2012軟件水平考試(中級) 軟件評測師真題及答案案例

試卷科目：軟件水平考試(中級)軟件評測師案例2012軟件水平考試(中級)軟件評測師真題及答案案例PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages2012軟件水平考試(中級)軟件評測師真題及答案案例第1部分：問答題，共5題，請在空白處填寫正確答案。[問答題]1.[說明]現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對軟件的依賴越來越強(qiáng)，對軟件可靠性的要求也越來越來高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測試技術(shù)也日益迫切。15、[問題1]一個完整的軟件可行性測試如圖5－1所示。（5分）請寫出圖中(1)～(5)。16、[問題2]解釋說明軟件可靠性測試的目的，并說明狹義和廣義軟件可靠性測試的區(qū)別。（5分）17、[問題3]可靠性目標(biāo)是指客戶對軟件性能滿意程度的期望。通常采用失效嚴(yán)重程度、可靠度、故障強(qiáng)度、平均無故障時間等指標(biāo)來描述。請分別解釋其含義。答案:15、一個完整的軟件可行性測試如圖5－2所示。（1）確定可靠性目標(biāo)(2)可靠性數(shù)據(jù)(3)分析可靠性的因素(4)可靠性模型(5)可靠性評價16、可靠性測試的目的可歸納為以下三個方面：①發(fā)現(xiàn)軟件系統(tǒng)在需求、設(shè)計、編碼、測試、實施等方面的各種缺陷。②為軟件的使用和維護(hù)提供可靠性數(shù)據(jù)。③確認(rèn)軟件是否達(dá)到可靠性的定量要求。廣義的軟件可靠性測試是指為了每終評價軟件系統(tǒng)的可靠性而運(yùn)用建模、統(tǒng)計、試驗、分析、評價等一系列手段對軟件系統(tǒng)實施的一種測試。狹義的軟件可靠性測試是指為了獲取可靠性數(shù)據(jù)，按預(yù)先確定的測試用例，在軟件的預(yù)期使用環(huán)境中，對軟件實施的一種測試。狹義的軟件可靠性測試也叫?較件可靠性試驗(sottwan:reliabilitytest)?，它是面向缺陷的測試，以用戶將要使用的方式來測試軟件，每一次測試代表用戶將要完成的一組操作，使測試成為最終產(chǎn)品使用的預(yù)演。這就使得所獲得的測試數(shù)據(jù)與軟件的宴際運(yùn)行數(shù)據(jù)比較接近，可用于軟件可靠性評價。17、失效嚴(yán)重程度類就是對用戶具有相同程度影響的失效集合?？煽慷染褪擒浖到y(tǒng)在規(guī)定的條件下，規(guī)定的時間內(nèi)不發(fā)生失效的概率。故障強(qiáng)度是指：以單位運(yùn)轉(zhuǎn)時間的軟件故障停機(jī)小時表示停機(jī)時間的長短，其表式為：軟件故障強(qiáng)度率=100%*軟件故障停機(jī)小時/軟件實際運(yùn)轉(zhuǎn)時間。平均無故障時間(MTTF)：全稱是MeanTimeToFailure，即平均失效時間。系統(tǒng)平均能夠正常運(yùn)行多長時間，才發(fā)生一次故障。系統(tǒng)的可靠性越高，平均無故障時間越長。解析:[問答題]2.某酒店預(yù)訂系統(tǒng)有兩個重要功能，檢索功能和預(yù)訂功能。檢索功能根據(jù)用戶提供的關(guān)鍵字檢索出符合條件的酒店列表，預(yù)訂功能是對選定的某一酒店進(jìn)行預(yù)訂，現(xiàn)需要對該系統(tǒng)執(zhí)行負(fù)載壓力測試。該酒店預(yù)訂系統(tǒng)的性能要求為：1交易執(zhí)行成功率100%；2檢索響應(yīng)時間在3s以內(nèi)；3檢索功能支持900個并發(fā)用戶；4預(yù)訂功能支持100個并發(fā)用戶；5CPU利用率不超過85%；6系統(tǒng)要連續(xù)穩(wěn)定運(yùn)行72小時1、[問題1]簡述該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類型。（3分）2、[問題2]對系統(tǒng)檢索功能執(zhí)行負(fù)載壓力測試，測試結(jié)果如表1－1所示。請指出響應(yīng)時間和交易執(zhí)行成功率的測試結(jié)果是否滿足性能需求并說明原因。（5分）表1－1檢索功能測試結(jié)果3、[問題3]對系統(tǒng)檢索功能及預(yù)訂功能執(zhí)行負(fù)載壓力測試，測試結(jié)果如表1－2所示。請指出服務(wù)器資源利用情況cpu占用率的測試結(jié)果是否滿足性能需求并說明原因。（5分）表1－2系統(tǒng)測試結(jié)果4、[問題4]根據(jù)[問題2]和[問題3]的測試結(jié)果，試分析該系統(tǒng)的可能瓶頸。（6分）答案:1、該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類型：(1)檢索功能、預(yù)訂功能并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負(fù)載；(2)連續(xù)運(yùn)行72小時是屬于疲勞強(qiáng)度負(fù)載；(3)大量?稿件查詢?操作是屬于大數(shù)據(jù)量負(fù)載。2、對系統(tǒng)檢索功能執(zhí)行負(fù)載壓力測試，響應(yīng)時間和交易執(zhí)行成功率的測試結(jié)果不能滿足性能需求。因為：（1）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應(yīng)時間為3.7s與檢索響應(yīng)時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為100%滿足性能需求。（2）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應(yīng)時間為6.6s與檢索響應(yīng)時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為98%不能滿足性能100%需求。3、暫缺答案4、根據(jù)[問題2]和[問題3]的測試結(jié)果，該系統(tǒng)的存在瓶頸。服務(wù)器資源利用情況：（1）、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應(yīng)時間超過3s；（2）、在檢索功能并發(fā)用戶為900，預(yù)訂功能并發(fā)用戶數(shù)為100時，CPU占用率(%)(平均值)達(dá)到87.3超過85%；（3）、在檢索功能并發(fā)用戶為1000，預(yù)訂功能并發(fā)用戶數(shù)為120時，CPU占用率(%)(平均值)達(dá)到92.6超過85%；可能的瓶頸如下：(1)服務(wù)器CPU性能不足；(2)數(shù)據(jù)庫設(shè)計不足或者優(yōu)化不夠；(3)檢索功能預(yù)訂功能應(yīng)用軟件設(shè)計不足或沒有優(yōu)化；(4)網(wǎng)絡(luò)帶寬不足?！窘馕觥繂栴}1解析：本小題考查系統(tǒng)的負(fù)載類型。參考答案如下：(1)并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負(fù)載；(2)連續(xù)運(yùn)行72小時是屬于疲勞強(qiáng)度負(fù)載；(3)大量檢索操作是屬于大數(shù)據(jù)量負(fù)載。問題2解析：本題考查負(fù)載壓力測試結(jié)果的分析。測試結(jié)果不能滿足性能需求。原因如下：1、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應(yīng)時間為3.7s，不能滿足檢索響應(yīng)時間在3s以內(nèi)的需求；2、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應(yīng)時間為6.6s，交易執(zhí)行成功率為98%。但是檢索功能并發(fā)用戶要求中最多只提到900，所以當(dāng)用戶為1000時，并不能體現(xiàn)出是否符合要求，因為要求中沒有涉及1000的并發(fā)量。問題3解析：本題考查負(fù)載壓力測試結(jié)果的分析。測試結(jié)果不能滿足性能指標(biāo)，原因如下：1、在檢索功能并發(fā)用戶為900,預(yù)訂功能并發(fā)用戶數(shù)為100時，CPU占用率達(dá)到87.3%，超過85%;2、在檢索功能并發(fā)用戶為1000,預(yù)訂功能并發(fā)用戶數(shù)為120時，不能算不滿足要求。因為要求檢索功能只提到支持900個并發(fā)用戶和100個預(yù)定并發(fā)用戶的情況；問題4解析：本題考查對系統(tǒng)瓶頸的初步判斷。l服務(wù)器資源利用情況分析：1、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應(yīng)時間超過3s;2、在檢索功能并發(fā)用戶為900,預(yù)訂功能并發(fā)用戶數(shù)為100時，CPU占用率達(dá)到87.3%，超過85%;因此可能的瓶頸如下：(1)服務(wù)器CPU性能不足；(2)數(shù)據(jù)庫設(shè)計不足或者優(yōu)化不夠；(3)系統(tǒng)沒有采用合適的并發(fā)/并行策略；(4)服務(wù)器的網(wǎng)絡(luò)帶寬不足。解析:[問答題]3.[說明]某企業(yè)想開發(fā)一套B2C系統(tǒng)，其主要目的是在線銷售商品和服務(wù)，使顧客可以在線瀏覽和購買商品和服務(wù)，系統(tǒng)的用戶的IT技能，訪問系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測試至關(guān)重要。系統(tǒng)要求：8所有鏈接都要正確；9支持不同移動設(shè)備，操作系統(tǒng)和瀏覽器；10系統(tǒng)需通過SSL進(jìn)行訪問，沒有登錄的用戶不能訪問應(yīng)用內(nèi)部的內(nèi)容。8、[問題1]簡要敘述鏈接測試的目的以及測試的主要內(nèi)容。（5分）9、[問題2]簡要敘述為了達(dá)到系統(tǒng)要求(2)，要測試哪些方面的兼容性。（4分）10、[問題3]本系統(tǒng)強(qiáng)調(diào)安全性，簡要敘述Web應(yīng)用安全測試應(yīng)考慮哪些方面。（4分）11、[問題4]針對系統(tǒng)要求(3)，設(shè)計測試用例以測試Web應(yīng)用的安全性。（4分）答案:8、鏈接測試的目的：用來檢驗Web網(wǎng)站提供信息的正確性、準(zhǔn)確性和相關(guān)性。測試的主要內(nèi)容：系統(tǒng)的鏈接測試主要測試如下3個方面：1)每個鏈接是否能夠鏈接到目標(biāo)頁面2)被鏈接的頁面是否存在3)是否存在孤立頁面9、為了達(dá)到系統(tǒng)要求能支持不同移動設(shè)備，操作系統(tǒng)和瀏覽器；要測試的兼容性見下表：10、Web應(yīng)用安全測試應(yīng)考慮下面內(nèi)容：部署與基礎(chǔ)結(jié)構(gòu)、輸入驗證、身份驗證、授權(quán)、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等多個方面進(jìn)行11、系統(tǒng)需通過SSL進(jìn)行訪問，沒有登錄的用戶不能訪問應(yīng)用內(nèi)部的內(nèi)容。設(shè)計測試用例以測試Web應(yīng)用的安全性。[解析]SSL協(xié)議提供的服務(wù)主要有：1)認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器；2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；3)維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。第4問需要為Web應(yīng)用的安全性設(shè)計測試用例，這里強(qiáng)調(diào)通過SSL(安全套接字)來進(jìn)行訪問，因此設(shè)計測試用例要考慮加密是否正確、信息是否完整等因素。解析:[問答題]4.[說明]某企業(yè)為防止自身信息資源的非授權(quán)訪問，建立了如圖4－1所示的訪問控制系統(tǒng)。企業(yè)訪問控制系統(tǒng)該系統(tǒng)提供的主要安全機(jī)制包括：12認(rèn)證：管理企業(yè)的合法用戶，驗證用戶所宣稱身份的合法性，該系統(tǒng)中的認(rèn)證機(jī)制集成了基于口令的認(rèn)證機(jī)制和基于PKI的數(shù)字證書認(rèn)證機(jī)制；13授權(quán)：賦予用戶訪問系統(tǒng)資源的權(quán)限，對企業(yè)資源的訪問請求進(jìn)行授權(quán)決策；14安全審計：對系統(tǒng)記錄與活動進(jìn)行獨(dú)立審查，發(fā)現(xiàn)訪問控制機(jī)制中的安全缺陷，提出安全改進(jìn)建議。12、[問題1]對該訪問控制系統(tǒng)進(jìn)行測試時，用戶權(quán)限控制是其中的一個測試重點。對用戶權(quán)限控制的測試應(yīng)包含哪兩個主要方面？每個方面具體的測試內(nèi)容又有哪些？（6分）13、[問題2]測試過程中需對該訪問控制系統(tǒng)進(jìn)行模擬攻擊試驗，以驗證其對企業(yè)資源非授權(quán)訪問的防范能力。請給出三種針對該系統(tǒng)的可能攻擊，并簡要說明模擬攻擊的基本原理。（3分）14、[問題3]對該系統(tǒng)安全審計功能設(shè)計的測試點應(yīng)包括哪些？（3分）答案:12、兩個方面:①評價用戶權(quán)限控制的體系合理性，是否采用三層的管理模式即系統(tǒng)管理員、業(yè)務(wù)領(lǐng)導(dǎo)和操作人員三級分離；②用戶名稱基本采用中文和英文兩種，對于測試來說，對于用戶名稱的測試關(guān)鍵在于測試用戶名稱的唯一性。用戶名稱的唯一性體現(xiàn)有哪些方面？●同時存在的用戶名稱在不考慮大小的狀態(tài)下，不能夠同名；●對于關(guān)鍵領(lǐng)域的軟件產(chǎn)品和安全要求較高的軟件，應(yīng)當(dāng)同時保證使用過的用戶在用戶刪除或停用后，保留該用戶記錄，并且新用戶不得與之同名。13、模擬攻擊試驗：對于安全測試來說，模擬攻擊試驗是一組特殊的黑盒測試案例，我們以模擬攻擊驗證軟件或信息的安全防護(hù)能力。可采用冒充、重演、消息篡改、服務(wù)拒絕、內(nèi)部攻擊、外部攻擊、陷阱門、特洛伊木馬方法進(jìn)行測試。淚滴(teardrop)。淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。防御措施有服務(wù)器應(yīng)用最新的服務(wù)包，或者在設(shè)置防火墻時對分段進(jìn)行重組，而不是轉(zhuǎn)發(fā)它們?？诹畈聹y。一旦黑客識別了一臺主機(jī)而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務(wù)的可利用的用戶賬號，然后因為使用簡單的密碼或者沒有設(shè)密碼，導(dǎo)致黑客能很快的將口令猜出。當(dāng)然事實上用蠻力是可以破解任何密碼的，關(guān)鍵是是否迅速，設(shè)置的密碼是否能導(dǎo)致黑客花很大的時間和效率成本。防御措施有要選用難以猜測的口令，比如詞和標(biāo)點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍。如果該服務(wù)支持鎖定策略，就進(jìn)行鎖定。偽造電子郵件。由于SMTP并不對郵件的發(fā)送者的身份進(jìn)行鑒定，因此黑客可以對你的內(nèi)部客戶偽造電子郵件，聲稱是來自某個客戶認(rèn)識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的鏈接。防御措施有使用PGP等安全工具并安裝電子郵件證書。14、對該系統(tǒng)安全審計功能設(shè)計的測試點應(yīng)包括:①能否進(jìn)行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲，集中進(jìn)行安全審計；②是否支持基于PKI的應(yīng)用審計；③是否支持基于XML的審計數(shù)據(jù)采集協(xié)議；④是否提供靈活的自定義審計規(guī)則。解析:[問答題]5.[說明]邏輯覆蓋法是設(shè)計白盒測試用例的主要方法之一，它是通過對程序邏輯結(jié)構(gòu)的遍歷實現(xiàn)程序的覆蓋。針對以下由C語言編寫的程序，按要求回答問題。Struct_ProtobufCIntRange{Intstart_value;Unsignedorig_index;};typedefstruct_ProtobufCIntRangeProtobufCIntRange;intint_range_lookup(unsignedn_ranges,constProtobufCIntRange*ranges,intvalue){unsignedstart,n;//1start=0;n=n_ranges;while(n>1){//2unsignedmid=start+n/2;if（value＜ranges[mid].start_value）{//3n=mid-start;//4}elseif(value>=ranges[mid].start_value+(int)(ranges[mid+1].orig_index-ranges[mid].orig_index)){//5unsignednew_start=mid+1;//6n=start+n-new_start;start=new_start;}else//7return(value-ranges[mid].start_value)+ranges[mid].orig_index;}if(n>0){//8unsignedstart_orig_index=ranges[start].orig_index;unsignedrange_size=ranges[start+1].orig_index-start_orig_index;if(ranges[start].start_value＜=value&&value＜(int)(ranges[start].start_value+range_size))//9,10return(value-ranges[start].start_value)+start_orig_index;//11}return-1;//12}//135、[問題1]請給出滿足100%DC(判定覆蓋)所需的邏輯條件。（6分）6、[問題2]請畫出上述程序的控制流圖，并計算其控制流圖的環(huán)路復(fù)雜度VG.。（6分）7、[問題3]請給出[問題2]中控制流圖的線性無關(guān)路徑。（4分）答案:5、本題考查白盒測試法的應(yīng)用。本問題考查白盒測試用例設(shè)計方法中的判定覆蓋法。判定覆蓋指設(shè)計足夠的測試用例，使得被測程序中每個判定表達(dá)式至少獲得一次?真?值和?假?值，從而使程序的每一個分支至