[计算机类试卷]软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷15及答案与解析.doc

资源描述

1、软件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 15及答案与解析 1 需求管理的主要目的不包括下列中的 (1)。（ A）确保项目相关方对需求的一致理解（ B）减少需求变更的数量（ C）保持需求到最终产品的双向追踪（ D）确保最终产品与需求相符合 2 需求变更提出宋之后，接着应该进行下列中的 (2)。（ A）实施变更（ B）验证变更（ C）评估变更（ D）取消变更 3 需求跟踪矩阵的作用是 (3)。（ A）可以体现需求与后续工作成果之间的对应关系（ B）固化需求，防止变更（ C）明确项目干系人对于需求的责任（ D）对于需求复杂的项目，可以用来明确

2、需求 4 关于需求管理的描述，不正确的是 (4)。（ A）需求管理要确保利益相关方对需求的一致理解（ B）需求管理要获取用户需求并定义产品需求（ C）需求管理要与需求开发紧密合作（ D）需求管理要取得利益相关方对需求的一致承诺 5 在需求变更管理中， CCB的职责是 (5)。（ A）决定采纳或拒绝针对项目需求的变更请求（ B）负责实现需求变更（ C）分析变更请求所带来的影响（ D）判定变更是否正确地实现 6 以下关于需求管理的描述中，不正确的是 (8)。（ A）在获取用户需求完毕后，才能分析用户需求（ B）通过原型向用户提供可视化的界面，用户可以对需求做出自己的评价（

3、C）需求验证是为了确保需求说明书准确、完整地表达必要的质量特点（ D）当完成需求说明书后，需求的变更是不可避免的 7 下面关于需求变更的叙述，不正确的是 (9)。（ A）控制需求变更就是要拒绝用户提出的需求，以保证工程实现核心目标（ B）只有建立了基线才能很好地实施变更（ C）需求变更应以规定格式提出，并统一提交到变更控制委员会（ D）应定期评估需求变更对项目进度、成本、质量等绩效的影响 8 在各种不同的信息系统需求中， (10)描述了用户使用产品必须要完成的任务，可以在用例模型中予以说明。（ A）业务需求（ B）非功能需求（ C）用户需求（ D）功能需求 9 信息系统需求

4、说明书是需求分析阶段的成果， (11)不是其应包含的内容。（ A）数据描述（ B）功能描述（ C）系统结构描述（ D）性能描述 10 某公司为便于员工在家里访问公司的一些数据，允许员工通过 Internet访问公司的 FTP服务器，如图 18-1所示。为了能够方便地实现这一目标，决定在客户机与 FTP服务器之间采用 (1)协议，在传输层对数据进行加密。该协议是一个保证计算机通信安全的协议，客户机与服务器之间协商相互认可的密码发生在 (2)。（ A） SSL （ B） Ipsec （ C） PPTP （ D） TCP （ A）接通阶段（ B）密码交换阶段（ C）会谈密码阶段（ D

5、）客户认证阶段 12 关于 Kerberos和 PKI两种认证协议的叙述中正确的是 (5)，在使用 Kerberos认证时，首先向密钥分发中心发送初始票据 (6)来请求会话票据，以便获取服务器提供的服务。（ A） Kerberos和 PKI都是对称密钥（ B） Kerberos和 PKI都是非对称密钥（ C） Kerberos是对称密钥，而 PKI是非对称密钥（ D） Kerberos是非对称密钥，而 PKI是对称密钥（ A） RSA （ B） TGT （ C） DES （ D） LSA 14 为了保障数据的存储和传输安全，需要对一些重要数据进行加密。由于对称密码算法 (7)，所以

6、特别适合对大量的数据进行加密。国际数据加密算法 IDEA的密钥长度是 (8)位。（ A）比非对称密码算法更安全（ B）比非对称密码算法密钥长度更长（ C）比非对称密码算法效率更高（ D）还能同时用于身份认证（ A） 56 （ B） 64 （ C） 128 （ D） 256 16 结构化分析方法 (SA)是一种预先严格定义需求的方法，强调分析对象的 (39)，其指导思想是 (40)。（ A）程序流（ B）指令流（ C）控制流（ D）数据流（ A）自顶向下逐层分解（ B）自底向上逐层分解（ C）面向对象（ D）面向过程（ A）数据流图 (DFD) （ B）过程层次图 (

7、PHD) （ C）过程活动图 (PAD) （ D）过程关系图 (PRD) （ A）数据流图 (DFD) （ B）过程层次图 (PHD) （ C）过程活动图 (PAD) （ D）甘特图 (Gantte) 20 在使用 UML建模时，若需要描述跨越多个用例的单个对象的行为，使用 (56)是最为合适的。 UML结构包括了基本构造块、公共机制和 (57)。 UML中提供了扩展机制，其中，构造型 (Stereotype)扩展了 UML的 (58)，约束 (Constraint)扩展了UML(59)。（ A）协作图 (Collaboration Diagram) （ B）序列图 (Sequence Di

8、agram) （ C）活动图 (Activity Diagram) （ D）状态图 (State Diagram) （ A）把这些构造块放在一起的规则（ B）图形或文字修饰（ C）类与对象的划分以及接口与实现的分离（ D）描述系统细节的规格说明（ A）构造块的特性，允许创建详述元素的新信息（ B）构造块的语义，允许增加新的规则或修改现有的规则（ C）语义，允许创建新的构造块（ D）词汇，允许创建新的构造块（ A）构造块的特性，允许创建详述元素的新信息（ B）构造块的语义，允许增加新的规则或修改现有的规则（ C）语义，允许创建新的构造块（ D）词汇，允许创建新的构造块软

9、件水平考试（高级）信息系统项目管理师上午（综合知识）试题章节练习试卷 15答案与解析 1 【正确答案】 B 【试题解析】需求管理的目的是在用户和将处理用户需求的信息系统项目之间建立对用户需求的共同理解。需求管理包括和用户一起建立与维护有关信息系统项目需求的协议，该协议称作 “分配给信息系统的系统需求 ”。协议既包括技术需求，又包括非技术需求 (例如，交付日期 )。该协议形成估计、策划和跟踪整个信息系统生存周期内项目活动的基础。需求管理的目标主要体现在三个方面： (1)确保项目各方对需求的一致理解。 (2)管理和控制需求的变更，确保最终产品与需求相符合。 (3)从需求到最终产品的双向追踪。

10、2 【正确答案】 C 【试题解析】需求变更的管理控制程序一般如下： (1)建立需求基线、变更控制策略和变更控制系统。只有建立了基线才能很好地实施变更，否则无法控制。没有参照标准，也就没有控制而言；变更控制策略和变更控制系统同样重要，是变更的控制标准和手段，有良好的可行的变更控制系统，可以达到事半功倍的效果。这里需要特别强调的是，变更控制系统并非都要用计算机信息系统来实现，格式化的表格、流程图和制度组合起来也是一套很好的变更控制系统。 (2)需求变更以规定格式提出。需求变更应以规定格式提出，并统一提交到 CCB。需求变更一定要 CCB 统一管理，不能出现多头管理。以规定格式提出需求变更，是为

11、了保证需求的明确性、可实现性和无二义性。 (3)CCB 对需求进行评估论证。 CCB 接收到需求变更申请后，应评估变更的技术可行性、代价、业务需求和资源限制，决定是采纳还是拒绝。 (4)需求变更以书面方式获得批准并修改进度和成本等项目计划。 CCB 应给每一个采纳的变更需求设定一个优先级或变更实现的日期，项目管理团队对人员、进度计划、成本计划进行变更，并通知到相关的项目干系人。 (5)定期评估需求变更对项目绩效的影响。应定期评估需求变更对项目进度、成本、质量等绩效的影响，以便及时对偏差进行调整，并为后续的需求变更不断积累数据和经验。以上第一项工作是工程项目准备阶段就应该做的整体准备工作，后面

12、的第二到第五的 4项工作针对每个需求变更都是要顺序执行的。 3 【正确答案】 A 【试题解析】需求跟踪包括编制每个需求同系统元素之间的联系文档，这些元素包括别的需求、体系结构、其他设计部件、源代码模块、测试、帮助文档等。需求跟踪信息使变更影响分析十分便利，有利于确认和评估某个建议的需求变更所必须做的工作。图 15-1说明了四类需求跟踪能力链，客户需求可以向前追溯到需求，这样就能区分出开发过程中或开发结束后由于需求变更受到影响的需求。同时也确保了需求说明包括所有客户需求，同样，可以从需求回溯到相应的客户需求，确认每个需求的源头。表示需求和别的系统元素之间的联系链的最普遍的方式是使用需求跟

13、踪能力矩阵，表 15-1展示了这个矩阵。需求跟踪提供了一个表明与合同或说明一致的方法。更进一步，需求跟踪可以改善产品质量，降低维护成本，而且很容易实现重用。实际上，创建需求跟踪能力是困难的，尤其是在短期之内会造成开发成本的上升，虽然从长远来看可以减少信息系统生存期的费用。组织在实施这项能力的时候应循序渐进，逐步实施需求跟踪矩阵并没有规定的实现办法，每个团体注重的方面不同，所创建的需求跟踪矩阵也不同，只要能够保证需求链的一致性和状态的跟踪就达到目的了。 4 【正确答案】 B 【试题解析】需求工程的活动可分为两大类：一类属于需求开发，另一类属于需求管理。需求开发的目的是通过调查与分析，获取

14、用户需求并定义产品需求，需求开发的过程有四个：需求定义、需求获取、需求分析和需求验证。需求管理的目的是确保各方对需求的一致理解，管理和控制需求的变更，从需求到最终产品的双向跟踪。在需求管理中，要收集需求的变更和变更的理由，并且维持对原有需求和产品及构件需求的双向跟踪。 5 【正确答案】 A 【试题解析】变更控制委员会 (Change Control Board， CCB)也可称为配置控制委员会 (Configuration Control Board)，是配置项变更的监管组织。其任务是对建议的配置项变更做出评价、审批，以及监督已批准变更的实施。 CCB 的成员通常包括项目经理、用户代表、质

15、量控制人员、配置控制人员。这个组织不必是常设机构，完全可以根据工作的需要组成。例如，按变更内容和变更请求的不同，组成不同的 CCB。小的项目 CCB 可以只有 1人甚至只是兼职人员。如果CCB 不只是控制变更，而是承担更多的配置管理任务，那就应该包括基线的审定、标识的审定，以及产品的审定，并且可能实际的工作需分为项目层、系统层和组织层来组建，使其完成不同层面的配置管理任务。 6 【正确答案】 A 【试题解析】在很多情形下，分析用户需求是与获取用户需求并行的，主要通过建立模型的方式来描述用户的需求，为客户、用户、开发方等不同参与方提供一个交流的渠道。这些模型是对需求的抽象，以可视化的方式提供一

16、个易于沟通的桥梁。用户需求的分析与获取用户需求有着相似的步骤，区别在于分析用户需求时使用模型来描述，以获取用户更明确的需求。分析用户需求需要执行下列活动： (1)以图形表示的方式描述系统的整体结构，包括系统的边界与接口： (2)通过原型、页面流或其他方式向用户提供可视化的界面，用户可以对需求做出自己的评价： (3)系统可行性分析，需求实现的技术可行性、环境分析、费用分析、时间分析等： (4)以模型描述系统的功能项、数据实体、外部实体、实体之间的关系、实体之间的状态转换等方面的内容。需求验证是为了确保需求说明书准确、完整地表达必要的质量特点。这里需要强调的是，在需求验证过程和评审过程中，客户的

17、参与是非常重要的。对需求文档进行正式审查是保证产品质量的有效方法，组织一个由分析人员、客户、设计人员、测试人员等组成的小组，对其进行仔细的检查和评审。如果有必要的话，还可以组织公司外的、行业内的专家评审。一般的评审分为用户评审和同行评审两类。用户和开发方对于项目内容的描述，是以需求规格说明书作为基础的：用户验收的标准则是依据需求规格说明书中的内容来制定，可见，评审需求文档时用户的意见是第一位的。而同行评审的目的，是在项目初期发现那些潜在的缺陷或错误，避免这些错误和缺陷遗漏到项目的后续阶段。当完成需求说明书后，需求的变更是不可避免的，如何以可控的方式管理信息系统的需求，对项目的顺利进行有着重要

18、的意义。对于需求变更的管理，则主要使用需求变更流程和变更控制委员会两个手段来实现。如果需要对每项变更带来的潜在影响及可能的成本费用、进度质量进行评估，变更控制委员会应与项目风险承担者进行协商，以确定哪些需求可以变更。同时无论在开发阶段还是测试阶段，每项变更和需求都是可跟踪的。 7 【正确答案】 A 【试题解析】需求变更应以其可行性为基础，对其有效控制非常重要，否则将会导致工期、成本、质量不断扩大，对工程的成功影响较大。作为项目管理师要充分认识到这点，而且要将其重要性不断灌输给工程的客户、各施工方等所有干系人，特别是让客户认识到，有时控制需求变更不是拒绝用户，而是为了保证工程实现核心目标，达

19、到预期的成功目标，当然控制需求变更也不是一味拒绝用户提出的需求。 8 【正确答案】 C 【试题解析】开发信息系统最为困难的部分就是准确说明开发什么。最为困难的概念性工作便是编写出详细的技术需求，这包括所有面向用户、面向机器和其他系统的接口。同时，这也是一旦出错，将最终会给系统带来极大困难的部分，并且以后再对它进行修改也极为困难。信息系统需求可以分为几个层次，分别如下。 (1)业务需求 (Business Requirements)。反映组织结构或客户对系统、产品高层次的目标要求，它们在项目视图与范围文档中予以说明。 (2)用户需求 (User Requirements)。描述用户使用产品必

20、须完成的任务，在用例文档或方案场景 (scenario)说明中予以说明。 (3)功能需求 (Functional Requirements)。定义开发人员必须实现的信息系统功能，使得用户能完成他们的任务，从而满足业务需求。 (4)非功能需求 (None-Functional Requirements)。描述系统展现给用户的行为和执行的操作等。包括： .产品必须遵循的标准、规范和合约： .外部界面的具体细节； .性能要求； .设计或实现的约束条件； .质量属性。 9 【正确答案】 C 【试题解析】信息系统需求说明书是需求分析阶段的成果，不仅是系统测试和用户文档的基础，也是所有子系列项目规划、

21、设计和编码的基础。它应该尽可能完整地描述系统预期的外部行为和用户可视化行为。除了设计和实现上的限制，信息系统需求规格说明不应该包括设计、构造、测试或工程管理的细节。可以使用以下 3种方法编写信息系统需求规格说明。 (1)用好的结构化和自然语言编写文本型文档。 (2)建立图形化模型，这些模型可以描绘转换过程、系统状态和它们之间的变化、数据关系、逻辑流或对象类和它们的关系。 (3)编写形式化规格说明，这可以通过使用数学上精确的形式化逻辑语言来定义需求。由于形式化规格说明具有很强的严密性和精确度，因此，所使用的形式化语言只有极少数开发人员才熟悉，更不用说客户了。虽然结构化的自然语言具有许多缺点，但

22、在大多数信息系统工程中，它仍是编写需求文档最现实的方法。包含了功能和非功能需求的基于文本的信息系统需求规格说明已经为大多数项目所接受。图形化分析模型通过提供另一种需求视图，增强了信息系统需求规格说明。 10 【正确答案】 A 11 【正确答案】 B 【试题解析】这里指明了 “在传输层对数据进行加密 ”，因此，应该选择 SSL协议。 SSL(Security Socket Layer)协议是 Netscape Communication 开发的传输层安全协议，用于在 Internet上传送机密文件。 SSL协议由 SSL 记录协议、 SSL握手协议和 SSL 警报协议组成。 SSL 握手协议被

23、用来在客户机与服务器真正传输应用层数据之前建立安全机制，当客户机与服务器第一次通信时，双方通过握手协议在版本号、密钥交换算法、数据加密算法和 Hash 算法上达成一致，然后互相验证对方身份，最后使用协商好的密钥交换算法产生一个只有双方知道的秘密信息，客户机和服务器各自根据该秘密信息产生数据加密算法和 Hash算法参数。SSL记录协议根据 SSL 握手协议协商的参数，对应用层送来的数据进行加密、压缩、计算消息鉴别码，然后经网络传输层发送给对方。 SSL警报协议用来在客户机和服务器之间传递 SSL 出错信息。 SSL协议主要提供三方面的服务。 (1)用户和服务器的合法性认证。认证用户和服务器的合

24、法性，使它们能够确信数据将被发送到正确的客户机和服务器上。客户机和服务器都是有各自的识别号，这些识别号由公开密钥进行编号；为了验证用户是否合法， SSL协议要求在握手交换数据时进行数字认证，以此来确保用户的合法性。 (2)加密数据以隐藏被传送的数据。SSL协议所采用的加密技术既有对称密钥技术，也有公开密钥技术。在客户机与服务器进行数据交换之前，交换 SSL初始握手信息，在 SSL 握手信息中采用了各种加密技术对其进行加密，以保证其机密性和数据的完整性，并且用数字证书进行鉴别，这样就可以防止非法用户进行破译。 (3)保护数据的完整性。 SSL协议采用 Hash 函数和机密共享的方法来提供信息的

25、完整性服务，建立客户机与服务器之间的安全通道，使所有经过 SSL 协议处理的业务在传输过程中能全部完整准确无误地到达目的地。 SSL协议是一个保证计算机通信安全的协议，对通信对话过程进行安全保护，其实现过程主要经过如下几个阶段。 (1)接通阶段：客户机通过网络向服务器打招呼，服务器回应； (2)密码交换阶段；客户机与服务器之间交换双方认可的密码，一般选用 RSA密码算法，也有的选用 Diffie-Hellmanf 和Fortezza-KEA密码算法； (3)会谈密码阶段：客户机与服务器间产生彼此交谈的会谈密码； (4)检验阶段：客户机检验服务器取得的密码； (5)客户认证阶段：服务器验证客户

26、机的可信度； (6)结束阶段：客户机与服务器之间相互交换结束的信息。当上述动作完成之后，两者间的资料传送就会加密，另外一方收到资料后，再将编码资料还原。即使盗窃者在网络上取得编码后的资料，如果没有原先编制的密码算法，也不能获得可读的有用资料。发送时信息用对称密钥加密，对称密钥用不对称算法加密，再把两个包绑在一起传送过去。接收的过程与发送正好相反，先打开有对称密钥的加密包，再用对称密钥解密。因此， SSL 协议也可用于安全电子邮件。在电子商务交易过程中，由于有银行参与，按照 SSL协议，客户的购买信息首先发往商家，商家再将信息转发银行，银行验证客户信息的合法性后，通知商家付款成功，商家再通知客

27、户购买成功，并将商品寄送客户。 12 【正确答案】 C 13 【正确答案】 B 【试题解析】 Kerberos 是由 MIT 发明的，为分布式计算环境提供一种对用户双方进行验证的认证方法。它的安全机制在于首先对发出请求的用户进行身份验证，确认其是否是合法的用户：如果是合法的用户，再审核该用户是否有权对他所请求的服务或主机进行访问。从加密算法上来讲，其验证是建立在对称加密的基础上的。它采用可信任的第三方，密钥分配中心 (KDC)保存与所有密钥持有者通信的保密密钥，其认证过程颇为复杂，下面简化叙述之。首先客户 (C)向 KDC发送初始票据 TGT，申请访问服务器 (S)的许可证。 KDC确认合法客

28、户后，临时生成一个 C与 S通信时用的保密密钥 Kcs，并用 C的密钥 Kc 加密 Kcs后传给C，并附上用 S 的密钥 Ks 加密的 “访问 S 的许可证 Ts，内含 Kcs”。当 C收到上述两信件后，用他的 Kc 解密获得 Kcs，而把 Ts 原封不动地传给 S，并附上用 Kcs加密的客户身份和时间；当 S收到这两信件后，先用他的 Ks 解密 Ts获得其中的 Kcs，然后用这 Kcs 解密获得客户身份和时间，告之客户成功。之后 C和 S 用 Ksc加密通信信息。 Kerberos系统在分布式计算环境中得到了广泛的应用是因为它具有以下的特点。 (1)安全性高： Kerberos 系统对用

29、户的口令进行加密后作为用户的私钥，从而避免了用户的口令在网络上显示传输，使得窃听者难以在网络上取得相应的口令信息； (2)透明性高：用户在使用过程中，仅在登录时要求输入口令，与平常的操作完全一样， Kerberos 的存在对于合法用户来说是透明的； (3)可扩展性好： Kerberos 为每一个服务提供认证，确保应用的安全。 Kerberos系统和看电影的过程有些相似，不同的是只有事先在 Kerberos 系统中登录的客户才可以申请服务，并且 Kerberos要求申请到入场券的客户就是到 TGS(入场券分配服务器 )去要求得到最终服务的客户。 Kerberos 有其优点，同时也有其缺点，主要

30、是：(1)Kerberos 服务器与用户共享的秘密是用户的口令字，服务器在回应时不验证用户的真实性，假设只有合法用户拥有口令字。如攻击者记录申请回答报文，就易形成代码本攻击。 (2)AS和 TGS 是集中式管理，容易形成瓶颈，系统的性能和安全也严重依赖于 AS和 TGS 的性能和安全。在 AS 和 TGS 前应该有访问控制，以增强 AS 和 TGS 的安全； (3)随用户数增加，密钥管理较复杂。 Kerberos 拥有每个用户的口令字的散列值， AS 与 TGS 负责用户间通信密钥的分配。当 N个用户想同时通信时，仍需要 N(N-1)/2个密钥。 PKI(Public Key Infrast

31、ructure，公共密钥基础设施 )是 CA 安全认证体系的基础，为安全认证体系进行密钥管理提供了一个平台，它是一种新的网络安全技术和安全规范。它能够为所有网络应用透明地提供采用加密和数字签名等密码服务所必需的密钥和证书管理。 PKI包括认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。 PKI 可以实现 CA和证书的管理；密钥的备份与恢复；证书、密钥对的自动更换：交叉认证：加密密钥和签名密钥的分隔；支持对数字签名的不可抵赖性；密钥历史的管理等功能。 PKI技术的应用可以对认证、机密性、完整性和抗抵赖性方面发挥出重要的作用。 (1)认证；是指对网络中信息

32、传递的双方进行身份的确认。 (2)机密性：是指保证信息不泄露给未经授权的用户或不供其利用。 (3)完整性：是指防止信息被未经授权的人篡改，保证真实的信息从真实的信源无失真地传到真实的信宿。 (4)抗抵赖性：是指保证信息行为人不能够否认自己的行为。而 PKI 技术实现以上这些方面的功能主要是借助 “数字签名 ”技术，数字签名是维护网络信息安全的一种重要方法和手段，在身份认证、数据完整性、抗抵赖性方面都有重要应用，特别是在大型网络安全通信中的密钥分配、认证，以及电子商务、电子政务系统中有重要作用。它是通过密码技术对电子文档进行电子形式的签名，是实现认证的重要工具。数字签名是只有信息发送方才能够进

33、行的签名，是任何他人无法伪造的一段数字串，这段特殊的数字串同时也是对相应的文件和信息真实性的一个证明。签名是确认文件的一种手段，一般书面手工签名的作用有两个：一是因为自己的签名难以否认，从而确认了文件已签署的这一事实；二是因为签名不易仿冒，从而确认了文件是真实的这一事实。采用数字签名也能够确认以下两点：一是信息是由签名者发送的；二是信息自签发到收为止，没做任何修改。数字签名的特点是它代表了文件的特征。文件如果发生变化，数字签名的值也将发生变化，不同的文件将得到不同的数字签名。数字签名是通过 Hash函数与公开密钥算法来实现的，其原理是： (1)发送者首先将原文用Hash 函数生成 128位的

34、数字摘要； (2)发送者用自己的私钥对摘要再加密，形成数字签名，把加密后的数字签名附加在要发送的原文后面； (3)发送者将原文和数字签名同时传给对方； (4)接收者对收到的信息用 Hash 函数生成新的摘要，同时用发送者的公开密钥对信息摘要进行解密： (5)将解密后的摘要与新摘要对比，如两者一致，则说明传送过程中信息没有被破坏或篡改。如果第三方冒充发送方发送了一个文件，因为接收方在对数字签名进行解密时使用的是发送方的公开密钥，只要第三方不知道发送方的私用密钥，解密出来的数字摘要与计算机计算出来的新摘要必然是不同的。这就提供了一个安全的确认发送方身份的方法。数字签名有两种，一种对整体信息的签名

35、，它是指经过密码变换的被签名信息整体；另一种是对压缩信息的签名，它是附加在被签名信息之后或某一特定位置上的一段签名图样。若按照明、密文的对应关系划分，每一种又可以分为两个子类，一类是确定性数字签名，即明文与密文一一对应，它对一个特定信息的签名不变化，如RSA签名；另一类是随机化或概率化数字签名，它对同一信息的签名是随机变化的，取决于签名算法中的随机参数的取值。一个明文可能有多个合法数字签名。一个签名体制一般包含两个组成部分：签名算法和验证算法。签名算法或签名密钥是秘密的，只有签名人掌握。验证算法是公开的，以便他人进行验证。信息签名和信息加密有所不同，信息加密和解密可能是一次性的，它要求在解密

36、之前是安全的。而一条签名的信息可能作为一个法律上的文件，如合同，很可能在对信息签署多年之后才验证其签名，且可能需要多次验证此签名。因此，签名的安全性和防伪造的要求更高些，并且要求证实速度比签名速度还要快些，特别是联机在线实时验证。随着计算机网络的发展，过去依赖于手书签名的各种业务都可用电子数字签名代替，它是实现电子政务、电子商务、电子出版等系统安全的重要保证。另外，基于 PKI 如果要实现数据的保密性，可以在将 “原文 +数字签名 ”所构成的信息包用对方的公钥进行加密，这样就可以保证对方只能够使用自己的私钥才能够解密，从而达到保密性要求。 14 【正确答案】 C 15 【正确答案】 C 【试

37、题解析】数据加密即是对明文 (未经加密的数据 )按照某种加密算法 (数据的变换算法 )进行处理，而形成难以理解的密文 (经加密后的数据 )。即使是密文被截获，截获方也无法或难以解码，从而防止泄露信息。数据加密和数据解密是一对可逆的过程，数据加密是用加密算法 E 和加密密钥 K1 将明文 P变换成密文 C，表示为： C=EK1(P)。数据解密是数据加密的逆过程，用解密算法 D和解密密钥K2，将密文 C转换成明文 P，表示为： P=Dk2(C)。按照加密密钥 K1 和解密密钥K2 的异同，有两种密钥体制。 (1)秘密密钥加密体制 (K1=k1)：加密和解密采用相同的密钥，因而又称为对称密码体制

38、。因为其加密速度快，通常用来加密大批量的数据。典型的方法有日本 NTT公司的快速数据加密标准 (FEAL)、瑞士的国际数据加密算法 (IDEA)和美国的数据加密标准 (DES)。 DES(数据加密标准 )是国际标准化组织 (ISO)核准的一种加密算法，自 1976年公布以来得到广泛的应用，但近年来对它的安全性提出了疑问， 1986年美国政府宣布不再支持 DES 作为美国国家数据加密标准，但同时又不准公布用来代替 DES的加密算法。一般 DES 算法的密钥长度为 56位。为了加速 DES 算法和 RSA算法的执行过程，可以用硬件电路来实现加密和解密。针对 DES 密钥短的问题，科学家又研制了

39、80位的密钥，以及在DES 的基础上采用三重 DES 和双密钥加密的方法。即用两个 56位的密钥 K1、K2，发送方用 K1 加密， K2 解密，再使用 K1 加密。接收方则使用 K1 解密， K2 加密，再使用 K1 解密，其效果相当于将密钥长度加倍。 (2)公开密钥加密体制(K1k2)：又称非对称密码体制，其加密和解密使用不同的密钥：其中一个密钥是公开的，另一个密钥是保密的。典型的公开密钥是保密的。发送者利用不对称加密算法向接收者传送信息时，发送者要用接收者的公钥加密，接收者收到信息后，用自己的私钥解密读出信息。由于加密速度较慢，所在往往用在少量数据的通信中。典型的公开密钥加密方法有 R

40、SA、 ECC等。 RSA算法的密钥长度为 512位。 RSA算法的保密性取决于数学上将一个大数分解为两个素数的问题的难度，根据已有的数学方法，其计算量极大，破解很难。但是加密 /解密时要进行大指数模运算，因此加密 /解密速度很慢，影响推广使用。 ECC(Elliptic Curve Cryptography，椭圆曲线密码 )也是非对称密码，加解密使用不同的密钥 (公钥和私钥 )，它们对计算资源的消耗较大，适合于加密非常少量的数据，例如，加密会话密钥。它是被美国国家安全局选为保护机密的美国政府资讯的下一代安全标准。这种密码体制的诱人之处在于安全性相当的前提下，可使用较短的密钥。而且它是建立在

41、一个不同于大整数分解及素域乘法群而广泛为人们所接受的离散对数问题的数学难题之上。同时，椭圆曲线资源丰富，同一个有限域上存在着大量不同的椭圆曲线，这为安全性增加了额外的保证，也为软、硬件实现带来方便。国际数据加密算法 (IDEA)在 1990，年正式公布。这种算法是在 DES算法的基础上发展起来的，类似于三重 DES。发展 IDEA也是因为感到 DES 具有密钥太短等缺点， IDEA的密钥为 128位，这么长的密钥在今后若干年内应该是安全的。 1993年 4月16日，美国政府推出了 clipper密码芯片，该芯片采用美国国家安全局设计的Skipjack 加密算法。采用 Clipper的加密体制

42、能为信息传输提供高等级的安全和保密，该体制是以防篡改硬件器件 (Clipper芯片 )和密钥 Escrow(第三方托管 )系统为基础的。 1994年 2月 14 日，美国政府宣布了 Escrow 加密标准，其加密算法使用Skopjack。该算法采用 80位密钥和合法强制访问字段 (Law Enforcement Access Field, LEAF)，以便在防篡改芯片和硬件上实现。由于使用了 80位的密钥， Skipjack 算法具有较高的强度。 16 【正确答案】 D 17 【正确答案】 A 【试题解析】结构化分析是面向数据流进行需求分析的方法，适用于数据处理类型软件的需求分析。具体来说

43、，结构化分析就是用抽象模型的概念，按照软件内部数据传递、变换的关系，自顶向下逐层分解，直至找到满足功能要求的所有可实现的软件为止。在业务领域分析过程中，通过建立实体联系图，把与业务相关的数据模型化；通过建立 (41)来表示业务活动的分解过程；两个业务过程之间的相互依赖关系应记录在过程依赖图中；通过建立 (42)详细说明整个业务过程的逻辑。 18 【正确答案】 B 19 【正确答案】 C 【试题解析】在业务领域分析过程中，通过建立实体联系图，把与业务相关的数据模型化；通过建立过程层次图来表示业务活动的分解过程；两个业务过程之间的相互依赖关系应记录在过程依赖图中；通过建立过程活动图来详细说明整

44、个业务过程的逻辑。 20 【正确答案】 D 21 【正确答案】 A 22 【正确答案】 D 23 【正确答案】 B 【试题解析】 UML 结构包括 UML 的基本构造块、支配这些构造块如何放在一起的规则和一些运用于整个 UML 的机制。 UML 中有 3种基本构造块，分别是事物、关系和图。 UML用于描述事物的语义规则分别是：为事物、关系和图命名；给一个名字以特定含义的语境，即范围：怎样使用或看见名字，即可见性；事物如何正确、一致地相互联系，即完整性；运行或模拟动态模型的含义是什么，即执行。另外， UML 还允许在一定的阶段隐藏模型的某些元素、遗漏某些元素，以及不保证模型的完整性，但模型逐步

45、要达到完整和一致。 UML 有 4种在整个语言中一致应用的机制，使得该语言变得较为简单。这 4种机制是详细说明、修饰、通用划分和扩展机制。 UML 提供了丰富的建模概念和表示符号以满足典型的软件开发，但是，由于用户有时候需要另外的概念或符号来表示其特定领域的需求，因此，需要 UML 具有一定的扩充能力。 UML 提供了 3种嵌入的扩充机制：Stereotypes(构造型 )、 Constraints(约束 )和 Tagged values(标记值 )。其中Stereotypes是 UML 中最重要的扩充机制，通过扩展 UML 的词汇，提供了一种在模型中加入新的构造块的方式， Constraints是对构造块的语义上的限制，使我们可以增加新的规则和修改现有的规则。利用标记值可以扩展 UML 构造块的特性，可以根据需要来创建详述元素的新元素。

展开阅读全文