1、做试题,没答案?上自考365,网校名师为你详细解答!全国2010年10月自学考试电子商务安全导论试题及答案课程代码:00997一、单项选择题(本大题共20小题,每小题1分,共20分)在每小题列出的四个备选项中只有一个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选或未选均无分。1.计算机安全等级中,C2级称为( )A.酌情安全保护级 B.访问控制保护级C.结构化保护级 D.验证保护级2.在电子商务的发展过程中,零售业上网成为电子商务发展的热点,这一现象发生在( )A.1996年 B.1997年C.1998年 D.1999年3.电子商务的安全需求中,保证电子商务系统数据传输、数据存储的
2、正确性的根基是( )A.可靠性 B.完整性C.真实性 D.有效性4.最早提出的公开的密钥交换协议是( )A.Blom B.Diffie-HellmanC.ELGamal D.Shipjack5.ISO/IEC9796和ANSI X9.30-199X建议的数字签名的标准算法是( )A.HAVAL B.MD-4C.MD-5 D.RSA6.发送方使用一个随机产生的DES密钥加密消息,然后用接受方的公钥加密DES密钥,这种技术称为( )A.双重加密 B.数字信封C.双联签名 D.混合加密7.在以下主要的隧道协议中,属于第二层协议的是( )A.GRE B.IGRPC.IPSec D.PPTP8.使用专有
3、软件加密数据库数据的是( )A.Access B.DominoC.Exchange D.Oracle9.在下列选项中,不是每一种身份证明系统都必须要求的是( )A.不具可传递性 B.计算有效性C.通信有效性 D.可证明安全性10.Kerberos的局限性中,通过采用基于公钥体制的安全认证方式可以解决的是( )A.时间同步 B.重放攻击C.口令字猜测攻击 D.密钥的存储11.在下列选项中,不属于公钥证书的证书数据的是( )A.CA的数字签名 B.CA的签名算法C.CA的识别码 D.使用者的识别码12.在公钥证书发行时规定了失效期,决定失效期的值的是( )A.用户根据应用逻辑 B.CA根据安全策略
4、C.用户根据CA 服务器 D.CA根据数据库服务器13.在PKI的性能要求中,电子商务通信的关键是( )A.支持多政策 B.支持多应用C.互操作性 D.透明性14.主要用于购买信息的交流,传递电子商贸信息的协议是( )A.SET B.SSLC.TLS D.HTTP15.在下列计算机系统安全隐患中,属于电子商务系统所独有的是( )A.硬件的安全 B.软件的安全C.数据的安全 D.交易的安全16.第一个既能用于数据加密、又能用于数字签名的算法是( )A.DES B.EESC.IDEA D.RSA17.在下列安全鉴别问题中,数字签名技术不能解决的是( )A.发送者伪造 B.接收者伪造C.发送者否认
5、D.接收者否认18.在VeriSign申请个人数字证书,其试用期为( )A.45天 B.60天C.75天 D.90天19.不可否认业务中,用来保护收信人的是( )A.源的不可否认性 B.递送的不可否认性C.提交的不可否认性 D.委托的不可否认性20.在整个交易过程中,从持卡人到商家端、商家到支付网关、到银行网络都能保护安全性的协议是( )A.SET B.SSLC.TLS D.HTTP二、多项选择题(本大题共5小题,每小题2分,共10分)在每小题列出的五个备选项中至少有两个是符合题目要求的,请将其代码填写在题后的括号内。错选、多选、少选或未选均无分。21.在20世纪90年代末期,大力推动电子商务
6、发展的有( )A.信息产品硬件制造商 B.大型网上服务厂商C.政府 D.银行及金融机构E.零售服务商22.在下列加密算法中,属于使用两个密钥进行加密的单钥密码体制的是( )A.双重DES B.三重DESC.RSA D.IDEAE.RC-523.计算机病毒按照寄生方式,可以分为( )A.外壳型病毒 B.引导型病毒C.操作系统型病毒 D.文件型病毒E.复合型病毒24.接入控制技术在入网访问控制方面具体的实现手段有( )A.用户名的识别 B.用户名的验证C.用户口令的识别 D.用户口令的验证E.用户帐号默认限制检查25.在现实生活中,需要用CFCA的典型应用有( )A.网上银行 B.网上证券C.网上
7、申报与缴税 D.网上企业购销E.网上搜索与查询三、填空题(本大题共5小题,每小题2分,共10分)请在每小题的空格中填上正确答案。填错、不填均无分。26.IDEA加密算法中,输入和输出的数据块的长度是_ 位,密钥长度是_位。27.电子商务的技术要素组成中,首先要有_,其次必须有各种各样的_,当然也少不了以各种服务器为核心组成的计算机系统。28.密钥管理是最困难的安全性问题,其中密钥的_和_可能是最棘手的。29.安全电子邮件证书是指个人用户收发电子邮件时,采用_机制保证安全。它的申请不需要通过业务受理点,由用户直接通过自己的浏览器完成,用户的_由浏览器产生和管理。30.身份证明可以依靠_、_和个人
8、特征这3种基本途径之一或它们的组合来实现。四、名词解释题(本大题共5小题,每小题3分,共15分)31.盲签名32.身份证实33.接入权限34.递送的不可否认性35.SSL握手协议五、简答题(本大题共6小题,每小题5分,共30分)36.简述双钥密码体制的加密和解密过程及其特点。37.简述证书合法性验证链。38.数字签名与消息的真实性认证有什么不同?39.列举计算机病毒的主要来源。40.密钥对生成的途径有哪些?41.基于SET协议的电子商务系统的业务过程有哪几步?六、论述题(本大题共1小题,15分)42.试述组建VPN应该遵循的设计原则。一、单项选择题。1.B 2.C 3.A 4.B 5.D 6.
9、B 7.D 8.B 9.D 10.D 11.A 12.B 13.C 14.B 15.D 16.C 17.A 18.B 19.A 20.A二、多项选择题。21.ABCD 22.AB 23.BDE 24.ABCDE 25ABCD三、填空题。26.64,12827.网络,应用软件28.分配,存储29.证书,密钥对30.所知,所有四、名词解释31.一般数字签名中,总是要先知道文件内容而后才签署,这是通常所需要的。但有时候需要某人对一个文件签名,而又不让他知道文件内容,称为盲签名。32.对个人身份进行肯定或否定。一般方法是将输入的个人信息(经公式和算法运算所得的结果)与卡上灬库存中的信息进行比较,得出结
10、论。33.表示主体对客体访问时可拥有的权利。接入权要按每一个对主体客体分别限定,权利包括读、写、执行等,读写含义明确,而执行权指目标为一个程序时它对文件的查找和执行。34.用于防止或解决出现有关是否一个特定的实体收到了一个特定的数据项、递送在特定时刻很出现、或两者皆有的分歧,目的是保护发信人。35.用于客户-服务器之间相互认证,协商加密和MAC算法,传送所需的公钥证书,建立SSL记录协议处理完整性校验和加密所虚的会话密钥。五、简答题。36.双钥密码体制又称作公共密钥体制或非对称加密体制。(1分)这种加密方法在加密和解密过程中要使用一对(两个)密钥,一个用于加密,另一个用于解密,即通过一个密钥加
11、密的信息,只有使用另一个密钥才能解密。(1分)这样每个用户对都拥有两个(一对)密钥:公共密钥和个人密钥,公共密钥用于加密,个人密钥用于解密。(1分)用户将公共密钥交给发送放或公开,信息发送者使用接受方法的公共密钥对信息加密,只有接收方的个人密钥才能解密。(2分)37.为了对证书进行有效的管理,证书实行分级管理,认证机构采用了树形结构,证书可以通过一个完整的安全体系得以验证。(2分)每份证书都与上一级的签名证书相关联,最终通过安全链追溯到一个已知的可信的机构。(2分)由此便可对各级证书的有效性进行验证(1分)38.数字签名与消息的真实性认证是不同的。消息认证是使接收方能验证消息发送者及所发消息内
12、容是否被篡改过。(1分)当受罚者之间没有利害冲突时,这对于防止第三者的破坏来说就是足够了。(2分)但当接收者和发送者之间有利害冲突时,单纯用消息认证技术就无法解决他们之间的纠纷,此时需要借助数字签名技术。(2分)39.(1)引进的计算机系统和软件中带有病毒;(2)各类出过人员带回来的机器和软件染有病毒;(3)一些染有病毒的游戏软件;(4)非法拷贝引起的病毒;(5)计算机生产、经营单位销售的机器和软件染有病毒;(6)维修不问交叉感染;(7)有人研制、改造病毒;(8)敌对分子以病毒进行宣传和破坏;(9)通过互联网传入的。40(1)密钥对持有者自己生成:用户自己用硬件或软件生成密钥对。如果密钥对用于
13、数字签名时,应支持古可否认性。(3分)(2)密钥对由通过系统生成:由用户依赖的、可信赖的某一中心机构(如CA)生成,然后要安全地送到特定用户的设备中。利用这类中心的资源,可产生高质量密钥对,易于备份与管理。(2分)41 基于SET协议的电子商务系统的业务过程可分为注册登记申请数字证书、动态认证和商业机构的处理。(2分)注册登记:一个机构如要假如到基于SET协议的安全电子商务系统中,必须先上网申请登记注册,申请数字证书。(1分) 动态认证:一旦注册成功,就可以随意地在网上从事电子商务活动了。在实际从事电子商务活动时,SET系统动态认证参与商务活 动者的数字证书。(1分)商务活动时,SET系统动态
14、认证参与商务活动者的数字证书。(1分)商业机构处理:工作步骤为:商业机构通过应用程序口处理购买和支付信息;电子收银发送资金信息给支付网关;支付网管发送动态认证认证回执信息给电子收银;电子收银通过电子钱包通知持卡人付款结果。(1分)六、论述题42.由于CPN是虚拟专用网,是对企业内部网的扩展,是建立在一个公共网络上临时的、安全的链接,是一条穿过混乱的公用网络的安全、稳定的隧道。所以,VPN的设计应该主要遵循以下原则:安全性、网络优化、VPN管理等。(3分)在安全方面,由于VPN只见诶构建在共用网上,实现简单、方便、灵活,但同时安全问题也更为突出。企业必须确保其VPN上传送的数据不被攻击者窥视和篡
15、改,并且要防止非法用户对网络资源或私有信息的访问。目前,VPN的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的。可以保证企业员工安全地访问公司网络。(4分)在网络优化方面,由于VPN是构建在有限的广域网络资源上,为重要数据提供可靠的带宽。而广域网络流量的不确定性,使其带宽的利用率很低。在流量高时,引起网络阻塞,产生网络瓶颈,使实时性药酒高的数据得不到及时发送;而在流量低时,大量网络带宽空间。QoS通过流量预测与流量控制策略,可以按优先级分配带宽资源,实现带宽管理,使得各类数据能够被合理地先后发送,并预防阻塞的发生(4分)在VPN管理方面,VPN要求企业将其网络管理功能从局域网无缝地延伸到公用网,甚至是客户和合作伙伴。所以,一个完善的VPN管理是必不可少的。VPN管理的目标为:减少网络风险,具有高扩展性、经济性、高可靠性等优点。一般VPN管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、服务质量管理等内容。(4分)
