软件设计师之一考就过:成绩版
考点11:防火墙、入侵检测
真题1:(专家系统、模型检测、简单匹配)属于入侵检测;而漏洞扫描不属于。
真题2:防火墙特性包括(控制进出网络的数据包和数据流向、提供流量信息的日志和审计、隐藏内部IP以及网络结构细节),但不包括提供漏洞扫描功能。
真题3:入侵防御系统功能描述不正确的是:C
A、监测并分析用户和系统的网络活动
B、匹配特征库识别已知的网络攻击行为
C、联动入侵检测系统使其阻断网络攻击行为
D、检测僵尸网络,木马控制等僵尸主机行为
真题3:某单位网站首页被恶意篡改,应部署(Web应用防火墙)设备阻止恶意攻击。
真题4:通过在出口防火墙上配置(ACL)功能可以阻止外部未授权用户访问内部网络。
真题5:包过滤防火墙对(网络层)的数据报文进行检查。
真题6:防火墙通常分为内网、外网和DMZ三个区域,按照受保护程度,从低到高正确的排列次序为(外网、DMZ、内网)。
真题7:Web应用防火墙无法有效防护(D)
A、登录口令暴力破解 B、恶意注册 C、抢票机器人 D、流氓软件
◆防火墙是在内部网络和外部因特网之间增加的一道安全防护措施,分为网络级防火墙和应用级防火墙。
对于计算机的防火墙来说,整个计算机就相当于一个内网;而外网就是外部的因特网。
防火墙可以鉴别什么样的数据包可以进出组织内部网络。
◆入侵检测系统IDS
**防火墙技术主要是分隔来自外网的威胁,却对来自内网的直接攻击无能为力
此时就要用到入侵检测IDS技术,位于防火墙之后的第二道屏障,**作为防火墙技术的补充。
◆原理:**监控当前系统/用户行为,**使用入侵检测分析引擎进行分析,这里包含
一个知识库系统,囊括了历史行为、特定行为模式等操作,将当前行为和知识库进行匹配,就能检测出当前行为是否是入侵行为,如果是入侵,则记录证据并上报给系统和防火墙,交由它们处理。
◆不同于防火墙,**IDS入侵检测系统是一个监听设备,没有跨接在任何链路上,无须网络流量流经它便可以工作。**因此,对IDS的部署,唯一的要求是:IDS应当挂接在所有所关注流量都必须流经的链路上。因此,IDS在交换式网络中的位置一般选择在:(1)尽可能靠近攻击源(2)尽可能靠近受保护资源
以下三个没有考过,了解即可:
◆入侵防御系统IPS
IDS和防火墙技术都是在入侵行为已经发生后所做的检测和分析,而IPS是能够提前发现入侵行为,在其还没有进入安全网络之前就防御。
在安全网络之前的链路上挂载入侵防御系统IPS,可以实时检测入侵行为,并直接进行阻断,这是与IDS的区别,要注意。
◆杀毒软件
用于检测和解决计算机病毒,与防火墙和IDS要区分,计算机病毒要靠杀毒软件,防火墙是处理网络上的非法攻击。
◆蜜罐系统
**伪造一个蜜罐网络引诱黑客攻击,**蜜罐网络被攻击不影响安全网络,并且可以借此了解黑客攻击的手段和原理,,从而对安全系统进行升级和优化。
防火墙相当于一个大门,
入侵检测系统IDS相当于家里的(门内的)摄像头。这个摄像头应该放在可以监控到的重要的地方比如保险柜(靠近受保护的资源)
入侵防御系统 IPS 相当于 可以触发的机关:比如检测到危险能主动发射毒箭等。
考点12:结构化开发方法
真题1:在采用结构化开发方法进行软件开发时,设计阶段接口设计主要依据需求分析阶段的(数据流图)。接口设计的任务主要是(描述软件与外部环境之间的交互关系,软件内模块之间的调用关系)。
真题2:某医院预约系统的部分需求为:患者可以查看医院发布的专家特长介绍及其就诊时间;系统记录患者信息,患者预约特定时间就诊。用 DFD对其进行功能建模时,患者是 (外部实体);用 ERD 对其进行数据建模时,患者是(实体)。
解析:
数据流图:外部实体、数据流、加工、数据存储
实体联系图:实体、属性、联系
有输入但是没有输出,称之为“黑洞“加工
有输出但没有输入。称之为“奇迹“加工
输入不足以产生输出,我们称之为“灰洞“
真题3:关于管道过滤器体系结构的优点的叙述中,不正确的是(提高性能、适合交互处理应用)
管道过滤器体系结构是一种传统的体系结构风格,该体系结构由一组称为过滤器的构件以及连接构件的管道组成,管道将数据从一个过滤器传送到另一个过滤器。
该风格具有以下优点:
① 软件构件具有良好的隐蔽性和高内聚、低耦合的特点;
②允许设计者将整个系统的输入输出行为看成是多个过滤器的行为的简单合成;
③ 支持软件复用;
④系统维护和增强系统性能简单;
⑤ 允许对一些如吞吐量、死锁等属性的分析;
⑥ 支持并行执行。
真题4:(B)不是采用 MVC(模型-视图-控制器)体系结构进行软件系统开发的优点。
A、有利于代码重用 B、提高系统的运行效率 C、提高系统的开发效率 D、提高系统的可维护性
真题5:结构化分析方法中,数据流图中的元素在(数据字典)中进行定义。
1、系统分析与设计概述
◆系统开发的目的是把现有系统的物理模型转化为目标系统的物理模型,即图中所描述的路径,而系统分析阶段的结果是得到目标系统的逻辑模型。逻辑模型反映了系统的功能和性质,而物理模型反映的是系统的某一种具体实现方案。
逻辑模型就相当于设计图纸;物理模型就相当于售楼处的沙盘;
◆系统设计基本原理:抽象、模块化(划分模块)、信息隐蔽(暴露接口,但隐蔽接口中的具体实现)、模块独立
系统总体结构设计就是系统概要设计。
◆系统总体结构设计是要根据系统分析的要求和组织的实际情况对新系统的总体结构形式和可利用的资源进行大致设计,这是一种宏观、总体上的设计和规划。
扇出:就是调用别人;扇入:就是别人调你;多扇入少扇出。
◆系统模块结构设计
模块式组成系统的基本单位,它的特点是可以组合、分解和更换。系统中任何一个处理功能都可以看成是一个模块。根据功能具体化程序的不同,模块可以分为逻辑模块和物理模块。
模块结构图主要关心的是模块的外部属性,即上下级模块、同级模块之间的数据传递和调用关系,并不关心模块的内部,即不关系子系统、模块采用何种数据结构和核心算法(即具体实现)。
2、结构化开发方法
◆结构化分析与设计方法是一种面向数据流的传统软件开发方法。结构化方法的分析结果由以下几部分组成:一套分层的数据流图、一本数据词典、一组小说明(也称加工逻辑说明)、补充材料。
1)数据流: 在DFD中,数据流的流向必须经过加工。
2)加工:描述了输入数据流到输出数据流之间的变换。
3)数据存储:用来存储数据。
4)外部实体(外部主体):是指存在于软件系统之外的人员或组织。
◆数据字典DD
数据流图描述了系统的分解,但没有对图中各成分进行说明。数据字典就是为数据流图中的每个数据流、文件、加工,以及组成数据流或文件的数据项做出说明。
数据字典有以下4 类条目:数据流、数据项、数据存储和基本加工。
真题1:某零件厂商的信息系统中,一个基本加工根据客户类型、订单金额、客户信用等信息的不同采取不同的行为,此时最宜采用(C)来表述该加工规格。
A、自然语言 B、流程图 C、判定表 D、某程序设计语言
加工逻辑也称为“小说明”。常用的加工逻辑描述方法有结构化语言、判定表、判定树3种。
数据流图:功能建模
数据建模:E-R 图
行为建模:状态转换
3、结构化设计方法
◆结构化设计(Structured Design,SD)方法是一种面向数据流的设计方法,可以与SA 方法衔接。结构化设计方法的基本思想是将系统设计成由相对独立、功能单一的模块组成的结构。
◆结构化设计方法中用结构图(structure chart)来描述软件系统的体系结构,指出一个软件系统由哪些模块组成,以及模块之间的调用关系。模块结构图是结构化设计的工具,由模块、调用、数据、控制和转接五种基本符号组成。
◆结构化设计主要包括:
①体系结构设计:定义软件的主要结构元素及其关系,
②数据设计(依赖E-R图): 基于实体联系图确定软件涉及的文件系统的结构及数据库的表结构。
③接口设计(依赖数据流图):描述用户界面,软件和其他硬件设备、其他软件系统及使用人员的外部接口,以及各种构件之间的内部接口。
④**过程设计: **确定软件各个组成部分内的算法及内部数据结构,并选定某种过程的表达形式来描述各种算法。
**体系结构 就是架构 **
设计阶段接口设计主要依据需求分析阶段的 数据流图。接口设计的主要任务是描述软件与外部环境之间的交互关系,软件内模块之间的调用关系。
考点13:关键路径法(每年必考)
真题:
关键路径:是项目的最短工期,但却是从开始到结束时间最长的路径。
关键路径就是最长的那个路径。
历时总时长就是关键路径,关键路径就是最长的那一条。
上图最长的就是 a->d->f->j->k 共计 3 + 4 + 3 + 5 + 1 = 16 是最长的,所以答案是 C。
第二题,此时 d-i 为 8,a-c为6,f-h为2,则此时最长的为:a->d->i->k,还是16.
根据上表,可以画出如下图:
所以关键路径(耗时最长)的为:17天,即:A->D->F->G:2+6+6+3 = 17
如果要有活动 c,则 涉及c 的路径(这里只有一个,也就是 A->C->E->G)的总时长不大于17,即:2 + x + 4 + 3 <=17 => 所以 x = 8,x 本来工期为 5,所以浮动时间为 8 - 5 = 3 天。
所以答案分别为:D、D
考点14:风险管理、无主程序员
真题1:在进行软件开发时,采用无主程序员的开发小组,成员之间相互平等;而主程序员负责制的开发小组,由一个主程序员和若干成员组成,成员之间没有沟通。在一个由8名开发人员构成的小组中,无主程序员组和主程序员组的沟通路径分别是(28和7)
完全避开或消除风险,或者只享受权益而不承担风险是不可能的。
在信息系统项目中,从宏观上来看,风险分为项目风险、技术风险和商业风险。
**项目风险包括:潜在的预算、进度、个人、资源、用户、需求方面的问题以及它们对项目的影响,会威胁到项目计划。**即可能拖延项目进度、增加项目成本。
**技术风险包括:潜在的设计、实现、接口、测试和维护方面的问题,技术上的不确定性等,威胁到待开发系统的质量和预定的交付时间。**即系统能不能做出来以及做出来质量如何。
商业风险威胁到待开发系统的生存能力。即系统能不能卖出去。
![[极客大挑战 2020]Roamphp2-Myblog](https://img-blog.csdnimg.cn/direct/5e4677c9c624443bbe97df6c48367c53.png)
