2023年4月自考00997电子商务安全导论试题及答案含解析

电子商务安全导论年月真题

0099720234

1、【单选题】在电子商务的发展过程中，零售业上网成为电子商务发展的热点，这一现象发

生在

1996年

1997年

A:

1998年

B:

1999年

C:

答D:案：C

解析：1998年前后，零售业上网及更多企业在网上开展商务成为电子商务发展的热点。许

多零售商，如网上书店Amazon等成了几乎人人皆知的电子商务成功的例子。零售商是面

向消费者的，他们采用的电子商务模式主要是B-C方式。但B-B方式在近一年多里也有

很迅速的发展。按市场收益分配，B—B占到三分之二以上，B-C占不到三分之一。这是

电子商务发展的第四波。P7

2、【单选题】信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权

的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容,这种电子商务安全内容称

为

商务数据的机密性

商务数据的完整性

A:

商务对象的认证性

B:

商务服务的不可否认性

C:

答D:案：A

解析：商务数据的机密性。商务数据的机密性(Confidentiality)或称保密性是指信息在

网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者

经过加密伪装后，使未经授权者无法了解其内容。机密性可用加密和信息隐匿技术实现，

使截获者不能解读加密信息的内容。机密性的另一方面是保护通信流特性(通信源、目的

地、频率、长度……)，以防止被分析°电子商务的信息几乎都有加密的要求，如信用卡

账号、用户名和密码、订货信息、付款……这些信息被人窃取后，会造成直接经济损失，

或者丧失商机。P11

3、【单选题】将原字母的顺序打乱，然后将其重新排列的加密法是

替换加密法

转换加密法

A:

B:

单表置换密码加密法

多字母加密法

C:

答D:案：B

解析：.转换加密法。在替换加密法中，原文的顺序没被改变，而是通过各种字母映射关

系把原文隐藏了起来。转换加密法是将原字母的顺序打乱，将其重新排列。P25

4、【单选题】收发双方持有不同密钥的体制是

对称密钥

数字签名

A:

公钥

B:

完整性

C:

答D:案：C

解析：公钥体制是一种加密通信的方式，其中收发双方持有不同的密钥，分别称为公钥和

私钥。在公钥体制中，每个参与者都有一对密钥，包括公钥和私钥。公钥是公开的，可以

被任何人获取，而私钥是保密的，只有密钥的拥有者知道。当发送方想要向接收方发送加

密的信息时，发送方使用接收方的公钥对信息进行加密。只有拥有接收方的私钥的接收方

才能解密该信息。这样，即使在传输过程中被窃听，也无法解密信息，因为只有接收方拥

有私钥。公钥体制的优势在于，不需要事先共享密钥，而是通过公钥进行加密和私钥进行

解密，从而实现安全的通信。公钥体制广泛应用于数字签名、加密通信和身份认证等领

域。

5、【单选题】发送方使用一个随机产生的DES密钥加密消息，然后用接受方的公钥加密DES

密钥，这种技术称为

双重加密

数字信封

A:

双联签名

B:

混合加密

C:

答D:案：B

解析：发送方用一个随机产生的DES密钥加密消息，然后用接受方的公钥加密DES密钥,

称为消息的“数字信封”，将数字信封与DES加密后的消息一起发给接受方。接受者收到

消息后，先用其私钥打开数字信封，得到发送方的DES密钥，再用此密钥去解密消息。

P69

6、【单选题】散列函数的名字不包括

压缩函数

A:

数字签名

消息摘要

B:

数字指纹

C:

答D:案：B

解析：散列函数(HashFunction)有很多名字：哈希函数、杂凑函数、压缩函数、收缩函

数、消息摘要、数字指纹等。散列函数是现代信息密码学的核心之一。P55

7、【单选题】病毒的特征不包括

传染性

隐蔽性

A:

非授权可执行性

B:

安全性

C:

答D:案：D

解析：病毒的特征包括：1.非授权可执行性。2.隐板性。3.传染性。4.潜伏性。5.表现性

或破坏性。6.可触发性。P76

8、【单选题】通过公共网络建立的临时、安全的连接，被称为

EDI

DSL

A:

VLN

B:

VPN

C:

答D:案：D

解析：虚拟专用网VPN（VirtualPrivateNetwork）通常被定义为通过一个公共网络

（通常是Internet）建立一个临时的、安全的连接，是一条穿过混乱的公用网络的安全、

稳定的隧道，它是对企业内部网的扩展。P84

9、【单选题】外网指的是

受信网络

非受信网络

A:

防火墙内的网络

B:

局域网

C:

答D:案：B

解析：外网（非受信网络）：防火墙外的网络，一般为Internet。P80

10、【单选题】使用加密软件加密数据时，往往使用数据库系统自带的加密方法加密数据，

实施

DAC

DCA

A:

MAC

B:

CAM

C:

答D:案：A

解析：(DAC)数据访问控制是一种基于权限的访问控制方法，用于限制用户对数据库中数

据的访问。在使用加密软件加密数据时，可以结合数据库系统自带的加密方法和DAC来实

施数据保护。首先，使用加密软件对敏感数据进行加密。加密软件可以提供各种加密算法

和密钥管理功能，以确保数据的机密性和完整性。通过选择适当的加密算法和生成强大的

密钥，可以有效地保护数据免受未经授权的访问。其次，使用数据库系统自带的访问控制

功能来限制用户对加密数据的访问。数据库系统通常提供了用户和角色管理功能，可以为

每个用户或角色分配特定的权限。通过限制用户对加密数据的访问权限，可以确保只有经

过授权的用户才能解密和访问数据。实施DAC时，可以根据用户的身份和角色来分配不同

的权限。例如，只有具有特定权限的管理员才能对加密数据进行解密和修改，而其他用户

只能进行查询操作。此外，还可以使用审计功能来跟踪和监控对加密数据的访问，以便及

时发现和应对潜在的安全威胁。总之，通过结合加密软件和数据库系统自带的加密方法和

DAC，可以有效地保护敏感数据的安全性和隐私性。这种综合的数据保护措施可以帮助组

织防止数据泄露和未经授权的访问，确保数据在存储和传输过程中的安全。

11、【单选题】DAC的含义是

自主式接入控制

数据存取控制

A:

强制式接入控制

B:

公钥基础设施

C:

答D:案：A

解析：自主式接入控制：简记为DAC。它由资源拥有者分配接入权，在辨别各用户的基础

上实现接入控制。每个用户的接入权由数据的拥有者来建立，常以接入控制表或权限表实

现。这一方法灵活，便于用户访问数据，在安全性要求不高的用户之间分享一般数据时可

采用。如果用户疏于利用保护机构时，会危及资源安全，DAC易受到攻击。P95

12、【单选题】通行字控制措施中一般会限制试探次数，一般设置的输入口令限制为

0~3次

3~6次

A:

B:

6~9次

9~12次

C:

答D:案：B

解析：在通行字控制措施中，限制试探次数是一种常见的安全措施，旨在防止恶意用户通

过多次尝试猜测口令或密码来获取未经授权的访问权限。一般情况下，设置输入口令限制

为3~6次是比较常见的做法。通过限制试探次数，系统可以在用户连续输入错误口令达到

一定次数后，采取相应的措施，如锁定用户账户、暂时禁止用户登录等。这样可以有效地

防止暴力破解攻击和口令猜测攻击。设置输入口令限制次数时，需要根据具体情况进行权

衡。如果设置得太低，可能会给用户正常登录带来不便；如果设置得太高，可能会增加系

统被攻击的风险。一般来说，3~6次的限制次数可以在保证安全性的同时，不过分影响用

户的正常使用。此外，为了增加口令的复杂性和安全性，还可以要求用户设置强密码，包

括使用足够长度的密码、包含字母、数字和特殊字符等。这样可以进一步提高系统的安全

性，减少口令被猜测的可能性。总之，通过限制试探次数和设置强密码要求，可以有效地

增强系统的安全性，防止未经授权的访问和口令猜测攻击。同时，需要根据具体情况进行

权衡和调整，以平衡安全性和用户体验。

13、【单选题】Kerberos最大的问题是整个Kerberos协议都严重依赖于

服务器

Password

A:

时钟

B:

密钥

C:

答D:案：C

解析：时间同步。这恐怕是Kerberos最头疼的问题，因为整个Kerberos的协议都严重地

依赖于时钟,而实际证明，要求在分布式系统环境中实现良好的时钟同步是一个很难的课

题。如果能够实现一种基于安全机制的时间服务，或是研制一种相对独立于计算机和网

络环境、且基于一种或几种世界标准时钟的，能够准确进行时间转化和时间服务的联机物

理时钟,这种问题才能得到较好的解决。P109

14、【单选题】身份认证证书的发行单位是

个人

政府机构

A:

非营利自发机构

B:

认证授权机构

C:

答D:案：D

解析：身份认证证书的发行单位通常是认证授权机构（CertificationAuthority，CA）。

认证授权机构是负责颁发和管理数字证书的机构，其主要职责是验证申请者的身份，并为

其签发数字证书。认证授权机构在颁发数字证书之前，会对申请者进行身份验证的过程，

以确保其身份的真实性和合法性。这个过程通常包括验证申请者的身份信息、联系方式、

组织机构等，并可能需要提供相关的证明文件和材料。一旦认证授权机构确认申请者的身

份合法有效，他们会使用自己的私钥为申请者生成数字证书，并将其签名。数字证书中包

含了申请者的公钥、身份信息以及认证授权机构的数字签名等信息。认证授权机构的数字

签名是为了保证数字证书的真实性和完整性。当其他用户或系统接收到这个数字证书时，

可以使用认证授权机构的公钥来验证数字签名的有效性，以确保证书的合法性和可信度。

总之，认证授权机构是负责颁发和管理身份认证证书的机构，他们通过验证申请者的身份

信息，并使用自己的私钥为其生成数字证书，以确保证书的真实性和可信度。这样可以帮

助用户和系统进行身份认证，确保安全的通信和交互。

15、【单选题】将公钥体制大规模用于电子商务安全的基本要素是

数字证书

密钥

A:

公钥证书

B:

公钥对

C:

答D:案：C

解析：在公钥证书系统中，CA是所有合法注册用户所信赖的机构，CA的公钥和它所签署

的证书要安全地送给各合法用户。如果某公钥用户需要任何其他已向CA注册用户的公钥,

可向该用户直接索取其公钥证书，而后用CA的公钥解密就可得到认证的公钥。这是一种

可在大范围内方便、经济、自动实现认证公钥的方法。因为公钥不需保密，因而证书一般

无须保密。P111

16、【单选题】通常PKI的最高管理是通过

政策管理机构来体现

证书作废系统来体现

A:

应用接口来体现

B:

证书中心CA来体现

C:

答D:案：A

解析：端实体。这里的端实体主要指数字签名实体、加密实体或者两者都有。通常PKI的

最高管理是通过一个政策管理机构(PolicyManagementAuthority,PMA)来体现的,这个

机构主要用来对PKI进行宏观管理，其作用有点像公司的董事会，而PAA则像公司的行

政班子。P130

17、【单选题】通常作为根证书管理中心(RootCA)向下一级证书中心发放证书的是

单位注册机构

政策审批机构

A:

证书管理机构

B:

政策管理机构

C:

答D:案：B

解析：证书中心CA(CertificateAuthority)负责具体的证书颁发和管理，它是可信任

的第三方，其作用就像颁发护照的部门。CA证书要求是对称颁发的，因为每个证书只是证

明了一个CA对另一个CA的信任关系。CA既包括一些辅助功能，也包括基本的证书发放

和管理功能，它可以具有层次结构，在自身直接管理一些具体的证书中心之外，还管理一

些下级证书管理中心。政策审批机构通常也作为根证书管理中心(RootCA),它向下一级

证书中心发放证书。P130

18、【单选题】在Internet上建立秘密传输信息的信道，保障传输信息的机密性、完整性

与认证性的协议是

HTTP

FTP

A:

SMTP

B:

SSL

C:

答D:案：D

解析：SSL（SecureSocketsLayer）是一种用于在Internet上建立安全通信信道的协

议。它通过使用加密、认证和完整性保护机制，确保传输的信息在传输过程中不被窃听、

篡改或伪造。SSL协议的工作原理如下：1.客户端向服务器发起连接请求，并请求建立

SSL连接。2.服务器将自己的公钥发送给客户端。3.客户端使用服务器的公钥对一个随机

生成的对称密钥进行加密，并将加密后的密钥发送给服务器。4.服务器使用自己的私钥

对接收到的密钥进行解密，得到对称密钥。5.客户端和服务器使用对称密钥进行加密和解

密，保证传输的信息的机密性和完整性。6.在握手过程中，还会进行证书验证，确保服

务器的身份可信。SSL协议广泛应用于Web浏览器和服务器之间的通信，以保护用户在网

上进行的敏感信息（如登录凭证、信用卡信息等）的安全。SSL协议的最新版本是TLS

（TransportLayerSecurity），它是SSL的继任者，提供更强的安全性和性能。

19、【单选题】中国金融认证中心的缩写是

CFCA

CTCA

A:

SHECA

B:

CPCA

C:

D:

答案：A

解析：中国金融认证中心（ChinaFinancialCertificationAuthority,CFCA）,是由

中国人民银行牵头，联合中国工商银行、中国农业银行、中国银行、中国建设银行、交通

银行、中信实业银行、光大银行、招商银行、华夏银行、广东发展银行、深圳发展银行、

民生银行、福建兴业银行、上海浦东发展银行等14家全国性商业银行共同建立的国家级

权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上

专业信任服务机构。P154

20、【单选题】以下选项中，不属于SHECA证书管理器的操作范围的是

对个人证书的操作

对服务器证书的操作

A:

对他人证书的操作

B:

对根证书的操作

C:

答D:案：B

解析：证书管理器将证书分为个人证书、他人证书和根证书，主要有如下操作。(1)个人

证书的操作：申请证书、添加个人证书、导出证书、导入证书、删除证书、验证证书、修

改证书私钥密码、查看详细信息、设置验证方式等。（2）对他人证书的操作：添加他人

证书、导出证书、导入证书、删除证书、验证证书、査看详细信息、设置验证方式、査

找他人证书C（3）对根证书的操作：查看详细信息、验证证书、査找根证书。P170-P171

21、【多选题】下列病毒中，属于文件型病毒的有

1575/1591病毒

One-half病毒

A:

Macro/Concept病毒

B:

848病毒

C:

Macro/Atoms病毒

D:

答E:案：ACDE

22、【多选题】接入控制的实现方法有

DAC

DCA

A:

MAC

B:

CAM

C:

MMA

D:

答E:案：AC

23、【多选题】一个身份证明系统的组成部分有

示证者

验证者

A:

可信赖者

B:

攻击者

C:

不信任者

D:

答E:案：ABCD

24、【多选题】认证机构提供的服务有

证书颁发

证书更新

A:

证书申请

B:

证书的公布与查询

C:

证书吊销

D:

答E:案：ABDE

25、【多选题】PKI的RA提供的功能有

验证申请者身份

生成密钥对

A:

密钥的备份

B:

批准证书

C:

签发证书

D:

答E:案：AD

26、【问答题】简述电子商务安全的六项中心内容。

答案：电子商务安全的六项中心内容包括:(1)商务数据的机密性;(2)商务数据的完整

性;(3)商务对象的认证性;(4)商务服务的不可否认性;(5)商务服务的不可拒绝性;(6)访问

的控制性。

27、【问答题】简述IDEA加密算法及其设计思想。

答案：IDEA国际数据加密算法是1990年由瑞士联邦技术学院提出的。IDEA采用了三种基

本运算:异或运算、模加、模乘。IDEA的设计思想是在不同代数组中进行混合运算。IDEA

的加密过程是，首先将明文分为64位的数据块，然后进行8轮迭代和一个输出变换。

IDEA的输入和输出都是64位，密钥长度为128位。

28、【问答题】简述数字签名应满足的要求。

答案：(1)接收方B能够确认或证实发送方A的签名，但不能由B或第三方C伪造;(2)

发送方A发出签名的消息给接收方B后，A就不能再否认自己所签发的消息;(3)接收方

B对已收到的签名消息不能否认，即有收报认证;(4)第三者C可以确认收发双方之间的

消息传送，但不能伪造这一过程。

29、【问答题】简述VPN业务的三类服务类型。

答案：(1)IntranetVPN:企业的总部与分支机构之间通过公网构筑的虚拟

网;(2)AccessVPN:企业员工或企业的小分支机构通过公网远程拨号的方式构筑的虚拟

网;(3)ExtranetVPN:不同企业网通过公网来构筑的虚拟网。

30、【问答题】简述公钥证书的类型。

答案：公钥证书类型有:(1)个人证书;(2)服务器证书;(3)安全邮件证书;(4)CA证书。

31、【问答题】参与信用卡安全SET交易的成员除了持卡人外,还有哪些成员?

答案：参与信用卡安全SET交易的成员除了持卡人外，还有以下成员:(1)网上商店;(2)收

单银行;(3)发卡银行;(4)认证中心CA;(5)支付网关。

32、【问答题】SET和SSL都是为了实现一种安全的网上交易。论述它们的主要区别。

答案：SET和SSL的区别主要有:(1)在使用目的和场合上，SET主要用于信用卡交易，传

送电子现金，SSL主要用于购买信息的交流，传送电子商贸信息;(2)在安全性方面，SET

要求很高:整个交易过程中(持卡人到商家端、商家到支付网关、到银行网络)