电子商务第七章

第7章电子商务技术基础练习题与答案一、单项选择题1. PKI管理对象不包括（A ）。

A. ID和口令B. 证书C. 密钥D. 证书撤消2. 下面不属于PKI组成部分的是（D ）。

A. 证书主体B. 使用证书的应用和系统C. 证书权威机构D. AS3. 在ISO/OSI定义的安全体系结构中，没有规定（E ）。

A. 对象认证服务B.数据保密性安全服务C. 访问控制安全服务D. 数据完整性安全服务E. 数据可用性安全服务4. PKI的主要组成不包括（B ）。

A. 证书授权CAB. SSLC. 注册授权RAD. 证书存储库CR5. 下列选项中能够用在网络层的协议是（D ）。

A. SSLB. PGPC. PPTPD. IPSec6. SSL产生会话密钥的方式是（C ）。

A. 从密钥管理数据库中请求获得B. 每一台客户机分配一个密钥的方式C. 随机由客户机产生并加密后通知服务器D. 由服务器产生并分配给客户机7. CA属于ISO安全体系结构中定义的（D ）。

A. 认证交换机制B. 通信业务填充机制C. 路由控制机制D. 公证机制8. PKI支持的服务不包括（D ）。

A. 非对称密钥技术及证书管理B. 目录服务C. 对称密钥的产生和分发D. 访问控制服务9. 用于实现身份鉴别的安全机制是（A ）。

A. 加密机制和数字签名机制B. 加密机制和访问控制机制C. 数字签名机制和路由控制机制D. 访问控制机制和路由控制机制10．身份鉴别是安全服务中的重要一环，以下关于身份鉴别叙述不正确的是（ B ）。

A. 身份鉴别是授权控制的基础B. 身份鉴别一般不用提供双向的认证C. 目前一般采用基于对称密钥加密或公开密钥加密的方法D. 数字签名机制是实现身份鉴别的重要机制11．传输层保护的网络采用的主要技术是建立在（）基础上的（）。

（ A ）A. 可靠的传输服务，安全套接字层SSL协议B. 不可靠的传输服务，S-HTTP协议C. 可靠的传输服务，S-HTTP协议D. 不可靠的传输服务，安全套接字层SSL协议12．目前，电子支付存在的最关键的问题是（B ）A.技术问题B.安全问题C.成本问题D.观念问题13．SSL协议层包括两个协议子层：记录协议和（A ）。

7.1 电子商务存在的安全风险•1、交易主体的准入•2、交易信用风险•3、隐私保护•4、电子合同确认•5、网上支付•6、在线消费者权益保护•7、产品交付问题威胁电子商务安全的风险•一、非技术型攻击又称为社会性攻击。

成功的关键不是取决于发送者的技术手段，而是取决于接受者是否会响应。

1）发送电子邮件，以虚假信息引诱用户中圈套。

2）建立假冒网上银行、网上证券网站，骗取用户帐号密码实施盗窃。

3）利用虚假的电子商务进行诈骗。

建立电子商务网站，或是在比较知名、大型的电子商务网站上发布虚假的商品销售信息二、技术型攻击•是利用软件和系统知识来实施。

•1）分布式拒绝服务攻击。

（导入案例）•2）恶意代码攻击：木马制作者通过发送邮件或在网站中隐藏木马等方式大肆传播木马程序，当感染木马的用户进行网上交易时，木马程序即以键盘记录的方式获取用户账号和密码，并发送给指定邮箱，用户资金将受到严重威胁。

电子商务系统安全体系•一、技术方面的措施，如防火墙技术、网络防毒、信息加密、身份认证、授权等•二、交易安全管理方面•三、社会的法律政策与法律保障7.2 访问控制与用户身份认证•访问控制：访问控制是网络安全防范和保护的主要核心策略之一，它的主要作用是保证网络资源不被非法使用。

•用户身份认证的四种方式•1、简单口令式•2、双因素被动证书认证式•3、双因素主动证书认证式•4、双因素生物特征识别式7.3 信息认证技术•一、电子商务对信息安全的要求•1）信息传输的保密性：保证信息不被泄露给非授权的人或实体。

•2）信息的完整性：保证数据的一致性，防止数据被非授权建立、修改和破坏。

•3）信息的不可否认性：建立有效的责任机制，防止实体否认其行为。

•4）交易者身份的真实性：能对信息、实体的真实性进行鉴别。

数据加密技术•数据加密：指采用数学方法对原始信息（明文）进行再组织，使得加密后在网络上公开传输的信息对于非法接收者来说成为不能识别的无意义的信息（密文）。

第七章电子商务安全管理1、对本地文件进行加密和解密Word文档加密：打开需要加密的文件，点击“工具”菜单中“选项”，选择“安全性（保存）”。

Acess文件加密：必须首先关闭数据库。

Winrar加密：①如果“显示密码”选项被禁用，将被要求输入两次密码来确保正确性。

②如果设置了“加密文件名选项”，则不只加密数据，而且加密对象文件名、大小、属性、注释和其他数据块等所有的压缩包敏感区域。

Windows 2000/XP提供了对文件夹的加密功能，使用系统提供的加密功能前，要确认你要加密的文件夹所在的分区格式为NTFS。

Windows内建的文件加密功能只允许赋予其他用户访问加密文件的完全权限，而不允许将加密文件夹的权限赋予其他用户。

2、对邮件进行加密和解密目前，比较流行的电子邮件加密软件是PGP（Pretty Good Privacy）和S/MIME （Secure Multi-Part Intermail Mail Extension）。

PGP软件创始于美国，是一个基于RSA公钥加密体系的邮件加密软件。

加密“Encrypt Message”,签名“Sign Message”。

3、制定交易安全管理制度网络交易安全管理制度是用文字形式对各项安全要求所做的规定，是企业网络营销取得成功的保障。

网络交易安全管理制度包括：人员管理制度、保密制度、跟踪审计制度、系统维护制度、数据备份制度、病毒定期清理制度等。

4、人员管理制度：①工作人员严格选拔；②落实工作责任制；③贯彻电子商务安全运作基本原则。

电子商务安全运作基本原则：1）双人负责原则；2）任期有限原则；3）最小权限原则。

5、保密制度信息的安全级别：绝密级、机密级、秘密级。

绝密级：此部分网址、密码不在因特网上公开，只限高层管理人员掌握，（公司经营状况报告、订货/出货价格、公司发展规划）。

机密级：限公司中层管理人员以上使用，（公司日常情况、会议通知）。

秘密级：此部分在因特网上公开，供消费者浏览，但必须保护程序，防止黑客侵入（公司简介、新产品介绍、订货方式）。