电子商务安全

2012电子商务安全
判断（每题1分，共30题，30分）
1.电子商务安全包括计算机网络安全和电子交易安全（对）
2.电子商务安全是制约电子商务发展的重要因素（对）
3.电子商务安全与网络安全的区别在于其具有不可抵赖性（错）
4.决定电子商务安全的最重要因素是技术（错）
5.TPC/IP协议是完善的、安全的网络协议（错）
6.电子商务系统一般是基于C/S结构的。

（错）
7.电子商务安全仅仅是一个企业安全部门的事情。

（错）
8.为了推动电子商务发展，应立足于允许企业尽可能收集个人数据，但必须注意保密，以最大限度的保护企业利益的原则来制定关于网络隐私的法律。

（错）
9.保障电子商务安全除了应用技术手段外，还必须采用法律手段。

（对）
10.加密技术层的安全技术手段有加密技术和SET协议（错）
11.防火墙可以防范所有的入侵，是目前世界最安全的防范技术（错）
12.对于电子商务来说，我们不能依赖于任何一种安全方案或安全产品，事实上是没有一种产品可以全面保护系统的信息财产。

我们需要综合使用，合理配置。

（对）
13.加密密钥和解密密钥相同的称为公钥加密。

（错）
14.被动攻击是指在不影响网络正常工作的情况下，黑客进行信息的截获、窃取、破译等攻击方式。

（对）
15.一个密钥在停止使用后，该密钥保护的信息就可以公开了，因为这个密钥以及加密过的文件已经不重要了。

（错）
16.在网络安全中，采取了数据备份以及恢复措施后，就不用考虑网络防病毒措施了，因为出现病毒后可以重新安装系统。

（错）
17.由于新病毒总是先于杀病毒软件的出现，所以，杀毒软件应该定期不断第更新才能更好地预防病毒、减少损失。

（对）
18.安全问题可以说是电子商务中最重要的问题。

（对）
19.伪造是指未授权方不仅获取了对信息的访问而且篡改了信息。

（错）
20.数据签名是使用单向Hash函数加密算法对一个任意长度的报文进行加密，生成一个固定长
度的密文。

（错）
21.用户一般都无法在InternetExplore浏览器中查看数字证书。

（错）
22.SET即安全电子交易。

（对）
23.SSL协议一般使用的是对称加密体制中的RSA加密算法。

（错）
24.服务器密钥的长度应该在1024bit以上。

（对）
25.电子商务法不仅调整交易形式，而且调整交易本身以及交易引起的特殊法律问题，如电子
签名问题等。

（对）
26.当证书签发后，一般说来，期望在整个有效期内都有效。

认证机构无权撤销原有的证书。

（错
27.发件人不得以其支付指令有误或支付的原因不合法为由要求银行撤销已经完成的支付行为。

（
28.在数字签名中，有效签名的复制同样是有效的签名。

（对）
29.在线交易中，如果承诺人意图撤销其作出的承诺，实际上是不可能的。

（对）
30.入侵检测是100%安全的，能检测出合法用户对信息的非正常访问。

（错）
单选题（每题1分，共60题，60分）
31.网上交易中，如果定单在传输过程中订货数量发生了变化，则破坏了安全需求中的（C ）。

A、可用性
B、机密性
C、完整性
D、不可抵赖性
32.在电子商务交易中，消费者面临的威胁不包括（D ）。

A、虚假订单B、付款后
不能收到商品C、客户资料的机密性丧失D、非授权访问
33.棋盘密码是将26个英文字母放在5×5的表格中(ij放一个格)，每个字母对应的密文由行号
和列号对应的数字组成。

如h对应的密文是23，e对应15等。

请问它是属于（D）A、单
表替代密码B、多表替代密码C、置换密码D、以上都不是
34.（A ）攻击不修改消息的内容。

A、被动B、主动C、都是D、都不是
35.在RSA中，若取两个质数p=7、q=13，则其欧拉函数φ(n)的值是（D）A、84 B、
72 C、91 D、112
36.RSA算法建立的理论基础是（B ）A、替代和置换B、大整数分解C、离散对数D、
散列函数
37.如果A要和B安全通信，则B不需要知道（A）A、A的私钥B、A的公钥C、B 的公钥D、B的私钥
38.通常使用（A ）验证消息的完整性。

A、消息摘要B、数字信封C、对称解密算法D、公钥解密算法
39.两个不同的消息摘要具有相同散列值时，称为（B）A、攻击B、冲突C、散列D、签名
40.（C）可以保证信息的完整性和用户身份的确定性。

A、消息摘要B、对称密钥C、数字签名D、时间戳
41.与对称密钥加密技术相比，公钥加密技术的特点是（D ）A、密钥分配复杂B、密钥的保存数量多C、加密和解密速度快D、可以实现数字签名
42.确定用户身的份称为（A）A、身份认证B、访问控制C、授权D、审计
43.关于SAML协议，以下说法错误的是（C）
A、SAML不是一个完整的身份认证协议
B、SAML协议主要用来传递用户的认证信息
C、SAML是一个认证权威机构
D、SAML协议定义了一套交换认证信息的标准
44.关于认证机构CA，下列哪种说法是错误的。

（C ）
A、CA可以通过颁发证书证明密钥的有效性
B、CA有着严格的层次结构，其中根CA要求在线并被严格保护
C、CA的核心职能是发放和管理用户的数字证书
D、CA是参与交易的各方都信任的且独立的第三方机构组织。

45.密钥交换的最终方案是使用。

（C ）A、公钥B、数字信封C、数字证书D、消息摘要
46.CA用（A）签名数字证书。

A、用户的公钥B、用户的私钥C、自己的公钥D、自己的私钥
47.数字证书是将用户的公钥与其（C ）相联系。

A、私钥B、CA C、身份D、序列号
48.对宿主程序进行修改，使自己成为合法程序的一部分并与目标程序成为一体的病毒是
（ B ）
A、源码型病毒
B、操作系统型病毒
C、外壳型病毒
D、入侵型病毒
49.下面关于病毒的叙述正确的是（D ）A、病毒可以是一个程序B、病毒可以是一段可执行代码C、病毒能够自我复制D、ABC都正确
50.DDoS攻击破坏了_________。

（A）A、可用性B、保密性C、完整性D、真实性
51.从系统结构上来看，入侵检测系统可以不包括（C）A、数据源B、分析引擎C、审计D、响应
52.通用入侵检测框架(CIDF)模型中，（A）的目的是从整个计算环境中获得事件，并向系统的其他部分提供此事件。

A、事件产生器
B、事件分析器
C、事件数据库
D、响应单元
53.基于网络的入侵检测系统的数据来源主要是（D ）A、系统的审计日志B、系统的行为数据C应用程序的事务日志文件D、网络中的数据包
54.下列哪项不属于访问控制策略（C）A、基于身份的策略B、基于任务的策略C、多等级策略D、组策略
55.SSL中的（D）是可选的。

A、服务器鉴别B、数据库鉴别C、应用程序鉴别D、客户机鉴别
56.SSL层位于与之间（B ）A、传输层，网络层B、应用层，传输层C、数据链路层，物理层D、网络层，数据链路层
57.SSL用于客户机—服务器之间相互认证的协议是（B）A、SSL警告协议B、SSL握手协议C、SSL更改密码规范协议D、SSL记录协议
58.SET提出的数字签名新应用是（A）A、双重签名B、盲签名C、数字时间戳D、门限签名
59.SSL协议提供的基本安全服务不包括（B ）A、加密服务B、服务器证书C、认证服务D、保证数据完整
60.关于SSL协议与SET协议的叙述，正确的是（C ）
A、SSL是基于应用层的协议，SET是基于传输层的协议
B、SET和SSL均采用RSA算法实
现相同的安全目标
C、SSL在建立双方的安全通信信道后，所有传输的信息都被加密，而SET则有选择地加密一部分敏感信息
D、SSL是一个多方的报文协议，它定义了银行、商家、持卡人之间必需的报文规范，而SET 只是简单地在通信双方之间建立安全连接
61.下面关于ESP传输模式的叙述不正确的是（A）
A、并没有暴露子网内部拓扑
B、主机到主机安全
C、IPSec的处理负荷被主机分担
D、两端的主机需使用公网IP
62.盲签名和分割选择协议主要用来实现电子现金的哪种特性（D ）A、不可重用性B、可分性C、独立性D、匿名性
63.下面哪一项不是风险管理的四阶段之一？（B）A、计划B、开发C、评估D、执行
64.风险评估不包含下列哪一方面的内容（D）A、资产识别B、脆弱性识别C、威胁识别D、人员识别
65.网络安全的最后一道防线是（A）A、数据加密B、访问控制C、接入控制D、身份识别
66.HTTPS是使用以下哪种协议的HTTP（A）A、SSL B、SSH C、Security D、TCP
67.不属于PKI基础技术的是（D ）A、加密技术B、数字签名技术C、数字信封技术
D、数字水印技术
68.以下哪一项是SSL的公钥算法（D ）A、EES B、SKIPJACK C、Diffie-Hellman D、RSA
69.不涉及PKI技术应用的是（D）A、防火墙B、安全E-mail C、Web安全D、视频压缩
70.安全套接层协议最初由下面那个公司开发的（C ）A、MICROSOFT B、SUN C、NETSCAPE COMMUNICA TION D、IBM
71.在防火墙技术中，我们所说的外网通常指的是（A ）A、可信任网络B、非信任网络C、防火墙内的网络D、局域网
72.阻止非法用户进入系统使用（C）A、病毒防御技术B、数据加密技术C、访问控制技术D、数字签名技术
73.以下哪一项不在数字证书数据的组成中?（D ）A、版本信息B、有效使用期限C、签名算法D、版权信息
74.通常为保证商务对象的认证性采用的手段是（C ）A、信息加密和解密B、信息隐匿
C、数字签名和身份认证技术
D、数字水印
75.CA不能提供以下哪种证书?（D ）A、个人数字证书B、SSL服务器证书C、安全电子邮件证书D、SET服务器证书
76.Internet接入控制不能对付以下哪类入侵者?（C ）A、伪装者B、违法者C、内部用户D、地下用户
77.在防火墙技术中，内网这一概念通常指的是（A）A、可信任网络B、非可信任网络C、DMZ网络D、互联网
78.在DES加密标准中，有效密钥长度位数是（B ）A、64位B、56位C、48位D、32位
79.计算机病毒不具有的特点（B）A、破坏性B、暴露性C、潜伏性D、传染性
80.下列关于计算机病毒错误的说法是（C ）
A、计算机病毒是一个程序
B、计算机病毒是一段可执行的代码
C、计算机病毒不象生物病毒有复制能力
D、计算机病毒难以根治
81.特洛依木马是（A ）A、程序B、硬件C、黑客D、监听工具
82.下列方法中，不属于口令破解方法是（D ）A、口令破解程序B、穷举法破解口令C、输入口令时候被人看到D、端口扫描
83.下列安全防御中，属于主动防御的是（C ）A、身份认证技术B、防火墙技术C、安装网络入侵检测（IDS系统）D、VPN技术
84.加密技术是电子商务采取的主要安全措施之一，贸易方可根据需要在信息交换的过程中使
用。

所谓加密技术指的是（D ）
A、将数据进行编码，使它成为一段数字字符
B、将数据进行编码，使它成为一种不可理解
的形式
C、将数据进行编码，使它成为一段字母字符
D、将数据进行编码，使它成为一段看不见的
字母、数字混合字符
85.非对称加密将密钥分解为一对密钥，即（B ）
A、一把公开的加密密钥和一把公开的解密密钥
B、一把秘密的加密密钥和一把公开的解
密密钥
C、一把公开的加密密钥和一把秘密的解密密钥
D、一把公开的密钥或加密密钥和一把专
用的密钥或揭秘密钥
86.密钥的长度是指密钥的位数，一般来说（A）
A、密钥的位数越长，被破译的可能就越小
B、密钥的位数越短，被破译的可能就越小
C、
密钥的位数越长，被破译的可能就越大D、以上说法都正确
87.数据（A）服务可以保证接收方所接收的信息流与发送方的信息流是一致的。

A、完整
性B、加密C、访问控制D、认证技术
88.目前最常见的对称加密方法是（B ）A、RSA B、DES C、SET D、CA
89.关于CA机构，以下说法不正确的是（B ）
A、CA机构又称为认证中心
B、CA机构不需要为银行发放数字证书
C、CA机构承担公钥系统中公钥的合法性检验的责任
D、CA机构认证的数字签名使得攻
击者不能伪造和篡改数字证书
90.SSL协议和SET协议相比较，区别可以归纳为（D ）
A、功能简单，费用昂贵
B、功能强大，费用便宜
C、功能强大，费用昂贵
D、功
能简单，费用便宜
多选题（每题2分，共10题，20分）
91.数字信封技术是结合了对称密码技术和公钥密码技术优点的一种加密技术，它克服了（BD ）
A、对称密码技术密钥管理困难
B、公钥密码技术分发密钥困难
C、对称密码技术无法
进行数字签名D、公钥密码技术加密速度慢
92.以下哪几种设施通常处于在线状态（AB ）A、根CA B、OCSP C、RA D、CRL
93.下列哪些是安全防范策略的基本内容（BDE ）A、防火墙B、物理安全C、建筑安全D、风险管理E、灾难恢复
94.数字证书的类型有（ABC）A、客户证书B、服务器证书C、安全邮件证书D、密钥证书E、机密证书
95.签名可以解决的鉴别问题有（BCDE ）A、发送者伪造B、发送者否认C、接收方篡改D、第三方冒充E、接收方伪造
96.对SSL提供支持的服务器软件有（AB ）A、Netscape浏览器B、Mircrosoft IE浏览器C、Microsoft IIS D、Lotus Notes Server E、MS-DOS
97.单钥密码体制的算法包括（AB ）A、DES加密算法B、二重DES加密算法C、ECC加密算法D、RSA加密算法E、SHA加密算法
98.关于数字证书以下说法正确的是（ABCD ）
A、有认证中心发行
B、经认证中心数字签名
C、其作用类似于日程生活中的身份证 D 是网络通讯中证明各方身份的一系列数据
99.SSL协议提供的基本安全服务包括（ACD ）。

A、加密服务B、企业证书C、认证服务D、保证数据完整
100.下列内容属于SSL协议的特点(优、缺点)的是（AB）
A、不用为客户瑞安装软件
B、不应该使用大量的图形文件
C、只能在互联网以及公用网上使用
D、只能在专用网上使用
填空（每空1分，共20空，20分）
101. 截获攻击与保密性相关(一般攻击的手段有：篡改、截获、伪造、中断、抵赖)
102. 伪造攻击与认证相关(一般攻击的手段有：篡改、截获、伪造、中断、抵赖)
103.篡改攻击与完整性相关(一般攻击的手段有：篡改、截获、伪造、中断、抵赖) 104. 中断攻击与可用性相关(一般攻击的手段有：篡改、截获、伪造、中断、抵赖) 105.如果电子商务系统无法访问了，则破坏了电子商务安全的需求。

106.电子商务安全的目标是：保证交易的真实性、机密性、完整性、不可抵赖性、即时性和可用性。

107.电子商务安全涉及的三种因素：人、过程和技术
108.时间戳是一个经加密后形成的凭证文档，它包括需加时间戳的文件摘要、时间戳权威收到文件的日期和时间TSA的数字签名和时间戳权威的三个部分
109.IPSec提供TCP/IP四层中的IP层的安全性
110.在SET中使用随机产生的公钥加密加密数据，然后将此私有密钥用接受者的私钥密钥加密。

111.PGP使用非对称的“公钥”和“私钥”加密体系。

112.VPN的基本技术包括身份认证技术、隧道技术、加解密技术、密钥管理。

113.电子商务安全国际规范最具有代表性的有SSL 协议和SET协议。

114.防止信息源节点用户对他所发送的信息事后不承认，或者是信息目的节点接收到信息事后不承认，称为抵赖性。

115.黑客有选择地破坏信息的有效性和完整性的攻击方式称为主动攻击。

116.目前，防火墙的系统结构一般有4种，他们是包过滤防火墙、主动防火墙、屏蔽子网防火墙。

117.入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术，根据信息源不同，入侵检测系统可分为基于主机入侵检测和基于网络的入侵检测两大类。

118.计算机病毒的基本特征包括以下几部分：计算机病毒的传染性、计算机病毒的破坏性、计算机病毒的潜伏性和计算机病毒的隐蔽性。

119.PKI的英文全称和中文全称是Public Key Infrastructure和公共基础设备。

120.SSL协议对服务器端的认证要求比较严格，而对客户端的认证是可选的服务器和客户。

121.卸载IE浏览器，已安装的数字证书会丢失，因此建议在卸载IE浏览器前将要保存的证书导出保存，在重新安装完IE浏览器后再将证书导入。

122.电子现金的不可伪造性事通过银行对电子现金的电子现金签名实现的
123.数字信封是用随机产生的对称密钥加密信息，利用接收方的公钥加密对称密码，接收方解密时，使用自己的私钥解密数字信封，得到对称密钥。

124.一般VPN组网方式有三种，它们是Access 、VPN、Internet VPN、Extranet VPN
125.公告入侵检测框架阐述了一个入侵系统的通用模型，它将一个入侵检测系统分为4个组件，它们是事件产生端、事件分析器、响应单位和事件数据库。

操作（每题5分，共三题）
117.在学院服务器http：//192.168.9.9/certsrv/申请Web浏览器数字证书，要求申请时候用自己的的中文名字，安装该证书并显示该证书截图上传该图（注意图片格式为JPG大小200k 内，截图效果如下）
118.下载老师的公钥证书http：//192.168.9.9/chen.cer。

安装该证书并显示该证书内容截图上传该图（注意图片格式为JPG大小200k内，截图效果如下）
119.下载老师的公钥证书http：//192.168.9.9/chen.cer。

安装该证书并显示该证书查看使用者详细信息，内容截图上传该图（注意图片格式为JPG大小200k内，截图效果如下）。