2022软件水平考试-高级系统分析师考试题库套卷17（含答案解析）

《2022软件水平考试-高级系统分析师考试题库套卷17（含答案解析）》由会员分享，可在线阅读，更多相关《2022软件水平考试-高级系统分析师考试题库套卷17（含答案解析）（16页珍藏版）》请在装配图网上搜索。

1、2022软件水平考试-高级系统分析师考试题库（含答案解析）1. 问答题：某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，此时系统的安全性成为一个非常重要的设计需求。为此，该企业向软件开发商提出如下要求： (1) 合法用户可以安全地使用该系统完成业务; (2) 灵活的用户权限管理; (3) 保护系统数据的安全，不会发生信息泄漏和数据损坏； (4) 防止来自于互联网上各种恶意攻击； (5) 业务系统涉及到各种订单和资金的管理，需要防止授权侵犯； (6) 业务系统直接面向最终用户，需要在系统中保留用户使用痕迹，以应对可能的商业诉讼。 该软件开发商接受任务后，成

2、立方案设计小组，提出的设计方案是：在原有业务系统的基础上，保留了原业务系统中的认证和访问控制模块；为了防止来自互联网的威胁，增加了防火墙和入侵检测系统。 企业和软件开发商共同组成方案评审会，对该方案进行了评审，各位专家对该方案提出了多点不同意见。李工认为，原业务系统只针对企业内部员工，采用了用户名/密码方式是可以的，但扩展为基于互联网的B2C业务系统后，认证方式过于简单，很可能造成用户身份被盗取；王工认为，防止授权侵犯和保留用户痕迹的要求在方案中没有体现。而刘工则认为，即使是在原有业务系统上的扩展与改造，也必须全面考虑信息系统面临的各种威胁，设计完整的系统安全架构，而不是修修补补。 问题1（8

3、分） 信息系统面临的安全威胁多种多样，来自多个方面。请指出信息系统面临哪些方面的安全威胁并分别予以简要描述。 问题2（8分） 认证是安全系统中不可缺少的环节，请简要描述主要的认证方式，并说明该企业应采用哪种认证方式。 问题3（9分） 请解释授权侵犯的具体含义；针对王工的意见给出相应的解决方案，说明该解决方案的名称、内容和目标。答案： 本题解析：问题1 信息系统面临的安全威胁来自于物理环境、通信链路、网络系统、操作系统、应用系统以及管理等多个方面。 物理安全威胁是指对系统所用设备的威胁，如自然灾害、电源故障、数据库故障和设备被盗等造成数据丢失或信息泄漏。 通信链路安全威胁是指在传输线路上安装窃听

4、装置或对通信链路进行干扰。 网络安全威胁当前主要是指由于因特网的开放性、国际性与无安全管理性，对内部网络形成的严重安全威胁。 操作系统安全威胁指的是操作系统本身的后门或安全缺陷，如“木马”和“陷阱门”等。 应用系统安全威胁是指对于网络服务或用户业务系统安全的威胁，包括应用系统自身漏洞，也受到“木马”的威胁。 管理系统安全威胁指的是人员管理和各种安全管理制度。问题2 目前主要的认证方式有三类： (1) 用户名和口令认证：主要是通过一个客户端与服务器共知的口令(或与口令相关的数据)进行验证。根据处理形式的不同，分为验证数据的明文传送、利用单向散列函数处理验证数据、利用单向散列函数和随机数处理验证数

5、据。 (2) 使用令牌认证：该方式中，进行验证的密钥存储于令牌中，目前的令牌包括安全证书和智能卡等方式。 (3) 生物识别认证：主要是根据认证者的图像、指纹、气味和声音等作为认证数据。根据该企业的业务特征，采用令牌认证较为合适。问题3 授权侵犯指的是被授权以某一目的使用某一系统或资源的某个人，将此权限用于其他非授权的目的，也称作“内部攻击”。 针对王工的建议，从系统安全架构设计的角度需要提供抗抵赖框架。 抗抵赖服务包括证据的生成、验证和记录，以及在解决纠纷时随即进行的证据恢复和再次验证。 框架中抗抵赖服务的目的是提供有关特定事件或行为的证据。例如，必须确认数据原发者和接收者的身份和数据完整性，

6、在某些情况下，可能需要涉及上下文关系(如日期、时间、原发者/接收者的地点等)的证据，等等。2. 问答题：应用服务器在基于Web的数据库应用系统中已经得到了广泛的应用。如今，各大主要软件厂商纷纷将应用服务器作为其电子商务平台的基础。由于应用服务器本身是一个正在不断发展的概念，不同的产品之间有很大的差别，但是其核心结构，以及需要解决的主要问题都是相近的，区别仅在于各个产品解决的具体方法不同。下面是应用服务器共同需要解决的部分问题。（1）负载均衡：应用服务器实现负载均衡的方法很多，比如在应用服务器本身的实现上，有基于进程的方式和基于线程的方式。（2）数据库连接池：在应用服务器系统中，一般都会采用数据

7、库连接池的技术。（3）高速缓存机制：为了提高性能，许多应用服务器都采用了高速缓存机制。【问题1】请用150字以内文字，说明什么是数据库连接池技术？在应用服务器中使用这种技术的优点是什么？【问题2】请用200字以内文字，叙述在应用服务器中可有哪些高速缓存？这些高速缓存是如何改进系统性能的？【问题3】某公司希望实现一个电子商务系统，要求该系统必须符合工业标准且支持多种操作平台，请选择一种应用服务器产品，并用200字以内文字简要列举出该类产品能提供的主要的技术支持特征。答案： 本题解析：一、试题分析由于本题中，题面中提供的信息相对较简单，对答案的构思不能够起到很大的帮助作用。因此关键还在于考生对应用

8、服务器基础知识的掌握程度。【问题1】使用应用服务器环境的一个重要原因就是为了最小化数据库连接，并且尽力减少在数据库服务器上的加载次数。在传统的两层环境中，每个用户至少要建立一个到其他各个数据库的连接。这种通过Driver Manager（例如ODBC、JDBC等）和基本实现DataSource进行连接（例如ADO等）的方法，一个数据库连接对象均对应一个物理数据库连接。一方面，会造成连接数的数量猛增，并很快用光数据库服务器的资源；另一方面，数据库连接的建立（通常需要13s，包括服务器通信和认证所花费的时间），以及关闭对系统而言是耗费系统资源的操作，这种耗费资源的动作对系统的性能影响尤为明显。而当

9、引入了应用服务器之后，管理数据库连接的责任就落在应用服务器中。如果应用服务器为每个客户端的数据访问建立一个数据库连接，那么问题仍然不能够得以解决。因此对于具有高数据访问量的应用来说，一个更好的策略就是管理一个连接池。启动时，可以创建一个预定编号的连接，并以矢量或阵列的形式进行存储。在调用表对象的方法之前，得到下一个连接对象的请求；然后，把这个连接连同这个数据请求一起传递给表格。随着每个顺序请求的加入，这个连接不断地循环，并自动平衡连接中的加载。一旦连接对象失败，就会放弃这个循环，并在一定程度上自动恢复。通俗地说，就是将每次创建的数据库连接放在一个“池”里，并且在连接使用完成时并不急于关闭这个连

10、接。当应用程序需要调用一个数据库连接时，数据库相关的接口返回一个通过重用数据库连接（就是那些已使用完，但未关闭的、空闲的数据库连接）而非重新创建一个数据库连接，只在没有可用的数据库连接时，才重新创建一个。通过这种方式，应用程序可以减少对数据库连接操作，尤其在多层环境中多个客户端可以通过共享少量的物理数据库连接来满足系统需求。当使用了数据库连接池技术之后，由于可以有效地减少数据库连接的建立和关闭操作，从而能够节省大量的系统消耗，同时明显地提升系统的性能。另外，由于使用了数据库连接后，应用系统所需的数据库连接在一段时间后就会稳定在一定的数量范围之内，从而也提高了系统的可测量性。【问题2】为了达到最

11、佳的性能，许多应用服务器都采用了高速缓存机制。在应用服务器中使用高速缓存一般包括三个地方，即页面的缓存、数据库的缓存、动态页面的缓存。页面的缓存是指将特定的URL对应的页面在缓存中予以记录，以便在未来再次访问同一个URL时，直接使用。这里的缓存可以达到最佳的缓存性能，任何后面的操作都不需要进行，只需将缓存读出，然后输出即可。但是，由于大多数URL对应的页面中，往往都有少量需要变动的信息，这些页面不能使用这种方法进行缓存。数据库的缓存是指系统对数据库的访问结果进行缓存，这样，相同的SQL再次去访问数据库时，就不需要进行真正的数据库操作，而只需读取缓存即可。这种缓存能够达到良好效果的前提是系统的主

12、要开销在于数据库访问。由于系统依然需要进行有关页面生成等工作，所以缓存效果不如页面缓存，但是适用面比较广。为了能够进一步减少页面生成工作，现在许多应用服务器针对各种动态网页技术和构件技术提供了相应的高速缓存机制，也就是将页面的生成结果进行缓存，当处理以后的页面请求时，可以直接使用缓存结果，从而进一步减少开销，提高访问性能。但是这种技术也有很多局限性，当用户所访问的信息集不同时，缓存里的信息并不能够被利用，还是需要另外生成。【问题3】应用服务器被誉为“Internet上的操作系统”，其在IT技术中的重要程序不言而喻，因此众多IT公司都纷纷重金投入开发自己的应用服务器产品，甚至开源组织也不例外，各

13、种有竞争力的应用服务器产品层出不穷。另一方面，由于应用服务器在基于Internet的企业应用中，起着十分重要的作用。因此，作为系统分析师来说，了解各种主流的应用服务器产品，并根据实际的需要正确地选择是一个十分重要的知识基础。回到本题，它要求选择一种应用服务器产品，该产品符合工业标准，支持多种操作平台，适合于电子商务应用。要想做出正确的选择必须能够对以下这几个要求有正确的理解。 符合工业标准：主要是指应用服务器中采用的中间件技术符合工业标准，如J2EE、CORBA、XML等。 支持多种操作系统：也就是能够在Windows系列、UNIX系列等多种操作系统环境中使用，基于CORBA和J2EE的都能够

14、满足这个要求。而微软的MTS则只能够运用于Windows系列操作系统平台，显然无法满足这个要求。 适合于电子商务应用：根据电子商务的应用特点，要求应用服务器能够提供诸如事务管理、组建容器等一系列适合分布式应用的技术，另外还应该具有高扩展性、伸缩性的特点，以满足电子商务发展的业务扩展需要。根据上面的分析，结合各种主流应用服务器的特色，我们会发现应用服务器产品中符合这些要求的比较多，考生可以根据自己的熟悉情况来选择。比较适合的选择包括BEA的WebLogic、IBM的Websphere、Sun和Netscape联手的产品iPlanet Application Server等。当然类似于JBoss这

15、样的应用服务器也是正确的选择。二、参考答案【问题1】数据库连接池技术是指在系统初期，或者初次使用时，完成数据库的连接，而后不再释放此连接，在处理后面的请求时，反复使用这些已经建立的连接。这种方式可以大大减少数据库的处理时间，有利于提高系统的整体性能、可测量性和扩展性。【问题2】在应用服务器中有页面的缓存和数据库的缓存。页面的缓存是指将特定的URL对应的页面在缓存中予以记录，以便在未来再次访问同一个URL时，直接使用。这里的缓存可以达到最佳的缓存性能，任何后面的操作都不需要进行，只需将缓存读出，然后输出即可。数据库的缓存是指系统对数据库的访问结果进行缓存，这样，相同的SQL再次访问数据库时，就不

16、需要进行真正的数据库操作，而只需读取缓存即可。【问题3】可以选择J2EE应用服务器（例如，WebLogic，Websphere等），它支持多种操作系统，如Windows，UNIX，Linux等，同时也是工业标准。 数据库操作支持：JDBC数据源，通过缓冲数据库连接，提供高效、可靠的数据库操作。 安全性控制：J2EE提供声明性安全控制，用户在部署描述符中通过声明的方式来控制应用系统的安全性（例如，可以控制如何进行身份认证，控制那些角色可以访问哪些资源或执行哪些操作等）。 事务控制：J2EE应用服务器支持将事务控制交给容器自动管理，或者利用JTA在代码中自己控制事务。 与其他系统交互：基于JCA或

17、者JMS，另外可以直接访问CORBA构件。3. 问答题：【说明】阅读下列关于软件开发方法的讨论，回答问题1、问题2和问题3。张工和李工分别是某公司信息系统项目组和系统开发组的负责人。下面是张工与李工讨论信息系统项目组承接的新项目时的对话。张工：我们这次承接的新系统很具有挑战性，在开发过程中不仅要使用一种新的数据库管理系统，用户所给的开发时间也比较短。我担心使用传统的SDLC（软件开发生存周期）方法可能无法按期完成系统开发任务。李工：这个项目有什么特点吗？张工：我不知道用户是否确切地明白他们想要一个怎样的新系统。他们提出了许多要求，但是我不敢确定他们是否真正理解这个新系统的功能。而且，这个系统可

18、能会相当复杂，因为它要与多个已有的系统进行交互。李工：我希望我们有更多使用RAD （Rapid Application Development，快速应用开发）方法的经验。目前你所面临的状况可能比较适合使用这种方法。李工：我希望我们有更多使用RAD （Rapid Application Development，快速应用开发）方法的经验。目前你所面临的状况可能比较适合使用这种方法。张工：我同意。但是这个项目的时限不允许我们去学习运用RAD方法的工具以及即将要使用的新的RDBMS（关系数据库管理系统）。问题1（8分）用100字以内文字，分析使张工放弃采用传统的SDLC方法的原因。问题2（9分）用20

19、0字以内文字，说明RAD方法的基本思想。问题3（8分）如果张工采用RAD方法开发该项目，应如何解决对RAD工具不熟悉以及使用新数据库管理系统的问题？用150字以内文字说明。答案： 本题解析：问题1（8分）(1) 开发时间成为制约软件开发的重要因素。(2) 不明确的用户需求。(3) 必须使用不熟悉的开发技术。问题2（9分）(1) 让用户更主动地参与到系统分析、设计和构造活动中来。(2) 将项目开发组织成一系列重点突出的研讨会，研讨会要让项目投资方、用户、分析员、设计人员和构造人员一同参与。(3) 通过一种迭代的构造方法加速需求分析和设计阶段。(4) 让用户提前看到一个可工作的系统。问题3（8分）

20、(1 )张工应尽可能在项目启动之前对项目组的部分成员进行RAD工具和相关技术，以及采用新的RDBMS的培训。(2)可以聘请一个专业顾问来指导项目组使用RAD工具和相关技术。4. 问答题：随着信息化的发展，某银行的中心账务系统，从城市中心、省中心模式已经升级到全国中心模式。但是处理各种代收代付业务的银行中间业务系统，目前仍然采用省中心模式，由各省自行负责，使得全国中间业务管理非常困难。因此总行计划将银行中间业务系统全部升级到全国中心模式，对各省中间业务进行统一管理。各省行采用的银行中间业务系统，均为各省自建，或者自行开发，或者自行采购，系统的硬件平台、软件系统、数据模式等均有非常大的差异。同时，

21、对一些全国性的代收代付业务的处理方式，各省行也存在很大的差异。为统一管理，总行决定重新开发一套全国中心模式的银行中间业务系统，用来替代各省自建的中间业务系统，但要求能够支持目前各省的所有中间业务。【问题1】（9分）各省已建的银行中间业务系统属于遗留系统，在如何对待遗留系统上，设计组存在两种不同的策略：淘汰策略和继承策略。请简要解释这两种策略，并说明新开发的银行中间业务系统适合采用哪种策略及其原因。【问题2】（10分）遗留系统和新系统之间的转换策略常见的有直接转换、并行转换和分段转换。请简要说明达三种转换策略的含义；并请结合银行中间业务的特点，说明该银行新开发的中间业务系统上线时适合采用哪种策略

22、？为什么？【问题3】（6分）银行中间业务系统中，最为核心的是业务数据。因此在新旧系统切换时存在一项重要的工作：数据迁移。考虑到各省中间业务系统的巨大差异，因此需要做好数据迁移前的准备工作。请简要说明数据迁移准备工作的内容。答案： 本题解析：【问题1】（9分）继承策略，原因：新开发的系统要求“能够支持目前各省的所有中间业务”，淘汰策略无法达到此要求。【问题2】（10分）直接转换就是在原有系统停止运行的某一时刻，新系统立即投入运行，中间没有过渡阶段。并行转换就是新系统和现有系统并行工作一段时间，经过这段时间的试运行后，再用新系统正式替换下现有系统。分段转换策略也称为逐步转换策略，这种转换方式是直接

23、转换方式和并行转换方式的结合，采取分期分批逐步转换。以目前该银行的情况来看，适合采用分段转换策略，因为各省行采用的银行中间业务系统，均为各省自建，或者自行开发，或者自行采购，系统的硬件平台、软件系统、数据模式等均有非常大的差异。对这些子系统的支持可分段一个一个处理，降低风险的同时不让成本开支过大。【问题3】（6分）数据迁移准备工作包括：（1）待迁移数据源的详细说明，包括数据的存放方式、数据量和数据的时间跨度。（2）建立新旧系统数据库的数据字典，对现有系统的历史数据进行质量分析，以及新旧系统数据结构的差异分析。（3）新旧系统代码数据的差异分析。（4）建立新旧系统数据库表的映射关系，对无法映射字段

24、的处理方法。（5）开发或购买、部署ETL工具。（6）编写数据转换的测试计划和校验程序。（7）制定数据转换的应急措施。5. 问答题：论信息系统中的访问控制访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制，并在身份识别的基础上，根据身份对提出资源访问的请求加以控制。访问控制是策略和机制的集合，它允许对限定资源的授权访问。访问控制也可以保护资源，防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容，是实现数据保密性和完整性机制的主要手段，也是信息系统中最重要和最基础的安全机制。请围绕“信息系统中的访问控制”论题，依次从以下三个方面进行论述。1.概

25、要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。2.详细论述常见的访问控制策略和访问控制机制。3.阐述在项目开发中你所采用的访问控制策略和机制，并予以评价。答案： 本题解析：一、论文中要说明所参与管理和开发的软件项目，并明确指出在其中承担的主要任务和开展的主要工作。二、访问控制是策略和机制的集合，它允许对限定资源的授权访问。1.访问控制的策略访问控制策略包括登录访问控制、操作权限控制、目录安全控制、属性安全控制和服务器安全控制等方面的内容。（1）登录访问控制策略。登录访问控制为系统访问提供了第一层访问控制，它控制哪些用户能够登录系统并获取资源，控制准许用户登录时间和具体工作站点。

26、（2）操作权限控制策略。操作权限控制是针对可能出现的非法操作而采取的安全保护措施。用户和用户组被赋予一定的操作权限，系统管理员可以设置用户或用户组的具体权限。（3）目录安全控制策略。系统应该允许管理员控制用户对目录、文件和设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可以进一步自行设置对子目录和文件的权限。（4）属性安全控制策略。属性安全控制策略允许将设定的访问属性与服务器的文件、目录和设备联系起来。系统资源都应预先标出一组安全属性，用户对资源的操作权限对应一张访问控制表，属性安全控制级别高于用户操作权限设置级别。（5）服务器安全控制策略。系统允许在服务器

27、控制台上执行一系列操作。用户通过控制台可以加载和卸载系统模块，可以安装和删除软件。系统应该提供服务器登录限制、非法访问者检测等功能。2.访问控制机制常见的访问控制机制主要有自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制和基于对象的访问控制等。（1）自主访问控制。这是目前信息系统中实现最多的访问控制机制，是在确认主体身份以及它们所属组的基础上，对访问进行限定的一种方法。其基本思想是允许某个主体显式地指定其他主体对该主体所拥有的资源是否可以访问，以及可执行的访问类型。（2）强制访问控制。其基本思想是，每个主体都有既定的安全属性，每个客体也都有既定的安全属性，主体对客体是否能够执

28、行特定的操作取决于两者安全属性之间的关系。（3）基于角色的访问控制。由于其对角色和层次化管理的引进，特别适用于用户数量庞大、系统功能不断扩展的大型系统。基于角色的访问控制，在用户和访问许可权之间引入了角色的概念，用户与特定的一个或多个角色相联系，角色与一个或多个访问许可权相联系。（4）基于任务的访问控制。该机制从应用和企业层角度来解决安全问题。它采用面向任务的观点，从任务的角度来建立安全模型和实现安全机制，在任务处理的过程中提供动态实时的安全管理。其访问权限控制并不是静止不变的，而是随着执行任务的上下文环境发生变化，是一种动态安全模型。（5）基于对象的访问控制。控制策略和控制规则是基于对象的访

29、问控制的核心。在基于对象访问控制模型中，将访问控制与受控对象及其属性相关联，并将访问控制选项设计成为用户、组或角色及其对应权限的集合。同时，允许对策略和规则进行复用、继承和派生操作。这种方式对信息量巨大、信息内容更新变化频繁的管理信息系统非常有益，可以减轻由于信息资源的派生、演化和重组带来的分配和设定角色权限等的工作量。三、结合具体项目，指出所选择的访问控制策略和机制，并说明具体的实施过程和对实际开发效果的分析。6. 问答题：论Web系统的测试技术及其应用随着网络技术的广泛应用，许多传统的信息系统已经逐渐被移植到互联网上， Web系统已经对日常的工作和生活产生了深远的影响。为了保证Web系统的

30、正确性，在系统开发阶段就要对其进行全面的测试、确认和验收，而且由于Web系统具有与传统信息系统截然不同的特点，需要采用针对Web系统特点的测试技术与方法。请围绕“Web系统的测试技术及其应用”论题，依次从以下三个方面进行论述。1.概要叙述你参与实施的Web系统开发项目以及你所担任的主要工作。2.阐述主要针对哪几个方面进行Web系统测试，并对每个方面的具体测试内容进行详细论述。3.阐述在进行Web系统的测试时遇到了哪些问题，如何解决。答案： 本题解析：写作要点：一、论文中要具体介绍组织的业务背景、组织结构、Web系统的架构、采用的技术等内容和担任的实际工作。二、Web系统测试包括：1.功能测试，

31、包括：（1）链接测试。链接测试可分为三个方面。首先，测试所有链接是否按指示链接到正确的页面；其次，测试所链接的页面是否存在；最后，保证Web应用系统上没有孤立页面。链接测试可以自动进行，现在已经有许多工具可以采用。（2）表单测试。当用户给Web应用系统管理员提交信息时，就需要使用表单操作，例如用户注册、登录、信息提交等。在这种情况下，必须测试提交操作的完整性，以校验提交给服务器的信息的正确性。如果使用默认值，还要检验默认值的正确性。如果表单只能接受指定的某些值，则也要进行测试。（3）Cookies测试。如果Web应用系统使用了Cookies，就必须检查Cookies是否能正常工作。测试的内容可

32、包括Cookies是否起作用，是否按预定的时间进行保存，刷新对Cookies有什么影响，等等。（4）设计语言测试。Web设计语言版本的差异可以引起客户端或服务器端严重的问题，例如使用哪种版本的HTML等。当在分布式环境中开发时，开发人员都不在一起，这个问题就显得尤为重要。除了HTML的版本问题外，不同的脚本语言，例如Java、Javascript、ActiveX、VBscript或Perl等也要进行验证。（5）数据库测试。在Web应用中，最常用的数据库类型是关系型数据库。在使用了数据库的Web应用系统中，一般情况下，可能发生两种错误，分别是数据一致性错误和输出错误。数据一致性错误主要是由于用户

33、提交的表单信息不正确而造成的，而输出错误往往是由于网络速度或程序设计问题等引起的，针对这两种情况，可分别进行测试。2.性能测试，包括：（1）连接速度测试。由于用户连接到Web应用系统的速度差异较大，需要对Web系统响应时间进行测试；另外，需要对页面响应速度和超时设置进行测试；最后，需要考虑由于连接速度太慢而引起的数据丢失。（2）负载测试。负载测试是为了测量Web系统在某一负载级别上的性能，以保证Web系统在需求范围内能正常工作。负载级别可以是某个时刻同时访问Web系统的用户数量，也可以是在线数据处理的数量。（3）压力测试。压力测试是指实际破坏一个Web应用系统，测试系统的反映。压力测试是测试系

34、统的限制和故障恢复能力，也就是测试Web应用系统会不会崩溃，在什么情况下会崩溃。压力测试的区域包括表单、登录和其他信息传输页面等。3.可用性测试，包括：（1）导航测试。导航测试需要考虑导航是否直观，Web系统的主要部分是否可通过主页存取，Web系统是否需要站点地图、搜索引擎或其他的导航帮助等导航可用性问题。Web系统的层次一旦决定，就要着手测试用户导航功能，让最终用户参与这种测试，效果将更加明显。（2）图形测试。图形测试的内容有：验证图形用途，减少传输时间与传输量；验证所有页面字体的风格是否一致；验证背景颜色是否与字体颜色和前景颜色相搭配；检查图片的大小和质量，等等。（3）内容测试。主要检验W

35、eb应用系统提供信息的正确性、准确性和相关性。（4）整体界面测试。考察整个Web系统的页面结构设计，是否给用户的一个整体感。对所有的可用性测试来说，都需要有外部人员的参与，最好是最终用户的参与。4.客户端兼容性测试，包括：（1）平台测试。需要在各种操作系统下对Web系统进行兼容性测试。（2）浏览器测试。测试不同厂商、不同版本的浏览器对某些构件和设置的适应性。5.安全性测试，包括：（1）用户名、密码测试。必须测试有效和无效的用户名和密码，要注意到是否大小写敏感，可以试多少次的限制，是否可以不登录而直接浏览某个页面等。（2）超时测试。测试Web系统是否有超时的限制。（3）日志信息测试。需要测试相关

36、信息是否写进了日志文件、是否可追踪。（4）安全套接字测试。当使用了安全套接字时，还要测试加密是否正确，检查信息的完整性。（5）服务器端脚本问题。服务器端的脚本常常构成安全漏洞，这些漏洞又常常被黑客利用。所以，还要就没有经过授权，就不能在服务器端放置和编辑脚本的问题进行测试。三、在进行Web系统测试时可能存在的问题包括如何构建测试环境；如何选择合适的工具进行自动化测试；如何模拟大规模并发访问，并进行系统的性能测试；如何设计调查问卷，进行系统的可用性测试，等等。7. 问答题：论数据库集群技术及应用随着经济的高速发展，企业的用户数量、数据量呈爆炸式增长，对数据库管理提出了严峻的考验。数据库系统是大多

37、数商业信息系统的核心，因此除了业务逻辑之外，企业对数据库系统的系统性能、数据可靠性和服务可用性都提出了较高要求。为满足企业用户的实际需求，近年来数据库集群技术出现了飞速发展。按照数据库集群的架构可分为共享磁盘型和非共享磁盘型数据库集群。不同的数据库集群产品采用了不同的数据同步机制，各具特色，可满足不同类型的应用需求。业务在实现信息系统时，需要根据数据管理的实际需求，选择合适的数据库集群产品。请以“数据库集群技术及应用”为题，分别从以下三个方面进行论述。1.概要叙述你参与实施的软件项目以及你在其中所担任的主要工作。2.请说明你所参与的软件项目对数据管理的实际需求，结合数据库集群技术的特点，论述你

38、是如何应用数据库集群技术或设计数据库集群系统的。3.请简要说明数据库集群产品的应用效果及存在的问题。答案： 本题解析：一、论文中要说明所参与管理和开发的软件项目，并明确指出在其中承担的主要任务和开展的主要工作。二、需要结合项目实际情况来说明如何应用数据库集群技术，在此值得注意的是，数据库集群技术与传统数据库最大区别在于传统数据库利用的是高性能服务器，而集群技术是用一系列的PC机组成集群，提供数据库服务。所以传统数据库一旦升级，需要支出高额的成本（换掉原来的服务器），而如果采用集群方式就只需要增加集群中的机器，所以从可扩展性，性能，可用性等一系列方面都有明显优势。在论述为何选用数据库集群技术时，

39、可谈到此方面的话题。所谓如何应用集群技术与设计数据库集群系统，主要是从性能与可用性方面采取一些策略来进行设计。1.提高处理速度的四种办法（1）提高磁盘速度主要思想是提高磁盘的并发度。尽管实现方法各不相同，但是它们最后的目的都是提供一个逻辑数据库的存储映像。系统为了提高磁盘访问速度，建立一个虚拟的涵盖所有数据“大”数据库，而不用去考虑数据的实际物理磁盘存放位置。（2）分散数据的存放利用多个物理服务器来存放数据集的不同部分，使得不同的服务器进行并行计算成为可能。ORACLE RAC是共享磁盘的体系结构，用户只需简单地增加一个服务器节点，RAC就能自动地将这节点加入到它的集群服务中去，RAC会自动地

40、将数据分配到这节点上，并且会将接下来的数据库访问自动分布到合适的物理服务器上，而不用修改应用程序；UDB是非共享磁盘的体系结构，需要手工修改数据分区，MSCS和ASE也是同样情况。ICX是一种基于中间件的数据库集群技术，对客户端和数据库服务器都是透明的。可以用来集群几个数据库集群。 系统通过化整为零的策略，将数据表格分散到多个服务器或者每个服务器分管几个内容不同的表格，这样做的目的在于通过多服务器间并行运算以提高访问速度。（3）对称多处理器系统利用多处理机硬件技术来提高数据库的处理速度。 所有基于数据库引擎的集群都支持这个技术。 将多CPU处理器进行合理调度，来同时处理不同的访问要求，但这种技

41、术在数据库上的应用的实际收益是很有限的。（4）交易处理负载均衡在保持数据集内容同步的前提下，将只读操作分布到多个独立的服务器上运行。因为绝大多数的数据库操作是浏览和查询，如果我们能拥有多个内容同步的数据库服务器，交易负载均衡就具有最大的潜力（可以远远大于上面叙述的最多达四个处理器的对称多处理器系统）来提高数据库的处理速度，同时会具有非常高的数据可用性。 所有基于数据库引擎的集群系统都只支持一个逻辑数据库映像和一个逻辑或物理的备份。这个备份的主要目的是预防数据灾难。因此，备份里的数据只能通过复制机制来更新，应用程序是不能直接更新它的。利用备份数据进行交易负载均衡只适用于一些非常有限的应用，例如报

42、表统计、数据挖掘以及其他非关键业务的应用。 负载平衡算是一项“老”技术了。但将性能提高到最大也是集群设计所追求的终极目标。2.提高可用性的四种方法（1）硬件级冗余让多处理机同时执行同样的任务用以屏蔽瞬时和永久的硬件错误。有两种实现方法：构造特殊的冗余处理机和使用多个独立的数据库服务器。 基于数据库的集群系统都是用多个独立的数据库服务器来实现一个逻辑数据库，在任意瞬间，每台处理器运行的都是不同的任务。这种系统可以屏蔽单个或多个服务器的损坏，但是因为没有处理的冗余度，每次恢复的时间比较长。 传统意义上，硬件越贵，性能越高，但往往事与愿违。想通过追加和升级硬件设备来改善硬件级的冗余，要进行详细的需求

43、分析和论证。（2）通讯链路级冗余冗余的通讯链路可以屏蔽瞬时和永久的通讯链路级的错误。 基于数据库引擎的集群系统有两种结构：共享磁盘和独立磁盘。RAC， MSCS 可以认为是共享磁盘的集群系统，UDB和ASE 是独立磁盘的集群系统。共享磁盘集群系统的通讯的冗余度最小，通讯链路级的冗余具有容错功能。（3）软件级冗余由于现代操作系统和数据库引擎的高度并发性，由竞争条件、死锁、以及时间相关引发的错误占据了非正常停机服务的绝大多数原因。采用多个冗余的运行数据库进程能屏蔽瞬时和永久的软件错误。基于数据库引擎的集群系统都用多个处理器来实现一个逻辑数据库，它们只能提供部分软件冗余，因为每一瞬间每个处理器执行的

44、都是不同的任务。 改善软件设计来提高冗余性能和屏蔽软件级错误是每个技术开发商的梦想。传统的集群系统只能提供部分软件冗余。（4）数据冗余被动更新数据集：所有目前的数据复制技术（同步或异步），例如磁盘镜像、数据库文件复制以及数据库厂商自带的数据库备份工具都只能产生被动复制数据集。它一般只用于灾难恢复。 多数应用都是采用被动更新数据集的方法。这种方法容灾能力差，资源占用多，已面临淘汰和革新。主动更新数据集：这种数据集需要一台或多台备份数据库服务器来管理，它可用于报表生成，数据挖掘，灾难恢复甚至低质量负载均衡。分同步和异步两种。异步主动复制数据集：先把事务处理交给主服务器来完成，然后事务处理再被串行地

45、交给备份服务器以执行同样操作来保证数据一致性。所有的商用数据库都支持异步主动复制技术。同步主动复制数据集：要求所有并发事务处理在所有数据库服务器上同时完成。直接好处就是解决了队列管理问题，同时通过负载均衡实现更高性能和可用性。RAC， UDB， MSCS 和 ASE是用完全串行化并结合两阶段提交协议来实现的，设计目标就是为了获得一份可用于快速灾难恢复的数据集。 主动更新数据集是目前比较先进的数据冗余方法。专业人员还可以进行更底层的技术细节比较。底层技术的差异直接影响着一些重要指标。 提高安全和数据集可扩性的技术 在提高数据库安全性和数据集可扩性这两方面，可以创新的空间是很小的。三、存在的问题与

46、解决方案则需要结合项目实践进行论述。8. 问答题：某集团公司在各省均设有分公司，现欲建立全国统一的销售管理信息系统，以便总公司及时掌握各分公司的销售情况。公司成立专门的项目组进行该系统的研发工作，其中张工负责其中的数据库设计工作。张工和需求分析小组紧密合作，在设计出数据流图和数据字典的基础上，给出了数据库关系模式和相应的索引设计。同时考虑到未规范化关系模式可能引起的各类数据错误，对关系模式进行了全面的规范化处理，使所有关系模式均达到了3NF或BCNF。在项目实施过程中，应用开发小组认为该设计方案未考虑应用功能的实际需求。如果严格按照设计方案实施，会对应用系统中整体性能产生较大影响。主要的原因在

47、于进行数据查询时，会产生大量的多表连接操作，影响性能。而设计方案中的索引设计，并不能完全满足数据查询的性能要求。应用开发小组还认为，该设计方案未考虑到信息系统中核心销售数据处理的特点：各分公司在使用该信息系统时只能操作自己分公司的销售数据，无权操作其他分公司的销售数据；只有总公司有权利操作所有销售数据，以便进行统计分析。应用开发小组要求，在数据库设计方案中，必须针对实际应用功能的实现来考虑关系模式的规范化，必要时需要采用逆规范化或解除规范化的方法来保证性能要求。【问题1】（8分）系统需要管理供应商和货物等信息，具体包括供应商姓名、地址以及货物名称、价格等，供应商可以提供0n种货物，其公司地址也

48、可能发生变化。请以供应商关系模式supplier（name,address,product,price）为例，解释不规范的关系模式存在哪些问题。【问题2】（6分）应用开发小组认为张工的规范化设计虽然解决了未规范化关系模式带来的问题，但实际实现功能时会造成系统性能的下降，请解释其原因。【问题3】（5分）请解释逆规范化方法，说明其优缺点。【问题4】（6分）针对该信息系统中核心销售数据处理的特点，如采用关系表水平分割的逆规范化方法，请给出具体的解决方案，并说明该方案存在的问题。答案： 本题解析：【问题1】（8分）（1）数据冗余：关系模式中多次重复记录了同一供应商的地址。（2）插入异常：如果还未确定一

49、个供应商有哪些货物，只是想添加一个供应商的地址信息，则会产生产品与价格均为空的记录。（3）修改异常：当修改一个供应商的地址时，需要将多条记录同时更新，若未同时更新，则数据产生不一致。（4）删除异常：当删除一个供应商的货物时，其地址信息被一并删除。【问题2】（6分）数据库规范化的过程，实际是对数据表的不断拆分，以达到更高的规范程度。这样处理，带来的问题是：系统中大量查询不能通过单表完成，而需要将多表进行连接查询，所以表拆分得越多，查询性能也就越差。【问题3】（5分）逆规范化方法优点：提高统计、查询效率。逆规范化方法缺点：增加了数据冗余，浪费存储空间，增、删、改操作的效率降低，可能导致数据不一致，

50、可能产生添加、修改、删除异常。【问题4】（6分）解决方案：将各省的数据存放于各省分公司。该方案主要问题：（1）在于总公司进行全国数据统计时，需要从各省服务器调取数据，效率较低。（2）执行应用功能时需要动态选择分公司的数据库表，增加了应用程序的复杂度。9. 问答题：论业务流程建模方法及应用业务流程建模是系统分析阶段一项非常重要的工作，是业务功能分析的进一步细化。业务流程建模的目的明确各个部门之间的业务关系和每个业务处理的意义，详细了解各个业务流程的执行过程，为业务流程的合理化改造提供建议，为系统的数据流程变化提供依据。业务流程建模的任务包括明确企业职能是如何在有关部门具体完成的，在完成这些职能时

51、信息处理工作的一些细节情况，确定流程工作过程以及与企业其他要素之间的关系，对业务流程进行设计或改造，等等。请以“业务流程建模方法及应用”为题，分别从以下三个方面进行论述。1. 概要叙述你参与实施的项目以及你所担任的主要工作。2.给出三种业务流程建模方法，并对每种方法进行简要描述。说明你在该项目中采用了哪种业务流程建模方法，结合项目特征说明采用该方法的原因，并详细描述业务流程建模过程。3. 阐述在进行业务流程建模过程中遇到的主要问题及如何解决的。答案： 本题解析：一、论文中要说明所参与管理和开发的软件项目，并明确指出在其中承担的主要任务和开展的主要工作。二、目前主要的业务流程建模方法包括：标杆瞄

52、准、IDEF、DEMO、Petri网，选择其中任意3种进行论述均可。1.标杆瞄准标杆瞄准是一个连续、系统化地对外部领先企业进行评价的过程，通过分析和评价，确定出代表最佳实践的经营过程和工作过程，以便合理地确定本企业的业务流程。人们形象地把标杆瞄准法比喻为是一个合理、合法地“拷贝”优秀企业成功经验的过程。事实上，企业中的许多业务流程（例如，库存管理、供应商管理、客户管理、广告与雇佣等）在不同的行业中都是相似的，因此，运用标杆瞄准法对这些项目实施瞄准，尤其是在不同的行业对同一项目实施标杆瞄准时，对企业的参考价值可能更大。2.IDEFIDEF是一系列建模、分析和仿真方法的统称，从IDEF0到IDEF

53、14（包括IDEF1X在内）共有16套方法，每套方法都是通过建模程序来获取某个特定类型的信息。它们分别是IDEF0（功能建模）、IDEF1（信息建模）、IDEF1X（数据建模）、IDEF2（仿真建模设计）、IDEF3（过程描述获取）、IDEF4（面向对象设计）、IDEF5（本体论描述获取）、IDEF6（设计原理获取）、IDEF7（信息系统审计）、IDEF8（用户界面建模）、IDEF9（场景驱动信息系统设计）、IDEF10（实施架构建模）、IDEF11（信息制品建模）、IDEF12（组织建模）、IDEF13（三模式映射设计）和IDEF14（网络规划）。在IDEF方法中，IDEF0可以用来对业务流

54、程进行建模。IDEF0是对企业所完成的各项活动及活动之间的相互关系的一种结构化描述，其基本要素是用“盒子”表示功能活动。IDEF0的特点是其层次分解性，它利用一套完整的、严密的规则，将一个复杂的系统逐层往下分解，即较高层次的一个活动可以按需要细化成一组较低层次上的活动。3.DEMODEMO方法定义了信息系统中行为角色之间的通信方式，这种通信方式可以看作是一种对角色行为的支配方式，而这种支配方式是通过在行为角色之间创建指导其行动的约定来实现的，其理论基础是对话行为理论（speech action theory）。DEMO的核心是业务事务（business transaction），业务流程由一系

55、列的相关业务事务组成，业务事务是一种通信模式和客观行为，是通过两个行为角色实现，分别是发起者和执行者。一个业务事务包括三个阶段，分别是要求阶段、执行阶段和结果阶段。要求阶段和结果阶段是由在主观世界中的发起者和执行者之间通信的行为组成，执行阶段是执行者执行所提出的要求的客观行为。5.Petri网Petri网作为一种从流程的角度出发描述和分析复杂系统的模型工具，适用于多种系统的图形化、数学化建模工具，为描述和研究具有并行、异步、分布式和随机性等特征的信息系统提供了强有力的手段。三、结合项目实际情况来分析遇到的问题与解决方案，这需要一定的实践基础，把实践中的问题提出，并给出解决方案。10. 问答题：

56、论工作流管理技术在CIM系统协作中的应用计算机集成制造（Computer Integration Manufacturing，CIM）是信息技术和生产技术的综合应用，旨在提高制造业企业的生产率和响应能力。企业面临的任务是：将企业先后建立的多个分立的 CIM 系统集成起来，形成一个协调的企业 CIM 综合应用平台，实现各个不同CIM系统间的协同工作，使得企业的业务过程、数据信息和组织管理都被作为 CIM 集成平台的组成部分。利用工作流管理技术为企业构建上述 CIM 综合应用平台，使企业可以方便地协调各种业务功能，优化资源的组织利用，从而获得最佳的运行效益。但企业已有的工作流管理系统往往用于管理企业的业务过程和控制企业的业务活动，并不能直接用来支持CIM综合应用平台的建设。请围绕“工作流管理技术在CIM系统协作中的应用”论题，依次从以下三个方面进行论述。1概要叙述你参与分析和开发的CIM系统协作项目以及你所担任的主要工作。2简要分析现有工作流管理系统直接支持企业实施CIM系统协同工作有何不足，并从工作流执行角度详细论述通过哪些方式可以支持应用协作；阐述你所选择的协作方式及其理由。3在工作流管理系统提供动态创建工作流模型功能的基础上，分析并说明用户可以采用哪些方式完成CIM系统间的协同工作，以及在你所参与的项目中用户所采用的协作方式。答案： 本题解析：暂无解析