电子商务师考证试题2.docx
《电子商务师考证试题2.docx》由会员分享,可在线阅读,更多相关《电子商务师考证试题2.docx(24页珍藏版)》请在冰豆网上搜索。
电子商务师考证试题2
1.安全策略不包括()。
A.安全控制策略B.机构安全策略
C.系统安全策略D.安全策略目标
【解释】
安全策略:
是指在某个安全区域内(一个安全区域,通常是指属于某个组织的一系列处理和通信资源),用于所有与安全相关活动的一套规则。
这些规则是由此安全区域中所设立的一个安全权力机构建立的,并由安全控制机构来描述、实施或实现的。
安全策略有3个不同的描述:
(1)安全策略目标安全策略目标是某个机构对所保护的特定资源要达到的目标进行的描述。
(2)机构安全策略
机构安全策略是一套法律、规则及实际操作方法,用于规范某个机构如何来管理、保护和分配资源,以达到安全策略的既定目标。
(3)系统安全策略
系统安全策略描述如何将某个特定的信息技术系统付诸工程实现,以支持机构的安全策略要求。
2.安全控制策略的一个根本原则是()。
A.责任B.控制
C.权益D.机密
【解释】
影响网络系统以及部件设计的安全策略主要包括:
(1)授权授权是安全策略的基本组成部分。
所谓授权,是指赋予主体(用户、终端、程序等)对客体(数据、程序等)的支配权利,它规定了主体可以对客体做些什么。
(2)访问控制策略访问控制策略隶属于系统安全策略,它迫使计算机系统和网络自动地执行授权。
有几种不同的访问控制策略:
基于身份的策略,该策略允许或者拒绝对明确区分的个体或群体进行访问;基于任务的策略,它是基于身份的策略的一种变形,它给每一个体分配任务,并基于这些任务来使用授权规则;多等级策略,它是基于信息敏感性的等级以及工作人员许可证等级而指定的一般规则策略。
(3)责任支持所有安全控制策略的一个根本原则是责任。
受到安全策略制约的任何个体在执行任务时,需要对他们的行动负责任。
3.电子商务的安全性研究可分为计算机网络安全和()。
A.计算机本地安全B.商务平台安全
C.商务交易安全D.商务服务安全
【解释】
商务的安全性研究从整体上可分为两大部分:
计算机安全和商务交易安全。
计算机网络安全的内容包括:
计算机网络设备安全、计算机网络系统安全、数据库安全等。
其特征是针对计算机网络本身可能存在的安全问题,实施网络安全增强方案,以保证计算机网络自身的安全性为目标。
商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题,在计算机网络安全的基础上,如何保障电子商务过程的顺利进行。
即实现电子商务的保密性、完整性、可鉴别性、不可伪造性和不可抵赖性。
4.网络安全攻击事件中大部分是来自()的侵犯。
A.城域网B.内部网络
C.广域网D.外部网络
【解释】
内部局域网的安全威胁据调查在已有的网络安全攻击事件中约70%是来自内部网络的侵犯。
比如内部人员故意泄漏
内部网络的网络结构;安全管理员有意透露其用户名及口令;内部不怀好意员工编些破坏程序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。
种种因素都将网络安全构成很的威胁。
5.电子商务的安全风险,主要包括(),
A.信息传输风险、信用风险和管理风险
B.信息存储风险、信用风险和管理风险
C.信息传输风险、信用风险和运行风险
D.信息传输风险、信用风险和运行风险
【解释】电子商务的安全风险来源从交易双方分析了电子商务交易的安全威胁。
如果从整个电子商务系统着手分析,可以将电子商务的安全问题,归类为下面四类风险,即信息传输风险、信用风险、管理风险以及法律方面风险。
1、信息传输风险
信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非法的窃取、篡改和丢失,而导致网上交易的不必要损失。
从技术上看,网上交易的信息传输风险主要来自三方面:
(1)冒名偷窃。
如"黑客"为了获取重要的商业秘密、资源和信息,常常采用源IP地址
欺骗攻击。
(2)篡改数据。
攻击者XX进入网络交易系统,使用非法手段,删除、修改、重发某些重要信息,破坏数据的完整性,损害他人的经济利益,或干扰对方的正确决策,造成网上交易的信息传输风险。
(3)信息丢失。
交易信息的丢失,可能有三种情况:
一是因为线路问题造成信息丢失;二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。
(4)信息传递过程中的破坏。
信息在网络上传递时,要经过多个环节和渠道。
由于计算机技术发展迅速,原有的病毒防范技术、加密技术、防火墙技术等始终存在着被新技术攻击的可能性。
计算机病毒的侵袭、"黑客"非法侵入、线路窃听等很容易使重要数据在传递过程中泄露,威胁电子商务交易的安全。
此外,各种外界的物理性干扰,如通信线路质量较差、地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。
(5)虚假信息。
从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源于用户以合法身份进入系统后,买卖双方都可能在网上发布虚假的供求信息,或以过期的信息冒充现在的信息,以骗取对方的钱款或货物。
现在还没有很好的解决信息鉴别的办法。
与传统交易不同的是,网上交易的信息传输风险更为严重。
传统交易中的信息传递和保存主要通过有形的单证进行的,信息接触面比较窄,容易受到保护和控制。
即使在信息传递过程出现丢失、篡改等情况时,也可以通过留下的痕迹查找出现偏差原因。
而在网上传递的信息,是在开放的网络上进行的,与信息的接触面比较多,而且信息被篡改时可以不留下痕迹,因此网上交易时面临的信息传输风险比传统交易更为严重。
2、信用风险
信用风险主要来自三个方面:
(1)来自买方的信用风险。
对于个人消费者来说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行为;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。
(2)来自卖方的信用风险。
卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签定的合同,造成买方的风险。
(3)买卖双方都存在抵赖的情况。
传统交易时,交易双方可以直接面对面进行,信用风险比较容易控制。
由于网上交易时,物流与资金流在空间上和时间上是分离的,因此如果没有信用保证网上交易是很难进行的。
再加上网上交易一般是跨越时空的,交易双方很难面对面交流,信用的风险就很难控制。
这就要求网上交易双方必须有良好的信用,而且有一套有效的信用机制降低信用风险。
3、管理方面的风险网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。
(1)交易流程管理风险。
在网络商品中介交易的过程中,客户进入交易中心,买卖双方签定合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。
在这些环节上,都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。
为防止此类问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。
(2)人员管理风险。
人员管理常常是网上交易安全管理上的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是因工作人员职业道德修养不高,安全教育和管理松懈所致。
一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。
(3)网络交易技术管理的漏洞也带来较大的交易风险。
有些操作系统中的某些用户是无口令的,如匿名FTP,利用远程登陆(Telnet)命令登陆这些无口令用户,允许被信任用户不需要口令就可以进入系统,然后把自己升级为超级用户。
传统交易经过多年发展,在交易时有比较完善的控制机制,而且管理比较规范。
而网上交易还只经历了很短时间,还存在许多漏洞,这就要求加强对其进行管理和规范交易。
6.信用风险主要来自()三个方面。
A.买方的信用风险、监管机构的信用风险、买卖双方信用度都低
B.监管机构的信用风险、卖方的信用风险、买卖双方信用度都低
C.买方的信用风险、卖方的信用风险、监管机构的信用风险
D.买方的信用风险、卖方的信用风险、买卖双方信用度都低
【解释】
详情请参考第5题。
7.网上交易管理风险包括()。
A.交易流程管理风险、监督风险、交易技术管理风险
B.交易流程管理风险、人员管理风险、交易技术管理风险
C.监督风险、人员管理风险、交易技术管理风险
D.交易技术管理风险、人员管理风险、监督风险
【解释】
电子商务中的风险:
(1)信息传输风险。
信息传输风险是指进行网上交易时,因传输的信息失真或者信息被非
法窃取、篡改和丢失,而导致网上交易的不必要损失。
(2)信用风险。
信用风险主要来自三个方面:
①来自买方的信用风险。
对于个人消费者来
说,可能在网络上使用信用卡进行支付时恶意透支,或使用伪造的信用卡骗取卖方的货物行
为;对于集团购买者来说,存在拖延货款的可能,卖方需要为此承担风险。
②来自卖方的信用风险。
卖方不能按质、按量、按时寄送消费者购买的货物,或者不能完全履行与集团购买者签订的合同,造成买方的风险。
③买卖双方都存在抵赖的情况。
(3)管理风险。
网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不完善所带来的风险。
这些风险主要表现在:
①交易流程管理风险。
在网络商品中介交易的过程中,客户进入交易中心,买卖双方签订合同,交易中心不仅要监督买方按时付款,还要监督卖方按时提供符合合同要求的货物。
在这些环节上,都存在着大量的管理问题,如果管理不善势必造成巨大的潜在风险。
②人员管理风险。
人员管理常常是网上交易安全管理上的最薄弱的环节,近年来我国计算机犯罪大都呈现内部犯罪的趋势,其原因主要是因工作人员职业道德修养不高,安全教育和管理松懈所致。
一些竞争对手还利用企业招募新人的方式潜入该企业,或利用不正当的方式收买企业网络交易管理人员,窃取企业的用户识别码、密码、传递方式以及相关的机密文件资料。
③网络交易技术管理的漏洞的交易风险。
有些操作系统中的某些用户是无口令的,如匿名盯P,利用远程登陆(Teinet)命令登陆这些无口令用户,允许被信任用户不需要口令就可以进入系统,然后把自己升级为超级用户。
8.信息安全涉及到()。
A.信息的保密性、完整性、可用性、可控性
B.信息的保密性、准确性、可用性、可控性
C.信息的保密性、准确性、复用性、可控性
D.信息的保密性、准确性、可用性、可观察性
【解释】
信息安全是指防止信息财产被故意的或偶然的方法授权泄露、更改、破坏或使信息被非法辨识、控制。
即确保信息的保密性、可用性、完整性、可控性,综上所述,选项AB正确。
安全的基本特征如下:
1.保密性:
信息不泄露给非授权访问的用户、实体或被非法利用。
2.完整性:
数据XX不能被改变的特性,保证计算机信息数据不会受外界事件的干扰而被改变或丢失。
3.可用性:
可授权访问实体的特性,通常指当需要时能否正常存取和访问信息。
4.可控性:
指对信息的传播和内容具有可以控制的能力。
【答案】AB
9.保密性是建立在可靠性和()基础之上。
A.可用性B.准确性
C.复用性D.可控性
【解释】
认证、不可否认性、授权和访问控制。
所以从技术角度来讲,网络信息安全的技术特征
主要表现在系统的可用性、可靠性、保密性、完整性、确认性、可控性等方面。
1.可用性
可用性是网络信息可被授权实体访问并按需使用的特性。
可用性一般用系统正常使用时间和整个工作时间之比来度量。
2.可靠性可靠性是指网络信息系统能够在规定条件下和规定时间内完成规定功能的特性。
可靠性是系统安全的最基本要求之一,是所有网络信息系统建设和运行的基本目标。
3.保密性保密性是指网络信息不被泄露给非授权的个人或实体,信息只供授权用户使用的特性。
保密性是建立在可用性和可靠性基础之上的保障网络信息安全的重要手段。
4.完整性完整性是指网络信息在存储或传输过程中保持不被偶然或蓄意地删除、修改、伪造、乱序、重放、插入等破坏和丢失的特性。
完整性是一种面向信息的安全性,它要求保持信息的原样,即信息的正确生成、存储和传输。
5.确认性
确认性是指在网络信息系统的信息交互过程中,所有参与者都不能否认或抵赖曾经完成的操作和承诺。
通常可利用信息源证据来防止发送方否认发送过信息,利用递交接收证据可防止接收方否认接收到信息。
6.可控性可控性是指对网络信息的传播及内容具有控制能力的特性。
网络信息安全的核心是通过计算机、网络、密码技术和安全技术,保护在公用网络信息系统中传输、交换和存储消息的可用性、可靠性、保密性、完整性、确认性、可控性等。
10.完整性用来保持信息的()
A.
B.正确生成、正确存储和传输
D.正确生成、正确处理和传输
B.网络信息的内容
D.网络信息的传播的方式
正确生成、正确存储和处理
C.正确检测、正确存储和传输
【解释】
详情请参考第9题。
11.可控性是针对()的特性‘
A.网络信息的传播C.网络信息的传播及内容【解释】
详情请参考第9题。
12.网络信息安全的标准可分成()三类。
A.互操作标准、技术与工程标准、网络与信息安全管理标准
B.传输标准、技术与工程标准、网络与信息安全管理标准
C.互操作标准、存储标准、网络与信息安全管理标准
D.互操作标准、技术与工程标准、互联网标准
【解释】目前国际上通行的与网络和信息安全有关的标准,大致可分成三类:
互操作标准
比如,对称加密标准DES、3DES、IDEA以及被普遍看好的AES;非对称加密标准RSA;VPN标准IPSec;传输层加密标准SSL;安全电子邮件标准S-MIME;安全电子交易标准SET;通用脆弱性描述标准CVE。
这些都是经过一个自发的选择过程后被普遍采用的算法和协议,也就是所谓的“事实标准”。
技术与工程标准
比如,信息产品通用测评准则(CC/ISO15408);安全系统工程能力成熟度模型(SSE-CMM)。
网络与信息安全管理标准
比如,信息安全管理体系标准(BS7799);信息安全管理标准(ISO13335)。
13.数字签名技术是将()加密与原文一起传送。
A.摘要B.大纲
C.目录D.引言
【解释】
数字签名(digitalsignature)技术是将摘要用发送者的私钥加密,与原文一起传送给接收者。
接收者只有用发送者的公钥才能解密被加密的摘要。
在电子商务安全保密系统中,数字签名技术有着特别重要的地位,在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中都要用到数字签名技术。
14.对密钥进行管理的机构就称为()。
B.认证机构(CertificateAuthority,CA)
C.信息产业部D.数字认证中心
【解释】
电子商务认证授权机构(CA,CertificateAuthority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。
15.数字证书又叫数字凭证或()。
A.电子签名B.数字签名
C.电子标识D.数字标识
【解释】
数字证书(DigitalID)定义及内容数字证书又叫数字凭证、数字标识,它包含了证书持有者的有关信息,以标识他们的身份。
数字证书包括的内容有证书持有者的姓名、持有者的公钥、密钥的有效期。
16.数字证书包括的内容包括()。
A.证书持有者的姓名、证书持有者的密钥、公钥的有效期
B.证书持有者的姓名、证书持有者的公钥、密钥的有效期
C.证书持有者的姓名、证书持有者的密钥、密钥的有效期
D.证书持有者的姓名、证书持有者的公钥、公钥的有效期【解释】
数字证书是由权威身份认证机构发放、用来标志和证明持有者身份的数字信息。
数字证书中包含证书持有者的姓名、证书持有者的公钥、公钥的有效期、颁发数字证书的机构、数字证书的序列号等信息。
数字证书一般由数字证书颁发机构(CertificateAuthority,CA)制作颁
发。
获得数字证书后,可以将其保存在计算机、IC卡或USBKey中。
数字证书在电子商务、
电子邮件等领域的作用包括:
保证信息除发送方和接收方之外,不被其他人读识;保证信息在传输过程中不被篡改;发送方对自己所发信息不能抵赖等。
数字证书的另一个好处是在证
认使用者身份时,使用者的敏感个人资料不会被过度泄露。
我国各省、有权威的数字证书颁发机构。
国际上权威的数字证书颁发认证机构包括等。
自治区、直辖市都设
VeriSign、GeoTrust
17.认证机构发放的证书中的安全套接层证书简写为()证书。
【解释】
安全套接SS(LSecureSocketsLayer)协议最初是由NetscapeCommunication公司设计开发的,又叫“安全套接层(SecureSocketsLayer)协议”主要用于提高应用程序之间数据的安全系数。
SSL安全协议工作在网络传输层,使用与HTTP,Telent,FTP和NNTP等服务,SSL最广泛的
应用是Web安全访问,如网上交易,政府办公等。
18.认证机构发放的证书中安全电子交易证书简写为()证书。
【解释】
安全电子交易协议(SecureElectronicTransaction,简称SET协议)是基于信用卡在线支付的电于商务安全协议,它是由VISA和MasterCard两大信用卡公司于1997年5月联合推出的规范。
SET通过制定标准和采用各种密码技术手段,解决了当时困扰电子商务发展的安全问题。
目前它已经获得IETF标准的认可,已经成为事实上的工业标准。
19.()证书的作用是通过公开密钥来证明持证人的身份。
【解释】认证机构发放的证书分为两类:
SSL证书和SET证书。
一般地说,SSL(安全套接层)证书是服务于银行对企业或企业对企业的电子商务活动的;而SET(安全电子交易)证书则服务于
持卡消费、网上购物。
虽然它们都是用于识别身份和数字签名的证书,但它们的信任体系完全不同,而且符合的标准也不一样。
简单地说,SSL证书的作用是通过公开密钥证明持证人
的身份。
而SET证书的作用则是,通过公开密钥证明持证人在指定银行确实拥有该信用卡账号,同时也证明了持证人的身份。
20.()证书的作用是通过公开密钥来证明持证人在指定银行拥有该信用卡账户
【解释】详情请参考21题。
21.()是指一种逻辑装置,保护内部的网络不受外界侵害。
A.防火墙B.杀毒软件
C.防电墙D.路由器
【解释】
在计算机领域,防火墙是指一种逻辑装置,用来保护内部的网络不受来自外界的侵害。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙是建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,越来越多地应用于专用网络与公用网络地互联环境中,尤其以接入Internet网络最甚。
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
它主要用于实现网络路由的安全,这主要包括两个方面:
限制外部网对内部网的访问,从而保护内部网特定资源免受非法侵害;限制内部网的访问,主要是针对内部一些不健康信息及敏感信息的访问。
22.防火墙大体上可以划分为两类,基于包过滤(PacketFilter)和()。
A.基于TCP/IP
C.基于特定病毒
【解释】
B.基于代理服务(ProxyService)
D.基于特定服务
防火墙还可以划分以下几类:
前两类的区别是:
基于包过滤的防火墙通常直接转发报文,它对用户完全透明,速度较快;而代理服务型防火墙是通过代理服务器建立连接,它可以有更可强的身份验证和日志功能。
1.过滤防火墙,过滤防火墙是最简单的防火墙,通常只包括对源和目的的IP地址及端口的检查。
2.代理服务型防火墙,代理服务型防火墙使用一个客户程序与特定的中间节点(防火墙)连接,然后中间节点与服务器连接。
3.结合型防火墙,这种防火墙是把前两类防火墙结合,发挥各自的优势,满足更高安全性的要求。
23.()防火墙对用户完全透明。
A.通过代理服务器建立连接的B.基于Telnet的
C.基于包过滤的D.基于数据流的
【解释】
防火墙大体上可以分为两类:
一类基于PacketFilter(包过滤型),另一类基于ProxyService(代理服务)。
二者的区别在于:
基于PacketFilter的防火墙通常直接转发报文,它对用户完全透明,速度较快;而基于Proxy的防火墙则不是如此,它通过ProxyServer来建立连接,它可以有更强的身份验证(Authentication)和日志(log)功能。
24.()防火墙拥有很强的身份验证和日记功能。
A.通过代理服务器建立连接的
C.基于包过滤的
B.基于Telnet的
D.基于数据流的
【解释】详情请参考23题。
25.()通常只对源和目的IP地址及端口进行检查。
A.基于TCP/IP协议B.基于特定服务
C.基于包过滤的D.基于数据流的
【解释】
详情请参考22题。
26.入侵检测系统通常由()基本组件构成。
A.事件产生器、事件分析器、事件数据库、响应单元
B.故障产生器、事件分析器、事件数据库、响应单元
C.事件产生器、事件分析器、事件数据库、反馈单元
D.事件产生器、事件分析器、关系数据库、响应单元【解释】
IETF将一个入侵检测系统分为四个组件:
事件产生器(Eventgenerators);事件分析
器(Eventanalyzers);响应单元(Responseunits);事件数据库(Eventdatabases)。
事件产生器的目的是从整个计算环境中获得事件,并向系统的其他部分提供此事
件。
事件分析器分析得到的数据,并产生分析结果。
响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变文件属性等强烈反应,也可以只是简单的报警。
事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库,也可以是简单的文本文件。
27.根据原始数据的来源,入侵检测系统可分()
A.基于主机的入侵检测系统、基于应用的入侵检测系统和基于服务器端的入侵检测系统
B.基于服务器的入侵检测系统、基于应用的入侵检测系统和基于网络的入侵检测系统
C.基于主机的入侵检测系统、基于软件的入侵检测系统和基于服务器端的入侵检测系统
D.基于主机的入侵检测系统、基于应用的入侵检测系统和基于网络的入侵检测系统【解释】