電子商務(wù)安全試題及答案

1、電子商務(wù)安全試題及答案判斷題:1 .電子商務(wù)安全的研究范疇屬于純技術(shù)上的問題。（F）電子商務(wù)安全研究范圍包括技術(shù)和管理兩個方面.2 .數(shù)字簽名可以用對稱和非對稱加密技術(shù)來實現(xiàn)。（T ）3 .基于公開密鑰體制的數(shù)字證書是電子商務(wù)安全體系的核心。（T ）4 .接管合法用戶，占用合法用戶資源屬于信息的截獲和竊取。（F ）接管合法同戶屬于信息的假冒5 .SET是提供公鑰加密和數(shù)字簽名服務(wù)的平臺。（F ）PKI.是數(shù)字簽名與加密的服務(wù)平臺6 .一次一密的密碼體制不屬于理論上不可破解的密碼。（F ）一次一密機(jī)制屬于理論上不可破解的密碼，因為它不可逆7 .密鑰管理中分配密鑰和存儲密鑰是最棘手的問題。（T ）

2、8 .VPN是指在內(nèi)部網(wǎng)絡(luò)基礎(chǔ)上建立的安全專用傳輸通道。（F ）VPN是在公共網(wǎng)絡(luò)上建立的安全通道PC機(jī)來實現(xiàn)。（T ）9 .屏蔽路由器可由廠家專門生產(chǎn)的路由器實現(xiàn)，也可由一臺10 .樹型結(jié)構(gòu)是 CA認(rèn)證機(jī)構(gòu)中嚴(yán)格的層次結(jié)構(gòu)模型。（T ） 案例分析題（每題 20分，共40分）1 .案例一：中國煤焦數(shù)字交易市場中國煤焦數(shù)字交易市場（網(wǎng)址： ）是國家863計劃，科技部"九五"重大攻關(guān)項目，國家"流通領(lǐng)域信息化”示范工程，是一個面向市場、服務(wù)全國、連接世界的大型電子商務(wù)應(yīng)用典范。通過發(fā)揮山西省煤焦產(chǎn)銷量大的絕對優(yōu)勢，整合賣方和政府資源同時聯(lián)合銀行和運輸企業(yè)建立網(wǎng)上集政府

3、監(jiān)管、信息服務(wù)、交易功能、物流結(jié)算為一體的綜合性中國煤焦數(shù)字交易平臺，創(chuàng)造了 “煤炭+鼠標(biāo)”的電子商務(wù)模式。煤炭作為一種半市場化的大宗重要能源產(chǎn)品訂貨合同比一般物品購銷合同要復(fù)雜很多， 一份合同除買賣雙方簽章認(rèn)可外，還需要煤炭運銷總公司、 煤炭銷售辦公室等多級煤炭管理部門和鐵路、公路等運輸部門進(jìn)行簽章確認(rèn)才能成為一份有效的、可執(zhí)行的合同。這樣一份合同往往需要蓋五、六個公章。在電子合同的簽訂中， 每個環(huán)節(jié)都需要對合同進(jìn)行數(shù)字簽章， 并通過判斷上一個角色的數(shù)字簽章是否成功來實現(xiàn)合同的流轉(zhuǎn)，完成最后一個簽章才能生成一份有效的電子合同。 2002年2月通過應(yīng)用SXCAa字安全證書作為身份確認(rèn)和數(shù)據(jù)安全

4、保證，中國煤焦數(shù)字交易市場成功召開了 2002年度山西省煤炭網(wǎng)上訂貨會，會議期間60余家煤炭供銷企業(yè)通過數(shù)字 證書簽訂電子煤炭供銷合同。所有煤炭運銷管理部門和鐵路部門采用數(shù)字證書登錄相應(yīng)的虛 擬辦公區(qū)對電子合同進(jìn)行了審核簽章。 案例問題：（1）中國煤焦數(shù)字交易市場采用數(shù)字簽名簽署電子合同，什么是數(shù)字簽名，它有什么作用？所謂數(shù)字簽名就是附加在數(shù)據(jù)單元上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所作的密碼變換。這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認(rèn)數(shù)據(jù)單元的來源和數(shù)據(jù)單元的完整性并保護(hù)數(shù)據(jù)，防止被人（例如接收者）進(jìn)行偽造。（數(shù)字簽名（又稱公鑰數(shù)字簽名、電子簽章）是一種類似寫在紙上的普通的物理簽名，但是使用了公

5、鑰加密領(lǐng)域的技術(shù)實現(xiàn)，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補的運算，一個用于簽名，另一個用于驗。）簡述數(shù)字簽名的 作用：1）接收方通過文件中的簽名能確認(rèn)發(fā)送者的身份；2）發(fā)送方以后不能否認(rèn)發(fā)送過的簽名文件；3）接收方不可能偽造文件的內(nèi)容；主要功能：保證信息傳輸?shù)耐暾浴l(fā)送者的身份認(rèn)證、防止交易中的抵賴發(fā)生。數(shù)字簽名技術(shù)是將摘要信息用發(fā)送者的私鑰加密，與原文一起傳送給接收者。接收者只有用發(fā)送的公鑰才能解密被加密的摘要信息，然后用HASH®數(shù)對收到的原文產(chǎn)生一個摘要信息，與解密的摘要信息對比。如果相同，則說明收到的信息是完整的，在傳輸過程中沒有被修改，否則說明信息被修改過

6、，因此數(shù)字簽名能夠驗證信息的完整性。數(shù)字簽名是個加密的過程，數(shù)字簽名驗證是個解密的過程。（2）簡述數(shù)字簽名的原理。數(shù)字簽名采用了雙重加密的方法來實現(xiàn)防偽、防賴。其 原理為：1、被發(fā)送文件用 SHA編碼加密產(chǎn)生128bit的數(shù)字摘要。2、發(fā)送方用自己的私用密鑰對摘要再加密，這就形成了數(shù)字簽名3、將原文和加密的摘要同時傳給對方4、接受方用授信方的公共密鑰（Public Key）對摘要解密，同時對收到的信息用SHA編碼加密產(chǎn)生又一摘要；5、將解密后的摘要和收到的信息在受信方重新加密產(chǎn)生的摘要互相對比，若二者一致，則說明傳送過程中信息沒有被破壞或篡改過，否則不然（每個人都有一對鑰匙”（數(shù)字身份），其中

7、一個只有她 /他本人知道（密出，另一個公開的（公鑰）。簽名的時候用密鑰，驗證簽名的時候用公鑰。又因為任何人都可以落款聲稱她/他就是你，因此公鑰必須向接受者信任的人（身份認(rèn)證機(jī)構(gòu)）來注冊。注冊后身份認(rèn)證機(jī)構(gòu)給你發(fā)一數(shù)字證書。對文件簽名后，你把此數(shù)字證書連同文件及簽名一起發(fā)給接受者，接受者向身份認(rèn)證機(jī)構(gòu)求證是否真地是用你的密鑰簽發(fā)的文件。）2 .案例二： 廣東移動電子采購平臺從2010年5月開始，廣東移動電子采購平臺先后在省公司和廣州、中山、肇慶等全省 各分公司進(jìn)行全面采購業(yè)務(wù)試運行。在深入了解用戶對電子采購平臺的實際需求的基礎(chǔ)上， 2010年11月開始，廣東移動電子采購平臺升級到二期系統(tǒng)，該系統(tǒng)

8、運行更加穩(wěn)定，現(xiàn)已在 廣東移動省公司和各分公司進(jìn)行全面業(yè)務(wù)運行。平臺的穩(wěn)定運行，保證了使用者可以順利的完成工作，平臺的權(quán)限設(shè)置，更好的體現(xiàn)了廣東移動“公正、公開、公平”的選型采購原則。由于系統(tǒng)涉及了大量的公司機(jī)密資料，因此廣東移動電子采購平臺選擇了PKI/CA體系 作為系統(tǒng)的安全基礎(chǔ)，使用了廣東省電子商務(wù)認(rèn)證中心提供的安全服務(wù)和系列產(chǎn)品保障整體 安全，達(dá)到如下目標(biāo)：(1)身份確認(rèn)：通過數(shù)字證書標(biāo)識使用用戶的身份；(2)數(shù)據(jù)加密：對于傳輸過程中的機(jī)密數(shù)據(jù)和存儲中的機(jī)密數(shù)據(jù)進(jìn)行加密；(3)完整性：對標(biāo)書等資料加蓋電子簽名信息，保障其完整性，沒被篡改；(4)不可否認(rèn)性：通過 PKI/CA體系的保證達(dá)

9、到不可否認(rèn)性 目前主要采用的安全應(yīng)用產(chǎn)品有：(1)客戶端證書：確認(rèn)用戶身份，保證用戶安全登錄到廣東移動電子采 購平臺；(2)服務(wù)器證書：建立 SSL加密傳輸，保證數(shù)據(jù)傳輸安全；(3)安全站點：確認(rèn)站點身份，防止站點被假冒。案例問題：(1)廣東省電子商務(wù)認(rèn)證中心提供的安全服務(wù)中的身份確認(rèn)、數(shù)據(jù)加密、 完整性、不可否 認(rèn)性分別可以采用哪些技術(shù)來保證？(2)請闡述安全在電子商務(wù)中的地位和作用。(3)有人說安全是“三分技術(shù)、七分管理”，請談?wù)勀愕目捶ā０咐⒖即鸢福?1)廣東省電子商務(wù)認(rèn)證中心提供的安全服務(wù)中的身份確認(rèn)、數(shù)據(jù)加密、完整性、不可否 認(rèn)性分別可以采用哪些技術(shù)來保證？答：電子商務(wù)中常采用的

10、安全技術(shù)有：數(shù)字摘要、數(shù)字簽名、數(shù)字時間戳、數(shù)字證書、認(rèn)證 中心以及信息加密等，可以利用數(shù)字證書保證身份確認(rèn)，數(shù)字簽名保證數(shù)據(jù)的完整性和不可 否認(rèn)性，采用加密技術(shù)對數(shù)據(jù)加密等。(2)請闡述信息安全在電子商務(wù)中的地位和作用。答：在當(dāng)今的信息時代， 必須保護(hù)對其發(fā)展壯大至關(guān)重要的信息資產(chǎn)，另一方面，這些資產(chǎn)也暴露在越來越多的威脅中，毫無疑問，保護(hù)信息的私密性、 完整性、真實性和可靠性的需求已經(jīng)成為企業(yè)和消費者的最優(yōu)先的需求之一。由于入侵、破壞企業(yè)IT系統(tǒng)的事件每天都在發(fā)生，加上Internet 危險地帶的認(rèn)知不斷加強(qiáng)，對信息安全的需求前所未有地高漲起來。 安全漏洞會大大降低公司的市場價值，甚至威脅

11、企業(yè)的生存。 即使最小的漏洞也能將公司的名譽、客戶的隱私信息和知識產(chǎn)權(quán)置于危險之中?？梢钥吹?，各種各樣的安全問題成為了制約電子商務(wù)發(fā)展的重要因素。因此，信息安全在電子商務(wù)中占有著及其重要地位。(3)有人說安全是“三分技術(shù)、七分管理”，請談?wù)勀愕目捶?。答：保障信息安全無疑要靠一定的安全技術(shù)手段，但是也應(yīng)該看到許多的安全漏洞是由于疏于管理造成的。在使用先進(jìn)的安全技術(shù)的條件下，組織還要是建立完善的企業(yè)安全制度，包括安全策略的制定、全員參與安全培訓(xùn)、安全組織的建設(shè)、建立并執(zhí)行嚴(yán)格的安全制度和文 檔等，并且對各種安全設(shè)備的綜合統(tǒng)一管理，提升安全管理效率。論述題(每小題20分，共40分)1 .分析技術(shù)管理

12、在保障電子商務(wù)安全運作中的作用。網(wǎng)絡(luò)無處不在，但我們也許沒有意識到我們很多時候點擊的是一個易窺視和易打擊的 “玻璃網(wǎng)”。按信息安全專家、中國科學(xué)院研究員許榕生的話說，我們的網(wǎng)絡(luò)建得很多很快，但由于缺乏自主技術(shù)支撐，CPU芯片、操作系統(tǒng)和數(shù)據(jù)庫、網(wǎng)關(guān)軟件大多依賴進(jìn)口，使我國計算機(jī)網(wǎng)絡(luò)的安全性能大大降低。但技術(shù)問題還不是最終的問題。筆者注意到，在這次由中國信息協(xié)會信息安全專業(yè)委員會主辦的“十一五”信息安全發(fā)展趨勢高峰論壇上，專家提出，“信息安全系統(tǒng)是三分技術(shù),七分管理?！庇袛?shù)據(jù)顯示，超過 85%勺安全威脅來自內(nèi)部，內(nèi)部人員或者內(nèi)外勾結(jié)造成的泄 密損失是黑客所造成損失的16倍，病毒所造成損失的 12

13、倍，而且呈不斷上升的趨勢。信息安全關(guān)系到國家發(fā)展戰(zhàn)略。在全球信息化大趨勢下，各國政府對網(wǎng)絡(luò)與信息安全問 題越來越重視，爭相搶占網(wǎng)絡(luò)信息安全“戰(zhàn)略制高點”。 比如，美國率先提出“網(wǎng)絡(luò)信息安 全關(guān)系國家戰(zhàn)略安全”的命題，加大對網(wǎng)絡(luò)信息安全的投入；俄羅斯把信息安全作為重振“大國雄風(fēng)”的突破口；西歐各國和日本、韓國、印度、新加坡等也都從國家發(fā)展戰(zhàn)略、安 全戰(zhàn)略和軍事戰(zhàn)略的高度奮起直追，加強(qiáng)了安全戰(zhàn)略的制定，并圍繞創(chuàng)建網(wǎng)絡(luò)安全、打擊網(wǎng)絡(luò)犯罪、保護(hù)數(shù)據(jù)和資源等課題展開探索。這些國家的經(jīng)驗值得我們借鑒。業(yè)內(nèi)人士指出，多年來，我國一直在為改善網(wǎng)絡(luò)信息安全管理水平、提高網(wǎng)絡(luò)信息安全防御能力進(jìn)行不懈努力， 在法律

14、規(guī)范和行政管理等方面出臺了一系列法律、法規(guī)和規(guī)章，比如近來相繼出臺的中華人民共和國電子簽名法和電子認(rèn)證服務(wù)管理辦法等法規(guī)對建立一個以電子認(rèn)證為基礎(chǔ)的網(wǎng)絡(luò)信任體系具有重要意義。但相對于互聯(lián)網(wǎng)產(chǎn)業(yè)的突飛猛進(jìn)， 法律法規(guī)建設(shè)仍然顯得有些滯后。“建網(wǎng)正如蓋樓，完善的技術(shù)就像結(jié)實的門窗，而好的物業(yè)管理才是小區(qū)安全最后的屏 障?！?一位專家如此評論道。信息安全，要技術(shù)，更要管理。2 .提高電子商務(wù)安全包括技術(shù)手段與管理手段，你認(rèn)為是技術(shù)手段重要還是管理手段重要。三分技術(shù)，七分管理”是網(wǎng)絡(luò)安全領(lǐng)域的一句至理名言：網(wǎng)絡(luò)安全中的30%依靠計算機(jī)系統(tǒng)信息安全設(shè)備和技術(shù)保障，而70 %則依靠用戶安全管理意識的提高以

15、及管理模式的更新?；蛟S上述說法可能不太準(zhǔn)確，但卻肯定了安全意識在安全領(lǐng)域的重要性。用戶電腦的安全不僅依靠安全軟件的保護(hù)，更多的需要用戶自己提高安全的意識。信息安全 “三分技術(shù)、七分管理”。在現(xiàn)在的信息安全技術(shù)環(huán)境下，攻擊成本越來越小， 防御成本越來越大，網(wǎng)絡(luò)的安全環(huán)境并未有所好轉(zhuǎn)，反而有日益惡化之虞。 而企業(yè)整體安全的水平往往取決于最弱的一環(huán)，而不是最強(qiáng)的地方。 在復(fù)雜的企業(yè)網(wǎng)絡(luò)中， 任何一個員工的疏漏、漏洞管理疏漏，都會給企業(yè)安全帶來威脅。信息技術(shù)安全：三分靠技術(shù)七分靠管理經(jīng)濟(jì)的全球化，技術(shù)變革的日新月異，已經(jīng)使全世界的經(jīng)濟(jì)環(huán)境發(fā)生了深刻的變化。2008年，全球范圍內(nèi)的金融危機(jī)，對中國每一個

16、大型企業(yè)提出了更高的要求。企業(yè)面臨的諸多挑戰(zhàn)接踵而來，這些挑戰(zhàn)包括全球化競爭、不斷增長的勞動力成本、高能源成本和人民幣升值。 企業(yè)迫切需要改變經(jīng)濟(jì)和業(yè)務(wù)增長方式。在這一轉(zhuǎn)型過程中，中國企業(yè)建立在舊有的資源高消耗、勞動力低成本上的競爭優(yōu)勢已 經(jīng)走到了時代的盡頭。 要開啟一個新的時代， 中國企業(yè)必須實現(xiàn)轉(zhuǎn)型， 而轉(zhuǎn)型過程中必然有 大批無法適應(yīng)新時代來臨的企業(yè)被淘汰出局。而信息技術(shù)則是幫助企業(yè)應(yīng)對挑戰(zhàn)的重要手 段，信息化和工業(yè)化的融合勢在必行。企業(yè)將自己越來越多的業(yè)務(wù)架構(gòu)在了IT系統(tǒng)之上，而一旦信息系統(tǒng)安全發(fā)生問題，后果就難以想象。在病毒肆虐的時代，反病毒已經(jīng)成為企業(yè)信息安全非常重要的一環(huán)?，F(xiàn)在，企

17、業(yè)客戶 的網(wǎng)絡(luò)情況一般比較復(fù)雜，面對著日益嚴(yán)峻的信息安全威脅，企業(yè)用戶需要考慮更多。 以往單兵作戰(zhàn)的方式顯然無法滿足企業(yè)反病毒的需求，集團(tuán)軍、主動、智能的作戰(zhàn)方式，成為企業(yè)反病毒的必由之路。企業(yè)網(wǎng)絡(luò)很脆弱企業(yè)網(wǎng)絡(luò)很脆弱，這并不駭人聽聞，而是一個事實。越復(fù)雜的企業(yè)網(wǎng)絡(luò)，面臨的安全威脅就越高。整體而言，大型企業(yè)網(wǎng)絡(luò)的風(fēng)險主要來源于四個方面，一是邊界安全風(fēng)險， 主要包括黑客攻擊、垃圾郵件等；二是內(nèi)網(wǎng)安全風(fēng)險， 主要包括主機(jī)系統(tǒng)漏洞、 服務(wù)配置不當(dāng)?shù)龋?三是應(yīng)用風(fēng)險，主要包括 Web服務(wù)器、文件服務(wù)器安全風(fēng)險等 ；四是管理安全風(fēng)險，主要包 括安全策略不完善、人員安全意識淡薄等。在病毒防范方面，國內(nèi)金融

18、企業(yè)現(xiàn)有防病毒體系還有待完善，有些金融企業(yè)內(nèi)外網(wǎng)之間只設(shè)置了防火墻，沒有網(wǎng)關(guān)病毒防護(hù)和網(wǎng)絡(luò)監(jiān)控措施；防病毒體系缺乏整體的桌面、主機(jī)安全策略；賬號管理、認(rèn)證授權(quán)、審計方面還不完善；業(yè)務(wù)需求的多樣化與網(wǎng)絡(luò)安全之間矛盾不 斷深化。由于種種原因，大型企業(yè)只注重企業(yè)網(wǎng)絡(luò)系統(tǒng)的建設(shè)， 而對安全問題沒有引起足夠的重 視。這些對信息安全的漠視，或者是信息安全方案的不完善， 將會給企業(yè)網(wǎng)絡(luò)帶來巨大的威 脅。因此，對于上述信息安全問題， 瑞星技術(shù)專家認(rèn)為， 大型企業(yè)應(yīng)該在解決問題或者防范 風(fēng)險時，保持系統(tǒng)的穩(wěn)定與暢通，為企業(yè)業(yè)務(wù)的發(fā)展保駕護(hù)航。集中安全管理是根本信息安全 “三分技術(shù)、七分管理”。在現(xiàn)在的信息安全技

19、術(shù)環(huán)境下，攻擊成本越來越 小，防御成本越來越大， 網(wǎng)絡(luò)的安全環(huán)境并未有所好轉(zhuǎn)，反而有日益惡化之虞。而企業(yè)整體安全的水平往往取決于最弱的一環(huán)，而不是最強(qiáng)的地方。 在復(fù)雜的企業(yè)網(wǎng)絡(luò)中， 任何一個員工的疏漏、漏洞管理疏漏，都會給企業(yè)安全帶來威脅。在這種情況下，企業(yè)信息安全的集中管理是根本，并需要依靠全新的技術(shù)手段來實現(xiàn)。一般而言，企業(yè)建立集中管理的原則包括：基于風(fēng)險管理，投入有的放矢；注重體系化采用系統(tǒng)方法，確保萬無一失；注重策略和管理，建立文件管理體系等。在技術(shù)層面，以瑞星殺 毒軟件網(wǎng)絡(luò)版2008為例，這款產(chǎn)品全面強(qiáng)調(diào)了集中管理，通過全網(wǎng)管理功能、增強(qiáng)型全網(wǎng) 漏洞管理、強(qiáng)大的網(wǎng)絡(luò)管理能力等方式，為

20、大型企業(yè)實現(xiàn)集中安全管理提供了強(qiáng)大的平臺。其中，增強(qiáng)型全網(wǎng)漏洞管理能夠全面嗅探網(wǎng)絡(luò)內(nèi)的系統(tǒng)漏洞、不安全設(shè)置等，可定時掃描所有客戶端，并自動完成系統(tǒng)補丁程序的遠(yuǎn)程分發(fā)和安裝。結(jié)合強(qiáng)大的全網(wǎng)管理功能，它能即時分類統(tǒng)計、匯總、備份，讓網(wǎng)絡(luò)管理員全面掌握、即時修補系統(tǒng)內(nèi)所有漏洞。瑞星的 網(wǎng)絡(luò)管理能力包括輕松的全網(wǎng)部署，針對每個客戶端、分組管理、權(quán)限分級等方面的有效控制；利用強(qiáng)大的系統(tǒng)管理中心， 可以讓一個網(wǎng)管員輕松承擔(dān)所有管理工作；在升級方面，針對國內(nèi)低帶寬網(wǎng)絡(luò)狀況進(jìn)行了技術(shù)優(yōu)化，減少了升級時間，支持客戶端偽BT升級，以及鎖定客戶端升級代理等。同時，借助瑞星殺毒軟件網(wǎng)絡(luò)版，網(wǎng)絡(luò)管理員能對網(wǎng)絡(luò)內(nèi)總體安全進(jìn)行分析，進(jìn)行遠(yuǎn)程控制管理，全網(wǎng)殺毒，制定防毒策略的集中定制與分發(fā)，實時監(jiān)控客戶端防毒狀況