《电子商务安全》复习资料.docx
《《电子商务安全》复习资料.docx》由会员分享,可在线阅读,更多相关《《电子商务安全》复习资料.docx(41页珍藏版)》请在冰豆网上搜索。
《电子商务安全》复习资料
《电子商务安全》课程期末复习资料
《电子商务安全》课程讲稿章节目录
第一章 电子商务安全概论
第一节电子商务安全发展概况
第二节电子商务安全概述
第三节电子商务安全的前沿问题
第二章 电子商务安全技术
第一节数据加密技术
第二节通信加密技术
第三节密钥管理与分发技术
第四节认证技术
第五节数字水印与数字版权保护技术
第三章 电子商务安全协议
第一节IP协议安全体系
第二节电子邮件安全协议
第三节安全超文本传输协议
第四节安全套接层协议
第五节安全电子交易协议
第四章 电子商务的交易安全
第一节电子商务交易安全概述
第二节电子商务交易系统的安全
第三节电子商务交易中的物流安全
第四节电子商务交易安全体系
第五章 电子商务的支付安全
第一节电子商务支付概述
第二节电子商务支付安全需求
第三节电子商务支付安全体系
第四节电子商务安全支付平台
第六章 电子商务的信息安全
第一节电子商务信息安全概述
第二节电子商务信息安全目标
第三节电子商务信息安全技术
第四节电子商务信息安全评估
第七章 电子商务的网络安全
第一节电子商务网络安全概述
第二节电子商务网络系统安全目标
第三节电子商务网络安全技术
第四节电子商务网络安全策略与标准
第五节电子商务网络安全评估
第八章 电子商务安全管理
第一节电子商务安全管理概述
第二节电子商务风险管理
第三节电子商务系统管理
第四节电子商务信用管理
第五节电子商务人员管理与保密制度
第九章 移动电子商务安全
第一节移动电子商务安全概述
第二节移动电子商务安全技术与协议
第三节移动电子商务的安全策略
第四节移动电子商务的安全管理
第十章 实验
一、客观部分:
(单项选择、多项选择、不定项选择、判断)
(一)、单向选择题
1.消息传送给接收者后,要对密文进行解密是所采用的一组规则称作()D
A.加密B.密文C.解密D.解密算法
★考核知识点:
数据加密技术
参见讲稿章节:
2-1
附1.1.1(考核知识点解释):
所谓数据加密(DataEncryption)技术是指将一个信息(或称明文,plaintext)经过加密钥匙(Encryptionkey)及加密函数转换,变成无意义的密文(ciphertext),而接收方则将此密文经过解密函数、解密钥匙(Decryptionkey)还原成明文。
加密技术是网络安全技术的基石。
2.基于有限域上的离散对数问题的公钥密码体制是()A
A.ELGamalB.AESC.IDEAD.RSA
★考核知识点:
ELGamal算法
参见讲稿章节:
2-1
附1.1.2(考核知识点解释):
ElGamal算法,是一种较为常见的加密算法,它是基于1984年提出的公钥密码体制和椭圆曲线加密体系。
既能用于数据加密也能用于数字签名,其安全性依赖于计算有限域上离散对数这一难题。
在加密过程中,生成的密文长度是明文的两倍,且每次加密后都会在密文中生成一个随机数K,在密码中主要应用离散对数问题的几个性质:
求解离散对数(可能)是困难的,而其逆运算指数运算可以应用平方-乘的方法有效地计算。
也就是说,在适当的群G中,指数函数是单向函数
3.在以下签名机制中,一对密钥没有与拥有者的真实身份有唯一的联系的是()A
A.单独数字签名B.RSA签名C.ELGamal签名D.无可争辩签名
★考核知识点:
数字签名
参见讲稿章节:
2-4
附1.1.3(考核知识点解释):
数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。
这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
数字签名一般是基于公钥密码体制的。
4.VPN按服务类型分类,不包括的类型是()A
A.InternetVPNB.AccessVPNC.ExtranetVPND.IntranetVPN
★考核知识点:
VPN
参见讲稿章节:
7-3
附1.1.4(考核知识点解释):
虚拟专用网络的功能是:
在公用网络上建立专用网络,进行加密通讯。
在企业网络中有广泛应用。
VPN网关通过对数据包的加密和数据包目标地址的转换实现远程访问。
VPN有多种分类方式,主要是按协议进行分类。
VPN可通过服务器、硬件、软件等多种方式实现。
5.以下说法不正确的是()A
A.在各种不用用途的数字证书类型中最重要的是私钥证书
B.公钥证书是由证书机构签署的,其中包含有持证者的确切身份
C.数字证书由发证机构发行
D.公钥证书是将公钥体制用于大规模电子商务安全的基本要素
★考核知识点:
数字证书
参见讲稿章节:
2-4
附1.1.5(考核知识点解释):
数字证书就是互联网通讯中标志通讯各方身份信息的一串数字,提供了一种在Internet上验证通信实体身份的方式,数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。
它是由权威机构——CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份
6.以下说法不正确的是()C
A.RSA的公钥一私钥对既可用于加密,又可用于签名
B.需要采用两个不同的密钥对分别作为加密-解密和数字签名-验证签名用
C.一般公钥体制的加密用密钥的长度要比签名用的密钥长
D.并非所有公钥算法都具有RSA的特点
★考核知识点:
非对称加密技术
参见讲稿章节:
2-1
附1.1.6(考核知识点解释):
RSA是目前最有影响力的公钥加密算法,它能够抵抗到目前为止已知的绝大多数密码攻击,已被ISO推荐为公钥数据加密标准。
RSA算法基于一个十分简单的数论事实:
将两个大素数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
7._______是整个CA证书机构的核心,负责证书的签发。
()B
A.安全服务器B.CA服务器C.注册机构RAD.LDAP服务器
★考核知识点:
认证技术
参见讲稿章节:
2-4
附1.1.7(考核知识点解释):
CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。
CA机构的数字签名使得攻击者不能伪造和篡改证书。
在SET交易中,CA不仅对持卡人、商户发放证书,还要对获款的银行、网关发放证书。
CA是证书的签发机构,它是PKI的核心。
CA是负责签发证书、认证证书、管理已颁发证书的机关。
它要制定政策和具体步骤来验证、识别用户身份,并对用户证书进行签名,以确保证书持有者的身份和公钥的拥有权。
CA也拥有一个证书(内含公钥)和私钥。
网上的公众用户通过验证CA的签字从而信任CA,任何人都可以得到CA的证书(含公钥),用以验证它所签发的证书。
8.能够有效的解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题的是()A
A.PKIB.SETC.SSLD.ECC
★考核知识点:
PKI
参见讲稿章节:
2-1
附1.1.8(考核知识点解释):
PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。
9.在PKI的性能中,_______服务是指从技术上保证实体对其行为的认可。
()D
A.认证B.数据完整性C.数据保密性D.不可否认性
★考核知识点:
PKI
参见讲稿章节:
2-1
附1.1.9(考核知识点解释):
PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
X.509标准中,将PKI定义为支持公开密钥管理并能支持认证、加密、完整性和可追究性服务的基础设施。
10.以下不可否认业务中为了保护发信人的是()D
A.源的不可否认性B.递送的不可否认性C.提交的不可否认性D.B和C
★考核知识点:
交易安全中的不可否认性
参见讲稿章节:
4-2
附1.1.10(考核知识点解释):
不可否认性,又称抗抵赖性,即由于某种机制的存在,人们不能否认自己发送信息的行为和信息的内容。
传统的方法是靠手写签名和加盖印章来实现信息的不可否认性。
在电子商务环境下,可以通过数字证书机制进行的数字签名和时间戳,保证信息的抗抵赖。
11.SSL支持的HTTP,是其安全版,名为()A
A.HTTPSB.SHTTPC.SMTPD.HTMS
★考核知识点:
安全套接层协议SSL
参见讲稿章节:
3-4
附1.1.11(考核知识点解释):
SSL协议指定了一种在应用程序协议(如HTTP、Telnet、NNTP和FTP等)和TCP/IP协议之间提供数据安全性分层的机制,它为TCP/IP连接提供数据加密、服务器认证、消息完整性以及可选的客户机认证。
12.SET系统的运作是通过_______个软件组件来完成的。
()C
A.2B.3C.4D.5
★考核知识点:
安全电子交易协议SET
参见讲稿章节:
3-5
附1.1.12(考核知识点解释):
SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。
SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
13.把明文变成密文的过程,称为()A
A.加密B.密文C.解密D.加密算法
★考核知识点:
数据加密技术
参见讲稿章节:
2-1
附1.1.13(考核知识点解释):
数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。
它的核心是密码学。
数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。
它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
14.以下加密法中属于公钥密码体制的是()D
A.DESB.AESC.IDEAD.ECC
★考核知识点:
公钥密码体系
参见讲稿章节:
2-1
附1.1.14(考核知识点解释):
密钥对在基于公钥体系的安全系统中,密钥是成对生成的,每对密钥由一个公钥和一个私钥组成。
在实际应用中,私钥由拥有者自己保存,而公钥则需要公布于众。
为了使基于公钥体系的业务(如电子商务等)能够广泛应用,一个基础性关键的问题就是公钥的分发与管理。
公钥本身并没有什么标记,仅从公钥本身不能判别公钥的主人是谁。
15.MD-4散列算法,输入消息可为任意长,按_______比特分组。
()A
A.512B.64C.32D.128
★考核知识点:
散列算法
参见讲稿章节:
2-1
附1.1.15(考核知识点解释):
产生一些数据片段(例如消息或会话项)的散列值的算法。
好的散列算法具有根据输入数据中的变动来更改散列值结果的特性;因此,散列对于检测在诸如消息等大型信息对象中的任何变化很有用。
MD4是麻省理工学院教授RonaldRivest于1990年设计的一种信息摘要算法。
它是一种用来测试信息完整性的密码散列函数的实行。
其摘要长度为128位,一般128位长的MD4散列被表示为32位的十六进制数字。
这个算法影响了后来的算法如MD5、SHA家族和RIPEMD等。
16.SHA算法中,输入的消息长度小于264比特,输出压缩值为____比特。
()C
A.120B.140C.160D.264
★考核知识点:
SHA算法
参见讲稿章节:
2-1
附1.1.16(考核知识点解释):
SHA将输入流按照每块512位(64个字节)进行分块,并产生20个字节的被称为信息认证代码或信息摘要的输出。
该算法输入报文的长度不限,产生的输出是一个160位的报文摘要。
输入是按512位的分组进行处理的。
SHA-1是不可逆的、防冲突,并具有良好的雪崩效应。
对于长度小于2^64位的消息,SHA1会产生一个160位的消息摘要。
该算法经过加密专家多年来的发展和改进已日益完善,并被广泛使用。
该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。
散列函数值可以说是对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。
17.计算机病毒最重要的特征是()B
A.隐蔽性B.传染性C.潜伏性D.表现性
★考核知识点:
计算机病毒
参见讲稿章节:
6-3
附1.1.17(考核知识点解释):
计算机病毒是一个程序,一段可执行码。
就像生物病毒一样,具有自我繁殖、互相传染以及激活再生等生物病毒特征。
计算机病毒有独特的复制能力,它们能够快速蔓延,又常常难以根除。
它们能把自身附着在各种类型的文件上,当文件被复制或从一个用户传送到另一个用户时,它们就随同文件一起蔓延开来。
18.主要用于防火墙的VPN系统,与互联网密钥交换IKE有关的框架协议是()A
A.IPSecB.L2FC.PPTPD.GRE
★考核知识点:
IPSec
参见讲稿章节:
7-3
附1.1.18(考核知识点解释):
IPSec是IETF(InternetEngineeringTaskForce,Internet工程任务组)的IPSec小组建立的一组IP安全协议集。
IPSec定义了在网际层使用的安全服务,其功能包括数据加密、对网络单元的访问控制、数据源地址验证、数据完整性检查和防止重放攻击。
IPSec的安全服务要求支持共享密钥完成认证和/或保密,并且手工输入密钥的方式是必须要支持的,其目的是要保证IPSec协议的互操作性。
当然,手工输入密钥方式的扩展能力很差,因此在IPSec协议中引入了一个密钥管理协议,称Internet密钥交换协议——IKE,该协议可以动态认证IPSec对等体,协商安全服务,并自动生成共享密钥。
19.以下不是接入控制的功能的是()B
A.阻止非法用户进入系统B.组织非合法人浏览信息
C.允许合法用户人进入系统D.使合法人按其权限进行各种信息活动
★考核知识点:
访问控制技术
参见讲稿章节:
7-3
附1.1.19(考核知识点解释):
防止对任何资源进行未授权的访问,从而使计算机系统在合法的范围内使用。
意指,用户身份及其所归属的某项定义组来限制用户对某些信息项的访问,或限制对某些控制功能的使用的一种技术,如UniNAC,网络准入控制系统的原理就是基于此技术之上。
访问控制通常用于系统管理员控制用户对服务器、目录、文件等网络资源的访问。
20.用数字办法确认、鉴定、认证网络上参与信息交流者或服务器的身份是指()B
A.接入控制B.数字认证C.数字签名D.防火墙
★考核知识点:
安全认证技术
参见讲稿章节:
2-4
附1.1.20(考核知识点解释):
身份认证技术是在计算机网络中确认操作者身份的过程而产生的有效解决方法。
计算机网络世界中一切信息包括用户的身份信息都是用一组特定的数据来表示的,计算机只能识别用户的数字身份,所有对用户的授权也是针对用户数字身份的授权。
如何保证以数字身份进行操作的操作者就是这个数字身份合法拥有者,也就是说保证操作者的物理身份与数字身份相对应,身份认证技术就是为了解决这个问题。
21.关于密钥的安全保护下列说法不正确的是()A
A.私钥送给CAB.公钥送给CA
C.密钥加密后存人计算机的文件中D.定期更换密钥
★考核知识点:
密钥管理技术
参见讲稿章节:
2-3
附1.1.21(考核知识点解释):
密钥管理包括,从密钥的产生到密钥的销毁的各个方面。
主要表现于管理体制、管理协议和密钥的产生、分配、更换和注入等。
22._______在CA体系中提供目录浏览服务。
()D
A.安全服务器B.CA服务器C.注册机构RAD.LDAP服务器
★考核知识点:
认证技术
参见讲稿章节:
2-4
附1.1.22(考核知识点解释):
数字证书不是数字身份证,而是身份认证机构盖在数字身份证上的一个章或印(或者说加在数字身份证上的一个签名)。
它是由权威机构—CA机构,又称为证书授权(CertificateAuthority)中心发行的,人们可以在网上用它来识别对方的身份。
23.Internet上很多软件的签名认证都来自_______公司。
()D
A.BaltimoreB.EntrustC.SunD.VeriSign
★考核知识点:
数字签名
参见讲稿章节:
2-4
附1.1.23(考核知识点解释):
代码签名证书是VeriSign针对网上发布控件、应用程序、驱动程序等产生的代码安全问题提供的一种安全、可信产品,能满足各种数字签名的应用需要,让内容提供商和软件开发商能数字签名其软件代码、宏代码、设备驱动程序、硬件固化程序、病毒更新码、配置文件等。
24.目前发展很快的安全电子邮件协议是_____,这是一个允许发送加密和有签名邮件的协议。
()C
A.IPSecB.SMTPC.S/MIMED.TCP/1P
★考核知识点:
电子邮件安全协议
参见讲稿章节:
3-2
附1.1.24(考核知识点解释):
安全多媒体Internet邮件扩展协议(S/MIME),主要用于保障电子邮件的安全传输。
采用数字标识、数字凭证、数字签名以及非对称密钥系统等技术,构成一种签名加密的邮件收发方式。
S/MIME是多功能电子邮件扩充报文基础上添加数字签名和加密技术的一种协议。
25.实现源的不可否认业务中,第三方既看不到原数据,又节省了通信资源的是()C
A.源的数字签字B.可信赖第三方的数字签字
C.可信赖第三方对消息的散列值进行签字D.可信赖第三方的持证
★考核知识点:
数字签名
参见讲稿章节:
2-4
附1.1.25(考核知识点解释):
PGP技术不但可以对电子邮件加密,防止非授权者阅读信件;还能对电子邮件附加数字签名,使收信人能明确了解发信人的真实身份;也可以在不需要通过任何保密渠道传递密钥的情况下,使人们安全地进行保密通信。
PGP技术创造性地把RSA不对称加密算法的方便性和传统加密体系结合起来,在数字签名和密钥认证管理机制方面采用了无缝结合的巧妙设计,使其几乎成为最为流行的公钥加密软件包。
26.SET的含义是()B
A.安全电子支付协议B.安全数据交换协议
C.安全电子邮件协议D.安全套接层协议
★考核知识点:
安全套接层协议
参见讲稿章节:
3-5
附1.1.26(考核知识点解释):
SET协议是B2C上基于信用卡支付模式而设计的,它保证了开放网络上使用信用卡进行在线购物的安全。
SET主要是为了解决用户,商家,银行之间通过信用卡的交易而设计的,它具有的保证交易数据的完整性,交易的不可抵赖性等种种优点,因此它成为目前公认的信用卡网上交易的国际标准。
27.电子商务,在相当长的时间里,不能少了政府在一定范围和一定程度上的介入,这种模式表示为()A
A.B2GB.B2CC.B2BD.C2C
★考核知识点:
电子商务
参见讲稿章节:
1-1
附1.1.27(考核知识点解释):
电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,ValueAddedNetwork)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。
28.在电子商务的安全需求中,交易过程中必须保证信息不会泄露给非授权的人或实体指的是()C
A.可靠性B.真实性C.机密性D.完整性
★考核知识点:
电子商务
参见讲稿章节:
1-1
附1.1.28(考核知识点解释):
电子商务是以信息网络技术为手段,以商品交换为中心的商务活动;也可理解为在互联网(Internet)、企业内部网(Intranet)和增值网(VAN,ValueAddedNetwork)上以电子交易方式进行交易活动和相关服务的活动,是传统商业活动各环节的电子化、网络化、信息化。
29.通过一个密钥和加密算法可将明文变换成一种伪装的信息,称为()B
A.密钥B.密文C.解密D.加密算法
★考核知识点:
数据加密
参见讲稿章节:
2-1
附1.1.29(考核知识点解释):
数据加密,指通过加密算法和加密密钥将明文转变为密文,而解密则是通过解密算法和解密密钥将密文恢复为明文。
它的核心是密码学。
数据加密目前仍是计算机系统对信息进行保护的一种最可靠的办法。
它利用密码技术对信息进行加密,实现信息隐蔽,从而起到保护信息的安全的作用。
30.与散列值的概念不同的是()B
A.哈希值B.密钥值C.杂凑值D.消息摘要
★考核知识点:
散列函数
参见讲稿章节:
2-1
附1.1.30(考核知识点解释):
散列值是将值从一个大的(可能很大)定义域映射到一个较小值域的(数学)函数。
“好的”散列函数是把该函数应用到大的定义域中的若干值的(大)集合的结果可以均匀地(和随机地)被分布在该范围上。
31.SHA的含义是()A
A.安全散列算法B.密钥C.数字签名D.消息摘要
★考核知识点:
散列函数
参见讲稿章节:
2-1
附1.1.31(考核知识点解释):
SHA(SecureHashAlgorithm,译作安全散列算法)是美国国家安全局(NSA)设计,美国国家标准与技术研究院(NIST)发布的一系列密码散列函数。
SHA散列函数已被做为SHACAL分组密码算法的基础。
32.外网指的是()A
A.非受信网络B.受信网络C.防火墙内的网络D.局域网
★考核知识点:
电子商务网络安全技术
参见讲稿章节:
7-3
附1.1.32(考核知识点解释):
所谓防火墙指的是一个有软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
防火墙是一种保护计算机网络安全的技术性措施,它通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。
这里所说的外网一般是指不受信任的外部Internet网络,而内网是完全受信任的企业内部网络。
33.IPSec提供的安全服务不包括()A
A.公有性B.真实性C.完整性D.重传保护
★考核知识点:
IP安全协议体系
参见讲稿章节:
3-1
附1.1.33(考核知识点解释):
Internet协议安全性(IPSec)是一种开放标准的框架结构,通过使用加密的安全服务以确保在Internet协议(IP)网络上进行保密而安全的通讯。
IPSec通过端对端的安全性来提供主动的保护以防止专用网络与Internet的攻击。
在通信中,只有发送方和接收方才是唯一必须了解IPSec保护的计算机。
34.______可以作为鉴别个人身份的证明:
证明在网络上具体
升级会员 