【计算机类职业资格】高级系统架构设计师下午试题(Ⅱ)-6及答案解析.doc

1、高级系统架构设计师下午试题()-6 及答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)论 ESB模式在企业应用集成中的应用企业应用集成(Enterprise Application Integration，EAI)是每个企业都必须要面对的实际问题。企业服务总线(Enterprise Service Bus，ESB)是一种体系结构模式，支持通信各方间的服务交互的虚拟化和管理。它充当面向服务架构(Service-Oriented Architecture，SOA)中服务提供者和请求者之间的连接服务的中间层。与传统的 EAI技术相比，ESB 采用总线

2、式的体系结构集成多个应用系统，基于开放标准实现其内部核心功能，并支持快速加入新的应用到已有的集成环境中。请围绕“ESB 模式在企业应用集成中的应用”论题，依次从以下 3个方面进行论述。（分数：15.00）(1).要叙述你参与实施的企业应用集成项目(包括业务背景、组织结构、现有应用系统的分布，以及采用的技术等)，以及你所担任的主要工作。（分数：5.00）_(2).详细论述 ESB的核心功能和典型结构；列举目前流行的 ESB产品；指出你参与的项目所选择的 ESB产品，并从 ESB核心功能的角度说明选择该产品的理由。（分数：5.00）_(3).阐述在使用 ESB技术进行应用集成过程中所遇到的问题及解

3、决办法，简要叙述你进一步应用 ESB模式的有关设想。（分数：5.00）_二、B试题二/B(总题数：1，分数：21.00)论基于场景的软件架构评估方法与应用大中型复杂软件系统开发所关注的问题之一是质量，在软件系统的早期设计阶段，选择合适的体系结构对系统许多关键质量属性(如性能、可靠性、可用性、可修改性、安全性和互操作性等)起着决定性的影响。不恰当的软件体系结构将给项目开发带来灾难。因此，尽早分析和评估一个系统的体系结构非常重要。基于调查问卷或检查表的评估和基于场景(Scenarios)的评估是目前两类主要的软件架构评估方式。利用场景评估技术进行软件体系结构评估的主流方法包括SAAM(Scenar

4、io-based Architecture Analysis Method)、ATAM(Architecture Tradeoff Analysis Method)和 CBAM(Cost Benefit Analysis Method)。SAAM方法最初用于比较不同的体系结构，后来用于指导对体系结构的检查，使其主要关注潜在的问题，如需求冲突，或仅从某一参与者观点出发的不全面的系统设计；ATAM 方法在揭示出结构满足特定质量目标的同时，也能反映出质量目标之间的联系，从而权衡多个质量目标；CBAM 方法可以看做是 ATAM方法的补充，在其评估结果上对软件体系结构的经济性进行评估。请围绕“基于场景的

5、软件架构评估方法与应用”论题，依次从以下 3个方面进行论述。（分数：21.00）(1).概要叙述你参与管理和开发的软件项目及你所承担的主要工作，包括角色、工作内容等。（分数：7.00）_(2).请从评估目的、评估参与者、评估活动或过程，以及评估结果等几个方面对 SAAM(或 ATAM)评估方法进行分析。（分数：7.00）_(3).具体阐述你参与管理和开发的项目中在体系结构设计和评估时，采用了什么评估方法，如何具体实施，最终实际效果如何。（分数：7.00）_三、B试题三/B(总题数：1，分数：15.00)1.论企业信息系统的安全设计 目前，各企事业单位(或其他类似领域)信息化已经渗透到本单位各项

6、业务活动的各个阶段。管理信息系统的安全性及其实施方法是企事业单位信息化中的关键任务之一，为了保障网络的安全性和信息系统的安全性，各种相关的安全技术和安全产品得到了广泛使用。 请围绕“企业信息系统的安全设计”论题，依次从以下 3个方面进行论述。 (1)概要叙述你参与管理和设计的企业信息系统及你所担任的主要工作。 (2)详细论述你采用的保障网络安全和信息系统安全的技术和方法，并着重说明你所采用的软件、硬件安全产品，以及管理措施的综合解决方案。 (3)分析和评估你所采用的相关安全措施的效果及其特色，以及相关的改进措施。（分数：15.00）_四、B试题四/B(总题数：1，分数：24.00)论 Web应

7、用系统性能优化技术与应用随着信息化技术在世界范围内的迅猛发展，特别是网络技术的普及应用，目前Web应用系统大多已采用 B/S或 B/A/S等多层分布式结构，最终用户能采用方便直观的 Web网页浏览器，在后台 Web服务器及相关数据库服务器的支持下，通过网页方式请求各类应用服务。由于访问用户人数的不断增加、网页内容与多媒体技术的迅速发展、各类服务质量要求的显著提升，Web 服务器承受着越来越大的压力，因此有必要提高 Web服务器的性能。请围绕“Web 应用系统性能优化技术”论题，依次对以下 3个方面进行论述。（分数：24.00）(1).概要叙述你参与管理和开发的 Web应用系统项目及你所担任的主

8、要工作。（分数：8.00）_(2).具体讨论你在从事基于 Web的应用项目时所采用的策略、方案和技术。详细叙述在项目中 Web服务器发挥的具体作用与使用效果，遇到的问题及其解决办法。（分数：8.00）_(3).分析与评估改进 Web应用系统性能可能采用的主要技术与措施，在项目中你采用什么技术来改进项目的效果，说明你的理由并讨论可能的结果。（分数：8.00）_高级系统架构设计师下午试题()-6 答案解析(总分：75.00，做题时间：90 分钟)一、B试题一/B(总题数：1，分数：15.00)论 ESB模式在企业应用集成中的应用企业应用集成(Enterprise Application Integ

9、ration，EAI)是每个企业都必须要面对的实际问题。企业服务总线(Enterprise Service Bus，ESB)是一种体系结构模式，支持通信各方间的服务交互的虚拟化和管理。它充当面向服务架构(Service-Oriented Architecture，SOA)中服务提供者和请求者之间的连接服务的中间层。与传统的 EAI技术相比，ESB 采用总线式的体系结构集成多个应用系统，基于开放标准实现其内部核心功能，并支持快速加入新的应用到已有的集成环境中。请围绕“ESB 模式在企业应用集成中的应用”论题，依次从以下 3个方面进行论述。（分数：15.00）(1).要叙述你参与实施的企业应用集成

10、项目(包括业务背景、组织结构、现有应用系统的分布，以及采用的技术等)，以及你所担任的主要工作。（分数：5.00）_正确答案：(简要介绍你参与规划、设计、实施和管理的企业应用集成项目的基本情况(包括业务背景、组织结构、现有应用系统的分布和采用的技术等)，简要说明自己在该项目中的角色、所承担的主要任务及开展的主要工作。参与管理和实施的企业应用集成项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。)解析：(2).详细论述 ESB的核心功能和典型结构；列举目前流行的 ESB产品；指出你参与的项目所选择的 ESB产品，并从 ESB核心功能的角度说明选择该产品的理由。（分数：5.00）_正确

11、答案：(企业服务总线(Enterprise Service Bus，ESB)是由中间件技术实现的支持面向服务架构(SOA)的基础软件平台，支持异构环境中的服务以基于消息和事件驱动模式的交互，并且具有适当的服务质量和可管理性。ESB 技术的基本思想是，提供一种标准的软件底层架构，各种程序组件能够以服务单元的方式“插入”到该平台上运行，并且组件之间能够以标准的消息通信方式来进行交互。换而言之，ESB 是传统中间件技术与 XML、Web 服务等技术结合的产物。ESB 是一个集成平台，将现有的 IT设施和应用系统暴露为服务。由于 ESB基于开放标准，企业的遗产系统使用的私有技术能够基于开放和现代的技术

12、(例如 Web服务和消息机制等)暴露为服务。 其核心功能包括位置透明性、传输协议转换、消息转换、消息路由、消息增强、安全，以及监控和管理 7项内容。 位置透明性(Location Transparency)。位置透明性是指当一个服务消费者与一个服务提供者通过 EsB进行通信时，服务消费者不需要知道服务提供者的实际位置，这就意味着服务消费者与服务提供者之间是解耦合的。 传输协议转换(Transport Protocol Conversion)。当服务请求者与服务提供者采用不同的传输协议时，ESB 能够将基于输入传输协议格式的数据转换为不同输出传输协议格式的数据。 消息转换(Message Tra

13、nsformation)。在服务请求者和服务提供者进行交互时，ESB 基于开发标准(XLST 和 XPath等)提供了将消息从一种格式转换为另外一种格式的能力。 消息路由(Message Router)。在实际的集成环境中，对于一个特定的输入请求消息，可能有多个应用程序参与进来作为该消息传递的目标。ESB 能够决定一个消息必须发送到哪些相关的应用程序中，处理这种逻辑的核心功能称为消息路由。 消息增强(Message Enhancement)。在某些情况下，可能需要为请求数据添加额外的数据或转换已有的数据，在这种情况下，ESB 应该提供对外部数据的访问能力，支持用户编写客户端代码对数据进行访问和

14、处理。 安全(Security)。ESB 必须支持对消息的授权和认证能力，如果输入数据可能被恶意解析，还要提供加密能力。ESB 的安全包括消息的机密性、完整性和可用性等，支持不同的安全策略与方法。 监控和管理(Monitor and Management)。关注 ESB的维护和管理能力。监控与管理功能包含多个方面，例如对于消息层来说，其管理主要包括管理消息队列、监控消息大小和消息队列的吞吐率等。对于 Web服务，主要包括监控每个服务是否启动和运行、在每分钟有多少调用请求等。 注意：论文中只要给出以上 7个核心功能中的 5个即可。 ESB 提供了一个基于标准的松散应用耦合模式，在层次化的技术结构

15、中，ESB 至少包含以下 3层。 总线接入层：通过这一层可以使用户各种应用接入 ESB，以及使用 ESB的各种服务。在这一层提供对多种主流应用的接入协议支持，如HTTP、JCA/J2C、.NET 和 IBM/CICS等。同时考虑到一些客户自己定制的应用与 ESB的连接，在总线接入层提供了适配器服务。 核心层：提供多种企业服务总线所需的必要服务支持，在这一层除了提供总线基本服务(如分发/订阅、队列、安全服务和仲裁服务等)外，还提供了 QoS的支持(如高可用性、确保消息传输等)。 微流程组合/拆分或定制路由层：这一层是侧重在业务支持上。通过通用和标准的对象和服务模型，可以在这一层上定义可重用和基于

16、业界标准的业务流程。 目前流行的 ESB产品包括商业产品和开源产品两类。 商业产品 IBM的 WebSphere ESB、Oracle 的 Oracle Service Bus(前身是 BEA的AquaLogic Service Bus)和微软的 BizTalk Server等。 开源产品：Mule、Apache serviceMix、JBossESB、OpenESB 和 WSO2等。 注意：论文中只要给出以上产品中的 4个即可。 结合项目实践经验，说明你参与管理和实施的工程项目所采用的 ESB产品，然后围绕 7个核心功能，并结合企业应用集成项目的实际特点，论述选择该 ESB产品的原因，原因的

17、描述要具有一定的广度和深度，要客观、适当。)解析：(3).阐述在使用 ESB技术进行应用集成过程中所遇到的问题及解决办法，简要叙述你进一步应用 ESB模式的有关设想。（分数：5.00）_正确答案：(具体说明你参与管理和开发的项目中，使用 ESB技术进行应用集成时所遇到的问题。这些问题包含但不限于以下内容。 如何根据企业应用集成的需求选择合适的 ESB产品? 如何根据企业的具体组织结构确定集成系统的体系结构，并据此设计系统的功能分布与物理拓扑结构? 相关子系统之间的数据格式转换问题。 针对具体业务编写合适的处理逻辑并确定消息路由问题等。 论述解决以上问题所采取的策略、具体办法和步骤，以及它们对该

18、工程项目后期的工作产生了哪些积极(或消极)的影响(效果和存在的问题)。论文最后可以进一步讨论你在该工程项目中获得的与 ESB应用相关的几点体会，以及在今后的工作过程中，如果碰到类似的开发项目你将如何应用这些经验或教训。对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。)解析：二、B试题二/B(总题数：1，分数：21.00)论基于场景的软件架构评估方法与应用大中型复杂软件系统开发所关注的问题之一是质量，在软件系统的早期设计阶段，选择合适的体系结构对系统许多关键质量属性(如性能、可靠性、可用性、可修改性、安全性和互操作性等)起着决定性的影响。不恰当的软件体系结构将给项目开发带来灾难。因此，尽

19、早分析和评估一个系统的体系结构非常重要。基于调查问卷或检查表的评估和基于场景(Scenarios)的评估是目前两类主要的软件架构评估方式。利用场景评估技术进行软件体系结构评估的主流方法包括SAAM(Scenario-based Architecture Analysis Method)、ATAM(Architecture Tradeoff Analysis Method)和 CBAM(Cost Benefit Analysis Method)。SAAM方法最初用于比较不同的体系结构，后来用于指导对体系结构的检查，使其主要关注潜在的问题，如需求冲突，或仅从某一参与者观点出发的不全面的系统设计；A

20、TAM 方法在揭示出结构满足特定质量目标的同时，也能反映出质量目标之间的联系，从而权衡多个质量目标；CBAM 方法可以看做是 ATAM方法的补充，在其评估结果上对软件体系结构的经济性进行评估。请围绕“基于场景的软件架构评估方法与应用”论题，依次从以下 3个方面进行论述。（分数：21.00）(1).概要叙述你参与管理和开发的软件项目及你所承担的主要工作，包括角色、工作内容等。（分数：7.00）_正确答案：(简要介绍你参与管理和开发的软件工程项目的基本情况，以及你在其中所担任的主要工作，包括角色、工作内容等。参与设计和实施的软件工程项目应有一定的规模，自己在该项目中担任的主要工作应有一定的分量。)

21、解析：(2).请从评估目的、评估参与者、评估活动或过程，以及评估结果等几个方面对 SAAM(或 ATAM)评估方法进行分析。（分数：7.00）_正确答案：(软件体系结构分析和评估的目的是为了识别体系结构中潜在的风险，验证系统的质量需求在设计中是否得到体现，预测系统的质量并帮助开发人员进行设计决策。软件体系结构的评估通常是指评估参与者在评估过程中利用特定评估方法对系统质量属性进行分析与评估。*SAAM评估目的SAAM的目的是验证基本的体系结构假设和原则，评估体系结构固有的风险。SAAM 指导对体系结构的检查，使其主要关注潜在的问题点，如需求冲突。SAAM 不仅能够评估体系结构对于特定系统需求的使

22、用能力，也能被用来比较不同的体系结构。评估参与者风险承担者、记录人员和软件体系结构设计师。评估活动或过程SAAM分析评估体系结构的过程包括 6个步骤，即形成场景、描述体系结构、场景的分类和优先级确定、间接场景的单个评估、评估场景的相互作用，以及形成总体评估，如下图所示。*SAAM评估活动过程形成场景。形成场景是通过集中讨论来实现。使风险承担者在一个友好的氛围中提出一些场景，这些场景反映了他们的需求，也体现了他们对体系结构将如何实现需求的认识。描述体系结构。体系结构设计师应该采用参加评估的所有人员都能够充分理解的形式，对待评估的体系结构进行适当的描述。这种描述说明系统中的运算和数据构件，以及他们

23、之间的联系。除了要描述这些静态特性以外，还要对系统在某段时间内的动态特征做出说明。场景的分类和优先级确定。场景分为直接场景和间接场景(或潜在场景)。直接场景是按照现有体系结构开发出来的系统能够直接实现的场景。与在设计时已经考虑过的需求相对应的直接场景能增进对体系结构的理解，促进对诸如性能和可靠性等其他质量属性的研究。间接场景就是需要对现有体系结构做某些修改才能支持的场景。间接场景对衡量体系结构，对系统在演化过程中将出现的变更的适用情况十分关键。通过各种间接场景对体系结构的影响，可以确定体系结构在相关系统的生命周期内对不断演化的使用的适应情况。直接场景类似于用例，而间接场景有时也叫变更案例。评估

24、人员通过对场景设置优先级，可以保证在评估的有限时间内考虑最重要的场景。这里的“重要”完全是由风险承担者及其所关心的问题确定的。风险承担者通过投票来表达所关心的问题。对间接场景的单个评估。对于直接场景而言，体系结构设计师要讲清所评估的体系结构将如何执行这些场景；对于间接场景而言，应说明需要对体系结构做哪些修改才能适应间接场景的要求。对于每一个间接场景，列出为支持该场景而需要对体系结构所做的改动，并估计出这些变更的代价。对体系结构的更改意味着引入某个新构件或新联系，或者需要对已有构件或联系的描述进行修改。评估场景的相互作用。场景的相互作用暴露了设计方案中的功能分配。场景相互作用的多少与结构复杂性、

25、耦合度和内聚性有关。同时，场景的相互作用能够暴露出体系结构设计文档未能充分说明的结构分解。形成总体评估。总体的权衡和评价，反映该组织对表现在不同场景中的目标考虑优先级。根据对系统成功的相对重要性来为每个场景设置一个权值。如果要比较多个体系结构，或者针对同一体系结构提出多个不同的方案，则可通过对权值的确定来得出总体评价。权值的设置具有很强的主观性，所以，应该让所有风险承担者共同参与，但也应合理组织，要允许对权值及其基本思想进行公开讨论。评估结果SAAM评估的主要有形输出包括以下内容。把代表了未来可能做的更改的场景与构架对应起来，显现出构架中未来可能会表现出较高复杂性的地方，并对每个这样的更改的预

26、期工作量做出评估。理解系统的功能，对多个构架所支持的功能和数量进行比较。如果所评估的是一个框架，SAAM 评估将指明框架中未能满足其修改性需求的地方，有时还会指出一种效果更好的设计。SAAM 评估也能对两个或者三个备选构架进行比较，明确其中哪一个能够较好地满足质量属性需求，而且更改较少，不会在未来导致太多的复杂问题。*ATAM评估目的ATAM的评估目的是依据系统质量属性和商业需求评估设计决策的结果。ATAM 希望揭示出构架满足特定质量目标的情况，使我们更清楚地认识到质量目标之间的联系，即如何权衡多个质量目标。评估参与者评估小组。该小组是所评估构架项目外部的小组，通常由 35 人组成。该小组的每

27、个成员都要扮演大量的特定角色。他们可能是开发组织内部的，也可能是外部的。项目决策者，对开发项目具有发言权，并有权要求进行某些改变，他们包括项目管理人员、重要的客户代表及构架设计师等。构架涉众(Stakeholders)。包括关键模块的开发人员、测试人员和用户等。评估活动或过程整个 ATAM评估过程包括 9个步骤，按其编号顺序分别是描述 ATAM方法、描述商业动机、描述体系结构、确定体系结构方法、生成质量属性效用树、分析体系结构方法、讨论和分级场景、分析体系结构方法和描述评估结果。描述 ATAM方法。评估小组负责人向参加会议的风险承担者介绍 ATAM评估方法。在这一步中，要解释每个人将要参与的过

28、程，并预留解答疑问的时间，设置好其他活动的环境和预期结果。关键是要使每个人都知道要收集哪些信息，如何描述这些信息，以及将向谁报告等。描述商业动机。项目决策者从商业的角度介绍系统的概况。该描述应该包括：系统最重要的功能；技术、管理、经济和政治方面的任何相关限制；与该项目相关的商业目标和上下文；主要的风险承担者；架构的驱动因素。描述体系结构。首席设计师或设计小组要对体系结构进行详略适当的介绍。在体系结构描述中，至少应该包括：技术约束(例如，操作系统、硬件和中间件等)；要与本系统交互的其他系统；用以满足质量属性要求的体系结构方法。确定体系结构方法。ATAM 评估方法主要通过理解体系结构方法来分析体系

29、结构。在这一步，由设计师确定体系结构方法，由分析小组捕获，但不进行分析。生成质量属性效用树。在这一步中，评估小组、设计小组、管理人员和客户代表一起确定系统最重要的质量属性目标，并对这些质量属性目标设置优先级和细化。即使是体系结构级的分析，也不一定是全局的，所以，评估人员需要集中所有相关人员的精力，注意体系结构的各个方面，这通常是通过构建效用树的方式来实现的。分析体系结构方法。一旦有了效用树的结果，评估小组可以对实现重要质量属性的体系结构方法进行考察。这是通过文档化这些体系结构决策和确定它们的风险、敏感点和权衡点等来实现的。在这一步中，评估小组要对每一种体系结构方法都考查足够的信息，完成与该方法

30、有关的质量属性的初步分析。这一步的主要结果是一个体系结构方法或风格的列表，与之相关的一些问题，以及设计师对这些问题的回答。通常产生一个风险列表、敏感点和权衡点列表。在这一步结束时，评估小组应该对整个体系结构的绝大多数重要方面所做出的关键设计决策、风险列表、敏感点，以及权衡点有一个清楚的认识。讨论和分级场景。场景在驱动 ATAM测试阶段起主导作用。风险承担者进行两项相关的活动，分别为集体讨论用例场景和改变场景。用例场景是场景的一种，在用例场景中，风险承担者是一个终端用户，使用系统执行的一些功能。一旦收集了若干个场景后，必须设置优先级。评估人员通过投票表决的方式来完成，每个风险承担者分配相当于总场

31、景数的 30%的选择，且此数值只入不舍。例如，如果共有 17个场景，则每个风险承担者将拿到 6张选票，这 6张选票的具体使用则取决于风险承担者，他可以把这 6张票全部投给一个场景，或者每个场景 23 张票，还可以一个场景一张票等。分析体系结构方法。在收集并分析了场景之后，设计师就可把最高级别的场景映射到所描述的体系结构中，并对相关的体系结构如何有助于该场景的实现做出解释。描述评估结果。最后要把 ATAM分析中所得到的各种信息进行归纳，并反馈给风险承担者。这种描述一般要采用幻灯片的形式，但也可以在 ATAM评估结束以后，提交更完整的书面报告。在描述过程中，评估负责人要介绍 ATAM评估的各个步骤

32、，以及各个步骤中得到的各种信息，包括商业环境、驱动需求、约束条件和体系结构等。评估结果ATAM的评估结果包括以下内容。一个简洁的构架表述。表述清楚的业务目标。用场景集合捕获的质量属性。所确定的敏感点和权衡点的集合。例如，备份数据库，对可靠性质量属性来讲，是敏感点性质的设计决策，但对性能和可靠性两个质量属性而言，它是权衡点性质的设计决策。有风险决策和无风险决策。风险主题的集合，主要包括以下几个方面。*敏感点(Sensitivity Points)与某个质量属性相关的构架决策。*权衡点(Tradeoff Points)与多个质量属性相关的构架决策。*有风险决策(Risk Set)根据所陈述的质量属

33、性需求，可能导致不期望结果的构架决策。*无风险决策(Nonfisk Set)根据分析被认为是安全的构架决策。)解析：(3).具体阐述你参与管理和开发的项目中在体系结构设计和评估时，采用了什么评估方法，如何具体实施，最终实际效果如何。（分数：7.00）_正确答案：(结合你参与的实际工作和项目的实际情况，具体阐述你在进行体系结构设计和评估时采用的评估方法和具体实施的过程和步骤，并对最终实际效果进行说明。如果在实际项目实施的时候，能利用ATAM方法进行软件体系结构评估，并利用 CBAM(Cost Benefit Analysis Method，成本效益分析方法)方法作为 ATAM的补充对软件体系结构

34、成本效益等经济性进行评估，则更完善。 论文最后可以进一步讨论你在该工程项目实践中获得的相关体会，以及在今后的工作过程中，如果碰到类似的开发项目你将如何应用这些经验或教训。对需要进一步改进的地方，不可脱离实际提出过高的要求，要给出评价依据，评价要客观、适当。)解析：三、B试题三/B(总题数：1，分数：15.00)1.论企业信息系统的安全设计 目前，各企事业单位(或其他类似领域)信息化已经渗透到本单位各项业务活动的各个阶段。管理信息系统的安全性及其实施方法是企事业单位信息化中的关键任务之一，为了保障网络的安全性和信息系统的安全性，各种相关的安全技术和安全产品得到了广泛使用。 请围绕“企业信息系统的

35、安全设计”论题，依次从以下 3个方面进行论述。 (1)概要叙述你参与管理和设计的企业信息系统及你所担任的主要工作。 (2)详细论述你采用的保障网络安全和信息系统安全的技术和方法，并着重说明你所采用的软件、硬件安全产品，以及管理措施的综合解决方案。 (3)分析和评估你所采用的相关安全措施的效果及其特色，以及相关的改进措施。（分数：15.00）_正确答案：(1)从信息系统安全的角度出发，根据所参与规划、设计的大中型管理信息系统项目的具体情况，介绍该单位信息系统项目的相关安全需求，简要说明自己在该项目中所承担的主要工作和需要处理的主要问题。参与管理和设计的应用系统应有一定的规模，自己在该项目中担任的

36、主要工作应有一定的分量。(2)在传统的企事业单位的活动中，所涉及的不同企事业单位或本单位内部不同人员在相互交往中往往需要直接见面。但在企事业单位信息化中，更多的是通过计算机网络这一媒介，而不需要直接见面。这就要求在设计和实现企事业单位管理信息系统时，除了针对具体业务需求进行详细的分析，保证满足具体的业务需求之外，还要加强信息系统安全的全方面考虑。 在企事业单位信息化建设方面，有许多需要解决的安全问题，它们并不是对于每个单位都是必需的。在这里仅举例说明一些需要解决的安全问题。在考试过程中，这些内容不必全部说明，根据不同系统的具体情况进行说明即可。 对所有与系统设计、开发、使用和维护相关的人员进行

37、安全培训，尤其要加强对使用和维护人员的安全培训，增加全体人员的安全意识。 网络拓扑结构方面的安全措施，如合理划分子网、选择路由策略等。 对于一些安全性要求较高的部门，通常还需要合理地选择机房建设地址，采取措施保障机房物理环境安全，如防火、防水和电磁屏蔽等安全措施。 众多的基本安全保护技术和方法，如物理隔离技术、防火墙、恶意代码防护系统、网络监控与入侵防范、网络漏洞(弱点)扫描、抗 DDoS攻击和安全黑洞、防网页篡改、反垃圾邮件，以及日志审计系统等。 数据存储方面的安全，例如对一些敏感数据的加密存储。 对于系统的访问，除了原始的基于用户名和口令方式的身份认证外，也许还会使用基于令牌(如网银的 U

38、SB Key)认证或基于 PKI甚至基于指纹等生物技术的安全认证技术，实现对访问系统的用户的身份认证。 针对可管理性和安全性的不同，会采用不同的授权管理技术，实现用户对系统访问权限的管理和控制。 使用不同安全等级的加密技术，保障机密数据的安全，例如保障数据传输的安全。 对于一些应用，如档案管理系统，还会涉及电子图章、电子签名，要保障数据的完整性，防止数据被篡改。 对于某些应用，如电子交易，还要防止交易双方中的任何一方否认自己参与过这次交易，实现抗抵赖。 对于一些对安全性要求非常高的企业，例如银行，往往还会要求异地备份，以满足业务的可持续性要求。 安全管理制度。建立完善的安全管理组织机构、安全评

39、估的管理、具体安全策略的管理、工程实施的安全管理、接入管理、建立完善的安全管理制度、运行管理、应急处理，以及联合防护等。 (3)不同企事业单位由于其自身的特点，所关心的安全问题会各有侧重。同时各个单位网络工程项目受投资的限制，在保障网络安全和信息安全方面也不得不有所侧重，或在不同的工程建设阶段，有不同的建设目标。因此这部分的说明应重点在于针对不同企事业单位自身的行业背景、特点、应用领域和投资，给出相应的合理论述，即需要针对不同的网络工程项目采用不同的安全策略。这部分的重点是必须根据对该网络工程项目的需求分析，考虑其所面对的安全威胁。例如对于门户网站，除了要防止一般的攻击之外，更重要的是要防止网

40、页被篡改及分布式拒绝服务攻击，要保证系统能够持续提供服务，具有快速恢复的能力。而对于生产性的企业，可能要集中精力于可靠性、备份与恢复，对操作进行认证、机密性和完整性保护，防止内外部的攻击。而对于政府部门，考虑内容非常多，包括网络拓扑、信任域建设、私自拨号检测、网页防篡改、容灾备份与灾难恢复、身份认证、机密性和完整性保护、漏洞扫描、物理隔离与安全审计等。 对于选择安全标准的策略，通常应先遵循国家标准，如果没有国家标准则可以考虑遵循相关行业和国际标准。在个别情况下可能会存在遵循行业联盟标准的要求。这里需要注意的是，国家对于密码设备有严格的标准，因此，如果涉及密码设备，则应选择符合国家认可的密码算法

41、和密码设备。防火墙、入侵检测系统和无线局域网设备等都应有国家相关安全部门的证书。 (4)在论述自己的安全解决方案之后，要根据系统的具体情况和采用的措施，客观地评价自己所采用的安全措施，并给出评价依据。这里要注意不可脱离实际提出过高的要求，评价要客观、适当。论文最后可以进一步讨论你在该工程项目中获得的相关体会，以及在今后的工作过程中，如果碰到类似的开发项目你将如何应用这些经验或教训。对需要进一步改进的地方，应有具体的着眼点，不能泛泛而谈。)解析：四、B试题四/B(总题数：1，分数：24.00)论 Web应用系统性能优化技术与应用随着信息化技术在世界范围内的迅猛发展，特别是网络技术的普及应用，目前

42、Web应用系统大多已采用 B/S或 B/A/S等多层分布式结构，最终用户能采用方便直观的 Web网页浏览器，在后台 Web服务器及相关数据库服务器的支持下，通过网页方式请求各类应用服务。由于访问用户人数的不断增加、网页内容与多媒体技术的迅速发展、各类服务质量要求的显著提升，Web 服务器承受着越来越大的压力，因此有必要提高 Web服务器的性能。请围绕“Web 应用系统性能优化技术”论题，依次对以下 3个方面进行论述。（分数：24.00）(1).概要叙述你参与管理和开发的 Web应用系统项目及你所担任的主要工作。（分数：8.00）_正确答案：(简要介绍你参与管理和开发的 Web应用系统项目的基本

43、情况(例如，项目背景、项目范围、项目周期和项目投资等情况)，简要说明自己在该工程项目中的角色、所承担的主要任务及开展的主要工作(自己在该项目中担任的主要工作应有一定的分量)。论文叙述自己参与管理和实施的 Web应用系统项目的背景和目标必须是十分明确的，所涉及的 Web应用项目应当有很大的访问强度，Web 服务器应承受着较大的负载压力。)解析：(2).具体讨论你在从事基于 Web的应用项目时所采用的策略、方案和技术。详细叙述在项目中 Web服务器发挥的具体作用与使用效果，遇到的问题及其解决办法。（分数：8.00）_正确答案：(结合项目实际情况，具体地讨论该 Web应用项目的技术、工具、平台和详细方案。下面的重点是讨论改进 Web应用系统性能的技术，这些技术和措施主要包括(包含但不限于以下内容)。 负载均衡(负载分担)和流量管理技术。 多个并行工作的 Web服务器。 Web Cache 缓存技术，并对需要存储在 Session或 Cache中的对象进行串行化，以利于数据的获取，提高获取数据的速度。 SSI 套接字的优化处理。 Web 交换机。 提高 Web页面文件性能的优化技术(包含但不限于以下内容)：在不需要视图状态的页面禁用视图状态；在不需要实时更新的页面采用页面缓存；在不需要用户会