电子商务安全期末试卷及答案2套

期末《电子商务安全》试卷A
一、填空题（每空1分，共计20分）
1.电子商务面临的安全威胁主要可以分为、、
和。

2.加密技术可以分为和两种基本加密体制。

3.利用可以使得签名者无法获悉其所要签发文件的具体内容。

4.从总体看防火墙可以分为、、
和四种类型。

5.入侵检测实现一般分为、和三个步骤。

6. 就是根据资源的价值来确定保护它们的适当安全级别。

7.CA发放的证书分为和两类证书。

8.WTLS具备、、和拒绝服务保护四大特性。

二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选、错选和少选均不得分。

每小题2分，共20分）
1.攻击电子商务系统的手段包括（）。

A.中断
B.窃听
C.篡改
D.伪造
2.数字时间戳包括（）。

A.需要加盖时间戳的文件摘要
B.DTS的数字签名
C.时间戳水印
D.DTS收到文件的日期和时间
3.消息的序号和时间性的认证目的是（）。

A.确保信息的完整性
B.确认信息发送的宿主
C.确认信息发送的源头
D.阻止消息的重放攻击
4.计算机病毒按存在的介质分类可以分为（）。

A.比特流病毒
B.文件病毒
C.网络病毒
D.引导型病毒
5.VPN实现的关键技术包括（）。

A.隧道技术
B.加密技术
C.QoS技术
D.数据包分发技术
6.信息系统风险一般可以划分为（）。

A.突发风险
B.常规风险
C.计算机系统风险
D.环境问题7.（）是PKI的重要组成部分。

A.OCSP
B.KEA
C.CA
D.DPV
8.计算机病毒可以通过（）进行传播。

A.移动存储设备
B.网络平台
C.软件下载
D.更换电源
9.电子政务的信息安全机制包括（）。

A.封闭机制
B.支撑机制
C.防护机制
D.监测和恢复机制
10.风险处理计划是（）过程中产生的重要文件。

A.风险应对
B.风险识别
C.风险预防
D.风险评估
三、名词解释（每小题4分，共20分）
1.密码体制
2.消息摘要
3.防火墙
4.入侵检测
5.数字证书
四、简答题（每小题7分，共28分）
1.利用哈希函数进行数字签名和验证的文件传输过程包括哪些步骤？
2.电子商务交易安全具备哪些需求？
3.电子商务安全管理主要包括哪些环节？
4.手机病毒具有哪些特点？
五、案例分析题（每题12分，共12分）
中国煤焦数字交易市场
中国煤焦数字交易市场（网址：）是国家863计划，科技部“九五”重大攻关项目，国家“流通领域信息化”示范工程，是一个面向市场、服务全国、连接世界的大型电子商务应用典范。

通过发挥山西省煤焦产销量大的绝对优势，整合卖方和政府资源同时联合银行和运输企业建立网上集政府监管、信息服务、交易功能、物流结算为一体的综合性中国煤焦数字交易平台，创造了“煤炭+鼠标”的电子商务模式。

煤炭作为一种半市场化的大宗重要能源产品订货合同比一般物品购销合同要复杂很多，一份合同除买卖双方签章认可外，还需要煤炭运销总公司、煤炭销售办公室等多级煤炭管理部门和铁路、公路等运输部门进行签章确认才能成为一份有效的、可执行的合同。

这样一份合同往往需要盖五、六个公章。

在电子合同的签订中，每个环节都需要对合同进行数字签章，并通过判断上一个角色的数字签章是否成功来实现合同的流转，完成最后一个签章才能生成一份有效的电子合同。

2002年2月通过应用SXCA数字安全证书作为身份确认和数据安全保证，中国煤焦数字交易市场成功召开了2002年度山西省煤炭网上订货会，会议期间60余家煤炭供销企业通过数字证书签订电子煤炭供销合同。

所有煤炭运销管理部门和铁路部门采用数字证书登录相应的虚拟办公区对电子合同进行了审核签章。

请结合案例回答下列问题：
（1）中国煤焦数字交易市场采用数字签名签署电子合同，什么是数字签名，它有什么作用？（7分）
（2）简述数字签名的原理。

（5分）
期末《电子商务安全》试卷B
一、填空题（每空1分，共计20分）
1.电子商务安全具有、、
和四大特性。

2.信息隐藏中最重要的两个分支包括和。

3. 能够提供对电子文件的日期和时间信息的安全保护，是由专门的机构提供的。

4.电子商务交易中，消费者主要面临、、
和四大安全威胁。

5.IDS一般采用和两项技术来发现入侵行为。

6.按照计算机病毒的传染方式可以将其分为和。

7.信息资产识别包括、和三个方面。

8.电子政务的信息安全机制包括、和检测和恢复机制。

二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选、错选和少选均不得分。

每小题2分，共20分）
1.电子商务安全从整体上可以分为（）。

A.计算机网络安全
B.会话安全
C.现金安全
D.商务交易安全
2.按照密钥方式可以将密码划分为（）。

A.位移式密码
B.对称式密码
C.分组密码
D.非对称式密码
3.目前的数字签名主要有（）模式。

A.智能卡式
B.密码式
C.生物测定式
D.口令/密码式
4.SSL握手协议包含（）阶段。

A.建立秘密通信信道
B.客户认证
C.发出告警信号
D.对密文进行更改
5.入侵检测系统按其输入的数据来源可以分为（）。

A.基于主机的入侵检测系统
B.基于客户机的入侵检测系统
C.基于网络的入侵检测系统
D.分布式入侵检测系统
6.以下关于计算机病毒描述不正确的是（）。

A.具有传染性
B.可对计算机造成破坏
C.是天然存在的
D.不易被用户察觉7.备份中心的类型可以分为（）。

A.热备份
B.冷备份
C.离站备份
D.合作备份
8.认证中心由（）组成。

A.注册服务器
B.认证中心服务器
C.数字证书
D.证书申请受理和审核机构
9.蓝牙技术采用（）纠错方案。

A.1/3比例前向纠错码
B.全比例前向纠错码
C.2/3比例前向纠错码
D.ARQ方案
10.电子政务支撑系统安全模型包括（）。

A.身份域
B.工作域
C.应急响应域
D.备份域
三、名词解释（每小题4分，共20分）
1.加密方法
2.VPN
3.计算机病毒
4.信息资产风险评估
5.数字证书
四、简答题（每小题7分，共28分）
1.在电子商务中有哪几种常见的认证技术？
2.入侵检测系统包括哪些功能？
3.什么是灾难恢复？灾难恢复的目的是什么？
4.手机病毒具有哪些特点？
五、案例分析题（每题12分，共12分）
广东移动电子采购平台
从2010年5月开始, 广东移动电子采购平台先后在省公司和广州、中山、肇庆等全省各分公司进行全面采购业务试运行。

在深入了解用户对电子采购平台的实际需求的基础上，2010年11月开始，广东移动电子采购平台升级到二期系统，该系统运行更加稳定，现已在广东移动省公司和各分公司进行全面业务运行。

平台的稳定运行，保证了使用者可以顺利的完成工作，平台的权限设置，更好的体现了广东移动“公正、公开、公平”的选型采购原则。

由于系统涉及了大量的公司机密资料，因此广东移动电子采购平台选择了PKI/CA 体系作为系统的安全基础，使用了广东省电子商务认证中心提供的安全服务和系列产品保障整体安全，达到如下目标：
（1）身份确认：通过数字证书标识使用用户的身份；（2）数据加密：对于传输过程中的机密数据和存储中的机密数据进行加密；
（3）完整性：对标书等资料加盖电子签名信息，保障其完整性，没被篡改；
（4）不可否认性：通过PKI/CA体系的保证达到不可否认性
目前主要采用的安全应用产品有：
（1）客户端证书：确认用户身份，保证用户安全登录到广东移动电子采
购平台；
（2）服务器证书：建立SSL加密传输，保证数据传输安全；
（3）安全站点：确认站点身份，防止站点被假冒。

案例问题：
（1）广东省电子商务认证中心提供的安全服务中的身份确认、数据加密、完整性、不可否认性分别可以采用哪些技术来保证？（4分）
（2）有人说安全是“三分技术、七分管理”，请谈谈你的看法。

（8分）
期末《电子商务安全》试卷A答案
一、填空题（每空1分，共计20分）
1.信息截获和窃取信息篡改信息假冒交易抵赖
2.对称密钥系统公开密钥系统
3.盲签名
4.数据包过滤型防火墙应用层网关型防火墙代理服务器型防火墙复合型防火墙
5.信息收集数据分析响应
6.风险评估
7.SSL证书 SET证书
8.数据完整性保密性真实性
二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选或少选均不得分。

每小题2分，共20分）
1.ABCD
2.ABD
3.D
4.BCD
5.ABC
6.CD
7.BC
8.ABC
9.BCD 10.D
三、名词解释（每小题4分，共20分）
1.密码体制：指密钥空间与相应的加密运算结构，同时还包括了明文和密文的结构特征。

2.消息摘要是一个唯一的对应一消息的值，它是由单向哈希加密算法对一个消息作用而生成的、有固定的长度。

3.防火墙是设置在被保护网络和外部网络之间的一道屏障，以检测和屏蔽不可预测的、潜在波坏性的侵入。

4.入侵检测是通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

5.数字证书是由权威公正的第三方机构签发的标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。

四、简答题（每小题7分，共28分）
1.利用哈希函数进行数字签名和验证的文件传输过程包括如下步骤：
（1）发送方首先用哈希函数从原文得到摘要值；
（2）发送方采用自己的私有密钥对摘要进行加密，并把加密后的摘要附加在原文后面一起发送给接收方；
（3）接收方用发送方的公开密钥对数字摘要进行解密，得到数字摘要的明文；
（4）接收方用得到的原文和哈希函数重新计算数字签名，并与解密后的数字摘要进行对比，判别文件是否在传输过程中被破坏。

2.真实性：能对信息、实体的真实性进行鉴别；
机密性：保证信息不被泄露给非授权的人或者实体；
完整性：保证数据的一致性，防止数据被非授权建立、修改和破坏；
可用性：保证合法用户对信息和资源的使用不会被不正当的拒绝；
不可抵赖性：建立有效额责任机制，防止实体否认其行为；
可控性：能控制使用资源的人或者实体的使用方式。

3.包括如下环节：
企业根据具体情况制定其安全目标，组织专业人员对其电子商务系统进行信息资产分析识别；
根据资产分析的结果进行风险评估，即评定这些资产会遭受哪些安全威胁与攻击，并将这些安全风险量化；
依据风险评估结果和安全目标制定相应的安全策略；
实施安全措施；
对电子商务系统进行审计和监控。

4.手机病毒的特点：
手机病毒也是由计算机程序编写而成的；
手机病毒也可以通过短信、彩信、上网浏览、下载软件等形式实现网络到手机之间的传播，具备传播功能；
同计算机病毒一样可能带来危害的后果，包括“软”危害和“硬”危害；
攻击手段与同计算机病毒类似，主要通过垃圾短信、系统漏洞和技术手段进行攻击。

五、案例分析题（每题12分，共12分）
所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。

这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。

简述数字签名的作用：1) 接收方通过文件中的签名能确认发送者的身份；2) 发送方以后不能否认发送过的签名文件；3）接收方不可能伪造文件的内容；
数字签名采用了双重加密的方法来实现防伪、防赖。

其原理为：
1、被发送文件用SHA编码加密产生128bit的数字摘要。

2、发送方用自己的私用密钥对摘要再加密，这就形成了数字签名
3、将原文和加密的摘要同时传给对方
期末《电子商务安全》试卷B答案
一、填空题（每空1分，共计20分）
1.系统性相对性有代价性动态性
2.数字水印隐写术
3.数字时间戳
4.虚假订单付款后不能收到货物机密性丧失拒绝服务
5.异常发现模式发现
6.驻留型非驻留型
7.资产定义资产分类资产赋值
8.支撑机制防护机制
二、不定项选择题（下列选项中有1个或者多个是正确的，请选择正确的选项填入括号中，多选或少选均不得分。

每小题2分，共20分）
1.AD
2.BD
3.ABC
4.AB
5.ACD
6.C
7.ABCD
8.ABD
9.ACD 10.BCD
三、名词解释（每小题4分，共20分）
1.加密方法是指用一定的数学计算操作来改变原始信息，用某种方法伪装消息并隐藏它的内容的方法。

2.VPN即是虚拟专用网，是在公共网络中建立的一个专用网络，数据通过建立好的虚拟安全通道在公共网络中传输。

3.计算机病毒是指人为编制或者在计算机程序中插入的破坏计算机功能或者破坏数据，影响计算机使用并且能够自我复制的一组计算机指令或者程序代码。

4.信息资产风险评估是根据信息资源的价值来确定保护它们的适当安全级别。

5. 数字证书是由权威公正的第三方机构签发的标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。

四、简答题（每小题7分，共28分）
1.采用以下认证技术：
采用消息摘要方法认证消息的完整性；
采用数字信封技术保证数据的传输安全；
采用数字签名技术认证发送者身份并保证数据的完整性，实现交易的不可抵赖性；
采用口令字技术或者公开密钥技术进行身份认证；
采用持证进行身份认证；
采用生物识别进行身份认证。

2.包括如下功能：
监视、分析用户及系统活动；
审计系统构造和弱点；
识别、反映已知进攻的活动模式，向相关人士报警；
统计分析异常行为模式；
评估重要系统和数据文件的完整性；
审计、跟踪管理操作系统，识别用户违反安全策略的行为。

3.灾难恢复是指将信息系统从灾难造成的故障或瘫痪状态恢复到可以正常运行状态，并将其支持的业务功能从灾难造成的不正常状态恢复到可接受状态而设计的活动和流程。

灾难恢复的目的是减轻灾难对单位和社会带来的不良影响，保证信息系统所支持的业务在灾难发生后能及时恢复和继续运作。

4. 手机病毒的特点：
手机病毒也是由计算机程序编写而成的；
手机病毒也可以通过短信、彩信、上网浏览、下载软件等形式实现网络到手机之间的传播，具备传播功能；
同计算机病毒一样可能带来危害的后果，包括“软”危害和“硬”危害；
攻击手段与同计算机病毒类似，主要通过垃圾短信、系统漏洞和技术手段进行攻击。

五、案例分析题（每题12分，共12分）
（1）电子商务中常采用的安全技术有：数字摘要、数字签名、数字时间戳、数字证书、认证中心以及信息加密等，可以利用数字证书保证身份确认，数字签名保证数据的完整性和不可否认性，采用加密技术对数据加密等。

（2）保障信息安全无疑要靠一定的安全技术手段，但是也应该看到许多的安全漏洞是由于疏于管理造成的。

在使用先进的安全技术的条件下，组织还要是建立完善的企业安全制度，包括安全策略的制定、全员参与安全培训、安全组织的建设、建立并执行严格的安全制度和文档等，并且对各种安全设备的综合统一管理，提升安全管理效率。