信息系统项目管理师考试答题技巧和复习重点.doc

WORD格式 可编辑信息系统项目管理师考试答题技巧和复习重点一.上午的选择题技巧对于没有确定把握的题，按自己的第一选择1.概念、公式类题目，答案选最长的2.选择某一选项为其他选项合集的3.如果选项中有二选项相背，则答案位于其中4.选择提干与核心词汇一致的5.模型相关的选择题：带有循环、原型驱动等关键词的选择螺旋模型；需求确定、传统的选择瀑布原型；需求不确定、面向对象的选择迭代模型或者喷泉模型6.要掌握5类计算，如下：1）静态回收期/投资回报率2）动态回收期/投资收益率3）关键路径和活动6参数4）三点估算5）挣值分析绩效控制6）决策树二.下午案例分析1.三个基本观点 1)项目以阶段化管理，迭代开发为主线 2)以范围、质量、成本、周期之间相互约束，保持平衡为主线 3)项目的结构化管理，要具备良好的请示汇报关系，保障责任唯一性2.如果你实在是不知道怎么写，还可以从案例中找出错误的地方，然后往正确方向写，估计也能得及格分3.四种答题思路一、职能/机构的作用：1）统一组织，建立良好的请示汇报关系，建立相关职能岗位的说明书。2）统一流程，制订该组织工作的制度，行为规范。3）通一绩效，制订严格的考核体系，实行奖惩制度。二、计划编制类1）识别计划目标、约束等因素。2）采用合理方法、工具等支持编制。3）做好计划的相关干系人共同参与的评审，形成计划基线。4）做好计划的跟踪控制，持续优化改进。三、控制类1）建立干系人认可的计划或基线。2）识别偏差：以定期等工作方式收集相关问题。3）分析偏差：做好相关问题剖析。4）纠正偏差：制定相关问题的改正措施。5）制定新的计划：通过相关干系人协商，将问题改正措施纳入到后期计划或基线中。四、评估/评审类1）识别相关关注点或需求。2）制定反映关注点或需求的指标体系。3）根据项目特点，确定指标权重。4）制定指标的度量准则，形成评审或评估的操作规程。三.下午论文掌握一个框架：论文八段式结构 1）摘要 2）项目背景与岗位工作说明 3）在项目实施过程出现的问题，你作为什么角色，如何解决了问题 4）首先，针对某某问题，项目出现的矛盾，如何解决，解决的效果 5）其次，。 6）再次，。 7）项目验收与项目干系人的满意程度 8）展望，说出对于其他项目的借鉴作用高项考试答题技巧：1）对项目管理知识结构要熟悉要做题2）还有技术部分也是3）法律法规是考前2周突击的4）组织级管理比较简单也可以做一做题，做题是帮助你建立知识结构的。5）论文一定要背44个子过程，需要写子过程的输入输出和工具方法。不要花太多时间在论文上面，参照下午辅导的5-4星级范文（281页）写2片论文提交上来，这就相当于考试时的模板套路了。案例分析需要从题干找线索，有思路就行。案例分析（形式化技巧）1）答题要编号2）答题时尽可能多用术语3）每条至少十五字4）空白之处要写满5）卷面整洁干净不出现任何涂改痕迹（形式比内容更重要）千万不要用英文代替6）根据题干找答案7）问题前后是有关联的，看完题目再作答8）输入输出论文写作的建议：注意论文不能创新，必须要按照套路来写。论文写作的过程中不能有停顿，否则写作的时间就会不够，所以必须练习。看已发书的下午辅导：232页：论文框架背景+知识应用（理论联系实际）+总结379页：看B.2论文评分标准B，了解评分标准。233页：论文布局先写摘要一定要按照套路写235页正文写法：1.背景（准备800字）需要写明业务内容、工期等体现项目的真实性项目周期一般为：6-12个月，项目金额：软件项目100-1000万，硬件项目1亿左右，一定要写明自己在项目中的职务是项目经理。不要有图、表、流程图。2.知识点应用（1000-1500字占正文的一半左右）每个子过程都需要单独标题分条叙述考试时不能打括号说明工具和方法需要举1-2个例子，例子一定要具体不要用XX代替。主要就是罗列输入输出方法后把实际工作经验镶嵌进去。3.项目总结可以先对前面的知识点应用回顾一遍，再指出不足。写总结时一定不能谦虚，对项目的评价都是好上加好略有不足，而且这些不足不能反映实际问题，最好是一些隔靴搔痒、可有可无的问题。附言：最新版的招标法（采购法合同法监理等）、软件工程规范的文档、综合布线、机房规范、技术部分（较难，软件占80%）、配置管理这些老师建议在考前2周看一下，这些内容都在作业系统的资料下载里面有个压缩文件夹“曹老师补充上课资料（最新）”里面能够找到。这个是上课时老师讲到的我帮大家总结了一下希望能对大家有帮助。“程序流程图、数据流程图等”是结构化方法使用的主要分析设计工具，而“先开发一个简化系统，待用户认可后再开发最终系统”则是原型法的特征。安全审计属于安全管理类产品，安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。国家电子政务总体框架的构成包括：服务与应用系统、信息资源、基础设施、法律法规与标准化体系、管理体制；推进国家电子政务建设，服务是宗旨，应用是关键，信息资源开发利用是主线，基础设施是支撑，法律法规、标准化体系、管理体制是保障。V 模型的价值在于它非常明确地标明了测试过程中存在的不同级别，并且清楚地描述了这些测试阶段和开发各阶段的对应关系。(1)单元测试的主要目的是针对编码过程中可能存在的各种错误，例如用户输入验证过程中的边界值的错误。(2)集成测试主要目的是针对详细设计中可能存在的问题，尤其是检查各单元与其他程序部分之间的接口上可能存在的错误。(3)系统测试主要针对概要设计，检查系统作为一个整体是否有效地得到运行，例如在产品设置中是否能达到预期的高性能。(4)验收测试通常由业务专家或用户进行，以确认产品能真正符合用户业务上的需要。在不同的开发阶段，会出现不同类型的缺陷和错误，所以需要不同的测试技术和方法来发现这些缺陷。结构化开发方法五个阶段的主要内容用结构化系统开发方法开发一个系统，将整个开发过程划分为五个首尾相连接的阶段，一般称之为系统开发的生命周期，系统开发的生命周期分为系统规划、系统分析、系统设计、系统实施、系统运行和维护五个阶段。1系统规划系统规划的主要内容包括：企业目标的确定解决目标的方式的确定信息系统目标的确定信息系统主要结构的确定工程项目的确定可行性研究等2系统分析系统分析的主要内容包括：数据的收集数据的分析系统数据流程图的确定系统方案的确定等系统分析阶段是整个MIS建设的关键阶段。3系统设计系统设计的主要内容包括：系统流程图的确定程序流程图的确定编码输入、输出设计文件设计程序设计等4系统实施系统实施的主要内容包括：硬件设备的购买硬件设备的安装数据准备程序的调试系统测试与转换人员培训等5系统运行与维护系统运行与维护的主要内容包括：系统投入运行后的管理及维护系统建成前后的评价发现问题并提出系统更新的请求等软件需求的具体内容计算机软件需求说明编制指南GB/T9385中定义了需求的具体内容，包括：（1功能需求：指描述软件产品的输入怎样变换成输出即软件必须完成的基本动作。对于每一类功能或者有时对于每一个功能需要具体描述其输入、加工和输出的需求。（2性能需求：从整体来说本条应具体说明软件或人与软件交互的静态或动态数值需求。静态数值需求可能包括：支持的终端数支付并行操作的用户数处理的文卷和记录数表和文卷的大小动态数值需求可包括欲处理的事务和任务的数量，以及在正常情况下和峰值工作条件下一定时间周期中处理的数据总量。所有这些需求都必须用可以度量的术语来叙述。例如，95%的事务必须在小于1s时间内处理完，不然操作员将不等待处理的完成。（3设计约束：设计约束受其他标准、硬件限制等方面的影响。（4属性：在软件的需求之中有若干个属性如可移植性、正确性、可维护性及安全性等。（5外部接口需求：包括用户接口、硬件接口、软件接口、通信接口。（6其他需求：根据软件和用户组织的特性等某些需求放在数据库、用户要求的常规的和特殊的操作、场合适应性需求中描述。由此可知：对特定范围内修改所需的时间不超过3秒性能需求。按照订单及原材料情况自动安排生产排序功能需求。系统能够同时支持1000个独立站点的并发访问性能需求。系统可实现对多字符集的支持，包括GBK, BIG5和UTF-8等设计约束。定期生成销售分析报表功能需求系统实行同城异地双机备份，保障数据安全设计约束。软件需求的3 个层次：业务需求、用户需求和功能需求软件需求包括 3 个不同的层次业务需求、用户需求和功能需求。除此之外，每个系统还有各种非功能需求。业务需求（ Business requirement ）表示组织或客户高层次的目标。业务需求通常来自项目投资人、购买产品的客户、实际用户的管理者、市场营销部门或产品策划部门。业务需求描述了组织为什么要开发一个系统，即组织希望达到的目标。使用前景和范围（ vision and scope ）文档来记录业务需求，这份文档有时也被称作项目轮廓图或市场需求（ project charter 或 market requirement ）文档。用户需求（ user requirement ）描述的是用户的目标，或用户要求系统必须能完成的任务。用例、场景描述和事件响应表都是表达用户需求的有效途径。也就是说用户需求描述了用户能使用系统来做些什么。功能需求（ functional requirement ）规定开发人员必须在产品中实现的软件功能，用户利用这些功能来完成任务，满足业务需求。功能需求有时也被称作行为需求（ behavioral requirement ），因为习惯上总是用“应该”对其进行描述：“系统应该发送电子邮件来通知用户已接受其预定”。功能需求描述是开发人员需要实现什么。系统需求（ system requirement ）用于描述包含多个子系统的产品（即系统）的顶级需求。系统可以只包含软件系统，也可以既包含软件又包含硬件子系统。人也可以是系统的一部分，因此某些系统功能可能要由人来承担。业务规则包括企业方针、政府条例、工业标准、会计准则和计算方法等。业务规划本身并非软件需求，因为它们不属于任何特定软件系统的范围。然而，业务规则常常会限制谁能够执行某些特定用例，或者规定系统为符合相关规则必须实现某些特定功能。有时，功能中特定的质量属性（通过功能实现）也源于业务规则。所以，对某些功能需求进行追溯时，会发现其来源正是一条特定的业务规则。功能需求记录在软件需求规格说明（ SRS ）中。 SRS 完整地描述了软件系统的预期特性。 SRS 我们一般把它当作文档，其实， SRS 还可以是包含需求信息的数据库或电子表格；或者是存储在商业需求管理工具中的信息；而对于小型项目，甚至可能是一叠索引卡片。开发、测试、质量保证、项目管理和其他相关的项目功能都要用到 SRS 。除了功能需求外， SRS 中还包含非功能需求，包括性能指标和对质量属性的描述。质量属性（ quality attribute ）对产品的功能描述作了补充，它从不同方面描述了产品的各种特性。这些特性包括可用性、可移植性、完整性、效率和健壮性，它们对用户或开发人员都很重要。其他的非功能需求包括系统与外部世界的外部界面，以及对设计与实现的约束。约束（ constraint ）限制了开发人员设计和构建系统时的选择范围。产品特性。所谓 特性（ feature ），是指一组逻辑上相关的功能需求，它们为用户提供某项功能，使业务目标得以满足。对商业软件而言，特性则是一组能被客户识别，并帮助他决定是否购买的需求，也就是产品说明书中用着重号标明的部分。客户希望得到的产品特性和用户的任务相关的需求不完全是一回事。一项特性可以包括多个用例，每个用例又要求实现多项功能需求，以便用户能够执行某项任务。还有一项称为可用性（ usability ）的质量属性，它规定了业务需求中“有效”（ efficiently ）一词的含义。管理人员或市场营销人员负责定义软件的业务需求，以提高公司的运营效率（对信息系统而言）或产品的市场竞争力（对商业软件而言）。所有的用户需求都必须符合业务需求。需求分析员从用户需求中推导出产品应具备哪些对用户有帮助的功能。开发人员则根据功能需求和非功能需求设计解决方案，在约束条件的限制范围内实现必需的功能，并达到规定的质量和性能指标。 当一项新的特性、用例或功能需求被提出时，需求分析员必须思考一个问题：“它在范围内吗？”。如果答案是肯定的，则该需求属于需求规格说明，反之则不属于。但答案也许是“不在，但应该在”，这时必须由业务需求的负责人或投资管理人来决定：是否扩大项目范围以容纳新的需求。这是一个可能影响项目进度和预算的商业决策。软件需求分析方法需求分析方法有：(1)结构化分析方法：包括面向数据流的结构化分析方法，面向数据流结构的Jackson方法和面向数据结构的结构化数据系统开发方法。(2)面向对象的分析方法：从需求分析建立的模型的特性来分，需求分析方法又分为静态分析方法和动态分析方法。结构化分析方法结构化分析方法的实质是着眼于数据流，自顶向下，逐层分解，建立系统的处理流程，以数据流图和数据字典为主要工具，建立系统的逻辑模型。结构化分析的步骤如下：(1)通过对用户的调查，以软件的需求为线索，获得当前系统的具体模型(2)去掉具体模型中非本质因素，抽象出当前系统的逻辑模型(3)根据计算机的特点分析当前系统与目标系统的差别，建立目标系统的逻辑模型(4)完善目标系统并补充细节，写出目标系统的软件需求规格说明(5)评审直到确认完全符合用户对软件的需求面向对象的需求分析方法面向对象的需求分析方法的核心是利用面向对象的概念和方法为软件需求建造模型。它包含面向对象风格的图形语言机制和用于指导需求分析的面向对象方法学。软件过程管理软件工程管理集成了过程管理和项目管理，包括以下6个方面。1启动和范围定义进行启动软件工程项目的活动并作出决定。通过各种方法来有效地确定软件需求，并从不同的角度评估项目的可行性。一旦可行性建立后，余下的任务就是需求验证和变更流程的规范说明。2软件项目计划从管理的角度，进行为成功的软件工程作准备而要采取的活动。使用迭代方式制订计划。要点在于评价并确定适当的软件生命周期过程，并完成相关的工作。3。软件项目实施进行软件工程过程中发生的各种软件工程管理活动。实施项目计划，最重要的是遵循计划，井完成相关的工作。4评审和评价进行确认软件是否得到满足的验证活动。 5关闭进行软件工程项目完成后的活动。在这一阶段，重新审查项目成功的准则。一旦关闭成立，进行归档、事后分析和过程改进活动。6软件工程度量进行在软件工程组织中有效地开发和实现度量的程序。软件质量保证体系对于软件质量保证，一个正规的定义是：软件质量保证是一系列活动，这些活动能够提供整个软件产品的适用性的证明。要实现软件质量保证，就需要使用为确保一致性和延长的软件周期而建立的质量控制规则。而质量保证、质量控制、审核功能以及软件测试之间的关系经常容易使人迷惑为了生产出满足客户需求的产品，就必须遵循一定的过程。质量保证是一系列的支持措施，有了这些措施，这些过程的建立和改进就有了保障。在质量保证的过程中，产品质量将和可用的标准相比较，同时也要和不一致产生时的行为相比较。而审核则是一个检查/评估的活动，用以验证与计划、原则以及过程的一致性。软件质量保证是一种计划好的行为，它可以保证软件满足评测标准，并且 具体项目所需要的特性，例如可移植性、高效性、复用性和灵活性。它是一些活动和功能的集合，这些活动和功能用来监控软件项目，从而能够实现预计的目标。它不仅仅是软件质量保证组的责任，项目经理、项目组长、项目人员以及用户都可以参与到其中。质量保证是用来管理质量的。“保证”这个词也就意味着，如果遵循了一定的过程，管理者就能够确保产品的质量。质量保证也是一个接触反应式的功能，它能激起管理者以及工作人员对于质量的积极态度。成功的软件保证管理者懂得如何使人们关心质量，并深深懂得质量对于个人和组织具有何等重要的意义。要实现软件质量的目标，主要是需要遵循软件质量控制计划。为了确保每个里程碑twf3所提交的文档和产品都具有高质量，项目就必须引入一些方法来使之得到保证。而这些方法就在软件质量控制计划中进行声明。这一外在的方式会保证一些步骤得到实施，而这些步骤的目的也就是要获得软件质量并且能对那些行为的文档进行管理。这个计划也制定了评测标准，这些评测标准用于检测而不是仅仅设定一个不可能完成的目标，例如，希望生产一个零缺陷的软件或者百分之百可以信赖的软件。软件质量保证是一种风险管理的策略。因为软件质量的成本很高，需要纳入到项目的正规的风险管理中来，所以软件质量保证的存在是非常有必要的。下面是一些较差的软件质量的例子：1被分发出去的软件频繁地出现故障。2系统失败导致不可接受的结果，这种结果可以是经济上的损失或者是危及生命的情况。3在需要执行预定功能时，系统不可用。4系统增强的成本非常的高。5检测和缺陷纠正的成本过高。尽管大部分的质量风险都和缺陷有关，但相对需求而言，系统失败的地方就是一个缺陷。如果需求本身不够完整，甚至是错误的，那么缺陷的风险就更大。而这样所导致的结果就是许许多多内在的缺陷和不能被查证的产品。一些风险管理策略和技术包括了软件测试、技术复查、同等复查以及符合程度的查证。软件可靠性和可维护性测试评审时要考虑：1、针对可靠性和可维护性的测试目标2、测试方法3、测试用例4、测试工具5、测试通过标准6、测试报告信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素，1、人员安全2、人员信息3、立法及规章所确定的义务4、法律的强制性5、商业及经济的利益6、金融损失对业务活动的干扰7、公共秩序8、业务政策及操作9、信誉的损害清华信息系统项目管理师教程第二版 P565.软件设计与软件设计内容软件设计是把许多事物和问题抽象起来，并且抽象它们不同的层次和角度。建议用数学语言来抽象事务和问题，因为数学是最好的抽象语言，并且它的本质就是抽象。将复杂的问题分解成可以管理的片断会更容易。将问题或事物分解并模块化这使得解决问题变得容易，分解的越细模块数量也就越多，它的副作用就是使得设计者考虑更多的模块之间耦合度的情况。软件设计包括软件的结构设计，数据设计，接口设计和过程设计。结构设计是指：定义软件系统各主要部件之间的关系。数据设计是指：将模型转换成数据结构的定义。接口设计是指：软件内部，软件和操作系统间以及软件和人之间如何通信。过程设计是指：系统结构部件转换成软件的过程描述。软件测试原则一，测试应该尽早进行，最好在需求阶段就开始介入，因为最严重的错误不外乎是系统不能满足用户的需求。二，程序员应该避免检查自己的程序，软件测试应该由第三方来负责。三，设计测试用例时应考虑到合法的输入和不合法的输入以及各种边界条件，特殊情况下要制造极端状态和意外状态，如网络异常中断、电源断电等。四，应该充分注意测试中的群集现象。五，对错误结果要进行一个确认过程。一般由A测试出来的错误，一定要由B来确认。严重的错误可以召开评审会议进行讨论和分析，对测试结果要进行严格地确认，是否真的存在这个问题以及严重程度等。六，制定严格的测试计划。一定要制定测试计划，并且要有指导性。测试时间安排尽量宽松，不要希望在极短的时间内完成一个高水平的测试。七，妥善保存测试计划、测试用例、出错统计和最终分析报告，为维护提供方便。软件文档开发文档开发文档是描述软件开发过程，包括软件需求、软件设计、软件测试、保证软件质量的一类文档，开发文档也包括软件的详细技术描述、程序逻辑程序间相互关系、数据格式和存储等开发文档起到如下五种作用1、它们是软件开发过程中包含的所有阶段之间的通信工具，它们记录生成软件需求设计编码和测试的详细规定和说明。2、它们描述开发小组的职责，通过规定软件主题事项文档编制质量保证人员以及包含在开发过程中任何其他事项的角色来定义做什么、如何做和何时做。3、它们用作检验点而允许管理者评定开发进度。如果开发文档丢失、不完整或过时，管理者将失去跟踪和控制软件项目的一个重要工具。4、它们形成了维护人员所要求的基本的软件支持文档，而这些支持文档可作为产品文档的一部分。5、它们记录软件开发的历史基本的开发文档是1、可行性研究和项目任务书2、需求规格说明3、功能规格说明4、设计规格说明包括程序和数据规格说明5、开发计划6、软件集成和测试计划7、质量保证计划标准进度8、安全和测试信息产品文档产品文档规定关于软件产品的使用维护增强转换和传输的信息产品的文档起到如下三种作用1、为使用和运行软件产品的任何人规定培训和参考信息2、使得那些未参加开发本软件的程序员维护它3、促进软件产品的市场流通或提高可接受性产品文档用于下列类型的读者1、用户他们利用软件输入数据检索信息和解决问题2、运行者他们在计算机系统上运行软件3、维护人员他们维护增强或变更软件产品文档包括如下内容1、用于管理者的指南和资料他们监督软件的使用2、宣传资料通告软件产品的可用性并详细说明它的功能运行环境等3、一般信息对任何有兴趣的人描述软件产品基本的产品文档包括1、培训手册2、参考手册和用户指南3、软件支持手册4、产品手册和信息广告管理文档这种文档建立在项目管理信息的基础上诸如：1、开发过程的每个阶段的进度和进度变更的记录2、软件变更情况的记录3、相对于开发的判定记录4、职责定义这种文档从管理的角度规定涉及软件生存的信息考试国标知识点（六）：GB/T 16260 质量特性及其使用指南2012年上半年信息系统项目管理师考试国标和相关一些规划知识点的考题达到了6道，所以这一块也是一个重要的知识点，将在接下来的一段时间对这一块的重点知识点进行解说考试国标知识点（六）：GB/T 16260 质量特性及其使用指南描述了关于软件产品质量的两部分模型1、内部质量和外部质量2、使用质量为内部质量和外部质量规定了六个特性，它们可进一步细分为子特性。当软件作为计算机系统的一部分时，这些子特性作为内部软件属性的结果，从外部显现出来。为使用质量规定了四个特性，使用质量是面向用户的六个软件产品质量特性的组合效用。术语1、性能级别：要求被满足的程度，它由一组质量特性的特定值来表示。软件产品质量可以通过测量内部属性，也可以通过测量外部属性，或者通过测量使用质量的属性来评价。目标就是使产品在指定的使用周境下具有所需的效用。过程质量有助于提高产品质量，而产品质量则是提高使用质量的方法之一，同样，评价使用质量可以为改进产品提供反馈，而评价产品则可以为改进过程提供反馈。合适的软件内部属性是获得所需外部行为的先决条件，而适当的外部行为则是获得使用质量的先决条件。软件产品质量需求一般要包括对于内部质量、外部质量和使用质量的评估准则。用户质量要求可通过使用质量的度量、外部度量，有时是内部度量来确定为质量需求外部质量需求从外部视角来规定要求的质量级别。外部质量需求用作不同开发阶段的确认目标。外部质量需求应在质量需求规格说明中用外部度量加民描述，宜转换为内部质量需求，而且在评价产品时应该作为准则使用。内部质量需求从产品的内部视角来规定要求的质量级别。内部质量需求用来规定中间产品的特性，内部质量需求可用作不同开发阶段的确认目标，也可以用于开发期间定义开发策略以及评价和验证的准则内部质量是基于内部视角的软件产品特性的总体。估计的（预测的）外部质量是在了解内部质量的基础上，对每个开发阶段的最终软件产品的各个质量特性加以估计或预测的质量。外部质量是基于外部视角的软件产品特性的总体。估计的（预测的）使用质量是在了解内部和外部质量的基础上，对每个开发阶段的最终软件产品的各个使用质量的特性加以估计或预测的质量。使用质量是基于用户观点的软件产品用于指定的环境和使用周境时的质量。它测量用户在特定环境中能达到其目标的程度，而不是测量软件自身的属性。外部和内部质量的质量模型六个特性：功能性、可靠性、易用性、效率、维护性、可移植性2008下23题1、功能性：当软件在指定条件下使用时，软件产品提供满足明确和隐含要求的功能的能力1、适合性：软件产品为指定的任务和用户目标提供一组合适的功能的能力2、准确性：软件产品提供具有所需精度的正确或相符的结果或效果的能力3、互操作性：软件产品与一个或更多的规定系统进行交互的能力4、安全保密性：软件产品保护信息和数据的能力2、可靠性：在指定条件使用时，软件产品维护规定的性能级别的能力1、成熟性：软件产品为避免由软件中故障而导致失效的能力2、容错性：在软件出现故障或者违反其指定接口的情况下，软件产品维持规定的性能级别的能力3、易恢复性：在失效发生的情况下，软件产品重建规定的性能级别并恢复受直接影响的数据的能力3、易用性：在指定条件下使用时，软件产品被理解、学习、使用和吸引用户的能力1、易理解性：使用用户能理解软件是否合适及如何能将软件用于特定的任务的能力2、易学性：使用用户能学习其应用的能力3、易操作性：使用户能操作和控制它的能力4、吸引性：软件产品吸引用户的能力4、效率：在规定条件下，相对于所用资源的数量，软件产品可提供适当性能的能力1、时间特性：软件执行其功能时，提供适当的响应和处理时间以及吞吐率的能力2、资源利用性：软件执行其功能时，使用合适数量和类别的资源的能力5、维护性：软件产品可被修改的能力。包括纠正、改进或对环境、需求和功能规格说明变化的适应1、易分析性：诊断软件中的缺陷或失效原因或识别待修改部分的能力2、易改变性：使指定的修改可以被实现的能力3、稳定性：避免由于软件修改而造成意外结果的能力5、易测试性：使已修改软件能被确认的能力6、可移植性：软件产品从一种环境迁移到另外一种环境的能力1、适应性：无需采用额外的活动或手段就可适应不同指定环境的能力2、易安装性：软件产品在指定环境中被安装的能力3、共存性：在公共环境中同与其分享公共资源的其他独立软件共存的能力4、易替换性：在同样的环境下，替代另一个相同用途的指定软件产品的能力使用质量的质量模型使用质量的属性分为四个特性：有效性、生产率、安全性和满意度1、有效性：软件产品在指定的使用周境下，使用户能达到与准确性和完备性相关的规定目标的能力2、生产率：在指定的使用周境下，使用户为达到有效性而消耗适当数量的资源的能力3、安全性：在指定使用周境下，达到对人类、业务、软件、财产或环境造成损害的可接受的风险级别的能力4、满意度：使用户满意的能力。内部度量可以应用于设计和编码期间的非执行软件产品，当开发一个软件产品时，中间产品宜使用测量内在性质的内部度量来评价，内部度量的主要目的是为了确保获得所需的外部质量和使用质量。内部度量使得用户、评价者、测试人员和开发者可以在软件产品可执行之前就能评价软件产品质量和尽早地提出质量问题。外部度量是通过测试、运行和观察可执行的软件或系统，由该软件产品所在的系统行为的测试而导出。使用质量的度量测量产品在特定的使用周境下，满足特定用户达到特定目标所要求的有效性、生产率、安全性和满意度的程度，它是根据使用软件的结果而不是软件自身的属性来测量的。使用质量是面向用户的内部和外部质量的组合效果。软件审计的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。审计是正式组织的活动，识别违例情况，并产生一个报告，采取更正性行动。应用软件：设计用于实现用户的特定需要而非计算机本身问题的软件。例如，导航（浏览）、工资、过程控制软件。先用个比喻：假如防火墙是一幢大厦的门锁，那么入侵检测系统就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。所以根据这个比喻，A 选项是错误的，入侵检测系统是防火墙之后的又一道防线，入侵检测系统可以及时发现防火墙没有发现的入侵行为。C 选项也是弄反了，防火墙可以允许内部的一些主机被外部访问，IDS 则没有这些功能，只是监视和分析用户和系统活动。D 选项就很明显是错误的了，防火墙和入侵检测系统都是一个独立的系统。入侵检测系统（IDS）入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机IDS和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求是：IDS应当挂接在所有所关注流量都必须流经的链路上。在这里，所关注流量指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的HUB式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。因此，入侵检测被认为是防火墙之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统的流程1、信息收集2、数据分析3、响应入侵检测系统的主要功能对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。具体来说，入侵检测系统的主要功能有：监测并分析用户和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。入侵检测系统的分类一般来说，入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整个网段的任务。不难看出，网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统，便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用，不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及，这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。入侵检测技术对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。入侵检测技术从时间上，可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。入侵检测系统和防火墙的区别和联系一、入侵检测系统和防火墙的区别1.概念1)防火墙：防火墙是设置在被保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。2)入侵检测系统：IDS是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3)总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御，IDS则是主动出击寻找潜在的攻击者；防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况出现。2.功能防火墙的主要功能：1)过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。2)控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。3)作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。入侵检测系统的主要任务：1)监视、分析用户及系统活动2)对异常行为模式进行统计分析，发行入侵行为规律3)检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞4)能够实时对检测到的入侵行为进行响应5)评估系统关键资源和数据文件的完整性6)操作系统的审计跟踪管理，并识别用户违反安全策略的行为总结：防火墙只是防御为主，通过防火墙的数据便不再进行任何操作，IDS则进行实时的检测，发现入侵行为即可做出反应，是对防火墙弱点的修补；防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，只是监视和分析用户和系统活动。二、入侵检测系统和防火墙的联系1.IDS是继防火墙之后的又一道防线，防火墙是防御，IDS是主动检测，两者相结合有力的保证了内部系统的安全；2.IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就可以将这些规律加入规则之中，提高防火墙的防护力度。类之间的关系包括：关联、依赖、泛化以及实现。UML各种视图介绍、说明、图形类图,对象图,用例图,部署图,构件图为静态图状态图,顺序图,活动图,协作图为动态图1、 用例图描述角色以及角色与用例之间的连接关系。说明的是谁要使用系统，以及他们使用该系统可以做些什么。一个用例图包含了多个模型元素，如系统、参与者和用例，并且显示了这些元素之间的各种关系，如泛化、关联和依赖。2、 类图是描述系统中的类，以及各个类之间的关系的静态视图。能够让我们在正确编写代码以前对系统有一个全面的认识。类图是一种模型类型，确切的说，是一种静态模型类型。3、对象图与类图极为相似，它是类图的实例，对象图显示类的多个对象实例，而不是实际的类。它描述的不是类之间的关系，而是对象之间的关系。4、活动图描述用例要求所要进行的活动，以及活动间的约束关系，有利于识别并行活动。能够演示出系统中哪些地方存在功能，以及这些功能和系统中其他组件的功能如何共同满足前面使用用例图建模的商务需求。5、状态图描述类的对象所有可能的状态，以及事件发生时状态的转移条件。可以捕获对象、子系统和系统的生命周期。他们可以告知一个对象可以拥有的状态，并且事件(如消息的接收、时间的流逝、错误、条件变为真等)会怎么随着时间的推移来影响这些状态。一个状态图应该连接到所有具有清晰的可标识状态和复杂行为的类；该图可以确定类的行为，以及该行为如何根据当前的状态变化，也可以展示哪些事件将会改变类的对象的状态。状态图是对类图的补充。6、序列图（顺序图）序列图是用来显示你的参与者如何以一系列顺序的步骤与系统的对象交互的模型。顺序图可以用来展示对象之间是如何进行交互的。顺序图将显示的重点放在消息序列上，即强调消息是如何在对象之间被发送和接收的。7、协作图和序列图相似，显示对象间的动态合作关系。可以看成是类图和顺序图的交集，协作图建模对象或者角色，以及它们彼此之间是如何通信的。如果强调时间和顺序，则使用序列图；如果强调上下级关系，则选择协作图；这两种图合称为交互图。8、构件图 （组件图）描述代码构件的物理结构以及各种构建之间的依赖关系。用来建模软件的组件及其相互之间的关系，这些图由构件标记符和构件之间的关系构成。在组件图中，构件时软件单个组成部分，它可以是一个文件，产品、可执行文件和脚本等。9、部署图 （配置图）是用来建模系统的物理部署。例如计算机和设备，以及它们之间是如何连接的。部署图的使用者是开发人员、系统集成人员和测试人员。J2EE架构和.NET架构的相关知识1J:ZEE架构J2EE（Java 2 Platform Enterprise Edition）是由Sun公司主导、备厂商共同制定并得到广泛认可的工业标准。业界各主要中间件厂商如IBM、Oracle都在积极地促进该标准的推广和应用。 J2EE应用将开发工作分成两类：业务逻辑开发和表示逻辑开发，其余的系统资源则由应用服务器自动处理，不必为中问层的资源和运行管理进行编码。这样就可以将更多的开发精力集中在应用程序的业务逻辑和表示逻辑上，从而缩短企业应用开发周期、有效地保护企业的投资。完整的J2EE技术规范由如下4个部分组成。 (1) J2EE平台：运行J2EE应用的环境标准，由一组J2EE规范组成。 (2) J2EE应用编程模型：用于开发多层瘦客户应用程序的标准设计模型，由Sun提供应用蓝图( BluePrints)。 (3) J2EE兼容测试套件：用来检测产品是否同J2EE平台兼容。 (4) J2EE参考实现：与平台规范同时提供的、实现J2EE平台基本功能的J2EE服务器运行环境。 J2EE应用服务器运行环境包括构件(Component)、容器(Container)及服务(Services)三部分。构件是表示应用逻辑的代码；容器是构件的运行环境；服务则是应用服务器提供的各种功能接口，可以同系统资源进行交互。 J2EE舰范包含了一系列构件及服务技术规范。 (1) JNDI: Java命名和目录服务，提供了统一、无缝的标准化名字服务。 (2) Servlet: Java Servlet是运行在服务器上的一个小程序，用于提供以构件为基础、独立于平台的Web应用。 (3) JSP:Java Servlet的一种扩展，使创建静态模板和动态内容相结合的HTML和XML页面更加容易。 (4) EJB:实现应用中关键的业务逻辑，创建基于构件的企业级应用程序。EJB在应用服务器的EJB容器内运行，由容器提供所有基本的中间层服务，如事务管理、安全、远程客户连接、生命周期管理和数据库连接缓冲等。2013上23题 (5) JCA: J2EE连接器架构，提供一种连接不同企业信息平台的标准接口。