软件评测师简答题(部分答案)V1.0剖析

1、安全性测试的测试内容？（用户认证、加密机制、安全防护策略、数据备份与恢复、防病毒系统）安全防护策略？（漏洞扫描、入侵检查、安全日志、隔离防护）数据备份与恢复技术通常涉及那几个方面？（存储设备、存储优化、存储保护、存储管理）基本的防毒技术有哪几部分？（集中式管理、分布式杀毒，数据库技术、LDAP技术应用，多引擎支持，不同操作系统的保护，远程安装或分发安装）基本的安全防护系统测试的测试点？（防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改系统）防火墙的测试点？A、是否支持交换机和路由器两种工作模式B、是否支持对 HTTR FTP、SMTP等服务类型的访问控制C是否考虑到了防火墙的冗

2、余设计D是否支持日志的统计分析功能，日志是否可以存储在本地和网络数据库上E、对防火墙和受保护网段的非法攻击系统，是否提供多种告警方式和多种告警级别入侵检测的测试点？A、能否在检测到入侵事件时，自动执行切断服务，记录入侵过程，邮件报警等动作B、是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载C能否提供多种方式对监视引擎和检测特征的定期更新服务D内置的网络能否使用状况监控工具和网络监听工具漏洞扫描的功能？漏洞扫描器有几种类型？漏洞扫描功能是自动检查远程或本地主机安全性漏洞，以便于及时修补漏洞。1、主机漏洞扫描器，在本地运行检测系统漏洞。2、网络漏洞扫描器，基于网络远程检测目标网络和主机系

3、统漏洞。定期或不定期的使用安全性分析工具，对整个内部系统进行安全扫描，及时发现系统的安全漏洞，报警及提出补救措施。病毒防治的测试点？A、能否支持多平台的病毒防范B、能否支持对服务器的病毒防治C能否支持对电子邮件附件的病毒防治D能否提供对病毒特征信息和检测引擎的定期更新服务E、病毒防范范围是否广泛，是否包括UNIX、Linux、Window等操作系统安全审计的测试点？A、能否支持系统数据采集，统一存储、集中进行安全审计B、是否支持基于PKI的应用审计C是否支持基于XML的审计数据采集协议D是否提供灵活的自定义审计规则Web信息防篡改系统的测试点？A、是否支持多种操作系统B、是否具有集成发布与监控

4、功能，使系统能够区分合法的修改与非法的篡改C是否可以实时发布与备份D是否具备自动监控、自动恢复、自动报警的能力E、是否提供日志管理、扫描策略管理、更新管理安全系统防护体系有哪几层？（实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全）安全性测试方法有哪些？（功能验证、漏洞扫描、模拟攻击实验、侦听技术）功能测试（白盒测试、黑盒测试、灰盒测试）漏洞的类型（拒绝服务漏洞、本地用户扩权漏洞、远程用户扩权漏洞）模拟攻击技术4种类型：A、 服务拒绝型攻击（死亡之ping、泪滴teardrop、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle 攻击、电子邮件炸弹、畸形消

5、息攻击）B、漏洞木马型攻击（口令猜想、特洛伊木马、缓冲区溢出）C信息收集技术（扫描技术、体系结构探测、利用信息服务）D伪装欺骗型攻击（DNS高速缓存污染、伪造电子邮件、ARP欺骗、IP欺骗）主动攻击的方式（窃听、电磁/射频截获、业务流分析、截获并修改、重放、伪装、非法使用、服务拒绝、 特洛伊木马、陷门）安全机制有哪些？1、数字签名机制2、访问控制机制3、数据完整性机制4、认证机制5、通信业务填充机制 6、路由器控 制机制7、公正机制请简述系统的安全防护体系中安全系统的主要构成一般包括什么？答：安全系统的主要构成一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务 系统、可信授

6、权服务系统、可信时间戳服务系统、网络信任域系统、故障恢复与容灾备份。软件产品安全测试的内容？（用户管理与访问控制、通信机密、安全日志）用户管理与访问控制包括哪些？（用户权限控制、操作系统安全性测试、数据库权限的测试）用户名称的测试关键？（测试用户名称的唯一性， A同时存在的用户名称在不考虑大小写的状态下，不能同名，B、对于已经删除或者停用的用户名称，应保留用户记录，并且新的用户名称不能与之同名） 用户口令的测试点？应注意用户口令的强度、存储位置、加密强度最大口令时效、最小口令时效、口令历史、口令复杂度、加密选项、口令锁定、口令复位 操作系统安全性的测试点是什么？A、是否关闭或卸载了不必要的服务

7、或程序B、是否存在不必要的帐户C权限设置是否合理D安装相应的安全补丁程序E、操作系统日志管理数据库权限的测试点是什么？A、 应用软件部署后，数据库管理用户的设置应当注意对帐户的保护，超级用户口令不得为空或者为默认口 令，对数据库帐号和组的权限应做相应的设置，如锁定一些默认的数据库用户，撤销不必要的权限B、数据库中关于应用软件用户权限和口令存储的相关表格，应尽量采用加密算法进行加密C软件企业在进行软件产品研发时，开发人员通常为了方便在客户端与数据库通信时，均使用超级用户及默认口令访问数据库，这种方式带来严重的安全隐患，测试人员可以通过网络侦听技术活使用白盒测试进 行测试，并且建议开发人员根据不同

8、程序访问数据库的功能使用不同的数据库用户进行连接，且必须设置 复杂的密码。通信加密通常使用什么手段完成？（验证和侦听技术）安全日志应当记录哪些内容？记录用户访问系统的所有操作内容，如登录名称、登录ip、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间等安全测试中应当检查安全日志的哪些方面？测试人员应根据业主要求和设计需求，对日志的完整性、正确性进行测试，测试安全日志是否包含该些内 容，是否正确，并且对于大型的应用软件来说，系统是否提供了安全日志的智能分析能力，是否可以按照 各种特征项进行日志统计，分析潜在的安全隐患，并且及时发现非法行为安全保护国家标准有哪几个级别？5个级别1、用户

9、自主保护级：普通内联网用户；2、系统审计保护级：内联和国际商务活动，需要保密的非重要单位；3、 安全标记保护级：地方级国家机关，金融，邮电，能源，交通，大型工商与it，重点工程；4、 结构化保护级：中央，广播电视，重要物资储备，社会应服务，尖端科技，国家科研国防高妹;5、 安全域级保护级（访问验证）：国防关键部门和依法需要对计算机系统实施特殊隔离的单位。易用性特性（易理解性、易学习性、易操作性、易吸引性、易用性依从性）易用性测试的内容？ （安装测试、界面测试、辅助系统测试）安装测试的内容？1、用户手册的评估 2、安装选项和设置的测试 3、安装自动化程度4、安装中断测试5、安装顺序测试6、 安装

10、的正确性7、多环境安装测试8、安装的修复和卸载测试功能易用性测试的范围包括哪些？1、业务复符合性2、功能定制性3、业务模块的集成度 4、数据共享能力5、约束性6、交互性7、系 统信息与错误提示界面整体测试的测试点？（一致性、规范性、合理性、界面定制性测试 ）界面元素的测试点？ （桌面、菜单、图标、鼠标、文字）帮助测试的要点？（内容的正确性、与程序的接口、索引的查询、超链接的正确性、超链接的意义、风格简洁） 可靠性（成熟性、容错性、易恢复性）可靠性是指产品在规定的条件下和规定的时间内完成规定功能的能力可靠性测试的广义定义与狭义定义是什么？广义可靠性测试：是为了最终评价软件系统的可靠性而运用建模、

11、统计、实验、分析、评价等一系列手段 对软件系统实施的一种测试狭义可靠性测试：是为了获取可靠性数据，按预先确定的测试用例，在软件的预期使用环境中，对软件实 施的一种测试可靠性定嚴拒标关效槪辜卜'（口指时同t内，较件发生光效的#（率2可詐百RW在嗣定条缨下.时间说不快效的卿率1戋效僵摩"J单位时何软件系统出现先效的槪率4果效率 （t）时Ith内软井求尖效#之后A:时獨软件系统出现先效的槪率0（平均无先效时间MHF我件运行后，到下一决出現央效的平均时.可匸毗To乎均蜒复时I6JMTRF累祀呂更实测时盲宜的均怕linF ?：apair5宰均左敖障时tnJtfTBF雪加间隔故障吋段后的

12、均僖T 1 1BP从技术的角度看影响软件可靠性的主要因素有哪些？运行剖面、软件规模、软件内部结构、软件开发方法和环境、软件的可靠性投入软件可靠性模型通常有哪几部分组成？模型假设、性能度量、参数估计方法、数据要求一个好的软件可靠性模型应具有哪些重要特性？基于可靠的假设、简单、计算一些有用的量、给出未来失效行为的好的映射、可广泛应用软件可靠性模型有哪几种分类？种子法、失效率类、曲线拟合法、可靠性增长模型、程序结构分析模型、输入域分类模型、执行路径分析 方法、非齐次松过程模型、马尔可夫过程模型、贝叶斯类模型可靠性定量指标有哪些？当前的可靠度、平均无失效时间、故障密度、期望达到规定可靠性目标的日期、达

13、到规定的可靠性目标的 成本要求软件可靠性设计技术主要有哪些？容错设计技术、检错技术、降低复杂度设计文档测试包括哪些测试？（用户文档测试、开发文档测试、管理文档测试）用户文档有哪些？作用是什么？需要注意哪些问题？测试要点是什么？该怎么测试？1、 内容：用户手册、操作手册、维护修改建议（包装上的文字或图案，宣传材料、广告或插页，授权/注 册登记表，标签或不干胶，安装和设置指导，联机帮助，指南、向导，样例、示例或模板，错误提示信息）2、作用：改善易安装性、提高软件的易用性、改善软件的可靠性、促进销量、降低技术支持的费用3、注意问题：文档得不到重视、编写文档的人不专业、印刷周期长、印刷质量差、文档测试

14、不仅仅只是文字测试，还要辅助找出程序错误4、测试要点：读者群、术语、正确性、完整性、一致性、易用性、图表与界面截图、样例示例、语言、印刷与包装5、 怎么测试：1、准确地按照手册的描述使用程序 2、尝试每一条建议3、检查每条陈述4、查找容易误 导用户的内容开发文档有哪些？可行性研究报告、用户需求说明书、软件概要设计说明书、软件详细设计说明书、数据库设计说明书管理文档有哪些？项目开发计划、测试计划、测试报告、开发进度月报、开发总结报告在线帮助的测试点是什么？内容的正确性、与程序的接口、索引的查询、超链接的正确性、超链接的意义、风格简洁兼容性测试有哪些？（硬件兼容性测试、软件兼容性测试、数据兼容性测

15、试、平台化软件兼容性测试、新旧系统数据迁移测试）硬件兼容性测试需要确认那几点？最低配置是否能够满足系统运行的要求在推荐配置下系统的响应是否迅速考察软件对运行硬件环境是否有特殊要求说明为了满足不同的使用需求硬件都需要跟哪些进行兼容？（与整机兼容、与卡板及配件兼容、与打印机兼容、其他）软件兼容性都需要跟哪些兼容？（操作系统兼容、数据库兼容、中间件兼容、浏览器兼容、其他软件兼容）数据兼容有哪些？（不同数据格式兼容、XML符合性）主机兼容性测试1. 确认软件能否运行在不同系列的计算机2. 同一系列主机上，确认软件所要求的最低配置和推荐配置的合理性和正确性；配置指标主要对CUP内存和硬盘的要求1）CUP

16、 CPU的内存和主频。CUP平均值不超过75%2）内存：不是越大越好，最低配置要求要小于目前主机的标配内存3）硬盘：测试不同容量和转速下软件运行的效率，服务器根据实际情况选择大容量、高转速的硬盘，必要 时增配磁盘阵列；客服端的最低配置不应高于目前机型标配的硬盘容量以及转速。板卡、配件以及外设兼容性1. 检查板卡。配件以及外设的生产厂商是否提供了驱动程序2. 检查操作系统是否提供了这些板卡。配件以及外设的生产厂商是否提供了驱动程序3. 对于随应用程序板卡。配件以及外设应该特别注意软件兼容性测试1. 跨平台兼容性测试2. 操作系统不同版本的兼容性测试3. 操作系统不同语言版本的兼容性测试4. 不同

17、厂家、相同类型的操作系统测试数据库兼容性测试1.SQL符合性测试2.ODBC符合性测试3. JDBC符合性测试数据兼容性测试1. 编码体系测试1）汉字编码体系测试2）少数民族文字编码体制测试2. 数据标准符合性测试3. 新旧系统数据兼容和数据迁移测试平台软件兼容性测试1. 平台软件的硬件兼容性测试安静的操作系统2. 平台软件的操作系统兼容性测试3. 平台软件的数据库兼容性测试4. 平台软件的数据兼容性测试5. 平台软件的文种兼容性测试系统的负载压力只要有哪些？（并发性能测试、疲劳强度测试、大数据量测试）负载压力测试指标分几类？（客户端交易处理指标、服务器资源监控指标、数据库资源监控指标、Web

18、服务器监控资源指标、中间件监控指标）什么是负载测试？（通过逐步增加系统负载，测试系统性能的变化，并最终确定在满足性能指标的情况下， 系统所能承受的最大负载量的测试）什么是压力测试？（通过逐步增加系统负载，测试系统性能的变化，并最终确定在什么负载情况下，系统 性能处于失效状态，并以此来获得系统能提供的最大服务级别的测试，压力测试是一种特定的负载测试） 什么是并发性测试？（逐步增加并发用户数负载，直到系统的瓶颈或不可接受的性能点，通过综合分析交易执行指标、资源指标等来确定系统并发性能的过程）什么是疲劳强度测试？（通常是采用系统稳定运行情况下能够支持的最大并发用户数，或者日常运行用户数，持续执行一段

19、时间业务，保证达到系统疲劳强度需求的业务量，通过综合分析交易执行指标和资源监 控指标，来确定系统处理最大工作量强度的性能测试过程）什么是大数据量测试？（独立的数据量测试和综合的数据量测试）性能测试的步骤是什么？1、制定目标和分析系统2、选择测试度量的方法3、学校相关的技术和工具4、定制评估标准5、设计测试用例6、运行测试动力7、分析测试结果什么是交易吞吐量？（系统服务器每秒所能够处理通过的交易数）什么是交易响应时间？（系统完成事务执行准备和系统完成待执行事务后所采集的系统时间戳之间的时间间隔，是衡量特定类型应用事务性能的重要指标，标识用户执行一项操作大致需要多长时间）什么是并发用户数？（同一物

20、理时刻所有在线用户同时执行同一个操作）什么是在线用户数？（在一段物理时间内在线的用户，并不会同时执行某一操作）负载压力测试工具主控台的作用是什么？（管理负载生成器，并收集测试数据）负载均衡器的作用是什么？（ 1、将客户端的负载均匀分摊不同的应用服务器上，达到最佳的服务器集群性能2、当某台应用服务器出现错误时，错误信息将返回到均衡器上，然后会将客户的访问指向另外一台应 用服务器上）负载压力测试工具中负载生成器的作用？（模拟客户端执行负载压力测试）随着并发数的递增，交易执行成功率下降的原因？（ 1、服务器端架构设计不合理，2、服务器端参数设置不合理，3、软件系统实现存在问题）系统性能不足有哪些调优

21、措施？检查软件设计、软件开发是否正确检查软件参数设置是否合理评估服务器端架构设计是否合理评估应用服务器和数据库服务器的匹配是否满足系统性能需求数据库性能不足的主要原因？解决方案？服务器资源负载过重数据库设计不合理数据库单个事务响应时间过长系统并发负载造成最终用户响应时间过长解决方案：采用数据库集群策略，并注意配置正确Web功能测试包括哪些测试？（链接测试、表单测试、Cookies测试、设计语言测试、数据库测试）Web性能测试包括哪些测试（连接速度测试、负载测试、压力测试）Web可用性测试包括哪些？（导航测试、图形测试、内容测试、整理界面测试）Webt容性测试包括哪些？（平台兼容性、浏览器兼容）

22、Web安全测试主要有哪些？1、测试用户名、密码的有效性，是否大小写敏感、可以试多少次限制、是否可以不登录直接浏览某个网页2、Web应用系统是否有登录超时限制3、Web应用系统相关信息是否写进日志文件，是否可追踪4、当使用了安全套接字时，还要测试加密是否正确，检查信息的正确性5、没经过测试授权的不能再服务器端放置和编辑脚本Web测试策略文档都包含哪几点？（测试目的、资源需求、测试环境、测试过程）Web应用开发测试中静态测试技术有哪几种？（语法检查、链接检查、控制流分析、数据流分析、信息流 分析、语义分析） 网络测试的对象有哪些？（路由器、集线器、交换机、网桥；网段；全局网；网络操作系统；文件服务

23、器; 工作站）0SI7层次模型？每个层次所涉及的协议？物理层RS232 V.35、RJ-45、FDDI数据链路层IEEE802.3/2 HDLC、PPP、ATM网络层IP IPX传输层TCP UDP SPX会话层RPC SQL NFS表示层JPEG ASCII GIF DES MPEG应用层HTTP TELNET FTP SMTP NFSCMM软件能力成熟度模型1初始级2可重复级3定义级4管理级5优化级类图包含哪些？1、泛化 是一种继承关系，表示一般与特殊的关系，带三角箭头的实线，箭头指向父类|:2、实现 是一种类与接口的关系，表示类是接口所有特征和行为的实现带三角箭头的虚线，箭头指向接口3、

24、关联是一种拥有的关系带普通箭头的实心线，指向被拥有者"n4、聚合是整体与部分的关系A带空心菱形的实心线，菱形指向整体13 / 12-特性水飞期-特性-换布+下蕭0-瞬-SHE*T$0-W4-ttft-特性-W±= hft 作用例图包含哪些?参与者aetorl用例关联泛化包含扩展依赖IBK关说明表示符号黄联参与者与用例间的关系歩与者之间或用例之间的关系用例之间的关系农包括：*>扩展用例之间的关系崔扩展*茅亍用洌團示例：配置管理包含哪些？（配置标识项、配置控制、配置状态报告、配置审计）软件错误、软件缺陷、软件故障、软件失效的区别？软件失效机理：软件错误-> 软件缺陷

25、-> 软件故障-> 软件失效软件错误：指在软件生命周期内不希望或不可接受的人为错误软件缺陷：是存在于软件（文档、程序、数据）之中那些不希望或不可接受的偏差软件故障：是指软件运行过程中岀现的一种不希望或不可接受的内部状态软件失效：是指软件运行时产生的一种不希望或不可接受的外部行为结果软件测试与质量保证、软件质量的区别？软件测试：执行软件，对过程中的产物（开发文档、源代码、数据）等进行走查，运行软件，找岀问题， 报告质量，软件测试的目的：发现程序中的问题，对软件质量进行评估。质量保证：质量保证的重要工作是通过预防、检查与改进来保证软件质量，主要关注软件开发活动中的过 程、步骤、产物。软

26、件质量：软件满足规定或潜在用户需求特性的总和，包括内部质量、外部质量、使用质量 软件测试的原则？所有的软件测试都应追溯到用户需求“尽早地和不断低进行软件测试”当座右铭完全测试是不可能的，测试需要终止测试无法显示软件潜在的缺陷充分注意测试中的集群现象程序员应当避免测试自己的程序尽量避免测试的随意性软件测试质量包括哪些管理要素 ？测试过程（技术过程、管理过程、支持过程）测试人员及组织测试工作文档软件测试质量控制的主要方法？评审测试文档、审核测试过程、制定测试计划测试信息流三类输入：软件配置、测试配置、测试工具软件测试按阶段分类？单元测试：针对每个单元的测试，以确保每个模块能正常工作为目标集成测试：对已测试过的模块进行组装，进行集成测试。目的在于检验与软件设计相关的程序结构问题确认测试：是通过检验和提供客观证据，证实软件是否满足特定预期用途的需求，是否满足需求规格说明 书中规定的需求系统测试：是在真实或模拟系统运行的环境下，检查完整的程序系统能否和系统（硬件、外设、网络、系 统软件、支持平台）正确配置、连接、并满足用户需求验收测试：按照项目任务书和合同、供需双方约定的验收依据文档进行的对整个系统的测试与评审，决定 是否接收货拒收系统缺陷探测率？=测试人员发现的错误/（测试人员发现的错误