[自考类试卷]2010年10月全国自考（电子商务安全导论）真题试卷及答案与解析.doc

1、2010 年 10 月全国自考（电子商务安全导论）真题试卷及答案与解析一、单项选择题1 计算机安全等级中，C2 级称为（A）酌情安全保护级（B）访问控制保护级（C）结构化保护级（D）验证保护级2 在电子商务的发展过程中，零售业上网成为电子商务发展的热点，这一现象发生在（A）1996 年（B） 1997 年（C） 1998 年（D）1999 年3 电子商务的安全需求中，保证电子商务系统数据传输、数据存储的正确性的根基是（A）可靠性（B）完整性（C）真实性（D）有效性4 最早提出的公开的密钥交换协议是（A）Blom（B） DiffieHellman（C） ELGamal（D）Shipjack5 I

2、SOIEC9796 和 ANSIX930-199x 建议的数字签名的标准算法是（A）HAVAL（B） MD-4（C） MD-5（D）RSA6 发送方使用一个随机产生的 DEs 密钥加密消息，然后用接受方的公钥加密 DEs密钥，这种技术称为（A）双重加密（B）数字信封（C）双联签名（D）混合加密7 在以下主要的隧道协议中，属于第二层协议的是（A）GRE（B） IGRP（C） IPSec（D）PPTP8 使用专有软件加密数据库数据的是（A）Access（B） Domino（C） Exchange（D）Oracle9 在下列选项中，不是每一种身份证明系统都必须要求的是（A）不具可传递性（B）计算有效

3、性（C）通信有效性（D）可证明安全性10 Kerberos 的局限性中，通过采用基于公钥体制的安全认证方式可以解决的是（A）时间同步（B）重放攻击（C）口令字猜测攻击（D）密钥的存储11 在下列选项中，不属于公钥证书的证书数据的是（A）CA 的数字签名（B） CA 的签名算法（C） CA 的识别码（D）使用者的识别码12 在公钥证书发行时规定了失效期，决定失效期的值的是（A）用户根据应用逻辑（B） CA 根据安全策略（C）用户根据 CA 服务器（D）CA 根据数据库服务器13 在 PKI 的性能要求中，电子商务通信的关键是（A）支持多政策（B）支持多应用（C）互操作性（D）透明性14 主要用于

4、购买信息的交流，传递电子商贸信息的协议是（A）SET（B） SSL（C） TLS（D）HTTP15 在下列计算机系统安全隐患中，属于电子商务系统所独有的是（A）硬件的安全（B）软件的安全（C）数据的安全（D）交易的安全16 第一个既能用于数据加密、又能用于数字签名的算法是（A）DES（B） EES（C） IDEA（D）RSA17 在下列安全鉴别问题中，数字签名技术不能解决的是（A）发送者伪造（B）接收者伪造（C）发送者否认（D）接收者否认18 在 VenSign 申请个人数字证书，其试用期为（A）45 天（B） 60 天（C） 75、天（D）90 天19 不可否认业务中，用来保护收信人的是（A

5、）源的不可否认性（B）递送的不可否认性（C）提交的不可否认性（D）委托的不可否认性20 在整个交易过程中，从持卡人到商家端、商家到支付网关、到银行网络都能保护安全性的协议是（A）SET（B） SSL（C） TLS（D）HTTP二、多项选择题21 在 20 世纪 90 年代末期，大力推动电子商务发展的有（A）信息产品硬件制造商（B）大型网上服务厂商（C）政府（D）银行及金融机构（E）零售服务商22 在下列加密算法中，属于使用两个密钥进行加密的单钥密码体制的是（A）双重 DES（B）三重 DES（C） RSA（D）IDEA（E）RC-523 计算机病毒按照寄生方式，可以分为（A）外壳型病毒（B）引

6、导型病毒（C）操作系统型病毒（D）文件型病毒（E）复合型病毒24 接入控制技术在入网访问控制方面具体的实现手段有（A）用户名的识别（B）用户名的验证（C）用户口令的识别（D）用户口令的验证（E）用户帐号默认限制检查25 在现实生活中，需要用 CFCA 的典型应用有（A）网上银行（B）网上证券（C）网上申报与缴税（D）网上企业购销（E）网上搜索与查询三、填空题26 IDEA 加密算法中，输入和输出的数据块的长度是（ ）位，密钥长度是（ ）位。27 电子商务的技术要素组成中，首先要有（ ），其次必须有各种各样的（ ），当然也少不了以各种服务器为核心组成的计算机系统。28 密钥管理是最困难的安全性问

7、题，其中密钥的（ ）和（ ）可能是最棘手的。29 安全电子邮件证书是指个人用户收发电子邮件时，采用（ ）机制保证安全。它的申请不需要通过业务受理点，由用户直接通过自己的浏览器完成，用户的（ ）由浏览器产生和管理。30 身份证明可以依靠（ ）、（ ）和个人特征这 3 种基本途径之一或它们的组合来实现。四、名词解释31 盲签名32 身份证实33 接入权限34 递送的不可否认性35 SSL 握手协议五、简答题36 简述双钥密码体制的加密和解密过程及其特点。37 简述证书合法性验证链。38 数字签名与消息的真实性认证有什么不同?39 列举计算机病毒的主要来源。40 密钥对生成的途径有哪些?41 基于

8、SET 协议的电子商务系统的业务过程有哪几步 ?六、论述题42 试述组建 VPN 应该遵循的设计原则。2010 年 10 月全国自考（电子商务安全导论）真题试卷答案与解析一、单项选择题1 【正确答案】 B2 【正确答案】 C3 【正确答案】 A4 【正确答案】 B5 【正确答案】 D6 【正确答案】 B7 【正确答案】 D8 【正确答案】 B9 【正确答案】 D10 【正确答案】 D11 【正确答案】 A12 【正确答案】 B13 【正确答案】 C14 【正确答案】 B15 【正确答案】 D16 【正确答案】 C17 【正确答案】 A18 【正确答案】 B19 【正确答案】 A20 【正确答案

9、】 A二、多项选择题21 【正确答案】 A,B,C,D22 【正确答案】 A,B23 【正确答案】 B,D,E24 【正确答案】 A,B,C,D,E25 【正确答案】 A,B,C,D三、填空题26 【正确答案】 6412827 【正确答案】 网络，应用软件28 【正确答案】 分配，存储29 【正确答案】 证书，密钥对30 【正确答案】 所知，所有四、名词解释31 【正确答案】 一般数字签名中，总是要先知道文件内容而后才签署，这是通常所需要的。但有时需要某人对一个文件签名，而又不让他知道文件内容，称为盲签名。32 【正确答案】 对个人身份进行肯定或否定。一般方法是将输入的个人信息(经公式和算法运

10、算所得的结果)与卡上或库存中的信息进行比较，得出结论。33 【正确答案】 表示主体对客体访问时可拥有的权利。接入权要按每一对主体客体分别限定，权利包括读、写、执行等读写含义明确，而执行权指目标为一个程序时它对文件的查找和执行。34 【正确答案】 用于防止或解决出现有关是否一个特定的实体收到了一个特定的数据项、递送在特定时刻出现、或两者皆有的分歧，目的是保护发信人。35 【正确答案】 用于客户一服务器之间相互认证，协商加密和 MAC 算法，传送所需的公钥证书，建立 SSL 记录协议处理完整性校验和加密所需的会话密钥。五、简答题36 【正确答案】 双钥密码体制又称作公共密钥体制或非对称加密体制。这

11、种加密方法在加密和解密过程中要使用一对(两个)密钥，一个用于加密，另一个用于解密，即通过一个密钥加密的信息，只有使用另一个密钥才能解密。这样每个用户都拥有两个(一对 )密钥：公共密钥和个人密钥，公共密钥用于加密，个人密钥用于解密。用户将公共密钥交给发送方或公开，信息发送者使用接受方的公共密钥对信息加密，只有接收方的个人密钥才能解密。37 【正确答案】 为了对证书进行有效的管理，证书实行分级管理，认证机构采用了树型结构，证书可以通过一个完整的安全体系得以验证。每份证书都与上一级的签名证书相关联，最终通过安全链追溯到一个已知的可信的机构。由此便可对各级证书的有效性进行验证。38 【正确答案】 数字

12、签名与消息的真实性认证是不同的。消息认证是使接受方能验证消息发送者及所发消息内容是否被篡改过。当收发者之间没有利害冲突时，这对于防止第三者的破坏来说是足够了。但当接收者和发送者之间有利害冲突时，单纯用消息认证技术就无法解决他们之间的纠纷，此时需要借助数字签名技术。39 【正确答案】 (1)引进的计算机系统和软件中带有病毒；(2)各类出国人员带回的机器和软件染有病毒；(3)一些染有病毒的游戏软件；(4)非法拷贝引起的病毒；(5)计算机生产、经营单位销售的机器和软件染有病毒；(6)维修部门交叉感染；(7)有人研制、改造病毒；(8)敌对分子以病毒进行宣传和破坏；(9)通过互联网络传入的。40 【正确

13、答案】 (1)密钥对由持有者自己生成：用户自己用硬件或软件生成密钥对。如果密钥对用于数字签名时，应支持不可否认性。(2)密钥对由通用系统生成：由用户依赖的、可信赖的某一中心机构(如 CA)生成，然后要安全地送到特定用户的设备中。利用这类中心的资源，可产生高质量密钥对，易于备份与管理。41 【正确答案】 基于 SET 协议的电子商务系统的业务过程可分为注册登记申请数字证书、动态认证和商业机构的处理。注册登记：一个机构如要加入到基于SET 协议的安全电子商务系统中，必须先上网申请登记注册，申请数字证书。动态认证：一旦注册成功，就可以随意地在网上从事电子商务活动了。在实际从事电子商务活动时，SET

14、系统动态认证参与商务活动者的数字证书。商业机构处理：工作步骤为：商业机构通过应用程序口处理购买和支付信息；电子收银发送资金信息给支付网关；支付网关发送动态认证回执信息给电子收银；电子收银通过电子钱包通知持卡人付款结果。六、论述题42 【正确答案】 由于 VPN 是虚拟专用网，是对企业内部网的扩展，是建立在一个公共网络上临时的、安全的连接，是一条穿过混乱的公用网络的安全、稳定的隧道，所以 VPN 的设计应该主要遵循以下原则：安全性、网络优化、 VPN 管理等。在安全性方面，由于 VPN 直接构建在公用网上，实现简单、方便、灵活，但同时安全问题也更为突出。企业必须确保其 VPN 上传送的数据不被攻

15、击者窥视和篡改，并且要防止非法用户对网络资源或私有信息的访问。目前，VPN 的安全保证主要是通过防火墙技术、路由器配以隧道技术、加密协议和安全密钥来实现的，可以保证企业员工安全地访问公司网络。在网络优化方面，由于 VPN 是构建在有限的广域网络资源上，为重要数据提供可靠的带宽，而广域网络流量的不确定性，使其带宽的利用率很低。在流量高时，引起网络阻塞，产生网络瓶颈，使实时性要求高的数据得不到及时发送；而在流量低时，大量网络带宽空闲。QoS 通过流量预测与流量控制策略，可以按优先级分配带宽资源，实现带宽管理，使得各类数据能够被合理地先后发送，并预防阻塞的发生。在 VPN 管理方面， VPN 要求企业将其网络管理功能从局域网无缝地延伸到公用网，甚至是客户和合作伙伴。所以，一个完善的 VPN 管理是必不可少的。VPN 管理的目标为：减少网络风险，具有高扩展性、经济性、高可靠性等优点。一般 VPN 管理主要包括安全管理、设备管理、配置管理、访问控制列表管理、Qos 服务质量管理等内容。