1、全国自考(电子商务安全导论)模拟试卷 6 及答案与解析一、单项选择题1 美国的橘黄皮书中为计算机安全的不同级别制定了 4 个标准:D ,C ,B,A 级,其中最底层是(A)A 级(B) B 级(C) C 级(D)D 级2 以下加密法中将原字母的顺序打乱,然后将其重新排列的是(A)替换加密法(B)转换加密法(C)单表置换密码(D)多字母加密法3 2000 年 9 月,美国国家标准技术局将 Rijndael 密码算法制定为高级加密标准,即(A)DES(B) AES(C) IDEA(D)RD-54 MD-5 的 C 语言代码文件中,不包括(A)global.h(B) globalc(C) md5h(
2、D)md5c5 只是为了表现自身,并不彻底破坏系统和数据,但会大量占用 cPu 时间,增加系统开销,降低系统工作效率的一类计算机病毒称为(A)引导型病毒(B)文件型病毒(C)恶性病毒(D)良性病毒6 作为 IPSec 的密钥管理协议,定义了一系列的方法和步骤来建立用于加密和解密的密钥,并定义了双方通信的公用语言和标识的是(A)L2F(B) IKE(C) PPTP(D)GRE7 企业间发生收购、兼并或企业间建立战略联盟后,使不同企业网通过公网来构筑的虚拟网是(A)InternetVPN(B) AccessVPN(C) ExtranetVPN(D)IntranetVPN8 对数据库的加密方法有(
3、)种。(A)2(B) 3(C) 4(D)59 Kerberos 的系统组成包括( )个部分。(A)3(B) 4(C) 5(D)610 Kerberos 最头疼的问题源自整个 Kerberos 协议都严重地依赖于(A)服务器(B)密钥(C)时钊(D)用户11 ( )是 CA 认证机构中的核心部分,用于认证机构数据、日志和统计信息的存储和管理。(A)CA 服务器(B)注册机构 RA(C) LDAP 服务器(D)数据库服务器12 公钥证书的申请方式不包括(A)电话申请(B) Web 申请(C) E-Mail 申请(D)到认证机构申请13 ( )比证书政策更详细,综合描述了 CA 对证书政策的各项要求
4、的实现方法。(A)政策审批机构(B)证书使用规定(C)单位注册机构(D)交叉证书14 ( )通常也作为根证书管理中心,它向下一级证书中心发放证书。(A)政策审批机构(B)证书使用规定(C)单位注册机构(D)交叉证书15 PKI 的保密性服务采用了( )机制。(A)数字信封(B)时间戳(C)数字签名(D)混合加密系统16 在 SET 系统中,电子钱包被存在( )的计算机中。(A)持卡人(B)网上商店(C)银行(D)认证中心17 SET 通过数字化签名和( )确保交易各方身份的真实性。(A)加密方式(B)商家认证(C)协议(D)消息18 安装在客户端的电子钱包一般是一个(A)独立运行的程序(B)客
5、户端程序(C)浏览器的插伺(D)单独的浏览器19 运营 CA 位于 CFCA 认证系统的第( )层。(A)1(B) 2(C) q(D)420 受理点的功能不包括(A)管理所辖受理点用户资料(B)受理用户证书业务(C)管理本地用户资料(D)向受理中心或 RA 中心申请签发证书二、多项选择题21 以下描述正确的是(A)数据加密是保证安全通信的手段(B)无条件安全的密码体制是理论上安全的(C)计算上安全的密码体制是实用的安全性(D)目前已知的无条件安全的密码体制都是不实用的(E)目前还没有一个实用的密码体制被证明是计算上安全的22 机房环境、电源及防雷接地应满足 CECS72:79 的要求,也就是说
6、机房设计应符合的规定是(A)设备间的地面面层材料应能防静电(B)设备问室温应保持在 10到 20之间(C)机房内的尘埃要求低于 05 m(D)设备问应采用 UPS 不问断电源(E)防雷接地可单独接地或同大楼共用接地体23 SVPN 包含的特性有(A)可控性(B)安全设备自身的安全性(C)连接的完整性(D)连接机密性(E)报警功能24 对身份证明系统的要求包括(A)验证者正确识别合法示证者的概率极大化(B)可传递性(C)计算有效性(D)通信有效性(E)秘密参数安全存储25 SET 的技术范围包括(A)加密算法的应用(B)证书信息和对象格式(C)购买信息和对象格式(D)认可信息和对象格式(E)划账
7、信息和对象格式三、填空题26 商务数据的( )或称( )是指保护数据不被未授权者修改、建立、嵌入、删除、重复传送或由于其他原因使原始数据被更改。27 加密和解密算法的操作通常都是在一组密钥的控制下进行的,分别称作( )密钥和( )密钥,通常用 K 表示。28 散列函数的算法是公开的,其安全性完全在于它的( )和( )。29 计算机病毒按寄生方式分为( )病毒、( )病毒和复合型病毒。30 CFCA 金融认证服务相关业务规则按电子商务中的角色不同可划分为( )(银行)业务规则、( )( 企业)业务规则、持卡人( 个人)业务规则和中介机构业务规则。四、名词解释31 Extranet32 明文33
8、双联签名34 “扼制点”35 中国金融认证中心五、简答题36 简述因特网的特点。37 简述 DES 的加密运算法则。38 简述计算机病毒的分类方法。39 简述接入控制策略。40 CA 认证申请者的身份后,生成证书的步骤是什么 ?41 简述 PKI 服务的概念。六、论述题42 试述 SET 的缺陷。全国自考(电子商务安全导论)模拟试卷 6 答案与解析一、单项选择题1 【正确答案】 D2 【正确答案】 B3 【正确答案】 B4 【正确答案】 B5 【正确答案】 D6 【正确答案】 B7 【正确答案】 C8 【正确答案】 B9 【正确答案】 B10 【正确答案】 C11 【正确答案】 D12 【正确
9、答案】 A13 【正确答案】 B14 【正确答案】 A15 【正确答案】 A16 【正确答案】 A17 【正确答案】 B18 【正确答案】 C19 【正确答案】 C20 【正确答案】 C二、多项选择题21 【正确答案】 A,B,C,D,E22 【正确答案】 A,C,D,E23 【正确答案】 A,B,C,D,E24 【正确答案】 A,C,D,E25 【正确答案】 A,B,C,DE三、填空题26 【正确答案】 完整性正确性27 【正确答案】 加密解密28 【正确答案】 单向性无冲突性29 【正确答案】 引导型文件型30 【正确答案】 网关商户四、名词解释31 【正确答案】 Extranet 一般译
10、为企业外域网,以与 Intranet(企业内域网)的译名对应。它是一种合作性网络。32 【正确答案】 明文是指原始的、未被伪装的消息,也称信源。通常用 M 表示。33 【正确答案】 双联签名是指在一次电子商务活动过程中可能同时有两个有联系的消息 M1 和 M2,要对它们同时进行数字签名。34 【正确答案】 “ 扼制点 ”提供两个网络问的访问控制,使得只有被安全策略明确授权的信息流才被允许通过,对两个方向的信息流都能控制。35 【正确答案】 中国金融认证中心(CFCA),是由中国人民银行牵头,联合 14 家全国性商业银行共同建立的国家级权威金融认证机构,是国内唯一一家能够全面支持电子商务安全支付
11、业务的第三方网上专业信任服务机构。五、简答题36 【正确答案】 因特网的最大优势,是它的广袤覆盖及开放结构。由于它是开放结构,许多企业及用户可以按统一的技术标准和较合理的费用连接上网,使网上的主机服务器和终端用户以滚雪球的速度增加,也使其覆盖增长至几乎无限。但它的优点也是它的缺点。因特网的管理松散,网上内容难以控制,私密性难以保障。从电子商务等应用看,安全性差是因特网的又一大缺点,这已成为企业及用户上网交易的重要顾虑。37 【正确答案】 DES 的加密运算法则是,每次取明文中的连续 64 位( 二进制,以下同样)数据,利用 64 位密钥(其中 8 位是校验位,56 位是有效密钥信息),经过 1
12、6次循环(每一次循环包括一次替换和一次转换)加密运算,将其变为 64 位的密文数据。38 【正确答案】 (1)按寄生方式分为引导型病毒、文件型病毒和复合型病毒。(2)按破坏性分为良性病毒和恶性病毒。39 【正确答案】 接入控制策略包括以下 3 种:(1)最小权益策略:按主体执行任务所需权利最小化分配权力;(2)最小泄露策略:按主体执行任务所知道的信息最小化的原则分配权力;(3)多级安全策略:主体和客体按普通、秘密、机密、绝密级划分,进行权限和流向控制。40 【正确答案】 CA 认证申请者的身份后,生成证书的步骤是什么 ?答:CA 认证申请者的身份后,按下述步骤生成证书:(1)CA 检索所需的证
13、书内容信息;(2)CA证实这些信息的正确性;(3)CA 用其签名密钥对证书签名;(4)将证书的一个拷贝送给注册者,需要时要求注册者回送证书的收据;(5)CA 将证书送入证书数据库,向公用检索业务机构公布;(6)通常,CA 将证书存档;(7)CA 将证书生成过程中的一些细节记入审计记录巾。41 【正确答案】 PKI 是基于公钥算法和技术,为网上通信提供安全服务的基础设施,是创建、颁发、管理、注销公钥证书所涉及的所有软件、硬件的集合体。其核心元素是数字证书,核心执行者是 CA 认证机构。 PKI 服务主要包括实体鉴别、数据的保密性、数据的真实性和完整性、不可否认性、证书审批发放、密钥历史记录、时间
14、戳、密钥备份与恢复、密钥自动更新、黑名单实时查询、支持交叉认证。六、论述题42 【正确答案】 SET 有良好的发展趋势,但它本身也存在一些问题和缺陷: (1)协议没有说明收单银行给在线商店付款前,是甭必须收到消费者的货物接受证书,否则,一旦在线商店提供的货物不符合质量标准,消费者提出疑义或要求退货,责任南谁来承担。(2)协议没有担保“ 非拒绝行为”,这意味着在线商店没有办法证明购是不是由签署证书的消费肯发出的。(3)SET 技术规范没有提及在事务处理完成后,如何安全地保有或销毁此类证据,是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能使这些数据以后受到潜在的攻击。(4)SET 安全协议大部分操作依赖 CA 认证中心的认证,但 SET 无法确认认证中心是否被攻击、被假冒,也无法确认认证中心的密钥是否已经泄漏或被修改。