收藏
下载资源 加入VIP,免费下载

【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc

上传人:wealthynice100 文档编号:1318017 上传时间:2019-10-17 格式:DOC 页数:9 大小:97.50KB
下载 相关 举报
【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc_第1页
第1页 / 共9页
【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc_第2页
第2页 / 共9页
【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc_第3页
第3页 / 共9页
【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc_第4页
第4页 / 共9页
【计算机类职业资格】2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析.doc_第5页
第5页 / 共9页
点击查看更多>>
资源描述

1、2015 年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案解析(总分:68.00,做题时间:90 分钟)一、试题一(总题数:2,分数:12.00)1.试题一()(分数:6.00)_阅读下列 Java 程序,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。【Java 程序】 (分数:6.00)(1).【问题 1】请简述基本路径测试法的概念。(分数:2.00)_(2).【问题 2】请画出上述程序的控制流图,并计算其控制流图的环路复杂度 V(G)。(分数:2.00)_(3).【问题 3】请给出问题 2 中控制流图的线性无关路径。(分数:2.00)_二、试题二(总题数:2,分

2、数:12.00)2.试题二()(分数:6.00)_阅读下列说明,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。【说明】某商店的货品价格(P)都不大于 20 元(且为整数),假设顾客每次付款为 20 元且每次限购一件商品,现有一个软件能在每位顾客购物后给出找零钱的最佳组合(找给顾客货币张数最少)。假定此商店的找零货币面值只包括:10 元(N10)、5 元(N5)、1 元(N1)3 种。(分数:6.00)(1).【问题 1】请采用等价类划分法为该软件设计测试用例(不考虑 P 为非整数的情况)并填入到下表中。(N1,2表示 2 张 1 元,若无输出或输出非法,则填 NA) (分数:2.00)

3、_(2).【问题 2】请采用边界值分析法为该软件设计测试用例。(分数:2.00)_(3).【问题 3】请给出采用决策表法进行测试用例设计的主要步骤。(分数:2.00)_三、试题三(总题数:2,分数:16.00)3.试题三()(分数:8.00)_阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。【说明】 某 MOOC(慕课)教育平台欲开发一基于 Web 的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单实现作业题目的打分和评价,其中打分为15 分制整数,评价为文本。系统要支持: (1)在特定时期内

4、300 个用户并发时,主要功能的处理能力至少要达到 16 个请求秒,平均数据量 16kB请求; (2)系统前端采用 HTML5 实现,以使用户可以通过不同的移动设备的浏览器进行访问。(分数:8.00)(1).【问题 1】针对此在线系统进行链接测试时,需要测试哪些方面?(分数:2.00)_(2).【问题 2】为了达到系统要支持的(2),设计一个兼容性测试矩阵。(分数:2.00)_(3).【问题 3】给出计算系统的通信吞吐量的方法,并计算在满足系统要支持的(1)时系统的通信吞吐量。(分数:2.00)_(4).【问题 4】设计 4 个打分和评价的测试输入,考虑多个方面的测试,如:正确输入、错误输入、

5、XSS、SQL 注入等测试。(分数:2.00)_四、试题四(总题数:2,分数:12.00)4.试题四()(分数:6.00)_阅读下列说明,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。【说明】某嵌入式系统中,存在 16路数据采集通道。为了提高数据采集的可靠性,对 16 路采集通道均采用双余度设计;为了监控采集通道是否发生故障,对各路双余度通道采集值进行比较。只有当该通道两个余度设备采集值均不小于 45 时,才表示该路通道正常。设计人员设计函数 用于统计无故障通道数目,在该函数的设计中考虑了如下因素:(1)采用如下数据结构存储通道号及采集值: (2)当输入参数异常时,函数返回-1;(3)

6、若正确统计了无故障通道数目,则返回该数目;(4)该函数需要两个输入参数,第一个参数是用于存储通道号及余度采集值的数组,第二个参数为通道总数目;(5)调用函数 sort()对存储通道号及余度采集值的数组进行排序处理。开发人员根据上述要求使用 ANSI C 对代码实现如下(代码中每行的第一个数字代表行号):(分数:6.00)(1).【问题 1】嵌入式软件中通常使用函数扇出数和注释率来衡量程序的可维护性,请计算函数*的扇出数和注释率,并判断此函数扇出数和注释率是否符合嵌入式软件的一般要求。(分数:2.00)_(2).【问题 2】请使用代码审查的方法找出该程序中所包含的至少 4 处错误,指出错误所在的

7、行号和问题描述。 (分数:2.00)_(3).【问题 3】覆盖率是度量测试完整性的一个手段,也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中,通常以语句覆盖率、分支覆盖率和 MCDC 覆盖率作为度量指标,请分别指出对函数达到 100语句覆盖、100分支覆盖和 100MCDC 覆盖所需的最少测试用例数目。 (分数:2.00)_五、试题五(总题数:2,分数:16.00)5.试题五()(分数:8.00)_阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。【说明】 某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正

8、常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: (1)密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 (2)基础加解密服务,包括基于 RSA、ECC 及 AES 等多密码算法的基本加解密服务。 (3)认证服务,提供基于 PKI 及用户名口令的认证机制。 (4)授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。(分数:8.00)(1).【问题 1】给出安全中心需应对的常见安全攻击手段并进行简要说明。(分数:2.00)_(

9、2).【问题 2】针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(分数:2.00)_(3).【问题 3】请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(分数:2.00)_(4).【问题 4】请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。(分数:2.00)_2015 年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷答案解析(总分:68.00,做题时间:90 分钟)一、试题一(总题数:2,分数:12.00)1.试题一()(分数:6.00)_解析:阅读下列 Java 程序,回答问题 1 至问题 3,将解答填入答题纸的对应

10、栏内。【Java 程序】 (分数:6.00)(1).【问题 1】请简述基本路径测试法的概念。(分数:2.00)_正确答案:(正确答案:基本路径测试法是在程序控制流图的基础上,通过分析控制构造的环路复杂性,导出基本可执行路径集合,从而设计测试用例的方法。)解析:解析:本题考查白盒测试法的应用。 本问题考查白盒测试用例设计方法中的基本路径测试法。 基本路径测试法是在程序控制流图的基础上,通过分析控制构造的环路复杂性,导出基本可执行路径集合,从而设计测试用例的方法。(2).【问题 2】请画出上述程序的控制流图,并计算其控制流图的环路复杂度 V(G)。(分数:2.00)_正确答案:(正确答案:控制流图

11、 )解析:解析:本问题考查白盒测试用例设计方法:基本路径测试法。涉及到的知识点包括根据代码绘制控制流图、计算环路复杂度。 控制流图是描述程序控制流的一种图示方式,它由节点和定向边构成。控制流图的节点代表一个基本块,定向边代表控制流的方向。其中要特别注意的是,如果判断中的条件表达式是复合条件,即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式,则需要改变复合条件的判断为一系列之单个条件的嵌套的判断。本题程序中,(3).【问题 3】请给出问题 2 中控制流图的线性无关路径。(分数:2.00)_正确答案:(正确答案:线性无关路径: 11-2-4-5-6-8-9-10 21-2-4-5-7-8-9-

12、10(1-2-4-5-7-8-10) 31-2-4-5-6-8-10(1-2-4-5-7-8-10) 41-2-3-4-5-6-8-9-10(1-2-3-4-5-7-8-9-10,1-2-3-4-5-6-8-10,1-2-3-4-5-7-8-10) 51-2-3-8-9-10(1-2-3-8-10)解析:解析:本问题考查白盒测试用例设计方法:基本路径法。涉及到的知识点包括:根据控制流图和环路复杂度给出线性无关路径。 线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看,一条线性无关路径是至少包含一条在其他线性无关路径中从未有过的边的路径。程序的环路复杂度等于线性无关路径的条

13、数,所以本题中应该有 5 条线性无关路径。二、试题二(总题数:2,分数:12.00)2.试题二()(分数:6.00)_解析:阅读下列说明,回答问题 1 至问题 3,将解答填入答题纸的对应栏内。【说明】某商店的货品价格(P)都不大于 20 元(且为整数),假设顾客每次付款为 20 元且每次限购一件商品,现有一个软件能在每位顾客购物后给出找零钱的最佳组合(找给顾客货币张数最少)。假定此商店的找零货币面值只包括:10 元(N10)、5 元(N5)、1 元(N1)3 种。(分数:6.00)(1).【问题 1】请采用等价类划分法为该软件设计测试用例(不考虑 P 为非整数的情况)并填入到下表中。(N1,2

14、表示 2 张 1 元,若无输出或输出非法,则填 NA) (分数:2.00)_正确答案:(正确答案: )解析:解析:本题考查白盒测试法和黑盒测试法的应用。 本问题考查黑盒测试用例设计方法:等价类划分法。 等价类划分法是把程序的输入域按规则划分为若干子集,然后从每个子集中选取一个具有代表性的数据作为测试用例。本题中规定了 P 的取值范围(1=P=20),按规则可以划分为一个有效等价类P1=P=20和两个无效等价类PP1、PP20。根据题中描述,对 P 取不同值有不同的处理,因此上述有效等价类还可以进一步细分为 8 个等价类PP=20、P15P20、PP=15、p10P15、PP=10、P5P10、

15、PP=5、P0P5。这样一共得到 10 个等价类,包括 8 个有效等价类PP=20)、P15P20)、PP=15、P10P15、PP=10)、P5P10)、PP=5)、P0P5)和两个无效等价类PP1)、PP20。设计用例时从这10 个等价类中各任选一个代表元素即可。(2).【问题 2】请采用边界值分析法为该软件设计测试用例。(分数:2.00)_正确答案:(正确答案: )解析:解析:本问题考查白盒测试用例设计方法:边界值分析法。 边界值分析法作为等价类划分法的一种补充,是把等价类上的边界取值作为测试用例的一种测试方法。如果不考虑健壮性测试,也就是如果说不考虑无效等价类的边界取值,8 个有效等价

16、类中有 20,19,16,15,14,11,10,9,6,5,4,1 这 12个边界值,然后每个等价类中再取 1 个任意值,一共得到 16 个边界值的测试用例(PP=20)、PP=15)、PP=10)、PP=5)这 4 个等价类的任意值是 20,15,10,5,与边界值有重复)。(3).【问题 3】请给出采用决策表法进行测试用例设计的主要步骤。(分数:2.00)_正确答案:(正确答案:(1)确定规则的个数。 (2)列出所有的条件桩和动作桩。 (3)填入条件项和动作项。(4)合并相似规则,化简决策表。)解析:解析:本问题考查黑盒测试中决策表法。 采用决策表法设计测试用例分为四步: 1)确定规则的

17、个数; 2)列出所有的条件桩和动作桩; 3)填入条件项和动作项; 4)合并相似规则,化简决策表。三、试题三(总题数:2,分数:16.00)3.试题三()(分数:8.00)_解析:阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。【说明】 某 MOOC(慕课)教育平台欲开发一基于 Web 的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单实现作业题目的打分和评价,其中打分为15 分制整数,评价为文本。系统要支持: (1)在特定时期内 300 个用户并发时,主要功能的处理能力至少要达到 16 个请求秒

18、,平均数据量 16kB请求; (2)系统前端采用 HTML5 实现,以使用户可以通过不同的移动设备的浏览器进行访问。(分数:8.00)(1).【问题 1】针对此在线系统进行链接测试时,需要测试哪些方面?(分数:2.00)_正确答案:(正确答案:内部链接测试、外部链接测试、邮件链接测试、断链测试。)解析:解析:本题考查 Web 应用链接测试的内容。题目中涉及到内部内容的链接、外部参考链接以及邮件链接,所以均需要测试。还要进行断链测试,测试每个链接是否有断链。(2).【问题 2】为了达到系统要支持的(2),设计一个兼容性测试矩阵。(分数:2.00)_正确答案:(正确答案: )解析:解析:本题考查

19、Web 应用兼容性测试的内容。Web 应用的兼容性是测试的重要方面,包括:浏览器兼容性、操作系统平台兼容性、移动浏览、打印选项等。本系统前端采用 HTML5 实现,以使用户可以通过不同的移动设备、操作系统和浏览器进行访问,因此需要针对普通设备和移动设备,进行操作系统平台和浏览器的兼容性测试。包括 Windows 系列、Linux 系列、移动操作系统 iOS、Android,与其上可以使用的浏览器进行结合,构建兼容性二维矩阵,行列分别表示操作系统平台和浏览器。测试时分别在单元格记录操作系统和浏览器组合的测试情况。(3).【问题 3】给出计算系统的通信吞吐量的方法,并计算在满足系统要支持的(1)时

20、系统的通信吞吐量。(分数:2.00)_正确答案:(正确答案:通信吞吐量:P=N(并发用户的数量=300)T(每单位时间的在线事务数量=16)D(事务服务器每次处理的数据负载=16kBS) 本系统满足条件(1)时的通信吞吐量为:3001616=76800kBS(75MBS)。)解析:解析:本题考查 Web 应用系统的性能指标计算。通信吞吐量,设定如下指标参数: N:并发用户的数量 T:每单位时间的在线事务数量 D:事务服务器每次处理的数据负载 P:系统的通信吞吐量 有如下计算公式: P=NTD 本题中系统要求支持的(1)中给出 300 个用户并发,即 N=300;主要功能的处理能力至少要达到 1

21、6 个请求秒,即 T=16;平均数据量 16kB请求,即 D=16kBS。 则可得:通信吞吐量P=3001616=76800kBS(75MBS)。(4).【问题 4】设计 4 个打分和评价的测试输入,考虑多个方面的测试,如:正确输入、错误输入、XSS、SQL 注入等测试。(分数:2.00)_正确答案:(正确答案:(1)打分为任何在 15 范围内的数字,评价为任意文本; (2)打分为任何在 15范围外的数字,评价为任意文本; (3)打分和评价其中任一字段包含 HTML 标签,如:HTML,SCRIPT等; (4)打分和评价其中任一字段包含 SQL 功能符号,如包含,OR、-、2015OR1=1等

22、。)解析:解析:本题考查 Web 应用测试的输入方面,包括输入的不同情况、安全性方面的 SQL 注入和 XSS 跨站攻击。 打分和评价的测试输入应该考虑分值的取值范围之内和之外以及文本中的内容: (1)打分为任何在 15 范围内的数字,评论为任意文本; (2)打分为任何在 15 范围外的数字,评论为任意文本; 输入的内容中输入符号可能会传到后台引起安全问题。 许多 Web 应用系统采用某种数据库,接收用户从Web 页面中输入,完成展示相关存储的数据、将输入数据存储到数据库(如用户输入表单中数据域并点击提交后,系统将信息存入数据库)等操作。在有些情况下,将用户输入的数据和设计好的 SQL 拼接后

23、提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即SQL 注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份、查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。SQL 注入在使用SSL,的应用中仍然存在,甚至是防火墙也无法防止 SQL 注入。因此,在测试 Web 应用时,需要认真仔细设计测试用例,进行认真严格的测试,以保证如果存在 SQL 注入可以及早发现。 本系统测试时,设计测试如为:对打分和评价中任一字段设计包含 SQL 功能符号,如包含,OR、-、2015OR1=1等,检查结果是否

24、造成注入问题。 许多 Web 应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。例如,在本系统中进行打分和评论后,学生查看时显示分值和评价的内容。如果用户可以输入如下带有 HTML 标记的内容: 即新用户所看到的网页中显示 Click me!,当用户鼠标移过此文字时,就会弹出窗口(左侧为 Chrome 弹出,右侧为 IE9 直接给出的提示窗口,多次鼠标滑过操作Chrome 提示窗口多了一行浏览器对阻止这类代码的创建新窗口的选项,Firefox 类似):四、试题四(总题数:2,分数:12.00)4.试题四()(分数:6.00)_解析:阅读下列说明,回答问题 1 至问题 3,

25、将解答填入答题纸的对应栏内。【说明】某嵌入式系统中,存在 16路数据采集通道。为了提高数据采集的可靠性,对 16 路采集通道均采用双余度设计;为了监控采集通道是否发生故障,对各路双余度通道采集值进行比较。只有当该通道两个余度设备采集值均不小于 45 时,才表示该路通道正常。设计人员设计函数 用于统计无故障通道数目,在该函数的设计中考虑了如下因素:(1)采用如下数据结构存储通道号及采集值: (2)当输入参数异常时,函数返回-1;(3)若正确统计了无故障通道数目,则返回该数目;(4)该函数需要两个输入参数,第一个参数是用于存储通道号及余度采集值的数组,第二个参数为通道总数目;(5)调用函数 sor

26、t()对存储通道号及余度采集值的数组进行排序处理。开发人员根据上述要求使用 ANSI C 对代码实现如下(代码中每行的第一个数字代表行号):(分数:6.00)(1).【问题 1】嵌入式软件中通常使用函数扇出数和注释率来衡量程序的可维护性,请计算函数*的扇出数和注释率,并判断此函数扇出数和注释率是否符合嵌入式软件的一般要求。(分数:2.00)_正确答案:(正确答案:扇出数:1 注释率:286(414) 嵌入式软件一般要求扇出数不大于 7 和注释率不小于 20,所以此函数扇出数和注释率均符合要求。)解析:解析:本题考查软件测试的一些基本概念和通过代码审查查找软件缺陷以及设计测试用例的能力。 此题目

27、要求考生认真阅读题目所给的软件设计说明信息和软件代码,熟悉结构体数据类型和不同代码覆盖率的要求,结合软件测试盼一些基本概念,在此嵌入式软件中进行实际应用。 扇出数指在结构图中,模块所属的直接下级模块个数,即本模块所调用的模块数目。模块 的扇出数为 1。注释率指代码中注释的行数与代码总行数的比率,即注释行数代码总行数100所得的结果。模块 的注释率为414100=286。为了保证软件的可维护性,嵌入式软件的相关标准中一般要求模块的扇出应控制在 7 以下,注释的行数不得少于源程序总行数的 15。模块(2).【问题 2】请使用代码审查的方法找出该程序中所包含的至少 4 处错误,指出错误所在的行号和问

28、题描述。 (分数:2.00)_正确答案:(正确答案: )解析:解析:代码审查是不执行软件代码,而通过阅读软件代码发现代码可能存在的错误的过程。代码审查的测试内容包括检查代码和设计的一致性;检查代码执行标准的情况;检查代码逻辑表达的正确性;检查代码结构的合理性;检查代码的可读性。通过对说明的阅读,按照说明中描述的要求进行模块(3).【问题 3】覆盖率是度量测试完整性的一个手段,也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中,通常以语句覆盖率、分支覆盖率和 MCDC 覆盖率作为度量指标,请分别指出对函数达到 100语句覆盖、100分支覆盖和 100MCDC 覆盖所需的最少测试用例数目。

29、(分数:2.00)_正确答案:(正确答案: )解析:解析:覆盖率是度量测试完整性的一个手段,也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中,通常以语句覆盖率、分支覆盖率和 MCDC 覆盖率作为度量指标。语句覆盖率指程序中每条可执行语句至少被执行一次。分支覆盖指程序中每个判定取所有可能值至少一次。MCDC 覆盖率指在一个程序中每一种输入输出至少应出现一次,在程序中的每一个条件必须产生所有可能的输出结果至少一次,并且每个判定中的每个条件必须能够独立影响一个判定的输出,即在其他条件不变的前提下仅改变这个条件的值,而使判定结果改变。五、试题五(总题数:2,分数:16.00)5.试题五()(分

30、数:8.00)_解析:阅读下列说明,回答问题 1 至问题 4,将解答填入答题纸的对应栏内。【说明】 某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: (1)密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 (2)基础加解密服务,包括基于 RSA、ECC 及 AES 等多密码算法的基本加解密服务。 (3)认证服务,提供基于 PKI 及用户名口令的认证机制。 (4)授权服务,为应用提供资源及功能的授权管理

31、和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安全性。(分数:8.00)(1).【问题 1】给出安全中心需应对的常见安全攻击手段并进行简要说明。(分数:2.00)_正确答案:(正确答案:该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。 (2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。 (3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷

32、进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。 (4)Web 安全攻击:攻击者通过跨站脚本或 SQL 注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意 SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。)解析:解析:软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。 本问题考查考生对常见安全攻击手段的

33、了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。 (2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。 (3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统

34、无法提供正常的服务或资源访问。 (4)Web 安全攻击:攻击者通过跨站脚本或SQL 注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意 SQL 命令,从而旁路系统正常访问控制或恶意盗取用户信息。(2).【问题 2】针对安全中心的安全性测试,可采用哪些基本的安全性测试方法?(分数:2.00)_正确答案:(正确答案:可采用的基本安全性测试方法包括: (1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。 (2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进

35、行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。 (3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。 (4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。)解析:解析:本问题考查考生对安全测试基本方法的理解。在解答本问题时,应针对电子商务平台的业务特征及题目中给出的安全中心主要功能,给出相应的安全性测试方法。针对安全中心的安全性测试,可采用的基本安全性测试方法包括: (1)功能验证:采用软件

36、测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。 (2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。 (3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。 (4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。(3).【问题 3】请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。(分数:2.00)_正确答案:(正确答案:密钥管理功能的基本测试点: (1)功能测试 系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能; 密钥库管理功能是否完善: 密钥管理中心的系统、设备、数据、人员等安全管理是否严密; 密钥管理中心的审计、认证、恢复、统计等系统管理是否具备; 密

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 考试资料 > 职业资格

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1