1.1 信息系统与信息化
1.1.1信息的基本概念
1、信息的质量属性:
(1)精确性,对事务状态描述的精准程度
(2)完整性,对事务状态描述的全面程度,完整信息应包含所有重要事实
(3)可靠性,指信息的来源、采集方法、传输过程是可以信任的,符合预期。
(4)及时性,指获得信息的时刻与事件发生时刻的间隔长短。昨天的天气信息不论怎样精确、完整,对指导明天的穿衣并无帮助,从这个角度出发,这个信息的价值为零
(5)经济性,指信息获取、传输带来的成本在可以接受的范围之内
(6)可验证性,指信息的主要质量属性可以被证实或者证伪的程度
(7)安全性,指在信息的生命周期中,信息可以被非授权访问的可能性,可能性越低,安全性越高。
2、信息是有价值的一种客观存在。信息技术主要为解决信息的采集、加工、存储、传输、处理、计算、转换、表现等问题而不断繁荣发展。信息只有流动起来,才能体现其价值,因此信息的传输技术(通常指通信、网络等)是信息技术的核心。信息的传输模型,如图
(1)信源:产生信息的实体
(2)信宿:信息的归宿或接收者
(3)信道:传送信息的通道,如TCP/IP网络
(4)编码器:在信息论中是泛指所有变换信号的设备
(5)译码器:译码器是编码器的逆变换设备
(6)噪声:噪声可以理解为干扰,干扰可以来自于信息系统分层结构的任何一层,当噪声携带的信息大到一定程度的时候,在信道中传输的信息可以被噪声掩盖导致传输失败
3、一般情况下,信息系统的主要性能指标是它的有效性和可靠性。有效性就是在系统中传送尽可能多的信息;而可靠性是要求信宿收到的信息尽可能地与信源发出的信息一致,或者说失真尽可能小。
1.1.3信息化的基本概念
1、信息化从“小”到“大”分为以下五个层次:
(1)产品信息化。产品信息化是信息化的基础
(2)企业信息化。企业信息化是指企业在产品的设计、开发、生产、管理、经营等多个环节中广泛利用信息技术
(3)产业信息化
(4)国民经济信息化
(5)社会生活信息化
2、信息化的主体是全体社会成员,包括政府、企业、事业、团体和个人;它的时域是一个长期的过程;它的空域是政治、经济、文化、军事和社会的一切领域;它的手段是基于现代信息技术的先进社会生产工具;它的途径是创建信息时代的社会生产力,推动社会生产关系及社会上层建筑的改革;它的目标是使国家的综合实力、社会的文明素质和人民的生活质量全面提升
3、两网是指政务内网和政务外网。“一站”,是指政府门户网站
4、国家信息化体系6要素
(1)信息资源。信息资源的开发和利用是国家信息化的核心任务,是国家信息化建设取得实效的关键,也是我国信息化的薄弱环节
(2)信息网络。信息网络是信息资源开发和利用的基础设施
(3)信息技术应用。信息技术应用是信息化体系六要素中的龙头,是国家信息化建设的主阵地,集中体现了国家信息化建设的需求和效益
(4)信息技术和产业。信息产业是信息化的物质基础
(5)信息化人才。人才是信息化的成功之本
(6)信息化政策法规和标准规范。信息化政策和法规、标准、规范用于规范和协调信息化体系各要素之间的关系,是国家信息化快速、有序、健康和持续发展的保障
1.1.4信息系统生命周期
1、信息系统的生命周期可以简化为系统规划(可行性分析与项目开发计划)、系统分析(需求分析)、系统设计(概要设计、详细设计)、系统实施(编码、测试)、运行维护等阶段。
为了便于论述针对信息系统的项目管理,信息系统的生命周期还可以简化为立项(系统规划)、开发(系统分析、系统设计、系统实施)、运维及消亡四个阶段,在开发阶段不仅包括系统分析、系统设计、系统实施,还包括系统验收等工作。如果从项目管理的角度来看,项目的生命周期又划分为启动、计划、执行和收尾4个典型的阶段。
(1)系统规划阶段
系统规划阶段的任务是对组织的环境、目标及现行系统的状况进行初步调查,对建设新系统的需求做出分析和预测, 同时考虑建设新系统所受的各种约束,研究建设新系统的必要性和可能性。给出拟建系统的备选方案。对这些方案进行可行性研究,写出可行性研究报告。可行性研究报告审议通过后,将新系统建设方案及实施计划编写成系统设计任务书
(2)系统分析阶段
系统分析阶段的任务是根据系统设计任务书所确定的范围,对现行系统进行详细调查,描述现行系统的业务流程,指出现行系统的局限性和不足之处,确定新系统的基本目标和逻辑功能要求,即提出新系统的逻辑模型。
系统分析阶段又称为逻辑设计阶段。系统分析阶段的工作成果体现在系统说明书中。系统说明书一旦讨论通过,就是系统设计的依据,也是将来验收系统的依据
(3)系统设计阶段
系统分析阶段的任务是回答系统“做什么”的问题,而系统设计阶段要回答的问题是“怎么做”。该阶段的任务是根据系统说明书中规定的功能要求,考虑实际条件,具体设计实现逻辑模型的技术方案。又称为物理设计阶段,可分为总体设计(概要设计)和详细设计两个子阶段。这个阶段的技术文档是系统设计说明书
(4)系统实施阶段
系统实施阶段是将设计的系统付诸实施的阶段。这一阶段的任务包括计算机等设备的购置、安装和调试、程序的编写和调试、人员培训、数据文件转换、系统调试与转换等。系统实施是按实施计划分阶段完成的,每个阶段应写出实施进展报告。系统测试之后写出系统测试分析报告
(5)系统运行和维护阶段
系统投入运行后,需要经常进行维护和评价,记录系统运行的情况,根据一定的规则对系统进行必要的修改,评价系统的工作质量和经济效益。
1.2 信息系统开发方法
常用的开发方法包括结构化方法、面向对象方法、原型化方法、面向服务的方法等。
1.2.1结构化方法
1、结构化方法也称为生命周期法;是一种传统的信息系统开发方法,由结构化分析(SA)、结构化设计(SD)和结构化程序设计(SP)三部分有机组合而成,其精髓是自顶向下、逐步求精和模块化设计。
2、总结起来,结构化方法的主要特点列举如下:
(1)开发目标清晰化。
(2)开发工作阶段化。
(3)开发文档规范化。
(4)设计方法结构化。
3、结构化方法特别适合于数据处理领域的问题,但不适应于规模较大、比较复杂的系统开发,这是因为结构化方法具有以下不足和局限性:
(1)开发周期长。
(2)难以适应需求变化。
(3)很少考虑数据结构。
1.2.2面向对象方法
1、面向对象(OO)方法认为,客观世界是由各种对象组成的,任何事物都是对象。与结构化方法类似,OO方法也划分阶段,但其中的系统分析、系统设计和系统实现三个阶段之间已经没有“缝隙”。也就是说,这三个阶段的界限变得不明确
2、当前,一些大型信息系统的开发,通常是将结构化方法和OO方法结合起来。首先, 使用结构化方法进行自顶向下的整体划分;然后,自底向上地采用OO方法进行开发。
1.2.3原型化方法
1、原型化方法也称为快速原型法,或者简称为原型法。它是一种根据用户初步需求,利用系统开发工具,快速地建立一个系统模型展示给用户,在此基础上与用户交流,最终实现用户需求的信息系统快速开发的方法。
2、从原型是否实现功能来分,可分为水平原型和垂直原型两种。水平原型也称为行为原型,用来探索预期系统的一些特定行为,并达到细化需求的目的。水平原型通常只是功能的导航,但并未真实实现功能。水平原型主要用在界面上;垂直原型也称为结构化原型,实现了一部分功能。垂直原型主要用在复杂的算法实现上。
3、从原型的最终结果来分,可分为抛弃式原型和演化式原型。抛弃式原型也称为探索式原型,是指达到预期目的后,原型本身被抛弃。演化式原型为开发增量式产品提供基础,逐步将原型演化成最终系统。主要用在必须易于升级和优化的场合,特别适用于Web项目。
4、原型法的特点主要体现在以下几个方面。
(1)原型法可以使系统开发的周期缩短、成本和风险降低、速度加快,获得较高的综合开发效益。
(2)原型法是以用户为中心来开发系统的;用户参与的程度大大提高,开发的系统符合用户的需求,因而增加了用户的满意度,提高了系统开发的成功率
(3)由于用户参与了系统开发的全过程,对系统的功能和结构容易理解和接受,有利于系统的移交,有利于系统的运行与维护。
5、原型法也不是万能的,它也有不足之处,主要体现在以下两个方面
(1)开发的环境要求高
(2)管理水平要求高
由以上的分析可以看出,原型法的优点主要在于能更有效地确认用户需求。从直观上来看,原型法适用于那些需求不明确的系统开发。事实上,对于分析层面难度大、技术层面难度不大的系统,适合于原型法开发;而对于技术层面的困难远大于其分析层面的系统,则不宜用原型法。
1.2.4面向服务的方法
1、对于跨构件的功能调用,则采用接口的形式暴露出来。进一步将接口的定义与实现进行解耦,则催生了服务和面向服务的开发方法。如何使信息系统快速响应需求与环境变化,提高系统可复用性、信息资源共享和系统之间的互操作性,成为影响信息化建设效率的关键问题,而SO的思维方式恰好满足了这种需求。
1.3 常规信息系统集成技术
1.3.1网络标准与网络协议
1.OSI协议:OSI采用了分层的结构化技术,从下到上共分七层:
(1)物理层:该层包括物理连网媒介,如电缆连线连接器。该层的协议产生并检测电压以便发送和接收携带数据的信号。具体标准有RS232、V.35、RJ-45、FDDI。
(2)数据链路层:它控制网络层与物理层之间的通信。它的主要功能是将从网络层接收到的数据分割成特定的可被物理层传输的帧。常见的协议有IEEE802.3/.2、HDLC、PPP、ATM。
(3)网络层:其主要功能是将网络地址(例如IP地址)翻译成对应的物理地址(例如,网卡地址并决定如何将数据从发送方路由到接收方。在TCP/IP协议中,网络层具体协议有IP、ICMP、IGMP、IPX、ARP等。
(4)传输层:主要负责确保数据可靠、顺序、无错地从A点传输到B点。如提供建立、维护和拆除传送连接的功能;选择网络层提供最合适的服务;在系统之间提供可靠的透明的数据传送,提供端到端的错误恢复和流量控制。在TCP/IP协议中,具体协议有TCP、UDP、SPX。
(5)会话层:负责在网络中的两节点之间建立和维持通信,以及提供交互会话的管理功能,如三种数据流方向的控制,即一路交互、两路交替和两路同时会话模式。常见的协议有RPC、SQL、NFS。
(6)表示层:如同应用程序和网络之间的翻译官,在表示层,数据将按照网络能理解的方案进行格式化;这种格式化也因所使用网络的类型不同而不同。表示层管理数据的解密加密、数据转换、格式化和文本压缩。常见的协议有JPEG、ASCII、GIF、DES、MPEG。
(7)应用层:负责对软件提供接口以使程序能使用网络服务,如事务处理程序、文件传送协议和网络管理等。在TCP/IP协议中,常见的协议有HTTP、Telnet、FTP、SMTP。
2、802.11(无线局域网WLAN标准协议)
3、TCP/IP协议是Internet的核心。
1)应用层协议
这些协议主要有FTP、TFTP、HTTP、SMTP、DHCP、Telnet、DNS和SNMP等。
(1)FTP(文件传输协议),运行在TCP之上。FTP在客户机和服务器之间需建立两条TCP连接,一条用于传送控制信息(使用21号端口),另一条用于传送文件内容(使用20号端口)。
(2)TFTP(简单文件传输协议),建立在UDP之上,提供不可靠的数据流传输服务。
(3)HTTP(超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传送协议。建立在TCP之上。
(4)SMTP(简单邮件传输协议)建立在TCP之上,是一种提供可靠且有效的电子邮件传输的协议。
(5)DHCP(动态主机配置协议)建立在UDP之上,实现自动分配IP地址的。
(6)Telnet(远程登录协议)是登录和仿真程序,建立在TCP之上,它的基本功能是允许用户登录进入远程计算机系统。
(7)DNS(域名系统),是实现域名解析的,建立在UDP之上。
(8)SNMP(简单网络管理协议)建立在UDP之上。
2)传输层协议
传输层主要有两个传输协议,分别是TCP和UDP,这些协议负责提供流量控制、错误校验和排序服务。
(1)TCP是面向连接的,一般用于传输数据量比较少,且对可靠性要求高的场合。
(2)UDP是一种不可靠的、无连接的协议。一般用于传输数据量大,对可靠性要求不是很高,但要求速度快的场合。
3)网络层协议
网络层中的协议主要有IP、ICMP(网际控制报文协议)、IGMP(网际组管理协议)、ARP(地址解析协议)和RARP(反向地址解析协议)等
(1)IP所提供的服务通常被认为是无连接的和不可靠的
(2)ARP用于动态地完成IP地址向物理地址的转换。物理地址通常是指计算机的网卡地址,也称为MAC地址,每块网卡都有唯一的地址;RARP用于动态完成物理地址向IP地址的转换。
(3)ICMP是一个专门用于发送差错报文的协议,由于IP协议是一种尽力传送的通信协议,即传送的数据可能丢失、重复、延迟或乱序传递,所以需要一种尽量避免差错并能在发生差错时报告的机制,这就是ICMP的功能。
(4)IGMP允许Internet中的计算机参加多播,是计算机用做向相邻多目路由器报告多目组成员的协议。
1.3.2网络设备
1、按照交换层次的不同,网络交换可以分为物理层交换(如电话网)、链路层交换(二层交换,对MAC地址进行变更)、网络层交换(三层交换,对IP地址进行变更)、传输层交换(四层交换,对端口进行变更,比较少见)和应用层交换。
2、网络互连设备有中继器(实现物理层协议转换,在电缆间转换二进制信号)、网桥(实现物理层和数据链路层协议转换)、路由器(实现网络层和以下各层协议转换)、网关(提供从最底层到传输层或以上各层的协议转换)和交换机等。
随着无线技术运用的日益广泛,目前市面上基于无线网络的产品非常多,主要有无线网卡、无线AP、无线网桥和无线路由器等。
1.3.4网络存储技术
1、目前,主流的网络存储技术主要有三种,分别是直接附加存储(DAS)、网络附加存储(NAS)和存储区域网络(SAN)。
2、DAS是直接将存储设备连接到服务器上。
3、NAS技术支持多种TCP/IP网络协议,主要是NFS(网络文件系统)和CIFS(通用Internet文件系统)来进行文件访问,是真正实现即插即用的。
4、SAN是通过专用交换机将磁盘阵列与服务器连接起来的高速专用子网。根据数据传输过程采用的协议,其技术划分为FC SAN、IP SAN和IB SAN技术。
(1)FC SAN。光纤通道的主要特性有:热插拔性、高速带宽、远程连接、连接设备数量大等。
(2)IP SAN。IP SAN是基于IP网络实现数据块级别存储方式的存储网络。既具备了IP网络配置和管理简单的优势,又提供了SAN架构所拥有的强大功能和扩展性。
(3)IB SAN。这种结构设计得非常紧密,大大提提高了系统的性能、可靠性和有效性,能缓解各硬件设备之间的数据流量拥塞。
1.3.5网络接入技术
1、目前,接入Internet的主要方式可分两个大的类别,即有线接入与无线接入。其中,有线接入方式包括PSTN、ISDN、ADSL、FTTx+LAN和HFC等等,无线接入方式包括GPRS、3G和4G接入等。
2、无线网络是指以无线电波作为信息传输媒介。目前最常用的无线网络接入技术主要有WiFi和移动互联接入(4G)。
1.3.6网络规划与设计
1、网络工程可分为网络规划、网络设计和网络实施三个阶段
2、网络规划包括网络需求分析、可行性分析和对现有网络的分析与描述。
3、在分层设计中,引入了三个关键层的概念,分别是核心层、汇聚层和接入层。
4、网络中直接面向用户连接或访问网络的部分称为接入层,将位于接入层和核心层之间的分称为分布层或汇聚层。接入层的目的是允许终端用户连接到网络,因此,接入层交换机(或路由器,下同)具有低成本和高端口密度特性。
5、汇聚层是核心层和接入层的分界面,完成网络访问策略控制、数据包处理、过滤、寻址,以及其他数据处理的任务。
6、网络主干部分称为核心层,核心层的主要目的在于通过高速转发通信,提供优化、可靠的骨干传输结构,因此,核心层交换机应拥有更高的可靠性,性能和吞吐量。
7、网络设计工作包括:
(1)网络拓扑结构设计
(2)主干网络(核心层)设计
(3)汇聚层和接入层设计
(4)广域网连接与远程访问设计
(5)无线网络设计
(6)网络安全设计。
8、信息安全的基本要素如下。
(1)机密性:确保信息不暴露给未授权的实体或进程。
(2)完整性:只有得到允许的人才能修改数据,并且能够判别出数据是否已被篡改。
(3)可用性:得到授权的实体在需要时可访问数据,即攻击者不能占用所有的资源而阻碍授权者的工作。
(4)可控性:可以控制授权范围内的信息流向及行为方式。
(5)可审查性:对出现的网络安全问题提供调查的依据和手段。
1.3.7数据库管理系统
1、目前,常见的数据库管理系统主要有Oracle、MySQL、SQLServer、MongoDB等,这些数据库中,前三种均为关系型数据库,而MongoDB是非关系型的数据库。
1.3.8数据仓库技术
1、数据仓库是一个面向主题的、集成的、非易失的、且随时间变化的数据集合,用于支持管理决策。
(1)数据源:是数据仓库系统的基础,是整个整个系统的数据源泉。
(2)数据的存储与管理:是整个数据仓库系统的核心。
(3)OLAP服务器:对分析需要的数据进行有效集成,按多维模型予以组织,以便进行多角度、多层次的分析,并发现趋势。
(4)前端工具:主要包括各种查询工具、报表工具、分析工具、数据挖掘工具以及各种基于数据仓库或数据集市的应用开发工具。其中数据分析工具主要针对OLAP服务器,报表工具、数据挖掘工具主要针对数据仓库。
1.3.9中间件技术
1、目前还没有对中间件形成一个统一的定义,下面是两种现在普遍比较认可的定义:
(1)在一个分布式系统环境中处于操作系统和应用程序之间的软件。
(2)中间件是一种独立的系统软件或服务程序,分布式应用软件借助这种软件在不同的技术之间共享资源,中间件位于客户机服务器的操作系统之上,管理计算资源和网络通信。
2、中间件分类有很多方式和很多种类型。在这里我们由底向上从中间件的层次上来划分,可分为底层型中间件、通用型中间件和集成型中间件三个大的层次。
(1)底层型中间件的主流技术有JVM(Java虚拟机机)、CLR(公共语言运行库)、ACE(自适配通信环境)、JDBC(Java数据库连接)和ODBC(开放数据库互连)等,代表产品主要有SUN JVM和Microsoft CLR等。
(2)通用型中间件的主流技术有CORBA(公共对象请求代理体系结构)、J2EE、MOM(面向消息的中间件)和COM等,代表产品主要有IONA Orbix、BEA WebLogic和IBM MQSeries等。
(3)集成型中间件的主流技术有WorkFlow和EAI(企业应用集成)等,代表产品主要有BEA WebLogic和IBM WebSphere等。
3、为了完成不同层次的集成,可以采用不同的技术、产品:
(1)为了完成系统底层传输层的集成,可以釆用CORBA技术。
(2)为了完成不同系统的信息传递,可以采用消息中间件产品。
(3)为了完成不同硬件和操作系统的集成;可以采用J2EE中间件产品。
1.3.10高可用性和高可靠性的规划与设计
1、可用性是系统能够正常运行的时间比例。经常用两次故障之间的时间长度或在出现故障时系统能够恢复正常的速度来表示。
2、可靠性是软件系统在应用或系统错误面前,在意外或错误使用的情况下维持软件系统的功能特性的基本能力。
3、计算机系统的可用性用平均无故障时间(MTTF)来度量,即计算机系统平均能够正常运行多长时间,才发生一次故障。系统的可用性越高,平均无故障时间越长。可维护性用平均维修时间(MTTR)来度量,即系统发生故障后维修和重新恢复正常运行平均花费的时间。系统的可维护性越好,平均维修时间越短。计算机系统的可用性定定义为:MTTF/(MTTF+MTTR)*1OO%。由此可见,计算机系统的可用性定义为系统保持正常运行时间的百分比。所以,想要提高一个系统的可用性,要么提升系统的单次正常工作的时长,要么减少故障修复时间。常见的可用性战术如下:
(1)错误检测:用于错误检测的战术包括命令/响应、心跳和异常。
(2)错误恢复:用于错误恢复的战术包括表决、主动冗余、被动冗余。
(3)错误预防:用于错误预防的战术包括把可能出错的组件从服务中删除、引入进程监视器。
1.4 软件工程
1.4.1需求分析
1、需求是多层次的,包括业务需求、用户需求和系统需求。
(1)业务需求。业务需求是指反映企业或客户对系统高层次的目标要求,通常来自项目投资人、购买产品的客户、客户单位的管理人员、市场营销部门或产品策划部门等。
(2)用户需求。用户需求描述的是用户的具体目标,或用户要求系统必须能完成的任务。也就是说,用户需求描述了用户能使用系统来做些什么。通常采取用户访谈和问卷调查等方式,对用户使用的场景进行整理,从而建立用户需求。
(3)系统需求。系统需求是从系统的角度来说明软件的需求,包括功能需求、非功能需求和设计约束等。
2、质量功能部署(QFD)是一种将用户要求转化成软件需求的技术,其目的是最大限度地提升软件工程过程中用户的满意度。QFD将软件需求分为三类,分别是常规需求、期望需求和意外需求。
(1)常规需求。用户认为系统应该做到的功能或性能,实现越多用户会越满意。
(2)期望需求。用户想当然认为系统应具备的功能或性能,但并不能正确描述自己想要得到的这些功能或性能需求。如果期望需求没有得到实现,会让用户感到不满意。
(3)意外需求。意外需求也称为兴奋需求,是用户要求范围外的功能或性能(但通常是软件开发人员很乐意赋予系统的技术特性,实现这些需求用户会更高兴,但不实现也不影响其购买的决策。意外需求是控制在开发人员手中的,开发人员可以选择实现更多的意外需求,以便得到高满意、高忠诚度的用户,也可以(出于成本或项目周期的考虑)选择不实现任何意外需求。
3、常见的需求获取方法包括用户访谈、问卷调查、釆样、情节串联板、联合需求计划等。
4、一个好的需求应该具有无二义性、完整性、一致性、可测试性、确定性、可跟踪性、正确性、必要性等特性,因此,需要分析人员把杂乱无章的用户要求和期望转化为用户需求,这就是需求分析的工作。
使用SA方法进行需求分析,其建立的模型的核心是数据字典。在实际工作中,一般使用实体联系图(E-R图)表示数据模型,用数据流图(DFD)表示功能模型,用状态转换图(STD)表示行为模型。E-R图主要描述实体、属性,以及实体之间的关系;DFD从数据传递和加工的角度,利用图形符号通过逐层细分描述系统内各个部件的功能和数据在它们之间传递的情况,来说明系统所完成的功能;STD通过描述系统的状态和引起系统状态转换的事件,来表示系统的行为,指出作为特定事件的结果将执行哪些动作(例如,处理数据等)。
5、软件需求规格说明书(SRS)是需求开发活动的产物,其中规定SRS应该包括以下内容。
(1)范围
(2)引用文件
(3)需求
(4)合格性规定
(5)需求可追踪性
(6)尚未解决的问题
(7)注解
(8)附录
6、需求验证也称为需求确认,其活动是为了确定以下几个方面的内容。
(1)SRS正确地描述了预期的、满足项目干系人需求的系统行为和特征。
(2)SRS中的软件需求是从系统需求、业务规格和和其他来源中正确推导而来的。
(3)需求是完整的和高质量的。
(4)需求的表示在所有地方都是一致的。
(5)需求为继续进行系统设计、实现和测试提供了足够的基础。在实际工作中,一般通过需求评审和需求测试工作作来对需求进行验证。需求评审就是对SRS进行技术评审。
7、从总体上来看,UML的结构包括构造块、规则和公共机制三个部分。
8、UML用关系把事物结合在一起,主要有下列四种关系:
(1)依赖:依赖是两个事物之间的语义关系,其中一个事物发生变化会影响另一个事物的语义。
(2)关联:关联描述一组对象之间连接的结构关系。
(3)泛化:泛化是一般化和特殊化的关系,描述特殊元素的对象可替换一般元素的对象。
(4)实现:实现是类之间的语义关系,其中的一个类指定了由另一个类保证执行的契约。
9、UML 2.0包括14种图,分别列举如下:
(1)类图:类图描述一组类、接口、协作和它们之间的关系。类图给出了系统的静态设计视图,活动类的类图给出了系统的静态进程视图。
(2)对象图:对象图描述一组对象及它们之间的关系。
(3)构件图:构件图描述一个封装的类和它的接口、端口,以及由内嵌的构件和连接件构成的内部结构。
(4)组合结构图:组合结构图描述结构化类(例如,构件或类)的内部结构,包括结构化类与系统其余部分的交互点。
(5)用例图:用例图描述一组用例、参与者及它们之间的关系。
(6)顺序图(也称序列图):顺序图是一种交互图,交互图展现了一种交互,它由一组对象或参与者以及它们之间可能发送的消息构成。交互图专注于系统的动态视图。顺序图是强调消息的时间次序的交互图。
(7)通信图:通信图也是一种交互图,它强调收发消息的对象或参与者的结构组织。顺序图强调的是时序,通信图强调的是对象之间的组织结构(关系)。
(8)定时图(也称计时图):定时图也是一种交互图,它强调消息跨越不同对象或参与者的实际时间,而不仅仅只是关心消息的相对顺序。
(9)状态图:状态图描述一个状态机,它由状态、转移、事件和活动组成。状态图给出了对象的动态视图。
(10)活动图:活动图将进程或其他计算结构展示为计算内部一步步的控制流和数据流。活动图专注于系统的动态视图。它强调对象间的控制流程。
(11)部署图:部署图描述对运行时的处理节点及在其中生存的构件的配置。部署图给出了架构的静态部署视图,通常一个节点包含一个或多个部署图。
(12)制品图:制品图描述计算机中一个系统的物理结构。制品包括文件、数据库和类似的物理比特集合。制品图通常与部署图一起使用。制品也给也给出了它们实现的类和构件。
(13)包图:包图描述由模型本身分解而成的组织单元,以及它们之间的依赖关系。
(14)交互概览图:交互概览图是活动图和顺序图的混合物。
10、UML视图:5个系统视图:
(1)逻辑视图:逻辑视图也称为设计视图,它表示了设计模型中在架构方面具有重要意义的部分,即类、子系统、包和用例实现的子集。
(2)进程视图:进程视图是可执行线程和进程作为活动类的建模,它是逻辑视图的一次执行实例,描述了并发与同步结构。
(3)实现视图:实现视图对组成基于系统的物理代码的文件和构件进行建模。
(4)部署视图:部署视图把构件部署到一组物理节点上,表示软件到硬件的映射和分布结构。
(5)用例视图:用例视图是最基本的需求分析模型。
11、OOA模型独立于具体实现,即不考虑与系统具体实现有关的因素,这也是OOA和OOD的区别之所在。OOA的任务是“做什么”,OOD的任务是“怎么做”。面向对象分析阶段的核心工作是建立系统的用例模型与分析模型。
12、SA(结构化分析)方法采用功能分解的方式来描述系统功能,在这种表达方式中,系统功能被分解到各个功能模块中,通过描述细分的系统模块的功能来达到描述整个系统功能的目的。
13、类之间的主要关系有关联、依赖、泛化、聚合、组合和实现等
(1)关联关系。关联提供了不同类的对象之间的结构关系,它在一段时间内将多个类的实例连接在一起。关联体现的是对象实例之间的关系,而不表示两个类之间的关系。
(2)依赖关系。两个类A和B,如果B的变化可能会引起A的变化,则称类A依赖于类B。
(3)泛化关系。泛化关系描述了一般事物与该事物中的特殊种类之间的关系,也就是父类与子类之间的关系。继承关系是泛化关系的反关系,也就是说,子类继承了父类,而父类则是子类的泛化。
(4)共享聚集。共享聚集关系通常简称为聚合关系,它表示类之间的整体与部分的关系,其含义是“部分”可能同时属于多个“整体”,“部分”与“整体”的生命周期可以不相同。
(5)组合聚集。组合聚集关系通常简称为组合关系,它也是表示类之间的整体与部分的关系。与聚合关系的区别在于,组合关系中的“部分”只能属于一个“整体”,“部分”与“整体”的生命周期相同,“部分”随着“整体”的创建而创建,也随着“整体”的消亡而消亡。
(6)实现关系。实现关系将说明和实现联系起来。接口是对行为而非实现的说明,而类中则包含了实现的结构。一个或多个类可以实现一个接口,而每个类分别实现接口中的操作。
1.4.2软件架构设计
1、解决好软件的复用、质量和维护问题,是研究软件架构的根本目的。软件架构设计的一个核心问题是能否达到架构级的软件复用。
2、软件架构分为数据流风格、调用/返回风格、独立构件风格、虚拟机风格和仓库风格。
(1)数据流风格:数据流风格包括批处理序列和管道/过滤器两种风格。
(2)调用/返回风格:调用/返回风格包括主程序/子程序、数据抽象和面向对象,以及层次结构。
(3)独立构件风格:独立构件风格包括进程通信和事件驱动的系统。
(4)虚拟机风格:虚拟机风格包括解释器和基于规则的系统。
(5)仓库风格:仓库风格包括数据库系统、黑板系统和超文本系统。
3、软件架构评估可以只针对一个架构,也可以针对一组架构。在架构评估过程中,评估人员所关注的是系统的质量属性。
4、敏感点是一个或多个构件(或构件之间的关系)的特性,权衡点是影响多个质量属性的特性,是多个质量属性的敏感点。
5、从目前已有的软件架构评估技术来看,可以归纳为三类主要的评估方式,分别是基于调查问卷(或检查表)的方式、基于场景的方式和基于度量的方式。这三种评估方式中,基于场景的评估方式最为常用。
6、基于场景的方式主要包括:架构权衡分析法(ATAM)、软件架构分析法(SAAM)和成本效益分析法(CBAM)中。在架构评估中,一般采用刺激、环境和响应三方面来对场景进行描述。刺激是场景中解释或描述项目干系人怎样引发与系统的交互部分,环境描述的是刺激发生时的情况,响应是指系统是如何通过架构对刺激作出反应的。
7、基于场景的方式分析软件架构对场景的支持程度,从而判断该架构对这一场景所代表的质量需求的满足程度。这一评估方式考虑到了所有与系统相关的人员对质量的要求,涉及的基本活动包括确定应用领域的功能和软件架构之间的映射,设计用于体现待评估质量属性的场景,以及分析软件架构对场景的支持程度。
1.4.3软件设计
1、软件设计分为结构化设计与面向对象设计。
2、结构化设计SD是一种面向数据流的方法,它以SRS和SA阶段所产生的DFD和数据字典等文档为基础,是一个自顶向下、逐步求精和模块化的过程。SD分为概要设计和详细设计两个阶段
3、在SD中,需要遵循一个基本的原则:高内聚,低耦合
4、面向对象设计OOD是OOA方法的延续,其基本思想包括抽象、封装和可扩展性,其中可扩展性主要通过继承和多态来实现。
5、设计模式是前人经验的总结,它使人们可以方便地复用成功的软件设计。根据处理范围不同,设计模式可分为类模式和对象模式。根据目的和用途不同,设计模式可分为创建型模式、结构型模式和行为型模式三种。创建型模式主要用于创建对象;结构型模式主要用于处理类或对象的组合;行为型模式主要用于描述类或对象的交互以及职责的分配。
1.4.4软件工程的过程管理
1、阶段式模型
2、连续式模型
1.4.5软件测试及其管理
1、每个测试用例应包括名称和标识、测试追踪、用例说明、测试的初始化要求、测试的输入、期望的测试结果、评价测试结果的准则、操作过程、前提和约束、测试终止条件。
2、软件测试方法可分为静态测试和动态测试。静态测试是指被测试程序不在机器上运行,而采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行,而对代码的静态测试一般采用桌前检查、代码走查和代码审查。
3、动态测试是指在计算机上实际运行程序进行软件测试,一般采用白盒测试和黑盒测试方法。白盒测试也称为结构测试,主要用于软件单元测试中。它的主要思想是,将程序看作是一个透明的白盒,测试人员完全清楚程序的结构和处理算法,按照程序内部逻辑结构设计测试用例。白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。另外,使用静态测试的方法也可以实现白盒测试。例如,使用人工检查代码的方法来检查代码的逻辑问题,也属于白盒测试的范畴。白盒测试方法中,最常用的技术是逻辑覆盖,即使用测试数据运行被测程序,考察对程序逻辑的覆盖程度。主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。
4、黑盒测试也称为功能测试,主要用于集成测试、确认测试和系统测试中。黑盒测试将程序看作是一个不透明的黑盒,完全不考虑(或不了解)程序的内部结构和处理算法。一般包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。
5、软件测试可分为单元测试、集成测试、确认测试、系统测试、配置项测试和回归测试等类别。
(1)单元测试。单元测试也称为模块测试。
(2)集成测试。集成测试的目的是检查模块之间,以及模块和已集成的软件之间的接口关系。
(3)确认测试。确认测试主要用于验证软件的功能、性能和其他特性是否与用户需求一致。根据用户的参与程度,通常包括以下类型。
内部确认测试。内部确认测试主要由软件开发组织内部按照SRS进行测试。
Alpha测试和Beta测试。对于通用产品型的软件开发而言,Alpha测试是指由用户在开发环境下进行测试,通过Alpha测试以后的产品通常称为Alpha版;Beta测试是指由用户在实际使用环境下进行测试,通过Beta测试的产品通常称为Beta版。一般在通过Beta测试后,才能把产品发布或交付给用户。
验收测试。验收测试是指针对SRS,在交付前以用户为主进行的测试。其测试对象为完整的、集成的计算机系统。
(4)系统测试。系统测试的对象是完整的、集成的计算机系统,系统测试的目的是在真实系统工作环境下,验证完整的软件配置项能否和系统正确连接,并满足系统/子系统设计文档和软件开发合同规定的要求。
(5)配置项测试。配置项测试的对象是软件配置项,配置项测试的目的是检验软件配置项与SRS的一致性。
(6)回归测试。回归测试的目的是测试软件变更之后,变更部分的正确性和对变更需求的符合性,以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。回归测试的对象主要包括以下四个方面。
未通过软件单元测试的软件,在变更之后,应对其进行单元测试。
未通过配置项测试的软件,在变更之后,首先应对变更的软件单元进行测试,然后再进行相关的集成测试和配置项测试。
未通过系统测试的软件,在变更之后,首先应对变更的软件单元进行测试,然后再进行相关的集成测试、配置项测试和系统测试。
因其他原因进行变更之后的软件单元,也首先应对变更的软件单元进行测试,然后再进行相关的软件测试。
6、与传统的结构化系统相比,OO系统具有三个明显特征,即封装性、继承性与多态性。正是由于这三个特征,给OO系统的测试带来了一系列的困难。
7、常用的软件调试策略可以分为蛮力法、回溯法和原因排除法三类。软件调试与测试的区别主要体现在以下几个方面。
(1)测试的目的是找出存在的错误,而调试的目的是定位错误并修改程序以修正错误。
(2)调试是测试之后的活动,测试和调试在目标、方法和思路上都有所不同。
(3)测试从一个已知的条件开始,使用预先定义的过程,有预知的结果;调试从一个未知的条件开始,结束的过程不可预计。
(4)测试过程可以事先设计,进度可以事先确定;调试不能描述过程或持续时间。
8、软件测试的管理包括过程管理、配置管理和评审工作。
(1)过程管理。过程管理包括测试活动管理和测试资源管理。软件测试应由相对独立的人员进行。软件测试人员应包括测试项目负责人、测试分析员、测试设计员、测试程序员、测试员、测试系统管理员和配置管理员等。
(2)配置管理。应按照软件配置管理的要求,将测试过程中产生的各种工作产品纳入配置管理。由开发组织实施的软件测试,应将测试工作产品纳入软件项目的配置管理;由独立测试组织实施的软件测试,应建立配置管理库,将被测试对象和测试工作产品纳入配置管理。
(3)评审。测试过程中的评审包括测试就绪评审和测试评审。测试就绪评审是指在测试执行前对测试计划和测试说明等进行评审,评审测试计划的合理性和测试用例的正确性、完整性和覆盖充分性,以及测试组织、测试环境和设备、工具是否齐全并符合技术要求等;测试评审是指在测试完成后,评审测试过程和测试结果的有效性,确定是否达到测试目的,主要对测试记录和测试报告进行评审。
1.4.6软件集成技术
1、企业应用集成EAI包括表示集成、数据集成、控制集成和业务流程集成等多个层次和方面。当然,也可以在多个企业之间进行应用集成。
(1)表示集成也称为界面集成,是黑盒集成,无须了解程序与数据库的内部构造。常用的集成技术主要有屏幕截取和输入模拟技术。
(2)数据集成是白盒集成。
(3)控制集成也称为功能集成或应用集成,是在是在业务逻辑层上对应用系统进行集成的。集成处可能只需简单使用公开的API(应用程序编程接)就可以访问,当然也可能需要添加附加的代码来实现。控制集成是黑盒集成。控制集成与表示集成、数据集成相比,灵活性更高。表示集成和数据集成适用的环境下,都适用于控制集成。但是,由于控制集成是在业务逻辑层进行的,其复杂度更高一些。
(4)业务流程集成
业务流程集成也称为过程集成,这种集成超越了数据和系统,它由一系列基于标准的、统一数据格式的工作流组成。当进行业务流程集成时,企业必须对各种业务信息的交换进行定义、授权和管理,以便改进操作、减少成本、提高响应速度。
(5)企业之间的应用集成
EAI技术可以适用于大多数要实施电子商务的企业,以及企业之间的应用集成。EAI使得应用集成架构里的客户和业务伙伴都可以通过集成供应链内的所有应用和数据库实现信息共享。也就是说,能够使企业充分利用外部资源。
1.5 新一代信息技术
1.5.1物联网
1、物联网是指通过信息传感设备,按约定的协议,将任何物品与互联网相连接,进行信息交换和通信,以实现智能化识别、定位、跟踪、监控和管理的一种网络。物联网主要解决物品与物品、人与物品、人与人之间的互连。在物联网应用中有两项关键技术,分别是传感器技术和嵌入式技术。
2、RFID(射频识别)是物联网中使用的一种传感器技术,可通过无线电信号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
3、嵌入式技术是综合了计算机软硬件、传感器技术、集成电路技术、电子应用技术为一体的复杂技术。
4、物联网架构可分为三层,分别是感知层、网络层和应用层。感知层由各种传感器构成,包括温湿度传感器、二维码标签、RFID标签和读写器、摄像头、GPS等感知终端。感知层是物联网识别物体、采集信息的来源;网络层由各种网络,包括互联网、广电网、网络管理系统和云计算平台等组成,是整个物联网的中枢,负责传递和处理感知层获取的信息;应用层是物联网和用户的接口,它与行业需求结合,实现物联网的智能应用。
5、物联网在城市管理中综合应用就是所谓的智慧城市。智慧城市建设主要包括以下几部分:①通过传感器或信息釆集设备全方位地获取城市系统数据。②通过网络将城市数据关联、融合、处理、分析为信息。③通过充分共享、智能挖掘将信息变成知识。④结合信息技术,把知识应用到各行各业形成智慧。
6、功能层
(1)物联感知层:提供对城市环境的智能感知能力,通过各种信息采集设备、各类传感器、监控摄像机、GPS终端等实现对城市范围内的基础设施、大气环境、交通、公共安全等方面信息采集、识别和监测。
(2)通信网络层:广泛互联,以互联网、电信网、广播电视网以及传输介质为光纤的城市专用网作为骨干传输网络,以覆盖全城的无线网络(如WiFi)、移动4G为主要接入网,组成网络通信基础设施。
(3)计算与存储层:包括软件资源、计算资源和存储资源,为智慧城市提供数据存储和计算,保障上层对于数据汇聚的相关需求。
(4)数据及服务支撑层:利用SOA(面向服务的体系架构)、云计算、大数据等技术,通过数据和服务的融合,支撑承载智慧应用层中的相关应用,提供应用所需的各种服务和共享资源。
(5)智慧应用层:各种基于行业或领域的智慧应用及应用整合,如智慧交通、智慧家政、智慧园区、智慧社区、智慧政务、智慧旅游、智慧环保等,为社会公众、企业、城市管理者等提供整体的信息化应用和服务。
7、支撑体系
(1)安全保障体系:为智慧城市建设构建统一的安全平台,实现统一入口、统一认证、统一授权、日志记录服务。
(2)建设和运营管理体系:为智慧城市建设提供整体的运维管理机制,确保智慧城市整体建设管理和可持续运行。
(3)标准规范体系:标准规范体系用于指导和支撑我国各地城市信息化用户、各行业智慧应用信息系统的总体规划和工程建设,同时规范和引导我国智慧城市相关IT产业的发展,为智慧城市建设、管理和运行维护提供统一规范,便于互联、共享、互操作和扩展。
1.5.2云计算
1、云计算是一种基于互联网的计算方式,云计算是推动信息技术能力实现按需供给、促进信息技术和数据资源充分利用的全新业态。
2、云计算的主要特点包括:①宽带网络连接,用户需要通过宽带网络接入“云”中并获得有关的服务,“云”内节点之间也通过内部的高速网络相连。②快速、按需、弹性的服务,用户可以按照实际需求迅速获取或释放资源,并可以根据需求对资源进行动态扩展。
3、云计算服务的类型按照云计算服务提供的资源层次,可以分为IaaS、PaaS和SaaS三种服务类型。
(1)IaaS(基础设施即服务),向用户提供计算机能力、存储空间等基础设施方面的服务。这种服务模式需要较大的基础设施投入和长期运营管理经验。
(2)PaaS(平台即服务),向用户提供虚拟的操作系统、数据库管理系统、Web应用等平台化的服务。PaaS服务的重点不在于直接的经济效益,而更注重构建和形成紧密的产业生态。
(3)SaaS(软件即服务)向用户提供应用软件(如CRM、办公软件等)、组件、工作流等虚拟化软件的服务
1.5.3大数据
1、大数据(big data),指无法在一定时间范围内用常规软件工具进行捕捉、管理和处理的数据集合,是需要新处理模式才能具有更强的决策力、洞察发现力和流程优化能力的海量、高增长率和多样化的信息资产。
2、业界通常用5个V——Volume(大量)、Variety(多样)、Value(价值)、Velocity(高速)和Veracity(真实性)来概括大数据的特征。
3、大数据是具有体量大、结构多样、时效性强等特征的数据,处理大数据需要釆用新型计算架构和智能算法等新技术。大数据从数据源经过分析挖掘到最终获得价值一般需要经过5个主要环节,包括数据准备、数据存储与管理、计算处理、数据分析知识展现。大数据技术涉及到的数据模型、处理模型、计算理论,与之相关的分布计算、分布存储平台技术、数据清洗和挖掘技术,流式计算、增量处理技术,数据质量控制等方面的研究和开发成果丰硕,大数据技术产品也已经进入商用阶段。
1.5.4移动互联
1、移动互联网的核心是互联网,因此一般认为移动互联网是桌面互联网的补充和延伸,应用和内容仍是移动互联网的根本。
2、移动互联网有以下特点。
(1)终端移动性:移动互联网业务使得用户可以在移动状态下接入和使用互联网服务,移动的终端便于用户随身携带和随时使用。
(2)业务使用的私密性:在使用移动互联网业务时,所使用的内容和服务更私密,如手机支付业务等。
(3)终端和网络的局限性
(4)业务与终端、网络的强关联性:由于移动互联网业务受到了网络及终端能力的限制,因此,其业务内容和形式也需要适合特定的网络技术规格和终端类型。
1.6 信息系统安全技术
1.6.1信息系统安全的有关概念
1、安全属性,主要包括以下内容。
(1)秘密性:信息不被未授权者知晓的属性。
(2)完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。
(3)可用性:信息可以随时正常使用的属性。
2、安全可以划分为以下四个层次:设备安全、数据安全、内容安全、行为安全。
(1)设备安全包括三个方面:设备的稳定性、设备的可靠性、设备的可用性
(2)数据安全包括秘密性、完整性和可用性。
(3)行为安全:数据安全本质上是一种静态的安全,而行为安全是一种动态安全。
行为的秘密性:行为的过程和结果不能危害数据的秘密性。必要时,行为的过程和结果也应是秘密的。
行为的完整性:行为的过程和结果不能危害数据的完整性,行为的过程和结果是预期的。
行为的可控性:当行为的过程出现偏离预期时,能够发现、控制或纠正。
3、保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术等。其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码和网络安全等是关键技术。网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全审计、网络隔离等
4、《信息安全等级保护管理办法》将信息系统的安全保护等级分为以下五级:
第一级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益造成损害,但不损害国家安全、社会秩序和公共利益。第一级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。
第二级,信息系统受到破坏后,会对公民、法人和其他组织的合法权益产生严重损害,或者对社会秩序和公共利益造成损害,但不损害国家安全。第二级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行指导。
第三级,信息系统受到破坏后,会对社会秩序和公共利益造成严重损害,或者对国家安全造成损害。第三级信息系统运营、使用单位应当依据国家有关管理规范和技术标准进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行监督、检查。
第四级,信息系统受到破坏后,会对社会秩序和公共利益造成特别严重损害,或者对国家安全造成严重损害。第四级信息系统运营、使用单位应当依据国家有关管理规范、技术标准和业务专门需求进行保护。国家信息安全监管部门对该级信息系统信息安全等级保护工作进行强制监督、检查。
第五级,信息系统受到破坏后,会对国家安全造成特别严重损害。第五级信息系统运营、使用单位应当依据国家管理规范、技术标准和业务特殊安全需求进行保护。国家指定专门部门对该级信息系统信息安全等级保护工作进行专门监督、检查。
5、计算机系统安全保护能力的五个等级,即:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级。计算机信息系统安全保护能力随着安全保护等级的增高,逐渐增强。
6、人员管理首先要求加强人员审查。人员审查必须根据信息系统所规定的安全等级确定审查标准。所有人员应明确其在安全系统中的职责和权限。所有人员的工作、活动范围应当被限制在完成其任务的最小范围内。对于人员管理的人事安全审查,要求对某人是否适合参与信息安全保障和接触敏感信息进行审查以判断是否值得信任。
7、信息安全教育对象,应当包括与信息安全相关的所有人员。如领导和管理人员,信息系统的工程技术人员,一般用户等。
1.6.2信息加密、解密与常用算法
1、加密技术包括两个元素:算法和密钥。密钥加密技术的密码体制分为对称密钥体制和非对称密钥体制两种。相应地,对数据加密的技术分为两类,即对称加密(私人密钥加密)和非对称加密(公开密钥加密)。对称加密以数据加密标准(DES)算法为典型代表,非对称加密通常以RSA算法为代表。对称加密的加密密钥和解密密钥相同,而非对称加密的加密密钥和解密密钥不同,加密密钥可以公开而解密密钥需要保密。
2、对称加密采用了对称密码编码技术,它的特点是文件加密和解密使用相同的密钥,即加密密钥也可以用作解密密钥,对称加密算法使用起来简单快捷,密钥较短,且破译困难。除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,另外,还有数据加密标准算法AES。
3、非对称加密技术:公开密钥密码的基本思想是将传统密码的密钥K一分为二,分为加密钥Ke和解密钥Kd,用加密钥Ke控制加密,用解密钥Kd控制解密。RSA密码,既可用于加密,又可用于数字签名,安全、易懂,因此RSA密码已成为目前应用最广泛的公开密钥密码。
4、Hash函数将任意长的报文M映射为定长的Hash码h,Hash函数可提供保密性、报文认证以及数字签名功能。
签名是证明当事者的身份和数据真实性的一种信息。完善的数字签名体系应满足以下3个条件:
(1)签名者事后不能抵赖自己的签名。
(2)任何其他人不能伪造签名。
(3)如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认其真伪。利用RSA密码可以同时实现数字签名和数据加密。
5、认证(Authentication)又称鉴别、确认,它是证实某事是否名副其实或是否有效的一个过程。
6、认证和加密的区别在于:加密用以确保数据的的保密性,阻止对手的被动攻击,如截取、窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因而极为重要。
1.6.3信息系统安全
1、抗否认性。抗否认性是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为的特性。一般通过数字签名来提供抗否认服务。
2、可审计性。利用审计方法,可以对计算机信息系统的工作过程进行详尽的审计跟踪,同时保存审计记录和审计日志,从中可以发现问题。
3、物理安全主要包括:场地安全(环境安全);是指系统所在环境的安全,主要是场地与机房。设备安全:主要指设备的防盗、防毁、防电磁信息辐射泄露、防止线路截获、抗电磁干扰及电源保护等。
4、设备安全包括设备的防盗和防毁,防止电磁信息泄漏,防止线路截获、抗电磁干扰以及电源的保护。
5、存储介质安全是指介质本身和介质上存储数据的安全。存储介质本身的安全包括介质的防盗;介质的防毁,如防霉和防砸等。
6、计算机的可靠性工作,一般釆用容错系统实现。容错主要依靠冗余设计来实现,以增加资源换取可靠性。
7、防火墙是阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁。主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。防火墙的安全策略由安全规则表示。
8、入侵检测与防护的技术主要有两种:入侵检测系统(IDS)和入侵防护系统(IPS)。入侵检测系统(IDS)注重的是网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。因此绝大多数IDS系统都是被动的。入侵防护系统(IPS)则倾向于提供主动防护,注重对入侵行为的控制。其设计宗旨是预先对入侵活动和攻击性网络流量进行拦截,避免其造成损失。
9、VPN(虚拟专用网络)可以认为是加密和认证技术在网络传输中的应用。是使用称之为“隧道”的技术作为传输介质,这个隧道是建立在公共网络或专用网络基础之上的。常见的隧道技术包括:点对点隧道协议(PPTP)、第2层隧道协议(L2TP)和IP安全协议(IPSec)
10、安全扫描包括漏洞扫描、端口扫描、密码类扫描(发现弱口令密码)等。安全扫描可以应用被称为扫描器的软件来完成,扫描器是最有效的网络安全检测工具之一,它可以自动检测远程或本地主机、网络系统的安全弱点以及所存在可能被能被利用的系统漏洞。
11、网络蜜罐技术是一种主动防御技术,是入侵检测技术的一个重要发展方向。蜜罐系统是一个包含漏洞的诱骗系统,它通过模拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。攻击者往往在蜜罐上浪费时间,延缓对真正目标的攻击。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。
12、常见的无线网络安全技术包括:无线公开密钥基础设施(WPKI)、有线对等加密协议(WEP)、Wi-Fi网络安全接入(WPA/WPA2)、无线局域网鉴别与保密体系(WAPI)、802.11i(802.11工作组为新一代WLAN制定的安全标准)等。
13、针对操作系统的安全威胁按照行为方式划分,通常有下面四种:
(1)切断,这是对可用性的威胁。系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效。
(2)截取,这是对机密性的威胁。未经授权的用户、程序或计算机系统获得了对某资源的访问,如在网络中窃取数据及非法拷贝文件和程序。
(3)篡改,这是对完整性的攻击。未经授权的用户不仅获得了对某资源的访问,而且进行篡改,如修改数据文件中的值,修改网络中正在传送的消息内容。
(4)伪造,这是对合法性的烕胁。未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的消息加到网络中或向当前文件加入记录。
14、按照安全威胁的表现形式来分,操作系统面临的安全威胁有以下几种:
(1)计算机病毒。
(2)逻辑炸弹。
(3)特洛伊木马。
(4)后门。后门指的是嵌在操作系统中的一段非法代码,渗透者可以利用这段代码侵入系统。安装后门就是为了渗透。
(5)隐蔽通道。隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略、非公开的信息泄露路径。
15、操作系统安全性的主要目标是标识系统中的用户,对用户身份进行认证,对用户的操作进行控制,防止恶意用户对计算机资源进行窃取、篡改、破坏等非法存取,防止正当用户操作不当而危害系统安全,从而既保证系统运行的安全性,又保证系统自身的安全性。具体包括如下几个方面。
(1)身份认证机制:实施强认证方法,比如口令、数字证书等。
(2)访问控制机制:实施细粒度的用户访问控制,细化访问权限等。
(3)数据保密性:对关键信息,数据要严加保密。
(4)数据完整性:防止数据系统被恶意代码破坏,对关键信息进行数字签名技术保护。
(5)系统的可用性:操作系统要加强应对攻击的能力,比如防病毒,防缓冲区溢出攻击等。
(6)审计:审计是一种有效的保护措施,它可以在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用。
16、数据库安全主要指数据库管理系统安全,其安全问题可以认为是用于存储而非传输的数据的安全问题。数据库安全在技术上采取了一系列的方法,具体包括:数据库访问控制技术、数据库加密技术、多级安全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。
17、应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。
18、Web威胁防护技术主要包括:
(1)Web访问控制技术
(2)单点登录(SSO)技术
(3)网页防篡改技术
(4)Web内容安全。
1)Web访问控制技术是Web站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。
2)单点登录
单点登录为应用系统提供集中统一的身份认证,实现“一点登录、多点访问”。
3)网页防篡改技术
网页防篡改技术包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等。
4)Web内容安全
内容安全管理分为电子邮件过滤、网页过滤、反间谍软件三项技术
1.7 信息化发展与应用
1.7.1信息化发展与应用的新特点
1、我国在“十三五”规划纲要中,将培育人工智能、移动智能终端、第五代移动通信(5G),先进传感器等作为新一代信息技术产业创新重点发展,拓展新兴产业发展空间。
2、虚拟计算,是一种以虚拟化、网络、云计算等技术的融合为核心的一种计算平台、存储平台和应用系统的共享管理技术。
1.7.2国家信息化发展战略
1、我国信息化发展的主要任务和发展重点
1)促进工业领域信息化深度应用
2)加快推进服务业信息化
3)积极提高中小企业信息化应用水平
4)协力推进农业农村信息化
5)全面深化电子政务应用
6)稳步提高社会事业信息化水平
7)统筹城镇化与信息化互动发展
8)加强信息资源开发利用
9)构建下一代国家综合信息基础设施
10)促进重要领域基础设施智能化改造升级
11)着力提高国民信息能力
1.7.3电子政务
电子政务根据其服务的对象不同,基本上可以分为以下四种模式
(1)政府对政府(G2G)
(2)政府对企业(G2B)
(3)政府对公众(G2C)
(4)政府对公务员(G2E)
1.7.4电子商务
1、按照交易对象,电子商务模式包括:企业与企业之间的电子商务(B2B)、商业企业与消费者之间的电子商务(B2C)、消费者与消费者之间的电子商务(C2C)。还要加个G2B或B2A
2、电子商务与线下实体店有机结合向消费者提供商品和服务,称为O2O模式。
3、电子商务的基础设施包括四个,即网络基础设施、多媒体内容和网络出版的基础设施、报文和信息传播的基础设施、商业服务的基础设施。此外,技术标准,政策、法律等是电子商务系统的重要保障和应用环境。
1.7.5工业和信息化融合
1、实施“中国制造2025“促进两化深度融合,加快从制造大国转向制造强国,需要电子信息产业有力支撑,大力发展新一代信息技术,加快发展智能制造和工业互联网;制订“互联网+”行动计划,推动移动互联网、云计算、大数据、物联网等应用,需要产业密切跟踪信息技术变革趋势,探索新技术、新模式、新业态,构建以互联网为基础的产业新生态体系。实施国家信息安全战略需要尽快突破芯片、整机、操作系统等核心技术,大力加强网络信息安全技术能力体系建设,在信息对抗中争取主动权。
2、工业化与信息化“两化融合”的含义:信息化发展战略与工业化发展战略要协调一致,信息化发展模式与工业化发展模式要高度匹配
1.7.6智慧化
1、智能一般具有这样一些特点:一是具有感知能力,即具有能够感知外部世界、获取外部信息的能力,这是产生智能活动的前提条件和必要条件;二是具有记忆和思维能力,即能够存储感知到的外部信息及由思维产生的知识,同时能够利用已有的知识对信息进行分析、计算、比较、判断、联想、决策;三是具有学习能力和自适应能力,即通过与环境的相互作用,不断学习积累知识,使自己能够适应环境变化;四是具有行为决策能力,即对外界的刺激作出反应,形成决策并传达相应的信息。
2、智慧城市是利用新一代信息技术来感知、监测、分析、整合城市资源,对各种需求做出迅速、灵活、准确反应,为公众创造绿色、和谐环境,提供泛在、便捷、高效服务的城市形态。新一代信息技术包括云计算、大数据、物联网、地理信息、人工智能、移动计算等,是“互联网+”在现代城市管理的综合应用,是“数字城市”发展的必然和全面跃升。
3、智慧城市建设主要包括以下几部分:首先,通过传感器或信息采集设备全方位地获取城市系统数据;其次,通过网络将城市数据关联、融合、处理、分析为信息;第三,通过充分共享、智能挖掘将信息变成知识;最后,结合信息技术,把知识应用到各行各业形成智慧。
4、智慧城市建设参考模型包括有依赖关系的五层(功能层)和对建设有约束关系的三个支撑体系:
1)功能层
(1)物联感知层:提供对城市环境的智能感知能力,通过各种信息采集设备、各类传感器、监控摄像机、GPS终端等实现对城市范围内的基础设施、大气环境、交通、公共安全等方面信息采集、识别和监测。
(2)通信网络层:广泛互联,以互联网、电信网、广播电视网以及传输介质为光纤的城市专用网作为骨干传输网络,以覆盖全城的无线网络(如WiFi)、移动4G为主要接入网,组成网络通信基础设施。
(3)计算与存储层:包括软件资源、计算资源和存储资源,为智慧城市提供数据存储和计算,保障上层对于数据汇聚的相关需求。
(4)数据及服务支撑层:利用SOA(面向服务的体系架构)、云计算、大数据等技术,通过数据和服务的融合,支撑承载智慧应用层中的相关应用,提供应用所需的各种服务和共享资源。
(5)智慧应用层:各种基于行业或领域的智慧应用及应用整合,如智慧交通、智慧家政、智慧园区、智慧社区、智慧政务、智慧旅游、智慧环保等;为社会公众、企业、城市管理者等提供整体的信息化应用和服务。
2)支撑体系
(1)安全保障体系:为智慧城市建设构建统一的的安全平台,实现统一入口、统一认证、统一授权、日志记录服务。
(2)建设和运营管理体系:为智慧城市建设提供整体的运维管理机制,确保智慧城市整体建设管理和可持续运行。
(3)标准规范体系:标准规范体系用于指导和支撑我国各地城市信息化用户、各行业智慧应用信息系统的总体规划和工程建设,同时规范和引导我国智慧城市相关IT产业的发展,为智慧城市建设、管理和运行维护提供统一规范,便于互联、共享、互操作和扩展。
1.8 信息系统服务管理
1.8.1信息系统服务业及发展
1、典型的信息系统项目有如下特点。
(1)项目初期目标往往不太明确。
(2)需求变化频繁。
(3)智力密集型。
(4)系统分析和设计所需人员层次髙,专业化强。
(5)涉及的软硬件厂商和承包商多,联系、协调复杂。
(6)软件和硬件常常需要个性化定制。
(7)项目生命期通常较短。
(8)通常要采用大量的新技术。
(9)使用与维护的要求高。
(10)项目绩效难以评估和量化。
2、普遍存在的主要问题如下。
(1)系统质量不能完全满足应用的基本需求。
(2)工程进度拖后,延期。
(3)项目资金使用不合理或严重超出预算。
(4)项目文档不全甚至严重缺失。
(5)在项目实施过程中系统业务需求一变再变。。
(6)项目绩效难以量化评估。
(7)系统存在着安全漏洞和隐患等。
(8)重硬件轻软件,重开发轻维护,重建设轻应用。
(9)信息系统服务企业缺乏规范的流程和能力管理。
(10)信息系统建设普遍存在产品化与个性化需求的矛盾。
(11)开放性要求高,而标准和规范更新快。
3、中国特色的信息系统集成及服务管理体系,主要内容如下。
(1)信息系统集成、运维服务和信息系统监理及其管理。
(2)项目管理、运维服务和信息系统监理人员的水平评价。
(3)国家计划(投资)部门对规范的、具备信息系统项目管理能力的企业和人员的建议性要求。
(4)信息系统用户对规范的、具备信息系统项目管理能力的企业和人员市场性需求。
1.8.2信息系统工程监理的概念和发展
1、信息系统工程监理是指依法设立且具备相应资质的信息系统工程监理单位(以下简称为“监理单位”),受业主单位(建设单位)委托,依据国家有关法律法规、技术标准和信息系统工程监理合同,对信息系统工程项目实施的监督管理。
2、信息系统工程监理工作的主要内容可以概括为“四控、三管、一协调”,即投资控制、进度控制、质量控制、变更控制、合同管理、信息管理、安全管理和沟通协调。
(1)投资控制。信息系统工程的投资由软硬件设备购置投资、项目配套工程投资、项目集成费用和工程建设其他投资组成,主要包括设计阶段的投资控制和实施阶段的投资控制。
(2)进度控制。在工程实施过程中,监理工程师严格按照招标文件、合同和进度计划的要求,对工程进度进行跟进,确保整体施工有序进行。
(3)质量控制。在监理工作的各个阶段必须严格依照承建合同的要求,审查关键性过程和阶段性结果,检查其是否符合预定的质量要求,而且整个监理工作中应强调对工程质量的事前控制、事中监管和事后评估。
(4)变更控制。对变更进行管理,确保变更有序进行。对于信息系统集成项目来说,发生变更的环节比较多,因此变更控制显得格外重要。
(5)合同管理。有效解决建设单位和承建单位在项目执行过程中的合同争议,保障各方的正当权益。
(6)信息管理。科学地记录工程建设过程,保证工文档的完整性和时效性,为工程建设过程的检查和系统后期维护提供文档保障。
(7)安全管理。完善安全生产管理体制,建立健全第安全生产管理制度、安全生产管理机构和安全生产责任制是安全生产管理的重要内容,也是实现安全生产目标管理的组织保证。
(8)沟通协调。在项目执行过程中,有效协调建设单位、承建单位,以及各相关单位的关系,为项目的顺利实施提供组织上的保证。
3、下列信息系统工程应当实施监理。
(1)国家级、省部级、地市级的信息系统工程。
(2)使用国家政策性银行或者国有商业银行贷款,规定需要实施监理的信息系统工程。
(3)使用国家财政性资金的信息系统工程。
(4)涉及国家安全、生产安全的信息系统工程。
(5)国家法律、法规规定的应当实施监理的其他信息系统工程。
1.8.3信息系统运行维护的概念和发展
1、运行维护是信息系统生命周期中最重要,也是最长的一个阶段
2、IT服务管理(ITSM)是一套帮助组织对IT系统的规划、研发、实施和运营进行有效管理的方法,是一套方法论。ITSM是一套通过服务级别协议(SLA)来保证IT服务质量的协同流程,它融合了系统管理、网络管理、系统开发管理等管理活动和变更管理、资产管理、问题管理等许多流程的理论和实践。
3、ITSM的核心思想是:IT组织不管是组织内部的还是外部的,都是IT服务提供者,其主要工作就是提供低成本、高质量的IT服务。而IT服务的质量和成本则需从IT服务的客户(购买IT服务)方和用户(使用IT服务)方加以判断。
4、ITSM是一种IT管理,与传统的IT管理不同,它是一种以服务为中心的IT管理。
1.8.4信息技术服务管理的标准和框架
1、IT服务标准体系ITSS包含了IT服务的规划设计、部署实施、服务运营、持续改进和监督管理等全生命周期阶段应遵循的标准。
2、ITSS体系框架内容如下所述。
(1)基础标准阐述IT服务分类、服务原理、从业人员能力规范等。
(2)服务管控标准阐述服务管理的通用要求、实施施指南以及技术要求;阐述治理的通用要求、实施指南、绩效评价、审计以及对数据的治理;阐述信息技术服务监理规范等。
(3)服务业务标准按业务类型分为面向IT的服务标准(咨询设计,集成实施和运行维护)和IT驱动的服务标准(云服务运营、数据服务、互联网服务)。分为通用要求、服务规范和实施指南等,其中通用要求是对各业务类型基本能力要素的要求,服务规范是对服务内容和行为的规范,实施指南是对服务的落地指导。
(4)服务外包标准是信息技术服务釆用外包方式时的通用要求及规范。
(5)服务安全标准确保服务安全可控。
(6)服务对象按照对象类型分为数据中心和终端.
(7)行业应用标准包含各行业应用的实施指南和结合行业特点的相关标准。
1.9 信息系统规划
1、信息系统规划(也称为信息系统战略规划)是一个组织有关信息系统建设与应用的全局性谋划,主要包括战略目标、策略和部署等内容。
2、信息化规划是企业信息化建设的纲领和指南,是信息系统建设的前提和依据。
3、信息系统(战略)规划关注的是如何通过信息系统来支撑业务流程的运作,进而实现企业的关键业务目标,其重点在于对信息系统远景、组成架构、各部分逻辑关系进行规划。
1.9.1大型信息系统
1、大型信息系统是指以信息技术和通信技术为支撑,规模庞大,分布广阔,采用多级网络结构,跨越多个安全域,处理海量的,复杂且形式多样的数据,提供多种类型应用的大系统。
2、大型信息系统的特点:
(1)规模庞大
(2)跨地域性
(3)网络结构复杂
(4)业务种类多
(5)数据量大
(6)用户多
1.9.2信息系统的规划方法
1、信息系统规划原则
(1)规划要支持企业的战略目标。
(2)规划整体上着眼于高层管理,兼顾各管理层、各业务层的要求。
(3)规划中涉及的各信息系统结构要有好的整体性和一致性。
(4)信息系统应该适应企业组织结构和管理体制的改变,弱化信息系统对组织机构的依从性,提高信息系统的应变能力。组织机构可以有变动,但最基本的活动和决策大体上是不变的。
(5)便于实施。
2、企业实施信息系统规划主要包括以下步骤。
(1)分析企业信息化现状。
(2)制定企业信息化战略。
(3)信息系统规划方案拟定和总体构架设计。包括技术路线、实施方案、运行维护方案等。详细的流程或者步骤可以参考企业系统规划方法。
3、ISP方法经历了三个主要阶段。第一个阶段主要以数据处理为核心,围绕职能部门需求的信息系统规划,主要的方法包括企业系统规划法、关键成功因素法和战略集合转化法;第二个阶段主要以企业内部管理信息系统为核心,围绕企业整体需求进行的信息系统规划,主要的方法包括战略数据规划法、信息工程法和战略栅格法;第三个阶段的方法在综合考虑企业内外环境的情况下,以集成为核心,围绕企业战略需求进行的信息系统的规划,主要的方法包括价值链分析法和战略一致性模型。
4、企业系统规划(BSP)方法主要用于大型信息系统的开发。
1.9.4信息系统的规划工具
1、在制订计划时,可以利用PERT图和甘特图。
2、访谈时,可以应用各种调查表和调查提纲
3、在确定各部门、各层管理人员的需求梳理流程时,可以采用会谈和正式会议的方法。
4、为把企业组织结构与企业过程联系起来,说明每个过程与组织的联系,指出过程决策人,可以采用建立过程/组织(P/O)矩阵的方法。
5、为定义数据类,在调查研究和访谈的基础上,可以釆用实体法归纳出数据类。实体法首先列出企业资源,再列出一个资源/数据(R/D)矩阵
6、功能法也称为过程法,它利用所识别的企业过程,分析每个过程的输入数据类和输出数据类,与RD矩阵进行比较并调整,最后归纳出系统的数据类。
7、CU矩阵。企业过程和数据类定义好后,可以企业过程为行,以数据类为列,按照企业过程生成数据类关系填写C,使用数据类关系填写U,形成CU矩阵
1.10 企业首席信息官及其职责
1、从CIO的职责角度来看,需要CIO是“三个专家”,即企业业务专家、IT专家和管理专家。
2、CIO的主要职责:
(1)提供信息,帮助企业决策
(2)帮助企业制定中长期发展战略
(3)有效管理IT部门
(4)制定信息系统发展规划
(5)建立积极的IT文化
补充
1、结构化方法用于在项目前期就能清楚的知道用户用户的需求;使用的手段主要有数据流图、数据字典、结构化语言、判定表以及判定树等。
2、原型法用于在项目前期不能清楚的知道用户的的需求。其中原型法分为:抛弃型原型和演化型原型。
结构化方法 |
1.目前最成熟、应用范围也较广的信息系统开发方法 2.基本是将系统的生命周期划分为:系统调查、系统分析、系统设计、系统实施、系统维护等阶段 3、主要特点:(1)开发目标清晰化(2)工作阶段程式化(3)开发文档规范化(4)设计方法结构化 |
快速原型法 |
1、是快速地建立一个系统模型并展示给用户 2、优点:开发周期短、见效快、 3、特别适用于用户需求模糊,结构性比较差的信息系统的开发 |
面向对象方法 |
是利用面向对象信息建模概念,如实体、关系、属性等,同时运用封装、继承、多态等机制来构造模拟现实系统的方法。 |
3、软件需求的定义:就是系统必须完成的事情:包含功能需求(系统需要完成的业务功能)、非功能需求(可靠、容错、扩展、性能等)、设计设计约束(限制条件、补充规约,比如有的系统软件在IE6.0或Win7下不能运行)三方面内容。而且要根据选项会判断,另外,可验证性是需求的最基本特征。
4、软件需求分析的三个阶段:需求提出、需求描述及需求评审。需求定义的目标是根据需求调查和需求分析的结果,进一步定义准确无误产品需求,形成《需求规格说明书》。系统设计人员将依据《需求规格说明书》开展系统设计工作。
5、程序员应避免检查自己的程序;在设计测试用例时,应包括合理的输入条件和不合理的输入条件;充分注意测试中的群集现象。经验表明,测试后程序中残存的错误数目与该程序中已发现的错误数目成正比。严格执行测试计划,排除测试的随意性;应当对每一个测试结果做全面检查;妥善保存测试计划、测试用例、出错统计和最终分析报告,为软件维护提供方便。
6、软件维护——软件正式交付用户以后,即进入漫长的维护期。软件的维护从性质上分为:纠错型维护、适应型维护、预防型和完善型维护(简称:就是鱼丸),其中完善性维护是软件维护工作的主要部分。
纠错性维护纠正在开发阶段产生而在测试和验收过程过程没有发现的错误。其主要内容包括:
(1)设计错误;
(2)程序错误;
(3)数据错误;
(4)文档错误。
适应性维护为适应软件运行环境改变而作的修改。环境改变的主要内容包括:
(1)影响系统的规则或规律的变化;
(2)硬件配置的变化,如机型、终端、外部设备的改变等;
(3)数据格式或文件结构的改变;
(4)软件支持环境的改变,如操作系统、编译器或实用程序的变化等。
完善性维护为扩充功能或改善性能而进行的修改。修改方式有插入、删除、扩充和增强等。主要内容包括:
(1)为扩充和增强功能而做的修改,如扩充解题范围和算法优化等;
(2)为改善性能而作的修改,如提高运行速度、节省存储空间等;
(3)为便于维护而做的修改,如为了改进易读性而增加一些注释等。
预防性维护是将潜在的漏洞在实际发生之前就进行修复。
这4种维护都是在软件产品交付之后进行的。
7、管理评审的目的是监控进展,决定计划和进度的状态,确认需求及其系统分配,或评价用于达到目标适应性的管理方法的有效性。它们支持有关软件项目期间需求的变更和其他变更活动。是评价管理方面。
8、技术评审的目的是评价软件产品。以确定其对使用意图的适合性,目标是识别规范说明和标准的差异,并向管理提供证据,以表明产品是否满足规范说明并遵从标准,而且可以控制变更。是评价技术方面。软件审计的目的是提供软件产品过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。审计是正式组织的活动,识别违例情况,并产生一个报告,采取更正性行动。
9、软件过程管理:是人们建立、维护和演化软件产品整个过程中所有技术活动和管理活动的集合。软件工程管理集成了过程管理和项目管理,包括但不限于启动和范围定义、软件项目计划、项目实施、评审和评价,收尾及软件工程度量等。
10、面向对象=对象(Objects)+类(Classes)+继承(Inheritance)+消息通信(Communication with messages)
11、对象:是系统中用来描述客观事务的一个实体,是构成系统的一个基本单位。三个要素:对象标志(供系统内部唯一的识别对象);属性(状态、数据、用来描述对象的静态特征);服务(操作、行为或方法,用来描述对象的动态特征)
12、封装是对象的一个重要原则。有2个含义:对象是全部属性和全部服务紧结合而形成的一个不可分隔的整体;对象是一个不透明的黑盒子,表示对象状态的数据和实现操作的代码都被封装在黑盒子里面。
13、抽象是通过特定的实例抽取共同特征以后形成概念的过程。它强调主要特征,忽略次要特征。一个对象是现实世界中一个实体的抽象,一个类是一组对象的抽象,抽象是一种单一化的描述,它强调给出与应用相关的特性,抛弃不相关的特性。
14、类和类库:类是对象的抽象定义,是一组具有相同数据结构和相同操作的对象的集合。类与对象是抽象描述与具体实例的关系,一个具体的对象被称为类的一个实例
15、继承:使用已存在的定义作为基础建立新定义的技术。父类、子类。
16、多态性:多态性是一种方法,这种方法使得在多个类中可以定义同一个操作或属性名,并在每个类中可以有不同的实现。多态性使得一个属性或变量在不同的时期可以表示不同类的对象。
17、消息:指向对象发出的服务请求,它应该含有下述信息:提供服务的对象标志、消息名、输入信息和回答信息
18、消息通信:封装使对象成为一些各司其职、互不干扰的独立单位;消息通信为他们提供了唯一的合法的动态联系途径,使他们的行为能够相互配合,构成一个有机的系统。
19、接口:对操作规范的说明
20、统一建模语言UML——是一种语言;是一种可视化语言;是一种可用于详细描述的语言;是一种构造语言;是一种文档化语言。不是过程,也不是方法,但允许任何一种方法使用它。简单并且可扩展,具有扩展和专有化机制,便于扩展,无需对核心概念进行修改。UML是一种标准的建模方法,UML标准并没有定义一种标准的开发过程,它可以支持现有的大部分软件开发过程,但比较适用于迭代式开发过程
图的名字 |
介绍 |
类图 |
描述一些类、包的静态结构和它们之间的静态关系 |
对象图 |
给出一个系统中对象的快照 |
构件图 |
描述可以部署的软件构件(比如Jar,ejb等)之间的静态关系 |
部署图 |
描述一个系统的拓扑结构 |
用例图 |
描述一系列角色和使用案例以及它们之间的关系,可以用来对一个系统的最基本的行为进行建模 |
活动图 |
描述不同过程之间的动态接触,是使用用例图描述的行为的具体化 |
状态图 |
描述一系列对象的内部状态的变化和转移,注意一个类不能有2个不同的状态图 |
顺序图 |
是一种相互作用图,描述不同对象之间信息传递的时序 |
协作图 |
是一种相互作用图,描述发出信息,接受信息的一系列对象的组织结构 |
21、与客户机/服务器(Client/Server ,C/S)架构相比,浏览器/服务器(Browser/Server ,B/S)架构的最大优点是部署和维护方便、易于扩展。
22、中间件另一类分类方式
1)数据库访问中间件通过一个抽象层访问数据库,从而允许使用相同或相似的代码访问不同的数据 库资源。典型的技术如Windows平台的ODBC和JavaJava平台的JDBC等。
2)远程过程调用(Remote Procedure Call,RPC)是一种广泛使用的分布式应用程序处理方法。一个应用程序使用RPC来“远程”执行一个位于不同地址空间内的过程,从效果上看和执行本地调用相同。事实上,一个RPC应用分为两个部分:服务器和客户机。服务器提供一个或多个远程过程;客户机向服务器发出远程调用。服务器和客户机可以位于同一台计算机,也可以位于不同的计算机,甚至可以运行在不同的操作系统之上。客户机和服务器之间的网络通讯和数据转换通过代理程序(stub与skeleton)完成,从而屏蔽了不同的操作系统和网络协议。RPC为客户机/服务器的分布计算提供了有力的支持。但是,RPC所提供的是基于过程的服务访问,客户机与服务器进行直接连接,没有中间机件来处理请求,因此提也具有一定的局限性。
3)面向消息中间件
面向消息中间件( Message-Oriented Middleware,MOM)利用高效可靠的消息传递机制进行平台无关的数据交流,并可基于数据通信进行分布系统的集成。通过提供消息传递和消息排队模型,可在分布环境下扩展进程间的通信,并支持多种通信协议、语言、应用程序、硬件和软件平台。典型的产品如IBM的MQSeries。
通过使用MOM,通信双方的程序(称其为消息客户程序)可以在不同的时间运行,程序不在网络上直接通话,而是间接地将消息放入MOM服务器的消息机制中。因为程序间没有直接的联系,所以它们不必同时运行:消息放入适当的队列时,目标程序不需要正在运行;即使目标程序在运行,也不意味着要立即处理该消息。
消息客户程序之间通过将消息放入消息队列或从消息队列中取出消息来进行通讯。客户程序不直接与其他程序通信,避免了网络通讯的复杂性。消息队列和网络通信的维护工作由MOM完成。
4)分布式对象中间件
随着对象技术与分布式计算技术的发展,两者相互结合形成了分布式对象技术,并发展成为当今软件技术的主流方向。典型的产品如OMG的CORBA、Sun的RMI/EJB、Microsoft的DCOM等。
5)事务中间件,也称事务处理监控器(Transaction Processing Monitor,TPM)最早出现在大型机上,为其提供支持大规模事务处理的可靠运行环境。随着分布计算技术的发展,分布应用系统对大规模的事务处理也提出了需求。事务处理监控程序位于客户和服务器之间,完成事务管理与协调、负载平衡、失效恢复等任务,提高系统的整体性能。
23、Web Service是解决应用程序之间相互通信的一种技术,是描述一系列操作的接口。它使用标准的、规范的XML描述接口。是实现SOA架构的技术。
SOAP(简单对象访问协议)、UDDI(统一描述、发现和集成)、WSDL(Web Service描述语言)、XML(可扩展标记语言)。
24、Web服务的主要目标是跨平台的互操作性,适合使用Web Services的情况如下:
(1)跨越防火墙:对于成千上万且分布在世界各地的用户来讲,应用程序的客户端和服务器之间的通信是一个棘手的问题。客户端和服务器之间通常都会有防火墙或者代理服务器。用户通过Web服务访问服务器端逻辑和数据可以规避防火墙的阻挡。
(2)应用程序集成:企业需要将不同语言编写的在不同平台上运行的各种程序集成起来时,Web服务可以用标准的方法提供功能和数据,供其他应用程序使用。
(3)B2B集成:在跨公司业务集成(B2B集成)中,通过Web服务可以将关键的商务应用提供给指定的合作伙伴和客户。用Web服务实现B2B集成以很容易地解决互操作问题。
(4)软件重用:Web服务允许在重用代码的同时,重用代码后面的数据。通过直接调用远端的Web服务,可以动态地获得当前的数据信息。用Web服务集成各种应用中的功能,为用户提供一个统一的界面,是另一种软件重用方式。
25、在某些情况下,Web服务也可能会降低应用程序的性能。不适合使用Web服务的情况如下。
(1)单机应用程序:只与运行在本地机器上的其他程序进行通信的桌面应用程序最好不使用Web服务,只用本地的API即可。
(2)局域网上的同构应用程序:使用同一种语言开发的在相同平台的同一个局域网中运行的应用程序直接通过TCP等协议调用,会更有效。
26、SOA(面向服务的体系结构):是一个组件模型,它将应用程序的不同功能单元(称为服务)通过这些服务之间定义良好的接口和契约联系起来。它是一种粗粒度、松耦合的服务架构,服务之间通过简单、精确的定义接口进行通信,不涉及底层编程接口和通信模型。Web Service是实现SOA的主要技术之一。
27、J2EE和.NET对企业计算支持的对比表。
|
J2EE |
.NET |
跨平台 |
跨平台能力强 |
不具备跨平台能力,仅支持Windows系统 |
支持语言 |
JAVA |
VB、C++、C#、Jscript,通过组件还可支持Java |
28、ASP.NET是.NET中的网络编程结构,可以方便、高效地构建、运行和发布网络应用。ASP.NET还支持Web Services(Web服务)。在.NET中,ASP.NET应用不再是解释脚本,而采用编译运行,再加上灵活的缓冲技术,从根本上提高了性能。
29、WWW:服务器是提供页面访问。
30、POP3:邮局协议的第3个版本
31、SMTP:简单邮件传输协议
32、Serv-U,是一种被广泛运用的FTP服务器端软件。
33、HTTP: 是超文本传送协议,是一种详细规定了浏览器和万维网服务器之间互相通信的规则。
34、NAT网络地址转换是将IP数据包头中的IP地址转换为另一个IP地址的过程。在实际应用中,NAT主要用于实现私有网络访问公共网络的功能。这种通过使用少量的公有IP地址代表较多的私有IP地址的方式,将有助于减缓可用的IP地址空间的枯竭。
35、Web2.0是相对于Web1.0的新的时代。指的是一个利用Web的平台,由用户主导而生成的内容互联网产品模式,为了区别传统由网站雇员主导生成的内容而定义为第二代互联网,即web2.0,是一个新的时代。例如:微博、相册和百科wiki可由用户主导生产内容。
36、综合布线标准遵循的标准是:EIA/TIA568A,适用范围:跨越距离不超过3OO0米,建筑总面积不超过1OO万平方米,人口为50-5万人。子系统分为以下6个:建筑群子系统、设备间子系统、垂直干线子系统、管理子系统、水平子系统和工作区子系统。
37、机房工程设计原则:实用性和先进性、安全可靠性、灵活性和可扩展性、标准化、经济性、可管理性。
38、网络设计一般要遵循一些原则:先进性、开放性、经济型、高可用性
39、无线网络根据数据发送的距离分为几种不同的类型:无线局域网络、无线广域网络、无线城域网络、无线个人网络。
40、另外,一些网络最基本的命令需要知道,比如ping、nslookup、ipconfig、tracert等
41、RAID0其利用率是1OO%。
42、RAID1成为磁盘镜像;磁盘利用率为50%。
43、AP接入点是用于无线网络的无线HUB,是无线网络的核心。它是移动计算机用户进入有线以太网骨干的接入点,它在开放空间最大覆盖范围可达1OO-4OO米,无线传输速率可以高达11Mbps。
44、4G包括TD-LTE和FDD-LTE两种制式。5G正在研发中,计划到2020年推出成熟的标准,理论上可在28GHz超高频段以lGbps的速度传送数据,且最长传送距离可达2公里。
45、IPv6是用16进制来表示IP地址,有128位。
46、ITSM是一套帮助企业对IT系统的规划、研发、实施和运营进行有效管理的高质量方法。是一套面向过程、以客户为中心的规范的管理方法。通过集成IT服务和业务,协助企业提高其IT服务提供和支持服务。实现ITSM的根本目标是:
(1)以客户为中心提供IT服务
(2)提供高质量、低成本的服务
(3)提供的服务是可以准确计价的。
47、ITIL(IT基础架构库)“服务台”、“事件管理”、“问题管理”、“配置管理”、“变更管理”、“发布管理”、“服务级别管理”的几个定义需要掌握。事件管理是偶然事件;问题管理是经常性事件;服务级别管理是确保服务提供方通过定义、签订和管理服务级别协议,满足服务需求方对服务质量的要求。
48、服务台是IT部门和IT服务用户之间的单一联系点。它通过提供一个集中和专职的服务联系点促进了组织业务流程与服务管理基础架构集成。服务台的主要目标是协调客户(用户)和IT部门之间的联系,为IT服务运作提供支持,从而提高客户的满意度。
49、服务级别协议是指提供服务的企业与客户之间就服务的品质、水准、性能等方面所达成的双方共同认可的协议或契约。典型的服务级别协议的内容:
1)与各方对所提供服务及协议有效期限的规定;
2)服务提供期间的时间规定,包括测试、维护和升级;
3)对用户数量、地点以及提供的相应硬件的服务的规定;
4)对故障报告流程的说明,包括故障升级到更高水平支持的条件。应包括对故障报告期望的应答时间的规定;
5)对变更请求流程的说明。可能包括完成例行的变更请求的期望时间;
6)对服务级别目标的规定;
7)与服务相关的收费规定;
8)用户责任的规定(用户培训、确保正确的桌面配置、没有不必要的软件、没有妨碍变更管理流程等);
9)对解决与服务相关的不同意见的流程说明;
50、“互联网+”就是“互联网+各个传统行业”。
51、企业信息化就是用现代信息技术来支撑企业经营战略、行为规范和业务流程的实现,企业信息化结构一般分为产品(服务)层、作业层、管理层和决策层。
52、CRM即客户关系管理系统。第一,CRM以息技术为技术为手段,但是CRM绝不仅仅是某种信息技术的应用,它更是一种以客户为中心的商业策略,CRM注重的是与客户的交流,企业的经营是以客户为中心,而不是传统的以产品或以市场为中心。第二,CRM在注重提高客户的满意度的同时,一定要把帮助企业提高获取利润的能力作为重要指标。第三,CRM的实施要求企业对其业务功能进行重新设计,并对工作流程进行重组(BPR),将业务的中心转移到客户,同时要针对不同的客户群体有重点地采取不同的策略。
53、客户关系管理系统(CRM)包括的基本功能模块有自动化的销售、客户服务和市场营销。
54、客户数据可以分为描述性、促销性和交易性数据三大类
55、电子商务安全交易中最重要的两个协议是SSL和SET
56、支付宝属于第三方支付方式。余额宝属于基金理财,不属于第三方支付。
57、电子商务分三个方面:电子商情广告、电子选购和交易;电子交易凭证的交换、电子支付与结算;网上售后服务等。参与电子商务的实体有四类:顾客(个人消费者或集团购买)、商户(包括销售商、制造商和储运商)、银行(包括发卡行和收单行)及认证中心。
58、商业智能(BI):将组织中现有的数据转化为为知识,帮助组织做出明智的业务经营决策应具有的主要功能:数据仓库、数据ETL、数据统计输出(报表)、分析功能。商业智能一般由数据仓库、联机分析处理、数据挖掘、数据备份和恢复等部分组成。商业智能的实现涉及到软件、硬件、咨询服务及应用,其基本体系结构包括数据仓库、联机分析处理和数据挖掘三个部分。
真题
1、软件测试是发现软件错误(缺陷)的主要手段,软件测试方法可以分为静态测试和动态测试,其中( )属于静态测试。
A.代码走查 B.功能测试 C.黑盒测试 D.白盒测试
2、企业应用集成技术(EAI)可以消除信息孤岛,将多个企业信息系统连接起来,无缝集成。EAI 包括多个层次和方面,其中在业务逻辑层上对应用系统进行黑盒集成的,属于( )
A.数据集成 B.控制集成 C.表示集成 D.业务流程集成
3、信息系统设备安全是信息系统安全的重要内容,其中设备的( )是指设备在一定时间内不出故障的概率。
A.完整性 B.稳定性 C.可靠性 D.保密性
4、在网络安全防护中,( )注重对网络安全状况的监管,通过监视网络或系统资源,寻找违反安全策略的行为或攻击迹象,并发出报警。
A.防火墙 B.蜜罐技术 C.入入侵检测系统 D.入侵防护系统
5、在开放系统互连参考模型(OSI)中,( )的主要功能是将网络地址翻译成对应的物理地址,并决定如何将数据从发送方经路由送达到接收方。
A.数据链路层 B.物理层 C.网络层 D.传输层
6、IEEE802规范定义了网卡如何访问传输介质,以及如何在传输介质上传输数据的方法。其中,( )是重要的局城网协议
A.IEEE802.1 B.IEEE802.3 C.IEEE802.6 D.IEEE802.11
7、企业系统规划(Business System Planning,BSP)方法包含一定的步骤,完成准备工作后,需要进行的四个步骤依次是( )
A.定义企业过程,识别定义数据类,确定管理部门对系统的要求,分析现有系统
B.识别定义数据类,定义企业过程,确定管理部门对系统的要求,分析现有系统
C定义企业过程,,识别定义数据类,分析现有系统,确定管理部门对系统的要求
D.识别定义数据类,定义企业过程,分析现有系统,确定管理部门对系统的要求
8、在面向对象的基本概念中,( )体现对象间的交互,通过它向目标对象发出操作请求。
A.继承 B.多态 C.接口 D.消息
9、关于UML的描述,不正确的是( )
A.UML是一种可视化编程语言
B.UML适用于各种软件开发方法
C.UML 用于对软件进行可视化描述
D.UML适用于软件生命周期的各个阶段
10、UML图不包括( )
A.用例图 B.序列图 C.组件图 D.继承图
1-5 ABBCC 6-10 BCDAD