1、2012年下半年软件水平考试(中级)软件评测师下午(应用技术)试题真题试卷及答案与解析 一、试题一( 15分) 0 阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。 【说明】 某酒店预订系统有两个重要功能:检索功能和预订功能。检索功能根据用户提供的关键字检索出符合条件的酒店列表;预订功能是对选定的某一酒店进行预订。现需要对该系统执行负载压力测试。 该酒店预订系统的性能要求为: (1)交易执行成功率 100: (2)检索响应时间在 3s以内: (3)检索 功能支持 900个并发用户; (4)预订功能支持 100个并发用户: (5)CPJ利用率不超过 85; (6)系统要连续稳定
2、运行 72小时。 1 简述该酒店预订系统在生产环境下承受的主要负载类型。 2 对该系统检索功能执行负载压力测试,测试结果如表 1-1所示,请指出响应时间和交易执行成功率的测试结果是否满足性能需求并说明原因。 3 对该系统执行负载压力测试,测试结果如表 1-2所示,请指出 CPU占用率的测试结果是否满足性能需求并说明原因。 4 根据第 2题、 3题的测试结果 ,试分析该系统的可能瓶颈。 二、试题二( 15分) 4 阅读下列说明,回答问题 1至问题 3,将解答填入答题纸的对应栏内。 【说明】 逻辑覆盖法是设计白盒测试用例的主要方法之一,它是通过对程序逻辑结构的遍历实现程序的覆盖。针对以下由 C语言
3、编写的程序,按要求回答问题。 struct_ProtobufCIntRange int start_value; unsigned orig_index; , typedef struct _ProtobufCIntRange ProtobufCIntRange; int int_range_lookup(unsigned n_ranges, const ProtobufCIntRange*range8, int value) unsigned start, n; 1 start=0; n=n_ranges; while(n1) 2 unsigned mid=start+n 2; if(val
4、ue=rangesmid start_value+ (int)(rangesmid+1 orig_index-rangesmid orig_index) 5 unsigned new_start=mid+1; 6 n=start+n-new_start; start=new_start; else 7 return(value-rangesmid start_value)+rangesmid.orig_index; if(n0) 18 unsigned start_orig_index=rangesstart.orig_index; unsigned range_size=rangesstar
5、t+1 orig_index-start_orig_index; if(rangesstart start_value=value value(int)(rangesstart start_value+range_size) 9, 10 return(value-rangesstart start_value)+start_orig_index; 11 return-1; 12 13 5 请给出满足 100 DC(判定覆盖 )所需的逻辑条件。 6 请画出上述程序的控制流图,并计算其控制流图的环路复杂度 V(G)。 7 请给出上题中控制流图的线性无关路径。 三、试题三( 15分) 7 阅读下列说
6、明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。 【说明】 某企业想开发一套 B2C系统,其主要目的是在线销售商品和服务,使顾客可以在线浏览和购买商品和服务。系统的用户的 IT技能、访问系统的方式差异较大,因此系统的易用性、安全性、兼容性等方面的测试至关重要。 系统要求: (1)所有链接都要正确; (2)支持不同移动设备、操作系统和浏览器; (3)系统需通过 SSL进行访问,没有登录的用户不能访问应用内部的内容。 8 简要叙述链接测试的目的以及测试的主要 内容。 9 简要叙述为了达到系统要求 (2),要测试哪些方面的兼容性。 10 本系统强调安全性,简要叙述 Web应用安全性测试应考虑
7、哪些方面。 11 针对系统要求 (3),设计测试用例以测试 Web应用的安全性。 四、试题四( 15分) 11 阅读下列说明,回答问题 1至问题 3,将解答填入答题纸的对应栏内。【说明】 某企业为防止自身信息资源的非授权访问,建立了如图 4-1所示的访问控制系统。 该系统提供的主要安全机制包括: (1)认证:管理企业的合法用户,验证用户所宣称身份的合法性,该系统中的认证机制集 成了基于口令的认证机制和基于 PKI的数字证书认证机制; (2)授权:赋予用户访问系统资源的权限,对企业资源的访问请求进行授权决策: (3)安全审计:对系统记录与活动进行独立审查,发现访问控制机制中的安全缺陷,提出安全改
8、进建议。 12 对该访问控制系统进行测试时,用户权限控制是其中的一个测试重点。对用户权限控制的测试应包含哪两个主要方面 ?每个方面具体的测试内容又有哪些 ? 13 测试过程中需对该访问控制系统进行模拟攻击试验,以验证其对企业资源非授权访问的防范能力。请给出三种针对该系统的可能攻击,并简要说 明模拟攻击的基本原理。 14 对该系统安全审计功能设计的测试点应包括哪些 ? 五、试题五( 15分) 14 阅读以下说明,回答问题 l至问题 3,将解答填入答题纸的对应栏内。 【说明】 现代软件的飞速发展,使得系统对软件的依赖越来越强,对软件可靠性的要求也越来越高,因此发展以发现软件可靠性缺陷为目的的可靠性
9、测试技术也日益迫切。 15 一个完整的软件可靠性测试如图 5 1所示。 请填写图中的空缺 (1) (5)。 16 解释说明软件可靠性测试的目的,并说明狭义和广义软件可靠性测试的区别。 17 可靠性目标是指客户对软件性能满意程度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来描述。请分别解释其含义。 2012年下半年软件水平考试(中级)软件评测师下午(应用技术)试题真题试卷答案与解析 一、试题一( 15分) 1 【正确答案】 该酒店预订系统在生产环境下承受的主要负载类型有: 1)并发用户数属于并发执行负载。 2)连续稳定运行 72小时属于疲劳强度负载。 3)大量检索操作属于
10、大数据量负载。 【试题解析】 本问题考查系统的负载类型。 系统可能的负载类型包括并发执行负载、疲劳强度负载以及大数据量负载。针对这些负载,在进行负载压力测试时,分别需要进行并发性能测试、疲劳强度测试以及大数据量测试。 本题中,要求检索功能支持 900个并发用户,预订功能支持 100个并发用户,这两个功能都有并发访问的要求,这属于并发执行负载;要求系统能连续稳定运行 72小时,这属于疲劳强度负载;系统存在大量并发用户进行大量的检索和预订操作,这属于大数据量负载。 2 【正确答案】 测试结果不满足性能指标。当并发用户数为 900时,响应时间为3 7s,不满足响应 时间小于 3s的要求:当并发用户数
11、为 1000时,响应时间为6 6s,交易成功率为 98,但要求检索功能的并发用户数最多为 900,当用户数为 1000时,不能算作不满足。 【试题解析】 本问题考查对负载压力测试的测试结果进行分析。 对检索功能来说,当检索并发用户数为 900时,检索响应时间为 3 7秒,不满足检索响应时间在 3秒以内的要求。因此该测试结果不满足性能指标。 当检索并发用户数为 1000时,检索响应时间为 6 6秒。而需求要求检索功能在支持 900个并发用户的情况下响应时间在 3秒以内,这样当 1000个并发用户响应时间超出 3秒时,不能算作不满足性能指标。 3 【正确答案】 测试结果不满足性能指标。当 900个
12、检索并发用户和 100个预订并发用户时, CPU利用率超过 85;要求检索功能支持 900个并发用户,预订功能支持 100个并发用户,所以在 1000个检索并发用户和 120个预订并发用户时CPtJ占用率超过 85不能算不满足。 【试题解析】 本问题考查对负载压力测试的测试结果进行分析。 当检索功能并发用户数为 900,预订功能并发用户数为 100时, CPU用率为87 3,不满足 CPU利用 率不超过 85的要求。因此该测试结果不满足性能指标。 当检索功能并发用户数为 1000,预订功能并发用户数为 120时, CPU占用率为92 6。而需求要求检索功能并发用户数为 900,预订功能并发用户
13、数为 100的情况下, CPU利用率不能超过 85。这样当存在 1000个检索功能并发用户和 120个预订功能并发用户,而 CU占用率超过了 85的情况下,不能算作不满足性能指标。 4 【正确答案】 (1)系统没有采用合适的并发并行策略。 (2)服务器 CPU性能不足。 (3)数据库设计不足或者优 化不够。 (4)服务器网络带宽不足。 【试题解析】 本问题考查对系统瓶颈的初步判断。 根据问题 2可以看出,当并发用户数过多时,检索响应时间不满足需求。这个问题的可能原因有三个,一是该模块程序没有采用合适的并发并行策略,二是数据库本身的设计或者优化不够,三是服务器网络带宽不足。 根据问题 3可以看出
14、,当并发用户数过多时, CPU占用率不满足需求。这个问题的可能原因是服务器 CPU本身性能不够或者程序没有采用合适的并发并行策略。 综上,根据问题 2和问题 3的测试结果,本系统的可 能瓶颈包括: (1)系统没有采用合适的并发并行策略; (2)数据库设计不足或者优化不够; (3)服务器网络带宽不足; (4)服务器 CPU性能不足。 二、试题二( 15分) 5 【正确答案】 【试题解析】 本题考查白盒测试方法中的判定覆盖法。 判定覆盖指设计足够的测试用例,使得被测程序中每个判定表达式至少获得一次 “真 ”值和 “假 ”值,从而使程序的每一个分支至少都通过一次。 本题中程序一共有 5个判定,所以满
15、足判定覆盖一共就需要 10个逻辑条件,这些条件详见参考答 案。 6 【正确答案】 控制流图 环路复杂度 V(G)=7 【试题解析】 本题考查白盒测试方法中的基本路径法。涉及到的知识点包括:根据代码绘制控制流图、计算环路复杂度。 控制流图是描述程序控制流的一种图示方法。其基本符号有圆圈和箭线:圆圈为控制流图中的一个结点,表示一个或多个无分支的语句;带箭头的线段称为边或连接,表示控制流。基本结构如下所示: 根据题中程序绘制的控制流图如下所示。其中要特别注意的是,如果判断中的条件表达式是复合条件,即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式,则需要改变复合条件的判断为一系列之单个条件的嵌套的
16、判断。本题程序中, if(rangesstart start_value 7 【正确答案】 线性无关路径: 1)1-2-3-4-2 2)1-2-3-5-6-2 3)1-2-3-5-7-13 4)1-2-8-9-10-11-13 5)1-2-8-9-10-12-13 6)1-2-8-9-12-13 7)1-2-8-12-13 【试题解析】 本题考查白盒测试方法中的基本路径法。涉及到的知识点包括根据控制流图和环路复杂度确定线性无关路径。 线性无关路径是指包括一组以前没有处理的语句或条件的一条路径。从控制流图来看,一条线性无关路径是至少包含有一条在其他线性无关路径中从未有过的边的路径。对问题 2中的
17、控制流图,其线性无关路径的集合为: (1)1-2-3-4-2 (2)1-2-3-5-6-2 (3)1-2-3-5-7-13 (4) 1-2-8-9-10-11-13 (5)1-2-8-9-10-12-13 (6)1-2-8-9-12-13 (7)1-2-8-12-13 这 7条路径组成了问题 2中控制流图的一个基本路径集。只要设计出的测试用例能确保这些基本路径的执行,就可以使程序中的每个可执行语句至少执行一次,每个条件的取真和取假分支也能得到测试。需要注意的是,基本路径集不是唯一的,对于给定的控制流图,可以得到不同的基本路径集。 三、试题三( 15分) 8 【正确答案】 链接测试的目的是确 保
18、 Web应用功能够成功实现。链接测试主要测试如下 3个方面: (1)链接是否能够链接到该链接到的目标页面; (2)被链接的页面存在; (3)测试是否存在孤立页面。即只有通过特定 URL才能访问到的页面。 【试题解析】 本题考查链接测试的主要内容。链接是使用户从一个页面浏览到另一个页面的重要下段,其质量决定着功能是否能够成功实现。链接测试是 Web应用功能测试的重要内容,测试时需要测试所有页面的外向链接、内部链接、页面中链接跳转、发送 Email等功能性链接、是否存在孤立页面、链接的目 标是否存在等等。链接测试主要测试如下 3个方面: 1)链接是否能够链接到该链接到的目标页面; 2)被链接的页面
19、存在; 3)测试是否存在孤立页面。即只有通过特定 URL才能访问到的页面。 9 【正确答案】 浏览器兼容性测试、操作系统兼容性测试、移动终端浏览测试、打印测试等。 【试题解析】 本题考查 Web应用对不同环境的兼容性测试。 Web应用的兼容性是测试的重要方面,主要包括:浏览器兼容性测试、操作系统兼容性测试、移动终端浏览测试、打印测试等。本系统用户可以通过不同的移动配置进行访 问,测试显示速度和流量等。 不同的浏览器有不同的配置需要 Web应用兼容。 Web应用中的代码应该跨浏览器平台兼容。 Web应用中如果使用 JavaScript或 AJAx调用 UI功能,完成安全检查或验证,那么就需要在浏
20、览器兼容性方面进行更多测试,如, Intenlet Explorer、 Firefox、 NetscapeNavigator、 AOL、 Safari和 Opera等各种浏览器及其不同版本。 Web应用的有些功能可能并非兼容所有的操作系统, Web应用开发中用到的图形设计、 API接口等技术可能并非在 所有操作系统平台上支持。因此需要在如Windows、 Unix、 Mac、 Linux和 Solaris等不同操作系统上对 Web应用进行测试。 移动设备越来越普及,新技术层出不穷,不同移动设备上的不同浏览器的兼容性也需要进行测试。 如果 Web应用支持打印功能,需要测试字体、页面布局、页面图片
21、和页面大小等是否正常打印。 10 【正确答案】 Web应用安全体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、异常管理、审核和日志记录等多个方面进行。 【试题解析】 Web应用的安全性测试的体系结构和设计可以想出很多与设计有关的漏洞,从而提高应用程序的整体安全性。设计时修复漏洞要比在开发后期解决问题更为简单,也更经济,因为开发后期可能要进行大量的再工程处理。开发时如果考虑一些与日标部署环境相关的设计以及该环境定义的安全策略,可确保应用程序的部署更加平稳和安全。如果应用程序已创建完毕,安全测试可修复漏洞并完善未来的设计。 一个完整的 Web应
22、用安伞体系测试可以从部署与基础结构、输入验证、身份验证、授权、配置管理、敏感数据、会话管理、加密、参数操作、 异常管理、审核和日志记录等多个方面进行。 11 【正确答案】 SQL注入测试用例:用户名: nameora=a,密码:passwordora=a;或者用户名: name-,密码: password。 (name为系统内有或者无的用户名 )。 测试 SSL:某链接 URL的 https:换成 http:。 内容访问: https: domain foo bar content doc: (注:域名和路径为应用的域名和路径 )。 内部 URL拷贝:将登录后的某 URL拷贝出来,关闭 浏览器
23、并重肩后将 URL粘贴在地址栏访问内部内容。 【试题解析】 本题考查 Web应用安全性测试方面。 Web应用的安全性测试是一项重要而庞火的工作,需要测试内部和外部的安全性威胁。 Web应用的安全性测试需要很好地进行规划。 SQL注入测试用例:用户名: nameora=a,密码: passwordora=a;或者用户名: name-,密码: password。 (name为系统内有或者无的用户名 )。 如果登录是采用 SQL拼接而没有正常进行转义处理,则会出现将 SOL语句篡改成并非达 到预定目标,并不管用户名密码是否正确,均可正常登录,造成安全隐患。 测试 SSL:某链接 URL的 https
24、:换成 http:。 内容访问: https: domain foo bar content doc, (注:域名和路径为应用的域名和路径 )。 内部 URL拷贝:将登录后的某 URL拷贝出来,关闭浏览器并重启后将 URL粘贴在地址栏访问内部内容。 四、试题四( 15分) 12 【正确答案】 (1)对用户权限控制体系合理性的评价,其具体测试内容包括: .是否采用系统管理员、 业务领导、操作人员三级分离的管理模式 .用户名称是否具有唯一性,口令的强度及口令存储的位置和加密强度等 (2)对用户权限分配合理性的评价,其具体测试内容包括: .用户权限系统本身权限分配的细致程度 .特定权限用户访问系统功
25、能的能力测试 【试题解析】 本问题考查用户权限控制相关安仝测试的基本测试内容。对这部分进行安全测试应包含对用户权限控制体系合理性的评价和对用户权限分配合理性的评价,详见参考答案。 13 【正确答案】 冒充攻击:攻击者控制企业某台主机,发现其中系统服 务中可利用的用户账号,进行口令猜测,从而假装成特定用户,对企业资源进行非法访问。 重演攻击 (或重放攻击 ):攻击者通过截获含有身份鉴别信息或授权请求的有效消息,将该消息进行重演,以达到鉴别自身或获得授权的目的,实现对氽业资源的访问。 服务拒绝攻击:攻击者通过向认证服务或授权服务发送大量虚假请求,占用系统带宽并造成系统关键服务繁忙,从而使得认证授权
26、服务功能不能正常执行,产生服务拒绝。 内部攻击:不具有相应权限的系统合法用户以非授权方式进行动作,如截获并存储其他业务部门的网络数据流,或对系 统访问控制管理信息进行攻击以获得他人权限等。 以上攻击,任给出 3种即可。 【试题解析】 本问题考查针对特定系统的模拟攻击实验设计。模拟攻击试验是一组特殊的墨盒测试安全,相关模拟攻击实验的设计应结合应用具体的安全机制及特点。针对系统的身份认证机制,可设计冒充攻击试验;针对系统用于认证及授权决策的网络消息,可设计重演攻击试验;针对系统关键核心安全模块,可设计服务拒绝攻击试验;由于系统运行时涉及各种内部用户,因此安全测试需验证系统防范内部用户的安全攻击,因
27、此可设计内部攻击实验。 14 【正确答案 】 对该系统安全审计功能设计的测试点应包括: .能否进行系统数据收集,统一存储,集中进行安全审计 .是否支持基于 PKI的应用审计 .是否支持基于 XML等的审计数据采集协议 .是否提供灵活的自定义审计规则 以上测试点,任意给出 3个即可。 【试题解析】 本问题考查软件系统安全审计功能的主要测试点,在对安全审汁功能进行测试时,设计的测试点详见参考答案。 五、试题五( 15分) 15 【正确答案】 (1)确定可靠性目标 (2)可靠性数据 (3)分析影 响可靠性的因素 (4)可靠性模型 (5)可靠性评价 【试题解析】 本问题考查软件可靠性测试的基本过程和步
28、骤。完整的软件可靠性测试包括如下图所示的过程。 16 【正确答案】 软件可靠性测试的目的: (1)发现软件系统在需求、设计、编码、测试、实施等方面的各种缺陷; (2)为软件的使用和维护提供可靠性数据; (3)确认软件是否达到可靠性的定量要求。 广义的软件可靠性测试是指为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系 统实施的一种测试。 狭义的软件可靠性测试是指为了获取可靠性数据,按预先设定的测试用例,在软件的预期使用环境中,对软件实施的一种测试。 【试题解析】 本问题考查软件可靠性测试的基本概念,包括软件可靠性测试目标,以及广义与狭义可靠性测试的基本概念。 软
29、件可靠性测试是对软件产品的可靠性进行调查、分析和评价的一种手段。它小仅仅是为了用测试数据确定软件产品是否达到可靠性目标,还要对检测出来的失效的分布、原因及后果进行分析,并给出纠正意见。 可靠性测试的目的为: (1)发现软件系统 在需求、设计、编码、测试、实施等方面的各种缺陷; (2)为软件的使用和维护提供可靠性数据; (3)确认软件是否达到可靠性的定量要求。 软件可靠性测试可分为广义和狭义可靠性测试两种。广义的软件可靠性测试是指为了最终评价软件系统的可靠性而运用建模、统计、试验、分析、评价等一系列手段对软件系统实施的一种测试;狭义的软件可靠性测试是指为了获取可靠性数据,按预先设定的测试用例,在
30、软件的预期使用环境中,对软件实施的一种测试。狭义的软件可靠性测试是面向缺陷的测试,以用户将要使用的方式来测试软件,每 一次测试代表用户将要完成的一组操作,使测试成为最终产品使用的预演。 17 【正确答案】 失效严重程度,是对用户具有相同程度影响的失效集合,常见的是按照对成本影响、对系统能力的影响等标准划分软件失效的严重程度类。 可靠度是指软件系统在规定的条件下,规定的时间内不发生失效的概率。 故障强度是指单位时间软件系统出现失效的概率。 平均无故障时间是软件运行后,到下一次出现失效的平均时间。 【试题解析】 本问题考查可靠性目标的指标的基本概念。 可靠性目标是指客户对软件性能满意程 度的期望。通常采用失效严重程度、可靠度、故障强度、平均无故障时间等指标来定量描述。 失效严重程度,是对用户具有相同程度影响的失效集合,常见的是按照对成本影响、对系统能力的影响等标准划分软件失效的严重程度类。 可靠度是指软件系统在规定的条件下,规定的时间内不发生失效的概率。 故障强度是指单位时间软件系统出现失效的概率。 平均无故障时间是软件运行后,到下一次出现失效的平均时间。
