1、2004年上半年软件水平考试(高级)系统分析师下午(论文)试题真题试卷及答案与解析 1 论电子商务的安全 随着因特网技术的发展,电子商务正以其高效和低成本的优势,逐步成为一类新兴的企业经营模式。但是,任何在因特网上开展的业务都必须采取行之有效的措施,确保系统有足够的安全性,防止由于非法入侵和机密信息泄露所造成的损失。 试围绕 “电子商务的安全 ”论题,依次从以下 3个方面进行论述。 1概要叙述你参与分析和开发的电子商务系统以及你所担任的主要工作。 2深入地讨论在一个具体的电子商务系 统中需要解决的安全问题。 3详细论述你采用的电子商务系统安全问题的解决方案,并分析和评价你的解决方案。 2 论用
2、例的获取方法 UP(unified process,统一开发过程 )是一种软件开发过程,它的特点是用例驱动;以构架为中心;迭代和增量开发。用例 (usecase)是对一组动作序列的描述,系统通过执行改动作序列,为参与者 (actor)产生可观察的结果。用例不仅可以描述系统的需求,而且能驱动系统的设计、实现和测试。 试围绕 “用例的获取方法 ”论题,依次从以下 3个方面进行论述。 1概要叙述你参与分析和开发的软件项目以及你所担任的主要工作。 2详细论述你在这个项目中获取系统的用例的基本步骤。 3分析并讨论获取用例的效果 (是否获取了系统的所有用例或全部重要的用例 ),并进行评价。 3 论 ERP
3、的开发与应用 ERP(Enterprise Resources Planning,企业资源计划 )是二种系统化的管理平台,它建立在信息技术基础上,利用现代企业的先进管理思想,全面地集成企业的信息资源,并为企业提供决策、计划、控制与经营业绩评估。 ERP系统体现了先进的管理理论 和管理思想,利用企业的可用资源 (包括内部资源与外部资源 ),为企业提供优化的解决方案,最终实现企业的经营目标。 试围绕 “ERP的开发与应用 ”论题,依次从以下 3个方面进行论述。 1概要叙述你参与分析和开发的 ERP系统以及你所担任的主要工作。 2讨论你开发和实施 ERP系统时所涉及的理论、技术和方案,以及你在实现该
4、系统时所采用的措施,方式及其效果。 3简要叙述 ERP的发展趋势。 4 论软件开发成本估算 软件开发成本估算是软件工程项目管理中的一项重要任务。软件开发成本主要是指软 件开发过程中所花费的工作量及相应的代价,软件开发成本估算应该以整个软件开发过程中所花费的人工代价为依据。 试围绕 “软件开发成本估算 ”论题,依次从以下 3个方面进行论述。 1概要叙述你参与分析和开发的应用项目以及你所担任的主要工作。 2论述在估算软件开发成本时可以采用的方法和模型,并进一步分析这些估算方法和模型的优缺点。 3详细论述在你参与分析和开发的应用项目中具体采用的估算软件开发成本的技术、方法、模型、工具及其实际效果。
5、2004年上半年软件水平考试(高级)系统分析师下午( 论文)试题真题试卷答案与解析 1 【正确答案】 为保证安全的电子商务,必须保护的资产包括客户机、在通信信道上传输的消息、 WWW和电子商务服务器。对于客户机而言,其主要的安全威胁包括利用诸如 cookie之类的活动内容窃取信息,利用 Java小程序、 ActiveX控件执行恶意的破坏操作,利用插件、电子邮件附件传播病毒等;对于在通信信道上传输的消息而言,其主要的安全威胁包括信息窃取 (保密性问题 )、信息篡改 (完整性问题 )、延长响应时间 (拒绝服务攻击 )等;对于服务器而言,其主要的安全威胁包括利用 WWW服务器的安全漏 洞窃取信息、恶
6、意破坏,获取数据库访问权限窃取信息,利用 CGI进行恶意破坏,利用缓存溢出进行攻击。 针对这 3个要保护的资产面临的安全威胁,通常所采用的方法包括如下措施。 (1)客户机;通过数字证书验证用户和网站的身份;利用浏览器的安全设置来禁止不安全的 ActiveX控件、 Java小程序;对 cookie进行管理,使用防病毒软件。 (2)电子商务通道:主要包括交易和数据 2方面的保密措施。数据与信息的加密主要依赖于加密算法,常用的加密算法分为对称钥加密 (如 DES, 3DES等 )和非对称钥加密 (如 RSA, PGP等 ),可以实现数据的保密性要求。另外,还可以使用消息摘要算法 (如 MD5)来实现
7、数据的完整性保护要求。保护交易安全性的措施包括安全套接层 (SSL)、安全 HTTP协议 (S-HTTP)、 SET协议 3种。 (3)电子商务服务器:进行访问控制与认证,采用操作系统控制,构建防火墙等手段。 通常在电子商务系统开发过程中,要考虑的安全问题重点在于电子商务通道和电子商务服务器 2个方面。针对系统的实际情况,采取有效的措施,以实现数据的保密性、完整性、不可抵赖性和及时性,并防止由于非法入侵和机密数据泄露 带来的损失。 从上面的分析中,得知关于电子商务安全的论文的写作要点大体包括以下几个方面: (1)所举的电子商务系统项目应对系统安全、信息安全、交易安全等有明确、合理的要求;并应适
8、当地说明该电子商务系统的应用背景与目标。 (2)文章应该结合所举的电子商务系统项目的实际情况,指明在该系统中要解决的安全问题,并详细地论述这个问题的重要性,以及它可能带来的后果。 在安全解决方案中应考虑以下问题: 用户标识和口令; 数据加密; 认证授权和数字签名; 虚拟专用网 (VPN); 防火墙技术; 病毒防范; 备份和错误恢复; 系统的物理安全; 安全实施规划和方法; 安全协议。 (3)文章应该具体地说明在解决这些安全问题时所采用的解决方案、技术组合,并且尽可能详细地说明。另外值得注意的是,应该紧扣题面,能够有效地针对非法入侵、机密信息泄露问题。 (4)应当讨论在选用上述有关技术和措施时所
9、采用的相应的策略与原则。 (5)应对所选的技术与措施的效果进行分析,并力求实事求是,因为每一种技术与措施都会有一定的适用范围和 局限性。 (6)文章可以使用一定篇幅对解决方案的不足进行描述,并提出一些可以进一步尝试的新的解决方案。 2 【正确答案】 用例分析技术是 Rational三友之一的 Ivar Jacobson先生于 1967年在爱立信公司开发 AXE交换机时开始研究,并于 1986年总结、发布的一项源于实践的需求分析技术。 Ivar先生在加盟 Rational之后,与三友合作提出了 UMI、完善了 RUP,用例分析技术也因此被人广泛了解和关注。 用例分析技术为软件需求规格化提供了一个
10、基本的元素,而且该元素是可验证、可度量 的。用例可以作为项目计划、进度控制、测试等环节的基础。用例是开发团队与客户之间有效的沟通工具,它可以用来描述功能和非功能需求,其有助于确保需求的可跟踪性,能够抑制过早的设计。不过值得注意的是,关于用例有 2个常见的误区。 (1)用例分析技术包括了整个需求过程:它只是一个需求分析技术,是在传统的需求捕获技术的基础上使用的,无法替代这些技术; (2)用例分析技术是分解技术:其实用例分析技术是一种合成技术,将在需求捕获中收集而来的零散的特性合成为用例。 因此,要清楚地认识用例源于涉众,不能够自己杜 撰出用例,但也不要企图直接问他们还有什么用例;另外用例描述的编
11、写工作,应由开发人员和客户组成的团队完成。 总之,用例来源于传统的需求捕获方法所产生的结果。通常采用迭代的方式来创建需求:首先生成提纲和高层描述 (即粗略的用例模型 ),然后对其进行拓展和深化(即对用例模型的描述进行完善 ),最后进行集中的整理与修剪。用例模型的建立过程主要分为识别参与者 (actor)、合并需求获得用例、细化用例描述 3个步骤。 根据上面的分析,可知用例是一种需求的描述方法,因此用例的获取也是需求的获取,因此在本篇论文的写作过 程中,应该充分说明如何结合用例技术来获取需求。 具体来说,写作要点主要包括以下几个方面: (1)所列举的参与分析和开发的软件项目应该适合于用例分析技术
12、,而非如驱动程序之类,系统参与者不明显或不重要的应用。 (2)文章中应该详细地说明获取系统用例所采用的工作步骤,应该从需求的捕获开始,然后详细地说明如何识别参与者,如何识别用例,如何进行描述的细化和模型的建立。 用例获取的基本步骤: 定义该应用系统的边界 (可以用计算机系统作为边界,也可以用使用该应用系统的机构中的部门界限作为边界 ,还可以用该机构本身作为边界 )。 识别出该应用系统所有的参与者。 对于所识别出的每一个参与者,分别确定; .该参与者所参与的每一种业务活动; .各种业务活动的完整的事件序列; .激发上述每一个事件序列的参与者。 对 中确定的事件序列进行分析,去掉其中重复的事件序列
13、。 用结构化的自然语言来描述 中确定的每一个事件序列,得到初步确定的每一个用例。 对 中初步确定的每一个用例进行分析和必要的重组,采用包含 (include)、扩展 (extend)和概括 (generalization)关系来表示用例之间的关系,最终得到所有的用例。 (3)在描述获取系统用例的步骤时,应该尽可能结合项目实际情况,描述具体的过程,而不要过多地列举相关书籍中内容,干巴巴的理论会显得文章十分空洞,要充分体现出真实性。 (4)可以充分地引入一些用例分析模式来说明用例的获取过程。 (5)文章中应该对用例获取的效果进行分析,特别是对用例模型的全面性,并且应该充分体现出客户在用例获取过程中
14、的参与情况。 (6)可以适当地对用例获取的过程中的不足进行评价,并提出相应的改进方法。 3 【正确答案】 简要地说,企业的所有资源包括 3大流;物流、资金流和信息流。ERP也就是对这 2种资源进行全面集成管理的管理信息系统。概括地说, ERP是建立在信息技术基础上,利用现代企业的先进管理思想,全面地集成了企业所有资源信息,并为企业提供决策、计划、控制与经营业绩评估的全方位和系统化的管理平台。 ERP系统是一种管理理论和管理思想,不仅仅是信息系统。它利用企业的所有资源,包括内部资源与外部市场资源,为企业制造产品或提供服务 创造最优的解决方案,最终达到企业的经营目标。 ERP理论与系统是从 MRP
15、-II(制造资源计划II)发展而来的,它的主线也是计划,但 ERP已将管理的重心转移到财务上,在企业整个经营运作过程中贯穿了财务成本控制的概念。 ERP是一个复杂的软件系统,其总流程图如图 7-1所示。 在设计和开发 ERP系统时,应该把握 1个中心、 2类业务、 3条干线的总体思路。1个中心就是以财务数据库为中心; 2类业务就是计划与执行; 3条干线则是指供应链管理、生产管理和财务管理。在 ERP设计时常用的工具包括业务分析、数据流程图、实体关系图及功 能模块图。 实施 ERP则是一场耗资大、周期长、涉及面广的系统工程。由于 ERP软件原本是个实用性强、牵涉面较广的管理系统,在实施过程中应该
16、采取规范的方法,严格按照 ERP软件的实施方法论进行。 ERP实施方法论的核心是实现管理思想革命和管理信息化技术提升。实施可以分为 3个时期。 (1)前期;主要是基础数据准备和标准化; (2)中期:进行交接面界定,业务流程重组; (3)后期:实施适应期,实行手工与计算机 (或新旧系统 )并行作业,逐步解决不适应性。 整个实施过程包括项目启动、组建团队、设计、编码、测试、数据准备,软件 安装、软件调试、项目试运行、项目正式运行等环节。具体来说包括以下工作:明确观点、统一认识、建立实施团队;明确目标和制定实施计划;根据企业人员知识结构和技术水平组织培训;根据企业现状进行业务需求分析;根据需求分析结
17、果建模和进行原型分析;根据实际业务流程和具体情况进行系统功能和参数配置以及系统实施;根据业务原型进行试运行试验,制订技术解决方案;调试环境、培训和测试,上线准备、数据准备;系统上线,投入运行;系统优化、周期性系统运行审查等。 同时, ERP也随着管理思想、技术的提高而发展,其主要的发展趋势是:系统更加 柔性化,从而更灵活地适应企业变化的需求;应用范围广泛化,渗透到了各行各业;功能深度化;对供应链管理提供更好的支持;朝着因特网技术靠拢;组件技术应用更加深入;安全保密性更高;成本更低、易用性更好;系统自助化。 值得一提的是, Gartner Group继 1990年提出 ERP之后,又在 2000
18、年提出了 ERP- II的新概念:通过支持和优化企业内部和企业之间的协作运作和财务过程,以创造客户和股东价值的一种商务战略和一套面向具体行业领域的应用系统。它将以资源计划和库存的精确性为中心。 前面概要地描述了 ERP的概念、原理、设计、实施以及发展趋势,在编写关于 ERP开发与应用方面的论文时可以围绕这些核心内容进行展开。具体来说,写作的要点包括以下几个方面: (1)所举例的参与分析和开发的系统应该能够满足 ERP的定义,说明相关的背景、目标以及功能的情况,以充分体现这一点。 (2)论文中应该花费相当的篇幅来说明开发和实施 ERP系统时所采用的技术,以及详细地描述具体的方案。要注意方案的真实
19、性,切忌不要堆砌概念,以背书的方式把 ERP的功能模块列举出来,这只能够体现应试者没有相关的实践经验。 (3)在描述所采用的措施、方式时,应该充分 地结合 ERP开发与实施过程中的关键时期、关键活动,有针对性地描述与说明。 (4)在阐述完开发与实施效果时,可以用一定的篇幅说明不足之处,并简单地说明如何进一步改进。 (5)在叙述 ERP的发展趋势时,不要简单地列举出相关书籍,评论中有关内容,最好从本文的实例出发,自然地引导出发展的趋势,注重表现自己的真实体会与感受。 4 【正确答案】 软件开发成本估算是一个十分容易被忽视,但却又是十分重要的内容。其重要的原因是没有成本估算,项目计划就会失去基础;
20、容易被忽视的原因却是由于大部分软件开发组织未能够有效掌握它。 软件估算包括规模估算、工作量估算、进度估算和成本估算。整个估算的过程是:首先根据软件需求进行规模估算,也就是估计软件的规模,通常以代码行数、功能点数为单位;然后在估计的规模的基础上,根据项目的特定因素 (例如,技术能力、使用的语言和平台、团队稳定性、项目复杂度等 )、开发生产率经验数字来估算开发的工作量,这通常以人天、人月、人年为单位;最后根据客户提出的进度需求进行进度估算,根据人员及其他成本 (如设备、房租、差旅等 )对总的开发成本进行估算。软件估算的基础是经验数字和经验模型。 从上面的描述中,可 以看出规模估算是软件开发成本估算
21、的基础 (数据来源 ),而工作量估算则是软件开发成本估算的关键 (决定了开发成本 )。 规模估算最常用的方法包括 LOC(代码行 )估算法和 FP(功能点 )估算法。 LOC估算法主要根据历史项目记录,以经验数据进行推测; FP估算法则通过一个较严谨的经验模型计算公式来进行估算。 FP估算法是一种比较通行的软件规模估算方法。 工作量估算可以采用的模型、方法和技术就比较多了,大致可以分为算法方法、类比法和自底向上法 3种。 (1)算法方法估算是自顶向下的方式实现,使用数学方式表达出估 算所含的各种参数之间的关系,如规模、工作量、进度、复杂度之间的关系。这个模型可以是静态的,也可是动态的。最常见的
22、算法方法估算模型包括 Mark 估算、 COCOM0 81、COCOMOII、 COCOMO组、 Putnam估算模型等。 Mark FP估算:它不是一个严格的算法模型,是基于各种因素和它们的影响的主观评价之间关系的一些理解。 COCOMO:它是根据软件产品规模和几个特征计算工作量和日历时间的估算算法模型。它是由 Barry Boehm博士开发的,发布于 1981年,即 COCOMO 81,而 COCOMOII则是其新版本,不过由于它们各有特色,因此还共同存在于估算实践中。这是一个较严格,并经受了大量实践考验的一个经典估算模型。 COCOMO组:包括重点应用于 COTS组件项目的 COCOTS
23、模型;用来预测每 KLOC或 FP中残留错误的 COQUALMO模型;着重于开发软件的成本在开发活动上的分布的 COSSEMO模型;着重在预测新技术、提高生产率的发明方面最有效的成本分配的 COPROMO模型。 Putnam估算模型:它是一个工作量动态的、多变量的估算模型,它对交付时间十分敏感。 静态模型:除了以上动态模型之外,还有一些常用的静态模型,其中最常用的是 Watson和 Felix模型。其计算公式是不变的:工作量; 5.2(KLCC)0.91持续时间 (月 ): 4.1(KLOC)0.36。可以用来生成较粗略的估算值。 算法方法估算法虽然定义严谨,但是由于这些算法只是源于几十个项目
24、的数据总结,因此其结果并不是精确的,但其仍然还是具有较高的参考价值。并且随着开发团队数据的积累和经验的堆积,产生的估算也会越来越精确。 (2)类比估算法则是自顶向下的查看系统,它借助经验丰富的人员的 “本能感受 ”去识别待估项目和已完成的项目之间的相似与差异之处,并评估这些差别对评估的影响。这种方法的主观意识较强,估算结果的精确度与估算人员的经验有很大的关系。 (3)自底向上估算是将项目分解成为较小的活动和任务,对每个较低层的任务做估算,然后将所有的较低层的任务估算值加在一起,就可以得到项目总的工作量估算值,由于这种估算通常是由程序员来进行小任务块的估算,因此容易让程序员产生责任感,进度更有保
25、障。 有了工作量估算后,就可以计算出工作人员成本,但在进行开发成本估算时还应该考虑硬件、软件、通信、差旅 、培训以及其他成本。 可以从上面的描述中总结出撰写关于软件开发成本估算的论文,主要应该注意以下几个方面的要点: (1)由于许多软件开发成本估算模型都需要一些参数依据,因此应该对于项目的复杂度、涉及的关键技术、团队情况等因素进行阐述,以便能够连贯地说明估算的过程。 (2)由于工作量估算是成本估算的关键,其估算的结果决定了成本估算,而成本估算则是在工作量的基础上做一些简单的财务计算,因此可以理解为工作量估算的方法和模型。 (3)文章中应该列举算法方法估算法、类比估算法以及自底向上估算法 3种模型,并且应该抓住它们各自鲜明特点进行深入的阐述。 (4)在前面描述的基础上,针对本项目的特色进行分析,引出最合适的模型,然后再结合实例,详细地说明应用的具体方案。编写时一定要注意突出其真实性。 (5)文章应该花一定篇幅来说明估算的效果,也就是估算的误差值是多少,并且可以简要地分析这些误差值会来源于何处。
