试题五（共25分）

阅读以下有关软件与信息安全方面的说明，在答题纸上回答问题1至问题3。

(说明)

某软件公司拟开发一套信息安全支撑平台，为客户的局域网业务环境提供信息安全保护。该支撑平台的主要需求如下：

（1）为局域网业务环境提供用户身份鉴别与资源访问授权功能；

（2）为局域网环境中交换的网络数据提供加密保护；

（3）为服务器和终端机存储的敏感持久数据提供加密保护；

（4）保护的主要实体对象包括局域网内交换的网络数据包、文件服务器中的敏感数据文件、数据库服务器中的敏感关系数据和终端机用户存储的敏感数据文件：

（5）服务器中存储的敏感数据按安全管理员配置的权限访问；

（6）业务系统生成的单个敏感数据文件可能会达到数百兆的规模；

（7）终端机用户存储的敏感数据为用户私有；

（8）局域网业务环境的总用户数在100人以内。

(问题l)（9分）

在确定该支撑平台所采用的用户身份鉴别机制时，王工提出采用基于口令的简单认证机制，而李工则提出采用基于公钥体系的认证机制。项目组经过讨论，确定采用基于公钥体系的机制，请结合上述需求具体分析采用李工方案的原因。

(问题2)（7分）

针对需求（7），项目组经过讨论，确定了基于数字信封的加密方式，其加密后的文件结构如图5-1所示。请结合需求说明对文件数据进行加密时，应采用对称加密的块加密方式还是流加密方式，为什么？并对该机制中的数据加密与解密过程进行描述。

<其他文件头信息>

以数字信封形式封装的对称密钥

用对称密钥加密的文件数据

图5-1 加密数据文件结构

(问题3)（9分）

对数据库服务器中的敏感关系数据进行加密保护时，客户业务系统中的敏感关系数据主要是特定数据库表中的敏感字段值，客户要求对不同程度的敏感字段采用不同强度的密钥进行防护，且加密方式应尽可能减少安全管理与应用程序的负担。目前数据库管理系统提供的基本数据加密方式主要包括加解密API和透明加密两种，请用300字以内的文字对这两种方式进行解释，并结合需求说明应采用哪种加密方式。

[试题]试题五（共25分）阅读以下关于Web应用系统开发的问题，在答题纸上回答问题1至问题3。A．公司承担了某企业应用系统的开发任务，用户要求系统最终应发布到Web上供企业员工企业客户使用。项目组在进行方案论证时，首先肯定了该系统需使用B／S结构，但在系统应采用的底层平台上产生了分歧，一方认为应采用微软.NET平台，一方认为应采用Java企业版平台。经过认真讨论，结合两种平台的特点及项目的实际需求，项目组最终决定采用Java企业版平台作为系统开发运行的基础平台。(问题1)（9分）请在以下平台特点(1)～(

[试题]试题四（共 25 分）阅读以下关于数据集成的叙述，在答题纸上回答问题 1 至问题3。某互联网销售企业需要建立自己的电子商务平台，将所有产品信息集中在一起，为用户提供全方位的产品信息检索服务。但产品供应商大多数已经建有自己的电子商务平台，且数据独立存储，而且数据格式和数据平台有较大差异，有的供应商甚至没有采用数据库来存储商品信息。为此该企业专门成立专家组来论证其数据集成方案。李工提出采用集中式集成方式把产品供应商的数据集中在一起，采用数据仓库技术来实现与各家供应商的数据集成。而王工提出采用松耦合的联

[试题]试题一（共25分）阅读以下关于软件项目管理的叙述，在答题纸上回答问题1至问题4。某软件企业为电信公司开发一套网上营业厅系统，以提升服务的质量和效率。项目组经过分析，列出了项目开发过程中的主要任务、持续时间和所依赖的前置任务，如表1-1所示。在此基础上，可分别绘制出管理该系统开发过程的PERT图和Gantt图。(问题1)（6分）请用300字以内的文字分别解释说明PERT图和Gantt图的具体含义，并说明两种方法所描述开发过程的差异。(问题2)（9分）根据表1-1所示活动及其各项活动之间的依赖关系，分

[试题]试题五（25 分）阅读以下关于数据库审计建设方面的叙述，在答题纸上回答问题 1 至问题 3。当前许多国家对数据库应用系统提出了明确的审计要求，要求数据库应用系统的DBA为财政、商业和卫生保健数据库保留审计跟踪信息，美国政府甚至要求保证长达 7年的审计跟踪信息在线。 一般在数据库中只是插入审计跟踪信息。审计跟踪数据在正常操作期间（不管是OLTP 还是数据仓库）从不获取，主要作为一种事后证据存放在磁盘上，占据一定甚至很大的磁盘空间，而且必须每个月或每年（或者间隔固定的一段时间）对其净化或归档。 当前的

[单选题]试题二（共25分）阅读以下关于某项目开发计划的说明，在答题纸上回答问题1至问题4。(说明)某软件公司拟开发一套电子商务系统，王工作为项目组负责人负责编制项目计划。由于该企业业务发展需要，CEO急于启动电子商务系统，要求王工尽快准备一份拟开发系统的时间和成本估算报告。项目组经过讨论后，确定出与项目相关的任务如表2-1所示。其中，根据项目组开发经验，分别给出了正常工作及加班赶工两种情况下所需的时间和费用。表2-1 项目开发任务进度及费用任务名称正常工作加班工作前置任务A．系统调研4天/7200元3天

[试题]试题五（25分）阅读以下关于信息系统安全性的叙述，在答题纸上回答问题1至问题3。某企业根据业务扩张的要求，需要将原有的业务系统扩展到互联网上，建立自己的B2C业务系统，此时系统的安全性成为一个非常重要的设计需求。为此，该企业向软件开发商提出如下要求：（1）合法用户可以安全地使用该系统完成业务；（2）灵活的用户权限管理；（3）保护系统数据的安全，不会发生信息泄漏和数据损坏；（4）防止来自于互联网上各种恶意攻击；（5）业务系统涉及到各种订单和资金的管理，需要防止授权侵犯；（6）业务系统直接面向最终用户

[试题]试题四（共25分）阅读以下关于系统设计与开发工具集成的说明，在答题纸上回答问题1至问题 3。(说明)TeleDev是一个大型的电信软件开发公司，公司内部采用多种商业/开源的工具进行软件系统设计与开发工作。为了提高系统开发效率，公司管理层决定开发一个分布式的系统设计与开发工具集成框架，将现有的系统设计与开发工具有效集成在一起。集成框架开发小组经过广泛调研，得到了如下核心需求：（1）目前使用的系统设计与开发工具的运行平台和开发语言差异较大，集成框架应无缝集成各个工具的功能；（2）目前使用的系统设计与开

[试题]试题四（25 分）阅读以下关于电子商务系统建设方面的叙述，在答题纸上回答问题 1 至问题 3。电子商务是构建在 Internet 上的新商务模式。企业和个人使用电子商务来降低交易成本，提高商品和信息流的周转速度，提高客户服务水平，并且使得制造商、供应商和客户之间可以紧密合作。企业信息化是实施企业电子商务的基础，特别是在企业流程再造、供应链管理、客户关系管理等方面需要依托信息技术进行整合和优化。(问题 1) （7 分）一个完整的电子商务系统必须处理销售生命周期中消费者经历的多个阶段。请用200 字以

[主观题]阅读以下关于软件系统数据建模的说明，在答题纸上回答问题1至问题3。(说明)某软件公司成立项目组为某高校开发一套教职工信息管理系统。与教职工信息相关的数据需求和处理需求如下：（1）数据需求：在教职工信息中能够存储学校所有在职的教工和职工信息，包括姓名、所属部门、出生年月、工资编号、工资额和缴税信息；部门信息中包括部门编号、部门名称、部门人数和办公地点信息。（2）处理需求：能够根据编制内或外聘教职工的工资编号分别查询其相关信息；每个月的月底统一核发工资，要求系统能够以最快速度查询出教工或者职工所在部

[试题]试题五（共 25 分）阅读以下关于Web 应用系统负载均衡的问题，在答题纸上回答问题1至问题3。某电子商务公司的主要业务是书籍、服装、家电和日用品的在线销售。随着公司业务发展和用户规模的不断扩大，现有的网上交易系统无法正常处理日益增大的请求流量，公司决策层决定升级其网上交易系统。在对该系统的升级方案进行设计和讨论时，公司的系统分析师王工提出采用基于高性能主机系统的方法进行系统升级，另外一位系统分析师李工则提出采用基于负载均衡集群的方法进行系统升级。公司的分析师和架构师对这两种思路进行讨论与评估，最