試卷科目：軟件水平考試(中級)軟件評測師案例2012軟件水平考試軟件評測師真題及答案案例PAGE"pagenumber"pagenumber/SECTIONPAGES"numberofpages"numberofpages2012軟件水平考試軟件評測師真題及答案案例第1部分：問答題，共17題，請在空白處填寫正確答案。[問答題]1.試題一（共19分）負載壓力測試【說明】某酒店預訂系統(tǒng)有兩個重要功能，檢索功能和預訂功能。檢索功能根據(jù)用戶提供的關(guān)鍵字檢索出符合條件的酒店列表，預訂功能是對選定的某一酒店進行預訂，現(xiàn)需要對該系統(tǒng)執(zhí)行負載壓力測試。該酒店預訂系統(tǒng)的性能要求為：（1）交易執(zhí)行成功率100%；（2）檢索響應(yīng)時間在3s以內(nèi)；（3）檢索功能支持900個并發(fā)用戶；（4）預訂功能支持100個并發(fā)用戶；（5）CPU利用率不超過85%；（6）系統(tǒng)要連續(xù)穩(wěn)定運行72小時【問題1】（3分）簡述該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型。答案:問題1、該酒店預訂系統(tǒng)在生產(chǎn)環(huán)境下承受的主要負載類型：檢索功能、預訂功能并發(fā)用戶的操作是屬于并發(fā)執(zhí)行負載；連續(xù)運行72小時是屬于疲勞強度負載；大量?稿件查詢?操作是屬于大數(shù)據(jù)量負載解析:[問答題]2.【問題2】（5分）對系統(tǒng)檢索功能執(zhí)行負載壓力測試，測試結(jié)果如表1－1所示。請指出響應(yīng)時間和交易執(zhí)行成功率的測試結(jié)果是否滿足性能需求并說明原因。答案:暫無解析:[問答題]3.【問題3】（5分）對系統(tǒng)檢索功能及預訂功能執(zhí)行負載壓力測試，測試結(jié)果如表1－2所示。請指出服務(wù)器資源利用情況cpu占用率的測試結(jié)果是否滿足性能需求并說明原因。答案:對系統(tǒng)檢索功能執(zhí)行負載壓力測試，響應(yīng)時間和交易執(zhí)行成功率的測試結(jié)果不能滿足性能需求。因為：1、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為900時，其響應(yīng)時間為3.7s與檢索響應(yīng)時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為100%滿足性能需求。2、系統(tǒng)檢索功能執(zhí)行并發(fā)用戶數(shù)為1000時，其響應(yīng)時間為6.6s與檢索響應(yīng)時間在3s以內(nèi)不能滿足性能需求，交易執(zhí)行成功率為98%不能滿足性能100%需求。解析:[問答題]4.【問題4】（6分）根據(jù)【問題2】和【問題3】的測試結(jié)果，試分析該系統(tǒng)的可能瓶頸。答案:【問題4】（6分）根據(jù)【問題2】和【問題3】的測試結(jié)果，該系統(tǒng)的存在瓶頸。服務(wù)器資源利用情況：1在執(zhí)行檢索功能測試時并發(fā)用戶為900、1000時響應(yīng)時間超過3s；2在檢索功能并發(fā)用戶為900，預訂功能并發(fā)用戶數(shù)為100時，CPU占用率（%）（平均值）達到87.3超過85%；3在檢索功能并發(fā)用戶為1000，預訂功能并發(fā)用戶數(shù)為120時，CPU占用率（%）（平均值）達到92.6超過85%；可能的瓶頸如下：（1）服務(wù)器CPU性能不足；（2）數(shù)據(jù)庫設(shè)計不足或者優(yōu)化不夠；（3）檢索功能預訂功能應(yīng)用軟件設(shè)計不足或沒有優(yōu)化；（4）網(wǎng)絡(luò)帶寬不足。解析:[問答題]5.試題二（共15分）白盒測試閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】邏輯覆蓋法是設(shè)計白盒測試用例的主要方法之一，它是通過對程序邏輯結(jié)構(gòu)的遍歷實現(xiàn)程序的覆蓋。針對以下由C語言編寫的程序，按要求回答問題。Struct_ProtobufCIntRange{Intstart_value;Unsignedorig_index;};typedefstruct_ProtobufCIntRangeProtobufCIntRange;intint_range_lookup(unsignedn_ranges,constProtobufCIntRange*ranges,intvalue){unsignedstart,n;start=0;n=n_ranges;while(n>l){//2unsignedmid=start+n/2;if(value<ranges[mid].start_value{//3n=mid-start;//4}elseif(value>=ranges[mid].start_value+(int)(ranges[mid+1].orig_index-ranges[mid].orig_index)){//5unsignednew_start=mid+1;//6n=start+n-new_start;start=new_start;}else//7return(value-ranges[mid].start_value)+ranges[mid].orig_index;}if(n>0){//8unsignedstart_orig_index=ranges[start].orig_index;unsignedrange_size=ranges[start+1].orig_index-start_orig_index;if(ranges[start].start_value<=value&&value<(int)(ranges[start].start_value+range_size))//9,10Return(value-ranges[start].start_value)+start_orig_index;//11}Return-1;//12//13【問題1】（5分）請給出滿足100%DC(判定覆蓋)所需的邏輯條件。答案:【問題1】本問題考查白盒測試用例設(shè)計方法中的判定覆蓋法。判定覆蓋指設(shè)計足夠的測試用例，使得被測程序中每個判定表達式至少獲得一次?真?值和?假?值，從而使程序的每一個分支至少都通過一次。本題中程序有5個判定，所以滿足判定覆蓋一共需要10個邏輯條件，如下表所示。解析:[問答題]6.【問題2】（7分）請畫出上述程序的控制流圖，并計算其控制流圖的環(huán)路復雜度V(G)。答案:【問題2】本問題考查白盒測試用例設(shè)計方法中的基本路徑法。涉及到的知識點包括：根據(jù)代碼繪制控制流圖、計算環(huán)路復雜度?？刂屏鲌D是描述程序控制流的一種圖示方法。其基本符號有圓圈和箭線：圓圈為控制流圖中的一個結(jié)點，表示一個或多個無分支的語句；帶箭頭的線段稱為邊或連接，表示控制流?；窘Y(jié)構(gòu)如下所示：根據(jù)題中程序繪制的控制流圖如下所示。其中要特別注意的是，如果判斷中的條件表達式是復合條件，即條件表達式是由一個或多個邏輯運算符連接的邏輯表達式，則需要改變復合條件的判斷為一系列之單個條件的嵌套的判斷。本題程序中，if(ranges[start].start_value<=value&&value<(int)(ranges[start].start_value+range_size))這條判斷語句中的判定由兩個條件組成，因此在畫控制流圖的時候需要拆開成兩條判斷語句。環(huán)路復雜度用來衡量一個程序模塊所包含的判定結(jié)構(gòu)的復雜程度，數(shù)量上表現(xiàn)為獨立路徑的條數(shù)，即合理地預防錯誤所需測試的最少路徑條數(shù)。環(huán)路復雜度等于圖中判定結(jié)點的個數(shù)加1，圖中判定結(jié)點個數(shù)為6，所以(G)＝7。解析:[問答題]7.【問題3】（3分）請給出【問題2】中控制流圖的線性無關(guān)路徑。答案:【問題3】本問題考查白盒測試用例設(shè)計方法中的基本路徑法。[path1]1-2-8-9-10-11-13[path2]1-2-8-9-10-11-12[path3]1-2-8-9-10-12-13[path4]1-2-8-9-12-13[path5]1-2-3-4-2?[path6]1-2-3-5-6-2?[path71-2-3-5-7-2?解析:[問答題]8.試題三（共17分）WEB鏈接、安全測試閱讀下列說明回答問題1至問題4，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】某企業(yè)想開發(fā)一套B2C系統(tǒng)，其主要目的是在線銷售商品和服務(wù)，使顧客可以在線瀏覽和購買商品和服務(wù)，系統(tǒng)的用戶的IT技能，訪問系統(tǒng)的方式差異較大，因此系統(tǒng)的易用性、安全性、兼容性等方面的測試至關(guān)重要。系統(tǒng)要求：（1）所有鏈接都要正確；（2）支持不同移動設(shè)備，操作系統(tǒng)和瀏覽器；（3）系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應(yīng)用內(nèi)部的內(nèi)容?！締栴}1】（5分）簡要敘述鏈接測試的目的以及測試的主要內(nèi)容。答案:【問題1】（5分）鏈接測試的目的：用來檢驗Web網(wǎng)站提供信息的正確性、準確性和相關(guān)性。測試的主要內(nèi)容：系統(tǒng)的鏈接測試主要測試如下3個方面：1)每個鏈接是否能夠鏈接到目標頁面2)被鏈接的頁面是否存在3)是否存在孤立頁面解析:[問答題]9.【問題2】（4分）簡要敘述為了達到系統(tǒng)要求（2），要測試哪些方面的兼容性。答案:【問題2】（4分）為了達到系統(tǒng)要求能支持不同移動設(shè)備，操作系統(tǒng)和瀏覽器；要測試的兼容性見下表：解析:[問答題]10.【問題3】（4分）本系統(tǒng)強調(diào)安全性，簡要敘述Web應(yīng)用安全測試應(yīng)考慮哪些方面。答案:Web應(yīng)用安全測試應(yīng)考慮下面內(nèi)容：目錄測試SSL套接字測試登錄驗證日志文件腳本語言解析:[問答題]11.【問題4】（4分）針對系統(tǒng)要求（3），設(shè)計測試用例以測試Web應(yīng)用的安全性。答案:【問題4】（4分）系統(tǒng)需通過SSL進行訪問，沒有登錄的用戶不能訪問應(yīng)用內(nèi)部的內(nèi)容。設(shè)計測試用例以測試Web應(yīng)用的安全性。解析：SSL協(xié)議提供的服務(wù)主要有：1）認證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務(wù)器；2）加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊??；3）維護數(shù)據(jù)的完整性，確保數(shù)據(jù)在傳輸過程中不被改變。第4問需要為Web應(yīng)用的安全性設(shè)計測試用例，這里強調(diào)通過SSL（安全套接字）來進行訪問，因此設(shè)計測試用例要考慮加密是否正確、信息是否完整等因素。解析:[問答題]12.試題四（共12分）安全測試閱讀下列說明，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】某企業(yè)為防止自身信息資源的非授權(quán)訪問，建立了如圖4－1所示的訪問控制系統(tǒng)企業(yè)訪問控制系統(tǒng)該系統(tǒng)提供的主要安全機制包括：（1）認證：管理企業(yè)的合法用戶，驗證用戶所宣稱身份的合法性，該系統(tǒng)中的認證機制集成了基于口令的認證機制和基于PKI的數(shù)字證書認證機制；（2）授權(quán)：賦予用戶訪問系統(tǒng)資源的權(quán)限，對企業(yè)資源的訪問請求進行授權(quán)決策；（3）安全審計：對系統(tǒng)記錄與活動進行獨立審查，發(fā)現(xiàn)訪問控制機制中的安全缺陷，提出安全改進建議。【問題1】（6分）對該訪問控制系統(tǒng)進行測試時，用戶權(quán)限控制是其中的一個測試重點。對用戶權(quán)限控制的測試應(yīng)包含哪兩個主要方面？每個方面具體的測試內(nèi)容又有哪些？答案:【問題1】（6分）對該訪問控制系統(tǒng)進行測試時，用戶權(quán)限控制是其中的一個測試重點。對用戶權(quán)限控制的測試應(yīng)包含哪兩個主要方面？每個方面具體的測試內(nèi)容又有哪些？兩個方面:①評價用戶權(quán)限控制的體系合理性，是否采用三層的管理模式即系統(tǒng)管理員、業(yè)務(wù)領(lǐng)導和操作人員三級分離；②用戶名稱基本采用中文和英文兩種，對于測試來說，對于用戶名稱的測試關(guān)鍵在于測試用戶名稱的唯一性。用戶名稱的唯一性體現(xiàn)有哪些方面？●同時存在的用戶名稱在不考慮大小的狀態(tài)下，不能夠同名；●對于關(guān)鍵領(lǐng)域的軟件產(chǎn)品和安全要求較高的軟件，應(yīng)當同時保證使用過的用戶在用戶刪除或停用后，保留該用戶記錄，并且新用戶不得與之同名。解析:[問答題]13.【問題2】（3分）測試過程中需對該訪問控制系統(tǒng)進行模擬攻擊試驗，以驗證其對企業(yè)資源非授權(quán)訪問的防范能力。請給出三種針對該系統(tǒng)的可能攻擊，并簡要說明模擬攻擊的基本原理。答案:【問題2】（3分）測試過程中需對該訪問控制系統(tǒng)進行模擬攻擊試驗，以驗證其對企業(yè)資源非授權(quán)訪問的防范能力。請給出三種針對該系統(tǒng)的可能攻擊，并簡要說明模擬攻擊的基本原理。模擬攻擊試驗：對于安全測試來說，模擬攻擊試驗是一組特殊的黑盒測試案例，我們以模擬攻擊驗證軟件或信息的安全防護能力?？刹捎妹俺?、重演、消息篡改、服務(wù)拒絕、內(nèi)部攻擊、外部攻擊、陷阱門、特洛伊木馬方法進行測試。淚滴（teardrop）。淚滴攻擊利用那些在TCP/IP堆棧實現(xiàn)中信任IP碎片中的包的標題頭所包含的信息實現(xiàn)自己的攻擊。IP分段含有指示該分段所包含的是原包的哪一段的信息，某些TCP/IP（包括servicepack4以前的NT）在收到含有重疊偏移的偽造分段時將崩潰。防御措施有服務(wù)器應(yīng)用最新的服務(wù)包，或者在設(shè)置防火墻時對分段進行重組，而不是轉(zhuǎn)發(fā)它們?？诹畈聹y。一旦黑客識別了一臺主機而且發(fā)現(xiàn)了基于NetBIOS、Telnet或NFS這樣的服務(wù)的可利用的用戶賬號，然后因為使用簡單的密碼或者沒有設(shè)密碼，導致黑客能很快的將口令猜出。當然事實上用蠻力是可以破解任何密碼的，關(guān)鍵是是否迅速，設(shè)置的密碼是否能導致黑客花很大的時間和效率成本。防御措施有要選用難以猜測的口令，比如詞和標點符號的組合。確保像NFS、NetBIOS和Telnet這樣可利用的服務(wù)不暴露在公共范圍。如果該服務(wù)支持鎖定策略，就進行鎖定。偽造電子郵件。由于SMTP并不對郵件的發(fā)送者的身份進行鑒定，因此黑客可以對你的內(nèi)部客戶偽造電子郵件，聲稱是來自某個客戶認識并相信的人，并附帶上可安裝的特洛伊木馬程序，或者是一個引向惡意網(wǎng)站的鏈接。防御措施有使用PGP等安全工具并安裝電子郵件證書。解析:[問答題]14.【問題3】（3分）對該系統(tǒng)安全審計功能設(shè)計的測試點應(yīng)包括哪些？答案:【問題3】（3分）對該系統(tǒng)安全審計功能設(shè)計的測試點應(yīng)包括哪些？對該系統(tǒng)安全審計功能設(shè)計的測試點應(yīng)包括:①能否進行系統(tǒng)數(shù)據(jù)收集，統(tǒng)一存儲，集中進行安全審計；②是否支持基于PKI的應(yīng)用審計；③是否支持基于XML的審計數(shù)據(jù)采集協(xié)議；④是否提供靈活的自定義審計規(guī)則。解析:[問答題]15.試題五（共12分）軟件可靠性測試閱讀以下說明，回答問題1至問題3，將解答填入答題紙的對應(yīng)欄內(nèi)?！菊f明】現(xiàn)代軟件的飛速發(fā)展，使得系統(tǒng)對軟件的依賴越來越強，對軟件可靠性的要求也越來越來高，因此發(fā)展以發(fā)現(xiàn)軟件可靠性缺陷為目的的可靠性測試技術(shù)也日益迫切?！締栴}1】（5分）一個完整的軟件可行性測試