电子商务安全期末复习题库.docVIP

电子商务安全与管理 期末复习 题型： 1. 选择题（30分：1.5分1题，共20题） 2. 判断并说明理由题（28分：4分1个，共7题。其中判断对错占2分，简要说明理由占2分） 3. 简答题（30分：6分1题，共5题） 4. 综合分析题（12分：6分1题，共2题） 1、电子商务涉及的安全问题有哪些？ P4-6 A. 信息的安全问题： 冒名偷窃、篡改数据、信息丢失、信息传递出问题 B. 信用的安全问题： 来自买方的安全问题、、 D. 安全的法律保障问题 2、电子商务系统安全的三个组成部分。P7 电子商务安全的五方面基本需求。P16 术语 定义 保密性 保护机密信息不被非法存取以及信息在传输过程中不被非法盗取。 完整性 防止信息在传输过程中丢失、重复及非法用户对信息的恶意篡改 认证性 确保交易信息的真实性和交易双方交易身份的合法性 可控性 保证系统、数据和服务能由合法人员访问，保证数据的合法使用 不可否认性 有效防止通信或交易双方对已进行的业务的否认 电子商务的安全保障主要由哪三方面去实现？P17-22 技术措施 ①信息加密技术：保证数据流安全，密码技术和非密码技术 ②数字签名技术：保证完整性、认证性、不可否认性 ③TCP/IP服务：保证数据完整传输 ④防火墙的构造选择：防范外部攻击，控制内部和病毒破坏 管理措施 ①人员管理制度： 严格选拔 落实工作责任制 贯彻ＥＣ安全运作三项基本原则：多人负责、任期有限、最小权限 ②保密制度 不同的保密信息有不同的安全级别 ③跟踪、审计、稽核制度 　跟踪：自动生成系统日志 　审计：对日志进行审计（针对企业内部员工） 稽查：针对企业外部的监督单位 ④系统维护制度 　硬件和软件 ⑤数据容灾制度 ⑥病毒防范制度 ⑦应急措施 法律环境 《中华人民共和国电子签名法》 风险分析和审计跟踪的主要功能 风险分析： a.设计前：根据分析系统固有的脆弱性，旨在发现系统设计前的潜在风险。 b.运行前：根据系统运行期的运行状态和结果，分析潜在安全隐患。 c.运行期：根据系统运行记录，跟踪系统状态的变化，分析运行期的安全隐患。 d.运行后：分析系统运行记录，为改进系统的安全性提供分析报告。 审计跟踪： a.记录和跟踪各种系统状态的变化。 b.实现对各种安全事故的定位。 c.保存、维护和管理审计日志 1、信息传输中的五种常见加密方式。P27 ①链路－链路加密 ②节点加密 ③端－端加密 ④ATM网络加密 ⑤卫星通信加密 链路-链路加密与端端加密 方式 优点 缺点 链路-链路加密 包含报头和路由信息在内的所有信息均加密； 单个密钥损坏时整个网络不会损坏，每队网络节点可使用不同的密钥； 加密时对用户透明。 以明文形式通过每一个节点； 所有节点都必须有密钥，密钥分发和管理变得困难。 每个安全通信链路需要两个密码设备，费用高。 端-端加密 使用方便，采用用户自己的协议进行加密，并非所有数据都需要加密。 网络中数据从源点到终点均受保护。 加密对网络节点透明，在网络重构期间可使用加密技术。 每一个系统都需要完成相同类型的加密； 某些信息（报头和路由信息）必须以明文形式传输。 需采用安全、先进的密钥颁发和管理技术。 对称加密的原理及其优缺点，常见对称密码算法有DES，AES，三重DES，Rivest 密码，对称加密密钥的传输可使用RSA密钥传输法。 原理: 数据的发送方和接受方使用的是同一把密钥 过程: 发送方对信息加密 发送方将加密后的信息传送给接收方 接收方对收到信息解密，得到信息明文 优点：由于加密算法相同，操作起来比较简单，使用方便、?计算量小?、加密与解密效率高。? 缺点：1)密钥管理较困难；2)由于密钥传输可能会被窃取，新密钥发送给接收方较为困难，需对新密钥进行加密；3）其规模很难适应互联网这样的大环境。 什么是信息验证码？数字摘要、数字签名与信息验证码的区别。 信息验证码（MAC）也称为完整性校验值或信息完整校验。MAC是附加的数据段，是由信息的发送方发出，与明文一起传送并与明文有一定的逻辑关系。 数字签名包括报文摘要。报文摘要和非对称加密一起，提供数字签名的方法。数字签名保证信息的完整和提供信息发送者的身份认证和不可否认性，报文摘要用来防止发送的报文被篡改。两者采用的算法不同，数字签名主要是利用公钥算法，常见的有HASH、、RSA签名。报文摘要主要是安全散列标准，常用SHA-1和MD5。4、RSA算法加密。公开密钥加密的加密模式和验证模式是什么？两种模式如何结合？（图2-7） 优点：安全性能好，破解困难； 加密模式： 1.发送方用接收方的公开密钥对信息进行加密。 2.发送方将加密后的信息通过网络传送给接收方。 3.接收方用自己的私有密钥对加密信息