1、电子商务师考证试题21.安全策略不包括() 。A.安全控制策略 B.机构安全策略C.系统安全策略 D.安全策略目标【解释】安全策略: 是指在某个安全区域内 (一个安全区域, 通常是指属于某个组织的一系列处理和 通信资源),用于所有与安全相关活动的一套规则。这些规则是由此安全区域中所设立的一 个安全权力机构建立的,并由安全控制机构来描述、实施或实现的。安全策略有 3 个不同的描述:( 1)安全策略目标 安全策略目标是某个机构对所保护的特定资源要达到的目标进行的描述。( 2)机构安全策略机构安全策略是一套法律、 规则及实际操作方法, 用于规范某个机构如何来管理、 保护 和分配资源,以达到安全策略的
2、既定目标。( 3)系统安全策略系统安全策略描述如何将某个特定的信息技术系统付诸工程实现, 以支持机构的安全策 略要求。2安全控制策略的一个根本原则是() 。A.责任 B.控制C.权益 D.机密【解释】影响网络系统以及部件设计的安全策略主要包括:(1)授权 授权是安全策略的基本组成部分。所谓授权,是指赋予主体 (用户、终端、程序等 )对客 体(数据、程序等 )的支配权利,它规定了主体可以对客体做些什么。(2)访问控制策略 访问控制策略隶属于系统安全策略, 它迫使计算机系统和网络自动地执行授权。 有几种 不同的访问控制策略: 基于身份的策略, 该策略允许或者拒绝对明确区分的个体或群体进行 访问;
3、基于任务的策略, 它是基于身份的策略的一种变形,它给每一个体分配任务,并基于 这些任务来使用授权规则; 多等级策略, 它是基于信息敏感性的等级以及工作人员许可证等 级而指定的一般规则策略。(3)责任 支持所有安全控制策略的一个根本原则是责任。受到安全策略制约的任何个体在执行任务 时,需要对他们的行动负责任。3电子商务的安全性研究可分为计算机网络安全和() 。A.计算机本地安全 B.商务平台安全C.商务交易安全 D.商务服务安全【解释】商务的安全性研究从整体上可分为两大部分:计算机安全和商务交易安全。 计算机网络安全的内容包括: 计算机网络设备安全、 计算机网络系统安全、 数据库安全 等。其特征
4、是针对计算机网络本身可能存在的安全问题, 实施网络安全增强方案, 以保证计 算机网络自身的安全性为目标。商务交易安全则紧紧围绕传统商务在互联网络上应用时产生的各种安全问题, 在计算机 网络安全的基础上, 如何保障电子商务过程的顺利进行。 即实现电子商务的保密性、 完整性、 可鉴别性、不可伪造性和不可抵赖性。4网络安全攻击事件中大部分是来自()的侵犯。A.城域网 B.内部网络C.广域网 D.外部网络【解释】内部局域网的安全威胁 据调查在已有的网络安全攻击事件中约 70%是来自内部网络的侵犯。 比如内部人员故意泄漏内部网络的网络结构; 安全管理员有意透露其用户名及口令; 内部不怀好意员工编些破坏程
5、 序在内部网上传播或者内部人员通过各种方式盗取他人涉密信息传播出去。 种种因素都将网 络安全构成很的威胁。5电子商务的安全风险,主要包括() ,A.信息传输风险、信用风险和管理风险B.信息存储风险、信用风险和管理风险C.信息传输风险、信用风险和运行风险D.信息传输风险、信用风险和运行风险【解释】 电子商务的安全风险来源 从交易双方分析了电子商务交易的安全威胁。 如果从整个电子商务系统着手分析, 可以将电 子商务的安全问题, 归类为下面四类风险,即 信息传输风险 、信用风险、管理风险以及法律 方面风险。1、信息传输风险信息传输风险是指进行网上交易时, 因传输的信息失真或者信息被非法的窃取、 篡改
6、和 丢失, 而导致网上交易的不必要损失。 从技术上看, 网上交易的信息传输风险主要来自三方 面:(1)冒名偷窃。如 黑客 为了获取重要的商业秘密、资源和信息,常常采用源 IP地址欺骗攻击。(2)篡改数据。攻击者XX进入网络交易系统,使用非法手段,删除、修改、重 发某些重要信息,破坏数据的完整性,损害他人的经济利益, 或干扰对方的正确决策, 造成 网上交易的信息传输风险。( 3)信息丢失。交易信息的丢失,可能有三种情况:一是因为线路问题造成信息丢失; 二是因为安全措施不当而丢失信息;三是在不同的操作平台上转换操作不当而丢失信息。(4)信息传递过程中的破坏。信息在网络上传递时,要经过多个环节和渠道
7、。由于计 算机技术发展迅速, 原有的病毒防范技术、 加密技术、 防火墙技术等始终存在着被新技术攻 击的可能性。计算机病毒的侵袭、 黑客 非法侵入、线路窃听等很容易使重要数据在传递过 程中泄露, 威胁电子商务交易的安全。 此外, 各种外界的物理性干扰, 如通信线路质量较差、 地理位置复杂、自然灾害等,都可能影响到数据的真实性和完整性。(5)虚假信息。从买卖双方自身的角度观察,网上交易中的信息传输风险还可能来源 于用户以合法身份进入系统后, 买卖双方都可能在网上发布虚假的供求信息, 或以过期的信 息冒充现在的信息,以骗取对方的钱款或货物。现在还没有很好的解决信息鉴别的办法。与传统交易不同的是, 网
8、上交易的信息传输风险更为严重。 传统交易中的信息传递和保 存主要通过有形的单证进行的, 信息接触面比较窄, 容易受到保护和控制。 即使在信息传递 过程出现丢失、 篡改等情况时, 也可以通过留下的痕迹查找出现偏差原因。 而在网上传递的 信息, 是在开放的网络上进行的, 与信息的接触面比较多, 而且信息被篡改时可以不留下痕 迹,因此网上交易时面临的信息传输风险比传统交易更为严重。2、信用风险信用风险主要来自三个方面:(1)来自买方的信用风险。 对于个人消费者来说,可能在网络上使用信用卡进行支付时恶 意透支, 或使用伪造的信用卡骗取卖方的货物行为; 对于集团购买者来说, 存在拖延货款的 可能,卖方需
9、要为此承担风险。(2)来自卖方的信用风险。 卖方不能按质、按量、按时寄送消费者购买的货物,或者不能 完全履行与集团购买者签定的合同,造成买方的风险。(3)买卖双方都存在抵赖的情况。传统交易时,交易双方可以直接面对面进行, 信用风险比较容易控制。 由于网上交易时,物 流与资金流在空间上和时间上是分离的, 因此如果没有信用保证网上交易是很难进行的。 再 加上网上交易一般是跨越时空的, 交易双方很难面对面交流, 信用的风险就很难控制。 这就 要求网上交易双方必须有良好的信用,而且有一套有效的信用机制降低信用风险。3、管理方面的风险 网上交易管理风险是指由于交易流程管理、 人员管理、 交易技术管理的不
10、完善所带来的 风险。(1) 交易流程管理风险。在网络商品中介交易的过程中,客户进入交易中心,买卖双方签定 合同, 交易中心不仅要监督买方按时付款, 还要监督卖方按时提供符合合同要求的货物。 在 这些环节上, 都存在着大量的管理问题, 如果管理不善势必造成巨大的潜在风险。 为防止此 类问题的风险需要有完善的制度设计,形成一套相互关联、相互制约的制度群。(2)人员管理风险。人员管理常常是网上交易安全管理上的最薄弱的环节,近年来我国 计算机犯罪大都呈现内部犯罪的趋势, 其原因主要是因工作人员职业道德修养不高, 安全教 育和管理松懈所致。 一些竞争对手还利用企业招募新人的方式潜入该企业, 或利用不正当
11、的 方式收买企业网络交易管理人员, 窃取企业的用户识别码、 密码、 传递方式以及相关的机密 文件资料。(3)网络交易技术管理的漏洞也带来较大的交易风险。有些操作系统中的某些用户是无 口令的,如匿名 FTP,利用远程登陆 (Telnet)命令登陆这些无口令用户,允许被信任用户不 需要口令就可以进入系统,然后把自己升级为超级用户。传统交易经过多年发展, 在交易时有比较完善的控制机制, 而且管理比较规范。 而网上 交易还只经历了很短时间,还存在许多漏洞,这就要求加强对其进行管理和规范交易。6信用风险主要来自()三个方面。A.买方的信用风险、监管机构的信用风险、买卖双方信用度都低B.监管机构的信用风险
12、、卖方的信用风险、买卖双方信用度都低C.买方的信用风险、卖方的信用风险、监管机构的信用风险D. 买方的信用风险、卖方的信用风险、买卖双方信用度都低【解释】详情请参考第 5 题。7网上交易管理风险包括() 。A.交易流程管理风险、监督风险、交易技术管理风险B.交易流程管理风险、人员管理风险、交易技术管理风险C.监督风险、人员管理风险、交易技术管理风险D.交易技术管理风险、人员管理风险、监督风险【解释】电子商务中的风险: (1)信息传输风险。信息传输风险是指进行网上交易时 , 因传输的信息失真或者信息被非法窃取、篡改和丢失 , 而导致网上交易的不必要损失。(2)信用风险。信用风险主要来自三个方面
13、: 来自买方的信用风险。对于个人消费者来说, 可能在网络上使用信用卡进行支付时恶意透支 , 或使用伪造的信用卡骗取卖方的货物行为; 对于集团购买者来说 , 存在拖延货款的可能 , 卖方需要为此承担风险。来自卖方的信 用风险。卖方不能按质、按量、按时寄送消费者购买的货物 , 或者不能完全履行与集团购买 者签订的合同 , 造成买方的风险。买卖双方都存在抵赖的情况。(3)管理风险。 网上交易管理风险是指由于交易流程管理、人员管理、交易技术管理的不 完善所带来的风险。 这些风险主要表现在: 交易流程管理风险。 在网络商品中介交易的过 程中 , 客户进入交易中心 , 买卖双方签订合同 , 交易中心不仅要
14、监督买方按时付款 , 还要监 督卖方按时提供符合合同要求的货物。在这些环节上 , 都存在着大量的管理问题 , 如果管理 不善势必造成巨大的潜在风险。 人员管理风险。 人员管理常常是网上交易安全管理上的最 薄弱的环节 , 近年来我国计算机犯罪大都呈现内部犯罪的趋势 , 其原因主要是因工作人员职 业道德修养不高 , 安全教育和管理松懈所致。 一些竞争对手还利用企业招募新人的方式潜入 该企业 , 或利用不正当的方式收买企业网络交易管理人员 , 窃取企业的用户识别码、密码、 传递方式以及相关的机密文件资料。 网络交易技术管理的漏洞的交易风险。 有些操作系统 中的某些用户是无口令的 , 如匿名盯 P,
15、利用远程登陆 (Teinet) 命令登陆这些无口令用户 , 允 许被信任用户不需要口令就可以进入系统 , 然后把自己升级为超级用户。8信息安全涉及到() 。A. 信息的保密性、完整性、可用性、可控性B.信息的保密性、准确性、可用性、可控性C.信息的保密性、准确性、复用性、可控性D. 信息的保密性、准确性、可用性、可观察性【解释】信息安全是指防止信息财产被故意的或偶然的方法授权泄露、 更改、破坏或使信息被非法辨 识、控制。即确保信息的保密性、可用性、完整性、可控性,综上所述,选项 AB 正确。 安全的基本特征如下:1 保密性:信息不泄露给非授权访问的用户、实体或被非法利用。 2完整性:数据XX不
16、能被改变的特性,保证计算机信息数据不会受外界事件的干扰 而被改变或丢失。3可用性:可授权访问实体的特性,通常指当需要时能否正常存取和访问信息。 4可控性:指对信息的传播和内容具有可以控制的能力。【答案】 AB9.保密性是建立在可靠性和()基础之上。A.可用性 B.准确性C.复用性 D.可控性【解释】认证、 不可否认性、 授权和访问控制。所以从技术角度来讲, 网络信息安全的技术特征主要表现在系统的可用性、可靠性、保密性、完整性、确认性、可控性等方面。1可用性可用性是网络信息可被授权实体访问并按需使用的特性。 可用性一般用系统正常使用时 间和整个工作时间之比来度量。2可靠性 可靠性是指网络信息系统
17、能够在规定条件下和规定时间内完成规定功能的特性。 可靠性 是系统安全的最基本要求之一,是所有网络信息系统建设和运行的基本目标。3保密性 保密性是指网络信息不被泄露给非授权的个人或实体,信息只供授权用户使用的特性。 保密性是建立在可用性和可靠性基础之上的保障网络信息安全的重要手段。4完整性 完整性是指网络信息在存储或传输过程中保持不被偶然或蓄意地删除、 修改、伪造、 乱 序、重放、 插入等破坏和丢失的特性。完整性是一种面向信息的安全性,它要求保持信息的 原样,即信息的正确生成、存储和传输。5确认性确认性是指在网络信息系统的信息交互过程中, 所有参与者都不能否认或抵赖曾经完成 的操作和承诺。 通常
18、可利用信息源证据来防止发送方否认发送过信息, 利用递交接收证据可 防止接收方否认接收到信息。6可控性 可控性是指对网络信息的传播及内容具有控制能力的特性。 网络信息安全的核心是通过计算机、 网络、 密码技术和安全技术, 保护在公用网络信息 系统中传输、交换和存储消息的可用性、可靠性、保密性、完整性、确认性、可控性等。10完整性用来保持信息的()A.B.正确生成、正确存储和传输D.正确生成、正确处理和传输B.网络信息的内容D.网络信息的传播的方式正确生成、正确存储和处理C.正确检测、正确存储和传输【解释】详情请参考第 9 题。11可控性是针对()的特性A.网络信息的传播 C.网络信息的传播及内容
19、 【解释】详情请参考第 9 题。12网络信息安全的标准可分成()三类。A.互操作标准、技术与工程标准、网络与信息安全管理标准B.传输标准、技术与工程标准、网络与信息安全管理标准C.互操作标准、存储标准、网络与信息安全管理标准D.互操作标准、技术与工程标准、互联网标准【解释】 目前国际上通行的与网络和信息安全有关的标准,大致可分成三类:互操作标准比如, 对称加密标准 DES、3DES、 IDEA 以及被普遍看好的 AES; 非对称加密标准 RSA; VPN 标准 IPSec;传输层加密标准 SSL;安全电子邮件标准 S-MIME; 安全电子交易标准 SET; 通用脆弱性描述标准 CVE。这些都是
20、经过一个自发的选择过程后被普遍采用的算法和协议, 也就是所谓的 “事实标准 ”。技术与工程标准比如,信息产品通用测评准则 (CC/ISO 15408); 安全系统工程能力成熟度模型 (SSE-CMM)。 网络与信息安全管理标准比如,信息安全管理体系标准( BS 7799);信息安全管理标准( ISO 13335)。13数字签名技术是将()加密与原文一起传送。A.摘要 B.大纲C.目录 D.引言【解释】数字签名 ( digital signature )技术是将摘要用发送者的私钥加密, 与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要。 在电子商务安全保密系统中, 数字签名
21、技术有着特别重要的地位, 在电子商务安全服务中的源鉴别、 完整性服务、 不可否认服务中 都要用到数字签名技术。14对密钥进行管理的机构就称为() 。B.认证机构 (Certificate Authority,CA)C.信息产业部 D.数字认证中心【解释】电子商务认证授权机构( CA, Certificate Authority ),也称为电子商务认证中心,是负 责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公 钥体系中公钥的合法性检验的责任。15数字证书又叫数字凭证或() 。A.电子签名 B.数字签名C.电子标识 D.数字标识【解释】数字证书 ( DigitalID
22、)定义及内容数字证书又叫数字凭证、 数字标识 ,它包含了证书持有者的有 关信息 ,以标识他们的身份。数字证书包括的内容有证书持有者的姓名、持有者的公钥、密 钥的有效期。16数字证书包括的内容包括() 。A.证书持有者的姓名、证书持有者的密钥、公钥的有效期B.证书持有者的姓名、证书持有者的公钥、密钥的有效期C.证书持有者的姓名、证书持有者的密钥、密钥的有效期D.证书持有者的姓名、证书持有者的公钥、公钥的有效期 【解释】数字证书是由权威身份认证机构发放、 用来标志和证明持有者身份的数字信息。 数字证书中 包含 证书持有者的姓名 、证书持有者的公钥 、公钥的有效期 、颁发数字证书的机构 、数字证 书
23、的序列号等信息 。数字证书一般由数字证书颁发机构( Certificate Authority , CA)制作颁发。获得数字证书后,可以将其保存在计算机、 IC卡或 USB Key中。数字证书在电子商务、电子邮件等领域的作用包括: 保证信息除发送方和接收方之外, 不被其他人读识; 保证信息 在传输过程中不被篡改; 发送方对自己所发信息不能抵赖等。 数字证书的另一个好处是在证认使用者身份时,使用者的敏感个人资料不会被过度泄露。我国各省、 有权威的数字证书颁发机构。国际上权威的数字证书颁发认证机构包括 等。自治区、直辖市都设VeriSign、 GeoTrust17认证机构发放的证书中的安全套接层证
24、书简写为()证书。【解释】安全套接 SS(L Secure Sockets Layer)协议最初是由 Netscape Communication 公司设计开发的, 又叫“安全套接层( Secure Sockets Layer)协议”主要用于提高应用程序之间数据的安全系 数。SSL安全协议工作在网络传输层,使用与 HTTP, Telent , FTP和 NNTP 等服务, SSL最广泛的应用是 Web 安全访问,如网上交易,政府办公等。18认证机构发放的证书中安全电子交易证书简写为()证书。【解释】安全电子交易协议 (Secure Electronic Transaction,简称 SET协议
25、 )是基于信用卡在线支付的电 于商务安全协议,它是由 VISA和MasterCard 两大信用卡公司于 1997年5月联合推出的规 范。SET通过制定标准和采用各种密码技术手段, 解决了当时困扰电子商务发展的安全问题。 目前它已经获得 IETF标准的认可,已经成为事实上的工业标准。19()证书的作用是通过公开密钥来证明持证人的身份。【解释】 认证机构发放的证书分为两类: SSL证书和 SET证书。一般地说, SSL(安全套接层)证书是 服务于银行对企业或企业对企业的电子商务活动的;而 SET(安全电子交易)证书则服务于持卡消费、 网上购物。 虽然它们都是用于识别身份和数字签名的证书, 但它们的
26、信任体系完 全不同,而且符合的标准也不一样。简单地说 , SSL证书的作用是通过公开密钥证明持证人的身份。而 SET证书的作用则是, 通过公开密钥证明持证人在指定银行确实拥有该信用卡账 号,同时也证明了持证人的身份。20()证书的作用是通过公开密钥来证明持证人在指定银行拥有该信用卡账户【解释】 详情请参考 21 题。21()是指一种逻辑装置,保护内部的网络不受外界侵害。A.防火墙 B.杀毒软件C.防电墙 D.路由器【解释】在计算机领域 , 防火墙是指一种逻辑装置 , 用来保护内部的网络不受来自外界的侵害。在逻 辑上 , 防火墙是一个分离器 , 一个限制器 , 也是一个分析器 , 有效地监控了内
27、部网和 Internet 之间的任何活动 , 保证了内部网络的安全。 防火墙是建立在现代通信网络技术和信息安全技 术基础上的应用性安全技术 , 越来越多地应用于专用网络与公用网络地互联环境中 , 尤其以 接入 Internet 网络最甚。 防火墙是指设置在不同网络 ( 如可信任的企业内部网和不可信的公 共网 ) 或网络安全域之间的一系列部件的组合。 它是不同网络或网络安全域之间信息的唯一 出入口 , 能根据企业的安全政策控制 ( 允许、拒绝、监测 ) 出入网络的信息流 , 且本身具有 较强的抗攻击能力。它主要用于实现网络路由的安全 , 这主要包括两个方面: 限制外部网对 内部网的访问 , 从而
28、保护内部网特定资源免受非法侵害;限制内部网的访问 , 主要是针对内 部一些不健康信息及敏感信息的访问。22防火墙大体上可以划分为两类,基于包过滤( Packet Filter)和()。A.基于 TCP/IPC.基于特定病毒【解释】B.基于代理服务( Proxy Service)D.基于特定服务防火墙还可以划分以下几类: 前两类的区别是: 基于包过滤的防火墙通常直接转发报文, 它对用户完全透明, 速度较快; 而代理服务型防火墙是通过代理服务器建立连接, 它可以有 更可强的身份验证和日志功能。1.过滤防火墙, 过滤防火墙是最简单的防火墙, 通常只包括对源和目的的 IP 地址及端口的 检查。2.代理
29、服务型防火墙,代理服务型防火墙使用一个客户程序与特定的中间节点(防火墙) 连接,然后中间节点与服务器连接。3.结合型防火墙,这种防火墙是把前两类防火墙结合,发挥各自的优势,满足更高安全性 的要求。23()防火墙对用户完全透明。A.通过代理服务器建立连接的 B.基于 Telnet 的C.基于包过滤的 D.基于数据流的【解释】防火墙大体上可以分为两类: 一类基于 Packet Filter(包过滤型 ),另一类基于 Proxy Service(代 理服务 )。二者的区别在于:基于 Packet Filter 的防火墙通常直接转发报文,它对用户完全透 明,速度较快; 而基于 Proxy 的防火墙则不
30、是如此,它通过 Proxy Server 来建立连接,它可 以有更强的身份验证 (Authentication) 和日志 (log)功能。24()防火墙拥有很强的身份验证和日记功能。A.通过代理服务器建立连接的C.基于包过滤的B.基于 Telnet 的D.基于数据流的【解释】 详情请参考 23 题。25()通常只对源和目的 IP 地址及端口进行检查。A. 基于 TCP/IP协议 B.基于特定服务C.基于包过滤的 D.基于数据流的【解释】详情请参考 22 题。26入侵检测系统通常由()基本组件构成。A. 事件产生器、事件分析器、事件数据库、响应单元B.故障产生器、事件分析器、事件数据库、响应单元
31、C.事件产生器、事件分析器、事件数据库、反馈单元D.事件产生器、事件分析器、关系数据库、响应单元 【解释】IETF 将一个入侵检测系统分为四个组件:事件产生器( Event generators );事件分析器( Event analyzers );响应单元( Response units );事件数据库( Event databases )。 事件产生器的目的是从整个计算环境中获得事件, 并向系统的其他部分提供此事件。事件分析器分析得到的数据,并产生分析结果。 响应单元则是对分析结果作出作出反应的功能单元,它可以作出切断连接、改变 文件属性等强烈反应,也可以只是简单的报警。事件数据库是存放各种中间和最终数据的地方的统称,它可以是复杂的数据库, 也可以是简单的文本文件。27根据原始数据的来源,入侵检测系统可分()A. 基于主机的入侵检测系统、基于应用的入侵检测系统和基于服务器端的入侵检测系统B.基于服务器的入侵检测系统、基于应用的入侵检测系统和基于网络的入侵检测系统C.基于主机的入侵检测系统、基于软件的入侵检测系统和基于服务器端的入侵检测系统D.基于主机的入侵检测系统、基于应用的入侵检测系统和基于网络的入侵检测系统 【解释】
copyright@ 2008-2022 冰豆网网站版权所有
经营许可证编号:鄂ICP备2022015515号-1
升级会员 