电子商务安全期末试卷及答案2套

34PAGE12密封线内密封线内不要答题班级学号姓名一、填空题（每空1分，共计20分）1.电子商务面临的安全威胁主要可以分为、、和。2.加密技术可以分为和两种基本加密体制。3.利用可以使得签名者无法获悉其所要签发文件的具体内容。4.从总体看防火墙可以分为、、和四种类型。5.入侵检测实现一般分为、和三个步骤。6.就是根据资源的价值来确定保护它们的适当安全级别。7.CA发放的证书分为和两类证书。8.WTLS具备、、和拒绝服务保护四大特性。二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选、错选和少选均不得分。每小题2分，共20分）1.攻击电子商务系统的手段包括（）。A.中断B.窃听C.篡改D.伪造2.数字时间戳包括（）。A.需要加盖时间戳的文件摘要B.DTS的数字签名C.时间戳水印D.DTS收到文件的日期和时间3.消息的序号和时间性的认证目的是（）。A.确保信息的完整性B.确认信息发送的宿主C.确认信息发送的源头D.阻止消息的重放攻击4.计算机病毒按存在的介质分类可以分为（）。A.比特流病毒B.文件病毒C.网络病毒D.引导型病毒5.VPN实现的关键技术包括（）。A.隧道技术B.加密技术C.QoS技术D.数据包分发技术6.信息系统风险一般可以划分为（）。A.突发风险B.常规风险C.计算机系统风险D.环境问题7.（）是PKI的重要组成部分。A.OCSPB.KEAC.CAD.DPV8.计算机病毒可以通过（）进行传播。A.移动存储设备B.网络平台C.软件下载D.更换电源9.电子政务的信息安全机制包括（）。A.封闭机制B.支撑机制C.防护机制D.监测和恢复机制10.风险处理计划是（）过程中产生的重要文件。A.风险应对B.风险识别C.风险预防D.风险评估三、名词解释（每小题4分，共20分）1.密码体制2.消息摘要3.防火墙4.入侵检测5.数字证书四、简答题（每小题7分，共28分）1.利用哈希函数进行数字签名和验证的文件传输过程包括哪些步骤？2.电子商务交易安全具备哪些需求？3.电子商务安全管理主要包括哪些环节？4.手机病毒具有哪些特点？五、案例分析题（每题12分，共12分）中国煤焦数字交易市场中国煤焦数字交易市场（网址：）是国家863计划，科技部“九五”重大攻关项目，国家“流通领域信息化”示范工程，是一个面向市场、服务全国、连接世界的大型电子商务应用典范。通过发挥山西省煤焦产销量大的绝对优势，整合卖方和政府资源同时联合银行和运输企业建立网上集政府监管、信息服务、交易功能、物流结算为一体的综合性中国煤焦数字交易平台，创造了“煤炭+鼠标”的电子商务模式。煤炭作为一种半市场化的大宗重要能源产品订货合同比一般物品购销合同要复杂很多，一份合同除买卖双方签章认可外，还需要煤炭运销总公司、煤炭销售办公室等多级煤炭管理部门和铁路、公路等运输部门进行签章确认才能成为一份有效的、可执行的合同。这样一份合同往往需要盖五、六个公章。在电子合同的签订中，每个环节都需要对合同进行数字签章，并通过判断上一个角色的数字签章是否成功来实现合同的流转，完成最后一个签章才能生成一份有效的电子合同。2002年2月通过应用SXCA数字安全证书作为身份确认和数据安全保证，中国煤焦数字交易市场成功召开了2002年度山西省煤炭网上订货会，会议期间60余家煤炭供销企业通过数字证书签订电子煤炭供销合同。所有煤炭运销管理部门和铁路部门采用数字证书登录相应的虚拟办公区对电子合同进行了审核签章。请结合案例回答下列问题：（1）中国煤焦数字交易市场采用数字签名签署电子合同，什么是数字签名，它有什么作用？（7分）（2）简述数字签名的原理。（5分）密封线内密封线内不要答题班级学号姓名一、填空题（每空1分，共计20分）1.电子商务安全具有、、和四大特性。2.信息隐藏中最重要的两个分支包括和。3.能够提供对电子文件的日期和时间信息的安全保护，是由专门的机构提供的。4.电子商务交易中，消费者主要面临、、和四大安全威胁。5.IDS一般采用和两项技术来发现入侵行为。6.按照计算机病毒的传染方式可以将其分为和。7.信息资产识别包括、和三个方面。8.电子政务的信息安全机制包括、和检测和恢复机制。二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选、错选和少选均不得分。每小题2分，共20分）1.电子商务安全从整体上可以分为（）。A.计算机网络安全B.会话安全C.现金安全D.商务交易安全2.按照密钥方式可以将密码划分为（）。A.位移式密码B.对称式密码C.分组密码D.非对称式密码3.目前的数字签名主要有（）模式。A.智能卡式B.密码式C.生物测定式D.口令/密码式4.SSL握手协议包含（）阶段。A.建立秘密通信信道B.客户认证C.发出告警信号D.对密文进行更改5.入侵检测系统按其输入的数据来源可以分为（）。A.基于主机的入侵检测系统B.基于客户机的入侵检测系统C.基于网络的入侵检测系统D.分布式入侵检测系统6.以下关于计算机病毒描述不正确的是（）。A.具有传染性B.可对计算机造成破坏C.是天然存在的D.不易被用户察觉7.备份中心的类型可以分为（）。A.热备份B.冷备份C.离站备份D.合作备份8.认证中心由（）组成。A.注册服务器B.认证中心服务器C.数字证书D.证书申请受理和审核机构9.蓝牙技术采用（）纠错方案。A.1/3比例前向纠错码B.全比例前向纠错码C.2/3比例前向纠错码D.ARQ方案10.电子政务支撑系统安全模型包括（）。A.身份域B.工作域C.应急响应域D.备份域三、名词解释（每小题4分，共20分）1.加密方法2.VPN3.计算机病毒4.信息资产风险评估5.数字证书四、简答题（每小题7分，共28分）1.在电子商务中有哪几种常见的认证技术？2.入侵检测系统包括哪些功能？3.什么是灾难恢复？灾难恢复的目的是什么？4.手机病毒具有哪些特点？五、案例分析题（每题12分，共12分）广东移动电子采购平台从2010年5月开始,广东移动电子采购平台先后在省公司和广州、中山、肇庆等全省各分公司进行全面采购业务试运行。在深入了解用户对电子采购平台的实际需求的基础上，2010年11月开始，广东移动电子采购平台升级到二期系统，该系统运行更加稳定，现已在广东移动省公司和各分公司进行全面业务运行。平台的稳定运行，保证了使用者可以顺利的完成工作，平台的权限设置，更好的体现了广东移动“公正、公开、公平”的选型采购原则。由于系统涉及了大量的公司机密资料，因此广东移动电子采购平台选择了PKI/CA体系作为系统的安全基础，使用了广东省电子商务认证中心提供的安全服务和系列产品保障整体安全，达到如下目标：（1）身份确认：通过数字证书标识使用用户的身份；（2）数据加密：对于传输过程中的机密数据和存储中的机密数据进行加密；（3）完整性：对标书等资料加盖电子签名信息，保障其完整性，没被篡改；（4）不可否认性：通过PKI/CA体系的保证达到不可否认性目前主要采用的安全应用产品有：（1）客户端证书：确认用户身份，保证用户安全登录到广东移动电子采购平台；（2）服务器证书：建立SSL加密传输，保证数据传输安全；（3）安全站点：确认站点身份，防止站点被假冒。案例问题：（1）广东省电子商务认证中心提供的安全服务中的身份确认、数据加密、完整性、不可否认性分别可以采用哪些技术来保证？（4分）（2）有人说安全是“三分技术、七分管理”，请谈谈你的看法。（8分）期末《电子商务安全》试卷A答案一、填空题（每空1分，共计20分）1.信息截获和窃取信息篡改信息假冒交易抵赖2.对称密钥系统公开密钥系统3.盲签名4.数据包过滤型防火墙应用层网关型防火墙代理服务器型防火墙复合型防火墙5.信息收集数据分析响应6.风险评估7.SSL证书SET证书8.数据完整性保密性真实性二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选或少选均不得分。每小题2分，共20分）1.ABCD2.ABD3.D4.BCD5.ABC6.CD7.BC8.ABC9.BCD10.D三、名词解释（每小题4分，共20分）1.密码体制：指密钥空间与相应的加密运算结构，同时还包括了明文和密文的结构特征。2.消息摘要是一个唯一的对应一消息的值，它是由单向哈希加密算法对一个消息作用而生成的、有固定的长度。3.防火墙是设置在被保护网络和外部网络之间的一道屏障，以检测和屏蔽不可预测的、潜在波坏性的侵入。4.入侵检测是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。5.数字证书是由权威公正的第三方机构签发的标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。四、简答题（每小题7分，共28分）1.利用哈希函数进行数字签名和验证的文件传输过程包括如下步骤：（1）发送方首先用哈希函数从原文得到摘要值；（2）发送方采用自己的私有密钥对摘要进行加密，并把加密后的摘要附加在原文后面一起发送给接收方；（3）接收方用发送方的公开密钥对数字摘要进行解密，得到数字摘要的明文；（4）接收方用得到的原文和哈希函数重新计算数字签名，并与解密后的数字摘要进行对比，判别文件是否在传输过程中被破坏。2.真实性：能对信息、实体的真实性进行鉴别；机密性：保证信息不被泄露给非授权的人或者实体；完整性：保证数据的一致性，防止数据被非授权建立、修改和破坏；可用性：保证合法用户对信息和资源的使用不会被不正当的拒绝；不可抵赖性：建立有效额责任机制，防止实体否认其行为；可控性：能控制使用资源的人或者实体的使用方式。3.包括如下环节：企业根据具体情况制定其安全目标，组织专业人员对其电子商务系统进行信息资产分析识别；根据资产分析的结果进行风险评估，即评定这些资产会遭受哪些安全威胁与攻击，并将这些安全风险量化；依据风险评估结果和安全目标制定相应的安全策略；实施安全措施；对电子商务系统进行审计和监控。4.手机病毒的特点：手机病毒也是由计算机程序编写而成的；手机病毒也可以通过短信、彩信、上网浏览、下载软件等形式实现网络到手机之间的传播，具备传播功能；同计算机病毒一样可能带来危害的后果，包括“软”危害和“硬”危害；攻击手段与同计算机病毒类似，主要通过垃圾短信、系统漏洞和技术手段进行攻击。五、案例分析题（每题12分，共12分）所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。简述数字签名的作用：1)接收方通过文件中的签名能确认发送者的身份；2)发送方以后不能否认发送过的签名文件；3）接收方不可能伪造文件的内容；数字签名采用了双重加密的方法来实现防伪、防赖。其原理为：1、被发送文件用SHA编码加密产生128bit的数字摘要。2、发送方用自己的私用密钥对摘要再加密，这就形成了数字签名3、将原文和加密的摘要同时传给对方期末《电子商务安全》试卷B答案一、填空题（每空1分，共计20分）1.系统性相对性有代价性动态性2.数字水印隐写术3.数字时间戳4.虚假订单付款后不能收到货物机密性丧失拒绝服务5.异常发现模式发现6.驻留型非驻留型7.资产定义资产分类资产赋值8.支撑机制防护机制二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选或少选均不得分。每小题2分，共20分）1.AD2.BD3.ABC4.AB5.ACD6.C7.ABCD8.ABD9.ACD10.BCD三、名词解释（每小题4分，共20分）1.加密方法是指用一定的数学计算操作来改变原始信息，用某种方法伪装消息并隐藏它的内容的方法。2.VPN即是虚拟专用网，是在公共网络中建立的一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传输。3.计算机病毒是指人为编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。4.信息资产风险评估是根据信息资源的价值来确定保护它们的适当安全级别。5.数字证书是由权威公正的第三方机构签发的标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。四、简答题（每小题7分，共28分）1.采用以下认证技术：采用消息摘要方法认证消息的完整性