信息化和信息系统(3)

信息化和信息系统(3)


1、软件测试方法

  1. 软件测试方法可以分为静态测试和动态测试
  2. 静态测试是指被测试程序不在机器上运行,而采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行,而对代码的静态测试一般采用桌前检查、代码走查和代码审查。
  3. 动态测试是指在计算机上实际运行程序进行软件测试,一般采用白盒测试和黑盒测试方法。
  4. 白盒测试也称为结构测试,主要用于单元测试,测试人员按照程序内部逻辑结构设计测试用例,白盒测试方法主要有控制流测试、数据流测试、程序变异测试等。使用静态测试也可以实现白盒测试,如人工检查代码也属于白盒测试范畴。白盒测试方法中,最常用的技术是逻辑覆盖,即使用测试数据运行被测程序,考察对程序逻辑的覆盖程度。主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖等。
  5. 黑盒测试也称为功能测试,主要用于集成测试、确认测试和系统测试中,黑盒测试完全不考虑程序的内部结构和处理算法。一般包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。

2、软件测试类别

  1. 单元测试。单元测试也称为模块测试。
  2. 集成测试。集成测试的目的是检查模块之间,以及模块和已集成的软件之间的接口关系。
  3. 确认测试。确认测试主要用于验证软件的功能、性能和其他特性是否与用户需求一致。根据用户的参与程度,通常包括:
    (1)内部确认测试。内部确认测试主要由软件开发组织内部按照SRS进行测试。
    (2)Alpha测试和Beta测试。Alpha测试在开发环境下测试,Beta测试在实际使用环境下测试。
    (3)验收测试。验收测试是指针对SRS,在交付前以用户为主进行的测试。其测试对象为完整的、集成的计算机系统。验收测试之前要保证已通过系统测试。
  4. 系统测试。系统测试的对象是完整的、集成的计算机系统,系统测试的目的是在真实系统工作环境下,验证完整的软件配置项能否和系统正确连接欸,并满足系统/子系统设计文档和软件开发合同规定的要求。
  5. 配置项测试。配置项测试的对象是软件配置项,配置项测试的目的是检验软件配置项与SRS的一致性。
  6. 回归测试。回归测试的目的是测试软件变更之后,变更部分的正确性和对变更需求的符合性,以及软件原有的、正确的功能、性能和其它规定的要求的不损害性。(哪一个阶段的测试没通过,都要先把之前的也测试一遍)

3、软件调试策略

  1. 常用的软件调试策略可分为蛮力法、回溯法、原因排除法三类。
  2. 软件调试与软件测试的区别主要体现在以下几个方面:
    (1)测试的目的是为了找出存在的错误,调试的目的是定位错误并修改程序以修正错误。
    (2)调试是测试之后的活动,测试和调试在目标、方法和思路上都有所不同。
    (3)测试从一个已知的条件开始,使用预先定义的过程,有预知的结果;调试从一个未知的条件开始,结束的过程不可预计。
    (4)测试过程可以事先设计,进度可以事先确定;调试不能描述过程或持续时间。

4、软件测试的管理过程

  1. 软件测试的管理包括过程管理、配置管理和评审工作
  2. 过程管理。过程管理包括测试活动管理和测试资源管理。软件测试应由相对独立的人员进行。
  3. 配置管理。应按照软件配置管理的要求,将测试过程中产生的各种工作产品纳入配置管理。
  4. 评审工作。测试过程中的评审包括测试就绪评审(测试前)和测试评审(测试后)。

5、软件集成技术

企业应用集成EAI包括表示集成、数据集成、控制集成和业务流程集成等多个层次和方面。当然,也可以在多个企业之间进行应用集成。

  1. 表示集成也称为界面集成,是黑盒集成,无需了解程序与数据库的内部构造。常用的集成技术主要有屏幕截取和输入模拟技术。
  2. 数据集成是白盒集成。
  3. 控制集成也称为功能集成或应用集成,是在业务逻辑层上对应用系统进行集成的。控制集成是黑盒集成,与表示集成和数据集成相比,灵活性更高。表示集成和数据集成适用的环境下,都适用于控制集成。但是,由于控制集成是在业务逻辑层进行的,其复杂度更高一些。
  4. 业务流程集成也称为过程集成,这种集成超越了数据和系统,它由一系列基于标准的、统一数据格式的工作流组成。当进行业务流程集成时,企业必须对各种业务信息的交换进行定义、授权和管理,以便改进操作、减少成本、提高响应速度。

6、物联网(IoT)

  1. 物联网主要解决物品与物品、人与物品、人与人之间的互连。在物联网应用中有两项关键技术,分别是传感器技术和嵌入式技术
    (1)传感器技术。RFID(射频识别)是物联网中使用的一种传感器技术,可通过无线电信号识别特定目标并读写相关数据,而无需识别系统与特定目标之间建立机械或光学接触。
    (2)嵌入式技术。嵌入式技术是综合了计算机软硬件、传感器技术、集成电路技术、电子应用技术为一体的复杂技术。
  2. 物联网架构可分为三层,分别是感知层、网络层、应用层
    (1)感知层。感知层由各种传感器构成,是物联网识别物体、采集信息的来源。
    (2)网络层。网络层由各种网络,包括互联网、广电网、网络管理系统和云计算平台等组成,是整个物联网的中枢,负责传递和处理感知层获取的信息。
    (3)应用层。应用层是物联网和用户的接口,它与行业需求结合,实现物联网的智能应用。
  3. 物联网在城市管理中综合应用就是所谓的智慧城市。智慧城市的建设包括以下几部分:
    (1)通过传感器或信息采集设备全方位地获取城市系统数据
    (2)通过网络将城市数据关联、融合、处理、分析为信息
    (3)通过充分共享、智能挖掘将信息变成知识
    (4)结合信息技术,把知识应用到各行各业形成智慧
  4. 智慧城市的五个功能层(由底向上):
    (1)物联感知层。提供对城市环境的智能感知能力,通过各种设备终端采集、识别和监测信息。
    (2)通信网络层。广泛互联,以互联网、电信网、广播电视网以及传输介质为光纤的城市专用网作为骨干传输网络,以覆盖全城的无线网络、移动4G为主要接入网,组成网络通信基础设施。
    (3)计算与存储层。包括软件资源、计算资源和存储资源,为智慧城市提供数据存储和计算,保障上层对于数据汇聚的相关需求。
    (4)数据及服务支撑层。利用SOA、云计算、大数据等技术,通过数据和服务的融合,支撑承载智慧应用层中的相关应用,提供应用所需的各种服务和共享资源。
    (5)智慧应用层。各种基于行业或领域的智慧应用及应用整合,如智慧交通、智慧社区、智慧政务等。
  5. 智慧城市的三个支撑体系:
    (1)安全保障体系:为智慧城市建设构建统一的安全平台,实现统一入口、统一认证、统一授权、日志记录服务。
    (2)建设和运营管理体系:为智慧城市建设提供整体的运维管理机制,确保智慧城市整体建设管理和可持续运行。
    (3)标准规范体系:用于指导支撑智慧应用信息系统的总体规划和工程建设,同时规范和引导我国智慧城市相关IT产业的发展,为智慧城市建设、管理和运行维护提供统一规范,便于互联、共享、互操作和扩展。

7、云计算(Cloud Computing)

  1. 云计算的主要特点:
    (1)宽带网络连接,用户需要通过宽带网络接入“云”中并获得有关的服务,“云”内节点之间也通过内部的高速网络相连。
    (2)快速、按需、弹性的服务,用户可以按照实际需求迅速获取或释放资源,并可以根据需求对资源进行动态扩展。
  2. 云计算服务的类型:
    (1)IaaS(基础设施即服务)。向用户提供计算机能力、存储空间等基础设施方面的服务。这种服务模式需要较大的基础设施投入和长期运营管理经验。
    (2)PaaS(平台即服务)。向用户提供虚拟的操作系统、数据库管理系统、Web应用等平台化的服务。PaaS服务的重点不在于直接的经济效益,而更注重构建和形成紧密的产业生态。
    (3)SaaS(软件即服务)。SaaS向用户提供应用软件、组件、工作流等虚拟化软件的服务。

8、大数据(Big Data)

  1. 大数据的五个特征(5个V):Volume(大量)Variety(多样)Value(价值)Velocity(高速)Veracity(真实)
  2. 大数据是具有体量大、结构多样、时效性强等特征的数据,处理大数据需要采用新型计算架构和智能算法等新技术。大数据从数据源经过分析挖掘到最终获得价值一般需要经过5个主要环节:
    (1)数据准备
    (2)数据存储与管理
    (3)计算处理
    (4)数据分析
    (5)知识展现

9、移动互联

  1. 移动互联网的核心是互联网,因此一般认为移动互联网是桌面互联网的补充和延申,应用和内容仍是移动互联网的根本。
  2. 移动互联网的特点:
    (1)终端移动性
    (2)业务使用的私密性
    (3)终端和网络的局限性
    (4)业务与终端、网络的强关联性

10、信息系统安全相关概念

  1. 信息安全的三大属性:
    (1)保密性:信息不被未授权者知晓的属性。
    (2)完整性:信息是正确的、真实的、未被篡改的、完整无缺的属性。
    (3)可用性:信息可以随时正常使用的属性。
  2. 信息系统安全可以划分为四个层次:
    (1)设备安全。设备安全包括设备的稳定性、可靠性、可用性
    (2)数据安全。数据安全包括秘密性、完整性和可用性
    (3)内容安全。内容安全是在政治、法律、道德层次上的要求,政治健康、合法、不违背道德;其次,广义上还包括内容保密、信息隐藏、隐私保护、知识产权保护等
    (4)行为安全。数据安全本质是一种静态的安全,行为安全是一种动态安全(与数据安全密切相关)。行为安全包括行为的秘密性、行为的完整性、行为的可控性
  3. 保障信息安全的技术包括:硬件系统安全技术、操作系统安全技术、数据库安全技术、软件安全技术、网络安全技术、密码技术、恶意软件防治技术、信息隐藏技术、信息设备可靠性技术。
    其中,硬件系统安全和操作系统安全是信息系统安全的基础,密码技术和网络安全技术是关键技术。网络安全技术主要包括防火墙、VPN、IDS、防病毒、身份认证、数据加密、安全设计、网络隔离等。
  4. 信息系统安全保护等级:
    信息化和信息系统(3)_第1张图片
  5. 计算机系统安全保护能力的五个等级:用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级
  6. 人员管理:最小授权、多教育多培训、离职后马上收回权限等。

11、信息加密、解密与常用算法

  1. 对称加密以DES算法为典型代表,非对称加密以RSA算法为典型代表。
  2. 对称加密技术:加密密钥也可以用作解密密钥,使用起来简单快捷,密钥较短,破译相对简单。(DES、IDEA、AES)
  3. 非对称加密技术:公开密钥密码的基本思想是将传统密码的密钥K一分为二,分为加密钥Ke和解密钥Kd,用Ke控制加密,用Kd控制解密。RSA密码,既可用于加密,又可用于数字签名(利用RSA密码可以同时实现数字签名和数据加密),安全易懂,因此RSA密码已成为目前应用最广泛的公开密钥密码。
  4. Hash函数可提供保密性、报文认证以及数字签名功能
  5. 签名是证明当事者的身份和数据真实性的一种信息。完善的数字签名体系应满足三个条件:
    (1)签名者事后不能抵赖自己的签名。
    (2)任何其他人不能伪造签名。
    (3)如果当事的双方关于签名的真伪发生争执,能够在公正的仲裁者面前通过验证签名来确认真伪。
  6. 认证(Authentication)又称鉴别、确认,它是证实某事是否名副其实或是否有效的一个过程。
  7. 认证和加密的区别在于:加密用以确保数据的保密性,阻止对手的被动攻击,如截取、窃听等;而认证用以确保报文发送者和接收者的真实性以及报文的完整性,阻止对手的主动攻击,如冒充、篡改、重播等。认证往往是许多应用系统中安全保护的第一道设防,因此极为重要。

12、信息系统安全

  1. 计算机设备安全
    计算机设备安全包括计算机实体及其信息的完整性、机密性、抗否认性、可用性、可审计性、可靠性等几个关键因素。
    (1)抗否认性(不可抵赖性),是指能保障用户无法在事后否认曾经对信息进行的生成、签发、接收等行为的特性。一般通过数字签名来提供抗否认服务。
    (2)可审计性,利用审计方法,可以对计算机信息系统的工作过程进行详尽的审计跟踪,同时保存审计记录和审计日志,从中可以发现问题。(审计在事后)
    (3)物理安全主要包括场地安全(环境安全,主要是场地与机房)。
    (4)设备安全
    (5)存储介质安全。介质本身和介质上存储数据的安全。
    (6)计算机的可靠性工作,一般采用容错系统实现。容错主要依靠冗余设计来实现,以增加资源换取可靠性。
  2. 网络安全
    网络安全防御技术如下:
    (1)防火墙。防火墙阻挡对网络的非法访问和不安全数据的传递,使得本地系统和网络免于受到许多网络安全威胁,主要用于逻辑隔离外部网络与受保护的内部网络。防火墙主要是实现网络安全的安全策略,而这种策略是预先定义好的,所以是一种静态安全技术。
    (2)入侵检测与防护。主要有两种:入侵检测系统(IDS)与入侵防护系统(IPS)。IDS注重的是网络安全状况的监管,大多数IDS是被动的。而IPS则倾向于提供主动防护,注重对入侵行为的控制。
    (3)VPN(虚拟专用网络)。VPN是依靠ISP和其它NSP,在公用网络中建立专用的、安全的数据通信通道的技术。VPN使用称之为“隧道”的技术作为传输介质,这个隧道建立在公共网络或专用网络基础之上。常见的隧道技术包括:点对点隧道协议(PPTP)、第2层隧道协议(L2TP)和IP安全协议(IPSec)
    (4)安全扫描。安全扫描包括漏洞扫描、端口扫描、密码类扫描等。安全扫描可以使用被称为扫描器的软件来完成,扫描器是最有效的网络安全检测工具之一,它可以自动检测远程或本地主机、网络系统的安全弱点以及所存在可能被利用的系统漏洞。
    (5)网络蜜罐技术。网络蜜罐技术是一种主动防御技术,是防范入侵检测技术的一个重要发展方向。蜜罐系统是一个包含漏洞的诱骗系统,它通过摸拟一个或多个易受攻击的主机和服务,给攻击者提供一个容易攻击的目标。由于蜜罐并没有向外界提供真正有价值的服务,因此所有试图与其进行连接的行为均可认为是可疑的,同时让攻击者在蜜罐上浪费时间,延缓对真正自标的攻击,从而使目标系统得到保护。由于蜜罐技术的特性和原理,使得它可以对入侵的取证提供重要的信息和有用的线索,便于研究入侵者的攻击行为。
    (6)常见的无线网络安全技术包括:无线公开密钥基础设施(WPKI)、有线对等加密协议(WEP)、Wi-Fi网络安全接入(WPA/WPA2)、无线局域网鉴别与保密体系(WAPI)、802.11i等。
  3. 操作系统安全
    针对操作系统的安全威胁按照行为方式划分,通常有四种:
    (1)切断,这是对可用性的威胁。系统的资源被破坏或变得不可用或不能用,如破坏硬盘、切断通信线路或使文件管理失效。
    (2)截取,这是对机密性的威胁。未经授权的用户、程序或计算机系统获得了对某资源的访问,如在网络中窃取数据殁非法拷贝文件和程序。
    (3)篡改,这是对完整性的攻击。未经授权的用户不仅获得了对某资源的访问,而且进行篡改,如修改数据文件中的值,修改网络中正在传送的消息内容。
    (4)伪造,这是对合法性的威胁。未经授权的用户将伪造的对象插入到系统中,如非法用户把伪造的消息加到网络中或向当前文件加入记录。
    针对操作系统的安全威胁按照表现形式来划分,有以下几种:
    (1)计算机病毒
    (2)逻辑炸弹
    (3)特洛伊木马
    (4)后门。后门指的是嵌在操作系统中的一段非法代码,渗透者可以利用这段代码侵入系统。安装后门就是为了渗透。
    (5)隐蔽通道。隐蔽通道可定义为系统中不受安全策略控制的、违反安全策略、非公开的信息泄露路径。
    操作系统安全性的主要目标是标识系统中的用户,对用户身份进行认证,对用户的操作进行控制,防止恶意用户对计算机资源进行窃取,篡改,破坏等非法存取,防止正当用户操作不当雨危害系统安全,从而既保证系统运行的安全性,又保证系统自身的安全性。具体包括如下几个方面:
    (1)身份认证机制:实施强认证方法,比如口令、数字证书等。
    (2)访问控制机制:实施细粒度的用户访问控制,细化访问权限等。
    (3)数据保密性:对关键信息,数据要严加保密。
    (4)数据完整性:防止数据系统被恶意代码破坏,对关键信息进行数字签名技术保护。
    (5)系统的可用性:操作系统要加强应对攻击的能力,比如防病毒,防缓冲区溢出攻击等。
    (5)审计:审计是一种有效的保护措施,它可以在一定程度上阻止对计算机系统的威胁,并对系统检测,故障恢复方面发挥重要作用。
  4. 数据库系统安全
    数据库安全主要指数据库管理系统安全,其安全问题可以认为是用于存储而非传输的数据的安全问题。数据库安全在技术上采取了一系列的方法,具体包括:数据库访问控制技术、数据库加密技术、多级安全数据库技术、数据库的推理控制问题和数据库的备份与恢复等。
  5. 应用系统安全
    应用系统安全是以计算机设备安全、网络安全和数据库安全为基础的。
    Web威胁防护技术主要包括:
    (1)Web访问控制技术。访问控制是Web站点安全防范和保护的主要策略,它的主要任务是保证网络资源不被非法访问者访问。
    (2)单点登录(SSO)技术。单点登录为应用系统提供集中统一的身份认证,实现“一点登录,多点访问”。
    (3)网页防篡改技术。网页防篡改技术包括时间轮询技术、核心内嵌技术、事件触发技术、文件过滤驱动技术等。
    (4)Web内容安全。内容安全管理分为电子邮件过滤、网页过滤、反间谍软件三项技术。

你可能感兴趣的:(信息系统项目管理师,网络)