(吐血整理)最全信息系統(tǒng)項(xiàng)目管理師考試答題技巧和復(fù)習(xí)重點(diǎn).docx

信息系統(tǒng)項(xiàng)目管理師考試答題技巧和復(fù)習(xí)重點(diǎn)一.上午的選擇題技巧對于沒有確定把握的題，按自己的第一選擇1.概念、公式類題目，答案選最長的2.選擇某一選項(xiàng)為其他選項(xiàng)合集的3.如果選項(xiàng)中有二選項(xiàng)相背，則答案位于其中4.選擇提干與核心詞匯一致的5.模型相關(guān)的選擇題：帶有循環(huán)、原型驅(qū)動等關(guān)鍵詞的選擇螺旋模型；需求確定、傳統(tǒng)的選擇瀑布原型；需求不確定、面向?qū)ο蟮倪x擇迭代模型或者噴泉模型6.要掌握5類計(jì)算，如下：1）靜態(tài)回收期/投資回報率2）動態(tài)回收期/投資收益率3）關(guān)鍵路徑和活動6參數(shù)4）三點(diǎn)估算5）掙值分析績效控制6）決策樹二.下午案例分析1.三個基本觀點(diǎn) 1)項(xiàng)目以階段化管理，迭代開發(fā)為主線 2)以范圍、質(zhì)量、成本、周期之間相互約束，保持平衡為主線 3)項(xiàng)目的結(jié)構(gòu)化管理，要具備良好的請示匯報關(guān)系，保障責(zé)任唯一性2.如果你實(shí)在是不知道怎么寫，還可以從案例中找出錯誤的地方，然后往正確方向?qū)?，估?jì)也能得及格分3.四種答題思路一、職能/機(jī)構(gòu)的作用：1）統(tǒng)一組織，建立良好的請示匯報關(guān)系，建立相關(guān)職能崗位的說明書。2）統(tǒng)一流程，制訂該組織工作的制度，行為規(guī)范。3）通一績效，制訂嚴(yán)格的考核體系，實(shí)行獎懲制度。二、計(jì)劃編制類1）識別計(jì)劃目標(biāo)、約束等因素。2）采用合理方法、工具等支持編制。3）做好計(jì)劃的相關(guān)干系人共同參與的評審，形成計(jì)劃基線。4）做好計(jì)劃的跟蹤控制，持續(xù)優(yōu)化改進(jìn)。三、控制類1）建立干系人認(rèn)可的計(jì)劃或基線。2）識別偏差：以定期等工作方式收集相關(guān)問題。3）分析偏差：做好相關(guān)問題剖析。4）糾正偏差：制定相關(guān)問題的改正措施。5）制定新的計(jì)劃：通過相關(guān)干系人協(xié)商，將問題改正措施納入到后期計(jì)劃或基線中。四、評估/評審類1）識別相關(guān)關(guān)注點(diǎn)或需求。2）制定反映關(guān)注點(diǎn)或需求的指標(biāo)體系。3）根據(jù)項(xiàng)目特點(diǎn)，確定指標(biāo)權(quán)重。4）制定指標(biāo)的度量準(zhǔn)則，形成評審或評估的操作規(guī)程。三.下午論文掌握一個框架：論文八段式結(jié)構(gòu) 1）摘要 2）項(xiàng)目背景與崗位工作說明 3）在項(xiàng)目實(shí)施過程出現(xiàn)的問題，你作為什么角色，如何解決了問題 4）首先，針對某某問題，項(xiàng)目出現(xiàn)的矛盾，如何解決，解決的效果 5）其次，。 6）再次，。 7）項(xiàng)目驗(yàn)收與項(xiàng)目干系人的滿意程度 8）展望，說出對于其他項(xiàng)目的借鑒作用高項(xiàng)考試答題技巧：1）對項(xiàng)目管理知識結(jié)構(gòu)要熟悉要做題2）還有技術(shù)部分也是3）法律法規(guī)是考前2周突擊的4）組織級管理比較簡單也可以做一做題，做題是幫助你建立知識結(jié)構(gòu)的。5）論文一定要背44個子過程，需要寫子過程的輸入輸出和工具方法。不要花太多時間在論文上面，參照下午輔導(dǎo)的5-4星級范文（281頁）寫2片論文提交上來，這就相當(dāng)于考試時的模板套路了。案例分析需要從題干找線索，有思路就行。案例分析（形式化技巧）1）答題要編號2）答題時盡可能多用術(shù)語3）每條至少十五字4）空白之處要寫滿5）卷面整潔干凈不出現(xiàn)任何涂改痕跡（形式比內(nèi)容更重要）千萬不要用英文代替6）根據(jù)題干找答案7）問題前后是有關(guān)聯(lián)的，看完題目再作答8）輸入輸出論文寫作的建議：注意論文不能創(chuàng)新，必須要按照套路來寫。論文寫作的過程中不能有停頓，否則寫作的時間就會不夠，所以必須練習(xí)。看已發(fā)書的下午輔導(dǎo)：232頁：論文框架背景+知識應(yīng)用（理論聯(lián)系實(shí)際）+總結(jié)379頁：看B.2論文評分標(biāo)準(zhǔn)B，了解評分標(biāo)準(zhǔn)。233頁：論文布局先寫摘要一定要按照套路寫235頁正文寫法：1.背景（準(zhǔn)備800字）需要寫明業(yè)務(wù)內(nèi)容、工期等體現(xiàn)項(xiàng)目的真實(shí)性項(xiàng)目周期一般為：6-12個月，項(xiàng)目金額：軟件項(xiàng)目100-1000萬，硬件項(xiàng)目1億左右，一定要寫明自己在項(xiàng)目中的職務(wù)是項(xiàng)目經(jīng)理。不要有圖、表、流程圖。2.知識點(diǎn)應(yīng)用（1000-1500字占正文的一半左右）每個子過程都需要單獨(dú)標(biāo)題分條敘述考試時不能打括號說明工具和方法需要舉1-2個例子，例子一定要具體不要用XX代替。主要就是羅列輸入輸出方法后把實(shí)際工作經(jīng)驗(yàn)鑲嵌進(jìn)去。3.項(xiàng)目總結(jié)可以先對前面的知識點(diǎn)應(yīng)用回顧一遍，再指出不足。寫總結(jié)時一定不能謙虛，對項(xiàng)目的評價都是好上加好略有不足，而且這些不足不能反映實(shí)際問題，最好是一些隔靴搔癢、可有可無的問題。附言：最新版的招標(biāo)法（采購法合同法監(jiān)理等）、軟件工程規(guī)范的文檔、綜合布線、機(jī)房規(guī)范、技術(shù)部分（較難，軟件占80%）、配置管理這些老師建議在考前2周看一下，這些內(nèi)容都在作業(yè)系統(tǒng)的資料下載里面有個壓縮文件夾“曹老師補(bǔ)充上課資料（最新）”里面能夠找到。這個是上課時老師講到的我?guī)痛蠹铱偨Y(jié)了一下希望能對大家有幫助?！俺绦蛄鞒虉D、數(shù)據(jù)流程圖等”是結(jié)構(gòu)化方法使用的主要分析設(shè)計(jì)工具，而“先開發(fā)一個簡化系統(tǒng)，待用戶認(rèn)可后再開發(fā)最終系統(tǒng)”則是原型法的特征。安全審計(jì)屬于安全管理類產(chǎn)品，安全審計(jì)產(chǎn)品主要包括主機(jī)類、網(wǎng)絡(luò)類及數(shù)據(jù)庫類和業(yè)務(wù)應(yīng)用系統(tǒng)級的審計(jì)產(chǎn)品。國家電子政務(wù)總體框架的構(gòu)成包括：服務(wù)與應(yīng)用系統(tǒng)、信息資源、基礎(chǔ)設(shè)施、法律法規(guī)與標(biāo)準(zhǔn)化體系、管理體制；推進(jìn)國家電子政務(wù)建設(shè)，服務(wù)是宗旨，應(yīng)用是關(guān)鍵，信息資源開發(fā)利用是主線，基礎(chǔ)設(shè)施是支撐，法律法規(guī)、標(biāo)準(zhǔn)化體系、管理體制是保障。V 模型的價值在于它非常明確地標(biāo)明了測試過程中存在的不同級別，并且清楚地描述了這些測試階段和開發(fā)各階段的對應(yīng)關(guān)系。(1)單元測試的主要目的是針對編碼過程中可能存在的各種錯誤，例如用戶輸入驗(yàn)證過程中的邊界值的錯誤。(2)集成測試主要目的是針對詳細(xì)設(shè)計(jì)中可能存在的問題，尤其是檢查各單元與其他程序部分之間的接口上可能存在的錯誤。(3)系統(tǒng)測試主要針對概要設(shè)計(jì)，檢查系統(tǒng)作為一個整體是否有效地得到運(yùn)行，例如在產(chǎn)品設(shè)置中是否能達(dá)到預(yù)期的高性能。(4)驗(yàn)收測試通常由業(yè)務(wù)專家或用戶進(jìn)行，以確認(rèn)產(chǎn)品能真正符合用戶業(yè)務(wù)上的需要。在不同的開發(fā)階段，會出現(xiàn)不同類型的缺陷和錯誤，所以需要不同的測試技術(shù)和方法來發(fā)現(xiàn)這些缺陷。結(jié)構(gòu)化開發(fā)方法五個階段的主要內(nèi)容用結(jié)構(gòu)化系統(tǒng)開發(fā)方法開發(fā)一個系統(tǒng)，將整個開發(fā)過程劃分為五個首尾相連接的階段，一般稱之為系統(tǒng)開發(fā)的生命周期，系統(tǒng)開發(fā)的生命周期分為系統(tǒng)規(guī)劃、系統(tǒng)分析、系統(tǒng)設(shè)計(jì)、系統(tǒng)實(shí)施、系統(tǒng)運(yùn)行和維護(hù)五個階段。1系統(tǒng)規(guī)劃系統(tǒng)規(guī)劃的主要內(nèi)容包括：企業(yè)目標(biāo)的確定解決目標(biāo)的方式的確定信息系統(tǒng)目標(biāo)的確定信息系統(tǒng)主要結(jié)構(gòu)的確定工程項(xiàng)目的確定可行性研究等2系統(tǒng)分析系統(tǒng)分析的主要內(nèi)容包括：數(shù)據(jù)的收集數(shù)據(jù)的分析系統(tǒng)數(shù)據(jù)流程圖的確定系統(tǒng)方案的確定等系統(tǒng)分析階段是整個MIS建設(shè)的關(guān)鍵階段。3系統(tǒng)設(shè)計(jì)系統(tǒng)設(shè)計(jì)的主要內(nèi)容包括：系統(tǒng)流程圖的確定程序流程圖的確定編碼輸入、輸出設(shè)計(jì)文件設(shè)計(jì)程序設(shè)計(jì)等4系統(tǒng)實(shí)施系統(tǒng)實(shí)施的主要內(nèi)容包括：硬件設(shè)備的購買硬件設(shè)備的安裝數(shù)據(jù)準(zhǔn)備程序的調(diào)試系統(tǒng)測試與轉(zhuǎn)換人員培訓(xùn)等5系統(tǒng)運(yùn)行與維護(hù)系統(tǒng)運(yùn)行與維護(hù)的主要內(nèi)容包括：系統(tǒng)投入運(yùn)行后的管理及維護(hù)系統(tǒng)建成前后的評價發(fā)現(xiàn)問題并提出系統(tǒng)更新的請求等軟件需求的具體內(nèi)容計(jì)算機(jī)軟件需求說明編制指南GB/T9385中定義了需求的具體內(nèi)容，包括：（1功能需求：指描述軟件產(chǎn)品的輸入怎樣變換成輸出即軟件必須完成的基本動作。對于每一類功能或者有時對于每一個功能需要具體描述其輸入、加工和輸出的需求。（2性能需求：從整體來說本條應(yīng)具體說明軟件或人與軟件交互的靜態(tài)或動態(tài)數(shù)值需求。靜態(tài)數(shù)值需求可能包括：支持的終端數(shù)支付并行操作的用戶數(shù)處理的文卷和記錄數(shù)表和文卷的大小動態(tài)數(shù)值需求可包括欲處理的事務(wù)和任務(wù)的數(shù)量，以及在正常情況下和峰值工作條件下一定時間周期中處理的數(shù)據(jù)總量。所有這些需求都必須用可以度量的術(shù)語來敘述。例如，95%的事務(wù)必須在小于1s時間內(nèi)處理完，不然操作員將不等待處理的完成。（3設(shè)計(jì)約束：設(shè)計(jì)約束受其他標(biāo)準(zhǔn)、硬件限制等方面的影響。（4屬性：在軟件的需求之中有若干個屬性如可移植性、正確性、可維護(hù)性及安全性等。（5外部接口需求：包括用戶接口、硬件接口、軟件接口、通信接口。（6其他需求：根據(jù)軟件和用戶組織的特性等某些需求放在數(shù)據(jù)庫、用戶要求的常規(guī)的和特殊的操作、場合適應(yīng)性需求中描述。由此可知：對特定范圍內(nèi)修改所需的時間不超過3秒性能需求。按照訂單及原材料情況自動安排生產(chǎn)排序功能需求。系統(tǒng)能夠同時支持1000個獨(dú)立站點(diǎn)的并發(fā)訪問性能需求。系統(tǒng)可實(shí)現(xiàn)對多字符集的支持，包括GBK, BIG5和UTF-8等設(shè)計(jì)約束。定期生成銷售分析報表功能需求系統(tǒng)實(shí)行同城異地雙機(jī)備份，保障數(shù)據(jù)安全設(shè)計(jì)約束。軟件需求的3 個層次：業(yè)務(wù)需求、用戶需求和功能需求軟件需求包括 3 個不同的層次業(yè)務(wù)需求、用戶需求和功能需求。除此之外，每個系統(tǒng)還有各種非功能需求。業(yè)務(wù)需求（ Business requirement ）表示組織或客戶高層次的目標(biāo)。業(yè)務(wù)需求通常來自項(xiàng)目投資人、購買產(chǎn)品的客戶、實(shí)際用戶的管理者、市場營銷部門或產(chǎn)品策劃部門。業(yè)務(wù)需求描述了組織為什么要開發(fā)一個系統(tǒng)，即組織希望達(dá)到的目標(biāo)。使用前景和范圍（ vision and scope ）文檔來記錄業(yè)務(wù)需求，這份文檔有時也被稱作項(xiàng)目輪廓圖或市場需求（ project charter 或 market requirement ）文檔。用戶需求（ user requirement ）描述的是用戶的目標(biāo)，或用戶要求系統(tǒng)必須能完成的任務(wù)。用例、場景描述和事件響應(yīng)表都是表達(dá)用戶需求的有效途徑。也就是說用戶需求描述了用戶能使用系統(tǒng)來做些什么。功能需求（ functional requirement ）規(guī)定開發(fā)人員必須在產(chǎn)品中實(shí)現(xiàn)的軟件功能，用戶利用這些功能來完成任務(wù)，滿足業(yè)務(wù)需求。功能需求有時也被稱作行為需求（ behavioral requirement ），因?yàn)榱?xí)慣上總是用“應(yīng)該”對其進(jìn)行描述：“系統(tǒng)應(yīng)該發(fā)送電子郵件來通知用戶已接受其預(yù)定”。功能需求描述是開發(fā)人員需要實(shí)現(xiàn)什么。系統(tǒng)需求（ system requirement ）用于描述包含多個子系統(tǒng)的產(chǎn)品（即系統(tǒng)）的頂級需求。系統(tǒng)可以只包含軟件系統(tǒng)，也可以既包含軟件又包含硬件子系統(tǒng)。人也可以是系統(tǒng)的一部分，因此某些系統(tǒng)功能可能要由人來承擔(dān)。業(yè)務(wù)規(guī)則包括企業(yè)方針、政府條例、工業(yè)標(biāo)準(zhǔn)、會計(jì)準(zhǔn)則和計(jì)算方法等。業(yè)務(wù)規(guī)劃本身并非軟件需求，因?yàn)樗鼈儾粚儆谌魏翁囟ㄜ浖到y(tǒng)的范圍。然而，業(yè)務(wù)規(guī)則常常會限制誰能夠執(zhí)行某些特定用例，或者規(guī)定系統(tǒng)為符合相關(guān)規(guī)則必須實(shí)現(xiàn)某些特定功能。有時，功能中特定的質(zhì)量屬性（通過功能實(shí)現(xiàn)）也源于業(yè)務(wù)規(guī)則。所以，對某些功能需求進(jìn)行追溯時，會發(fā)現(xiàn)其來源正是一條特定的業(yè)務(wù)規(guī)則。功能需求記錄在軟件需求規(guī)格說明（ SRS ）中。 SRS 完整地描述了軟件系統(tǒng)的預(yù)期特性。 SRS 我們一般把它當(dāng)作文檔，其實(shí)， SRS 還可以是包含需求信息的數(shù)據(jù)庫或電子表格；或者是存儲在商業(yè)需求管理工具中的信息；而對于小型項(xiàng)目，甚至可能是一疊索引卡片。開發(fā)、測試、質(zhì)量保證、項(xiàng)目管理和其他相關(guān)的項(xiàng)目功能都要用到 SRS 。除了功能需求外， SRS 中還包含非功能需求，包括性能指標(biāo)和對質(zhì)量屬性的描述。質(zhì)量屬性（ quality attribute ）對產(chǎn)品的功能描述作了補(bǔ)充，它從不同方面描述了產(chǎn)品的各種特性。這些特性包括可用性、可移植性、完整性、效率和健壯性，它們對用戶或開發(fā)人員都很重要。其他的非功能需求包括系統(tǒng)與外部世界的外部界面，以及對設(shè)計(jì)與實(shí)現(xiàn)的約束。約束（ constraint ）限制了開發(fā)人員設(shè)計(jì)和構(gòu)建系統(tǒng)時的選擇范圍。產(chǎn)品特性。所謂 特性（ feature ），是指一組邏輯上相關(guān)的功能需求，它們?yōu)橛脩籼峁┠稠?xiàng)功能，使業(yè)務(wù)目標(biāo)得以滿足。對商業(yè)軟件而言，特性則是一組能被客戶識別，并幫助他決定是否購買的需求，也就是產(chǎn)品說明書中用著重號標(biāo)明的部分?？蛻粝Ｍ玫降漠a(chǎn)品特性和用戶的任務(wù)相關(guān)的需求不完全是一回事。一項(xiàng)特性可以包括多個用例，每個用例又要求實(shí)現(xiàn)多項(xiàng)功能需求，以便用戶能夠執(zhí)行某項(xiàng)任務(wù)。還有一項(xiàng)稱為可用性（ usability ）的質(zhì)量屬性，它規(guī)定了業(yè)務(wù)需求中“有效”（ efficiently ）一詞的含義。管理人員或市場營銷人員負(fù)責(zé)定義軟件的業(yè)務(wù)需求，以提高公司的運(yùn)營效率（對信息系統(tǒng)而言）或產(chǎn)品的市場競爭力（對商業(yè)軟件而言）。所有的用戶需求都必須符合業(yè)務(wù)需求。需求分析員從用戶需求中推導(dǎo)出產(chǎn)品應(yīng)具備哪些對用戶有幫助的功能。開發(fā)人員則根據(jù)功能需求和非功能需求設(shè)計(jì)解決方案，在約束條件的限制范圍內(nèi)實(shí)現(xiàn)必需的功能，并達(dá)到規(guī)定的質(zhì)量和性能指標(biāo)。 當(dāng)一項(xiàng)新的特性、用例或功能需求被提出時，需求分析員必須思考一個問題：“它在范圍內(nèi)嗎？”。如果答案是肯定的，則該需求屬于需求規(guī)格說明，反之則不屬于。但答案也許是“不在，但應(yīng)該在”，這時必須由業(yè)務(wù)需求的負(fù)責(zé)人或投資管理人來決定：是否擴(kuò)大項(xiàng)目范圍以容納新的需求。這是一個可能影響項(xiàng)目進(jìn)度和預(yù)算的商業(yè)決策。軟件需求分析方法需求分析方法有：(1)結(jié)構(gòu)化分析方法：包括面向數(shù)據(jù)流的結(jié)構(gòu)化分析方法，面向數(shù)據(jù)流結(jié)構(gòu)的Jackson方法和面向數(shù)據(jù)結(jié)構(gòu)的結(jié)構(gòu)化數(shù)據(jù)系統(tǒng)開發(fā)方法。(2)面向?qū)ο蟮姆治龇椒ǎ簭男枨蠓治鼋⒌哪Ｐ偷奶匦詠矸?，需求分析方法又分為靜態(tài)分析方法和動態(tài)分析方法。結(jié)構(gòu)化分析方法結(jié)構(gòu)化分析方法的實(shí)質(zhì)是著眼于數(shù)據(jù)流，自頂向下，逐層分解，建立系統(tǒng)的處理流程，以數(shù)據(jù)流圖和數(shù)據(jù)字典為主要工具，建立系統(tǒng)的邏輯模型。結(jié)構(gòu)化分析的步驟如下：(1)通過對用戶的調(diào)查，以軟件的需求為線索，獲得當(dāng)前系統(tǒng)的具體模型(2)去掉具體模型中非本質(zhì)因素，抽象出當(dāng)前系統(tǒng)的邏輯模型(3)根據(jù)計(jì)算機(jī)的特點(diǎn)分析當(dāng)前系統(tǒng)與目標(biāo)系統(tǒng)的差別，建立目標(biāo)系統(tǒng)的邏輯模型(4)完善目標(biāo)系統(tǒng)并補(bǔ)充細(xì)節(jié)，寫出目標(biāo)系統(tǒng)的軟件需求規(guī)格說明(5)評審直到確認(rèn)完全符合用戶對軟件的需求面向?qū)ο蟮男枨蠓治龇椒嫦驅(qū)ο蟮男枨蠓治龇椒ǖ暮诵氖抢妹嫦驅(qū)ο蟮母拍詈头椒檐浖枨蠼ㄔ炷Ｐ?。它包含面向?qū)ο箫L(fēng)格的圖形語言機(jī)制和用于指導(dǎo)需求分析的面向?qū)ο蠓椒▽W(xué)。軟件過程管理軟件工程管理集成了過程管理和項(xiàng)目管理，包括以下6個方面。1啟動和范圍定義進(jìn)行啟動軟件工程項(xiàng)目的活動并作出決定。通過各種方法來有效地確定軟件需求，并從不同的角度評估項(xiàng)目的可行性。一旦可行性建立后，余下的任務(wù)就是需求驗(yàn)證和變更流程的規(guī)范說明。2軟件項(xiàng)目計(jì)劃從管理的角度，進(jìn)行為成功的軟件工程作準(zhǔn)備而要采取的活動。使用迭代方式制訂計(jì)劃。要點(diǎn)在于評價并確定適當(dāng)?shù)能浖芷谶^程，并完成相關(guān)的工作。3。軟件項(xiàng)目實(shí)施進(jìn)行軟件工程過程中發(fā)生的各種軟件工程管理活動。實(shí)施項(xiàng)目計(jì)劃，最重要的是遵循計(jì)劃，井完成相關(guān)的工作。4評審和評價進(jìn)行確認(rèn)軟件是否得到滿足的驗(yàn)證活動。 5關(guān)閉進(jìn)行軟件工程項(xiàng)目完成后的活動。在這一階段，重新審查項(xiàng)目成功的準(zhǔn)則。一旦關(guān)閉成立，進(jìn)行歸檔、事后分析和過程改進(jìn)活動。6軟件工程度量進(jìn)行在軟件工程組織中有效地開發(fā)和實(shí)現(xiàn)度量的程序。軟件質(zhì)量保證體系對于軟件質(zhì)量保證，一個正規(guī)的定義是：軟件質(zhì)量保證是一系列活動，這些活動能夠提供整個軟件產(chǎn)品的適用性的證明。要實(shí)現(xiàn)軟件質(zhì)量保證，就需要使用為確保一致性和延長的軟件周期而建立的質(zhì)量控制規(guī)則。而質(zhì)量保證、質(zhì)量控制、審核功能以及軟件測試之間的關(guān)系經(jīng)常容易使人迷惑為了生產(chǎn)出滿足客戶需求的產(chǎn)品，就必須遵循一定的過程。質(zhì)量保證是一系列的支持措施，有了這些措施，這些過程的建立和改進(jìn)就有了保障。在質(zhì)量保證的過程中，產(chǎn)品質(zhì)量將和可用的標(biāo)準(zhǔn)相比較，同時也要和不一致產(chǎn)生時的行為相比較。而審核則是一個檢查/評估的活動，用以驗(yàn)證與計(jì)劃、原則以及過程的一致性。軟件質(zhì)量保證是一種計(jì)劃好的行為，它可以保證軟件滿足評測標(biāo)準(zhǔn)，并且 具體項(xiàng)目所需要的特性，例如可移植性、高效性、復(fù)用性和靈活性。它是一些活動和功能的集合，這些活動和功能用來監(jiān)控軟件項(xiàng)目，從而能夠?qū)崿F(xiàn)預(yù)計(jì)的目標(biāo)。它不僅僅是軟件質(zhì)量保證組的責(zé)任，項(xiàng)目經(jīng)理、項(xiàng)目組長、項(xiàng)目人員以及用戶都可以參與到其中。質(zhì)量保證是用來管理質(zhì)量的?！氨ＷC”這個詞也就意味著，如果遵循了一定的過程，管理者就能夠確保產(chǎn)品的質(zhì)量。質(zhì)量保證也是一個接觸反應(yīng)式的功能，它能激起管理者以及工作人員對于質(zhì)量的積極態(tài)度。成功的軟件保證管理者懂得如何使人們關(guān)心質(zhì)量，并深深懂得質(zhì)量對于個人和組織具有何等重要的意義。要實(shí)現(xiàn)軟件質(zhì)量的目標(biāo)，主要是需要遵循軟件質(zhì)量控制計(jì)劃。為了確保每個里程碑twf3所提交的文檔和產(chǎn)品都具有高質(zhì)量，項(xiàng)目就必須引入一些方法來使之得到保證。而這些方法就在軟件質(zhì)量控制計(jì)劃中進(jìn)行聲明。這一外在的方式會保證一些步驟得到實(shí)施，而這些步驟的目的也就是要獲得軟件質(zhì)量并且能對那些行為的文檔進(jìn)行管理。這個計(jì)劃也制定了評測標(biāo)準(zhǔn)，這些評測標(biāo)準(zhǔn)用于檢測而不是僅僅設(shè)定一個不可能完成的目標(biāo)，例如，希望生產(chǎn)一個零缺陷的軟件或者百分之百可以信賴的軟件。軟件質(zhì)量保證是一種風(fēng)險管理的策略。因?yàn)檐浖|(zhì)量的成本很高，需要納入到項(xiàng)目的正規(guī)的風(fēng)險管理中來，所以軟件質(zhì)量保證的存在是非常有必要的。下面是一些較差的軟件質(zhì)量的例子：1被分發(fā)出去的軟件頻繁地出現(xiàn)故障。2系統(tǒng)失敗導(dǎo)致不可接受的結(jié)果，這種結(jié)果可以是經(jīng)濟(jì)上的損失或者是危及生命的情況。3在需要執(zhí)行預(yù)定功能時，系統(tǒng)不可用。4系統(tǒng)增強(qiáng)的成本非常的高。5檢測和缺陷糾正的成本過高。盡管大部分的質(zhì)量風(fēng)險都和缺陷有關(guān)，但相對需求而言，系統(tǒng)失敗的地方就是一個缺陷。如果需求本身不夠完整，甚至是錯誤的，那么缺陷的風(fēng)險就更大。而這樣所導(dǎo)致的結(jié)果就是許許多多內(nèi)在的缺陷和不能被查證的產(chǎn)品。一些風(fēng)險管理策略和技術(shù)包括了軟件測試、技術(shù)復(fù)查、同等復(fù)查以及符合程度的查證。軟件可靠性和可維護(hù)性測試評審時要考慮：1、針對可靠性和可維護(hù)性的測試目標(biāo)2、測試方法3、測試用例4、測試工具5、測試通過標(biāo)準(zhǔn)6、測試報告信息系統(tǒng)安全風(fēng)險評估是通過數(shù)字化的資產(chǎn)評估準(zhǔn)則完成的，它通常會覆蓋人員安全、人員信息、公共秩序等方面的各個要素，1、人員安全2、人員信息3、立法及規(guī)章所確定的義務(wù)4、法律的強(qiáng)制性5、商業(yè)及經(jīng)濟(jì)的利益6、金融損失對業(yè)務(wù)活動的干擾7、公共秩序8、業(yè)務(wù)政策及操作9、信譽(yù)的損害清華信息系統(tǒng)項(xiàng)目管理師教程第二版 P565.軟件設(shè)計(jì)與軟件設(shè)計(jì)內(nèi)容軟件設(shè)計(jì)是把許多事物和問題抽象起來，并且抽象它們不同的層次和角度。建議用數(shù)學(xué)語言來抽象事務(wù)和問題，因?yàn)閿?shù)學(xué)是最好的抽象語言，并且它的本質(zhì)就是抽象。將復(fù)雜的問題分解成可以管理的片斷會更容易。將問題或事物分解并模塊化這使得解決問題變得容易，分解的越細(xì)模塊數(shù)量也就越多，它的副作用就是使得設(shè)計(jì)者考慮更多的模塊之間耦合度的情況。軟件設(shè)計(jì)包括軟件的結(jié)構(gòu)設(shè)計(jì)，數(shù)據(jù)設(shè)計(jì)，接口設(shè)計(jì)和過程設(shè)計(jì)。結(jié)構(gòu)設(shè)計(jì)是指：定義軟件系統(tǒng)各主要部件之間的關(guān)系。數(shù)據(jù)設(shè)計(jì)是指：將模型轉(zhuǎn)換成數(shù)據(jù)結(jié)構(gòu)的定義。接口設(shè)計(jì)是指：軟件內(nèi)部，軟件和操作系統(tǒng)間以及軟件和人之間如何通信。過程設(shè)計(jì)是指：系統(tǒng)結(jié)構(gòu)部件轉(zhuǎn)換成軟件的過程描述。軟件測試原則一，測試應(yīng)該盡早進(jìn)行，最好在需求階段就開始介入，因?yàn)樽顕?yán)重的錯誤不外乎是系統(tǒng)不能滿足用戶的需求。二，程序員應(yīng)該避免檢查自己的程序，軟件測試應(yīng)該由第三方來負(fù)責(zé)。三，設(shè)計(jì)測試用例時應(yīng)考慮到合法的輸入和不合法的輸入以及各種邊界條件，特殊情況下要制造極端狀態(tài)和意外狀態(tài)，如網(wǎng)絡(luò)異常中斷、電源斷電等。四，應(yīng)該充分注意測試中的群集現(xiàn)象。五，對錯誤結(jié)果要進(jìn)行一個確認(rèn)過程。一般由A測試出來的錯誤，一定要由B來確認(rèn)。嚴(yán)重的錯誤可以召開評審會議進(jìn)行討論和分析，對測試結(jié)果要進(jìn)行嚴(yán)格地確認(rèn)，是否真的存在這個問題以及嚴(yán)重程度等。六，制定嚴(yán)格的測試計(jì)劃。一定要制定測試計(jì)劃，并且要有指導(dǎo)性。測試時間安排盡量寬松，不要希望在極短的時間內(nèi)完成一個高水平的測試。七，妥善保存測試計(jì)劃、測試用例、出錯統(tǒng)計(jì)和最終分析報告，為維護(hù)提供方便。軟件文檔開發(fā)文檔開發(fā)文檔是描述軟件開發(fā)過程，包括軟件需求、軟件設(shè)計(jì)、軟件測試、保證軟件質(zhì)量的一類文檔，開發(fā)文檔也包括軟件的詳細(xì)技術(shù)描述、程序邏輯程序間相互關(guān)系、數(shù)據(jù)格式和存儲等開發(fā)文檔起到如下五種作用1、它們是軟件開發(fā)過程中包含的所有階段之間的通信工具，它們記錄生成軟件需求設(shè)計(jì)編碼和測試的詳細(xì)規(guī)定和說明。2、它們描述開發(fā)小組的職責(zé)，通過規(guī)定軟件主題事項(xiàng)文檔編制質(zhì)量保證人員以及包含在開發(fā)過程中任何其他事項(xiàng)的角色來定義做什么、如何做和何時做。3、它們用作檢驗(yàn)點(diǎn)而允許管理者評定開發(fā)進(jìn)度。如果開發(fā)文檔丟失、不完整或過時，管理者將失去跟蹤和控制軟件項(xiàng)目的一個重要工具。4、它們形成了維護(hù)人員所要求的基本的軟件支持文檔，而這些支持文檔可作為產(chǎn)品文檔的一部分。5、它們記錄軟件開發(fā)的歷史基本的開發(fā)文檔是1、可行性研究和項(xiàng)目任務(wù)書2、需求規(guī)格說明3、功能規(guī)格說明4、設(shè)計(jì)規(guī)格說明包括程序和數(shù)據(jù)規(guī)格說明5、開發(fā)計(jì)劃6、軟件集成和測試計(jì)劃7、質(zhì)量保證計(jì)劃標(biāo)準(zhǔn)進(jìn)度8、安全和測試信息產(chǎn)品文檔產(chǎn)品文檔規(guī)定關(guān)于軟件產(chǎn)品的使用維護(hù)增強(qiáng)轉(zhuǎn)換和傳輸?shù)男畔a(chǎn)品的文檔起到如下三種作用1、為使用和運(yùn)行軟件產(chǎn)品的任何人規(guī)定培訓(xùn)和參考信息2、使得那些未參加開發(fā)本軟件的程序員維護(hù)它3、促進(jìn)軟件產(chǎn)品的市場流通或提高可接受性產(chǎn)品文檔用于下列類型的讀者1、用戶他們利用軟件輸入數(shù)據(jù)檢索信息和解決問題2、運(yùn)行者他們在計(jì)算機(jī)系統(tǒng)上運(yùn)行軟件3、維護(hù)人員他們維護(hù)增強(qiáng)或變更軟件產(chǎn)品文檔包括如下內(nèi)容1、用于管理者的指南和資料他們監(jiān)督軟件的使用2、宣傳資料通告軟件產(chǎn)品的可用性并詳細(xì)說明它的功能運(yùn)行環(huán)境等3、一般信息對任何有興趣的人描述軟件產(chǎn)品基本的產(chǎn)品文檔包括1、培訓(xùn)手冊2、參考手冊和用戶指南3、軟件支持手冊4、產(chǎn)品手冊和信息廣告管理文檔這種文檔建立在項(xiàng)目管理信息的基礎(chǔ)上諸如：1、開發(fā)過程的每個階段的進(jìn)度和進(jìn)度變更的記錄2、軟件變更情況的記錄3、相對于開發(fā)的判定記錄4、職責(zé)定義這種文檔從管理的角度規(guī)定涉及軟件生存的信息考試國標(biāo)知識點(diǎn)（六）：GB/T 16260 質(zhì)量特性及其使用指南2012年上半年信息系統(tǒng)項(xiàng)目管理師考試國標(biāo)和相關(guān)一些規(guī)劃知識點(diǎn)的考題達(dá)到了6道，所以這一塊也是一個重要的知識點(diǎn)，將在接下來的一段時間對這一塊的重點(diǎn)知識點(diǎn)進(jìn)行解說考試國標(biāo)知識點(diǎn)（六）：GB/T 16260 質(zhì)量特性及其使用指南描述了關(guān)于軟件產(chǎn)品質(zhì)量的兩部分模型1、內(nèi)部質(zhì)量和外部質(zhì)量2、使用質(zhì)量為內(nèi)部質(zhì)量和外部質(zhì)量規(guī)定了六個特性，它們可進(jìn)一步細(xì)分為子特性。當(dāng)軟件作為計(jì)算機(jī)系統(tǒng)的一部分時，這些子特性作為內(nèi)部軟件屬性的結(jié)果，從外部顯現(xiàn)出來。為使用質(zhì)量規(guī)定了四個特性，使用質(zhì)量是面向用戶的六個軟件產(chǎn)品質(zhì)量特性的組合效用。術(shù)語1、性能級別：要求被滿足的程度，它由一組質(zhì)量特性的特定值來表示。軟件產(chǎn)品質(zhì)量可以通過測量內(nèi)部屬性，也可以通過測量外部屬性，或者通過測量使用質(zhì)量的屬性來評價。目標(biāo)就是使產(chǎn)品在指定的使用周境下具有所需的效用。過程質(zhì)量有助于提高產(chǎn)品質(zhì)量，而產(chǎn)品質(zhì)量則是提高使用質(zhì)量的方法之一，同樣，評價使用質(zhì)量可以為改進(jìn)產(chǎn)品提供反饋，而評價產(chǎn)品則可以為改進(jìn)過程提供反饋。合適的軟件內(nèi)部屬性是獲得所需外部行為的先決條件，而適當(dāng)?shù)耐獠啃袨閯t是獲得使用質(zhì)量的先決條件。軟件產(chǎn)品質(zhì)量需求一般要包括對于內(nèi)部質(zhì)量、外部質(zhì)量和使用質(zhì)量的評估準(zhǔn)則。用戶質(zhì)量要求可通過使用質(zhì)量的度量、外部度量，有時是內(nèi)部度量來確定為質(zhì)量需求外部質(zhì)量需求從外部視角來規(guī)定要求的質(zhì)量級別。外部質(zhì)量需求用作不同開發(fā)階段的確認(rèn)目標(biāo)。外部質(zhì)量需求應(yīng)在質(zhì)量需求規(guī)格說明中用外部度量加民描述，宜轉(zhuǎn)換為內(nèi)部質(zhì)量需求，而且在評價產(chǎn)品時應(yīng)該作為準(zhǔn)則使用。內(nèi)部質(zhì)量需求從產(chǎn)品的內(nèi)部視角來規(guī)定要求的質(zhì)量級別。內(nèi)部質(zhì)量需求用來規(guī)定中間產(chǎn)品的特性，內(nèi)部質(zhì)量需求可用作不同開發(fā)階段的確認(rèn)目標(biāo)，也可以用于開發(fā)期間定義開發(fā)策略以及評價和驗(yàn)證的準(zhǔn)則內(nèi)部質(zhì)量是基于內(nèi)部視角的軟件產(chǎn)品特性的總體。估計(jì)的（預(yù)測的）外部質(zhì)量是在了解內(nèi)部質(zhì)量的基礎(chǔ)上，對每個開發(fā)階段的最終軟件產(chǎn)品的各個質(zhì)量特性加以估計(jì)或預(yù)測的質(zhì)量。外部質(zhì)量是基于外部視角的軟件產(chǎn)品特性的總體。估計(jì)的（預(yù)測的）使用質(zhì)量是在了解內(nèi)部和外部質(zhì)量的基礎(chǔ)上，對每個開發(fā)階段的最終軟件產(chǎn)品的各個使用質(zhì)量的特性加以估計(jì)或預(yù)測的質(zhì)量。使用質(zhì)量是基于用戶觀點(diǎn)的軟件產(chǎn)品用于指定的環(huán)境和使用周境時的質(zhì)量。它測量用戶在特定環(huán)境中能達(dá)到其目標(biāo)的程度，而不是測量軟件自身的屬性。外部和內(nèi)部質(zhì)量的質(zhì)量模型六個特性：功能性、可靠性、易用性、效率、維護(hù)性、可移植性2008下23題1、功能性：當(dāng)軟件在指定條件下使用時，軟件產(chǎn)品提供滿足明確和隱含要求的功能的能力1、適合性：軟件產(chǎn)品為指定的任務(wù)和用戶目標(biāo)提供一組合適的功能的能力2、準(zhǔn)確性：軟件產(chǎn)品提供具有所需精度的正確或相符的結(jié)果或效果的能力3、互操作性：軟件產(chǎn)品與一個或更多的規(guī)定系統(tǒng)進(jìn)行交互的能力4、安全保密性：軟件產(chǎn)品保護(hù)信息和數(shù)據(jù)的能力2、可靠性：在指定條件使用時，軟件產(chǎn)品維護(hù)規(guī)定的性能級別的能力1、成熟性：軟件產(chǎn)品為避免由軟件中故障而導(dǎo)致失效的能力2、容錯性：在軟件出現(xiàn)故障或者違反其指定接口的情況下，軟件產(chǎn)品維持規(guī)定的性能級別的能力3、易恢復(fù)性：在失效發(fā)生的情況下，軟件產(chǎn)品重建規(guī)定的性能級別并恢復(fù)受直接影響的數(shù)據(jù)的能力3、易用性：在指定條件下使用時，軟件產(chǎn)品被理解、學(xué)習(xí)、使用和吸引用戶的能力1、易理解性：使用用戶能理解軟件是否合適及如何能將軟件用于特定的任務(wù)的能力2、易學(xué)性：使用用戶能學(xué)習(xí)其應(yīng)用的能力3、易操作性：使用戶能操作和控制它的能力4、吸引性：軟件產(chǎn)品吸引用戶的能力4、效率：在規(guī)定條件下，相對于所用資源的數(shù)量，軟件產(chǎn)品可提供適當(dāng)性能的能力1、時間特性：軟件執(zhí)行其功能時，提供適當(dāng)?shù)捻憫?yīng)和處理時間以及吞吐率的能力2、資源利用性：軟件執(zhí)行其功能時，使用合適數(shù)量和類別的資源的能力5、維護(hù)性：軟件產(chǎn)品可被修改的能力。包括糾正、改進(jìn)或?qū)Νh(huán)境、需求和功能規(guī)格說明變化的適應(yīng)1、易分析性：診斷軟件中的缺陷或失效原因或識別待修改部分的能力2、易改變性：使指定的修改可以被實(shí)現(xiàn)的能力3、穩(wěn)定性：避免由于軟件修改而造成意外結(jié)果的能力5、易測試性：使已修改軟件能被確認(rèn)的能力6、可移植性：軟件產(chǎn)品從一種環(huán)境遷移到另外一種環(huán)境的能力1、適應(yīng)性：無需采用額外的活動或手段就可適應(yīng)不同指定環(huán)境的能力2、易安裝性：軟件產(chǎn)品在指定環(huán)境中被安裝的能力3、共存性：在公共環(huán)境中同與其分享公共資源的其他獨(dú)立軟件共存的能力4、易替換性：在同樣的環(huán)境下，替代另一個相同用途的指定軟件產(chǎn)品的能力使用質(zhì)量的質(zhì)量模型使用質(zhì)量的屬性分為四個特性：有效性、生產(chǎn)率、安全性和滿意度1、有效性：軟件產(chǎn)品在指定的使用周境下，使用戶能達(dá)到與準(zhǔn)確性和完備性相關(guān)的規(guī)定目標(biāo)的能力2、生產(chǎn)率：在指定的使用周境下，使用戶為達(dá)到有效性而消耗適當(dāng)數(shù)量的資源的能力3、安全性：在指定使用周境下，達(dá)到對人類、業(yè)務(wù)、軟件、財(cái)產(chǎn)或環(huán)境造成損害的可接受的風(fēng)險級別的能力4、滿意度：使用戶滿意的能力。內(nèi)部度量可以應(yīng)用于設(shè)計(jì)和編碼期間的非執(zhí)行軟件產(chǎn)品，當(dāng)開發(fā)一個軟件產(chǎn)品時，中間產(chǎn)品宜使用測量內(nèi)在性質(zhì)的內(nèi)部度量來評價，內(nèi)部度量的主要目的是為了確保獲得所需的外部質(zhì)量和使用質(zhì)量。內(nèi)部度量使得用戶、評價者、測試人員和開發(fā)者可以在軟件產(chǎn)品可執(zhí)行之前就能評價軟件產(chǎn)品質(zhì)量和盡早地提出質(zhì)量問題。外部度量是通過測試、運(yùn)行和觀察可執(zhí)行的軟件或系統(tǒng)，由該軟件產(chǎn)品所在的系統(tǒng)行為的測試而導(dǎo)出。使用質(zhì)量的度量測量產(chǎn)品在特定的使用周境下，滿足特定用戶達(dá)到特定目標(biāo)所要求的有效性、生產(chǎn)率、安全性和滿意度的程度，它是根據(jù)使用軟件的結(jié)果而不是軟件自身的屬性來測量的。使用質(zhì)量是面向用戶的內(nèi)部和外部質(zhì)量的組合效果。軟件審計(jì)的目的是提供軟件產(chǎn)品和過程對于可應(yīng)用的規(guī)則、標(biāo)準(zhǔn)、指南、計(jì)劃和流程的遵從性的獨(dú)立評價。審計(jì)是正式組織的活動，識別違例情況，并產(chǎn)生一個報告，采取更正性行動。應(yīng)用軟件：設(shè)計(jì)用于實(shí)現(xiàn)用戶的特定需要而非計(jì)算機(jī)本身問題的軟件。例如，導(dǎo)航（瀏覽）、工資、過程控制軟件。先用個比喻：假如防火墻是一幢大廈的門鎖，那么入侵檢測系統(tǒng)就是這幢大廈里的監(jiān)視系統(tǒng)。一旦小偷進(jìn)入了大廈，或內(nèi)部人員有越界行為，只有實(shí)時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。所以根據(jù)這個比喻，A 選項(xiàng)是錯誤的，入侵檢測系統(tǒng)是防火墻之后的又一道防線，入侵檢測系統(tǒng)可以及時發(fā)現(xiàn)防火墻沒有發(fā)現(xiàn)的入侵行為。C 選項(xiàng)也是弄反了，防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問，IDS 則沒有這些功能，只是監(jiān)視和分析用戶和系統(tǒng)活動。D 選項(xiàng)就很明顯是錯誤的了，防火墻和入侵檢測系統(tǒng)都是一個獨(dú)立的系統(tǒng)。入侵檢測系統(tǒng)（IDS）入侵檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。專業(yè)上講就是依照一定的安全策略，通過軟、硬件，對網(wǎng)絡(luò)、系統(tǒng)的運(yùn)行狀況進(jìn)行監(jiān)視，盡可能發(fā)現(xiàn)各種攻擊企圖、攻擊行為或者攻擊結(jié)果，以保證網(wǎng)絡(luò)系統(tǒng)資源的機(jī)密性、完整性和可用性。做一個形象的比喻：假如防火墻是一幢大樓的門鎖，那么IDS就是這幢大樓里的監(jiān)視系統(tǒng)。一旦小偷爬窗進(jìn)入大樓，或內(nèi)部人員有越界行為，只有實(shí)時監(jiān)視系統(tǒng)才能發(fā)現(xiàn)情況并發(fā)出警告。IDS是計(jì)算機(jī)的監(jiān)視系統(tǒng)，它通過實(shí)時監(jiān)視系統(tǒng)，一旦發(fā)現(xiàn)異常情況就發(fā)出警告。IDS入侵檢測系統(tǒng)以信息來源的不同和檢測方法的差異分為幾類：根據(jù)信息來源可分為基于主機(jī)IDS和基于網(wǎng)絡(luò)的IDS，根據(jù)檢測方法又可分為異常入侵檢測和誤用入侵檢測。不同于防火墻，IDS入侵檢測系統(tǒng)是一個監(jiān)聽設(shè)備，沒有跨接在任何鏈路上，無須網(wǎng)絡(luò)流量流經(jīng)它便可以工作。因此，對IDS的部署，唯一的要求是：IDS應(yīng)當(dāng)掛接在所有所關(guān)注流量都必須流經(jīng)的鏈路上。在這里，所關(guān)注流量指的是來自高危網(wǎng)絡(luò)區(qū)域的訪問流量和需要進(jìn)行統(tǒng)計(jì)、監(jiān)視的網(wǎng)絡(luò)報文。在如今的網(wǎng)絡(luò)拓?fù)渲?，已?jīng)很難找到以前的HUB式的共享介質(zhì)沖突域的網(wǎng)絡(luò)，絕大部分的網(wǎng)絡(luò)區(qū)域都已經(jīng)全面升級到交換式的網(wǎng)絡(luò)結(jié)構(gòu)。因此，IDS在交換式網(wǎng)絡(luò)中的位置一般選擇在盡可能靠近攻擊源或者盡可能靠近受保護(hù)資源的位置。這些位置通常是：服務(wù)器區(qū)域的交換機(jī)上；Internet接入路由器之后的第一臺交換機(jī)上；重點(diǎn)保護(hù)網(wǎng)段的局域網(wǎng)交換機(jī)上。與其他安全產(chǎn)品不同的是，入侵檢測系統(tǒng)需要更多的智能，它必須可以將得到的數(shù)據(jù)進(jìn)行分析，并得出有用的結(jié)果。一個合格的入侵檢測系統(tǒng)能大大的簡化管理員的工作，保證網(wǎng)絡(luò)安全的運(yùn)行。因此，入侵檢測被認(rèn)為是防火墻之后的第二道安全閘門，在不影響網(wǎng)絡(luò)性能的情況下能對網(wǎng)絡(luò)進(jìn)行監(jiān)測，從而提供對內(nèi)部攻擊、外部攻擊和誤操作的實(shí)時保護(hù)。入侵檢測系統(tǒng)的流程1、信息收集2、數(shù)據(jù)分析3、響應(yīng)入侵檢測系統(tǒng)的主要功能對一個成功的入侵檢測系統(tǒng)來講，它不但可使系統(tǒng)管理員時刻了解網(wǎng)絡(luò)系統(tǒng)（包括程序、文件和硬件設(shè)備等）的任何變更，還能給網(wǎng)絡(luò)安全策略的制訂提供指南。更為重要的一點(diǎn)是，它應(yīng)該管理、配置簡單，從而使非專業(yè)人員非常容易地獲得網(wǎng)絡(luò)安全。而且，入侵檢測的規(guī)模還應(yīng)根據(jù)網(wǎng)絡(luò)威脅、系統(tǒng)構(gòu)造和安全需求的改變而改變。入侵檢測系統(tǒng)在發(fā)現(xiàn)入侵后，會及時作出響應(yīng)，包括切斷網(wǎng)絡(luò)連接、記錄事件和報警等。具體來說，入侵檢測系統(tǒng)的主要功能有：監(jiān)測并分析用戶和系統(tǒng)的活動；核查系統(tǒng)配置和漏洞；評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性；識別已知的攻擊行為；統(tǒng)計(jì)分析異常行為；操作系統(tǒng)日志管理，并識別違反安全策略的用戶活動。入侵檢測系統(tǒng)的分類一般來說，入侵檢測系統(tǒng)可分為主機(jī)型和網(wǎng)絡(luò)型。主機(jī)型入侵檢測系統(tǒng)往往以系統(tǒng)日志、應(yīng)用程序日志等作為數(shù)據(jù)源，當(dāng)然也可以通過其他手段（如監(jiān)督系統(tǒng)調(diào)用）從所在的主機(jī)收集信息進(jìn)行分析。主機(jī)型入侵檢測系統(tǒng)保護(hù)的一般是所在的系統(tǒng)。網(wǎng)絡(luò)型入侵檢測系統(tǒng)的數(shù)據(jù)源則是網(wǎng)絡(luò)上的數(shù)據(jù)包。往往將一臺機(jī)子的網(wǎng)卡設(shè)于混雜模式（promisc mode）,監(jiān)聽所有本網(wǎng)段內(nèi)的數(shù)據(jù)包并進(jìn)行判斷。一般網(wǎng)絡(luò)型入侵檢測系統(tǒng)擔(dān)負(fù)著保護(hù)整個網(wǎng)段的任務(wù)。不難看出，網(wǎng)絡(luò)型IDS的優(yōu)點(diǎn)主要是簡便：一個網(wǎng)段上只需安裝一個或幾個這樣的系統(tǒng)，便可以監(jiān)測整個網(wǎng)段的情況。且由于往往分出單獨(dú)的計(jì)算機(jī)做這種應(yīng)用，不會給運(yùn)行關(guān)鍵業(yè)務(wù)的主機(jī)帶來負(fù)載上的增加。但由于現(xiàn)在網(wǎng)絡(luò)的日趨復(fù)雜和高速網(wǎng)絡(luò)的普及，這種結(jié)構(gòu)正受到越來越大的挑戰(zhàn)。一個典型的例子便是交換式以太網(wǎng)。而盡管主機(jī)型IDS的缺點(diǎn)顯而易見：必須為不同平臺開發(fā)不同的程序、增加系統(tǒng)負(fù)荷、所需安裝數(shù)量眾多等，但是內(nèi)在結(jié)構(gòu)卻沒有任何束縛，同時可以利用操作系統(tǒng)本身提供的功能、并結(jié)合異常分析，更準(zhǔn)確的報告攻擊行為。入侵檢測技術(shù)對各種事件進(jìn)行分析，從中發(fā)現(xiàn)違反安全策略的行為是入侵檢測系統(tǒng)的核心功能。入侵檢測技術(shù)從時間上，可分為實(shí)時入侵檢測和事后入侵檢測兩種。實(shí)時入侵檢測在網(wǎng)絡(luò)連接過程中進(jìn)行，系統(tǒng)根據(jù)用戶的歷史行為模型、存儲在計(jì)算機(jī)中的專家知識以及神經(jīng)網(wǎng)絡(luò)模型對用戶當(dāng)前的操作進(jìn)行判斷，一旦發(fā)現(xiàn)入侵跡象立即斷開入侵者與主機(jī)的連接，并收集證據(jù)和實(shí)施數(shù)據(jù)恢復(fù)。這個檢測過程是不斷循環(huán)進(jìn)行的。而事后入侵檢測由網(wǎng)絡(luò)管理人員進(jìn)行，他們具有網(wǎng)絡(luò)安全的專業(yè)知識，根據(jù)計(jì)算機(jī)系統(tǒng)對用戶操作所做的歷史審計(jì)記錄判斷用戶是否具有入侵行為，如果有就斷開連接，并記錄入侵證據(jù)和進(jìn)行數(shù)據(jù)恢復(fù)。事后入侵檢測是管理員定期或不定期進(jìn)行的，不具有實(shí)時性，因此防御入侵的能力不如實(shí)時入侵檢測系統(tǒng)。入侵檢測系統(tǒng)和防火墻的區(qū)別和聯(lián)系一、入侵檢測系統(tǒng)和防火墻的區(qū)別1.概念1)防火墻：防火墻是設(shè)置在被保護(hù)網(wǎng)絡(luò)（本地網(wǎng)絡(luò)）和外部網(wǎng)絡(luò)（主要是Internet）之間的一道防御系統(tǒng)，以防止發(fā)生不可預(yù)測的、潛在的破壞性的侵入。它可以通過檢測、限制、更改跨越防火墻的數(shù)據(jù)流，盡可能的對外部屏蔽內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)，以此來保護(hù)內(nèi)部網(wǎng)絡(luò)中的信息、資源等不受外部網(wǎng)絡(luò)中非法用戶的侵犯。2)入侵檢測系統(tǒng)：IDS是對入侵行為的發(fā)覺，通過從計(jì)算機(jī)網(wǎng)絡(luò)或計(jì)算機(jī)的關(guān)鍵點(diǎn)收集信息并進(jìn)行分析，從中發(fā)現(xiàn)網(wǎng)絡(luò)或系統(tǒng)中是否有違反安全策略的行為和被攻擊的跡象。3)總結(jié)：從概念上我們可以看出防火墻是針對黑客攻擊的一種被動的防御，IDS則是主動出擊尋找潛在的攻擊者；防火墻相當(dāng)于一個機(jī)構(gòu)的門衛(wèi)，收到各種限制和區(qū)域的影響，即凡是防火墻允許的行為都是合法的，而IDS則相當(dāng)于巡邏兵，不受范圍和限制的約束，這也造成了ISO存在誤報和漏報的情況出現(xiàn)。2.功能防火墻的主要功能：1)過濾不安全的服務(wù)和非法用戶：所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的信息都是必須通過防火墻，防火墻成為一個檢查點(diǎn)，禁止未授權(quán)的用戶訪問受保護(hù)的網(wǎng)絡(luò)。2)控制對特殊站點(diǎn)的訪問：防火墻可以允許受保護(hù)網(wǎng)絡(luò)中的一部分主機(jī)被外部網(wǎng)訪問，而另一部分則被保護(hù)起來。3)作為網(wǎng)絡(luò)安全的集中監(jiān)視點(diǎn)：防火墻可以記錄所有通過它的訪問，并提供統(tǒng)計(jì)數(shù)據(jù)，提供預(yù)警和審計(jì)功能。入侵檢測系統(tǒng)的主要任務(wù)：1)監(jiān)視、分析用戶及系統(tǒng)活動2)對異常行為模式進(jìn)行統(tǒng)計(jì)分析，發(fā)行入侵行為規(guī)律3)檢查系統(tǒng)配置的正確性和安全漏洞，并提示管理員修補(bǔ)漏洞4)能夠?qū)崟r對檢測到的入侵行為進(jìn)行響應(yīng)5)評估系統(tǒng)關(guān)鍵資源和數(shù)據(jù)文件的完整性6)操作系統(tǒng)的審計(jì)跟蹤管理，并識別用戶違反安全策略的行為總結(jié)：防火墻只是防御為主，通過防火墻的數(shù)據(jù)便不再進(jìn)行任何操作，IDS則進(jìn)行實(shí)時的檢測，發(fā)現(xiàn)入侵行為即可做出反應(yīng)，是對防火墻弱點(diǎn)的修補(bǔ)；防火墻可以允許內(nèi)部的一些主機(jī)被外部訪問，IDS則沒有這些功能，只是監(jiān)視和分析用戶和系統(tǒng)活動。二、入侵檢測系統(tǒng)和防火墻的聯(lián)系1.IDS是繼防火墻之后的又一道防線，防火墻是防御，IDS是主動檢測，兩者相結(jié)合有力的保證了內(nèi)部系統(tǒng)的安全；2.IDS實(shí)時檢測可以及時發(fā)現(xiàn)一些防火墻沒有發(fā)現(xiàn)的入侵行為，發(fā)行入侵行為的規(guī)律，這樣防火墻就可以將這些規(guī)律加入規(guī)則之中，提高防火墻的防護(hù)力度。類之間的關(guān)系包括：關(guān)聯(lián)、依賴、泛化以及實(shí)現(xiàn)。UML各種視圖介紹、說明、圖形類圖,對象圖,用例圖,部署圖,構(gòu)件圖為靜態(tài)圖狀態(tài)圖,順序圖,活動圖,協(xié)作圖為動態(tài)圖1、 用例圖描述角色以及角色與用例之間的連接關(guān)系。說明的是誰要使用系統(tǒng)，以及他們使用該系統(tǒng)可以做些什么。一個用例圖包含了多個模型元素，如系統(tǒng)、參與者和用例，并且顯示了這些元素之間的各種關(guān)系，如泛化、關(guān)聯(lián)和依賴。2、 類圖是描述系統(tǒng)中的類，以及各個類之間的關(guān)系的靜態(tài)視圖。能夠讓我們在正確編寫代碼以前對系統(tǒng)有一個全面的認(rèn)識。類圖是一種模型類型，確切的說，是一種靜態(tài)模型類型。3、對象圖與類圖極為相似，它是類圖的實(shí)例，對象圖顯示類的多個對象實(shí)例，而不是實(shí)際的類。它描述的不是類之間的關(guān)系，而是對象之間的關(guān)系。4、活動圖描述用例要求所要進(jìn)行的活動，以及活動間的約束關(guān)系，有利于識別并行活動。能夠演示出系統(tǒng)中哪些地方存在功能，以及這些功能和系統(tǒng)中其他組件的功能如何共同滿足前面使用用例圖建模的商務(wù)需求。5、狀態(tài)圖描述類的對象所有可能的狀態(tài)，以及事件發(fā)生時狀態(tài)的轉(zhuǎn)移條件?？梢圆东@對象、子系統(tǒng)和系統(tǒng)的生命周期。他們可以告知一個對象可以擁有的狀態(tài)，并且事件(如消息的接收、時間的流逝、錯誤、條件變?yōu)檎娴?會怎么隨著時間的推移來影響這些狀態(tài)。一個狀態(tài)圖應(yīng)該連接到所有具有清晰的可標(biāo)識狀態(tài)和復(fù)雜行為的類；該圖可以確定類的行為，以及該行為如何根據(jù)當(dāng)前的狀態(tài)變化，也可以展示哪些事件將會改變類的對象的狀態(tài)。狀態(tài)圖是對類圖的補(bǔ)充。6、序列圖（順序圖）序列圖是用來顯示你的參與者如何以一系列順序的步驟與系統(tǒng)的對象交互的模型。順序圖可以用來展示對象之間是如何進(jìn)行交互的。順序圖將顯示的重點(diǎn)放在消息序列上，即強(qiáng)調(diào)消息是如何在對象之間被發(fā)送和接收的。7、協(xié)作圖和序列圖相似，顯示對象間的動態(tài)合作關(guān)系?？梢钥闯墒穷悎D和順序圖的交集，協(xié)作圖建模對象或者角色，以及它們彼此之間是如何通信的。如果強(qiáng)調(diào)時間和順序，則使用序列圖；如果強(qiáng)調(diào)上下級關(guān)系，則選擇協(xié)作圖；這兩種圖合稱為交互圖。8、構(gòu)件圖 （組件圖）描述代碼構(gòu)件的物理結(jié)構(gòu)以及各種構(gòu)建之間的依賴關(guān)系。用來建模軟件的組件及其相互之間的關(guān)系，這些圖由構(gòu)件標(biāo)記符和構(gòu)件之間的關(guān)系構(gòu)成。在組件圖中，構(gòu)件時軟件單個組成部分，它可以是一個文件，產(chǎn)品、可執(zhí)行文件和腳本等。9、部署圖 （配置圖）是用來建模系統(tǒng)的物理部署。例如計(jì)算機(jī)和設(shè)備，以及它們之間是如何連接的。部署圖的使用者是開發(fā)人員、系統(tǒng)集成人員和測試人員。J2EE架構(gòu)和.NET架構(gòu)的相關(guān)知識1J:ZEE架構(gòu)J2EE（Java 2 Platform Enterprise Edition）是由Sun公司主導(dǎo)、備廠商共同制定并得到廣泛認(rèn)可的工業(yè)標(biāo)準(zhǔn)。業(yè)界各主要中間件廠商如IBM、Oracle都在積極地促進(jìn)該標(biāo)準(zhǔn)的推廣和應(yīng)用。 J2EE應(yīng)用將開發(fā)工作分成兩類：業(yè)務(wù)邏輯開發(fā)和表示邏輯開發(fā)，其余的系統(tǒng)資源則由應(yīng)用服務(wù)器自動處理，不必為中問層的資源和運(yùn)行管理進(jìn)行編碼。這樣就可以將更多的開發(fā)精力集中在應(yīng)用程序的業(yè)務(wù)邏輯和表示邏輯上，從而縮短企業(yè)應(yīng)用開發(fā)周期、有效地保護(hù)企業(yè)的投資。完整的J2EE技術(shù)規(guī)范由如下4個部分組成。 (1) J2EE平臺：運(yùn)行J2EE應(yīng)用的環(huán)境標(biāo)準(zhǔn)，由一組J2EE規(guī)范組成。 (2) J2EE應(yīng)用編程模型：用于開發(fā)多層瘦客戶應(yīng)用程序的標(biāo)準(zhǔn)設(shè)計(jì)模型，由Sun提供應(yīng)用藍(lán)圖( BluePrints)。 (3) J2EE兼容測試套件：用來檢測產(chǎn)品是否同J2EE平臺兼容。 (4) J2EE參考實(shí)現(xiàn)：與平臺規(guī)范同時提供的、實(shí)現(xiàn)J2EE平臺基本功能的J2EE服務(wù)器運(yùn)行環(huán)境。 J2EE應(yīng)用服務(wù)器運(yùn)行環(huán)境包括構(gòu)件(Component)、容器(Container)及服務(wù)(Services)三部分。構(gòu)件是表示應(yīng)用邏輯的代碼；容器是構(gòu)件的運(yùn)行環(huán)境；服務(wù)則是應(yīng)用服務(wù)器提供的各種功能接口，可以同系統(tǒng)資源進(jìn)行交互。 J2EE艦范包含了一系列構(gòu)件及服務(wù)技術(shù)規(guī)范。 (1) JNDI: Java命名和目錄服務(wù)，提供了統(tǒng)一、無縫的標(biāo)準(zhǔn)化名字服務(wù)。 (2) Servlet: Java Servlet是運(yùn)行在服務(wù)器上的一個小程序，用于提供以構(gòu)件為基礎(chǔ)、獨(dú)立于平臺的Web應(yīng)用。 (3) JSP:Java Servlet的一種擴(kuò)展，使創(chuàng)建靜態(tài)模板和動態(tài)內(nèi)容相結(jié)合的HTML和XML頁面更加容易。 (4) EJB:實(shí)現(xiàn)應(yīng)用中關(guān)鍵的業(yè)務(wù)邏輯，創(chuàng)建基于構(gòu)件的企業(yè)級應(yīng)用程序。EJB在應(yīng)用服務(wù)器的EJB容器內(nèi)運(yùn)行，由容器提供所有基本的中間層服務(wù)，如事務(wù)管理、安全、遠(yuǎn)程客戶連接、生命周期管理和數(shù)據(jù)庫連接緩沖等。2013上23題 (5) JCA: J2EE連接器架構(gòu)，提供一種連接不同企業(yè)信息平臺的標(biāo)準(zhǔn)接口。 (6) JDBC; Java數(shù)據(jù)庫連接技術(shù)，提供訪問數(shù)據(jù)庫的標(biāo)準(zhǔn)接口。