試卷科目：軟件水平考試(中級)軟件評測師案例2012軟件水平考試(中級)軟件評測師真題及答案案例PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages2012軟件水平考試(中級)軟件評測師真題及答案案例第1部分：問答題，共5題，請在空白處填寫正確答案。[問答題]1.[說明]現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對軟件的依賴越來越強，對軟件可靠性的要求也越來越來高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測試技術也日益迫切。15、[問題1]一個完整的軟件可行性測試如圖5－1所示。（5分）請寫出圖中(1)～(5)。16、[問題2]解釋說明軟件可靠性測試的目的，并說明狹義和廣義軟件可靠性測試的區(qū)別。（5分）17、[問題3]可靠性目標是指客戶對軟件性能滿意程度的期望。通常采用失效嚴重程度、可靠度、故障強度、平均無故障時間等指標來描述。請分別解釋其含義。答案:15、一個完整的軟件可行性測試如圖5－2所示。（1）確定可靠性目標(2)可靠性數(shù)據(jù)(3)分析可靠性的因素(4)可靠性模型(5)可靠性評價16、可靠性測試的目的可歸納為以下三個方面：①發(fā)現(xiàn)軟件系統(tǒng)在需求、設計、編碼、測試、實施等方面的各種缺陷。②為軟件的使用和維護提供可靠性數(shù)據(jù)。③確認軟件是否達到可靠性的定量要求。廣義的軟件可靠性測試是指為了每終評價軟件系統(tǒng)的可靠性而運用建模、統(tǒng)計、試驗、分析、評價等一系列手段對軟件系統(tǒng)實施的一種測試。狹義的軟件可靠性測試是指為了獲取可靠性數(shù)據(jù)，按預先確定的測試用例，在軟件的預期使用環(huán)境中，對軟件實施的一種測試。狹義的軟件可靠性測試也叫?較件可靠性試驗(sottwan:reliabilitytest)?，它是面向缺陷的測試，以用戶將要使用的方式來測試軟件，每一次測試代表用戶將要完成的一組操作，使測試成為最終產(chǎn)品使用的預演。這就使得所獲得的測試數(shù)據(jù)與軟件的宴際運行數(shù)據(jù)比較接近，可用于軟件可靠性評價。17、失效嚴重程度類就是對用戶具有相同程度影響的失效集合。可靠度就是軟件系統(tǒng)在規(guī)定的條件下，規(guī)定的時間內(nèi)不發(fā)生失效的概率。故障強度是指：以單位運轉(zhuǎn)時間的軟件故障停機小時表示停機時間的長短，其表式為：軟件故障強度率=100%*軟件故障停機小時/軟件實際運轉(zhuǎn)時間。平均無故障時間(MTTF)：全稱是MeanTimeToFailure，即平均失效時間。系統(tǒng)平均能夠正常運行多長時間，才發(fā)生一次故障。系統(tǒng)的可靠性越高，平均無故障時間越長。解析:[問答題]2.某酒店預訂系統(tǒng)有兩個重要功能，檢索功能和預訂功能。檢索功能根據(jù)用戶提供的關鍵字檢索出符合條件的酒店列表，預訂功能是對選定的某一酒店進行預訂，現(xiàn)需要對該系統(tǒng)執(zhí)行負載壓力測試。該酒店預訂系統(tǒng)的性能要求為：1交易執(zhí)行成功率100%；2檢索響應時間在3s以內(nèi)；3檢索功能支持900個并發(fā)用戶；4預訂功能支持100個并發(fā)用戶；5CPU利用率不超過85%；6系統(tǒng)要連續(xù)穩(wěn)定運行72小時1、[問題1]簡述該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型。（3分）2、[問題2]對系統(tǒng)檢索功能執(zhí)行負載壓力測試，測試結(jié)果如表1－1所示。請指出響應時間和交易執(zhí)行成功率的測試結(jié)果是否滿足性能需求并說明原因。（5分）表1－1檢索功能測試結(jié)果3、[問題3]對系統(tǒng)檢索功能及預訂功能執(zhí)行負載壓力測試，測試結(jié)果如表1－2所示。請指出服務器資源利用情況cpu占用率的測試結(jié)果是否滿足性能需求并說明原因。（5分）表1－2系統(tǒng)測試結(jié)果4、[問題4]根據(jù)[問題2]和[問題3]的測試結(jié)果，試分析該系統(tǒng)的可能瓶頸。（6分）答案:1、該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型：(1)檢索功能、預訂功能并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負載；(2)連續(xù)運行72小時是屬于疲勞強度負載；(3)大量?稿件查詢?操作是屬于大數(shù)據(jù)量負載。2、對系統(tǒng)檢索功能執(zhí)行負載壓力測試，響應時間和交易執(zhí)行成功率的測試結(jié)果不能滿足性能需求。因為：（1）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應時間為3.7s與檢索響應時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為100%滿足性能需求。（2）、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應時間為6.6s與檢索響應時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為98%不能滿足性能100%需求。3、暫缺答案4、根據(jù)[問題2]和[問題3]的測試結(jié)果，該系統(tǒng)的存在瓶頸。服務器資源利用情況：（1）、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應時間超過3s；（2）、在檢索功能并發(fā)用戶為900，預訂功能并發(fā)用戶數(shù)為100時，CPU占用率(%)(平均值)達到87.3超過85%；（3）、在檢索功能并發(fā)用戶為1000，預訂功能并發(fā)用戶數(shù)為120時，CPU占用率(%)(平均值)達到92.6超過85%；可能的瓶頸如下：(1)服務器CPU性能不足；(2)數(shù)據(jù)庫設計不足或者優(yōu)化不夠；(3)檢索功能預訂功能應用軟件設計不足或沒有優(yōu)化；(4)網(wǎng)絡帶寬不足。【解析】問題1解析：本小題考查系統(tǒng)的負載類型。參考答案如下：(1)并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負載；(2)連續(xù)運行72小時是屬于疲勞強度負載；(3)大量檢索操作是屬于大數(shù)據(jù)量負載。問題2解析：本題考查負載壓力測試結(jié)果的分析。測試結(jié)果不能滿足性能需求。原因如下：1、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應時間為3.7s，不能滿足檢索響應時間在3s以內(nèi)的需求；2、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應時間為6.6s，交易執(zhí)行成功率為98%。但是檢索功能并發(fā)用戶要求中最多只提到900，所以當用戶為1000時，并不能體現(xiàn)出是否符合要求，因為要求中沒有涉及1000的并發(fā)量。問題3解析：本題考查負載壓力測試結(jié)果的分析。測試結(jié)果不能滿足性能指標，原因如下：1、在檢索功能并發(fā)用戶為900,預訂功能并發(fā)用戶數(shù)為100時，CPU占用率達到87.3%，超過85%;2、在檢索功能并發(fā)用戶為1000,預訂功能并發(fā)用戶數(shù)為120時，不能算不滿足要求。因為要求檢索功能只提到支持900個并發(fā)用戶和100個預定并發(fā)用戶的情況；問題4解析：本題考查對系統(tǒng)瓶頸的初步判斷。l服務器資源利用情況分析：1、在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應時間超過3s;2、在檢索功能并發(fā)用戶為900,預訂功能并發(fā)用戶數(shù)為100時，CPU占用率達到87.3%，超過85%;因此可能的瓶頸如下：(1)服務器CPU性能不足；(2)數(shù)據(jù)庫設計不足或者優(yōu)化不夠；(3)系統(tǒng)沒有采用合適的并發(fā)/并行策略；(4)服務器的網(wǎng)絡帶寬不足。解析:[問答題]3.[說明]某企業(yè)想開發(fā)一套B2C系統(tǒng)，其主要目的是在線銷售商品和服務，使顧客可以在線瀏覽和購買商品和服務，系統(tǒng)的用戶的IT技能，訪問系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測試至關重要。系統(tǒng)要求：8所有鏈接都要正確；9支持不同移動設備，操作系統(tǒng)和瀏覽器；10系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應用內(nèi)部的內(nèi)容。8、[問題1]簡要敘述鏈接測試的目的以及測試的主要內(nèi)容。（5分）9、[問題2]簡要敘述為了達到系統(tǒng)要求(2)，要測試哪些方面的兼容性。（4分）10、[問題3]本系統(tǒng)強調(diào)安全性，簡要敘述Web應用安全測試應考慮哪些方面。（4分）11、[問題4]針對系統(tǒng)要求(3)，設計測試用例以測試Web應用的安全性。（4分）答案:8、鏈接測試的目的：用來檢驗Web網(wǎng)站提供信息的正確性、準確性和相關性。測試的主要內(nèi)容：系統(tǒng)的鏈接測試主要測試如下3個方面：1)每個鏈接是否能夠鏈接到目標頁面2)被鏈接的頁面是否存在3)是否存在孤立頁面9、為了達到系統(tǒng)要求能支持不同移動設備，操作系統(tǒng)和瀏覽器；要測試的兼容性見下表：10、Web應用安全測試應考慮下面內(nèi)容：部署與基礎結(jié)構、輸入驗證、身份驗證、授權、配置管理、敏感數(shù)據(jù)、會話管理、加密、參數(shù)操作、異常管理、審核和日志記錄等多個方面進行11、系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應用內(nèi)部的內(nèi)容。設計測試用例以測試Web應用的安全性。[解析]SSL協(xié)議提供的服務主要有：1)認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器；2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；3)維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。第4問需要為Web應用的安全性設計測試用例，這里強調(diào)通過SSL(安全套接字)來進行訪問，因此設計測試用例要考慮加密是否正確、信息是否完整等因素。解析:[問答題]4.[說明]某企業(yè)為防止自身信息資源的非授權訪問，建立了如圖4－1所示的訪問控制系統(tǒng)。企業(yè)訪問控制系統(tǒng)該系統(tǒng)提供的主要安全機制包括：12認證：管理企業(yè)的合法用戶，驗證用戶所宣稱身份的合法性，該系統(tǒng)中的認證機制集成了基于口令的認證機制和基于PKI的數(shù)字證書認證機制；13授權：賦予用戶訪問系統(tǒng)資源的權限，對企業(yè)資源的訪問請求進行授權決策；14安全審計：對系統(tǒng)記錄與活動進行獨立審查，發(fā)現(xiàn)訪問控制機制中的安全缺陷，提出安全改進建議。12、[問題1]對該訪問控制系統(tǒng)進行測試時，用戶權限控制是其中的一個測試重點。對用戶權限控制的測試應包含哪兩個主要方面？每個方面具體的測試內(nèi)容又有哪些？（6分）13、[問題2]測試過程中需對該訪問控制系統(tǒng)進行模擬攻擊試驗，以驗證其對企業(yè)資源非授權訪問的防范能力。請給出三種針對該系統(tǒng)的可能攻擊，并簡要說明模擬攻擊的基本原理。（3分）14、[問題3]對該系統(tǒng)安全審計功能設計的測試點應包括哪些？（3分）答案:12、兩個方面:①評價用戶權限控制的體系合理性，是否采用三層的管理模式即系統(tǒng)管理員、業(yè)務領導和操作人員三級分離；②用戶名稱基本采用中文和英文兩種，對于測試來說，對于用戶名稱的測試關鍵在于測試用戶名稱的唯一性。用戶名稱的唯一性體現(xiàn)有哪些方面？●同時存在的用戶名稱在不考慮大小的狀態(tài)下，不能夠同名；●對于關鍵領域的軟件產(chǎn)品和安全要求較高的軟件，應當同時保證使用過的用戶在用戶刪除或停用后，保留該用戶記錄，并且新用戶不得與之同名。13、模擬攻擊試驗：對于安全測試來說，模擬攻擊試驗是一組特殊的黑盒測試案例，我們以模擬攻擊驗證軟件或信息的安全防護能力。可采用冒充、重演、消息篡改、服務拒絕、內(nèi)部攻擊、外部攻擊、陷阱門、特洛伊木馬方法進行測試。淚滴(teardrop)。淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括servicepack4以前的NT)在收到含有重疊偏移的偽造分段時將崩潰。防御措施有服務器應用最新的服務包，或者在設置防火墻時對分段進行重組，而不是轉(zhuǎn)發(fā)它們。口令猜測。一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務的可利用的用戶賬號，然后因為使用簡單的密碼或者沒有設密碼，導致黑客能很快的將口令猜出。當然事實上用蠻力是可以破解任何密碼的，關鍵是是否迅速，設置的密碼是否能導致黑客花很大的時間和效率成本。防御措施有要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務不暴露在公共范圍。如果該服務支持鎖定策略，就進行鎖定。偽造電子郵件。由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對你的內(nèi)部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的鏈接。防御措施有使用PGP等安全工具并安裝電子郵件證書。14、對該系統(tǒng)安全審計功能設計的測試點應包括:①能否進行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲，集中進行安全審計；②是否支持基于PKI的應用審計；③是否支持基于XML的審計數(shù)據(jù)采集協(xié)議；④是否提供靈活的自定義審計規(guī)則。解析:[問答題]5.[說明]邏輯覆蓋法是設計白盒測試用例的主要方法之一，它是通過對程序邏輯結(jié)構的遍歷實現(xiàn)程序的覆蓋。針對以下由C語言編寫的程序，按要求回答問題。Struct_ProtobufCIntRange{Intstart_value;Unsignedorig_index;};typedefstruct_ProtobufCIntRangeProtobufCIntRange;intint_range_lookup(unsignedn_ranges,constProtobufCIntRange*ranges,intvalue){unsignedstart,n;//1start=0;n=n_ranges;while(n>1){//2unsignedmid=start+n/2;if（value＜ranges[mid].start_value）{//3n=mid-start;//4}elseif(value>=ranges[mid].start_value+(int)(ranges[mid+1].orig_index-ranges[mid].orig_index)){//5unsignednew_start=mid+1;//6n=start+n-new_start;start=new_start;}else//7return(value-ranges[mid].start_value)+ranges[mid].orig_index;}if(n>0){//8unsignedstart_orig_index=ranges[start].orig_index;unsignedrange_size=ranges[start+1].orig_index-start_orig_index;if(ranges[start].start_value＜=value&&value＜(int)(ranges[start].start_value+range_size))//9,10return(value-ranges[start].start_value)+start_orig_index;//11}return-1;//12}//135、[問題1]請給出滿足100%DC(判定覆蓋)所需的邏輯條件。（6分）6、[問題2]請畫出上述程序的控制流圖，并計算其控制流圖的環(huán)路復雜度VG.。（6分）7、[問題3]請給出[問題2]中控制流圖的線性無關路徑。（4分）答案:5、本題考查白盒測試法的應用。本問題考查白盒測試用例設計方法中的判定覆蓋法。判定覆蓋指設計足夠的測試用例，使得被測程序中每個判定表達式至少獲得一次?真?值和?假?值，從而使程序的每一個分支至