电子商务安全期末考试题附答案

电子商务安全期末考试题附答案

电子商务安全期末考试A卷

一、选择题（单选）

下列选项中属于双密钥体制算法特点的是（C）

算法速度快 B.适合大量数据的加密 C.适合密钥的分配与管理D.算法的效率高

实现数据完整性的主要手段是（D）

对称加密算法 B.非对称加密算法 C.混合加密算法 D.散列算法【哈希函数压缩函数消息摘要杂凑函数数字指纹】

数字签名技术不能解决的安全问题是（C）

第三方冒充 B.接收方篡改 C.传输安全

4.病毒的重要特征是(B)

隐蔽性 B.传染性 C.破坏性 D.可触发性

在双密钥体制的加密和解密过程中，要使用公共密钥和个人密钥，它们的作用是（A）

公共密钥用于加密，个人密钥用于解密 B.公共密钥用于解密，个人密钥用于加密 C.两个密钥都用于加密 D.两个密钥都用于解密

在一次信息传递过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采用的安全手段是（B）

双密钥机制 B.数字信封 C.双联签名 D.混合加密系统

一个密码系统的安全性取决于对（A）

密钥的保护 B.加密算法的保护 C.明文的保护 D.密文的保护

在防火墙使用的存取控制技术中对所有进出防火墙的包标头内容进行检查的防火墙属于（A）包过滤型 B.包检检型 C.应用层网关型 D.代理服务型

电子商务的安全需求不包括（B）[机密性、完整性、认证性、有效性、匿名性、不可抵赖]

可靠性 B.稳定性 C.真实性 D.完整性

SSL握手协议包含四个主要步骤，其中第二个步骤为（B）

客户机Hello B.服务器Hello C.HTTP数据流 D.加密解密

SET安全协议要达到的目标主要有（C）【机密性、保护隐私、完整性、多方认证、标准性】三个 B.四个 C.五个 D.六个

下面不属于SET交易成员的是（B）

持卡人 B.电子钱包 C.支付网关 D.发卡银行

X205证书包含许多具体内容，下列选项中不包含在其中的是（C）版本号 B.公钥信息 C.私钥信息 D.签名算法

身份认证中的证书由（D）

政府机构 B.银行发行 C. 企业团体或行业协会 D.认证授权机构发行

目前发展很快的基于PKI的安全电子邮件协议是（A）

A. S/MIME B．POP C．SMTP D.IMAP

选择题（多选）

下列属于单密钥体制算法的有（AC）

DES B.RSA C.AES D.SHA

下列公钥——私钥对的生成途径合理的有（BCD）

网络管理员生成 B.CA生成

C.用户依赖的、可信的中心机构生成

D.密钥对的持有者生成

防火墙不能解决的问题包括（BCE）

非法用户进入网络 B.传送已感染病毒的文件或软件

C.数据驱动型的攻击

D.对进出网络的信息进行过滤

E．通过防火墙以外的其它途径的攻击

PKI技术能有效的解决电子商务应用中的哪些问题（ABC）全选

A.机密性

B.完整性

C.不可否认性D．存取控制

E．真实性

20.SET要达到的主要目标有(ACDE)

A.信息的安全传输

B.证书的安全发放

C.信息的相互隔离

D.交易的实时性

E.多方认证的解决

填空：

1. SSL可用于保护正常运行于TCP上的任何应用协议，如_HTTP__、__FTP_、SMTP或Telnet 的通信。

2. VPN利用__隧道_协议在网络之间建立一个_虚拟__通道，以完成数据信息的安全传输。

3.PKI提供电子商务的基本__安全_需求，是基于_数字证书__的。

4.密码技术是保证网络、信息安全的核心技术。信息在网络中传输时，通常不是以_明文_而是以__密文_的方式进行通讯传输的。

5.现在广为人们知晓的_传输控制_协议(TCP)和_网际__协议(IP)，常写为TCP/IP。

6.数字签名分为确定和随机两种，其中RSA签名属于确定性签名，ELGamal 签名属于

随机签名。

简答：

1.电子商务系统可能受到的攻击类型【粗体字为推荐答案】答：(1)系统穿透：未经授权人同意，冒充合法用户接入系统，对文件进行篡改、窃取机密信息非法使用资源等。

(2)违反授权原则：一个被授权进入系统做一件事的用户，在系统中做未经授权的其他事情。

（3）植入：在系统穿透成功后，入侵者在系统中植入一种能力，为其以后攻击系统提供方便条件。如注入病毒、蛀虫、特洛伊木马、陷阱等来破坏系统正常工作。

（4）通信监视：这是一种在通信过程中从信道进行搭线窃听的方式。通过搭线和电磁泄漏等对机密性进行攻击，造成泄密。（5）通信干扰：攻击者对通信数据或通信数据进行干预，对完整性进行攻击，篡改系统中数据的内容，修正消息次序、时间，注入伪造信息。

（6）中断：对可用性进行攻击，破坏系统中的硬盘、硬件、线路等，使系统不能正常工作，破译信息和网络资源。

（7）拒绝服务：指合法接入信息、业务或其他资源受阻。（8）否认：一个实体进行某种通信或交易活动，稍后否认曾进行过这一活动，不管这种行为是有意还是无意，一旦出现，再解决双方的争执就不容易了。

（9）病毒：由于Internet的开放性，病毒在网络上的传播比以前快了许多，而Internet 的出现又促进了病毒复制者间的交流，使新病毒层出不穷，杀伤力也大有提高。

（10）钓鱼网站。

2.PKI作为安全基础设施，能为用户提供哪些服务？

答：(1)认证；（1分）

(2)数据完整性服务；（1分）

(3)数据保密性服务；（1分）

(4)不可否认性服务；（1分）

(5)公证服务。

五.论述：

1.双钥密码体制加密为什么可以保证数据的机密性和不可否认性？

答：(1)双钥密码体制加密时有一对公钥和私钥，公钥公开，私钥由持有者保存；

(2)公钥加密后的数据只有持有者的私钥能解开，这样保证了数据的机密性；

(3)经私钥加密后的数据可被所有具有公钥的人解开，由于私钥只有持有者一人保存，这样就证明信息发自私钥持有者，具有不可否认性。

2.论述数字签名的必要性（对比传统签名，数字签名解决了什么问题）

答：(1)传统手书签名仪式要专门预定日期时间，契约各方到指定地点共同签署一个合同文件，短时间的签名工作需要很长时间的前期准备工作。（3分）这种状况对于管理者是延误时机，对于合作伙伴是丢失商机，对于政府机关是办事效率低下。（2分）(2)电子商务时代各种单据的管理必须实现网络化的传递。（2分）保障传递文件的机密性应使用加密技术，保障其完整性则用信息摘要技术，而保障认证性和不可否认性则应使用数字签名技术。（3分）

(3)数字签名可做到高效而快速的响应，任意时刻，在任何地点，只要有Internet 就可以完成签署工作。（3分）

(4)数字签名除了可用于电子商务中的签署外，还可用于电子办

公、电子转帐及电子邮递等系统。（2分）公钥证书包括的具体内容：

答：

（1）版本信息；

（2）证书序列号；

（3）CA使用的签名算法；

（4）有效期；

（5）发证者的识别码；

（6）证书主题名；

（7）公钥信息；

（8）使用者Subject ；

（9）使用者识别码；

（10）额外的特别扩展信息；

（1）版本信息；

（2）证书序列号；

（3）CA使用的签名算法；

（4）有效期；

（5）发证者的识别码；

（6）证书主题名；

（7）公钥信息；

（8）使用者Subject ；

（9）使用者识别码；

（10）额外的特别扩展信息；

3.防火墙的基本组成有(ABCDE)

A．安全操作系统B．过滤器C．网关

D．域名服务E．E-mail处理

4. 在认证机构介入的网络商品销售的过程中，认证中心需要对参与网上交易的（ABD ）进行身份认证。

A．消费者B．商家

C．邮政系统D．银行

5.SET要达到的主要目标有( ACDE )

A.信息的安全传输

B.证书的安全发放

C.信息的相互隔离

D.交易的实时性

E.多方认证的解决

6.一个完整的商务活动，必须由（ABCD ）几个流动过程有机构成。

A．信息流B．商流C．货币流D．物流

三、填空题（每个空格2分，共20分）

1.散列函数是将一个长度不确定的输入串转换成一个长度确定的输出串。

2.计算机病毒按破坏性分为良性病毒和恶性病毒。

3.对于商家和顾客的交易双方，SSL协议有利于商家而不利于顾

客。

4.要保证证书是有效的，必须要满足这样一些条件：一是证书没有超过有效期，二是密钥没有被修改，三是证书不在CA发行的无效证书清单中。

5.数字签名技术的主要功能是：保证信息传输过程中的完整性，对发送者的身份认证，防止交易中的抵赖发生。

6.数字签名分为两种，其中RSA和Rabin签名属于确定性_签名，ELGamal签名属于_随机式__签名。

三、简答题（每题10分，共20分）

1.简述防火墙的基本组成部分。

答：(1)安全操作系统；

﹙2）过滤器；

﹙3﹚网关；

﹙4﹚域名服务器；

﹙5﹚E－mail处理；

2.简述对称密钥体制的基本概念。

答：对称加密又叫秘密秘钥加密，其特点是数据的发送方和接收方使用的是同一把秘钥，即把明文加密成密文和把密文解密成明文用的是同一把秘钥。加密过程为：发送方用自己的秘密秘钥对要发送的信息进行加密。发送方将加密后的信息通过网络传送给接收方。接收方用发送方进行加密的那把秘钥对接收到的加密信息进行解密，得到信息明文。

3.SET与SLL的区别与联系

答：联系：采用的都是公开秘钥加密法、私有秘钥加密法、数字摘要等加密技术与数字证书等认证手段。都是应用于电子商务用的网络安全协议。都能保证交易数据的安全性、保密性和完整性。区别：1)SSL与SET两种协议在网络中的层次不一样，SSL是基于传输层的协议，SET 则是基于应用层的协议。

2)SSL加密所有的信息，而SET加密部分敏感信息，SET的安全性更高一些

3）SSL主要应用在浏览器上，而SET则主要应用于信用卡。

4）SSL速度快，成本低，SET速度慢，成本高。

四、论述题（每小题15分，共30分）

1.论述对称加密和非对称密钥体制的原理及各自特点。解释在加密过程中为何常常将二者结合使用。

答：对称加密（也称私钥加密）体制基本思想是，加密和解密均采用同一把秘密钥匙，在双方进行通信的时候，必须都要获得这把钥匙并保持钥匙的秘密，当给对刚发送信息的时，用自己的加密秘钥进行解锁，而在接收方收到数据后，用对方所给的密钥进行解密。【特点】算法简单、加解密速度快、算法公开、计算量小、加密速度快、加密效率高、安全性高、。缺点是密钥太多、密钥的产生、管理、分发都很复杂；不能实现数字签名；

非对称密钥加密（也称公钥加密）过程：这种秘钥是成对使用的，每个用户都有一对选定的密钥，一个公开，另一个由用户安全拥

有，当给对方发送信息的时候，用对方的公开密钥进行加密，而在接收方收到数据后，用自己的秘密密钥进行解密。具体过程；（1）用户生成一对密钥并将其中的一个作为公钥向其他用户公开；（2）发送方使用该用户的公钥对信息进行加密后发送给接收方；（3）接收方利用自己保存的私钥对加密信息进行解密，接收方只能用自己的私钥解密由其公钥加密后的任何信息。[特点]算法复杂、加解密速度慢、密钥管理简单、可用于数字签名。正因为公开、秘密秘钥加密各有所长，所以将两者结合起来，形成混合加密方法。将对称加密体制和非对称加密体制二者联合使用，可以解决电子商务所要求的机密性、真实性、不可否认性等安全要素，达到扬长避短的目的。

2.试述RSA加密算法中密钥的计算方法，并根据该方法计算：（为计算方便）取p=3，q=5，e=3时的一组公式—私钥对。如果明文为7，计算密文。

答：(1)计算方法：

①独立选取两个素数: p 、q ；

②计算n=pq;

③计算小于n并且与n互质的整数的个数?（n）=(p－1)(q－

1);

④随机选取加密密钥e；要求e满足1≤e≤?（n），并且和?（n）互质；

⑤最后利用Euclid算法计算解密密钥d，满足ed=1（mod（?

（n）））;

其中n，d也要互质,e，n为公钥，d为私钥；

（2）计算密钥对∶

n＝3×5＝15

?（n）=2×4＝8

e＝3

由ed＝1（mod（?（n）））得d＝3

(3)计算密文：

当明文为7时，密文为﹙7×7×7﹚mod15＝13

附录：

一、不定项选择题：

1.在防火墙技术中，内网这一概念通常指的是( A )

A.受信网络

B.非受信网络

C.防火墙内的网络

D.互联网

2．在目前电子商务的模式之中，交易金额所占比例最大的是（ C ）。

A．B-to-C电子商务B．B-to-A电子商务

C．B-to-B电子商务D．C-to-A电子商务

3．电子商务发展中存在的问题不包括（ B ）。

A．网络基础设施建设问题 B. 网站种类过于繁多

C. 安全问题

D. 商家信誉问题

4.以下哪一项不在证书数据的组成中? ( D )

A.版本信息

B.有效使用期限

C.签名算法

D.版权信息

二、填空题（本大题共10空，每空1分，共10分）

1．电子商务安全的中心内容包括机密性，_完整性_，认证性，_不可否认_，不可拒绝性和访问控制性。

2．CFCA是由_中国人民银行_牵头的、联合14家全国性商业银行共同建立的_国家级权威性金融认证_机构。

3．实现不可否认性从机制上应当完成业务需求分析，证据生成，证据传送，_证据证实_，_证据保存_等业务活动。

4．按寄生方式计算机病毒可分为_文件型_，_引导型_和复合型病毒。

5．数字信封是用__接受方_的公钥加密DES的密钥，该DES密钥是_发送方_随机产生的用来加密消息的密钥。

6.身份证明可以分为身份识别和身份证实两大类。

7.美国的橘黄皮书中为计算机安全的不同级别制定了 4 个标准，其中C2级又称为访问控制保护级。

8.常用的对数据库的加密方法有 3 种，其中与DBMS分离的加密

方法是加密桥。一个身份证明系统一般由3方组成，一方是示证者，另一方是验证者，第三方是可信赖者。

9.电子商务系统中，商务对象的认证性用数字签名和身份认证技术实现。

10.Internet的接入控制主要对付三类入侵者，他们是地下用户、伪装者和违法者。

11.提高数据完整性的预防性措施一般有：镜像技术、故障前兆分析、奇偶校验、隔离不安全的人员和电源保障。

12.CTCA目前提供如下几种证书：安全电子邮件证书、个人数字证书、企业数字证书、服务器数字证书和SSL服务器。13．Kerberos服务任务被分配到两个相对独立的服务器：__认证_服务器和__票据授权__服务器，它同时应该连接并维护一个中央数据库存放用户口令、标识等重要信息。

14.接入控制的功能有三个：阻止非法用户进入系统__、__允许合法用户进入系统_和使合法人按其权限进行各种信息活动。15.IPSec有两种工作模式，分别是_____传输模式_____和____隧道模式______。

16.商务数据的机密性可用_____加密_____和__信息隐匿______技术实现。

17.PKI是基于__数字ID____的，作用就象是一个电子护照，把用户的____数字签名_____绑接到其公钥上。

18.通过一个____密钥_____和__加密算法____可将明文变换成

一种伪装的信息。

19.CTCA采用分级管理，由全国CA中心、省____RA中心___和地市级____业务受理点____组成。

美国橘黄皮书中为计算机安全的不同级别制定了4个共____7_____级标准，其中_____D____级为最低级别。

28.IPSec是一系列保护IP通信的规则的集合，它包含__传输模式____与___隧道模式______两种工作模式。

29.证书申请包括了用户证书的申请与商家证书的申请，其申请方式包括__网上申请__和__离线申请____。

30.中国金融认证中心的英文简写为__CFCA____，它是由__中国人名银行___牵头，联合多家

商业银行共同建立的国家级权威金融认证机构。

6.在服务器面临的攻击威胁中，攻击者通过控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为___黑客____就是实际的客户端，这种威胁称为_劫持入侵___。

27.根据近代密码学的观点，一个密码系统的安全性取决于对__密钥___的保护，而不取决于对__算法_的保密。

28.在网络连接技术中，从表面上看它类似于一种专用连接，但实际上是在共享网络上实现的，这种连接技术称为__VPN__，它往往使用一种被称作___隧道__的技术。

29.一个典型的CA系统包括安全服务器、注册机构RA、__CA服务器__、__LDAP服务器__和数据库服务器等。

30.SSL就是客户和商家在通信之前，在Internet上建立一个“秘密传输信息的信道”，保障了传输信息的___机密性_、完整性和__认证性_____。

2.试述提高数据完整性的预防性措施。

答：预防性措施是用来防止危及到数据完整性事情的发生。可采用以下措施：

(1)镜像技术。镜橡技术是指将数据原样地从一台设备机器拷贝到另一台设备机器上。

(2)故障前兆分析。有些部件不是一下子完全坏了，例如磁盘驱动器，在出故障之前往往有些征兆，进行故障前兆分析有利于系统的安全。

(3)奇偶校验。奇偶校验也是服务器的一个特性。它提供一种机器机制来保证对内存错误的检测，因此，不会引起由于服务器出错而造成数据完整性的丧失。

(4)隔离不安全的人员。对本系统有不安全的潜在威胁人员，应设法与本系统隔离。

电源保障。使用不间断电源是组成一个完整的服务器系统的良好方案。

3．简述电子商务的安全隐患

答：电子商务系统的安全问题不仅包括了计算机系统的隐患，还包括了一些自身独有的问题。

(1)数据的安全。一个电子商务系统必然要存储大量的商务数据，

这是其运转的核心。一旦发生数据丢失或损坏，后果不堪设想。

(2)交易的安全。这也是电子商务系统所独有的。

4.简述计算机病毒的分类方法

答：(1)按寄生方式分为引导型病毒，文件型病毒和复合型病毒。

(2)按破坏性分为良性病毒和恶性病毒。

电子商务安全实验报告

实验名称：电子商务安全技术 2010081126 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）:SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有：

自考电子商务安全导论押密试题及答案(3)

自考电子商务安全导论押密试题及答案（3）第一部分选择题 一、单项选择题（本大题共20小题，每小题1分，共20分）在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。 1．电子商务，在相当长的时间里，不能少了政府在一定范围和一定程度上的介入，这种模式表示为 ( ) A．B-G B．B-C C．B-B D．C-C 2．在电子商务的安全需求中，交易过程中必须保证信息不会泄露给非授权的人或实体指的是( ) A．可靠性 B．真实性 C．机密性 D．完整性 3．通过一个密钥和加密算法可将明文变换成一种伪装的信息，称为 ( ) A．密钥 B．密文 C．解密 D．加密算法 4．与散列值的概念不同的是 ( ) A．哈希值

B．密钥值 C．杂凑值 D．消息摘要 5．SHA的含义是 ( ) A．安全散列算法 B．密钥 C．数字签名 D．消息摘要 6．《电子计算机房设计规范》的国家标准代码是 ( ) A. GB50174-93 B.GB9361- 88 C. GB2887-89 D.GB50169- 92 7．外网指的是 ( ) A.非受信网络 B．受信网络 C．防火墙内的网络 D．局域网 8．IPSec提供的安全服务不包括 ( ) A．公有性 B．真实性 C．完整性

D．重传保护 9．组织非法用户进入系统使用 ( ) A．数据加密技术 B．接入控制 C．病毒防御技术 D．数字签名技术 10. SWIFT网中采用了一次性通行字，系统中可将通行字表划分成_______部分，每部分仅含半个通行字，分两次送给用户，以减少暴露的危险性。 ( ) A．2 B．3 C．4 D．5 11．Kerberos的域内认证的第一个步骤是 ( ) A. Client →AS B. Client ←AS C．Client AS D．AS Client 12．_______可以作为鉴别个人身份的证明：证明在网络上具体的公钥拥有者就是证书上记载的使用者。 ( ) A．公钥对 B．私钥对 C．数字证书

电子商务安全导论复习资料

电子商务安全导论电子商务：顾名思义，是建立在电子技术基础上的商业运作，是利用民子技术加强，加快，扩展，增强，改变了其有关过程的商务。Intranet：是指基于TCP/IP协议的企业内部网络，它通过防火墙或其他安全机制与intranet建立连接。intranet上提供的服务主要是面向的是企业内部。 Extranet：是指基于TCP/IP协议的企业处域网，它是一种合作性网络。 商务数据的机密性：商务数据的机密性或称保密性是指信息在网络上传送或存储的过程中不被他人窃取，不被泄露或披露给未经授权的人或组织，或者经过加密伪装后，使未经授权者无法了解其内容。 邮件炸弹：是攻击者向同一个邮件信箱发送大量的垃圾邮件，以堵塞该邮箱。 TCP劫持入侵：是对服务器的最大威胁之一，其基本思想是控制一台连接于入侵目标网的计算机，然后从网上断开，让网络服务器误以为黑客就是实际的客户端。HTTP协议的“有无记忆状态”：即服务器在发送给客户机的应答后便遗忘了些次交互。TLENET等协议是“有记忆状态”的，它们需记住许多关于协议双方的信息，请求与应答。 电子商务的模式1)大字报／告示牌模式。2)在线黄页簿模式。3)电脑空间上的小册子模式。4)虚拟百货店模式。5)预订／订购模式。6)广告推销模式。什么是保持数据的完整性？商务数据的完整性或称正确性是保护数据不被未授权者修改，建立，嵌入，删除，重复传送或由于其他原因使原始数据被更改。在存储时，要防止非法篡改，防止网站上的信息被破坏。在传输过程中，如果接收端收到的信息与发送的信息完全一样则说明在传输过程中信息没有遭到破坏，具有完整性。加密的信息在传输过程，虽能保证其机密性，但并不能保证不被修改。 网页攻击的步骤是什么？第一步，创建一个网页第二步：攻击者完全控制假网页。第三步，攻击者利用网页做假的后果：攻击者记录受害者访问的内容，当受害者填写表单发送数据时，攻击者可以记录下所有数据。此外，攻击者可以记录下服务器响应回来的数据。这样，攻击者可以偷看到许多在线商务使用的表单信息，包括账号，密码和秘密信息。 什么是Intranet?Intranet是指基于TCP/IP协议的内连网络。它通过防火墙或其他安全机制与Intranet建立连接。Intranet上可提供所有Intranet 的应用服务，如WWW，E-MAIL等，只不过服务面向的是企业内部。和Intranet一样，Intranet具有很高的灵活性，企业可以根据自己的需求，利用各种Intranet互联技术建立不同规模和功能的网络。 为什么交易的安全性是电子商务独有的？这也是电子商务系统所独有的。在我们的日常生活中，进和一次交易必须办理一定的手续，由双方签发各种收据凭证，并签名盖章以作为法律凭据。但在电子商务中，交易在网上进行，双方甚至不会见面，那么一旦一方反悔，另一方怎么能够向法院证明合同呢？这就需要一个网上认证机构对每一笔业务进行认证，以确保交易的安全，避免恶意欺诈。 攻击WEB站点有哪几种方式？安全信息被破译非法访问：交易信息被截获：软件漏洞被攻击者利用：当用CGI脚本编写的程序或其他涉及到远程用户从浏览中输入表格并进行像检索之类在主机上直接操作命令时，会给WEB主机系统造成危险。 WEB客户机和WEB服务器的任务分别是什么？ WEB客户机的任务是： 1）为客户提出一个服务请求——超链时启动2）将客户的请求发送给服务器3）解释服务器传送的HTML等格式文档，通过浏览器显示给客户。 WEB服务器的任务是：1）接收客户机来的请求2）检查请求的合法性3）针对请求，获取并制作数据，包括使用CGI脚本等程序，为文件设置适当的MIME类型来对数据进行前期处理和后期处理4）把信息发送给提出请求的客户机。 电子商务安全的六项中心内容是什么？ 1）商务数据的机密性或称保密性2）商务数据的完整性或称正确性3）商务对象的认证性4）商务服务的不可否认性5）商务服务的不可拒绝性或称可用性6）访问的控制性 Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势，是它的广袤覆盖及开放结构。由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散，网上内容难以控制，私密性难以保障。从电子商务等应用看，安全性差是因特网的又一大缺点，这已成为企业及用户上网交易的重要顾虑。(2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。企业内域网是为企业内部运作服务的，自然有它安全保密的要求，当它与公网Internet连接时，就要采取措施，防止公网上未授权的无关人员进入，防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施，通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。 (3)Extranet(外连网)一般译为企业外域网，它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网，满足企业内部运作之外，还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系，为达成某一共同目标而共享某些资源。 明文：原始的，未被伪装的消息称做明文，也称信源。通常用M表示。 密文：通过一个密钥和加密算法将明文变换成一种伪信息，称为密文。通常用C表示。 加密：就是用基于数学算法的程序和加密的密钥对信息进行编码，生成别人难以理解的符号，即把明文变成密文的过程。通常用E表示。 解密：由密文恢复成明文的过程，称为解密。通常用D表示。 加密算法：对明文进行加密所采用的一组规则，即加密程序的逻辑称做加密算法。

电子商务安全实验报告

实验名称：电子商务安全技术 26 吕吕 一、实验目的： 通过本实验加深对电子商务安全威胁、重要性的理解，了解电子商务安全的措施及相关技术。 二、实验内容： （1）上网搜集电子商务安全威胁的案例，分析电子商务安全的协议及措施。要求搜集的电子商务安全威胁案例不少于3个，了解不同类型电子商务网站所采取的电子商务安全措施和技术。 答: 电子商务安全的协议有： PKI协议：PKI是Public Key Infrastructure的缩写，是指用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI的基础技术包括加密、数字签名、数据完整性机制、数字信封、双重数字签名等。 安全超文本传输协议（S-HTTP）：安全超文本传输协议（S-HTTP）是致力于促进以因特网为基础的电子商务技术发展的国际财团CommerceNet协会提出的安全传输协议，主要利用密钥对加密的方法来保障W eb 站点上的信息安全。S-HTTP 被设计为作为请求/响应的传输协议———HTTP 的一种安全扩展版本，正是这一特点使得S-HTTP 与SSL 有了本质上的区别，因为SSL 是一种会话保护协议。 S-HTTP 的主要功能是保护单一的处理请求或响应的消息，这在某种程度上与一个消息安全协议保护电子邮件消息的工作原理相似。 安全套接层协议（SSL）:SSL 能使客户机与服务器之间的通信不被攻击者窃听，并且始终保持对服务器进行认证，还可选择对客户进行认证。SSL 建立在TCP 协议之上，它的优势在于与应用层协议独立无关，应用层协议能透明地建立于SSL 协议之上。SSL 协议在应用层协议通信之前就已经完成加密算法、通信加密的协商以及服务器的认证工作。在此之后，应用层协议所传送的数据都会被加密，从而保证了在因特网上通信的机密性。 安全电子交易协议（SET）: SET 协议采用了对称密钥和非对称密钥体制，把对称密钥的快速、低成本和非对称密钥的有效性结合在一起，以保护在开放网络上传输的个人信息，保证交易信息的隐蔽性。其采用的核心技术包括：电子证书标准与数字签名、报文摘要、数字信封、双重签名等。\ 电子商务安全的措施有： 加密技术: 加密技术是电子商务的最基本信息安全防范措施,其原理是利用一定的加密算法将明文转换成难以识别和理解的密文并进行传输从而确保数据的保密

2006年1月电子商务安全导论试题

2006年1月 一、单项选择题（本大题共20小题，每小题1分，共20分） 1．保证商业服务不可否认的手段主要是( ) A．数字水印B．数据加密 C．身份认证D．数字签名 2．DES加密算法所采用的密钥的有效长度为( ) A．32 B．56 C．64 D．128 3．在防火墙技术中，我们所说的外网通常指的是( ) A．受信网络B．非受信网络 C．防火墙内的网络D．局域网 4．《电子计算机房设计规范》的国家标准代码是( ) A．GB50174—93 B．GB50174—88 C．GB57169—93 D．GB57169—88 5．通行字也称为( ) A．用户名B．用户口令 C．密钥D．公钥 6．不涉及 ．．．PKI技术应用的是( ) A．VPN B．安全E-mail C．Web安全D．视频压缩 7．多级安全策略属于( ) A．最小权益策略B．最大权益策略 C．接入控制策略D．数据加密策略 8．商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A．SET标准商户业务规则与SSL标准商户业务规则 B．SET标准商户业务规则与Non-SSL标准商户业务规则 C．SET标准商户业务规则与Non-SET标准商户业务规则 D．Non-SET标准商户业务规则与SSL标准商户业务规则 9．SHECA指的是( ) A．上海市电子商务安全证书管理中心 B．深圳市电子商务安全证书管理中心 C．上海市电子商务中心 D．深圳市电子商务中心 10．以下哪一项是密钥托管技术?( ) A．EES B．SKIPJACK C．Diffie-Hellman D．RSA 11．公钥体制用于大规模电子商务安全的基本要素是( ) A．哈希算法B．公钥证书 C．非对称加密算法D．对称加密算法 1

2019年10月全国自考电子商务安全导论试题

2019年10月全国自考电子商务安全导论试题 一、单项选择题: 1.美国的橘皮书中为计算机安全的不同级别制定了4个标准:A、B、C、D级,其中B级又分为B1、B2、B3三个子级,C级又分为C1、C2两个子级。以下按照安全等级由低到高排列正确的是 A.A、B1、B2、B3、C1、C2、D B.A、B3、B2、B1、C2、C1、D C.D、C1、C2、B1、B2、B3、A D.D、C2、C1、B3、B2、B1、A 2.以下不属于电子商务遭受的攻击是 A.病毒 B.植入 C.加密

D.中断 3.第一个既能用于数据加密、又能用于数字签名的算法是 A. DES B.EES C.IDEA D. RSA 4.下列属于单钥密码体制算法的是 A.RC-5加密算法 B.rs密码算法 C. ELGamal密码体制 D.椭圆曲线密码体制

5.MD5散列算法的分组长度是 A.16比特 B.64比特 C.128比特 D.512比特 6.充分发挥了DES和RSA两种加密体制的优点,妥善解决了密钥传送过程中的安全问题的技术是 A.数字签名 B.数字指纹 C.数字信封 D.数字时间戳 7.《电气装置安装工程、接地装置施工及验收规范》的国家标准代码

是 A.GB50174-93 B.GB9361-88 C.GB2887-89 D.GB50169-92 8.按照《建筑与建筑群综合布线系统工程设计规范》(CECS72:97)的要求,设备间室温应保持的温度范围是 A.0℃-10℃ B.10℃-25℃ C.0℃-25℃ D.25℃-50℃ 9.内网是指

A.受信网络 B.非受信网络 C.防火墙外的网络 D.互联网 10.检查所有进出防火墙的包标头内容的控制方式是 A.包过滤型 B.包检验型 C.应用层网关型 D.代理型 11.对数据库的加密方法通常有多种,以下软件中,属于使用专用加密软件加密数据库数据的软件是 A. Microsoft Access B. Microsoft Excel

实验四——电子商务安全

实验四电子商务安全 一、 1、什么是数字证书 数字证书又称为数字标识（Diｇital Cｅrｔificate,Dｉgit ａl ID)。它提供了一种在Ｉｎterｎet上身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件，与司机驾照或日常生活中的身份证相似。在网上进行电子商务、政务活动时，双方需要使用数字证书来表明自己的身份,并使用数字证书来进行有关的操作。通俗地讲,数字证书就是个人或单位在Iｎteｒnｅt的身份证。 数字证书主要包括三方面的内容:证书所有者的信息、证书所有者的公开密钥、证书颁发机构的签名. 一个标准的X。5０9格式数字证书通常包含以下内容：

1.证书的版本信息; 2.证书的序列号（每个证书都有一个唯一的证书序列号）； 3.证书所使用的签名算法; 4.证书的发行机构名称（命名规则一般采用X.500格式）及其私 钥的签名； 5.证书的有效期； 6.证书使用者的名称及其公钥的信息. 2、什么是电子签名 电子签名，是指数据电文中以电子形式所含、所附用于识别签名人身份并表明签名人认可其中内容的数据.所谓数据电文，是指以电子、光学、磁或者类似手段生成、发送、接收或者储存的信息。 电子签名同时符合下列条件的，视为可靠的电子签名: （一)电子签名制作数据用于电子签名时，属于电子签名人专 有；（二)签署时电子签名制作数据仅由电子签名人控制;（三）签署后对电子签名的任何改动能够被发现；(四）签署后对数据电文内容和形式的任何改动能够被发现。可靠的电子签名与手写签名或者盖章具有同等的法律效力。 电子签名人，是指持有电子签名制作数据并以本人身份或者以其所代表的人的名义实施电子签名的人.

电子商务安全导论实践试题及答案

电子商务安全导论实践试题及答案 1.简单的加密算法的代码编写（凯撒密码） 2.电子商务安全认证证书的网上申请以及使用说明 3.你使用的机器上本地安全设置中的密码策略如何 4.说明你所使用的机器上的公钥策略基本情况 5.本机IP安全策略中的安全服务器（要求安全设置）属性以及基本情况 6.本机IP安全策略中的客户端（只响应）属性的基本情况 7.本机IP安全策略中的服务器（请求安全设置）属性和基本情况如何（编辑规则常规高级方法） 8.说明智能卡是是如何进行用户鉴别的 9.本机上证书的使用情况 10.上网查询江苏省电子商务安全证书的基本情况 11.说明木马在win.ini条件下的症状如何 12.举例说明你所使用的个人防火墙的功能项目以及使用方法 13.介绍一种你所熟悉的黑客攻击技术 14.你的手头没有什么专用安全软件工具如何手动检查系统出现的安全问题 15.查阅有关资料分析极速波I-WORM/ZOBOT 的技术方法 解答 《一》简单的加密算法的代码编写（凯撒密码） 凯撒密文的破解编程实现 凯撒密文的破解编程实现 近来安全的发展，对密码学的研究越来越重要，虽然我们现在大多采用的是 非对称密码体制，但是同时由于处理及其它的一些重要原因，对传统密码仍然 是在大量的使用，如移位，替代的基本思想仍然没有改变，我个人认为，将来 的很长时间内，我们必将会花大量的时间对密码学进行研究，从而才能促进我

们的电子政务，电子商务的健康发展，下面我要谈的是对一个古典密码----- 凯撒（kaiser)密码的的解密，也就是找出它的加密密钥，从而进行解密，由于 它是一种对称密码体制，加解密的密钥是一样的，下边简单说明一下加解密 加密过程： 密文：C=M+K (mod 26) 解密过程： 明文：M=C-K (mod 26) 详细过程请参考相关资料 破解时主要利用了概率统计的特性，E字母出现的概率最大。 加密的程序实现我就不说了， 下面重点说一下解密的程序实现：我是用C写的，在VC6.0下调试运行正确 #include"stdio.h" #include"ctype.h" #include"stdlib.h" main(int argc ,char *argv[]) { FILE *fp_ciper,*fp_plain; //密文与明文的文件指针 char ch_ciper,ch_plain; int i,temp=0; //i用来存最多次数的下标 //temp用在求最多次数时用 int key; //密钥 int j; int num[26]; //保存密文中字母出现次数 for(i = 0;i < 26; i++) num = 0; //进行对num[]数组的初始化 printf("======================================================\n"); printf("------------------BY 安美洪design--------------------\n"); printf("======================================================\n"); if(argc!=3) { printf("此为KAISER解密用法：[文件名] [密文路径] [明文路径]\n"); printf("如：decryption F:\ciper_2_1.txt F:\plain.txt\n"); } //判断程序输入参数是否正确

00997电子商务安全导论试题

绝密★考试结束前 全国2013年10月高等教育自学考试 电子商务安全导论试题 课程代码：00997 请考生按规定用笔将所有试题的答案涂、写在答题纸上。 选择题部分 注意事项： 1．答题前，考生务必将自己的考试课程名称、姓名、准考证号用黑色字迹的签字笔或钢笔填写在答题纸规定的位置上。 2．每小题选出答案后，用2B铅笔把答题纸上对应题目的答案标号涂黑。如需改动，用橡皮擦干净后，再选涂其他答案标号。不能答在试题卷上。 一、单项选择题（本大题共20小题，每小题1分，共20分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其选出并将“答题纸” 的相应代码涂黑。错涂、多涂或未涂均无分。 1．病毒按破坏性划分可以分为 A．良性病毒和恶性病毒B．引导型病毒和复合型病毒 C．文件型病毒和引导型病毒D．复合型病毒和文件病毒 2．在进行身份证明时，用个人特征识别的方法是 A．指纹B．密码 C．身份证D．密钥 3．下列选项中，属于电子邮件的安全问题的是 A．传输到错误地址B．传输错误 C．传输丢失D．网上传送时随时可能被人窃取到 4．RC-5加密算法中的可变参数不包括 ．．． A．校验位B．分组长 C．密钥长D．迭代轮数 5．一个明文可能有多个数字签名的算法是 00997# 电子商务安全导论试题第1页共5页

A．RSA B．DES C．Rabin D．ELGamal 6．数字信封技术中，加密消息密钥形成信封的加密方法是 A．对称加密B．非对称加密 C．对称加密和非对称加密D．对称加密或非对称加密 7．防火墙的组成中不包括 ．．．的是 A．安全操作系统B．域名服务 C．网络管理员D．网关 8．下列选项中，属于加密桥技术的优点的是 A．加密桥与DBMS是不可分离的B．加密桥与DBMS是分离的 C．加密桥与一般数据文件是不可分离的D．加密桥与数据库无关 9．在不可否认业务中保护收信人的是 A．源的不可否认性B．提交的不可否认性 C．递送的不可否认性D．A和B 10．为了在因特网上有一种统一的SSL标准版本，IETF标准化的传输层协议是 A．SSL B．TLS C．SET D．PKI 11．能够全面支持电子商务安全支付业务的第三方网上专业信任服务机构是 A．CFCA B．CTCA C．SHECA D．PKI 12．下列选项中，属于中国电信CA安全认证系统结构的是 A．地市级CA中心B．地市级RA中心系统 C．省CA中心D．省RA中心系统 13．美国的橘黄皮书中为计算机安全的不同级别制定了D，Cl，C2，Bl，B2，B3，A标准，其中称为结构化防护的级别是 A．B1级B．Cl级 C．B2级D．C2级 14．下列选项中，属于提高数据完整性的预防性措施的是 A．加权平均B．信息认证 C．身份认证D．奇偶校验 00997# 电子商务安全导论试题第2页共5页

电子商务实训报告范文

电子商务实训报告范文 电子商务实训报告不知道怎么写?下面为大家整理电子商务实训报告范文，希望你能从中获得想要的信息! 电子商务实训报告范文一 一、实训时间 20XX年6月7日-6月10日 二、实训目标和要求 1、加深对电子商务专业基本知识的理解; 2、掌握B2C、B2B、C2C等商务形式的基本操作流程; 3、掌握电子商务中各功能模块的基本功能，使学习者获取丰富的商务管理知识和电子商务操作的感性认识; 4、了解电子商务相关知识的发展动向; 5、熟练运用安全工具保障电子商务活动安全。 三、实训过程和内容 (一)浙科电子商务模拟软件应用 《浙科电子商务模拟教学软件》集培训、教学、实验和实践功能为一体，极大程度的满足了电子商务实践教学的需要。模拟环境包括了BTB、BTC、CTC、BTC和在线拍购几大交易类型。不同角色的学生可以在权限范围内自主操作和使用这些网络平台提供的服务项目，通过通过建立自己的企业，创建企业网站、企业邮箱申请、数字证书申请/安装、EDI申请、产品生产、采购、库存、财务管理、

信息发布、投标、出口、客户管理、事件任务管理、履行合同、金融业务、在线支付、转帐、记帐、出运货物、收货等操作，完成相关业务流程，小秘书的提醒功能，帮助学生及时处理各种业务，从而为自己扮演的角色获得利润或满足需求。主要是在电子商务实训室的模拟平台上面进行的操作，实训过程中我们自主组队，还选了小组长，模拟了B2C、B2B、C2C等商务形式的基本操作，各个成员都扮演不同的角色，刚开始我们都不是很熟练，要做好这些操作也并非一件容易的事，因为这里面每一个细节的操作都是很重要的，稍有错误就完成不了交易。但是我们有不懂的问题都向老师讨教，在老师认真的指导以及我们队员默契的配合下，我们团队都一一克服了困难，我们的操作进步很快，随着一个个角色的成功扮演和一个个流程的顺利操作后，我们都体会到了那份收获的喜悦感。这次的实训，我们学到的不仅仅是专业的理论知识，还体会到了团队精神的重要性，并且熟练地掌握了相关流程，为我们以后更好地学好自己专业打下了良好的基础。 (二)电子商务安全认识 一、从上世纪90开始出现电子商务模式，我国的电子商务取得了快速的发展。子商务的广度和深度空前扩展，已经深入国民经济和日常生活的各个方面。但是，也有一些制约电子商务发展的因素，安全问题就是中之一。安全问题不仅造成巨大的经济损失，而且严重打击人们对电子商务的信心。电子商务的安全认识是我们实训的最后一个内容，通过这个学习的过程，我们基本上熟练地运用了安

2010年1月自学考试电子商务安全导论试题

全国2010年1月高等教育自学考试 电子商务安全导论试题 课程代码：00997 一、单项选择题（本大题共20小题，每小题1分，共20分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。 l.美国的橘皮书中计算机安全B级的子级中，从高到低依次是（） A.Bl B2 B.B2 B1 C.B1 B2 B3 D.B3 B2 B1 2.现在常用的密钥托管算法是（） A.DES算法 B.EES算法 C.RAS算法 D.SHA算法 3.SHA算法输出的哈希值长度为（） A.96比特 B.128比特 C.160比特 D.192比特 4.使用数字摘要和数字签名技术不．能．解决的电子商务安全问题是（） A.机密性 B.完整性 C.认证性 D.不可否认性 5.在服务器中经常使用偶数块硬盘，通过磁盘镜像技术来提升系统的安全性，这种磁盘冗余技术称为（） A.RAID 0 B.RAID 1 C.RAID 3 D.RAID 5 6.防火墙技术中处理效率最低的是（） A.包过滤型 B.包检验型 C.应用层网关型 D.状态检测型 7.目前，对数据库的加密方法主要有（） A.2种 B.3种 C.4种 D.5种 8.身份证明系统的质量指标中的II型错误率是（） A.通过率 B.拒绝率 C.漏报率 D.虚报率 9.在对公钥证书格式的定义中已被广泛接受的标准是（） A.X.500 B.X.502 C.X.509 D.X.600 10.使用者在更新自己的数字证书时不可以 ．．．采用的方式是（） A.电话申请 B.E-Mail申请 C.Web申请 D.当面申请 11.在PKI的构成模型中，其功能不包含 ．．．在PKI中的机构是（） A.CA B.ORA C.PAA D.PMA 12.用于客户——服务器之间相互认证的协议是（）

电子商务安全实验

实验一数字证书 一、实验目的及要求 1．了解数字证书的作用； 2．了解数字证书的种类； 3．明确认证中心和数字证书的作用； 4．理解CPS，下载安装根证书。 二、实验内容与步骤 1、登录上海市数字证书认证中心https://www.sodocs.net/doc/6418617575.html,，了解上海市数字认证中心提供的数字证书种类并了解个人证书的申请流程； 2、下载电子认证业务规则(CPS)和证书策略并阅读； 3、下载根证书； 4、安装根证书； 5、查看根证书； 6、回答下列问题。 1)上海市数字认证中心提供哪些数字证书种类？ 2)上海市数字认证中心的个人证书的申请流程是怎样的？ 3)电子认证业务规则 (CPS)和证书策略有什么作用？ 其他数字认证网： 上海市数字证书认证中心：https://www.sodocs.net/doc/6418617575.html, 中国数字认证网：https://www.sodocs.net/doc/6418617575.html, 天威诚信网站：https://www.sodocs.net/doc/6418617575.html, 中国金融认证网：https://www.sodocs.net/doc/6418617575.html, 中国电子邮政安全证书管理中心：https://www.sodocs.net/doc/6418617575.html,/ca/index.htm 北京数字证书认证中心：https://www.sodocs.net/doc/6418617575.html, 广东省电子商务认证中心：https://www.sodocs.net/doc/6418617575.html, 实验二安全电子邮件 一、实验目的及要求 1、了解个人数字证书在发送和接受安全电子邮件中的应用 2、掌握Outlook Express等邮件客户端软件中配置数字证书的使用方法 3、掌握利用个人数字证书收发签名邮件和加密邮件的方法 二、实验内容与步骤(各步骤需附操作结果截图) 1、登录上海市数字证书认证中心https://www.sodocs.net/doc/6418617575.html,，，申请并下载一个免费的个人安全电子邮件数字证书。 2、按上一步得到的数字证书，在IE浏览器中进行数字证书的安装操作（注意：首先完成根证书安装）。 3、将安装好的个人数字证书及私钥以默认格式的文件导出备份至U盘中。 4、将U盘中的人数字证书及私钥一起倒入IE浏览器中。

全国2010年10月自学考试电子商务安全导论试题及答案

做试题,没答案?上自考365,网校名师为你详细解答! 全国2010年10月自学考试电子商务安全导论试题及答案 课程代码：00997 一、单项选择题（本大题共20小题，每小题1分，共20分） 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.计算机安全等级中，C2级称为（） A.酌情安全保护级 B.访问控制保护级 C.结构化保护级 D.验证保护级 2.在电子商务的发展过程中，零售业上网成为电子商务发展的热点，这一现象发生在 （）A.1996年 B.1997年 C.1998年 D.1999年 3.电子商务的安全需求中，保证电子商务系统数据传输、数据存储的正确性的根基是 （）A.可靠性 B.完整性 C.真实性 D.有效性 4.最早提出的公开的密钥交换协议是（） A.Blom B.Diffie-Hellman C.ELGamal D.Shipjack 5.ISO/IEC9796和ANSI X9.30-199X建议的数字签名的标准算法是（） A.HA V AL B.MD-4 C.MD-5 D.RSA 6.发送方使用一个随机产生的DES密钥加密消息，然后用接受方的公钥加密DES密钥，这种技术称为（） A.双重加密 B.数字信封 C.双联签名 D.混合加密 7.在以下主要的隧道协议中，属于第二层协议的是（） 1 全国2010年10月自学考试电子商务安全导论试题

全国2010年10月自学考试电子商务安全导论试题 2 A.GRE B.IGRP C.IPSec D.PPTP 8.使用专有软件加密数据库数据的是（ ） A.Access B.Domino C.Exchange D.Oracle 9.在下列选项中，不是．．每一种身份证明系统都必须要求的是（ ） A.不具可传递性 B.计算有效性 C.通信有效性 D.可证明安全性 10.Kerberos 的局限性中，通过采用基于公钥体制的安全认证方式可以解决的是（ ） A.时间同步 B.重放攻击 C.口令字猜测攻击 D.密钥的存储 11.在下列选项中，不属于．．．公钥证书的证书数据的是（ ） A.CA 的数字签名 B.CA 的签名算法 C.CA 的识别码 D.使用者的识别码 12.在公钥证书发行时规定了失效期，决定失效期的值的是（ ） A.用户根据应用逻辑 B.CA 根据安全策略 C.用户根据CA 服务器 D.CA 根据数据库服务器 13.在PKI 的性能要求中，电子商务通信的关键是（ ） A.支持多政策 B.支持多应用 C.互操作性 D.透明性 14.主要用于购买信息的交流，传递电子商贸信息的协议是（ ） A.SET B.SSL C.TLS D.HTTP 15.在下列计算机系统安全隐患中，属于电子商务系统所独有的是（ ） A.硬件的安全 B.软件的安全 C.数据的安全 D.交易的安全 16.第一个既能用于数据加密、又能用于数字签名的算法是（ ） A.DES B.EES C.IDEA D.RSA 17.在下列安全鉴别问题中，数字签名技术不能．．解决的是（ ）

10月电子商务安全导论全国自考试题及答案解析

全国2018年10月高等教育自学考试 电子商务安全导论试题 课程代码：00997 一、单项选择题(本大题共20小题，每小题1分，共20分) 在每小题列出的四个备选项中只有一个是符合题目要求的，请将其代码填写在题后的括号内。错选、多选或未选均无分。 1.TCP/IP协议安全隐患不包括 ．．．( ) A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 2.IDEA密钥的长度为( ) A.56 B.64 C.124 D.128 3.在防火墙技术中，内网这一概念通常指的是( ) A.受信网络 B.非受信网络 C.防火墙内的网络 D.互联网 4.《计算机场、地、站安全要求》的国家标准代码是( ) A.GB57104-93 B.GB9361-88 C.GB50174-88 D.GB9361-93 5.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为几个阶段? ( ) A.三个 B.四个 C.五个 D.六个 6.信息安全技术的核心是( ) A.PKI B.SET C.SSL D.ECC 7.Internet接入控制不能 ．．对付以下哪类入侵者? ( ) A.伪装者 B.违法者 C.内部用户 D.地下用户 8.CA不能 ．．提供以下哪种证书? ( ) A.个人数字证书 B.SSL服务器证书 1

C.安全电子邮件证书 D.SET服务器证书 9.我国电子商务走向成熟的重要里程碑是( ) A.CFCA B.CTCA C.SHECA D.RCA 10.通常为保证商务对象的认证性采用的手段是( ) A.信息加密和解密 B.信息隐匿 C.数字签名和身份认证技术 D.数字水印 11.关于Diffie-Hellman算法描述正确的是( ) A.它是一个安全的接入控制协议 B.它是一个安全的密钥分配协议 C.中间人看不到任何交换的信息 D.它是由第三方来保证安全的 12.以下哪一项不在 ．．证书数据的组成中? ( ) A.版本信息 B.有效使用期限 C.签名算法 D.版权信息 13.计算机病毒的特征之一是( ) A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 14.在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几个步骤? ( ) A.6 B.7 C.8 D.9 15.属于PKI的功能是( ) A.PAA，PAB，CA B.PAA，PAB，DRA C.PAA，CA，ORA D.PAB，CA，ORA 16.MD-4散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( ) A.64 B.128 C.256 D.512 17.SHA的含义是( ) A.加密密钥 B.数字水印 C.安全散列算法 D.消息摘要 18.对身份证明系统的要求之一是( ) A.具有可传递性 B.具有可重用性 2

电子商务安全实验报告

【实训报告(03)】第三次上机实验 实训时间：2018年10月18日实训地点：科苑504姓名：折姣姣 一、实训的过程及步骤 （一）实验目的： 1．了解认证体系的体制结构、功能、作用、业务范围及运行机制。 2. 掌握网上申请个人数字证书的方法。 3．掌握数字证书的导入、导出和安装。 4. 掌握数字证书的配置内容及配置方法 5. 了解数字证书的作用及使用方法 6．利用数字证书发送签名邮件和加密邮件 （二）实验内容： （1）访问中国金融认证中心（CFCA）并简述安全电子印章签章系统的功能及其申请使用方法。 （2）访问广东省电子商务认证中心，写出其主要栏目及内容。 （3）访问瑞星的网站写出其主要安全产品及功能 （4）查找2个和电子商务安全相关的案例，写出如何防范可能出现的安全问题。 （三）实验步骤： 1、安全电子印章签章系统的功能：○1实名认证，实名认证是电子签章系统中最为核心的重要环节，通过实 名认证技术可确保电子签章使用者的真实身份，避免签章被人冒用、滥用的隐患。 ○2电子签章管理，电子签章管理功能包括电子签章的制作、授权、使用、撤销、管理、维护等一系列操作。 ○3文档在线编辑，电子签章系统具有强大的在线编辑功能，用户可在线自由编辑各类文档、电子合同、合作协议、公告通知等内容。 ○4电子合同签署，电子合同编辑完成后，用户即可在线发起电子合同签署，签约方实名认证并使用电子签章进行签署，一份电子合同就签署完成了。 ○5合同管理，合同管理功能可以协助企业管理所有与合同相关的文件，如合同原稿、合同变更文件、合同附件等，并且支持合同分类归档，在线查询及下载等功能。 ○6法律服务，一般情况下，第三方电子签章系统可提供出证服务，为用户提供证据链，证明用户签署的电子合同未被篡改，有效防止抵赖。 申请使用方法：

电子商务安全导论

第一章电子商务的概念 1．电子商务的含义 【名词解释】电子商务：是建立在电子技术基础上的商业运作，是利用电子技术加强、加快、扩展、增强、改变了其有关过程的商务。 【单选】第一代或传统的电子商务为：数据交换（EDI）采用的信息传输方式是“存储---转发” 2．电子商务的构成 表现形式：【多选】B-B,B-C,C-C,B-G 技术要素：【多选】电子商务的技术要素组成包括：网络、应用软件和硬件。 技术要素组成的核心：【单选】应用软件 3．电子商务的模式 (1)大字报／告示牌模式。 (2)在线黄页簿模式。 (3)电脑空间上的小册子模式。 (4)虚拟百货店模式。 (5)预订／订购模式。 (6)广告推销模式。 4．【简答】Internet(因特网)、Intranet(内连网)和Extranet(外连网)的特点(1)Internet(因特网)因特网的最大优势，是它的广袤覆盖及开放结构。 由于它是开放结构，许多企业及用户可以按统一的技术标准和较合理的费用连接上网，使网上的主机服务器和终端用户以滚雪球的速度增加，也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散，网上内容难以控制，私密性难以保障。从电子商务等应用看，安全性差是因特网的又一大缺点，这已成为企业及用户上网交易的重要顾虑。 (2)Intranet(内连网)Intranet(内连网)本书中选译为企业内域网。 企业内域网是为企业内部运作服务的，自然有它安全保密的要求，当它与公网Internet连接时，就要采取措施，防止公网上未授权的无关人员进入，防止企业内部敏感资料的外泄。这些保障内域网安全的硬件、软件措施，通常称为防火墙(Firewall)。防火墙常常是一个介乎内域网和因特网其他部分之间的安全服务器。 (3)Extranet(外连网)一般译为企业外域网，它是一种合作性网络。一个企业除利用因特网的技术和标准或直接在因特网上构建企业内域网，满足企业内部运作之外，还经常需要与某些业务关系较密切的本企业集团以外的单位通过网络进行联系，为达成某一共同目标而共享某些资源。 5．电子商务的发展历史（设备---软件---推销产品---与客户相联系） 【单选】有人把现代电子商务的发展分成如下几个阶段，从中也可看出电子商务发展的轨迹、条件和基础： (1)1995年：网络基础设施大量兴建。 (2)1996年：应用软件及服务成为热点。 (3)1997年：网址及内容管理的建设发展，有关企业、业务的调整、重组及融合，所谓“人口门户”(Portal)公司的出现。 (4)1998年：网上零售业及其他交易蓬勃发展。 二、电子商务安全基础 1．电子商务的安全隐患 (1)硬件系统计算机是现代电子科技发展的结晶，是一个极其精密的系统，它的每一个零件都是由成千上万个电子元件构成的。这一方面使计算机的功能变得十分强大，另一方面又使它极易受到损坏。 (2)软件系统软件是用户与计算机硬件联系的桥梁。任何一个软件都有它自身的弱点，而大多数安全问题都是围绕着系统的软件部分发生的，既包括系统软件也包括应用软件。 电子商务系统的安全问题不仅包括了计算机系统的隐患，还包括了一些自身独有的问题。 (1)数据的安全。 (2)交易的安全。【简答】为什么说交易的安全是电子商务系统所独有的？ 2．【简答】简述电子商务所遭受的攻击。 (1)系统穿透。 【单选】未经授权人通过一定手段假冒合法用户接入系统，对文件进行篡改、窃取机密信息、非法使用资源的攻击行为是：系统穿透 (2)违反授权原则。 【单选】攻击者通过猜测口令接入一个非特许用户账号，取得接入系统权，从而严重危急系统的安全的攻击行为是：违反授权原则。 (3)植入。 【单选】在系统中植入病毒、蛀虫、木马来破坏系统的攻击行为是：植入。 (4)通信监视。 【单选】在通信过程中从信道搭线接听的方式称为：通信监视。 (5)通信窜扰。 【单选】攻击者对通信数据或通信过程进行干预，对完整性进行攻击，篡改系统中的数据内容，注入伪造信息的攻击行为：通信窜扰。 (6)中断。 【单选】破坏系统中的硬件、硬盘、线路、文件系统的攻击方式：中断。 (7)拒绝服务。 【单选】一个业务口被滥用而使其他用户不能正常接入的攻击行为：拒绝服务。 (8)否认。 【单选】一个实体进行某种通信或交易伙同，稍后否认曾进行过这一活动。 (9)病毒。 【单选】曾一度给我国造成巨大损失的病毒：CIH病毒。 3．电子商务安全的六性 多选，简答。名词解释 (1)商务数据的机密性。 【单选】信息在网络上传送或存储的过程不被他人窃取、不被泄露或披露给未经授权的人或组织，或经过加密伪装后，使未经授权者无法了解其内容。是商务数据的机密性。 【多选】保证数据机密性的手段：加密和信息隐匿技术。 (2)商务数据的完整性。