版权说明:本文档由用户提供并上传,收益归属内容提供方,若内容存在侵权,请进行举报或认领
文档简介
电子商务安全导论年月真题
0099720234
1、【单选题】在电子商务的发展过程中,零售业上网成为电子商务发展的热点,这一现象发
生在
1996年
1997年
A:
1998年
B:
1999年
C:
答D:案:C
解析:1998年前后,零售业上网及更多企业在网上开展商务成为电子商务发展的热点。许
多零售商,如网上书店Amazon等成了几乎人人皆知的电子商务成功的例子。零售商是面
向消费者的,他们采用的电子商务模式主要是B-C方式。但B-B方式在近一年多里也有
很迅速的发展。按市场收益分配,B—B占到三分之二以上,B-C占不到三分之一。这是
电子商务发展的第四波。P7
2、【单选题】信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权
的人或组织,或者经过加密伪装后,使未经授权者无法了解其内容,这种电子商务安全内容称
为
商务数据的机密性
商务数据的完整性
A:
商务对象的认证性
B:
商务服务的不可否认性
C:
答D:案:A
解析:商务数据的机密性。商务数据的机密性(Confidentiality)或称保密性是指信息在
网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织,或者
经过加密伪装后,使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现,
使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性(通信源、目的
地、频率、长度……),以防止被分析°电子商务的信息几乎都有加密的要求,如信用卡
账号、用户名和密码、订货信息、付款……这些信息被人窃取后,会造成直接经济损失,
或者丧失商机。P11
3、【单选题】将原字母的顺序打乱,然后将其重新排列的加密法是
替换加密法
转换加密法
A:
B:
单表置换密码加密法
多字母加密法
C:
答D:案:B
解析:.转换加密法。在替换加密法中,原文的顺序没被改变,而是通过各种字母映射关
系把原文隐藏了起来。转换加密法是将原字母的顺序打乱,将其重新排列。P25
4、【单选题】收发双方持有不同密钥的体制是
对称密钥
数字签名
A:
公钥
B:
完整性
C:
答D:案:C
解析:公钥体制是一种加密通信的方式,其中收发双方持有不同的密钥,分别称为公钥和
私钥。在公钥体制中,每个参与者都有一对密钥,包括公钥和私钥。公钥是公开的,可以
被任何人获取,而私钥是保密的,只有密钥的拥有者知道。当发送方想要向接收方发送加
密的信息时,发送方使用接收方的公钥对信息进行加密。只有拥有接收方的私钥的接收方
才能解密该信息。这样,即使在传输过程中被窃听,也无法解密信息,因为只有接收方拥
有私钥。公钥体制的优势在于,不需要事先共享密钥,而是通过公钥进行加密和私钥进行
解密,从而实现安全的通信。公钥体制广泛应用于数字签名、加密通信和身份认证等领
域。
5、【单选题】发送方使用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES
密钥,这种技术称为
双重加密
数字信封
A:
双联签名
B:
混合加密
C:
答D:案:B
解析:发送方用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,
称为消息的“数字信封”,将数字信封与DES加密后的消息一起发给接受方。接受者收到
消息后,先用其私钥打开数字信封,得到发送方的DES密钥,再用此密钥去解密消息。
P69
6、【单选题】散列函数的名字不包括
压缩函数
A:
数字签名
消息摘要
B:
数字指纹
C:
答D:案:B
解析:散列函数(HashFunction)有很多名字:哈希函数、杂凑函数、压缩函数、收缩函
数、消息摘要、数字指纹等。散列函数是现代信息密码学的核心之一。P55
7、【单选题】病毒的特征不包括
传染性
隐蔽性
A:
非授权可执行性
B:
安全性
C:
答D:案:D
解析:病毒的特征包括:1.非授权可执行性。2.隐板性。3.传染性。4.潜伏性。5.表现性
或破坏性。6.可触发性。P76
8、【单选题】通过公共网络建立的临时、安全的连接,被称为
EDI
DSL
A:
VLN
B:
VPN
C:
答D:案:D
解析:虚拟专用网VPN(VirtualPrivateNetwork)通常被定义为通过一个公共网络
(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、
稳定的隧道,它是对企业内部网的扩展。P84
9、【单选题】外网指的是
受信网络
非受信网络
A:
防火墙内的网络
B:
局域网
C:
答D:案:B
解析:外网(非受信网络):防火墙外的网络,一般为Internet。P80
10、【单选题】使用加密软件加密数据时,往往使用数据库系统自带的加密方法加密数据,
实施
DAC
DCA
A:
MAC
B:
CAM
C:
答D:案:A
解析:(DAC)数据访问控制是一种基于权限的访问控制方法,用于限制用户对数据库中数
据的访问。在使用加密软件加密数据时,可以结合数据库系统自带的加密方法和DAC来实
施数据保护。首先,使用加密软件对敏感数据进行加密。加密软件可以提供各种加密算法
和密钥管理功能,以确保数据的机密性和完整性。通过选择适当的加密算法和生成强大的
密钥,可以有效地保护数据免受未经授权的访问。其次,使用数据库系统自带的访问控制
功能来限制用户对加密数据的访问。数据库系统通常提供了用户和角色管理功能,可以为
每个用户或角色分配特定的权限。通过限制用户对加密数据的访问权限,可以确保只有经
过授权的用户才能解密和访问数据。实施DAC时,可以根据用户的身份和角色来分配不同
的权限。例如,只有具有特定权限的管理员才能对加密数据进行解密和修改,而其他用户
只能进行查询操作。此外,还可以使用审计功能来跟踪和监控对加密数据的访问,以便及
时发现和应对潜在的安全威胁。总之,通过结合加密软件和数据库系统自带的加密方法和
DAC,可以有效地保护敏感数据的安全性和隐私性。这种综合的数据保护措施可以帮助组
织防止数据泄露和未经授权的访问,确保数据在存储和传输过程中的安全。
11、【单选题】DAC的含义是
自主式接入控制
数据存取控制
A:
强制式接入控制
B:
公钥基础设施
C:
答D:案:A
解析:自主式接入控制:简记为DAC。它由资源拥有者分配接入权,在辨别各用户的基础
上实现接入控制。每个用户的接入权由数据的拥有者来建立,常以接入控制表或权限表实
现。这一方法灵活,便于用户访问数据,在安全性要求不高的用户之间分享一般数据时可
采用。如果用户疏于利用保护机构时,会危及资源安全,DAC易受到攻击。P95
12、【单选题】通行字控制措施中一般会限制试探次数,一般设置的输入口令限制为
0~3次
3~6次
A:
B:
6~9次
9~12次
C:
答D:案:B
解析:在通行字控制措施中,限制试探次数是一种常见的安全措施,旨在防止恶意用户通
过多次尝试猜测口令或密码来获取未经授权的访问权限。一般情况下,设置输入口令限制
为3~6次是比较常见的做法。通过限制试探次数,系统可以在用户连续输入错误口令达到
一定次数后,采取相应的措施,如锁定用户账户、暂时禁止用户登录等。这样可以有效地
防止暴力破解攻击和口令猜测攻击。设置输入口令限制次数时,需要根据具体情况进行权
衡。如果设置得太低,可能会给用户正常登录带来不便;如果设置得太高,可能会增加系
统被攻击的风险。一般来说,3~6次的限制次数可以在保证安全性的同时,不过分影响用
户的正常使用。此外,为了增加口令的复杂性和安全性,还可以要求用户设置强密码,包
括使用足够长度的密码、包含字母、数字和特殊字符等。这样可以进一步提高系统的安全
性,减少口令被猜测的可能性。总之,通过限制试探次数和设置强密码要求,可以有效地
增强系统的安全性,防止未经授权的访问和口令猜测攻击。同时,需要根据具体情况进行
权衡和调整,以平衡安全性和用户体验。
13、【单选题】Kerberos最大的问题是整个Kerberos协议都严重依赖于
服务器
Password
A:
时钟
B:
密钥
C:
答D:案:C
解析:时间同步。这恐怕是Kerberos最头疼的问题,因为整个Kerberos的协议都严重地
依赖于时钟,而实际证明,要求在分布式系统环境中实现良好的时钟同步是一个很难的课
题。如果能够实现一种基于安全机制的时间服务,或是研制一种相对独立于计算机和网
络环境、且基于一种或几种世界标准时钟的,能够准确进行时间转化和时间服务的联机物
理时钟,这种问题才能得到较好的解决。P109
14、【单选题】身份认证证书的发行单位是
个人
政府机构
A:
非营利自发机构
B:
认证授权机构
C:
答D:案:D
解析:身份认证证书的发行单位通常是认证授权机构(CertificationAuthority,CA)。
认证授权机构是负责颁发和管理数字证书的机构,其主要职责是验证申请者的身份,并为
其签发数字证书。认证授权机构在颁发数字证书之前,会对申请者进行身份验证的过程,
以确保其身份的真实性和合法性。这个过程通常包括验证申请者的身份信息、联系方式、
组织机构等,并可能需要提供相关的证明文件和材料。一旦认证授权机构确认申请者的身
份合法有效,他们会使用自己的私钥为申请者生成数字证书,并将其签名。数字证书中包
含了申请者的公钥、身份信息以及认证授权机构的数字签名等信息。认证授权机构的数字
签名是为了保证数字证书的真实性和完整性。当其他用户或系统接收到这个数字证书时,
可以使用认证授权机构的公钥来验证数字签名的有效性,以确保证书的合法性和可信度。
总之,认证授权机构是负责颁发和管理身份认证证书的机构,他们通过验证申请者的身份
信息,并使用自己的私钥为其生成数字证书,以确保证书的真实性和可信度。这样可以帮
助用户和系统进行身份认证,确保安全的通信和交互。
15、【单选题】将公钥体制大规模用于电子商务安全的基本要素是
数字证书
密钥
A:
公钥证书
B:
公钥对
C:
答D:案:C
解析:在公钥证书系统中,CA是所有合法注册用户所信赖的机构,CA的公钥和它所签署
的证书要安全地送给各合法用户。如果某公钥用户需要任何其他已向CA注册用户的公钥,
可向该用户直接索取其公钥证书,而后用CA的公钥解密就可得到认证的公钥。这是一种
可在大范围内方便、经济、自动实现认证公钥的方法。因为公钥不需保密,因而证书一般
无须保密。P111
16、【单选题】通常PKI的最高管理是通过
政策管理机构来体现
证书作废系统来体现
A:
应用接口来体现
B:
证书中心CA来体现
C:
答D:案:A
解析:端实体。这里的端实体主要指数字签名实体、加密实体或者两者都有。通常PKI的
最高管理是通过一个政策管理机构(PolicyManagementAuthority,PMA)来体现的,这个
机构主要用来对PKI进行宏观管理,其作用有点像公司的董事会,而PAA则像公司的行
政班子。P130
17、【单选题】通常作为根证书管理中心(RootCA)向下一级证书中心发放证书的是
单位注册机构
政策审批机构
A:
证书管理机构
B:
政策管理机构
C:
答D:案:B
解析:证书中心CA(CertificateAuthority)负责具体的证书颁发和管理,它是可信任
的第三方,其作用就像颁发护照的部门。CA证书要求是对称颁发的,因为每个证书只是证
明了一个CA对另一个CA的信任关系。CA既包括一些辅助功能,也包括基本的证书发放
和管理功能,它可以具有层次结构,在自身直接管理一些具体的证书中心之外,还管理一
些下级证书管理中心。政策审批机构通常也作为根证书管理中心(RootCA),它向下一级
证书中心发放证书。P130
18、【单选题】在Internet上建立秘密传输信息的信道,保障传输信息的机密性、完整性
与认证性的协议是
HTTP
FTP
A:
SMTP
B:
SSL
C:
答D:案:D
解析:SSL(SecureSocketsLayer)是一种用于在Internet上建立安全通信信道的协
议。它通过使用加密、认证和完整性保护机制,确保传输的信息在传输过程中不被窃听、
篡改或伪造。SSL协议的工作原理如下:1.客户端向服务器发起连接请求,并请求建立
SSL连接。2.服务器将自己的公钥发送给客户端。3.客户端使用服务器的公钥对一个随机
生成的对称密钥进行加密,并将加密后的密钥发送给服务器。4.服务器使用自己的私钥
对接收到的密钥进行解密,得到对称密钥。5.客户端和服务器使用对称密钥进行加密和解
密,保证传输的信息的机密性和完整性。6.在握手过程中,还会进行证书验证,确保服
务器的身份可信。SSL协议广泛应用于Web浏览器和服务器之间的通信,以保护用户在网
上进行的敏感信息(如登录凭证、信用卡信息等)的安全。SSL协议的最新版本是TLS
(TransportLayerSecurity),它是SSL的继任者,提供更强的安全性和性能。
19、【单选题】中国金融认证中心的缩写是
CFCA
CTCA
A:
SHECA
B:
CPCA
C:
D:
答案:A
解析:中国金融认证中心(ChinaFinancialCertificationAuthority,CFCA),是由
中国人民银行牵头,联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通
银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、
民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级
权威金融认证机构,是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上
专业信任服务机构。P154
20、【单选题】以下选项中,不属于SHECA证书管理器的操作范围的是
对个人证书的操作
对服务器证书的操作
A:
对他人证书的操作
B:
对根证书的操作
C:
答D:案:B
解析:证书管理器将证书分为个人证书、他人证书和根证书,主要有如下操作。(1)个人
证书的操作:申请证书、添加个人证书、导出证书、导入证书、删除证书、验证证书、修
改证书私钥密码、查看详细信息、设置验证方式等。(2)对他人证书的操作:添加他人
证书、导出证书、导入证书、删除证书、验证证书、査看详细信息、设置验证方式、査
找他人证书C(3)对根证书的操作:查看详细信息、验证证书、査找根证书。P170-P171
21、【多选题】下列病毒中,属于文件型病毒的有
1575/1591病毒
One-half病毒
A:
Macro/Concept病毒
B:
848病毒
C:
Macro/Atoms病毒
D:
答E:案:ACDE
22、【多选题】接入控制的实现方法有
DAC
DCA
A:
MAC
B:
CAM
C:
MMA
D:
答E:案:AC
23、【多选题】一个身份证明系统的组成部分有
示证者
验证者
A:
可信赖者
B:
攻击者
C:
不信任者
D:
答E:案:ABCD
24、【多选题】认证机构提供的服务有
证书颁发
证书更新
A:
证书申请
B:
证书的公布与查询
C:
证书吊销
D:
答E:案:ABDE
25、【多选题】PKI的RA提供的功能有
验证申请者身份
生成密钥对
A:
密钥的备份
B:
批准证书
C:
签发证书
D:
答E:案:AD
26、【问答题】简述电子商务安全的六项中心内容。
答案:电子商务安全的六项中心内容包括:(1)商务数据的机密性;(2)商务数据的完整
性;(3)商务对象的认证性;(4)商务服务的不可否认性;(5)商务服务的不可拒绝性;(6)访问
的控制性。
27、【问答题】简述IDEA加密算法及其设计思想。
答案:IDEA国际数据加密算法是1990年由瑞士联邦技术学院提出的。IDEA采用了三种基
本运算:异或运算、模加、模乘。IDEA的设计思想是在不同代数组中进行混合运算。IDEA
的加密过程是,首先将明文分为64位的数据块,然后进行8轮迭代和一个输出变换。
IDEA的输入和输出都是64位,密钥长度为128位。
28、【问答题】简述数字签名应满足的要求。
答案:(1)接收方B能够确认或证实发送方A的签名,但不能由B或第三方C伪造;(2)
发送方A发出签名的消息给接收方B后,A就不能再否认自己所签发的消息;(3)接收方
B对已收到的签名消息不能否认,即有收报认证;(4)第三者C可以确认收发双方之间的
消息传送,但不能伪造这一过程。
29、【问答题】简述VPN业务的三类服务类型。
答案:(1)IntranetVPN:企业的总部与分支机构之间通过公网构筑的虚拟
网;(2)AccessVPN:企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟
网;(3)ExtranetVPN:不同企业网通过公网来构筑的虚拟网。
30、【问答题】简述公钥证书的类型。
答案:公钥证书类型有:(1)个人证书;(2)服务器证书;(3)安全邮件证书;(4)CA证书。
31、【问答题】参与信用卡安全SET交易的成员除了持卡人外,还有哪些成员?
答案:参与信用卡安全SET交易的成员除了持卡人外,还有以下成员:(1)网上商店;(2)收
单银行;(3)发卡银行;(4)认证中心CA;(5)支付网关。
32、【问答题】SET和SSL都是为了实现一种安全的网上交易。论述它们的主要区别。
答案:SET和SSL的区别主要有:(1)在使用目的和场合上,SET主要用于信用卡交易,传
送电子现金,SSL主要用于购买信息的交流,传送电子商贸信息;(2)在安全性方面,SET
要求很高:整个交易过程中(持卡人到商家端、商家到支付网关、到银行网络)
温馨提示
- 1. 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。图纸软件为CAD,CAXA,PROE,UG,SolidWorks等.压缩文件请下载最新的WinRAR软件解压。
- 2. 本站的文档不包含任何第三方提供的附件图纸等,如果需要附件,请联系上传者。文件的所有权益归上传用户所有。
- 3. 本站RAR压缩包中若带图纸,网页内容里面会有图纸预览,若没有图纸预览就没有图纸。
- 4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
- 5. 人人文库网仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对用户上传分享的文档内容本身不做任何修改或编辑,并不能对任何下载内容负责。
- 6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
- 7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。
最新文档
- 2022-2023学年高二物理竞赛课件:电容及电容器+1
- 2022-2023学年高二物理竞赛课件:半导体体电荷效应
- 旅游学概论(第五版)课件 第九章 旅游业的可持续发展
- 2022年三年级语文上册期末考试及答案【2022年】
- 2023年八年级生物上册期末考试卷【及答案】
- 2021-2022年部编人教版一年级语文上册期末考试题(及答案)
- 新人教版四年级数学下册期中考试题(汇编)
- 辽宁省朝阳市建平县市级名校2024年中考数学仿真试卷含解析
- 辽宁省鞍山市名校2024届中考英语模拟试题含答案
- 新人教版九年级上册《生物》期末考试题及答案【学生专用】
- 东北三省三校2024年高三第三次模拟考试(三模)英语试卷(含答案)
- 2024年04月湖北十堰市郧阳区事业单位引进人才53人笔试历年高频考点试题附带答案解析
- 血透室护理组长岗位竞聘
- SYT 0447-2014《 埋地钢制管道环氧煤沥青防腐层技术标准》
- 中考作文考前指导作文的审题立意公开课一等奖市赛课获奖课件
- 2009-2022历年甘肃省兰州市事业单位考试《综合基础知识》真题(其他类)含答案2022-2023上岸必备带详解版1
- 村委会文书工作职责3篇 村文书工作职责
- 盖板检验报告
- 汉字笔画名称表(大全);
- 基于plc的中央空调自动控制系统设计
- 超声科应急预案.ppt
评论
0/150
提交评论