[计算机类试卷]软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷16及答案与解析.doc

1、软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 16及答案与解析 1 3DES在 DES的基础上，使用两个 56位的密钥 K1和 K2，发送方用 K1加密，K2解密，再用 K1加密。接受方用 K1解密， K2加密，再用 K1解密，这相当于使用 (3)倍于 DES的密钥长度的加密效果。 （ A） 1 （ B） 2 （ C） 3 （ D） 6 2 如图 18-3所示，某公司局域网防火墙由包过滤路由器 R和应用网关 F组成，下面描述错误的是 (4)。（ A）可以限制计算机 C只能访问 Internet上在 TCP端口 80上开 放的服务 （ B）可以限制计算机 A仅能访问以

2、“202”为前缀的 IP 地址 （ C）可以使计算机 B无法使用 FTP协议从 Internet上下载数据 （ D）计算机 A能够与计算机 X建立直接的 TCP连接 3 某业务员需要在出差期间能够访问公司局域网中的数据，与局域网中的其他机器进行通信，并且保障通信的机密性。但是为了安全，公司禁止 Internet上的机器随意访问公司局域网。虚拟专用网使用 (9)协议可以解决这一需求。 （ A） PPTP （ B） RC-5 （ C） UDP （ D） Telnet 4 根据统计显示， 80%的网络攻击源于内部网络，因此，必须加强对内部网络的安全控制和防护。下面的措施中，无助于提高同一局域网内安全

3、性的措施是 (10)。 （ A）使用防病毒软件 （ B）使用日志审计系统 （ C）使用入侵检测系统 （ D）使用防火墙防止内部攻击 5 在计算机信息安全保护等级划分准则中，确定了 5个安全保护等级，其中最高一级是 (11)。 （ A）用户自主保护级 （ B）结构化保护级 （ C）访问验证保护级 （ D）系统审计保护级 6 如图 18-4所示是发送者利用不对称加密算法向接收者传送消息的过程，图中 K1是 (12)。 （ A）接收者的公钥 （ B）接收者的私钥 （ C）发送者的公钥 （ D）发送者的私钥 7 CA安全认证中心可以 (13)。 （ A）用于在电子商务交易中实现身份认证 （ B）完成数

4、据加密，保护内部关键信息 （ C）支持在线销售和在线谈判，实现订单认证 （ D）提供用户接入线路，保证线路的安全性 8 RSA是一种公开密钥算法，所谓公开密钥是指 (14)。 （ A）加密密钥是公开的 （ B）解密密钥是公开的 （ C）加密密钥和解密密钥都是公开的 （ D）加密密钥和解密密钥都是相同的 9 若某计算机系统是由 1000个元器件构成的串联系统，且每个元器件的失效率均为 10-7/H，在不考虑其他因素对可靠性的影响时，该计算机系统的平均故障间隔时间为 (15)小时。 （ A） 1104 （ B） 5104 （ C） 1105 （ D） 5105 10 在信息安全保障系统的 S-MI

5、S体系架构中， “安全措施和安全防范设备 ”层不涉及 (16)。 （ A）防黑客 （ B）应用系统安全 （ C）网闸 （ D）漏洞扫描 11 要成功实施信息系统安全管理并进行维护，应首先对系统的 (17)进行评估鉴定。 （ A） 风险 （ B）资产 （ C）威胁 （ D）脆弱性 12 电子商务交易必须具备抗抵赖性，目的在于防止 (21)。 （ A）一个实体假装成另一个实体 （ B）参与交易的一方否认曾经发生过此次交易 （ C）他人对数据进行非授权的修改、破坏 （ D）信息从被监视的通信过程中泄漏出去 13 在分布式环境中实现身份认证可以有多种方案，以下选项中最不安全的身份认证方案是 (22)。

6、 （ A）用户发送口令，由通信对方指定共享密钥 （ B）用户发送口令，由智能卡产生解密密钥 （ C）用户从 KDC获取会话密钥 （ D）用户 从 CA获取数字证书 14 IP安全性 (IP Security， IPSec)提供了在局域网、广域网和因特网中安全通信能力。关于 IP 安全性下列说法不正确的是 (28)。 （ A） IPSec可提供同一公司各分支机构通过的安全连接 （ B） IPSec可提供对的远程安全访问 （ C） IPSec可提高电子商务的安全性 （ D） IPSec能在 IP 的新版本 IPv6下工作，但不适应 IP 目前的版本 IPv4 15 UML提供了 4种结构图用于对系

7、统的静态方面进行可视化、详述、构造和文档化。其中 (4)是面向对象系统规模中最常用 的图，用于说明系统的静态设计视图；当需要说明系统的静态实现视图时，应该选择 (5)；当需要说明体系结构的静态实施视图时，应该选择 (6)。 （ A）构件图 （ B）类图 （ C）对象图 （ D）部署图 （ A）构件图 （ B）协作图 （ C）状态图 （ D）部署图 （ A）协作图 （ B）对象图 （ C）活动图 （ D）部署图 18 一般来说，在软件维护过程中，大部分工作是由 (43)引起的。在软件维护的实施过程中，为了正确、有效地修改程序，需要经历以下三个步骤：分析和理解程序、修改程序和 (44)。 (45)

8、的 修改不归结为软件的维护工作。 （ A）适应新的软件环境 （ B）适应新的硬件环境 （ C）用户的需求改变 （ D）程序的可靠性 （ A）重新验证程序 （ B）验收程序 （ C）书写维护文档 （ D）建立目标程序 （ A）文档 （ B）数据 （ C）需求分析 （ D）代码 21 软件复用是使用已有的软件产品 (如设计、代码、文档等 )来开发新的软件系统的过程。软件复用的形式大体可分为垂直式复用和水平式复用。垂直式复用是指(46)中的复用，水平式复用是指 (47)中的复用。为了提高构件的复用率，通常要求构件具有较 好的 (48)。为了将不同软件生产商在不同软硬件平台上开发的构件组装成一个系统，

9、必须解决异构平台的各构件间的互操作问题。 （ A）同一软件系统 （ B）不同软件系统 （ C）同一应用领域 （ D）不同应用领域 （ A）同一软件系统 （ B）不同软件系统 （ C）同一应用领域 （ D）不同应用领域 （ A）专用性和不变性 （ B）专用性和可变性 （ C）通用性和不变性 （ D）通用性和可变性 24 Developing reliable software on time and within(31)represents a difficult endeavor for many organizations.Usually business solutions have th

10、ree main aspects:people,(32), and technology. The main reason for failing software projects has little to do with technology and tools, and much to do with lack of process(33). Experience has shown that introducing new technology and tools in an immature or undisciplined environment is likely to inc

11、rease the chaos. CASE tools are not enough. “A fool with a tool is still a fool?“Structured method was the first wave of the software industry. This was the beginning of transforming software development from a“(34)industry to mass production. Software process movement if the second wave in the soft

12、ware industry. The process maturity movement prepares the way for the third wave of the software industry: “software industrialization“. Software development will become like an assembly and manufacturing process. A critical enabling factor is a disciplined software engineering process with predicta

13、ble quality,(35)and functionality. （ A） forecast （ B） preparation （ C） budget （ D） economy （ A） process （ B） skill （ C） organization （ D） interface （ A） law （ B） discipline （ C） plan （ D） evaluation （ A） college （ B） family （ C） workshop （ D） cottage （ A） plan （ B） schedule （ C） effort （ D） product

14、29 Activity Based Costing (ABC) is an(36)technique that allows an organization to determine the actual(37)associated with each product and service produced by the organization without regard to the organizational structure. This chapter explains some of the uses and benefits of Activity Based Costin

15、g. We use IDEFO(38)modeling in conjunction with ABC to enable more effective business(39)design decisions.In order to achieve the major goals of business process improvement, process simplification and improvement, FAA managers need to fully understand the cost, time, and quality of activities perfo

16、rmed by employees or machines throughout an entire organization. ABC methods enable(40)to cost out measurements to business simplification and process improvement. （ A） computing （ B） campaigning （ C） programming （ D） accounting （ A） activity （ B） quality （ C） cost （ D） process （ A） activity （ B） fl

17、owchart （ C） design （ D） management （ A） data （ B） benefit （ C） process （ D） image （ A） computers （ B） managers （ C） clients （ D） consumers 34 Rapid application development (RAD) systems purport to lighten the developers(41) by making it easy to program an application with simple intuitive steps.RAD

18、 tools(42)the developer everything needed to construct a fully functional application quickly and easily. They make short work of modifying the developed product to(43)changes after the program is finished. Applications developed with RAD tools are constructed as they are envisioned. As an applicati

19、ons real usefulness(44) , the developer armed with RAD tools should be able to(45)on new features with little fuss. （ A） burden （ B） trouble （ C） task （ D） weight （ A） offer （ B） order （ C） refer （ D） release （ A） accommodate （ B） account （ C） decrease （ D） eliminate （ A） appearances （ B） emerges （

20、C） recognizes （ D） solves （ A） beat （ B） change （ C） debug （ D） tack 软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 16答案与解析 1 【正确答案】 B 【试题解析】 3DES(Triple DES)是 DES向 AES 过渡的加密算法 (1999年 NIST 将3DES 指定为过渡的加密标准 )，是 DES 的一个更安全的变形。它以 DES 为基本模块，通过组合分组方法设计出分组加密算法，其具体实现如下：设 Ek()和 Dk()代表 DES 算法的加密和解密过程， K代表 DES 算法使用的密钥，

21、P代表明文， C代表密表，这 样， 3DES加密过程为： 3DES 解密过程为： 具体的加 /解密过程如图 18-2所示。 K1、 K2、 K3 决定了算法的安全性，若三个密钥互不相同，本质上就相当于用一个长为 168位的密钥进行加密，是 DES 密钥长度的 3倍。多年来，它在对付强力攻击时是比较安全的。若数据对安全性要求不那么高， K1 可以等于 K3。在这种情况下，密钥的有效长度为 112位，即相当于 DES密钥长度加密效果的 2倍。2 【正确答案】 D 【试题解析】 应用网关型防火墙是通过代理技术参与到一个 TCP连接的全过程。从内部发出的数据包经过 这样的防火墙处理后，就好像是源于防火

22、墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。显然，拥有了应用网关 F后，计算机 A不能够与计算机 X建立直接的 TCP连接，而是必须通过应用网关 F。 3 【正确答案】 A 【试题解析】 虚拟专用网 (Virtual Private Network, VPN)是在公共 Internet之上为政府、企业构筑安全可靠、方便快捷的私有网络，并可节省资金。 VPN技术是广域网建设的最佳解决 方案，它不仅会大大节省广域网的建设和运行维护费用，而且增强了网络的可靠性和安全性，同时会加快网络的建设步伐，使得政府

23、、企业不仅仅只是建设内部局域网，而且能够很快地把各分支机构的局域网连起来，从而真正发挥整个网络的作用。 VPN 具体实现是采用隧道技术，将内部网的数据封装在隧道中，通过 Internet进行传输。因此， VPN技术的复杂性首先建立在隧道协议复杂性的基础之上。现有的隧道协议中最为典型的有 GRE， IPSec，L2TP， PPTP， L2F等。其中， GILE， IPSec 属于第三层隧道协议， L2TP，PPTP， L2F属于第二层隧道协议。第二层隧道和第三层隧道的本质区别在于用户的 p 数据包是被封装在何种数据包中在隧道中传输的。在众多 VPN 相关协议中，最引人注目的是 L2TP与 IPS

24、EC。其中 IPSEC已完成了标准化的工作。 VPN系统使分布在不同地方的专用网络，在不可信任的公共网络上安全地进行通信。它采用复杂的算法来加密传输信息，使得敏感的数据不会被窃取。 VPN网络的特性使一些专用的私有网络的建设者可以完全不依赖 ISP而通过公网来实现 VPN。正是因为 VPN技术根据需要为特定安全需求的用户提供保障，所以 VPN技术应该有相 当广阔的前景。读者对试题中的 UDP和 Telnet应该都比较熟悉，下面我们简单介绍一下 RC-5和 PPTP。 RC-5是一种对称密码算法，使用可变参数的分组迭代密码体制，其中可变的参数为分组长 (为 2倍字长 w 位 )，密钥长 (按字节

25、数计b)和迭代轮数 r(以 RC-5-w/r/b)。它面向字结构，便于软件和硬件的快速实现，适用于不同字长的微处理器。通过字长、密钥长和迭代轮数三个参数的配合，可以在安全性和速度上进行灵活的折中选择。 RC-5加密效率高，适合于加密大量的数据。 RC-5由 R. Rivest设计，是 RSA实验室的一 个产品。 RC-5还引入了一种新的密码基本变换数据相依旋转 (Data-Dependent Rotations)方法，即一个中间的字是另一个中间的低位所决定的循环移位结果，以提高密码强度，这也是 RC-5的新颖之处。 PPTP是由多家公司专门为支持 VPN而开发的一种技术。 PPTP是一种通过现

26、有的 TCP/IP 连接 (称为隧道 )来传送网络数据包的方法。 VPN要求客户端和服务器之间存在有效的互连网连接。一般服务器需要与互连网建立永久性连接，而客户端则通过 ISP连接互连网，并且通过拨号网 (Dial-Up Networking, DUN)入口与 PPTP服务器建立服从 PPTP协议的连接。这种连接需要访问身份证明 (如用户名，口令和域名等 )和遵从的验证协议。 RRAS 为在服务器之间建立基于PPTP的连接及永久性连接提供了可能。只有当 PPTP服务器验证客户身份之后，服务器和客户端的连接才算建立起来了。 PPTP会话的作用就如同服务器和客户端之间的一条隧道，网络数据包由一端流

27、向另一边。数据包在起点处 (服务器或客户端 )被加密为密文，在隧道内传送，在终点将数据解密还原。因为网络通信是在隧道内进行，所以数据对外而言是不可见的。隧道中的加密形式更 增加了通信的安全级别。一旦建立了 VPN连接，远程的用户可以浏览公司局域网 LAN，连接共享资源，收发电子邮件，就像本地用户一样。 4 【正确答案】 D 【试题解析】 病毒是指一段可执行的程序代码，通过对其他程序进行修改，可以感染这些程序使其含有该病毒的一个复制，并且可以在特定的条件下进行破坏行为。因此在其整个生命周期中包括潜伏、繁殖 (也就是复制、感染阶段 )、触发、执行四个阶段。对于病毒的防护而言，最彻底的是不允许其进入

28、系统，但这是很困难的，因此大多数情况下，采用的是 “检测一标识一清除 ”的策略来应对。 使用防病毒软件可以防止病毒程序在内部网络的复制和破坏，保障网络和计算机的安全。日志文件是包含关于系统消息的文件，这些消息通常来自于操作系统内核、运 行的服务，以及在系统上运行的应用程序。它包括系统日志、安全日志、应用日志等不同类别。现在不管是 Windows还是 UNIX(包括 Linux)都提供了较完善的日志系统。而日志审计系统则是通过一些特定的、预先定义的规则来发现日志中潜在的问题，它可以用来事后亡羊补牢，也可以用来对网络安全攻击进行取证。显然这是一种被动式、事后的防护或事中跟踪的手段，很难在事前发挥作

29、用。入侵检测是指监视或者在可能的情况下，阻止入侵者试图控制自己的系统或者网络资源的那种努力。它是用于检测任何损害或企业损害系统的机密性、完整性或可用性行为 的一种网络安全技术。它通过监视受保护系统的状态和活动，采用异常检测或误用检测的方式，发现非授权的或恶意的系统及网络行为，为防范入侵行为提供有效的手段。防火墙是指建立在内外网络边界上的过滤封锁机制。内部网络被认为是安全和可信赖的，而外部网络 (通常是 Internet)被认为是不安全和不可信赖的。防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络，通过边界控制强化内部网络的安全政策。由于防火墙是一种被动技术，它假设了网络边界和服务

30、，因此，对内部的非法访问难以有效的进行控制。 5 【正确答案】 C 【试题解析】 中华人民共和国国家标准计算机信息系统安全保护等级划分准则中规定了计算机系统安全保护能力的五个等级。第一级：用户自主保护级。本级的计算机信息系统可信计算机通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。第一级适用于普通内联网用户。第二级：系统审计保护级。与用户自主保护级相比，本级的计算机信息系统可信计算机实施了粒度更细的自主访问控制，它通过登录规程、审计安全 性相关事件和隔离资源，使用户

31、对自己的行为负责。第二级适用于通过内联网或国际网进行商务活动，需要保密的非重要单位。第三级：安全标记保护级。本级的计算机信息系统可信计算机具有系统审计保护级的所有功能。此外，还提供有关安全策略模型、数据标记，以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错课。第三级适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门、交通运输、大型工商与信息技术企业、重点工程建设等单位。第四级：结构化保护级。本级的计算机信息系统可信计算机 建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还

32、要考虑隐蔽通道。本级的计算机信息系统可信计算机必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算机的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了配置管理控制。系统具有相当的抗渗透能力。第四级适用于中央级国家机关、广播电视部门、重要物资储备单位、社会应急服务部门、尖端科技企业集团、国家重点科 研机构和国防建设等部门。第五级：访问验证保护级。本级的计算机信息系统可信计算机满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的，而且必须足够小，能够分析和测试。为了满足

33、访问监控器需求，计算机信息系统可信计算机在其构造时，排除了那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。第五级适用于国防关键部门和依法需要对计算机信息系 统实施特殊隔离的单位。有关计算机信息系统安全保护等级划分准则的详细信息，请读者阅读希赛网软考学院 (http:/)法律法规栏目。 6 【正确答案】 A 【试题解析】 请参考 (7)、 (8)题的分析。 7 【正确答案】 A 【试题解析】 CA是一个受信任的机构，为了当前和以后的事务处理

34、， CA给个人、计算机设备和组织机构颁发证书，以证实其身份，并为其使用证书的一切行为提供信誉的担保。而 CA本身并不涉及商务数据加密、订单认证过程以及线路安全。 8 【正确答案】 A 【试题解析】 RSA算法是非对称密钥算法，非对称密钥算法中公钥是公开的，任何人都可以使用，而私钥是绝对不能公开的。发送方用公钥加密的信息，接收方可以使用私钥来解密。 9 【正确答案】 A 【试题解析】 对于串联系统，单个器件失效则意味着整个系统失效，所以整个系统的失效率等于所有元器件的失效率之和。假设系统的平均故障时间间隔为 T 小时，那么系统的平均失效率等于 T的倒数。因此，该计算机系统的平均故障间隔时间为 1

35、/(100010-7)=1104。 10 【正确答案】 B 【试题解析】 MIS+S是一个初步的、低级的信息安全保障系统，因为它是在已有的计算机信息应用系统基本不变的情况之下，为防止病毒、黑客等增加一些安全措施和安全防范设备，比如防火墙、防病毒软件、物理隔离卡、网闸、漏洞扫描、黑客防范、动态口令卡等，还包括 VPN。 11 【正确答案】 D 【试题解析】 威胁可以看成从系统外部对系统产生的作用，而导致系统功能及目标受阻的所有现象。而脆弱性则可以看成是系统内部的薄弱点。脆弱性是客观存在的，脆弱性本身没有实际的伤害，但威胁可以利用脆弱性发挥作用。而且，系统本身的脆弱性仍然会带来 一些风险。 12

36、【正确答案】 B 【试题解析】 抗抵赖性目的在于防止参与交易的一方否认曾经发生过此次交易。包含源抗抵赖性、接收抗抵赖性。源抗抵赖性：保护接收方免于发送方否认已发送的业务数据。接收抗抵赖性：保护发送方免于接收方否认已接收到业务数据。 13 【正确答案】 A 【试题解析】 本题考查各种身份认证方式的对比。 A是基于口令的认证方式。基于口令的认证方式是最常用的一种技术，但它存在严重的安全问题。它是一种单因素的认证，安全性仅依赖于口令，口令一旦泄露，用户即可被冒充。更严重的是用户 往往选择简单、容易被猜测的口令，这个问题往往成为安全系统最薄弱的突破口。口令一般是经过加密后存放在口令文件中，如果口令文件

37、被窃取，那么就可以进行离线的字典式攻击。 B是基于智能卡的认证方式。智能卡具有硬件加密功能，有较高的安全性。每个用户持有一张智能卡，智能卡存储用户个性化的秘密信息，同时在验证服务器中也存放该秘密信息。进行认证时，用户输入PIN(个人身份识别码 )，智能卡认证 PIN，成功后，即可读出智能卡中的秘密信息，进而利用该秘密信息与主机之间进行认证。基于智能卡的认证方式是一种双因素的认证方式 (PIN+智 能卡 )，即使 PIN或智能卡被窃取，用户仍不会被冒充。智能卡提供硬件保护措施和加密算法，可以利用这些功能加强安全性能。 C是公钥认证体系。在认证机制中通信双方出于安全方面的考虑，可能均需要对方对某种

38、信息的数字签名，而验证签名则需要相应的公钥。另外，公钥虽然不适宜于对大量信息进行加密，但使用公钥对会话密钥或主密钥进行加密却是常用的。因此，用户公钥是否正确在信息认证中也是一个重要问题。一种方法是将所有用户公钥存储于一个公钥服务器中，每个用户均可通过公钥服务器查询到其他用户的公钥。 14 【正确答案】 D 【试题解析】 IPSec 提供既可用于 IPv4也可用于 IPv6的安全性机制，它是 IPv6的一个组成部分，也是 IPv4的一个可选扩展协议。 IPSec为跨越 LAN/WAN、Internet的通信提供安全性。 (1)分支办公机构通过 Internet互连 (Secure VPN)：(2

39、)通过 Internet的远程访问； (3)与合作伙伴建立 Extranet与 Intranet的互连； (4)增强电子商务安全性。 IP安全性协议是针对 IPv4和 IPv6的， IPSec 的主要特征是可以支持 IP级所有流量的加密从证，增强所有分布式应用的 安全性。 IPSec在 IP层提供安全服务，使得系统可以选择所需要的安全协议，确定该服务所用的算法，并提供安全服务所需任何加密密钥。 15 【正确答案】 B 16 【正确答案】 A 17 【正确答案】 D 【试题解析】 UML 1.X版本中包括 9种不同的图，分为表示系统静态结构的静态模型 (包括类图、构件图、部署图 )，以及表示系统

40、动态结构的动态模型 (包括对象图、用例图、序列图、协作图、状态图、活动图 )。 (1)用例图。用例图 (Use-Case Diagram)用于显示若干角色 (Actor)，以及这 些角色与系统提供的用例之间的连接关系。用例是系统提供的功能的描述，通常一个实际的用例采用普通的文字描述，作为用例符号的文档性质。用例图仅仅从角色使用系统的角度描述系统中的信息，也就是站在系统外部查看系统功能，它并不能描述系统内部对 该功能的具体操作方式。 (2)类图 (Class Diagram)。用来表示系统中的类和类与类之间的关系，它是对系统静态结构的描述。类图不仅定义系统中的类，表示类之间的联系如关联、依赖、聚

41、合等，也包括类的内部结构 (类的属性和操作 )。类图中每个类由三部分组成，分别是类名、类的属性和操作 。类图描述的是一种静态关系，在系统的整个生命周期都是有效的。一个典型的系统中通常有若干个类图，一个类图不一定包含系统中所有的类，一个类还可以加到几个类图中。 (3)对象图 (Object Diagram)。是类图的实例，几乎使用与类图完全相同的标识。它们的不同点在于对象图显示类的多个对象实例，而不是实际的类。一个对象图是类图的一个实例。由于对象存在生命周期，因此对象图只能在系统某一时间段存在。 (4)序列图(Sequence Diagram，顺序图 )。用采反映若干个对象之间的动态协作关系，也

42、就是随着时间的推移，对 象之间是如何交互的。序列图强调对象之间消息发送的顺序，说明对象之间的交互过程，以及系统执行过程中，在某一具体位置将会有什么事件发生。 (5)协作图 (Collaboration Diagram)。描述对象间的协作关系，协作图与序列图相似，显示对象间的动态合作关系。除显示信息交换外，协作图还显示对象及它们之间的关系。如果强调时间和顺序，则使用序列图；如果强调上下级关系，则选择协作图。这两种图合称为交互图。 (6)状态图 (State Diagram)。描述类的对象所有可能的状态，以及事件发生时状态的转移条件。通常，状 态图是对类图的补充。事件可以是给它发送消息的另一个对象

43、或者某个任务执行完毕。状态变化称做转移 (Transition)，一个转移可以有一个与之相连的动作 (Action)，这个动作指明了状态转移时应该做些什么。在实用上并不需要为所有的类画状态图，仅为那些有多个状态，其行为受外界环境的影响并且发生改变的类画状态图。 (7)活动图 (Activity Diagram)。描述满足用例要求所要进行的活动，以及活动间的约束关系，有利于识别并行活动。活动图由各种动作状态构成，每个动作状态包含可执行动作的规范说明。当某个动作执行 完毕，该动作的状态就会随着改变。这样，动作状态的控制就从一个状态流向另一个与之相连的状态。活动图中还可以显示决策、条件、动作的并行执

44、行，以及消息的规范说明等内容。 (8)构件图 (Component Diagram，组件图 )。描述代码构件的物理结构及各构件之间的依赖关系。一个构件可能是一个资源代码构件、一个二进制构件或一个可执行构件。它包含逻辑类或实现类的有关信息。构件图有助于分析和理解构件之间的相互影响程度。 (9)部署图 (Deployment Diagram，配置图 )。定义系统中软硬件的物理体系结构。部署图可 以显示实际的计算机和设备 (用节点表示 )，以及它们之间的连接关系，也可显示连接的类型及构件之间的依赖性。在节点内部，放置可执行构件和对象以显示节点与可执行软件单元的对应关系。在面向对象分析过程中，用概念模

45、型来详细描述系统的问题域，用类图来表示概念模型。 “问题域 ”是指一个包含现实世界事物与概念的领域，这些事物和概念与所设计的系统要解决的问题有关。而建立概念模型，又称为问题域建模、域建模，也就是找到代表那些事物与概念的 “对象 ”。状态图适于描述跨用例的单个对象行为，但不适于描述包含若干协作对象的行为；交互图适于描述 单个用例中若干对象的行为，即适于描述一组对象的整体行为。 18 【正确答案】 C 19 【正确答案】 A 20 【正确答案】 C 【试题解析】 影响维护工作量的因素主要有系统大小、程序设计语言、系统年龄、数据库技术的应用、先进的软件开发技术五个方面。程序修改的步骤为分析和理解程序

46、、修改程序和重新验证程序。经过分析，全面、准确、迅速地理解程序是决定维护成败和质量好坏的关键。为了容易地理解程序，要求自顶向下地理解现有源程序的程序结构和数据结构，为此可采用如下方法：分析程序结构图、数据跟踪、控制 跟踪、分析现有文档的合理性等。对程序的修改，必须事先做出计划，有计划地、周密地、有效地实施修改。在修改时，要防止修改程序的副作用 (修改代码的副作用、修改数据的副作用、修改文档的副作用 )。在将修改后的程序提交用户之前，需要用以下的方法进行充分的确认和测试，以保证整个修改后的程序的正确性。这种验证可分为静态确认、计算机确认和维护后的验收。软件维护是软件生存期的最后一个阶段，而与软件

47、维护有关的绝大多数问题的根源在于计划阶段和开发阶段的工作有缺陷，这就经常涉及软件中的代码、数据和文档的维护工作，而需求分析并不是软件 的维护工作。 21 【正确答案】 C 22 【正确答案】 D 23 【正确答案】 D 【试题解析】 软件复用是使用已有的软件产品 (如设计、代码、文档等 )来开发新的软件系统的过程。软件复用的形式大体可分为垂直式复用和水平式复用。水平式复用是复用不同应用领域中的软件元素，例如，数据结构、排序算法、人机界面构件等。标准函数库是一种典型的原始的水平式复用机制。垂直式复用是在一类具有较多公共性的应用领域之间复用软件构件。由于在两个截然不同的应用领域之间进行软件复用潜力

48、不大，所以垂直式复用受到广泛关注 。垂直式复用活动的主要关键点在于领域分析：根据应用领域的特征和相似性，预测软件构件的可复用性。一旦根据领域分析确认了软件构件的可复用价值，即可进行软件构件的开发，并对具有可复用价值的软件构件做一般化处理，使它们能够适应新的类似的应用领域。然后将软件构件和它们的文档存入可复用构件库，成为可供未来开发项目使用的可复用资源。软件复用的范围不仅涉及源程序代码， Caper Jones定义了 10种可能复用的软件要素，分别是项目计划、成本估计、体系结构、需求模型和规格说明、设计、源程序代码、用户文档和技术文档、用户界面、 数据结构和测试用例。可复用构件库的组织方式有枚举

49、分类、关键词分类、多面分类、超文本组织法和可复用构件的 3C模型。软件构件的复用的步骤可分为检索与提取构件、理解与评价构件、修改构件和构件的合成。其中构件的合成又分为基于功能的合成技术和基于数据的合成技术。目前流行的构件技术能有效地支持软件复用。为了提高构件的复用率，通常要求构件具有较好的通用性和可变性。通用性越好，其被复用的面越广。可变性越好，构件就越易于调整，以便适用于应用的具体环境。为了将不同软件生产商在不同软硬件平台上开发的构件组装成一个应用系统，必须解 决异构平台的各构件间的互操作问题，目前已出现了一些支持互操作的构件标准，三个主要流派为 OMG的 CORBA、 Microsoft的 COM/DCOM和 Sun的 EJB/J2EE。 24 【正确答案】 C 25 【正确答案】 A 26 【正确答案】 B 27 【正确答案】 D 28 【正确答案】 B 【试题解析】 对很多组织来说，在给定的时间和预算范围内开发可靠的软件，意味着艰难的努力。业务解决方案通常有三个方面，分别是人员、过程和技术，软件项目失败的主要原因与技术和工具几乎没有关系，大部分 是因为缺乏过程定义。经验表明，在一个不成熟或者没有定义的环境引进新技术和工具，只能是乱上加乱。 CASE工具并不意味着一切，正如： “A fool with a tool is