2022年10月自考00997电子商务安全导论试题及答案含解析

电子商务安全导论年月真题

00997202210

1、【单选题】电子商务的发展分成很多阶段，其第一阶段是

网络基础设施大量兴建

应用软件与服务兴起

A:

网址与内容管理的建设发展

B:

网上零售业的发展

C:

答D:案：A

解析：有人把现代电子商务的发展分成如下几个阶段，从中也可看岀电子商务发展的轨

迹、条件和基础：(1)1995年：网络基础设施大量兴建；(2)1996年：应用软件及服

务成为热点；(3)1997年：网址及内容管理的建设发展，有关企业、业务的调整、重组

及融合，所谓“入口门户”(Portal)公司的岀现；(4)1998年：因网上零售业及其他交

易蓬勃发展，出现一批代做各种电子商务业务的所谓“主持”公司(Hosting),或曰“代

庖”公司。P6

2、【单选题】在下列计算机系统安全隐患中，属于电子商务系统所独有的是

硬件的安全

软件的安全

A:

数据的安全

B:

交易的安全

C:

答D:案：D

解析：交易的安全。这也是电子商务系统所独有的。在我们的日常生活中，进行一次交

易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章，以作为法律凭据。但在

电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎样能

够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的

安全，避免恶意欺诈。P10

3、【单选题】现在常用的密钥托管算法是

DES算法

EES算法

A:

RAS算法

B:

SHA算法

C:

答D:案：B

解析：加密技术是一把双刃剑，它既可以帮助守法公民和企业保密，又可以被犯罪分子用

于掩护其犯罪事实。这就为政府管理社会，法律执行部门跟踪可疑犯罪分子带来了一定的

困难。从国家的利益来考虑，应该控制加密技术的使用。为了确保合法用户保密通信的安

全和政府对犯罪分子保密通信的有效监听，美国政府在1993年公布了托管加密标准EES

(EscrowedEncryptionStandard)。该技术一被提出就立即受到了世界广泛的关注，并

很快成为密码学界的另一个热门话题。由于这种加密体制具有在法律许可时可以进行密钥

合成的功能，所以政府在必要时无须花费巨大代价破译密码，而能够直接侦听。这项政策

在美国乃至全世界引起了强烈的反响和争议。P51-P52

4、【单选题】消息传送给接收者后，要对密文进行解密所采用的一组规则称作

加密算法

签名算法

A:

公钥算法

B:

解密算法

C:

答D:案：D

解析：加密算法：对明文进行加密所采用的一组规则，即加密程序的逻辑称作加密算法。

解密算法：消息传送给接受者后，要对密文进行解密时所采用的一组规则称作解密算法。

P23

5、【单选题】散列函数应用于数据的

不可否认性

完整性

A:

认证性

B:

不可拒绝性

C:

答D:案：B

解析：散列函数应用于数据的完整性。可用多种技术的组合来认证消息的完整性。为消除

因消息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到消息上。首先用散列算

法，由散列函数计算出散列值后，就将此值——消息摘要附加到这条消息上。当接收者

收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。如果接收者所计

算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。P55

6、【单选题】下列选项中属于良性病毒的是

黑色星期五病毒

火炬病毒

A:

米开朗基罗病毒

B:

C:

扬基病毒

答D:案：D

解析：良性病毒是指那些只是为了表现自身，并不彻底破坏系统和数据，但会大量占用

CPU时间，增加系统开销，降低系统工作效率的一类计算机病毒。这种病毒多数是恶作剧

者的产物，他们的目的不是为了破坏系统和数据，而是为了让使用染有病毒的计算机用

户通过显示器或扬声器看到或听到病毒设计者的编程技术。这类病毒有小球病毒、1575/

1591病毒、救护车病毒、扬基病毒、Dabi病毒等；还有一些人利用病毒的这些特点宣传

自己的政治观点和主张；也有一些病毒设计者在其编制的病毒发作时进行人身攻击。P77

7、【单选题】《计算机房场、地、站技术要求》的国家标准代码是

GB50174-93

GB9361-88

A:

GB2887-89

B:

GB50169-92

C:

答D:案：C

解析：建立计算机及其网络设备的物理环境，必须从多方面考虑设备的使用安全，比如接

地设备、供电设备、避雷系统，消防、防潮、防洪、防震、防静电、防电磁干扰、照明、

噪声等。以上是需要在建立机房的时候完成的。通常，需要有专业人员进行设计和安装。

机房设计的依据文件有：(1)《电子计算机房设计规范》(GB50174・93)(2)《计算机场、

地、站安全要求》(GB936L88)(3)《计算机房场、地、站技术要求》(GB2887-89)(4)《电

气装置安装工程、接地装置施工及验收规范》(GB50169-92)(5)《建筑内部装修设计防火

规范》(GB50222-95)(6)《气体灭火系统施工、验收规范》(7)《闭路监控工程设计、施工

规范》(8)《高层建筑电气设计手册》P72

8、【单选题】《电气装置安装工程、接地装置施工及验收规范》的国家标准代码是

GB50174-93

GB9361-88

A:

GB2887-89

B:

GB50169-92

C:

答D:案：D

解析：通常，需要有专业人员进行设计和安装。机房设计的依据文件有：(1)《电子计算

机房设计规范》(GB50174・93)(2)《计算机场、地、站安全要求》(GB936L88)(3)《计算机

房场、地、站技术要求》(GB2887-89)(4)《电气装置安装工程、接地装置施工及验收规

范》(GB50169-92)(5)《建筑内部装修设计防火规范》(GB50222-95)(6)《气体灭火系统

施工、验收规范》(7)《闭路监控工程设计、施工规范》(8)《高层建筑电气设计手册》

P72

9、【单选题】内网指的是

受信网络

非受信网络

A:

防火墙外的网络

B:

互联网

C:

答D:案：A

解析：防火墙示意图见图5-1。围绕着防火墙出现了一些常用的概念，这些是：（1）外

网（非受信网络）：防火墙外的网络，一般为Internet。（2）内网（受信网络）：防火

墙内的网络。受信主机和非受信主机分别对照内网和外网的主机。（3）非军事化区

（DMZ）:为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网

段，这个网段便是非军事化区（DMZ区）。非军事化区把互联网与公司的内部网隔离成两

个网络。通常的做法是设置两道防火墙，使互联网与内部网“间隔”成一块非管制区。

一般在非管制区设置访问控制，当然，对非管制区的访问并不意味着对可信任的网络的访

问。P80

10、【单选题】以下选项中，不适合采用VPN的是

位置众多，特别是单个用户和远程办公室站点多

用户/站点分布范围广，彼此之间的距离远

A:

带宽和时延要求相对适中的用户

B:

非常重视传输数据的安全性

C:

答D:案：D

11、【单选题】以“应用系统数据库字段加密以后，仍可实现各种数据库操作”为实现目标

的是

加密软件加密数据

专用软件加密数据

A:

加密桥技术

B:

DOMINO加密技术

C:

答D:案：C

解析：加密桥技术实现的目标是：应用系统数据库字段加密以后，仍可实现各种数据库操

作。加密桥相当于一个加密数据的SQL语句编译执行器，数据库所有对加密数据操作的

SQL语句不再由数据库管理系统执行，改由加密桥执行。P98

12、【单选题】按主体执行任务所需权利最小化分配权力的策略是

最小权益策略

最小泄漏策略

A:

自主控制策略

B:

多级安全策略

C:

答D:案：A

解析：最小权益策略:按主体执行任务所需权利最小化分配权力。

13、【单选题】Kerberos存在的局限性不包括

时间同步

重放攻击

A:

密钥的分配

B:

口令猜测攻击

C:

答D:案：C

解析：Kerberos最初的设计是与MIT校园环境结合的产物，把它推广到大规模分布式系统

环境中还是会存在一些局限性的。从攻击的角度来看，大致有以下几个方面的问题：1.时

间同步。2.重放攻击。3.认证域之间的信任。4.系统程序的安全性和完整性。5.口令猜测

攻击。6.密钥的存储。P109

14、【单选题】通行字的最小长度至少为

4~8B以上

4~12B以上

A:

6~8B以上

B:

6~12B以上

C:

答D:案：C

解析：最小长度：限制通行字至少为6〜8字节以上，防止猜测成功概率过高，可釆用掺

杂或采用通行短语等加长和随机化。P103

15、【单选题】Client向本Kerberos的认证域以外的Server申请服务的过程分为

4个阶段，共6个步骤

3个阶段，共6个步骤

A:

3个阶段，共8个步骤

B:

4个阶段，共8个步骤

C:

D:

答案：D

解析：Client向本Kerberos的认证域以外的Server〜(以下都用〜代表其他Kerberos的

认证域)申请服务的过程分为4个阶段共8个步骤，P107

16、【单选题】利用双钥体制的加密系统传送加密文件，发信人需要确知收信人的

信息

私钥

A:

公钥

B:

数字证书

C:

答D:案：C

解析：利用双钥体制的加密系统，发信人需要确知收信人的公钥才会将秘传送给他，而利

用双钥体制的签名系统，为了能证实任何实体的数字签名，都要确切知道签名者的公钥。

称需要知道公钥的实体为公钥用户。将公钥分配给其公钥用户时，公钥用户必须知道公钥

所属的真实身份。为了避免伪造公钥骗取机密或制造伪签名，必须对公钥证书进行认证。

如何保证其中的公钥确实就是所指定的用户，这是至关重要的。P110

17、【单选题】在PKI的构成中，负责制定整个体系结构的安全政策的机构是

CA

PAA

A:

OPA

B:

PMA

C:

答D:案：B

解析：政策审批机构(PolicyApprovalAuthority,PAA)制定整个体系结构的安全政策，

并制定所有下级机构都需要遵循的规章制度，主要是证书政策和证书使用规定。证书政

策(CertificatePolicies)是一组规则，指岀一个证书对一组特定用户或应用的可适用

性，表明它对于一个特定的应用和目的是不是可用的，它构成了交叉验证的基础。因

此，公钥证书的含义就是用户实体和公钥之间一个符合证书政策的绑定。交叉证书实际上

意味着一个CA对另一个CA的证书政策的承认，从而可以进行跨越CA管理域的认证。

P129

18、【单选题】PKI是公钥的一种

搜索机制

管理机制

A:

认证机制

B:

审批机制

C:

D:

答案：B

解析：PKI是公钥的一种管理机制，宏观上呈现为域结构，即每个PKI都有一定的覆盖范

围,形成一个管理域。这些管理域通过交叉证书相互关联，构成更大的管理域，最终形成

全局性的公钥管理体系。不同的管理域对公钥的使用具有不同的要求，通过政策来表达。

PKI的构成模型为图9-1所示。每个PKI都包含PAA、CA、ORA等功能，这些功能的数量随

管理域的规模而变化。任何一个管理域都有能力决定在别的域内哪一个证书管理是可以信

任以及为什么可以信任。由于对证书的使用要附加特定的政策，因此，不同的应用部门要

使用不同的公钥证书。P129

19、【单选题】密钥备份与恢复只能针对

解密密钥

私钥

A:

公钥对

B:

密钥对

C:

答D:案：A

解析：密钥备份及恢复系统。如果用户丢失了用于解密数据的密钥，则数据将无法被解

密，这将造成合法数据丢失。为避免这种情况的发生，PKI提供备份与恢复密钥的机制。

但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针

对解密密钥，签名私钥为确保其唯一性而不能够作备份。P130

20、【单选题】CFCA认证系统采用国际领先的PKI技术，总体为

一层CA结构

二层CA结构

A:

三层CA结构

B:

四层CA结构

C:

答D:案：C

解析：CFCA认证系统采用国际领先的PKI技术，总体为三层CA结构，第一层为根CA;.第

二层为政策CA，可向不同行业、领域扩展信用范围;第三层为运营CA,根据证书运作规范

(CPS)发放证书。运营CA由CA系统和证书注册审批机构(RA)两大部分组成。P1558

21、【多选题】防雷接地设置接地体时，保护地线的接地电阻值可以为

1欧姆

2欧姆

A:

3欧姆

B:

4欧姆

C:

D:

5欧姆

答E:案：AB

解析：防雷接地可单独接地或同大楼共用接地体。接地要求每个配线柜都应单独引线至

接地体，保护地线的接地电阻值，单独设置接地体时，不应大于2Ω；釆用同大楼共用接

地体时，不应大于1Ω。P73

22、【多选题】Internet的接入控制主要对付

伪装者

病毒

A:

违法者

B:

地下用户

C:

木马

D:

答E:案：ACD

解析：接入或访问控制是保证网络安全的重要手段，它通过一组机制控制不同级别的主体

对目标资源的不同授权访问，在对主体认证之后实施网络资源安全管理使用。Internet的

接入控制主要对付三类入侵者(如黑客或破门而入者)：(1)伪装者：为非法用户，乔装合

法用户渗透进入系统，他来自外部；(2)违法者：为合法用户，他非法访问未授权数据、

程序或资源，一般来自系统外部；(3)地下用户：为掌握系统的管理控制，并利用它来逃

避审计和接入控制或抑制审计作用的人，系统外部、内部都有。P94

23、【多选题】构成CA系统的服务器有

安全服务器

CA服务器

A:

加密服务器

B:

LDAP服务器

C:

数据库服务器

D:

答E:案：ABDE

解析：一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、LDAP目录服务器

和数据库服务器等。P125

24、【多选题】PKI技术能够提供的安全服务包括

数据保密性

公证

A:

数据完整性

B:

不可否认性

C:

D:

认证

答E:案：ABCDE

解析：PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名

等。P128

25、【多选题】CTCA采用分级结构管理，其组成包括

全国CA中心

省级CA中心

A:

省级RA中心

B:

地市级RA中心

C:

业务受理点

D:

答E:案：ACE

解析：中国电信CA安全认证系统（CTCA）釆用分级结构管理，形成覆盖全国的CA证书

申请、发放、管理的完整体系，可以为全国的用户提供CTCA证书服务，使各类电子商务

用户可以放心步入电子商务时代，享受电子商务为其带来的丰厚回报和巨大便利。中国

电信电子商务CA认证系统由全国CA中心、省RA中心系统、地市级业务受理点组成。

P164

26、【问答题】简述网页攻击的步骤。

答案：(1)第一步，创建一个网页，看似可信其实是假的拷贝，但这个拷贝和真的一样。

(2)第二步，攻击者完全控制假的网页。(3)第三步，攻击者记录受害者访问的内容，当

受害者填写表单发送数据时，攻击者可以记录下所有数据。如果需要，攻击者甚至可以修

改数据。

27、【问答题】简述目前密钥的自动分配途径。

答案：密钥分配是密钥管理中最大的问题，目前典型的有两类自动密钥分配途径:集中式

分配方案和分布式分配方案。集中式分配方案是指利用网络中的密钥管理中心来集中管理

系统中的密钥，密钥管理中心接受系统中用户的请求，为用户提供安全分配密钥的服务。

分布式分配方案是指网络中各主机具有相同的地位，它们之间的密钥分配取决于它们自己

的协商，不受任何其他方面的限制。

28、【问答题】简述数据完整性被破坏会带来的严重后果。

答案：数据完整性被破坏会带来严重的后果:(1)造成直接的经济损失，如价格，订单数量

等被改变。(2)影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将

使供应链上一连串厂商的经济活动受到影响。(3)可能造成过不了“关”。有的电子商务

是与海关，商检，卫检联系的，错误的数据将使一批货物挡在“关口”之外。(4)会牵涉

到经济案件中。与税务，银行，保险等贸易链路相联的电子商务，则会因数据完整性被破

坏牵连到漏税，诈骗等经济案件中。(5)造成电子商务经营的混乱与不信任。

29、【问答题】简述设置防火墙的目的及其主要作用。

答案：设置防火墙的目的是为了在内部网与外部网之间设置唯一的通道，允许网络管理员

定义一个“扼制点”提供两个网络间的访问控制，使得只有被安全策略明确授权的信息流

才被允许通过，对两个方向的信息流都能控制。它的主要作用是防止网络安全事件引起的

损害，使入侵更难实现，来防止非法用户进入内部网络。禁止存在安全脆弱性的服务进出

网络，并抗击来自各种线路的攻击。

30、【问答题】简述认证机构的证书吊销功能。

答案：(1)认证机构的证书吊销有主动申请吊销和被动强制吊销两种形式。(2)证书持有者

申请吊销。当证书持有者认为不再用此证书参与网上事务，主动上网申请吊销或亲自到认

证机构吊销此证书。(3)认证机构强制吊销证书。当认证机构认为证书持有者的证书过期

或违反证书使用政策时，主动吊销证书持有者的证书。证书吊销后，认证机构更新证书吊

销表，并在网上及时公布。

31、【问答题】简述电子钱包的功能。

答案：电子钱包的功能有:(1)电子证书的管理(电子证书的申请、存储及删除)。(2)进行

交易(SET交易时辨认商家身份并发送交易信息)。(3)保存交易记录，以供查询。(4)其他

符合SET规格的功能。

32、【问答题】试述SET的认证过程。

答案：(1)注册登记:注册登记是一个机构加入