软件评测师考试笔记01
前言:最近在准备软件评测师考试,深感亚历山大,错误率太高,不忍直视,谨以此篇记录整理的知识,为接下来的考试加油打气
目录
1 计算机系统构成及硬件基础知识
2程序语言基础知识
3操作系统基础知识
4数据库系统
5计算机网络基础知识
6软件工程基础知识
7软件构件与中间件
8信息安全知识
9软件的知识产权保护
10标准化基础知识
11信息化基础知识
1 计算机系统构成及硬件基础知识
1.1中央处理器是计算机的控制、运算中心、它主要通过总线和其他设备进行联系;另嵌入式系统设计中,外部设备也常常直接连接到中央处理的外部输入/输出(I/O)脚的中断脚上
1.2运算器的位数,即运算器一次能对多少位的数据做加法,是衡量中央处理器的一个重要指标
1.3程序计数器可能是下一条指令的绝对地址,也可能是相对地址,即地址偏移量
1.4中断-DMA方式-信道方式,后面2个不需要中央处理器参与
1.5假脱机是先送到外存储器,典型例子是打印
1.6总线:PC总线(PC/XT)-PC/AT-ISA-EISA-PCI-AGP
1.7存储器:顺序存取(磁带存储器)、直接存取(磁盘存储器)、随机存取(主存储器)、相联存取(Cache)
1.8控制通常需要程序计数器、指令寄存器、指令译码器、定时与控制电路、以及脉冲源、中断等共同
1.9Cache的写操作常用的方法:写直达、写回、标记法
2程序语言基础知识
2.0中间代码。其优点是便于编译系统的建立和移植;
2.1编译程序可以分为几个部分:词法分析、语法分析和语义分析、代码优化、代码生成、符号表管理
2.2经过词法分析,源程序就转化成单词串
2.3传值调用,形参取得的是实际参数的值;引用调用,形参取得的是实际参数所在单元的地址
2.4封装是将数据和操作数据的函数衔接在一起,构成的一个具有类类型的对象的描述;继承即可以从一个类派生另一个类。派生类(子类)继承了其父类和祖先类的数据成员和成员函数。派生类可增加新的属性和新的操作,另外,派生类在继承的成员函数不合适时可以放弃不用;多态性就是多种表现形式,具体来说,可以用“一个对外接口,多个内在实现方法”表示
2.5面向对象编程的特性使得成员函数的测试,不完成等同于传统的函数或过程测试,需要考虑以下方面:1、对父类中已经测试过的成员函数,有2中情况需要重新测试,a继承的成员函数在子类中做了改动,b成员函数调用了改动过的成员函数的部分2、对父类的测试是否能照搬到子类
3操作系统基础知识
3.0计算机系统引入操作系统的目的:用户观点、资源管理观点、进程观点、分层观点
3.1操作系统的基本类型:批处理操作系统、分时操作系统、实时操作系统、网络操作系统、分布式操作系统
操作系统的结构设计模式:模块化结构、层次化结构、客户/服务器结构、对象模式、对称多处理模式
3.2进程:就绪、执行、阻塞
4数据库系统
4.0第一范式(1NF):如果关系模式R的每个关系r的属性都是不可分的原子值,那么称R是第一范式的模式
4.1集合运算:并、差、交、笛卡尔积、集合运算实例
关系运算:投影、选择、sita连接、除法、外连接、关系运算实例
4.2视图的作用:简化用户的操作、使用户能从多种角度看待同一数据、对重构数据库提供了一定程度的逻辑独立性、能够对机密数据提供安全保护
5计算机网络基础知识
5.1物理层的测试包括碰撞分析、错误统计、是否有随机能量、无格式的帧和信号回波;数据链路层的测试包括流量分析、错误帧统计;网络层包括响应时间测试、网络层协议分析、ip路由分析
5.2对网络设备和tcp/ip网络的检测主要包括以下技术指标:吞吐量、丢包率、延时、背靠背性能
5.3IP地址根据网络号和主机号的数量分为A\B\C三类,A最前面为0,有126个可能的A类网络,最多可以连2的24次方减2台主机,B最前面为10,有16000个,最多有2的16次方减2台主机,C最前面为110,最多有2的8次方减2台主机
5.4FTP端口21,HTTP 80,SMTP 25,POP3 110
5.5 转发器、集线器 物理层,网桥或桥接器 数据链路层,路由器、网关 网络层
6软件工程基础知识
6.1软件是由程序、数据、文档组成;软件工程方法包含三个要素:方法、工具和过程
6.2软件工程的概念提出跟软件危机有关
6.3不同模块之间的关系就是耦合,根据耦合程度可以分为7种,耦合度依次变低。
内容耦合:内容耦合是最紧的耦合程度,一个模块直接访问另一模块的内容
公共耦合:一组模块都访问同一个全局数据结构
外部耦合:一组模块都访问同一全局简单变量 ,外部耦合和公共耦合很像,区别就是一个是简单变量,一个是复杂数据结构
控制耦合:模块之间传递的不是数据信息,而是控制信息例如标志、开关量等,一个模块控制了另一个模块的功能
标记耦合:调用模块和被调用模块之间传递数据结构而不是简单数据,同时也称作特征耦合
数据耦合:调用模块和被调用模块之间只传递简单的数据项参数。相当于高级语言中的值传递
非直接耦合:两个模块之间没有直接关系,它们之间的联系完全是通过主模块的控制和调用来实现的。耦合度最弱,模块独立性最强。
6.4内聚按强度从低到高有以下几种类型:
(1) 偶然内聚。如果一个模块的各成分之间毫无关系,则称为偶然内聚。
(2) 逻辑内聚。几个逻辑上相关的功能被放在同一模块中,则称为逻辑内聚。如一个模块读取各种不同类型外设的输入。尽管逻辑内聚比偶然内聚合理一些,但逻辑内聚的模块各成分在功能上并无关系,即使局部功能的修改有时也会影响全局,因此这类模块的修改也比较困难。
(3) 时间内聚。如果一个模块完成的功能必须在同一时间内执行(如系统初始化),但这些功能只是因为时间因素关联在一起,则称为时间内聚。
(4) 过程内聚。如果一个模块内部的处理成分是相关的,而且这些处理必须以特定的次序执行,则称为过程内聚。
(5) 通信内聚。如果一个模块的所有成分都操作同一数据集或生成同一数据集,则称为通信内聚。
(6) 顺序内聚。如果一个模块的各个成分和同一个功能密切相关,而且一个成分的输出作为另一个成分的输入,则称为顺序内聚。
(7) 功能内聚。模块的所有成分对于完成单一的功能都是必须的,则称为功能内聚。
7软件构件与中间件
没有细细分析,有兴趣可以自己分析
8信息安全知识
8.0加密机制有助于保护信息的机密性和完整性;加密算法分为私钥加密(对称加密;双方算法一致;分发困难;DES\IDEA)和公钥加密(算法复杂、加密数据的速度和效率低;RSA/Elgamal算法/数字签名算法/椭圆曲线加密)
8.1入侵检测系统可以实现以下功能:1、监视、分析及系统活动2、系统构造和弱点的审计3、识别反映已知进攻的活动模式向相关人士报警4、异常行为模式的统计分析5、评估重要系统和数据文件的完整性6、操作系统的审计跟踪管理,并识别用户违反安全策略行为
8.2 安全防护策略:安全日志、入侵检测、漏洞扫描、隔离防护
安全日志测试内容:用户认证机制、加密机制、安全防护策略、数据备份与恢复、防病毒系统
8.3信息系统特别是网络信息系统,为保证实体、数据、平台、应用、运行等的安全,主要采用以下几种基本的安全防护技术:防火墙、入侵检测系统、漏洞扫描、安全审计、病毒防治、web信息防篡改
防火墙测试点:是否支持交互和路由2种工作模式、是否支持对FTP\HTTP\SMTP等服务类型的访问控制、是否考虑防火墙冗余设计、是否支持对日志的统计分析功能,日志是否可存储在本地或网络数据库中、防火墙或受保护内网的非法攻击,是否提供多种警告方式和多级别的告警
入侵检测系统测试点:是否检测到入侵事件时,自动执行切断服务、记录入侵过程、报警等动作、是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载、是否提供多种方式对监视引擎和检测特征进行定期更新、内置的网络能否使用状态监控工具或网络监听工具
病毒防治:能否支持多种平台的病毒防范、是否支持对服务器的病毒防治、能否支持对电子邮件附件的病毒防治、能否提供对病毒特征信息和检测引擎的定期在线更新服务、防病毒范围是否广泛,是否包括unix、windows、linux系列等操作系统
安全审计:能否进行系统数据收集,统一存储,集中进行安全审计、是否支持基于PKI的应用审计、是否支持基于XML的审计数据采集协议、是否提供灵活的自定义审计规则
web信息防篡改系统:是否支持多种操作系统、是否具有集成发布与监控功能,使系统能够区分合法更新与非法篡改、是否可以实时发布和备份、是否具备自动监控、自动恢复、自动报警的能力、是否提供日志管理、扫描策略管理和更新管理
8.4安全测试方法:功能验证、漏洞扫描、模拟攻击、侦听技术
功能验证:对涉及安全的软件功能,如:用户管理模块,权限管理模块,加密系统,认证系统进行测试,主要验证上述功能是否有效
漏洞扫描:拒绝服务漏洞(遭到拒绝服务攻击的网络和站点,在TCP SYN攻击下,连接请求大量传给服务器,导致正常请求被淹没……)、本地用户扩权漏洞(一个unix系统普通用户如果拥有了root身份,那么,出现了恶意行为时,对系统是毁灭性的)、远程用户扩权漏洞(未经授权进入了系统访问)
模拟攻击:服务拒绝攻击企图通过使服务计算机崩溃或把他压垮提供服务,1、服务拒绝型攻击包括:死亡之ping、泪滴、UDP洪水、SYN洪水、Land攻击、Smurf攻击、Fraggle攻击、电子邮件炸弹、畸形消息等9种 2、漏洞木马型攻击(口令猜测、特洛伊木马、缓存区溢出)3、信息收集类技术(扫描技术(地址扫描、端口扫描、反响扫描、慢速扫描)、体系结构探测、利于信息服务(DNS域转换、Finger服务、LDAP服务))伪装欺骗型攻击(DNS高速缓存污染、伪造电子邮件、Arp欺骗、IP欺骗)
侦听技术:该技术主要用于对网络加密的验证。侦听技术实际上是在数据通信或数据交互过程,对数据进行截取分析的过程
8.5对业务系统进行全面保障的安全体系,主要体现在以下矮个层次:实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全
安全系统的主要构成一般包括证书业务服务系统、证书查询验证服务系统、密钥管理系统、密码服务系统、授权管理服务系统、可信时间戳服务系统、网络信任域系统、基本安全防护系统
对证书业务服务系统功能测试主要从以下几个方面进行:证书认证系统是否采用国家密码主管部门审批的签名算法完成签名操作,是否提供证书的签发和管理、证书撤销列表的签发和管理、证书/证书撤销列表的发布以及证书审核注册中心的设立、审核及管理等功能;按使用对象分类,系统能否提供人员证书、设备证书、机构证书三种类型的证书;是否可以提供加密证书和签名证书;
数字证书格式是否采用X.509 v4;系统是否提供证书申请、身份审核、证书下载等服务功能;证书申请、身份审核、证书下载等服务是否都可采用在线和离线两种方式;系统是否提供证书认证策略及策略管理、自身证书安全管理等证书管理服务;
对证书业务服务系统性能测试,一般考虑以下哎几个方面:检查证书业务服务系统设计的处理性能是否具备可伸缩配置及扩展的能力;关键部分是否采用双机热备份和磁盘镜像;是否满足系统的不间断运行、在线故障修复和在线系统升级;是否满足需求说明中预测的最大数量用户正常访问的需求,并且,是否有3~4倍的冗余,如有必要,需要测试系统的并发压力承受能力
证书查询验证服务系统
密钥管理系统
密码服务系统
可信授权服务系统
可信时间戳服务系统
网络信任域系统
故障恢复与容灾备份(稳定性与可靠性的保障):故障恢复,整个系统是否存在单点故障,对于关键性应用系统,当任何一台设备失效时,按照预先定义的规则是否能快速切换,是否采用磁盘镜像技术,实现主机系统到磁盘系统的高速连接;数据备份,对于关键的业务,是否具备必要的热备份机制,例如双机热备、磁盘镜像等,对于所有业务,是否提供磁带备份和恢复机制,保证系统能根据备份策略恢复到指定时间的状态;容灾备份,可否建立异地容灾备份中心,当主中心发生灾难性事件时,由备份中心接管所有的业务,备份中心是否有足够的带宽确保与主中心数据同步,有足够的处理能力来接管主中心的业务,能否确保快速可靠的与主中心的应用切换
安全产品的选择
9软件的知识产权保护
基本看几遍往年的试题就可以理解概念了,没有仔细分析记录
10标准化基础知识
10.0易用性是指软件产品被理解、学习、使用和吸引用户的能力。包括易理解性、易学性、易操作性、吸引性、易用性依从性;分四部分:安装、功能易用性、界面、辅助系统
10.1通常将质量属性划分为6种特性:功能性、可靠性、易用性、效率、维护性和可移植性
10.2界面整体测试指对界面的规范性、一致性、合理性等进行测试和评估
10.3一个典型的测试用例应该包括以下组成部分:测试用例标识、被测对象、测试环境和条件、测试输入、操作步骤、预期输出、判断输出结果是否符合标准、测试对象的特殊需求
10.4、可靠性是指产品在规定的条件和规定的时间内完成规定功能的能力
10.5场景流法
等价类划分法:等价类划分是把程序的输入域划分成若干部分,然后从每个部分中选取少数代表性数据作为测试用例
边界值分析法不是选择等价类的任意元素,而是选择等价类边界构建测试用例,是付等价类划分的很好的补充
因果图的思路是:从用自然语言书写的程序规格说明书中找出因(输入条件)和果(输出或程序状态的改变),通过因果图转换成判定表
错误推测法
11信息化基础知识
无