1、2010年上半年软件水平考试(高级)系统分析师下午(论文)试题真题试卷及答案与解析 1 软件维护指软件交付使用后,为了改正错误或满足新的需要而修改软件的过程。软件维护活动花费了整个软件生命期成本的 50% 90%,要降低维护成本,需要提高软件的可维护性。软件可维护性 (Software Maintainability)是指软件能够被理解、校正、增强功能及适应变化的容易程度。提高软件的可维护性是软件开发阶段的关键目标之一。 请围绕 “软件维护及软件可维护性 ”论题,依次从以下三个方面进行论述。 1概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。 2请给出常见的三种软件维护的类型并
2、分别对其特点进行论述。说明影响软件可维护性的主要因素并详细论述提高软件可维护性的主要方法。 3具体阐述你参与管理和开发的项目中所进行的软件维护活动和所采取的提高软件可维护性的方法,说明具体实施的过程以及实际应用的效果。 2 企业应用集成 (Enterprise Application Integration, EAI)是每个企业都必须要面对的实际问题。面向服务的企业应用集成是一种基于面 向服务体系结构的新型企业应用集成技术,强调将企业和组织内部的资源和业务功能暴露为服务,实现资源共享和系统之间的互操作性,并支持快速地将新的应用以服务的形式加入到已有的集成环境中,增强企业 IT环境的灵活性。 请
3、围绕 “面向服务的企业应用集成技术及其应用 ”论题,依次从以下三个方面进行论述。 1概要叙述你参与实施的企业应用集成项目以及你在其中所担任的主要工作。 2阐述面向服务的企业应用集成技术的三个重要软件层次,并对每个层次的主要功能进行详细论述。 3阐述在使用面向服务的企业应 用集成技术进行应用集成时所遇到的问题及你是如何解决的。 3 快速应用开发 (PAD)是一个增量型的软件开发过程模型,强调极短的开发周期。该模型是瀑布模型的一个 “高速 ”变种,通过大量使用可复用构件,采用基于构件的建造方法加速信息系统的开发过程。如果能够及时与用户进行交流和沟通,正确地理解需求并约束项目的范围,利用这种模型可以
4、很快创建出功能完善的信息系统。RAD依赖于广泛的用户参与、联合应用设计会议、原型化方法、集成的 CASE工具和代码生成器。 请围绕 “快速应用开发在系统建模中的应用 ”论题,依次从以下 三个方面进行论述。 1概要叙述你参与分析和开发的信息系统项目以及你所担任的主要工作。 2简要分析快速应用开发方法的生命周期,并给出各个阶段的主要任务。 3分析快速应用开发方法的目标,并结合实际项目的实施结果讨论快速应用开发与传统的结构化开发方法相比有哪些优点和缺点。 4 访问控制主要任务是保证系统资源不被非法使用和访问。访问控制规定了主体对客体访问的限制,并在身份识别的基础上,根据身份对提出资源访问的请求加以控
5、制。访问控制是策略和机制的集合,它允许对限定资源的授权访问。访问 控制也可以保护资源,防止无权访问资源的用户的恶意访问。访问控制是系统安全保障机制的核心内容,是实现数据保密性和完整性机制的主要手段,也是信息系统中最重要和最基础的安全机制。 请围绕 “信息系统中的访问控制 ”论题,依次从以下三个方面进行论述。 1概要叙述你参与管理和开发的软件项目以及你在其中所担任的主要工作。 2详细论述常见的访问控制策略和访问控制机制。 3阐述在项目开发中你所采用的访问控制策略和机制,并予以评价。 2010年上半年软件水平考试(高级)系统分析师下午(论 文)试题真题试卷答案与解析 1 【正确答案】 写作要点 一
6、、简要叙述所参与管理和开发的软件项目,并明确指出在其中承担的主要任务和开展的主要工作。 二、常见软件维护类型及特点 1软件维护的类型 软件维护分为正确性维护、适应性维护、完善性维护和预防性维护等。 (1)正确性维护 (改正性维护 ):在软件投入运行后,可能会暴露一部分在测试阶段没有发现的错误,为改正这些错误而对软件进行的修改就是正确性 (改正性 )维护。 (2)适应性维护:由于软件运行的外部环境 (软件, 硬件 )和数据环境等的变化而修改软件使之适应这些变化,就是适应性维护。 (3)完善性维护:用户的需求是经常变化的,在软件使用过程中,用户会对软件提出新的功能和性能要求,为了满足这些新的要求而
7、对软件进行修改,使之功能和性能得到完善。 (4)预防性维护:就是采用先进的软件工程方法对需要维护的软件或某部分软件重新进行设计、编码和测试,以提高软件的可维护性和可靠性等,为以后进一步改进软件打下基础。 2影响软件可维护性的因素及提高软件可维护性的主要方法 软件的可维护性是软件开发阶段的关 键目标。影响软件可维护性的因素较多,设计、编码及测试中的疏忽和低劣的软件配置,缺少文档等都将对软件的可维护性产生不良影响。软件可维护性可用下面七个质量特性来衡量,即可理解性、可测试性、可修改性、可靠性、可移植性、可使用性和效率。对于不同类型的维护,这七种特性的侧重点也不相同。 可从下面几个方面来阐述如何提高
8、软件的可维护性。 (1)建立明确的软件质量目标。 (2)使用先进的软件开发技术和工具。利用先进的软件开发技术能大大提高软件质量和减少软件费用。 (3)建立明确的质量保证。质 量保证是指为提高软件质量所做的各种检查工作。质量保证检查是非常有效的方法,不仅在软件开发的各阶段中得到了广泛应用,而且在软件维护中也是一个非常主要的工具。为了保证可维护性,以下四类检查是非常有用的:在检查点进行检查、验收检查、周期性的维护检查和对软件包的检查。 (4)选择可维护的语言。程序设计语言的选择对维护影响很大。低级语言很难掌握,很难理解,因而很难维护。一般来说,高级语言比低级语言更容易理解,第四代语言更容易理解,容
9、易编程,程序容易修改,改进了可维护性。 (5)改进软件的文档。软件文档 是对软件功能、软件各组成部分之间的关系、程序设计策略、程序实现过程的历史数据等的说明和补充。软件文档对提高程序的可阅读性有重要作用,从而会提高软件的可维护性。 三、需结合自身参与项目的实际状况,指出其参与管理和开发的项目中所进行的软件维护活动和所采取的提高软件可维护性的方法。要给出实施软件维护活动和提高软件可维护性的具体过程、方法以及对实际应用效果的分析。 2 【正确答案】 写作要点 一、论文中要具体介绍组织的业务背景、组织结构、现有应用系统的分布、采用的技术的等等内容和担任的实际工 作。 二、面向服务的企业应用集成技术以
10、服务作为封装资源和业务功能的核心概念。服务从整体的角度看待系统功能的实现,使用与实现技术无关的标准化结构进行构建,并为业务带来了灵活性和敏捷性,通过松散耦合、封装和信息隐藏使重构更加容易。 面向服务的企业应用集成技术主要包含三个重要的软件层次,它们分别是基础设计层、应用结构层和业务组织层,各层的主要功能如下: 1基础设计层 基础设计层的主要功能是能够快速有效地设计、开发以及执行灵活且可扩展的底层服务构件。 2应用结构层 企业应用集成需要整合来自多个组织的异构信息系统信息和功能,因此需要协调并保证各种解决方案的一致性。应用结构层的主要功能正是以表示业务服务的逻辑构件为中心,集中定义服务之间的接口
11、和服务级协定。 3业务组织层 业务组织层的主要功能是以服务为基础提供设计、建模以及运行业务流程的集成环境。业务流程中操作的排序、选择和执行会形成流程编排,流程编排也可进一步封装为服务,响应业务事件。 三、使用面向服务的企业应用集成技术进行应用集成时可能存在的问题包括如何发现服务;如何进行服务规约,包括服 务候选服务的分类与选择,服务编排,服务库的设计,等等;如何实现服务,包括将服务的实现分配到相应的服务构件中,并决定服务的实现方式。 3 【正确答案】 写作要点 一、简要描述所参与分析和开发的信息系统,并明确指出在其中承担的主要任务和开展的主要工作。 二、快速应用开发方法的生命周期及各阶段的主要
12、任务。 1快速应用开发是一个完整的方法,生命周期包含了需求、设计、构建和验收四个阶段,和传统的软件开发生命周期各阶段相对应。 2四个阶段的主要任务 (1)需求阶段结合了 软件开发生命周期的系统规划和系统分析阶段。用户、经理和技术人员通过讨论对业务需求、项目范围、约束条件和系统需求达成一致意见。当团队成员对关键问题达成一致意见,并获得管理部门继续进行的授权时,需求计划阶段结束。 (2)设计阶段,用户与系统分析员互相交流,并创建模型和原型来描述所有的系统过程、输入和输出。 RAD组或者子组通过结合使用 JAD技术和 CASE工具,从而将用户需求转变成工作模型。用户设计是一个连续的、相互影响的过程,
13、帮助用户理解、修改并最终通过满足他们需求的系统工作模型。 (3)构建阶段 强调程序和应用开发任务,类似于软件开发生命周期。所不同的是,在 RAD中,用户一直参与其中,并且在实际界面或报表开发出来以后仍然可以提出修改建议。 (4)验收阶段类似于传统的软件开发生命周期的实施阶段的最终任务,包括数据转换、测试、转变为新系统,以及用户培训。和传统的方法相比,整个过程是被压缩的。这样,新系统就更快地被创建、交付和投入使用。 三、分析快速应用开发方法的目标,并讨论快速应用开发方法与传统的结构化分析方法相比有哪些优点和缺点。 1所有 RAD方法的主要目标是通过用户参与系统 开发的每一个阶段来缩减开发时间和费
14、用。由于 RAD是一个连续的过程,因此随着设计的进行, RAD允许开发小组迅速地做出必要的修改。当公司预算紧张时,对于发生在一个已制定好的长时期的进度表中的变化所带来的花费进行限制尤为重要。 2和传统的结构化分析方法相比,主要优点是强调用户参与,可以尽快明确需求,降低系统开发风险,缩短系统开发周期。缺点一是 RAD强调系统本身的结构,系统可能在短时间内工作得很好,但是系统的整体和长期的目标可能得不到满足。缺点二是加速开发周期可能会导致没有更多的时间提高项目质量、连贯性和 设计的标准化。缺点三是并非所有应用软件都适合于使用 RAD,如果一个系统难以模块化,那么建造 RAD所需构件就会有问题;如果
15、需要高性能的指标,且该指标必须通过调整接口使其适应系统构件才能获得,使用 RAD方法就有可能失败;RAD不适合技术风险很高的情况,当一个新应用要采用很多新技术或新软件要求与已有计算机程序有较高的可互操作性时,项目也可能会失败。 4 【正确答案】 写作要点 一、论文中要说明所参与管理和开发的软件项目,并明确指出在其中承担的主要任务和开展的主要工作。 二、访问控制是策略和机 制的集合,它允许对限定资源的授权访问。 1访问控制的策略 访问控制策略包括登录访问控制、操作权限控制、目录安全控制、属性安全控制和服务器安全控制等方面的内容。 (1)登录访问控制策略。登录访问控制为系统访问提供了第一层访问控制
16、,它控制哪些用户能够登录系统并获取资源,控制准许用户登录时间和具体工作站点。 (2)操作权限控制策略。操作权限控制是针对可能出现的非法操作而采取的安全保护措施。用户和用户组被赋予一定的操作权限,系统管理员可以设置用户或用户组的具体权限。 (3)目录安全控制策略。系统应该允许管理员控制用户对目录、文件和设备的操作。目录安全允许用户在目录一级的操作对目录中的所有文件和子目录都有效。用户还可以进一步自行设置对子目录和文件的权限。 (4)属性安全控制策略。属性安全控制策略允许将设定的访问属性与服务器的文件、目录和设备联系起来。系统资源都应预先标出一组安全属性,用户对资源的操作权限对应一张访问控制表,属
17、性安全控制级别高于用户操作权限设置级别。 (5)服务器安全控制策略。系统允许在服务器控制台上执行一系列操作。用户通过控制台可以加载和卸载系统 模块,可以安装和删除软件。系统应该提供服务器登录限制、非法访问者检测等功能。 2访问控制机制 常见的访问控制机制主要有自主访问控制、强制访问控制、基于角色的访问控制、基于任务的访问控制和基于对象的访问控制等。 (1)自主访问控制。这是目前信息系统中实现最多的访问控制机制,是在确认主体身份以及它们所属组的基础上,对访问进行限定的一种方法。其基本思想是允许某个主体显式地指定其他主体对该主体所拥有的资源是否可以访问,以及可执行的访问类型。 (2)强制访问控制。
18、其基本思想是,每个主体 都有既定的安全属性,每个客体也都有既定的安全属性,主体对客体是否能够执行特定的操作取决于两者安全属性之间的关系。 (3)基于角色的访问控制。由于其对角色和层次化管理的引进,特别适用于用户数量庞大、系统功能不断扩展的大型系统。基于角色的访问控制,在用户和访问许可权之间引入了角色的概念,用户与特定的一个或多个角色相联系,角色与一个或多个访问许可权相联系。 (4)基于任务的访问控制。该机制从应用和企业层角度来解决安全问题。它采用面向任务的观点,从任务的角度来建立安全模型和实现安全机制,在任务处理的 过程中提供动态实时的安全管理。其访问权限控制并不是静止不变的,而是随着执行任务的上下文环境发生变化,是一种动态安全模型。 (5)基于对象的访问控制。控制策略和控制规则是基于对象的访问控制的核心。在基于对象访问控制模型中,将访问控制与受控对象及其属性相关联,并将访问控制选项设计成为用户、组或角色及其对应权限的集合。同时,允许对策略和规则进行复用、继承和派生操作。这种方式对信息量巨大、信息内容更新变化频繁的管理信息系统非常有益,可以减轻由于信息资源的派生、演化和重组带来的分配和设定角色权限等的工作量。 三、结合具体项目,指出所选择的访问控制策略和机制,并说明具体的实施过程和对实际开发效果的分析。
