试题三（15 分）

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。

【说明】

近年来，随着信息化水平不断提高，以电子商务模式提供的网络服务和交易也得到了飞速的发展和应用，网上银行、网络线上支付|、手机购物、支付宝和微信红包等得到了普遍的应用，为民众购物、消费提供了极大的便利。

  国内某大型民营企业，提出在其主导的某项电子商务项目建设实施过程中实行监理制。建设的主要内容以电子商务平台的建设、信息交互和信息安全为基础，为企业产品交易提供电子商务服务，并为民众提供相应商品采购的网络交易服务。

  在该项目建设过程中，发生如下事件：

【事件1】

甲方在项目开始前，准备先行聘请监理单位。在监理招标实施前，召集相关监理单位参与资质预审，除提供相应资质证书外，还要求监理单位陈述电子商务工程的特点，结合特点分析，进一步陈述监理的工作应对措施等。监理单位随即开始做有关准备以便于做好答辩工作。

【事件2】

为了加强对客户信息的保护，也是为了保证系统的安全，在实施过程中，甲方要求乙方对VIP客户实施强化身份认证管理，通过颁发数字证书系统，强化漏洞扫描系统、防火墙系统和防病毒系统等一系列措施，“加固”系统信息安全体系建设。承建单位提出总体技术方案，甲方要求监理给予审核并提出意见。

【问题1】(5分)

在事件1中，若监理单位委托你作为代表向甲方陈述意见，你认为电子商务项目的建设特点有哪些？

【问题2】(6分)

根据事件2，请简要分析并论述电子商务系统在信息安全方面可能存在的问题或风险。

【问题3】(4分)

针对事件2，请简要回答在总体技术方案评审过程中，监理针对数字证书系统的设计方案在功能实现方面应该重点考虑哪些内容？

【试题分析】

本题考查的是关于网络系统建设监理及信息安全等相关知识。

【问题1】

电子商务建设涉及面广，包含人员、设备、安全、政策等。

电子商务项目牵涉的角色多、具有复杂性；

复杂性主要表现在：

电子商务项目具有动态性 ；电子商务项目无形资产比重较大；电子商务项目存在较大的风险；电子商务项目的生命周期较短

【问题2】

电子商务项目通常不是简单的将现有业务搬到网上运作，其实施将改变现有的业务流程，影响业务结构，不仅涉及技术问题，还涉及内部管理、外部渠道及同业竞争等多种因素，一旦失败很难弥补。
信息安全问题：
（1）计算机网络安全威胁：黑客攻击；计算机病毒攻击；拒绝服务攻击；
（2）商务交易安全威胁：缺乏安全机制的传输协议；软件系统存在漏洞；
（3）可能使得电子商务中的信息泄漏；
（4）电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放，这样就使信息失去了真实性和完整性。
（5）身份识别：电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。
（6）信息破坏；
（7）破坏信息的有效性
（8）泄露个人隐私：参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私。

【问题3】

监理针对数字证书系统的设计方案在功能实现方面应重点考虑：
应重点考虑用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等内容。
应重点审查的子系统有：KMC（密钥管理中心）子系统、CA子系统、RA子系统、面向应接口等。

尚大教育-软考学院-参考答案：

【问题1尚大教育-参考答案】

电子商务项目牵涉的角色多、具有复杂性；

复杂性主要表现在：

电子商务项目具有动态性 ；电子商务项目无形资产比重较大；电子商务项目存在较大的风险；电子商务项目的生命周期较短。

【问题2尚大教育-参考答案】

电子商务风险在于电子商务实施将改变现有的业务流程（业务流程的彻底变革），影响业务结构，不仅涉及技术问题，还涉及内部管理、外部渠道及同业竞争等多种因素，一旦失败很难弥补。
信息安全问题：
（1）计算机网络安全威胁：黑客攻击；计算机病毒攻击；拒绝服务攻击；
（2）商务交易安全威胁：缺乏安全机制的传输协议；软件系统存在漏洞；
（3）可能使得电子商务中的信息泄漏；
（4）电子的交易信息在网络上传输的过程中，可能被他人非法地修改、删除或重放，这样就使信息失去了真实性和完整性。
（5）身份识别：电子商务交易中交易两方通过网络来完成交易，双方互不见面、互不认识，计算机网络的安全威胁与Internet的安全隐患，也可能使得电子商务交易中出现身交易身份伪造的问题。
（6）信息破坏；
（7）破坏信息的有效性
（8）泄露个人隐私：参与到电子商务中的个人就必须提供个人信息，计算机网络安全威胁与Internet的安全隐患有可能导致个人信息泄露，破坏到个人隐私。

 【问题3尚大教育-参考答案】

监理针对数字证书系统的设计方案在功能实现方面应重点考虑：
应重点考虑用户注册管理、证书/证书注销列表的生成与签发、证书/证书注销列表的存储与发布、证书状态的查询、密钥的生成与管理、过程安全审计等内容。
应重点审查的子系统有：KMC（密钥管理中心）子系统、CA子系统、RA子系统、面向应接口等。