电子商务安全技术试卷及答案

电子商务安全技术试卷A
考试时间：120 分钟考试方式：开卷
一、单项选择题（每小题1.5分，共计30分；请将答案填在下面
1.电子商务的安全需求不包括( B )
A.可靠性
B.稳定性
C.匿名性
D.完整性
2.以下哪个不是常用的对称加密算法( D )
A.DES
B.AES
C.3DES
D.RSA
3.访问控制的要素有几种( D )
A.2
B.3
C.4
D.5
4. 下面关于病毒的叙述正确的是（ D ）。

A．病毒可以是一个程序 B．病毒可以是一段可执行代码
C．病毒能够自我复制 D． ABC都正确
5. 根据物理特性，防火墙可分为（ A ）。

A. 软件防火墙和硬件防火墙
B.包过滤型防火墙和双宿网关
C. 百兆防火墙和千兆防火墙
D.主机防火墙和网络防火墙
6.目前公认的保障网络社会安全的最佳体系是( A )
A.PKI
B.SET
C.SSL
D.ECC
7.防火墙软件不能对付哪类破坏者? ( C )
A.未经授权的访问者
B.违法者
C.内部用户
D.地下用户
8.数据的备份类型不包括? ( B )
A.完全备份
B.部分备份
C.增量备份
D.差别备份
9.针对木马病毒的防范，以下正确的是( A )
A.设置复杂密码，最好包含特殊符号
B.随意打开不明邮件的附件
C.浏览不健康网站
D.网上下载的软件未经扫描就使用
10.以下那个不是杀毒软件的正确使用方法( A )
A.中毒之后再下载杀毒软件来安装
B.设置开机自动运行杀毒软件
C.定期对病毒库进行升级
D.经常针对电脑进行全盘扫描
11.关于密码学的术语描述错误的是( B )
A.最初要发送的原始信息叫做明文
B.算法是在加密过程中使用的可变参数
C.密文是被加密信息转换后得到的信息
D.解密是将密文转换为明文的过程
12.以下说法错误的是? ( D )
A.电子商务中要求用户的定单一经发出，具有不可否认性
B.电子商务中的交易信息要防止在传输工程中的丢失和重复
C.电子商务系统应保证交易过程中不泄漏用户的个人信息
D.电子商务系统应该完全杜绝系统延迟和拒绝服务的情况发生。

13.使用计算机应遵循的完全原则不包括如下哪一个（ D ）
A.密码安全原则
B.定期升级系统
C.禁止文件共享
D.允许远程访问
14.HTTPS是使用以下哪种协议的HTTP?（ C ）
A.SSH
B.SET
C.SSL
D.TCP
15.下列哪一项不属于电子商务使用的主要安全技术( C )
A.加密
B.电子证书
C.实名认证
D.双重签名
16.典型的DES以( A )位为分组对数据进行加密？
A.64
B.128
C.256
D.512
17.VPN的含义是( B )
A.局域网
B.虚拟专用网络
C.广域网
D.城域网
18.移动电子商务对系统的安全需求不包括( C )
A.身份认证
B.接入控制
C.数据可靠性
D.不可否认性
19.以下那种情况可以放心的使用在线电子支付系统( D )
A.在单位的公用电脑
B.在网吧
C.在肯德基使用免费WIFI
D.在家庭的网络中
20.以下哪种操作可以有效防护智能手机操作系统安全( B )
A.下载安装腾讯QQ
B.使用专门软件实时监控手机运行状态
C.给手机设置密码，密码是自己的生日
D.经常打开微信，链接各种网站。

二、判断题（每题2分，共计20分）
1．计算机病毒就是一组程序，隐藏在电脑操作系统或者存储介质里面。

（ ）
2．http又称为超文本传输协议，主要用于网络较大文件传输。

（
）
3．一个防火墙通常由屏蔽路由器和代理服务器组成。

（ ）
4．目前市场上针对苹果手机操作系统，已经有了很成熟的安全防护软件。

（ ）5．计算机病毒按破坏性分为良性病毒和恶性病毒。

（ ）6．防火墙软件可以有效拦截大部分未经授权的访问。

（ ）7．登陆支付宝时提示身份认证失败有可能是支付宝账号被盗。

（ ）8．一个密码体制有明文、密文与加密运算这3个基本要素构成。

（ ）9．所谓PKI就是一个以公钥技术为基础的，提供和实施安全服务的具有普适性的安全基础设施。

（ ）10．如果发现计算机有明显的运行速度下降的情况，这一定是电脑中毒了。

（ ）
三、简答题（每题6分，共计30分）
1.简述电子商务安全的概念。

电子商务安全就是保护在电子商务系统里的企业或个人资产不受未经授权的访问、使用、篡改或破坏。

2.通常应用防火墙的目的有哪几个方面？
（1）限制他人进入内部网络；
（2）过滤掉不安全的服务和非法用户；
（3）防止入侵者接近用户的防御设施；
（4）限定人们访问特殊站点；
（5）为监视局域网安全提供方便。

3.一个标准的安全口令应该有哪些特点？
（1）增加口令的长度，一般情况口令的位数应大于6位；
（2）最好包含有非字母字符，包括数字和特殊字符如~！@#￥%^&*（）等符号；
（3）大小写字母混合，可以把数字无序的加在字母中；
（4）必须容易记住而不必写下来。

（5）不同的系统使用不同的密码，避免千篇一律，这样一旦某个密码泄漏了，还可以保护其他的密码不受损失。

4.简述信息加密技术的概念。

信息加密技术就是采用数学方法对原始信息进行再组织，是的加密后在网络上公开传输的内容对于非法接收者来说成为无意义的文字，而对于合法的接收者，因其掌握争取的密钥，可以通过解密得到原始数据。

5.电子商务认证中心的功能有哪些？
（1）批准证书的请求
（2）生成密钥对
（3）密钥的备份
（4）撤销证书
（5）发布CRL
（6）生成CA根证书
（7）签发证书
（8）证书发放
（9）交叉认证。

四、案例分析题（每题20分，共计20分）
1．借刀杀人，破坏某电子公司的数据库(2001年2月12日)
1999年11月该网站运行于Windows NT 4.0上,web server为IIS4.0,补丁号为Service Pack5。

该网站管理员在11月的某一天发现其web网站上的用户资料和电子配件数据库被入侵者完全删除!严重之处更在于该数据库没有备份，网站运行半年来积累的用户和资料全部丢失。

系统管理员反复检查原因，通过web日志发现破坏者的调用web程序记录，确定了当时用户的IP是202.103.xxx.xxx(出于众所周知的原因这里隐藏了后两位)，而这个IP来自于某地一个ISP的一台代理服务器。

这个202.103.xxx.xx的服务器安装了Wingate的代理软件。

破坏者浏览电子公司的网站是用该代理访问的。

这件事情给电子公司带来的损失是很严重的，丢失了半年的工作成果。

入侵者同时给202.103.xxx.xxx带来了麻烦，电子公司报了案，协查通报到了202.103.xxx.xxx这个ISP所在地的公安局。

该代理服务器的系统管理员是本站一位技术人员F的朋友。

F通过对受害者的服务器进行安全检查发现了原因。

首先，其端口1433为开放，SQL数据库服务器允许远程管理访问；其次，其IIS服务器存在ASP 的bug，允许任何用户查看ASP源代码，数据库管理员帐号sa和密码以明文的形式存在于ASP文件中。

有了这两个条件，破坏者可以很容易地连上SQL数据库，以最高身份对数据库执行任意操作。

针对这个案例，谈谈你的看法及建议。

电子商务交易安全的一些典型技术和协议都是对有关电子商务交易安全的外部防范，但是要想使一个商用网络真正做到安全，不仅要看它所采用的防范措施，而且还要看它的管理措施。

只有将这两者综合起来考察，才能最终得出该网络是否安全的结论。

因此，只有每个电子商务系统的领导、网络管理员和用户都能提高安全意识，健全并严格有关网络安全措施，才能在现有的技术条件下，将电子商务安全风险降至最低.。