第四章網(wǎng)絡(luò)安全與認(rèn)證

1、第四章網(wǎng)絡(luò)安全與認(rèn)證第四章網(wǎng)絡(luò)安全與認(rèn)證一、單項(xiàng)選擇題避免與超過(guò)權(quán)限的交1. 身份認(rèn)證的主要目標(biāo)包括：確保交易者是交易者本人、易者進(jìn)行交易和0(A) 可信性(B) 訪問(wèn)控制(C) 完整性(D) 保密性答案：B;2. 目前最安全的身份認(rèn)證機(jī)制是o(A) 一次口令機(jī)制(B) 雙因素法(C) 基于智能卡的用戶身份認(rèn)證(D) 身份認(rèn)證的單因素法答案：A;3. 下列是利用身份認(rèn)證的雙因素法的是o(A) 電話卡(B) 交通卡(C) 校園飯卡(D) 銀行卡答案：D;4. 下列環(huán)節(jié)中無(wú)法實(shí)現(xiàn)信息加密的是o(A) 鏈路加密(B) 上傳加密(C) 節(jié)點(diǎn)加密(D) 端到端加密答案：B;5. 基于私有密鑰體制的信息認(rèn)

2、證方法采用的算法是(A) 素?cái)?shù)檢測(cè)(B) 非對(duì)稱算法(C) RSA算法(D) 對(duì)稱加密算法答案：D;6. RSA算法建立的理論基礎(chǔ)是o(A) DES(B) 替代相組合(C) 大數(shù)分解和素?cái)?shù)檢測(cè)(D) 哈希函數(shù)答案：C;7. 防止他人對(duì)傳輸?shù)奈募M(jìn)行破壞需要 o(A) 數(shù)字簽字及驗(yàn)證(B) 對(duì)文件進(jìn)行加密(C) 身份認(rèn)證(D) 時(shí)間戳答案：A;8. 下面的機(jī)構(gòu)如果都是認(rèn)證中心，你認(rèn)為可以作為資信認(rèn)證的是 ，(A) 國(guó)家工商局(B) 著名企業(yè)(C) 商務(wù)部(D) 人民銀行答案：D;9. 屬于黑客入侵的常用手段 。(A) 口令設(shè)置(B) 郵件群發(fā)(C) 竊取情報(bào)(D) IP欺騙答案：D;10. 我國(guó)

3、電子商務(wù)立法目前所處的階段是 。(A) 已有電子商務(wù)示范法(B) 已有多部獨(dú)立的電子商務(wù)法(C) 成熟的電子商務(wù)法體系(D) 還沒有獨(dú)立的電子商務(wù)法答案：D;二、多項(xiàng)選擇題1. 網(wǎng)絡(luò)交易的信息風(fēng)險(xiǎn)主要來(lái)自 0(A) 冒名偷竊(B) 篡改數(shù)據(jù)(C) 信息丟失(D) 虛假信息答案：A B、C;2. 典型的電子商務(wù)采用的支付方式是 o(A) 匯款(B) 交貨付款(C) 網(wǎng)上支付(D) 虛擬銀行的電子資金劃撥答案：C、D;3. 簡(jiǎn)易的電子商務(wù)米用的支付方式是 o(A) 匯款(B) 交貨付款(C) 網(wǎng)上支付(D) 虛擬銀行的電子資金劃撥答案：A、B;4. 安全認(rèn)證主要包括o(A) 時(shí)間認(rèn)證(B) 支付手

4、段認(rèn)證(C) 身份認(rèn)證(D) 信息認(rèn)證答案：C、D;5. 在企業(yè)電子商務(wù)的安全認(rèn)證中，信息認(rèn)證主要用于 (A) 信息的可信性(B) 信息的完整性(C) 通信雙方的不可抵賴性(D) 訪問(wèn)控制答案：A B、C;6. 數(shù)字證書按照安全協(xié)議的不同，可分為 。(A) 單位數(shù)字證書(B) 個(gè)人數(shù)字證書(C) SET數(shù)字證書(D) SSL數(shù)字證書答案：C、D;7. 下列說(shuō)法中正確的是。(A) 身份認(rèn)證是判明和確認(rèn)貿(mào)易雙方真實(shí)身份的重要環(huán)節(jié)(B) 不可抵賴性是認(rèn)證機(jī)構(gòu)或信息服務(wù)商應(yīng)當(dāng)提供的認(rèn)證功能之一(C) 身份認(rèn)證要求對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份(D) SET是提供公鑰加密和數(shù)字簽名服務(wù)的

5、平臺(tái) 答案：A、B;參見教科書第309至315頁(yè)8屬于傳統(tǒng)防火墻的類型有。(A) 包過(guò)濾(B) 遠(yuǎn)程磁盤鏡像技術(shù)(C) 電路層網(wǎng)關(guān)(D) 應(yīng)用層網(wǎng)關(guān)(E) 入侵檢測(cè)技術(shù)答案：A C、D;9. 目前運(yùn)用的數(shù)據(jù)恢復(fù)技術(shù)主要是 。(A) 瞬時(shí)復(fù)制技術(shù)(B) 遠(yuǎn)程磁盤鏡像技術(shù)(C) 數(shù)據(jù)庫(kù)恢復(fù)技術(shù)(D) 系統(tǒng)還原技術(shù)答案：A B、C;10屬于電子商務(wù)的立法目的考慮的方面是 o(A) 為電子商務(wù)的健康、快速發(fā)展創(chuàng)造一個(gè)良好的法律環(huán)境(B) 鼓勵(lì)利用現(xiàn)代信息技術(shù)促進(jìn)交易活動(dòng)(C) 彌補(bǔ)現(xiàn)有法律的缺陷和不足(D) 與聯(lián)合國(guó)電子商業(yè)示范法保持一致 答案：A B、C;三、填空題1 對(duì)網(wǎng)絡(luò)交易的風(fēng)險(xiǎn)必須進(jìn)行深入的

6、分析，并從技術(shù)、 和角度提出風(fēng)險(xiǎn)控制辦法。答案：管理；法律；2. 網(wǎng)絡(luò)交易成功與否的關(guān)鍵所在。 答案：網(wǎng)絡(luò)交易安全問(wèn)題；方面的3. 一個(gè)完整的網(wǎng)絡(luò)交易安全體系，至少應(yīng)包括三類措施。一是措施；二是 面的措施；三是社會(huì)的法律政策與法律保障。答案：技術(shù)；管理；4. 客戶認(rèn)證主要包括 和。答案：客戶身份認(rèn)證；客戶信息認(rèn)證；5. 身份認(rèn)證包含和 個(gè)過(guò)程。答案：識(shí)別；鑒別；6. 基于私有密鑰體制的信息認(rèn)證是一種傳統(tǒng)的信息認(rèn)證方法。這種方法采用 法，該種算法中最常用的是 算法。答案：對(duì)稱加密；DES7. 及驗(yàn)證是實(shí)現(xiàn)信息在公開網(wǎng)絡(luò)上的安全傳輸?shù)闹匾椒?。該方法過(guò)程實(shí)際上是通過(guò)實(shí)現(xiàn)的。答案：數(shù)字簽字；哈希函數(shù)

7、；8. 時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加 的文件的摘要（digest ）、DTS攵到文件的日期和時(shí)間和 個(gè)部分。答案：時(shí)間戳；DTS的數(shù)字簽字；9. PKI/公鑰是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺(tái)，目的是管理和。答案：基礎(chǔ)設(shè)施；密鑰證書；10. 一個(gè)典型的PKI應(yīng)用系統(tǒng)包括五個(gè)部分： 、證書簽發(fā)子系統(tǒng)、證書發(fā)布子系統(tǒng)和目錄服務(wù)子系統(tǒng)。答案：密鑰管理子系統(tǒng)；證書受理子系統(tǒng)；11. 同傳統(tǒng)的商務(wù)交易一樣，電子商務(wù)交易認(rèn)證主要涉及的內(nèi)容有 、稅收認(rèn)證和外貿(mào)認(rèn)證。答案：身份認(rèn)證；資信認(rèn)證；12. 比較常用的防范黑客的技術(shù)產(chǎn)品有 、 口安全工具包/軟件。答案：網(wǎng)絡(luò)安全檢測(cè)設(shè)備；防火

8、墻；13. 新型防火墻的設(shè)計(jì)目標(biāo)是既有 的功能，又能在 行代理,能從鏈路層到應(yīng)用層進(jìn)行全方位安全處理。答案：包過(guò)濾；應(yīng)用層數(shù)據(jù)；14. 物理隔離技術(shù)是近年來(lái)發(fā)展起來(lái)的防止外部黑客攻擊的有效手段。物理隔離產(chǎn)品主要有和。答案：物理隔離卡；隔離網(wǎng)閘；15. 信息的安全級(jí)別一般可分為三級(jí)： 、秘密級(jí)。答案：絕密級(jí)；機(jī)密級(jí)；四、判斷題1. 認(rèn)證中心在電子商務(wù)中扮演整合經(jīng)濟(jì)中介的角色，在開展電子商務(wù)的過(guò)程中起整合作用。答案：錯(cuò)2. 網(wǎng)絡(luò)交易的信息風(fēng)險(xiǎn)主要來(lái)自冒名偷竊、 篡改數(shù)據(jù)、信息丟失等方面的風(fēng)險(xiǎn)。 答案：對(duì)3. 在典型的電子商務(wù)形式下，支付往往采用匯款或交貨付款方式。答案：錯(cuò)4. 電子商務(wù)交易安全過(guò)程

9、是一般的工程化的過(guò)程。答案：錯(cuò)5. 身份認(rèn)證是判明和確認(rèn)貿(mào)易雙方真實(shí)身份的重要環(huán)節(jié)。答案：對(duì)6. 身份認(rèn)證要求對(duì)數(shù)據(jù)和信息的來(lái)源進(jìn)行驗(yàn)證，以確保發(fā)信人的身份。 答案：錯(cuò)7. 日常所見的校園飯卡是利用的身份認(rèn)證的單因素法。答案：對(duì)8. 基于公開密鑰體制（PKI）的數(shù)字證書是電子商務(wù)安全體系的核心。 答案：對(duì)9. SET是提供公鑰加密和數(shù)字簽名服務(wù)的平臺(tái)。答案：錯(cuò)10. “特洛伊木馬” （Trojan Horse ）程序是黑客進(jìn)行IP欺騙的病毒程序。 答案：錯(cuò)數(shù)據(jù)加密標(biāo)準(zhǔn)數(shù)字時(shí)間戳服務(wù)認(rèn)證中心公鑰基礎(chǔ)設(shè)施 安全套接層協(xié)議五、電子商務(wù)術(shù)語(yǔ)英漢互譯DES (Data En crypti on Sta

10、ndard) DTS (Digital Time Stamp sever) CA (Certificate Authority) PKI (Public Key In frastructure) SSL (Secure Socket Layer)安全電子交易協(xié)議SET (Secure Electr onic Tran sact ion)RCA (Root Certificate Authority)根認(rèn)證中心NFS(Network File System)網(wǎng)絡(luò)文件系統(tǒng)六、名詞解釋1. 身份標(biāo)識(shí)：是指定用戶向系統(tǒng)出示自己的身份證明過(guò)程。（）2. 字典攻擊：是通過(guò)使用字典中的詞庫(kù)破解密碼的一種方法

11、。攻擊者將詞庫(kù)中的所有口令與攻擊對(duì)象的口令列表比較。如果得到匹配的詞匯則密碼破譯成功。（）3. 一次口令機(jī)制：即每次用戶登錄系統(tǒng)時(shí)口令互不相同。（）4. 時(shí)間戳：是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加時(shí)間戳的文件的摘要（digest ）、DTS攵到文件的日期和時(shí)間、DTS的數(shù)字簽字三個(gè)部分。（）5. PKI :是提供公鑰加密和數(shù)字簽字服務(wù)的安全基礎(chǔ)平臺(tái)，目的是管理密鑰和證書。（）6. 遠(yuǎn)程磁盤鏡像技術(shù)：是在遠(yuǎn)程備份中心提供主數(shù)據(jù)中心的磁盤影像。（）7. 電子合同：“電子合同”系指經(jīng)由電子、光學(xué)或類似手段生成、儲(chǔ)存或傳遞的合同。（）8. 電子簽字：系指在數(shù)據(jù)電文中，以電子形式所含、所附或在邏輯

12、上與數(shù)據(jù)電文有聯(lián)系的數(shù) 據(jù)，它可用于鑒別與數(shù)據(jù)電文有關(guān)的簽字人和表明此人認(rèn)可數(shù)據(jù)電文所含信息。（）七、簡(jiǎn)答題1. 用戶身份認(rèn)證的主要目標(biāo)是什么？基本方式有哪些？身份認(rèn)證的主要目標(biāo)包括：確保交易者是交易者本人。避免與超過(guò)權(quán)限的交易者進(jìn)行交易。 訪問(wèn)控制。一般來(lái)說(shuō)，用戶身份認(rèn)證可通過(guò)三種基本方式或其組合方式來(lái)實(shí)現(xiàn)： 口令訪問(wèn)系統(tǒng)資源。物理介質(zhì)訪問(wèn)系統(tǒng)資源。利用自身所具有的某些生物學(xué)特征訪問(wèn)系統(tǒng)資源。（）2. 信息認(rèn)證的目標(biāo)有哪些？可信性。完整性。不可抵賴性。保密性。（）3簡(jiǎn)述一個(gè)典型的PKI應(yīng)用系統(tǒng)包括的幾個(gè)部分？密鑰管理子系統(tǒng)（密鑰管理中心）。證書受理子系統(tǒng)（注冊(cè)系統(tǒng)）。證書簽發(fā)子系統(tǒng)（簽發(fā)系統(tǒng)

13、）。證書發(fā)布子系統(tǒng)（證書發(fā)布系統(tǒng)）。目錄服務(wù)子系統(tǒng)（證書查詢驗(yàn)證系統(tǒng)）。（）4. 簡(jiǎn)述認(rèn)證機(jī)構(gòu)在電子商務(wù)中的地位和作用。認(rèn)證機(jī)構(gòu)是提供交易雙方驗(yàn)證的第三方機(jī)構(gòu)。對(duì)進(jìn)行電子商務(wù)交易的買賣雙方負(fù)責(zé)，還要對(duì)整個(gè)電子商務(wù)的交易秩序負(fù) 責(zé)。帶有半官方的性質(zhì)。（）5. 我國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)的思路是什么？地區(qū)主管部門認(rèn)為應(yīng)當(dāng)以地區(qū)為中心建立認(rèn)證中心。行業(yè)主管部門認(rèn)為應(yīng)當(dāng)以行業(yè)為中心建立認(rèn)證中心。也有人提出建立幾個(gè)國(guó)家級(jí)行業(yè)安全認(rèn)證中心，如銀行系統(tǒng)和國(guó)際貿(mào)易系 統(tǒng)，形成一個(gè)認(rèn)證網(wǎng)絡(luò)，然后，實(shí)行相互認(rèn)證。（）6. 電子商務(wù)認(rèn)證機(jī)構(gòu)建設(shè)基本原則有哪些？權(quán)威性原則。真實(shí)性原則。機(jī)密性原則?？旖菪栽瓌t。經(jīng)濟(jì)性原則

14、。（）7 簡(jiǎn)述黑客所采用的服務(wù)攻擊的一般手段。和目標(biāo)主機(jī)建立大量的連接。向遠(yuǎn)程主機(jī)發(fā)送大量的數(shù)據(jù)包，使目標(biāo)主機(jī)的網(wǎng)絡(luò)資源耗盡。禾I用即時(shí)消息功能，以極快的速度用無(wú)數(shù)的消息“轟炸”某個(gè)特定用戶。使 目標(biāo)主機(jī)緩沖區(qū)溢出，黑客伺機(jī)提升權(quán)限，獲取信息或執(zhí)行任意程序。利用網(wǎng)絡(luò)軟件在實(shí)現(xiàn)協(xié)議時(shí)的漏洞， 向目標(biāo)主機(jī)發(fā)送特定格式的數(shù)據(jù)包， 而導(dǎo)致主機(jī)癱瘓。（）8. 電子合同有什么特點(diǎn)？電子數(shù)據(jù)的易消失性。電子數(shù)據(jù)作為證據(jù)的局限性。電子數(shù)據(jù)的易改動(dòng)性。()9. 電子簽字有什么功能？確定一個(gè)人的身份?？隙ㄊ窃撊俗约旱暮炞?。使該人與文件內(nèi)容發(fā)生關(guān)系。()10我國(guó)現(xiàn)行的涉及交易安全的法律法規(guī)有哪幾類？綜合性法律。規(guī)范

15、交易主體的有關(guān)法律。如公司法。規(guī)范交易行為的有關(guān)法律。包括經(jīng)濟(jì)合同法。監(jiān)督交易行為的有關(guān)法律。如會(huì)計(jì)法。()八、圖解題1. 下圖顯示了數(shù)字簽字和驗(yàn)證的傳輸過(guò)程。試簡(jiǎn)述。參考答案：(1) 發(fā)送方首先用哈希函數(shù)將需要傳送的消息轉(zhuǎn)換成報(bào)文摘要。(2) 發(fā)送方采用自己的私有密鑰對(duì)報(bào)文摘要進(jìn)行加密，形成數(shù)字簽字。(3) 發(fā)送方把加密后的數(shù)字簽字附加在要發(fā)送的報(bào)文后面，傳遞給接收方。(4) 接受方使用發(fā)送方的公有密鑰對(duì)數(shù)字簽字進(jìn)行解密，得到報(bào)文摘要。(5) 接收方用哈希函數(shù)將接收到的報(bào)文轉(zhuǎn)換成報(bào)文摘要，與發(fā)送方形成的報(bào)文摘要相比較，若相同，說(shuō)明文件在傳輸過(guò)程中沒有被破壞。()2. SET中CA的層次結(jié)構(gòu)如

16、下圖所示。試填補(bǔ)空缺處內(nèi)容。參考答案：(1) 品牌認(rèn)證中心(2) 區(qū)域認(rèn)證中心(3) 持卡人認(rèn)證中心(4) 支付網(wǎng)關(guān)認(rèn)證中心(5) 持卡人(6) 支付網(wǎng)關(guān)()九、案例題1. 近日，電子簽名法(草案)提請(qǐng)全國(guó)人大常委會(huì)審議。人們盼望已久的 電子簽名法終于進(jìn)入了實(shí)質(zhì)性階段，即將出臺(tái)應(yīng)用于實(shí)際生活中。被業(yè)界 人士稱為“中國(guó)首部真正意義上的信息化法律”的電子簽名法的出臺(tái)將在 一定程度上對(duì)電子商務(wù)起到規(guī)范保障作用。在面對(duì)我國(guó)網(wǎng)絡(luò)信用與數(shù)據(jù)電文法律效力保障缺乏的情況下，電子簽名法的適時(shí)出臺(tái)，賦予網(wǎng)上數(shù)據(jù)電文以法律效力保障，將在很大程度上消除網(wǎng)絡(luò)信用 危機(jī)。(2004-4-16 11:25:00 ) 來(lái)源：

17、通信信息報(bào)你認(rèn)為電子簽名法的出臺(tái)能否解決我國(guó)電子商務(wù)領(lǐng)域目前的發(fā)展問(wèn)題？(1) 電子簽名法出臺(tái)將在一定程度上對(duì)電子商務(wù)起到規(guī)范保障作用。(2) 電子簽名活動(dòng)的進(jìn)行需要第三方即電子認(rèn)證機(jī)構(gòu)才能完成。(3) 電子簽名法的出臺(tái)加強(qiáng)了電子商務(wù)的誠(chéng)信建設(shè)，但它并不能完全解 決電子商務(wù)中的信用危機(jī)。(4) 電子簽名法是網(wǎng)絡(luò)法治建設(shè)的一個(gè)里程碑，然而完善的電子商務(wù)法 律環(huán)境建設(shè)要走的路還很長(zhǎng)。十、論述題1 網(wǎng)絡(luò)黑客主要攻擊手段有哪些？如何加以防范？ 答題要點(diǎn)：（1）口令攻擊；（2）服務(wù)攻擊；（3）電子郵件轟炸；（4）利用文件系統(tǒng)入侵；（5）計(jì)算機(jī)病毒；6）IP欺騙。防范黑客攻擊的主要技術(shù)手段：（1）入侵檢測(cè)

18、技術(shù)；（2）防火墻技術(shù)；（3）物理隔離技術(shù)；2. 談一下我國(guó)電子商務(wù)立法的基本問(wèn)題有哪些？ 答題要點(diǎn)：（1）電子商務(wù)立法形式的選擇。（2）電子商務(wù)立法目的。（3）電子商務(wù)立法指導(dǎo)思想與原則。4）電子商務(wù)立法范圍。第8章電子商務(wù)的安全問(wèn)題一、選擇題1、郵件炸彈的常用攻擊方式是（）A.非鏈?zhǔn)秸◤桞.差錯(cuò)消息炸彈C.秘密通道D.郵件列表炸彈2、計(jì)算機(jī)病毒可通過(guò)（）A、工作站傳播B、服務(wù)器傳播C、上傳文件傳播D電子郵件傳播3、目前最廣泛的數(shù)字簽名是（）A RSA簽名 B DSS簽名 C SSLD SET4、身份識(shí)別常用方式有（）A、2種B、3種C 4種D 5種5、從技術(shù)上看，電子商務(wù)交易的信息風(fēng)險(xiǎn)主要有（）A.