(第一章)
一、填空题
1.汇集和传送电子信息,2.电子数据处理,3.UN/EDIFACT,4.自由性、秘密性、完整性、共享性,5.信息流和资金流,6.物理系统和业务逻辑系统,7.企业全面信息化,8.相同密钥,9.DES,10.公钥和私钥,11.RSA,12.保护WEB通信,13.保证传输过程安全,14.金融机构保持账户,15.金融网络。
二、简答题
1.答:(1)电子商务是一种采用先进信息技术的买卖方式;(2)电子商务实质是形成一个虚拟市场的交易场所;(3)电子商务是现代信息技术与商务活动的结合。
2.答:(1)交易主体;(2)交易事务;(3)电子市场;(4)信息流、资金流、物流。
3.答:一是由于网络设计和网络管理方面的原因,无意间机密数据泄露;二是攻击者采用不正当的手段通过网络获得数据。
4.答:一个是保障底层的物理系统,也是计算机网络系统的安全,是电子商务系统基础,保障了人们进行网上交易的虚拟场所的安全。
另一个是保障上层业务逻辑系统的安全,也是保障商务活动网上的顺利开展,是电子商务安全的前提,保障了网上交易过程的安全。
5.答:主要包括四部分:
(1)金融机构:为付款者和收款者保持账户。
(2)付款者和收款者:是电子商务的消费者和商品的提供者。
(3)第三方非银行金融机构:提供支付服务,但不保持账户,根据金融机构保持的账户进行交易处理。
6.答:(1)顾客授权供货商自动从顾客的信用卡、支票或账户扣除支付。
(2)顾客通过电子函件接受到一个帐单无异议,达到规定时间间隔后商家从信用卡、支票或存款账户扣除。
(3)顾客通过电子函件接受到一个帐单、使用电子钱包或smartcard进行支付,然后回复电子函件。
三、名词解释
1.电子商务:指在计算机网络平台上,按照一定标准开展的商务活动。
2.信息安全:指在信息采集、存储、处理、传播和运用过程中,信息的自由性、秘密性、共享性能得到良好保护的一种状态。
四、论述题
1.答:电子商务系统从逻辑上可以分为底层的物理系统和上层的业务逻辑系统,那么电子商务系统的安全措施也相应分成两层,一个保障底层的物理系统,是计算机网络系统的安全;另一个保障上层业务逻辑系统的安全,是保障商务活动在网上的顺利开展。
2.答:当前常用的安全规范包括:
(1)加密算法———对称密钥加密和非对称密钥加密。
(2)报文摘要算法,满足数字签名,把报文与数字签名不可分割地结合在一起。
(3)安全套接层协议,是一种保护WEB通信的工业标准,实现INTERNET上的安全通信服务。
(第二章)
一、填空题
1.查询、订货、交易,2.INTERNET,3.伪装、收集情报,4.植入,5.WWW,6.HTTP,7.浏览器,8.WWW客户程序,9.在页面上潜入的对用户透明的程序,10.它不在JAVA运行程序安全区的安全模式限制下运行,11.JavaScript程序不能自行启动,12.主动搭线窃听,13.信息是否被改动,14.破坏正常的计算机处理或完全拒绝服务,15.货币即时结算和支付结算。
二、问答题
1.答:(1)系统穿透;(2)违反授权原则;(3)植入;(4)通信监视;(5)通信干扰;(6)中断;(7)拒绝服务;(8)否认。
2.答:电子商务系统安全需求可分为交易环境的安全、交易对象的安全性、交易过程的安全性和支付的安全四方面。
3.答:客户机的任务是:
制作一个请求;将请求发给某个服务器;通过对直接图象适当解码,将HTML文档和传递各种文件给相应的观察器,把请求所得结果报告给你。
服务器的任务是:
接受一个请求;检查请求的合法性,包括安全屏蔽;针对请求获取并制作数据;把信息发给提出请求的客户机。
4.答:用户用浏览器可查看一个带有活动内容的WWW页面,小应用程序随页面自动下载开始在用户计算机上启动运行。
5.答:保密性的安全威胁;对完整性的安全威胁;对即需性的安全威胁。
6.答:客户或持卡人:交易中的消费者。
发卡机构:信用卡的发卡金融机构,为消费者建立帐号。
商家:商品或服务提供者。
受卡行:商家的开户行。
支付网关:用来处理商家的支付信息。
7.答:(1)真实性要求;(2)有效性要求;(3)机密性要求;(4)完整性要求。
8.答:支付全过程可分为两个层次:
一层是商业银行为用户提供金融服务的支付与结算,是支付系统的下层服务系统。另一层是中央银行为商业银行提供支付资金清算服务的支付与结算,是支付系统的上层资金清算系统。
上层支付系统是各银行金融机构下层支付系统的互连系统和总枢纽系统,是下层支付系统开展服务的基础和前提。
三、名词解释
1.活动内容:指在页面上嵌入的对用户透明的程序,完成一些动作。
2.即需安全性:也叫拒绝安全威胁,是破坏正常的计算机处理或完全拒绝处理。
四、应用题
1.答:(1)中断,破坏系统,使系统无法正常工作。
(2)窃听,通过搭线等手段造成泄露获取情报。
(3)篡改,修改系统中的内容。
(4)伪造,修改系统中的内容。
2.答:(1)支付承诺;(2)对违法者的惩罚;(3)信用积累制度;(4)身份认证。
(第三章)
一、填空题
1.数据加密,2.数字、字母或特殊符号,3.算法的复杂度和密钥的保密手段,4.对称和非对称密码体制,5.序列密码与分组密码,6.模2相加,7.单向函数,8.大数分解和素数检测,9.概率法和确定法,10.构造法和随机法,11.公开密钥加密,12.子网,13.加密和签名,14.SHTTP和SSL协议,15.网络层,16.防火墙,17.安全策略、防护、检测、响应。
二、简答题
1.答:(1)鉴别服务;(2)访问控制服务;(3)机密性服务;(4)不可批否认性服务。
2.答:加密过程:是用密码序列对明文序列对应分量进行简单模2相加。
解密过程:是用密码序列对密文序列对应分量进行简单模2相加。
3.答:包括四个方面:
一个私钥加密算法(IDEA);一个公钥加密算法(RSA);一个单相散列算法(MD5);一个随机数产生器。
4.答:(1)电子函件的安全对策,主要手段是加密和签名;(2)WWW服务器和客户机的安全对策,主要手段是SHTTP和SSL;(3)应用服务的加密和签名技术,SET形式的标准化;(4)企业网接入Internet的信息安网的安全,主要手段是防火墙。
5.答:(1)确保安装软件中没有已知的弱点;(2)技术上确保系统具有最小穿透风险;(3)管理上确保系统被穿透的风险极小化;(4)对入侵进行检测、审计和追踪。
6.答:(1)数据包过滤防火墙逻辑简单,价格便宜,易与安装,网络性能和透明性好。
缺点:一是非法访问一旦突破即可对主机攻击;二是数据包的源地址、目的地址及IP的端口号都在数据包头,易窃取或假冒。
(2)理服务的特点是将所有跨越防火墙的网络通行链路分两段,并对发现攻击发出报警,基于主机,价格高,但性能好。
(第四章)
一、填空题
1.电子资金汇兑,2.数字化,3.无形化,4.购物流程、支付工具、安全认证、信用体系为一体,5.SHTTP,SSL,6.数字现金、电子信用卡、电子支票系统,7.预先付款,8.延迟付款,9.即时付款,10.买方、销售方和金融中介。
二、简答题
1.答:它是指进行电子商务交易的当事人使用安全的电子支付手段通过网络进行的货币支付或资金转移。
2.答:(1)电子支付在开放网络中以先进的数字流技术完成信息传递;(2)电子支付的工作环境基于一个开放的系统平台;(3)电子支付对软件,硬件要求高;(4)电子支付方便,高效,快捷;(5)支付过程无形化。
3.答:(1)现金支付:简单,便携,但易磨损,易失。
(2)银行的支付:适应于大、小额交易,安全。
(3)信用卡支付:手续简便,使用方便4.答:客户,CA信用体系,商家,客户开户行,商家支付网关,金融专用网。
5.答:(1)支付系统无安全措施的模型。
用户从商家订货,信用卡信息通过电话.传真等非网上传送手段进行传输;也可以在网上传送信用卡信息,但无安全措施。
(2)通过第三方经济人支付的模型。
用户在网上经纪人处开账号,网上经纪人持有用户账号和信用卡号。用户用账号从商家订货,商家用户账号提供给经纪人,经纪人验证商家身份,给用户发电子邮件,要求用户确认购买和支付后,将信用卡信息传给银行,完成支付。
(3)电子现金支付模型。
用户在E—CASH发行银行开设电子现金账号,购买电子现金,然后使用PCE—CASH终端软件从E—CASH银行取出一定数量的E—CASH存在硬盘上,用户从同意接收E—CASH的商家订货,使用电子现金支付,商家与E—CASH发放的银行进行清算,银行将用户购买商品的钱支付给商家。
(4)简单加密支付系统模型。(参考课件)
(5)SET模型。(参考课件)
6.答:第一阶段(购买阶段):用户访问商家服务器,浏览商品。用户选择商品进行电子支付。商家通过开户行进行支付认证。支票有效,商家接收客户的业务。第二阶段(支票存入开户行):
商家将电子支票发给它的开户行。
第三阶段(不同银行间交换支票):商家开户行把电子支票送给交易所兑换。交易所向用户的开户行兑换支票,并把现金给商家开户行。用户的开户行为用户下账。
(第五章)
一、填空题
1.示证者、验证者、攻击者,2.SETCA认证体系和PKICA体系,3.公钥加密和数字签名服务,4.BtoC,5.数字证书,6.客户身份和密钥所有权,7.服务器的身份和公钥,8.CA身份和CA的签名密钥,9.证书数据和发行证书CA的信息,10.登记服务名RS、登记管理机构RA和证书管理机构CA。
二、简答题
1.答:(1)消息认证本身不提供时间性,而实体一般是实时。
