电商安全期末复习

《电子商务安全》期末考试题含答案《电子商务安全》期末考试题一、选择题1、以下哪种协议广泛应用于电子商务中，用于保证数据传输的安全性？ A. SSL B. IPsec C. SET D. Kerberos 答案：A. SSL2、下列哪种攻击方式属于被动攻击？ A. 监听 B. 假冒 C. 拒绝服务 D. 篡改答案：A. 监听3、为了防止电子商务中的欺诈行为，以下哪种方法最有效？ A. 使用强密码 B. 经常更换密码 C. 使用匿名购物 D. 多次购买低价商品答案：A. 使用强密码4、下列哪个标准定义了IPSec协议？ A. IETF B. ISO C. ITU D. IEEE 答案：A. IETF5、在电子商务中，以下哪种支付方式属于最安全的支付方式？ A. 信用卡支付 B. PayPal支付 C. 电汇支付 D. 支票支付答案：B. PayPal支付二、简答题 6. 请简述SET协议的原理和作用。

答案：SET协议是一种安全电子交易协议，主要用于保障在Internet上进行信用卡支付的安全。

SET协议采用了公钥密码体制和X.509数字证书，通过数字签名、加密和消息认证等方式保证信息的安全性。

SET协议主要流程包括订单信息交换、支付信息交换和证书信息交换等步骤，使得商家和银行之间可以安全地进行电子交易。

7、请简述IPSec协议如何保障电子商务的安全。

答案：IPSec协议是一种端到端的安全协议，可以保障电子商务的安全。

IPSec协议通过在IP层上提供安全服务，可以保护数据包在网络传输过程中的完整性、私有性和可用性。

IPSec协议提供了两种主要的加密方式：数据认证和认证头（AH）以及封装安全有效负载（ESP）。

通过这些方式，IPSec可以防止网络攻击、数据泄露和篡改，从而保障电子商务的安全。

71、请简述电子商务中常见的安全问题及其解决方案。

答案：电子商务中常见的安全问题包括黑客攻击、网络钓鱼、身份盗用、数据泄露和电子欺诈等。

电子商务安全期末考试题附答案电子商务安全期末考试A卷一、选择题（单选）下列选项中属于双密钥体制算法特点的是（C）算法速度快 B.适合大量数据的加密 C.适合密钥的分配与管理D.算法的效率高实现数据完整性的主要手段是（D）对称加密算法 B.非对称加密算法 C.混合加密算法 D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】数字签名技术不能解决的安全问题是（C）第三方冒充 B.接收方篡改 C.传输安全4.病毒的重要特征是(B)隐蔽性 B.传染性 C.破坏性 D.可触发性在双密钥体制的加密和解密过程中，要使用公共密钥和个人密钥，它们的作用是（A）公共密钥用于加密，个人密钥用于解密 B.公共密钥用于解密，个人密钥用于加密 C.两个密钥都用于加密 D.两个密钥都用于解密在一次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采用的安全手段是（B）双密钥机制 B.数字信封 C.双联签名 D.混合加密系统一个密码系统的安全性取决于对（A）密钥的保护 B.加密算法的保护 C.明文的保护 D.密文的保护在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于（A）包过滤型 B.包检检型 C.应用层网关型 D.代理服务型电子商务的安全需求不包括（B）[机密性、完整性、认证性、有效性、匿名性、不可抵赖]可靠性 B.稳定性 C.真实性 D.完整性SSL握手协议包含四个主要步骤，其中第二个步骤为（B）客户机Hello B.服务器Hello C.HTTP数据流 D.加密解密SET安全协议要达到的目标主要有（C）【机密性、保护隐私、完整性、多方认证、标准性】三个 B.四个 C.五个 D.六个下面不属于SET交易成员的是（B）持卡人 B.电子钱包 C.支付网关 D.发卡银行X205证书包含许多具体内容，下列选项中不包含在其中的是（C）版本号 B.公钥信息 C.私钥信息 D.签名算法身份认证中的证书由（D）政府机构 B.银行发行 C. 企业团体或行业协会 D.认证授权机构发行目前发展很快的基于PKI的安全电子邮件协议是（A）A. S/MIME B．POP C．SMTP D.IMAP选择题（多选）下列属于单密钥体制算法的有（AC）DES B.RSA C.AES D.SHA下列公钥——私钥对的生成途径合理的有（BCD）网络管理员生成 B.CA生成C.用户依赖的、可信的中心机构生成D.密钥对的持有者生成防火墙不能解决的问题包括（BCE）非法用户进入网络 B.传送已感染病毒的文件或软件C.数据驱动型的攻击D.对进出网络的信息进行过滤E．通过防火墙以外的其它途径的攻击PKI技术能有效的解决电子商务应用中的哪些问题（ABC）全选A.机密性B.完整性C.不可否认性D．存取控制E．真实性20.SET要达到的主要目标有(ACDE)A.信息的安全传输B.证书的安全发放C.信息的相互隔离D.交易的实时性E.多方认证的解决填空：1. SSL可用于保护正常运行于TCP上的任何应用协议，如_HTTP__、__FTP_、SMTP或Telnet 的通信。

电子商务安全复习在当今数字化的时代，电子商务已经成为我们生活中不可或缺的一部分。

从在线购物到金融交易，从社交媒体到数字服务，电子商务的触角几乎延伸到了我们生活的每一个角落。

然而，随着电子商务的迅速发展，安全问题也日益凸显。

对于电子商务从业者和消费者来说，了解电子商务安全的相关知识，掌握有效的防范措施，是至关重要的。

接下来，让我们一起对电子商务安全进行一次全面的复习。

一、电子商务安全的重要性电子商务安全不仅仅是技术问题，更是关系到企业的生存和发展，以及消费者的信任和权益。

对于企业来说，如果其电子商务平台遭受攻击，导致客户数据泄露、交易中断或者资金损失，不仅会面临巨大的经济损失，还可能损害企业的声誉，失去客户的信任，从而在激烈的市场竞争中处于不利地位。

对于消费者来说，个人信息的泄露可能导致身份盗窃、信用卡欺诈等问题，给生活带来极大的困扰和损失。

因此，保障电子商务安全是维护市场秩序、促进经济发展、保护消费者权益的必然要求。

二、电子商务面临的安全威胁1、网络攻击网络攻击是电子商务面临的最常见的安全威胁之一。

包括黑客攻击、病毒和恶意软件感染、拒绝服务攻击（DoS）等。

黑客可以通过攻击电子商务网站，窃取用户数据、篡改交易信息或者破坏系统正常运行。

病毒和恶意软件则可能潜伏在用户的设备中，窃取敏感信息或者监控用户的操作。

DoS 攻击则通过大量的无效请求导致网站瘫痪，使正常的交易无法进行。

2、数据泄露数据泄露是指未经授权的访问、获取或披露企业或个人的敏感信息。

在电子商务中，用户的个人信息（如姓名、地址、电话号码、信用卡信息等）、交易记录等都是重要的数据。

如果这些数据被泄露，可能被用于欺诈、身份盗窃等非法活动。

3、身份盗窃身份盗窃是指攻击者窃取他人的身份信息，并以其名义进行非法活动。

在电子商务中，攻击者可能通过窃取用户的登录凭证、伪造身份等方式，进行虚假交易、骗取财物等。

4、交易欺诈交易欺诈包括信用卡欺诈、虚假交易、退款欺诈等。

1．电子商务安全的三项基本技术:密码技术、网络安全技术和PKI技术2. 密码技术的分类。

加密、签名技术和密钥管理技术3. 密钥管理技术的分类对称密钥管理、公开密钥管理和第三方托管技术4. 电子签名立法的原则“技术中立”原则、功能等同方法、当事人自治原则（合同自由原则）和合理性原则5.电子政务信息安全机制。

支撑机制、防护机制、检测和恢复机制6 电子商务的安全威胁信息的截获和窃取、信息的篡改、信息假冒、交易抵赖和信用的威胁。

7 电子商务三层安全服务规范。

1网络层、传输层和应用层安全服务。

8 数字签名的特点完善的数字签名应具备：签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力9 认证的主要内容消息认证、身份验证和数字签名10 公开密钥分发的方法公开宣布；公开可以得到的目录；公开密钥管理机构；公开密钥证书。

11 电子商务面临的主要攻击中断、窃听、篡改和伪造等。

12 信息篡改的手段篡改、删除和插入13 数字签名的使用模式智慧卡式、密码式和生物测定式。

14 三类常见的身份认证的方法口令认证、持证认证和生物识别15 入侵检测的步骤三个步骤依次为：信息收集、数据分析和响应（主动响应和被动响应）16 明文空间和密文空间所有明文的集合称为明文空间；所有密文的集合称为密文空间。

17 数字签名数字签名时指在数据电文中，以电子形式所含、所附或在逻辑上与数据电文有联系的数据，和与数据有关的任何方法，它可用于数据电文有关的签字持有人和标明此人认可数据电文所含信息。

18 不可争辩签名不可争辩签名时在没有签名者自己的合作下不可能验证签名的签名。

19 风险评估风险评估就是根据资源的价值来确定保护它们的适当安全级别。

20 电子政务的信息安全目标可用性目标、完整性目标、保密性目标、可记账性目标、保障性目标21信息的完整性信息的完整性有又叫真确性，是保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。

《电子商务安全技术》期末考试复习提要一．填空类问题主要涉及教材中各章节的要点，涵盖教学大纲中对各章节所提出的应掌握、理解、了解的内容。

二．术语解释类问题1．黑客2．安全策略3．电子钱包4．B—TO—B5．B—TO—C6．G—TO—B7．防火墙8．EDI9．DES10．RSA11．CA12．数字证书13．PKI14．密钥15．IC卡16．密码系统17．密码学18．IP欺瞒19．私有密钥系统20．公有密钥系统21．数字签名22．数字信封23．安全机制24．安全协议25．TCP/IP26．ISO27．SSL安全协议28．SET安全协议29．S—HTTP安全协议30．DTSS31．对称加密系统32．非对称加密系统33．网上银行34．特洛伊木马35．Web欺骗三．问答题1．电子商务系统主要受到的安全威胁有那些？2．简述电子商务的安全需求包括哪5个方面的内容？3．简述电子商务的安全要素。

4．在设计安全可靠的电子商务设施时，需要考虑的10个关键性问题是什么？5．简述ISO7498/2中提出的安全服务和相应的安全机制？6．简述黑客进行网络攻击时常用的策略有哪些？7．目前已开发并应用的电子商务安全协议分为哪6种类型？8．简述双钥体制的认证协议的工作原理。

9．简述双向认证协议的实现过程。

10．简述SSL安全协议的特点及实现过程。

11．简述SET安全协议的特点及实现过程。

12．私钥加密体系与公钥加密体系有何区别，它们各有什么优点？13．概述数字签名技术的用途和实现过程。

14．数字签名技术与认证技术的用途有什么不同？15．简述PKI系统的基本组成及其安全管理功能。

16．密钥管理的目的是什么？密钥管理通常涉及的有关问题有哪些？17．在电子商务中采用防火墙应有哪些优点？18．简述在电子商务中采用的防火墙具备哪些安全业务？19．安全支付系统可分为哪几类，它们的特点是什么？20．Internet给电子商务带来的安全隐患和安全问题有哪些？21．信息安全是电子商务安全的基本保障，请问：信息安全管理应遵循哪10条基本原则？22．为了确保电子商务安全，在网络上采用安全保密可靠保险技术要遵循的3项基本原则是什么？23．防火墙有哪两种决然不同的安全控制模型，它们的性能和用途有何区别？24．简述智能卡的逻辑组成及其安全机制。

PPT 1 电子商务安全概述1.电子商务存在的一些安全威胁。

电商环境的安全隐患：硬件软件网络系统数据安全电商交易的安全隐患：交易信息、电子支付、电商管理2.黑客的概念,黑客攻击的基本步骤这里说的黑客，原指热心于计算机技术，水平高超的电脑专家，对计算机有着狂热的兴趣和执着的追求，他们不断地研究计算机和网络知识，发现计算机和网络中存在的漏洞，喜欢挑战高难度的网络系统并从中找到漏洞，然后向管理员提出解决和修补漏洞的方法。

隐藏：第一种方法是首先入侵互联网上的一台电脑（俗称“肉鸡”），利用这台电脑进行攻击，这样即使被发现了，也是“肉鸡”的IP地址。

第二种方式是做多极跳板“代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。

在入侵完毕后，需要清除登录日志以及其他相关的日志。

3.网络安全的意义目前研究网络安全已经不只为了信息和数据的安全性。

网络安全已经渗透到国家的经济、军事、政治等领域。

4.攻击与安全的关系黑客攻击和网络安全的是紧密结合.在一起的，研究网络安全不研究黑客攻击技术简直是纸上谈兵，研究攻击技术不研究网络安全就是闭门造车。

某种意义上说没有攻击就没有安全，系统管理员可以利用常见的攻击手段对系统进行检测，并对相关的漏洞采取措施。

5.掌握对电子商务安全的需求以及各需求的含义机密性：电子商务系统应该能对公众网络上传输的信息进行加密处理，防止交易中信息被非法截获或读取，或者实行访问控制。

完整性：要预防对信息的随意生成、修改和删除，同时要防止数据传送过程中信息的丢失和重复，并保证信息传送次序的统一。

有效性、真实性：为了进行交易，各方必须能够对另一方的身份进行鉴别。

不可抵赖性：不可抵赖性即是能建立有效的责任机制，防止实体否认其行为。

可靠性、可用性：要对网络故障、硬件故障、操作错误、应用程序错误、系统软件错误及计算机病毒所产生的潜在威胁加以控制和预防，以保证贸易数据在确定的时刻、确定的地点是可访问的。

6.构建全方位的安全体系的原则安全管理原则防范内部作案多人负责原则相互制约任期有限原则防作弊，不定期轮换职责分离原则避免利用职务之便PPT 2 电子商务安全基础7.理解ＯＳＩ通信模型的结构／ＴＣＰ／ｉｐ结构第1层：物理层(Physical Layer)在物理信道上传输原始的数据比特（bit ）流，提供为建立、维护和拆除物理链路连接所需的各种传输介质、通信接口特性等。

电子商务安全期末复习题1一、单项选择题在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

错选、多选或未选均无分。

1.TCP/IP 协议安全隐患不包括( )A.拒绝服务B.顺序号预测攻击C.TCP 协议劫持入侵D.设备的复杂性2.IDEA 密钥的长度为( )A.56B.64C.124D.1283.在防火墙技术中，内网这一概念通常指的是( )A.受信网络B.非受信网络C.防火墙内的网络D.互联网4.《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-935.在Kerberos 中，Client 向本Kerberos 的认证域以内的Server 申请服务的过程分为几个阶段?( )A.三个B.四个C.五个D.六个6.信息安全技术的核心是( )A.PKIB.SETC.SSLD.ECC7.Internet 接入控制不．能．对付以下哪类入侵者? ( )A.伪装者B.违法者C.内部用户D.地下用户8.CA 不．能．提供以下哪种证书? ( )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书9.我国电子商务走向成熟的重要里程碑是( )A.CFCAB.CTCAC.SHECAD.RCA10.通常为保证商务对象的认证性采用的手段是( )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印11.关于Diffie-Hellman 算法描述正确的是( )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的12.以下哪一项不．在．证书数据的组成中? ( )A.版本信息B.有效使用期限C.签名算法D.版权信息13.计算机病毒的特征之一是( )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性14.在Kerberos 中，Client 向本Kerberos 认证域外的Server 申请服务包含几个步骤? ( )A.6B.7C.8D.915.属于PKI 的功能是( )A.PAA，PAB，CAB.PAA，PAB，DRAC.PAA，CA，ORAD.PAB，CA，ORA16.MD-4 散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( )A.64B.128C.256D.51217.SHA 的含义是( )A.加密密钥B.数字水印C.安全散列算法D.消息摘要二、多项选择题在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填写在题后的括号内。

1.MAC：由只有通信双方知道的秘密密钥K来控制的消息的散列值。

2.数字信封:用对称密码体制的密钥加密明文，而用公钥密码体制的公钥加密这个对称密钥。

3.数字证书：就是公钥证书,包含有用户身份信息、用户公钥以及一个可信第三方认证机构CA的数字签名的数据文件，其中CA的数字签名可以确保用户公钥的真实性。

4.PKI:公钥基础设施通常简称PKI。

所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

5.PDRR:电子商务安全是在安全策略的指导下，由保护、检测、响应和恢复四个环节组成.6.SQL注入攻击：攻击者可以在表单或URL地址栏中提交一段畸形的SQL代码，作为用户输入传递给服务器使其能够对服务器端数据库直接进行命令操作。

特点：广泛性、技术难度不高、危害性大。

7.VPN：虚拟专用网络是利用Internet将物理上分布在不同地点的内部网络安全的连接起来，或将一个或多个远程用户与内部网络安全的连接在一起，从而可将远程用户、企业分支机构、公司业务合作伙伴的内部网络联接起来，构成一个扩展了的企业内部网。

8.单点登录技术：简称SSO，是指用户只需向网络进行一次身份认证，以后再无需另外验证身份，便可访问所有被授权的网络资源。

9.替代和置换：假设明文消息中的每个字母不是同时移动相同的位数，而是根据一张替代表使用随机替换，则在一个明文消息中，每个A可以替换成B~Z中的任意字母，B也可以替换成A或C~Z中的任意字母。

置换密码通过改变明文消息中各元素出现的相对位置，但明文消息元素本身的取值不变。

乘积密码：是以某种方式连续执行两个或多个密码交换。

10.IPSec协议主要功能：①认证IP报文的来源儿②保证IP数据包的完整性③确保IP报文的内容在传输过程中未被读取④确保认证报文没有重复⑤实现不可否认性11.电子支付的支付方式：电子现金、电子支票、电子信用卡，微支付1.电子商务安全要素：机密性（信息不被泄露给非授权用户）、完整性（信息是未被篡改的）、不可抵赖性（信息的收发双方不能否认曾经受发过信息）、即时性（在规定的时间内完成服务）、真实性（确保对方的真实信息和身份的来源是真的）、访问控制（对访问者访问资源时的权限控制）、可用性（访问者需要的时候是可用的）。

•第1章：TCP/IP协议简介1.TCP/IP协议体系结构(各层协议)①应用层：仿真终端协议Telnet、文件传输协议FTP、简单邮件传输协议SMTP②传输层：TCP（传输控制协议）、UDP（用户数据报协议）③网络层：网际协议IP、地址解析协议ARP和反向地址解析协议RARP、Internet控制消息协议ICMP2.局域网工作原理(Ip地址和Mac地址的变换)以太网的基本工作原理工：①载波监听：当一个站点要向另一个站点发送信息时，先监听网络信道上有无信息在传输，信道是否空闲。

②信道忙碌：如果发现网络信道正忙，则等待，直到发现网络信道空闲为止。

③信道空闲：如果发现网路信道空闲，则向网上发送信息。

由于整个网络信道为共享总线结构，网上所有站点都能够收到该站点所发出的信息，所以站点向网络发送信息也称为“广播”。

④冲突检测：站点发送信息的同时，还要监听网络信道，检测是否有另一台站点同时在发送信息。

如果有，两个站点发送的信息会产生碰撞，即产生冲突，从而使数据信息包被破坏。

⑤遇忙停发：如果发送信息的站点检测到网上的冲突，则立即停止发送，并向网上发送一个“冲突”信号，让其他站点也发现该冲突，从而摒弃可能一直在接收的受损的信息包。

⑥多路存取：如果发送信息的站点因“碰撞冲突”而停止发送，就需等待一段时间，再回到第一步，重新开始载波监听和发送，直到数据成功发送为止。

第2章：网络安全基础1.计算机网络安全的定义网络安全的学术定义为：通过各种计算机、网络、密码技术和信息安全技术，保护在公用通信网络中传输、交换和存储的信息的机密性、完整性和真实性，并对信息的传播及内容有控制能力。

2.逻辑炸弹的定义在网络软件中可以预留隐蔽的对日期敏感的定时炸弹。

在一般情况下，网络处于正常工作状态，一旦到了某个预定的日期，程序便自动跳到死循环程序，造成四级甚至网络瘫痪。

3.遥控旁路的定义除了给用户提供正常的服务外，还将传输的信息送给设定的用户，这就是旁路，这种情况非常容易造成信息的泄密。

一.电子商务安全概述电子商务安全的6大需求、各需求的内涵及解决该需求用到的技术1）机密性：又叫保密性。

指信息在传送或存储的过程中不被他人窃取、不被泄露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。

（2）完整性：又叫真确性。

保护数据不被未授权者修改、建立、嵌入、删除、重复发送或者由于其他原因使原始数据被更改。

3）认证性：指网络两端的使用者在沟通之前相互确认对方的身份。

一般通过CA认证机构和证书来实现（4）不可抵赖性：即不可否认性，指信息的发送方不能否认已发送的信息，接收方不能否认已收到的信息。

通过数字签名来保证（5）不可拒绝性：又叫有效性或可用性。

保证授权用户在正常访问信息和资源时不被拒绝，即保证为用户提供稳定的服务。

（6）访问控制性：指在网络上限制和控制通信链路对主机系统和应用的访问；用于保护计算机系统的资源（信息、计算和通信资源）不被未经授权人或未授权方式接入、使用、修改、破坏、发出指令或植入程序等。

一般可通过提取消息摘要的方式来保证电子商务安全基础技术（1）密码技术：加密、数字签名、认证技术、密钥管理（2）网络安全技术：防火墙技术、VPN、入侵检测技术（3）PKI技术：利用公钥算法原理和技术为网上通信提供通用安全服务的基础设施。

它为EC、电子政务、网上金融提供一整套安全基础平台。

可信计算机系统评价准则(TCSEC)无保护级D类D1的安全等级最低，说明整个系统是不可信的。

D1系统只为文件和用户提供安全保护，对硬件没有任何保护、操作系统容易受到损害、没有身份认证。

D1系统最普通的形式是本地操作系统（如MS—DOS，Windows95/98），或者是一个完全没有保护的网络。

自主保护级C类C类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力，C类安全等级可划分为C1和C2两类。

C1为酌情保护级。

系统对硬件进行某种程度的保护，将用户和数据分开。

C2为访问控制保护级：增加了用户级别限制，加强了审计跟踪的要求。

《电子商务安全》复习自测题一单项选择题1.美国电子商务交易额约占全球的（）。

A二分之一B三分之一C四分之一D五分之一2.我国网络购物使用率超过（）。

A百分之五十 B百分之六十 C百分之七十 D百分之八十3.电子商务交易安全是一个（）过程。

A 静态B保护-反馈 C 保护-反馈-修正保护-反馈-修正-再保护4.B2C电子商务基本属于（）的范畴。

A网络商品直接交易B网络商品中介交易C企业间网络交易D网络商品直销5.电子商务安全体系可以分为几大安全领域？A 11B 16C 12D 86.电子商务交易安全保障体系是一个（）系统。

A 分散型B 密集型C 复合型D 单一型7.网络商品直销模式的最大特点是（）。

A电子数据交换B外联网 C联网D联网8.电路级网关又称（），它工作在会话层。

A路级网关B内部网关C部网关 D线路网关9.（）是最著名的，同时也是研究得最透彻的对称密码算法。

A DEAB DESC DFSD RC210.2002年1月24日，联合国通过了（）。

A《电子商业示范法》B电子签名示范法》C《数字签名示范法》D《电子商务示范法》11. 2004年8月，第十届全国人大常委会第十一次会议正式通过了（）。

A 《电子商业示范法》B数字签名法》C电子商务法》 D 《电子签名法》12.电子商务标准的基础是。

A 信息安全标准B 技术安全标准C 安全标准D 全标准13.网络广告的内容管理的基本要求是：。

A促进广告内容的真实性、合法性B促进广告内容的真实性、合法性和科学性C促进广告内容的真实性、全面性和科学性D促进广告内容的真实性、合法性和全面性14.中国在国际互联网信息中心正式注册并运行的顶级域名是。

A “CH”B B “CN”C “CV”D “CA”15.我国当前的类别域名有______个。

A 3B 4C 5D 616.1996年12月，联合国第51次会议通过。

A 《电子签名示范法》B 《电子商务示范法》C 《联合国国际合同使用电子通信公约》D 《联合国国际贸易法委员会关于网上争议解决的技术指引》17.我国网络安全领域的第一部综合性基础法律是：。

《电⼦商务安全》期末考试题—旗舰版电⼦商务安全期末考试A卷⼀、选择题（单选）1.下列选项中属于双密钥体制算法特点的是（C）A.算法速度快B.适合⼤量数据的加密C.适合密钥的分配与管理D.算法的效率⾼2.实现数据完整性的主要⼿段是（D）A.对称加密算法B.⾮对称加密算法C.混合加密算法D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】3.数字签名技术不能解决的安全问题是（C）A.第三⽅冒充B.接收⽅篡改C.传输安全4.病毒的重要特征是(B)A.隐蔽性B.传染性C.破坏性D.可触发性5.在双密钥体制的加密和解密过程中，要使⽤公共密钥和个⼈密钥，它们的作⽤是（A）A.公共密钥⽤于加密，个⼈密钥⽤于解密B.公共密钥⽤于解密，个⼈密钥⽤于加密C.两个密钥都⽤于加密D.两个密钥都⽤于解密6.在⼀次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采⽤的安全⼿段是（B）A.双密钥机制B.数字信封C.双联签名D.混合加密系统7.⼀个密码系统的安全性取决于对（A）A.密钥的保护B.加密算法的保护C.明⽂的保护D.密⽂的保护8.在防⽕墙使⽤的存取控制技术中对所有进出防⽕墙的包标头内容进⾏检查的防⽕墙属于（A）A.包过滤型B.包检检型C.应⽤层⽹关型D.代理服务型9.电⼦商务的安全需求不包括（B）[机密性、完整性、认证性、有效性、匿名性、不可抵赖]A.可靠性B.稳定性C.真实性D.完整性10.SSL握⼿协议包含四个主要步骤，其中第⼆个步骤为（B）A.客户机HelloB.服务器HelloC.HTTP数据流D.加密解密11.SET安全协议要达到的⽬标主要有（C）【机密性、保护隐私、完整性、多⽅认证、标准性】A.三个B.四个C.五个D.六个12.下⾯不属于SET交易成员的是（B）A.持卡⼈B.电⼦钱包C.⽀付⽹关D.发卡银⾏(3)经私钥加密后的数据可被所有具有公钥的⼈解开，由于私钥只有持有者⼀⼈保存，这样就证明信息发⾃私钥持有者，具有不可否认性。

《电子商务安全》课程期末复习资料《电子商务安全》课程讲稿章节目录第一章电子商务安全概论第一节电子商务安全发展概况第二节电子商务安全概述第三节电子商务安全的前沿问题第二章电子商务安全技术第一节数据加密技术第二节通信加密技术第三节密钥管理与分发技术第四节认证技术第五节数字水印与数字保护技术第三章电子商务安全协议第一节 IP协议安全体系第二节电子安全协议第三节安全超文本传输协议第四节安全套接层协议第五节安全电子交易协议第四章电子商务的交易安全第一节电子商务交易安全概述第二节电子商务交易系统的安全第三节电子商务交易中的物流安全第四节电子商务交易安全体系第五章电子商务的支付安全第一节电子商务支付概述第二节电子商务支付安全需求第三节电子商务支付安全体系第四节电子商务安全支付平台第六章电子商务的信息安全第一节电子商务信息安全概述第二节电子商务信息安全目标第三节电子商务信息安全技术第四节电子商务信息安全评估第七章电子商务的网络安全第一节电子商务网络安全概述第二节电子商务网络系统安全目标第三节电子商务网络安全技术第四节电子商务网络安全策略与标准第五节电子商务网络安全评估第八章电子商务安全管理第一节电子商务安全管理概述第二节电子商务风险管理第三节电子商务系统管理第四节电子商务信用管理第五节电子商务人员管理与制度第九章移动电子商务安全第一节移动电子商务安全概述第二节移动电子商务安全技术与协议第三节移动电子商务的安全策略第四节移动电子商务的安全管理第十章实验★考核知识点: 数据加密技术参见讲稿章节：2-1附1.1.1（考核知识点解释）：所谓数据加密（Data Encryption）技术是指将一个信息（或称明文，plain text）经过加密钥匙（Encryption key）及加密函数转换，变成无意义的密文（cipher text），而接收方则将此密文经过解密函数、解密钥匙（Decryption key）还原成明文。

加密技术是网络安全技术的基石。

电子商务信息安全复习题一、填空题1.对于一个操作系统的安全来说，存贮器的保护是一个最基本的要求。

在一个单用户系统中，某时刻系统内存中只运行一个用户进程，这时的存贮器保护只需要防止用户进程不影响系统的运行就可以了，但在一个多任务系统中，还需要隔离各进程的内存区。

存贮器保护与存贮器管理是紧密相关的，________负责保证系统内各任务之间互不干扰；________是为了更有效地利用存贮空间。

答案：存贮器，存贮器管理2.SET协议主要使用的技术包括：对称密钥加密(Symmetric Key Cryptography)、公钥加密( Public Key Cryptography or Asymmetric Cryptography)、哈希算法(Hash Algorithm)、、数字信封(Digital Envelope)、答案：数字签名(Digital Signature)，数字证书(Digital Certification) 3.数字摘要(Digital Digest)这一加密方法亦称安全Hash编码法SHA(Secure Hash Algorithm)或MDS(MD Standards for Message Digest),由Ron Rivest所设计。

该编码法采用单向________函数将需加密的明文“摘要”成一串128bit 的密文,这一串密文亦称为数字指纹(Finger Print),它有固定的长度,而且________的明文其摘要必定一致,但不同的明文摘要成密文,其结果总是不同的。

答案：Hash，同样4.从入侵策略的角度可将入侵检测的内容分为：试图闯入或成功闯入、________、违反安全策略、合法用户的泄漏、独占资源、________。

答案：冒充其他用户，恶意使用5.操作系统的安全技术可以从五个方面来考虑：一、隔离控制二、等级运行域机制(分层) 三、安全核四、________ 五、________答案：审计，安全模型6.数据库命令文件的加密数据库的大量应用，大量数据在网络环境下被多用户共享，使得数据库的安全问题日益突出，迫切需要寻求________以保证数据库的安全。

电子商务期末复习重点知识点（含题型）一、简答题1.什么是电子商务？（狭义和广义）答：电子商务概念实际上包含狭义的电子商务和广义的电子商务两层含义。

狭义的电子商务(E-commerce)是指以现代网络技术为依托进行物品和服务的交换，是商家和客户之间的联系纽带，具有有偿和交易的性质。

广义的电子商(E-business)则是指以现代网络技术为依托进行的一切有偿商业活动和非营利交往或服务活动的总和。

2.电子商务产生的背景答：商务需求的驱动。

信息技术的推动。

3.电子商务具有的特征答：运作费用低廉，可以降低交易成本，获得较高利润。

交易虚拟化，可以简化交易步骤，提高交易效率。

具有广泛的社会性，可拓展贸易机会，增加企业的商业机会。

使用灵活、交易透明，可提供更好的商业服务。

4.电子商务的类型答：1.按照交易对象的性质不同分类：(1)企业间的电子商务(BZB)。

(2)企业对消费者的电子商务(BZC)。

(3)企业与政府(机构)之间的电子商务(B2G或B2A)。

(4)消费者与政府(机构)之间的电子商务(C2G或C2A)。

(5)消费者与消费者之间的电子商务(CZC)。

2.按照所利用的计算机网络不同分类：(1)基于企业内部网Intranet的电子商务。

(2)基于企业外部网(Extrant)的电子商务。

(3)基于Intemet的电子商务。

3.按照交易活动的内容性质不同分类：(1)完全电子商务。

(2)不完全电子商务。

4.按照交易活动的功能目标不同分类：(1)内容管理型电子商务(2)协同处理型电子商务(3)交易服务型电子商务。

5.按照交易的地域范围分类：(1)本地电子商务(2)区域电子商务(3)国家电子商务(4)国际电子商务5.电子商务带来的商务变革主要表现答：竞争范围的改变。

竞争关系的改变。

经营理念的改变。

经营方式的改变。

营销模式的改变。

市场模式的改变。

6.电子商务框架结构（四个层次、两大支柱）答：四个层次：网络层。

消息/信息发布层。

SSL协议：安全套接层，是对Internet上计算机之间对话进行加密的协议SSL缺陷：秘钥管理问题；加密强度问题；数字签名问题；必须建立在可靠连接基础上；多方通信表现欠佳SET协议的核心技术：公开密匙加密、电子数字签名、电子信封、电子安全证书和双重签名SET协议的优势和劣势：优势：1.认证机制方面，SET的安全需求较高，所有参与SET交易成员都必须申请数字证书来识别身份。

2.对客户而言，SET保证了商家的合法性，信用卡号不会被窃取。

3.SET协议规定，交易过程中的每条信息都要经过严格校验。

4.实际应用中，SET可以用在系统的全部或一部分上，大部分提供商都提供了灵活构筑系统的手段。

劣势：1.不能保证客户付款后能收到商品或是自己订购的商品。

2.没有解决交易中证据的生成和保留的问题。

3.SET协议非常复杂，成本高，处理速度慢，没有对时间进行控制。

4.要求银行网络.商户服务器和顾客的PC机安装相应软件，给使用者增加了附加费用。

SET协议的构成部分：持卡人、商家、发卡行、收单行、支付网关、认证中心SSL协议与SET协议的比较：1..在认证要求方面，SSL没有提供商家身份认证机制，而SET的安全要求较高，所有参与SET交易的成员（持卡人、商家、发卡行、收单行和支付网关）都必须申请数字证书进行身份识别。

2、在安全性方面，SET协议规范了整个商务活动的流程，从持卡人到商家，到支付网关，到认证中心以及信用卡结算中心之间的信息流走向和必须采用的加密、认证都制定了严密的标准。

而SSL只对持卡人与商店端的信息交换进行加密保护。

因此SET的安全性比SSL高。

3、在网络层协议位置方面，SSL是基于传输层的通用安全协议，而SET位于应用层，对网络上其他各层也有涉及。

4、在应用领域方面，SSL主要是和Web应用一起工作，而SET是为信用卡交易提供安全。

电子钱包：是纯粹的软件，主要用于网上消费、帐户管理，通常与银行账户或银行卡账户连接在一起的电子现金：也叫数字现金，是利用0和1排列组合成的能通过网络传递的一系列加密的数据序列来表示现实中的纸币现金网上支付：是客户，商家和网络银行之间使用安全电子手段，利用电子现金，银行卡和电子支票等支付工具通过互联网传送到银行和相应的处理机构而完成支付的整个过程网上支付的构成因素：Internet 客户商家开户银行支付网关银行网络和认证中心电子货币：指用一定金额的现金或存款从发行者处兑换并获得代表相同金额的数据，通过使用某些电子化方法将该数据直接转移给支付对象，从而能够清偿债务。

电子商务安全与管理期末复习题型： 1. 选择题（30分：1.5分1题，共20题）2. 判断并说明理由题（28分：4分1个，共7题。

其中判断对错占2分，简要说明理由占2分）3. 简答题（30分：6分1题，共5题）4. 综合分析题（12分：6分1题，共2题）1、电子商务涉及的安全问题有哪些？P4-6A. 信息的安全问题：冒名偷窃、篡改数据、信息丢失、信息传递出问题B. 信用的安全问题：来自买方的安全问题、来自卖方的安全问题、买卖双方都存在抵赖的情况C. 安全的管理问题D. 安全的法律保障问题2、电子商务系统安全的三个组成部分。

P74、电子商务的安全保障主要由哪三方面去实现？P17-22技术措施①信息加密技术：保证数据流安全，密码技术和非密码技术②数字签名技术：保证完整性、认证性、不可否认性③TCP/IP服务：保证数据完整传输④防火墙的构造选择：防范外部攻击，控制内部和病毒破坏管理措施①人员管理制度：严格选拔落实工作责任制贯彻ＥＣ安全运作三项基本原则：多人负责、任期有限、最小权限②保密制度不同的保密信息有不同的安全级别③跟踪、审计、稽核制度跟踪：自动生成系统日志审计：对日志进行审计（针对企业内部员工）稽查：针对企业外部的监督单位④系统维护制度硬件和软件⑤数据容灾制度⑥病毒防范制度⑦应急措施法律环境《中华人民共和国电子签名法》5、风险分析和审计跟踪的主要功能P10-11风险分析：a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。

b.运行前：根据系统运行期的运行状态和结果，分析潜在安全隐患。

c.运行期：根据系统运行记录，跟踪系统状态的变化，分析运行期的安全隐患。

d.运行后：分析系统运行记录，为改进系统的安全性提供分析报告。

审计跟踪：a.记录和跟踪各种系统状态的变化。

b.实现对各种安全事故的定位。

c.保存、维护和管理审计日志1、信息传输中的五种常见加密方式。

P27①链路－链路加密②节点加密③端－端加密④A TM网络加密⑤卫星通信加密链路-链路加密与端端加密区别：2、对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使用RSA密钥传输法。

第一章1.电子商务的安全需求电子商务的安全需求包括两方面：电子交易的安全需求（1）身份的可认证性在双方进行交易前，首先要能确认对方的身份，要求交易双方的身份不能被假冒或伪装。

（2）信息的保密性要对敏感重要的商业信息进行加密，即使别人截获或窃取了数据，也无法识别信息的真实内容，这样就可以使商业机密信息难以被泄露。

（3）信息的完整性交易各方能够验证收到的信息是否完整，即信息是否被人篡改过，或者在数据传输过程中是否出现信息丢失、信息重复等差错。

（4）不可抵赖性在电子交易通信过程的各个环节中都必须是不可否认的，即交易一旦达成，发送方不能否认他发送的信息，接收方则不能否认他所收到的信息。

（5）不可伪造性电子交易文件也要能做到不可修改计算机网络系统的安全一般计算机网络系统普遍面临的安全问题：（1）物理实体的安全设备的功能失常电源故障由于电磁泄漏引起的信息失密搭线窃听（2）自然灾害的威胁各种自然灾害、风暴、泥石流、建筑物破坏、火灾、水灾、空气污染等对计算机网络系统都构成强大的威胁。

（3）黑客的恶意攻击所谓黑客，现在一般泛指计算机信息系统的非法入侵者。

黑客的攻击手段和方法多种多样，一般可以粗略的分为以下两种：一种是主动攻击，它以各种方式有选择地破坏信息的有效性和完整性；另一类是被动攻击，它是在不影响网络正常工作的情况下，进行截获、窃取、破译以获得重要机密信息。

（4）软件的漏洞和“后门”（5）网络协议的安全漏洞（6）计算机病毒的攻击计算机病毒“指编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

”——《中华人民共和国计算机信息系统安全保护条例》2.电子商务安全技术分为两类计算机网络安全计算机网络设备安全、计算机网络系统安全、数据库安全等。

其特征是针对计算机网络本身可能存在的安全问题, 实施强大的网络安全监控方案, 以保证计算机网络自身的安全性。

▪常用的网络安全技术：安全评估技术、防火墙、虚拟专用网、入侵检测技术、计算机防病毒技术等。

电子商务安全管理期末复习题1、常用的网络安全技术有哪些？（20分）安全交易技术，信息加密技术，数字签名，病毒防护技术，身份识别技术，防火墙技术，入侵检测系统，网络安全管理策略。

2、对称密码体制的优缺点是什么？（20分）优点：计算量小，加密速度快，加密和解密数据使用同一个密钥。

缺点：容易引起密钥泄密和信息失密，它存在着通信的贸易双方之间确保密钥安全交换的问题。

此外，某一贸易方有几个贸易关系，它就要维护几个专用密钥，也没法鉴别贸易发起方或贸易最终方，因为贸易的双方的密钥相同。

另外，由于对称加密系统仅能用于对数据进行加解密处理，提供数据的机密性，不能用于数字签名。

3、什么是计算机病毒？（20分）计算机病毒是一种计算机程序，它通过修改其它程序把自身或其演化体插入它们中，从而感染它们。

”国外对计算机病毒最流行的定义为：“计算机病毒，是一段附着在其他程序上的可以实现自我繁殖的程序代码。

计算机病毒通常包括引导模块、传染模块、破坏行动模块。

存储介质上的计算机病毒，在没有加载在内存中处于运行状态时，不具备传染性和破坏性，因此对系统的安全不构成危害。

4、数字证书的概念是什么?（20分）数字证书就是互联网通讯中标志通讯各方身份信息的一串数字，提供了一种在Internet上验证通信实体身份的方式，其作用类似于司机的驾驶执照或日常生活的身份证。

它是由一个权威机构--CA机构，又称为证书授权中心发行的，人们可以在网上用它来识别对方的身份。

数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。

最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。

5、什么是防火墙？（20分）为了防范不可信用户利用Internet入侵内部网，保护内部网不受外来入侵的攻击，人们在Internet与内部网之间设置一个安全网关，在保持内部网与Internet连通性的同时，对进入内部网的信息流实行控制, 只转发可信的信息流, 而拒绝不可信信息流的进入。

电商安全期末复习电子商务安全期末复习题（1）一、单选题1.tcp/ip协议的安全隐患通常不包括()a、拒绝服务B.序列号预测攻击C.TCP协议劫持入侵D.设备2的复杂性在防火墙技术中，intranet通常指（）a.受信网络b.非受信网络c.防火墙内的网络d.互联网3.数字签名技术使用几把钥匙进行加解密?()a、 2件B.1件3件D.4件4信息安全技术的核心是（）a.pkib.setc.ssld.ecc5.互联网访问控制无法应对以下哪种类型的入侵者？()a.伪装者b.违法者c.内部用户d.地下用户6.ca不能提供以下哪种证书?()a、个人数字证书b.ssl服务器证书C.安全电子邮件证书d.设置服务器证书7.通常，用于确保业务对象身份验证的方法是（）a.信息加密和解密b.信息隐匿c.数字签名和身份认证技术d.数字水印8.以下哪一项不在证书数据的组成中?()a、版本信息B.有效期C.签名算法D.版权信息9.计算机病毒的一个特征是（）a.非授权不可执行性b.非授权可执行性c.授权不可执行性d.授权可执行性10.在对称加密系统中，密钥被分解为一对，一对是公钥，另一对是私钥。

（a）对，B，错11.要使网上交易成功，参与交易的人首先要能确认对方的身份，确定对方的真实身份与对方所声称的是否一致。

()a．对b．错12.识别系统的要求之一是（）a.具有可传递性b.具有可重用性c、演示者可以识别验证者D。

验证者正确识别演示者的概率最大化13防止非法用户进入系统（）a.病毒防御技术b.数据加密技术c.接入控制技术d.数字签名技术14.以下不是数据库加密方法（）a.使用加密软件加密数据b.使用专门软件加密数据c.信息隐藏d.用加密桥技术15．下面有关数字信封的说法哪个是正确的？()a、发送方需要使用接收方的私钥来加密数字信封b、数字信封能够确认信息发送者的身份c、数字信封包含了数字签名d、数字信封使用对称加密技术16．身份证明系统应该由几方构成?()a、 2b.3c.4d.517.在某些情况下，服务器在建立ssl连接时，要证实用户身份，将使用（）a、客户证书C.secure mail证书的通信特征是（）a.数据完整性C.数据保密性b.不可否认性d.互操作性b.服务器证书d.ca证书18.如果我们想确保多个制造商在电子商务交易中建立信任关系，PKI必须具有最关键的功能19.ssl协议是通过什么来验证通信双方身份的?（）a、密钥c.x.500a加密措施c.数字签名功能b.证书d.x.509b、反映交易者的身份D.常用词机制20.实现源的不可否认业务，在技术手段上必须要有（）二、多项选择题1.电子商务系统可能遭受的攻击有()a、系统渗透B.植入C.违反授权原则D.通信监控E.计算机病毒2.签名可以解决的身份验证问题是（）a.发送者伪造b.发送者否认c.接收方篡改d.第三方冒充e.接收方伪造3.公钥证书的类型有()a、客户端证书B.服务器证书C.安全邮件证书D.密钥证书E.秘密证书4.在set中规范了商家服务器的核心功能是()a、联系客户的电子钱包B.联系支付网关C.处理集合D的错误信息D.处理客户的支付信息e.查询客户的账户信息5.公钥证书的类型有（）a、客户端证书B.密钥证书C.服务器证书D.安全邮件证书e.ca证书三、填空题1.网关业务规则根据所使用的证书以及在线交易是否符合设定标准uuu支付网关标准uuuuu业务规则和非设定标准银行uuu业务规则分为三类。