上午题答案.docx
《上午题答案.docx》由会员分享,可在线阅读,更多相关《上午题答案.docx(25页珍藏版)》请在冰点文库上搜索。
上午题答案
C
A
A
D
D
B
D
B
B
C
D
12B
A
D
B
B
D
C
19C
20B
21A
22C
23A
24A
25A
结26C
27A
28B
29C
(30)A.
(31)A
32C
33B
34A
35B
(36)A
37B
38B
39D
40D
●以下关于白盒测试和黑盒测试的理解,正确的是(41)。
(41)A.白盒测试通过对程序内部结构的分析、检测来寻找问题
B.白盒测试通过一些表征性的现象、事件、标志来判断内部的运行状态
C.单元测试可应用白盒测试方法,集成测试则采用黑盒测试方法
D.在软件生命周期各个阶段都需要用白盒测试方法
解析:
白盒测试通过对程序内部结构的分析、检测来寻找问题;
黑盒测试通过一些表征性的现象、事件、标志来判断内部的运行状态;
单元测试可应用白盒测试方法,集成测试既有黑盒测试也有白盒测试方法
在软件生命周期各个阶段不一定都需要用白盒测试方法
●V模型是其有代表意义的测试模型,以下理解正确的是(42)。
(42)A.V模型认为通过对测试阶段是与开发阶段并行的
B.V模型是软件开发螺旋模型的变种,它反映了测试活动与分析和设计的关系
C.V模型造成需求分析阶段隐藏的问题一直到后期的验收反测试才发现
D.V模型是对W模型的改进
解析:
V模型造成需求分析阶段隐藏的问题一直到后期的验收反测试才发现。
●网络杀毒软件厂商已经开始使用数据库技术和LDAP技术进行策略日志存储和用户管理,这里LDAP指的是(43)。
(43)A.轻量目录访问协议B.本地目录访问协议
C.轻量数据访问协议D.本地数据访问协议
目录和目录服务LDAP(LightweightDirectoryAccessProtocol)轻型目录访问协议是目录访问协议的一种。
●计算以下控制流程图的环路复杂度V(G),正确答案是(44)。
(44)A.V(G)=2B.V(G)=4C.V(G)=9D.V(G)=11
●对需求说明书评测的内容包括(45)。
1.系统定义的目标是否与用户的要求一致
2.被开发项目的数据流与数据结构是否足够、确定
3.与所有其它系统交互的重要接口是否都已经描述
4.主要功能是否已包含在规定的软件范围之内,是否都已充分说明
5.确定软件的内部接口与外部接口是否已明确定义
(45)A.B.C.D.
解析:
需求说明书评测内容:
作为需求分析阶段工作的复查手段,在需求分析的最后一步,应该对功能的正确性、完整性和清晰性,以及其它需求给予评价。
评审的主要内容是:
1·系统定义的目标是否与用户的要求一致;
2·系统需求分析阶段提供的文档资料是否齐全;
3·文档中的所有描述是否完整、清晰、准确反映用户要求;
4·与所有其它系统成分的重要接口是否都已经描述;
5·被开发项目的数据流与数据结构是否足够,确定;
6·所有图表是否清楚,在不补充说明时能否理解;
7·主要功能是否已包括在规定的软件范围之内,是否都已充分说明;
8·软件的行为和它必须处理的信息、必须完成的功能是否一致;
9·设计的约束条件或限制条件是否符合实际;
10·是否考虑了开发的技术风险;
11·是否考虑过软件需求的其它方案;
12·是否考虑过将来可能会提出的软件需求;
13·是否详细制定了检验标准,它们能否对系统定义是否成功进行确认;
14·有没有遗漏,重复或不一致的地方;
15·用户是否审查了初步的用户手册或原型;
16·软件开发计划中的估算是否受到了影响.
为保证软件需求定义的质量,评审应以专门指定的人员负责,并按规程严格进行。
评审结束应有评审负责人的结论意见及签字。
除分析员之外,用户/需求者,开发部门的管理者,软件设计、实现、测试的人员都应当参加评审工作。
一般,评审的结果都包括了一些修改意见,待修改完成后再经评审通过,才可进入设计阶段。
●加密和解密是明文和密文之间的可逆转换,(46)不属于加密算法。
(46)A.RSAB.SHAC.DESD.AES
解析:
常见加密算法
DES(DataEncryptionStandard):
对称算法,数据加密标准,速度较快,适用于加密大量数据的场合;
3DES(TripleDES):
是基于DES的对称算法,对一块数据用三个不同的密钥进行三次加密,强度更高;
RC2和RC4:
对称算法,用变长密钥对大量数据进行加密,比DES快;
IDEA(InternationalDataEncryptionAlgorithm)国际数据加密算法,使用128位密钥提供非常强的安全性;
RSA:
由RSA公司发明,是一个支持变长密钥的公共密钥算法,需要加密的文件块的长度也是可变的,非对称算法;
DSA(DigitalSignatureAlgorithm):
数字签名算法,是一种标准的DSS(数字签名标准),严格来说不算加密算法;
AES(AdvancedEncryptionStandard):
高级加密标准,对称算法,是下一代的加密算法标准,速度快,安全级别高,目前AES标准的一个实现是Rijndael算法;
BLOWFISH,它使用变长的密钥,长度可达448位,运行速度很快;
MD5:
严格来说不算加密算法,只能说是摘要算法
对MD5算法简要的叙述可以为:
MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值。
在MD5算法中,首先需要对信息进行填充,使其字节长度对512求余的结果等于448。
因此,信息的字节长度(BitsLength)将被扩展至N*512+448,即N*64+56个字节(Bytes),N为一个正整数。
填充的方法如下,在信息的后面填充一个1和无数个0,直到满足上面的条件时才停止用0对信息的填充。
然后,在在这个结果后面附加一个以64位二进制表示的填充前信息长度。
经过这两步的处理,现在的信息字节长度=N*512+448+64=(N+1)*512,即长度恰好是512的整数倍。
这样做的原因是为满足后面处理中对信息长度的要求。
(可参见MD5算法词条)
SSF33,SSF28,SCB2(SM1):
国家密码局的隐蔽不公开的商用算法,在国内民用和商用的,除这些外,都不容许使用其他的;
其它算法
如ElGamal、Diffie-Hellman、新型椭圆曲线算法ECC等。
SHA是一种数据加密算法,该算法经过加密专家多年来的发展和改进已日益完善,现在已成为公认的最安全的散列算法之一,并被广泛使用。
该算法的思想是接收一段明文,然后以一种不可逆的方式将它转换成一段(通常更小)密文,也可以简单的理解为取一串输入码(称为预映射或信息),并把它们转化为长度较短、位数固定的输出序列即散列值(也称为信息摘要或信息认证代码)的过程。
散列函数值可以说时对明文的一种“指纹”或是“摘要”所以对散列值的数字签名就可以视为对此明文的数字签名。
参考答案:
B
●假设A、B为布尔变量,对于逻辑表达式(A&&B||C),需要(47)测试用例才能完成判定覆盖(DC)。
(47)A.2B.3C.4D.5
解析:
判定覆盖(DC)
●设计足够多的测试用例,使得程序中的每一个判定至少获得一次‘真’值和‘假’值,或者使得程序中的每一个取‘真’分支或取‘假’分支至少经历一次,因此又称分支覆盖
如:
A&&(B||C),A||(B||C)
A=T,B=T,C=T
A=F,B=F,C=F
●可以满足语句覆盖
●缺点:
主要对整个表达式最终取值进行度量,忽略了表达式内部取值
●以下关于汇编语言的叙述中,错误的是(48)。
(48)A.汇编语言源程序中的指令语句将被翻译成机器代码
B.汇编语言的指令语句必须具有操作码字段,可以没有操作数字段
C.汇编程序以汇编语言源程序为输入,以机器语言表示的目标程序为输出
D.汇编程序先将源程序中的伪指令翻译成机器代码,然后在翻译指令语句
解析:
本题考查汇编语言的基本概念。
伪指令是汇编程序直接执行的,不对应于程序中的机器代码,所以D是错误的。
参考答案:
(48)D
●设有学生实体Students(学号,姓名,性别,年龄,家庭住址,家庭成员,关系,联系电话),其中“家庭住址”记录了邮编、省、市、街道信息:
“家庭成员,关系,联系电话”分别记录了学生亲属的姓名、与学生的关系以及联系电话。
学生实体Students中的“家庭住址”是一个(49)属性;为使数据库模式设计更合理,对于关系模式Students(50).
(49)A.简单B.多值C.派生D.复合
(50)A.可以不做任何处理,因为该关系模式达到了3NF
B.只允许记录一个亲属的姓名、与学生的关系以及联系电话的信息
C.应该将家庭成员、关系及联系电话加上学生号,设计成为一个独立的实体
D.需要对关系模式Students增加若干组家庭成员、关系及联系电话字段
分析:
简单属性是原子的、不可再分的。
复合属性可以细分为更小的部分(即划分为别的属性)。
有时用户希望访问整个属性,有时希望访问属性的某个成分,那么在模式设计时可采用复合属性。
例如,试题(49)中“家庭住址”可以进一步分为邮编、省、市、街道信息等。
“家庭成员,关系,联系电话”分别记录了学生亲属的姓名、与学生的关系以及联系电话。
属于另一个实体,应该将家庭成员、关系及联系电话加上学生号,设计成为一个独立的实体。
参考答案:
(49)D(50)C
●有关评估系统效率质量特性,以下论述正确的是(51)。
(51)A.响应时间越长,系统执行效率越高
B.响应时间和交易执行吞吐量都是用来衡量系统执行快慢的
C.响应时间越短,交易执行吞吐量越大
D.系统的访问量越大,交易执行吞吐量越大
解析:
交易响应时间:
是系统完成事务执行准备后所采集的时间戳和系统完成待执行事务后所采集的时间戳之间的时间间隔,是衡量特定类型应用事务性能的重要指标,标志了用户执行一项操作大致需要多长时间。
交易吞吐量:
系统服务器每秒能够处理通过的交易数。
响应时间越短,交易执行吞吐量越大。
当系统达到饱和点,服务器吞吐量保持稳定后,就达到了给定条件下的系统上限。
但是,随着服务器负载的继续增长,系统的响应时间也随之延长,虽然吞吐量保持稳定。
●(52)不属于易用型测试范围范畴。
(52)A.软件产品使用户能理解软件是否适合以及如何能将软件用于特定的任务
和使用条件的能力
B.软件产品使用用户能操作和控制它的能力
C对软件中的缺陷或失效原因进行判断,或识别待修改部分的能力
D.软件产品吸引用户的能力
解析:
易用型测试范围范畴
1、易用性:
是指当软件在指定条件下使用时,软件产品被理解、学习、使用和吸引用户的能力。
它的子特性包括:
易理解性、易学性、易操作性、吸引性、易用依从性。
1易理解性:
软件产品使用户能理解软件是否合适以及如何能将软件用于特定的任务和使用条件的能力。
2易学性:
是指软件产品使用户能学习它的能力。
3易操作性:
软件产品使用户能操作和控制它的能力。
4吸引性:
是指软件产品吸引用户的能力。
5易用依从性:
软件产品遵循与易用性相关的标准、约定、风格指南或法规的能力。
而:
对软件中的缺陷或失效原因进行判断,或识别待修改部分的能力是不属于易用性测试范围。
它属于可维护性的易分析性。
参考答案:
C
●以下关于软件系统安全防护策略的叙述,不正确的是(53)。
(53)A.网闸的主要目的是实现内网和外网的物理隔离
B.防火墙的主要目的是实现内网和外网的逻辑隔离
C.入侵检测系统通常部署在防火墙之外
D.安全日志属于被动防护策略
解析:
隔离防护:
是系统中安全部分与非安全部分进行隔离的措施,目前采用的技术主要有两种,即隔离网闸和防火墙,隔离网闸属于近年新兴的网络安全技术,主要的目的在于实现内网和外网的物理隔离,防火墙是相对成熟的防护技术,主要用于内网和外网的逻辑隔离。
安全日志:
是记录非法用户的登录名称、操作时间及内容等信息,以便于发现问题并提出解决措施。
它属于被动防护的策略。
入侵检测系统:
是一种主动的网络安全防护措施,它从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。
一般来说,入侵检测系统还应对入侵行为作出紧急响应。
在不影响网络性能的情况下能对网络进行监测,从而提供对内部、外部攻击和误操作的实时保护,被认为是防火墙的第二道安全闸门。
参考答案:
C
●假设在程序控制流图中,有14条边,10个节点,则控制流程图的环境复杂性
V(G)等于是(54)。
(54)A.12B.8C.6D.4
解析:
V(G)=边数-节点数+2=14-10+2=6
参考答案:
C
●目前信息系统所使用的主要用户认证机制,身份识别不包括(55)。
(55)A.指纹B.智能卡C.数字证书D.身份证号
解析:
目前信息系统所使用的主要用户认证机制,身份识别包括:
数字证书、智能卡、双重认证、安全电子交易(SET)协议。
数字证书:
这是一种检验用户身份的电子文件,提供较强的访问控制,并具有较高的安全性各可靠性,这种证书可以授权购买。
智能卡:
这种解决办法可以持续较长的时间,并且更加灵活,存储信息更多,并具有可供选择的管理方式。
双重认证:
系统不是采用一种认证方式,而是采用两种或多种认证方式,这些认证方式包括令牌、智能卡和仿生装置,如视网膜或指纹扫描器等,例如同时使用ATM卡和PIN卡进行双重认证。
安全电子交易(SET)协议:
它是电子商务中安全电子交易的一个国际标准。
其主要目的是解决信用卡电子付款的安全保障问题。
参考答案:
D
●针对以下C语言程序段,假设sta[10]=-1,对于x的取值,需要(56)个测试用例能够满足分支覆盖的要求。
IntMathMine(intx)
{
intm=0;
inti;
for(i=x–1;i<=x+1;i++)
{
If(i<0)continue;
If(i>31)break;
If(sta[i]==-1)m++;
}
returnm;
}
(56)A.3B.4C.5D.6
判定覆盖(DC):
设计足够多的测试用例,使得程序中的每一个判定至少获得一次‘真’值和‘假’值,或者使得程序中的每一个取‘真’分支或取‘假’分支至少经历一次,因此又称分支覆盖
分支有几个:
1、for(i=x–1;i<=x+1;i++)
2、If(i<0)continue;
3、If(i>31)break;
4、If(sta[i]==-1)m++;
假设sta[10]=-1X取值使得满足分支覆盖的要求那么X取什么值?
?
?
依题意:
1、X=11时有I=10I=11I=12
第一次循环I=10分支1为真分支2为假分支3为假分支4为真
第二次循环I=11分支1为真分支2为假分支3为假分支4为假
第三次循环I=12分支1为真分支2为假分支3为假分支4为假
第四次循环I=13分支1为假
2、X=0时有I=-1I=0I=1
第一次循环I=-1分支1为真分支2为真
第二次循环I=0分支1为真分支2为假分支3为假分支4为假
第三次循环I=1分支1为真分支2为假分支3为假分支4为假
第四次循环I=2分支1为假
3、X=33时有I=32I=33I=34
第一次循环I=32分支1为真分支2为假分支3为真(退出循环)
没有(第二次循环第三次循环第四次循环)
参考答案:
A
●以下关于信息安全的叙述,不正确的是(57)。
(57)
A.SYN洪水攻击通过发送大量TCP连接请求以占满网络带宽,使其他用户无法正常连接服务
B.缓冲区溢出攻击能通过修改函数返回地址并执行恶意代码,进而获得系统的控制权
C.计算机病毒的主要特征包括破坏性、寄生性、自我复制能力和传染能力
D.会话标识和时间戳都是抵御重演攻击的有效技术
解析:
SYNFLOOD
利用服务器的连接缓冲区(BacklogQueue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。
当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。
其他合法用户的连接都被拒绝掉。
可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。
UDP洪水攻击通过发送大量TCP连接请求以占满网络带宽,使其他用户无法正常连接服务
参考答案:
A
●软件测试使用各种术语描述软件出现的问题,以下正确的是(58);
(58)A.软件错误(error)是指软件生命周期内的不希望或不可接受的人为错误,其结果是导致软件故障的产生。
B.软件缺陷(defect)是存在于软件(文档、数据、文档)之中的那些不希望或不可接受的偏差。
C.软件故障(fault)是指软件运行过程中出现的一种不希望或不可接受的外部状态。
D.软件失效(failure)是指软件运行时产生的一种不希望或不可接受的内部行为结果。
解析:
软件错误:
是指软件在生存周期内的不希望或不可接受的人为错误,其结果是导致软件缺陷的产生。
软件缺陷:
存在软件(文档、数据、程序)之中的那些不希望或不可接受的偏差
软件故障:
软件运行过程中出现的一种不希望或不可接受的内部状态。
软件失效:
软件运行时产生的一种不希望或不可接受的外部行为结果。
软件失效的机理可描述为:
软件错误→软件缺陷→软件故障→软件失效
●网络测试不能解决的问题是(59)。
(59)A.连通性B.丢包C全表扫描D延迟
解析:
连通性、.丢包、延迟是网络的术语。
而全表扫描是数据库的术语。
全表扫描:
在数据库中,对无索引的表进行查询一般称为全表扫描。
全表扫描是数据库服务器用来搜寻表的每一条记录的过程,直到所有符合给定条件的记录返回为止。
参考答案:
C
●关于bug管理流程,(60)是正确的做法。
(60)A.开发人员提交新的bug入库,设置状态为“New”
B.开发人员确认是bug,设置状态为“Fixed”
C.测试人员确认问题解决了,设置状态为“Closed”
D.测试人员确认不是bug,设置状态为“Reopen”
解析:
错误管理流程(有以下几项)
●测试人员提交新的错误入库,错误状态为“NEW”;
●高级测试人员验证错误。
①如果确认是错误,分配给相关的开发人员,设置状态为“OPEN”;
②如果不是错误,则拒绝,设置为“DECLINED”状态。
●开发人查询状态为“OPEN”,做如下处理:
①如果不是错误,则状态置为“DECLINED”;
②如果是错误,则修复并置状态为“FIXED”;
③如果不能解决的错误,要留下文字说明并保持错误为“OPEN”状态;
④对不能解决和延期解决的错误,不能由开发人员自己决定,一般要通过某种会议(评审会)通过才能认可
●测试人员查询状态置为“FIXED”的错误,验证错误是否已解决,做如下处理:
①如果解决了,置错误为“CLOSED”状态;
②如果问题没有解决,则置状态为“REOPEN”(重新打开)。
参考答案:
C
●(61)是当前自动化测试技术不能解决的问题。
(61)A、保证测试质量B、提供测试效率
C、排除手工操作错误D、降低测试用例设计的难度
解析:
自动化测试的优缺点:
优势:
提高测试质量、提高测试效率、提高测试覆盖率、执行手工测试不能完成的测试任务、更好地重现软件缺陷的能力、更好地利用资源、增进测试人员与开发人员间的合作伙伴关系
局限性:
定制项目、周期很短的项目、业务复杂的对象、人体感观与易用性测试、不稳定软件、涉及物理交互。
●GB\T18905.5《软件工程产品评价》中,分别规定了开发者用、需方用、评价者用的过程,以下理解正确的是(62)。
(62)A、计划开发新产品的厂商,该标准中规定不允许利用他们自己的技术人员进行产品评价。
B、软件产品的一般评价过程是:
确立评价需求,规定、设计和执行评价。
C、该标准不适用于对软件产品执行独立评估的第三方评测机构。
D、该标准可用来决定从众多可选产品中选择某个产品。
但该产品不可以是较大产品的一部分。
解析:
GB/T18905—2002《软件工程产品评价》中确定的通用评价过程包括四个方面,即:
确立评价需求,规定评价,设计评价和执行评价。
其中有关“规定评价”部分包含的内容有:
选择度量、建立度量评定等级、确立评估准则。
参考答案:
B
●软件评测相关的标准一般可以分为国际标准、国家标准、行业标准、以及企业标准一般情况下,技术要求最高的是(63)。
(63)A、国际标准B、国家标准C、行业标准D、企业标准
解析:
根据《中华人民共和国标准化法》(以下简称《标准化法》)的规定,我国标准分为国家标准、行业标准、地方标准和企业标准等四类。
1、国家标准:
由国务院标准化行政主管部门制定的需要全国范围内统一的技术要求,称为国家标准。
2、行业标准:
没有国家标准而又需在全国某个行业范围内统一的技术标准,由国务院有关行政主管部门制定并报国务院标准化行政主管部门备案的标准,称为行业标准。
3、地方标准:
没有国家标准和行业标准而又需在省、自治区、直辖市范围内统一的工业产品的安全、卫生要求,由省、自治区、直辖市标准化行政主管部门制定并报国务院标准化行政主管部门和国务院有关行业行政主管部门备案的标准,称为地方标准。
4、企业标准:
企业生产的产品没有国家标准、行业标准和地方标准,由企业制定的作为组织生产的依据的相应的企业标准,或在企业内制定适用的严于国家标准、行业标准或地方标准的企业(内控)标准,由企业自行组织制定的并按省、自治区、直辖市人民政府的规定备案(不含内控标准)的标准,称为企业标准。
这四类标准主要是适用范围不同,不是标准技术水平高低的分级。
国际标准是指国际标准化组织(ISO)、国际电工委员会(IEC)和国际电信联盟(ITU)所制定的标准,以及ISO为促进《关贸总协定一贸易技术壁垒协议》即标准守则的贯彻实施所出版的《国际标准题内关键词索引(KWICIndex)》中收录的其他国际组织制定的标准。
ISO希望该索引能作为执行(GWTT/TBT)标准守则的国际标准的权威性目录予以接受,尽可能接受该目录作为成员国本国国家标准和技术法规的基础。
所列国际组织,根据ISO第2号指南的定义,均属于国际标准化机构,但它们所发布的文件并不一定都可作为国际标准,只有经ISO认可并收入(KWICIndex)索引中的标准文件才被确认为国际标准。
国际先进标准是指国际上有权威的区域性标准,
升级会员 