電子商務安全導論復習資料

1、個人收集整理 勿做商業(yè)用途電子商務安全復習題一 、選擇題：1、下列屬于單鑰密碼體制算法的是（A ）ARC5 加密算法 B RSA密碼算法CELGamal密碼體制 D 橢圓曲線密碼體制2、下列選項中不是散列函數(shù)的名字的是（ A ） A數(shù)字簽名 B 數(shù)字指紋 C 壓縮函數(shù) D 雜湊函數(shù)3、建筑內(nèi)部裝修設計防火規(guī)范的國家標準代碼是（D ）AGB50174 93 B GB936188CGB50169 92 D GB50222954、Kerberos 最頭疼的問題源自整個 Kerberos 協(xié)議都嚴重地依賴 于（ C ）A服務器 B 通行字 C 時鐘 D密鑰5、LDAP服務器提供（ A ）A目錄服務 B

2、 公鑰服務 C 私鑰服務 D證書服務6、SSL協(xié)議可以插入到 Internet 的應用協(xié)議中，它位于 Internet TCP/IP協(xié)議的哪個協(xié)議之上？（ A ）A 、TCP B.IP C.FTP D.HTTP7、三重 DES加密算法是（ B ）A. 用2個密鑰對明文進行 2次加密 B. 用 2個密鑰對明文進行 3 次加密C.用3個密鑰對明文進行 2次加密 D. 用 3個密鑰對明文進行 3 次加密8、MD-5散列算法是（ B ）個人收集整理 勿做商業(yè)用途A. 經(jīng)過 4 輪運算，每輪又要進行 4 步迭代運算B、經(jīng)過 4 輪運算，每輪又要進行 16 步迭代運算C、經(jīng)過 16輪運算，每輪又要進行 4

3、 步迭代運算D、經(jīng)過 16輪運算，每輪又要進行 16步迭代運算9、下列選項中不能保證數(shù)據(jù)完整性的措施是（ D ） A、鏡像技術 B. 有效防毒 C. 及時備份 D. 隧道技術10、.PKI 的構成中，制定證書政策和證書使用規(guī)定的機構是 （ B ） A. 、政策管理機構 PMA B. 、政策審批機構 PAA C、. 證書管理機構 CA D. 、單位注冊機構 ORA11、下列選項中不不屬于 Internet 攻擊類型的是（ D ） A 、截留信息 B 、偽造 C 、篡改 D 、磁盤損壞12、RAS算法中的密鑰的數(shù)目為（ B）A 、1個 B 、2個 C 、3個 D 、4個13、Verisign 劃分

4、的數(shù)字證書等級中，針對服務器的是（ C）A 、等級 1 B 、等級 2 C 、等級 3 D 、等級 414、SHECA證書的非對稱加密算法密鑰長度是（ C）A 、256位 B 、512位 C 、1024位 D 、204815、安全等級中稱為訪問控制保護級的是（ B）A 、C1 B 、C2 C 、D1 D 、D216、下列選項中，不屬于有影響的提供PKI 服務的公司的是（ D ）A Baltimore 公司 BEntrust 公司C VeriSign 公司DSun 公司17、SET協(xié)議確保交易各方身份的真實性的技術基礎是數(shù)字化簽 名和（ B ）個人收集整理 勿做商業(yè)用途A加密 B 商家認證 C客

5、戶認證 D數(shù)字信封18、MAC的含義是（ CA、自主式接入控制數(shù)據(jù)存取控制C強制式接入控制信息存取控制19、使用專用軟件加密數(shù)據(jù)庫數(shù)據(jù)時，這一類專用軟件的特點是將加密方法嵌入（ A ）ADBMS的源代碼應用程序源代碼C操作系統(tǒng)源代碼數(shù)據(jù)20、支持無線 PKI 的證書是（ACFCA手機證書CTCA數(shù)字證書CSHECA證書書CHCA證書二、名詞解釋1、容錯技術當系統(tǒng)發(fā)生某些錯誤或者故障時，在不排除錯誤和故障條件下， 使系統(tǒng)能夠繼續(xù)正常工作或進入應急工作狀態(tài)的網(wǎng)絡安全技術。2、Extranet是基于 TCP/IP 協(xié)議的企業(yè)外域網(wǎng)，與 Intranet 對應，是一個合 作性網(wǎng)絡。3、發(fā)卡銀行： 電子

6、貨幣發(fā)行公司或建有電子貨幣發(fā)行的銀行， 發(fā) 行信用卡給持卡人的銀行機構。 （分）在交易過程前， 發(fā)卡銀行負責 查驗持卡人的數(shù)據(jù)，如果查驗有效， 整個交易才能成立。（分）在交 易過程中負責處理電子貨幣的審核和支付工作個人收集整理 勿做商業(yè)用途4、身份證明系統(tǒng) 是采用電子方式實現(xiàn)個人身份證明的方法。 （ 分）一個身份證明系統(tǒng)一般由方組成，一方是出示證件的人，提出 某種要求；另一方為驗證者，決定是否滿意其要求；第三方是可信賴 者，用以調(diào)解糾紛5、郵件炸彈： 是采用電子方式實現(xiàn)個人身份證明的方法。 （分） 一個身份證明系統(tǒng)一般由方組成，一方是出示證件的人，提出某種 要求；另一方為驗證者，決定是否滿意其

7、要求；第三方是可信賴者， 用以調(diào)解糾紛6、證書更新：當證書持有者的證書過期，證書被竊取， 受到攻擊 時通過更新證書的方法，使其用新的證書繼續(xù)參與網(wǎng)上認證。 （分） 證書的更新包括證書的更換和證書的延期兩種情況。三、簡答題1、數(shù)據(jù)文件和系統(tǒng)的備份要注意什么？）日常的定時，定期備份 （）定期檢查備份的質量 （）重要的備份最好存放在不同的介質上 （）注意備份本 身的防竊和防盜）多重備份，分散存放，由不同人員分別保管。個人收集整理 勿做商業(yè)用途2、簡述密匙分配中應解決的問題及其方法？（1）現(xiàn)代密鑰分配的研究一般要解決兩個問題： 一是引進自動分 配機制，以提高系統(tǒng)的效率；二是盡可能減少系統(tǒng)中駐留的密鑰量

8、。 （2 分）（2）典型的密鑰分配途徑有兩種： 集中式分配方案和分布式分配 方案。集中式分配是指利用網(wǎng)絡中的密鑰管理中心來集中管理密鑰， 密鑰管理中心接受系統(tǒng)中用戶的要求，為用戶提供安全分配密鑰的服 務。分布式分配方案是指網(wǎng)絡中各主機具有相同的地位。他們之間的 密鑰分配取決于他們自己的協(xié)商，不受任何其他方面的限制3、簡述證書政策的作用和意義。證書政策是信息管理和信息技術基礎設施的一個組成部分。 （ 1 分）使得這個基礎設施從整體上能夠安全地實現(xiàn)公開環(huán)境中的服務提 供、管理和通信：（1 分）用電子形式的認證代替書面形式的認證，從 而加快信息流通速度、提高效率、降低成本： （1 分）鼓勵使用基于開

9、 放標準的技術：（1 分）建立與其開放安全環(huán)境的互操作。4、CA認證申請者的身份后，生成證書的步驟有哪些？（1）CA檢索所需要的證書內(nèi)容信息 （ 2）CA證實這些信息的正 確性 （3）CA用其簽名密鑰對證書簽名（4）將證書的一個拷貝送給注冊者（5） CA 將證書送入證書數(shù)據(jù)庫，并向公用檢索業(yè)務機構公個人收集整理 勿做商業(yè)用途布 （ 6）CA將證書存檔（7）CA將證書生成過程中的一些細節(jié)計入審計記錄中5、簡述網(wǎng)上信用卡交易的安全需求？（ 1）商家希望有一套簡單的， 符合經(jīng)濟效益的方法來完成網(wǎng)上交 易；（ 1 分） （2）客戶希望有一套安全的，方便的，能夠放心地到 網(wǎng)上購物的機制；（2 分）（3）

10、銀行以及信用卡機構需要以現(xiàn)有的信用卡機制為基礎的， 變 動較少的修改就能夠在未來支持電子付款的方式。 （2 分）6、如果要安全地進行網(wǎng)上購物，怎樣認準“ SET”商業(yè)網(wǎng)站？Visa 和 MasterCard 公司為了確保 SET軟件符合規(guī)范要求， 在 SET 發(fā)表后 ， 城里 了 Secure Electronic Transaction LLC（或稱 SETCO。）（2分）它對 SET軟件建立了一套測試的準則， （1分）如測試 通過后就可獲得 SET特約商店的商標。（1 分） SET特約商店的商標就 成為到 SET商店安全購物的重要手段。四論述題1、（ SET與 SSL都是實現(xiàn)網(wǎng)上交易的安全

11、性，根據(jù)你的理解，談個人收集整理 勿做商業(yè)用途一談它們之間的區(qū)別與優(yōu)缺點 .SSL協(xié)議是使用瀏覽器訪問 WEB服務器時，為了提高安全性而定 下的一些規(guī)矩，包括在接到請求后的動作步驟，何時需要采用身份驗 證技術和加密技術等， SSL協(xié)議可以保證其數(shù)據(jù)傳輸?shù)陌踩?。SET協(xié)議是由 Visa 和 MasterCard 兩大信用卡組織聯(lián)合開發(fā)的電 子商務安全協(xié)議，其復雜度較深，涵蓋了信用卡在電子商務交易中的 交易流程， 以及應用的信息保密問題、 資料完整及 CA認證問題、 數(shù)字 簽名等問題。SSL優(yōu)、缺點優(yōu) 點 ： 1 、 支 持 多 加 密 算 法 2 、 過 程 簡 單3 、獨立于應用層協(xié)議缺點：

12、1、只能建立兩點之間的安全連線 （所以顧客信息不能直接發(fā)給銀行，須經(jīng)商家轉發(fā)）2、只能保證連接通道是安全的，即不能保證商家會私自保留或盜 用 顧客付款及身份信正是由于上述協(xié)議的不完善，眾多技術開發(fā)人士又推出了一個新SET協(xié)議。的更加全面的協(xié)議：SET優(yōu)、缺點優(yōu)點：務失務 缺點 ： 11、提供了更好的安全服2 、 保 護 了 商 家 免 受 損 3、擴展了銀行和信用卡商的業(yè) 、需要安裝相應軟件才能使個人收集整理 勿做商業(yè)用途用 2 、 必 須 向 各 方 發(fā) 放 證 書3 、價格昂2、試述組建 VPN應該遵循的設計原則。VPN的設計應該遵循以下原則：安全性、網(wǎng)絡優(yōu)化、VPN管理等。在安全性方面，

13、由于 VPN直接構建在公用網(wǎng)上，實現(xiàn)簡單、方便、靈活，但同時其安全 問題也更為突出。企業(yè)必須確保其 VPN上傳送的數(shù)據(jù)不被攻擊者窺視和篡改，并且要防止非 法用戶對網(wǎng)絡資源或私有信息的訪問。 Extranet VPN將企業(yè)網(wǎng)擴展到合作伙伴和客戶，對安 全性提出了更高的要求。安全問題是 VPN的核心問題。目前， VPN的安全保證主要是通過防 火墻技術、路由器配以隧道技術、加密協(xié)議和安全密鑰來實現(xiàn)的，可以保證企業(yè)員工安全地 訪問公司網(wǎng)絡。在網(wǎng)絡優(yōu)化方面，構建 VPN的另一重要需求是充分有效地利用有限的廣域網(wǎng)資源，為重 要數(shù)據(jù)提供可靠的帶寬。廣域網(wǎng)流量的不確定性使其帶寬的利用率很低，在流量高峰時引起

14、網(wǎng)絡阻塞，產(chǎn)生網(wǎng)絡瓶頸，使實時性要求高的數(shù)據(jù)得不到及時發(fā)送；而在流量低谷時又造成 大量的網(wǎng)絡帶寬空閑。 QoS通過流量預測與流量控制策略，可以按照優(yōu)先級分配帶寬資源， 實現(xiàn)帶寬管理，使得各類數(shù)據(jù)能夠被合理地先后發(fā)送，并預防阻塞的發(fā)生。在 VPN管理方面， VPN要求企業(yè)將其網(wǎng)絡管理功能從局域網(wǎng)無縫地延伸到公用網(wǎng)，甚至 是客戶和合作伙伴。雖然可以將一些次要的網(wǎng)絡管理任務交給服務提供商去完成，企業(yè)自己 仍需要完成許多網(wǎng)絡管理任務。所以，一個完善的VPN管理系統(tǒng)是必不可少的。 VPN管理的目標為：減小網(wǎng)絡風險、具有高擴展性、經(jīng)濟性、高可靠性等優(yōu)點。事實上，VPN管理主要包括安全管理、設備管理、配置管理、訪問控制列表管理、QoS服務質量管理等內(nèi)容。3、由于 RSA的公鑰 / 私鑰對具有不同的功能，在對公鑰 / 私鑰對的 要求上要考慮哪些不一致的情況？1、采用兩個不同的密鑰對分別