电子商务安全期末考试题旗舰版

电子商务安全期末考试A卷一、选择题（单选）下列选项中属于双密钥体制算法特点的是（C）算法速度快 B.适合大量数据的加密 C.适合密钥的分配与管理 D.算法的效率高实现数据完整性的主要手段是（D）对称加密算法 B.非对称加密算法 C.混合加密算法 D.散列算法【哈希函数压缩函数 消息摘要杂凑函数 数字指纹】数字签名技术不能解决的安全问题是（C）第三方冒充 B.接收方篡改 C.传输安全 4.病毒的重要特征是(B)隐蔽性 B.传染性 C.破坏性 D.可触发性在双密钥体制的加密和解密过程中，要使用公共密钥和个人密钥，它们的作用是（A）公共密钥用于加密，个人密钥用于解密 B.公共密钥用于解密，个人密钥用于加密C.两个密钥都用于加密 D.两个密钥都用于解密在一次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采用的安全手段是（B）双密钥机制 B.数字信封 C.双联签名 D.混合加密系统一个密码系统的安全性取决于对（A）密钥的保护 B.加密算法的保护 C.明文的保护 D.密文的保护在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于（A）包过滤型 B.包检检型 C.应用层网关型 D.代理服务型电子商务的安全需求不包括（B）机密性、完整性、认证性、有效性、匿名性、不可抵赖可靠性 B.稳定性 C.真实性 D.完整性SSL握手协议包含四个主要步骤，其中第二个步骤为（B）客户机Hello B.服务器Hello C.HTTP数据流 D.加密解密SET安全协议要达到的目标主要有（C）【机密性、保护隐私、完整性、多方认证、标准性】三个 B.四个 C.五个 D.六个下面不属于SET交易成员的是（B）持卡人 B.电子钱包 C.支付网关 D.发卡银行X205证书包含许多具体内容，下列选项中不包含在其中的是（C）版本号 B.公钥信息 C.私钥信息 D.签名算法身份认证中的证书由（D）政府机构 B.银行发行 C. 企业团体或行业协会 D.认证授权机构发行目前发展很快的基于PKI的安全电子邮件协议是（A）A. S/MIME BPOP CSMTP D.IMAP选择题（多选）下列属于单密钥体制算法的有（AC）DES B.RSA C.AES D.SHA下列公钥私钥对的生成途径合理的有（BCD）网络管理员生成 B.CA生成C.用户依赖的、可信的中心机构生成 D.密钥对的持有者生成防火墙不能解决的问题包括（BCE）非法用户进入网络 B.传送已感染病毒的文件或软件C.数据驱动型的攻击 D.对进出网络的信息进行过滤E通过防火墙以外的其它途径的攻击PKI技术能有效的解决电子商务应用中的哪些问题（ABC）全选A.机密性 B.完整性 C.不可否认性 D存取控制E真实性20.SET要达到的主要目标有(ACDE)A.信息的安全传输 B.证书的安全发放 C.信息的相互隔离 D.交易的实时性 E.多方认证的解决填空：1. SSL可用于保护正常运行于TCP上的任何应用协议，如 _HTTP_、_FTP_、SMTP或Telnet的通信。2. VPN利用_隧道_协议在网络之间建立一个_虚拟_通道，以完成数据信息的安全传输。3.PKI提供电子商务的基本_安全_需求，是基于_数字证书_的。4.密码技术是保证网络、信息安全的核心技术。信息在网络中传输时，通常不是以_明文_而是以_密文_的方式进行通讯传输的。5.现在广为人们知晓的_传输控制_协议(TCP)和_网际_协议(IP)，常写为TCP/IP。 6.数字签名分为确定和随机两种，其中RSA签名属于 确定性 签名，ELGamal 签名属于 随机 签名。简答：1.电子商务系统可能受到的攻击类型【粗体字为推荐答案】 答：(1)系统穿透：未经授权人同意，冒充合法用户接入系统，对文件进行篡改、窃取机密信息非法使用资源等。 (2)违反授权原则：一个被授权进入系统做一件事的用户，在系统中做未经授权的 其他事情。 （3）植入：在系统穿透成功后，入侵者在系统中植入一种能力，为其以后攻击系统提供方便条件。如注入病毒、蛀虫、特洛伊木马、陷阱等来破坏系统正常工作。 （4）通信监视：这是一种在通信过程中从信道进行搭线窃听的方式。通过搭线和电磁泄漏等对机密性进行攻击，造成泄密。 （5）通信干扰：攻击者对通信数据或通信数据进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间，注入伪造信息。 （6）中断：对可用性进行攻击，破坏系统中的硬盘、硬件、线路等，使系统不能正常工作，破译信息和网络资源。 （7）拒绝服务：指合法接入信息、业务或其他资源受阻。 （8）否认：一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意还是无意，一旦出现，再解决双方的争执就不容易了。 （9）病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而Internet 的出现又促进了病毒复制者间的交流，使新病毒层出不穷，杀伤力也大有提高。 （10）钓鱼网站。2.PKI作为安全基础设施，能为用户提供哪些服务？ 答： (1)认证；（1分） (2)数据完整性服务；（1分） (3)数据保密性服务；（1分） (4)不可否认性服务；（1分） (5)公证服务。五.论述：1.双钥密码体制加密为什么可以保证数据的机密性和不可否认性？答：(1)双钥密码体制加密时有一对公钥和私钥，公钥公开，私钥由持有者保存； (2)公钥加密后的数据只有持有者的私钥能解开，这样保证了数据的机密性； (3)经私钥加密后的数据可被所有具有公钥的人解开，由于私钥只有持有者一人保 存，这样就证明信息发自私钥持有者，具有不可否认性。2.论述数字签名的必要性（对比传统签名，数字签名解决了什么问题） 答：(1)传统手书签名仪式要专门预定日期时间，契约各方到指定地点共同签署一个合同文件，短时间的签名工作需要很长时间的前期准备工作。（3分）这种状况对于管理者是延误时机，对于合作伙伴是丢失商机，对于政府机关是办事效率低下。（2分） (2)电子商务时代各种单据的管理必须实现网络化的传递。（2分）保障传递文件的机密性应使用加密技术，保障其完整性则用信息摘要技术，而保障认证性和不可否认性则应使用数字签名技术。（3分） (3)数字签名可做到高效而快速的响应，任意时刻，在任何地点，只要有Internet就可以完成签署工作。（3分） (4)数字签名除了可用于电子商务中的签署外，还可用于电子办公、电子转帐及电子邮递等系统。（2分）公钥证书包括的具体内容：答： （1）版本信息； （2）证书序列号； （3）CA使用的签名算法； （4）有效期； （5）发证者的识别码； （6）证书主题名； （7）公钥信息； （8）使用者Subject ； （9）使用者识别码； （10）额外的特别扩展信息； 电子商务安全期末考试B卷一、选择题：1.电子商务的技术组成要素中不包括（D）A.网络 B、用户 C、应用软件 D、硬件在中国制约VPN发展、普及的客观因素是（D）客户自身的应用 B、网络规模 C、客户担心传输安全 D 、网络带宽【思路点拨：在我国，制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面；客观因素包括因特网带宽和服务质量QoS问题；主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全；主观因素之二客户自身的应用跟不上。】3.在单公钥证书系统中，签发CA 证书的机构是（C）A.国家主管部门 B、用户 C、仅CA自己 D、其他CACA系统中一般由多个部分组成，其核心部分为（B）安全服务器 B、CA服务器 C、注册机构RA D、LDAP服务器5.得到IBM、微软公司的支持已经成为事实上的工业标准的安全协议是（B）A.SSL B、SET C、HTTPS D、TLS6.SET协议中用来鉴别信息完整性的是（C）RSA算法 B、数字签名 C、散列函数算法 D、DES算法SET软件组件中安装在客户端的电子钱包一般是一个（B）独立运行的程序 B、浏览器的一个插件 C、客户端程序 D、单独的浏览器8.在不可否认业务中，用来保护收信人的业务是（A）源的不可否认性 B、传递的不可否认性C、提交的不可否认性 D、专递的不可否认性不属于公钥证书类型的有（A）密钥证书 B、客户证书 C、安全邮件证书 D、CA证书10.PKI是公钥的一种管理体制，在宏观上呈现一种域结构，在PKI的构成模型中，制定整个体系结构的安全政策是（B）A.PMA B、PA C、CA D、OPA11.在数字信封证，先用来打开数字信封的是（B）公钥 B、私钥 C、DES密钥 D、RSA密钥SSL握手协议的主要步骤有（B）三个 B、四个 C、五个 D、六个计算机病毒最重要的特征是（B）隐蔽性 B、传染性 C、潜伏性 D、破坏性一个典型的CA系统主要由几个部分构成（C）A、3 B、4 C、5 D、615目前信息安全传送的标准模式是（C）数字签名 B、消息加密 C、混合加密 D、数字信封多选题：1.电子商务系统可能遭受的攻击有 ( ABCDE )A.系统穿透B.植入