最全信息系统项目管理师考试答题技巧和复习重点.doc-道客多多

资源描述

1、 WORD 格式可编辑专业知识整理分享信息系统项目管理师考试答题技巧和复习重点一.上午的选择题技巧对于没有确定把握的题，按自己的第一选择1.概念、公式类题目，答案选最长的2.选择某一选项为其他选项合集的3.如果选项中有二选项相背，则答案位于其中4.选择提干与核心词汇一致的5.模型相关的选择题：带有循环、原型驱动等关键词的选择螺旋模型；需求确定、传统的选择瀑布原型；需求不确定、面向对象的选择迭代模型或者喷泉模型6.要掌握 5 类计算，如下：1）静态回收期/投资回报率2）动态回收期/投资收益率3）关键路径和活动 6 参数4）三点估算5）挣值分析绩效控制6）决策树二.下午案例分析1.三个基本观点

2、1)项目以阶段化管理，迭代开发为主线2)以范围、质量、成本、周期之间相互约束，保持平衡为主线3)项目的结构化管理，要具备良好的请示汇报关系，保障责任唯一性2.如果你实在是不知道怎么写，还可以从案例中找出错误的地方，然后往正确方向写，估计也能得及格分3.四种答题思路一、职能/机构的作用：1）统一组织，建立良好的请示汇报关系，建立相关职能岗位的说明书。2）统一流程，制订该组织工作的制度，行为规范。3）通一绩效，制订严格的考核体系，实行奖惩制度。二、计划编制类1）识别计划目标、约束等因素。2）采用合理方法、工具等支持编制。3）做好计划的相关干系人共同参与的评审，形成计划基线。4）做好计划的跟踪控制，

3、持续优化改进。三、控制类1）建立干系人认可的计划或基线。2）识别偏差：以定期等工作方式收集相关问题。3）分析偏差：做好相关问题剖析。4）纠正偏差：制定相关问题的改正措施。5）制定新的计划：通过相关干系人协商，将问题改正措施纳入到后期计划或基线中。四、评估/评审类1）识别相关关注点或需求。2）制定反映关注点或需求的指标体系。3）根据项目特点，确定指标权重。WORD 格式可编辑专业知识整理分享4）制定指标的度量准则，形成评审或评估的操作规程。三.下午论文掌握一个框架：论文八段式结构1）摘要2）项目背景与岗位工作说明3）在项目实施过程出现的问题，你作为什么角色，如何解决了问题4）首先，针对某某问

4、题，项目出现的矛盾，如何解决，解决的效果5）其次，。。。6）再次，。。。7）项目验收与项目干系人的满意程度8）展望，说出对于其他项目的借鉴作用高项考试答题技巧：1）对项目管理知识结构要熟悉要做题2）还有技术部分也是3）法律法规是考前 2 周突击的4）组织级管理比较简单也可以做一做题，做题是帮助你建立知识结构的。5）论文一定要背 44 个子过程，需要写子过程的输入输出和工具方法。不要花太多时间在论文上面，参照下午辅导的 5-4 星级范文（281 页）写 2 片论文提交上来，这就相当于考试时的模板套路了。案例分析需要从题干找线索，有思路就行。案例分析（形式化技巧）1）答题要

5、编号2）答题时尽可能多用术语3）每条至少十五字4）空白之处要写满5）卷面整洁干净不出现任何涂改痕迹（形式比内容更重要）千万不要用英文代替6）根据题干找答案7）问题前后是有关联的，看完题目再作答8）输入输出论文写作的建议：注意论文不能创新，必须要按照套路来写。论文写作的过程中不能有停顿，否则写作的时间就会不够，所以必须练习。看已发书的下午辅导：232 页：论文框架背景+知识应用（理论联系实际）+总结379 页：看 B.2 论文评分标准 B，了解评分标准。233 页：论文布局先写摘要一定要按照套路写235 页正文写法：1.背景（准备 800 字）需要写明业务内容、工期等体现

6、项目的真实性项目周期一般为：6-12 个月，项目金额：软件项目 100-1000 万，硬件项目 1 亿左右，一定要写明自己在项目中的职务是项目经理。不要有图、表、流程图。2.知识点应用（1000-1500 字占正文的一半左右）每个子过程都需要单独标题分条叙述考试时不能打括号说明工具和方法需要举 1-2 个例子，例子一定要具体不要用 XX 代替。主要就是罗列输入输出方法后把实际工作经验镶嵌进去。3.项目总结可以先对前面的知识点应用回顾一遍，再指出不足。写总结时一定不能谦虚，对项目的评价都是好上加好略有不足，而且这些不足不能反映实际问题，最好是一些隔靴搔痒、可有可无的问题。附言：最新版的招

7、标法（采购法合同法监理等）、软件工程规范的文档、综合布线、机房规范、技术部分（较难，软件占 80%）、配置管理这些老师建议在考前 2 周看一下，这些内容都在作业系统的资料下载里面有个压缩文件夹“曹老师补充上课资料（最新） ”里面能够找到。WORD 格式可编辑专业知识整理分享这个是上课时老师讲到的我帮大家总结了一下希望能对大家有帮助。“程序流程图、数据流程图等”是结构化方法使用的主要分析设计工具，而“先开发一个简化系统，待用户认可后再开发最终系统”则是原型法的特征。安全审计属于安全管理类产品，安全审计产品主要包括主机类、网络类及数据库类和业务应用系统级的审计产品。国家电子政务总

8、体框架的构成包括：服务与应用系统、信息资源、基础设施、法律法规与标准化体系、管理体制；推进国家电子政务建设，服务是宗旨，应用是关键，信息资源开发利用是主线，基础设施是支撑，法律法规、标准化体系、管理体制是保障。V 模型的价值在于它非常明确地标明了测试过程中存在的不同级别，并且清楚地描述了这些测试阶段和开发各阶段的对应关系。(1)单元测试的主要目的是针对编码过程中可能存在的各种错误，例如用户输入验证过程中的边界值的错误。(2)集成测试主要目的是针对详细设计中可能存在的问题，尤其是检查各单元与其他程序部分之间的接口上可能存在的错误。(3)系统测试主要针对概要设计，检查系统作为一个整体是否有效地得到

9、运行，例如在产品设置中是否能达到预期的高性能。(4)验收测试通常由业务专家或用户进行，以确认产品能真正符合用户业务上的需要。在不同的开发阶段，会出现不同类型的缺陷和错误，所以需要不同的测试技术和方法来发现这些缺陷。结构化开发方法五个阶段的主要内容用结构化系统开发方法开发一个系统，将整个开发过程划分为五个首尾相连接的阶段，一般称之为系统开发的生命周期，系统开发的生命周期分为系统规划、系统分析、系统设计、系统实施、系统运行和维护五个阶段。 1系统规划系统规划的主要内容包括： WORD 格式可编辑专业知识整理分享企业目标的确定解决目标的方式的确定信息系统目标的确定信息系统主要结构的确定

10、工程项目的确定可行性研究等 2系统分析系统分析的主要内容包括：数据的收集数据的分析系统数据流程图的确定系统方案的确定等系统分析阶段是整个 MIS 建设的关键阶段。 3系统设计系统设计的主要内容包括：系统流程图的确定程序流程图的确定编码输入、输出设计文件设计程序设计等 4系统实施系统实施的主要内容包括：硬件设备的购买硬件设备的安装数据准备程序的调试系统测试与转换人员培训等 5系统运行与维护系统运行与维护的主要内容包括：系统投入运行后的管理及维护系统建成前后的评价发现问题并提出系统更新的请求等软件需求的具体内容计算机软件需求说明编制指南GB/T93

11、85 中定义了需求的具体内容，包括：（1 功能需求：指描述软件产品的输入怎样变换成输出即软件必须完成的基本动作。对于每一类功WORD 格式可编辑专业知识整理分享能或者有时对于每一个功能需要具体描述其输入、加工和输出的需求。（2 性能需求：从整体来说本条应具体说明软件或人与软件交互的静态或动态数值需求。静态数值需求可能包括：支持的终端数支付并行操作的用户数处理的文卷和记录数表和文卷的大小动态数值需求可包括欲处理的事务和任务的数量，以及在正常情况下和峰值工作条件下一定时间周期中处理的数据总量。所有这些需求都必须用可以度量的术语来叙述。例如，95%的事务必须在小于 1s 时间内

12、处理完，不然操作员将不等待处理的完成。（3 设计约束：设计约束受其他标准、硬件限制等方面的影响。（4 属性：在软件的需求之中有若干个属性如可移植性、正确性、可维护性及安全性等。（5 外部接口需求：包括用户接口、硬件接口、软件接口、通信接口。（6 其他需求：根据软件和用户组织的特性等某些需求放在数据库、用户要求的常规的和特殊的操作、场合适应性需求中描述。由此可知：对特定范围内修改所需的时间不超过 3 秒性能需求。按照订单及原材料情况自动安排生产排序功能需求。系统能够同时支持 1000 个独立站点的并发访问性能需求。系统可实现对多字符集的支持，包括 GBK, BIG5 和 UTF

13、-8 等设计约束。定期生成销售分析报表功能需求系统实行同城异地双机备份，保障数据安全设计约束。软件需求的 3 个层次：业务需求、用户需求和功能需求软件需求包括 3 个不同的层次业务需求、用户需求和功能需求。除此之外，每个系统还有各种非功能需求。业务需求（ Business requirement ）表示组织或客户高层次的目标。业务需求通常来自项目投资人、购买产品的客户、实际用户的管理者、市场营销部门或产品策划部门。业务需求描述了组织为什么要开发一个系统，即组织希望达到的目标。使用前景和范围（ vision and scope ）文档来记录业务需求，这份文档有时也被称作项目轮廓图或市场

14、需求（ project charter 或 market requirement ）文档。用户需求（ user requirement ）描述的是用户的目标，或用户要求系统必须能完成的任务。用例、场景描述和事件响应表都是表达用户需求的有效途径。也就是说用户需求描述了用户能使用系统来做些什么。功能需求（ functional requirement ）规定开发人员必须在产品中实现的软件功能，用户利用这些功能来完成任务，满足业务需求。功能需求有时也被称作行为需求（ behavioral requirement ），因为习惯上总是用“应该”对其进行描述：“系统应该发送电子邮件来通知用户已接受

15、其预定”。功能需求描述是开发人员需要实现什么。系统需求（ system requirement ）用于描述包含多个子系统的产品（即系统）的顶级需求。系统可以只包含软件系统，也可以既包含软件又包含硬件子系统。人也可以是系统的一部分，因WORD 格式可编辑专业知识整理分享此某些系统功能可能要由人来承担。业务规则包括企业方针、政府条例、工业标准、会计准则和计算方法等。业务规划本身并非软件需求，因为它们不属于任何特定软件系统的范围。然而，业务规则常常会限制谁能够执行某些特定用例，或者规定系统为符合相关规则必须实现某些特定功能。有时，功能中特定的质量属性（通过功能实现）也源于业务规则。所以，

16、对某些功能需求进行追溯时，会发现其来源正是一条特定的业务规则。功能需求记录在软件需求规格说明（ SRS ）中。 SRS 完整地描述了软件系统的预期特性。 SRS 我们一般把它当作文档，其实， SRS 还可以是包含需求信息的数据库或电子表格；或者是存储在商业需求管理工具中的信息；而对于小型项目，甚至可能是一叠索引卡片。开发、测试、质量保证、项目管理和其他相关的项目功能都要用到 SRS 。除了功能需求外， SRS 中还包含非功能需求，包括性能指标和对质量属性的描述。质量属性（ quality attribute ）对产品的功能描述作了补充，它从不同方面描述了产品的各种特性。这些特性包括可

17、用性、可移植性、完整性、效率和健壮性，它们对用户或开发人员都很重要。其他的非功能需求包括系统与外部世界的外部界面，以及对设计与实现的约束。约束（ constraint ）限制了开发人员设计和构建系统时的选择范围。产品特性。所谓特性（ feature ），是指一组逻辑上相关的功能需求，它们为用户提供某项功能，使业务目标得以满足。对商业软件而言，特性则是一组能被客户识别，并帮助他决定是否购买的需求，也就是产品说明书中用着重号标明的部分。客户希望得到的产品特性和用户的任务相关的需求不完全是一回事。一项特性可以包括多个用例，每个用例又要求实现多项功能需求，以便用户能够执行某项任务。还有一项

18、称为可用性（ usability ）的质量属性，它规定了业务需求中“有效”（ efficiently ）一词的含义。管理人员或市场营销人员负责定义软件的业务需求，以提高公司的运营效率（对信息系统而言）或产品的市场竞争力（对商业软件而言）。所有的用户需求都必须符合业务需求。需求分析员从用户需求中推导出产品应具备哪些对用户有帮助的功能。开发人员则根据功能需求和非功能需求设计解决方案，在约束条件的限制范围内实现必需的功能，并达到规定的质量和性能指标。当一项新的特性、用例或功能需求被提出时，需求分析员必须思考一个问题：“它在范围内吗？”。如果答案是肯定的，则该需求属于需求规格说明，反之则不属于。但

19、答案也许是“不在，但应该在”，这时必须由业务需求的负责人或投资管理人来决定：是否扩大项目范围以容纳新的需求。这是一个可能影响项目进度和预算的商业决策。软件需求分析方法需求分析方法有： (1)结构化分析方法：包括面向数据流的结构化分析方法，面向数据流结构的 Jackson 方法和面向数据结构的结构化数据系统开发方法。 (2)面向对象的分析方法：从需求分析建立的模型的特性来分，需求分析方法又分为静态分析方法和动态分析方法。 WORD 格式可编辑专业知识整理分享结构化分析方法结构化分析方法的实质是着眼于数据流，自顶向下，逐层分解，建立系统的处理流程，以数据流图和数据字典为主要工具，建立系统的逻

20、辑模型。结构化分析的步骤如下： (1)通过对用户的调查，以软件的需求为线索，获得当前系统的具体模型 (2)去掉具体模型中非本质因素，抽象出当前系统的逻辑模型 (3)根据计算机的特点分析当前系统与目标系统的差别，建立目标系统的逻辑模型 (4)完善目标系统并补充细节，写出目标系统的软件需求规格说明 (5)评审直到确认完全符合用户对软件的需求面向对象的需求分析方法面向对象的需求分析方法的核心是利用面向对象的概念和方法为软件需求建造模型。它包含面向对象风格的图形语言机制和用于指导需求分析的面向对象方法学。软件过程管理软件工程管理集成了过程管理和项目管理，包括以下 6 个方面。 1启动和范围定义进

21、行启动软件工程项目的活动并作出决定。通过各种方法来有效地确定软件需求，并从不同的角度评估项目的可行性。一旦可行性建立后，余下的任务就是需求验证和变更流程的规范说明。 2软件项目计划从管理的角度，进行为成功的软件工程作准备而要采取的活动。使用迭代方式制订计划。要点在于评价并确定适当的软件生命周期过程，并完成相关的工作。 3。软件项目实施进行软件工程过程中发生的各种软件工程管理活动。实施项目计划，最重要的是遵循计划，井完成相关的工作。 4评审和评价进行确认软件是否得到满足的验证活动。 5关闭进行软件工程项目完成后的活动。在这一阶段，重新审查项目成功的准则。一旦关闭成立，进行归档、事后分析和

22、过程改进活动。 6软件工程度量进行在软件工程组织中有效地开发和实现度量的程序。软件质量保证体系对于软件质量保证，一个正规的定义是：软件质量保证是一系列活动，这些活动能够提供整个软件产品的适用性的证明。要实现软件质量保证，就需要使用为确保一致性和延长的软件周期而建立的质量控制规则。而质量保证、质量控制、审核功能以及软件测试之间的关系经常容易使人迷惑为了生产出满足客户需求的产品，就必须遵循一定的过程。质量保证是一系列的支持措施，有了这些措施，这些过程的建立和改进就有了保障。在质量保证的过程中，产品质量将和可用的标准相比较，同时也要和不一致产生时的行为相比较。而审核则是一个检查/评估的活动，用以验

23、证与计划、原则以及过程的一致性。 WORD 格式可编辑专业知识整理分享软件质量保证是一种计划好的行为，它可以保证软件满足评测标准，并且具体项目所需要的特性，例如可移植性、高效性、复用性和灵活性。它是一些活动和功能的集合，这些活动和功能用来监控软件项目，从而能够实现预计的目标。它不仅仅是软件质量保证组的责任，项目经理、项目组长、项目人员以及用户都可以参与到其中。质量保证是用来管理质量的。 “保证”这个词也就意味着，如果遵循了一定的过程，管理者就能够确保产品的质量。质量保证也是一个接触反应式的功能，它能激起管理者以及工作人员对于质量的积极态度。成功的软件保证管理者懂得如何使人们关心质量，并

24、深深懂得质量对于个人和组织具有何等重要的意义。要实现软件质量的目标，主要是需要遵循软件质量控制计划。为了确保每个里程碑twf3 所提交的文档和产品都具有高质量，项目就必须引入一些方法来使之得到保证。而这些方法就在软件质量控制计划中进行声明。这一外在的方式会保证一些步骤得到实施，而这些步骤的目的也就是要获得软件质量并且能对那些行为的文档进行管理。这个计划也制定了评测标准，这些评测标准用于检测而不是仅仅设定一个不可能完成的目标，例如，希望生产一个零缺陷的软件或者百分之百可以信赖的软件。软件质量保证是一种风险管理的策略。因为软件质量的成本很高，需要纳入到项目的正规的风险管理中来，所以软件质量保证

25、的存在是非常有必要的。下面是一些较差的软件质量的例子： 1 被分发出去的软件频繁地出现故障。 2 系统失败导致不可接受的结果，这种结果可以是经济上的损失或者是危及生命的情况。 3 在需要执行预定功能时，系统不可用。 4 系统增强的成本非常的高。 5 检测和缺陷纠正的成本过高。尽管大部分的质量风险都和缺陷有关，但相对需求而言，系统失败的地方就是一个缺陷。如果需求本身不够完整，甚至是错误的，那么缺陷的风险就更大。而这样所导致的结果就是许许多多内在的缺陷和不能被查证的产品。一些风险管理策略和技术包括了软件测试、技术复查、同等复查以及符合程度的查证。软件可靠性和可维护性测试评审时要考虑：1、针对可靠

26、性和可维护性的测试目标2、测试方法3、测试用例4、测试工具5、测试通过标准6、测试报告信息系统安全风险评估是通过数字化的资产评估准则完成的，它通常会覆盖人员安全、人员信息、公共秩序等方面的各个要素，1、人员安全2、人员信息3、立法及规章所确定的义务4、法律的强制性5、商业及经济的利益6、金融损失对业务活动的干扰7、公共秩序8、业务政策及操作9、信誉的损害WORD 格式可编辑专业知识整理分享清华信息系统项目管理师教程第二版 P565.软件设计与软件设计内容软件设计是把许多事物和问题抽象起来，并且抽象它们不同的层次和角度。建议用数学语言来抽象事务和问题，因为数学是最好的抽象语言，并且它的本质就

27、是抽象。将复杂的问题分解成可以管理的片断会更容易。将问题或事物分解并模块化这使得解决问题变得容易，分解的越细模块数量也就越多，它的副作用就是使得设计者考虑更多的模块之间耦合度的情况。软件设计包括软件的结构设计，数据设计，接口设计和过程设计。结构设计是指：定义软件系统各主要部件之间的关系。数据设计是指：将模型转换成数据结构的定义。接口设计是指：软件内部，软件和操作系统间以及软件和人之间如何通信。过程设计是指：系统结构部件转换成软件的过程描述。软件测试原则一，测试应该尽早进行，最好在需求阶段就开始介入，因为最严重的错误不外乎是系统不能满足用户的需求。二，程序员应该避免检查自己的程序，软件

28、测试应该由第三方来负责。三，设计测试用例时应考虑到合法的输入和不合法的输入以及各种边界条件，特殊情况下要制造极端状态和意外状态，如网络异常中断、电源断电等。四，应该充分注意测试中的群集现象。五，对错误结果要进行一个确认过程。一般由 A 测试出来的错误，一定要由 B 来确认。严重的错误可以召开评审会议进行讨论和分析，对测试结果要进行严格地确认，是否真的存在这个问题以及严重程度等。六，制定严格的测试计划。一定要制定测试计划，并且要有指导性。测试时间安排尽量宽松，不要希望在极短的时间内完成一个高水平的测试。七，妥善保存测试计划、测试用例、出错统计和最终分析报告，为维护提供方便。软件文档开发

29、文档开发文档是描述软件开发过程，包括软件需求、软件设计、软件测试、保证软件质量的一类文档，开发文档也包括软件的详细技术描述、程序逻辑程序间相互关系、数据格式和存储等开发文档起到如下五种作用 1、它们是软件开发过程中包含的所有阶段之间的通信工具，它们记录生成软件需求设计编码和测试的详细规定和说明。2、它们描述开发小组的职责，通过规定软件主题事项文档编制质量保证人员以及包含在开发过程中任何其他事项的角色来定义做什么、如何做和何时做。3、它们用作检验点而允许管理者评定开发进度。如果开发文档丢失、不完整或过时，管理者将失去WORD 格式可编辑专业知识整理分享跟踪和控制软件项目的一个重要工具。

30、4、它们形成了维护人员所要求的基本的软件支持文档，而这些支持文档可作为产品文档的一部分。5、它们记录软件开发的历史基本的开发文档是 1、可行性研究和项目任务书 2、需求规格说明 3、功能规格说明 4、设计规格说明包括程序和数据规格说明 5、开发计划 6、软件集成和测试计划 7、质量保证计划标准进度 8、安全和测试信息产品文档产品文档规定关于软件产品的使用维护增强转换和传输的信息产品的文档起到如下三种作用 1、为使用和运行软件产品的任何人规定培训和参考信息 2、使得那些未参加开发本软件的程序员维护它 3、促进软件产品的市场流通或提高可接受性产品文档用于下列类型的读者 1、用户他们利用软件

31、输入数据检索信息和解决问题 2、运行者他们在计算机系统上运行软件 3、维护人员他们维护增强或变更软件产品文档包括如下内容 1、用于管理者的指南和资料他们监督软件的使用 2、宣传资料通告软件产品的可用性并详细说明它的功能运行环境等 3、一般信息对任何有兴趣的人描述软件产品基本的产品文档包括 1、培训手册 2、参考手册和用户指南 3、软件支持手册 4、产品手册和信息广告管理文档这种文档建立在项目管理信息的基础上诸如： 1、开发过程的每个阶段的进度和进度变更的记录 2、软件变更情况的记录 3、相对于开发的判定记录 4、职责定义这种文档从管理的角度规定涉及软件生存的信息WORD 格式可编辑专

32、业知识整理分享考试国标知识点（六）：GB/T 16260 质量特性及其使用指南2012 年上半年信息系统项目管理师考试国标和相关一些规划知识点的考题达到了 6 道，所以这一块也是一个重要的知识点，将在接下来的一段时间对这一块的重点知识点进行解说考试国标知识点（六）：GB/T 16260 质量特性及其使用指南描述了关于软件产品质量的两部分模型1、内部质量和外部质量2、使用质量为内部质量和外部质量规定了六个特性，它们可进一步细分为子特性。当软件作为计算机系统的一部分时，这些子特性作为内部软件属性的结果，从外部显现出来。为使用质量规定了四个特性，使用质量是面向用户的六个软件产品质量特性的组合效用。

33、术语1、性能级别：要求被满足的程度，它由一组质量特性的特定值来表示。软件产品质量可以通过测量内部属性，也可以通过测量外部属性，或者通过测量使用质量的属性来评价。目标就是使产品在指定的使用周境下具有所需的效用。过程质量有助于提高产品质量，而产品质量则是提高使用质量的方法之一，同样，评价使用质量可以为改进产品提供反馈，而评价产品则可以为改进过程提供反馈。合适的软件内部属性是获得所需外部行为的先决条件，而适当的外部行为则是获得使用质量的先决条件。软件产品质量需求一般要包括对于内部质量、外部质量和使用质量的评估准则。用户质量要求可通过使用质量的度量、外部度量，有时是内部度量来确定为质量需求外部质量需求

34、从外部视角来规定要求的质量级别。外部质量需求用作不同开发阶段的确认目标。外部质量需求应在质量需求规格说明中用外部度量加民描述，宜转换为内部质量需求，而且在评价产品时应该作为准则使用。内部质量需求从产品的内部视角来规定要求的质量级别。内部质量需求用来规定中间产品的特性，内部质量需求可用作不同开发阶段的确认目标，也可以用于开发期间定义开发策略以及评价和验证的准则内部质量是基于内部视角的软件产品特性的总体。估计的（预测的）外部质量是在了解内部质量的基础上，对每个开发阶段的最终软件产品的各个质量特性加以估计或预测的质量。外部质量是基于外部视角的软件产品特性的总体。估计的（预测的）使用质量是在了解内部和

35、外部质量的基础上，对每个开发阶段的最终软件产品的各个使用质量的特性加以估计或预测的质量。使用质量是基于用户观点的软件产品用于指定的环境和使用周境时的质量。它测量用户在特定环境中能达到其目标的程度，而不是测量软件自身的属性。WORD 格式可编辑专业知识整理分享外部和内部质量的质量模型六个特性：功能性、可靠性、易用性、效率、维护性、可移植性 2008 下 23 题1、功能性：当软件在指定条件下使用时，软件产品提供满足明确和隐含要求的功能的能力1、适合性：软件产品为指定的任务和用户目标提供一组合适的功能的能力2、准确性：软件产品提供具有所需精度的正确或相符的结果或效果的能力3、互操作性：软件产品

36、与一个或更多的规定系统进行交互的能力4、安全保密性：软件产品保护信息和数据的能力2、可靠性：在指定条件使用时，软件产品维护规定的性能级别的能力1、成熟性：软件产品为避免由软件中故障而导致失效的能力2、容错性：在软件出现故障或者违反其指定接口的情况下，软件产品维持规定的性能级别的能力3、易恢复性：在失效发生的情况下，软件产品重建规定的性能级别并恢复受直接影响的数据的能力3、易用性：在指定条件下使用时，软件产品被理解、学习、使用和吸引用户的能力1、易理解性：使用用户能理解软件是否合适及如何能将软件用于特定的任务的能力2、易学性：使用用户能学习其应用的能力3、易操作性：使用户能操作和控制它的能力4、

37、吸引性：软件产品吸引用户的能力4、效率：在规定条件下，相对于所用资源的数量，软件产品可提供适当性能的能力1、时间特性：软件执行其功能时，提供适当的响应和处理时间以及吞吐率的能力2、资源利用性：软件执行其功能时，使用合适数量和类别的资源的能力5、维护性：软件产品可被修改的能力。包括纠正、改进或对环境、需求和功能规格说明变化的适应1、易分析性：诊断软件中的缺陷或失效原因或识别待修改部分的能力2、易改变性：使指定的修改可以被实现的能力3、稳定性：避免由于软件修改而造成意外结果的能力5、易测试性：使已修改软件能被确认的能力6、可移植性：软件产品从一种环境迁移到另外一种环境的能力1、适应性：无需采用额外

38、的活动或手段就可适应不同指定环境的能力2、易安装性：软件产品在指定环境中被安装的能力3、共存性：在公共环境中同与其分享公共资源的其他独立软件共存的能力4、易替换性：在同样的环境下，替代另一个相同用途的指定软件产品的能力使用质量的质量模型使用质量的属性分为四个特性：有效性、生产率、安全性和满意度1、有效性：软件产品在指定的使用周境下，使用户能达到与准确性和完备性相关的规定目标的能力2、生产率：在指定的使用周境下，使用户为达到有效性而消耗适当数量的资源的能力3、安全性：在指定使用周境下，达到对人类、业务、软件、财产或环境造成损害的可接受的风险级别的能力4、满意度：使用户满意的能力。内部度量可以应用

39、于设计和编码期间的非执行软件产品，当开发一个软件产品时，中间产品宜使用测量内在性质的内部度量来评价，内部度量的主要目的是为了确保获得所需的外部质量和使用质量WORD 格式可编辑专业知识整理分享。内部度量使得用户、评价者、测试人员和开发者可以在软件产品可执行之前就能评价软件产品质量和尽早地提出质量问题。外部度量是通过测试、运行和观察可执行的软件或系统，由该软件产品所在的系统行为的测试而导出。使用质量的度量测量产品在特定的使用周境下，满足特定用户达到特定目标所要求的有效性、生产率、安全性和满意度的程度，它是根据使用软件的结果而不是软件自身的属性来测量的。使用质量是面向用户的内部和外部质量的组合

40、效果。软件审计的目的是提供软件产品和过程对于可应用的规则、标准、指南、计划和流程的遵从性的独立评价。审计是正式组织的活动，识别违例情况，并产生一个报告，采取更正性行动。应用软件：设计用于实现用户的特定需要而非计算机本身问题的软件。例如，导航（浏览）、工资、过程控制软件。先用个比喻：假如防火墙是一幢大厦的门锁，那么入侵检测系统就是这幢大厦里的监视系统。一旦小偷进入了大厦，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。所以根据这个比喻，A 选项是错误的，入侵检测系统是防火墙之后的又一道防线，入侵检测系统可以及时发现防火墙没有发现的入侵行为。C 选项也是弄反了，防火墙可以允许内部的一

41、些主机被外部访问，IDS 则没有这些功能，只是监视和分析用户和系统活动。D 选项就很明显是错误的了，防火墙和入侵检测系统都是一个独立的系统。入侵检测系统（IDS）入侵检测系统（简称“IDS”）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS 是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻：假如防火墙是一幢大楼的门锁，那么 IDS 就是这幢大楼里

42、的监视WORD 格式可编辑专业知识整理分享系统。一旦小偷爬窗进入大楼，或内部人员有越界行为，只有实时监视系统才能发现情况并发出警告。IDS 是计算机的监视系统，它通过实时监视系统，一旦发现异常情况就发出警告。IDS 入侵检测系统以信息来源的不同和检测方法的差异分为几类：根据信息来源可分为基于主机 IDS 和基于网络的IDS，根据检测方法又可分为异常入侵检测和误用入侵检测。不同于防火墙，IDS 入侵检测系统是一个监听设备，没有跨接在任何链路上，无须网络流量流经它便可以工作。因此，对 IDS 的部署，唯一的要求是：IDS 应当挂接在所有所关注流量都必须流经的链路上。在这里，“所关注流量“指的是

43、来自高危网络区域的访问流量和需要进行统计、监视的网络报文。在如今的网络拓扑中，已经很难找到以前的 HUB 式的共享介质冲突域的网络，绝大部分的网络区域都已经全面升级到交换式的网络结构。因此，IDS 在交换式网络中的位置一般选择在尽可能靠近攻击源或者尽可能靠近受保护资源的位置。这些位置通常是：服务器区域的交换机上；Internet 接入路由器之后的第一台交换机上；重点保护网段的局域网交换机上。与其他安全产品不同的是，入侵检测系统需要更多的智能，它必须可以将得到的数据进行分析，并得出有用的结果。一个合格的入侵检测系统能大大的简化管理员的工作，保证网络安全的运行。因此，入侵检测被认为是防火墙之后的第

44、二道安全闸门，在不影响网络性能的情况下能对网络进行监测，从而提供对内部攻击、外部攻击和误操作的实时保护。入侵检测系统的流程1、信息收集2、数据分析3、响应入侵检测系统的主要功能对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。具体来说，入侵检测系统的主要功能有：监测并分析用户

45、和系统的活动；核查系统配置和漏洞；评估系统关键资源和数据文件的完整性；识别已知的攻击行为；统计分析异常行为；操作系统日志管理，并识别违反安全策略的用户活动。 WORD 格式可编辑专业知识整理分享入侵检测系统的分类一般来说，入侵检测系统可分为主机型和网络型。主机型入侵检测系统往往以系统日志、应用程序日志等作为数据源，当然也可以通过其他手段（如监督系统调用）从所在的主机收集信息进行分析。主机型入侵检测系统保护的一般是所在的系统。网络型入侵检测系统的数据源则是网络上的数据包。往往将一台机子的网卡设于混杂模式（promisc mode）,监听所有本网段内的数据包并进行判断。一般网络

46、型入侵检测系统担负着保护整个网段的任务。不难看出，网络型 IDS 的优点主要是简便：一个网段上只需安装一个或几个这样的系统，便可以监测整个网段的情况。且由于往往分出单独的计算机做这种应用，不会给运行关键业务的主机带来负载上的增加。但由于现在网络的日趋复杂和高速网络的普及，这种结构正受到越来越大的挑战。一个典型的例子便是交换式以太网。而尽管主机型 IDS 的缺点显而易见：必须为不同平台开发不同的程序、增加系统负荷、所需安装数量众多等，但是内在结构却没有任何束缚，同时可以利用操作系统本身提供的功能、并结合异常分析，更准确的报告攻击行为。入侵检测技术对各种事件进行分析，从中发现违反安全策略的

47、行为是入侵检测系统的核心功能。入侵检测技术从时间上，可分为实时入侵检测和事后入侵检测两种。实时入侵检测在网络连接过程中进行，系统根据用户的历史行为模型、存储在计算机中的专家知识以及神经网络模型对用户当前的操作进行判断，一旦发现入侵迹象立即断开入侵者与主机的连接，并收集证据和实施数据恢复。这个检测过程是不断循环进行的。而事后入侵检测由网络管理人员进行，他们具有网络安全的专业知识，根据计算机系统对用户操作所做的历史审计记录判断用户是否具有入侵行为，如果有就断开连接，并记录入侵证据和进行数据恢复。事后入侵检测是管理员定期或不定期进行的，不具有实时性，因此防御入侵的能力不如实时入侵检测系统。入侵

48、检测系统和防火墙的区别和联系WORD 格式可编辑专业知识整理分享一、入侵检测系统和防火墙的区别1. 概念1) 防火墙：防火墙是设置在被保护网络（本地网络）和外部网络（主要是 Internet）之间的一道防御系统，以防止发生不可预测的、潜在的破坏性的侵入。它可以通过检测、限制、更改跨越防火墙的数据流，尽可能的对外部屏蔽内部的信息、结构和运行状态，以此来保护内部网络中的信息、资源等不受外部网络中非法用户的侵犯。2) 入侵检测系统：IDS 是对入侵行为的发觉，通过从计算机网络或计算机的关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。3) 总结：从概念上我们

49、可以看出防火墙是针对黑客攻击的一种被动的防御，IDS 则是主动出击寻找潜在的攻击者；防火墙相当于一个机构的门卫，收到各种限制和区域的影响，即凡是防火墙允许的行为都是合法的，而 IDS 则相当于巡逻兵，不受范围和限制的约束，这也造成了 ISO 存在误报和漏报的情况出现。2. 功能防火墙的主要功能：1) 过滤不安全的服务和非法用户：所有进出内部网络的信息都是必须通过防火墙，防火墙成为一个检查点，禁止未授权的用户访问受保护的网络。2) 控制对特殊站点的访问：防火墙可以允许受保护网络中的一部分主机被外部网访问，而另一部分则被保护起来。3) 作为网络安全的集中监视点：防火墙可以记录所有通过它的访问，并提供统计数据，提供预警和审计功能。

展开阅读全文