2013年10月電子商務(wù)安全導(dǎo)論00997自考試題及答案

2013年10月一、單項選擇題(本大題共20小題，每小題1分，共20分)病毒按破壞性劃分可以分為(A)良性病毒和惡性病毒B.引導(dǎo)型病毒和復(fù)合型病毒C.文件型病毒和引導(dǎo)型病毒D.復(fù)合型病毒和文件病毒在進行身份證明時，用個人特征識別的方法是(A)A.指紋B.密碼C.身份證D.密鑰下列選項中，屬于電子郵件的安全問題的是(D)A.傳輸?shù)藉e誤地址B.傳輸錯誤C.傳輸丟失D.網(wǎng)上傳送時隨時可能被人竊取到RC-5加密算法中的可變參數(shù)不包括(A)A.校驗位B.分組長C.密鑰長D.迭代輪數(shù)一個明文可能有多個數(shù)字簽名的算法是(D)A.RSAB.DESC.RabinD.ELGamal數(shù)字信封技術(shù)中，加密消息密鑰形成信封的加密方法是(B)A.對稱加密B.非對稱加密C.對稱加密和非對稱加密D.對稱加密或非對稱加密防火墻的組成中不包括的是(C)A.安全操作系統(tǒng)B?域名服務(wù)C?網(wǎng)絡(luò)管理員D?網(wǎng)關(guān)下列選項中，屬于加密橋技術(shù)的優(yōu)點的是(B)A.加密橋與DBMS是不可分離的B.加密橋與DBMS是分離的C.加密橋與一般數(shù)據(jù)文件是不可分離的D.加密橋與數(shù)據(jù)庫無關(guān)在不可否認業(yè)務(wù)中保護收信人的是(A)A.源的不可否認性B.提交的不可否認性C.遞送的不可否認性D.A和B為了在因特網(wǎng)上有一種統(tǒng)一的SSL標準版本，IETF標準化的傳輸層協(xié)議是(B)A.SSLB.TLSC.SETD.PKI能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機構(gòu)是(A)A.CFCAB.CTCAC.SHECAD.PKI下列選項中，屬于中國電信CA安全認證系統(tǒng)結(jié)構(gòu)的是(D)A.地市級CA中心B.地市級RA中心系統(tǒng)C.省CA中心D.省RA中心系統(tǒng)美國的橘黃皮書中為計算機安全的不同級別制定了D，Cl，C2，Bl，B2，B3，A標準，其中稱為結(jié)構(gòu)化防護的級別是(C)A.B1級B.Cl級C.B2級D.C2級下列選項中，屬于提高數(shù)據(jù)完整性的預(yù)防性措施的是(D)A.加權(quán)平均B.信息認證C.身份認證D.奇偶校驗一系列保護IP通信的規(guī)則的集合稱為(B)A.VPNB.IPSecC.DMZD.VPNIntranet由系統(tǒng)管理員來分配接入權(quán)限和實施控制的接入控制方式是(C)A.PKIB.DACC.MACD.VPN在Kerberos認證中，把對Client向本Kerberos的認證域以外的Server申請服務(wù)稱為(C)A.域內(nèi)認證B.域外認證C.域間認證D.企業(yè)認證下列關(guān)于數(shù)字證書的說法中不正確的是(A)A.在各種不同用途的數(shù)字證書類型中最重要的是私鑰證書，它將公開密鑰與特定的人聯(lián)系起來公鑰證書是由證書機構(gòu)簽署的，其中包含有持證者的確切身份數(shù)字證書由發(fā)證機構(gòu)(認證授權(quán)中MCA)發(fā)行公鑰證書是將公鑰體制用于大規(guī)模電子商務(wù)安全的基本要素認證機構(gòu)最核心的組成部分是(C)A.安全服務(wù)器B.CA服務(wù)器C.數(shù)據(jù)庫服務(wù)器D.LDAP服務(wù)器PKI中支持的公證服務(wù)是指(C)A.身份認證B.行為認證C.數(shù)據(jù)認證D.技術(shù)認性二、多項選擇題(本大題共5小題，每小題2分，共10分)下列屬于B-C電子商務(wù)模式的網(wǎng)站有(ABCD)A.凡客誠品B.一號店C.京東商城D.當當E.阿里巴巴下列選項中，屬于數(shù)據(jù)完整性被破壞后會帶來的嚴重后果的有(ABCDE)A.造成直接的經(jīng)濟損失B.影響一個供應(yīng)鏈上許多廠商的經(jīng)濟活動C.可能造成過不了“關(guān)”D.會牽涉到經(jīng)濟案件中造成電子商務(wù)經(jīng)營的混亂與不信任接入控制機構(gòu)的建立主要根據(jù)的信息有(ABC)A.主體B.客體C?接入權(quán)限D(zhuǎn).偽裝者E.違法者SET系統(tǒng)的運作是通過軟件組件來完成的，這些軟件包括(ABCD)A.電子錢包B.商店服務(wù)器C.支付網(wǎng)關(guān)D.認證中心E.RA中心中國電信CA安全認證系統(tǒng)提供的證書有(ACDE)A.安全電子郵件證書B.網(wǎng)上銀行證書C.企業(yè)數(shù)字證書D.服務(wù)器證書E.SSL服務(wù)器證書三、填空題(本大題共5小題，每空1分，共10分)數(shù)字時戳應(yīng)當保證數(shù)據(jù)文件加蓋的_時戳與_存儲數(shù)據(jù)的物理媒體無關(guān)。病毒程序可通過_自我復(fù)制—迅速傳播。判斷一段程序是否為計算機病毒的依據(jù)是計算機病毒的—傳染性_。選擇VPN解決方案時需要考慮的要點是__認證方法、_支持的加密算法—支持的認證算法、支持的IP壓縮算法、易于部署和兼容分布式或個人防火墻的可用性。數(shù)據(jù)加密方法有_使用加密軟件加密、_使用專用軟件加密和加密橋技術(shù)。根據(jù)ITU-TRec.X.509標準，公鑰證書包括_申請證書個人信息和—發(fā)行證書的CA信息。四、名詞解釋題(本大題共5小題，每小題3分，共15分)訪問控制性：指在網(wǎng)絡(luò)上限制和控制通信鏈路對主機系統(tǒng)和應(yīng)用的訪問。用于保護計算機系統(tǒng)的資源不被未經(jīng)授權(quán)人或以未授權(quán)方式接入、使用、修改、破壞、發(fā)出指令或植入程序等。安全郵件證書：證實電子郵件用戶的身份和公鑰。有些傳遞安全電子郵件的應(yīng)用程序使用證書，來驗證用戶身份和加密解密消息。鏡像技術(shù)：是數(shù)據(jù)備份技術(shù)的一種，將磁盤中的數(shù)據(jù)通過備份技術(shù)復(fù)制在鏡像磁盤中，主要有網(wǎng)絡(luò)數(shù)據(jù)鏡像、遠程鏡像磁盤等。VPDN：是指虛擬專用撥號網(wǎng)絡(luò)，用戶利用撥號網(wǎng)絡(luò)訪問企業(yè)數(shù)據(jù)中心，用戶從企業(yè)數(shù)據(jù)中心獲得一個私用地址，但用戶數(shù)據(jù)可跨公共數(shù)據(jù)網(wǎng)絡(luò)傳輸。SSL記錄協(xié)議：定義了信息交換中所有數(shù)據(jù)項的格式，包含了MAC數(shù)據(jù)、信息內(nèi)容和附加數(shù)據(jù)等三個部分。五、簡答題(本大題共6小題，每小題5分，共30分)防火墻不能防止哪些安全隱患？不能阻止已感染病毒的軟件或文件的傳輸;不能防止內(nèi)部人員的工作失誤或故意制造的威脅;無法防范通過防火墻以外的其他途徑的攻擊。簡述實體認證與消息認證的主要差別。實體認證與消息認證的差別在于，消息認證本身不提供時間性，而實體認證一般都是實時的。另一方面，實體認證通常證實實體本身，而消息認證除了證實消息的合法性和完整性外，還要知道消息的含義。簡述發(fā)送方實現(xiàn)混合加密的過程。求明文消息的消息散列值hA；發(fā)送方用自己的私鑰KSA對散列值進行數(shù)字簽名h’；將明文和數(shù)字簽名h’合并為M’；用隨機產(chǎn)生的一個DES密鑰KDFS加密M’得到C1；用接收方的公鑰加密DES密鑰得到C2；發(fā)送方將C1和C2一起發(fā)送給接收方。簡述CA系統(tǒng)中安全服務(wù)器與用戶的安全通信過程。安全服務(wù)器與用戶的通信采取安全信道方式。用戶首先得到安全服務(wù)器的證書(該證書由CA頒發(fā))，然后用戶與服務(wù)器之間的所有通信，包括用戶填寫的申請信息以及瀏覽器生成的公鑰均以安全服務(wù)器的密鑰進行加密傳輸，安全服務(wù)器利用自己的私鑰解密得到明文。簡述PKI的構(gòu)成體系。PKI是公鑰的一種管理機制，每個PKI都有一定的覆蓋范圍，形成一個管理域；這些管理域通過交互證書相互關(guān)聯(lián)，構(gòu)成更大的管理域，最終形成全局性的公鑰管理體系；不同的管理域?qū)€的使用具有不同的要求，通過政策來表達；每個PKI都包含政策審批機構(gòu)(縮寫，PAA)、CA、ORA等功能；(5)任何一個管理域都有能力決定在別的域內(nèi)哪一個證書管理是可以信任以及為什么可以信任；(6)PKI的最高管理是通過一個政策管理機構(gòu)(縮寫，PAA)來體現(xiàn)。SET的技術(shù)范圍包括哪些？加密算法的應(yīng)用；證書信息和對象格式；購買信息和對象格式；認可信息和對象格式；劃賬信息和對象格式；對話實體之間消息的傳輸協(xié)議。六、論述題(本大題共1小題，15分)某一出版社要開展網(wǎng)上銷售業(yè)務(wù)，請闡述它需要考慮的主要安全因素?？煽啃裕合到y(tǒng)本身可靠，包括計算機硬件，計算機軟件，電子商務(wù)系統(tǒng)等可靠，這是安全基礎(chǔ)。真實性：要認證客戶身份的真實性，防止欺騙行為。機密性：預(yù)防非法的信息存取和傳送的信息被泄露，確保合法用戶才能看到數(shù)據(jù)完整性：要預(yù)防數(shù)據(jù)被非授權(quán)建立，修改和破壞，保證數(shù)據(jù)的一致性。