第9章 电子商务安全子系统的设计习题

第九章电子商务安全子系统的设计

一、单选题

1、以下哪项是不属于电子商务安全交易协议（D）

A安全超文本传输协议B安全交易技术协议

C安全多用途因特网邮件协议 D TCP/IP协议

2、安全电子商务的要求不包括（D）

A交易的真实性B交易的保密性

C交易的完整性 D 可抵赖性

3、以下那些是电子商务的普遍安全隐患（D）

A信息窃取B信息篡改

C身份假冒 D ABC三项都正确

4．确保交易数据在传输过程中不会被恶意或意外地改变、毁坏体现了电子商务安全的（D）需求。

A、交易的真实性

B、不可抵赖性

C、交易的安全性

D、交易的完整性

5．（D）是一种在Internet安全邮件管理环境中采用加密报文语法对电子邮件安全性进行处理的规则。

A、SSL协议

B、S-HTTP协议

C、SET协议

D、S-MIME协议

6．以下哪个功能不属于防火墙的功能（D ）。

A、网络地址转换

B、身份验证

C、包过滤

D、保护硬件设备

二、多选题

1. 电子商务的安全需求包括（ＡＢＣＤ）

A．交易的真实性B．交易的完整性

C．交易的保密性D．不可抵赖性

2．电子商务系统的安全防范技术有（B C D）

A．防火墙技术 B. 密钥管理技术

C．数字签名技术 C. 加密技术

3. 电子商务交易的安全隐患（A B D）

A. 信息窃取

B. 信息篡改

C. 交易确认 C. 身份假冒

4．防火墙的主要分类有（）。

A、包过滤型防火墙

B、应用及代理

C、混合型防火墙

D、外包型防火墙

5．数字签名的种类有（ABD）。

A、RSA签名

B、DSS签名

C、CA签名

D、Hash签名

三、判断题

1.电子商务的安全威胁可能来自于Internet上的黑客、电子商务系统的内部人员和准内部

人员。（√）

2.电子商务系统安全的设计是指针对系统可能受到的攻击和电子商务安全的基本要求，设

计系统的安全策略，选择保证系统安全的相关技术。（√）

3.混合型防火墙是防火墙出现最早的一类防火墙（错）

4.交易的保密性是指交易数据在传输过程中不会被恶意或以为地改变、毁坏（错）

四、简答题

1. 典型的PKI结构由哪几个基本部分组成？

答：由证书申请者、注册机构，认证中心、证书库和证书信任方5个基本部分组成。

2. OSI代表什么，规定了哪几种标准的安全服务?

答：OSI代表国际标准化组织，有：1.对象认证安全服务；2.访问控制服务；3.数据保密服务；

4.数据完整性服务；

5.防抵赖安全服务。

3．网络防火墙的概念？

答：网络防火墙技术是一种用来加强网络之间访问控制和防止外部网络用户以非法手段进入内部网络、访问内部网络资源、保护内部网络操作环境的特殊网络互连设备。

五、系统规划分析设计题

1．从事电子商务除了有个好的电子商务系统之外，买房和卖方主要关注电子商务安全问题有哪些？

答：（1）交易的真实性

（2）交易的保密性

（3）交易的完整性

（4）不可抵赖性

六、实践题

1．假如你是一个商务网站的安全部门经理，你的网站最近频繁受到SQL攻击，请问你应该采用什么措施来提高对SQL注入攻击的防御力？

答：

我将采取一下措施：

一，加强对用户输入的验证，通过测试类型、长度、格式和范围来验证用户输入，过滤用户输入的内容；

二，锁定SQL SERVER：

1，为应用程序创建一个低权限的账户，删除不必要的帐户,确定所有账户都有强壮的密码，并执行密码审计

2，将不必要的扩展储存过程删除，同时将包含在扩展储存过程代码中的.dll文件删除

3，对于应用程序进入数据库所使用的账户保证其最小权限

4，为服务器打上所有针对SQL SERVER数据库的缓冲区溢出和格式化字符串攻击的安全补丁。

2．电子商务的安全策略是信息安全的核心，也是整个信息安全建设的依据，安全策略的制定方法包括哪些？

答：（1）进行安全需求分析

（2）对网络进行评估

（3）对可能存在的风险进行分析

（4）确定内部信息对外开放的种类及发布方式和访问方式

（5）明确网络系统管理人员的责任和义务

（6）确定针对潜在风险采取的安全保护措施的主要构成方面，以及制定安全存取、访问规则，包括建立何种管理制度。