信息系统项目管理师考试答题技巧和复习重点

信息系统项目管理师考试答题技巧和复习重点

一.上午的选择题技巧

对于没有确定把握的题，按自己的第一选择

1.概念、公式类题目，答案选最长的

2.选择某一选项为其他选项合集的

3.如果选项中有二选项相背，则答案位于其中

4.选择提干与核心询汇一致的

5.模型相关的选择题：带有循环、原型驱动等关键词的选择螺旋模型；需求确定、传统的选择瀑布原

型；需求不确定、面向对象的选择迭代模型或者喷泉模型

6.要掌握5类计算，如下：

1）静态回收期/投资回报率

2）动态回收期/投资收益率

3）关键路径和活动6参数

4）三点估算

5）挣值分析绩效控制

6）决策树

二.下午案例分析

L三个基本观点

1）项目以阶段化管理，迭代开发为主线

2）以范围、质量、成本、周期之间相互约束，保持平衡为主线

3）项目的结构化管理，要具备艮好的请示汇报关系，保障责任唯一性

2.如果你实在是不知道怎么写，还可以从案例中找出错误的地方，然后往正确方向写，估计也能得及

格分

3.四种答题思路

一、职能/机构的作用：

1）统一组织，建立良好的请示汇报关系，建立相关职能岗位的说明书。

2）统一流程，制订该组织工作的制度，行为规范。

3）通一绩效，制订严格的考核体系，实行奖惩制度。

二、计划编制类

1）识别计划目标、约束等因素。

2）采用合理方法、工具等支持编制。

3）做好计划的相关干系人共同参与的评审，形成计划基线。

4）做好计划的跟踪控制，持续优化改进。

三、控制类

1）建立干系人认可的计划或基线。

2）识别偏差：以定期等工作方式收集相关问题。

3）分析偏差：做好相关问题剖析。

4）纠正偏差：制定相关问题的改正措施。

5）制定新的计划：通过相关干系人协商，将问题改正措施纳入到后期计划或基线中。

四、评估/评审类

1）识别相关关注点或需求。

2）制定反映关注点或需求的指标体系。

3）根据项目特点，确定指标权重。

4）制定指标的度量准则，形成评审或评估的操作规程。

三.下午论文

掌握一个框架：论文八段式结构

1）摘要

2）项目背景与岗位工作说明

3）在项目实施过程出现的问题，你作为什么角色，如何解决了问题

4）首先，针对某某问题，项目出现的矛盾，如何解决，解决的效果

5）其次，°oo

6）再次，

7）项目验收与项目干系人的满意程度

8）展望，说出对于其他项目的借鉴作用

高项考试答题技巧：

1）对项目管理知识结构要熟悉要做题

2）还有技术部分也是

3）法律法规是考前2周突击的

4）组织级管理比较简单也可以做一做题，做题是帮助你建立知识结构的。

5）论文一定要背44个子过程，需要写子过程的输入输出和工具方法。不

要花太多时间在论文上面，参照下午辅导的5-4星级范文（281页）写2片论文

提交上来，这就相当于考试时的模板套路了。案例分析需要从题干找线索，有思

路就行。

案例分析（形式化技巧）

1）答题要编号

2）答题时尽可能多用术语

3）每条至少十五字

4）空白之处要写满

5）卷面整洁干净不出现任何涂改痕迹（形式比内容更重要）千万不要用英文代替

6）根据题干找答案

7）问题前后是有关联的，看完题目再作答

8）输入输出论文写作的建议：注意论文不能创新，必须要按照套路交写。论文写作的过程中不能有停

顿，否则写作的时间就会不够，所以必须练习。看已发书的下午辅导：

232页：论文框架背景+知识应用（理论联系实际）+总结

379页：看B.2论文评分标准B,了解评分标准。

233页：论文布局先写摘要一定要按照套路写

235页正文写法：

1.背景（准备800字）需要写明业务内容、工期等体现项目的真实性项目周期•般为：6-12个月，项目金

额：软件项目100-1000万，硬件项目1亿左右，一定要写明自己在项目中的职务是项目经理。不要有图、

表、流程图。

2.知识点应用（1000-1500字占正文的一半左右）每个子过程都需要单独标题分条叙述考试时不能打括号说

明工具和方法需要举1-2个例子，例子一定要具体不要用XX代替。主要就是罗列输入输出方法后把实际工

作经验镶嵌进去。

3.项目总结可以先对前面的知识点应用回顾一遍，再指出不足。写总结时一定不能谦虚，时项目的评价都是

好上加好略有不足，而且这些不足不能反映实际问题，最好是一些隔靴搔痒、可有可无的问题。附言：最

新版的招标法（采购法合同法监理等）、软件工程规范的文档、综合布线、机房规范、技术部分（较难，软

件占80%）、配置管理这些老师建议在考前2周看一下，这些内容都在作业系统的资料下载里面有个压缩文

件夹“曹老师补充上课资料(最新)”里面能够找到。

这个是上课时老师讲到的我帮大家总结了一下希望能对大家有帮助。

“程序流程图、数据流程图等“是结构化方法使用的主要分析设计工具，而“先开发一个简化系统，待用户

认可后

再开发最终系统”则是原型法的特征。

安全审计属于安全管理类产品，安全审计产品主要包括主机类、网络类及数据库类和业务应

用系统级的审计产品。

国家电子政务总体框架的构成包括：服务与应用系统、信息资源、基础设施、

法律法规与标

准化体系、管理体制；推进国家电了•政务建设，服务是宗旨，应用是关键，信息资源开发利

用是主线，基础设施是支撑，法律法规、标准化体系、管理体制是保障。

V模型的价值在于它非常明确地标明了测试过程中存在的不同级别，并且清楚

地描述了这些测试阶段和开发各阶段的对应关系。

(1)单元测试的主要目的是针对编码过程中可能存在的各种错误，例如用户输入验证过

程中的边界值的错误。

(2)集成测试上要目的是针对详细设计中可能存在的问题，尤其是检查各单元与其他程

序部分之间的接口上可能存在的错误。

(3)系统测试主要针对概要设计，检查系统作为一个整体是否有效地得到运行，例如在

产品设设中是否能达到预期的高性能。

(4)验收测试通常由业务专家或用户进行，以确认产品能真正符合用户业务上的需要。

在不同的开发阶段，会出现不同类型的缺陷和错误，所以需要不同的测试技术和方法来发现

这些缺陷。

结构化开发方法五个阶段的主要内容

用结构化系统开发方法开发一个系统，将整个开发过程划分为五个首是相连接的阶段，一般称之为系

统开发的生命周期，系统开发的生命周期分为系统规划、系统分析、系统设计、系统实施、系统运行

和维护五个阶段。

1.系统规划

系统规划的主要内容包括：

企业目标的确定

解决目标的方式的确定

信息系统目标的确定

信息系统主要结构的确定

工程项目的确定

可行性研究等

2.系统分析

系统分析的主要内容包括：

数据的收集

数据的分析

系统数据流程图的确定

系统方案的确定等

系统分析阶段是整个MIS建设的关健阶段。

3.系统设计

系统设计的主要内容包括：

系统流程图的确定

程序流程图的确定

编码

饰入、输出设计

文件设计

程序设计等

4.系统实施

系统实施的主要内容包括：

硬件设备的购买

硬件设备的安装

数据准备

程序的谓试

系统测试与转换

人员培训等

5.系统运行与维护

系统运行与维护的主要内容包括：

系统投入运行后的管理及维护

系统建成前后的评价

发现问题并提出系统更新的请求等

软件需求的具体内容

《计算机软件需求说明编制指南》GB/T9385中定义了需求的具体内容，包括：

(1功能需求：指描述软件产品的输入怎样变换成输出即软件必须完成的基本动作。对于每一类功能

或者有时对于每一个功能需要具体描述其输入、加工和输出的需求。

(2性能需求：从整体来说本条应具体说明软件或人与软件交互的静态或动态数值需求。

①静态数值需求可能包括：

支持的终端数

支付并行操作的用户数

处理的文卷和记录数

表和文卷的大小

②动态数值需求

可包括欲处理的事务和任务的戮量，以及在正常情况下和峰值工作条件下一定时间周期中处理的数

据总量。所有这些需求都必须用可以度量的术语来叙述。例如,95%的事务必须在小于1s时间内处理

完，不然操作员将不等待处理的完成。

(3设计约束：设计约束受其他标准、硬件限制等方面的影响。

(4属性：在软件的需求之中有若干个属性如可移植性、正确性、可维护性及安全性等。

(5外部接口需求：包拈♦用户接口、硬件接口、软件接口、通信接口。

(6其他需求：根据软件和用户组织的特性等某些需求放在数据库、用户要求的常规的和特殊的操作、

场合适应性需求中描述。

由此可知：

①对特定范围内修改所需的时间不超过3秒——性能需求。

②按照订单及原材料情况自动安排生产排序一一功能需求。

③系统能够同时支持1000个独立站点的并发访问一一性能需求。

④系统可实现对多字符集的支持，包括GBK,BIG5和UTF-8等一一设计约束。

⑤定期牛.成销售分析报表一一功能需求

⑥系统实行同城异地双机备份，保障数据安全一设计约束。

软件需求的3个层次：业务需求、用户需求和功能需求

软件需求包括3个不同的层次一一业务需求、用户需求和功能需求。

除此之外，每个系统还有各种非功能需求。

业务需求(Businessrequirement)表示组织或客户高层次的目标。业务需求通常来自项目投

资人、购买产品的客户、实际用户的管理者、市场营销部门或产品策划部门。业务需求描述了组织为

什么要开发一个系统，即组织希望达到的目标。使用前景和范围(visionandscope)文档来记录业

务需求，这份文档布f时也被称作项目轮廓图或市场需求(projectchaner或marketrequirement)文

档。

用户需求(userrequirement)描述的是用户的目标，或用户要求系统必须能完成的任务。用

例、场景描述和事件一一响应表都是表达用户需求的有效途径。也就是说用户需求描述了用户能使用

系统来做些什么。

功能需求(functionalrequirement)规定开发人员必须在产品J实现的软件功能,用户利用这

些功能来完成任务，满足业务需求。功能需求有时也被称作行为需求：behavioralrequirement),因

为习惯上总是用''应该”对其进行描述：“系统应该发送电子邮件来通知用户已接受其预定,功能

需求描述是开发人员需要实现什么。

系统需求(systemrequirement)用于描述包含多个了,系统的产品(即系统)的顶级需求。系

统可以只包含软件系统，也可以既包含软件又包含硬件子系统。人也可以是系统的一部分，因此某些

系统功能可能要由人来承担。

业务规则包括企业方针、政府条例、工业标准、会计准则和计算方法等。业务规划本身并非软

件需求，因为它们不屈了任何特定软件系统的范围。然而，业务规则常常会限制谁能够执行某些特定

用例，或者规定系统为符合相关规则必须实现某些特定功能。有时，功能中特定的质量属性(通过功

能实现)也源于业务规则。所以，对某些功能需求进行追溯时，会发现其来源正是一条特定的业务规

则。

功能需求记录在软件需求炊格说明(SRS)中。SRS完整地描述了软件系统的预期特性。SRS

我们一般把它当作文档，其实，SRS还可以是包含需求信息的数据库或电了表格；或者是存储在商业

需求管理工具中的信息：而对于小型项目，甚至可能是一段索引卡片.开发、测试、质量保证、项口

管理和其他相关的项目功能都要用到SRS.

除了功能需求外，SRS中还包含非功能需求，包括性能指标和对•质量属性的描述。

质量属性(qualityattribute)对产品的功能描述作了补充，它从不同方面描述了产品的各种特

性。这些特性包括可用性、可移植性、完整性、效率和健壮性，它们对用户或开发人员都很重要。其

他的非功能需求包括系统与外部世界的外部界面，以及对设计与实现的约束。

约束(constraint)限制了开发人员设计和构建系统时的选择范围。

产品特性。所谓特性(feature),是指一组逻辑上相关的功能需求，它们为用户提供某项功能,

使业务目标得以满足。对商业软件而言，特性则是一组能被客户识别，并帮助他决定是否购买的需求,

也就是产品说明书中用着重号标明的部分。客户希望得到的产品特性和用户的任务相关的需求不完全

是一I可事。一项特性可以包括多个用例，每个用例又要求实现多项功施需求，以便用户能够执行某项

任务。

还有一项称为可用性(usability)的质量属性，它规定了业务需求中“有效”(efficiently)一

词的含义。

管理人员或市场营销人员负责定义软件的业务需求，以提高公司的运营效率(对信息系统而言)

或产品的市场竞争力(对商业软件而言)。所有的用户需求都必须符合业务需求。需求分析员从用户

需求中推导出产品应具备哪些对用户有帮助的功能。开发人员则根据功能需求和非功能需求设计•解决

方案，在约束条件的限制范围内实现必需的功能，并达到规定的质量和性能指标。

当一项新的特性、用例或功能需求被提出时，需求分析员必须思考一个问题：“它在范围内

吗？如果答案是肯定的，则该需求属于需求规格说明，反之则不屈于。但答案也许是“不在，但

应该在“，这时必须由业务需求的负责人或投资管理人来决定：是否扩大项目范围以容纳新的需求。

这是一个可能影响项目进度和预完的商业决策。

软件需求分析方法

需求分析方法有：

(1)结构化分析方法：包括面向数据流的结构化分析方法，面向数据流结构的Jackson方法和面向数

据结构的结构化数据系统开发方法。

(2)面向对象的分析方法：从需求分析建立的模型的特性来分，需求分析方法又分为静态分析方法和

动态分析方法。

结构化分析方法

结构化分析方法的实质是着眼于数据流，自顶向下，逐层分解，建立系统的处理流程，以数据流图

和数据字典为主要工具，建立系统的逻辑模型。

结构化分析的步骤如下：

(1)通过对用户的调查，以软件的需求为线索，获得当前系统的具体模型

(2)去掉具体模型中非本质因素，抽象出当前系统的逻辑模型

(3)根据计算机的特点分析当前系统与目标系统的差别，建立目标系统的逻辑模型

(4)完善目标系统并补充细节，写出目标系统的软件需求规格说明

(5)评审直到确认完全符合用户对软件的需求

面向对象的需求分析方法

面向对象的需求分析方法的核心是利用面向对象的概念和方法为软件需求建造模型。它包含面向对象

风格的图形语言机制和用于指导需求分析的面向对象方法学。

软件过程管理

软件工程管理集成了过程管理和项目管理，包括以下6个方面。

1.启动和范围定义

进行启动软件工程项目的活动并作出决定。通过各种方法来有效地确定软件需求，并从不同的角度评

估项目的可行性。•旦可行性建立后，余下的任务就是需求验证和变更流程的规范说明。

2.软件项口计划

从管理的角度，进行为成功的软件工程作准备而要采取的活动。使用迭代方式制订计划。要点在于评

价并确定适当的软件生命周期过程，并完成相关的工作。

3。软件项口实施

进行软件工程过程中发生的各种软件工程管理活动。实施项目计划，最重要的是遵循计划，并完成相

关的工作。

4.评审和评价

进行确认软件是否得到满足的的正活动。.

5.关闭

进行软件工程项目完成后的活动.在这一阶段，重新审查项目成功的准则。一旦关闭成立，进行归档、

事后分析和过程改进活动。

6.软件工程度量

进行在软件工程组织中有效地开发和实现度量的程序。

软件质量保证体系

对于软件质量保证，一个正规的定义是：软件质量保证是一系列活动，这些活动能够提供整个软

件产品的适用性的证明。要实现软件质量保证，就需要使用为确保一致性和延长的软件周期而建立的

质量控制规则。而质量保证、质量控制、审核功能以及软件测试之间的关系经常容易使人迷惑

为了生产出满足客户需求的产品，就必须遵循一定的过程。质量保证是一系列的支持措施，有了

这些措施，这些过程的建立和改进就有了保障。在质量保证的过程中，产品质量将和可用的标准相比

较，同时也要和不•致产生时的行为相比较。而审核则是•个检查/评估的活动，用以验证与计划、原

则以及过程的一致性。

软件质量保证是一种计划好的行为，它可以保证软件满足评测标准，并且具体项目所需要的特

性，例如可移植性、高效性、复用性和乂活性。它是•些活动和功能的集合，这些活•动和功能用来监

控软件项目，从而能够实现预计的目标。它不仅仅是软件质量保证组的责任，项目经理、项目组长、

项目人员以及用户都可以参与到其中。

质量保证是用来管理质量的。‘'保证”这个词也就意味着，如果遵循了一定的过程，管理者就能够

确保产品的质量。质量保证也是一个接触反应式的功能，它能激起管理者以及工作人员对于质量的积

极态度。成功的软件保证管理者你得如何使人们关心质量:，并深深懂得质量对于个人和组织具有何等

重要的意义。

要实现软件质量的目标，主要是需要遵循软件质量控制计划。为了确保每个里程碑Itwf3）所提交

的文档和产品都具有高质量，项目就必须引入一些方法来使之得到保证。而这些方法就在软件质量控

制计划中进行声明。这•外在的方式会保证些步骤得到实施，而这些步臊的目的也就足要获得软件

质量并且能对那些行为的文档进厅管理。这个计划也制定了评测标准，这些评测标准用于检测而不是

仅仅设定一个不可能完成的目标，例如，希望生产一个零缺陷的软件或者百分之百可以信赖的软件。

软件质量保证处一种风险管理的策略。因为软件质量的成本很高，需要纳入到项目的正规的风险

管理中来，所以软件质量保证的存在是非常有必要的。下面是一些较差的软件质量的例子：

1.被分发出去的软件频繁地出现故障。

2.系统失败导致不可接受的结果，这种结果可以是经济上的损失或者是危及生命的情况。

3.在需要执行预定功能时，系统不可用。

4.系统增强的成本非常的高。

5.检测和缺陷纠正的成本过高。

尽管大部分的质量风险都和缺陷有关，但相对需求而言，系统失败的地方就是一个缺陷。如果需

求本身不够完整，甚至是错误的，那么缺陷的风险就更大。而这样所导致的结果就是许许多多内在的

缺陷和不能被查证的产品。一些风险管理策略和技术包括了软件测试、技术复查、同等复查以及符合

程度的查证。

软件可靠性和可维护性测试评审时要考虑：

1.针对可靠性和可维护性的测试目标

2.测试方法

3.测试用例

4.测试工具

5.测试通过标准

6.测试报告

信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、

公共秩序等方面的各个要素，

L人员安全

2.人员信息

3.立法及规章所确定的义务

4.法律的强制性

5.商业及经济的利益

6.金融损失对业务活动的干扰

7、公共秩序

8、业务政策及操作

9、信誉的损害

清华信息系统项目管理师教程第二版P565.

软件设计与软件设计内容

软件设计是把许多事物和问题抽象起来，并且抽象它们不同的层次和角度。建议用数学语言来抽象事

务和问题，因为数学是最好的抽象语言，并且它的本质就是抽象。将复杂的问题分解成可以管理的片

断会更容易。将问题或事物分解并模块化这使得解决问题变得容易，分解的越细模块数量也就越多，

它的副作用就是使得设计者考虑更多的模块之间耦合度的情况。

软件设计包括软件的结构设计，数据设计，接口设计和过程设计。

结构设计是指：定义软件系统各主要部件之间的关系。

数据设计是指：将模型转换成数据结构的定义。

接口设计是指：软件内部，软件和操作系统间以及软件和人之间如何通信。

过程设计是指：系统结构部件转换成软件的过程描述。

软件测试原则

一，测试应该尽早进行，最好在需求阶段

就开始介入，因为最严重的错误不外乎是

系统不能满足用户的需求。

二，程序员应该避免检查自己的程序，软

件测试应该由第三方来负责。

三，设计测试用例时应考虑到合法的输入

和不合法的输入以及各种边界条件，特殊

情况下要制造极端状态和意外状态，如网

络异常中断、电源断电等。

四，应该充分注意测试中的群集现象。

五，对错误结果要进行一个确认过程。一般

由A测试出来的错误，一定要由B来确认。

严重的错误可以召开评审会议进行讨论和

分析，对测试结果要进行严格地确认，是

否真的存在这个问题以及严重程度等。

六，制定严格的测试计划。一定要制定测试

计划，并且要有指导性。测试时间安排尽量

宽松，不要希望在极短的时间内完成一个

高水平的测试。

七，妥善保存测试计划、测试用例、出错统

计和最终分析报告，为维护提供方便。

软件文档

开发文档

开发文档是描述软件开发过程，包括软件需求、软件设计、软件测试、保证软件质量的一类文档，开

发文档也包括软件的详细技术描述、程序逻辑程序间相互关系、数据格式和存储等

开发文档起到如下五种作用

1.它们是软件开发过程中包含的所有阶段之间的通信工具，它们记录生成软件需求设计编码和测试

的详细规定和说明。

2.它们描述开发小组的职责，通过规定软件主题事项文档编制质量保证人员以及包含在开发过程中

任何其他事项的角色来定义做什么、如何做和何时做。

3.它们用作检验点而允许管理者评定开发进度。如果开发文档丢失、不完整或过时，管理者将失去跟

踪和控制软件项目的一个重要工具。

4.它们形成了维护人员所要求的基本的软件支持文档，而这些支持文档可作为产品文档的一部分。

5.它们记录软件开发的历史

基本的开发文档是

1.可行性研究和项目任务书

2.需求规格说明

3.功能规格说明

4.设计规格说明包括程序和数据规格说明

5.开发计划

6.软件集成和测试计划

7、质量保证计划标准进度

8、安全和测试信息

产品文档

产品文档规定关于软件产品的使用维护增强转换和传输的信息

产品的文档起到如下三种作用

1.为使用和运行软件产品的任何人规定培训和参考信息

2.使得那些未参加开发本软件的程序员维护它

3.促进软件产品的市场流通或提高可接受性

产品文档用于下列类型的读者

1.用户他们利用软件输入数据检索信息和解决问题

2.运行者他们在计算机系统上运行软件

3.维护人员他们维护增强或变更软件

产品文档包括如下内容

1.用于管理者的指南和资料他们监督软件的使用

2.宣传资料通告软件产品的可用性并详细说明它的功能运行环境等

3.一般信息对任何有兴趣的人描述软件产品

基本的产品文档包括

1.培训手册

2.参考手册和用户指南

3.软件支持手册

4.产品手册和信息广告

管理文档

这种文档建立在项目管理信息的基础上诸如：

1.开发过程的每个阶段的进度和进度变更的记录

2、软件变更情况的记录

3、相对于开发的判定记录

4、职责定义

这种文档从管理的角度规定涉及软件生存的信息

考试国标知识点（六）：GB/T16260质量特性及其使用指南

2012年上半年信息系统项目管理师考试国标和相关一些规划知识点的考题达到了6道，所以这一块

也是一个事要的知识点，将在接下来的一段时间对这一块的聿点知识点进行解说

考试国标知识点（六）：GB/T16260质量特性及其使用指南

描述了关于软件产品质量的两部分模型

1.内部质量和外部质量

2.使用质量

为内部质量和外部质量规定了六个特性，它们可进•步细分为了•特性。当软件作为计算机系统的一部

分时，这些子特性作为内部软件属性的结果，从外部显现出来。

为使用质量规定了四个特性，使用质量是面向用户的六个软件产品质证特性的组合效用。

术语

1,性能级别：要求被满足的程度，它由•组质量特性的特定值来表示。

软件产品质量可以通过测量内部属性，也可以通过测量外部属性，或者通过测量使用质量的属性来评

价。目标就是使产品在指定的使用周境下具有所需的效用。

过程质量有助于提高产品质量，而产品质量则是提高使用质量的方法之一，同样，评价使用质量可以

为改进产品提供反馈，而评价产品则可以为改进过程提供反债.

合适的软件内部属性是获得所需外部行为的先决条件，而适当的外部行为则是获得使用质量的先决

条件。

软件产品质量需求一般要包括对于内部质量、外部质量和使用质量的评估准则。

用户质量要求可通过使用质量的度量、外部度量，有时是内部度量来确定为质量需求

外部质量需求从外部视角来规定要求的质量级别。外部质量需求用作不同开发阶段的确认目标。外部

质量需求应在质量需求规格说明中用外部度量加民描述，宜转换为内都质量需求，而且在评价产品时

应该作为准则使用。

内部质量需求从产品的内部视角来规定要求的质量级别。内部质量需求用来规定中间产品的特性，内

部质量需求可用作不同开发阶段的确认目标，也可以用于开发期间定义开发策略以及评价和验证的

准则

内部质量是基于内部视角的软件产品特性的总体。

估计的（预测的）外部质量是在了解内部质量的基础上，对每个开发阶段的最终软件产品的各个质量

特性加以估计或预测的质量。

外部质量是基丁外部视角的软件产品特性的总体。

估计的（预测的）使用质量是在了解内部和外部质量的基础匕对每个开发阶段的最终软件产品的各

个使用质量的特性加以估计或预测的质量。

使用质量是基于用户观点的软件产品用于指定的环境和使用周境时的质量。它测量用户在特定环境中

能达到其目标的程度，而不是测量软件自身的属性。

外部和内部质量的质量模型

六个特性：功能性、可靠性、易月性、效率、维护性、可移植性2008下23题

1.功能性：当软件在指定条件下使用时，软件产品提供满足明确和隐含要求的功能的能力

1.适合性：软件产品为指定的汪务和用户目标提供一组合适的功能的能力

2.准确性：软件产品提供具有所播精度的正确或相符的结果或效果的能力

3.互操作性：软件产品与一个或更多的规定系统进行交互的能力

4.安全保密性：软件产品保护信息和数据的能力

2.可靠性：在指定条件使用时，软件产品维护规定的性能级别的能力

1.成熟性：软件产品为避免由软件中故障而导致失效的能力

2.容错性：在软件出现故障或者违反其指定接口的情况下，软件产品维持规定的性能级别的能力

3.易恢更性：在失效发生的情况下，软件产品重建规定的性能级别并恢更受直接影响的数据的能力

3.易用性：在指定条件下使用时，软件产品被理解、学习、使用和吸引用户的能力

1、易理解性：使用用户能理解软件是否合适及如何能将软件用于特定的任务的能力

2.易学性：使用用户能学习其应用的能力

3.易操作性：使用户能操作和控制它的能力

4.吸引性：软件产品吸引用户的能力

4、效率：在规定条件卜，相对于所用资源的数量，软件产品可提供适当性能的能力

1.时间特性：软件执行其功能时，提供适当的响应和处理时间以及吞口二率的能力

2.资源利用性：软件执行其功能叶，使用合适数量和类别的资源的能力

5、维护性：软件产品可被修改的能力。包括纠正、改进或对•环境、需求和功能规格说明变化的适应

1,易分析性：诊断软件中的缺陷或失效原因或识别待修改部分的能力

2、易改变性：使指定的修改可以被实现的能力

3、稳定性：避免由于软件修改而造成意外结果的能力

5、易测试性：使已修改软件能被确认的能力

6、可移植性：软件产品从一种环境迁移到另外一种环境的能力

1、适应性：无需采用额外的活动或手段就可适应不同指定环境的能力

2、易安装性：软件产品在指定环境中被安装的能力

3、共存性：在公共环境中同与其分享公共资源的其他独立软件共存的能力

4、易替换性：在同样的环境下，替代另一个相同用途的指定软件产品的能力

使用质星的质星模型

使用质量的属性分为四个特性：有效性、生产率、安全性和满意度

1.有效性：软件产品在指定的使用周境F,使用户能达到与准确性和完备性相关的规定目标的能力

2.生产率：在指定的使用周境下，使用户为达到有效性而消耗适当数量的资源的能力

3、安全性：在指定使用周境下，达到对人类、业务、软件、财产或环境造成损害的可接受的风险级别

的能力

4.满意度：使用户满意的能力。

内部度量可以应用于设计和编码期间的非执行软件产品，当开发一个软件产品时，中间产品宜使用测

量内在性质的内部度量来评价，内部度量的主要目的是为了确保获得所需的外部质量和使用质量。内

部度量使得用户、评价者、测试人员和开发者可以在软件产品可执行之前就能评价软件产品质量和尽

早地提出质量问题。

外部度量是通过测试、运行和观察可执行的软件或系统，由该软件产品所在的系统行为的测试而导出。

使用质量的度量测量产品在特定的使用周境下，满足特定用户达到特定目标所要求的有效性、生产率、

安全性和满意度的程度，它是根据使用软件的结果而不是软件自身的属性来测量的。使用质量是面向

用户的内部和外部质量的组合效果.

软件审计的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划

和流程的遵从性的独立评价。审计是正式组织的活动，识别违例情况，并产生

一个报告，采取更正性行动。

应用软件：设计用于实现用户的特定需要而非计算机本身问题的软

件。例如，导航（浏览）、工资、过程控制软件。

先用个比喻：假如防火墙是一幢大厦的门锁，那么入侵检测系统就是这幢大厦里的监视系

统。

一旦小偷进入了大原，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警

告。

所以根据这个比喻，A选项是错误的，入侵检测系统是防火墙之后的又•道防线，入侵检

测

系统可以及时发现防火墙没有发现的入侵行为。

C选项也是弄反了，防火墙可以允许内部的一些主机被外部访问，IDS则没有这些功能，

只

是监视利分析用户和系统活动。

D诜项就很明显是错误的「防火墙和入侵检测系统都是一个独立的系统。

入侵检测系统（IDS）

入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采

取主动反应措施的网络安全设备.它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的

安全防护技术。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监

视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可

用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么IDS就是这幢大楼里的监视系统。一

旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。

IDS是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS入侵检测系统

以信息来源的不同和检测方法的差异分为几类:根据信息来源可分为基于主机IDS和基于网络的IDS,

根据检测方法乂可分为异常入侵检测和误用入侵检测。不同于防火墙,IDS入侵检测系统是一个监听

设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对IDS的部署，唯一的要求

是：IDS应当挂接在所有所关注流量都必须流经的链路匕在这里，"所关注流量”指的是来自高危网

络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的

HUB式的共享介质冲突域的网络，绝大部分的网络区域都己经全面升级到交换式的网络结构。因此，

IDS在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位

置通常是：服务器区域的交换机上；Internet接入路由器之后的第一台交换机上；重点保护网段的

局域网交换机上。

与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并

得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。因此,

入侵检测被认为是防火增之后的第二道安全闸门，在不影响网络性能的情况下能对网络进行监测，

从而提供对内部攻击、外部攻击和误操作的实时保护。

入侵检测系统的流程

1.信息收集

2.数据分析

3、响应

入侵检测系统的主要功能

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和

硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、

配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、

系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连

接、记录事件和报警等。具体来说，入侵检测系统的主要功能有:

•监测并分析用户和系统的活动；

•核查系统配置和漏洞：

•评估系统关键资源和数据文件的完整性；

•识别已知的攻击行为；

•统计分析异常行为：

•操作系统日志管埋，并识别违反安全策略的用户活动。

入侵检测系统的分类

一般来说，入侵检测系统可分为主机型和网络型。

主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段

(如监督系统调用)从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系

统。

网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式

(promisemode)，监听所有本网段内的数据包并进行判断。一般网络型入侵检测系统担负着保护整

个网段的任务。

不难看出，网络型IDS的优点主要是简便：一个网段上只需安装一个或几个这样的系统，便可以

监测整个网段的情况。且由于往往分出单独的计算机做这种应用，不会给运行关键业务的主机带来负

裁上的增加。但由于现在网络的日趋复杂和高速网络的普及，这种结构正受到越来越大的挑战。一个

典型的例子便是交换式以太网。

而尽管主机型IDS的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装

数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分

析，更准确的报告攻击行为。

入侵检测技术

对各种事件进行分析，从中发现违反安全策略的行为是入侵检测系统的核心功能。

入侵检测技术从时间上，可分为实时入侵检测和事后入侵检测两种。

实时入侵检测在网络连接过程中进行，系统根据用户的历史行为煤型、存储在计算机中的专家知

识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，

并收集证据和实施数据恢复。这个检测过程是不断循环进行的。

而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操

作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连娄，并记录入侵证据和进行数据

恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入

侵检测系统。

入侵检测系统和防火墙的区别和联系

一、入侵检测系统和防火墙的区别

1.概念

1）防火墙：防火墙是设置在被保护网络（本地网络）和外部网络（主要是Internet）之间的一道防御

系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检澹、限制、更改跨越防火墙的数

据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不

受外部网络中非法用户的侵犯。

2）入侵检测系统:IDS是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分

析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

3）总结：从概念上我们可以看出防火墙是针对黑客攻击的一种被动的防御,IDS则是主动出击寻找潜

在的攻击者；防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为

都是合法的，而IDS则相当于巡逻兵，不受范围和限制的约束，这也造成了ISO存在误报和漏报的情况

出现。

2.功能

防火墙的主要功能：

1）过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个

检查点，禁止未授权的用户访问受保护的网络。

2）控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分

则被保护起来。

3）作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审

计功能。

入侵检测系统的主要任务：

1）监视、分析用户及系统活动

2）对异常行为模式进行统计分析，发行入侵行为规律

3）检查系统配置的正确性和安全漏洞，并提示管理员修补漏洞

4）能够实时对检测到的入侵行为进行响应

5）评估系统关键资源和数据文件的完整性

6）操作系统的审计跟踪管理，并识别用户违反安全策略的行为

总结：防火墙只是防御为主，通过防火墙的数据便不再进行任何操作,IDS则进行实时的检测，发现入

侵行为即可做出反应，是对防火埼弱点的修补；防火墙可以允许内部的一些主机被外部访问,IDS则没

有这些功能，只是监视和分析用户和系统活动。

二、入侵检测系统和防火墙的联系

LIDS是继防火墙之后的又一道防线，防火墙是防御,IDS是主动检测，两者相结合有力的保证了内部

系统的安全；

2.IDS实时检测可以及时发现一些防火墙没有发现的入侵行为，发行入侵行为的规律，这样防火墙就

可以将这些规律加入规则之中，提高防火墙的防护力度。

类之间的关系包括：关联、依赖、泛化以及实现。

UML各种视图介绍、说明、图形

类图,对象图,用例图,部署图，构件图为静态图

状态图，顺序图,活动图，协作图为动态图

用例图

描述角色以及角色与用例之间的连接关系。说明的是谁要使用系统，以及他们使用该系统可以做些什

么。一个用例图包含了多个模型元素，如系统、参与者和用例，并且显示了这些元素之间的各种关系，

如泛化、关联和依赖。

类图是描述系统中的类，以及各个类之间的关系的静态视图。能够让我们在正确编写代码以前对系统

有一个全面的认识.类图是一种模型类型，确切的说，是一种静态模型类型。

3、对象图

与类图极为相似，它是类图的实例，对象图显示类的多个对象实例，而不是实际的类。它描述的不是

类之间的关系，而是对象之间的关系。

4、活动图

描述用例要求所要进行的活动，以及活动间的约束关系，有利于识别并行活动。能够演示出系统中哪

些地方存在功能，以及这些功能和系统中其他组件的功能如何共同满足前面使用用例图建模的商务

需求。

5、状态图

描述类的对象所有可能的状态，以及事件发生时状态的转移条件。可以捕获对象、子系统和系统的生

命周期.他们可以告知一个对象可以拥有的状态，并且事件（如消息的接收、时间的流逝、错误、条

件变为真等）会怎么随着时间的推移来影响这些状态。一个状态图应该连接到所有具有清晰的可标识

状态和复杂行为的类；该图可以确定类的行为，以及该行为如何根据当前的状态变化，也可以展示哪

些事件将会改变类的对象的状态.状态图是对类图的补充。

6、序列图（顺序图）

序列图是用来显示你的参与者如何以一系列顺序的步骤与系统的对象交互的模型。顺序图可以用来展

示对象之间是如何进行交互的。顺序图将显示的重点放在消息序列匕即强调消息是如何在对象之间

被发送和接收的。

7、协作图

和序列图相似，显示对象间的动态合作关系。可以看成是类图和顺序图的交集，协作图建模对象或者

角色，以及它们彼此之间是如何通信的。如果强调时间和顺序，则使月序列图：如果强调上下级关系，

则选择协作图；这两种图合称为交互图。

8、构件图（组件图）

描述代码构件的物理结构以及各种构建之间的依赖关系。用来建模软件的组件及其相互之间的关系，

这些图由构件标记符和构件之间的关系构成。在组件图中，构件时软件单个组成部分，它可以是一个

文件.产品、可执行文件和脚本等。

9、部署图（配置图）

是用来建模系统的物理部署。例如计算机和设备，以及它们之间是如何连接的。部署图的使用者是开

发人员、系统集成人员和测试人员。

图的名字介绍

类图描述一些美、色的静态结构和它们之间的静态关系

对象图给出一个系统中的对象的快照

构件图描述可以部署的软件构件（比如Jar,ejb等）之间的舒态

关系

部署图描述一个系统的拓扑结构

用例图描述一系列角色和使用嵬例以及它们之间的关系,可

以用来对一个系统的最基本的行为进行建模

活动图描述不同过程之间的动态接触.是使用用例图描述的

行为的具体化

状态图描述一系列对象的内部状态的变化和转移，注意一个

美不能有2个不同的状态图

顺序图是一种相互作用图.描述不同对拿之间信息传递的时

，%

协作图是一种相互作用图.描述发出信息.接受信息的一系

列时象的组织结构

图心16部署图示例

图右11协作图示例

图生12状态图示例

初始状态

（豌L）

状态迁移

活动状态

C5）

□终止状态

图443活动图示例

J2EE架构和.NET架构的相关知识

1.J:ZEE架构

J2EE(Java2PlatformEnterpriseEdition)是由Sun公司主导、备厂商共同制定并得到广泛认可的工

业标准。业界各主要中间件厂商如IBM、Oracle都在积极地促进该标准的推广和应用。

J2EE应用将开发工作分成两类：业务逻辑开发和表示逻辑开发，其余的系统资源则由应用服务器自

动处理，不必为中问层的资源和运行管理进行编码。这样就可以将更多的开发精力集中在应用程序的

业务逻辑和表示逻辑上，从而缩短企业应用开发周期、有效地保护企业的投资。

完整的J2EE技术规范由如下4个部分组成。

(1)J2EE平台：运行J2EE应用的环境标准,由一组J2EE规范组成。

(2)J2EE应用编程模型：用于开发多层瘦客户应用程序的标准设计模型，由Sun提供应用蓝图(Blu

ePrints)o

(3)J2EE兼容测试套件：用来检测产品是否同J2EE平台兼容。

(4)J2EE参考实现：与平台规范同时提供的、实现J2EE乎台基本功施的J2EE服务器运行环境。

J2EE应用服务器运行环境包括构件(Component)、容器(Container)及服务(Services)三部分。构件是表

示应用逻辑的代码：容器是构件的运行环境：服务则是应用服务器提供的各种功能接口，可以同系统

资源进行交互。

J2EE舰范包含了一系列构件及服务技术规范。

(1)JNDI:Java命名和目录服务，提供了统一、无^的标准化名字服务。

(2)Servlet:JavaServlet是运行在服务器上的一个小程序，用于提供以构件为基础、独立于平台的

Web应用。

(3)JSP:JavaServlet的一种扩展，使创建静态模板和动态内容相结合的HTML和XML页面更加容易。

(4)EJB:实现应用中关键的业务逻辑，创建基于•构件的企业级应用程序。EJB在应用服务器的EJB容

器内运行，由容器提供所有基本的中间层服务，如事务管理、安全、远程客户连接、生命周期管理和

数据库连接缓冲等。2013上23题

(5)JCA:J2EE连接器架构，提供一种连接不同企业信息平台的标准接口。

(6)JDBC;Java数据库连接技术，提供访问数据席的标准接口。

(7)JMS:Java消息服务，提供企业级消息服务的标准接口。

(8)JTA:Java事务编程接.口，提供分布事务的高级管理规范。

(9)JavaMail:提供与邮件系统的接口。

(10)RMI用0P:提供应用程序的通信接口。

2..NET架构

微软的.NET是基于一组开放的互联网协议而推出的一系列的产品、技术和服努。.NET开发框架在

通用语言运行环境基础匕给开发人员提供了完善的基础类库、数据库访问技术及网络开发技术，开

发者可以使用多种语言快速构建网络应用。

通用语占运行环境(CommonLanguageRuntime)处于.NET开发框架的晟低层，是该框架的基础，它

为多种语言提供了统一的运行环境.统一的编程模型，大大简化了应用程序的发布和升级、多种语言

之间的交互、内存和资源的自动管理.，等等。

基础类库(HaseClassLibrary)给开发人员提供了一个统一的、面向对象的、层次化的、可扩展的

编程接口，使开发人员能够高效、快速地构建基于下一代互联网的网络应用。

ADO.NET技术用于访问数据库，提供了一组用来连接到数据库、运行命令、返回记录集的类库。A

DO.NET提供了对XML的强大支持，为XML成为.NET中数据交换的统一格式提供了基础。同时，ADO.

NET引入了DataSet的概念，夜内存数据缓冲区中提供数据的关系视图使得不论数据来自于关系数据

库，还是来自于一个XML文档，都可以用一个统一的编程模型来创建和使用，提高了程序的交互性和

可扩展性，尤其适合于分布式的应用场合。

ASP.NET是.NET中的网络编程结构，可以方便、而效地构建、运行和发布网络应用。ASP.NET网络表

单使开发人员能够『常容易地创建网络表单，它将快速开发模型引入到网络开发中来，从而大大简化

了网络应用的开发。ASP.NET中还引入服务器端控件，该控件是可扩展为，开发人员可以构建自己的服

务器端控件。ASP.NET还支持Wen服务(WebServices)„在.NET中。ASP.NET应用不再是解释脚本,而

采用编译运行，再加上灭活的缓冲技术，从根本上提高了性能。

传统的基于Windows的应用(WinForms),仍然是.NET中不可或缺的一部分。在.NET中开发传统的基

T-Windows的应用程序时，除了可以利用现有的技术（如ActiveX控件以及丰富的Windows接口）外,

还可以基于通用语言运行环境开发，可以使用ADO.NET、Web服务等。

.NET支持使用多种语言进行开发，目前已经支持VB.C4+、C#和JScript等语言以及它们之间的深层

次交互。，NET还支持第三方的.NET编译器和开发工具，这意味着几乎所有市场上的编程语言都有可能

应用于微软的.NET开发框架。

VisualStudio.NET作为微软的卜.一代开发工具，和.NET开发框架紧密结合，提供了一个统一的集成

开发环境和工具，可以极大地提高开发效率。

J2EE与.NET都可以用来设计、开发企业级应用。J2EE平台是业界标准，有超过50家厂商实现了这

些标准（工具、应用服务器等）。.NET是微软自己的产品系列，而非业界标准。这使二者在实现技术

及应用等各方面均有很多不同之处.

工作流技术与相关历年真题

_L作流（Workflow）就是工作流程的•算模型，即将JL作流程中的_L作如何前后组织在一起的逻辑和

规则在计算机中以恰当的模型进行表示并对其实施计算。工作流要解决的主要问题是：为实现某个业

务目标，在多个参与者之间，利用计算机，按某种预定规则自动传递文档、信息或者任务。工作流管

理系统（Workflo*ManagementSystem.WfMS）的主要功能是通过计算机技术的支持去定义、执行和管

理工作流，协调工作流执行过程中工作之间以及群体成员之间的信息交互。工作流需要依靠工作流管

理系统来实现。

工作流技术也是经常考的一个考点，以下为历年部分真题：

工作流（Work门。w）就是工作流程的计算模型，即将工作流程中的工资如何前后组织在一起的逻辑

和规划在计算机中以恰当的模型衣示并对其实施计算。工作流属于。的一部分，它是普遍地研究•

个群体如何在计算机的帮助卜实现协同工作的。

A.CSCW

B.J2EE

C.WebService

D..NET

参考答案：A

随着Webservice技术的兴起，出现了许多与工作流技术相关的谭cb服务规范，其中（）的作用是

将一组现有的服务组合起来，从而定义一个新的Web服务。

A.业务流程执行语言BPEI.

B.Web服务描述语言WSDL

C.超文本标记语言H