《电子商务安全与管理》试题(A-答案)09-10(第二学期)

2009—2010学年度第( 二 )学期期末考试试卷

参考答案

一、名词解释题（每小题5分，6小题，共30分）

1．密文

答：是明文经加密变换后的结果，即消息被加密处理后的形式，通常用c表示。

2.密钥

答：是参与密码变换的参数，通常用k表示。一切可能的密钥构成的有限集称为密钥空间，通常用K表示。

3．解密算法

答：是将密文恢复为明文的变换函数，相应的变换过程称为解密，即解码的过程（通常用D表示，即p=Dk(c)）。

4．加密算法

答：是将明文变换为密文的变换函数，相应的变换过程称为加密，即编码的过程（通常用E表示，即c=Ek(p)）。

5．对称密码体制

答：对称密码体制也称为秘密密钥密码体制、单密钥密码体制或常规密码体制，对称密码体制的基本特征是加密密钥与解密密钥相同。

6．非对称密码体制

答：非对称密码体制也叫公开密钥密码体制、双密钥密码体制。其原理是加密密钥与解密密钥不同，形成一个密钥对，用其中一个密钥加密的结果，可以用另一个密钥来解密。

7．异常检测

答：异常检测的假设是入侵者活动异常于正常主体的活动，建立正常活动的“活动简档”，当前主体的活动违反其统计规律时，认为可能是“入侵”行为。通过检测系统的行为或使用情况的变化来完成。

8．防火墙

答：是指在两个网络之间加强访问控制的一整套装置，在内部网和外部网之间的界面上构造一个保护层。它强制所有的访问或连接都必须经过这一保护层，在此进行检查和连接。只有被授权的通信才能通过此保护层，从而保护内部网资源免遭非法入侵。

9．CA机构

答：CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有

者的身份和公钥的拥有权。

10．Hash函数

答：Hash简单点讲就是把任意一段数据经过某种算法生成一段唯一的固定长度的数据。也叫做摘要

答：误用检测也叫特征检测，它假设入侵者活动可以用一种模式来表示，然后将观察对象与之比较，判别是否符合这些模式。

12．数字证书

答：数字证书就是互联网通信中标志通信各方身份信息的一系列数据，提供了一种在Internet上验证匿名身份的方式。

二、简答题（每题8分，5小题，共40分）

1．防火墙应具有哪五大基本任务？

答：（1）过滤进出网络的数据包。

（2）管理进出网络的访问行为。

（3）封堵某些禁止的访问行为。

（4）记录通过防火墙的信息内容和活动。

（5）对网络攻击进行检测和告警。

2．网络防火墙主要有哪些功能？

答：（1）控制不安全的服务，保护易受攻击的服务

（2）站点访问控制

（3）集中式的安全保护

（4）强化站点资源的私有属性

（5）网络连接的日志记录及使用统计

（6）其他安全控制

3．防火墙主要采用哪些技术？

答：（1）包过滤技术

（2）代理服务技术

（3）多级的过滤技术

（4）网络地址转换（NAT）技术

4．防火墙有哪些局限性？

答：（1）不能防范恶意的知情者

（2）防火墙不能防范不通过它的连接

（3）防火墙不能防备全部的威胁

（4）防火墙不能防范病毒

5．选购防火墙产品时应该考虑哪几个方面？

答：（1）安全性

（2）高效性

（3）灵活性

（4）管理方便性

（5）可靠性

（6）是否可针对用户身份进行过滤

（7）抵抗拒绝服务攻击

（8）可扩展和可升级性

6．从哪几个方面可以评估防火墙的抗攻击能力？

答：

（1）抗IP 假冒攻击

（2）抗特洛伊木马攻击

（3）抗口令字探寻攻击

（4）抗网络安全性分析

7．PKI技术可运用于哪些领域？

答：PKI技术可运用于众多领域，其中包括：虚拟专用网络（VPN）、

安全电子邮件、Web交互安全及倍受瞩目的电子商务安全领域。

8．风险评估指的是什么？

答：评估有时候也称为风险分析，是组织使用适当的风险评估工具，对信息和信息处理设施的威胁、影响和薄弱点及其发生的可能性的评估，也就是确认安全风险及其大小的过程。

9．在Internet上进行欺骗有哪些模式？

答：有以下常见模式：

（1）采用假的服务器来欺骗用户的终端；

（2）采用假的用户来欺骗服务器；

（3）在信息的传输过程中截取信息；

（4）在Web服务器及Web用户之间进行双方欺骗。

10．SSL协议提供的安全连接具有哪三个基本特点？

答：有以下三个基本特点：

（1）连接是保密的：对于每个连接都有一个唯一的会话密钥，采用对称密码体制来加密数据；

（2）连接是可靠的：消息的传输采用MAC算法进行完整性检验；

（3）对端实体的鉴别采用非对称密码体制进行认证。

三、思考题（共15分）

用图形表示：SET协议的购物系统的协商、审核关系及确认过程。

（其中包括持卡人、商家、支付网关、CA认证中心、收单银行、发卡银行）答：

四、论述题（共15分）

1．论述SET协议的作用？

答：SET协议有以下作用：

（1）个人账号信息与订单信息的隔离；

（2）商家只能看到定货信息,而看不到持卡人的帐户信息；

（3）对交易者的身份进行确认和担保；

（4）持卡人、商家和银行等交易者通过第三方权威机构的身份认证服务；

（5）统一协议和报文的格式；

（6）使不同厂家开发的软件能相互兼容。

2．请论述SSL协议和SET协议的差别？

答：SSL协议和SET协议的差别主要体现在以下几个方面：

（1）用户接口：

SSL协议已被浏览器和WEB服务器内置，无需安装专门软件；

SET协议中客户端需安装专门的电子钱包软件，在商家服务器和银行网络上也需安装相应的软件。

（2）处理速度：

SET协议非常复杂、庞大，处理速度慢。

（3）认证要求：

SSL协议并没有提供身份认证机制，不能实现多方认证，而且SSL中只有商家服务器的认证是必须的，客户端认证则是可选的。

SET协议的认证要求较高，所有参与SET交易的成员都必须申请数字证书，并且解决了客户与银行、客户与商家、商家与银行之间的多方认证问题。

（4）安全性：

SET协议由于采用了公钥加密、信息摘要和数字签名可以确保信息的保密性、可鉴别性、完整性和不可否认性，且SET协议采用了双重签名来保证各参与方信息的相互隔离，使商家只能看到持卡人的订购数据，而银行只能取得持卡人的信用卡信息。

SSL协议虽也采用了公钥加密、信息摘要和MAC检测，可以提供保密性、完整性和一定程度的身份鉴别功能，但缺乏一套完整的认证体系，不能提供完备的防抵赖功能。因此，SET的安全性远比SSL高

（5）协议层次和功能：

SSL属于传输层的安全技术规范，它不具备电子商务的商务性、协调性和集成性功能。

SET协议位于应用层，它不仅规范了整个商务活动的流程，而且制定了严格的加密和认证标准，具备商务性、协调性和集成性功能。