自考12255《移动商务安全》复习资料

移动商务安全》复习资料第一章概述一、了解：根据电子商务的5个发展阶段来说，移动商务出现于电子商务第几个发展阶段？第四阶段：全程电子商务阶段下面列举的移动终端特点中，哪一项不是促进移动商务开展的因素？移动终端体积小，便于携带，但需要经常充电移动商务是在电子商务的基础上发展的，下列哪项不是二者需要共同面对的主要问题.网络带宽有限，影响实现交易的速度移动商务是能够为人们生活带来变革的业务，与传统电子商务相比，它具有明显优势。下列哪项不是移动商务的优势？能够进行在线支付业务在无线世界里，人们对于进行商务活动安全性的考虑比在有线环境中要多，因此，人们也更加关注移动商务的安全。下列对移动商务安全的内容理解有误的是商务交易流程、贸易规范和使用原则是移动商务安全技术、协议、标准创建的内在环境，二者是相辅相成的下列对移动商务安全问题的理解，哪项是错误的？移动商务作为新兴的商务形式，本身具有移动性等新特色，因此电子商务的大部分安全防范措施不再适合移动商务环境中移动设备终端是开展移动商务的重要参与者之一，但移动终端本身具有一些局限性，这些局限性也是目前阻碍移动商务广泛开展的重要原因之一。这种局限性主要表现在移动设备需通过接入无线通络才能进一步开展移动商务活动，但无线网络带宽小而且延时较长下列哪项是当前移动商务最具有特色的服务移动定位服务微信是腾讯公司于2011年初推出的一款通过网络快速发送语音短信、视频、图片、文字，支持多人群聊的手机聊天软件。其中一项特色功能就是微信将会根据用户的地理位置找到附近同样开启这项功能的人，使用户轻松找到身边正在使用微信的他们。请问这是移动商务的哪方面应用移动定位关于移动商务的安全，下列描述有误的一项是在未经允许的情况下，支付系统能够提前接收款项，再进行审核以下不属于攻击者进行信息篡改攻击的目的的是将合法用户的信息据为己用第二章移动电子商务的安全协议和标准在无线adhoc应用当中，敌手可以基于假设的信任关系入侵协作的节点，主要是因为网络决策是分散的，网络协议依赖于所有参与者之间的协作对移动商务进行安全保障，首要措施是在高层管理要引起对移动商务安全的足够重视移动商务的安全需要在企业和企业之间、政府和企业之间、企业和消费者之间、政府和政府之间明确各自需要遵守的法律义务和责任。其中没有涉及的法律要素是.有关移动终端知识产权保护的法律移动商务是目前和今后移动应用的重要内容，下列对移动商务理解有误的是将移动商务定义为通过移动通讯网络进行数据传输并且利用移动终端开展各种商业经营活动的一种完全创新、独立于电子商务的商务模式下面例举的内容分别属于移动商务系统必须遵循的哪些安全原则：对于每一个用户，应该都授予一个唯一的用户ID、识别名称等对其身份进行标识；通过授权等安全机制来保证有合适权限的用户才能访问相应的数据、应用和系统；(3)通过一些加密手段来保证数据在交易过程中不得被未经授权的人员所正确读取(1)身份识别；(2)接入控制；(3)数据保密性下面例举的内容分别属于移动商务系统必须遵循的哪些安全原则：(1)系统应该能够通过密码、标识或数字认证等来对用户的身标识进行认证；利用信息分类和校验等手段保证数据在整个校验过程中没有被修改；通过数字签名等手段来保证交易各参与方对整个交易过程中的指令和活动部得抵赖1）身份认证；（2）数据完整性；（3）不可否认性下列哪项不属于移动商务法律主要涉及的因素有关政企、企业和消费者、政府等之间权力与责任划分的法律按加密密钥与解密密钥是否相同划分，可将加密体制划分为对称加密体制和非对称加密体制以下哪一项不在证书数据的组成中？版权信息以下不是数据库加密方法的是信息隐藏保证商业服务不可否认的手段主要是数字签名公钥体制用于大规模电子商务安全的基本要素是公钥证书在双密钥体制的加密和解密过程中要使用公共密钥和个人密钥，它们的作用是公共密钥用于加密，个人密钥用于解密在数字信封中，先用来打开数字信封的是私钥防火墙能够解决的问题包括对进出网络的信息进行过滤实现数据完整性的主要手段的是散列算法充分发挥了DES和RSA两种加密体制的优点，妥善解决了密钥传送过程中的安全问题的技术是数字信封对称密钥密码体制的主要缺点是密钥的分配和管理问题下列选项中，不属于移动商务的主要安全技术的是DNS第三章移动电子商务的安全基础移动用户（或移动办公人员）与远端个人用户，若通过Internet进入企业的局域网，这样必然带来安全上的隐患，因此可以采用VPN技术来消除这一安全隐患。以下关于VPN说法正确的是VPN指的是用户通过公用网络建立的临时的、安全的链接WPKI的优势，使得其将被广泛应用于无线网络中各种安全通信服务领域，下列对WPKI的认识准确的是WPKI能够为用户提供身份认证、访问控制和授权、传输机密性和完整性等服务通过一个WAP网关，用户可以使用各种移动终端访问互联网.GPS网关网上交易的安全性是由认证中心来保证的移动商务的便捷、高效性已经被大众所熟知，安全问题依然是制约移动商务大规模发展的瓶颈。下面哪一项是移动商务安全的核心问题移动支付安全问题移动终端设备容易丢失和被盗，不法分子就会利用存储的数据，可以访问企业内部网络，造成企业商务信息泄露；不法分子还会直接利用移动设备进行交易，造成个人隐私或者商务信息的泄露，导致个人利益的损失。造成上述恶劣影响的核心问题是缺乏对移动设备拥有者的特定用户身份认证机制下列对移动商务环境存在的威胁以及措施理解有误的是即使用户在获取了信息系统的访问权限后，系统中的信息也并不是对所有用户公开的，这就需要采取建立鲁棒的网络电子商务和移动商务所处在的网络环境是有差异的，即无线网络和有线网络具有不同特性。下列对无线网络和有线网络的叙述正确的是有线网络的传输环境是确定的，信号质量是稳定的，而无线网络随着用户的移动其信道特性是变化的下列开展移动商务所处的无线网络环境描述错误的是无线网络能够提供有线网络服务所不具有的基于用户偏好服务在无线网络和有线网络的比较中，下列哪项叙述不正确无线信道资源虽然丰富、但质量较差，对无线频谱和功率的限制使其带宽较大为了保障移动商务的安全，需要各方参与与努力。在管理方面，首先应该进行的内容是在高层管理引起对移动商务安全的足够重视无线通信产品将为人们提供速率高达2Mb/s的宽带多媒体业务，支持高质量的话音、分组数据、多媒体业务和多用户速率通信，将手机变为集语音、图像、数据传输等诸多应用于一体的未来通信终端。上述内容描述的是哪个移动商务系统的网络平台特色第三代（3G）移动通信系统平台我们常常会从网上下载一些浏览器或者应用程序软件，安装在移动终端设备上，这样移动设备接入网络后，就能通过运行浏览器或者应用程序享受移动服务了。那么，这些安装在移动终端设备上的浏览器以及应用程序软件，属于支持基本的移动商务服务正常工作的哪个构造模块客户端软件目前，市场上出现了一种“智能手机卡”，通过此卡，可以听到别人手机谈话的内容，并且能够进行短信拦截和GPS卫星定位系统。这属于哪种安全威胁通信内容容易被窃听当你到达陌生的环境，想了解附近的餐厅、宾馆等信息时，手机可以自动根据你目前的位置提供相应的信息服务，但因此你的位置信息被泄露。这是由移动商务的哪方面安全威胁造成的移动定位的隐私威胁移动支付作为移动商务的重要安全基础之一，对移动商务的推广与应用起着关键性的作用。相比网上支付，移动支付不具有以下哪项优势移动支付的金融体制比网上支付环境要完善下列对移动支付的理解准确的是在推广移动支付业务时，需注意引导消费者建立新的消费观念第四章信誉和信任模型有关移动微支付系统的叙述有误的是 移动微支付采用公钥安全系统小张利用手机从网上买了一个电吹风，但收到货才发现，实物与当时卖家对产品的描述不符合，当他再上网搜寻那家店时，发现站点已经被关闭。这属于移动商务的哪个安全威胁商家欺诈行为在考虑提高移动商务系统的安全性时，必须同时保证网络安全的四大要素。下列哪项内容不属于网络安全的四大要素信息传输的真实性在开展移动商务中，我们常需要输入一些登录账号，如网络登录账号、数据库登录账号、电子邮件账号等来确认身份，可以说这是安全开展移动商务的第一步，因此用户账号的安全性非常重要，下列哪项不能保障用户账号的保密性在系统中保存用户账号，下次登录时不用重复输入SET标准是一个能保证通过开放网络(包括Internet)进行安全资金支付的技术标准，是为了在Internet上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。它由哪两大信用卡组织联合开发的 Visa和Master-Card下列对SSL和SET描述错误的是SET标准只支持B2B的电子商务模式，而不支持B2C模式，这限制了SET的应用范围下面有关SSL安全协议的说法，不正确的一项是SSL通常用私有密钥加密系统对信息进行加密下列哪项协议是国际上最早应用于电子商务的一种网络安全协议SSL安全协议WPKI目前广泛应用于移动电子商务环境的加密体系中，一个完整的WPKI系统必须具有哪5部分客户端、注册机构、认证机构、证书库、应用接口无线公开密钥体系WPKI(WirelessPublicKeyInfrastrcture)是在有线网络的公开密钥体系PKI(PublicKeyInfrastructure)上发展而来的，二者最大的区别是证书的验证和加密算法对WPKI(WirelessPublicKeyInfrastrcture)技术的描述正确的一项是WPKI系统采用压缩的X.509数字证书椭圆曲线密码体制作为一种公钥密码体制，数学理论非常深奥和复杂，但其占用计算资源较小等明显特点，已成为移动商务环境中加密问题的重要解决方案之一。下列对椭圆曲线密码体制理解错误的一项是椭圆曲线密码体制利用的是大整数分解的困难问题下列实现移动商务身份认证的技术中，能达到的安全级别最高的技术是手机指纹识别技术下列对数字证书原理的叙述正确的是当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密下列对保障移动商务安全采取的技术，理解有误的是密码技术可以保证交易过程中的数据安全，因此将电子商务中应用的密码技术平行应用到移动商务中，可以很好地满足移动商务的安全要求下列对保障移动商务安全采取的技术，理解有误的是为了克服SET安全协议的缺点，两大信用卡组织Visa和Master-Card联合开发了SSL电子商务交易安全协议防范网络攻击最常用的方法就是防火墙，下列防火墙技术叙述有误的是基于ASIC架构的防火墙技术由于采用了软件转发模式、多总线技术、数据层面与控制层面分离等技术，因此解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证下列对移动数据库的理解有误的是移动数据库是能够支持移动式计算环境的数据库，其数据在物理上集中而逻辑上分散在无线网络和有线网络的比较中，下列哪项叙述不正确无线网络和有线网络都面临着信息被非法截取、未授权信息服务、网络迟延等安全问题电子商务和移动商务所处在的网络环境是有差异的，即无线网络和有线网络具有不同特性。下列对无线网络和有线网络的叙述有误的是有线网络同无线网络一样，都存在着网络的鲁棒性问题移动通信网络的不稳定也会给移动商务的顺利进行带来阻碍，甚至导致出现安全问题。下列属于移动通信网络内部干扰的是同频干扰IEEE802.1x协议可以更准确的描述为一种基于端口的网络接入控制协议IEEE802.1X协议是一种基于端口的网络接入控制协议，下列选项中对IEEE802.1x协议理解有误的一项是IEEE802.1X协议提供具体的认证机制，来实现用户认证和密钥分发为了保证无线网络中的节点即使出现故障，依然能够保证无线通信的正常进行，可以采取的安全措施是建立鲁棒的网络破坏者通过发射较大功率的同频信号干扰无线信道的正常工作，为了解决这一问题，下列哪项措施不具有针对性采用基于端口的接入控制协议入侵检测系统的另一个问题是如何分析原始数据，从而得出关于入侵行为的报警。现在比较成熟的主要检测方法是异常检测和误用检测两种类型。下列相关叙述中有误的是误用检测的检测准确度较高，检测结果有明确的参照，可以检测未知的攻击类型分布式无线入侵检测系统满足了大规模高速网络的需求，一般要使用代理技术来实现。下列对分布式无线入侵检测系统的结构理解有误的是信息获取和预警层主要包含HSensor和NSensor，两者分析的数据来源不同：HSensor是监听网络环境中的数据通讯，而NSensor主要是指从本机的系统中获取信息源第五章入侵检测和攻击分析入侵检测系统的另一个问题是如何分析原始数据，从而得出关于入侵行为的报警。下列关于入侵检测技术叙述有误的是入侵检测系统利用系统当前的配置信息、与入侵检测技术有关的长期信息、网络中的通信信息和被保护系统的审计信息进行检测分析网络接入控制也是保障移动商务通信安全的一种方法，下列对网络接入控制技术理解有误的是802.1X标准定义了增强分布式协调访问（EDCA）机制，通过设置不同的优先级，保障高优先级实时性业务QoS的需要目前，网络接入控制存在着基于硬件的网络接入控制、基于代理的网络接入控制、基于无代理的网络接入控制和动态网络接入控制这四种方案。下列有关这些方案的叙述有误的是基于硬件的网络接入控制方案对于地理上分散的或者高度分散的网络是相对理想的方案目前，网络接入控制存在着基于硬件的网络接入控制、基于代理的网络接入控制、基于无代理的网络接入控制和动态网络接入控制这四种方案。下列有关这些方案的叙述正确的是无代理的网络接入控制的常见方法包括在允许端点设备进入网络之前对端点设备进行安全漏洞扫描或者政策评估扫描，或者同时进行这两项扫描在防火墙技术中，我们所说的外网通常指的是非受信网络下列对电子机票预订系统的安全措施理解错误的是在手机支付渠道上使用与客户账户、卡密码相同的密码，方便客户的保存与使用第六章基于策略的访问控制二、识记：78．TDMA是指时分多址通信技术。79．无线设备之间传递一小段文字或数字数据的服务是短信息或SMS服务。80．PKI的中文意思是公钥基础设施。81．WPKI系统的核心，作为数字证书签发机关的是CA。82．一种低成本的近距离无线连接开放性全球规范技术是蓝牙技术。83．主动攻击者将窃听到的有效信息经过一段时间后再传给信息的接受者，这就是重传攻击。84．恶意实体通过对不同实体提供不同效果的服务来削弱对好节点评价的攻击是偏见攻击。85．信任的表示可以分为布尔值、离散值和连续值三种形式。86．需要两个密钥：公开密钥和私有密钥的是非对称加密算法。87．当前的手机来电过滤，主要是指黑白名单技术。88．CDMA是指码分多址通信技术。89．WAP的中文意思是无线应用协议。90．PKI提供公钥加密和数字签名服务的目的是为了管理密钥和证书。91.PKI和WPKI最主要的区别在于证书的验证和加密算法。92．蓝牙技术中唯一可信的用于生成密钥数据的是PIN码。电子商务中信誉系统体系结构的抽象描述是指信誉模型。多个恶意实体联合起来给信任和信誉系统进行攻击的行为叫做联合攻击。从检测方法上，IDS分为基于知识的技术和基于行为的技术。访问控制在准则中被分为两类：自主访问控制和强制访问控制。GPRS是通用分组无线业务的简称。4G的中文意思是第四代移动通信系统。_第七章基于XML的信任沟通模型RSA加密体制是采用公钥和私钥二个不同的密钥。WAP在简化TLS协议的基础上提出了WTLS协议。当攻击者截获一个合法用户身份信息并用来假冒该合法用户的身份入网，这就是所谓的身份假冒攻击。102．通过直接提供错误推荐从而影响正确的信誉值或信任度的是错误推荐攻击。103．一种通过节点非法宣称多个身份而实现攻击的是Sybil攻击。104．Bluetooth是指蓝牙通信技术。105．IVR的中文意思是互动式语音应答。106．WPKI将PKI的安全机制引入到无线网络环境中。107．基于现有Internet标准定制的，公开的全球无线协议标准示WAP协议。108．主动攻击者对窃听到的信息进行修改之后再将信息传给原本的接受者，这就是信息篡改。109．恶意实体通过行为交替好坏，希望在保持高信任度的前提下实施的攻击是叛国者攻击。110．实体通过有意的离开再加入系统来消除以前身份的坏的信誉度的攻击行为是洗白攻击或NEWCOMER攻击。111.数据加密标准DES是目前广泛采用的对称加密方式之一。112．神经网络是一种并行分布处理网络。多播是一种一点对多点的数据传输方式。SET协议是一个能保证通过开放网络进行安全资金支付的技术标准，，是为了在开放网络上进行在线交易时保证信用卡支付的安全而设立的一个开放的规范。AdHoc网络AdHoc网络是一种没有有线基础设施支持的移动网络，网络中的节点均由移动主机构成。116.无线接入控制就是在有限系统容量的基础上，以不牺牲已有连接的服务质量为前提，尽可能多的对新到达的连接请求予以接纳的决策问题。117.信任协商是建立信任的一种有效途径，信任协商允许协商双方在没有预先存在的关系的情况下也能安全的交互敏感资源。第八章基于代理模型的移动电子商务安全问题118．LGT协议是一个基于分组封装技术的小规模多播路由协议，LGT协议以单播路由协议为基础，在其上构建了一个多播路由树。119．SSL协议SSL协议即安全套接层协议最初是由网景公司研究制定的安全协议，该协议向基于TCP/IP的客户服务器应用程序提供了客户端和服务器的鉴别、数据完整性及信息机密性等安全措施。120．加密就是把数据信息即明文转换为不可辨识的形式即密文的过程，目的是使不应了解该数据信息的人无法知道和识别。121．手机病毒手机病毒原理与计算机病毒一样，以手机为感染对象，以手机网络和计算机网络为平台，通过发送病毒短信等形式对手机进行攻击，从而造成手机状态异常的一种新型病毒。122．X-TNL语言X-TNL语言是一种基于XML的语言，X-TNL语言详细描述了信任-X凭证和X-TNL揭露策略。123．LAM协议是一个建立在临时序列路由算法TORA上的多播协议，采用了基于核心树算法CBT的思想，为每个多播组建立了一个以核心节点为根的共享多播路由树。124．WAPWAP是无线应用协议之意。它由一系列协议组成，用来标准化无线通信设备，客观上已经成为移动终端上网的标准。125．信任模型信任模型是电子商务活动中建立和管理信任关系的框架，是用来对交易实体的身份及其相关数据进行验证的机制。126．访问控制是在身份认证的基础上，依据授权对提出的资源访问请求加以控制。。127．移动代理是分布式计算技术和代理技术发展的综合，它是一种具有移动特性的智能代理。128．移动支付是指借助移动终端：手机、掌上电脑、笔记本电脑等现代通信工具，通过移动支付平台移动商务主体在动态中完成的一种支付行为。129．WPKI就是无线公开密钥体系，它是将互联网电子商务中PKI安全机制引入到无线网络环境中的一套遵循既定标准的密钥及证书管理平台体系。130．对称加密技术又称为私钥加密技术，加密密钥能从解密密钥中推算出来，反之亦然，大多数对称算法中，加解密的密钥是相同的，这些算法也称为秘密密钥算法或单密钥算法。131．移动中间件技术是伴随着网络技术、通信技术、嵌入式操作系统和中间件技术的发展和融合而出现的新兴技术，是当前移动数据业务、3/4G业务以及广大智能终端增值业务的关键共性技术。132．ACL是指Agent通信语言，是移动代理通信的基础，是实现MA与MA执行环境以及MA与MA之间通信的高级方式。133．无线欺诈无线欺诈就是盗窃行为即盗取某种价值，当个人不付服务费便进行通信时，他就是对服务提供商进行了盗窃。第九章安全多播移动电子商务的问题和挑战-k晋碩三、掌握：134．移动电子商务系统必须满足哪些安全需求1）身份标识2）身份认证3） 接入控制4） 数据完整性5） 不可否认性6）数据保密性135．移动电子商务的安全原则1）授权2）完整性3）保密性4）可用性5）可靠性6）可扩展性136．手机网络防火墙的优缺点优点：1）采用包过滤技术2）具备实时监控能力3）日志功能方便用户查询网络流量及网络的状态缺点：1）功能单一，只可阻断网络封包2）包过滤的过程有可能造成延迟3）日志的存在137．信任关系的性质1）信任关系总是存在于两个主机之间2）主观性3）非对称性138．多播和单播的区别1）为了让网络中的多个节点可以同时接受到相同的数据，如果采用单播的方式，那么源节点必须不断产生多个相同的数据来进行发送2）而对于一个节点来说，同时不停的产生一个数据包也是一个很大的负担3）如果采用多播，源节点只需要发送一个数据包就可以到达每个所有的组成员节点上139．SSL协议的功能1） 认证用户和服务器2） 加密数据以隐藏被传送的数据3） 维护数据的完整性140．简述无线网络安全隐患有哪些1）网络本身的威胁2）无线AdHoc应用的威胁3）网络漫游的威胁4）物理安全第十章支付系统和欺诈管理141．手机病毒攻击方式1）攻击手机本身2） 攻击WAP网关3） 攻击WAP服务器142.信任-X的协商过程1）初始阶段2）策略评估阶段3）凭证交换阶段143.多播和广播的区别1） 为了让网络中的多个节点可以同时接受到相同的数据，广播采用的方式是把数据传送到网内每个节点上，不管这个节点是否对数据感兴趣。这样就造成了带宽和节点资源的浪费。2） 而多播有一套对组员和组之间关系维护的机制，可以明确知道在某个子网中，是否有节点对这类多播数据感兴趣3）如果没有就不会把数据进行转发，并会通知上游路由器不要再转发这类数据到下游路由器上WAP的特点1） WAP是公开的全球无线协议标准，并且是基于现有的Internet标准定制的2） WAP提供了一套开放、统一的技术平台3） 工作、娱乐、生活等方面的优势信誉模型与信任模型的关系1）首先，信誉模型一般是建立在信任模型的基础之上，每一个信誉模型都会对应一个信任模型。2）其次，某些信任模型可以进一步演化成信誉模型。3）最后，信誉模型具有独立性，本身具有鲜明特点。146．访问控制的系统组成1）主体：主体是发出访问操作、存取要求的发起者，通常指用户或用户的某个进程。2）客体：客体是被调用的程序或欲存取的数据。3）安全访问策略：安全访问策略是一套规则，用以确定一个主体是否对客体拥有访问能力。147．移动Agent系统的组成1）移动，通信2）程序设计语言3）容错4）管理5）协作6）安全性148．移动支付方式的分类1）金融机构发行的卡支付2）移动运营商运作的手机支付3）第三方提供的卡支付4）第三方提供的手机支付149．一个完整WPKI系统的基本构成1） 证书签发机关2） 数字证书库3） 密钥备份及恢复系统4） 证书作废系统5） 应用接口150．创建信任模型需解决的关键问题1）信任定义2）信任的属性3）对待非信任4）信任表示和信任的语义5）信任关系的变化6）信任数据存储与管理151．现有访问控制模型的分类1）自主访问控制DAC2）强制访问控制MAC3）基于角色的访问控制RBAC152．移动Agent系统的安全性涉及哪几个方面1）移动Agent之间通信的安全保护2）保护执行环境免受潜在的恶意Agent的损害3）保护移动Agent免受潜在的恶意服务器和环境的攻击153．小额支付的特点1）交易额较小2）交易流程简便3）安全性较好4）效率较高5）应用相关性较弱6）全程可控性第十一章移动数字签名四、熟练掌握：154．移动商务系统安全体系结构的组成及各层次关系五个部分组成，从下到上分别是：1） 移动承载层2） 加密技术层安全认证层4) 安全协议层应用系统层各层次关系：下层是上层的基础，为上层提供技术支持上层是下层的扩展与递进各层次之间相互依赖、相互