【正文】 內(nèi)隨機轉發(fā)消息來隱藏消息的發(fā)送者。 【答案】C17【235166】（簡答題）什么是數(shù)字證書？它包括什么內(nèi)容？ 【答案】數(shù)字證書是用電子手段來證實一個用戶的身份和對網(wǎng)絡資源訪問的權限。數(shù)字證書作為網(wǎng)上交易雙方真實身份證明的依據(jù)，是一個經(jīng)證書授權中心（CA）數(shù)字簽名的、包含證書申請者（公開密鑰擁有者）個人信息及其公開密鑰的文件。它包含的以下內(nèi)容。①證書擁有者的姓名。②證書擁有者的公共密鑰。③公共密鑰的有效期。④頒發(fā)數(shù)字證書的單位。⑤數(shù)字證書的序列號。⑥頒發(fā)數(shù)字證書單位的數(shù)字簽名。17【235168】（簡答題）試說明一個完整的安全電子交易過程。 【答案】1）消費者使用瀏覽器在商家的Web主頁上查看在線商品目錄測覽商品；（2）消費者選擇要購買的商品；（3）消費者填寫訂單，包括項目列表、價格、總價、運費、搬運費、稅費。訂單可通過電子化方式從商家傳過來，或由消費者的電子購物軟件建立。（4）消費者選擇付款方式。此時SET開始介入。（5）消費者發(fā)送給商家一個完整的訂單及要求付款的指令。在SET中，訂單和付款指令由消費者進行數(shù)字簽名。同時，利用雙重簽名技術保證商家看不到消費者的賬號信息。（6）商家接受訂單后，向消費者的金融機構請求支付認可。（7）通過GateWay到銀行，再到發(fā)卡機構確認，批準交易。然后返回確認信息給商家。（8）商家發(fā)送訂單確認信息給顧客。顧客端軟件可記錄交易日志，以備將來查詢。（9）商家給顧客裝運貨物或完成訂購的服務。到此為止，一個購買過程已經(jīng)結束。商家可以立即請求銀行將錢從購物者的賬號轉移到商家賬號，也可以等到某一時間，請求成批劃賬處理。（10）商家從消費者的金融機構請求支付。在認證操作和支付操作中間一般會有一個時間間隔，例如，在每天的下班前請求銀行結一天的帳。17【235172】（簡答題）請說明安全動態(tài)認證的工作過程。 【答案】①首先在網(wǎng)絡中由一些非盈利性的機構或者一些比較權威的組織在網(wǎng)上成立一個網(wǎng)絡動態(tài)認證中心。②所有希望參加電子商務并希望完成支付環(huán)節(jié)的公司，無論是企業(yè)、個人或銀行，只要想加入網(wǎng)絡安全支付交易，都必須向網(wǎng)絡動態(tài)認證中心進行網(wǎng)絡注冊。注冊時必須把參加者的金融信息、保密信息、以及賬戶等內(nèi)容如實填報。③注冊完以后，網(wǎng)絡會自動地把個人私鑰、加密算法、解密算法等內(nèi)容通過網(wǎng)絡發(fā)到用戶的計算機上。17【235108】（多項選擇題）加密為電子商務安全提供了以下（ ）幾方面的保障。 【答案】A,B,C,D17【235109】（多項選擇題）黑客分為以下（ ）幾種。 【答案】A,C,D180、【235111】（多項選擇題）加密的目的是：（ ）。 【答案】A,B18【235113】（多項選擇題）電子商務系統(tǒng)中涉及許多安全技術，下面說法中正確的有（ ）。，采用公鑰和私鑰對信息加密（PKI）支持SET協(xié)議、SSL協(xié)議、電子證書和數(shù)字簽名等技術，無法滿足B2B方式下的電子商務要求，因此商務信息在網(wǎng)上無須加密，加了也是白加 【答案】B,C18【235115】（多項選擇題）強制訪問控制用于信息完整性保護的兩個原則是（ ）。 【答案】B,C18【235117】（多項選擇題）電子商務安全的組成包括（ ）。 【答案】A,B,C,D18【235118】（多項選擇題）惡意代碼包括以下哪幾種？（ ） 【答案】A,B,C,D18【235120】（多項選擇題）雙重簽名中商家所能看到的信息有（ ）。 【答案】A,C,D18【235122】（多項選擇題）以下惡意代碼中（ ）是需要宿主的程序。 【答案】B,C18【235124】（多項選擇題）以下攻擊手段中屬于被動攻擊的是：（ ）。 【答案】A,D18【235125】（判斷題）數(shù)字信封對于大文件采用對稱加密，但是對于對稱密鑰的加密和傳輸采用公鑰加密的技術。 【答案】正確18【235126】（判斷題）認證中心是發(fā)放數(shù)字證書的受信任的第三方。 【答案】正確190、【235129】（判斷題）安裝了防病毒軟件的電腦就可以對病毒免疫了。 【答案】錯誤19【235130】（判斷題）防火墻是一種在企業(yè)的專用網(wǎng)絡與Internet間起過濾器作用的軟件。 【答案】正確19【235131】（判斷題）網(wǎng)上零售商遭受比網(wǎng)上消費者更大的在線信用卡欺詐危險。 【答案】正確19【235132】（判斷題）數(shù)字簽名是可以通過Internet傳輸?shù)慕?jīng)過簽名的密文。 【答案】正確19【235133】（判斷題）風險評估是對整個網(wǎng)站各個環(huán)節(jié)進行評估。 【答案】錯誤19【235134】（判斷題）在網(wǎng)上進行盜竊風險很小。 【答案】正確19【235135】（判斷題）網(wǎng)絡竊聽是一種竊聽程序，可以監(jiān)視通過網(wǎng)絡傳遞的信息。 【答案】正確19【235136】（判斷題）黑客是企圖在未經(jīng)授權的情況下進入計算機系統(tǒng)的人。 【答案】正確19【235138】（名詞解釋）黑客 【答案】客最早源自英文hacker，早期在美國的電腦界是帶有褒義的。但在媒體報導中，黑客一詞往往指那些“軟件駭客”（software cracker）。黑客一詞，原指熱心于計算機技術，水平高超的電腦專家，尤其是程序設計人員。但到了今天，黑客一詞已被用于泛指那些專門利用電腦網(wǎng)絡搞破壞或惡作劇的家伙。對這些人的正確英文叫法是Cracker，有人翻譯成“駭客”。19【235140】（名詞解釋）hash函數(shù) 【答案】Hash，一般翻譯做“散列”，也有直接音譯為“哈?！钡?，就是把任意長度的輸入（又叫做預映射，preimage），通過散列算法，變換成固定長度的輸出，該輸出就是散列值。這種轉換是一種壓縮映射，也就是，散列值的空間通常遠小于輸入的空間，不同的輸入可能會散列成相同的輸出，而不可能從散列值來唯一的確定輸入值。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數(shù)。200、【235141】（名詞解釋）DES 【答案】DES算法全稱為Data Encryption Standard，即數(shù)據(jù)加密算法，是一種對稱加密算法。它是IBM公司于1975年研究成功并公開發(fā)表的。DES算法的入口參數(shù)有三個：Key、Data、Mode。其中Key為8個字節(jié)共64位，是DES算法的工作密鑰；Data也為8個字節(jié)64位，是要被加密或被解密的數(shù)據(jù)；Mode為DES的工作方式，有兩種：加密或解密。20【235147】（名詞解釋）RSA 【答案】RSA公鑰加密算法是1977年由Ron Rivest、Adi Shamirh和LenAdleman在（美國麻省理工學院）開發(fā)的。RSA取名來自開發(fā)他們?nèi)叩拿?。RSA是目前最有影響力的公鑰加密算法，它能夠抵抗到目前為止已知的所有密碼攻擊，已被ISO推薦為公鑰數(shù)據(jù)加密標準。RSA算法基于一個十分簡單的數(shù)論事實：將兩個大素數(shù)相乘十分容易，但那時想要對其乘積進行因式分解卻極其困難，因此可以將乘積公開作為加密密鑰。20【235151】（名詞解釋）SHA 【答案】SHA（Secure Hash Algorithm，譯作安全散列算法）是美國國家安全局（NSA）設計，美國國家標準與技術研究院（NIST）發(fā)布的一系列密碼散列函數(shù)。正式名稱為SHA的家族第一個成員發(fā)布于1993年。然而現(xiàn)在的人們給它取了一個非正式的名稱SHA0以避免與它的后繼者混淆。兩年之后，SHA1，第一個SHA的后繼者發(fā)布了。另外還有四種變體，曾經(jīng)發(fā)布以提升輸出的范圍和變更一些細微設計：SHA224，SHA256，SHA384和SHA512（這些有時候也被稱作 SHA2）。20【235154】（名詞解釋）數(shù)字證書 【答案】數(shù)字證書就是互聯(lián)網(wǎng)通訊中標志通訊各方身份信息的一系列數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式，其作用類似于司機的駕駛執(zhí)照或日常生活中的身份證。它是由一個由權威機構CA機構，又稱為證書授權（Certificate Authority）中心發(fā)行的，人們可以在網(wǎng)上用它來識別對方的身份。數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰、名稱以及證書授權中心的數(shù)字簽名。20【235155】（名詞解釋）CA中心 【答案】CA中心又稱CA機構，即證書授權中心（Certificate Authority），或稱證書授權機構，作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。CA機構的數(shù)字簽名使得攻擊者不能偽造和篡改證書。在SET交易中，CA不僅對持卡人、商戶發(fā)放證書，還要對獲款的銀行、網(wǎng)關發(fā)放證書。它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。20【235158】（名詞解釋）SSL協(xié)議 【答案】安全套接層協(xié)議（SSL，Security Socket Layer）是網(wǎng)景（Netscape）公司提出的基于WEB應用的安全協(xié)議，它包括：服務器認證、客戶認證（可選）、SSL鏈路上的數(shù)據(jù)完整性和SSL鏈路上的數(shù)據(jù)保密性。對于電子商務應用來說，使用SSL可保證信息的真實性、完整性和保密性。但由于SSL不對應用層的消息進行數(shù)字簽名，因此不能提供交易的不可否認性，這是SSL在電子商務中使用的最大不足。20【235160】（名詞解釋）SET協(xié)議 【答案】為了實現(xiàn)更加完善的即時電子支付，SET協(xié)議應運而生。SET協(xié)議（Secure Electronic Transaction），被稱之為安全電子交易協(xié)議，是由Master Card和Visa聯(lián)合Netscape，Microsoft等公司，于1997年6月1日推出的一種新的電子支付模型。SET協(xié)議是B2C上基于信用卡支付模式而設計的，它保證了開放網(wǎng)絡上使用信用卡進行在線購物的安全。SET主要是為了解決用戶，商家，銀行之間通過信用卡的交易而設計的，它具有的保證交易數(shù)據(jù)的完整性，交易的不可抵賴性等種種優(yōu)點，因此它成為目前公認的信用卡網(wǎng)上交易的國際標準。20【235174】（論述題）電子商務有哪些安全控制要求？ 【答案】網(wǎng)絡安全問題一般認為，計算機網(wǎng)絡系統(tǒng)的安全威脅主要來自黑客攻擊、計算機病毒和拒絕服務三方面的攻擊。電子商務對安全控制的要求1．內(nèi)部網(wǎng)的嚴密性2．完整性3．保密性4．不可修改性5．交易者身份的確定性6．交易的無爭議和不可抵賴性7．有效性8．授權合法性20【235177】（論述題）試述防火墻在網(wǎng)絡安全中所起的作用。 【答案】（1）網(wǎng)絡安全的控制。保護那些易受攻擊的服務。防火墻能過濾掉那些不安全的服務和請求而降低網(wǎng)絡安全的風險，能夠監(jiān)測、限制信息流從一個安全控制點進入或離開。只有預先被允許的服務才能通過防火墻，這樣就降低了受到非法攻擊的風險，大大提高了網(wǎng)絡的安全性；（2）屏蔽內(nèi)部信息。使用防火墻就是要使內(nèi)部網(wǎng)絡與外部網(wǎng)絡隔斷，讓外部網(wǎng)絡的用戶在未經(jīng)授權的情況下不能訪問內(nèi)部網(wǎng)絡，并盡可能的隱藏內(nèi)部信息、結構、運行情況；通過防火墻對內(nèi)部網(wǎng)絡的劃分，還可以實現(xiàn)對重點網(wǎng)絡的隔離；（3）控制對特殊站點的訪問。防火墻能控制對特殊站點的訪問。如有些主機能被外部網(wǎng)絡訪問，而有些則要被保護起來，防止不必要的訪問。通常會有這樣一種情況，在內(nèi)部網(wǎng)中只有EMail服務器、FTP服務器和WWW服務器能被外部網(wǎng)訪問，而其他訪問則被主機禁止；（4）集中化的安全管理。對于一個公司來說，使用防火墻比不使用防火墻可能更加經(jīng)濟一些。這是因為如果使用了防火墻，就可以將所有修改過的軟件和附加的安全軟件都放在防火墻上。而不使用防火墻，就必須將所有軟件分到各個主機上；（5）提供日志和審計功能，對網(wǎng)絡存取訪問進行記錄和統(tǒng)計。由于所有對Internet的訪問都經(jīng)過防火墻，防火墻就能將所有訪問都記錄到日志文件中，同時也能提供網(wǎng)絡流量及網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)母婢?，并提供網(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息；（6）提供報警服務。當有潛在的威脅的訪問或請求經(jīng)過防火墻時，防火墻不僅應該記錄其動作，還應及時向系統(tǒng)管理員報警。20【235182】（論述題）SET協(xié)議中應用了哪些加密技術,它們是如何工作的？ 【答案】（1）用DES算法的對稱密鑰技術。對稱密鑰加密技術是SET加密協(xié)議的基礎。銀行常采用DES算法來加密持卡人的個人識別號碼。（2）采用RSA算法的非對稱密鑰技術。公開密鑰技術是SET協(xié)議的核心。公開密鑰技術解決了密鑰的發(fā)布和管理問題，商戶可以公開其公開密鑰，而保留私有密鑰。購物者可以用人人皆知的公開密鑰對發(fā)布的信息進行加密，安全地傳給商戶，然后由商戶用自己的私有密鑰進行解密。（3）采用電子數(shù)字簽名。按雙方約定的Hash算法產(chǎn)生報文摘要值，用發(fā)送者的私人密鑰加密產(chǎn)生數(shù)字簽名。（4）采用電子信封。發(fā)送者自動生成對稱密鑰，用它加密原文，將生成的密文連同密鑰本身一起再用公開密鑰手段傳送出去，以解決每次傳送更換密鑰的問題。SET協(xié)議的信息加密傳送過程綜合了上述四種常見手段。發(fā)送信息時，發(fā)信人用自己的私有密鑰進行電子簽名，再使用收信人的公開密鑰制作電子信封，進行加密傳送。收信人執(zhí)行相反的動作：用自己的私有加密密鑰解密報文，揭開電子信封，然后用發(fā)送者的公開密鑰核實報文簽名。SET協(xié)議中發(fā)送信息采用公開密鑰技術，需要一對密鑰；發(fā)送信息之前先用電子簽名技術進行簽名，又需要一對密鑰。這兩對密鑰是完全不同的。第五章 網(wǎng)絡營銷2【235213】（單項選擇題）網(wǎng)上拍賣的正向競價模式是指（ ）。 【答案】D