电子商务与安全习题答案1-8章全.docx

配套教材参考答案 基于主机的入侵检测系统依赖于特定的操作系统平台，对于不同的平台系统是无法移植 的；而基于网络的入侵检测系统其分析的对象是网络协议，是标准化的、独立于主机操作系 统类型的，因此没有移植性的问题。 基于主机的入侵检测系统运行在所保护的主机上，会影响宿主机的性能，特别是当宿主 机是服务器的情况；基于网络的入侵检测系统通常采取独立主机和被动监听的工作模式，因 此它的运行不会影响主机或服务器自身的运行。 基于主机的入侵检测系统通常无法对网络环境下发生的大量攻击行为做出及时的反应; 基于网络的入侵检测系统能够实时监控网络中的数据流量，并发现潜在的攻击行为和做出迅 速的响应。 4 .结合实际谈一谈对防火墙技术发展趋势的看法。 略.如何扫描探测目标主机的开放端口？ 使用端口扫描技术。目前端口扫描技术有很多，如TCP connect Scan （TCP连接扫描）、 TCP SYN Scan （TCP 同步序列号扫描）、TCP FIN Scan （TCP 结束标志扫描）、IP Scan （IP 协议扫描）、TCP Xmas Tree Scan 等。 5 .简述DoS和DDoS的攻击原理。 DoS和DDoS攻击主要是采用以下三种方式进行攻击的：①利用错误配置或软件漏洞。 ②利用协议漏洞，也称杀手包或剧毒包（KiHer Packet）型攻击。它主要是利用协议本身或 者其软件实现中的漏洞，通过一些非正常的（畸形的）数据包使得目标受害者系统在处理时 出现异常，导致目标系统崩溃。③利用合理的服务请求来占用过多的服务资源，致使服务超 载，无法响应其他的请求。这种攻击称为风暴型（FloodType）攻击。攻击者通过大量的无 用数据包占用过多的资源以达到拒绝服务的目的。风暴型DoS攻击并不依靠畸形数据包， 而是依靠数据包的总量来达到攻击的目的，它需要向目标发送大量的数据包，而单个攻击者 的力量是有限的，因此，如果集聚多个攻击者的力量，同时向一个受害者发动攻击，则效果 会更明显，这就是分布式拒绝服务（DDoS,Distributed Denial of Service）攻击。 6 .解释以下术语：DDoS、Worm、IP Spoofs SYN Flood、ShellCodeo 分布式拒绝服务攻击DDoS指攻击的发出点是分布在不同地方的，处于不同位置的多个 攻击者同时向一个或数个目标发起攻击，或者一个或多个攻击者控制了位于不同位置的多台 机器并利用这些机器对受害者同时实施攻击。 蠕虫（Worm）,通过网络的通信功能将自身从一个结点发送到另一个结点并启动运行的程序。 IP欺骗（IPSpoof）就是通过伪造其他系统的IP地址，使得攻击者能够获得未被授权访 问的信息，它利用主机间的信任关系发动。其攻击过程为： ① 攻击者使被信任主机的网络功能暂时瘫痪，以免对攻击造成干扰。 ② 攻击者连接到目标主机的某个端口来猜测ISN基值和增加规律。 ③攻击者发送带有SYN标志的数据段给目标主机请求建立连接，该数据段的源IP地 址被伪装成被信任主机的IPo ④ 攻击者等待目标主机发送SYN+ACK包给已经瘫痪的被信任主机。 ⑤ 攻击者伪装成被信任的主机向目标主机发送ACK,此时发送的数据段带有预测的目 标机的ISN+1。 ⑥ 连接建立，发送命令请求。 SYN Flood攻击是最常见的一种风暴型DoS攻击。攻击者不停地向受害者发送连接请 求，而又不按协议规定完成握手过程，则服务器的半开连接栈可能会用完，从而不再接受其 他的连接请求。 ShellCode即攻击者要执行的完成某种特定功能的二进制代码。 7 .在实际应用中应怎样防范口令破译？ 选择安全的口令，设置口令过期时间和口令历史。 8 .防火墙不能解决的问题有哪些？ 防火墙无法防范不经过防火墙的攻击。例如，在一个被保护的网络上有一个没有限制的 拨出存在，内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet,从而形成与 Internet的直接连接。另外，防火墙很难防范来自于网络内部的攻击以及病毒的威胁。由于 病毒的类型繁多，操作系统也有多种，编码与压缩二进制文件的方法也各不相同，所以不能 期望采用防火墙扫描所有进入的文件、电子邮件和报文来查找病毒。 9 .简述缓冲区溢出攻击的原理。 所谓缓冲区溢出，指当计算机向缓冲区内填充数据时超过了缓冲区本身的容量，溢出的 数据覆盖到了合法数据上。缓冲区溢出攻击利用的就是其覆盖缓冲区的数据是“黑客”或者 病毒的入侵程序代码，从而使得多余字节被编译执行，“黑客”或者病毒就有可为所欲为， 获得系统的控制权。 1L假如你是一个网络管理员，请假定一个网络应用场景，并说明你会采取那些措施来构建 网络安全体系。 (1)在网关的出口使用防火墙，如果对网络安全要求较高，可以使用状态检测型防火墙, 如果对速度要求高那么，可以使用包过滤防火墙或硬件防火墙。 (2)在内网使用IDS,它和防火墙配合使用，可以加强内网安全，对于来自内部的攻 击可以及时报警。 (3)如果有服务器要发布到外网，可以设置专门的DMZ区放置服务器。 (4)对于内网安全，可以使用域环境，统一管理帐号和密码，针对不同的用户和组设 置不同的权限。 12 .简要分析Web应用体系的脆弱性。 (1) Web客户端的脆弱性 Web客户端即浏览器，负责将网站返回的页面展现给用户，并将用户输入的数据传输 给服务器。浏览器的安全性直接影响到客户端主机的安全。利用浏览器漏洞渗透目标主机已 成为主流的攻击方式。目前广为使用的IE浏览器出现过大量的安全漏洞，是攻击者首选的 目标。 (2) Web服务器的脆弱性 Web服务器运行Web应用程序，其安全直接影响到服务器主机和Web应用程序的安全。 流行的US服务器、Apache服务器、Tomcat服务器都出现过一些严重的安全漏洞。攻击着 通过这些漏洞，不仅可以对目标主机发起拒绝服务攻击，严重的还能获得目标系统的权限、 数据库访问权限，从而窃取大量有用信息。 (3) Web应用程序的脆弱性 Web应用程序是用户编写的网络应用程序，可能存在安全漏洞。网站攻击事件中有很 大一部分是由于Web应用程序的安全漏洞引起的。Web应用程序的编写语言种类多、灵活 性高，一般程序员不易深入理解及正确利用，导致了安全漏洞。例如，常见的SQL注入攻 击就是利用Web应用程序检查不严，从而获取Web应用数据库中的内容。 (4) HTTP的脆弱性 HTTP是一种简单的、无状态的应用层协议。无状态使得HTTP简单高效，但HTTP 的无状态性也会被攻击者利用。攻击者不需要计划多个阶段的攻击来模拟一个会话保持机 制，一个简单的HTTP请求就能攻击Web服务器或应用程序。此外，由于HTTP是基于ASCII 码的协议，因此不需要弄清楚复杂的二进制编码机制，攻击者就可以了解HTTP中传输的所 有铭文信息。绝大多数HTTP运行在80端口，这一点也可以被攻击者利用。因为许多防火 墙或其他安全设备被配置成允许80端口的内容通过,攻击者可以利用这一点渗透到内网中。 (5) Cookie的脆弱性 Cookie是为了克服HTTP无状态的缺点，用来保存客户服务器之间的一些状态信息， 主要是用于辨别用户身份、进行会话跟踪而储存在用户本地终端上的一些数据。Cookie 一 般由服务器端升城，发送给客户端浏览器，浏览器将其保存在某个目录下的文本文件内，下 次请求同一网站时就发送该Cookie给服务器。Cookie的典型应用如判定注册用户是否已经 登录网站，购物车等。 由于Cookie中包含了一些敏感信息，如用户名、计算机名、使用的浏览器和曾经访问 的网站等，攻击者可以利用它进行窃密和欺骗攻击。 (6)数据库的安全脆弱性 大多数的Web应用程序使用数据库来保存数据。由于数据库中保存了大量的应用数据, 因此它常常成为攻击者的目标。最常见的网站数据库攻击手段就是SQL注入攻击。 13 .如果你是一个Web应用程序员，应该采取哪些措施以减少Web应用程序被SQL注入 攻击？ 在编写Web应用程序时，应遵循以下原则，以减少SQL注入漏洞。 (1)过滤单引号 防范SQL注入攻击最有效的方法是对用户的输入进行检查，确保用户输入数据的安全 性。在具体检查用户输入或提交的变量时，根据参数的类型，可对单引号、双引号、分号、 逗号、冒号、连接号等进行转换或过滤，这样就可以防止很多SQL注入攻击。 (2)禁止将敏感性数据以明文存放在数据库中，这样即使数据库被SQL注入攻击，也 会减少泄密的风险。 (3)遵循最小特权原则。只给访问数据库的Web应用所需的最低权限。例如，如果 Web应用不需要访问某些表，那么应确认它没有访问这些表的权限；如果Web应用只需要 读权限，则应确认已禁止它对此表的插入、更新、删除等权限。 14 .Land攻击利用的是什么安全漏洞？ Land攻击利用的是主机在处理TCP连接请求上的安全漏洞。 15 .什么IRC僵尸网络，有什么优缺点？ IRC僵尸网络是指控制和通信方式为利用IRC协议的僵尸网络。IRC僵尸网络结构简单, 每个僵尸主机都与IRC服务器直接相连，因此IRC僵尸网络具有非常高的效率。但它同时 也有致命的弱点：如果IRC服务器被关闭，则僵尸主人就完全失去了僵尸网络。蜜罐 (Honeypot)和蜜网(Honeynet)技术就对该弱点加以利用。 16 .为什么要设置DMZ?什么设备要放置在DMZ中？ 通过配置DMZ,我们可以将需要保护的Web应用程序服务器和数据库系统放在内网中， 把没有包含敏感数据、担当代理数据访问职责的主机放置在DMZ中，这样就可以为应用系 统安全提供保障。 17 . IP的哪些字段或特性能被攻击者利用？ (1) IP协议没有认证机制。由于IP没有来源认证，因此IP包中的所有字段几乎都可以 伪造。例如，IP中没有相应的控制以防止数据包被篡改，攻击者可以伪造首部校验和字段, 或重新计算校验和以使网络节点不会丢弃数据包。由于IP本身对IP数据包是否来自真正的 源地址不提供任何保障，因此攻击者可以进行IP源地址假冒。 许多需要重写IP首部的攻击都要用到IP欺骗，主要的攻击包括：拒绝服务攻击、中间人攻 击、源路由攻击、客户端攻击和服务器端攻击等。 (2)数据报分片。由于底层协议MTU值的限制，IP数据报可能需要分片，到达目的地 后再重组。这一机制可能被攻击者利用。例如，用于攻击那些不能正确处理数据报分片异常 （例如，分片重叠）的主机；通过在首片中不包含传输层信息来绕过防火墙等安全防护策略, 产生大量分片使得防火墙耗费大量资源实现重组，或者发送不完整的分片报文迫使防火墙长 时间等待集合中的其他分片。 （3）寻址与协议选项。数据报的寻址信息以及协议选项的信息泄露了部分网络拓扑信息。 记录路由或时间戳的协议选项可能被攻击者用于网络侦察。 （4）访问控制与带宽控制。IP没有访问控制机制，使得攻击者可以查看上层协议（如 TCP、UDP等）的内容；攻击者还可以利用IP没有带宽控制的缺陷，进行包风暴攻击来消 耗带宽、系统资源，从而导致拒绝服务攻击。 五、操作题L防火墙能防止病毒、木马等恶意软件的传播吗？研究和配置你自己计算机的单机版防火 墙，写出配置过程。 防火墙不能防止病毒、木马等恶意软件的传播。配置过程略。 2-8题略。 习 题答案 一、填空题 1 .数字证书 2 .注册机构RA 3 .公钥基础设施PKI 4 .认证中心CA, CA 5 .冒名发送数据或发送数据后抵赖 6 .证书申请者的信息 7,访问控制 8 .数字签名机制 9 .公开密钥体制、加密机制二、单选题 1. D 2.C3. A 4. D 5. D 6. D 7. B 8. C 9. B 10. C三、多选题 1. C 2. AC 3. AC 4. ACD 5. AB 四、简述题.数字证书、认证中心CA、公钥基础设施PKI之间的关系是怎么样的？ 参考答案： 公钥基础设施（PKI）是一个一定范围内的相互信任的基础设施，它是一种遵循标准的密钥 管理平台。为管理公开密钥提供公钥生成、公钥认证、公钥存储、公钥安装等服务。在PKI体系 中，CA （Certificate Authority,认证中心）和数字证书是密不可分的两个部分。认证中心又叫CA中心， 它是负责产牛.、分配并管理数字证书的可信赖的第三方权威机构。认证中心是PKI安全体系的核心环节, 因此又称作PKI/CA。数字证书，又叫“数字身份证”、“数字ID”，是由认证中心发放并经认证中心数字签 名的，包含公开密钥拥有者以及公开密钥相关信息的一种电子文件，可以用来证明数字证书持有者的真实 身份。 1 .基于X. 509数字证书的内容有哪些？ 参考答案： X. 509是由国际电信联盟(ITU-T)制定的数字证书标准。一个标准的X. 509数字证书包含以 下几个部分： (1)证书版本信息 (2)证书序列号 (3)证书所使用的签名算法 (4)证书发行机构名称 (5)证书的有效期 (6)证书持有者即主体的名称 (7)主体的公开密钥信息 (8)证书发行机构对证书的数字签名 (9)发放者的唯一标识符 (10)主体的唯一标识符 (11)扩展部分.我有很多电子邮件地址，是否能够使用同一个数字证书？ 参考答案： 不能。一个邮件地址申请一个数字证书。 2 .简述认证中心CA的职能。 参考答案： ⑴验证并标识证书申请者的身份。 (2)接受并处理终端用户数字证书的更新请求。 (3)使用户方便地查找各种证书及已经撤销的证书。 (4)根据用户请求或其它相关信息撤销用户证书。 (5)根据证书的有效期自动地撤销证书。 (6)对证书序列号、CA标识等证书信息进行管理。 (7)完成证书数据库的备份工作。 3 .简述PKI的功能及组成。 参考答案： PKI的功能有很多，主要有签发数字证书、撤销证书、签发与发布证书撤销列表、存储与检 索证书和证书撤销列表、密钥生成、密钥备份和恢复、密钥撤销与更新、密钥归档等。 PKI组成结构包括公开密钥密码技术、数字证书、认证中心CA和关于公开密钥的安全策略 等.数字证书由谁来颁发，如何颁发？ 参考答案： 数字证书是由认证中心颁发的。 认证中心是一家能向用户签发数字证书以确认用户身份的管理机构。为了防止数字凭证的 伪造，认证中心的公共密钥必须是可靠的，认证中心必须公布其公共密钥或由更高级别的认证 中心提供一个电子凭证来证明其公共密钥的有效性，后一种方法导致了多级别认证中心的出现。 数字证书颁发过程如下：用户首先产生自己的密钥对，并将公共密钥及部分个人身份信息 传送给认证中心。认证中心在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发 送而来，然后，认证中心将发给用户一个数字证书，该证书内包含用户的个人信息和他的公钥 信息，同时还附有认证中心的签名信息。用户就可以使用自己的数字证书进行相关的各种活动。 7.根证书是什么？ 参考答案： 所谓根证书，是CA认证中心与用户建立信任关系的基础，用户的数字证书必须有一个受信 任的根证书，用户的数字证书才是有效的。从技术上讲，证书其实包含三部分，用户的信息， 用户的公钥，还有CA中心对该证书里面的信息的签名，要验证一份证书的真伪（即验证CA中 心对该证书信息的签名是否有效），需要用CA中心的公钥验证，而CA中心的公钥存在于对这 份证书进行签名的证书内，故需要下载该证书，但使用该证书验证又需先验证该证书本身的真 伪，故又要用签发该证书的证书来验证，这样一来就构成一条证书链的关系，这条证书链在哪 里终结呢？答案就是根证书，根证书是一份特殊的证书，它的签发者是它本身，下载根证书就 表明您对该根证书以下所签发的证书都表示信任，而技术上则是建立起一个验证证书信息的链 条，证书的验证追溯至根证书即为结束。所以说用户在使用自己的数字证书之前必须先下载根 证书。 习 题答案 一、填空题 1 .完整 2 .记录协议，握手协议、修改密文规约协议、告警协议 3 .双重 4 .记录协议、握手协议 5 .信用卡 6 . SSL安全协议 7 . TCP 8 .应用层二、单项选择题 1. C 2. C 3. C. 4. D 5. A 6. C三、多项选择题 1. ABC 2. ABC 3. BCD 4. AD 5. ACD 6. ACD 7. ABC 四、简述题SSL协议不是单个协议而是两层协议。一层是SSL记录协议，当数据传输到上层应用以及从 上层应用中接受数据时，这些操作都在记录层里完成，请说出记录协议对数据的操作过程。 参考答案： ①记录层接收到应用层长的数据流时，将对数据进行分段，每一段称为一个记录，每 一个记录的最大长度为16KBo ② 对上面每一个记录块进行压缩，压缩是可选的，压缩算法在当前会话状态中定义。 ③ 使用先前建立的共享密码对第一个明文记录计算MAC值。 ④ 使用会话密钥对上面添加MAC后的数据加密。 ⑤ 对加密后的每个记录添加SSL记录头。 1. SSL协议的握手协议有什么功能？ 参考答案： SSL握手协议负责建立当前会话状态的参数。双方协商统一的版本，选择密码算法，进行认 证，并且使用公钥加密技术通过一系列交换的消息在双方之间生成共享密钥。 2. 简述使用了 SET协议的购物流程。 参考答案： ① 持卡人通过浏览器从商家网站选择要购买的商品，填写订单。选择付款方式，此时 SET开始介入。持卡人通过网络发送给商家一个完整的订单及要求付款的指令。在 SET中，订单和付款指令由持卡人进行数字签名，同时，利用双重签名技术保证商 家看不到持卡人的账号信息。 ②商家接受订单，通过支付网关向持卡人的金融机构请求支付认可。 ③ 在银行和发卡机构确认和批准交易后，支付网关给商家返回确认信息。 ④商家通过网络给顾客发送订单确认信息，为顾客配送货物，完成订购服务。客户端 软件可记录交易日志，以备将来查询。 ⑤ 商家请求银行将钱从购物者的账号转移到商家账号。 4 . SET协议的证书有哪几种？ 参考答案： 在SET协议中有持卡人证书、商家证书、支付网关证书、银行证书、发卡机构证书等。 其中最主发的是持卡人证书、商家证书、支付网关证书。 ① 持卡人证书：适用于持卡人使用发卡机构颁发的银行卡(借记卡、储蓄卡、信用卡) 进行网上购物和结算。 ② 商家证书：适用于商户通过互联网向消费者出售商品或服务，并与支付网关相连实 现资金划转。 ③支付网关证书：适用于支付网关提供的服务(Internet上各种安全协议与银行现有 网络数据格式的转换)。 5 .简述SET协议的双重签名的过程。 参考答案： ① 持卡人通过Hash算法分别生成订购消息01和支付指令PI的消息摘要H(0I)和 H(PI); ② 消息摘要H(OI)和H(PI)连接起来得到消息0P； ③ 通过Hash算法生成0P的消息摘要H(0P)； ④用持卡人的私有密钥加密H(0P)得到双重数字签名Sign(H(0P))；持卡人将消息(0L H(PI), Sign(H(0P))用商家的公开密钥加密后发送给商家，将消息 (PI, H(0I), Sign(H(0P))用银行的公开密钥加密后发送给银行。 第八章 一、填空题 (1)电子货币类、电子信用卡类、电子支票类 (2)支付工具、支付系统、金融专用网 (3)支付工具、支付系统以及金融专用网 (4)现钞、网络、互通性、数字签名技术 (5)纸张支票、数字传递 (6)用户识别、标准报文、数据验证(7)借记支票、债权人、支付、向债务人收款 贷记支票、债务人、支付、向债权人付款 (8)贷记划拨、借记划拨、债务人、债权人 (9)卡基支付、RSA、DES、HASH算法 (10)“一网通”、企业银行、个人银行，网上支付二、单项选择题 (1) A (2) D (3) D (4) B (5) A (6) C三、多项选择题 (1) ABC (2) ABCD (3) ABC (4) AB (5) ABCD四、简述题 (1)电子支付系统指的是消费者、商家和金融机构之间使用安全电子手段交换商品或服务, 即把新型支付手段包括电子现金、信用卡、借记卡、智能卡等的支付信息通过网络安全传递 到银行或相应的处理机构，实现电子支付是融购物流程、支付、工具、安全技术、认证体系、 信用体系以及现在的金融体系为一体的大综合系统。 电子支付系统按照不同支付工具和间接直接通信以及实际支付发生的时间，可以分为三 种支付模式：银行卡支付模式、电子现金支付模式和电子支票支付模式。 (2)主要有两种方式： ①通过信任第三方的支付模型；②具有简单安全措施的支付模式。 或者(网上支付模式主要有面向商家的SET模式、无证书SET模式、完全SET模式) (3)①全面实现无纸化交易； ②服务方便、快捷、高效、可靠；③经营成本低廉； ④简单易用。 (4)支付网关是公用网和金融专用网的接口，支付信息必须通过支付网关才能进入银行支 付系统，进而完成支付的授权和获取。 (5)电子支票(Electronic Check)是客户向收款人签发的，无条件的数字化支付指令。它可 以通过因特网或无线接入设备来完成传统支票的所有功能。 电子支票是一种借鉴纸张支票转移支付的优点，利用数字传递将钱款从一个帐户转移到 另一个帐户的电子付款形式。这种电子支票的支付是在与商户及银行相连的网络上以密码方 式传递的，多数使用公用关键字加密签名或个人身份证号码(PIN)代替手写签名。用电子支 票支付，事务处理费用较低，而且银行也能为参与电子商务的商户提供标准化的资金信息, 故而可能是最有效率的支付手段。 (6)电子支票的应用过程如下： ①消费者和商家达成购销协议并选择用电子支票支付；②消费者通过网络向商家发出电子支票，同时向银行发出付款通知单； ③商家通过验证中心对消费者提供的电子支票进行验证，验证无误后将电子支票送交银行索 付；④银行在商家索付时通过验证中心对消费者提供的电子支票进行验证，验证无误后即向商家 兑付或转帐。 (7)电子现金(E-cash )全称：Electronic casho又称为电子货币(E-money )或数字货币(电 子现金流程digital cash),是一种以电子数据形式流通的、能为客户和商家普遍接受的、通 过互联网购买商品或服务时可以使用的货币。 电子现金是一种非常重要的电子支付系统，它可以被看作是现实货币的电子或数字模 拟，电子现金以数字信息形式存在，通过互联网流通。 (8)电子现金的支付过程如下： 预备工作；付款人与收款人达成购销协议；付款人将订单与电子现金一起发给收款人; 收款人收到电子现金后，可以兑换成实体现金；发行者通过银行转账的方式将实体资金转到 付款行，收单行与收款人进行清算。 (9)电子现金支付方式的特点： ①银行个卖方之间应有协议的授权关系；②买方，卖方和电子现金发放银行都需要使用E-Cash软件； ③因为数字现金可以申请到非常小的面额，所以非常适合小额交易；④身份验证是由E-Cash本身完成的，银行在发放E-Cash时使用了数字签名，卖方在每次交 易中，将E-Cash传送给发放银行，由E-Cash发放银行验证买方支付的E-Cash是否有效； ⑤电子现金发放银行负责买方和卖方之间资金的转移； ⑥支付安全可靠，买卖双方都无法伪造银行的数字签名，双方都可以确信支付是有效的，因 为每一方都知道银行的公钥。银行可以避免受到欺诈。客户隐私权交好的保护。 (10) ①电子现金系统根据其交易的载体可分为基于账户的电子现金系统和基于代金券的电子现 金系统； ②根据电子现金在花费时商家是否需要与银行进行联机验证分为联机电子现金系统和脱机 电子现金系统。 (11) ①第一类涉及所有的电子支付系统和所有的支付手段。这一类服务被称为支付交易安全服 务； ②第二类服务主要与数字货币相关，称为数字货币安全；③第三类服务基于以电子支票作为支付手段的支付系统的特定技术。 (12) ①保护用户匿名性； ②支付交易的不可跟踪性；③支付交易的不可抵赖性； ④支付交易信息的新鲜性。 (13) ①支付交易的不可跟踪性； ②防止重用；③防止货币的伪造； ④防止货币的盗用。 (14)电子支票是与传统的纸面支票包含同样数据的电子公文，如果在电子支付交易中要用 到电子支票，就有必要运用一种或几种支付交易安全体制。而其中一种机制在普通支票中也 很常见，即支付授权转移。 第九章 一、填空题 (1) Web服务器 (2)信息泄露、拒绝服务、系统崩溃、跳板 (3)物理检查、紧急检查、追捕入侵者 (4)系统日志 (5) SQL注入、FSO权限 (6)双方直接交易、环节少、速度快、费用低 (7)计算机网络风险、电子商务交易风险、管理风险、政策法律风险 (8)物理安全问题、网络安全、网络病毒威胁、黑客攻击、操作系统缺陷、电子商务网站 自身的安全问题 (9)计算机辅助银行管理阶段、银行电子化或金融信息化阶段、网络银行阶段 (10)基于传统银行模式、基于非银行的机构模式、纯虚拟的网络银行模式二、单项选择题 (1) A (2) B (3) A (4) D (5) D三、多项选择题 (1) ABDE (2) ABCD电子商务与安全习题答案1-8章全 第一章 一、填空题 (1)资金流、物流、商流、信息流 (2)实际的市场需要 (3)企业间电子商务(B2B)、企业对消费者电子商务(B2C)、消费者对消费者电子商务 (C2C)、企业对政府的电子商务(B2G) (4)经济、快捷、方便、客观 (5)广告宣传与信息发布、咨询洽谈、网上订购、网上支付、物流配送、网上市场调研、信息反馈和交易管理 (6)安全性 (7)基于EDI的电子商务、基于Internet的电子商务、基于普及计算机的电子商务 (8)需求方、供应方、支付中心、认证中心、物流中心和电子商务服务商 (9)网络层、信息发布与传输层、应用服务层 (10)公共政策、技术标准、网络安全、法律法规二、单项选择题 (1) A (2) D (3) A (4) B (A) (5) D (6) A (7)B (8)C (9)C (W)A (H)C三、多项选择题 (1) ABCD (2) CD (3) ACD (4) ABC (5) ABCD (6)A、B、C、D； (7)A、B、C； (8)B、D； (9) A、B、D； (10)A> B、D；四、简述题 (1)电子商务，简单的讲就是指借助因特网为主的现代网络工具来完成或辅助完成的商业 交易活动。具体讲，就是把卖家与买家以及相关的合作伙伴借助现代通信网络平台(Internet、 (3) AD四、简述题 (1)电子商务的交易过程主要分为三个阶段： 第一个阶段是信息交流阶段。 第二阶段是签订商品合同阶段。 第三阶段是按照合同进行商品交接、资金结算阶段。 涉及到的主要技术有：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒 技术、安全审计技术。 加密技术；报文摘要、数字签名、数字证书认证中心、数字时间戳；安全套接层协议、 安全电子交易协议、公钥基础设施。 (2)网络银行又称网上银行、在线银行，是指银行利用Internet技术，通过Internet向客户 提供开户、销户、查询、对帐、行内转帐、跨行转账、信贷、网上证券、投资理财等传统服 务项目，使客户可以足不出户就能够安全便捷地管理活期和定期存款、支票、信用卡及个人 投资等。 网络银行是为客户提供银行服务的新手段，以现有的银行业务为基础，利用因特网技术 为客户提供综合、统一、安全、实时的金融服务。 可采取的安全措施：设立防火墙、隔离相关网络；高安全级的Web应用服务器；24小 时实时安全监控。 (3)网上商城，又称网上商店、虚拟商店或电子商店等，通过互联网直接进行网上购物和 网上支付，以电子商务的配送系统获得所购买的商品。网上商城是电子商务的一种主要形式。 特点：信息量大、成本低廉、客户无限等。 注意的安全问题：连接要安全、保护好自己的资料、使用安全的支付方式，检查证书和 标志等。 Intranet和Extranet）与原有的系统结合起来进行的商业活动。 主要有以下好处： ①高速高效；②降低成本，获得较高利润； ③覆盖面广；④功能更全面； ⑤可以加强生产者和消费者之间的联系，提高服务质量；@24小时不分时区的商业运作可以增加商业机会； ⑦有利于企业塑造自己的形象，更好地参与市场竞争；⑧为虚拟企业的出现创造了条件。 （2）可分为：企业间电子商务（B2B）、企业对消费者电子商务（B2C）、消费者对消费者 电子商务（C2C）、企业对政府的电子商务（B2G）等。 （3）为企业带来如下的效益： ①高速高效；②降低了成本，获得较高利润； ③覆盖面广；④功能更全面； ⑤可以加强生产者和消费者之间的联系，提高服务质量；⑥24小时不分时区的商业运作可以增加商业机会； ⑦有利于企'也塑造自己的形象，更好地参与市场竞争；⑧为虚拟企业的出现创造了条件。 （4）电子商务系统是由许多系统角色构成的一个大系统，主要角色包括需求方、供应方、 支付中心、认证中心、物流中心和电子商务服务商等。电子商务系统的结构层次是指实现电 子商务从技术到一般网上商务应用所具备的完整的运作基础与支撑环境，其在一定程度上决 定了电子商务运作与构成的基本结构，涉及信息技术、网络安全、政策规范、支撑环境等诸 多要素。电子商务系统结构层次包括三个层次、一种宣传和四类支柱。三个层次分别是：网 络层、信息发布与运输层、应用服务层。一种宣传是多媒体内容和网络宣传。四类支柱分别 是：公共政策、技术标准、网络安全和法律规范。 （5）电子商务体系结构主要包括三个部分：网络层，信息层，商务层。 网络层：电子商务的硬件基础设施，是信息传输系统，是电子商务的网络平台。 信息层：也称多媒体信息发布、传输层，传输信息的内容。 商务层：也称一般业务服务层，实现各种网上商务活动与服务。 用一早 一、填空题 （1）技术、管理、法律 （2）网络交易安全问题 （3）客户身份认证、客户信息认证 (4)绝密级、机密级、秘密级 (5)网络安全检测设备、防火墙 (6)有效性、机密性、完整性、不可否认性 (7)网络安全技术、交易安全技术 (8)系统实体安全、系统运行安全、信息安全 (9)中断、截获、篡改、伪造 (10)《中华人民共和国电子签名法》 (11)答案：技术；管理；二、单项选择题 (1) B (2) A (3) B (4) A (5) D (6) D三、多项选择题 (1) ABC (2) CD (3) ABC (4) ABC (5) ABC四、简述题 (1)电子商务的安全需求是电子商务系统的中心内容，是理解整个电子商务安全的基础， 所有的安全威胁都是针对安全需求中的六项内容而言的，所有的安全技术也是为保证这六项 内容的实现，可见电子商务安全需求在整个安全问题中占据的位置。这六项内容分别是：保 密性、完整性、认证性、不可否认性、不可拒绝性和访问控制性。 (2)常见的威胁主要有以下几种：黑客攻击；搭线窃听；伪装；计算机病毒；信息泄密； 信息丢失、篡改、销毁；软件漏洞。 (3)主要包括三部分： ①系统实体安全：环境安全、设备安全、媒体安全；②信息安全：操作系统安全、数据库安全、网络安全、病毒防护、访问控制、加密、鉴别; ③运行安全：风险分析、审计跟踪、备份与恢复、应急。 (4)电子商务两大支柱是指：社会人文性的公共政策和法律规范以及自然科技性的技术标 准和网络协议。 (5)电子商务的安全体系结构是保证电子商务中数据安全的一个完整的逻辑结构，同时它 为交易过程的安全提供了基本保障。 (6)电子商务安全技术: 防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术、安全审计技术；加密 技术层、安全认证层(包括报文摘要、数字签名、数字证书、认证中心、数字时间戳等)、 交易协议层(包括安全套接层协议、安全电子交易协议、公钥基础设施等)。 (7)包含如下两类安全： ①网络安全：防火墙技术、加密技术、漏洞扫描技术、入侵检测技术、反病毒技术、安全审 计技术；②交易安全：加密技术层、安全认证层(包括报文摘要、数字签名、数字证书、认证中心、 数字时间戳等)、交易协议层(包括安全套接层协议、安全电子交易协议、公钥基础设施等)。 第3章习题答案 一填空题web软件和数据库软件系统 1 Connection 对象3物理安全程序代码安全 4信息传递的安全业务系统的安全外部的安全答案：IIS、Websphere> Apache 二单项选择题 1 D 2B 3D 4C 5C 6A 7D 8C 9 C三多项选择题 1 ACD 2 BCD 3 ACD四简答题 1 .电子商务网站的分类有哪些，每一类中又有哪些？ 答： (1)按商务模式分类,可以分为 B2B(Business to Business)网站、B2C(Business to Customer)网站以及 C2C(Customre to Customer)网站等。 (2)按电子商务网站经营模式及提供的服务分类，包括企业网站、中介类网站、电子 商场、平台网站和批发网站等.电子商务网站的硬件平台一般包含哪些内容？ 答：一般包含网络服务器、应用终端或工作站以及用于设备互连的硬件设备和其他保障 网站正常活动功能的设备。网络服务器有Web服务器，它的主要功能是提供一个WWW站 点，借此可完成网站日常的信息访问以及商务业务处理；邮件服务器，为网站客户提供电子 邮件的发送和接收电子邮件；数据库服务器，它通过网络互连设备与其他服务器进行数据交 互，提供电子商务业务的数据服务。 2 .电子商务网站的功能是什么？ 答：电子商务网站功能因行业差异、企业不同以及产品特点、使用范围等因素而各不相 同，但所有的电子商务网站应该具备的几个基本功能 1 .商品展示 网站规模的大小，商品种类和数量等因素，决定展示的手段和方法。只销售几十种商品 的小网站，商品名录可以简单。网站页面上直接显示商品清单，加上商品的照片和简单描述, 并直接链接到商品介绍和详细信息的页面上；这样的商品目录不需进行专门组织。大型网站 就不同了，比如像淘宝网、阿里巴巴网等。大网站要有复杂的导航工具和精致的商品组织形 式，这就要求有商品目录，其信息来自功能强大的后端数据库。 2 .购物车 “购物车”已经成为目前电子商务的标准方法。购物车可跟踪客户所选购的商品，允许 客户管理购物车内商品。用户把订购商品加入到购物车，有关商品的细节信息都会自动保存 下来了。在生成订单的时候，这些信息作为订单的生成内容。 3 .交易处理功能 交易处理是电子商务网站的核心功能之一。电子交易的过程与传统的商品交易过程不 同，它完全处于一种虚拟的状态，客户在收到商品前，基本无法干预交易进程，绝对是一种 全新的体验。完善而全面的交易处理功能设计，要有明确的业务流程，保证交易的正常运转; 要提供完善的服务，保证交易过程的透明与安全。交易处理完成客户从订购到收货整个商务 交易的管理工作，包括客户信息的维护、订单的生成、订单状态追踪、商品的信息维护、库 存管理、发货收货管理、以及支付管理等。 4 .电子商务网站的体系结构是什么？ 答：电子商务网站的体系结构有多种，比较流行的是三层体系结构模式： ■ 数据层：提供网站业务数据服务，包括数据库系统和访问数据库的应用程序接口。 数据库提供具体的业务数据支撑，而数据访问应用程序接口为上层的业务处理应用 程序提供访问数据库的方法，从而实现数据交互。它处于最低层，是构建网站的基 础