软考中级软件测评师历年经典真题及解析part10.docx
《软考中级软件测评师历年经典真题及解析part10.docx》由会员分享,可在线阅读,更多相关《软考中级软件测评师历年经典真题及解析part10.docx(11页珍藏版)》请在冰豆网上搜索。
软考中级软件测评师历年经典真题及解析part10
第1题
单选题
以下不属于系统测试范畴的是()。
A.单元测试
B.安全测试
C.强度测试
D.性能测试
【解析】正确答案:
A。
单元测试是对程序模块进行的测试,不属于系统测试的范畴。
第2题
单选题
以下关于Web测试的叙述中,不正确的是()。
A.Web软件的测试贯穿整个软件生命周期
B.按系统架构划分,Web测试分为客户端测试、服务端测试和网络测试
C.Web系统测试与其他系统测试测试内容基本不同但测试重点相同
D.Web性能测试可以采用工具辅助
【解析】正确答案:
C。
web系统测试与其它系统测试测试内容基本相同只是测试重点不同。
第3题
单选题
自动化测试工具中,()是最难自动化的。
A.测试执行
B.实际输出与预期输出的比较
C.测试用例生成
D.测试录制与回放
【解析】正确答案:
C。
自动化测试工具中,最难自动化的就是测试用例的生成。
第4题
单选题
按照测试实施组织,可将测试划分为开发方测试、用户测试、第三方测试。
下面关于开发方测试的描述正确的是()。
①开发方测试通常也叫“验证测试”或“Alpha测试”
②开发方测试又称“Beta测试”
③开发方测试可以从软件产品编码结束之后开始,或在模块(子系统)测试完成后开始,也可以在确认测试过程中产品达到一定的稳定和可靠程度之后再开始
④开发方测试主要是把软件产品有计划地免费分发到目标市场,让用户大量使用,并评价、检查软件
A.②③
B.①③
C.②④
D.①②③
【解析】正确答案:
B。
按照测试实施组织划分,可将测试划分为开发方测试、用户测试和第三方测试。
开发方测试通常也称为“验证测试”或“Alpha测试”,主要是指在软件开发完后,开发方要对提交的软件进行全面的自我检查与验证。
它可以从软件产品编码结束之后开始,或在模块(子系统)测试完成后开始,也可以在确认测试过程中产品达到一定的稳定和可靠程度之后再开始。
用户测试是指在用户的应用环境下,用户通过运行和使用软件,检测与验证软件是否符合自己预期的要求,这里大家要注意,用户测试一般不是指用户的“验收测试”,而是指用户的使用性测试。
常见的用户测试有“Beta测试”。
第三方测试也称为独立测试,它是指由在技术、管理和财务上与开发方和用户方相对独立的组织进行的软件测试。
第5题
单选题
以下关于建立良好的程序设计风格的叙述中,正确的是()。
A.程序应简单、清晰、可读性好
B.变量的命名要符合语法
C.充分考虑程序的执行效率
D.程序的注释可有可无
【解析】正确答案:
A。
编码的原则:
总的要求:
程序简单、清晰、可读性好
测试优先,在开始编码之前建立单元测试
对代码进行正确的注视,使注释与代码保持一致
变量规范命名,如取见名知意等
第6题
单选题
系统交付后,修改偶尔会出现乱码的问题,该行为属于()维护。
A.正确性
B.适应性
C.完善性
D.预防性
【解析】正确答案:
A。
更正性维护:
更正交付后发现的错误
适应性维护:
使软件产品能够在变化后或变化中的环境中继续使用
完善性维护:
改进交付后产品的性能和可维护性
预防性维护:
在软件产品中的潜在错误成为实际错误前,检测并更正它们
第7题
单选题
以下关于软件测试原则的叙述中,正确的是()。
①测试开始得越早,越有利于发现缺陷
②测试覆盖率和测试用例数量成正比
③测试用列既需选用合理的输入数据,又需要选择不合理的输入数据
④应制定测试计划并严格执行,排除随意性
⑤采用合适的测试方法,可以做到穷举测试
⑥程序员应尽量测试自己的程序
A.①②③④⑤⑥
B.①②③④⑤
C.①②③④
D.①③④
【解析】正确答案:
D。
软件测试原则:
所有的测试都应追溯到用户需求;应尽早并不断地进行测试;测试工作应避免由原开发软件的人或小组来承担(单元测试除外);穷举测试是不可能的,测试需要终止;充分重视测试中的群集现象;严格按照测试计划来进行,避免随意性。
第8题
单选题
对于逻辑表达式(((a>0)&&(b>0))||c<5),需要()个测试用例才能完成条件组合覆盖。
A.2
B.4
C.8
D.16
【解析】正确答案:
C。
有三个判定,2^3=8
第9题
单选题
在采用面向对象技术构建软件系统时,很多敏捷方法都建议的一种重要的设计活动是(),它是一种重新组织的技术,可以简化构件的设计而无需改变其功能或行为。
A.精化
B.设计类
C.重构
D.抽象
【解析】正确答案:
C。
本题考查采用敏捷方法进行软件开发。
敏捷方法中,重构是一种重新组织技术,重新审视需求和设计,重新明确地描述它们以符合新的和现有的需求,可以简化构件的设计而无须改变其功能或行为。
第10题
单选题
计算机感染特洛伊木马后的典型现象是()。
A.程序异常退出
B.有未知程序试图建立网络连接
C.邮箱被垃圾邮件填满
D.Windows系统黑屏
【解析】正确答案:
B。
特洛伊木马是一种通过网络传播的病毒,分为客户端和服务器端两部分,服务器端位于被感染的计算机,特洛伊木马服务器端运行后会试图建立网络连接,所以计算机感染特洛伊木马后的典型现象是有未知程序试图建立网络连接。
第11题
案例题
从下列的3道试题)中任选2道解答。
如果解答的试题数超过2道,则题号小的2道解答有效。
三选二 试题二
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内。
【说明】
某企业最近上线了ERP系统,该系统运行的网络环境如图4-1所示。
企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试,以提供全面的安全测评报
【问题1】(6分)
企业ERP系统上线后,企业主要业务的日常运作都高度依赖该系统的正常运行,因此ERP系统的稳定性与可靠性对企业至关重要。
故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。
对于故障恢复与容灾备份措施,参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。
请用300字以内文字,对这三方面的测试内容进行简要说明。
【问题2】(4分)
数据库服务器中目前主要存储ERP系统业务数据,后续还需要存储企业网站相关数据,当前ERP系统的用户认证方式包含口令认证方式,相应的用户权限和口令也存储在数据库二维表中。
针对上述实际情况,参与测试的李工认为在对数据库权限进行测试时,除数据库账号保护及权限设置相关的常规测试外,还必须对敏感数据加密保护及对数据库访问方式进行相应测试。
请用200字以内文字,对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。
【问题3】(10分)
为对抗来自外网或内网的主动攻击,系统通常会釆用多种安全防护策略,请给出四种常见的安全防护策略并进行简要解释。
结合一种图4-1中明确标识出的安全防护策略机制,说明针对该机制的安全测试应包含哪些基本测试点。
【解析】正确答案:
【问题1】
应用系统的稳定性与可靠性,在一定程度上取决于故障恢复和容灾备份措施。
一般有以下三个测试点:
故障恢复:
整个系统是否存在单点故障;对于关键性应用系统,当任何一台设备失效时,按照预先定义的规则是否能够快速切换;是否采用磁盘镜像技术,实现主机系统到磁盘系统的高速连接
数据备份:
对于关键的业务,是否具备必要的热备份机制,例如双机热备、磁盘镜像等;对于所有业务,是否提供磁带备份和恢复机制,保证系统能根据备份策略恢复到指定时间的状态
容灾备份:
可否建立异地容灾备份中心,当主中心发生灾难事件时,由备份中心接管所有的业务;备份中心是否有足够的带宽确保与主中心的数据同步,有足够的处理能力来接管主中心的业务,能否确保快速可靠地与主中心的应用切换
【问题2】
加密机制是保护数据安全的重要手段,加密的基本过程就是对原来明文的文件或数据,按某种算法进行处理,使其成为不可读的一段代码——密文,使其只能在输入相应的密钥之后才能显示出明文内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。
不同加密机制或密码函数的用途、强度是不相同的,一个软件或系统中的加密机制使用得是否合理,强度是否满足当前需求,是需要通过测试来完成的,通常模拟揭秘是测试的一个重要手段
数据库权限管理的测试有如下三个方面:
应用软件部署后,数据库管理用户的设置应当注意对账号的保护,超级用户的口令不得为空或默认口令。
对数据库的账号和组的权限作相应设置,如锁定一些默认的数据库用户;撤销不必要的权限
数据库中关于应用软件用户权限和口令存储的相关表格,尽量采用加密算法进行加密
软件企业在进行软件产品开发时,开发人员通常为了开发方便,在客户端与数据库通信时,均使用超级用户及默认密码访问数据库,这种方式将会带来严重的安全隐患,测试人员可以通过网络侦听的技术,或使用白盒测试方法进行测试,并且应当建议开发者,根据不同程序访问数据库的功能,使用不同的数据库用户进行连接,且必须设置复杂的密码
【问题3】
安全防护策略是软件系统对抗攻击的主要手段,安全防护策略主要有安全日志、入侵检测、隔离防护、漏洞扫描等
安全日志是记录非法用户的登录名称、操作时间及内容等信息,以便于发现问题并提出解决措施。
安全日志仅记录相关信息,不对非法行为作出主动反应,属于被动防护的策略
入侵检测系统是一种主动的网络安全防护措施,从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。
一般来说,入侵检测系统还应对入侵行为作出紧急响应。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击,外部攻击和误操作的实时保护
漏洞扫描就是对软件系统及网络系统进行与安全相关的检测,以找出安全隐患和可被黑客利用的漏洞,同时漏洞扫描技术也是安全性测试的一项必要手段
隔离防护是将系统中的安全部分与非安全部分进行隔离的措施,目前采用的技术主要有两种,即隔离网闸和防火墙,隔离网闸主要目的在于实现内网和外面的物理隔离,防火墙主要用于内网和外网的逻辑隔离
防火墙
1、是否支持交换和路由两种工作模式
2、是否支持对HTTP、FTP、SMTP等服务类型的访问控制
3、是否考虑到防火墙的冗余设计
4、是否支持对日志的统计分析功能,同时,日志是否可以存储在本地和网络数据库上
5、对防火墙本身或受保护网段的非法攻击系统,是否提供多种告警方式以及多种级别的告警
入侵检测系统
1、能否在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作
2、是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载
3、能否提供多种方式对监视引擎和检测特征的定期更新服务
4、内置的网络能否使用状况监控工具和网络监听工具。
【问题1】
应用系统的稳定性与可靠性,在一定程度上取决于故障恢复和容灾备份措施。
一般有以下三个测试点:
故障恢复:
整个系统是否存在单点故障;对于关键性应用系统,当任何一台设备失效时,按照预先定义的规则是否能够快速切换;是否采用磁盘镜像技术,实现主机系统到磁盘系统的高速连接
数据备份:
对于关键的业务,是否具备必要的热备份机制,例如双机热备、磁盘镜像等;对于所有业务,是否提供磁带备份和恢复机制,保证系统能根据备份策略恢复到指定时间的状态
容灾备份:
可否建立异地容灾备份中心,当主中心发生灾难事件时,由备份中心接管所有的业务;备份中心是否有足够的带宽确保与主中心的数据同步,有足够的处理能力来接管主中心的业务,能否确保快速可靠地与主中心的应用切换
【问题2】
加密机制是保护数据安全的重要手段,加密的基本过程就是对原来明文的文件或数据,按某种算法进行处理,使其成为不可读的一段代码——密文,使其只能在输入相应的密钥之后才能显示出明文内容,通过这样的途径来达到保护数据不被非法窃取、阅读的目的。
不同加密机制或密码函数的用途、强度是不相同的,一个软件或系统中的加密机制使用得是否合理,强度是否满足当前需求,是需要通过测试来完成的,通常模拟揭秘是测试的一个重要手段
数据库权限管理的测试有如下三个方面:
应用软件部署后,数据库管理用户的设置应当注意对账号的保护,超级用户的口令不得为空或默认口令。
对数据库的账号和组的权限作相应设置,如锁定一些默认的数据库用户;撤销不必要的权限
数据库中关于应用软件用户权限和口令存储的相关表格,尽量采用加密算法进行加密
软件企业在进行软件产品开发时,开发人员通常为了开发方便,在客户端与数据库通信时,均使用超级用户及默认密码访问数据库,这种方式将会带来严重的安全隐患,测试人员可以通过网络侦听的技术,或使用白盒测试方法进行测试,并且应当建议开发者,根据不同程序访问数据库的功能,使用不同的数据库用户进行连接,且必须设置复杂的密码
【问题3】
安全防护策略是软件系统对抗攻击的主要手段,安全防护策略主要有安全日志、入侵检测、隔离防护、漏洞扫描等
安全日志是记录非法用户的登录名称、操作时间及内容等信息,以便于发现问题并提出解决措施。
安全日志仅记录相关信息,不对非法行为作出主动反应,属于被动防护的策略
入侵检测系统是一种主动的网络安全防护措施,从系统内部和各种网络资源中主动采集信息,从中分析可能的网络入侵或攻击。
一般来说,入侵检测系统还应对入侵行为作出紧急响应。
入侵检测被认为是防火墙之后的第二道安全闸门,在不影响网络性能的情况下能对网络进行检测,从而提供对内部攻击,外部攻击和误操作的实时保护
漏洞扫描就是对软件系统及网络系统进行与安全相关的检测,以找出安全隐患和可被黑客利用的漏洞,同时漏洞扫描技术也是安全性测试的一项必要手段
隔离防护是将系统中的安全部分与非安全部分进行隔离的措施,目前采用的技术主要有两种,即隔离网闸和防火墙,隔离网闸主要目的在于实现内网和外面的物理隔离,防火墙主要用于内网和外网的逻辑隔离
防火墙
1、是否支持交换和路由两种工作模式
2、是否支持对HTTP、FTP、SMTP等服务类型的访问控制
3、是否考虑到防火墙的冗余设计
4、是否支持对日志的统计分析功能,同时,日志是否可以存储在本地和网络数据库上
5、对防火墙本身或受保护网段的非法攻击系统,是否提供多种告警方式以及多种级别的告警
入侵检测系统
1、能否在检测到入侵事件时,自动执行切断服务、记录入侵过程、邮件报警等动作
2、是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载
3、能否提供多种方式对监视引擎和检测特征的定期更新服务
4、内置的网络能否使用状况监控工具和网络监听工具
第12题
单选题
下列算法中,不属于公开密钥加密算法的是()。
A.ECC
B.DSA
C.RSA
D.DES
【解析】正确答案:
D。
常见的对称性加密算法:
DES、3DES,RC-5,IDEA
常见的非对称性加密算法:
RSA、ECC、DSA
第13题
单选题
以下测试内容中,不属于GUI测试的是()。
A.窗口相关操作是否符合标准
B.菜单和鼠标操作是否正确
C.计算结果是否正确
D.数据显示是否正常
【解析】正确答案:
C。
选项C计算结果是否正确应属于功能测试的中:
程序能否适当地接收输入数据而产生正确的输出信息。
第14题
单选题
采用IE浏览器访问清华大学校园网主页时,正确的地址格式为()。
A.Smtp:
//
B.
C.Smtp:
\\
D.http:
\\
【解析】正确答案:
B。
smtp为简单邮件传输协议。
斜杠为//
第15题
单选题
假设段页式存储管理系统中的地址结构如下图所示,则系统中()。
A.页的大小为4K,每个段的大小均为4096个页,最多可有256个段
B.页的大小为4K,每个段最大允许有4096个页,最多可有256个段
C.页的大小为8K,每个段的大小均为2048个页,最多可有128个段
D.页的大小为8K,每个段最大允许有2048个页,最多可有128个段
【解析】正确答案:
B。
本题考查段页式存储管理,从题目给出的段号、页号、页内地址位数情况,可以推算出每一级寻址的寻址空间。
如:
已知页内地址是从第0位到第11位,共12个位,所以一个页的大小为:
212=4K。
页号是从第12位到第23位,共12个位,所以一个段中最多有212=4096个页。
段号是从第24位到第31位,共8个位,所以最多有28=256个段。
第16题
单选题
Web应用系统负载压力测试中,()不是衡量业务执行效率的指标。
A.并发请求数
B.每秒点击率
C.交易执行吞吐量
D.交易执行响应时间
【解析】正确答案:
A。
本题考查负载压力测试指标。
正确的理解是:
并发请求数是考核系统能够承受的负载,交易执行吞吐量、交易执行响应时间以及每秒点击率是衡量业务执行效率的指标。
第17题
单选题
以下关于数据流图的叙述中,不正确的是()。
A.从数据传递和加工的角度,刻画数据流从输入到输出的移动变化过程
B.描述了数据对象及数据对象之间的关系
C.顶层数据流图仅包含一个数据处理,即目标系统
D.采用自顶向下的方式进行,开始于顶层数据流图,结束于模块规格说明
【解析】正确答案:
B。
数据流图简称DFD,是描述数据处理过程的一种图形工具。
数据流图从数据传递和加工的角度,以图形的方式描述数据在系统流程中流动和处理的移动变换过程,反映数据的流向、自然的逻辑过程和必要的逻辑数据存储。
用数据流图来描述系统,采用的是自顶向下的方式进行,开始于顶层数据流图,结束于模块规格说明,且顶层数据流图仅包含一个数据处理,即目标系统。
第18题
单选题
以下属于静态测试方法的是()。
A.代码审查
B.判定覆盖
C.路径覆盖
D.语句覆盖
【解析】正确答案:
A。
静态测试是指不运行程序,通过人工对程序和文档进行分析与检查
代码检查包括桌面检查、代码审查和走查,主要检查代码和设计的一致性,代码对标准的遵循、可读性,代码逻辑表达的正确性,代码结构的合理性等方面。
属于静态测试
第19题
单选题
以下关于软件测试原则的叙述中,正确的是()。
A.测试用例只需选用合理的输入数据,不需要选择不合理的输入数据
B.应制定测试计划并严格执行,排除随意性
C.穷举测试是可能的
D.程序员应尽量测试自己的程序
【解析】正确答案:
B。
软件测试的原则:
所有的软件测试都应追溯到用户的需求
尽早地和不断地进行软件测试
完全测试是不可能的,测试需要终止:
输入量太大
输出结果太多
路径组合太多
测试无法显示软件潜在的缺陷
充分注意测试中的群集现象
程序员应避免检查自己的程序(除单元测试以外)
尽量避免测试的随意性
第20题
单选题
以下关于白盒测试的叙述中,不正确的是()。
A.满足判定覆盖一定满足语句覆盖
B.满足条件覆盖一定满足判定覆盖
C.满足判定条件覆盖一定满足条件覆盖
D.满足条件组合覆盖一定满足判定条件覆盖
【解析】正确答案:
B。
语句覆盖(SC):
使被测试程序中每条语句至少执行一次
判定覆盖(DC):
使程序中的每个判定至少都获得一次“真值”或“假值”
条件覆盖(CC):
使得每一判定语句中每个逻辑条件的可能值至少满足一次
条件判定组合覆盖(CDC):
使得判定中每个条件的所有可能(真/假)至少出现一次,并且每个判定本身的结果(真/假)也至少出现一次
多条件覆盖(MCC):
使得每个判定中条件的各种可能组合都至少出现一次;一定满足DC、CC和CDC
选项B,条件覆盖只要求条件的真假都被覆盖一次,如条件a&&b,条件可以选择FT,TF这种组合,这种组合只覆盖该判定为假的情况。
升级会员 