2021年软件评测师押题密卷1

试卷预览

1 问答题 1分

阅读下列C程序，回答问题1至问题3，将解答填入答题纸的对应栏内。

【C程序】

int count(int x,int z){int y=0;while(x>0){ //lif(x==1) //2y=7; //3else{ //4y=x+z+4;if（y=7||y=21） //5，6x=1; //7}x--; //8}return y; //9}

问题1： （3分）

请针对上述C程序给出满足100%DC（判定覆盖）所需的逻辑条件。

问题2： （7分）

请画出上述程序的控制流图，并计算其控制流图的环路复杂度V(G)。

问题3： （5分）

请给出问题2中控制流图的线性无关路径。

查看答案 开始考试

正确答案：

本题解析：

问题1：

x>0；x＜=0

x==1；x!=1

y==7或者y==21；y!=7且y!=21

【解析】本题中的判定有x>0；x==1；y=7||y=21；三个判定点，所以要符合100%判定覆盖的要求，就需要使得每个判定结果的真假值都出现1次，即：x>0；x＜=0；x==1；x!=1；y==7或者y==21；y!=7且y!=21。

问题2：

V(g)=5

【解析】控制流图是描述程序控制流的一种图示方法。其基本符号有圆圈和箭线：圆圈为控制流图中的一个结点，表示一个或多个无分支的语句；带箭头的线段称为边或连接，表示控制流。基本结构如下所示：

控制流程图的环路复杂性 V(G)等于：

（1）控制流程图中的区域个数。

（2）边数-结点数+2。

（3）判定数+1。

所以，V(g)=5。

问题3：

线性无关路径是指包括一组以前没有处理的语句或条件的一条路径。从控制流图来看，一条线性无关路径是至少包含有一条在其他线性无关路径中从未有过的边的路径：

2 问答题 1分

阅读下列说明，回答问题1至问题3，将解答填入答题纸的对应栏内。【说明】某超市为迎接70周年国庆，举行了大型的促销活动，根据顾客购物的价位采取了不同等级的优惠活动，其规则如下表所示.：（1）购买满100元（100元及以上可享受，1-99元不打折）可以享受九折优惠；（2）购买满1000元（1000元及以上才可享受）可以享受八五折优惠；（3）购买超过10000（10000元及以上才可享受）元可以享受八折优惠。现在该商家开发一个软件，输入为商品总价：Money(1＜=X＜=100000，X取正整数)。

问题1：(6分)请采用等价类划分法为该软件设计测试用例(不考虑负数和小数的情况)问题2：(9分)请采用边界值分析法为该软件设计测试用例

问题3：(5分)列举除了等价类划分法和边界值分析法以外的五种常见的黑盒测试用例测试方法。

查看答案 开始考试

正确答案：

本题解析：

问题1：

用例1：0（写X＜1也可以）用例2：1~99中任意一个数用例3：100~999中任意一个数用例4：1000~9999中任意一个数用例5：10000-100000中的任意一个数用例6：100001（写X＞100000也可以）问题2：

0、1、2、98、99、100、101、998、999、1000、1001、9998、9999、10000、10001、99999、100000、100001问题3：

错误推测法、因果图法、判定表法、场景法、正交试验法，功能图法等任意五种即可。

【解析】

问题1：

本小题考查黑盒测试用例设计中的等价类划分法。等价类划分法：把程序的输入域划分成若干部分（子集），然后从每个部分中选取少数代表性数据作为测试用例。每一类的代表性数据在测试中的作用等价于这一类中的其他值。本题中主要范围限制为1＜=X＜=100000，即可以划分为两个无效等价类和一个有效等价类，但由于每一个小的等价类是单独处理的，因此需要再进一步的划分。划分等价类的6条原则：（1）在输入条件规定了取值范围或值的个数的情况下，可以确立一个有效等价类和两个无效等价类；（2）在输入条件规定了输入值的集合或者规定了必须如何的条件的情况下，可以确立一个有效等价类和一个无效等价类；（3）在输入条件是一个布尔量的情况下，可确定一个有效等价类和一个无效等价类；（4）在规定了输入数据的一组值（假定n个），并且程序要对每一个输入值分别处理的情况下，可确立n个有效等价类和一个无效等价类；（5）在规定了输入数据必须遵守的规则的情况下，可确立一个有效等价类（符合规则）和若干个无效等价类（从不同角度违反规则）；（6）在确知已划分的等价类中，各元素在程序处理中的方式不同的情况下，则再将该等价类进一步地划分为更小的等价类；问题2：

本小题考查黑盒测试用例设计中的边界值分析法。边界值分析法：对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界。边界值设计测试用例，应遵循的原则：（1）如果输入条件规定了值得范围，则应取刚达到这个范围的边界值，以及刚刚超过这个范围边界的值作为测试输入数据；（2）如果输入条件规定了值得个数，则用最大个数、最小个数、比最小个数少、比最大个数多1的数作为测试数据；（3）根据规格说明的每个输出条件，使用前面的原则（1）；（4）根据规格说明的每个输出条件，应用前面的原则（2）；（5）如果程序的规格说明给出的输入域或输出域是有序集合，则应选取集合的第一个元素和最后一个元素作为测试用例；（6）如果程序中使用了一个内部数据结构，则应当选择这个内部数据结构边界上的值作为测试用例；（7）分析规格说明，找出其他可能的边界条件；依据边界值设计测试用例的原则，测试用例应选择：0、1、2、98、99、100、101、998、999、1000、1001、9998、9999、10000、10001、99999、100000、100001问题3：

本小题考查常见的黑盒测试用例的设计方法。黑盒测试的方法有等价类划分、边界值分析、因果图法、判定表法、正交试验法、功能图法、场景法、错误推测法等。因此本题可选：错误推测法、因果图法、判定表法、正交试验法、功能图法、场景法中的任意5种即可。

3 问答题 1分

【说明】某药房为迎接20周年店庆，举行了大型的促销活动，根据顾客购物的价位采取了不同等级的优惠活动，其规则如下表所示.：（1）10元以下可以享受九五折优惠；（2）购买满10元（10元及以上才可享受）可以享受九折优惠；（3）购买满100（100元及以上才可享受）元可以享受八五折优惠。（4）购买满1000（1000元及以上才可享受）元可以享受八折优惠。现在该商家开发一个软件，输入为商品总价：Money(1＜=X＜=10000，X取正整数，最大值为10000)。

问题1：(6分)请采用等价类划分法为该软件设计测试用例(不考虑负数、特殊符号和其他小数的情况)问题2：(10分)请采用边界值分析法为该软件设计测试用例

问题3：(4分)列举除了等价类划分法和边界值分析法以外的四种常见的黑盒测试用例测试方法。

查看答案 开始考试

正确答案：

本题解析：

问题1：答案：用例1：0（写X＜1也可以）用例2：1~9中任意一个数用例3：10~99中任意一个数用例4：100~999中任意一个数用例5：1000-10000中的任意一个数用例6：10001（写X＞10000也可以）问题2：答案：0、1、2、8、9、10、11、98、99、100、101、998、999、1000、1001、9999、10000、10001问题3：答案：错误推测法、因果图法、判定表法、场景法、正交试验法，功能图法等任意四种即可。

【解析】

问题1：解析：本小题考查黑盒测试用例设计中的等价类划分法。等价类划分法：把程序的输入域划分成若干部分（子集），然后从每个部分中选取少数代表性数据作为测试用例。每一类的代表性数据在测试中的作用等价于这一类中的其他值。本题中主要范围限制为1＜=X＜=10000，即可以划分为一个有效等价类和两个无效等价类，但由于每一个小的等价类是单独处理的，因此需要再进一步的划分。划分等价类的6条原则：（1）在输入条件规定了取值范围或值的个数的情况下，可以确立一个有效等价类和两个无效等价类；（2）在输入条件规定了输入值的集合或者规定了必须如何的条件的情况下，可以确立一个有效等价类和一个无效等价类；（3）在输入条件是一个布尔量的情况下，可确定一个有效等价类和一个无效等价类；（4）在规定了输入数据的一组值（假定n个），并且程序要对每一个输入值分别处理的情况下，可确立n个有效等价类和一个无效等价类；（5）在规定了输入数据必须遵守的规则的情况下，可确立一个有效等价类（符合规则）和若干个无效等价类（从不同角度违反规则）；（6）在确知已划分的等价类中，各元素在程序处理中的方式不同的情况下，则再将该等价类进一步地划分为更小的等价类；问题2：解析：本小题考查黑盒测试用例设计中的边界值分析法。边界值分析法：对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界。边界值设计测试用例，应遵循的原则：（1）如果输入条件规定了值得范围，则应取刚达到这个范围的边界值，以及刚刚超过这个范围边界的值作为测试输入数据；（2）如果输入条件规定了值得个数，则用最大个数、最小个数、比最小个数少、比最大个数多1的数作为测试数据；（3）根据规格说明的每个输出条件，使用前面的原则（1）；（4）根据规格说明的每个输出条件，应用前面的原则（2）；（5）如果程序的规格说明给出的输入域或输出域是有序集合，则应选取集合的第一个元素和最后一个元素作为测试用例；（6）如果程序中使用了一个内部数据结构，则应当选择这个内部数据结构边界上的值作为测试用例；（7）分析规格说明，找出其他可能的边界条件；依据边界值设计测试用例的原则，测试用例应选择：0、1、2、8、9、10、11、98、99、100、101、998、999、1000、1001、9999、10000、10001问题3：解析：本小题考查常见的黑盒测试用例的设计方法。黑盒测试的方法有等价类划分、边界值分析、因果图法、判定表法、正交试验法、功能图法、场景法、错误推测法等。因此本题可选：错误推测法、因果图法、判定表法、正交试验法、功能图法、场景法中的任意4种即可。

4 问答题 1分

【说明】场景法是黑盒测试中重要的测试用例设计方法，通过场景描述业务流程（包括基本流（基本业务流程）和备选流（分支业务流程）），设计测试用例遍历软件系统功能，验证其正确性。。下面是对电子不停车收费系统（ETC）的基本流和备选流的描述。

【问题1】(8分) 使用场景法设计测试用例，指出所涉及到的基本流和备选流。基本流用A字母编号表示，备选流用表1-2中对应的字母编号表示。例如：T01：AT02：A．B【问题2】(12分) 针对问题1设计的测试用例，依次将初次读取车辆信息、最终读取车辆信息、账户号码、账户余额和账户状态等信息填入下述测试用例表中。表中行代表各个测试用例，列代表测试用例的输入值，用V表示有效数据元素，用I表示无效数据元素，n/a表示不适用，例如T01表示“成功通过”用例。

查看答案 开始考试

正确答案：

本题解析：

【问题1】

答案：（场景顺序可以任意，重复内容不计分） 共包括8个场景：T01：A （收费停车）T02：A、B （停车时，读取车辆信息出错）T03：A、C （停车时，账户不存在）T04：A、D （停车时，账户余额不足）T05：A、E （停车时，账户状态异常）T06：A、B、C （重复读才取得正确车辆信息，但出现账户不存在异常）T07：A、B、D （重复读才取得正确车辆信息，但出现账户余额不足）T08：A、B、E【问题2】

【解析】

【问题1】

本题主要考查黑盒测试中的场景法测试用例设计。 采用场景法来设计测试用例，其基本思想和依据是站在用户的角度上检测软件的功能，发现软件的错误。 基本流是指经过用例的最简单的路径（无任何差错，程序从开始直接执行到结束）。备选流是指：一个备选流可能从基本流开始，在某个特定条件下执行，然后重新加入基本流中；也可以起源于另一个备选流；或者终止用例而不再加入到基本流中（一般是各种错误情况）。使用场景法设计测试用例的基本步骤如下：（1）根据规格说明，描述出程序的基本流及各项备选流。（2）根据基本流和备选流确定场景。（3）对每一个场景生成相应的测试用例，可以采用矩阵或决策表来确定和管理测试用例。（4）对生成的测试用例进行复审，去掉多余或等价的测试用例，然后确定实际测试数据。在本题中，根据题目中已经确定的基本流与备选流，可以设计场景，每个场景覆盖一种在该案例中事件的不同触发顺序与处理结果形成的事件流，最后得出所有的测试用例。下面就根据电子不停车收费系统（ETC）的业务流程列出所有的测试用例和用例中所涉及的基本流与备选流。T01：A （收费停车）T02：A、B （停车时，读取车辆信息出错）T03：A、C （停车时，账户不存在）T04：A、D （停车时，账户余额不足）T05：A、E （停车时，账户状态异常）T06：A、B、C （重复读才取得正确车辆信息，但出现账户不存在异常）T07：A、B、D （重复读才取得正确车辆信息，但出现账户余额不足）T08：A、B、E （重复读才取得正确车辆信息，但账户状态异常）【问题2】

本题要求我们根据问题1设计的测试用例来完成本题的问题，那么根据题目的意思，用例T03存在账户不存在的异常，那么初次读取车辆信息是正常的，应该填V，而在该用例下，无需重复读取车辆信息，因此最终读取车辆信息应填n/a，当读取账户号码时出现异常，因此该空是无效信息（I），而再该用例下，没有进行账户余额和账户状态的判定，因此这两空都填不适用。同样的道理我们可以完成用例T04和T05。在用例T06中，他是重复读才读取到了车辆的信息，因此初次读取车辆信息不正常应该填I，然后重复读取车辆信息才读取到车辆信息，因此最终读取车辆信息应填V，当读取账户号码时出现异常，因此该空是无效信息（I），而在该用例下，没有进行账户余额和账户状态的判定，因此这两空都填不适用（n/a）。同样的道理可以完成用例T07和T08。具体见参考答案。

5 问答题 1分

某企业最近上线了ERP系统，该系统运行的网络环境如图所示。企业信息中心目前拟对该系统相关安全防护体系进行全面的安全性测试，以提供全面的安全测评报告。

问题1：企业ERP系统上线后，企业主要业务的日常运作都高度依赖该系统的正常运行，因此ERP系统的稳定性与可靠性对企业至关重要。故障恢复与容灾备份措施是提高系统稳定性与可靠性的重要因素。对于故障恢复与容灾备份措施，参与测试的王工认为应从故障恢复、数据备份和容灾备份等三个方面进行测试。请用300字以内文字，对这三方面的测试内容进行简要说明。

问题2：数据库服务器中目前主要存储ERP系统业务数据，后续还需要存储企业网站相关数据，当前ERP系统的用户认证方式包含口令认证方式，相应的用户权限和口令也存储在数据库二维表中。针对上述实际情况，参与测试的李工认为在对数据库权限进行测试时，除数据库账号保护及权限设置相关的常规测试外，还必须对敏感数据加密保护及对数据库访问方式进行相应测试。请用200字以内文字，对敏感数据加密保护和数据库访问方式两个方面的测试内容进行简要说明。

问题3：为对抗来自外网或内网的主动攻击，系统通常会采用多种安全防护策略，请给出四种常见的安全防护策略并进行简要解释。结合一种在图中明确标识出的安全防护策略机制，说明针对该机制的安全测试应包含哪些基本测试点。

查看答案 开始考试

正确答案：

本题解析：

问题1：对于故障恢复与容灾备份措施，应从以下三个方面进行测试：

①故障恢复：测试整个ERP系统是否存在单点故障；任何一台设备失效时，能否按照预定义的规则实现快速切换；是否采用磁盘镜像技术，实现主机系统到磁盘系统的高速连接。

②数据备份：ERP系统关键业务是否具备必要的双机热备或磁盘镜像等热备份机制；对于整个ERP业务，是否提供外部存储器备份和恢复机制，保证系统能够根据备份策略恢复到指定时间的状态。

③容灾备份：ERP系统是否建立异地容灾备份中心，当主中心发生灾难性事件时，可由备份中心接管所有业务；备份中心是否有足够的带宽确保与主中心的数据同步，是否有足够处理能力来接管主中心的业务，能否确保快速可靠地与主中心的应用切换。

12、敏感数据加密保护和数据库访问方式的测试内容为：

①敏感数据的加密保护：由于ERP系统的用户权限和口令存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护。

②数据库访问方式测试：是否为不同应用系统或业务设置不同的专门用户用于数据库访问，应杜绝在代码中使用超级用户及默认密码对数据库进行访问。

问题2:安全防护策略是软件系统对抗攻击的主要手段，常见的安全防护策略有以下四种：

①安全日志：安全曰志用于记录非法用户的登录名称、操作时间及内容等信息，以便发现问题并提出解决措施；安全日志仅记录相关信息，不对非法行为做出主动反应，属于被动防护的策略；

②入侵检测系统：入侵检测系统是一种主动的网络安全防护措施，从系统内部或各种网络资源中主动采集信息，从中分析可能的网络入侵或攻击，通常入侵检测系统还应对入侵行为做出紧急响应；

③漏洞扫描：漏洞扫描是对软件系统及网络系统进行与安全相关的检测，以找出安全隐患和可被黑客利用的漏洞；

④隔离防护：隔离防护是将系统中的安全部分与非安全部分进行隔离的措施，主要的技术手段有防火墙和隔离网闸等，其中防火墙主要用于内网和外网的逻辑隔离，而网闸则主要用于实现内网和外网的物理隔离。

问题3：图中明确标识出的安全防护策略机制为防火墙和入侵检测系统。(可选择防火墙或入侵检测系统中的任一机制描述相应安全测试的测试点)

针对防火墙的测试点：

(1)是否支持交换和路由两种工作模式；

(2)是否支持对FTP、HTTP、SMTP等服务类型的访问控制；

(3)是否考虑防火墙的冗余设计；

(4)是否支持对日志的统计分析功能，日志是否可存储在本地或网络数据库中；

(5)对防火墙或受保护内网的非法攻击，是否提供多种告警方式和多种级别的告警。

针对入侵检测系统的测试点：

①能否在检测到入侵事件时，自动执行切断服务、记录入侵过程、报警等动作；

②是否支持攻击特征信息的集中式发布和攻击取证信息的分布式上载；

③能否提供多种方式对监视引擎和检测特征进行定期更新；

④内置的网络能否使用状态监控工具或网络监听工具。

【解析】

软件系统的安全性是信息安全的一个重要组成部分，针对程序和数据的安全性测试与评估是软件安全性测试的重要内容，本题考查软件安全性测试的相关知识。

1．本问题考查故障恢复与容灾备份措施测试内容。

针对故障恢复与容灾备份措施的安全性测试一般包括故障恢复、数据备份与容灾备份三个测试点，其包含的基本测试内容为：

①故障恢复：整个系统是否存在单点故障；对于关键应用系统，当任何一台设备失效时，能否按照预定义的规则实现快速切换；是否采用磁盘镜像技术，实现主机系统到磁盘系统的高速连接；

②数据备份：对于关键业务，是否具备必要的双机热备或磁盘镜像等热备份机制；对于所有业务，是否提供外部存储器备份和恢复机制，保证系统能够根据备份策略恢复到指定时间的状态；

③容灾备份：是否建立异地容灾备份中心，当主中心发生灾难性事件时，可由备份中心接管所有业务；备份中心是否有足够的带宽确保与主中心的数据同步，是否有足够处理能力来接管主中心的业务，能否确保快速可靠地与主中心的应用切换。

2．本问题考查考生对数据库权限测试内容的理解。

根据本题说明，ERP系统的用户权限和口令信息存储在数据库中，因此需要测试相应敏感数据是否采用加密算法进行加密保护：而数据库中还需要存储ERP系统之外的其他系统业务数据，因此应为不同应用系统或业务设置不同的专门用户用于数据库访问，且应杜绝在代码中使用超级用户及默认密码对数据库进行访问。

3．本问题考查基本的安全防护策略的相关知识。

安全防护策略是软件系统对抗来自外网或内网的主动攻击的主要手段，常见的安全防护策略包括安全日志、入侵检测、隔离防护与漏洞扫描等，本题首先要求考生对常见安全防护策略的有基本的理解，了解其基本原理与主要措施。

图中明确标识出的安全防护策略机制为防火墙和入侵检测系统，考生可自主选择其中一种，描述对其进行安全性测试时需要完成的测试点。