2006年10月电子商务安全导论试卷

高等教育自学考试电子商务安全导论试题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

错涂、多涂或未涂均无分。

1．美国的橘皮书中为计算机安全的不同级别制定了4个标准：A、 B、C、D级，其中B级又分为B1、B2、B3三个子级，C级又分为C1、C2两个子级。

以下按照安全等级由低到高排列正确的是A.A、B1、B2、B3、C1、C2、DB.A、B3、B2、B1、C2、Cl、DC.D、Cl、C2、B1、B2、B3、AD.D、C2、C1、B3、B2、Bl、A2.在维护系统的安全措施中，保护数据不被未授权者建立的业务是A.保密业务B.认证业务C.数据完整性业务D.不可否认业务3.Diffie与Hellman早期提出的密钥交换体制的名称是A.DESB.EESC.RSAD.Diffie-Hellman4.以下加密体制中，属于双密钥体制的是A.RSAB.IDEAC.AESD.DES5.对不知道内容的文件签名称为A.RSA签名B.ELgamal签名C.盲签名D.双联签名6.MD5散列算法的分组长度是A.16比特B.64比特C.128比特D.512比特7.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72：97)的要求，设备间室温应保持的温度范围是A.0℃-10℃B.10℃-25℃C.0℃-25℃D.25℃-50℃8.通过公共网络建立的临时、安全的连接，被称为A.EDIB.DSLC.VLND.VPN9.检查所有进出防火墙的包标头内容的控制方式是A.包过滤型B.包检验型C.应用层网关型D.代理型10.在接入控制策略中，按主体执行任务所知道的信息最小化的原则分配权力的策略是A.最小权益策略B.最大权益策略C.最小泄露策略D.多级安全策略11.Microsoft Access数据库的加密方法属于A.单钥加密算法B.双钥加密算法C.加密桥技术D.使用专用软件加密数据12.Kerberos域内认证过程的第一个阶段是A.客户向AS申请得到注册许可证B.客户向TGS申请得到注册许可证C.客户向Server申请得到注册许可证D.客户向Workstation申请得到注册许可证13.Kerberos域间认证分为4个阶段，其中第3阶段是（～代表其它Kerberos的认证域）14.证明双钥体制中公钥的所有者就是证书上所记录的使用者的证书是A.双钥证书B.公钥证书C.私钥证书D.CA证书15.通常将用于创建和发放证书的机构称为A.RAB.LDAPC.SSLD.CA16.在PKI的构成中，负责制定整个体系结构的安全政策的机构是A.CAB.PAAC.OPAD.PMA17.在Internet上建立秘密传输信息的信道，保障传输信息的机密性、完整性与认证性的协议是A.HTTPB.FTPC.SMTPD.SSL18.在SET协议中用来确保交易各方身份真实性的技术是A.加密方式B.数字化签名C.数字化签名与商家认证D.传统的纸质上手工签名认证19.牵头建立中国金融认证中心的银行是A.中国银行B.中国人民银行C.中国建设银行D.中国工商银行20.CFCA推出的一套保障网上信息安全传递的完整解决方案是A.TruePassB.EntelligenceC.DirectD.LDAP二、多项选择题（本大题共5小题，每小题2分，共10分）在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其选出并将“答题纸”的相应代码涂黑。

2005年10月四、名词解释题(本大题共5小题，每小题3分，共15分)31.自主式接入控制32.计算机病毒33.身份证明系统34.PKI35.单钥密码体制五、简答题(本大题共6小题，每小题5分，共30分)36.简述双钥密码体制的基本概念及特点。

37.简述数据交换时如何利用数字信封来确保接收者的身份。

38.电子商务安全的中心内容是什么?39.简述SSL的体系结构。

40.简述防火墙设计原则。

41.简述IPSec的两种工作模式。

六、论述题(本大题共1小题，15分)42.试述公钥证书的申请和吊销的过程。

2006年1月四、名词解释题（本大题共5小题，每小题3分，共15分）31．接入控制32．镜像技术33．Kerberos34．密钥管理35．双钥密码体制五、简答题（本大题共6小题，每小题5分，共30分）36．电子商务的安全需求包含哪些方面?37．简述数字签名的基本原理。

38．简述美国《可信任的计算机安全评估标准》中C1级和C2级的要求。

39．简述认证机构提供的四个方面的服务。

40．简述VPN的优点。

41．简述数据完整性。

六、论述题（本大题共1小题，15分）42．试述SET实际操作的全过程。

2006年10月四、名词解释题（本大题共5小题，每小题3分，共15分）31.计算上安全 32.冗余系统 33.双联签名 34.SSL协议 35.域内认证五、简答题（本大题共6小题，每小题5分，共30分）36.简述三重DES加密方法的概念及其算法步骤。

37.在交易双方的通信过程中如何实现源的不可否认性？38.简述对密钥进行安全保护应该采取的措施。

39.电子商务中数据的完整性被破坏后会产生什么样的后果？40.简述我国减低电子商务安全威胁可以采取的对策。

41.试比较SSL协议和SET协议之间的差别。

六、论述题（本大题共1小题，15分）42.试述按接入方式虚拟专用网VPN解决方案的种类，并说明选择VPN解决方案时需考虑的要点。

2007年1月四、名词解释题（本大题共5小题，每小题3分，共15分）31.电子商务的机密性32.数据备份33.VPN34.电子钱包35.通行字五、简答题（本大题共6小题，每小题5分，共30分）36.列举单钥密码体制的几种算法。

第一章一、单项选择题1.TCP/IP协议安全隐患不包括( D )A.拒绝服务B.顺序号预测攻击C.TCP协议劫持入侵D.设备的复杂性2.通常为保证商务对象的认证性采用的手段是( C )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印3．保证商业服务不可否认的手段主要是( D )A．数字水印 B．数据加密 C．身份认证 D．数字签名4.以下不是接入控制的功能的是( D )A.阻止非法用户进入系统B.允许合法用户进入系统C.使合法人按其权限进行各种信息活动D.阻止非合法人浏览信息5.以下的电子商务模式中最先出现的是( A )A.B—BB.B—CC.C—CD.B—G6.网上商店的模式为( B )A.B-BB.B-CC.C-CD.B-G7.信息在网络上传送或存储的过程中不被他人窃取、不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容，这种电子商务安全内容称( A )A.商务数据的机密性B.商务数据的完整性C.商务对象的认证性D.商务服务的不可否认性8.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准，他们从高到低依次是（ B ）A.DCBAB.ABCDC.B1B2C l C2D.C1C2B1B29．信息的发送方不能否认已发送的信息，接受方不能否认已收到的信息，这是一种法律有效性要求，是电子商务安全六项中的（ A ）A．商务服务的不可否认性B．商务服务的不可拒绝性 C．商务对象的认证性D．商务数据的完整性10.美国的橘黄皮书中给计算机安全的不同级别制定了标准，由低到高排列正确的是( D )A.Cl、Bl、C2、B2B.Bl、B2、Cl、C2C.A、B2、C2、DD.C1、C2、B1、B211.保证身份的精确性，分辨参与者所声称身份的真伪，防止伪装攻击，这样的业务称为( A )A.认证业务B.保密业务C.控制业务D.完整业务12．电子商务安全的中心内容中，用来保证为用户提供稳定的服务的是（ D ）A．商务数据的完整性 B．商务对象的认证性 C．商务服务的不可否认性 D．商务服务的不可拒绝性L3.美国的橘皮书中计算机安全B级的子级中，从高到低依次是( D )A.Bl B2B.B2 B1C.B1 B2 B3D.B3 B2 B114.通过破坏计算机系统中的硬件、软件或线路，使得系统不能正常工作，这种电子商务系统可能遭受的攻击是( B )A.系统穿透B.中断C.拒绝服务D.通信窜扰15．IDEA算法将明文分为（ D ）A．8位的数据块B．1 6位的数据块 C．3 2位的数据块 D．6 4位的数据块16．在双密钥体制的加密和解密过程中要使用公共密钥和个人密钥，它们的作用是（ A ）A．公共密钥用于加密，个人密钥用于解密 B．公共密钥用于解密，个人密钥用于加密17．一个密码系统的安全性取决于对（ A ）A．密钥的保护 B．加密算法的保护 C．明文的保护 D．密文的保护18．称为访问控制保护级别的是（ C ）A．C1 B．B1 C．C2 D．B219．EDI应是下列哪种电子商务方式的代表?（ A ）A．B—B电子商务方式B．B—C电子商务方式 C．C—C电子商务方式 D．C—B电子商务方式20.电子商务的技术要素组成中不包含( B )A.网络B.用户C.应用软件D.硬件21.电子商务的发展分成很多阶段，其第一阶段是( A )A.网络基础设施大量兴建B.应用软件与服务兴起C.网址与内容管理的建设发展D.网上零售业的发展22.计算机安全等级中，C2级称为（ B ）A.酌情安全保护级B.访问控制保护级C.结构化保护级D.验证保护级23.在电子商务的发展过程中，零售业上网成为电子商务发展的热点，这一现象发生在（ C ）A.1996年B.1997年C.1998年D.1999年24.在下列计算机系统安全隐患中，属于电子商务系统所独有的是（ D ）A.硬件的安全B.软件的安全C.数据的安全D.交易的安全25．美国的橘黄皮书中为计算机安全的不同级别定义了ABCD四级，其中C级又分了子级，由低到高的是（ A ）A．C1，C2 B．C2，C1 C．C1，C2，C3 D．C3，C2，C1二、多项选择题1.电子商务系统可能遭受的攻击有( ABCDE )A.系统穿透B.植入C.违反授权原则D.通信监视E.计算机病毒2．对Internet的攻击有多种类型，包括( ACE )A．截断信息 B．中断C．伪造 D．病毒 E．介入3.对Internet的攻击手段中伪造会威胁电子商务安全内容中的( ABC )A.商务数据的机密性B.商务数据的完整性C.商务对象的认证性D.商务服务的不可否认性E.商务服务的不可拒绝性4.电子商务在英语中的不同叫法有( ABCDE )A.E-CommerceB.Digital CommerceC.E-TradeD.E-BusinessE.EDI5.电子商务系统可能遭受的攻击有（ ABCDE ）A.系统穿透B.违反授权原则C.植入D.通信监视E.通信窜扰6.下列选项中，属于电子商务安全的中心内容的有( BCDE )A.商务系统的健壮性B.商务数据的机密性C.商务对象的认证性D.商务服务的不可否认性E.商务信息的完整性7．常见的电子商务模式的有（ ABCDE ）A．大字报／告示牌模式 B．在线黄页薄模式C．电脑空间上的小册子模式D．虚拟百货店模式E．广告推销模式8.在20世纪90年代末期，大力推动电子商务发展的有（ ABCD ）A.信息产品硬件制造商B.大型网上服务厂商C.政府D.银行及金融机构E.零售服务商9．对Internet的攻击类型有（ABCD ）A．截断信息 B．伪造 C．篡改 D．介入 E．病毒三、填空题1.美国的《可信任的计算机安全评估标准》为计算机安全制定了__4__级标准，其中_A_级是最安全的。

1，简述橘黄皮书制定的计算机安全等级内容制定了4个标准，由低到高为D，C，B，AD级暂时不分子级，B级和C级是常见的级别。

每个级别后面都跟一个数字，表明它的用户敏感程度，其中2是常见的级别C级分C1和C2两个子级，C2比C1提供更多的保护，C2要求又一个登录过程，用户控制指定资源，并检查数据追踪B级分B1、B2、B3三个子级，由低到高，B2要求有访问控制，不允许用户为自己的文件设定安全级别A级为最高级，暂时不分子级，是用户定制的每级包括它下级的所有特性，这样从从低到高是D，C1，C2，C3，B1，B2，B3，A2，简述web站点可能遇到的安全威胁？安全信息被破译非法访问交易信息被截获软件漏洞被利用当CGI脚本编写的程序或其他涉及远程用户从浏览器输入表格并进行像检索之类在主机上直接执行命令时，会给web主机系统造成危险3，论述产生电子商务安全威胁的原因P13在因特网上传输的信息，从起点到目标结点之间的路径是随机选择的，此信息在到达目标之前会通过许多中间结点，在任一结点，信息都有可能被窃取、篡改或删除。

Internet在安全方面的缺陷，包括Internet各环节的安全漏洞外界攻击，对Internet的攻击有截断信息、伪造、篡改、介入局域网服务和相互信任的主机安全漏洞设备或软件的复杂性带来的安全隐患TCP/IP协议及其不安全性，IP协议的安全隐患，存在针对IP的拒绝服务攻击、IP的顺序号预测攻击、TCP劫持入侵、嗅探入侵HTTP和web的不安全性E-mail、Telnet及网页的不安全，存在入侵Telnet会话、网页作假、电子邮件炸弹我国的计算机主机、网络交换机、路由器和网络操作系统来自国外受美国出口限制，进入我国的电子商务和网络安全产品是弱加密算法，先进国家早有破解的方法4，通行字的控制措施系统消息限制试探次数通行字有效期双通行字系统最小长度封锁用户系统根通行字的保护系统生成通行字通行字的检验5，对不同密钥对的要求P113答：（1）需要采用两个不同的密钥对分别作为加密/解密和数字签名/验证签名用。

单项选择题〔本大题共20小题，每题1分，共20分〕1．病毒按破坏性划分可以分为( A )A．良性病毒和恶性病毒B．引导型病毒和复合型病毒C．文件型病毒和引导型病毒D．复合型病毒和文件病毒2．在进行你的证件明时，用个人特征识别的方法是( A )A．指纹B．密码C．你的证件D．密钥3．以下选项中，属于电子邮件的平安问题的是( D )A．传输到错误地址B．传输错误C．传输丧失D．网上传送时随时可能被人窃取到4．RC-5加密算法中的可变参数不包含( A )A．校验位B．分组长C．密钥长D．迭代轮数5．一个明文可能有多个数字签名的算法是( D )A．RSA B．DES C．Rabin D．ELGamal6．数字信封技术中，加密消息密钥形成信封的加密方法是( B ) A．对称加密B．非对称加密C．对称加密和非对称加密D．对称加密或非对称加密7．防火墙的组成中不包含的是〔C〕A．平安操作系统B．域名效劳C．网络治理员D．网关8．以下选项中，属于加密桥技术的优点的是( B )A．加密桥与DBMS是不可别离的B．加密桥与DBMS是别离的C．加密桥与一般数据文件是不可别离的D．加密桥与数据库无关9．在不可否认业务中爱护收信人的是( A )A．源的不可否认性B．提交的不可否认性C．递送的不可否认性D．A和B10．为了在因特网上有一种统一的SSL标准版本，IETF标准化的传输层协议是( B )A．SSL B．TLS C．SET D．PKI11．能够全面支持电子商务平安支付业务的第三方网上专业信托效劳机构是( A) A．CFCA B．CTCA C．SHECA D．PKI12．以下选项中，属于中国电信CA平安认证系统结构的是( D )A．地市级CA中心B．地市级RA中心系统C．省CA中心D．省RA中心系统13．美国的橘黄皮书中为计算机平安的不同级别制定了D，Cl，C2，Bl，B2，B3，A标准，其中称为结构化防护的级别是(C )A．B1级B．Cl级C．B2级D．C2级14．以下选项中，属于提高数据完整性的预防性措施的是( D)A．加权平均B．信息认证C．身份认证D．奇偶校验15．一系列爱护IP通信的规则的集合称为( B )A．VPN B．IPSec C．DMZ D．VPN Intranet 16．由系统治理员来分配接入权限和实施操纵的接入操纵方法是( C )A．PKI B．DAC C．MAC D．VPN17．在Kerberos认证中，把对Client向本Kerberos的认证域以外的Server申请效劳称为( C )A．域内认证B．域外认证C．域间认证D．企业认证18．以下关于数字证书的说法中不正确的选项是( A )A．在各种不同用途的数字证书类型中最重要的是私钥证书，它将公开密钥与特定的人联系起来B．公钥证书是由证书机构签署的，其中包含有持证者确实切身份C．数字证书由发证机构〔认证授权中心CA〕发行D．公钥证书是将公钥体制用于大规模电子商务平安的根本要素19．认证机构最核心的组成局部是( C )A．平安效劳器B．CA效劳器C．数据库效劳器D．LDAP效劳器20．PKI中支持的公证效劳是指( C )A．身份认证B．行为认证C．数据认证D．技术认性二、多项选择题〔本大题共5小题，每题2分，共10分〕21．以下属于B-C电子商务模式的网站有( ABCD )A．凡客诚品B．一号店C．京东商城D．当当E．阿里巴巴22．以下选项中，属于数据完整性被破坏后会带来的严峻后果的有( ABCDE) A．造成直接的经济损失B．影响一个供给链上许多厂商的经济活动C．可能造成过不了“关〞D．会牵涉到经济案件中E．造成电子商务经营的混乱与不信托23．接入操纵机构的建立主要依据的信息有( ABC)A．主体B．客体C．接入权限D．伪装者E．违法者24．SET系统的运作是通过软件组件来完成的，这些软件包含( ABCD)A．电子钱包B．商店效劳器C．支付网关D．认证中心E．RA中心25．中国电信CA平安认证系统提供的证书有( ACDE )A．平安电子邮件证书B．网上银行证书C．企业数字证书D．效劳器证书E．SSL 效劳器证书四、名词解释题〔本大题共5小题，每题3分，共15分〕26. 访问操纵性：指在网络上限制和操纵通信链路对主机系统和应用的访问。

简答1，简述保护数据完整性的目的，以有被破坏会带来的严重后果。

答：保护数据完整性的目的就是保证计算机系统上的数据和信息处于一种完整和未受损害的状态。

这意味着数据不会由于有意或无意的事件而被改变和丢失。

数据完整性被破坏会带来严重的后果：（1）造成直接的经济损失，如价格，订单数量等被改变。

（2）影响一个供应链上许多厂商的经济活动。

一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。

（3）可能造成过不了“关”。

有的电子商务是与海关，商检，卫检联系的，错误的数据将使一批贷物挡在“关口”之外。

（4）会牵涉到经济案件中。

与税务，银行，保险等贸易链路相联的电子商务，则会因数据完整性被破坏牵连到漏税，诈骗等经济案件中。

（5）造成电子商务经营的混乱与不信任。

2，简述散列函数应用于数据的完整性。

答：可用多种技术的组合来认证消息的完整性。

为消除因消息被更改而导致的欺诈和滥用行为，可将两个算法同时应用到消息上。

首先用散列算法，由散列函数计算机出散列值后，就将此值——消息摘要附加到这条消息上。

当接收者收到消息及附加的消息摘要后，就用此消息独自再计算出一个消息摘要。

如果接收者所计算出的消息摘要同消息所附的消息摘要一致，接收者就知道此消息没有被篡改。

3，数字签名与消息的真实性认证有什么不同？答：数字签名与消息的真实性认证是不同的。

消息认证是使接收方能验证消息发送者及所发信息内容是否被篡改过。

当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。

但当接收者和发送者之间相互有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此是需借助数字签名技术。

4，数字签名和手书签名有什么不同？答：数字签名和手书签名的区别在于：手书签名是模拟的，因人而异，即使同一个人也有细微差别，比较容易伪造，要区别是否是伪造，往往需要特殊专家。

而数字签名是0和1的数字串，极难伪造，不需专家。

对不同的信息摘要，即使是同一人，其数字签名也是不同的。

全国高等教育自学考试电子商务安全导论标准预测试卷（一）（考试时间150分钟）第一部分选择题一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

1．在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为 ( )A．植入 B．通信监视 C．通信窜扰来源：考试大D．中断2．消息传送给接收者后，要对密文进行解密是所采用的一组规则称作 ( )A．加密 B．密文 C．解密 D．解密算法3．基于有限域上的离散对数问题的双钥密码体制是 ( ) A．ELGamal B．AES C．IDEA D．RSA4．MD-5是_______轮运算，各轮逻辑函数不同。

( )A．2 B．3 C．4 D．55．在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是 ( )A．单独数字签名 B．RSA签名C．ELGamal签名 D．无可争辩签名6．《计算机房场、地、站技术要求》的国家标准代码是 ( )A. GB50174- 93B.GB9361- 88C. GB2887-89D.GB50169 - 927．综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是 ( )A．IPSec B．L2TP C．VPN D．GRE8．VPN按服务类型分类，不包括的类型是 ( )A. Internet VPNB.Access VPNC. Extranet VPND.Intranet VPN9．接入控制机构的建立主要根据_______种类型的信息。

( ) A．二 B．三 C．四 D．五10.在通行字的控制措施中，根通行字要求必须采用_______进制字符。

( )A．2 B．8 C．10 D．1611.以下说法不正确的是 ( )A.在各种不用用途的数字证书类型中最重要的是私钥证书B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份C．数字证书由发证机构发行D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素12.以下说法不正确的是 ( )A. RSA的公钥一私钥对既可用于加密，又可用于签名B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用C．一般公钥体制的加密用密钥的长度要比签名用的密钥长D．并非所有公钥算法都具有RSA的特点13. _______是整个CA证书机构的核心，负责证书的签发。

电子商务安全导论，填空题。

1.出现网上商店等后，就有了B-C模式，即（企业）与（消费者）之间的电子商务。

2.典型的两类自动密钥分配途径有（集中式）分配方案和（分布式）分配方案。

3.一个好的散列函数h=H(M)，其中H 为（散列函数）；M为长度不确定的输入串；h为（散列值），长度是确定。

4.数据库的加密方法有（三）种，其中，与DBMS分离的加密方法是（加密桥技术）。

5.公钥证书系统由一个（证书机构CA）和（一群用户）组成。

6.最早的电子商务模式出现在（企业）、（机构）之间，即B-B。

7.目前有三种基本的备份系统：简单的网络备份系统、（服务器到服务器的备份）和（使用专用的备份的服务器）。

8.身份证明系统的质量指标之一为合法用户遭拒绝的概率，即（拒绝率）或（虚拟率）。

9.基于SET协议电子商务系统的业务过程可分为（注册登记申请数字证书）、（动态认证）和商业机构的处理。

10.CTCA系统由（全国CA中心）、（省RA中心系统）、地市级业务受理点组成。

11.多层次的密钥系统中的密钥分为两大类：（数据）加密密钥DK和（密钥）加密密钥KK。

12.病毒的特征包括非授权可执行性、（隐蔽性）、（传染性）、潜伏性、表现性或破坏性、可触发性。

13.VPN解决方案一般分为VPN（服务器）和VPN（客户端）。

14.身份证明技术，又称（识别）、（实体认证）、身份证实等。

15.密钥备份与恢复只能针对（解密密钥）、（签名私钥）为确保其唯一性而不能够作备份。

16.现在广为人们知晓的（传输控制）协议TCP和（网际）协议IP，常写为TCP/IP。

17.计算机病毒具有正常程序的一切特征：（可存储性）、（可执行性）。

18.VPN利用（隧道）协议在网络之间建立一个（虚拟）通道，以完成数据信息的安全传输。

19.接入控制机构由（用户）的认证与识别、对（认证的用户）进行授权两部分组成。

20.实现身份证明的基本途径有（所知）、（所有）、个人特征。

21.数字签名分为（确定性）数字签名和（随机化式）数字签名。

全国2005年10月高等教育自学考试《电子商务安全导论》试题课程代码：00997一、单项选择题(本大题共20小题，每小题1分，共20分)1.TCP/IP协议安全隐患不包括( )A.拒绝服务B.顺序号预测攻击C.TCP协议劫持入侵D.设备的复杂性2.IDEA密钥的长度为( ) A.56 B.64 C.124 D.1283.在防火墙技术中，内网这一概念通常指的是( )A.受信网络B.非受信网络C.防火墙内的网络D.互联网4.《计算机场、地、站安全要求》的国家标准代码是( )A.GB57104-93B.GB9361-88C.GB50174-88D.GB9361-935.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段?( ) A.三个 B.四个 C.五个 D.六个6.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC7.Internet接入控制不能对付以下哪类入侵者? ( )A.伪装者B.违法者C.内部用户D.地下用户8.CA不能提供以下哪种证书? ( )A.个人数字证书B.SSL服务器证书C.安全电子邮件证书D.SET服务器证书9.我国电子商务走向成熟的重要里程碑是( )A.CFCA B.CTCA C.SHECA D.RCA10.通常为保证商务对象的认证性采用的手段是( )A.信息加密和解密B.信息隐匿C.数字签名和身份认证技术D.数字水印11.关于Diffie-Hellman算法描述正确的是( )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的12.以下哪一项不在证书数据的组成中? ( )A.版本信息 B.有效使用期限C.签名算法 D.版权信息13.计算机病毒的特征之一是( )A.非授权不可执行性B.非授权可执行性C.授权不可执行性D.授权可执行性14.在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几个步骤? ( )A.6B.7C.8D.915.属于PKI的功能是( )A.PAA，PAB，CA B.PAA，PAB，DRA C.PAA，CA，OR A D.PAB，CA，OR A16.MD-4散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( )A.64B.128C.256D.51217.SHA的含义是( ) A.加密密钥 B.数字水印 C.安全散列算法 D.消息摘要18.对身份证明系统的要求之一是( )A.具有可传递性B.具有可重用性C.示证者能够识别验证者D.验证者正确识别示证者的概率极大化19.阻止非法用户进入系统使用( )A.病毒防御技术 B.数据加密技术C.接入控制技术 D.数字签名技术20.以下不是数据库加密方法的是( )A.使用加密软件加密数据 B.使用专门软件加密数据C.信息隐藏 D.用加密桥技术二、多项选择题(本大题共5小题，每小题2分，共10分)21.电子商务系统可能遭受的攻击有( )A.系统穿透 B.植入 C.违反授权原则D.通信监视 E.计算机病毒22.属于公钥加密体制的算法包括( )A.DES B.二重DES C.RSA D.ECC E.ELGamal23.签名可以解决的鉴别问题有( )A.发送者伪造B.发送者否认C.接收方篡改D.第三方冒充E.接收方伪造24.公钥证书的类型有( )A.客户证书 B.服务器证书 C.安全邮件证书 D.密钥证书 E.机密证书25.在SET中规范了商家服务器的核心功能是( )A.联系客户端的电子钱包B.联系支付网关C.处理SET的错误信息D.处理客户的付款信息E.查询客户帐号信息三、填空题(本大题共10空，每空1分，共10分)26.美国的《可信任的计算机安全评估标准》为计算机安全制定了____级标准，其中____级是最安全的。

202x年10月高等教育自学考试全国统一命题考试电子商务平安导论卷子(课程代码00997)本卷子共4页，总分值100分，考试时间150分钟。

考生答题本卷须知：1．本卷全部真题必须在答题卡上作答。

答在卷子上无效，卷子空白处和反面均可作草稿纸。

2．第—局部为选择题。

必须对应卷子上的题号使用2B铅笔将“答题卡〞的相应代码涂黑。

3．第二局部为非选择题。

必须注明大、小题号，使用0.5毫米黑色字迹签字笔作答。

4．合理安排答题空间，超出答题地域无效。

第—局部选择题一、单项选择题：本大题共20小题，每题1分，共20分。

在每题列出的备选项中只有一项为哪一项最符合题目要求的，请将其选出。

1．网上商店的模式为A．B-B B．B-C C．C-C D．B-G2．为了确保数据的完整性，SET协议是通过A．单密钥加密来完成 B．双密钥加密来完成C．密钥分配来完成 D．数字化签名来完成3．下面不属于SET交易成员的是A．持卡人 B．电子钱包 C．支付网关 D．发卡银行4．CFCA认证系统的第二层为A．根CA B．XCA C．运营CA D．审批CA5．托管加密标准EES的托管方案是通过什么芯片来完成的A．DES算法芯片 B．防窜扰芯片C．RSA算法芯片D．VPN算法芯片6．数字信封中采纳的加密算法是A．AES B．DES C．RC．5 D．RSA7．在电子商务中，保证认证性和不可否认性的电子商务平安技术是A．数字签名 B．数字摘要 C．数字指纹 D．数字信封8．在防火墙技术中，非军事化区这一概念通常指的是A．受信网络 B．非受信网络C．内网和外网中的隔离带 D．互联网9．以下不属于Internet的接入操作技术主要应付的入侵者是A．伪装者 B．病毒 C．违法者 D．地下用户10．Kerberos的局限性中，通过采纳基于公钥体制的平安认证方法可以解决的是A．时间同步 B．重放攻击C．口令字猜测攻击 D．密钥的存储11．CA不能提供以下哪种证书A．SET效劳器证书 B．SSL效劳器证书C．平安电子邮件证书 D．个人数字证书12．LDAP效劳器提供A．目录效劳 B．公钥效劳 C．私钥效劳 D．证书效劳13．在PKI的性能要求中，电子商务通信的关键是A．支持多X B．支持多应用 C．互操作性 D．透明性14．依据《建筑与建筑群综合布线系统工程设计标准》(CECS72：97)的要求，计算机机房室温应该保持的温度范围为A．0℃～5℃ B．5℃～10℃C．5℃～l5℃ D．10℃～25℃15．在域内认证中，TGS生成用于Client和Server之间通信的会话密钥Ks发生在A．第1个阶段第2个步骤B．第2个阶段第l个步骤C．第2个阶段第2个步骤D．第3个阶段第l个步骤16．在PKI的性能中，以下哪些效劳是指从技术上保证实体对其行为的认可A．认证 B．数据完整性C．数据保密性 D．不可否认性17．对Internet的攻击的四种类型不包含A．截断信息 B．伪造 C．病毒 D．篡改18．AES支持的密钥长度不可能是A．64 B．128 C．192 D．25619．以下不是计算机病毒主要X的是A．非法拷贝中毒B．引进的计算机系统和软件中带有病毒C．通过Internet传入D．隔离不当20．VPN不能提供的功能是A．加密数据 B．信息认证和身份认证C．提供访问操作 D．滤二、多项选择题：本大题共5小题，每题2分，共10分。

电子商务安全导论标准预测试卷题目一：电子商务与信息安全1.什么是电子商务？2.为什么电子商务需要信息安全保证？3.请列举至少三种电子商务安全威胁。

题目二：常见的电子商务安全措施1.请简要介绍SSL（安全套接层）协议的作用。

2.列举至少三种常见的网络攻击，以及相应的防御措施。

3.什么是多因素身份验证？为什么它在电子商务中很重要？题目三：电子商务安全标准1.请介绍ISO/IEC 27001标准在电子商务安全中的应用。

2.什么是PCI DSS标准？它与电子商务安全有什么关联？3.请列举至少两个常见的电子商务安全标准，并简要介绍它们的内容和应用领域。

题目四：电子支付安全1.请介绍一种常见的电子支付方式，并简要介绍其安全特点。

2.列举至少两种电子支付风险，并提供相应的应对策略。

3.什么是区块链技术？它如何提升电子支付的安全性？题目五：用户隐私保护1.请列举至少三种保护用户隐私的措施。

2.什么是GDPR？它对于电子商务平台有什么影响？3.请简要介绍一种常见的匿名浏览技术，并说明它的作用。

题目六：电子商务安全管理与培训1.请介绍一种常见的电子商务安全管理框架，并阐述其应用步骤。

2.为什么电子商务安全培训对于组织很重要？请提供至少两个理由。

3.请简要介绍一种电子商务安全培训方法，并说明它的优点。

题目七：电子商务安全事件应急响应1.请列举至少三种电子商务安全事件，并提供相应的应急响应策略。

2.什么是SOC（安全运营中心）？它在电子商务安全响应中的作用是什么？3.请简要介绍一种常见的电子商务安全事件监测工具，说明它的功能和优势。

以上为电子商务安全导论标准预测试卷的内容，请按照题目要求进行回答。

注意，每个问题的回答不得少于100字。

电子商务安全导论（自考全）电子商务安全导论名词解释：1.混合加密系统：是指综合利用消息加密。

数字信封、散列函数和数字签名实现安全性、完整性、可鉴别性和不可否认性。

它成为目前信息安全传送的标准模式，被广泛采用。

4.通行字（Password，也称口令、护字符）：是一种根据已知事务验证身份的方法，也是一种研究和使用最广的身份验证法。

6.C1级：有时也叫做酌情安全保护级，它要求系统硬件中有一定的安全保护，用户在使用前必须在系统中注册。

14.RSA密码算法：是第一个既能用于数据加密也能用于数字签名的算法。

RSA密码体质是基于群Z n中大整数因子分解的困难性。

15.接入限制：表示主体对客体访问时可拥有的权利，接入权要按每一对主体客体分别限定，权利包括读、写、执行等，读写含义明确，而执行权指目标位一个程序时它对文件的查找和执行。

21.加密桥技术：是一个数据库加密应用设计平台，根据应用系统开发环境不同，提供不同接口，实现对不同环境下（不同主机、不同操作系统、不同数据库管理系统、不同国家语言）数据库数据加密以后的数据操作。

22.公钥数字证书：是网络上的证明文件：证明双钥体质中的公钥所有者就是证书上所记录的使用者。

28.数字签名：（也称数字签字、电子签名）在信息安全方面有重要的应用，是实现认证的重要工具，在电子商务系统中是比不可少的。

29.PKI：即“公钥基础设施”，是一种遵循既定标准的利用公钥密码技术为电子商务的开展提供一套安全基础平台的技术和规范，它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系。

31.个人数字证书：是指个人使用电子商务应用系统应具备的证书。

44.双连签名：是指在一次电子商务活动过程中可能同时有两个有联系的消息M1和 M2，要对它们同时进行数字签名。

46.中国金融认证中心（CFCA）:是中国人民银行牵头，联合14家全国性商业银行共同建立的国家级权威金融认证机构，是国内唯一一家能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构。

第二章一、单项选择题1.IDEA密钥的长度为( D )A.56B.64C.124D.1282.关于Diffie-Hellman算法描述正确的是( B )A.它是一个安全的接入控制协议B.它是一个安全的密钥分配协议C.中间人看不到任何交换的信息D.它是由第三方来保证安全的3．DES加密算法所采用的密钥的有效长度为( C )A．32 B．56 C．64 D．1284．以下哪一项是密钥托管技术?( A )A．EES B．SKIPJACK C．Diffie-Hellman D．RSA5.电子商务的安全需求不包括( B )A.可靠性B.稳定性C.真实性D.完整性6.双钥密码体制算法中既能用于数据加密，也能用于数字签名的算法是( C )A.AESB.DESC.RSAD.RC-56.托管加密标准EES的托管方案是通过什么芯片来实现的?( B )A.DES算法芯片B.防窜扰芯片C.RSA算法芯片D.VPN算法芯片7.早期提出的密钥交换体制是用模一个素数的指数运算来进行直接密钥交换，这种体制通常称为( D )A.Kerberos协议B.LEAF协议C.Skipjack协议D.Diffie-Hellman协议8.在大量的密钥分配协议中，最早提出的公开的密钥交换协议是（ A ）A.Diffie—Hellman协议B.Blom密钥分配协议C.基于对称密码体制的密钥分配协议D.基于身份的密钥分配协议9．IDEA的输入和输出都是64位，密钥长度为（ C ）A．32位B．64位 C．128位D．256位10．DES的加密算法是每次取明文中的连续（ B ）A．32位B．64位 C．128位 D．256位11.EES采用的新加密算法是( B )A.RSAB.SkipjackC.DESD.Diffie—Hellman12.IDEA加密算法首先将明文分为( D )A.16位数据块B.32位数据块C.64位数据块D.128位数据块13．使用DES加密算法，需要对明文进行的循环加密运算次数是（ C ）A．4次B．8次 C．16次D．32次14．在密钥管理系统中最核心、最重要的部分是（ D ）A．工作密钥 B．数据加密密钥 C．密钥加密密钥D．主密钥15．数字证书采用公钥体制，即利用一对互相匹配的密钥进行（ B ）A．加密 B．加密、解密 C．解密D．安全认证16.现在常用的密钥托管算法是( B )A.DES算法B.EES算法C.RAS算法D.SHA算法17.下列选项中属于双密钥体制算法特点的是( C )A.算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高18.美国政府在1993年公布的EES技术所属的密钥管理技术是( D )A.密钥设置B.密钥的分配C.密钥的分存D.密钥的托管19.电子商务的安全需求中，保证电子商务系统数据传输、数据存储的正确性的根基是（ A ）A.可靠性B.完整性C.真实性D.有效性20.最早提出的公开的密钥交换协议是（ B ）A.BlomB.Diffie-HellmanC.ELGamalD.Shipjack21．下列属于单钥密码体制算法的是（ A ）A．RC—5加密算法 B．RSA密码算法 C．ELGamal密码体制D．椭圆曲线密码体制22．第一个既能用于数据加密，又能用于数字签名的加密算法是（D ）A．DES加密 B．IDEA加密 C．RC—5加密D．RSA加密23．密钥管理的目的是维持系统中各实体的密钥关系，下列选项中不属于．．．密钥管理抗击的可能威胁的是（A ）A．密钥的遗失 B．密钥的泄露 C．密钥未经授权使用D．密钥的确证性的丧失二、多项选择题1.属于公钥加密体制的算法包括( CDE )A.DESB.二重DESC.RSAD.ECCE.ELGamal2．单钥密码体制的算法包括( AB )A．DES加密算法 B．二重DES加密算法 C．ECC加密算法 D．RSA加密算法 E．SHA 加密算法3.密钥管理在密码学中有着重大的作用，在密钥管理中最棘手的问题可能是( CD )A.密钥的设置B.密钥的产生C.密钥的分配D.密钥的存储E.密钥的装入4.双钥密码体制算法的特点包括（ ACDE ）A.算法速度慢B.算法速度快C.适合加密小数量的信息D.适合密钥的分配E.适合密钥的管理5．将自然语言格式转换成密文的基本加密方法有（ AB ）A．替换加密 B．转换加密 C．DES加密D．RSA加密 E．IDEA加密6．使用两个密钥的算法是（ ABC ）A．双密钥加密B．单密钥加密 C．双重DES D．三重DES E．双重RSA7.下列属于单密钥体制算法的有( ACE )A.DESB.RSAC.AESD.SHAE.IDEA8.在下列加密算法中，属于使用两个密钥进行加密的单钥密码体制的是（ AB ）A.双重DESB.三重DESC.RSAD.IDEAE.RC-59．一种加密体制采用不同的加密密钥和解密密钥，这种加密体制可能是（ABCDE ）A．单密钥加密 B．双密钥加密 C．双重DES加密 D．三重DES加密 E．RSA 加密三、填空题1.采用密码技术保护的现代信息系统，其安全性取决于对_密钥_的保护，而不是对_算法_和硬件本身的保护。

全国自考（电子商务安全导论）模拟试卷7(题后含答案及解析)题型有：1. 单项选择题 2. 多项选择题 3. 填空题 4. 名词解释 5. 简答题6. 论述题单项选择题1．以下厂商为电子商务提供信息产品硬件的是A．AOLB．YAHOOC．IBMD．MICROSOFT正确答案：C2．把明文变成密文的过程，叫作A．加密B．密文C．解密D．加密算法正确答案：A3．以下加密法中属于双钥密码体制的是A．DESB．AESC．IDEAD．ECC正确答案：D4．MD-4散列算法，输入消息可为任意长，按（）比特分组。

A．512B．64C．32D．128正确答案：A5．SHA算法中，输入的消息长度小于264比特，输出压缩值为（）比特。

A．120B．140C．160D．264正确答案：C6．计算机病毒最重要的特征是A．隐蔽性B．传染性C．潜伏性D．表现性正确答案：B7．主要用于防火墙的VPN系统，与互联网密钥交换IKE有关的框架协议是A．IPSecB．L2FC．PPTPD．GRE正确答案：A8．AccessVPN又称为A．VPDNB．XDSLC．ISDND．SVPN正确答案：A9．以下不是接入控制的功能的是A．阻止非法用户进入系统B．组织非合法人浏览信息C．允许合法用户人进入系统D．使合法人按其权限进行各种信息活动正确答案：B10．在通行字的控制措施中，限制通行字至少为（）字节以上。

A．3～6B．6～8C．3～8D．4～6正确答案：B11．用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指A．接入控制B．数字认证C．数字签名D．防火墙正确答案：B12．关于密钥的安全保护，下列说法不正确的是A．私钥送给CAB．公钥送给CAC．密钥加密后存入计算机的文件中D．定期更换密钥正确答案：A13．（）在CA体系中提供目录浏览服务。

A．安全服务器B．CA服务器C．注册机构RAD．LDAP服务器正确答案：D14．Internet上很多软件的签名认证都来自（）公司。

命运如同手中的掌纹，无论多曲折，终掌握在自己手中==============================================================全国2006年10月高等教育自学考试电子商务安全导论试题课程代码：00997一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。

错选、多选或未选均无分。

1.计算机病毒最重要的特征是( )A.隐蔽性B.传染性C.潜伏性D.破坏性2.在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于( )A.包过滤型B.包检验型C.应用层网关型D.代理服务型3.在接入控制的实现方式中，MAC 的含义是( )A.自主式接入控制B.授权式接入控制C.选择式接入控制D.强制式接入控制4.电子商务的安全需求不包括．．．( )A.可靠性B.稳定性C.真实性D.完整性5.Kerberos 的局限性从攻击的角度来看，大致有几个方面的问题?( )A.4B.5C.6D.76.通行字的最小长度至少为( )A.4～8字节以上B.6～8字节以上C.4～12字节以上D.6～12字节以上7.不属于．．．公钥证书的类型有( )A.密钥证书B.客户证书C.安全邮件证书D.CA 证书8.PKI 作为安全基础设施，能为不同的用户提供不同安全需要下的多种安全服务，这些服务主要有( )A.4种B.5种C.6种D.7种9.由于协议标准得到了IBM 、Microsoft 等大公司的支持，已成为事实上的工作标准的安全命运如同手中的掌纹，无论多曲折，终掌握在自己手中==============================================================议是( )A.SSLB.SETC.HTTPSD.TLS10.CFCA 认证系统采用国际领先的PKI 技术，总体为( )A.一层CA 结构B.二层CA 结构C.三层CA 结构D.四层CA 结构11.CTCA 目前提供的安全电子证书，其密钥的长度为( )A.64位B.128位C.256位D.512位12.SET 协议中用来鉴别信息的完整性的是( )A.RSA 算法B.数字签名C.散列函数算法D.DES 算法13.PKI 是公钥的一种管理机制，在宏观上呈现为域结构，在PKI 的构成模型中，制定整个体系结构的安全政策的是( )A.PMAB.PAAC.CAD.OPA14.SET 软件组件中安装在客户端的电子钱包一般是一个( )A.独立运行的程序B.浏览器的一个插件C.客户端程序D.单独的浏览器15.在不可否认业务中，用来保护收信人的业务是( )A.源的不可否认性B.递送的不可否认性C.提交的不可否认性D.专递的不可否认性16.一个典型的CA 系统一般由几个部分组成?( )A.3B.4C.5D.617.以下不是．．接入控制的功能的是( ) A.阻止非法用户进入系统 B.允许合法用户进入系统C.使合法人按其权限进行各种信息活动D.阻止非合法人浏览信息18.以下的电子商务模式中最先出现的是( )A.B —BB.B —CC.C —CD.B —G19.目前信息安全传送的标准模式是( )A.数字签名B.消息加密C.混合加密D.数字信封20.《计算机房场、地、站技术要求》的国家标准代码是( )A.GB9361—88B.GB50174—93C.GB2887—89D.GB50169—92二、多项选择题(本大题共5小题，每小题2分，共10分)在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填写在题后的括号内。