2025年下半年軟件水平考試中級軟件評測師下午應用技術真

下六個月軟件水平考試（中級）軟件評測師下午（應用技術）真題試卷(題後含答案及解析)題型有：1.試題一2.試題二3.試題三4.試題四5.試題五試題一（15分）閱讀下列Java程序，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)?！綣ava程序】1．【問題1】請簡述基本途徑測試法的概念。對的答案：基本途徑測試法是在程序控制流圖的基礎上，通過度析控制構造的環(huán)路復雜性，導出基本可執(zhí)行途徑集合，從而設計測試用例的措施。解析：本題考察白盒測試法的應用。本問題考察白盒測試用例設計措施中的基本途徑測試法?；就緩綔y試法是在程序控制流圖的基礎上，通過度析控制構造的環(huán)路復雜性，導出基本可執(zhí)行途徑集合，從而設計測試用例的措施。2．【問題2】請畫出上述程序的控制流圖，并計算其控制流圖的環(huán)路復雜度V(G)。對的答案：控制流圖環(huán)路復雜度V(G)=5解析：本問題考察白盒測試用例設計措施：基本途徑測試法。波及到的知識點包括根據(jù)代碼繪制控制流圖、計算環(huán)路復雜度?？刂屏鲌D是描述程序控制流的一種圖示方式，它由節(jié)點和定向邊構成?？刂屏鲌D的節(jié)點代表一種基本塊，定向邊代表控制流的方向。其中要尤其注意的是，假如判斷中的條件體現(xiàn)式是復合條件，即條件體現(xiàn)式是由一種或多種邏輯運算符連接的邏輯體現(xiàn)式，則需要變化復合條件的判斷為一系列之單個條件的嵌套的判斷。本題程序中，這條判斷語句中的鑒定由兩個條件構成，因此在畫控制流圖的時候需要拆開成兩條判斷語句。需要注意的是，復合條件之間是“&&”的關系還是“‖”的關系反應在控制流圖的畫法是不一樣的。程序的環(huán)路復雜度等于控制流圖中鑒定節(jié)點的個數(shù)加1，本題控制流圖中鑒定節(jié)點個數(shù)為4，因此V(G)=5。3．【問題3】請給出問題2中控制流圖的線性無關途徑。對的答案：線性無關途徑：1．1-2-4-5-6-8-9-102．1-2-4-5-7-8-9-10(1-2-4-5-7-8-10)3．1-2-4-5-6-8-10(1-2-4-5-7-8-10)4．1-2-3-4-5-6-8-9-10(1-2-3-4-5-7-8-9-10，1-2-3-4-5-6-8-10，1-2-3-4-5-7-8-10)5．1-2-3-8-9-10(1-2-3-8-10)解析：本問題考察白盒測試用例設計措施：基本途徑法。波及到的知識點包括：根據(jù)控制流圖和環(huán)路復雜度給出線性無關途徑。線性無關途徑是指包括一組此前沒有處理的語句或條件的途徑。從控制流圖上來看，一條線性無關途徑是至少包括一條在其他線性無關途徑中從未有過的邊的途徑。程序的環(huán)路復雜度等于線性無關途徑的條數(shù)，因此本題中應當有5條線性無關途徑。試題二（15分）閱讀下列闡明，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)?！娟U明】某商店的貨品價格(P)都不不小于20元(且為整數(shù))，假設顧客每次付款為20元且每次限購一件商品，既有一種軟件能在每位顧客購物後給出找零錢的最佳組合(找給顧客貨幣張數(shù)至少)。假定此商店的找零貨幣面值只包括：10元(N10)、5元(N5)、1元(N1)3種。4．【問題1】請采用等價類劃分法為該軟件設計測試用例(不考慮P為非整數(shù)的狀況)并填入到下表中。(＜＜N1，2＞＞表達2張1元，若無輸出或輸出非法，則填N／A)對的答案：解析：本題考察白盒測試法和黑盒測試法的應用。本問題考察黑盒測試用例設計措施：等價類劃分法。等價類劃分法是把程序的輸入域按規(guī)則劃分為若干子集，然後從每個子集中選用一種具有代表性的數(shù)據(jù)作為測試用例。本題中規(guī)定了P的取值范圍(1＜=P＜=20)，按規(guī)則可以劃分為一種有效等價類{P｜1＜=P＜=20}和兩個無效等價類{P｜P＜1}、{P｜P＞20}。根據(jù)題中描述，對P取不一樣值有不一樣的處理，因此上述有效等價類還可以深入細分為8個等價類{P｜P=20}、{P｜15＜P＜20}、{P｜P=15}、{p｜10＜P＜15}、{P｜P=10}、{P｜5＜P＜10}、{P｜P=5}、{P｜0＜P＜5}。這樣一共得到10個等價類，包括8個有效等價類{P｜P=20)、{P｜15＜P＜20)、{P｜P=15}、{P｜10＜P＜15}、{P｜P=10)、{P｜5＜P＜10)、{P｜P=5)、{P｜0＜P＜5)和兩個無效等價類{P｜P＜1)、{P＜P＞20}。設計用例時從這10個等價類中各任選一種代表元素即可。5．【問題2】請采用邊界值分析法為該軟件設計測試用例。對的答案：解析：本問題考察白盒測試用例設計措施：邊界值分析法。邊界值分析法作為等價類劃分法的一種補充，是把等價類上的邊界取值作為測試用例的一種測試措施。假如不考慮強健性測試，也就是假如說不考慮無效等價類的邊界取值，8個有效等價類中有20，19，16，15，14，11，10，9，6，5，4，1這12個邊界值，然後每個等價類中再取1個任意值，一共得到16個邊界值的測試用例({P｜P=20)、{P｜P=15)、{P｜P=10)、{P｜P=5)這4個等價類的任意值是20，15，10，5，與邊界值有反復)。6．【問題3】請給出采用決策表法進行測試用例設計的重要環(huán)節(jié)。對的答案：(1)確定規(guī)則的個數(shù)。(2)列出所有的條件樁和動作樁。(3)填入條件項和動作項。(4)合并相似規(guī)則，化簡決策表。解析：本問題考察黑盒測試中決策表法。采用決策表法設計測試用例分為四步：1)確定規(guī)則的個數(shù)；2)列出所有的條件樁和動作樁；3)填入條件項和動作項；4)合并相似規(guī)則，化簡決策表。試題三（15分）閱讀下列闡明，回答問題1至問題4，將解答填入答題紙的對應欄內(nèi)。【闡明】某MOOC(慕課)教育平臺欲開發(fā)一基于Web的在線作業(yè)批改系統(tǒng)，以實現(xiàn)高效的作業(yè)提交與批改并進行記錄。系統(tǒng)頁面中波及內(nèi)部內(nèi)容的鏈接、外部參照鏈接以及郵件鏈接等。頁面中采用表單實現(xiàn)作業(yè)題目的打分和評價，其中打分為1～5分制整數(shù)，評價為文本。系統(tǒng)要支持：(1)在特定期期內(nèi)300個顧客并發(fā)時，重要功能的處理能力至少要到達16個祈求／秒，平均數(shù)據(jù)量16kB／祈求；(2)系統(tǒng)前端采用HTML5實現(xiàn)，以使顧客可以通過不一樣的移動設備的瀏覽器進行訪問。7．【問題1】針對此在線系統(tǒng)進行鏈接測試時，需要測試哪些方面?對的答案：內(nèi)部鏈接測試、外部鏈接測試、郵件鏈接測試、斷鏈測試。解析：本題考察Web應用鏈接測試的內(nèi)容。題目中波及到內(nèi)部內(nèi)容的鏈接、外部參照鏈接以及郵件鏈接，因此均需要測試。還要進行斷鏈測試，測試每個鏈接與否有斷鏈。8．【問題2】為了到達系統(tǒng)要支持的(2)，設計一種兼容性測試矩陣。對的答案：解析：本題考察Web應用兼容性測試的內(nèi)容。Web應用的兼容性是測試的重要方面，包括：瀏覽器兼容性、操作系統(tǒng)平臺兼容性、移動瀏覽、打印選項等。本系統(tǒng)前端采用HTML5實現(xiàn)，以使顧客可以通過不一樣的移動設備、操作系統(tǒng)和瀏覽器進行訪問，因此需要針對一般設備和移動設備，進行操作系統(tǒng)平臺和瀏覽器的兼容性測試。包括Windows系列、Linux系列、移動操作系統(tǒng)iOS、Android，與其上可以使用的瀏覽器進行結(jié)合，構建兼容性二維矩陣，行列分別表達操作系統(tǒng)平臺和瀏覽器。測試時分別在單元格記錄操作系統(tǒng)和瀏覽器組合的測試狀況。9．【問題3】給出計算系統(tǒng)的通信吞吐量的措施，并計算在滿足系統(tǒng)要支持的(1)時系統(tǒng)的通信吞吐量。對的答案：通信吞吐量：P=N(并發(fā)顧客的數(shù)量=300)×T(每單位時間的在線事務數(shù)量=16)×D(事務服務器每次處理的數(shù)據(jù)負載=16kB／S)本系統(tǒng)滿足條件(1)時的通信吞吐量為：300×16×16=76800kB／S(75MB／S)。解析：本題考察Web應用系統(tǒng)的性能指標計算。通信吞吐量，設定如下指標參數(shù)：N：并發(fā)顧客的數(shù)量T：每單位時間的在線事務數(shù)量D：事務服務器每次處理的數(shù)據(jù)負載P：系統(tǒng)的通信吞吐量有如下計算公式：P=N×T×D本題中系統(tǒng)規(guī)定支持的(1)中給出300個顧客并發(fā)，即N=300；重要功能的處理能力至少要到達16個祈求／秒，即T=16；平均數(shù)據(jù)量16kB／祈求，即D=16kB／S。則可得：通信吞吐量P=300×16×16=76800kB／S(75MB／S)。10．【問題4】設計4個打分和評價的測試輸入，考慮多種方面的測試，如：對的輸入、錯誤輸入、XSS、SQL注入等測試。對的答案：(1)打分為任何在1～5范圍內(nèi)的數(shù)字，評價為任意文本；(2)打分為任何在1～5范圍外的數(shù)字，評價為任意文本；(3)打分和評價其中任一字段包括HTML標簽，如：＜HTML＞，＜SCRIPT＞等；(4)打分和評價其中任一字段包括SQL功能符號，如包括’，OR、’--、’OR‘1’=‘1’等。解析：本題考察Web應用測試的輸入方面，包括輸入的不一樣狀況、安全性方面的SQL注入和XSS跨站襲擊。打分和評價的測試輸入應當考慮的取值范圍之內(nèi)和之外以及文本中的內(nèi)容：(1)打分為任何在1～5范圍內(nèi)的數(shù)字，評論為任意文本；(2)打分為任何在1～5范圍外的數(shù)字，評論為任意文本；輸入的內(nèi)容中輸入符號也許會傳到後臺引起安全問題。許多Web應用系統(tǒng)采用某種數(shù)據(jù)庫，接受顧客從Web頁面中輸入，完畢展示有關存儲的數(shù)據(jù)、將輸入數(shù)據(jù)存儲到數(shù)據(jù)庫(如顧客輸入表單中數(shù)據(jù)域并點擊提交後，系統(tǒng)將信息存入數(shù)據(jù)庫)等操作。在有些狀況下，將顧客輸入的數(shù)據(jù)和設計好的SQL拼接後提交給數(shù)據(jù)庫執(zhí)行，就也許存在顧客輸入的數(shù)據(jù)并非設計的對的格式，就給惡意顧客提供了破壞的機會，即SQL注入。惡意顧客輸入不期望的數(shù)據(jù)，拼接後提交給數(shù)據(jù)庫執(zhí)行，導致也許使用其他顧客身份、查看其他顧客的私密信息，還也許修改數(shù)據(jù)庫的構造，甚至是刪除應用的數(shù)據(jù)庫表等嚴重後果。SQL注入在使用SSL，的應用中仍然存在，甚至是防火墻也無法防止SQL注入。因此，在測試Web應用時，需要認真仔細設計測試用例，進行認真嚴格的測試，以保證假如存在SQL注入可以及早發(fā)現(xiàn)。本系統(tǒng)測試時，設計測試如為：對打分和評價中任一字段設計包括SQL功能符號，如包括‘，OR、’--、’OR‘1’=‘1’等，檢查成果與否導致注入問題。許多Web應用系統(tǒng)在某些狀況下，接受頁面上傳的內(nèi)容，并入新頁面，作為新頁面的內(nèi)容。例如，在本系統(tǒng)中進行打分和評論後，學生查看時顯示和評價的內(nèi)容。假如顧客可以輸入如下帶有HTML標識的內(nèi)容：即新顧客所看到的網(wǎng)頁中顯示Clickme!，當顧客鼠標移過此文字時，就會彈出窗口(左側(cè)為Chrome彈出，右側(cè)為IE9直接給出的提醒窗口，多次鼠標滑過操作Chrome提醒窗口多了一行瀏覽器對制止此類代碼的創(chuàng)立新窗口的選項，F(xiàn)irefox類似)：而假如此類代碼都可以執(zhí)行，就存在被真正惡意襲擊者襲擊的也許，并且也許導致各類安全問題。因此網(wǎng)站提交代碼中的任何腳本、頁面功能符號都不應當被直接接受以作為功能符號在後續(xù)使用。因此測試時需要考慮設計包括HTML標識符、腳本等測試輸入，如＜HTML＞、＜script＞、＜b＞等功能符號。試題四（15分）閱讀下列闡明，回答問題1至問題3，將解答填入答題紙的對應欄內(nèi)?！娟U明】某嵌入式系統(tǒng)中，存在16路數(shù)據(jù)采集通道。為了提高數(shù)據(jù)采集的可靠性，對16路采集通道均采用雙余度設計；為了監(jiān)控采集通道與否發(fā)生故障，對各路雙余度通道采集值進行比較。只有當該通道兩個余度設備采集值均不不不小于45時，才表達該路通道正常。設計人員設計函數(shù)用于記錄無端障通道數(shù)目，在該函數(shù)的設計中考慮了如下原因：(1)采用如下數(shù)據(jù)構造存儲通道號及采集值：(2)當輸入?yún)?shù)異常時，函數(shù)返回-1；(3)若對的記錄了無端障通道數(shù)目，則返回該數(shù)目；(4)該函數(shù)需要兩個輸入?yún)?shù)，第一種參數(shù)是用于存儲通道號及余度采集值的數(shù)組，第二個參數(shù)為通道總數(shù)目；(5)調(diào)用函數(shù)sort()對存儲通道號及余度采集值的數(shù)組進行排序處理。開發(fā)人員根據(jù)上述規(guī)定使用ANSIC對代碼實現(xiàn)如下(代碼中每行的第一種數(shù)字代表行號)：11．【問題1】嵌入式軟件中一般使用函數(shù)扇出數(shù)和注釋率來衡量程序的可維護性，請計算函數(shù)[*]的扇出數(shù)和注釋率，并判斷此函數(shù)扇出數(shù)和注釋率與否符合嵌入式軟件的一般規(guī)定。對的答案：扇出數(shù)：1注釋率：28．6％(4／14)嵌入式軟件一般規(guī)定扇出數(shù)不不小于7和注釋率不不不小于20％，因此此函數(shù)扇出數(shù)和注釋率均符合規(guī)定。解析：本題考察軟件測試的某些基本概念和通過代碼審查查找軟件缺陷以及設計測試用例的能力。此題目規(guī)定考生認真閱讀題目所給的軟件設計闡明信息和軟件代碼，熟悉構造體數(shù)據(jù)類型和不一樣代碼覆蓋率的規(guī)定，結(jié)合軟件測試盼某些基本概念，在此嵌入式軟件中進行實際應用。扇出數(shù)指在構造圖中，模塊所屬的直接下級模塊個數(shù)，即本模塊所調(diào)用的模塊數(shù)目。模塊的扇出數(shù)為1。注釋率指代碼中注釋的行數(shù)與代碼總行數(shù)的比率，即注釋行數(shù)／代碼總行數(shù)×100％所得的成果。模塊的注釋率為4／14×100％=28．6％。為了保證軟件的可維護性，嵌入式軟件的有關原則中一般規(guī)定模塊的扇出應控制在7如下，注釋的行數(shù)不得少于源程序總行數(shù)的1／5。模塊的扇出數(shù)為1，注釋率為28．6％，均滿足嵌入式軟件的一般規(guī)定。12．【問題2】請使用代碼審查的措施找出該程序中所包括的至少4處錯誤，指出錯誤所在的行號和問題描述。對的答案：解析：代碼審查是不執(zhí)行軟件代碼，而通過閱讀軟件代碼發(fā)現(xiàn)代碼也許存在的錯誤的過程。代碼審查的測試內(nèi)容包括檢查代碼和設計的一致性；檢查代碼執(zhí)行原則的狀況；檢查代碼邏輯體現(xiàn)的對的性；檢查代碼構造的合理性；檢查代碼的可讀性。通過對闡明的閱讀，按照闡明中描述的規(guī)定進行模塊的代碼審查。閱讀第1行代碼，函數(shù)返回值定義為unsignedint；而在闡明的第(2)條描述了當輸入?yún)?shù)異常時，函數(shù)返回．1；這樣發(fā)現(xiàn)闡明和代碼不一致，顯然代碼定義的unsignedint不能返回－1，此為第1處錯誤。修改函數(shù)返回值的定義為int類型即可。閱讀第4行代碼，定義了無端障通道數(shù)目counter，在定義時未進行初始化，并且在11行使用前仍然未初始化。這就導致counter的初值為非確定值，也許出錯，此為第2處錯誤。在第4行定義counter時初始化為0或者在使用前進行初始化為0均可。第5行代碼對模塊輸入?yún)?shù)進行合法性檢查，num合法值為1至16；然後查找使用num之處，在第8行對num進行了使用，但第8行使用時卻從0開始，并且是不不小于等于num，這就意味著假如第5行num值為最大值16，在第8行就需要循環(huán)判斷17次(0到16)，而本題的闡明中描述很清晰，最多就16路通道，此為第3處錯誤。但此問題的更改有兩種方案，方案1可以更改第5行num＞16為num＞=16，縮小此參數(shù)的合法范圍：方案2可以更改第8行n＜=num為n＜num減少循環(huán)次數(shù)。閱讀第10行代碼，對每個通道采集的雙余度值進行有效性判斷。按照闡明，當余度設備采集值均不不不小于45時，才表達該路通道正常；但代碼中使用當余度設備采集值均不小于45時，表達該路通道正常，在對邊界點45的處理上與闡明不一致，此為第4處錯誤。將第10行代碼中的兩個“＞”符號修改為“＞=”即可與闡明一致。13．【問題3】覆蓋率是度量測試完整性的一種手段，也是度量測試有效性的一種手段。在嵌入式軟件白盒測試過程中，一般以語句覆蓋率、分支覆蓋率和MC／DC覆蓋率作為度量指標，請分別指出對函數(shù)到達100％語句覆蓋、100％分支覆蓋和100％MC／DC覆蓋所需的至少測試用例數(shù)目。對的答案：解析：覆蓋率是度量測試完整性的一種手段，也是度量測試有效性的一種手段。在嵌入式軟件白盒測試過程中，一般以語句覆蓋率、分支覆蓋率和MC／DC覆蓋率作為度量指標。語句覆蓋率指程序中每條可執(zhí)行語句至少被執(zhí)行一次。分支覆蓋指程序中每個鑒定取所有也許值至少一次。MC／DC覆蓋率指在一種程序中每一種輸入輸出至少應出現(xiàn)一次，在程序中的每一種條件必須產(chǎn)生所有也許的輸出成果至少一次，并且每個鑒定中的每個條件必須可以獨立影響一種鑒定的輸出，即在其他條件不變的前提下僅變化這個條件的值，而使鑒定成果變化。試題五（15分）閱讀下列闡明，回答問題1至問題4，將解答填入答題紙的對應欄內(nèi)?！娟U明】某互聯(lián)網(wǎng)企業(yè)開發(fā)了一種大型電子商務平臺，平臺重要功能是支持注冊賣家與買家的在線交易。在線交易的安全性是保證平臺正常運行的重要原因，安全中心是平臺中提供安全保護措施的關鍵系統(tǒng)，該系統(tǒng)提供的重要功能包括：(1)密鑰管理功能，包括公鑰加密體系中的公鑰及私鑰生成與管理，會話密鑰的協(xié)商、生成、更新及分發(fā)等。(2)基礎加解密服務，包括基于RSA、ECC及AES等多密碼算法的基本加解密服務。(3)認證服務，提供基于PKI及顧客名／口令的認證機制。(4)授權服務，為應用提供資源及功能的授權管理和訪問控制服務?，F(xiàn)企業(yè)測試部門擬對平臺的密鑰管理與加密服務系統(tǒng)進行安全性測試，以檢查平臺的安全性。14．【問題1】給出安全中心需應對的常見安全襲擊手段并進行簡要闡明。對的答案：該平臺需應對的常見安全襲擊手段應包括：(1)網(wǎng)絡偵聽：指在數(shù)據(jù)通信或數(shù)據(jù)交互的過程中，襲擊者對數(shù)據(jù)進行截取分析，從而實現(xiàn)對包括顧客支付賬號及口令數(shù)據(jù)的非授權獲取和使用。(2)冒充襲擊：襲擊者采用口令猜測、消息重演與篡改等方式，偽裝成另一種實體，欺騙安全中心的認證及授權服務，從而登錄系統(tǒng)，獲取對系統(tǒng)的非授權訪問。(3)拒絕服務襲擊：襲擊者通過對網(wǎng)絡協(xié)議的實現(xiàn)缺陷進行故意襲擊，或通過野蠻手段耗盡被襲擊對象的資源，使電子商務平臺中包括安全中心在內(nèi)的關鍵服務停止響應甚至瓦解，從而使系統(tǒng)無法提供正常的服務或資源訪問。(4)Web安全襲擊：襲擊者通過跨站腳本或SQL注入等襲擊手段，在電子商務平臺系統(tǒng)網(wǎng)頁中植入惡意代碼或在表單中提交惡意SQL命令，從而旁路系統(tǒng)正常訪問控制或惡意盜取顧客信息。解析：軟件系統(tǒng)的安全性是信息安全的一種重要構成部分，對于在線交易業(yè)務來說，安全性更是保證系統(tǒng)正常運行的重要原因，針對安全中心安全保護措施的測試是檢查安全中心可用性的重要手段，本題考察對安全保護措施進行安全性測試的有關知識。本問題考察考生對常見安全襲擊手段的理解。在解答本問題時，應結(jié)合電子商務平臺的業(yè)務特性及題目中給出的安全中心重要功能，給出需應對的常見安全襲擊手段。該平臺需應對的常見安全襲擊手段應包括：(1)網(wǎng)絡偵聽：指在數(shù)據(jù)通信或數(shù)據(jù)交互的過程中，襲擊者對數(shù)據(jù)進行截取分析，從而實現(xiàn)對包括顧客支付賬號及口令數(shù)據(jù)的非授權獲取和使用。(2)冒充襲擊：襲擊者采用口令猜測、消息重演與篡改等方式，偽裝成另一種實體，欺騙安全中心的認證及授權服務，從而登錄系統(tǒng)，獲取對系統(tǒng)的非授權訪問。(3)拒絕服務襲擊：襲擊者通過對網(wǎng)絡協(xié)議的實現(xiàn)缺陷進行故意襲擊，或通過野蠻手段耗盡被襲擊對象的資源，使電子商務平臺中包括安全中心在內(nèi)的關鍵服務停止響應甚至瓦解，從而使系統(tǒng)無法提供正常的服務或資源訪問。(4)Web安全襲擊：襲擊者通過跨站腳本或SQL注入等襲擊手段，在電子商務平臺系統(tǒng)網(wǎng)頁中植入惡意代碼或在表單中提交惡意SQL命令，從而旁路系統(tǒng)正常訪問控制或惡意盜取顧客信息。15．【問題2】針對安全中心的安全性測試，可采用哪些基本的安全性測試措施?對的答案：可采用的基本安全性測試措施包括：(1)功能驗證：采用軟件測試中的黑盒測試措施，對安全中心提供的密鑰管理、加解密服務、認證服務以及授權服務進行功能測試，驗證所提供的對應功能與否有效。(2)漏洞掃描：借助于特定的漏洞掃描工具，對安全中心當?shù)刂鳈C、網(wǎng)絡及對應功能模塊進行掃描，發(fā)現(xiàn)系統(tǒng)中存在的安全性弱點及安全漏洞，從而在安全漏洞導致嚴重危害之前，發(fā)現(xiàn)并加以防備。(3)模擬襲擊試驗：模擬襲擊試驗是一組特殊的黑盒測試案例，通過模擬經(jīng)典的安全襲擊來驗證安全中心的安全防護能力。(4)偵聽測試：通過經(jīng)典的網(wǎng)絡數(shù)據(jù)包獲取技術，在系統(tǒng)數(shù)據(jù)通信或數(shù)據(jù)交互的過程中，對數(shù)據(jù)進行截取分析，從而發(fā)現(xiàn)系統(tǒng)在防止敏感數(shù)據(jù)被竊取方面的安全防護能力。解析：本問題考察考生對安全測試基本措施的理解。在解答本問題時，應針對電子商務平臺的業(yè)務特性及題目中給出的安全中心重要功能，給出對應的安全性測試措施。針對安全中心的安全性測試，可采用的基本安全性測試措施包括：(1)功能驗證：采用軟件測試中的黑盒測試措施，對安全中心提供的密鑰管理、加解密服務、認證服務以及授權服務進行功能測試，驗證所提供的對應功能與否有效。(2)漏洞掃描：借助于特定的漏洞掃描工具，對安全中心當?shù)刂鳈C、網(wǎng)絡及對應功能模塊進行掃描，發(fā)現(xiàn)系統(tǒng)中存在的安全性弱點及安全漏洞，從而在安全漏洞導致嚴重危害之前，發(fā)現(xiàn)并加以防備。(3)模擬襲擊試驗：模擬襲擊試驗是一組特殊的黑盒測試案例，通過模擬經(jīng)典的安全襲擊來驗證安全中心的安全防護能力。(4)偵聽測試：通過經(jīng)典的網(wǎng)絡數(shù)據(jù)包獲取技術，在系統(tǒng)數(shù)據(jù)通信或數(shù)據(jù)交互的過程中，對數(shù)據(jù)進行截取分析，從而發(fā)現(xiàn)系統(tǒng)在防止敏感數(shù)據(jù)被竊取方面的安全防護能力。16．【問題3】請分別闡明針對密鑰管理功能進行功能測試和性能測試各自應包括的基本測試點。對的答案：密鑰管理功能的基本測試點：(1)功能測試①系統(tǒng)與否具有密鑰生成、密鑰發(fā)送、密鑰存儲、密鑰查詢、密鑰撤銷、密鑰恢復等基本功能；②密鑰庫管理功能與否完善：③密鑰管理中心的系統(tǒng)、設備、數(shù)據(jù)、人員等安全管理與否嚴密；④密鑰管理中心的審計、認證、恢復、記錄等系統(tǒng)管理與否具有；⑤密鑰管理系統(tǒng)與證書認證系統(tǒng)之間與否采用基于身份認證的安全通信協(xié)議。(2)性能測試①檢查證書服務器的處理性能與否具有可伸縮配置及擴展能力運用并發(fā)壓力測試工具測試受理點連接數(shù)、簽發(fā)在用證書數(shù)目、密鑰發(fā)放并發(fā)祈求數(shù)與否滿足業(yè)務需求；②測試與否具有系統(tǒng)所需最大量的密鑰生成、存儲、傳送、公布、歸檔等密鑰管理功能；③與否支持密鑰顧客規(guī)定年限的保留期；④與否具有異地容災備份；⑤與否具有可伸縮配置及擴展能力；⑥關鍵部分與否采用雙機熱備和磁盤鏡像。解析：本問題考察密鑰管理