因果图法是功能测试案例设计方法中的一种,简述利用因果图导出测试用例需要经过哪几(1)分析程序规格说明的描述中,哪些是原因,哪些是结果原因常常是输入条件或输入结果是输出条件个步骤?条件的等价类,而(2)分析程序规格说明的描述中语义的内容,并将其表示成连接各个原因与各个结果的"因果图"为表明这些特定(3)标明约束条件由于语法或环境的限制,有些原因和结果的组合情况是不可能出现的的情况,在因果图上使用若干个标准的符号标明约束条件4)把因果图转换成判定表,为判定表中每一列表示的情况设计测试用例验收测试根1E合同、〈〈需求規格说明书》或〈〈验收测A计划》对成品进行验收测试[任务2](D适合性:软件为指定的任务和用户目标提供一组合适功能的能力准确性:软件提供所需精确度的正确或相符结果及效果的能力互操作性/互用性:软件产品与一个或更多规定系统进行交互的能力保密安全性:软件产品保护信息和数据的能力功能依从性:软件依从同功能性相关的超标准、约定或法规的能力[任务3](1)Bu?的错误类型除了功能性错误外,还包括:可抽鵝易耐昔误,如牡踉钠甘诗性觸(2)常见的功能性Bug的严重性级别层次致命,严重,一般,建议的O致命:系统崩溃'数据丢失、数据毁坏。
较严重:操作性错误、错误结果、遗漏功能一般:小任务、错别字、UI布局、罕见错误建议的:不影响使用的瑕疵或更好的实现<3)Bug错误的状态新信息NEW),打开(OPEN),修正(FIXED),拒绝(DECLINED),关闭(CLOSED)%1新信息(NEW):测试中新报告的软件BUG%1打开(OPEN〉:被确认并分配给相关开发人员处理%1修正(FIXED〉:开发人员已気成修正,等待测试人员验证%1拒绝(DECLINED〉:拒绝修改BUG%1延期(DEFERRED):不在当前版本修复的错误,下一版本修复软件系统的用户文档包括哪些?知识点包括:?用户手册?安装和设置指导-联机帮助■指南、向导-样例、示例和模板-授权/注册登记表?最终用户许可协议?宣传材料、广告及其他插页知识点包括:软件系统中除用户文档之外,文档测试还应当关注哪些文档??开发文档?软件需求说明书?数据库设计说明书?概要设计说明书?详细设计说明书?可行性研究报告?管理文档?项目开发计划?测试计划?测试报告?开发进度月报?开发总结报告简述软件系统中用户文档的测试要点文档面向的读者定位要明确对于初级用户、中级用户以及高级用户应该有不同的定位。
术语文档中用到的术语要适用于定位的读者群,用法一致,标准定义与业界规范相吻合测试中需检查所有信息是否真实正确,查找由于过期产品说明书和销售人员夸大事实而导致的错误检查所有的目录、索引和章节引用是否已更新,尝试链接是否准确,产品支持、地址和邮政编码是否正确对照软件界面检查是否有重要的分支没有描述到,甚至是否有整个大模块没按照文档描述的操作执行后,检查软件返回的结果是否与文档描述相同有描述到对关键步骤以粗体或背景色给用户以提示,合理的页面布局、适量的图表都可以给用户更高的易用性需要注意的是文档要有助于用户排除错误,不但描述正确操作,户看到的错误信息应当有更详细的文档解释也要描述错误处理办法文档对于用?图表与界面截图检查所有图表与界面截图是否与发行版本相同样例和示例像用户一样载入和使用样例如果是一段程序,就输入数据并执行它不出现错别字,不要出现有二义性的说法特别要注意的是屏幕截图或绘制图形中的文字印刷与包装检查印刷质量;手册厚度与开本是否合适;包装盒的大小是否合适;有没有零碎易丢失的小部件等当CPU资源使用成为系统瓶颈时的解决方案可以摭括为1.増加CPU的个数;2.提高CPU的主频;3-将web服务器与数据库服务器分开部署;4.调整软件的设计与开发;当带宽成为系统瓶颈时的解决方案可以概括为:1.増加带哉2.压缩传输数据。
阅读下列说明,回答问题1至问题3,将解答填入答题纸的对应栏内说明]易用性和用户文档是影响软件质量的重要指标,也是直接决定一个软件能否取得市场成功的关键因素问题1](5分)性简述安装测试别应当设计哪些测简述在进行软件帮用户对软件系统的第一认识来自于安装,因此易用性的一个重要体现就是安装的易用应当从哪几个方面来考虑,[问题2](6分)软件用户界面起着引导用户操作的重要作用,简述整体界面测试和界面中的元素测试分试点[问题3](4分)软件帮助是协助用户使用软件的关键途径,因此也是软件测试过程中的一个重要內容助测试时的测试要点分析:试题四[问题1]评估安装手册安装的自动化测试安装选项和设羞的测试安装过程的中断测试安装顺序测试多环境安装测试安装正确性测试修复安装与卸载测试[问题2]界面整体测试:规范性测试'合理性测试、一致性测试和界面定制性测试界面元素测试:窗口测试、菜单测试、團标测试、鼠标测试和文字测试[问题3]文本的准确性与程序的接口帮助索引的检查超诳接的正确性链接的意义风格应简洁试题五(15分)(网络安全及漏洞扫描测试P439)阅读下列说明,回答冋题1至问题3,将解答填入答题纸的对应栏内[说明]'Web区(DMZ区)、后台信息应商(ISP)路由器和下端内网HTTPRequest的任务,并将数据传应用系统服务器和备份服务器某网上信息系统的服务范围为全国。
按照功能类别将其划分为前端路由区系统区各区域说明如下:前端路由区:部署路由设备负责与上端网络供交换机的连接Web服务区(D\IZ区〉:部署网站服务器及其相关的设备负责处理送给数据库,后台信息系统等模块后台信息系统区:包括数据库服务器、通过部署防火墙实现区域之间的隔离与访问控等,负责完成信息系统的各项功能在不同的网络区域之间,制问题1](3分)画出其网络拓扑结构示意團[问题2](6分〉漏洞扫描的功能是什么?请叙述漏洞扫描器的分类以及各类扫描器的功能[问题3](6分〉确定安全测评中漏洞扫描工具的接入点并说明选择漏洞扫描工具各接入点的原因和目的案例分析】参考答案:分析:[任务1】画出其网络拓扑结构示意图[任务2]漏洞扫描的功能是什么?请叙述漏洞扫描器的分类以及各类扫描器的功能"漏洞扫描的功能是用王机或系统漏洞扫描器自动检测远程或本机安全性漏洞,以便及时修补安全漏洞漏洞扫描器的分为两种类型:(1)主机漏洞扫描器(HOSTSCANNER),在本地运行检测系统漏洞"⑵网络漏洞扫描器(NETWORKSCAMER〉,基于网络远程检测目标网络和主机系统漏洞"【任务3]碉定安全测评中漏洞扫描工具的接入点"并说明迭择漏洞扫描工具各接入点的庫因和目的.针对系统的网络边界和各区域设备的情況,衽系统及边界中设置涮C,3个工具接入点。
A接入点A接入点(互联网接入);设在Internet中,探测目标系统的防火墙1、防火墙2、Web服务器、数据库,测试其对该点暴露的安全漏洞情况B接入点(Web服务器区):接在交换机1上,探测目标系统的Web服务器、Web数据库、防火墙2、数据库服务器、应用系统服务器和备份服务器,测试其对该点暴露出的安全漏洞情况C接入点(后台信息系统区):接在交换机2上,探测目标系统的数据应服务器、应用系统服务器和备份服务器,测试其对该点暴露出的安全漏洞情况<真强网&真的很强下图是VPN用户与数抿庫之间的瞬拓}港构图,请指明图中设备1、设备2、设备3、设备4是何种类型的瞬设施设备一:陶火嘲设备二:交換机设备三:防火增设备囚:交换机【冋題2】(4分〉通信加密的目的是什么?通信加密测试的基本方法有哪些?通信加密的目的是对传输中的数据流加密,以防止通信线路上的窃听、泄瀟、專改和破坏P429)如果以加密实现的通借层次来区分,加密可以在通信的三个不同层次来实现,即节点加密、链路加密和端到端加密3种通信加密测试的主要目的:是保证软件产品确实在开发过程中,按照设计要求使用VPN技术、对称加密算法、非对称加密算法、HASH?法等方法进行了通信加密。
通信加密测试的基本方法通常采用验证和侦听技术完成通信加密测试的基本方法通常采用验证和侦听技术完成P444)【冋题3】(4分〉为防止未授权用户通过反复猜测口令获取VPN使用权,从用户口令管理和网站登录控应对措施1)从用户口令管理方面采取应对措施有:制两方面说明可以采取的用户口令应当满足当前流行的控制模式,注意测试用户口令的强度和存储的位墨和加密强度口令要测试如下内容:①最犬口令时效;②最小口令时效;③口令历史;④最小口令长度;⑤口令复杂度:⑥加密选项;⑦口令锁定;帐户复位2)从网站登录控制方面采取应对措施有:用户权限分配合理性、用户名、用户密码的各项限制用户名称的唯一性:?同时存在的用户名称在不考虑大小的状态下,不能够同名;?对于关键领域的软件产品和安全要求较高的软件,应当同时保证使用过的用户在用户删除录,并且新用户不得与之同名采用身份认证、数字签名等技术进行用户认证机制:分为数字证书(检验用户身份的电子或停用后,保留该用户记文件)、智能卡、双重认证、安全电子交易协议(SET电子商务中安全电子交易的国际标准);测试时有必要对用户认证机制进行全面测试,评价认证机制的合理性°(P428用户论证机制)安全防护策略是软件系统对抗攻击的主要手段,安全防护策略主要有安全日志、入侵检测、隔离防护、漏洞扫描等。
P430)【问题U(4分)请分别指出性能测试中员裁测试与压力测试的目的蟄考答案:员裁测试的目的:负测试通过逐步增加系统负裁,测试系统性能的变化,并最终确定在满足性能指标的悄况下,系统所能承受的最大负裁畳的测试发现系统的员裁极限1.「J它的目的有在胄实环境下检测系统性能,评估系统性能次及服务等级的满足悄况,分析系统发用户数、执行响应时间、交易呑吐量1_瓶颈、优化系统;如最大并压力测试的目的:通过逐步鬻加系统负栽,测试系统性能的变化,并最终确走在什么负栽条态,并以此来获得系统能提供的最大服务级别的测试它的目的是为了发现在什么情况下系统的性能会变得不可接受(或崩鴻)一般能够承受的件下,系统性能处于失效状压力,同时能够承受的用户访问量俗量),最多支持有多少用户同时访冋某个功能罡预见系统压力承受能力,在应用实际部署之前,评估系统性能,分析系统瓶颈、优化系统;消除JOi,提高系统性能即提高响应时间与呑吐量问题2】〈6分)请分别指出应用服务器和数据库服务器性能评价的关键指标参考答案:舀用服务器性能评价的关键指标有:?并发用户数指标:指某一物理时刻同时向系统提交请求的用户数?交易处理指标:平均事务响应时间、每秒事务数、每秒事务总数、事条摘要、事务性能摘要、事务响应时间(负载下、百分比、分布)?Web请求指标:每秒点击次数’呑吐量、呑吐量摘要、HTIP状态代码摘要、每秒HTTP响应数、每秒下载页面数、每秒重试次数,重试次数摘要、连接数、每秒连接数、每秒SSL连接数?Web页面组件指标:激活网页细分、页面组件细分(随时间变化〉、页面下载时间细分(随时间变化)、第一次缓冲时间细分(随时间变化)、已下载组件大小。
对应用服务器端的测试主要包括三方面:操作系统、数据库和中间件的监控其中:操作系统性能评价的关键指标有:CPU、磁盘管理、文件管理、内存数据库和中间件的监控通用的指标:CPU、磁盘、内存也可以这样回答:应用服务器性能测试中应测试的关键指标如下:通用指标:CPU、磁盘、内存Web服务器指标:平均每秒钟响应次数=总请求时间秒数成功的请求失败的请求成功的点击次数失败的点击次数每秒点击次数每秒成功的点击次数每秒失败的点击次数应用服务器性能评价的关键指标有:4、并行用户数:扌旨某一物理时刻同时向系统提交请求的用户数5、事务执行响应时间:是系统完成事务执行准备后所采集的时间戳和系统完成待执行事WWWZHENO.COALCN頁强网&頁的很强务后所采集的时间戳之间的时间间隔,是衡量特定类型应用事务性能的重要指标,标志了用户执行一项操作大致需要多长时间6、交易执行呑吐量(transt〉:毎秒钟执行的业务数或系统服务器每秒能够处理通过的交易数7、系统资源性能关键指标有:CPU、内存、磁盘)数据库服务器性能评价的关键指标有:用户连接数、数据库死锁、数据库Cache的命中情况及CPU、内存、磁盘这个可以、不答)共性的指标<1)监控数据库系统中关键的资源<2)监测读写页面的使用情况(3)监控超出共享内存缓冲区的操作数<4)监测上一轮询期间作业等待缓冲区的时间(5)跟踪共享内存中物理日志和逻辑日志的缓冲区的使用率<6)监控磁盘的数据块使用情况以及被频繁读写的热点区域<7)监控用户事务或者表空间监控事务日志<8)监控数据库锁资源(9)监测关键业务的数据表的表空间増长<10)监控SQL执行情况安全性测试的测试内容?(用八认证、加密机制、安全防护策略、数据备份与恢复、防病毒系统)安全防护策略?(漏洞扫描、入侵检查、安全日志、隔离防护)数据备份与恢复技术通常涉及那几个方面?(存储设备、存储优化、存储保护、存储管理)基本的防毒技术有哪几部分?(集中式管理、分布式杀毒,数据库技术、LDAP技术应用,多引擎支持,不同操作系统的保护,远程安装或分发安装)基本的安全防护系统测试的测试点?(防火墙、入侵检测、漏洞扫描、安全审计、病毒防治、Web信息防篡改系统)防火墙的测试点?A、是否支持交换机和路由器两种工作模式B、是否支持对HTTPFTPSMTP等服务类型的访问控制C、是否考虑到了防火墙的冗余设计D、是否支持日志的统计分析功能,日志是否可以存储在本地和网络数据库上E、对防火墙和受保护网段的非法攻击系统,是否提供多种告警方式和多种告警级别入侵检测的测试点?A、能否在检测到入侵事件时,自动执行切断服务,记录入侵过程,邮件报警等动作B、是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载C、能否提供多种方式对监视引擎和检测特征的定期更新服务D、内置的网络能否使用状况监控工具和网络监听工具漏洞扫描的定义?有几种类型?定期或不定期的使用安全性分析工具,对整个内部系统进行安全扫描,及时发现系统的安全漏洞,报警及提出补救措施。
病毒防治的测试点?A、能否支持多平台的病毒防范B、能否支持对服务器的病毒防治C、能否支持对电子邮件附件的病毒防治D、能否提供对病毒特征信息和检测引擎的定期更新服务E、病毒防范范围是否广泛,是否包括UNIX.Linux、Window等操作系统安全审计的测试点?A、能否支持系统数据采集,统一存储、集中进行安全审计B、是否支持基于PKI的应用审计C、是否支持基于XML的审计数据采集协议D、是否提供灵活的自定义审计规则Web信息防篡改系统的测试点?A、是否支持多种操作系统B、是否具有集成发布与监控功能,使系统能够区分合法的修改与非法的篡改C、是否可以实时发布与备份D、是否具备自动监控、自动恢复、自动报警的能力E、是否提供日志管理、扫描策略管理、更新管理安全系统防护体系有哪几层?(实体安全、平台安全、数据安全、通信安全、应用安全、运行安全、管理安全)安全性测试方法有哪些?(功能验证、漏洞扫描、模拟攻击实验、侦听技术)软件产品安全测试的内容?(用户管理与访问控制、通信机密、安全日志)用户管理与访问控制包括哪些?(用户权限控制、操作系统安全性测试、数据库权限的测试)用户名称的测试关键?(测试用八名称的唯一性,A、同时存在的用八名称在不考虑大小写的状态卜「不能同名,B、对于己经删除或者停用的用户名称,应保留用户记录,并且新的用户名称不能与之同名)用户口令的测试点?应注意用户口令的强度、存储位置、加密强度最大口令时效、最小口令时效、口令历史、口令复杂度、加密选项、口令锁定、口令复位操作系统安全性的测试点是什么?A、是否关闭或卸载了不必要的服务或程序B、是否存在不必要的帐户C、权限设置是否合理D、安装相应的安全补丁程序E、操作系统日志管理数据库权限的测试点是什么?A、应用软件部署后,数据库管理用户的设置应当注意对帐八的保护,超级用户口令不得为空或者为默认口令,对数据库帐号和组的权限应做相应的设置,如锁定一些默认的数据库用户,撤销不必要的权限B、数据库中关于应用软件用户权限和口令存储的相关表格,应尽量采用加密算法进行加密C、软件企业在进行软件产品研发时,开发人员通常为了方便在客户端与数据库通信时,均使用超级用户及默认口令访问数据库,这种方式带来严重的安全隐患,测试人员可以通过网络侦听技术活使用白盒测试进行测试,并且建议开发人员根据不同程序访问数据库的功能使用不同的数据库用户进行连接,且必须设置复杂的密码。
通信加密通常使用什么手段完成?(验证和侦听技术)安全日志应当记录哪些内容?记录用户访问系统的所有操作内容,如登录名称、登录ip、登录时间、浏览数据动作、修改数据动作、删除数据动作、退出时间等安全测试中应当检查安全日志的哪些方面?测试人员应根据业主要求和设计需求,对日志的完整性、正确性进行测试,测试安全日志是否包含该些内容,是否正确,并且对于大型的应用软件来说,系统是否提供了安全日志的智能分析能力,是否可以按照各种特征项进行日志统计,分析潜在的安全隐患,并且及时发现非法行为安全保护国家标准有哪几个级别?5个级别1、用户自主保护:普通内联网用户;2、系统审计级:内联和国际商务活动,需要保密的非重要单位;3、安全标记保护:地方级国家机关,金融,邮电,能源,交通,大型工商与it,重点工程;4、结构化保护:中央,广播电视,重要物资储备,社会应服务,尖端科技,国家科研国防高妹;5、访问验证:国防关键部门和依法需耍对计算机系统实施特殊隔离的单位。