[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc

上传人:tireattitude366 文档编号:493247 上传时间:2018-11-30 格式:DOC 页数:18 大小:504KB
下载 相关 举报
[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc_第1页
第1页 / 共18页
[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc_第2页
第2页 / 共18页
[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc_第3页
第3页 / 共18页
[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc_第4页
第4页 / 共18页
[计算机类试卷]2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析.doc_第5页
第5页 / 共18页
点击查看更多>>
资源描述

1、2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷及答案与解析 一、试题一( 15分) 0 阅读下列 Java程序,回答问题 1至问题 3,将解答填入答题纸的对应栏内。【 Java程序】1 【问题 1】 请简述基本路径测试法的概念。 2 【问题 2】 请画出上述程序的控制流图,并计算其控制流图的环路复杂度 V(G)。 3 【问题 3】 请给出问题 2中控制流图的线性无关路径。 二、试题二( 15分) 3 阅读下列说明,回答问题 1至问题 3,将解答填入答题纸的对应栏内。 【说明】 某商店 的货品价格 (P)都不大于 20元 (且为整数 ),假设顾客每次付款为 20元且每次限

2、购一件商品,现有一个软件能在每位顾客购物后给出找零钱的最佳组合 (找给顾客货币张数最少 )。 假定此商店的找零货币面值只包括: 10元 (N10)、 5元 (N5)、 1元 (N1)3种。 4 【问题 1】请采用等价类划分法为该软件设计测试用例 (不考虑 P为非整数的情况 )并填入到下表中。 ( N1, 2表示 2张 1元,若无输出或输出非法,则填 NA)5 【问题 2】 请采用边界值分析法为该软件设计测试用例。 6 【问题 3】 请给出采用决策表 法进行测试用例设计的主要步骤。 三、试题三( 15分) 6 阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。 【说明】 某 MO

3、OC(慕课 )教育平台欲开发一基于 Web的在线作业批改系统,以实现高效的作业提交与批改并进行统计。系统页面中涉及内部内容的链接、外部参考链接以及邮件链接等。页面中采用表单实现作业题目的打分和评价,其中打分为 1 5分制整数,评价为文本。 系统要支持: (1)在特定时期内 300个用户并发时,主要功能的处理能力至少要达到 16个请求秒,平均数据量 16kB请 求; (2)系统前端采用 HTML5实现,以使用户可以通过不同的移动设备的浏览器进行访问。 7 【问题 1】 针对此在线系统进行链接测试时,需要测试哪些方面 ? 8 【问题 2】 为了达到系统要支持的 (2),设计一个兼容性测试矩阵。 9

4、 【问题 3】 给出计算系统的通信吞吐量的方法,并计算在满足系统要支持的 (1)时系统的通信吞吐量。 10 【问题 4】 设计 4个打分和评价的测试输入,考虑多个方面的测试,如:正确输入、错误输入、 XSS、 SQL注入等测试。 四、试题四( 15分) 10 阅读下列说 明,回答问题 1至问题 3,将解答填入答题纸的对应栏内。【说明】某嵌入式系统中,存在 16路数据采集通道。为了提高数据采集的可靠性,对 16路采集通道均采用双余度设计;为了监控采集通道是否发生故障,对各路双余度通道采集值进行比较。只有当该通道两个余度设备采集值均不小于 45时,才表示该路通道正常。设计人员设计函数 用于统计无故

5、障通道数目,在该函数的设计中考虑了如下因素: (1)采用如下数据结构存储通道号及采集值:(2)当输入参数异常时,函数返回 -1; (3)若正确统计了无故障通道数目,则返回该数目; (4)该函数需要两个输入参数,第一个参数是用于存储通道号及余度采集值的数组,第二个参数为通道总数目; (5)调用函数 sort()对存储通道号及余度采集值的数组进行排序处理。开发人员根据上述要求使用 ANSI C对代码实现如下 (代码中每行的第一个数字代表行号 ):11 【问题 1】嵌入式软件中通常使用函数扇出数和注释率来衡量程序的可维护性,请计算函数的扇出数和注释率,并判断此函数扇出数和注释率是否符合嵌入式软件的一

6、般要求。 12 【问题 2】请使用代码审查的方法找出该程序中所包含的至少 4处错误,指出错误所在的行号和问题描述。13 【问题 3】覆盖率是度量测试完整性的一个手段,也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中,通常以语句覆盖率、分支覆盖率和 MC DC覆盖率作为度量指标,请分别指出对函数 达到 100语句覆盖、100分支覆盖和 100 MC DC覆盖所需的最少测试用例数目。五、试题五( 15分) 13 阅读下列说明,回答问题 1至问题 4,将解答填入答题纸的对应栏内。 【说明】 某互联网企业开发了一个大型电子商务平台,平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是

7、保证平台正 常运行的重要因素,安全中心是平台中提供安全保护措施的核心系统,该系统提供的主要功能包括: (1)密钥管理功能,包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等。 (2)基础加解密服务,包括基于 RSA、 ECC及 AES等多密码算法的基本加解密服务。 (3)认证服务,提供基于 PKI及用户名口令的认证机制。 (4)授权服务,为应用提供资源及功能的授权管理和访问控制服务。 现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试,以检验平台的安 全性。 14 【问题 1】 给出安全中心需应对的常见安全攻击手段并进行简要说明。 15 【问题 2】 针对安

8、全中心的安全性测试,可采用哪些基本的安全性测试方法 ? 16 【问题 3】 请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。 17 【问题 4】 请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。 2015年下半年软件水平考试(中级)软件评测师下午(应用技术)真题试卷答案与解析 一、试题一( 15分) 1 【正确答案】 基本路径测试法是在程序 控制流图的基础上,通过分析控制构造的环路复杂性,导出基本可执行路径集合,从而设计测试用例的方法。 【试题解析】 本题考查白盒测试法的应用。 本问题考查白盒测试用例设计方法中的基本路径测试法。 基本路径测试法

9、是在程序控制流图的基础上,通过分析控制构造的环路复杂性,导出基本可执行路径集合,从而设计测试用例的方法。 2 【正确答案】 控制流图 环路复杂度 V(G)=5 【试题解析】 本问题考查白盒测试用例设计方法:基本路径测试法。涉及到的知识点包括根据代码绘制控制流图、计算环路复杂度。 控制流图是描述程序 控制流的一种图示方式,它由节点和定向边构成。控制流图的节点代表一个基本块,定向边代表控制流的方向。其中要特别注意的是,如果判断中的条件表达式是复合条件,即条件表达式是由一个或多个逻辑运算符连接的逻辑表达式,则需要改变复合条件的判断为一系列之单个条件的嵌套的判断。本题程序中,这条判断语句中的判定由两个

10、条件组成,因此在画控制流图的时候需要拆开成两条判断语句。需要注意的是,复合条件之间是 “&”的关系还是 “”的关系反应在控制流图的画法是不同的。 程序的环路复杂度等于控制流图中判定节点的个数加 1,本题控制流图中 判定节点个数为 4,所以 V(G)=5。 3 【正确答案】 线性无关路径: 1 1-2-4-5-6-8-9-10 2 1-2-4-5-7-8-9-10(1-2-4-5-7-8-10) 3 1-2-4-5-6-8-10(1-2-4-5-7-8-10) 4 1-2-3-4-5-6-8-9-10(1-2-3-4-5-7-8-9-10, 1-2-3-4-5-6-8-10, 1-2-3-4-5

11、-7-8-10) 5 1-2-3-8-9-10(1-2-3-8-10) 【试题解析】 本问题考查白盒测试用例设计方法:基本路 径法。涉及到的知识点包括:根据控制流图和环路复杂度给出线性无关路径。 线性无关路径是指包含一组以前没有处理的语句或条件的路径。从控制流图上来看,一条线性无关路径是至少包含一条在其他线性无关路径中从未有过的边的路径。程序的环路复杂度等于线性无关路径的条数,所以本题中应该有 5条线性无关路径。 二、试题二( 15分) 4 【正确答案】 【试题解析】 本题考查白盒测试法和黑盒测试法的应用。 本问题考查黑盒测试用例设计方法:等价类划分法。 等价类划分法是把程序的输入域按规则划分

12、为若 干子集,然后从每个子集中选取一个具有代表性的数据作为测试用例。本题中规定了 P的取值范围 (1 =P=20),按规则可以划分为一个有效等价类 P 1 =P =20和两个无效等价类 PP 1、 P P 20。根据题中描述,对 P取不同值有不同的处理,因此上述有效等价类还可以进一步细分为 8个等价类 P P=20、 P 15 P 20、 PP=15、 p 10 P 15、 P P=10、 P 5 P 10、 P P=5、 P 0 P5。这样一共得到 10个等价类,包括 8个有效等价类 P P=20)、 P 15 P20)、 P P=15、 P 10 P 15、 P P=10)、 P 5 P

13、10)、 P P=5)、 P0 P 5)和两个无效等价类 P P 1)、 P P 20。设计用例时从这 10个等价类中各任选一个代表元素即可。 5 【正确答案】 【试题解析】 本问题考查白盒测试用例设计方法:边界值分析法。 边界值分析法作为等价类划分法的一种补充,是把等价类上的边界取值作为测试用例的一种测试方法。如果不考虑健壮性测试,也就是如果说不考虑无效等价类的边界取值, 8个有效 等价类中有 20, 19, 16, 15, 14, 11, 10, 9, 6, 5,4, 1这 12个边界值,然后每个等价类中再取 1个任意值,一共得到 16个边界值的测试用例 (P P=20)、 P P=15)

14、、 P P=10)、 P P=5)这 4个等价类的任意值是 20, 15, 10, 5,与边界值有重复 )。 6 【正确答案】 (1)确定规则的个数。 (2)列出所有的条件桩和动作桩。 (3)填入条件项和动作项。 (4)合并相似规则,化简决策表。 【试题解析】 本问题考查黑盒测试中决策表法。 采用决策表法设计测试用例分为四步: 1)确定规则的个数; 2)列出所有的条件桩和动作桩; 3)填入条件项和动作项; 4)合并相似规则,化简决策表。 三、试题三( 15分) 7 【正确答案】 内部链接测试、外部链接测试、邮件链接测试、断链测试。 【试题解析】 本题考查 Web应用链接测试的内容。题目中涉及到

15、内部内容的链接、外部参考链接以及邮件链接,所以均需要测试。还要进行断链测试,测试每个链接是否有断链。 8 【正确答案】 【试题解析】 本题考查 Web应用兼容性测试的内容。 Web应用的兼容性是测试的重要方面,包括:浏览器兼容 性、操作系统平台兼容性、移动浏览、打印选项等。本系统前端采用 HTML5实现,以使用户可以通过不同的移动设备、操作系统和浏览器进行访问,因此需要针对普通设备和移动设备,进行操作系统平台和浏览器的兼容性测试。包括 Windows系列、 Linux系列、移动操作系统 iOS、Android,与其上可以使用的浏览器进行结合,构建兼容性二维矩阵,行列分别表示操作系统平台和浏览器

16、。测试时分别在单元格记录操作系统和浏览器组合的测试情况。 9 【正确答案】 通信吞吐量: P=N(并发用户的数量 =300)T(每单位时间的在线事务数量 =16)D(事务服务器每次处理的数据负载 =16kB S) 本系统满足条件 (1)时的通信吞吐量为: 3001616=76800kB S(75MB S)。 【试题解析】 本题考查 Web应用系统的性能指标计算。通信吞吐量,设定如下指标参数: N:并发用户的数量 T:每单位时间的在线事务数量 D:事务服务器每次处理的数据负载 P:系统的通信吞吐量 有如下计算公式: P=NTD 本题中系统要求支持的 (1)中给出 300个用户并发,即 N=300

17、;主要功能的处理能力至少要达到 16个请求秒,即 T=16;平均数据量 16kB请求,即 D=16kBS。 则可得:通信吞吐量 P=3001616=76800kB S(75MB S)。 10 【正确答案】 (1)打分为任何在 1 5范围内的数字,评价为任意文本; (2)打分为任何在 1 5范围外的数字,评价为任意文本; (3)打分和评价其中任一字段包含 HTML标签,如: HTML, SCRIPT等; (4)打分和评价其中任一字段包含 SQL功能符号,如包含 , OR、 -、2015OR1=1等。 【试题解析】 本题考查 Web应用测试的输入方面, 包括输入的不同情况、安全性方面的 SQL注入

18、和 XSS跨站攻击。 打分和评价的测试输入应该考虑分值的取值范围之内和之外以及文本中的内容: (1)打分为任何在 1 5范围内的数字,评论为任意文本; (2)打分为任何在 1 5范围外的数字,评论为任意文本; 输入的内容中输入符号可能会传到后台引起安全问题。 许多 Web应用系统采用某种数据库,接收用户从 Web页面中输入,完成展示相关存储的数据、将输入数据存储到数据库 (如用户输入表单中数据域并点击提交后,系 统将信息存入数据库 )等操作。在有些情况下,将用户输入的数据和设计好的 SQL拼接后提交给数据库执行,就可能存在用户输入的数据并非设计的正确格式,就给恶意用户提供了破坏的机会,即 SQ

19、L注入。恶意用户输入不期望的数据,拼接后提交给数据库执行,造成可能使用其他用户身份、查看其他用户的私密信息,还可能修改数据库的结构,甚至是删除应用的数据库表等严重后果。 SQL注入在使用 SSL,的应用中仍然存在,甚至是防火墙也无法防止 SQL注入。因此,在测试 Web应用时,需要认真仔细设计测试用例,进行认真严格的测试,以保证如果存在 SQL注入可以及早发现。 本系统测试时,设计测试如为:对打分和评价中任一字段设计包含 SQL功能符号,如包含 , OR、 -、 2015OR1=1等,检查结果是否造成注入问题。 许多Web应用系统在某些情况下,接收页面上传的内容,并入新页面,作为新页面的内容。

20、例如,在本系统中进行打分和评论后,学生查看时显示分值和评价的内容。如果用户可以输入如下带有 HTML标记的内容:即新用户所看到的网页中显示 Click me!,当用户鼠标移过此文字时,就会弹出窗口 (左侧为 Chrome弹出,右侧为 IE9直接给出的提示窗 口,多次鼠标滑过操作Chrome提示窗口多了一行浏览器对阻止这类代码的创建新窗口的选项, Firefox类似 ): 而如果这类代码都可以执行,就存在被真正恶意攻击者攻击的可能,而且可能造成各类安全问题。所以网站提交代码中的任何脚本、页面功能符号都不应该被直接接受以作为功能符号在后续使用。所以测试时需要考虑设计包含 HTML标记符、脚本等测试

21、输入,如 HTML、 script、 b等功能符号。 四、试题四( 15分) 11 【正确答案】 扇出数: 1 注释率: 28 6 (4 14) 嵌入式软件一般要求扇出 数不大于 7和注释率不小于 20,所以此函数扇出数和注释率均符合要求。 【试题解析】 本题考查软件测试的一些基本概念和通过代码审查查找软件缺陷以及设计测试用例的能力。 此题目要求考生认真阅读题目所给的软件设计说明信息和软件代码,熟悉结构体数据类型和不同代码覆盖率的要求,结合软件测试盼一些基本概念,在此嵌入式软件中进行实际应用。 扇出数指在结构图中,模块所属的直接下级模块个数,即本模块所调用的模块数目。模块的扇出数为 1。注释率

22、指代码中注释的行数与代码总行数的比率,即注释行数代码总行数 100所得的结果。 模块 的注释率为 4 14100 =28 6。为了保证软件的可维护性,嵌入式软件的相关标准中一般要求模块的扇出应控制在 7以下,注释的行数不得少于源程序总行数的 1 5。模块 的扇出数为 1,注释率为 28 6,均满足嵌入式软件的一般要求。 12 【正确答案】 【试题解析】 代码审查是不执行软件代码,而通过阅读软件代码发现代码可能存在的错误的过程。代码审查的测试内容包括检查代码和设计的一致性;检查代码执行标准的情况;检查代码逻辑表达的正确性;检查代码结构的合理性;检查代码的可读性。通过对说明的阅读,按照 说明中描述

23、的要求进行模块的代码审查。 阅读第 1行代码,函数返回值定义为 unsigned int;而在说明的第 (2)条描述了当输入参数异常时,函数返回 1;这样发现说明和代码不一致,显然代码定义的 unsigned int不能返回 1,此为第 1处错误。修改函数返回值的定义为int类型即可。 阅读第 4行代码,定义了无故障通道数目 counter,在定义时未进行初始化,并且在 11行使用前依然未初始化。这就导致 counter的初值为非确定值,可能出错,此为第 2处错误。在第 4行定义 counter时初始化为 0或者在使用前 进行初始化为 0均可。 第 5行代码对模块输入参数进行合法性检查, nu

24、m合法值为 1至 16;然后查找使用 num之处,在第 8行对 num进行了使用,但第 8行使用时却从 0开始,而且是小于等于 num,这就意味着如果第 5行 num值为最大值 16,在第 8行就需要循环判断 17次 (0到 16),而本题的说明中描述很清楚,最多就 16路通道,此为第 3处错误。但此问题的更改有两种方案,方案 1可以更改第 5行 num 16为 num =16,缩小此参数的合法范围:方案 2可以更改第 8行 n =num为 n num减少循环次数。 阅读第 10行代码,对每个 通道采集的双余度值进行有效性判断。按照说明,当余度设备采集值均不小于 45时,才表示该路通道正常;但

25、代码中使用当余度设备采集值均大于 45时,表示该路通道正常,在对边界点 45的处理上与说明不一致,此为第 4处错误。将第 10行代码中的两个“ ”符号修改为 “ =”即可与说明一致。 13 【正确答案】 【试题解析】 覆盖率是度量测试完整性的一个手段,也是度量测试有效性的一个手段。在嵌入式软件白盒测试过程中,通常以语句覆盖率、分支覆盖率和 MCDC覆盖率作为度量指标。语句覆盖率指程序中每条可执行语句至少被执行一次 。分支覆盖指程序中每个判定取所有可能值至少一次。 MC DC覆盖率指在一个程序中每一种输入输出至少应出现一次,在程序中的每一个条件必须产生所有可能的输出结果至少一次,并且每个判定中的

26、每个条件必须能够独立影响一个判定的输出,即在其他条件不变的前提下仅改变这个条件的值,而使判定结果改变。五、试题五( 15分) 14 【正确答案】 该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。 (2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。 (3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关

27、键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。 (4)Web安全攻击:攻击者通过跨站脚本或 SQL注入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意 SQL命令,从而旁路 系统正常访问控制或恶意盗取用户信息。 【试题解析】 软件系统的安全性是信息安全的一个重要组成部分,对于在线交易业务来说,安全性更是保证系统正常运行的重要因素,针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段,本题考查对安全保护措施进行安全性测试的相关知识。 本问题考查考生对常见安全攻击手段的了解。在解答本问题时,应结合电子商务平台的业务特征及题目中给出的安全中心主要功能,给出

28、需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括: (1)网络侦听:指在数据通信或数据 交互的过程中,攻击者对数据进行截取分析,从而实现对包括用户支付账号及口令数据的非授权获取和使用。 (2)冒充攻击:攻击者采用口令猜测、消息重演与篡改等方式,伪装成另一个实体,欺骗安全中心的认证及授权服务,从而登录系统,获取对系统的非授权访问。 (3)拒绝服务攻击:攻击者通过对网络协议的实现缺陷进行故意攻击,或通过野蛮手段耗尽被攻击对象的资源,使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃,从而使系统无法提供正常的服务或资源访问。 (4)Web安全攻击:攻击者通过跨站脚本或 SQL注

29、入等攻击手段,在电子商务平台系统网页中植入恶意代码或在表单中提交恶意 SQL命令,从而旁路系统正常访问控制或恶意盗取用户信息。 15 【正确答案】 可采用的基本安全性测试方法包括: (1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。 (2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害 之前,发现并加以防范。 (3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安

30、全中心的安全防护能力。 (4)侦听测试:通过典型的网络数据包获取技术,在系统数据通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。 【试题解析】 本问题考查考生对安全测试基本方法的理解。在解答本问题时,应针对电子商务平台的业务特征及题目中给出的安全中心主要功能,给出相应的安全性测试方法。针对安全中心的安全性测试,可采用的基本安全性 测试方法包括: (1)功能验证:采用软件测试中的黑盒测试方法,对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试,验证所提供的相应功能是否有效。 (2)漏洞扫描:借助于特定的漏洞扫描工具,对安全中心本

31、地主机、网络及相应功能模块进行扫描,发现系统中存在的安全性弱点及安全漏洞,从而在安全漏洞造成严重危害之前,发现并加以防范。 (3)模拟攻击试验:模拟攻击试验是一组特殊的黑盒测试案例,通过模拟典型的安全攻击来验证安全中心的安全防护能力。 (4)侦听测试:通过典型的网络数据包获取技术,在系统数据 通信或数据交互的过程中,对数据进行截取分析,从而发现系统在防止敏感数据被窃取方面的安全防护能力。 16 【正确答案】 密钥管理功能的基本测试点: (1)功能测试 系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能; 密钥库管理功能是否完善: 密钥管理中心的系统、设备、数据、人

32、员等安全管理是否严密; 密钥管理中心的审计、认证、恢复、统计等系统管理是否具备; 密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。 (2)性能测试 检查证书服务器的处理性能 是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求; 测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能; 是否支持密钥用户要求年限的保存期; 是否具备异地容灾备份; 是否具备可伸缩配置及扩展能力; 关键部分是否采用双机热备和磁盘镜像。 【试题解析】 本问题考查密钥管理功能安全测试内容的相关知识。 按题目描述,密钥

33、管理功能包括公钥加密体系中的公钥及私钥生成与管理,会话密钥的协商、生成、更新及分发等,因 此密钥管理功能的安全测试应涵盖相应主要功能的测试,此外,对于本系统还应进行相应的性能测试。 功能测试的基本测试点包括系统是否制定了密钥管理策略;系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能;密钥库管理功能是否完善;密钥管理中心的系统、设备、数据、人员等安全管理是否严密;密钥管理中心的审计、认证、恢复、统计等系统管理是否具备;密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议等。性能测试的基本测试点包括利用并发压力测试工具测试受理点连接数、签发在用证书数目、

34、密钥发放并发请求数是否满足业务需求;测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能;是否支持密钥用户要求年限的保存期;是否具备异地容灾备份;是否具备可伸缩配置及扩展能力;关键部分是否采用双机热备和磁盘镜像等。 17 【正确答案】 加解密服务功能的基本测试点: (1)功能测试 系统是否具备基础加解密功能; 能否为应用提供相对稳定的统一安全服务接口; 能否提供对多密码算法的支持; 随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展。 (2)性能测试 各加 密算法使用的密钥长度是否达到业内安全的密钥长度; RSA、 ECC等公钥算法的签名和验证速度以及

35、AES等对称密钥算法的加解密速度是否满足业务要求; 处理性能如公钥密码算法签名等是否具备可扩展能力。 【试题解析】 本问题考查加解密服务功能安全测试内容的相关知识。 按题目描述,加解密服务功能包括基于 RSA、 ECC及 AES等多密码算法的基本加解密服务,因此加解密服务功能的安全测试应涵盖基本加解密算法相应的功能测试与性能测试。 功能测试的基本测试点包括系统是否具备基础加解密功能;能否为应用提供相对稳定的统一 安全服务接口;能否提供对多密码算法的支持;随着业务量的逐渐增加,是否可以灵活增加密码服务模块,实现性能平滑扩展等。性能测试的基本测试点包括各加密算法使用的密钥长度是否达到业内安全的密钥长度; RSA、 ECC等公钥算法的签名和验证速度以及 AES等对称密钥算法的加解密速度是否满足业务要求;处理性能如公钥密码算法签名等是否具备可扩展能力等。

展开阅读全文
相关资源
猜你喜欢
相关搜索

当前位置:首页 > 考试资料 > 职业资格

copyright@ 2008-2019 麦多课文库(www.mydoc123.com)网站版权所有
备案/许可证编号:苏ICP备17064731号-1