《2022年软考-系统分析师考前模拟强化练习题61(附答案详解)》由会员分享,可在线阅读,更多相关《2022年软考-系统分析师考前模拟强化练习题61(附答案详解)(31页珍藏版)》请在金锄头文库上搜索。
1、2022年软考-系统分析师考前模拟强化练习题(附答案详解)1. 案例题阅读以下关于Web应用系统的叙述,在答题纸上回答问题1至问题3。【说明】某公司因业务需要,拟在短时间内同时完成“小型图书与音像制品借阅系统”和“大学图书馆管理系统”两项基于B/S的Web应用系统研发工作。小型图书与音像制品借阅系统向某所学校的所有学生提供图书与音像制品借阅服务。所有学生无需任何费用即可自动成为会员,每人每次最多可借阅5本图书和3个音像制品。图书需在1个月之内归还,音像制品需在1周之内归还。如未能如期归还,则取消其借阅其他图书和音像制品的权限,但无需罚款。学生可通过网络查询图书和音像制品的状态,但不支持预定。大
2、学图书馆管理系统向某所大学的师生提供图书借阅服务。有多个图书存储地点,即多个分馆。搜索功能应能查询所有的分馆的信息,但所有的分馆都处于同一个校园内,不支持馆际借阅。本科生和研究生一次可借阅16本书,每本书需在1个月内归还。教师一次可借阅任意数量的书,每本书需在2个月内归还,且支持教师预定图书。如预定图书处于被借出状态,系统自动向借阅者发送邮件提醒。借阅期限到达前3天,向借阅者发送邮件提醒。超出借阅期限1周,借阅者需缴纳罚款2元/天。存在过期未还或罚款待缴纳的借阅者无法再借阅其他图书。图书馆仅向教师和研究生提供杂志借阅服务。基于上述需求,该公司召开项目研发讨论会。会议上,李工建议开发借阅系统产品
3、线,基于产品线完成这两个Web应用系统的研发工作。张工同意李工观点,并提出采用 MVP(Model View Presenter)代替MVC的设计模式研发该产品线。【问题1】(6分)软件产品线是提升软件复用的重要手段,请用300字以内的文字分别简要描述什么是软件复用和软件产品线。【问题2】(16分)产品约束是软件产品线核心资产开发的重要输入,请从以下已给出的(a)(k)各项内容,分别选出产品的相似点和不同点填入表5-1中(1)(8)处的空白,完成该软件产品线的产品约束分析。(a)项目当前状态;(b)项目操作;(c)预定策略;(d)会员分类;(e)借阅项目数量;(f)项目的类型和属性;(g)检索
4、功能;(h)与支付相关的用户信息;(i)图书 编号;(j)教师;(k)学生【问题3】(3分)MVP模式是由MVC模式派生出的一种设计模式。请说明张工建议借阅系统产品线采用MVP模式代替MVC模式的原因。【答案】【问题1】软件复用是将已有软件的各种有关知识用于建立新的软件,以缩减软件开发和维护的花费。软件复用是提高软件生产力和质量的一种重要技术。早期的软件复用主要是代码级复用,被复用的知识专指程序,后来扩大到包括领域知识、开发经验、设计决定、体系结构、需求、设计、代码和文档等一切有关方面。软件产品线是一个产品集合,这些产品共享一个公共的、可管理的特征集,这个特征集能满足特定领域的特定需求。软件产
5、品线是一个十分适合专业的开发组织的软件开发方法,能有效地提高软件生产率和质量,缩短开发时间,降低总开发成本。【问题2】(1)h(2)a(3)b(4)g(5)f(6)e(7)c(8)d【问题3】MVP与MVC相比,最在的差异在于层次之类的耦合度不一样。MVP将M与V彻底分离,所有交互均通过P传达,这样,有利于软件构件及架构的重用,也利于修改,有良好的可扩展性。【解析】略2. 单选题甲公司委托乙公司开发一种工具软件,未约定软件的使用权、转让权及利益分配办法,甲公司按规定支付乙公司开发费用。然而,乙公司按约定时间开发该工具软件后,在未向甲公司交付之前,将其转让给丙公司。下列说法中,正确的是( )。问
6、题1选项A.该工具软件的使用权属于甲公司B.甲和乙公司均有该工具软件的使用权和转让权C.乙公司与丙公司的转让合同无效D.该工具软件的转让权属于乙公司【答案】B【解析】合同法第341条规定,委托开发或者合作开发完成的技术秘密成果的使用权、转让权以及利益的分配办法,由当事人约定。没有约定或者约定不明确,依照本法第六十一条的规定仍不能确定的,当事人均有使用和转让的权利,但委托开发的研究开发人不得在向委托人交付研究开发成果之前,将研究开发成果转让给第三人。答案为B。3. 单选题在信息安全领域,基本的安全性原则包括保密性(Confidentiality)、完整性(Integrity)和可用性(Avail
7、ability)。 保密性指保护信息在使用、传输和存储时()。信息加密是保证系统保密性的常用手段。使用哈希校验是保证数据完整性的常用方法。可用性指保证合法用户对资源的正常访问,不会被不正当地拒绝。()就是破坏系统的可用性。问题1选项A.不被泄露给已注册的用户B.不被泄露给未授权的用户C.不被泄露给未注册的用户D.不被泄露给已授权的用户问题2选项A.XSS跨站脚本攻击B.DoS拒绝服务攻击C.CSRF跨站请求伪造攻击D.缓冲区溢出攻击【答案】第1题:B第2题:B【解析】第1题:本题是对信息安全相关概念的考查。在信息安全领域,基本的安全性原则包括保密性(Confidentiality)、完整性(I
8、ntegrity)和可用性(Availability)。1、保密性保密性用一句话来说就是,确保数据只被授权的主体访问,不被任何未授权的主体访问。简单用一个词总结就是“不可见”。第一空为B选项。举个例子,你不会允许陌生人查看你的个人隐私信息,但你可能会允许父母、朋友查看部分信息。再比如微信朋友圈,你可以允许好友查看三天内的数据,但不允许好友查看三天前的数据。首先需要注意,保密性的一个前提是明确授权规则,也就是明确每一项数据可以被什么样的主体访问。在这个问题上,最安全的方法一定是,当每一次主体访问某一项数据时,都由相关负责人对该次行为进行审批。但这样肯定是无法落地的,因为互联网每天都有亿万次的数据
9、访问行为在发生。因此,在安全领域我们提出了很多访问控制机制,对数据和访问主体打上标签或者分类,并制定相应的访问控制规则去自动进行授权。另外,数据的存储、传输和处理过程也需要受到应有的保护。这些保护技术包括:加密、隔离、混淆、隐藏等。2、完整性完整性就是确保数据只被授权的主体进行授权的修改。所谓“授权的修改”,就是对主体可进行的操作进行进一步的限制。比如,只能追加数据的主体无法执行删除的操作。在授权方面,机密性中提到的访问控制机制同样适用。除此之外,完整性会更加强调对修改行为的日志记录,并有合适的监督机制进行审计。在保护技术方面,只要是利用加密、签名等技术,使得数据的完整性变得可验证。针对完整性
10、的攻击也和机密性一样,更多的是由于人为原因导致的疏忽。除了黑客本身对数据的恶意篡改,已授权的主体也可能对数据完整性产生破坏,比如员工意外地删除数据、程序bug导致错误数据被写入。3、可用性可用性就是确保数据能够被授权的主体访问到,简单来说,就是“可读”。举个例子,面对高峰期的集中用户访问,如何保障用户能够正常地获取数据(双11购物或者DDoS攻击等),你可以看到大量的研发人员对这个问题进行探讨和分析,但这其实都属于安全在可用性上的考量范围。第二空为B选项。第2题:XSS跨站脚本攻击:XSS攻击通常指的是通过利用网页开发时留下的漏洞,通过巧妙的方法注入恶意指令代码到网页,使用户加载并执行攻击者恶
11、意制造的网页程序。这些恶意网页程序通常是JavaScript,但实际上也可以包括Java、Flash等文件,甚至是普通的HTML。攻击成功后,攻击者可能得到包括但不限于更高的权限(如执行一些操作)、私密网页内容、会话和cookie等各种内容。这种攻击方式系统仍然是可用的。DoS拒绝服务攻击:DoS攻击是指故意的攻击网络协议实现的缺陷或直接通过野蛮手段残忍地耗尽被攻击对象的资源,目的是让目标计算机或网络无法提供正常的服务或资源访问,使目标系统服务系统停止响应甚至崩溃,而在此攻击中并不包括侵入目标服务器或目标网络设备。这些服务资源包括网络带宽,文件系统空间容量,开放的进程或者允许的连接。这种攻击会
12、导致资源的匮乏,无论计算机的处理速度多快、内存容量多大、网络带宽的速度多快都无法避免这种攻击带来的后果。这里破坏的是系统可用性,本题选择B选项。CSRF跨站请求伪造攻击:CSRF跨站请求攻击是指故意攻击者通过一些技术手段欺骗用户的浏览器与访问一个自己曾经认证过的网站并执行一些操作(如转账或购买商品等)。由于浏览器都曾经认真过,所以被访问的完整会认为是真正的用户在操作而去执行。这种攻击方式系统仍然是可用的。缓冲区溢出攻击:缓冲区溢出是一种非常普遍、同时非常危险的漏洞,在各种操作系统、应用软件中广泛存在。缓冲区溢出攻击是利用缓冲区溢出漏洞所进行的攻击,轻则可以导致程序失败、系统关机等,重则可以利用
13、它执行非授权指令,甚至获取系统特权,从而进行其它的非法操作。这种方式可能会造成系统不可用,也可能不会破坏系统可用性,对比来看,这种攻击强调的是利用程序漏洞,B选项单纯指破坏系统可用性,因此B选项更合适。4. 案例题某商校拟开发一套图书馆管理系统,在系统分析阶段,系统分析师整理的核心业务流程与需求如下:系统为每个读者建立一个账户,并给读者发放读者证(包含读者证号、读者姓名),账户中存储读者的个人信息、借阅信息以及预订信息等,挂有读者证可以借阅图书、返还图书、查询图书信息、预订图书、取消预订等。在借阅图书时,需要输入读者所借阅的图书名、ISBN号,然后输入读者的读者证号,完成后提交系统,以进行读者
14、验证,如果读者有效,借阅请求被接受,系统查询读者所借阅的图书是否存在,若存在,则读者可借出图书,系统记录借阅记录;如果读者所借的图书已被借出,读者还可预订该图书。读者如期还书后,系统清除借阅记录,否则需缴纳罚金,读者还可以选择续借图书。同时,以上部分操作还需要系统管理员和图书管理员参与。【问题1】(6分)采用面向对象方法进行软件系统分析与设计时,一项重要的工作是进行类的分析与设计。请用200字以内的文字说明分析类图与设计类图的差异。【问题2】(11分)设计类图的首要工作是进行类的识别与分类,该工作可分为两个阶段“”首先,采用识别与筛选法,对需求分析文档进行分析,保留系统的重要概念与属性,删除不
15、正确或冗余的内容;其次,将识别出来的类按照边界类、实体类和控制类等三种类型进行分类。请用200字以内的文字对边界类,实体类和控制类的作用进行简要解释,并对下面给出的候选项进行识别与筛选,将合适的候选项编号填入表2-1中的(1)(3)空白处, 完成类的识别与分类工作。表2-1图书管理系统类识别与分类表格候选项:a)系统管理员b)图书管理员c)读者d)读者证e)账户f)图书g)借阅h)归还i)预订j)罚金K)续借I)借阅记录【问题3】(8分)根据类之间的相关性特点,可以将类之间的关系分为组合(composition),继承(inheritance),关联 (association),聚合(aggregation)和依赖 (dependency)等5种, 请用300字以内的文字分别对这5种关系的内涵进行叙述,并从封装性、动态组合和创建对象的方便性三个方面对组合和继承关系的优缺点进行比较。【答案】【问题1】(6分)分析阶段的类图主要是从业务领域获取信息的,在描述上更多使用了业务领域的语言和词汇。设计阶段的类图是从编程实现角度来设计类图的,更多的是考虑类编码的实现。【问题2】(11分)
