单项选择题（每小题1分，共20分） 1.电子商务面临的安全威胁不包括( )。 A.盗取 B.窃听 C.篡改 D.假冒和抵赖 2.IDEA密钥的长度为( )。 A.56 B.64 C.124 D.128 3.在防火墙技术中，内网这一概念通常指的是( )。 A.可信网络 B.不可信网络 C.防火墙内的网络 D.互联网 4.不属于非数学加密理论和技术的是( )。 A.RSA B.椭圆曲线 C.DES D.信息隐藏 5.如果需要某人对一个文件签名，但又不想让他知道文件的具体内容，可以采用下列哪种数字签名方法( )。 A.团体签名 B.盲签名 C.不可争辩签名 D.数字时间戳签名 6.信息安全技术的核心是( )。 A.PKI B.SET C.SSL D.ECC 7.在登录126信箱时，必须填写用户名和密码，这采用了下列那种认证手段( )。 A.口令认证 B.智能卡认证 C.身份认证 D.kerberos认证 8.X.509不提供以下哪种证书( )。 A.个人数字证书 B.机构签名证书 C.安全电子邮件证书 D.SET服务器证书 9.采用DES加密算法，N个用户交换数据并加密，需要的密钥存储空间个数是( )。

电子商务试题及答案

《电子商务概论》试题一 一选择题：从下面备选答案中，选出1-4 个正确的答案，将答案代号填在题目后面的括号内。(每 小题3 分，共计60 分) 1、传统企业要走电子商务之路，必然会面临多个方面的变革：( ) A、技术的变革 B、主体的变革 C、流程的变革 D、结构的变革 2、与传统的商务活动相比，电子商务具有以下的特点： ( ) A、交易虚拟化 B、交易效率高 C、交易成本高 D、交易透明化 3、电子商务的基本组成包括下面哪些部分： ( ) A、计算机 B、网络 C、用户 D、网上银行 4、电子商务的经营模式主要有： ( ) A、新兴企业虚拟柜台模式 B、传统企业虚实结合模式 C、新兴企业有形商品模式 D、新兴企业无形商品模式 5、根据网上购物者购物的特点，一般可将网上购物类型分为： ( ) A、专门计划性购物 B、一般计划性购物 C、一般无计划性购物 D、完全无计划性购物 6、B2C 电子商务网站的收益模式主要有： ( ) A、收取广告费 B、收取服务费 C、扩大销售额 D、会员制 7、实现B2B 电子商务必须具备一定的基础，主要表现在： ( ) A、信息标准化 B、技术电子化 C、商务集成化 D、用户身份验证 8、网络商务信息收集的基本要求： ( ) A、及时 B、准确 C、量大 D、经济 9、EDI 标准的三要素是指： ( ) A、数据元 B、数据段 C、段目录 D、标准报文 10、电子商务企业一体化发展的三种基本形式： ( ) A、水平一体化 B、垂直一体化 C、前向一体化 D、后向一体化 11、电子商务安全交易的方法主要有： ( ) A、数字证书 B、数字签名 C、数字摘要 D、数字时间戳 12、网络消费者购买行为的心理动机主要体现在： ( ) A、理智动机 B、感情动机 C、地域动机 D、惠顾动机 13、网络分销的策略主要有： ( ) A、网络直接销售 B、网络间接销售 C、综合法 D、双道法 14、物流配送的模式主要有： ( ) A、混合型配送 B、专业型配送 C、集货型配送 D、散货型配送 15、信息服务型网站所具备的基本功能主要有： ( ) A、导航 B、通信 C、社区 D、娱乐 二问答题 (每小题8 分，共计40 分) 1、简述B2B 电子商务交易的优势及其具体表现? 2、试述电子商务如何降低企业的经营成本？ 3、证券电子商务的主要特点有哪些？ 4、SET 协议的主要优点有哪些？ 5、论述网络营销策略中产品营销策略的主要内容？ 《电子商务概论》试题一答案 一选择题（从下面备选答案中，选出1 - 4 个正确的答案，将答案代号填在题目后面的括

电子商务安全试题

一、简答： 1.简述电子商务的安全需求。 答:电子商务的安全需求主要包括:机密性,指信息在传送过程中不被他人窃取;完整性, 指保护信息不被未授权的人员修改;认证性, 指网络两端传送信息人的身份能够被确认；不可抵赖性，指信息的接受方和发送方不能否认自己的行为；不可拒绝性，指保证信息在正常访问方式下不被拒绝；访问的控制性，指能够限制和控制对主机的访问。 2．简述VPN中使用的关键技术。 答: VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 3.简述入侵检测的主要方法QOS。 答:入侵检测的主要方法有：静态配置分析法；异常性检测方法；基于行为的检测方法；智能检测法。 4.简述PKI的基本组成。 答: PKI的基本组成有：认证机构CA；数字证书库；密钥备份与恢复系统；证书作废系统；应用程序接口部分。 5.简述木马攻击必须具备的条件。 答:木马攻击必须具备三个基本条件，要有一个注册程序，要有一个注册程序可执行程序，可执行程序必须装入内存并运行；要有一个端口。 6.简述CA的基本组成。 答:CA的基本组成：注册服务器；CA服务器；证书受理与审核机构RA；这三个部分互相协调，缺一不可。 7．简述对称密钥加密和非对称密钥加密的区别。 答: 对称密钥算法是指使用同一个密钥来加密和解密数据。密钥的长度由于算法的不同而不同，一般位于40~128位之间。 公钥密码算法:是指加密密钥和解密密钥为两个不同密钥的密码算法。 公钥密码算法不同于单钥密码算法,它使用了一对密钥:一个用于加密信息,另一个则用于解密信息,通信双方无需事先交换密钥就可进行保密。 8．简述安全防范的基本策略。 答:安全防范的基本内容有：物理安全防范机制，访问权限安全机制，信息加密安全机制，黑客防范安全机制；风险管理与灾难恢复机制。 9．简述VPN中使用的关键技术。 答:VPN中使用的关键技术：隧道技术、加密技术、QOS技术。加密技术和隧道技术用来连接并加密通讯的两端，QOS技术用来解决网络延迟与阻塞问题。 10．简述数字签名的使用原理。 答:发送方使用HASH函数处理原文，得到数字摘要；使用接受方的公钥对明文和数字摘要加密并通过网络发送；接受方使用私钥解密；接受方使用HASH函数重新得到数字摘要；对比数字摘要。 11．简述密钥的生命周期。

电子商务安全复习题(答案)

第1章 概论 1、电子商务安全问题主要涉及哪些方面? p5 答：信息的安全问题、信用的安全问题、安全的管理问题、安全的法律问题。 2、电子商务系统安全由系统有哪些部分组成? p7 答：实体安全、系统运行安全、系统信息安全。 3、电子商务安全的基本需求包括哪些? P16 答：保密性、完整性、认证性、可控性、不可否认性。 4、电子商务安全依靠哪些方面支持? P17 答：技术措施、管理措施、法律环境。 5、什么是身份鉴别，什么是信息鉴别？ p15 答：所谓身份鉴别，是提供对用户身份鉴别，主要用于阻止非授权用户对系统资源的访问。 信息鉴别则是提供对信息的正确性、完整性和不可否认性的鉴别。 第2章 信息安全技术 1、信息传输中的加密方式主要有哪些? P27 答：链路-链路加密、节点加密、端-端加密。 2、简述对称加密和不对称加密的优缺点。 P35 p40 答：（1）对称加密 优点：由于加密算法相同，从而计算机速度非常快，且使用方便、 计算量小 、加密与解密效率高。 缺点：1)密钥管理较困难；2)新密钥发送给接收方也是件较困难的事情，因为需对新密钥进行加密；3）其规模很难适应互联网这样的大环境。 （2）不对称加密 优点：由于公开密钥加密必须由两个密钥的配合使用才能完成加密和解密的全过程，因此有助于加强数据的安全性。 缺点：加密和解密的速度很慢，不适合对大量的文件信息进行加密。 3、常见的对称加密算法有哪些? P35 答：DES、AES、三重DES。 4、什么是信息验证码，有哪两种生成方法？ P36 答：信息验证码（MAC）校验值和信息完整校验。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑联系。两种生成方式:1)j基于散列函数的方法；2）基于对称加密的方法。 5、如何通过公开密钥加密同时实现信息的验证和加密？P39 答：1）发送方用自己的私有密钥对要发送的信息进行加密，得到一次

《电子商务安全与支付》考纲、试题

《电子商务安全与支付》考纲、试题 、答案 一、考试说明 《电子商务安全与支付》是电子商务的分支学科，它主要针对翻新的网络破坏和犯罪形式，新的安全技术不断出现和被采用，有力地保障了电子商务的正常开展，本门课程重点探讨信息系统安全防范技术、虚拟专用网络技术、数据备份与灾难恢复技术、安全交易加密技术、安全交易认证技术、安全交易协议技术等问题，同时涉及交易系统安全管理，介绍电子商务安全的相关法律和电子商务安全解决方案。 本课程闭卷考试，满分100分，考试时间90 分钟。考试试题题型及答题技巧如下： 一、单项选择题（每题2分，共20 分） 二、多选选择题（每题3分，共15 分） 三、名词解释题（每题 5 分，共20 分） 四、简答题（每题9分，共27 分） 答题技巧：能够完整例举出所有答题点，不需要全部展开阐述，适当展开一些，但一定要条理清晰，字迹工整，结构明朗。 五、分析题（每题9 分，共18分） 答题技巧：对所考查的问题进行比较详尽的分析，把握大的方向的同时要尽可能的展开叙述，对问题进行分析，回答问题要全面，同时注意书写流畅、条理清晰。 二、复习重点内容 第1xx 电子商务安全概述 1. 网络攻击的分类（重点掌握）：WEB欺骗、网络协议攻击、IP欺骗、远程攻击

2. 电子商务的安全性需求（了解）：有效性、不可抵赖性、严密性 3?因特网的主要安全协议（了解）：SSL协议、S-HTTP协议、SET协议 4. 数字签名技术、防火墙技术（了解） 第2xx 信息系统安全防范技术、 1 .电子商务的安全性需求（重点掌握）：有效性、不可抵赖性、严密性 2. 计算机病毒按入侵方式分为操作系统型病毒、文件型病毒（了解） 3. 计算机病毒的传播途径（重点掌握）：（1）因特网传播：① 通过电子邮件传播，② 通过浏览网页和下载软件传播，③ 通过及时通讯软件传播；（2）局域网传播；（3）通过不可转移的计算机硬件设备传播；（4）通过移动存储设备传播;（5）无线设备传播。 4. 特洛伊木马种类（重点掌握）：破坏型特洛伊木马、破坏型特洛伊木马、 远程访问型特洛伊木马、常规的计算机病毒的防范措施（重点掌握）：（1）建立良好的安全习惯；（2）关闭或删除系统中不键盘记录型特洛伊木马 5. 需要的服务；（3）经常升级操作系统的安全补丁；（4）使用复杂的密码;（5）迅速隔离受感染的计算机；（6） 安徽专业的防病毒软件进行全面监控；（7）及时安装防火墙 6.防火墙的类型（重点掌握）：包过滤防火强、代理服务器防火墙 7?防火墙的安全业务（重点掌握）：用户认证、域名服务、邮件处理、IP安全保护第 3 章虚拟专用网络技术 1. VPN网络安全技术包括（了解）：隧道技术、数据加解密技术、秘钥管理技术、设备身份认证技术。 2?隧道协议的构成（了解）：PPTP协议、L2TP IPSec/SSTP 第4xx 数据备份与灾难恢复技术

电商安全复习题

南京中医药大学课程试卷 姓名专业年级学号得分 *答题必须做在答题纸上，做在试卷上无效。 1、单选题（每题1 分，计10分） 1、在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为 ( B) A．植入 B．通信监视 C．通信窜扰 D．中断 2、消息传送给接收者后，要对密文进行解密是所采用的一组规则称作 (D ) A．加密 B．密文 C．解密 D．解密算法 3、《计算机房场、地、站技术要求》的国家标准代码是 (C ) A. GB50174- 93 B.GB9361- 88 C. GB2887-89 D.GB50169 - 92 4、VPN按服务类型分类，不包括的类型是 (A ) A. Internet VPN B.Access VPN C. Extranet VPN D.Intranet VPN 5、以下说法不正确的是 (A ) A.在各种不用用途的数字证书类型中最重要的是私钥证书 B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份C．数字证书由发证机构发行 D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素 6、.以下说法不正确的是 ( C) A. RSA的公钥一私钥对既可用于加密，又可用于签名 B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用 C．一般公钥体制的加密用密钥的长度要比签名用的密钥长 D．并非所有公钥算法都具有RSA的特点 7、_______是整个CA证书机构的核心，负责证书的签发。 (B ) A．安全服务器 B．CA服务器 C．注册机构RA D．LDAP服务器8、能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是 (A ) A. PKI B．SET C．SSL D．ECC 9、在PKI的性能中，_______服务是指从技术上保证实体对其行为的认可。 ( D) A．认证 B．数据完整性 C．数据保密性 D．不可否认性 10、以下不可否认业务中为了保护发信人的是 ( D) A．源的不可否认性 B．递送的不可否认性 C．提交的不可否认性 D．B和C

电子商务安全期末复习题(1)

电子商务安全期末复习题（1） 一、单项选择题 1.TCP/IP协议安全隐患不包括( D ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.在防火墙技术中，内网这一概念通常指的是( A ) A.受信网络 B.非受信网络 C.防火墙内的网 络 D.互联网 3.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过 程分为几个阶段?( A ) A.三个 B.四个 C.五 个 D.六个 4.信息安全技术的核心是( A ) A.PKI B.SET C.SSL D.ECC 5.Internet接入控制不能对付以下哪类入侵者? ( C ) A.伪装者 B.违法者 C.内部用 户 D.地下用户 6.CA不能提供以下哪种证书? ( D ) A.个人数字证书 B.SSL服务器证书 C.安全电子邮件证书 D.SET服务器证书 7.通常为保证商务对象的认证性采用的手段是( C ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 8.以下哪一项不在证书数据的组成中? ( D ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 9.计算机病毒的特征之一是( B ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 10.在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几 个步骤? ( C ) A.6 B.7 C.8 D.9 11.SHA的含义是( C ) A.加密密钥 B.数字水印 C.安全散列算 法 D.消息摘要 12.对身份证明系统的要求之一是( D ) A.具有可传递性 B.具有可重用性 C.示证者能够识别验证者 D.验证者正确识别示证者的概率极大 化 13.阻止非法用户进入系统使用( C )

《电子商务概论》复习试题与答案

《电子商务概论》复习试题与答案 一、填空： 1、互联网最基本的特征是（互动）、（共享）与廉价。 2、电子商务是3层框架结构，底层是网络平台，中间是（电子商务）平台，第三层是各种各样的（电子商务应用系统）。 3、电子商务的技术标准包含了四方面的内容：（EDI标准）、识别卡标准、（通信网络标准）、其他相关标准。 4、EDI的工作过程是：制作订单、（发送订单）接收订单、签发回执、（接收回执） 5、电子金融包括网络银行、（网络保险）、（网上证券交易）、网上理财等各种通过网络实现的金融服务内容。 6、电子支票的使用步骤是购买电子支票、（电子支票付款）、（清算） 7、所谓物流，是指物质资料从（供给者）到（需求者）的物理性流动。 8、降低配送成本的途径（混合配送）、（差异化配送）、合并配送、适当延迟。 9、供应链与传统物流渠道的区别，主要体现在两条物流渠道的（起点及环节）不同，两条物流渠道上（流动的内容）不同。 10、CRM概念可从三个层面来表述，即：CRM是一种现代经营管理理

念、CRM是一整套（解决方案）、CRM是一种（应用软件系统）。 11、电子商务是通过改变企业业务活动中的（信息）流程来改变企业（业务）流程 12、在电子商务环境中，企业业务活动中的信息流由（直线型）结构转化为一种（网状）结构。 13、目前，Internet提供的基本服务有：WWW、（远程登录）、文件传输、（电子邮件）Gopher服务、网络新闻 14、（认证中心）是在（电子商务）交易中承担网上安全交易认证服务、签发数字证书、确认用户身份等工作，并具有权威性和公正性的第三方服务机构。 15、网络银行技术主要包括（硬件技术）和（软件技术）两大类。 16、目前网上保险主要有两种经营模式：一种是基于保险公司网站的经营模式，即（直接销售）模式；另一种是基于新型网上保险中介机构的经营模式，即（间接销售）模式。 17、从物流规模和影响层面来看，物流可以分为宏观物流、（中观物流）和（微观物流） 18、第三方物流是物流（专业化）的一种形式，指物流配送活动由商品的（供方和需方）之外的第三方提供。 19、BPR的技术手段主要有（流程图的设计与分析）和（标杆瞄准法）等。 20、按照企业运用呼叫中心的方法不同，可以分为两种不同类型，即：（自营性）呼叫中心和（外包型

电子商务安全试题附答案(二)

电子商务安全试题附答案（二） 一、填空题。（每空2分，共20分） 1．SET使用多种密钥技术，其中对称密钥技术、技术和算法是其核心。 2．电子商务安全协议主要有和两个协议。 3．电子商务系统的安全需求可分为交易环境的安全性、交易对象的安全性、的安全性和的安全性四个方面。 4．是确保电子商务系统中数据的安全性、真实性和完整性的重要手段。 5．传统密钥密码体制中，密码按加密方式不同可以分为和。6．P2DR模型包含4个主要部分：安全策略、、检测和。 7．防火墙按构成方式的不同，可以分为：、和堡垒主机型。8．电子支付系统可以分为三大类，分别是：、和。9．身份证明系统由三方组成，分别是：示证者、和。 10．电子商务CA体系包括两大部分，符合SET标准的认证体系和基于X.509的体系。 二、选择题，四中选一作为正确答案。（每题两分，共二十分） 1.SET用户证书不包括()。 A.持卡人证书 B.商家证书 C.支付网关 D.企业证书

2．按()划分，可将加密体制划分为对称加密体制和不对称加密体制。 A.加密与解密算法是否相同 B.加密与解密算法是否可逆 C.加密与解密密钥是否相同 D.加密与解密密钥的长度是否相同 3．电子商务安全协议SET主要用于（）。 A.信用卡安全支付 B.数据加密 B.交易认证D.电子支票支付 4．PKI最核心的组成是（）。 A.认证中心 B.浏览器 C.Web服务器 D.数据库 5．电子商务安全需求一般不包括（）。 A.保密性 B.完整性 C.真实性 D.高效性 6．黑客攻击电子商务系统的手段中，中断这种手段攻击的是系统的（）。

A．可用性B.机密性 C．完整性D.真实性 7．现代密码学的一个基本原则：一切秘密寓于（）之中。A．密文B.密钥 C．加密算法D.解密算法 8．DES是（）的一个典型代表。 A．分组密码B.序列密码 C．加密密码D.解密密码 9．信用卡是一种（）的支付系统。 A.预先付款 B.延迟付款 C.即时付款 D.当面付款 10．（）涵盖了SET交易的全过程，成了SET协议的灵魂。 A.证书管理 B.证书申请 C.证书废除 D.证书更新 三、名词解释。（每题五分，共二十五分） 1．广义的电子商务 2．EDI 3．防火墙

电子商务安全题库

一、单项选择题（每题1分，共30分） 1.按密钥类型划分，加密算法分为对称密钥加密算法和非对称密钥加密算法。 2.电子商务的安全风险主要来自于。 A．信息传输风险 B. 信用风险 C. 管理风险 D.以上都是 3.对信息传递的攻击主要表现为。 A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 E. 以上都是 4. 攻击破坏信息的性。 A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 5. 攻击破坏信息的完整性。 A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 截取（窃听） C. 篡改 D. 伪造 7. 攻击破坏信息的真实性。 A. 中断（干扰） B. 截取（窃听） C. 篡改 D. 伪造 8.现代加密技术的算法是。 A. 公开的 B. 的 C. 对用户 D. 只有加密系统知道。 9. A．一把密钥 C. 相同密钥或实质相同的密钥 D. 两把密钥 10. 非对称密钥算法加密和解密使用。 A．一把密钥 B. 密钥对，一个加密则用另一个解密 C. 相同密钥或实质相同的密钥 D. 两把密钥 C. 公开密钥加密 D. 私有密钥加密 12.RAS A. C. 单一密钥加密 D. 私有密钥加密 13.DES算法是分组加密算法，分组长度为64bit，密钥长度为。 A. 56bit B. 64bit C. 128bit D. 64Byte

14.DES算法是分组加密算法，分组长度为。 A. 56bit B. 64bit C. 128bit D. 64Byte 15.RAS加密，用②解密。 A. 发送方私钥 B. C. 接收方私钥 D. 接收方公钥 16. RAS加密，用②解密。 A. 发送方私钥 B. C. 接收方私钥 D. 接收方公钥 17. A. 工作密钥 B. 密钥加密密钥公开密钥。 18.多层密钥系统中对数据进行加密解密的是。 A. 工作密钥 B. 密钥加密密钥 C. 主密钥 D. 公开密钥。 19.多层密钥系统中对下层密钥加密的是。 A. 工作密钥 B. 密钥加密密钥 C. 主密钥 D. 公开密钥。 20.和②。 A．顺序产生 B. C. 密钥使用系统产生 D. 密钥管理中心系统产生。 21.目前最常用的数字证书格式是。 A. X.509 v3 B. X.509 v2 C. X.509 v1 D. X.500 22.认证的类型有消息认证和身份认证，消息认证的目的是证实消息的。 A．来源 B. 完整性 C. 含义 D. 以上都是 23. 认证的类型有消息认证和身份认证，身份认证的目的是证实通信方的。 A. 访问目的 B.身份 C. 现实中的身份 D. 24.MD5对于任意长度的报文都输出 bit的摘要。 A. 160 B. 128 C. 64 D. 256 25. SHA1对于任意长度的报文都输出 bit的摘要。 A. 160 B. 128 C. 64 D. 256 26.口令易受重放攻击，目前的防措施是。 A. 保护好密码 B. 不泄露真实身份 C. 加密 D. 实时验证码 27.防止口令在传输过程中被截获泄露密码的措施是。 A. 加密 B. 数字签名 C. 验证码 D. 传输摘要

电子商务自主招生考试复习：电子商务安全试题(一)

电子商务安全试题 一、填空题。（每空两分，共二十分） 1．电子商务安全协议主要有和两个协议。 2．电子商务系统的安全需求可分为的安全性、的安全性、的安全性和的安全性四个方面。 3．黑客攻击电子商务系统的手段有、、和。4．是确保电子商务系统中数据的安全性、真实性和完整性的重要手段。5．DES机密过程中，密钥长度是比特串，其中位是密钥。 6．传统密钥密码体制中，密码按加密方式不同可以分为和。 7．P2DR模型包含4个主要部分：、、和。 8．防火墙根据防范的方式和侧重点不同，可以分成三大类：、、和。 9．防火墙按构成方式的不同，可以分为：、和。10．是公用网和金融专用网之间的接口。 11．电子支付系统可以分为三大类，分别是：、和。12．身份证明系统由三方组成，分别是：、和。13．电子商务CA体系包括两大部分，符合SET标准的认证体系和基于X.509的体系。 14．SET使用多种密钥技术，其中技术、技术和算法是其核心。 15．SSL协议由和两个协议构成。 二、选择题，四中选一作为正确答案。（每题两分，共二十分） 1．保证实现安全电子商务所面临的任务中不包括( )。 A.数据的完整性 B.信息的保密性 C.操作的正确性 D.身份认证的真实性 2. SET用户证书不包括( )。 A.持卡人证书 B.商家证书 C.支付网关 D.企业证书 3．按( )划分，可将加密体制划分为对称加密体制和不对称加密体制。 A. 加密与解密算法是否相同 B. 加密与解密算法是否可逆 C. 加密与解密密钥是否相同 D. 加密与解密密钥的长度是否相同 4．数字证书不包含以下哪部分信息（）。 A. 用户公钥 B. 用户身份信息 C. CA签名 D. 工商或公安部门签章 5．电子商务安全协议SET主要用于（）。 A. 信用卡安全支付 B. 数据加密 B. 交易认证 D. 电子支票支付 6．PKI最核心的组成是（）。 A. 认证中心 B. 浏览器 C. Web服务器 D. 数据库 7．电子商务安全需求一般不包括（）。 A. 保密性 B. 完整性 C. 真实性 D. 高效性 8．黑客攻击电子商务系统的手段中，窃听这种手段攻击的是系统的（）。

电子商务安全试题

一、选择题：（共30 分，每空 1分） 1.有关数据库加密，下面说法不正确的是。 A. 索引字段不能加密 B. 关系运算的比较字段不能加密 C. 字符串字段不能加密 D. 表间的连接码字段不能加密 2.当收到认识的人发来的电子邮件并发现其中有意外附件，应该。 A. 打开附件，然后将它保存到硬盘 B. 打开附件，但是如果它有病毒，立即关闭它 C. 用防病毒软件扫描以后再打开附件 D. 直接删除该邮件 3.下面不是系统的登陆口令设置原则的是。 A. 密码最好是英文字母、数字、标点符号、控制字符等的结合 B. 不要使用英文单词，容易遭到字典攻击 C. 不要使用自己、家人、宠物的名字 D. 一定要选择字符长度为8的字符串作为密码 4. 美国国防部发布的可信计算机系统评估标准〈TCSEC) 定义了个等级。 A. 五 B. 六 C. 七 D. 八 5.从安全属性对各种网络攻击进行分类，阻断攻击是针对的攻击。 A. 机密性 B. 可用性 C. 完整性 D. 真实性 6.关于用户角色，下面说法正确的是。 A.SQL Sewer 中，数据访问权限只能赋予角色，而不能直接赋予用户 B. 角色与身份认证无关 C. 角色与访问控制无关 D. 角色与用户之间是一对一的映射关系 7.从安全属性对各种网络攻击进行分类，截获攻击是针对的攻击。 A. 机密性 B. 可用性 C. 完整性 D. 真实性 8. 防火墙是在网络环境中的应用。 A. 字符串匹配 B. 访问控制技术 C. 入侵检测技术 D. 防病毒技术 9. 包过滤防火墙工作在 OSI 网络参考模型的。 A. 物理层 B. 数据链路层 C. 网络层 D. 应用层 10. 从系统结构上来看，入侵检测系统可以不包括。