2022软件水平考试-中级软件评测师考试全真模拟卷40（附答案带详解）

2022软件水平考试-中级软件评测师考试全真模拟卷（附答案带详解）1. 判断题：嵌入式软件可分为系统软件，支撑软件（中间件）和应用软件三类，其中系统软件属于最底层，包括操作系统和数据库管理系统。答案：正确 本题解析：暂无解析2. 判断题：一般情况下，PCB结构都是全部或者部分常驻内存的。答案：正确 本题解析：暂无解析3. 问答题：【说明】为了庆贺成立10周年，某书店为购买不同数量的顾客采取不同的优惠活动,其报价规则如下表所示.：1、 购买1-20本书可以享受九折优惠；2、 购买21-40本书可以享受八五折优惠；3、 以此类推，每增加20本书，就可以享受到更加优惠的折扣，100本封顶（即不考虑超过100本的情况）。现在该商家开发一个软件,输入为商品数：X(1=X=100)，输出为所付的款：Y。问题1：(7分)请采用等价类划分法为该软件设计测试用例(不考虑X为非整数的情况)问题2：(10分)请采用边界值分析法为该软件设计测试用例问题3：(3分)列举除了等价类划分法和边界值分析法以外的三种常见的黑盒测试用例测试方法。答案： 本题解析：问题1：用例1：0 用例2：120中任意一个数用例3：2140中任意一个数 用例4：4160中任意一个数用例5：61-80 中任意一个数 用例6：81-100 中任意一个数用例7：101 问题2：0、1、2、19、20、21、22、39、40、41、42、59、60、61、62、79、80、81、82、99、100、101问题3：错误推测法、因果图法、场景法、正交试验法等任意三种即可。【解析】问题1：本小题考查黑盒测试用例设计中的等价类划分法。等价类划分法：把程序的输入域划分成若干部分（子集），然后从每个部分中选取少数代表性数据作为测试用例。每一类的代表性数据在测试中的作用等价于这一类中的其他值。本题中主要范围限制为1=X=100，即可以划分为两个无效和一个有效等价，但由于每一个小的等价类是单独处理的，因此需要再进一步的划分。划分等价类的6条原则：（1）在输入条件规定了取值范围或值的个数的情况下，可以确立一个有效等价类和两个无效等价类；（2）在输入条件规定了输入值的集合或者规定了必须如何的条件的情况下，可以确立一个有效等价类和一个无效等价类；（3）在输入条件是一个布尔量的情况下，可确定一个有效等价类和一个无效等价类；（4）在规定了输入数据的一组值（假定n个），并且程序要对每一个输入值分别处理的情况下，可确立n个有效等价类和一个无效等价类；（5）在规定了输入数据必须遵守的规则的情况下，可确立一个有效等价类（符合规则）和若干个无效等价类（从不同角度违反规则）；（6）在确知已划分的等价类中，各元素在程序处理中的方式不同的情况下，则再将该等价类进一步地划分为更小的等价类；问题2：本小题考查黑盒测试用例设计中的边界值分析法。边界值分析法：对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界。边界值设计测试用例，应遵循的原则：（1）如果输入条件规定了值得范围，则应取刚达到这个范围的边界值，以及刚刚超过这个范围边界的值作为测试输入数据；（2）如果输入条件规定了值得个数，则用最大个数、最小个数、比最小个数少、比最大个数多1的数作为测试数据；（3）根据规格说明的每个输出条件，使用前面的原则（1）；（4）根据规格说明的每个输出条件，应用前面的原则（2）；（5）如果程序的规格说明给出的输入域或输出域是有序集合，则应选取集合的第一个元素和最后一个元素作为测试用例；（6）如果程序中使用了一个内部数据结构，则应当选择这个内部数据结构边界上的值作为测试用例；（7）分析规格说明，找出其他可能的边界条件；依据边界值设计测试用例的原则，测试用例应选择：0、1、2、19、20、21、22、39、40、41、42、59、60、61、62、79、80、81、82、99、100、101 问题3：本小题考查常见的黑盒测试用例的设计方法。黑盒测试的方法有等价类划分、边界值分析、因果图法、判定表法、正交试验法、功能图法、场景法、错误推测法等。因此本题可选：错误推测法、因果图法、判定表法、正交试验法、功能图法、场景法中的任意3种即可。4. 问答题：某互联网企业开发了一个大型电子商务平台，平台主要功能是支持注册卖家与买家的在线交易。在线交易的安全性是保证平台正常运行的重要因素，安全中心是平台中提供安全保护措施的核心系统，该系统提供的主要功能包括：密钥管理功能，包括公钥加密体系中的公钥及私钥生成与管理，会话密钥的协商、生成、更新及分发等。基础加解密服务，包括基于RSA、ECC及AES等多密码算法的基本加解密服务。认证服务，提供基于PKI及用户名/口令的认证机制。授权服务，为应用提供资源及功能的授权管理和访问控制服务。现企业测试部门拟对平台的密钥管理与加密服务系统进行安全性测试，以检验平台的安全性。1、给出安全中心需应对的常见安全攻击手段并进行简要说明。2、针对安全中心的安全性测试，可采用哪些基本的安全性测试方法?3、请分别说明针对密钥管理功能进行功能测试和性能测试各自应包含的基本测试点。4、请分别说明针对加解密服务功能进行功能测试和性能测试各自应包含的基本测试点。答案： 本题解析：1、该平台需应对的常见安全攻击手段应包括：(1)网络侦听：指在数据通信或数据交互的过程中，攻击者对数据进行截取分析，从而实现对包括用户支付账号及口令数据的非授权获取和使用。(2)冒充攻击：攻击者采用口令猜测、消息重演与篡改等方式，伪装成另一个实体，欺骗安全中心的认证及授权服务，从而登录系统，获取对系统的非授权访问。(3)拒绝服务攻击：攻击者通过对网络协议的实现缺陷进行故意攻击，或通过野蛮手段耗尽被攻击对象的资源，使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃，从而使系统无法提供正常的服务或资源访问。(4)Web安全攻击：攻击者通过跨站脚本或SQL注入等攻击手段，在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令，从而旁路系统正常访问控制或恶意盗取用户信息。2、可采用的基本安全性测试方法包括：(1)功能验证：采用软件测试中的黑盒测试方法，对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试，验证所提供的相应功能是否有效。(2)漏洞扫描：借助于特定的漏洞扫描工具，对安全中心本地主机、网络及相应功能模块进行扫描，发现系统中存在的安全性弱点及安全漏洞，从而在安全漏洞造成严重危害之前，发现并加以防范。(3)模拟攻击试验：模拟攻击试验是一组特殊的黑盒测试案例，通过模拟典型的安全攻击来验证安全中心的安全防护能力。(4)侦听测试：通过典型的网络数据包获取技术，在系统数据通信或数据交互的过程中，对数据进行截取分析，从而发现系统在防止敏感数据被窃取方面的安全防护能力。3、密钥管理功能的基本测试点：(1)功能测试系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能；密钥库管理功能是否完善；密钥管理中心的系统、设备、数据、人员等安全管理是否严密；密钥管理中心的审计、认证、恢复、统计等系统管理是否具备；密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议。(2)性能测试检查证书服务器的处理性能是否具备可伸缩配置及扩展能力利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求；测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能；是否支持密钥用户要求年限的保存期；是否具备异地容灾备份；是否具备可伸缩配置及扩展能力；关键部分是否采用双机热备和磁盘镜像。4、加解密服务功能的基本测试点：(1)功能测试系统是否具备基础加解密功能；能否为应用提供相对稳定的统一安全服务接口；能否提供对多密码算法的支持；随着业务量的逐渐增加，是否可以灵活增加密码服务模块，实现性能平滑扩展。(2)性能测试各加密算法使用的密钥长度是否达到业内安全的密钥长度；RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求；处理性能如公钥密码算法签名等是否具备可扩展能力。软件系统的安全性是信息安全的一个重要组成部分，对于在线交易业务来说，安全性更是保证系统正常运行的重要因素，针对安全中心安全保护措施的测试是检验安全中心可用性的主要手段，本题考查对安全保护措施进行安全性测试的相关知识。第一小题考查考生对常见安全攻击手段的了解。在解答本问题时，应结合电子商务平台的业务特征及题目中给出的安全中心主要功能，给出需应对的常见安全攻击手段。该平台需应对的常见安全攻击手段应包括： (1)网络侦听：指在数据通信或数据交互的过程中，攻击者对数据进行截取分析，从而实现对包括用户支付账号及口令数据的非授权获取和使用。(2)冒充攻击：攻击者采用口令猜测、消息重演与篡改等方式，伪装成另一个实体，欺骗安全中心的认证及授权服务，从而登录系统，获取对系统的非授权访问。(3)拒绝服务攻击：攻击者通过对网络协议的实现缺陷进行故意攻击，或通过野蛮手段耗尽被攻击对象的资源，使电子商务平台中包括安全中心在内的关键服务停止响应甚至崩溃，从而使系统无法提供正常的服务或资源访问。(4)Web安全攻击：攻击者通过跨站脚本或SQL注入等攻击手段，在电子商务平台系统网页中植入恶意代码或在表单中提交恶意SQL命令，从而旁路系统正常访问控制或恶意盗取用户信息。第二小题考查考生对安全测试基本方法的理解。在解答本问题时，应针对电子商务平台的业务特征及题目中给出的安全中心主要功能，给出相应的安全性测试方法。针对安全中心的安全性测试，可采用的基本安全性测试方法包括：(1)功能验证：采用软件测试中的黑盒测试方法，对安全中心提供的密钥管理、加解密服务、认证服务以及授权服务进行功能测试，验证所提供的相应功能是否有效。(2)漏洞扫描：借助于特定的漏洞扫描工具，对安全中心本地主机、网络及相应功能模块进行扫描，发现系统中存在的安全性弱点及安全漏洞，从而在安全漏洞造成严重危害之前，发现并加以防范。(3)模拟攻击试验：模拟攻击试验是一组特殊的黑盒测试案例，通过模拟典型的安全攻击来验证安全中心的安全防护能力。(4)侦听测试：通过典型的网络数据包获取技术，在系统数据通信或数据交互的过程中，对数据进行截取分析，从而发现系统在防止敏感数据被窃取方面的安全防护能力。第三小题考查密钥管理功能安全测试内容的相关知识。按题目描述，密钥管理功能包括公钥加密体系中的公钥及私钥生成与管理，会话密钥的协商、生成、更新及分发等，因此密钥管理功能的安全测试应涵盖相应主要功能的测试，此外，对于本系统还应进行相应的性能测试。功能测试的基本测试点包括系统是否制定了密钥管理策略；系统是否具备密钥生成、密钥发送、密钥存储、密钥查询、密钥撤销、密钥恢复等基本功能；密钥库管理功能是否完善；密钥管理中心的系统、设备、数据、人员等安全管理是否严密；密钥管理中心的审计、认证、恢复、统计等系统管理是否具备；密钥管理系统与证书认证系统之间是否采用基于身份认证的安全通信协议等。性能测试的基本测试点包括利用并发压力测试工具测试受理点连接数、签发在用证书数目、密钥发放并发请求数是否满足业务需求；测试是否具备系统所需最大量的密钥生成、存储、传送、发布、归档等密钥管理功能；是否支持密钥用户要求年限的保存期；是否具备异地容灾备份；是否具备可伸缩配置及扩展能力；关键部分是否采用双机热备和磁盘镜像等。第四小题考查加解密服务功能安全测试内容的相关知识。按题目描述，加解密服务功能包括基于RSA、ECC及AES等多密码算法的基本加解密服务，因此加解密服务功能的安全测试应涵盖基本加解密算法相应的功能测试与性能测试。功能测试的基本测试点包括系统是否具备基础加解密功能；能否为应用提供相对稳定的统一安全服务接口；能否提供对多密码算法的支持；随着业务量的逐渐增加，是否可以灵活增加密码服务模块，实现性能平滑扩展等。性能测试的基本测试点包括各加密算法使用的密钥长度是否达到业内安全的密钥长度；RSA、ECC等公钥算法的签名和验证速度以及AES等对称密钥算法的加解密速度是否满足业务要求；处理性能如公钥密码算法签名等是否具备可扩展能力等。5. 判断题：阻塞状态的进程能直接进入执行状态。答案：错误 本题解析：错误，阻塞状态的进程不能直接进入执行状态6. 多选题：以下选项中，属于死锁产生的必要条件的是？A.互斥条件B.保持和等待条件C.不剥夺条件D.环路等待条件答案：A、B、C、D 本题解析：概念：当若干个进程互相竞争对方占有的资源，并无限期地等待，导致不能向前推进。死锁是系统的一种出错的状态，应该尽量预防和避免。产生原因：供共享的系统资源不足，资源分配策略和进程的推进顺序不当。产生的必要条件：互斥条件，保持和等待条件，不剥夺条件和环路等待。7. 判断题：常见的网络操作系统有UNIX、Windows CE和Linux。答案：错误 本题解析：错误，常见的网络操作系统有UNIX、Windows NT。其中Windows CE和Linux属于嵌入式操作系统。8. 多选题：以下属于电子计算机三大核心部件的有？A.中央处理器B.内部存储器C.高速缓冲存储器D.输入/输出设备答案：A、B、D 本题解析：高速缓冲存储器属于中央处理器的一部分9. 判断题：文件控制块是系统在管理文件时所必需的信息的数据结构，是文件存在的唯一标识，简称PCB。答案：错误 本题解析：错误，文件控制块简称FCB，PCB是进程的组成部分，是程序控制块。10. 问答题：某软件公司为某银行设计开发了一套网上银行系统，该系统提供基本的支付、查询、转账和信息修改等功能。银行对网上银行系统提出了初步的性能指标：4交易响应时间不超过2s5并发用户数=10006CPU利用率不超过80%7系统需要7*24小时不间断的稳定运行8每秒事务数为79交易成功率为100%现需要对该软件进行性能测试。在测试性能指标(5)时，该软件公司在客户端模拟大量并发用户来执行业务操作，统计平均的每秒事务数。该软件公司认为客户端接收响应信息与该性能指标的测试无关，因此在模拟客户端上发起正常业务申请，接收系统响应后直接丢弃响应信息，没有进行功能校验。请说明该软件公司的做法正确与否，并简要说明原因以及执行功能校验的副作用。答案： 本题解析：暂无解析