電子商務(wù)安全

《電子商務(wù)平安》習(xí)題答案第一章1．關(guān)于電子商務(wù)平安，以下說(shuō)法中錯(cuò)誤的選項(xiàng)是 〔 D 〕A．電子商務(wù)平安包括計(jì)算機(jī)網(wǎng)絡(luò)平安和電子交易平安B.電子商務(wù)平安是制約電子商務(wù)開(kāi)展的重要因素C.電子商務(wù)平安與網(wǎng)絡(luò)平安的區(qū)別在于其有不可否認(rèn)性的要求D.決定電子商務(wù)平安級(jí)別的最重要因素是技術(shù)2.網(wǎng)上交易中，如果定單在傳輸過(guò)程中訂貨數(shù)量發(fā)生了變化，則破壞了平安需求中的 ( C)。A.可用性 B.機(jī)密性 C.完整性 D.不可抵賴性3． 原則保證只有發(fā)送方和接收方才能訪問(wèn)消息內(nèi)容。 〔 A 〕A.機(jī)密性B.完整性 C.身份認(rèn)證 D.訪問(wèn)控制4.電子商務(wù)平安涉及的三種因素中，沒(méi)有 。 〔 C 〕A.人 B.過(guò)程 C.設(shè)備 D.技術(shù)5.在PDRR模型中， 是靜態(tài)防護(hù)轉(zhuǎn)化為動(dòng)態(tài)的關(guān)鍵，是動(dòng)態(tài)響應(yīng)的依據(jù)?！?B〕A.保護(hù) B.檢測(cè) C.響應(yīng) D.恢復(fù)6.在電子商務(wù)交易中，消費(fèi)者面臨的威脅不包括 〔 A 〕A.虛假訂單 B.付款后不能收到商品C.客戶資料機(jī)密性喪失 D.非授權(quán)訪問(wèn)7. 截獲 攻擊與保密性相關(guān)； 偽造 攻擊與認(rèn)證相關(guān)； 篡改 攻擊與完整性相關(guān)； 中斷 攻擊與可用性相關(guān)?！补┻x擇的答案：篡改、截獲、偽造、中斷〕8.如果電子商務(wù)系統(tǒng)無(wú)法訪問(wèn)了，則破壞了電子商務(wù)平安的 可用性 需求。9.電子商務(wù)平安的目標(biāo)是：保證交易的真實(shí)性、機(jī)密性、完整性、 不可抵賴性和 可用性 。10.為什么說(shuō)人是電子商務(wù)平安中最重要的因素？電子商務(wù)交易的主體仍然是人，因此人的因素是最重要的。人作為一種實(shí)體在電子商務(wù)的運(yùn)行和交易過(guò)程中存在，其必然對(duì)電子商務(wù)的平安產(chǎn)生重要影響。11.電子商務(wù)平安應(yīng)從哪幾個(gè)方面來(lái)綜合考慮？〔1〕人：〔2〕過(guò)程：〔3〕技術(shù)：第二章1.棋盤(pán)密碼是將26個(gè)英文字母放在5×5的表格中，每個(gè)字母對(duì)應(yīng)的密文由行號(hào)和列號(hào)對(duì)應(yīng)的數(shù)字組成，如圖2.23所示。如h對(duì)應(yīng)的密文是23，e對(duì)應(yīng)15等。123451abcde2fghijk3lmnop4qrstu5vwxyz圖2.23棋盤(pán)密碼請(qǐng)問(wèn)它是屬于 〔 A 〕A.單表替代密碼 B.多表替代密碼 C.置換密碼 D.以上都不是2. 攻擊不修改消息的內(nèi)容。 〔 A 〕A.被動(dòng) B.主動(dòng) C.都是 D.都不是3.在RSA中，假設(shè)取兩個(gè)質(zhì)數(shù)p=7、q=13，則其歐拉函數(shù)φ(n)的值是〔 B 〕A.84 B.72 C.91 D.1124.RSA算法建立的理論根底是 ( B )A.替代和置換 B.大數(shù)分解 C.離散對(duì)數(shù) D.散列函數(shù)5.數(shù)字信封技術(shù)是結(jié)合了對(duì)稱(chēng)密碼技術(shù)和公鑰密碼技術(shù)優(yōu)點(diǎn)的一種加密技術(shù)，它克服了〔D〕A、對(duì)稱(chēng)密碼技術(shù)密鑰管理困難 B、公鑰密碼技術(shù)分發(fā)密鑰困難C、對(duì)稱(chēng)密碼技術(shù)無(wú)法進(jìn)行數(shù)字簽名 D、公鑰密碼技術(shù)加密速度慢6.生成數(shù)字信封時(shí)，我們用 加密 。 ( D )A、一次性會(huì)話密鑰，發(fā)送方的私鑰 B、一次性會(huì)話密鑰，接收方的私鑰C、發(fā)送方的公鑰，一次性會(huì)話密鑰 D、接收方的公鑰，一次性會(huì)話密鑰7.如果發(fā)送方用自己的私鑰加密消息，則可以實(shí)現(xiàn) 。 ( D )A.保密性 B.保密與鑒別 C.保密而非鑒別 D.鑒別8.如果A要和B平安通信，則B不需要知道 。 ( A )A.A的私鑰 B.A的公鑰 C.B的公鑰 D.B的私鑰9.通常使用 驗(yàn)證消息的完整性。 ( A )A.消息摘要 B.數(shù)字信封 C.對(duì)稱(chēng)解密算法 D.公鑰解密算法10.兩個(gè)不同的消息摘要具有相同散列值時(shí)，稱(chēng)為 〔 B 〕A.攻擊 B.沖突 C.散列 D.簽名11. 可以保證信息的完整性和用戶身份確實(shí)定性。 〔 C 〕A.消息摘要 B.對(duì)稱(chēng)密鑰 C.數(shù)字簽名 D.時(shí)間戳12.與對(duì)稱(chēng)密鑰加密技術(shù)相比，公鑰加密技術(shù)的特點(diǎn)是 〔 D 〕A.密鑰分配復(fù)雜 B.密鑰的保存數(shù)量多C.加密和解密速度快 D.可以實(shí)現(xiàn)數(shù)字簽名13.正整數(shù)n的 歐拉函數(shù) 是指小于n并與n互素的非負(fù)整數(shù)的個(gè)數(shù)。14.時(shí)間戳是一個(gè)經(jīng)加密后形成的憑證文檔，它包括需加 時(shí)間戳 的文件的摘要〔Digest〕、DTS收到文件的日期和時(shí)間和 時(shí)間戳權(quán)威的簽名 三個(gè)局部。15.請(qǐng)將以下常見(jiàn)密碼算法按照其類(lèi)型填入相應(yīng)單元格中。①RSA②MD5③AES ④IDEA⑤DES⑥D(zhuǎn)iffie-Hellman⑦DSA⑧SHA-1⑨ECC⑩SEAL對(duì)稱(chēng)〔分組〕密碼算法流密碼公鑰密碼算法Hash算法3451016972816.公鑰密碼體制的加密變換和解密變換應(yīng)滿足哪些條件？公鑰密碼體制用兩個(gè)密鑰中任何一個(gè)密鑰加密內(nèi)容，都能且只能用對(duì)應(yīng)的另一個(gè)密鑰解密，同時(shí)，要想由一個(gè)密鑰推知出另一個(gè)密鑰，在計(jì)算上是不可能的。17.在電子商務(wù)活動(dòng)中為什么需要公鑰密碼體制。主要是解決電子商務(wù)活動(dòng)中密鑰分配、數(shù)字簽名和身份認(rèn)證的問(wèn)題18.小明想出了一種公鑰加密的新方案，他用自己的公鑰加密信息，然后將自己的私鑰傳給接收方，供接收方解密用，請(qǐng)問(wèn)這種方案存在什么缺陷嗎？私鑰在傳輸途中可能被攻擊者竊取。這相當(dāng)于把公鑰密碼體制當(dāng)做對(duì)稱(chēng)密碼體制在用，因此無(wú)法解決密鑰分配過(guò)程中被竊取的問(wèn)題。19.小強(qiáng)想出了一種數(shù)字簽名的新方案，他用一個(gè)隨機(jī)的對(duì)稱(chēng)密鑰加密要簽名的明文得到密文，再用自己的私鑰加密該對(duì)稱(chēng)密鑰〔簽名〕，然后把密文和加密后的對(duì)稱(chēng)密鑰一起發(fā)送給接收方，接收方如果能解密得到明文，就說(shuō)明驗(yàn)證簽名成功。請(qǐng)問(wèn)用該方案能夠?qū)γ魑暮灻麊幔瑸槭裁?？簽名無(wú)法和消息綁定在一起。20.MAC與消息摘要有什么區(qū)別？MAC是參入了對(duì)稱(chēng)密鑰的消息摘要第三章1.確定用戶的身份稱(chēng)為 〔 A 〕A.身份認(rèn)證 B.訪問(wèn)控制 C.授權(quán) D.審計(jì)2.以下哪項(xiàng)技術(shù)不能對(duì)付重放攻擊 〔 A 〕A.線路加密 B.一次性口令機(jī)制 C.挑戰(zhàn)—應(yīng)答機(jī)制 D.往認(rèn)證消息中添加隨機(jī)數(shù)3.有些網(wǎng)站的用戶登錄界面要求用戶輸入用戶名、密碼的同時(shí)，還要輸入系統(tǒng)隨機(jī)產(chǎn)生的驗(yàn)證碼，這是為了對(duì)付 (D)A.竊聽(tīng)攻擊 B.危及驗(yàn)證者的攻擊 C.選擇明文攻擊 D.重放攻擊4.關(guān)于SAML協(xié)議，以下說(shuō)法錯(cuò)誤的選項(xiàng)是 〔 C 〕A.SAML不是一個(gè)完整的身份認(rèn)證協(xié)議B.SAML協(xié)議主要用來(lái)傳遞用戶的認(rèn)證信息C.SAML是一個(gè)認(rèn)證權(quán)威機(jī)構(gòu)D.SAML協(xié)議定義了一套交換認(rèn)證信息的標(biāo)準(zhǔn)5.Kerberos實(shí)現(xiàn)單點(diǎn)登錄的關(guān)鍵是引入了 票據(jù)許可效勞器 ，實(shí)現(xiàn)雙向認(rèn)證的關(guān)鍵是引入了會(huì)話密鑰 。6.認(rèn)證主要包括 消息認(rèn)證 和身份認(rèn)證兩種。7．Kerberos認(rèn)證系統(tǒng)中，客戶要使用其提供的任何一項(xiàng)效勞必須依次獲取 票據(jù)許可票據(jù)和效勞許可票據(jù)。8.如果認(rèn)證雙方共享一個(gè)口令〔驗(yàn)證密鑰〕，聲稱(chēng)者有哪幾種方法可以讓驗(yàn)證者相信他確實(shí)知道該口令。三種方法：①出示口令方式。申請(qǐng)者直接將口令提交給驗(yàn)證者，驗(yàn)證者檢查口令是否正確。該方式的缺點(diǎn)是口令存在被線路竊聽(tīng)、被重放且不能雙向認(rèn)證〔申請(qǐng)者無(wú)法判斷驗(yàn)證者是否確實(shí)知道口令〕的缺點(diǎn)。②不出示口令方式。申請(qǐng)者用口令加密一個(gè)消息，將加密的消息發(fā)給驗(yàn)證者，驗(yàn)證者用口令解密，如果得到消息明文則驗(yàn)證通過(guò)。該方式解決了口令被竊聽(tīng)和不能雙向認(rèn)證的缺陷，但仍存在被重放的缺點(diǎn)。③挑戰(zhàn)—應(yīng)答方式。驗(yàn)證者發(fā)一個(gè)隨機(jī)數(shù)給申請(qǐng)者，申請(qǐng)者用口令加密該隨機(jī)數(shù)給驗(yàn)證者。該方式解決了以上所有三個(gè)問(wèn)題，但增加了一次通信。9.身份認(rèn)證的依據(jù)一般有哪些？1〕用戶所知道的某種信息〔Somethingtheuserknows〕，如口令或某個(gè)秘密。2〕用戶擁有的某種物品〔Somethingtheuserpossesses〕，如身份證、銀行卡、密鑰盤(pán)、IP地址等。3〕用戶具有的某種特征〔Somethingtheuserisorhowhe/shebehaves〕10.在使用口令機(jī)制時(shí)，如何對(duì)付外部泄露和口令猜想？11.采用挑戰(zhàn)—應(yīng)答機(jī)制對(duì)付重放攻擊，與一般的對(duì)付重放攻擊的方法相比，優(yōu)點(diǎn)和缺點(diǎn)是什么？不需要保存隨機(jī)數(shù)和增加時(shí)間戳，但增加了一次通信。第四章1.關(guān)于認(rèn)證機(jī)構(gòu)CA，以下哪種說(shuō)法是錯(cuò)誤的。 〔 B〕A.CA可以通過(guò)頒發(fā)證書(shū)證明密鑰的有效性B.CA有著嚴(yán)格的層次結(jié)構(gòu)，其中根CA要求在線并被嚴(yán)格保護(hù)C.CA的核心職能是發(fā)放和管理用戶的數(shù)字證書(shū)D.CA是參與交易的各方都信任的且獨(dú)立的第三方機(jī)構(gòu)組織。2.密鑰交換的最終方案是使用 。 〔 C 〕A.公鑰 B.數(shù)字信封 C.數(shù)字證書(shū) D.消息摘要3.CA用 簽名數(shù)字證書(shū)。 〔 D 〕A.用戶的公鑰 B.用戶的私鑰 C.自己的公鑰 D.自己的私鑰4.以下哪幾種設(shè)施通常處于在線狀態(tài)〔多項(xiàng)選擇〕 〔 BC 〕A.根CA B.OCSP C.RA D.CRL5.數(shù)字證書(shū)是將用戶的公鑰與其 相聯(lián)系。 〔 C 〕A.私鑰 B.CA C.身份6.證書(shū)中不含有以下哪項(xiàng)內(nèi)容 ( D )A序列號(hào) B頒發(fā)機(jī)構(gòu) C主體名 D主體的私鑰7.為了驗(yàn)證CA〔非根CA〕的證書(shū)，需要使用： 〔 B 〕A.該CA的公鑰 B.上級(jí)CA的公鑰 C.用戶的公鑰 D.該CA的私鑰8.一個(gè)典型的PKI應(yīng)用系統(tǒng)包括五個(gè)局部： CA 、 RA 、數(shù)字證書(shū)庫(kù)、證書(shū)作廢系統(tǒng)、密鑰備份及恢復(fù)系統(tǒng)、應(yīng)用程序接口。9．RA 不可以 簽發(fā)數(shù)字證書(shū)。〔填可以或不可以〕。10．寫(xiě)出證書(shū)是怎樣生成的？書(shū)89頁(yè)11．驗(yàn)證證書(shū)路徑是如何進(jìn)行的？書(shū)91頁(yè)第五章1.網(wǎng)頁(yè)篡改是針對(duì)_________進(jìn)行的攻擊。 〔 B 〕A．傳輸層 B．應(yīng)用層 C．網(wǎng)絡(luò)層D．表示層2.對(duì)宿主程序進(jìn)行修改，使自己成為合法程序的一局部并與目標(biāo)程序成為一體的病毒是〔 A 〕A源碼型病毒 B操作系統(tǒng)型病毒C外殼型病毒 D入侵型病毒3.下面關(guān)于病毒的表達(dá)正確的選項(xiàng)是 〔D〕A．病毒可以是一個(gè)程序B．病毒可以是一段可執(zhí)行代碼C．病毒能夠自我復(fù)制D．ABC都正確4.DDoS攻擊破壞了_________。 〔A 〕A．可用性B．保密性C．完整性D．真實(shí)性5.解釋互聯(lián)網(wǎng)平安體系結(jié)構(gòu)中定義的平安效勞。6.在TCP/IP的不同層次實(shí)現(xiàn)平安分別有什么特點(diǎn)？第六章1.從系統(tǒng)結(jié)構(gòu)上來(lái)看，入侵檢測(cè)系統(tǒng)可以不包括 ( C ) A.數(shù)據(jù)源 B.分析引擎 C.審計(jì) D.響應(yīng)2.通用入侵檢測(cè)框架〔CIDF〕模型中， 的目的是從整個(gè)計(jì)算環(huán)境中獲得事件，并向系統(tǒng)的其他局部提供此事件。 〔 A 〕 A.事件產(chǎn)生器 B.事件分析器 C.事件數(shù)據(jù)庫(kù) D.響應(yīng)單元3.基于網(wǎng)絡(luò)的入侵檢測(cè)系統(tǒng)的數(shù)據(jù)來(lái)源主要是 〔 D 〕 A.系統(tǒng)的審計(jì)日志 B.系統(tǒng)的行為數(shù)據(jù) C.應(yīng)用程序的事務(wù)日志文件 D.網(wǎng)絡(luò)中的數(shù)據(jù)包4.誤用入侵檢測(cè)技術(shù)的核心問(wèn)題是 的建立以及后期的維護(hù)和更新?！?C 〕 A.異常模型 B.規(guī)則集處理引擎去 C.網(wǎng)絡(luò)攻擊特征庫(kù) D.審計(jì)日志5.防火墻的局限性不包括以下哪項(xiàng) 〔 C 〕A.防火墻不能防御繞過(guò)了它的攻擊B.防火墻不能消除來(lái)自內(nèi)部的威脅C.防火墻不能對(duì)用戶進(jìn)行強(qiáng)身份認(rèn)證D.防火墻不能阻止病毒感染過(guò)的程序和文件迸出網(wǎng)絡(luò)6.僅利用交換機(jī)上的訪問(wèn)控制列表ACL實(shí)現(xiàn)的防火墻是屬于 (A)A.包過(guò)濾防火墻 B.雙重宿主主機(jī)防火墻C.屏蔽主機(jī)防火墻 D.屏蔽子網(wǎng)防火墻7.以下哪項(xiàng)不屬于訪問(wèn)控制策略 〔 B 〕A.基于身份的策略 B.基于任務(wù)的策略 C.多等級(jí)策略 D.組策略8.屏蔽子網(wǎng)防火墻是既有_包過(guò)濾路由器___的功能，又能在_應(yīng)用層__進(jìn)行代理，能從鏈路層到應(yīng)用層進(jìn)行全方位平安處理。9.根據(jù)檢測(cè)原理，入侵檢測(cè)系統(tǒng)分為異常檢測(cè)和誤用檢測(cè)。10.簡(jiǎn)述內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)和DMZ之間的關(guān)系。第七章電子商務(wù)平安協(xié)議1．SSL中的 是可選的。 〔 D 〕A.效勞器鑒別 B.數(shù)據(jù)庫(kù)鑒別 C.應(yīng)用程序鑒別 D.客戶機(jī)鑒別2．SSL層位于 與 之間 〔 B 〕A.傳輸層，網(wǎng)絡(luò)層 B.應(yīng)用層，傳輸層C.數(shù)據(jù)鏈路層，物理層 D.網(wǎng)絡(luò)層，數(shù)據(jù)鏈路層3．SSL用于客戶機(jī)—效勞器之間相互認(rèn)證的協(xié)議是 〔 B 〕A.SSL警告協(xié)議 B.SSL握手協(xié)議 C.SSL更改密碼標(biāo)準(zhǔn)協(xié)議 D.SSL記錄協(xié)議4．SET提出的數(shù)字簽名新應(yīng)用是 〔 A 〕A．雙重簽名 B．盲簽名 C．?dāng)?shù)字時(shí)間戳 D．門(mén)限簽名5．SSL協(xié)議提供的根本平安效勞不包括 〔B〕A.加密效勞B.效勞器證書(shū) C.認(rèn)證效勞D.保證數(shù)據(jù)完整6．SET的主要目的與 有關(guān)。 〔 C 〕A.瀏覽器與效勞器之間的平安通信 B.數(shù)字簽名C.Internet上的平安信用卡付款 D.消息摘要7．SET中的 不知道付款信用卡的細(xì)節(jié)。 〔 A 〕A.商家 B.客戶 C.付款網(wǎng)關(guān) D.簽發(fā)人8．基于SET協(xié)議的電子商務(wù)系統(tǒng)中對(duì)商家和持卡人進(jìn)行認(rèn)證的是〔B〕A．收單銀行B．支付網(wǎng)關(guān)C．認(rèn)證中心D．發(fā)卡銀行9．關(guān)于SSL協(xié)議與SET協(xié)議的表達(dá)，正確的選項(xiàng)是 (C)A．SSL是基于應(yīng)用層的協(xié)議，SET是基于傳輸層的協(xié)議B．SET和SSL均采用RSA算法實(shí)現(xiàn)相同的平安目標(biāo)C．SSL在建立雙方的平安通信信道后，所有傳輸?shù)男畔⒍急患用埽鳶ET則有選擇地加密一局部敏感信息D．SSL是一個(gè)多方的報(bào)文協(xié)議，它定義了銀行、商家、持卡人之間必需的報(bào)文標(biāo)準(zhǔn)，而SET只是簡(jiǎn)單地在通信雙方之間建立平安連接10．下面關(guān)于ESP傳輸模式的表達(dá)不正確的選項(xiàng)是〔A〕A．并沒(méi)有暴露子網(wǎng)內(nèi)部拓?fù)? B．主機(jī)到主機(jī)平安C．IPSec的處理負(fù)荷被主機(jī)分擔(dān) D．兩端的主機(jī)需使用公網(wǎng)IP11．IPSec提供 網(wǎng)絡(luò) 層的平安性。12．在SET中使用隨機(jī)產(chǎn)生的 對(duì)稱(chēng)密鑰 加密數(shù)據(jù)