【真题+答案】2024年10月自考00997电子商务安全导论试题

机密★启用前

2024年10月高等教育自学考试全国统一考试

电子商务安全导论

(课程代码00997)

注意事项:
1.本试卷分为两部分，第一部分为选择题，第二部分为非选择题。
2.应考者必须按试题顺序在答题卡(纸)指定位置上作答，答在试卷上无效。
3.涂写部分、画图部分必须使用2B铅笔，书写部分必须使用黑色字迹签字笔。

第一部分选择题

一、单项选择题:本大题共 20 小题，每小题1分，共20分。在每小题列出的备选项中只有一项是最符合题目要求的，请将其选出。
1.企业与消费者之间的电子商务简称为
A.B-B
B.B-C
C.B-G
D.B-E

2.1993 年美国国防部计算机安全局出版的《可信任的计算机安全评估标准》被称为
A.白皮书
B.蓝皮书
C.橘黄皮书
D.红黄皮书

3.DES 加密算法有效密钥信息长度是
A.64位
B.56位
C.8位
D.16位

4.RSA 加密算法是
A.单密钥加密体制
B.双密钥加密体制
C.三密钥加密体制
D.四密钥加密体制

5.防雷接地采用同大楼共用接地体时保护地线的接地电阻值不应大于
A.1Ω
B.2Ω
C.3Ω
D.4Ω

6.不间断电源简称为
A. UDP
B. DPU
C. UPS
D. DSP

7.设备间室温应保持在
A.15℃~25℃之间
B.5℃~25℃之间
C.10℃~20℃之间
D.10℃~25℃之间

8.非军事化区简称
A. LAN
B.DMZ
C.DZM
D. FTP

9.包过滤型防火墙会检查进出防火墙的包
A.标头内容
B.标尾内容
C.数据内容
D.网关内容

10.虚拟专用网简称为
A. DDN
B.VPN
C. PNN
D.ISDN

11.VPN专用隧道技术完成的是
A.端对端的连接
B.点对点的连接
C.网对网的连接
D.层对层的连接

12.GRE 是
A.第1层隧道协议
B.第2层隧道协议
C.第3层隧道协议
D.第4层隧道协议

13.DAC的含义是
A.随机式接入控制
B.强制式接入控制
C.自主式接入控制
D.轮询式接入控制

14.身份证明系统的质量指标不包括
A.拒绝率
B.虚报率
C.漏报率
D.接入率

15.重复输入口令一般限制为
A.3~6 次
B.4~8 次
C.6-8次
D.5-10次

16.通行字最小长度至少为
A.6-8字节以上
B.8~20 字节以上
C.8~12 字节以上
D.4~8 字节以上

17.在CA 证书整个管理域内最具权威的证书是
A.中央CA 证书
B.服务器 CA 证书
C.客户 CA 证书
D.根 CA 证书

18.PKI中 PAA 的含义是
A.证书申请机构
B.政策审批机构
C.证书吊销机构
D.证书验证机构

19.SSL协议保证了
A.浏览器到服务器的会话安全
B.浏览器到浏览器的会话安全
C.服务器到服务器的会话安全
D.浏览器到客户机的会话安全

20.CFCA 认证体系总体结构为
A.3层CA
B.4层CA
C.5层CA
D.6层CA

二、多项选择题:本大题共5小题，每小题2分，共10分。在每小题列出的备选项中至少有两项是符合题目要求的，请将其选出，错选、多选或少选均无分。
21.完整性是指输入和传输过程中，要求保证数据一致性，防止数据被非授权
A.建立
B.修改
C.破坏
D.接入
E.传输

22.IDEA 加密算法采用的基本运算包括
A.异或运算
B.与非运算
C.模加运算
D.模乘运算
E.同或运算

23.在信息摘要上应用较多的散列函数有
A.MD.4
B.MD-5
C.IP
D.SHA
E.TCP

24.散列函数也称为
A.哈希函数
B.杂凑函数
C.哈希值
D.散列值
E.认证函数

25.常见的复合型病毒有
A.Flip 病毒
B.新世纪病毒
C.One-half病毒
D.比特币病毒
E.维基病毒

第二部分非选择题

三、填空题:本大题共5小题，每小题2分，共10分。
26.电子商务系统的安全问题除了计算机系统的隐患还包涵了______安全和______安全等一些自身独有的安全问题。
27.单钥密码体制又称为______密钥体制或______密钥体制。
28.两类典型密钥自动分配途径是______分配方案和______分配方案。
29.计算机病毒按照睿生方式可以分为______和______复合型病毒。
30.证书的更新包括证书的______和证书的______两种情况。

四、名词解释题:本大题共5小题，每小题3分，共15分。
31.拒绝服务
32.数据完整性
33.计算机病毒
34.PKI
35.密钥管理

五、简答题:本大题共6小题，每小题5分，共30分。
36.电子商务安全的中心内容有哪些?
37.数字签名应满足哪些要求?
38.计算机病毒具有哪些特征?
39.VPN 在接入方式上有哪几种解决方案?
40.接入控制策略有哪几种?
41.公钥证书有哪些类型?

六、论述题:本大题共1小题，每小题15 分，共15分。
42.论述 SSL体系结构。

2024 年 10 月高等教育自学考试全国统一命题考试

00997 电子商务安全导论 参考答案

一、单项选择题
1.B 2.C 3.B 4.B 5.A
6.C 7.D 8.B 9.A 10.B

四、名词解释题
31.拒绝服务
拒绝服务(DenialofService,DoS)是一种网络攻击手段，通过向目标系统发送大量无效或高负载请求，耗尽目标的计算资源(如带宽、处理能力或内存)导致其无法为合法用户提供正常服务。分布式拒绝服务(DDoS)是其常见变种，利用多台设备协同攻击。

32.数据完整性
数据完整性指数据在储、传输或处理过程中保持准确、一致且未被篡改的特性。通常通过哈希算法(如 SHA-256)、数字签名或校验和等技术手段确保数据未被非法修改、删除或破坏。

33.计算机病毒
计算机病毒是一种恶意程序，具有自我复制能力，通过感染宿主文件或系统传播，执行破坏性操作(如删除文件、窃取信息或占用资源)。其传播途径包括文件下载、电子邮件附件或可移动存储介质。

34.PKI
PKl(PublicKeyInfrastructure，公钥基础设施)是基于非对称加密技术的安全框架，用于管理数字证书与公钥加密。核心组件包括证书颁发机构(CA)、注册机构(RA)、数字证书及密钥管理系统，支持身份认证、数据加密和数字签名等功能，广泛应用于 HTTPS、电子签名等场景。

35.密钥管理
密钥管理是对加密密钥全生命周期的安全管理，包括生成、存储、分发、更新、备份、撤销及销毁等环节。需确保密钥机密性与完整性，防止泄露或篡改，常见方法包括密钥分层、硬件安全模块 (HSM)及标准化协议(如 PKCS#11)。

五、简答题:本大题共6小题，每坐题5分，共30分。
36.电子商务安全的中心内容有哪些?
(1)保密性:确保信息在传输和存储过程中不被窃取.
(2)完整性:防止数据在传输过程中被篡改或破坏。
(3)可用性:保障授权用户能正常访问系统和服务,
(4)认证性:确认交易双方身份的真实性。
(5)不可否认性:防止交易参与者事后否认其行为。

37.数字签名应满足哪些要求?
(1)不可伪造:只有签名者能生成有效签名。
(2)不可否认:签名者无法否认自己的签名行为。
(3)可验证性:接收方能验证签名的真实性。
(4)数据完整性:签名需保证消息未被篡改
(5)时效性:签名需与特定时间或事件绑定。

38.计算机病毒具有哪些特征?
(1)传染性:能自我复制并感染其他文件或系统。
(2)潜伏性:可长期隐藏而不触发破坏行为。
(3)可触发性:在特定条件下激活破坏机制。
(4)破坏性:可能导致数据丢失、系统崩溃等后果。
(5)隐蔽性:病毒代码通常伪装或加密以逃避检测。

39.VPN 在接入方式上有哪几种解决方案?
(1)远程访问 VPN:用户通过客户端接入企业内网(如 SSL VPN)。
(2)站点到站点 VPN:连接两个固定网络(如 IPSec VPN)。
(3)内联网 VPN:同一组织的多个分支机构互联。
(4)外联网 VPN:不同组织间的安全互联(如合作伙伴)。

40.接入控制策略有哪几种?
(1)自主访问控制(DAC):资源所有者自主分配权限
(2)强制访问控制(MAC):基于安全等级强制管理权限。
(3)基于角色的访问控制(RBAC):按用户角色分配权限。
(4)基于属性的访问控制(ABAC):根据动态属性(如时间、位置)授权。

41.公钥证书有哪些类型?
(1)SSL/TLS 证书:用于网站加密和身份验证(分 DV、OV、EV)。
(2)代码签名证书:验证软件开发者身份及代码完整性。
(3)电子邮件证书:保障邮件加密与签名(如 S/MIME)
(4)客户端证书:验证用户身份(如银行U盾)。
(5广根证书与中间证书:CA 机构的信任链证书。

六、论述题:本大题共1小题，每小题15分，共15分。
42.SL(Secure Sockets Layer)是一种分层协议，旨在为网络通信提供保密性、身份认证和数据完整性保障。其体系结构分为记录协议层和握手协议层两部分，结合多种子协议协同工作，确保通信安全。以下是详细论述:
一、分层协议结构
1.记录协议层(SSL Record Protocol Layer)
位于 SSL体系结构的底层，直接建立在可靠传输协议(如 TCP)之上，负责对高层协议数据的封装、加密和完整性校验。具体功能包括:
数据分块:将应用层数据分割为可管理的块。
压缩与加密:可选压缩后使用对称加密算法。(如 AES)加密数据。
完整性校验:通过 MAC(消息认证码，算法生成校验值，防止数据改。
添加协议头:封装内容类型、版本、压缩长度等信息，形成最终传输单元。
2.握手协议层(SSL Handshake Protocol Layer)
位于记录协议层之上，管理通信前的安全参数协商，包含以下子协议:
握手协议(Handshake Protocol):负责身份认证、加密算法协商、密钥交换(如 RSA或 Diffie-Hellman)。
修改密文规约协议(Change Cipher Spec Protocol):通过单字节消息通知对方切换加密方式。
吿警协议(Alert Protocol):传输错误或警吿信息(如证书失效、连接终止)。
应用数据协议(Application Data eroto):承载实际应用层数据(如 HTTP)。

二、会话与连接机制
1.会话(Session)
会话是客户端与服务器之间的长期关联，保存加密算法、密钥参数等安全配置。
通过握手协议创建，支持多个连接复用同一会话参数，避免重复协商的开销。
2.连接(Connection)
连接是临时的点对点传输通道，基于会话参数建立。
每个连接独立生成会话密钥(Session Key)，确保前向安全性。

三、核心安全特性
1.保密性
使用对称加密算法(如 AES)加密传输数据，防止窃听。
密钥生成:通过握手协议协商预备主密钥(Pre-Master Secret)，并派生出主密钥(Master Secret)和会话密钥。
2.身份认证
服务器认证:客户端通过验证服务器证书(由CA颁发)确认其身份.
客户端认证(可选):服务器可要求客户端提供证书或用户名/密码。
3.数据完整性
通过 MAC算法(如 SHA-256)生成哈希值，确保数据未被篡改。

四、协议工作流程示例
1.握手阶段
客户端发送“ClientHello”消息，包含支持的加密套件和随机数,
服务器响应“ServerHello”，选择加密算法并发送证书。
客户端生成预备主密钥，用服务器公钥加密后传输。
双方基于预备主密钥生成主密钥和会话密钥，完成握手。
2.数据传输阶段
应用数据通过记录协议加密后传输。
若检测到异常(如密钥泄露)，通过告警协议终止连接。

五、SSL 与 TLS 的关系
1.SSL的标准化版本为TLS(Transport Layer Security)，两者核心机制相似，但 TLS 优化了算法(如支持更安全的密码套件)并修复了 SSL漏洞(如 POODLE 攻击)。目前主流的 TLS 1.2/1.3 已逐步取代 SSL 3.0。

2.总结SSL体系结构通过分层设计实现了灵活性与安全性的平衡:记录协议层保障数据传输安全，握手协议层管理密钥与身份认证，结合会话/连接机制优化资源复用。其核心价值汽在于为 HTTP、FTP 等应用层协议提供透明的安全通道，成为现代互联网安全通信的基石。
(答案仅供参考，以官版评分标准为准。)