2012軟件水平考試軟件評(píng)測(cè)師真題及答案案例

試卷科目：軟件水平考試(中級(jí))軟件評(píng)測(cè)師案例2012軟件水平考試軟件評(píng)測(cè)師真題及答案案例PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages2012軟件水平考試軟件評(píng)測(cè)師真題及答案案例第1部分：?jiǎn)柎痤}，共17題，請(qǐng)?jiān)诳瞻滋幪顚?xiě)正確答案。[問(wèn)答題]1.試題一（共19分）負(fù)載壓力測(cè)試【說(shuō)明】某酒店預(yù)訂系統(tǒng)有兩個(gè)重要功能，檢索功能和預(yù)訂功能。檢索功能根據(jù)用戶(hù)提供的關(guān)鍵字檢索出符合條件的酒店列表，預(yù)訂功能是對(duì)選定的某一酒店進(jìn)行預(yù)訂，現(xiàn)需要對(duì)該系統(tǒng)執(zhí)行負(fù)載壓力測(cè)試。該酒店預(yù)訂系統(tǒng)的性能要求為：（1）交易執(zhí)行成功率100%；（2）檢索響應(yīng)時(shí)間在3s以?xún)?nèi)；（3）檢索功能支持900個(gè)并發(fā)用戶(hù)；（4）預(yù)訂功能支持100個(gè)并發(fā)用戶(hù)；（5）CPU利用率不超過(guò)85%；（6）系統(tǒng)要連續(xù)穩(wěn)定運(yùn)行72小時(shí)【問(wèn)題1】（3分）簡(jiǎn)述該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類(lèi)型。答案:問(wèn)題1、該酒店預(yù)訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負(fù)載類(lèi)型：檢索功能、預(yù)訂功能并發(fā)用戶(hù)的操作是屬于并發(fā)執(zhí)行負(fù)載；連續(xù)運(yùn)行72小時(shí)是屬于疲勞強(qiáng)度負(fù)載；大量?稿件查詢(xún)?操作是屬于大數(shù)據(jù)量負(fù)載解析:[問(wèn)答題]2.【問(wèn)題2】（5分）對(duì)系統(tǒng)檢索功能執(zhí)行負(fù)載壓力測(cè)試，測(cè)試結(jié)果如表1－1所示。請(qǐng)指出響應(yīng)時(shí)間和交易執(zhí)行成功率的測(cè)試結(jié)果是否滿(mǎn)足性能需求并說(shuō)明原因。答案:暫無(wú)解析:[問(wèn)答題]3.【問(wèn)題3】（5分）對(duì)系統(tǒng)檢索功能及預(yù)訂功能執(zhí)行負(fù)載壓力測(cè)試，測(cè)試結(jié)果如表1－2所示。請(qǐng)指出服務(wù)器資源利用情況cpu占用率的測(cè)試結(jié)果是否滿(mǎn)足性能需求并說(shuō)明原因。答案:對(duì)系統(tǒng)檢索功能執(zhí)行負(fù)載壓力測(cè)試，響應(yīng)時(shí)間和交易執(zhí)行成功率的測(cè)試結(jié)果不能滿(mǎn)足性能需求。因?yàn)椋?、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶(hù)數(shù)為900時(shí)，其響應(yīng)時(shí)間為3.7s與檢索響應(yīng)時(shí)間在3s以?xún)?nèi)不能滿(mǎn)足性能需求，交易執(zhí)行成功率為100%滿(mǎn)足性能需求。2、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶(hù)數(shù)為1000時(shí)，其響應(yīng)時(shí)間為6.6s與檢索響應(yīng)時(shí)間在3s以?xún)?nèi)不能滿(mǎn)足性能需求，交易執(zhí)行成功率為98%不能滿(mǎn)足性能100%需求。解析:[問(wèn)答題]4.【問(wèn)題4】（6分）根據(jù)【問(wèn)題2】和【問(wèn)題3】的測(cè)試結(jié)果，試分析該系統(tǒng)的可能瓶頸。答案:【問(wèn)題4】（6分）根據(jù)【問(wèn)題2】和【問(wèn)題3】的測(cè)試結(jié)果，該系統(tǒng)的存在瓶頸。服務(wù)器資源利用情況：1在執(zhí)行檢索功能測(cè)試時(shí)并發(fā)用戶(hù)為900、1000時(shí)響應(yīng)時(shí)間超過(guò)3s；2在檢索功能并發(fā)用戶(hù)為900，預(yù)訂功能并發(fā)用戶(hù)數(shù)為100時(shí)，CPU占用率（%）（平均值）達(dá)到87.3超過(guò)85%；3在檢索功能并發(fā)用戶(hù)為1000，預(yù)訂功能并發(fā)用戶(hù)數(shù)為120時(shí)，CPU占用率（%）（平均值）達(dá)到92.6超過(guò)85%；可能的瓶頸如下：（1）服務(wù)器CPU性能不足；（2）數(shù)據(jù)庫(kù)設(shè)計(jì)不足或者優(yōu)化不夠；（3）檢索功能預(yù)訂功能應(yīng)用軟件設(shè)計(jì)不足或沒(méi)有優(yōu)化；（4）網(wǎng)絡(luò)帶寬不足。解析:[問(wèn)答題]5.試題二（共15分）白盒測(cè)試閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】邏輯覆蓋法是設(shè)計(jì)白盒測(cè)試用例的主要方法之一，它是通過(guò)對(duì)程序邏輯結(jié)構(gòu)的遍歷實(shí)現(xiàn)程序的覆蓋。針對(duì)以下由C語(yǔ)言編寫(xiě)的程序，按要求回答問(wèn)題。Struct_ProtobufCIntRange{Intstart_value;Unsignedorig_index;};typedefstruct_ProtobufCIntRangeProtobufCIntRange;intint_range_lookup(unsignedn_ranges,constProtobufCIntRange*ranges,intvalue){unsignedstart,n;start=0;n=n_ranges;while(n>l){//2unsignedmid=start+n/2;if(value<ranges[mid].start_value{//3n=mid-start;//4}elseif(value>=ranges[mid].start_value+(int)(ranges[mid+1].orig_index-ranges[mid].orig_index)){//5unsignednew_start=mid+1;//6n=start+n-new_start;start=new_start;}else//7return(value-ranges[mid].start_value)+ranges[mid].orig_index;}if(n>0){//8unsignedstart_orig_index=ranges[start].orig_index;unsignedrange_size=ranges[start+1].orig_index-start_orig_index;if(ranges[start].start_value<=value&&value<(int)(ranges[start].start_value+range_size))//9,10Return(value-ranges[start].start_value)+start_orig_index;//11}Return-1;//12//13【問(wèn)題1】（5分）請(qǐng)給出滿(mǎn)足100%DC(判定覆蓋)所需的邏輯條件。答案:【問(wèn)題1】本問(wèn)題考查白盒測(cè)試用例設(shè)計(jì)方法中的判定覆蓋法。判定覆蓋指設(shè)計(jì)足夠的測(cè)試用例，使得被測(cè)程序中每個(gè)判定表達(dá)式至少獲得一次?真?值和?假?值，從而使程序的每一個(gè)分支至少都通過(guò)一次。本題中程序有5個(gè)判定，所以滿(mǎn)足判定覆蓋一共需要10個(gè)邏輯條件，如下表所示。解析:[問(wèn)答題]6.【問(wèn)題2】（7分）請(qǐng)畫(huà)出上述程序的控制流圖，并計(jì)算其控制流圖的環(huán)路復(fù)雜度V(G)。答案:【問(wèn)題2】本問(wèn)題考查白盒測(cè)試用例設(shè)計(jì)方法中的基本路徑法。涉及到的知識(shí)點(diǎn)包括：根據(jù)代碼繪制控制流圖、計(jì)算環(huán)路復(fù)雜度?？刂屏鲌D是描述程序控制流的一種圖示方法。其基本符號(hào)有圓圈和箭線(xiàn)：圓圈為控制流圖中的一個(gè)結(jié)點(diǎn)，表示一個(gè)或多個(gè)無(wú)分支的語(yǔ)句；帶箭頭的線(xiàn)段稱(chēng)為邊或連接，表示控制流。基本結(jié)構(gòu)如下所示：根據(jù)題中程序繪制的控制流圖如下所示。其中要特別注意的是，如果判斷中的條件表達(dá)式是復(fù)合條件，即條件表達(dá)式是由一個(gè)或多個(gè)邏輯運(yùn)算符連接的邏輯表達(dá)式，則需要改變復(fù)合條件的判斷為一系列之單個(gè)條件的嵌套的判斷。本題程序中，if(ranges[start].start_value<=value&&value<(int)(ranges[start].start_value+range_size))這條判斷語(yǔ)句中的判定由兩個(gè)條件組成，因此在畫(huà)控制流圖的時(shí)候需要拆開(kāi)成兩條判斷語(yǔ)句。環(huán)路復(fù)雜度用來(lái)衡量一個(gè)程序模塊所包含的判定結(jié)構(gòu)的復(fù)雜程度，數(shù)量上表現(xiàn)為獨(dú)立路徑的條數(shù)，即合理地預(yù)防錯(cuò)誤所需測(cè)試的最少路徑條數(shù)。環(huán)路復(fù)雜度等于圖中判定結(jié)點(diǎn)的個(gè)數(shù)加1，圖中判定結(jié)點(diǎn)個(gè)數(shù)為6，所以(G)＝7。解析:[問(wèn)答題]7.【問(wèn)題3】（3分）請(qǐng)給出【問(wèn)題2】中控制流圖的線(xiàn)性無(wú)關(guān)路徑。答案:【問(wèn)題3】本問(wèn)題考查白盒測(cè)試用例設(shè)計(jì)方法中的基本路徑法。[path1]1-2-8-9-10-11-13[path2]1-2-8-9-10-11-12[path3]1-2-8-9-10-12-13[path4]1-2-8-9-12-13[path5]1-2-3-4-2?[path6]1-2-3-5-6-2?[path71-2-3-5-7-2?解析:[問(wèn)答題]8.試題三（共17分）WEB鏈接、安全測(cè)試閱讀下列說(shuō)明回答問(wèn)題1至問(wèn)題4，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。【說(shuō)明】某企業(yè)想開(kāi)發(fā)一套B2C系統(tǒng)，其主要目的是在線(xiàn)銷(xiāo)售商品和服務(wù)，使顧客可以在線(xiàn)瀏覽和購(gòu)買(mǎi)商品和服務(wù)，系統(tǒng)的用戶(hù)的IT技能，訪問(wèn)系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測(cè)試至關(guān)重要。系統(tǒng)要求：（1）所有鏈接都要正確；（2）支持不同移動(dòng)設(shè)備，操作系統(tǒng)和瀏覽器；（3）系統(tǒng)需通過(guò)SSL進(jìn)行訪問(wèn)，沒(méi)有登錄的用戶(hù)不能訪問(wèn)應(yīng)用內(nèi)部的內(nèi)容?！締?wèn)題1】（5分）簡(jiǎn)要敘述鏈接測(cè)試的目的以及測(cè)試的主要內(nèi)容。答案:【問(wèn)題1】（5分）鏈接測(cè)試的目的：用來(lái)檢驗(yàn)Web網(wǎng)站提供信息的正確性、準(zhǔn)確性和相關(guān)性。測(cè)試的主要內(nèi)容：系統(tǒng)的鏈接測(cè)試主要測(cè)試如下3個(gè)方面：1)每個(gè)鏈接是否能夠鏈接到目標(biāo)頁(yè)面2)被鏈接的頁(yè)面是否存在3)是否存在孤立頁(yè)面解析:[問(wèn)答題]9.【問(wèn)題2】（4分）簡(jiǎn)要敘述為了達(dá)到系統(tǒng)要求（2），要測(cè)試哪些方面的兼容性。答案:【問(wèn)題2】（4分）為了達(dá)到系統(tǒng)要求能支持不同移動(dòng)設(shè)備，操作系統(tǒng)和瀏覽器；要測(cè)試的兼容性見(jiàn)下表：解析:[問(wèn)答題]10.【問(wèn)題3】（4分）本系統(tǒng)強(qiáng)調(diào)安全性，簡(jiǎn)要敘述Web應(yīng)用安全測(cè)試應(yīng)考慮哪些方面。答案:Web應(yīng)用安全測(cè)試應(yīng)考慮下面內(nèi)容：目錄測(cè)試SSL套接字測(cè)試登錄驗(yàn)證日志文件腳本語(yǔ)言解析:[問(wèn)答題]11.【問(wèn)題4】（4分）針對(duì)系統(tǒng)要求（3），設(shè)計(jì)測(cè)試用例以測(cè)試Web應(yīng)用的安全性。答案:【問(wèn)題4】（4分）系統(tǒng)需通過(guò)SSL進(jìn)行訪問(wèn)，沒(méi)有登錄的用戶(hù)不能訪問(wèn)應(yīng)用內(nèi)部的內(nèi)容。設(shè)計(jì)測(cè)試用例以測(cè)試Web應(yīng)用的安全性。解析：SSL協(xié)議提供的服務(wù)主要有：1）認(rèn)證用戶(hù)和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶(hù)機(jī)和服務(wù)器；2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取；3）維護(hù)數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過(guò)程中不被改變。第4問(wèn)需要為Web應(yīng)用的安全性設(shè)計(jì)測(cè)試用例，這里強(qiáng)調(diào)通過(guò)SSL（安全套接字）來(lái)進(jìn)行訪問(wèn)，因此設(shè)計(jì)測(cè)試用例要考慮加密是否正確、信息是否完整等因素。解析:[問(wèn)答題]12.試題四（共12分）安全測(cè)試閱讀下列說(shuō)明，回答問(wèn)題1至問(wèn)題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)?！菊f(shuō)明】某企業(yè)為防止自身信息資源的非授權(quán)訪問(wèn)，建立了如圖4－1所示的訪問(wèn)控制系統(tǒng)企業(yè)訪問(wèn)控制系統(tǒng)該系統(tǒng)提供的主要安全機(jī)制包括：（1）認(rèn)證：管理企業(yè)的合法用戶(hù)，驗(yàn)證用戶(hù)所宣稱(chēng)身份的合法性，該系統(tǒng)中的認(rèn)證機(jī)制集成了基于口令的認(rèn)證機(jī)制和基于PKI的數(shù)字證書(shū)認(rèn)證機(jī)制；（2）授權(quán)：賦予用戶(hù)訪問(wèn)系統(tǒng)資源的權(quán)限，對(duì)企業(yè)資源的訪問(wèn)請(qǐng)求進(jìn)行授權(quán)決策；（3）安全審計(jì)：對(duì)系統(tǒng)記錄與活動(dòng)進(jìn)行獨(dú)立審查，發(fā)現(xiàn)訪問(wèn)控制機(jī)制中的安全缺陷，提出安全改進(jìn)建議?！締?wèn)題1】（6分）對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行測(cè)試時(shí)，用戶(hù)權(quán)限控制是其中的一個(gè)測(cè)試重點(diǎn)。對(duì)用戶(hù)權(quán)限控制的測(cè)試應(yīng)包含哪兩個(gè)主要方面？每個(gè)方面具體的測(cè)試內(nèi)容又有哪些？答案:【問(wèn)題1】（6分）對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行測(cè)試時(shí)，用戶(hù)權(quán)限控制是其中的一個(gè)測(cè)試重點(diǎn)。對(duì)用戶(hù)權(quán)限控制的測(cè)試應(yīng)包含哪兩個(gè)主要方面？每個(gè)方面具體的測(cè)試內(nèi)容又有哪些？?jī)蓚€(gè)方面:①評(píng)價(jià)用戶(hù)權(quán)限控制的體系合理性，是否采用三層的管理模式即系統(tǒng)管理員、業(yè)務(wù)領(lǐng)導(dǎo)和操作人員三級(jí)分離；②用戶(hù)名稱(chēng)基本采用中文和英文兩種，對(duì)于測(cè)試來(lái)說(shuō)，對(duì)于用戶(hù)名稱(chēng)的測(cè)試關(guān)鍵在于測(cè)試用戶(hù)名稱(chēng)的唯一性。用戶(hù)名稱(chēng)的唯一性體現(xiàn)有哪些方面？●同時(shí)存在的用戶(hù)名稱(chēng)在不考慮大小的狀態(tài)下，不能夠同名；●對(duì)于關(guān)鍵領(lǐng)域的軟件產(chǎn)品和安全要求較高的軟件，應(yīng)當(dāng)同時(shí)保證使用過(guò)的用戶(hù)在用戶(hù)刪除或停用后，保留該用戶(hù)記錄，并且新用戶(hù)不得與之同名。解析:[問(wèn)答題]13.【問(wèn)題2】（3分）測(cè)試過(guò)程中需對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行模擬攻擊試驗(yàn)，以驗(yàn)證其對(duì)企業(yè)資源非授權(quán)訪問(wèn)的防范能力。請(qǐng)給出三種針對(duì)該系統(tǒng)的可能攻擊，并簡(jiǎn)要說(shuō)明模擬攻擊的基本原理。答案:【問(wèn)題2】（3分）測(cè)試過(guò)程中需對(duì)該訪問(wèn)控制系統(tǒng)進(jìn)行模擬攻擊試驗(yàn)，以驗(yàn)證其對(duì)企業(yè)資源非授權(quán)訪問(wèn)的防范能力。請(qǐng)給出三種針對(duì)該系統(tǒng)的可能攻擊，并簡(jiǎn)要說(shuō)明模擬攻擊的基本原理。模擬攻擊試驗(yàn)：對(duì)于安全測(cè)試來(lái)說(shuō)，模擬攻擊試驗(yàn)是一組特殊的黑盒測(cè)試案例，我們以模擬攻擊驗(yàn)證軟件或信息的安全防護(hù)能力?？刹捎妹俺?、重演、消息篡改、服務(wù)拒絕、內(nèi)部攻擊、外部攻擊、陷阱門(mén)、特洛伊木馬方法進(jìn)行測(cè)試。淚滴（teardrop）。淚滴攻擊利用那些在TCP/IP堆棧實(shí)現(xiàn)中信任IP碎片中的包的標(biāo)題頭所包含的信息實(shí)現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時(shí)將崩潰。防御措施有服務(wù)器應(yīng)用最新的服務(wù)包，或者在設(shè)置防火墻時(shí)對(duì)分段進(jìn)行重組，而不是轉(zhuǎn)發(fā)它們?？诹畈聹y(cè)。一旦黑客識(shí)別了一臺(tái)主機(jī)而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務(wù)的可利用的用戶(hù)賬號(hào)，然后因?yàn)槭褂煤?jiǎn)單的密碼或者沒(méi)有設(shè)密碼，導(dǎo)致黑客能很快的將口令猜出。當(dāng)然事實(shí)上用蠻力是可以破解任何密碼的，關(guān)鍵是是否迅速，設(shè)置的密碼是否能導(dǎo)致黑客花很大的時(shí)間和效率成本。防御措施有要選用難以猜測(cè)的口令，比如詞和標(biāo)點(diǎn)符號(hào)的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍。如果該服務(wù)支持鎖定策略，就進(jìn)行鎖定。偽造電子郵件。由于SMTP并不對(duì)郵件的發(fā)送者的身份進(jìn)行鑒定，因此黑客可以對(duì)你的內(nèi)部客戶(hù)偽造電子郵件，聲稱(chēng)是來(lái)自某個(gè)客戶(hù)認(rèn)識(shí)并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個(gè)引向惡意網(wǎng)站的鏈接。防御措施有使用PGP等安全工具并安裝電子郵件證書(shū)。解析:[問(wèn)答題]14.【問(wèn)題3】（3分）對(duì)該系統(tǒng)安全審計(jì)功能設(shè)計(jì)的測(cè)試點(diǎn)應(yīng)包括哪些？答案:【問(wèn)題3】（3分）對(duì)該系統(tǒng)安全審計(jì)功能設(shè)計(jì)的測(cè)試點(diǎn)應(yīng)包括哪些？對(duì)該系統(tǒng)安全審計(jì)功能設(shè)計(jì)的測(cè)試點(diǎn)應(yīng)包括:①能否進(jìn)行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲(chǔ)，集中進(jìn)行安全審計(jì)；②是否支持基于PKI的應(yīng)用審計(jì)；③是否支持基于XML的審計(jì)數(shù)據(jù)采集協(xié)議；④是否提供靈活的自定義審計(jì)規(guī)則。解析:[問(wèn)答題]15.試題五（共12分）軟件可靠性測(cè)試閱讀以下說(shuō)明，回答問(wèn)題1至問(wèn)題3，將解答填入答題紙的對(duì)應(yīng)欄內(nèi)。【說(shuō)明】現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對(duì)軟件的依賴(lài)越來(lái)越強(qiáng)，對(duì)軟件可靠性的要求也越來(lái)越來(lái)高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測(cè)試技術(shù)也日益迫切?！締?wèn)題1】（5分）一個(gè)完整的軟件可行性測(cè)試