2018年10月自考00997电子商务安全导论试题及答案含解析

电子商务安全导论年月真题

00997201810

1、【单选题】称为访问控制保护级别的是

C1

B1

A:

C2

B:

B2

C:

答D:案：C

解析：《可信任的计算机安全评估标准》为计算机安全的不同级别制定了4个标准,由低

到高分别为D、C(C1、C2)、B(B1、B2、B3)、A级<br>(1)D:对用户没有验证；(2)C(C1、

C2)①C1:硬件加锁保护,用户注册,数据访问权限②C2:增加用户权限级别,采用系统审计机

制，称为访问控制保护级别；(3)B(B1、B2、B3)①B1:存在多级安全保护②B2:结构化防护,

软件、硬件、信息区分安全级别3B3:通过可信任途径链接网络系统；(4)A:验证保护级,附

加一个安全系统受监控的设计要求,合格的安全个体必须被审查后才能正常工作。

2、【单选题】通常PKI的最高管理是通过

政策管理机构来体现的

证书作废系统来体现的

A:

应用接口来体现的

B:

证书中心CA来体现的

C:

答D:案：A

解析：通常PKI的最高管理是通过政策管理机构来体现的

3、【单选题】IDEA加密算法首先将明文分为

16位数据块

32位数据块

A:

64位数据块

B:

128位数据块

C:

答D:案：C

解析：IDEA的加密过程是,首先将明文分为64位的数据块,然后进行8轮迭代和一个输出

变换。IDEA的输入和输出都是64位,密钥长度为128位。

4、【单选题】美国的橘黄皮书中给计算机安全啊的不同级别制定了标准，由低到高排列正确

的是

C1、B1、C2、B2

B1、B2、C1、C2

A:

A、B2、C2、D

B:

C1、C2、B1、B2

C:

答D:案：D

解析：《可信任的计算机安全评估标准》为计算机安全的不同级别制定了4个标准,由低

到高分别为D、C(C1、C2)、B(B1、B2、B3)、A级故正确的是D项：C1、C2、B1、B2

5、【单选题】《电气装置安装工程、接地装置施工及验收规范》的国家标准代码是

GB50174-93

GB9361-88

A:

GB2887-89

B:

GB50169-92

C:

答D:案：D

解析：《电气装置安装工程、接地装置施工及验收规范》的国家标准代码是GB50169-92

6、【单选题】下列提高数据完整性的安全措施中，不属于预防性措施的是

归档

镜像

A:

RAID

B:

网络备份

C:

答D:案：D

解析：预防性措施是用来防止危及到数据完整性事情的发生。可采用以下措施:(1)镜像技

术。镜橡技术是指将数据原样地从一台设备机器拷贝到另一台设备机器上。(2)故障前兆

分析。有些部件不是一下子完全坏了，例如磁盘驱动器，在出故障之前往往有些征兆，

进行故障前兆分析有利于系统的安全。(3)奇偶校验。奇偶校验也是服务器的一个特性。

它提供一种机器机制来保证对内存错误的检测，因此，不会引起由于服务器出错而造成

数据完整性的丧失。(4)隔离不安全的人员。对本系统有不安全的潜在威胁人员，应设法

与本系统隔离。(5)电源保障。使用不间断电源是组成一个完整的服务器系统的良好方

案。

7、【单选题】SHA算法输出的哈希值长度为

96比特

A:

128比特

160比特

B:

192比特

C:

答D:案：C

解析：散列算法中，MD5输出128位、SHA1输出160位、SHA256输出256位。

8、【单选题】不可否认业务中,用来保护收信人的是

源的不可否认性

递送的不可否认性

A:

提交的不可否认性

B:

委托的不可否认性

C:

答D:案：A

解析：不可否认业务中，源的不可否认性上是用来保护收信人

9、【单选题】在密钥管理系统中最核心、最重要的部分是

工作密钥

数据加密密钥

A:

密钥加密密钥

B:

主密钥

C:

答D:案：D

解析：在密钥管理系统中最核心、最重要的部分是主密钥

10、【单选题】在Kerberos中,Client向本Kerberos的认证域以外的Server申请服务

的过程分为

四个阶段

五个阶段

A:

六个阶段

B:

七个阶段

C:

答D:案：A

解析：在Kerberos中,Client向本Kerberos的认证域以外的Server申请服务的过程

分为4个阶段，8个步骤。

11、【单选题】点对点隧道协议PPTP是第几层的隧道协议?

第一层

第二层

A:

第三层

B:

第四层

C:

答D:案：B

解析：点对点隧道协议(PPTP)是一种支持多协议虚拟专用网络的网络技术,它工作在第二

层。

12、【单选题】CA对已经过了有效期的证书采取的措施是

直接删除

记入吊销证书表

A:

选择性删除

B:

不作处理

C:

答D:案：B

解析：每一张数字证书都有指定的有效期,当发现证书不安全时,CA机构将通过证书吊销来

缩短不安全证书的有效期。

13、【单选题】DAC由资源拥有者分配接入权,在辨别各用户的基础上实现

密码控制

智能控制

A:

数据控制

B:

接入控制

C:

答D:案：D

解析：DAC由资源拥有者分配接入权,在辨别各用户的基础上实现接入控制

14、【单选题】使用专有软件加密数据库数据的是

Access

Domino

A:

Exchange

B:

Oracle

C:

答D:案：B

解析：Domino使用专有软件加密数据库数据

15、【单选题】在下列安全鉴别问题中,数字签名技术不能解决的是

发送者伪造

接收者伪造

A:

发送者否认

B:

接收者否认

C:

答D:案：A

解析：数字签名可以解决下述安全鉴别问题：（1）接收方伪造：接收方伪造一份文件，

并声称这是发送方发送的。（2）发送者或接收者否认：发送者或接收者事后不承认自己

曾经发送或接收过文件。（3）第三方冒充：网上的第三方用户冒充发送或接收文件。

（4）接收方篡改：接收方对收到的文件进行改动。

16、【单选题】SET安全协议要达到的目标主要有

三个

四个

A:

五个

B:

六个

C:

答D:案：C

解析：SET安全协议要达到的目标主要有五个：（1）保证电子商务参与者信息的相互隔

离。客户的资料加密或打包后边过商家到达银行，但是商家不能看到客户的帐户和密码信

息；（2）保证信息在Intemet上安全传输，防止数据被黑客或被内部人员窃取；

（3）解决多方认证问题，不仅要对消费者的信用卡认证，而且要对在线商店的信誉程度

认证，同时还有消费看、在线商店与银行间的认证；（4）保证了网上交易的实时性，

使所有的支付过程都是在线的；（5）规范协议和消息格式，促使不同厂家开发的软件

具有兼容性和互操作功能，并且可以运行在不同的硬件和操作系统平台上。

17、【单选题】安装在客户端的电子钱包一般是一个

独立运行的程序

浏览器的插件

A:

客户端程序

B:

单独的浏览器

C:

答D:案：B

解析：安装在客户端的电子钱包一般是一个浏览器的插件

18、【单选题】身份认证中的证书的发行单位是

个人

A:

政府机构

非营利自发机构

B:

认证授权机构

C:

答D:案：D

解析：身份认证中的证书的发行由认证授权机构发行

19、【单选题】确保交易各方身份的真实性是通过数字化签名和

加密

商家认证

A:

数字化签名

B:

SSL

C:

答D:案：B

解析：确保交易各方身份的真实性是通过数字化签名和商家认证

20、【单选题】下列选项中,哪一项不属于SHECA证书管理器的操作范围?

个人证书的操作

服务器证书的操作

A:

对他人证书的操作

B:

对根证书的操作

C:

答D:案：B

解析：SHECA证书管理器的操作包括个人证书的操作、对他人证书的操作以及对根证书的

操作

21、【多选题】使用两个密钥的算法有

双密钥加密

单密钥加密

A:

双重DES

B:

三重DES

C:

双重RSA

D:

答E:案：ACD

解析：使用两个密钥的算法有双密钥加密、双重DES和三重DES。双重DES,将密钥1作为

key1,密钥2作为key2,实现两次encryption，三重DES使用两个密钥效果跟双重DES一

样

22、【多选题】在下列计算机病毒中,属于良性病毒的有

小球病毒

扬基病毒

A:

黑色星期五病毒

B:

救护车病毒

C:

火炬病毒

D:

答E:案：ABD

解析：计算机良性病毒是不破坏计算机的数据或程序。它是一种只占用计算机资源来执行

而不会导致计算机系统瘫痪的计算机病毒，包括有小球病毒、1575/1591病毒、救护车病

毒、扬基病毒、Dabi病毒等等

23、【多选题】Kerberos系统的组成包括

用户Client

服务器Server

A:

认证中心CA

B:

认证服务器AS

C:

票据授权服务器TGS

D:

答E:案：ABDE

解析：Kerberos系统的组成包括用户Client、服务器Server、认证服务器AS和票据授权

服务器TGS

24、【多选题】组成电子商务的技术要素主要有

网络

应用软件

A:

硬件

B:

商品

C:

仓库

D:

答E:案：ABC

解析：组成电子商务的技术要素主要有网络、应用软件和硬件

25、【多选题】接入控制的实现方法有

DAC

DCA

A:

MAC

B:

C:

CAM

GE

D:

答E:案：AC

解析：接入控制的实现方法有两种：DAC自主访问控制和MAC强制访问控制

26、【问答题】设置防火墙的目的及主要作用是什么?

答案：设置防火墙的主要目的是为了在内部与外网之间设立唯一的通道,允许网络管理员

定义一个中心“遏制点“提供两个网络间的访问控制,使得只有被安全策略明确授权的信

息流才被允许通过,对两个方向的信息流都能控制。它的主要作用是防止发生网络安全事

件引起的损害,使入侵更难实现,来防止非法用户,比如防止黑客、网络破坏者等进入内部

网络。禁止存在安全脆弱性的服务进出网络,并抗击来自各种路线的攻击。

27、【问答题】Web客户机的任务是什么?

答案：答:Web客户机的任务是:(1)为客户提出一个服务请求:(2)将客户的请求发送给服务

器:(3)解释服务器传送的HTML等格式文档,通过浏览器显示给客户（3个点,每答对一个点

给2分,3个点都答对给5分)

28、【问答题】数字签名和手书签名有什么不同?

答案：答:数字签名和手书签名的区别在于:手书签名是模拟的,因人而异,比较容易伪造,

要区分是否伪造,往往需要特殊专家(2分),而数字答名是0和1的数字串,极难伪造,不需

要专家(2分),对不同的信息摘要,即使是同一个人,其数字签名也是不同的（1分）

29、【问答题】说出你知道的PKI的应用范围。

答案：答:PKI的应用范围包括:WWW服务器·和浏览器之间的通信,安全的电子邮件,电子

数据交换,Internet上的行用交易及VPN等。

30、【问答题】SET安全协议要达到的目标有哪五个?

答案：答:SET安协议要达到的目标要有五个:(1)信息的安全传输:12)信息的相互隔离:(3)

多方认证的解决:(4)交易的实时性:（5）效仿EDI贸易形式,规范形式和信息格式。(5个

点,每个点一分

31、【问答题】SHECA证书的特点和类型是什么?

答案：答:SHECA的安全电子商务解决案既有与国际接轨的,符合SET协议的SET证书系

统,又拥有结合国内特点自行设计开发的通用证书系统(1分)SHECA提供的数字证书按业

务型分为SET证书和Universal证书及特殊证书(2分)数字证书根据应用对象可将其分为

个人用户证书,企业用户证书,服务器证书及代码证书(2分)

32、【问答题】试述组建VPN应该遵循的设计原则。

答案：VPN的设计应该遵循以下原则:安全性、网络优化、VPN管理等。(1)在安全性方

面，由于VPN直接构建在公用网上，实现简单、方便、灵活，但同时其安全问题也更为突

出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡改，并且要防止非法用户对网

络资源或私有信息的访问。ExtranetVPN将企业网扩展到合作伙伴和客户，对安全性提出

了更高的要求。安全问题是VPN的核心问题。目前，VPN的安全保证主要是通过防火墙技

术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问

公司网络。(2)在网络优化方面，构建VPN的另一重要需求是充分有效地利用有限的广域

网资源，为重要数据提供可靠的带宽。广域网流量的不确定性使其带宽的利用率很低，在

流量高峰时引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在

流量低谷时又造成大量的网络带宽空闲。QoS通过流量预测与流量控制策略，可以按照优

先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的

发生。(3)在VPN管理方面，VPN要求企业将其网络管理功能从局域网无缝地延伸到公用

网，甚至是客户和合作伙伴。虽然可以将一些次要的网络管理任务交给服务提供商去完

成，企业自己仍需要完成许多网络管理任务。所以，一个完善的VPN管理系统是必不可少

的。VPN管理的目标为:减小网络风险、具有高扩展性、经济性、高可靠性等优点。事实

上，VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、QoS服务质

量管理等内容。P90

33、【填空题