电子商务安全复习题.docx

电子商务安全复习题.docx

《电子商务安全复习题.docx》由会员分享，可在线阅读，更多相关《电子商务安全复习题.docx（29页珍藏版）》请在冰豆网上搜索。

电子商务安全复习题

电子商务安全测验题及答案

（1）

一、单项选择题

1．在电子商务系统可能遭受的攻击中，从信道进行搭线窃听的方式被称为（）

A．植入B．通信监视C．通信窜扰D．中断

2．消息传送给接收者后，要对密文进行解密是所采用的一组规则称作（）

A．加密B．密文C．解密D．解密算法

3．基于有限域上的离散对数问题的双钥密码体制是（）

A．ELGamalB．AESC．IDEAD．RSA

4．MD-5是_______轮运算，各轮逻辑函数不同。

（）

A．2B．3C．4D．5

5．在以下签名机制中，一对密钥没有与拥有者的真实身份有唯一的联系的是（）

A．单独数字签名B．RSA签名C．ELGamal签名D．无可争辩签名

6．《计算机房场、地、站技术要求》的国家标准代码是（）

A.GB50174-93B.GB9361-88C.GB2887-89D.GB50169-92

7．综合了PPTP和L2F的优点，并提交IETF进行标准化操作的协议是（）

A．IPSecB．L2TPC．VPND．GRE

8．VPN按服务类型分类，不包括的类型是（）

A.InternetVPNB.AccessVPNC.ExtranetVPND.IntranetVPN

9．接入控制机构的建立主要根据_______种类型的信息。

（）

A．二B．三C．四D．五

10.在通行字的控制措施中，根通行字要求必须采用_______进制字符。

（）

A．2B．8C．10D．16

11.以下说法不正确的是（）

A.在各种不用用途的数字证书类型中最重要的是私钥证书

B．公钥证书是由证书机构签署的，其中包含有持证者的确切身份

C．数字证书由发证机构发行

D．公钥证书是将公钥体制用于大规模电子商务安全的基本要素

12.以下说法不正确的是（）

A.RSA的公钥一私钥对既可用于加密，又可用于签名

B．需要采用两个不同的密钥对分别作为加密一解密和数字签名一验证签名用

C．一般公钥体制的加密用密钥的长度要比签名用的密钥长

D．并非所有公钥算法都具有RSA的特点

13._______是整个CA证书机构的核心，负责证书的签发。

（）

A．安全服务器B．CA服务器C．注册机构RAD．LDAP服务器

14．能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是（）

A.PKIB．SETC．SSLD．ECC

15.在PKI的性能中，_______服务是指从技术上保证实体对其行为的认可。

（）

A．认证B．数据完整性C．数据保密性D．不可否认性

16．以下不可否认业务中为了保护发信人的是（）

A．源的不可否认性B．递送的不可否认性C．提交的不可否认性D．B和C

17．SSL支持的HTTP，是其安全版，名为（）

A．HTTPSB．SHTTPC．SMTPD．HTMS

18.SET系统的运作是通过_______个软件组件来完成的。

（）

A．2B．3C．4D．5

19．设在CFCA本部，不直接面对用户的是（）

A．CA系统B．RA系统C．LRA系统D．LCA系统

20.CTCA的个人数字证书，用户的密钥位长为（）

A．128B．256C．512D．1024

二、多项选择题电子商务安全测验题在每小题列出的五个备选项中至少有两个是符合题目要求的，请将其代码填写在题后的括号内。

错选、多选、少选或未选均无分。

21．Web服务器的任务有（ADE）

A．接收客户机来的请求B．将客户的请求发送给服务器

C．解释服务器传送的html等格式文档，通过浏览器显示给客户

D．检查请求的合法性E．把信息发送给请求的客户机

22.目前比较常见的备份方式有（ABCDE）

A．定期磁带备份数据B．远程磁带库备份C．远程数据库备份

D．网络数据镜像E．远程镜像磁盘

23.防火墙的基本组成有（ABCDE）

A．安全操作系统B．过滤器C．网关D．域名服务E．E-mail处理

24.Kerberos系统的组成部分有（ABCD）

A．ASB．TGSC．ClientD．ServerE．ARS

25.仲裁业务可作为可信赖第三方的扩充业务，仲裁一般要参与的活动包括（ABCDE）

A．收取认可证据，以建立某人对一个文件的认可和对文件签字的真实性

B．进行证实，确定文件的真实性C．作证或公布签字

D．证实或公布文件复本E．做出声明，裁定协议书或契约的合法性

三、填空题

26.出现网上商店等后，就有了B-C模式，即_企业与_消费者_之间的电子商务。

27.典型的两类自动密钥分配途径有_集中式_分配方案和分布式分配方案。

28.-个好的散列函数h=H（M），其中H为散列函数_；M为长度不确定的输入串；h为散列值，长度是确定的。

29.数据库的加密方法有三种，其中，与DBMS分离的加密方法是_加密桥技术_。

30.公钥证书系统由一个证书机构CA和一群用户组成。

四、名词解释题

31.混合加密系统是指综合利用消息加密、数字信封、散列函数和数字签名实现安全性、完整性、可鉴别和不可否认。

它成为目前信息安全传送的标准模式，被广泛采用。

32.冗余系统是系统中除了配置正常的部件以外，还配制出的备份部件。

当正常的部件出现故障时，备份部件能够立即替代它继续工作。

33．非军事化区（DMZ）是指为了配置管理方便，内网中需要向外提供服务的服务器往往放在一个单独的网段。

34.通行字（Password，也称口令、护字符）是一种根据已知事物验证身份的方法，也是一种研究和使用最广的身份验证法。

35.客户证书，这种证书证实客户身份和密钥所有权。

五、36.简述因特网的特点。

因特网的最大优势，是它的广袤覆盖及开放结构。

由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖增长至几乎无限。

但它的优点也是它的缺点。

因特网的管理松散，网上内容难以控制，私密性难以保障。

从电子商务等应用看，安全性差是因特网的又一大缺点，这已成为企业及用户上网交易的重要顾虑。

37.简述DES的加密运算法则。

DES的加密运算法则是，每次取明文中的连续64位（二进制，以下同样）数据，利用64位密钥（其中8位是校验位，56位是有效密钥信息），经过16次循环（每一次循环包括一次替换和一次转换）加密运算，将其变为64位的密文数据。

38.简述计算机病毒的分类方法。

（1）按寄生方式分为引导型病毒，文件型病毒和复合型病毒。

（2）按破坏性分为良性病毒和恶性病毒。

39.简述接入控制策略。

接入控制策略包括以下3种：

（1）最小权益策略：

按主体执行任务所需权利最小化分配权力；

（2）最小泄露策略：

按主体执行任务所知道的信息最小化的原则分配权力；

（3）多级安全策略：

主体和客体按普通、秘密、机密、绝密级划分，进行权限和流向控制。

40.CA认证申请者的身份后，生成证书的步骤是什么？

CA认证申请者的身份后，按下述步骤生成证书：

（1）CA检索所需的证书内容信息；

（2）CA证实这些信息的正确性；

（3）CA用其签名密钥对证书签名；

（4）将证书的一个拷贝送给注册者，需要时要求注册者回送证书的收据；

（5）CA将证书送入证书数据库，向公用检索业务机构公布；

（6）通常，CA将证书存档；

（7）CA将证书生成过程中的一些细节记入审计记录中。

41．简述PKI服务的概念。

PKI是基于公钥算法和技术，为网上通信提供安全服务的基础设施。

是创建、颁发、管理、注销公钥证书所涉及到的所有软件、硬件的集合体。

其核心元素是数字证书，核心执行者是CA认证机构。

实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、密钥历史记录、时间戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证。

六、42.试述对身份证明系统的要求。

对身份证明系统的要求：

（1）验证者正确识别合法示证者的概率极大化。

（2）不具可传递性，验证者B不可能重用示证者A提供给他的信息，伪装示证者A成功地骗取其他人的验证，得到信任。

（3）攻击者伪装示证者欺骗验证者成功的概率小到可以忽略，特别是要能抗已知密文攻击，即攻击者在截获到示证者和验证者多次（多次式表示）通信下，伪装示证者欺骗验证者。

（4）计算有效性，为实现身份证明所需的计算量要小。

（5）通信有效性，为实现身份证明所需通信次数和数据量要小。

（6）秘密参数安全存储。

（7）交互识别，有些应用中要求双方互相进行身份认证。

（8）第三方的实时参与，如在线公钥检索服务。

（9）第三方的可信赖性。

（10）可证明安全性。

后4条是某些身份识别系统提出的要求。

电子商务安全测验题及答案

（2）

一、单项选择题

1．以下厂商为电子商务提供信息产品硬件的是（）

A.AOLB．YAHOOC．IBMD．MICROSOFT

2．把明文变成密文的过程，叫作（）

A.加密B．密文C．解密D．加密算法

3．以下加密法中属于双钥密码体制的是（）

A．DESB．AESC．IDEAD．ECC

4．MD-4散列算法，输入消息可为任意长，按_______比特分组。

（）

A．512B．64C．32D．128

5．SHA算法中，输入的消息长度小于264比特，输出压缩值为_______比特。

（）

A．120B．140C．160D．264

6.计算机病毒最重要的特征是（）

A．隐蔽性B．传染性C．潜伏性D．表现性

7．主要用于防火墙的VPN系统，与互联网密钥交换IKE有关的框架协议是（）

A．IPSecB．L2FC．PPTPD．GRE

8．AccessVPN又称为（）

A．VPDNB．XDSLC．ISDND．SVPN

9．以下不是接入控制的功能的是（）

A．阻止非法用户进入系统B．组织非合法人浏览信息

C．允许合法用户人进入系统D．使合法人按其权限进行各种信息活动

10.在通行字的控制措施中，限制通行字至少为_______字节以上。

（）

A．3～6B．6～8C．3～8D．4～6

11.用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指（）

A．接入控制B．数字认证C．数字签名D．防火墙

12．关于密钥的安全保护下列说法不正确的是（）

A．私钥送给CAB．公钥送给CA

C．密钥加密后存人计算机的文件中D．定期更换密钥

13._______在CA体系中提供目录浏览服务。

（）

A．安全服务器B．CA服务器C．注册机构RAD．LDAP服务器

14.Internet上很多软件的签名认证都来自_______公司。

（）

A．BaltimoreB．EntrustC．SunD．VeriSign

15.目前发展很快的安全电子邮件协议是_______，这是一个允许发送加密和有签名邮件的

协议。

（）

A．IPSecB．SMTPC．S/MIMED．TCP/1P

16.实现源的不可否认业务中，第三方既看不到原数据，又节省了通信资源的是（）

A.源的数字签字B．可信赖第三方的数字签字

C．可信赖第三方对消息的杂凑值进行签字D．可信赖第三方的持证

17.SET的含义是（）

A．安全电子支付协议B．安全数据交换协议

C．安全电子邮件协议D．安全套接层协议

18.对SET软件建立了一套测试的准则。

（）

A．SETCoB．SSLC．SETToolkitD．电子钱包

19．CFCA认证系统的第二层为（）

A．根CAB．政策CAC．运营CAD．审批CA

20.SHECA提供了_______种证书系统。

（）

A．2B．4C．5D．7

二、多项选择题

21．以下描述正确的是（ABCDE）

A．数据加密是保证安全通信的手段

B．无条件安全的密码体制是理论上安全的

C．计算上安全的密码体制是实用的安全性

D．目前已知的无条件安全的密码体制都是不实用的

E．目前还没有一个实用的密码体制被证明是计算上安全的

22.机房环境、电源及防雷接地应满足CECS72：

79的要求，也就是说机房设计应符合的规定是（ACDE）

A．设备间的地面面层材料应能防静电

B．设备间室温应保持在10℃到20℃之间

C．机房内的尘埃要求低于0.5μm

D．设备间应采用UPS不间断电源

E．防雷接地可单独接地或同大楼共用接地体

23.SVPN包含的特性有（ABCDE）

A．可控性B．安全设备自身的安全性C．连接的完整性D．连接机密性E．报警功能

24.对身份证明系统的要求包括（ACDE）

A．验证者正确识别合法示证者的概率极大化

B．可传递性C．计算有效性D．通信有效性E．秘密参数安全存储

25.SET的技术范围包括（ABCDE）

A．加密算法的应用B．证书信息和对象格式C．购买信息和对象格式

D．认可信息和对象格式E．划账信息和对象格式

三、填空题

26.最早的电子商务模式出现在_企业、机构之间，即B-B。

27.目前有三种基本的备份系统：

简单的网络备份系统、.服务器到服务器的备份和_使用专用的备份服务器。

28.身份证明系统的质量指标之一为合法用户遭拒绝的概率，即拒绝率或虚报率。

29.基于SET协议电子商务系统的业务过程可分为注册登记申请数字证书、动态认证和商业机构的处理。

30．CTCA系统由全国CA中心_、省RA中心系统、地市级业务受理点组成。

四、名词解释题

31．C2级，又称访问控制保护级。

32.无条件安全：

一个密码体制的安全性取决于破译者具备的计算能力，如若它对于拥有无限计算资源的破译者来说是安全的，则称这样的密码体制是无条件安全的。

33．防火墙是一类防范措施的总称，它使得内部网络与Internet之间或者与其他外部网络互相隔离、限制网络互访，用来保护内部网络。

34.单公钥证书系统是指一个系统中所有的用户共用同一个CA。

35.数据完整性服务就是确认数据没有被修改。

五、36.简述数字信封的概念。

发送方用一个随机产生的DES密钥加密消息，然后用接受方的公钥加密DES密钥，称为消息的“数字信封”，将数字信封与DES加密后的消息一起发给接受方。

接受者收到消息后，先用其私钥打开数字信封，得到发送方的DES密钥，再用此密钥去解密消息。

只有用接受方的RSA私钥才能够打开此数字信封，确保了接受者的身份。

37.简述数据加密的作用。

数据加密的作用在于：

（1）解决外部黑客侵入网络后盗窃计算机数据的问题；

（2）解决外部黑客侵入网络后篡改数据的问题；

（3）解决内部黑客在内部网上盗窃计算机数据的问题；

（4）解决内部黑客在内部网上篡改数据的问题；

（5）解决CPU、操作系统等预先安置了黑客软件或无线发射装置的问题。

38.从攻击的角度看，Kerberos存在哪些问题？

从攻击的角度来看，大致有以下几个方面的问题：

（1）时间同步。

（2）重放攻击。

（3）认证域之间的信任。

（4）系统程序的安全性和完整性。

（5）口令猜测攻击。

（6）密钥的存储。

39.密钥管理的目的是什么？

密钥管理的目的是维持系统中各实体之间的密钥关系，以抗击各种可能的威胁，如：

（1）密钥的泄露。

（2）密钥或公钥的确证性的丧失，确证性包括共享或有关一个密钥的实体身份的知识或可证实性。

（3）密钥或公钥XX使用，如使用失效的密钥或违例使用密钥。

40.简述SSL提供的安全内容。

SSL保证了Internet上浏览器／服务器会话中三大安全中心内容：

机密性、完整性和认证性。

（1）SSL把客户机和服务器之间的所有通信都进行加密，保证了机密性。

（2）SSL提供完整性检验，可防止数据在通信过程中被改动。

（3）SSL提供认证性——使用数字证书——用以正确识别对方。

41.简述SHECA证书管理器的特点。

（1）方便管理用户个人及他人证书，存储介质多样化。

（2）同时支持SET证书和通用证书。

（3）支持多种加密技术（如对称加密，数字签名，等等）。

（4）支持版本的自动升级（或提醒）。

（5）具有良好的使用及安装界面。

六、42.试述提高数据完整性的预防性措施。

预防性措施是用来防止危及到数据完整性事情的发生。

可采用以下措施：

（1）镜像技术。

镜橡技术是指将数据原样地从一台设备机器拷贝到另一台设备机器上。

（2）故障前兆分析。

有些部件不是一下子完全坏了，例如磁盘驱动器，在出故障之前往往有些征兆，进行故障前兆分析有利于系统的安全。

（3）奇偶校验。

奇偶校验也是服务器的一个特性。

它提供一种机器机制来保证对内存错误的检测，因此，不会引起由于服务器出错而造成数据完整性的丧失。

（4）隔离不安全的人员。

对本系统有不安全的潜在威胁人员，应设法与本系统隔离。

（5）电源保障。

使用不间断电源是组成一个完整的服务器系统的良好方案。

电子商务安全测验题及答案（3）

一、单项选择题

1．电子商务，在相当长的时间里，不能少了政府在一定范围和一定程度上的介入，这种模式表示为（）

A．B-GB．B-CC．B-BD．C-C

2．在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是（）

A．可靠性B．真实性C．机密性D．完整性

3．通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为（）

A．密钥B．密文C．解密D．加密算法

4．与散列值的概念不同的是（）

A．哈希值B．密钥值C．杂凑值D．消息摘要

5．SHA的含义是（）

A．安全散列算法B．密钥C．数字签名D．消息摘要

6．《电子计算机房设计规范》的国家标准代码是（）

A.GB50174-93B.GB9361-88C.GB2887-89D.GB50169-92

7．外网指的是（）

A.非受信网络B．受信网络C．防火墙内的网络D．局域网

8．IPSec提供的安全服务不包括（）

A．公有性B．真实性C．完整性D．重传保护

9．组织非法用户进入系统使用（）

A．数据加密技术B．接入控制C．病毒防御技术D．数字签名技术

10.SWIFT网中采用了一次性通行字，系统中可将通行字表划分成_______部分，每部分仅含半个通行字，分两次送给用户，以减少暴露的危险性。

（）

A．2B．3C．4D．5

11．Kerberos的域内认证的第一个步骤是（）

A.Client→ASB.Client←ASC．ClientASD．ASClient

12．____可以作为鉴别个人身份的证明：

证明在网络上具体的公钥拥有者就是证书上记载的使用者。

（）

A．公钥对B．私钥对C．数字证书D．数字签名

13.在公钥证书数据的组成中不包括（）

A．版本信息B．证书序列号C．有效使用期限D．授权可执行性

14.既是信息安全技术的核心，又是电子商务的关键和基础技术的是（）

A．PKIB．SETC．SSLD．ECC

15．基于PKI技术的_______协议现在已经成为架构VPN的基础。

（）

A．IPSec采集者退散B．SETC．SSLD．TCP/IP

16.以下不可否认业务中为了保护收信人的是（）

A．源的不可否认性B．递送的不可否认性

C．提交的不可否认性D．专递的不可否认性

17.SSL更改密码规格协议由单个消息组成，值为（）

A．0B．1C．2D．3

18．SET认证中心的管理结构层次中，最高层的管理单位是（）

A.RCA-RootCAB.BCA-BrandCA

C.GCA-Geo-PoliticalCAD.CCA-CardHoiderCA

19.TruePass是_______新推出的一套保障网上信息安全传递的完整解决方案。

（）

A．CFCAB．CTCAC．SHECAD．RCA

20.SHECA数字证书根据应用对象的分类不包括（）

A．个人用户证书B．手机证书C．企业用户证书D．代码证书

二、多项选择题

21.Web客户机的任务是（）

A．为客户提出一个服务请求B．接收请求C．将客户的请求发送给服务器采集者退散

D．检查请求的合法性E．解释服务器传送的HTML等格式文档，通过浏览器显示给客户

22.单钥密码体制的算法有（）

A．DESB．IDEAC．RC-5D．AESE．RSA

23.h=H（M），其中H为散列函数，H应该具有的特性包括（）

A．给定M，很容易计算hB．给定h，很容易计算MC．给定M，不能计算h

D．给定h，不能计算ME．给定M，要找到另一个输入串M'并满足H（M＇）＝H（M）很难

24．网络系统物理设备的可靠、稳定、安全包括（）

A．运行环境B．容错C．备份采集者退散D．归档E．数据完整性预防

25.VPN隧道协议包括（）

A．PPTPB．L2FC．L2TPD．GREE．IPSec

三、填空题

26.多层次的密钥系统中的密钥分成两大类：

数据加密密钥（DK）和密钥_加密密钥（KK）。

27.病毒的特征包括非授权可执行性、隐蔽性、传染性_、潜伏性、表现性或破坏性、可触发性。

28.VPN解决方案一般分为VPN_服务器和VPN客户端。

29.身份证明技术，又称识别_、实体认证、身份证实等。

30.密钥备份与恢复只能针对_解密密钥，__签名私钥为确保其唯一性而不能够作备份。

电子商务安全（三）参考答案

一、1.A2.C3.B4.B5.A6.A7.A8.A9.B10.A11.A12.C13.D14.A15.A16.A17.B18.A19.A20.B

二、21.ACE22.ABCD23.ADE24.ABCDE25.ABCDE

四、名词解释题

31．C1级，有时也叫做酌情安全保护级，它要求系统硬件有一定的安全保护，用户在使用前必须在系统中注册。

32.RSA密码算法是第一个既能用于数据加密也能用于数字签名的算法。

RSA密码体制是基于群Zn中大整数因子分解的困难性。

33．接入权限：

表示主体对客体访问时可拥有的权利，接人权要按每一对主体客体分别限定，权利包括读、写、执行等，读写含义明确，而执行权指目标为一个程序时它对文件的查找和执行。

34．拒绝率是指身份证明系统的质量指标为合法用户遭拒绝的概率。

35．SSL即安全套接层（或叫安全套接口层）协议是用于到购