1、2022年10月高等教育自学考试全国统一命题考试电子商务安全导论试卷(课程代码00997)一、单项选择题:本大题共20小题,每小题1分,共20分。1.电子商务的发展分成很多阶段,其第一阶段是( A )A.网络基础设施大量兴建 B.应用软件与服务兴起C.网址与内容管理的建设发展 D.网上零售业的发展2.在下列计算机系统安全隐患中,属于电子商务系统所独有的是( D )A.硬件的安全 B.软件的安全C.数据的安全 D.交易的安全3.现在常用的密钥托管算法是( B )A.DES算法 B.EES算法C.RAS算法 D.SHA算法4.消息传送给接收者后,要对密文进行解密所采用的一组规则称作( D )A.加
2、密算法 B.签名算法C.公钥算法 D.解密算法5.散列函数应用于数据的( B )A.不可否认性 B.完整性C.认证性 D.不可拒绝性6.下列选项中属于良性病毒的是( D )A.黑色星期五病毒 B.火炬病毒C.米开朗基罗病毒 D.扬基病毒7.计算机房场、地、站技术要求的国家标准代码是( C )A.GB50174-93 B.GB9361-88C.GB2887-89 D.GB50169-928.电气装置安装工程、接地装置施工及验收规范的国家标准代码是( D )A.GB50174-93 B.GB9361-88C.GB2887-89 D.GB50169-929.内网指的是( A )A.受信网络 B.非受
3、信网络C.防火墙外的网络 D.互联网10.以下选项中,不适合采用VPN的是( D )A.位置众多,特别是单个用户和远程办公室站点多B.用户/站点分布范围广,彼此之间的距离远C.带宽和时延要求相对适中的用户D.非常重视传输数据的安全性11.以“应用系统数据库字段加密以后,仍可实现各种数据库操作”为实现目标的是( C )A.加密软件加密数据 B.专用软件加密数据C.加密桥技术 D.DOMINO加密技术12.按主体执行任务所需权利最小化分配权力的策略是( A )A.最小权益策略 B.最小泄漏策略C.自主控制策略 D.多级安全策略13.Kerberos存在的局限性不包括( C )A.时间同步 B.重放
4、攻击C.密钥的分配 D.口令猜测攻击14.通行字的最小长度至少为( C )A.4-8B以上 B.4-12B以上C.6-8B以上 D.6-12B以上15.Client向本Kerberos的认证域以外的Server申请服务的过程分为( D )A.4个阶段,共6个步骤 B.3个阶段,共6个步骤C.3个阶段,共8个步骤 D.4个阶段,共8个步骤16.利用双钥体制的加密系统传送加密文件,发信人需要确知收信人的( C )A.信息 B.私钥C.公钥 D.数字证书17.在PKI的构成中,负责制定整个体系结构的安全政策的机构是( B )A.CA B.PAAC.OPA D.PMA18.PKI是公钥的一种( B )
5、A.搜索机制 B.管理机制C.认证机制 D.审批机制19.密钥备份与恢复只能针对( A )A.解密密钥 B.私钥C.公钥对 D.密钥对20.CFCA认证系统采用国际领先的PKI技术,总体为( C )A.一层CA结构 B.二层CA结构C.三层CA结构 D.四层CA结构二、多项选择题:本大题共5小题,每小题2分,共10分。21.防雷接地设置接地体时,保护地线的接地电阻值可以为( AB )A.1欧姆 B.2欧姆C.3欧姆 D.4欧姆E.5欧姆22.Internet的接入控制主要对付( ACD )A.伪装者 B.病毒C.违法者 D.地下用户E.木马23.构成CA系统的服务器有( ABDE )A.安全服
6、务器 B.CA服务器C.加密服务器 D.LDAP服务器E.数据库服务器24.PKI技术能够提供的安全服务包括( ABCDE )A.数据保密性 B.公证C.数据完整性 D.不可否认性E.认证25.CTCA采用分级结构管理,其组成包括( ACE )A.全国CA中心 B.省级CA中心C.省级RA中心 D.地市级RA中心E.业务受理点三、填空题:本大题共5小题,每小题2分,共10分。26.通过一个( 密钥 )和( 加密算法 )可将明文变换成一种伪装的信息。27.数字签名是利用数字技术实现在网络传送文件时,附加( 个人标记 ),完成传统上手书签名盖章的作用,以表示确认、负责、( 经手 )等。28.计算机
7、病毒具有依附于其他媒体而( 寄生 )的能力,这种媒体我们称之为计算机病毒的( 宿主 )29.通行字可由( 用户个人 )选择,也可由( 系统管理人员 )选定或系统自动产生。30.PKI是基于( 公钥算法 )和技术,为网上通信提供( 安全服务 )的基础设施。四、名词解释题:本大题共5小题,每小题3分,共15分。31.VPN:通常被定义为通过一个公共网络(通常是Internet)建立一个临时的、安全的连接,是一条穿过混乱的公用网络的安全、稳定的隧道,它是对企业内部网的扩展。32.加密桥技术:一种在加/解密卡的基础上开发加密桥的技术可实现在不存在降低加密安全强度旁路条件下,为数据库加密字段的存储、检索
8、、索引、运算、删除、修改等功能的实现提供接口,并且它的实现是与密码算法、密码设备无关的。33.身份证实:对个人身份进行肯定或否定。一般方法是将输入的个人信息(经公式和算法运算所得的结果)与卡上或库存中的信息进行比较,得出结论。34.单位注册机构:帮助远离CA的端实体在CA处注册并获得证书的机构。35.网上银行:网上银行是指商业银行将其传统的柜台业务拓展到Internet上,用户访问其Web Server 进行在线的查询、转账、汇款、开户等业务。五、简答题:本大题共6小题,每小题5分,共30分。36.简述网页攻击的步骤。答:(1)第一步,创建一个网页,看似可信其实是假的拷贝,但这个拷贝和真的一样
9、。(2)第二步,攻击者完全控制假的网页。(3)第三步,攻击者记录受害者访问的内容,当受害者填写表单发送数据时,攻击者可以记录下所有数据。如果需要,攻击者甚至可以修改数据。37.简述目前密钥的自动分配途径。答:密钥分配是密钥管理中最大的问题,目前典型的有两类自动密钥分配途径:集中式分配方案和分布式分配方案。(1分)集中式分配方案是指利用网络中的密钥管理中心来集中管理系统中的密钥,密钥管理中心接受系统中用户的请求,为用户提供安全分配密钥的服务。(2分)分布式分配方案是指网络中各主机具有相同的地位,它们之间的密钥分配取决于它们自己的协商,不受任何其他方面的限制。(2分)38.简述数据完整性被破坏会带
10、来的严重后果。答:数据完整性被破坏会带来严重的后果:(1)造成直接的经济损失,如价格,订单数量等被改变。(2)影响一个供应链上许多厂商的经济活动。一个环节上数据完整性被破坏将使供应链上一连串厂商的经济活动受到影响。(3)可能造成过不了“关”。有的电子商务是与海关,商检,卫检联系的,错误的数据将使一批货物挡在“关口”之外。(4)会牵涉到经济案件中。与税务,银行,保险等贸易链路相联的电子商务,则会因数据完整性被破坏牵连到漏税,诈骗等经济案件中。(5)造成电子商务经营的混乱与不信任。39.简述设置防火墙的目的及其主要作用。答:设置防火墙的目的是为了在内部网与外部网之间设置唯一的通道,允许网络管理员定
11、义一个“扼制点”提供两个网络间的访问控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。(2分)它的主要作用是防止网络安全事件引起的损害,使入侵更难实现,来防止非法用户进入内部网络。(2分)禁止存在安全脆弱性的服务进出网络,并抗击来自各种线路的攻击。(1分)40.简述认证机构的证书吊销功能。答:(1)认证机构的证书吊销有主动申请吊销和被动强制吊销两种形式。(1分)(2)证书持有者申请吊销。当证书持有者认为不再用此证书参与网上事务,主动上网申请吊销或亲自到认证机构吊销此证书。(2分)(3)认证机构强制吊销证书。当认证机构认为证书持有者的证书过期或违反证书 使用政策时
12、,主动吊销证书持有者的证书。证书吊销后,认证机构更新证书吊销表,并在网上及时公布。(2分)41.简述电子钱包的功能。答:电子钱包的功能有:(1)电子证书的管理(电子证书的申请、存储及删除)。(2)进行交易(SET交易时辨认商家身份并发送交易信息)。(3)保存交易记录,以供查询。(4)其他符合SET规格的功能。六、论述题:本大题共1小题,15分。42.试述SET的认证过程。答:(1)注册登记:注册登记是一个机构加入SET协议的安全电子商务系统中,上网申请登记注册、申请数字证书的过程,登记注册的用户都会收到双钥密码体制的一对密钥。(5分)(2)动态认证:动态认证是注册登记后,用户使用电子钱包在网络上从事电子商务活动时,SET系统对其身份进行动态认证。(5分)(3)商业机构处理:商业机构处理是商业机构收到用户的付款,完成与支付网关的对接,确认付款信息的处理过程。(5分)