电子商务安全习题.docx
《电子商务安全习题.docx》由会员分享,可在线阅读,更多相关《电子商务安全习题.docx(20页珍藏版)》请在冰豆网上搜索。
电子商务安全习题
电子商务安全习题
一、 选择题(单选或多选)
1. 电子商务的主要参与者是(C)
A企业、商家、银行、ISP B消费者、企业、商家、银行
C企业、消费者、中介机构、政府 D消费者、IT行业、网络公司、商家
2. 下列说法错误的是(BE)
A电子商务本身并不是高科技B电子商务是对传统商务的一种革命C电子商务的本质是商务 D电子商务本身并不是高科技,它只是高科技的应用。
E网上教育并不属于电子商务的范畴
3. 属于电子商务基础中的支柱是(AC)
A公共政策 BWWW C技术标准 DInternet E密码
4. 在电子商务交易过程中,消费者个人的隐私一般指(C)
A消费者个人购买商品的价格、数量等。
B消费者个人信用卡的密码、电话号码、年龄等。
C消费者个人人的姓名、肖像、性别、身份等D小分这个人的姓名、家庭地址、婚姻情况等
5. 在网上交易中,如果订单在传输过程中订货数量发生变化,则破坏了安全需求中的(C)
A身份鉴别 B数据机密性 C数据完整性 D不可抵赖性
二、填空题
1、按照使用网络的类型来分类,电子商务可分为基于(EDI网络)的电子商务、基于(内联网)的电子商务和基于(互联网)的电子商务。
2、电子商务的一般框架从最基础的技术层次到电子商务的应用层次分为(网络层)、(消息/信息发布层)和(一般业务服务层)3个层次,它们构成电子商务的基础层次。
3、电子商务安全交易体系,概括起来包括3个层次(信息加密算法)、(安全认证技术)、(安全交易协议)。
4、所谓访问控制,包括(进入物理区域)的限制和对(计算机存取数据过程)的限制。
5、电子商务的本质是(商务),核心是(人)。
6、电子商务的安全问题主要涉及(信息安全问题)、(信用安全问题)、(安全的管理问题)以及电子商务的法律保障问题。
7、电子商务安全国际规范最具有代表性的有(SSL协议)和(SET协议)。
8、实现电子商务安全必须具有的3个特征为(保密性)、(完整性)和(可用性)。
三、判断题(错误或正确)
1、电子商务系统一般是基于C/S结构的。
(×)
2、电子商务安全仅仅是一个企业安全部门的事情。
(×)
3、为了推动电子商务发展,应立足于允许企业尽可能收集个人数据,但必须注意保密,以最大限度的保护企业利益的原则来制定关于网络隐私的法律。
(×)
4、保障电子商务安全除了应用技术手段外,还必须采用法律手段。
(√)
四、简答题
1、电子商务的技术特征是什么?
电子商务的应用特征是什么?
答:
电子商务的技术特征主要包括:
①信息化,②虚拟性,③集成性,④可拓展性,⑤安全性,⑥系统性;电子商务的应用特征主要包括:
商务性,服务性,协调性,社会性,全球性。
2、一个企业开展电子商务需要考虑那几方面的风险?
从电子交易过程看存在哪些风险?
答:
一个企业开展电子商务需要考虑风险的三个领域:
危害性、不确定性和机遇。
(1)危害性:
安全性、法律和规则问题、税收、电子商务的弹性
(2)不确定性:
消费者的信心、与广告商的关系、改变流程
(3)机遇:
建立客户忠诚度、优化业务流程、创造新的产品和服务
从电子交易过程看存在风险有:
产品识别风险、质量控制风险、网上支付风险、物权转移中的风险、信息传递风险。
3、电子商务安全涉及到的法律要素主要有哪些?
答:
电子商务安全涉及到的法律要素主要有:
①保障交易各方身份认证的法律
②电子合同的法律地位③对电子商务中消费者权益保护的法律
④网络知识产权保护的法律。
4、简述电子商务系统的典型结构。
(1)客户机/服务器(C/S)结构
(2)B/W/S三层结构
(3)电子商务系统结构:
①客户层、②web服务层、③应用服务层、④企业信息系统层
5、简述电子商务系统安全的构成。
答:
电子商务系统的基本组成有:
计算机网络、用户、配送中心、认证中心、银行、商家。
信息源节点
信息目的节点
一、选择题(单选或多选)
非法用户
1、图2-7所示表示信息被(B)
A篡改 B伪造 C截取 D窃听图 2-7选择题1图示
2、下列表述错误的是(B)
A选择统计是利用人体所具备的生物特征来认证,其中包换 多种类型的验证,如指纹、眼膜、语谙音等。
B入侵检测是100%安全的,能检测出合法用户对信息的非正常访问。
C防病毒软件如果没设置合理,那么可以降低系统遭受恶意攻击的机会
D智能卡有漏洞,不能防止对系统漏洞进行攻击
3、在电子商务安全设置中。
利用指纹、声音、DNA图案、视图膜扫描图案等信息来设置安全信息的属于(A)
A生物统计系统 B智能卡技术 C验证技术 D入侵检测技术
4、在网上交易中,如果订单在传输过程中订货数量发生变化,则破坏了安全需求中的(C)
A身份鉴别 B数据机密性 C数据完整性 D不可抵赖性
二、填空题
1、网络信息安全目标有(完整性)(保密性)(及时性)(真实性)以及可控性。
2、电子商务安全交易体系的一般框架从最基础的网络安全层次到系统应用层次分成(加密技术)(完全认证)(安全协议)3个层次它们构成电子商务安全交易体系。
3、在电子商务安全交易体系中,安全协议层涉及到的安全技术有(SET)和(SSL)
4、数字签名技术属于(安全认证层)的安全技术。
三、判断题(错误或正确)
1、加密技术层的安全技术手段有加密技术和SET协议(错)
2、防火墙可以防范所有的入侵,是目前世界最安全的防范技术(错)
3、对于电子商务来说,我们不能依赖于任何一种安全方案或安全产品,事实上是没有一种产品可以全面保护系统的信息财产。
我们需要综合使用,合理配置。
(对)
四、简答题
1、什么情况下防火墙无效?
答:
在受到黑客攻击、感染了病毒DNS服务器解释出错、与设置代理服务器有关或设置了防火墙无效的情况下防火墙是无效的。
2、简述安全防范体系有那些,各自的优缺点是什么?
安全防范系统是指以维护社会公共安全和预防、制止违法犯罪和重大治安事故为目的的,将人防、物防、技防有机结合的整体.主要有以下三类:
(1)阻止非法侵入特定场所、非法使用特定器物。
如电子锁、电子门禁系统、机动车防盗器等。
(2)对非法侵入、非法触及、非法使用等行为,或人身伤害进行有效监测、警示的装置。
如银行使用的监视系统、防盗抢系统,住宅安全防盗系统,旅行防盗器、贵重物品防盗器、小孩走失报警器等。
(3)探测各种灾害、事故的先兆,并发出警告的预警装置等。
如:
火灾报警器、煤气泄露报警等。
3、简述电子商务系统安全交易体系的构成。
(1)系统应用层:
保密性、认证性、及时性、真实性、不可否认性、不可拒绝性、访问控制性
(2)安全协议层:
SET协议、SSL协议(3)安全认证层:
数字证书、数字时间戳、数字签名、数字摘要(4)加密技术层:
对称加密、非对称加密(5),网络安全层:
防火墙、智能卡、入侵检测、反病毒。
一、选择题
1.加密技术是电子商务采取的主要安全措施之一,贸易方可根据需要在信息交换的过程中使用。
所谓加密技术指的是(D)
A.将数据进行编码,使它成为一段数字字符
B.将数据进行编码,使它成为一种不可理解的形式
C.将数据进行编码,使它成为一段字母字符
D.将数据进行编码,使它成为一段看不见的字母、数字混合字符
2.非对称加密将密钥分解为一对密钥,即(D)
A.一把公开的加密密钥和一把公开的解密密钥
B.一把秘密的加密密钥和一把公开的解密密钥
C.一把公开的加密密钥和一把秘密的解密密钥
D.一把公开的密钥或加密密钥和一把专用的密钥或揭秘密钥
3.密钥的长度是指密钥的位数,一般来说(A)
A.密钥的位数越长,被破译的可能就越小B.密钥的位数越短,被破译的可能就越小
C.密钥的位数越长,被破译的可能就越大D.以上说法都正确
4.数据(A)服务可以保证接收方所接收的信息流与发送方的信息流是一致的。
A.完整性 B.加密 C.访问控制 D.认证技术
5.常见的非对称密钥加密算法是(B)
A.DES算法 B.RSA算法 C.MD5算法 D.IDEA算法
6.目前最常见的对称加密方法是(B)
A.RSA B.DES C.IDEA D.CA
7.包过滤器又称(BD)
A.堡垒主机 B.筛选路由器 C.代理服务器 D.屏蔽路由器
8.双宿主主机是一台(B)网络接口卡的计算机
A.有1块 B.有2块 C.有3块 D.没有
9.IPSec协议和下列(C)隧道协议同处于一个层次
A.PPTP B.L2TP C.GER D.没有
10.通常所说的移动式VPN,指(C)
A.Internet VPN B.Extranet VPN C.Acess VPN D.没有
11.防火墙(A)不通过它的连接
A.不能控制 B.能控制 C.能过滤 D.能禁止
12.最简单的防火墙是使用(C)
A.双宿主网关 B.主机过滤 C.包过滤 D.子网过滤
13.包是网络上信息流动的单位,每个包由(ABC)组成
A.包头 B.包尾 C.数据 D.地址
二、判断题
1.与公钥加密相比,私钥加密速度慢,但性能好。
(√)
2.加密密钥和解密密钥相同的称为公钥加密。
(×)
3.被动攻击是指在不影响网络正常工作的情况下,黑客进行信息的截获、窃取、破译等攻击方式。
(√)
4.一个密钥在停止使用后,该密钥保护的信息就可以公开了,因为这个密钥以及加密过的文件已经不重要了。
(×)
5.在网络安全中,采取了数据备份以及恢复措施后,就不用考虑网络防病毒措施了,因为出现病毒后可以重新安装系统。
(×)
6.由于新病毒总是先于杀病毒软件的出现,所以,杀毒软件应该定期不断第更新才能更好地预防病毒、减少损失。
(√)
7.安全问题可以说是电子商务中最重要的问题。
(√)
8.伪造是指未授权方不仅获取了对信息的访问而且篡改了信息。
(×)
9.数据签名是使用单向Hash函数加密算法对一个任意长度的报文进行加密,生成一个固定长度的密文。
(×)
10.密钥恢复功能发生在密钥管理生命期的撤销阶段。
(√)
三、填空题
1.防止信息源节点用户对他所发送的信息事后不承认,或者是信息目的的节点接收到信息之后却不认账问题地出现称为(抵赖)。
2.黑客有选择地破坏信息的有效性和完整性的攻击方式称为(主动攻击)。
3.防火墙技术可根据防范的方式和侧重点不同而分为很多种类型,但总体来讲可分为3类,它们是(分组过滤)、(代理服务)、(状态检测)。
4.目前,防火墙的体系结构一般有4种,它们是(屏蔽路由器体系结构)、(双重宿主主机体系结构)、(被屏蔽主机体系结构)、(被屏蔽子网体系结构)。
5.一般VPN组网方式有3种,它们是(AccessVPN)、(IntranetVPN)、(ExtranetVPN)。
6.VPN中,生成隧道的协议有两种:
第二层隧道协议和第三层隧道协议,其中第二层隧道协议有(L2F)、(PPTP)和(L2TP)
7.公共入侵检测框架(CommonIntrusionFramework,CIDF)阐述了一个入侵检测系统(IDS)的通用模型。
它将一个入侵检测系统分为4个组件,它们是(事件产生器)、(事件分析器)、(响应单元)和(事件数据库)
8.入侵检测技术IDS是一种主动保护自己免受攻击的一种网络安全技术,根据信息源不同,入侵检测系统可分为(基于主机入侵检测)和(基于网络的入侵检测)两大类。
9.基于网络的入侵检测系统的攻击分析模块通常使用4种常用技术来识别攻击标志,它们是(模式匹配)、(频率或穿越阈值)、(次要时间的相关性)和(统计学意义上的异常现象检测)。
10.计算机病毒的基本特征包括以下几部分:
(计算机病毒的传染性)、(计算机病毒的破坏性)、(计算机病毒的潜伏性)和(计算机病毒的隐蔽性)。
四、简答题
1.在一个互联网中,是否允许网络用户不经过允许就可以私自与外界网络建立连接,并且进行双向数据交换?
为什么?
如果预防此种情况的发生?
答:
允许不允许。
这首先要看工作时是否需要用到外网,如果需要用外网肯定是允许的。
其次是看企业内部网络对安全的要求有多高,安全性要求越高就越不能上外网,因为互联网存在很多不安全的因素,比如木马、病毒等等。
预防这种情况主要两个方面:
(1)、防火墙:
屏蔽部分外网链接或允许部分外网链接
(2)、路由器或交换机:
端口限制。
2.对称加密体制和非对称加密体制有什么区别?
答:
在对称加密体制中,加密使用的密钥和解密使用的密钥是形同,即使加密密钥和解密密钥不相同,也可以从其中一个推导出另一个。
对称加密体制又称为“单密钥体制”。
对称加密体制的算法是公开的,交换信息的双方不需要交换加密算法,而是采用相同的加密算法,但需要交换加密密钥,即使用对称加密方法,加密方法和解密方法必须使用同一加密算法和相同的密钥。
非对称加密体制对信息的加密和解密使用不同的密钥,即需要两个密钥:
公开密钥和私有密钥。
公开密钥使用密钥对,如果用公开密钥对数据进行加密,只有用对应的似有密钥才能进行解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密,又称为公钥加密技术
3.简述防火墙定义。
答:
防火墙就是介于内部网络和不可信任的外部网络之间的一系列部件的组合,它是不同网络或网络安全之间信息的唯一出入口根据企业的总体安全策略控制(如允许、拒绝)出入内部可信任网络的信息流,而且防火墙本身具备很强的抗攻击能力提供信息安全服务和实现网络及信息安全的基础设施。
4.简述分组过滤防火墙的优点和缺点。
答:
分组过滤器是目前使用最为广泛的防火墙,其原理很简单:
(1)、有选择地允许数据分组穿过防火墙,实现内部和外部主机之间的数据交换;
(2)、作用在网络层和传输层;(3)、根据分组的源地址、目的地址、端口号、协议类型等标志确定是否允许数据包通过。
满足过滤逻辑的数据包才被转发,否则丢弃。
7.写出DNS服务、SMTP服务、SNMP服务和FTP服务分别对应的端口。
答:
DNS:
53 SMTP:
25 SNMP:
161,162 FTP:
21,20
一、 填空题
1、 PKI的英文全称和中文全称分别是(PublicKeyInfrastructure)和(公共基础设施)。
2、 PKI的性能要求主要包括(安全性)、(开放性)、(扩展性)和(易操作性)。
3、 PKI系统的常用信任模型主要包括(认证机构的严格层次结构模型)、(分布式信任结构模型)、(Web模型)、(以用户为中心的信任模型)。
二、 判断题
1、 用户一般都无法在InternetExplore浏览器中查看数字证书。
(×)
2、 在Windows2000PKI中,独立根CA是认证体系中最高的级别的证书颁发机构,它不需要活动目录。
(√)
3、 目前,智能卡同普通信用卡的功能几乎相同。
(×)
三、 单项选择题
1、 关于数字签名,以下说法不正确的是(A)
A 能够保证签名者身份的权威性
B 能够保证信息是由签发者自己签名发送的
C 能够保证信息是由签发后到收到为止未曾做过任何的修改
D 是由发送者用自己的私钥对信息加以处理而生成的文件
2、关于CA机构,以下说法不正确的是(B)
A CA机构又称为认证中心B CA机构不需要为银行发放数字证书
C CA机构承担公钥系统中公钥的合法性检验的责任
D CA机构认证的数字签名使得攻击者不能伪造和篡改数字证书
3、关于数字证书的应用,以下说法正确的是(D)
A 目前还无法为个人用户发放数字证书B 企业用户数字证书的申请可以直接在网上进行
C 数字证书目前还没有应用于非支付型的电子商务活动
D 数字证书的应用范围涉及需要身份认证和数据安全的各个行业
四、多项选择题
1、关于数字证书以下说法正确的是(ABCD)
A 有认证中心发型 B 经认证中心数字签名
C 其作用类似于日程生活中的身份证D 是网络通讯中证明各方身份的一系列数据
2、可以使用数字证书,通过运用对称和非对称密码体制等密码技术建立起一套严密的身份认证系统,从而保证(BCD)
A 传输的信息是正确的B 发送方对于自己发送的信息不能抵赖
C 信息除发送方和接收方以外不被他人窃取
D 接收方能够通过数字证书来确认发送方的身份
3、关于公钥体制,以下说法正确的是(AD)
A 利用私钥解密和签名B 利用公钥加密和签名
C 利用私钥解密和验证签名D 利用公钥加密和验证签名
五、简答题
1、简述PKI的组成和功能
答:
典型的PKI系统是由5个部分组成的:
证书申请者、注册机构、认证中心、证书库和证书信任方。
其中,认证中心、注册机构和证书库三部分是PKI的核心,证书申请者和证书信任方则是利用PKI进行网上交易的参加者。
1、证书申请者的功能⑴证书请求⑵生成密钥对⑶生成证书请求格式⑷密钥更新技术⑸安装/存储私有密钥⑹安装/存储证书⑺私有密钥的签名和解密⑻向其他用户传送证书
⑼证书撤销请求
2、 注册机构⑴验证申请者的身份⑵批准证书⑶证书撤销请求
3、 认证中心⑴批准证书请求⑵生成密钥对⑶密钥的备份⑷撤销证书
⑸发布CRL⑹生成CA根证书⑺签发证书⑻证书发放⑼交叉认证
4、 证书库⑴存储证书⑵提供证书⑶确认证书状态
5、 证书信任方⑴接受证书⑵证书请求⑶核实证书⑷检查身份和数字签名⑸数据加密
一、选择题(单选或多选)
1. 如果贸易双方的账号在不同的银行,可采取下列(AC)支付方式。
A支票支付 B汇票支付 C本票支付 D通过自动清算所ACH支付 E电子资金汇兑支付
2.下列电子交易模型中不适合小额交易的是(ABC)
A支付系统无安全措施的模型 B通过第三方经纪人支付的模型
C电子现金支付模型 D支付系统使用简单加密的模型
3.电子钱包内可以装入(BCDE)信息。
A传统现金 B电子现金 C电子零钱D电子信用卡 E所有者的身份证书
4.微支付系统的设计目标是(ABCD).
A费用低 B延迟为不可忽略程度 C具有普遍性和可伸缩性 D单击就可以支付
二、填空题
1.支付是指为清偿(商品交换)和(劳务活动)引起的债务、债权关系,由(银行)提供的(金融服务)业务。
2.信用卡是由(银行)或(专门的信用卡公司)签发的证明持卡人(信誉良好),并可以在指定的商店所进行消费的一种(信用凭证)。
3.实时在线电子支付是电子商务的(关键环节),也是电子商务得以顺利发展的(基础条件)。
4.目前比较有影响力的电子现金支付系统有(Digicash)、(Netcash)和(Mandex)。
5.目前流行的主要互联网支票有(Netcheque)、(PayNow)和(Echeck)。
三、判断题
1.纸币本身没有价值。
(ü)
2.硬币本身没有价值。
(×)
3.信用卡按功能分为贷记卡、借记卡和复合卡3种.(ü)
4.电子支付对软硬件设施都有很高的要求。
(ü)
5.电子支付的工作环境是基于一个封闭的系统平台之中。
(×)
6.电子信用卡又称智能卡。
(×)
四.简答题
1.什么是电子支付?
答:
电子支付,指的是以金融电子化网络为基础,以商用电子化机具和各类交易卡为媒介,以计算机技术和通信技术为手段,以电子数据形式存储在银行的计算机系统中,并通过计算机网络系统以电子信息传递形式实现流通和支付。
2. 什么是电子现金?
答:
电子现金是一种以数据形式存在的现金货币。
它把现金数值转换成为一系列加密序列数,通过这些序列数来表示现实中各种金额的币值。
用户在开展电子现金业务的银行开设账户内存钱后就可以在接受电子现金的商店购物。
3. 什么是电子钱包?
答:
电子钱包是一种具有存取款和转账消费功能的智能卡。
4. 什么是电子支票?
答:
电子支票(Electroniccheck,echeck)是一种借鉴纸质支票转移支付的优点,利用数字传递将钱款从一个账户转移到另一个账户的电子付款形式。
一、选择题
1.数字证书采用公钥体制,即利用一对相互匹配的密钥进行(B)。
A 加密 B 加密、解密 C 解密 D安全认证
2.数字证书的作用是证明证书中列出的用户合法拥有证书中列出的(D)。
A私人密钥 B加密密钥 C解密密钥 D公开密钥
3.在电子钱包内可以装入各种(A)。
A电子货币 B数字证书 C用户资料 D认证资料
4.电子钱包是与浏览器一起工作的(D)。
A应用软件 B信息系统 C集成系统 D助手应用程序
5.CA的中文含义是(D)。
A电子中心 B金融中心 C银行中心 D认证中心
二、填空题
1.SET协议的内容包括(SET的交易流程)、(程序设计规格)和(SET协议的完整描述)。
2.SET协议中的相关成员有(持卡人)、(商家)、(收单银行)、(支付网关)、(电子货币)、(认证机构)和(付款转接站)。
3.在SET协议中使用(随机)产生的(对称)密钥来加密数据。
然后将此(对称密钥)用接受者的(公钥加密)称为消息的数字信封。
4.(双重签名)是SET协议提出的数字签名的新应用。
三、判断题
1.SET即安全电子交易。
(ü)
2.VISA与MasterCard两家公司共同制定了SET协议。
(ü)
3.密钥系统又称非对称密码系统。
(×)
4.公钥系统又称密码系统。
(×)
5.Hash算法并不是加密算法。
(ü)
四、解答题
1.SET协议的主要目标是什么?
答:
SET是一个基于可信的第三方认证中心的方案,它要实现的主要目标有下列三个方面:
(1)保障付款安全
(2)确定应用的互通性(3)达到全球市场的接受性
因此,SET协议保证了电子交易的机密性、数据完整性、身份的合法性和不可否认性。
2.简述SET协议的购物流程与支付流程。
SET协议的购物流程
(1)在消费者与特约商店之间,持卡人消费前先确认商店的合法性,由商店出示它的证书。
(2)持卡人确认后即可下订单,