信息系統(tǒng)項目管理師考試答題技巧和復(fù)習(xí)重點

一.上午的選擇題技巧

對于沒有確定把握的題，按自己的第一選擇

1.概念、公式類題目，答案選最長的

2.選擇某一選項為其他選項合集的

3.如果選項中有二選項相背，則答案位于其中

4.選擇提干與核心詢匯一致的

5.模型相關(guān)的選擇題：帶有循環(huán)、原型驅(qū)動等關(guān)鍵詞的選擇螺旋模型；需求確定、傳統(tǒng)的選擇瀑布原

型；需求不確定、面向?qū)ο蟮倪x擇迭代模型或者噴泉模型

6.要掌握5類計算，如下：

1）靜態(tài)回收期/投資回報率

2）動態(tài)回收期/投資收益率

3）關(guān)鍵路徑和活動6參數(shù)

4）三點估算

5）掙值分析績效控制

6）決策樹

二.下午案例分析

L三個基本觀點

1）項目以階段化管理，迭代開發(fā)為主線

2）以范圍、質(zhì)量、成本、周期之間相互約束，保持平衡為主線

3）項目的結(jié)構(gòu)化管理，要具備艮好的請示匯報關(guān)系，保障責(zé)任唯一性

2.如果你實在是不知道怎么寫，還可以從案例中找出錯誤的地方，然后往正確方向?qū)懀烙嬕材艿眉?/p>

格分

3.四種答題思路

一、職能/機(jī)構(gòu)的作用：

1）統(tǒng)一組織，建立良好的請示匯報關(guān)系，建立相關(guān)職能崗位的說明書。

2）統(tǒng)一流程，制訂該組織工作的制度，行為規(guī)范。

3）通一績效，制訂嚴(yán)格的考核體系，實行獎懲制度。

二、計劃編制類

1）識別計劃目標(biāo)、約束等因素。

2）采用合理方法、工具等支持編制。

3）做好計劃的相關(guān)干系人共同參與的評審，形成計劃基線。

4）做好計劃的跟蹤控制，持續(xù)優(yōu)化改進(jìn)。

三、控制類

1）建立干系人認(rèn)可的計劃或基線。

2）識別偏差：以定期等工作方式收集相關(guān)問題。

3）分析偏差：做好相關(guān)問題剖析。

4）糾正偏差：制定相關(guān)問題的改正措施。

5）制定新的計劃：通過相關(guān)干系人協(xié)商，將問題改正措施納入到后期計劃或基線中。

四、評估/評審類

1）識別相關(guān)關(guān)注點或需求。

2）制定反映關(guān)注點或需求的指標(biāo)體系。

3）根據(jù)項目特點，確定指標(biāo)權(quán)重。

4）制定指標(biāo)的度量準(zhǔn)則，形成評審或評估的操作規(guī)程。

三.下午論文

掌握一個框架：論文八段式結(jié)構(gòu)

1）摘要

2）項目背景與崗位工作說明

3）在項目實施過程出現(xiàn)的問題，你作為什么角色，如何解決了問題

4）首先，針對某某問題，項目出現(xiàn)的矛盾，如何解決，解決的效果

5）其次，°oo

6）再次，

7）項目驗收與項目干系人的滿意程度

8）展望，說出對于其他項目的借鑒作用

高項考試答題技巧：

1）對項目管理知識結(jié)構(gòu)要熟悉要做題

2）還有技術(shù)部分也是

3）法律法規(guī)是考前2周突擊的

4）組織級管理比較簡單也可以做一做題，做題是幫助你建立知識結(jié)構(gòu)的。

5）論文一定要背44個子過程，需要寫子過程的輸入輸出和工具方法。不

要花太多時間在論文上面，參照下午輔導(dǎo)的5-4星級范文（281頁）寫2片論文

提交上來，這就相當(dāng)于考試時的模板套路了。案例分析需要從題干找線索，有思

路就行。

案例分析（形式化技巧）

1）答題要編號

2）答題時盡可能多用術(shù)語

3）每條至少十五字

4）空白之處要寫滿

5）卷面整潔干凈不出現(xiàn)任何涂改痕跡（形式比內(nèi)容更重要）千萬不要用英文代替

6）根據(jù)題干找答案

7）問題前后是有關(guān)聯(lián)的，看完題目再作答

8）輸入輸出論文寫作的建議：注意論文不能創(chuàng)新，必須要按照套路交寫。論文寫作的過程中不能有停

頓，否則寫作的時間就會不夠，所以必須練習(xí)?？匆寻l(fā)書的下午輔導(dǎo)：

232頁：論文框架背景+知識應(yīng)用（理論聯(lián)系實際）+總結(jié)

379頁：看B.2論文評分標(biāo)準(zhǔn)B,了解評分標(biāo)準(zhǔn)。

233頁：論文布局先寫摘要一定要按照套路寫

235頁正文寫法：

1.背景（準(zhǔn)備800字）需要寫明業(yè)務(wù)內(nèi)容、工期等體現(xiàn)項目的真實性項目周期?般為：6-12個月，項目金

額：軟件項目100-1000萬，硬件項目1億左右，一定要寫明自己在項目中的職務(wù)是項目經(jīng)理。不要有圖、

表、流程圖。

2.知識點應(yīng)用（1000-1500字占正文的一半左右）每個子過程都需要單獨標(biāo)題分條敘述考試時不能打括號說

明工具和方法需要舉1-2個例子，例子一定要具體不要用XX代替。主要就是羅列輸入輸出方法后把實際工

作經(jīng)驗鑲嵌進(jìn)去。

3.項目總結(jié)可以先對前面的知識點應(yīng)用回顧一遍，再指出不足。寫總結(jié)時一定不能謙虛，時項目的評價都是

好上加好略有不足，而且這些不足不能反映實際問題，最好是一些隔靴搔癢、可有可無的問題。附言：最

新版的招標(biāo)法（采購法合同法監(jiān)理等）、軟件工程規(guī)范的文檔、綜合布線、機(jī)房規(guī)范、技術(shù)部分（較難，軟

件占80%）、配置管理這些老師建議在考前2周看一下，這些內(nèi)容都在作業(yè)系統(tǒng)的資料下載里面有個壓縮文

件夾“曹老師補(bǔ)充上課資料(最新)”里面能夠找到。

這個是上課時老師講到的我?guī)痛蠹铱偨Y(jié)了一下希望能對大家有幫助。

“程序流程圖、數(shù)據(jù)流程圖等“是結(jié)構(gòu)化方法使用的主要分析設(shè)計工具，而“先開發(fā)一個簡化系統(tǒng)，待用戶

認(rèn)可后

再開發(fā)最終系統(tǒng)”則是原型法的特征。

安全審計屬于安全管理類產(chǎn)品，安全審計產(chǎn)品主要包括主機(jī)類、網(wǎng)絡(luò)類及數(shù)據(jù)庫類和業(yè)務(wù)應(yīng)

用系統(tǒng)級的審計產(chǎn)品。

國家電子政務(wù)總體框架的構(gòu)成包括：服務(wù)與應(yīng)用系統(tǒng)、信息資源、基礎(chǔ)設(shè)施、

法律法規(guī)與標(biāo)

準(zhǔn)化體系、管理體制；推進(jìn)國家電了?政務(wù)建設(shè)，服務(wù)是宗旨，應(yīng)用是關(guān)鍵，信息資源開發(fā)利

用是主線，基礎(chǔ)設(shè)施是支撐，法律法規(guī)、標(biāo)準(zhǔn)化體系、管理體制是保障。

V模型的價值在于它非常明確地標(biāo)明了測試過程中存在的不同級別，并且清楚

地描述了這些測試階段和開發(fā)各階段的對應(yīng)關(guān)系。

(1)單元測試的主要目的是針對編碼過程中可能存在的各種錯誤，例如用戶輸入驗證過

程中的邊界值的錯誤。

(2)集成測試上要目的是針對詳細(xì)設(shè)計中可能存在的問題，尤其是檢查各單元與其他程

序部分之間的接口上可能存在的錯誤。

(3)系統(tǒng)測試主要針對概要設(shè)計，檢查系統(tǒng)作為一個整體是否有效地得到運行，例如在

產(chǎn)品設(shè)設(shè)中是否能達(dá)到預(yù)期的高性能。

(4)驗收測試通常由業(yè)務(wù)專家或用戶進(jìn)行，以確認(rèn)產(chǎn)品能真正符合用戶業(yè)務(wù)上的需要。

在不同的開發(fā)階段，會出現(xiàn)不同類型的缺陷和錯誤，所以需要不同的測試技術(shù)和方法來發(fā)現(xiàn)

這些缺陷。

結(jié)構(gòu)化開發(fā)方法五個階段的主要內(nèi)容

用結(jié)構(gòu)化系統(tǒng)開發(fā)方法開發(fā)一個系統(tǒng)，將整個開發(fā)過程劃分為五個首是相連接的階段，一般稱之為系

統(tǒng)開發(fā)的生命周期，系統(tǒng)開發(fā)的生命周期分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計、系統(tǒng)實施、系統(tǒng)運行

和維護(hù)五個階段。

1.系統(tǒng)規(guī)劃

系統(tǒng)規(guī)劃的主要內(nèi)容包括：

企業(yè)目標(biāo)的確定

解決目標(biāo)的方式的確定

信息系統(tǒng)目標(biāo)的確定

信息系統(tǒng)主要結(jié)構(gòu)的確定

工程項目的確定

可行性研究等

2.系統(tǒng)分析

系統(tǒng)分析的主要內(nèi)容包括：

數(shù)據(jù)的收集

數(shù)據(jù)的分析

系統(tǒng)數(shù)據(jù)流程圖的確定

系統(tǒng)方案的確定等

系統(tǒng)分析階段是整個MIS建設(shè)的關(guān)健階段。

3.系統(tǒng)設(shè)計

系統(tǒng)設(shè)計的主要內(nèi)容包括：

系統(tǒng)流程圖的確定

程序流程圖的確定

編碼

飾入、輸出設(shè)計

文件設(shè)計

程序設(shè)計等

4.系統(tǒng)實施

系統(tǒng)實施的主要內(nèi)容包括：

硬件設(shè)備的購買

硬件設(shè)備的安裝

數(shù)據(jù)準(zhǔn)備

程序的謂試

系統(tǒng)測試與轉(zhuǎn)換

人員培訓(xùn)等

5.系統(tǒng)運行與維護(hù)

系統(tǒng)運行與維護(hù)的主要內(nèi)容包括：

系統(tǒng)投入運行后的管理及維護(hù)

系統(tǒng)建成前后的評價

發(fā)現(xiàn)問題并提出系統(tǒng)更新的請求等

軟件需求的具體內(nèi)容

《計算機(jī)軟件需求說明編制指南》GB/T9385中定義了需求的具體內(nèi)容，包括：

(1功能需求：指描述軟件產(chǎn)品的輸入怎樣變換成輸出即軟件必須完成的基本動作。對于每一類功能

或者有時對于每一個功能需要具體描述其輸入、加工和輸出的需求。

(2性能需求：從整體來說本條應(yīng)具體說明軟件或人與軟件交互的靜態(tài)或動態(tài)數(shù)值需求。

①靜態(tài)數(shù)值需求可能包括：

支持的終端數(shù)

支付并行操作的用戶數(shù)

處理的文卷和記錄數(shù)

表和文卷的大小

②動態(tài)數(shù)值需求

可包括欲處理的事務(wù)和任務(wù)的戮量，以及在正常情況下和峰值工作條件下一定時間周期中處理的數(shù)

據(jù)總量。所有這些需求都必須用可以度量的術(shù)語來敘述。例如,95%的事務(wù)必須在小于1s時間內(nèi)處理

完，不然操作員將不等待處理的完成。

(3設(shè)計約束：設(shè)計約束受其他標(biāo)準(zhǔn)、硬件限制等方面的影響。

(4屬性：在軟件的需求之中有若干個屬性如可移植性、正確性、可維護(hù)性及安全性等。

(5外部接口需求：包拈?用戶接口、硬件接口、軟件接口、通信接口。

(6其他需求：根據(jù)軟件和用戶組織的特性等某些需求放在數(shù)據(jù)庫、用戶要求的常規(guī)的和特殊的操作、

場合適應(yīng)性需求中描述。

由此可知：

①對特定范圍內(nèi)修改所需的時間不超過3秒——性能需求。

②按照訂單及原材料情況自動安排生產(chǎn)排序一一功能需求。

③系統(tǒng)能夠同時支持1000個獨立站點的并發(fā)訪問一一性能需求。

④系統(tǒng)可實現(xiàn)對多字符集的支持，包括GBK,BIG5和UTF-8等一一設(shè)計約束。

⑤定期牛.成銷售分析報表一一功能需求

⑥系統(tǒng)實行同城異地雙機(jī)備份，保障數(shù)據(jù)安全一設(shè)計約束。

軟件需求的3個層次：業(yè)務(wù)需求、用戶需求和功能需求

軟件需求包括3個不同的層次一一業(yè)務(wù)需求、用戶需求和功能需求。

除此之外，每個系統(tǒng)還有各種非功能需求。

業(yè)務(wù)需求(Businessrequirement)表示組織或客戶高層次的目標(biāo)。業(yè)務(wù)需求通常來自項目投

資人、購買產(chǎn)品的客戶、實際用戶的管理者、市場營銷部門或產(chǎn)品策劃部門。業(yè)務(wù)需求描述了組織為

什么要開發(fā)一個系統(tǒng)，即組織希望達(dá)到的目標(biāo)。使用前景和范圍(visionandscope)文檔來記錄業(yè)

務(wù)需求，這份文檔布f時也被稱作項目輪廓圖或市場需求(projectchaner或marketrequirement)文

檔。

用戶需求(userrequirement)描述的是用戶的目標(biāo)，或用戶要求系統(tǒng)必須能完成的任務(wù)。用

例、場景描述和事件一一響應(yīng)表都是表達(dá)用戶需求的有效途徑。也就是說用戶需求描述了用戶能使用

系統(tǒng)來做些什么。

功能需求(functionalrequirement)規(guī)定開發(fā)人員必須在產(chǎn)品J實現(xiàn)的軟件功能,用戶利用這

些功能來完成任務(wù)，滿足業(yè)務(wù)需求。功能需求有時也被稱作行為需求：behavioralrequirement),因

為習(xí)慣上總是用''應(yīng)該”對其進(jìn)行描述：“系統(tǒng)應(yīng)該發(fā)送電子郵件來通知用戶已接受其預(yù)定,功能

需求描述是開發(fā)人員需要實現(xiàn)什么。

系統(tǒng)需求(systemrequirement)用于描述包含多個了,系統(tǒng)的產(chǎn)品(即系統(tǒng))的頂級需求。系

統(tǒng)可以只包含軟件系統(tǒng)，也可以既包含軟件又包含硬件子系統(tǒng)。人也可以是系統(tǒng)的一部分，因此某些

系統(tǒng)功能可能要由人來承擔(dān)。

業(yè)務(wù)規(guī)則包括企業(yè)方針、政府條例、工業(yè)標(biāo)準(zhǔn)、會計準(zhǔn)則和計算方法等。業(yè)務(wù)規(guī)劃本身并非軟

件需求，因為它們不屈了任何特定軟件系統(tǒng)的范圍。然而，業(yè)務(wù)規(guī)則常常會限制誰能夠執(zhí)行某些特定

用例，或者規(guī)定系統(tǒng)為符合相關(guān)規(guī)則必須實現(xiàn)某些特定功能。有時，功能中特定的質(zhì)量屬性(通過功

能實現(xiàn))也源于業(yè)務(wù)規(guī)則。所以，對某些功能需求進(jìn)行追溯時，會發(fā)現(xiàn)其來源正是一條特定的業(yè)務(wù)規(guī)

則。

功能需求記錄在軟件需求炊格說明(SRS)中。SRS完整地描述了軟件系統(tǒng)的預(yù)期特性。SRS

我們一般把它當(dāng)作文檔，其實，SRS還可以是包含需求信息的數(shù)據(jù)庫或電了表格；或者是存儲在商業(yè)

需求管理工具中的信息：而對于小型項目，甚至可能是一段索引卡片.開發(fā)、測試、質(zhì)量保證、項口

管理和其他相關(guān)的項目功能都要用到SRS.

除了功能需求外，SRS中還包含非功能需求，包括性能指標(biāo)和對?質(zhì)量屬性的描述。

質(zhì)量屬性(qualityattribute)對產(chǎn)品的功能描述作了補(bǔ)充，它從不同方面描述了產(chǎn)品的各種特

性。這些特性包括可用性、可移植性、完整性、效率和健壯性，它們對用戶或開發(fā)人員都很重要。其

他的非功能需求包括系統(tǒng)與外部世界的外部界面，以及對設(shè)計與實現(xiàn)的約束。

約束(constraint)限制了開發(fā)人員設(shè)計和構(gòu)建系統(tǒng)時的選擇范圍。

產(chǎn)品特性。所謂特性(feature),是指一組邏輯上相關(guān)的功能需求，它們?yōu)橛脩籼峁┠稠椆δ?

使業(yè)務(wù)目標(biāo)得以滿足。對商業(yè)軟件而言，特性則是一組能被客戶識別，并幫助他決定是否購買的需求,

也就是產(chǎn)品說明書中用著重號標(biāo)明的部分?？蛻粝Ｍ玫降漠a(chǎn)品特性和用戶的任務(wù)相關(guān)的需求不完全

是一I可事。一項特性可以包括多個用例，每個用例又要求實現(xiàn)多項功施需求，以便用戶能夠執(zhí)行某項

任務(wù)。

還有一項稱為可用性(usability)的質(zhì)量屬性，它規(guī)定了業(yè)務(wù)需求中“有效”(efficiently)一

詞的含義。

管理人員或市場營銷人員負(fù)責(zé)定義軟件的業(yè)務(wù)需求，以提高公司的運營效率(對信息系統(tǒng)而言)

或產(chǎn)品的市場競爭力(對商業(yè)軟件而言)。所有的用戶需求都必須符合業(yè)務(wù)需求。需求分析員從用戶

需求中推導(dǎo)出產(chǎn)品應(yīng)具備哪些對用戶有幫助的功能。開發(fā)人員則根據(jù)功能需求和非功能需求設(shè)計?解決

方案，在約束條件的限制范圍內(nèi)實現(xiàn)必需的功能，并達(dá)到規(guī)定的質(zhì)量和性能指標(biāo)。

當(dāng)一項新的特性、用例或功能需求被提出時，需求分析員必須思考一個問題：“它在范圍內(nèi)

嗎？如果答案是肯定的，則該需求屬于需求規(guī)格說明，反之則不屈于。但答案也許是“不在，但

應(yīng)該在“，這時必須由業(yè)務(wù)需求的負(fù)責(zé)人或投資管理人來決定：是否擴(kuò)大項目范圍以容納新的需求。

這是一個可能影響項目進(jìn)度和預(yù)完的商業(yè)決策。

軟件需求分析方法

需求分析方法有：

(1)結(jié)構(gòu)化分析方法：包括面向數(shù)據(jù)流的結(jié)構(gòu)化分析方法，面向數(shù)據(jù)流結(jié)構(gòu)的Jackson方法和面向數(shù)

據(jù)結(jié)構(gòu)的結(jié)構(gòu)化數(shù)據(jù)系統(tǒng)開發(fā)方法。

(2)面向?qū)ο蟮姆治龇椒ǎ簭男枨蠓治鼋⒌哪Ｐ偷奶匦詠矸?，需求分析方法又分為靜態(tài)分析方法和

動態(tài)分析方法。

結(jié)構(gòu)化分析方法

結(jié)構(gòu)化分析方法的實質(zhì)是著眼于數(shù)據(jù)流，自頂向下，逐層分解，建立系統(tǒng)的處理流程，以數(shù)據(jù)流圖

和數(shù)據(jù)字典為主要工具，建立系統(tǒng)的邏輯模型。

結(jié)構(gòu)化分析的步驟如下：

(1)通過對用戶的調(diào)查，以軟件的需求為線索，獲得當(dāng)前系統(tǒng)的具體模型

(2)去掉具體模型中非本質(zhì)因素，抽象出當(dāng)前系統(tǒng)的邏輯模型

(3)根據(jù)計算機(jī)的特點分析當(dāng)前系統(tǒng)與目標(biāo)系統(tǒng)的差別，建立目標(biāo)系統(tǒng)的邏輯模型

(4)完善目標(biāo)系統(tǒng)并補(bǔ)充細(xì)節(jié)，寫出目標(biāo)系統(tǒng)的軟件需求規(guī)格說明

(5)評審直到確認(rèn)完全符合用戶對軟件的需求

面向?qū)ο蟮男枨蠓治龇椒?/p>

面向?qū)ο蟮男枨蠓治龇椒ǖ暮诵氖抢妹嫦驅(qū)ο蟮母拍詈头椒檐浖枨蠼ㄔ炷Ｐ汀Ｋ嫦驅(qū)ο?/p>

風(fēng)格的圖形語言機(jī)制和用于指導(dǎo)需求分析的面向?qū)ο蠓椒▽W(xué)。

軟件過程管理

軟件工程管理集成了過程管理和項目管理，包括以下6個方面。

1.啟動和范圍定義

進(jìn)行啟動軟件工程項目的活動并作出決定。通過各種方法來有效地確定軟件需求，并從不同的角度評

估項目的可行性。?旦可行性建立后，余下的任務(wù)就是需求驗證和變更流程的規(guī)范說明。

2.軟件項口計劃

從管理的角度，進(jìn)行為成功的軟件工程作準(zhǔn)備而要采取的活動。使用迭代方式制訂計劃。要點在于評

價并確定適當(dāng)?shù)能浖芷谶^程，并完成相關(guān)的工作。

3。軟件項口實施

進(jìn)行軟件工程過程中發(fā)生的各種軟件工程管理活動。實施項目計劃，最重要的是遵循計劃，并完成相

關(guān)的工作。

4.評審和評價

進(jìn)行確認(rèn)軟件是否得到滿足的的正活動。.

5.關(guān)閉

進(jìn)行軟件工程項目完成后的活動.在這一階段，重新審查項目成功的準(zhǔn)則。一旦關(guān)閉成立，進(jìn)行歸檔、

事后分析和過程改進(jìn)活動。

6.軟件工程度量

進(jìn)行在軟件工程組織中有效地開發(fā)和實現(xiàn)度量的程序。

軟件質(zhì)量保證體系

對于軟件質(zhì)量保證，一個正規(guī)的定義是：軟件質(zhì)量保證是一系列活動，這些活動能夠提供整個軟

件產(chǎn)品的適用性的證明。要實現(xiàn)軟件質(zhì)量保證，就需要使用為確保一致性和延長的軟件周期而建立的

質(zhì)量控制規(guī)則。而質(zhì)量保證、質(zhì)量控制、審核功能以及軟件測試之間的關(guān)系經(jīng)常容易使人迷惑

為了生產(chǎn)出滿足客戶需求的產(chǎn)品，就必須遵循一定的過程。質(zhì)量保證是一系列的支持措施，有了

這些措施，這些過程的建立和改進(jìn)就有了保障。在質(zhì)量保證的過程中，產(chǎn)品質(zhì)量將和可用的標(biāo)準(zhǔn)相比

較，同時也要和不?致產(chǎn)生時的行為相比較。而審核則是?個檢查/評估的活動，用以驗證與計劃、原

則以及過程的一致性。

軟件質(zhì)量保證是一種計劃好的行為，它可以保證軟件滿足評測標(biāo)準(zhǔn)，并且具體項目所需要的特

性，例如可移植性、高效性、復(fù)用性和乂活性。它是?些活動和功能的集合，這些活?動和功能用來監(jiān)

控軟件項目，從而能夠?qū)崿F(xiàn)預(yù)計的目標(biāo)。它不僅僅是軟件質(zhì)量保證組的責(zé)任，項目經(jīng)理、項目組長、

項目人員以及用戶都可以參與到其中。

質(zhì)量保證是用來管理質(zhì)量的?！?保證”這個詞也就意味著，如果遵循了一定的過程，管理者就能夠

確保產(chǎn)品的質(zhì)量。質(zhì)量保證也是一個接觸反應(yīng)式的功能，它能激起管理者以及工作人員對于質(zhì)量的積

極態(tài)度。成功的軟件保證管理者你得如何使人們關(guān)心質(zhì)量:，并深深懂得質(zhì)量對于個人和組織具有何等

重要的意義。

要實現(xiàn)軟件質(zhì)量的目標(biāo)，主要是需要遵循軟件質(zhì)量控制計劃。為了確保每個里程碑Itwf3）所提交

的文檔和產(chǎn)品都具有高質(zhì)量，項目就必須引入一些方法來使之得到保證。而這些方法就在軟件質(zhì)量控

制計劃中進(jìn)行聲明。這?外在的方式會保證些步驟得到實施，而這些步臊的目的也就足要獲得軟件

質(zhì)量并且能對那些行為的文檔進(jìn)廳管理。這個計劃也制定了評測標(biāo)準(zhǔn)，這些評測標(biāo)準(zhǔn)用于檢測而不是

僅僅設(shè)定一個不可能完成的目標(biāo)，例如，希望生產(chǎn)一個零缺陷的軟件或者百分之百可以信賴的軟件。

軟件質(zhì)量保證處一種風(fēng)險管理的策略。因為軟件質(zhì)量的成本很高，需要納入到項目的正規(guī)的風(fēng)險

管理中來，所以軟件質(zhì)量保證的存在是非常有必要的。下面是一些較差的軟件質(zhì)量的例子：

1.被分發(fā)出去的軟件頻繁地出現(xiàn)故障。

2.系統(tǒng)失敗導(dǎo)致不可接受的結(jié)果，這種結(jié)果可以是經(jīng)濟(jì)上的損失或者是危及生命的情況。

3.在需要執(zhí)行預(yù)定功能時，系統(tǒng)不可用。

4.系統(tǒng)增強(qiáng)的成本非常的高。

5.檢測和缺陷糾正的成本過高。

盡管大部分的質(zhì)量風(fēng)險都和缺陷有關(guān)，但相對需求而言，系統(tǒng)失敗的地方就是一個缺陷。如果需

求本身不夠完整，甚至是錯誤的，那么缺陷的風(fēng)險就更大。而這樣所導(dǎo)致的結(jié)果就是許許多多內(nèi)在的

缺陷和不能被查證的產(chǎn)品。一些風(fēng)險管理策略和技術(shù)包括了軟件測試、技術(shù)復(fù)查、同等復(fù)查以及符合

程度的查證。

軟件可靠性和可維護(hù)性測試評審時要考慮：

1.針對可靠性和可維護(hù)性的測試目標(biāo)

2.測試方法

3.測試用例

4.測試工具

5.測試通過標(biāo)準(zhǔn)

6.測試報告

信息系統(tǒng)安全風(fēng)險評估是通過數(shù)字化的資產(chǎn)評估準(zhǔn)則完成的，它通常會覆蓋人員安全、人員信息、

公共秩序等方面的各個要素，

L人員安全

2.人員信息

3.立法及規(guī)章所確定的義務(wù)

4.法律的強(qiáng)制性

5.商業(yè)及經(jīng)濟(jì)的利益

6.金融損失對業(yè)務(wù)活動的干擾

7、公共秩序

8、業(yè)務(wù)政策及操作

9、信譽的損害

清華信息系統(tǒng)項目管理師教程第二版P565.

軟件設(shè)計與軟件設(shè)計內(nèi)容

軟件設(shè)計是把許多事物和問題抽象起來，并且抽象它們不同的層次和角度。建議用數(shù)學(xué)語言來抽象事

務(wù)和問題，因為數(shù)學(xué)是最好的抽象語言，并且它的本質(zhì)就是抽象。將復(fù)雜的問題分解成可以管理的片

斷會更容易。將問題或事物分解并模塊化這使得解決問題變得容易，分解的越細(xì)模塊數(shù)量也就越多，

它的副作用就是使得設(shè)計者考慮更多的模塊之間耦合度的情況。

軟件設(shè)計包括軟件的結(jié)構(gòu)設(shè)計，數(shù)據(jù)設(shè)計，接口設(shè)計和過程設(shè)計。

結(jié)構(gòu)設(shè)計是指：定義軟件系統(tǒng)各主要部件之間的關(guān)系。

數(shù)據(jù)設(shè)計是指：將模型轉(zhuǎn)換成數(shù)據(jù)結(jié)構(gòu)的定義。

接口設(shè)計是指：軟件內(nèi)部，軟件和操作系統(tǒng)間以及軟件和人之間如何通信。

過程設(shè)計是指：系統(tǒng)結(jié)構(gòu)部件轉(zhuǎn)換成軟件的過程描述。

軟件測試原則

一，測試應(yīng)該盡早進(jìn)行，最好在需求階段

就開始介入，因為最嚴(yán)重的錯誤不外乎是

系統(tǒng)不能滿足用戶的需求。

二，程序員應(yīng)該避免檢查自己的程序，軟

件測試應(yīng)該由第三方來負(fù)責(zé)。

三，設(shè)計測試用例時應(yīng)考慮到合法的輸入

和不合法的輸入以及各種邊界條件，特殊

情況下要制造極端狀態(tài)和意外狀態(tài)，如網(wǎng)

絡(luò)異常中斷、電源斷電等。

四，應(yīng)該充分注意測試中的群集現(xiàn)象。

五，對錯誤結(jié)果要進(jìn)行一個確認(rèn)過程。一般

由A測試出來的錯誤，一定要由B來確認(rèn)。

嚴(yán)重的錯誤可以召開評審會議進(jìn)行討論和

分析，對測試結(jié)果要進(jìn)行嚴(yán)格地確認(rèn)，是

否真的存在這個問題以及嚴(yán)重程度等。

六，制定嚴(yán)格的測試計劃。一定要制定測試

計劃，并且要有指導(dǎo)性。測試時間安排盡量

寬松，不要希望在極短的時間內(nèi)完成一個

高水平的測試。

七，妥善保存測試計劃、測試用例、出錯統(tǒng)

計和最終分析報告，為維護(hù)提供方便。

軟件文檔

開發(fā)文檔

開發(fā)文檔是描述軟件開發(fā)過程，包括軟件需求、軟件設(shè)計、軟件測試、保證軟件質(zhì)量的一類文檔，開

發(fā)文檔也包括軟件的詳細(xì)技術(shù)描述、程序邏輯程序間相互關(guān)系、數(shù)據(jù)格式和存儲等

開發(fā)文檔起到如下五種作用

1.它們是軟件開發(fā)過程中包含的所有階段之間的通信工具，它們記錄生成軟件需求設(shè)計編碼和測試

的詳細(xì)規(guī)定和說明。

2.它們描述開發(fā)小組的職責(zé)，通過規(guī)定軟件主題事項文檔編制質(zhì)量保證人員以及包含在開發(fā)過程中

任何其他事項的角色來定義做什么、如何做和何時做。

3.它們用作檢驗點而允許管理者評定開發(fā)進(jìn)度。如果開發(fā)文檔丟失、不完整或過時，管理者將失去跟

蹤和控制軟件項目的一個重要工具。

4.它們形成了維護(hù)人員所要求的基本的軟件支持文檔，而這些支持文檔可作為產(chǎn)品文檔的一部分。

5.它們記錄軟件開發(fā)的歷史

基本的開發(fā)文檔是

1.可行性研究和項目任務(wù)書

2.需求規(guī)格說明

3.功能規(guī)格說明

4.設(shè)計規(guī)格說明包括程序和數(shù)據(jù)規(guī)格說明

5.開發(fā)計劃

6.軟件集成和測試計劃

7、質(zhì)量保證計劃標(biāo)準(zhǔn)進(jìn)度

8、安全和測試信息

產(chǎn)品文檔

產(chǎn)品文檔規(guī)定關(guān)于軟件產(chǎn)品的使用維護(hù)增強(qiáng)轉(zhuǎn)換和傳輸?shù)男畔?/p>

產(chǎn)品的文檔起到如下三種作用

1.為使用和運行軟件產(chǎn)品的任何人規(guī)定培訓(xùn)和參考信息

2.使得那些未參加開發(fā)本軟件的程序員維護(hù)它

3.促進(jìn)軟件產(chǎn)品的市場流通或提高可接受性

產(chǎn)品文檔用于下列類型的讀者

1.用戶他們利用軟件輸入數(shù)據(jù)檢索信息和解決問題

2.運行者他們在計算機(jī)系統(tǒng)上運行軟件

3.維護(hù)人員他們維護(hù)增強(qiáng)或變更軟件

產(chǎn)品文檔包括如下內(nèi)容

1.用于管理者的指南和資料他們監(jiān)督軟件的使用

2.宣傳資料通告軟件產(chǎn)品的可用性并詳細(xì)說明它的功能運行環(huán)境等

3.一般信息對任何有興趣的人描述軟件產(chǎn)品

基本的產(chǎn)品文檔包括

1.培訓(xùn)手冊

2.參考手冊和用戶指南

3.軟件支持手冊

4.產(chǎn)品手冊和信息廣告

管理文檔

這種文檔建立在項目管理信息的基礎(chǔ)上諸如：

1.開發(fā)過程的每個階段的進(jìn)度和進(jìn)度變更的記錄

2、軟件變更情況的記錄

3、相對于開發(fā)的判定記錄

4、職責(zé)定義

這種文檔從管理的角度規(guī)定涉及軟件生存的信息

考試國標(biāo)知識點（六）：GB/T16260質(zhì)量特性及其使用指南

2012年上半年信息系統(tǒng)項目管理師考試國標(biāo)和相關(guān)一些規(guī)劃知識點的考題達(dá)到了6道，所以這一塊

也是一個事要的知識點，將在接下來的一段時間對這一塊的聿點知識點進(jìn)行解說

考試國標(biāo)知識點（六）：GB/T16260質(zhì)量特性及其使用指南

描述了關(guān)于軟件產(chǎn)品質(zhì)量的兩部分模型

1.內(nèi)部質(zhì)量和外部質(zhì)量

2.使用質(zhì)量

為內(nèi)部質(zhì)量和外部質(zhì)量規(guī)定了六個特性，它們可進(jìn)?步細(xì)分為了?特性。當(dāng)軟件作為計算機(jī)系統(tǒng)的一部

分時，這些子特性作為內(nèi)部軟件屬性的結(jié)果，從外部顯現(xiàn)出來。

為使用質(zhì)量規(guī)定了四個特性，使用質(zhì)量是面向用戶的六個軟件產(chǎn)品質(zhì)證特性的組合效用。

術(shù)語

1,性能級別：要求被滿足的程度，它由?組質(zhì)量特性的特定值來表示。

軟件產(chǎn)品質(zhì)量可以通過測量內(nèi)部屬性，也可以通過測量外部屬性，或者通過測量使用質(zhì)量的屬性來評

價。目標(biāo)就是使產(chǎn)品在指定的使用周境下具有所需的效用。

過程質(zhì)量有助于提高產(chǎn)品質(zhì)量，而產(chǎn)品質(zhì)量則是提高使用質(zhì)量的方法之一，同樣，評價使用質(zhì)量可以

為改進(jìn)產(chǎn)品提供反饋，而評價產(chǎn)品則可以為改進(jìn)過程提供反債.

合適的軟件內(nèi)部屬性是獲得所需外部行為的先決條件，而適當(dāng)?shù)耐獠啃袨閯t是獲得使用質(zhì)量的先決

條件。

軟件產(chǎn)品質(zhì)量需求一般要包括對于內(nèi)部質(zhì)量、外部質(zhì)量和使用質(zhì)量的評估準(zhǔn)則。

用戶質(zhì)量要求可通過使用質(zhì)量的度量、外部度量，有時是內(nèi)部度量來確定為質(zhì)量需求

外部質(zhì)量需求從外部視角來規(guī)定要求的質(zhì)量級別。外部質(zhì)量需求用作不同開發(fā)階段的確認(rèn)目標(biāo)。外部

質(zhì)量需求應(yīng)在質(zhì)量需求規(guī)格說明中用外部度量加民描述，宜轉(zhuǎn)換為內(nèi)都質(zhì)量需求，而且在評價產(chǎn)品時

應(yīng)該作為準(zhǔn)則使用。

內(nèi)部質(zhì)量需求從產(chǎn)品的內(nèi)部視角來規(guī)定要求的質(zhì)量級別。內(nèi)部質(zhì)量需求用來規(guī)定中間產(chǎn)品的特性，內(nèi)

部質(zhì)量需求可用作不同開發(fā)階段的確認(rèn)目標(biāo)，也可以用于開發(fā)期間定義開發(fā)策略以及評價和驗證的

準(zhǔn)則

內(nèi)部質(zhì)量是基于內(nèi)部視角的軟件產(chǎn)品特性的總體。

估計的（預(yù)測的）外部質(zhì)量是在了解內(nèi)部質(zhì)量的基礎(chǔ)上，對每個開發(fā)階段的最終軟件產(chǎn)品的各個質(zhì)量

特性加以估計或預(yù)測的質(zhì)量。

外部質(zhì)量是基丁外部視角的軟件產(chǎn)品特性的總體。

估計的（預(yù)測的）使用質(zhì)量是在了解內(nèi)部和外部質(zhì)量的基礎(chǔ)匕對每個開發(fā)階段的最終軟件產(chǎn)品的各

個使用質(zhì)量的特性加以估計或預(yù)測的質(zhì)量。

使用質(zhì)量是基于用戶觀點的軟件產(chǎn)品用于指定的環(huán)境和使用周境時的質(zhì)量。它測量用戶在特定環(huán)境中

能達(dá)到其目標(biāo)的程度，而不是測量軟件自身的屬性。

外部和內(nèi)部質(zhì)量的質(zhì)量模型

六個特性：功能性、可靠性、易月性、效率、維護(hù)性、可移植性2008下23題

1.功能性：當(dāng)軟件在指定條件下使用時，軟件產(chǎn)品提供滿足明確和隱含要求的功能的能力

1.適合性：軟件產(chǎn)品為指定的汪務(wù)和用戶目標(biāo)提供一組合適的功能的能力

2.準(zhǔn)確性：軟件產(chǎn)品提供具有所播精度的正確或相符的結(jié)果或效果的能力

3.互操作性：軟件產(chǎn)品與一個或更多的規(guī)定系統(tǒng)進(jìn)行交互的能力

4.安全保密性：軟件產(chǎn)品保護(hù)信息和數(shù)據(jù)的能力

2.可靠性：在指定條件使用時，軟件產(chǎn)品維護(hù)規(guī)定的性能級別的能力

1.成熟性：軟件產(chǎn)品為避免由軟件中故障而導(dǎo)致失效的能力

2.容錯性：在軟件出現(xiàn)故障或者違反其指定接口的情況下，軟件產(chǎn)品維持規(guī)定的性能級別的能力

3.易恢更性：在失效發(fā)生的情況下，軟件產(chǎn)品重建規(guī)定的性能級別并恢更受直接影響的數(shù)據(jù)的能力

3.易用性：在指定條件下使用時，軟件產(chǎn)品被理解、學(xué)習(xí)、使用和吸引用戶的能力

1、易理解性：使用用戶能理解軟件是否合適及如何能將軟件用于特定的任務(wù)的能力

2.易學(xué)性：使用用戶能學(xué)習(xí)其應(yīng)用的能力

3.易操作性：使用戶能操作和控制它的能力

4.吸引性：軟件產(chǎn)品吸引用戶的能力

4、效率：在規(guī)定條件卜，相對于所用資源的數(shù)量，軟件產(chǎn)品可提供適當(dāng)性能的能力

1.時間特性：軟件執(zhí)行其功能時，提供適當(dāng)?shù)捻憫?yīng)和處理時間以及吞口二率的能力

2.資源利用性：軟件執(zhí)行其功能葉，使用合適數(shù)量和類別的資源的能力

5、維護(hù)性：軟件產(chǎn)品可被修改的能力。包括糾正、改進(jìn)或?qū)?環(huán)境、需求和功能規(guī)格說明變化的適應(yīng)

1,易分析性：診斷軟件中的缺陷或失效原因或識別待修改部分的能力

2、易改變性：使指定的修改可以被實現(xiàn)的能力

3、穩(wěn)定性：避免由于軟件修改而造成意外結(jié)果的能力

5、易測試性：使已修改軟件能被確認(rèn)的能力

6、可移植性：軟件產(chǎn)品從一種環(huán)境遷移到另外一種環(huán)境的能力

1、適應(yīng)性：無需采用額外的活動或手段就可適應(yīng)不同指定環(huán)境的能力

2、易安裝性：軟件產(chǎn)品在指定環(huán)境中被安裝的能力

3、共存性：在公共環(huán)境中同與其分享公共資源的其他獨立軟件共存的能力

4、易替換性：在同樣的環(huán)境下，替代另一個相同用途的指定軟件產(chǎn)品的能力

使用質(zhì)星的質(zhì)星模型

使用質(zhì)量的屬性分為四個特性：有效性、生產(chǎn)率、安全性和滿意度

1.有效性：軟件產(chǎn)品在指定的使用周境F,使用戶能達(dá)到與準(zhǔn)確性和完備性相關(guān)的規(guī)定目標(biāo)的能力

2.生產(chǎn)率：在指定的使用周境下，使用戶為達(dá)到有效性而消耗適當(dāng)數(shù)量的資源的能力

3、安全性：在指定使用周境下，達(dá)到對人類、業(yè)務(wù)、軟件、財產(chǎn)或環(huán)境造成損害的可接受的風(fēng)險級別

的能力

4.滿意度：使用戶滿意的能力。

內(nèi)部度量可以應(yīng)用于設(shè)計和編碼期間的非執(zhí)行軟件產(chǎn)品，當(dāng)開發(fā)一個軟件產(chǎn)品時，中間產(chǎn)品宜使用測

量內(nèi)在性質(zhì)的內(nèi)部度量來評價，內(nèi)部度量的主要目的是為了確保獲得所需的外部質(zhì)量和使用質(zhì)量。內(nèi)

部度量使得用戶、評價者、測試人員和開發(fā)者可以在軟件產(chǎn)品可執(zhí)行之前就能評價軟件產(chǎn)品質(zhì)量和盡

早地提出質(zhì)量問題。

外部度量是通過測試、運行和觀察可執(zhí)行的軟件或系統(tǒng)，由該軟件產(chǎn)品所在的系統(tǒng)行為的測試而導(dǎo)出。

使用質(zhì)量的度量測量產(chǎn)品在特定的使用周境下，滿足特定用戶達(dá)到特定目標(biāo)所要求的有效性、生產(chǎn)率、

安全性和滿意度的程度，它是根據(jù)使用軟件的結(jié)果而不是軟件自身的屬性來測量的。使用質(zhì)量是面向

用戶的內(nèi)部和外部質(zhì)量的組合效果.

軟件審計的目的是提供軟件產(chǎn)品和過程對于可應(yīng)用的規(guī)則、標(biāo)準(zhǔn)、指南、計劃

和流程的遵從性的獨立評價。審計是正式組織的活動，識別違例情況，并產(chǎn)生

一個報告，采取更正性行動。

應(yīng)用軟件：設(shè)計用于實現(xiàn)用戶的特定需要而非計算機(jī)本身問題的軟

件。例如，導(dǎo)航（瀏覽）、工資、過程控制軟件。

先用個比喻：假如防火墻是一幢大廈的門鎖，那么入侵檢測系統(tǒng)就是這幢大廈里的監(jiān)視系

統(tǒng)。

一旦小偷進(jìn)入了大原，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警

告。

所以根據(jù)這個比喻，A選項是錯誤的，入侵檢測系統(tǒng)是防火墻之后的又?道防線，入侵檢

測

系統(tǒng)可以及時發(fā)現(xiàn)防火墻沒有發(fā)現(xiàn)的入侵行為。

C選項也是弄反了，防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問，IDS則沒有這些功能，

只

是監(jiān)視利分析用戶和系統(tǒng)活動。

D詵項就很明顯是錯誤的「防火墻和入侵檢測系統(tǒng)都是一個獨立的系統(tǒng)。

入侵檢測系統(tǒng)（IDS）

入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采

取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備.它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的

安全防護(hù)技術(shù)。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運行狀況進(jìn)行監(jiān)

視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可

用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一

旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。

IDS是計算機(jī)的監(jiān)視系統(tǒng)，它通過實時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IDS入侵檢測系統(tǒng)

以信息來源的不同和檢測方法的差異分為幾類:根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS,

根據(jù)檢測方法乂可分為異常入侵檢測和誤用入侵檢測。不同于防火墻,IDS入侵檢測系統(tǒng)是一個監(jiān)聽

設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求

是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路匕在這里，"所關(guān)注流量”指的是來自高危網(wǎng)

絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的

HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都己經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，

IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。這些位

置通常是：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺交換機(jī)上；重點保護(hù)網(wǎng)段的

局域網(wǎng)交換機(jī)上。

與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并

得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運行。因此,

入侵檢測被認(rèn)為是防火增之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，

從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實時保護(hù)。

入侵檢測系統(tǒng)的流程

1.信息收集

2.數(shù)據(jù)分析

3、響應(yīng)

入侵檢測系統(tǒng)的主要功能

對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和

硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點是，它應(yīng)該管理、

配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、

系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連

接、記錄事件和報警等。具體來說，入侵檢測系統(tǒng)的主要功能有:

?監(jiān)測并分析用戶和系統(tǒng)的活動；

?核查系統(tǒng)配置和漏洞：

?評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；

?識別已知的攻擊行為；

?統(tǒng)計分析異常行為：

?操作系統(tǒng)日志管埋，并識別違反安全策略的用戶活動。

入侵檢測系統(tǒng)的分類

一般來說，入侵檢測系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。

主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段

(如監(jiān)督系統(tǒng)調(diào)用)從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系

統(tǒng)。

網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式

(promisemode)，監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整

個網(wǎng)段的任務(wù)。

不難看出，網(wǎng)絡(luò)型IDS的優(yōu)點主要是簡便：一個網(wǎng)段上只需安裝一個或幾個這樣的系統(tǒng)，便可以

監(jiān)測整個網(wǎng)段的情況。且由于往往分出單獨的計算機(jī)做這種應(yīng)用，不會給運行關(guān)鍵業(yè)務(wù)的主機(jī)帶來負(fù)

裁上的增加。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正受到越來越大的挑戰(zhàn)。一個

典型的例子便是交換式以太網(wǎng)。

而盡管主機(jī)型IDS的缺點顯而易見：必須為不同平臺開發(fā)不同的程序、增加系統(tǒng)負(fù)荷、所需安裝

數(shù)量眾多等，但是內(nèi)在結(jié)構(gòu)卻沒有任何束縛，同時可以利用操作系統(tǒng)本身提供的功能、并結(jié)合異常分

析，更準(zhǔn)確的報告攻擊行為。

入侵檢測技術(shù)

對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。

入侵檢測技術(shù)從時間上，可分為實時入侵檢測和事后入侵檢測兩種。

實時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為煤型、存儲在計算機(jī)中的專家知

識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，

并收集證據(jù)和實施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進(jìn)行的。

而事后入侵檢測由網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計算機(jī)系統(tǒng)對用戶操

作所做的歷史審計記錄判斷用戶是否具有入侵行為，如果有就斷開連婁，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)

恢復(fù)。事后入侵檢測是管理員定期或不定期進(jìn)行的，不具有實時性，因此防御入侵的能力不如實時入

侵檢測系統(tǒng)。

入侵檢測系統(tǒng)和防火墻的區(qū)別和聯(lián)系

一、入侵檢測系統(tǒng)和防火墻的區(qū)別

1.概念

1）防火墻：防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)（本地網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（主要是Internet）之間的一道防御

系統(tǒng)，以防止發(fā)生不可預(yù)測的、潛在的破壞性的侵入。它可以通過檢澹、限制、更改跨越防火墻的數(shù)

據(jù)流，盡可能的對外部屏蔽內(nèi)部的信息、結(jié)構(gòu)和運行狀態(tài)，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)中的信息、資源等不

受外部網(wǎng)絡(luò)中非法用戶的侵犯。

2）入侵檢測系統(tǒng):IDS是對入侵行為的發(fā)覺，通過從計算機(jī)網(wǎng)絡(luò)或計算機(jī)的關(guān)鍵點收集信息并進(jìn)行分

析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。

3）總結(jié)：從概念上我們可以看出防火墻是針對黑客攻擊的一種被動的防御,IDS則是主動出擊尋找潛

在的攻擊者；防火墻相當(dāng)于一個機(jī)構(gòu)的門衛(wèi)，收到各種限制和區(qū)域的影響，即凡是防火墻允許的行為

都是合法的，而IDS則相當(dāng)于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況

出現(xiàn)。

2.功能

防火墻的主要功能：

1）過濾不安全的服務(wù)和非法用戶：所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都是必須通過防火墻，防火墻成為一個

檢查點，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。

2）控制對特殊站點的訪問：防火墻可以允許受保護(hù)網(wǎng)絡(luò)中的一部分主機(jī)被外部網(wǎng)訪問，而另一部分

則被保護(hù)起來。

3）作為網(wǎng)絡(luò)安全的集中監(jiān)視點：防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計數(shù)據(jù)，提供預(yù)警和審

計功能。

入侵檢測系統(tǒng)的主要任務(wù)：

1）監(jiān)視、分析用戶及系統(tǒng)活動

2）對異常行為模式進(jìn)行統(tǒng)計分析，發(fā)行入侵行為規(guī)律

3）檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞

4）能夠?qū)崟r對檢測到的入侵行為進(jìn)行響應(yīng)

5）評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性

6）操作系統(tǒng)的審計跟蹤管理，并識別用戶違反安全策略的行為

總結(jié)：防火墻只是防御為主，通過防火墻的數(shù)據(jù)便不再進(jìn)行任何操作,IDS則進(jìn)行實時的檢測，發(fā)現(xiàn)入

侵行為即可做出反應(yīng)，是對防火埼弱點的修補(bǔ)；防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問,IDS則沒

有這些功能，只是監(jiān)視和分析用戶和系統(tǒng)活動。

二、入侵檢測系統(tǒng)和防火墻的聯(lián)系

LIDS是繼防火墻之后的又一道防線，防火墻是防御,IDS是主動檢測，兩者相結(jié)合有力的保證了內(nèi)部

系統(tǒng)的安全；

2.IDS實時檢測可以及時發(fā)現(xiàn)一些防火墻沒有發(fā)現(xiàn)的入侵行為，發(fā)行入侵行為的規(guī)律，這樣防火墻就

可以將這些規(guī)律加入規(guī)則之中，提高防火墻的防護(hù)力度。

類之間的關(guān)系包括：關(guān)聯(lián)、依賴、泛化以及實現(xiàn)。

UML各種視圖介紹、說明、圖形

類圖,對象圖,用例圖,部署圖，構(gòu)件圖為靜態(tài)圖

狀態(tài)圖，順序圖,活動圖，協(xié)作圖為動態(tài)圖

用例圖

描述角色以及角色與用例之間的連接關(guān)系。說明的是誰要使用系統(tǒng)，以及他們使用該系統(tǒng)可以做些什

么。一個用例圖包含了多個模型元素，如系統(tǒng)、參與者和用例，并且顯示了這些元素之間的各種關(guān)系，

如泛化、關(guān)聯(lián)和依賴。

類圖是描述系統(tǒng)中的類，以及各個類之間的關(guān)系的靜態(tài)視圖。能夠讓我們在正確編寫代碼以前對系統(tǒng)

有一個全面的認(rèn)識.類圖是一種模型類型，確切的說，是一種靜態(tài)模型類型。

3、對象圖

與類圖極為相似，它是類圖的實例，對象圖顯示類的多個對象實例，而不是實際的類。它描述的不是

類之間的關(guān)系，而是對象之間的關(guān)系。

4、活動圖

描述用例要求所要進(jìn)行的活動，以及活動間的約束關(guān)系，有利于識別并行活動。能夠演示出系統(tǒng)中哪

些地方存在功能，以及這些功能和系統(tǒng)中其他組件的功能如何共同滿足前面使用用例圖建模的商務(wù)

需求。

5、狀態(tài)圖

描述類的對象所有可能的狀態(tài)，以及事件發(fā)生時狀態(tài)的轉(zhuǎn)移條件?？梢圆东@對象、子系統(tǒng)和系統(tǒng)的生

命周期.他們可以告知一個對象可以擁有的狀態(tài)，并且事件（如消息的接收、時間的流逝、錯誤、條

件變?yōu)檎娴龋趺措S著時間的推移來影響這些狀態(tài)。一個狀態(tài)圖應(yīng)該連接到所有具有清晰的可標(biāo)識

狀態(tài)和復(fù)雜行為的類；該圖可以確定類的行為，以及該行為如何根據(jù)當(dāng)前的狀態(tài)變化，也可以展示哪

些事件將會改變類的對象的狀態(tài).狀態(tài)圖是對類圖的補(bǔ)充。

6、序列圖（順序圖）

序列圖是用來顯示你的參與者如何以一系列順序的步驟與系統(tǒng)的對象交互的模型。順序圖可以用來展

示對象之間是如何進(jìn)行交互的。順序圖將顯示的重點放在消息序列匕即強(qiáng)調(diào)消息是如何在對象之間

被發(fā)送和接收的。

7、協(xié)作圖

和序列圖相似，顯示對象間的動態(tài)合作關(guān)系?？梢钥闯墒穷悎D和順序圖的交集，協(xié)作圖建模對象或者

角色，以及它們彼此之間是如何通信的。如果強(qiáng)調(diào)時間和順序，則使月序列圖：如果強(qiáng)調(diào)上下級關(guān)系，

則選擇協(xié)作圖；這兩種圖合稱為交互圖。

8、構(gòu)件圖（組件圖）

描述代碼構(gòu)件的物理結(jié)構(gòu)以及各種構(gòu)建之間的依賴關(guān)系。用來建模軟件的組件及其相互之間的關(guān)系，

這些圖由構(gòu)件標(biāo)記符和構(gòu)件之間的關(guān)系構(gòu)成。在組件圖中，構(gòu)件時軟件單個組成部分，它可以是一個

文件.產(chǎn)品、可執(zhí)行文件和腳本等。

9、部署圖（配置圖）

是用來建模系統(tǒng)的物理部署。例如計算機(jī)和設(shè)備，以及它們之間是如何連接的。部署圖的使用者是開

發(fā)人員、系統(tǒng)集成人員和測試人員。

圖的名字介紹

類圖描述一些美、色的靜態(tài)結(jié)構(gòu)和它們之間的靜態(tài)關(guān)系

對象圖給出一個系統(tǒng)中的對象的快照

構(gòu)件圖描述可以部署的軟件構(gòu)件（比如Jar,ejb等）之間的舒態(tài)

關(guān)系

部署圖描述一個系統(tǒng)的拓?fù)浣Y(jié)構(gòu)

用例圖描述一系列角色和使用嵬例以及它們之間的關(guān)系,可

以用來對一個系統(tǒng)的最基本的行為進(jìn)行建模

活動圖描述不同過程之間的動態(tài)接觸.是使用用例圖描述的

行為的具體化

狀態(tài)圖描述一系列對象的內(nèi)部狀態(tài)的變化和轉(zhuǎn)移，注意一個

美不能有2個不同的狀態(tài)圖

順序圖是一種相互作用圖.描述不同對拿之間信息傳遞的時

，%

協(xié)作圖是一種相互作用圖.描述發(fā)出信息.接受信息的一系

列時象的組織結(jié)構(gòu)

圖心16部署圖示例

圖右11協(xié)作圖示例

圖生12狀態(tài)圖示例

初始狀態(tài)

（豌L）

狀態(tài)遷移

活動狀態(tài)

C5）

□終止?fàn)顟B(tài)

圖443活動圖示例

J2EE架構(gòu)和.NET架構(gòu)的相關(guān)知識

1.J:ZEE架構(gòu)

J2EE(Java2PlatformEnterpriseEdition)是由Sun公司主導(dǎo)、備廠商共同制定并得到廣泛認(rèn)可的工

業(yè)標(biāo)準(zhǔn)。業(yè)界各主要中間件廠商如IBM、Oracle都在積極地促進(jìn)該標(biāo)準(zhǔn)的推廣和應(yīng)用。

J2EE應(yīng)用將開發(fā)工作分成兩類：業(yè)務(wù)邏輯開發(fā)和表示邏輯開發(fā)，其余的系統(tǒng)資源則由應(yīng)用服務(wù)器自

動處理，不必為中問層的資源和運行管理進(jìn)行編碼。這樣就可以將更多的開發(fā)精力集中在應(yīng)用程序的

業(yè)務(wù)邏輯和表示邏輯上，從而縮短企業(yè)應(yīng)用開發(fā)周期、有效地保護(hù)企業(yè)的投資。

完整的J2EE技術(shù)規(guī)范由如下4個部分組成。

(1)J2EE平臺：運行J2EE應(yīng)用的環(huán)境標(biāo)準(zhǔn),由一組J2EE規(guī)范組成。

(2)J2EE應(yīng)用編程模型：用于開發(fā)多層瘦客戶應(yīng)用程序的標(biāo)準(zhǔn)設(shè)計模型，由Sun提供應(yīng)用藍(lán)圖(Blu

ePrints)o

(3)J2EE兼容測試套件：用來檢測產(chǎn)品是否同J2EE平臺兼容。

(4)J2EE參考實現(xiàn)：與平臺規(guī)范同時提供的、實現(xiàn)J2EE乎臺基本功施的J2EE服務(wù)器運行環(huán)境。

J2EE應(yīng)用服務(wù)器運行環(huán)境包括構(gòu)件(Component)、容器(Container)及服務(wù)(Services)三部分。構(gòu)件是表

示應(yīng)用邏輯的代碼：容器是構(gòu)件的運行環(huán)境：服務(wù)則是應(yīng)用服務(wù)器提供的各種功能接口，可以同系統(tǒng)

資源進(jìn)行交互。

J2EE艦范包含了一系列構(gòu)件及服務(wù)技術(shù)規(guī)范。

(1)JNDI:Java命名和目錄服務(wù)，提供了統(tǒng)一、無^的標(biāo)準(zhǔn)化名字服務(wù)。

(2)Servlet:JavaServlet是運行在服務(wù)器上的一個小程序，用于提供以構(gòu)件為基礎(chǔ)、獨立于平臺的

Web應(yīng)用。

(3)JSP:JavaServlet的一種擴(kuò)展，使創(chuàng)建靜態(tài)模板和動態(tài)內(nèi)容相結(jié)合的HTML和XML頁面更加容易。

(4)EJB:實現(xiàn)應(yīng)用中關(guān)鍵的業(yè)務(wù)邏輯，創(chuàng)建基于?構(gòu)件的企業(yè)級應(yīng)用程序。EJB在應(yīng)用服務(wù)器的EJB容

器內(nèi)運行，由容器提供所有基本的中間層服務(wù)，如事務(wù)管理、安全、遠(yuǎn)程客戶連接、生命周期管理和

數(shù)據(jù)庫連接緩沖等。2013上23題

(5)JCA:J2EE連接器架構(gòu)，提供一種連接不同企業(yè)信息平臺的標(biāo)準(zhǔn)接口。

(6)JDBC;Java數(shù)據(jù)庫連接技術(shù)，提供訪問數(shù)據(jù)席的標(biāo)準(zhǔn)接口。

(7)JMS:Java消息服務(wù)，提供企業(yè)級消息服務(wù)的標(biāo)準(zhǔn)接口。

(8)JTA:Java事務(wù)編程接.口，提供分布事務(wù)的高級管理規(guī)范。

(9)JavaMail:提供與郵件系統(tǒng)的接口。

(10)RMI用0P:提供應(yīng)用程序的通信接口。

2..NET架構(gòu)

微軟的.NET是基于一組開放的互聯(lián)網(wǎng)協(xié)議而推出的一系列的產(chǎn)品、技術(shù)和服努。.NET開發(fā)框架在

通用語言運行環(huán)境基礎(chǔ)匕給開發(fā)人員提供了完善的基礎(chǔ)類庫、數(shù)據(jù)庫訪問技術(shù)及網(wǎng)絡(luò)開發(fā)技術(shù)，開

發(fā)者可以使用多種語言快速構(gòu)建網(wǎng)絡(luò)應(yīng)用。

通用語占運行環(huán)境(CommonLanguageRuntime)處于.NET開發(fā)框架的晟低層，是該框架的基礎(chǔ)，它

為多種語言提供了統(tǒng)一的運行環(huán)境.統(tǒng)一的編程模型，大大簡化了應(yīng)用程序的發(fā)布和升級、多種語言

之間的交互、內(nèi)存和資源的自動管理.，等等。

基礎(chǔ)類庫(HaseClassLibrary)給開發(fā)人員提供了一個統(tǒng)一的、面向?qū)ο蟮摹哟位?、可擴(kuò)展的

編程接口，使開發(fā)人員能夠高效、快速地構(gòu)建基于下一代互聯(lián)網(wǎng)的網(wǎng)絡(luò)應(yīng)用。

ADO.NET技術(shù)用于訪問數(shù)據(jù)庫，提供了一組用來連接到數(shù)據(jù)庫、運行命令、返回記錄集的類庫。A

DO.NET提供了對XML的強(qiáng)大支持，為XML成為.NET中數(shù)據(jù)交換的統(tǒng)一格式提供了基礎(chǔ)。同時，ADO.

NET引入了DataSet的概念，夜內(nèi)存數(shù)據(jù)緩沖區(qū)中提供數(shù)據(jù)的關(guān)系視圖使得不論數(shù)據(jù)來自于關(guān)系數(shù)據(jù)

庫，還是來自于一個XML文檔，都可以用一個統(tǒng)一的編程模型來創(chuàng)建和使用，提高了程序的交互性和

可擴(kuò)展性，尤其適合于分布式的應(yīng)用場合。

ASP.NET是.NET中的網(wǎng)絡(luò)編程結(jié)構(gòu)，可以方便、而效地構(gòu)建、運行和發(fā)布網(wǎng)絡(luò)應(yīng)用。ASP.NET網(wǎng)絡(luò)表

單使開發(fā)人員能夠『常容易地創(chuàng)建網(wǎng)絡(luò)表單，它將快速開發(fā)模型引入到網(wǎng)絡(luò)開發(fā)中來，從而大大簡化

了網(wǎng)絡(luò)應(yīng)用的開發(fā)。ASP.NET中還引入服務(wù)器端控件，該控件是可擴(kuò)展為，開發(fā)人員可以構(gòu)建自己的服

務(wù)器端控件。ASP.NET還支持Wen服務(wù)(WebServices)?在.NET中。ASP.NET應(yīng)用不再是解釋腳本,而

采用編譯運行，再加上滅活的緩沖技術(shù)，從根本上提高了性能。

傳統(tǒng)的基于Windows的應(yīng)用(WinForms),仍然是.NET中不可或缺的一部分。在.NET中開發(fā)傳統(tǒng)的基

T-Windows的應(yīng)用程序時，除了可以利用現(xiàn)有的技術(shù)（如ActiveX控件以及豐富的Windows接口）外,

還可以基于通用語言運行環(huán)境開發(fā)，可以使用ADO.NET、Web服務(wù)等。

.NET支持使用多種語言進(jìn)行開發(fā)，目前已經(jīng)支持VB.C4+、C#和JScript等語言以及它們之間的深層

次交互。，NET還支持第三方的.NET編譯器和開發(fā)工具，這意味著幾乎所有市場上的編程語言都有可能

應(yīng)用于微軟的.NET開發(fā)框架。

VisualStudio.NET作為微軟的卜.一代開發(fā)工具，和.NET開發(fā)框架緊密結(jié)合，提供了一個統(tǒng)一的集成

開發(fā)環(huán)境和工具，可以極大地提高開發(fā)效率。

J2EE與.NET都可以用來設(shè)計、開發(fā)企業(yè)級應(yīng)用。J2EE平臺是業(yè)界標(biāo)準(zhǔn)，有超過50家廠商實現(xiàn)了這

些標(biāo)準(zhǔn)（工具、應(yīng)用服務(wù)器等）。.NET是微軟自己的產(chǎn)品系列，而非業(yè)界標(biāo)準(zhǔn)。這使二者在實現(xiàn)技術(shù)

及應(yīng)用等各方面均有很多不同之處.

工作流技術(shù)與相關(guān)歷年真題

_L作流（Workflow）就是工作流程的?算模型，即將JL作流程中的_L作如何前后組織在一起的邏輯和

規(guī)則在計算機(jī)中以恰當(dāng)?shù)哪Ｐ瓦M(jìn)行表示并對其實施計算。工作流要解決的主要問題是：為實現(xiàn)某個業(yè)

務(wù)目標(biāo)，在多個參與者之間，利用計算機(jī)，按某種預(yù)定規(guī)則自動傳遞文檔、信息或者任務(wù)。工作流管

理系統(tǒng)（Workflo*ManagementSystem.WfMS）的主要功能是通過計算機(jī)技術(shù)的支持去定義、執(zhí)行和管

理工作流，協(xié)調(diào)工作流執(zhí)行過程中工作之間以及群體成員之間的信息交互。工作流需要依靠工作流管

理系統(tǒng)來實現(xiàn)。

工作流技術(shù)也是經(jīng)?？嫉囊粋€考點，以下為歷年部分真題：

工作流（Work門。w）就是工作流程的計算模型，即將工作流程中的工資如何前后組織在一起的邏輯

和規(guī)劃在計算機(jī)中以恰當(dāng)?shù)哪Ｐ鸵率静ζ鋵嵤┯嬎?。工作流屬于。的一部分，它是普遍地研?

個群體如何在計算機(jī)的幫助卜實現(xiàn)協(xié)同工作的。

A.CSCW

B.J2EE

C.WebService

D..NET

參考答案：A

隨著Webservice技術(shù)的興起，出現(xiàn)了許多與工作流技術(shù)相關(guān)的譚cb服務(wù)規(guī)范，其中（）的作用是

將一組現(xiàn)有的服務(wù)組合起來，從而定義一個新的Web服務(wù)。

A.業(yè)務(wù)流程執(zhí)行語言BPEI.

B.Web服務(wù)描述語言WSDL

C.超文本標(biāo)記語言H