电子商务安全试题及答案
判断题:
1.电子商务安全的研究范畴属于纯技术上的问题。(F)
电子商务安全研究范围包括技术和管理两个方面.
2.数字签名可以用对称和非对称加密技术来实现。( T )
3.基于公开密钥体制的数字证书是电子商务安全体系的核心。( T )
4.接管合法用户,占用合法用户资源属于信息的截获和窃取。( F )
接管合法同户属于信息的假冒
5.SET是提供公钥加密和数字签名服务的平台。( F )
PKI.是数字签名与加密的服务平台
6.一次一密的密码体制不属于理论上不可破解的密码。( F )
一次一密机制属于理论上不可破解的密码,因为它不可逆.
7.密钥管理中分配密钥和存储密钥是最棘手的问题。( T )
8.VPN是指在内部网络基础上建立的安全专用传输通道。( F )
VPN是在公共网络上建立的安全通道
9.屏蔽路由器可由厂家专门生产的路由器实现,也可由一台PC机来实现。( T )
10.树型结构是CA认证机构中严格的层次结构模型。( T )
案例分析题(每题20分,共40分)
1.案例一:中国煤焦数字交易市场
中国煤焦数字交易市场(网址:)是国家863计划,科技部"九五"重大攻关项目,国家"流通领域信息化"示范工程,是一个面向市场、服务全国、连接世界的大型电子商务应用典范。通过发挥山西省煤焦产销量大的绝对优势,整合卖方和政府资源同时联
合银行和运输企业建立网上集政府监管、信息服务、交易功能、物流结算为一体的综合性中国煤焦数字交易平台,创造了“煤炭+鼠标”的电子商务模式。
煤炭作为一种半市场化的大宗重要能源产品订货合同比一般物品购销合同要复杂很多,一份合同除买卖双方签章认可外,还需要煤炭运销总公司、煤炭销售办公室等多级煤炭管理部门和铁路、公路等运输部门进行签章确认才能成为一份有效的、可执行的合同。这样一份合同往往需要盖五、六个公章。在电子合同的签订中,每个环节都需要对合同进行数字签章,并通过判断上一个角的数字签章是否成功来实现合同的流转,完成最后一个签章才能生成一份有效的电子合同。
2002年2月通过应用SXCA数字安全证书作为身份确认和数据安全保证,中国煤焦数字交易市场成功召开了2002年度山西省煤炭网上订货会,会议期间60余家煤炭供销企业通过数字证书签订电子煤炭供销合同。所有煤炭运销管理部门和铁路部门采用数字证书登录相应的虚拟办公区对电子合同进行了审核签章。
案例问题:
(1)中国煤焦数字交易市场采用数字签名签署电子合同,什么是数字签名,它有什么作用?
所谓数字签名就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。
(数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验。)
简述数字签名的作用:1) 接收方通过文件中的签名能确认发送者的身份;2) 发送方以后不能否认发送过的签名文件;3)接收方不可能伪造文件的内容;
主要功能:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。 数字签名是个加密的过程,数字签名验证是个解密的过程。
(2)简述数字签名的原理。
数字签名采用了双重加密的方法来实现防伪、防赖。其原理为:
1、被发送文件用SHA编码加密产生128bit的数字摘要。
2、发送方用自己的私用密钥对摘要再加密,这就形成了数字签名
3、将原文和加密的摘要同时传给对方
4、接受方用授信方的公共密钥(Public Key)对摘要解密,同时对收到的信息用SHA编码加密产生又一摘要;
5、将解密后的摘要和收到的信息在受信方重新加密产生的摘要互相对比,若二者一致,则说明传送过程中信息没有被破坏或篡改过,否则不然
(每个人都有一对“钥匙”(数字身份),其中一个只有她/他本人知道(密钥),另一个公开的(公钥)。签名的时候用密钥,验证签名的时候用公钥。又因为任何人都可以落款声称她/他就是你,因此公钥必须向接受者信任的人(身份认证机构)来注册。注册后身份认证
机构给你发一数字证书。对文件签名后,你把此数字证书连同文件及签名一起发给接受者,接受者向身份认证机构求证是否真地是用你的密钥签发的文件。web服务器主要提供什么服务)
2.案例二: 广东移动电子采购平台
从2010年5月开始, 广东移动电子采购平台先后在省公司和广州、中山、肇庆等全省各分公司进行全面采购业务试运行。在深入了解用户对电子采购平台的实际需求的基础上,2010年11月开始,广东移动电子采购平台升级到二期系统,该系统运行更加稳定,现已在广东移动省公司和各分公司进行全面业务运行。平台的稳定运行,保证了使用者可以顺利的完成工作,平台的权限设置,更好的体现了广东移动“公正、公开、公平”的选型采购原则。
由于系统涉及了大量的公司机密资料,因此广东移动电子采购平台选择了PKI/CA体系作为系统的安全基础,使用了广东省电子商务认证中心提供的安全服务和系列产品保障整体安全,达到如下目标:
(1)身份确认:通过数字证书标识使用用户的身份;
(2)数据加密:对于传输过程中的机密数据和存储中的机密数据进行加密;
(3) 完整性:对标书等资料加盖电子签名信息,保障其完整性,没被篡改;
(4)不可否认性:通过PKI/CA体系的保证达到不可否认性
目前主要采用的安全应用产品有:
(1)客户端证书:确认用户身份,保证用户安全登录到广东移动电子采
购平台;
(2)服务器证书:建立SSL加密传输,保证数据传输安全;
(3)安全站点:确认站点身份,防止站点被假冒。
案例问题:
(1) 广东省电子商务认证中心提供的安全服务中的身份确认、数据加密、完整性、不可否认性分别可以采用哪些技术来保证?
(2)请阐述安全在电子商务中的地位和作用。
(3)有人说安全是“三分技术、七分管理”,请谈谈你的看法。
案例二参考答案:
(1)广东省电子商务认证中心提供的安全服务中的身份确认、数据加密、完整性、不可否认性分别可以采用哪些技术来保证?
答:电子商务中常采用的安全技术有:数字摘要、数字签名、数字时间戳、数字证书、认证中心以及信息加密等,可以利用数字证书保证身份确认,数字签名保证数据的完整性和不可否认性,采用加密技术对数据加密等。
(2)请阐述信息安全在电子商务中的地位和作用。
答:在当今的信息时代,必须保护对其发展壮大至关重要的信息资产,另一方面,这些资产也暴露在越来越多的威胁中,毫无疑问,保护信息的私密性、完整性、真实性和可靠性的需求已经成为企业和消费者的最优先的需求之一。由于入侵、破坏企业IT系统的事件每天都在发生,加上Internet危险地带的认知不断加强,对信息安全的需求前所未有地高涨起来。安全漏洞会大大降低公司的市场价值,甚至威胁企业的生存。即使最小的漏洞也能将
公司的名誉、客户的隐私信息和知识产权置于危险之中。可以看到,各种各样的安全问题成为了制约电子商务发展的重要因素。因此,信息安全在电子商务中占有着及其重要地位。
(3)有人说安全是“三分技术、七分管理”,请谈谈你的看法。
答:保障信息安全无疑要靠一定的安全技术手段,但是也应该看到许多的安全漏洞是由于疏于管理造成的。在使用先进的安全技术的条件下,组织还要是建立完善的企业安全制度,包括安全策略的制定、全员参与安全培训、安全组织的建设、建立并执行严格的安全制度和文档等,并且对各种安全设备的综合统一管理,提升安全管理效率。
论述题(每小题20分,共40分)
1.分析技术管理在保障电子商务安全运作中的作用。
网络无处不在,但我们也许没有意识到我们很多时候点击的是一个易窥视和易打击的“玻璃网”。按信息安全专家、中国科学院研究员许榕生的话说,我们的网络建得很多很快,但由于缺乏自主技术支撑,CPU芯片、操作系统和数据库、网关软件大多依赖进口,使我国
计算机网络的安全性能大大降低。
但技术问题还不是最终的问题。笔者注意到,在这次由中国信息协会信息安全专业委员会主办的“十一五”信息安全发展趋势高峰论坛上,专家提出,“信息安全系统是三分技术,七分管理。”有数据显示,超过85%的安全威胁来自内部,内部人员或者内外勾结造成的泄密损失是黑客所造成损失的16倍,病毒所造成损失的12倍,而且呈不断上升的趋势。
信息安全关系到国家发展战略。在全球信息化大趋势下,各国政府对网络与信息安全问题越来越重视,争相抢占网络信息安全“战略制高点”。比如,美国率先提出“网络信息安全关系国家战略安全”的命题,加大对网络信息安全的投入;俄罗斯把信息安全作为重振“大国雄风”的突破口;西欧各国和日本、韩国、印度、新加坡等也都从国家发展战略、安全战略和军事战略的高度奋起直追,加强了安全战略的制定,并围绕创建网络安全、打击网络犯罪、保护数据和资源等课题展开探索。这些国家的经验值得我们借鉴。
业内人士指出,多年来,我国一直在为改善网络信息安全管理水平、提高网络信息安全防御能力进行不懈努力,在法律规范和行政管理等方面出台了一系列法律、法规和规章,比如近来相继出台的《中华人民共和国电子签名法》和《电子认证服务管理办法》等法规对
建立一个以电子认证为基础的网络信任体系具有重要意义。但相对于互联网产业的突飞猛进,法律法规建设仍然显得有些滞后。
“建网正如盖楼,完善的技术就像结实的门窗,而好的物业管理才是小区安全最后的屏障。”一位专家如此评论道。
信息安全,要技术,更要管理。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论