电子商务安全》期末考试题旗舰版.docx
《电子商务安全》期末考试题旗舰版.docx》由会员分享,可在线阅读,更多相关《电子商务安全》期末考试题旗舰版.docx(11页珍藏版)》请在冰豆网上搜索。
电子商务安全》期末考试题旗舰版
电子商务安全期末考试A卷
一、选择题(单选)
下列选项中属于双密钥体制算法特点的是(C)
算法速度快B.适合大量数据的加密C.适合密钥的分配与管理D.算法的效率高
实现数据完整性的主要手段是(D)
对称加密算法B.非对称加密算法C.混合加密算法D.散列算法
【哈希函数压缩函数消息摘要杂凑函数数字指纹】
数字签名技术不能解决的安全问题是(C)
第三方冒充B.接收方篡改C.传输安全
4.病毒的重要特征是(B)
隐蔽性B.传染性C.破坏性D.可触发性
在双密钥体制的加密和解密过程中,要使用公共密钥和个人密钥,它们的作用是(A)
公共密钥用于加密,个人密钥用于解密B.公共密钥用于解密,个人密钥用于加密C.两个密钥都用于加密D.两个密钥都用于解密
在一次信息传递过程中,为实现传送的安全性、完整性、可鉴别性和不可否认性,这个过程采用的安全手段是(B)
双密钥机制B.数字信封C.双联签名D.混合加密系统
一个密码系统的安全性取决于对(A)
密钥的保护B.加密算法的保护C.明文的保护D.密文的保护
在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于(A)
包过滤型B.包检检型C.应用层网关型D.代理服务型
电子商务的安全需求不包括(B)[机密性、完整性、认证性、有效性、匿名性、不可抵赖]
可靠性B.稳定性C.真实性D.完整性
SSL握手协议包含四个主要步骤,其中第二个步骤为(B)
客户机HelloB.服务器HelloC.HTTP数据流D.加密解密
SET安全协议要达到的目标主要有(C)【机密性、保护隐私、完整性、多方认证、标准性】
三个B.四个C.五个D.六个
下面不属于SET交易成员的是(B)
持卡人B.电子钱包C.支付网关D.发卡银行
X205证书包含许多具体内容,下列选项中不包含在其中的是(C)
版本号B.公钥信息C.私钥信息D.签名算法
身份认证中的证书由(D)
政府机构B.银行发行C.企业团体或行业协会D.认证授权机构发行
目前发展很快的基于PKI的安全电子邮件协议是(A)
A.S/MIMEB.POPC.SMTPD.IMAP
选择题(多选)
下列属于单密钥体制算法的有(AC)
DESB.RSAC.AESD.SHA
下列公钥——私钥对的生成途径合理的有(BCD)
网络管理员生成B.CA生成
C.用户依赖的、可信的中心机构生成D.密钥对的持有者生成
防火墙不能解决的问题包括(BCE)
非法用户进入网络B.传送已感染病毒的文件或软件
C.数据驱动型的攻击D.对进出网络的信息进行过滤
E.通过防火墙以外的其它途径的攻击
PKI技术能有效的解决电子商务应用中的哪些问题(ABC)全选
A.机密性B.完整性C.不可否认性D.存取控制
E.真实性
20.SET要达到的主要目标有(ACDE)
A.信息的安全传输 B.证书的安全发放
C.信息的相互隔离 D.交易的实时性
E.多方认证的解决
填空:
1.SSL可用于保护正常运行于TCP上的任何应用协议,如 _HTTP__、__FTP_、SMTP或Telnet的通信。
2.VPN利用__隧道_协议在网络之间建立一个_虚拟__通道,以完成数据信息的安全传输。
3.PKI提供电子商务的基本__安全_需求,是基于_数字证书__的。
4.密码技术是保证网络、信息安全的核心技术。
信息在网络中传输时,通常不是以_明文_而是以__密文_的方式进行通讯传输的。
5.现在广为人们知晓的_传输控制_协议(TCP)和_网际__协议(IP),常写为TCP/IP。
6.数字签名分为确定和随机两种,其中RSA签名属于确定性签名,ELGamal签名属于
随机签名。
简答:
1.电子商务系统可能受到的攻击类型【粗体字为推荐答案】
答:
(1)系统穿透:
XX人同意,冒充合法用户接入系统,对文件进行篡改、窃取机密信息非法使用资源等。
(2)违反授权原则:
一个被授权进入系统做一件事的用户,在系统中做XX的其他事情。
(3)植入:
在系统穿透成功后,入侵者在系统中植入一种能力,为其以后攻击系统提供方便条件。
如注入病毒、蛀虫、特洛伊木马、陷阱等来破坏系统正常工作。
(4)通信监视:
这是一种在通信过程中从信道进行搭线窃听的方式。
通过搭线和电磁泄漏等对机密性进行攻击,造成泄密。
(5)通信干扰:
攻击者对通信数据或通信数据进行干预,对完整性进行攻击,篡改系统中数据的内容,修正消息次序、时间,注入伪造信息。
(6)中断:
对可用性进行攻击,破坏系统中的硬盘、硬件、线路等,使系统不能正常工作,破译信息和网络资源。
(7)拒绝服务:
指合法接入信息、业务或其他资源受阻。
(8)否认:
一个实体进行某种通信或交易活动,稍后否认曾进行过这一活动,不管这种行为是有意还是无意,一旦出现,再解决双方的争执就不容易了。
(9)病毒:
由于Internet的开放性,病毒在网络上的传播比以前快了许多,而Internet的出现又促进了病毒复制者间的交流,使新病毒层出不穷,杀伤力也大有提高。
(10)钓鱼网站。
2.PKI作为安全基础设施,能为用户提供哪些服务?
答:
(1)认证;(1分)
(2)数据完整性服务;(1分)
(3)数据保密性服务;(1分)
(4)不可否认性服务;(1分)
(5)公证服务。
五.论述:
1.双钥密码体制加密为什么可以保证数据的机密性和不可否认性?
答:
(1)双钥密码体制加密时有一对公钥和私钥,公钥公开,私钥由持有者保存;
(2)公钥加密后的数据只有持有者的私钥能解开,这样保证了数据的机密性;
(3)经私钥加密后的数据可被所有具有公钥的人解开,由于私钥只有持有者一人保存,这样就证明信息发自私钥持有者,具有不可否认性。
2.论述数字签名的必要性(对比传统签名,数字签名解决了什么问题)
答:
(1)传统手书签名仪式要专门预定日期时间,契约各方到指定地点共同签署一个合同文件,短时间的签名工作需要很长时间的前期准备工作。
(3分)这种状况对于管理者是延误时机,对于合作伙伴是丢失商机,对于政府机关是办事效率低下。
(2分)
(2)电子商务时代各种单据的管理必须实现网络化的传递。
(2分)保障传递文件的机密性应使用加密技术,保障其完整性则用信息摘要技术,而保障认证性和不可否认性则应使用数字签名技术。
(3分)
(3)数字签名可做到高效而快速的响应,任意时刻,在任何地点,只要有Internet就可以完成签署工作。
(3分)
(4)数字签名除了可用于电子商务中的签署外,还可用于电子办公、电子转帐及电子邮递等系统。
(2分)
公钥证书包括的具体内容:
答:
(1)版本信息;
(2)证书序列号;
(3)CA使用的签名算法;
(4)有效期;
(5)发证者的识别码;
(6)证书主题名;
(7)公钥信息;
(8)使用者Subject;
(9)使用者识别码;
(10)额外的特别扩展信息;
电子商务安全期末考试B卷
一、选择题:
1.电子商务的技术组成要素中不包括(D)
A.网络B、用户C、应用软件D、硬件
在中国制约VPN发展、普及的客观因素是(D)
客户自身的应用B、网络规模C、客户担心传输安全D、网络带宽
【思路点拨:
在我国,制约VPN的发展、普及的因素大致可分为客观因素和主观因素两方面;客观因素包括因特网带宽和服务质量QoS问题;主观因素之一是用户总害怕自己内部的数据在Internet上传输不安全;主观因素之二客户自身的应用跟不上。
】
3.在单公钥证书系统中,签发CA证书的机构是(C)
A.国家主管部门B、用户C、仅CA自己D、其他CA
CA系统中一般由多个部分组成,其核心部分为(B)
安全服务器B、CA服务器C、注册机构RAD、LDAP服务器
5.得到IBM、微软公司的支持已经成为事实上的工业标准的安全协议是(B)
A.SSLB、SETC、HTTPSD、TLS
6.SET协议中用来鉴别信息完整性的是(C)
RSA算法B、数字签名C、散列函数算法D、DES算法
SET软件组件中安装在客户端的电子钱包一般是一个(B)
独立运行的程序B、浏览器的一个插件C、客户端程序D、单独的浏览器
8.在不可否认业务中,用来保护收信人的业务是(A)
源的不可否认性B、传递的不可否认性
C、提交的不可否认性D、专递的不可否认性
不属于公钥证书类型的有(A)
密钥证书B、客户证书C、安全邮件证书D、CA证书
10.PKI是公钥的一种管理体制,在宏观上呈现一种域结构,在PKI的构成模型中,制定整个体系结构的安全政策是(B)
A.PMAB、PAC、CAD、OPA
11.在数字信封证,先用来打开数字信封的是(B)
公钥B、私钥C、DES密钥D、RSA密钥
SSL握手协议的主要步骤有(B)
三个B、四个C、五个D、六个
计算机病毒最重要的特征是(B)
隐蔽性B、传染性C、潜伏性D、破坏性
一个典型的CA系统主要由几个部分构成(C)
A、3B、4C、5D、6
15目前信息安全传送的标准模式是(C)
数字签名B、消息加密C、混合加密D、数字信封
多选题:
1.电子商务系统可能遭受的攻击有(ABCDE)
A.系统穿透B.植入C.违反授权原则
D.通信监视E.计算机病毒
2.目前比较常见的备份方式有 ( ABCDE )
A.定期磁带备份数据 B.远程磁带库备份C.远程数据库备份
D.网络数据镜像E.远程镜像磁盘
3.防火墙的基本组成有 ( ABCDE )
A.安全操作系统 B.过滤器C.网关
D.域名服务E.E-mail处理
4.在认证机构介入的网络商品销售的过程中,认证中心需要对参与网上交易的(ABD)进行身份认证。
A.消费者B.商家
C.邮政系统D.银行
5.SET要达到的主要目标有(ACDE)
A.信息的安全传输B.证书的安全发放C.信息的相互隔离
D.交易的实时性E.多方认证的解决
6.一个完整的商务活动,必须由(ABCD)几个流动过程有机构成。
A.信息流B.商流C.货币流D.物流
三、填空题(每个空格2分,共20分)
1.散列函数是将一个长度不确定的输入串转换成一个长度确定的输出串。
2.计算机病毒按破坏性分为良性病毒和恶性病毒。
3.对于商家和顾客的交易双方,SSL协议有利于商家而不利于顾客。
4.要保证证书是有效的,必须要满足这样一些条件:
一是证书没有超过有效期,二是密钥没有被修改,三是证书不在CA发行的无效证书清单中。
5.数字签名技术的主要功能是:
保证信息传输过程中的完整性,对发送者的身份认证,防止交易中的抵赖发生。
6.数字签名分为两种,其中RSA和Rabin签名属于确定性_签名,ELGamal签名属于_随机式__签名。
三、简答题(每题10分,共20分)
1.简述防火墙的基本组成部分。
答:
(1)安全操作系统;
﹙2)过滤器;
﹙3﹚网关;
﹙4﹚域名服务器;
﹙5﹚E-mail处理;
2.简述对称密钥体制的基本概念。
答:
对称加密又叫秘密秘钥加密,其特点是数据的发送方和接收方使用的是同一把秘钥,即把明文加密成密文和把密文解密成明文用的是同一把秘钥。
加密过程为:
发送方用自己的秘密秘钥对要发送的信息进行加密。
发送方将加密后的信息通过网络传送给接收方。
接收方用发送方进行加密的那把秘钥对接收到的加密信息进行解密,得到信息明文。
3.SET与SLL的区别与联系
答:
联系:
采用的都是公开秘钥加密法、私有秘钥加密法、数字摘要等加密技术与数字证书等认证手段。
都是应用于电子商务用的网络安全协议。
都能保证交易数据的安全性、保密性和完整性。
区别:
1)SSL与SET两种协议在网络中的层次不一样,SSL是基于传输层的协议,SET则是基于应用层的协议。
2)SSL加密所有的信息,而SET加密部分敏感信息,SET的安全性更高一些
3)SSL主要应用在浏览器上,而SET则主要应用于信用卡。
4)SSL速度快,成本低,SET速度慢,成本高。
四、论述题(每小题15分,共30分)
1.论述对称加密和非对称密钥体制的原理及各自特点。
解释在加密过程中为何常常将二者结合使用。
答:
对称加密(也称私钥加密)体制基本思想是,加密和解密均采用同一把秘密钥匙,在双方进行通信的时候,必须都要获得这把钥匙并保持钥匙的秘密,当给对刚发送信息的时,用自己的加密秘钥进行解锁,而在接收方收到数据后,用对方所给的密钥进行解密。
【特点】算法简单、加解密速度快、算法公开、计算量小、加密速度快、加密效率高、安全性高、。
缺点是密钥太多、密钥的产生、管理、分发都很复杂;不能实现数字签名;
非对称密钥加密(也称公钥加密)过程:
这种秘钥是成对使用的,每个用户都有一对选定的密钥,一个公开,另一个由用户安全拥有,当给对方发送信息的时候,用对方的公开密钥进行加密,而在接收方收到数据后,用自己的秘密密钥进行解密。
具体过程;
(1)用户生成一对密钥并将其中的一个作为公钥向其他用户公开;
(2)发送方使用该用户的公钥对信息进行加密后发送给接收方;(3)接收方利用自己保存的私钥对加密信息进行解密,接收方只能用自己的私钥解密由其公钥加密后的任何信息。
[特点]算法复杂、加解密速度慢、密钥管理简单、可用于数字签名。
正因为公开、秘密秘钥加密各有所长,所以将两者结合起来,形成混合加密方法。
将对称加密体制和非对称加密体制二者联合使用,可以解决电子商务所要求的机密性、真实性、不可否认性等安全要素,达到扬长避短的目的。
2.试述RSA加密算法中密钥的计算方法,并根据该方法计算:
(为计算方便)取p=3,q=5,e=3时的一组公式—私钥对。
如果明文为7,计算密文。
答:
(1)计算方法:
①独立选取两个素数:
p、q;
②计算n=pq;
③计算小于n并且与n互质的整数的个数Ø(n)=(p-1)(q-1);
④随机选取加密密钥e;要求e满足1≤e≤Ø(n),并且和Ø(n)互质;
⑤最后利用Euclid算法计算解密密钥d,满足ed=1(mod(Ø(n)));
其中n,d也要互质,e,n为公钥,d为私钥;
(2)计算密钥对∶
n=3×5=15
Ø(n)=2×4=8
e=3
由ed=1(mod(Ø(n)))得d=3
(3)计算密文:
当明文为7时,密文为﹙7×7×7﹚mod15=13
附录:
一、不定项选择题:
1.在防火墙技术中,内网这一概念通常指的是(A)
A.受信网络B.非受信网络
C.防火墙内的网络D.互联网
2.在目前电子商务的模式之中,交易金额所占比例最大的是(C)。
A.B-to-C电子商务B.B-to-A电子商务
C.B-to-B电子商务D.C-to-A电子商务
3.电子商务发展中存在的问题不包括(B)。
A.网络基础设施建设问题B.网站种类过于繁多
C.安全问题D.商家信誉问题
4.以下哪一项不在证书数据的组成中?
(D)
A.版本信息B.有效使用期限
C.签名算法D.版权信息
二、填空题(本大题共10空,每空1分,共10分)
1.电子商务安全的中心内容包括机密性,_完整性_,认证性,_不可否认_,不可拒绝性和访问控制性。
2.CFCA是由_中国人民银行_牵头的、联合14家全国性商业银行共同建立的_国家级权威性金融认证_机构。
3.实现不可否认性从机制上应当完成业务需求分析,证据生成,证据传送,_证据证实_,_证据保存_等业务活动。
4.按寄生方式计算机病毒可分为_文件型_,_引导型_和复合型病毒。
5.数字信封是用__接受方_的公钥加密DES的密钥,该DES密钥是_发送方_随机产生的用来加密消息的密钥。
6.身份证明可以分为身份识别和身份证实两大类。
7.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准,其中C2级又称为访问控制保护级。
8.常用的对数据库的加密方法有3种,其中与DBMS分离的加密方法是加密桥。
一个身份证明系统一般由3方组成,一方是示证者,另一方是验证者,第三方是可信赖者。
9.电子商务系统中,商务对象的认证性用数字签名和身份认证技术实现。
10.Internet的接入控制主要对付三类入侵者,他们是地下用户、伪装者和违法者。
11.提高数据完整性的预防性措施一般有:
镜像技术、故障前兆分析、奇偶校验、隔离不安全的人员和电源保障。
12.CTCA目前提供如下几种证书:
安全电子邮件证书、个人数字证书、企业数字证书、服务器数字证书和SSL服务器。
13.Kerberos服务任务被分配到两个相对独立的服务器:
__认证_服务器和__票据授权__服务器,它同时应该连接并维护一个中央数据库存放用户口令、标识等重要信息。
14.接入控制的功能有三个:
阻止非法用户进入系统__、__允许合法用户进入系统_和使合法人按其权限进行各种信息活动。
15.IPSec有两种工作模式,分别是_____传输模式_____和____隧道模式______。
16.商务数据的机密性可用_____加密_____和__信息隐匿______技术实现。
17.PKI是基于__数字ID____的,作用就象是一个电子护照,把用户的____数字签名_____绑接到其公钥上。
18.通过一个____密钥_____和__加密算法____可将明文变换成一种伪装的信息。
19.CTCA采用分级管理,由全国CA中心、省____RA中心___和地市级____业务受理点____组成。
美国橘黄皮书中为计算机安全的不同级别制定了4个共____7_____级标准,其中_____D____级为最低级别。
28.IPSec是一系列保护IP通信的规则的集合,它包含__传输模式____与___隧道模式______两种工作模式。
29.证书申请包括了用户证书的申请与商家证书的申请,其申请方式包括__网上申请__和__离线申请____。
30.中国金融认证中心的英文简写为__CFCA____,它是由__中国人名银行___牵头,联合多家商业银行共同建立的国家级权威金融认证机构。
6.在服务器面临的攻击威胁中,攻击者通过控制一台连接于入侵目标网的计算机,然后从网上断开,让网络服务器误以为___黑客____就是实际的客户端,这种威胁称为_劫持入侵___。
27.根据近代密码学的观点,一个密码系统的安全性取决于对__密钥___的保护,而不取决于对__算法_的保密。
28.在网络连接技术中,从表面上看它类似于一种专用连接,但实际上是在共享网络上实现的,这种连接技术称为__VPN__,它往往使用一种被称作___隧道__的技术。
29.一个典型的CA系统包括安全服务器、注册机构RA、__CA服务器__、__LDAP服务器__和数据库服务器等。
30.SSL就是客户和商家在通信之前,在Internet上建立一个“秘密传输信息的信道”,保障了传输信息的___机密性_、完整性和__认证性_____。
2.试述提高数据完整性的预防性措施。
答:
预防性措施是用来防止危及到数据完整性事情的发生。
可采用以下措施:
(1)镜像技术。
镜橡技术是指将数据原样地从一台设备机器拷贝到另一台设备机器上。
(2)故障前兆分析。
有些部件不是一下子完全坏了,例如磁盘驱动器,在出故障之前往往有些征兆,进行故障前兆分析有利于系统的安全。
(3)奇偶校验。
奇偶校验也是服务器的一个特性。
它提供一种机器机制来保证对内存错误的检测,因此,不会引起由于服务器出错而造成数据完整性的丧失。
(4)隔离不安全的人员。
对本系统有不安全的潜在威胁人员,应设法与本系统隔离。
电源保障。
使用不间断电源是组成一个完整的服务器系统的良好方案。
3.简述电子商务的安全隐患
答:
电子商务系统的安全问题不仅包括了计算机系统的隐患,还包括了一些自身独有的问题。
(1)数据的安全。
一个电子商务系统必然要存储大量的商务数据,这是其运转的核心。
一旦发生数据丢失或损坏,后果不堪设想。
(2)交易的安全。
这也是电子商务系统所独有的。
4.简述计算机病毒的分类方法
答:
(1)按寄生方式分为引导型病毒,文件型病毒和复合型病毒。
(2)按破坏性分为良性病毒和恶性病毒。
升级会员 