电子商务安全导论

电子商务安全导论

一、单项选择题

1.《计算机场、地、站安全要求》的国家标准代码是( )

A.GB57104-93 B.GB9361-88 C.GB50174-88 D.GB9361-93 2.电子邮件的安全问题主要有( )

A.传输到错误地址 B.传输错误 C.传输丢失 D.网上传送时随时可能被人窃取到

3.TCP/IP协议安全隐患不包括( )

A.拒绝服务 B.顺序号预测攻击 C.TCP协议劫持入侵 D.设备的复杂性 4.对INTERNET的攻击的四种类型不包括( )

A.截断信息 B.伪造 C.篡改 D.病毒 5.IDEA密钥的长度为( )

A.56 B.64 C.128 D.124

6.在防火墙技术中，内网这一概念通常指的是( ) A.受信网络

B.非受信网络 C.防火墙内的网络

D.互联网

7.在接入控制的实现方式中，MAC的含义是( )

A.自主式接入控制 B.授权式接入控制 C.选择式接入控制 D.强制式接入控制 8.Kerberos的局限性从攻击的角度来看，大致有几个方面的问题?( ) A.4 B.5 C.6 D.7 9.以下不是接入控制的功能的是( ) ．．A.阻止非法用户进入系统

B.允许合法用户进入系统

C.使合法人按其权限进行各种信息活动 D.阻止非合法人浏览信息 10.下面( )不是散列函数的名字。

A.压缩函数 B.数字签名 C.消息摘要 D.数字指纹 11.商户业务根据其使用的证书以及在网上交易是否遵循SETCo标准分为( ) A.SET标准商户业务规则与SSL标准商户业务规则 B.SET标准商户业务规则与Non-SSL标准商户业务规则 C.SET标准商户业务规则与Non-SET标准商户业务规则 D.Non-SET标准商户业务规则与SSL标准商户业务规则 12.多级安全策略属于( )

A.最小权益策略 B.最大权益策略 C.接入控制策略 D.数据加密策略 13.SHECA指的是( )

A.上海市电子商务安全证书管理中心 B.深圳市电子商务安全证书管理中心 C.上海市电子商务中心 D.深圳市电子商务中心 14.关于双联签名描述正确的是( ) A.一个用户对同一消息做两次签名

B.两个用户分别对同一消息签名

1

C.对两个有联系的消息分别签名 15．网络安全的最后一道防线是( ) A.数据加密

D.对两个有联系的消息同时签名

D.身份识别

B.访问控制 C.接入控制

16.DAC的含义是（ ）

A.自主式接入控制 B.数据存取控制 C.强制式接入控制 D.访问控制 17.常用的数据加密方法有( )种。

A. 2 B. 3 C. 4 D. 5

18.在Kerberos中，Client向本Kerberos的认证域以内的Server申请服务的过程分为3个阶段共（ ）

A.四个步骤 B.五个步骤 C.六个步骤 D.七个步骤 19.通行字的最小长度至少为( )

A.4～8字节以上 B.6～8字节以上 C.4～12字节以上 D.6～12字节以上 20.在Kerberos中，Client向本Kerberos认证域外的Server申请服务包含几个步骤? ( ) A.6

B.7 C.8

D.9

21.对身份证明系统的要求之一是( ) A.具有可传递性

B.具有可重用性 C.示证者能够识别验证者

D.验证者正确识别示证者的概率极大化 22.Kerberos中最重要的问题是它严重依赖于( ) A.服务器 A.哈希算法

B.口令 C.时钟

D.密钥

23.公钥体制用于大规模电子商务安全的基本要素是( )

B.公钥证书 C.非对称加密算法 D.对称加密算法

24.身份认证中的证书由（ ）

A.政府机构发行 B.银行发行 C.企业团体或行业协会发行 D.认证授权机构发行 25.属于PKI的功能是( )

A.PAA，PAB，CA B.PAA，PAB，DRA C.PAA，CA，ORA 26.HTTPS是使用以下哪种协议的HTTP?( ) A.SSL

B.SSH C.Security

D.TCP

D.PAB，CA，ORA

27.CTCA目前提供的安全电子证书，其密钥的长度为( ) A.64位 B.128位 C.256位 D.512位 28.中国金融认证中心的英文缩写是（ ）。

A.CFCA B.CTCA C.SHECA D.CPCA 29.下列选项中不属于。 ．．．SHECA证书管理器的操作范围的是（ ）

A.对根证书的操作 B.对个人证书的操作 C.对服务器证书的操作 D.对他人证书的操作 30.安装在客户端的电子钱包一般是一个( )。

A.独立运行的程序 B.浏览器的一个插件 C.客户端程序 D.单独的浏览器

2

31.密钥备份与恢复只能针对( ),签名私钥为确保其唯一性而不能作备份. A.解密密钥 B.公钥 C. 公钥对 D. 密钥对 32.SET协议是通过( )确保数据的完整性。

A.单密钥加密 B.双密钥加密 C.密钥分配 D.数字化签名 33.消息经过散列函数处理后得到的是( ) A.公钥

B.私钥 C.消息摘要 D.数字签名

34.美国的橘黄皮书中为计算机安全的不同级别制定了4个标准，他们从高到低依次是（ ） A.DCBA B.ABCD C.B1B2ClC2 D.C1C2B1B2 35.关于Diffie-Hellman算法描述正确的是( ) A.它是一个安全的接入控制协议 C.中间人看不到任何交换的信息 36.计算机病毒的特征之一是( )

A.非授权不可执行性 B.非授权可执行性 C.授权不可执行性 D.授权可执行性 37.MD-4散列算法中输入消息可以任意长度，但要进行分组，其分组的位数是( ) A.64

B.128 C.256

D.512

38.不涉及．．．PKI技术应用的是( ) A.VPN A．EES

B.安全E-mail C.Web安全

D.视频压缩

D．RSA

B.它是一个安全的密钥分配协议 D.它是由第三方来保证安全的

39.以下哪一项是密钥托管技术?( )

B．SKIPJACK C．Diffie-Hellman

40.由于协议标准得到了IBM、Microsoft等大公司的支持，已成为事实上的工作标准的安全 议是( )

A.SSL B.SET C.HTTPS D.TLS 41.CFCA认证系统采用国际领先的PKI技术，总体为( )

A.一层CA结构 B.二层CA结构 C.三层CA结构 D.四层CA结构 42.互联网协议安全IPSec是属于第几层的隧道协议?（ ） A.第一层 B.第二层 C.第三层 D.第四层

43.在双密钥体制的加密和解密过程中要使用公共密钥和个人密钥，它们的作用是（ ） A.公共密钥用于加密，个人密钥用于解密 C.两个密钥都用于加密

B.公共密钥用于解密，个人密钥用于加密 D.两个密钥都用于解密

44.在一次信息传送过程中，为实现传送的安全性、完整性、可鉴别性和不可否认性，这个过程采用的安全手段是（ ）

A.双密钥机制 B.数字信封 C.双联签名 D.混合加密系统 45.一个密码系统的安全性取决于对（ ）

A.密钥的保护 B.加密算法的保护 C.明文的保护 D.密文的保护 46.收发双发持有不同密钥的是（ ）体制。

3

A.对称密钥 B.数字签名 C.公钥 D.完整性 47.称为访问控制保护级别的是（ ）

A.C1 B.B1 C.C2 D.B2 48.下列属于良性病毒的是（ ）

A.黑色星期五病毒 B.火炬病毒 C.米开朗基罗病毒 D.扬基病毒 49.目前发展很快的基于PKI的安全电子邮件协议是（ ） A.S／MIME B.POP C.SMTP D.IMAP

50.建立计算机及其网络设备的物理环境，必须要满足《建筑与建筑群综合布线系统工程设

计规范》的要求，计算机机房的室温应保持在（ ）

A.10℃至25℃之间 B.15℃至30℃之间 C.8℃至20℃之间 D.10℃至28℃之间 51.如果要保证多厂商在电子商务交易中建立信任关系，PKI必须具备的最关键的通信特性是 （ ）

A.数据完整性 B.不可否认性 C.数据保密性 D.互操作性 52.下列不能说明身份证明系统质量指标的名词为（ ）

A.拒绝率 B.虚报率 C.传递率 D.漏报率 53.通行字认证系统中通行字的安全存储方法一般有（ ） A.2种 B.3种 C.4种 D.5种 54.使用专用软件加密数据库数据的加密方法特点是（ ）

A.一个数据库加密应用设计平台 B.与DBMS是分离的

C.调用DBMS的加密功能进行加密 D.将加密方法嵌入DBMS的源代码 55.在大量的密钥分配协议中，最早提出的公开的密钥交换协议是（ ） A.Diffie—Hellman协议 B.Blom密钥分配协议 C.基于对称密码体制的密钥分配协议 D.基于身份的密钥分配协议 56.实现数据完整性的主要手段是（ ）

A.转换算法 B.散列函数算法 C.DES算法 D.RSA算法

57.计算机病毒可分为引导型病毒、文件型病毒和复合型病毒，这种分类方式是按（ ） A.解密方式分类 B.破坏方式分类 C.加密方式分类 D.寄生方式分类 58.通信中涉及两类基本成员，即发送者和接收者，相应地有两个不可否认的基本类型：源的不可否认性和（ ）

A.证据不可否认性 B.用户不可否认性 C.数据不可否认性 D.递送的不可否认 59.一个典型的CA系统包括安全服务器、注册机构RA、CA服务器、数据库服务器和（ ） A.AS服务器 B.TGS服务器 C.LDAP目录服务器 D.LD服务 60.为了电子商务系统的安全，在设计防火墙时，考虑内网中需要向外提供服务的服务器常常放在一个单独的网段，这个网段区域称为（ ）

A.RSA B.DES C.CA D.DMZ

二、多项选择题

1.电子商务安全的中心内容( )

A.机密性 B.完整性 C.不可访问性 D.不可拒绝性 E.访问控制性 2.保证商务数据机密性的手段主要是( )

A.数据加密 B.身份认证 C.数字签名 D.信息隐匿 E.数字水印

4

3.散列值也称为( )

A.哈希值 B.杂凑值 C.密钥 D.消息摘要 4.防地雷接地设置接地体时,不应大于( )Ω A.1 B.2 C.3 D.4 5.对Internet的攻击有多种类型，包括( ) A.截断信息 B.中断

C.伪造 D.病毒

E.介入

6.关于仲裁方案实现的描述以下哪些是正确的?( ) A.申请方生成文件的单向杂凑函数值

B.申请方将杂凑函数值及原文一并传递给加戳方

C.加戳方在杂凑函数值后附上时间与日期，并进行数字签名 D.加戳方将签名的杂凑函数值，时戳一并发给申请者 E.加戳方生成文件的单向杂凑函数 7.防火墙的基本组成有( )

A.全操作系统 B.过滤器 C.网关 D.域名服务和E-mail处理 E.网络管理员 8.接入控制的实现方法有( )

A.DAC B.DCA C.MAC D.CAM 9.公钥证书的类型有（ ）

A.客户证书 B.密钥证书 C.服务器证书 D.安全邮件证书 E.CA证书 10.公钥证书的申请方式有( )

A.电话申请 B.Web申请 C.E-Mail申请 D.邮寄申请 E.到认证机构申请 11.PKI技术能有效的解决电子商务应用中的哪些问题?（ ）

A.机密性 B.完整性 C.不可否认性 D.存取控制 E.真实性 12.对SSL提供支持的服务器有( ) A.Netscape communicator D.Lotus Notes Server

B.Mircrosoft Internet Explore E.MS-DOS

C.Microsoft IIS

13.SHECA数字证书根据应用对象可将其分为（ ）

A.个人用户证书 B.服务器证书 C.安全电子邮件证书 D.手机证书 E.企业用户证书

14.认证机构应提供以下( )方面的服务。

A.证书颁发 B.证书更新 C.证书申请 D.证书的公布和查询 E.证书吊销 15.PKI的RA提供( )功能。

A.验证申请者身份 B.生成密钥对 C. 密钥的备份 D.批准证书 E.签发证书

16.SEL的技术范围包括:( );认可信息和对象格式;划帐信息和对象格式;对话实体之间消息的传输协议。

A.加密算法的应用 B.银行信息和对象格式 C. 购买信息和对象格式 D.证书信息和对象格式 E.控制信息和对象格式 17.电子商务系统可能遭受的攻击有( ) A.系统穿透

B.植入

C.违反授权原则 D.通信监视 E.计算机病毒

18.属于公钥加密体制的算法包括( )

5

A.DES B.二重DES C.RSA D.ECC E.ELGamal

19.签名可以解决的鉴别问题有( )

A.发送者伪造 B.发送者否认 C.接收方篡改 D.第三方冒充 E.接收方伪造 20.在SET中规范了商家服务器的核心功能是( ) A.联系客户端的电子钱包 D.处理客户的付款信息

B.联系支付网关

C.处理SET的错误信息

E.查询客户帐号信息

21.防火墙不能解决的问题包括（ ） ．．

A.非法用户进入网络 B.传送已感染病毒的文件或软件 C.数据驱动型的攻击 D．对进出网络的信息进行过滤 E．通过防火墙以外的其它途径的攻击 22.常见的电子商务模式的有（ ）

A.大字报／告示牌模式 B.在线黄页薄模式 C.电脑空间上的小册子模式 D.虚拟百货店模式 E.广告推销模式 23.使用两个密钥的算法是（ ）

A.双密钥加密 B.单密钥加密 C.双重DES D.三重DES E.双重RSA 24.双钥密码体制算法的特点包括（ ）

A.算法速度慢 B.算法速度快 C.适合加密小数量的信息 D.适合密钥的分配 E.适合密钥的管理

25.实际中用到的口令的控制措施有（ ）

A.系统消息 B.限制试探次数 C.口令有效期 D.双口令系统 E.最小长度 26.认证机构是通过电子证书机制来保证网上通信的合法身份的，在运作过程中，认证机构应提供的服务有( )

A.证书格式的制订 B.证书的颁发 C.证书更新 D.证书废除 E.证书的公布和查询

27.在信息摘要上应用较多的散列函数有( )

A.MD—4 B.MD—5 C.SHA D.GOST E.HAVAL 28.密钥管理在密码学中有着重大的作用，在密钥管理中最棘手的问题可能是( ) A.密钥的设置 B.密钥的产生 C.密钥的分配 D.密钥的存储 E.密钥的装入 29.属于构成CA系统的服务器有( )

A.安全服务器 B.CA服务器 C.加密服务器 D.LDAP服务器 E.数据库服务器 30.实现源的不可否认业务的方法( )

A.源的数字签字 B.可信赖第三方的数字签字 C. 可信赖第三方的持证 D. 线内可信赖第三方 E.上述方法的适当组合 31.SET安全保障措施的技术基础是( )

A.通过加密方式确保信息机密性 B.通过数字化签名确保数据的完整性 C.通过数字化签名确保数据传输的可靠性 D. 通过数字化签名和商家认证确保交

6

易各方身份的真实性 E.通过特殊的协议和消息形式确保动态交互式系统的可操

作性

32.解决纠纷的步骤有哪些( ) A.检索不可否认证据

B.收取认可证据 C. 向对方出示证据 D. 向解决纠

纷的仲裁人出示证据 E.裁决 33.有效证书应满足的条件有那些( )

A.证书在CA发行的无效证书清单中 B.证书没有超过有效期 C. 密钥没有被修改 D.证书不在CA发行的无效证书清单中 34.通行字的选择原则是( )

A.易记 B.难于被别人猜中或发现 C. 抗分析能力强 D. 不易被泄露 35.接入控制机构的建立主要根据三种类型信息( )

A.实施权限 B.执行权限 C. 主体 D. 客体 E.接入权限 36.组建VPN应该遵循的设计原则( )

A.安全性 B.灵活性 C.网络优化 D. VPN管理 37.目前放火墙的控制技术可以分为哪几种( ) A.包过滤型 B. 包检验型 C.应用层网关型 D. 网络结构型 38.提高数据完整性的预防性措施是( )

A.镜像技术 B.故障前兆分析 C. 奇偶校验 D. 隔离不安全的人员 E.电源保障 39.比较常见的的备份方式有( )

A.定期磁带备份数据 B. 远程磁带库、光盘库备份 C. 远程数据库备份 D. 网络数据镜像 E.远程镜像磁盘

40.SET安全协议要达到的目标主要有( ) A.信息的安全传输

B. 信息的相互隔离

C. 多方认证的解决

D. 交易的实时性 E.效仿EDI贸易形式

三、操作题

1. 用Ceasar算法加密iloveit,假设密钥Key=4,写出密文。 2. 置换密码法，置换表如下：

---------------------------------------------------------------------明文 a b c d e f g h i j k l m n o p q r u v w x

---------------------------------------------------------------------

密文 B E I J N G Q S T H U A C D F K L W X M Y Z ---------------------------------------------------------------------

假如明文为: hellobeijing, 写出密文。 3.保证数据完整性的措施有哪些? 4. 如何防范计算机病毒的感染? 5. 电子钱包的功能是什么?

7

本文来源：https://www.bwwdw.com/article/i0la.html