2012年11月計算機技術與軟件《中級軟件評測師（下午卷）》試題（網(wǎng)友回憶版）

2012年11月計算機技術與軟件《中級軟件評測師（下午卷）》試題（網(wǎng)友回憶版）[問答題]1.[說明]某酒店預訂系統(tǒng)有兩個重要功（江南博哥）能，檢索功能和預訂功能。檢索功能根據(jù)用戶提供的關鍵字檢索出符合條件的酒店列表，預訂功能是對選定的某一酒店進行預訂，現(xiàn)需要對該系統(tǒng)執(zhí)行負載壓力測試。該酒店預訂系統(tǒng)的性能要求為：1交易執(zhí)行成功率100%；2檢索響應時間在3s以內；3檢索功能支持900個并發(fā)用戶；4預訂功能支持100個并發(fā)用戶；5CPU利用率不超過85%；6系統(tǒng)要連續(xù)穩(wěn)定運行72小時[問題1]簡述該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型。[問題2]對系統(tǒng)檢索功能執(zhí)行負載壓力測試，測試結果如表1－1所示。請指出響應時間和交易執(zhí)行成功率的測試結果是否滿足性能需求并說明原因。表1－1檢索功能測試結果[問題3]對系統(tǒng)檢索功能及預訂功能執(zhí)行負載壓力測試，測試結果如表1－2所示。請指出服務器資源利用情況cpu占用率的測試結果是否滿足性能需求并說明原因。表1－2系統(tǒng)測試結果[問題4]根據(jù)[問題2]和[問題3]的測試結果，試分析該系統(tǒng)的可能瓶頸。參考答案：[問題1]該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型：(1)檢索功能、預訂功能并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負載；(2)連續(xù)運行72小時是屬于疲勞強度負載；(3)大量“稿件查詢”操作是屬于大數(shù)據(jù)量負載。[問題2]對系統(tǒng)檢索功能執(zhí)行負載壓力測試，響應時間和交易執(zhí)行成功率的測試結果不能滿足性能需求。因為：（1）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應時間為3.7s與檢索響應時間在3s以內不能滿足性能需求，交易執(zhí)行成功率為100%滿足性能需求。（2）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應時間為6.6s與檢索響應時間在3s以內不能滿足性能需求，交易執(zhí)行成功率為98%不能滿足性能100%需求。[問題3]暫缺答案[問題4]根據(jù)[問題2]和[問題3]的測試結果，該系統(tǒng)的存在瓶頸。服務器資源利用情況：（1）、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應時間超過3s；（2）、在檢索功能并發(fā)用戶為900，預訂功能并發(fā)用戶數(shù)為100時，CPU占用率(%)(平均值)達到87.3超過85%；（3）、在檢索功能并發(fā)用戶為1000，預訂功能并發(fā)用戶數(shù)為120時，CPU占用率(%)(平均值)達到92.6超過85%；可能的瓶頸如下：(1)服務器CPU性能不足；(2)數(shù)據(jù)庫設計不足或者優(yōu)化不夠；(3)檢索功能預訂功能應用軟件設計不足或沒有優(yōu)化；(4)網(wǎng)絡帶寬不足。參考解析：問題1：本小題考查系統(tǒng)的負載類型。參考答案如下：(1)并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負載；(2)連續(xù)運行72小時是屬于疲勞強度負載；(3)大量檢索操作是屬于大數(shù)據(jù)量負載。問題2解析：本題考查負載壓力測試結果的分析。測試結果不能滿足性能需求。原因如下：1、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應時間為3.7s，不能滿足檢索響應時間在3s以內的需求；2、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應時間為6.6s，交易執(zhí)行成功率為98%。但是檢索功能并發(fā)用戶要求中最多只提到900，所以當用戶為1000時，并不能體現(xiàn)出是否符合要求，因為要求中沒有涉及1000的并發(fā)量。問題3：本題考查負載壓力測試結果的分析。測試結果不能滿足性能指標，原因如下：1、在檢索功能并發(fā)用戶為900,預訂功能并發(fā)用戶數(shù)為100時，CPU占用率達到87.3%，超過85%;2、在檢索功能并發(fā)用戶為1000,預訂功能并發(fā)用戶數(shù)為120時，不能算不滿足要求。因為要求檢索功能只提到支持900個并發(fā)用戶和100個預定并發(fā)用戶的情況；問題4：本題考查對系統(tǒng)瓶頸的初步判斷。l服務器資源利用情況分析：1、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應時間超過3s;2、在檢索功能并發(fā)用戶為900,預訂功能并發(fā)用戶數(shù)為100時，CPU占用率達到87.3%，超過85%;因此可能的瓶頸如下：(1)服務器CPU性能不足；(2)數(shù)據(jù)庫設計不足或者優(yōu)化不夠；(3)系統(tǒng)沒有采用合適的并發(fā)/并行策略；(4)服務器的網(wǎng)絡帶寬不足。[問答題]2.閱讀下列說明，回答下列問題。[說明]邏輯覆蓋法是設計白盒測試用例的主要方法之一，它是通過對程序邏輯結構的遍歷實現(xiàn)程序的覆蓋。針對以下由C語言編寫的程序，按要求回答問題。[問題1]請給出滿足100%DC(判定覆蓋)所需的邏輯條件。[問題2]請畫出上述程序的控制流圖，并計算其控制流圖的環(huán)路復雜度VG.。[問題3]請給出[問題2]中控制流圖的線性無關路徑。參考解析：[問題1]本題考查白盒測試法的應用。本問題考查白盒測試用例設計方法中的判定覆蓋法。判定覆蓋指設計足夠的測試用例，使得被測程序中每個判定表達式至少獲得一次“真”值和“假”值，從而使程序的每一個分支至少都通過一次。本題中程序有5個判定，所以滿足判定覆蓋一共需要10個邏輯條件，如下表所示。[問題2]本問題考查白盒測試用例設計方法中的基本路徑法。涉及到的知識點包括：根據(jù)代碼繪制控制流圖、計算環(huán)路復雜度。控制流圖是描述程序控制流的一種圖示方法。其基本符號有圓圈和箭線：圓圈為控制流圖中的一個結點，表示一個或多個無分支的語句；帶箭頭的線段稱為邊或連接，表示控制流。基本結構如下所示：根據(jù)題中程序繪制的控制流圖如下所示。其中要特別注意的是，如果判斷中的條件表達式是復合條件，即條件表達式是由一個或多個邏輯運算符連接的邏輯表達式，則需要改變復合條件的判斷為一系列之單個條件的嵌套的判斷。本題程序中，這條判斷語句中的判定由兩個條件組成，因此在畫控制流圖的時候需要拆開成兩條判斷語句。環(huán)路復雜度用來衡量一個程序模塊所包含的判定結構的復雜程度，數(shù)量上表現(xiàn)為獨立路徑的條數(shù)，即合理地預防錯誤所需測試的最少路徑條數(shù)。環(huán)路復雜度等于圖中判定結點的個數(shù)加1，圖中判定結點個數(shù)為6，所以(G)＝7。[問題3]本問題考查白盒測試用例設計方法中的基本路徑法。(1)1－2－3－4－2...(2)1－2－3－5－6－2...(3)1－2－3－5－7－13l(4)1－2－8－9－10－11－13(5)1－2－8－9－10－12－13(6)1－2－8－9－12－13(7)1－2－8－12－13[問答題]3.閱讀下列說明回答下列問題。[說明]某企業(yè)想開發(fā)一套B2C系統(tǒng)，其主要目的是在線銷售商品和服務，使顧客可以在線瀏覽和購買商品和服務，系統(tǒng)的用戶的IT技能，訪問系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測試至關重要。系統(tǒng)要求：1所有鏈接都要正確；2支持不同移動設備，操作系統(tǒng)和瀏覽器；3系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應用內部的內容。[問題1]簡要敘述鏈接測試的目的以及測試的主要內容。[問題2]簡要敘述為了達到系統(tǒng)要求(2)，要測試哪些方面的兼容性。[問題3]本系統(tǒng)強調安全性，簡要敘述Web應用安全測試應考慮哪些方面。[問題4]針對系統(tǒng)要求(3)，設計測試用例以測試Web應用的安全性。參考答案：[問題1]鏈接測試的目的：用來檢驗Web網(wǎng)站提供信息的正確性、準確性和相關性。測試的主要內容：系統(tǒng)的鏈接測試主要測試如下3個方面：1)每個鏈接是否能夠鏈接到目標頁面2)被鏈接的頁面是否存在3)是否存在孤立頁面[問題2]為了達到系統(tǒng)要求能支持不同移動設備，操作系統(tǒng)和瀏覽器；要測試的兼容性見下表：[問題3]Web應用安全測試應考慮下面內容：部署與基礎結構、輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等多個方面進行[問題4]系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應用內部的內容。設計測試用例以測試Web應用的安全性。參考解析：SSL協(xié)議提供的服務主要有：1)認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器；2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊?。?)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。第4問需要為Web應用的安全性設計測試用例，這里強調通過SSL(安全套接字)來進行訪問，因此設計測試用例要考慮加密是否正確、信息是否完整等因素。[問答題]4.閱讀下列說明，回答下列問題。[說明]某企業(yè)為防止自身信息資源的非授權訪問，建立了如圖4－1所示的訪問控制系統(tǒng)。企業(yè)訪問控制系統(tǒng)該系統(tǒng)提供的主要安全機制包括：（1）認證：管理企業(yè)的合法用戶，驗證用戶所宣稱身份的合法性，該系統(tǒng)中的認證機制集成了基于口令的認證機制和基于PKI的數(shù)字證書認證機制；（2）授權：賦予用戶訪問系統(tǒng)資源的權限，對企業(yè)資源的訪問請求進行授權決策；（3）安全審計：對系統(tǒng)記錄與活動進行獨立審查，發(fā)現(xiàn)訪問控制機制中的安全缺陷，提出安全改進建議。[問題1]對該訪問控制系統(tǒng)進行測試時，用戶權限控制是其中的一個測試重點。對用戶權限控制的測試應包含哪兩個主要方面？每個方面具體的測試內容又有哪些？[問題2]測試過程中需對該訪問控制系統(tǒng)進行模擬攻擊試驗，以驗證其對企業(yè)資源非授權訪問的防范能力。請給出三種針對該系統(tǒng)的可能攻擊，并簡要說明模擬攻擊的基本原理。[問題3]對該系統(tǒng)安全審計功能設計的測試點應包括哪些？參考解析：[問題1]兩個方面:①評價用戶權限控制的體系合理性，是否采用三層的管理模式即系統(tǒng)管理員、業(yè)務領導和操作人員三級分離；②用戶名稱基本采用中文和英文兩種，對于測試來說，對于用戶名稱的測試關鍵在于測試用戶名稱的唯一性。用戶名稱的唯一性體現(xiàn)有哪些方面？●同時存在的用戶名稱在不考慮大小的狀態(tài)下，不能夠同名；●對于關鍵領域的軟件產(chǎn)品和安全要求較高的軟件，應當同時保證使用過的用戶在用戶刪除或停用后，保留該用戶記錄，并且新用戶不得與之同名。[問題2]模擬攻擊試驗：對于安全測試來說，模擬攻擊試驗是一組特殊的黑盒測試案例，我們以模擬攻擊驗證軟件或信息的安全防護能力?？刹捎妹俺?、重演、消息篡改、服務拒絕、內部攻擊、外部攻擊、陷阱門、特洛伊木馬方法進行測試。淚滴(teardrop)。淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。防御措施有服務器應用最新的服務包，或者在設置防火墻時對分段進行重組，而不是轉發(fā)它們。口令猜測。一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶賬號，然后因為使用簡單的密碼或者沒有設密碼，導致黑客能很快的將口令猜出。當然事實上用蠻力是可以破解任何密碼的，關鍵是是否迅速，設置的密碼是否能導致黑客花很大的時間和效率成本。防御措施有要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。偽造電子郵件。由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對你的內部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的鏈接。防御措施有使用PGP等安全工具并安裝電子郵件證書。[問題3]對該系統(tǒng)安全審計功能設計的測試點應包括:①能否進行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲，集中進行安全審計；②是否支持基于PKI的應用審計；③是否支持基于XML的審計數(shù)據(jù)采集協(xié)議；④是否提供靈活的自定義審計規(guī)則。[問答題]5.閱讀以下說明，回答下列問題。[說明]現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對軟件的依賴越來越強，對軟件可靠性的要求也越來越來高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測試技術也日益迫切。[問題1]一個完整的軟件可行性測試如圖5－1所示。請寫出圖中(1)～(5)。[問題2]解釋說明軟件可靠性測試的目的，并說明狹義和廣義軟件可靠性測試的區(qū)別。[問題3]可靠性目標是指客戶對軟件性能滿意程度的期望。通常采用失效嚴重程度、可靠度、故障強度、平均無故障時間等指標來描述。請分別解釋其含義。參考解析：[問題1]一個完整的軟件可行性測試如圖5－2所示。（1）確定可靠性目標(2)可靠性數(shù)據(jù)(3)分析可靠性的因素(4)可靠性模型(5)可靠性評價[問題2]可靠性測試的目的可歸納為以下三個方面：①發(fā)現(xiàn)軟件系統(tǒng)在需求、設計、編碼、測試、實施等方面的各種缺陷。②為軟件的使用和維護提供可靠性數(shù)據(jù)。③確認軟件是否達到可靠性的定量要求。廣義的軟件可靠性測試是指為了每終評價軟件系統(tǒng)的可靠性而運用建模、統(tǒng)計、試驗、分析、評價等一系列手段對軟件系統(tǒng)實施的一種測試。狹義的軟件可靠性測試是指為了獲取可靠性數(shù)據(jù)，按預先確定的測試用例，在軟件的預期使用環(huán)境中，對軟件實施的一種測試。狹義的軟件可靠性測試也叫“較件可靠性試驗(sottwan:reliabilitytest)”，它是面向缺陷的測試，以用戶將要使用的方式來測試軟件，每一次測試代表用戶