软考高项（五）信息系统工程 ★重点集萃★

👑 个人主页 👑 ：😜😜😜Fish_Vast😜😜😜
🐝 个人格言 🐝 ：🧐🧐🧐说到做到，言出必行🧐🧐🧐
🐸 推荐专栏 🐸 ：SpringBoot
🐸 推荐专栏 🐸 ：Java基础
🐸 推荐专栏 🐸 ：软考
🍉 博客描述 🍉 ：行好每一次程，写好每一篇文！
🍀 本篇简介 🍀 ：分享软考高项核心考点之信息系统工程内容。

1、软件架构设计的一个核心问题是能否达到架构级的软件复用。

2、软件架构分为：
① 数据流风格：包括批处理序列和管道/过滤器两种风格
② 调用/返回风格：包括主程序/子程序、数据抽象和面向对象，以及层次结构
③ 独立构件风格：包括进程通信和事件驱动的系统
④ 虚拟机风格：包括解释器和基于规则的系统
⑤ 仓库风格：包括数据库系统、黑板系统和超文本系统

3、在架构评估过程中，评估人员所关注的是系统的质量属性。

4、从目前已有的软件架构评估技术来看，可以归纳为三类主要的评估方式，分别是基于调查问卷（或检查表）的方式、基于场景的方式和基于度量的方式。

5、需求是多层次的，包括业务需求、用户需求和系统需求。
（1）业务需求。是指反映企业或客户对系统高层次的目标要求，通常来自项目投资人、购买产品的客户、客户单位的管理人员、市场营销部门或产品策划部门等。
（2）用户需求。用户需求描述的是用户的具体目标，或用户要求系统必须能完成的任务。也就是说，用户需求描述了用户能使用系统来做些什么。
（3）系统需求。系统需求是从系统的角度来说明软件的需求。

6、质量功能部署（QFD）是一种将用户要求转化成软件需求的技术，其目的是最大限度地提升软件工程过程中用户的满意度。QFD将软件需求分为三类，分别是常规需求、期望需求和意外需求。
（1）常规需求。用户认为系统应该做到的功能或性能，实现越多用户会越满意。
（2）期望需求。用户想当然认为系统应具备的功能或性能。如果期望需求没有得到实现，会让用户感到不满意。
（3）意外需求。意外需求也称为兴奋需求，是用户要求范围外的功能或性能（但通常是软件开发人员很乐意赋予系统的技术特性），实现这些需求用户会更高兴，但不实现也不影响其购买的决策。

7、需求过程：主要包括需求获取、需求分析、需求规格说明书编制、需求验证与确认等。
（1）需求获取：需求获取只有与用户的有效合作才能成功。常见的需求获取方法包括用户访谈、问卷调查、采样、情节串联板、联合需求计划等。
（2）需求分析：需求分析对已经获取到的需求进行提炼、分析和审查，以确保所有的项目干系人都明白其含义并找到其中的错误、遗漏或其他不足的地方。
（3）需求规格说明书编制：软件需求规格说明书（SRS）是需求开发活动的产物，编制该文档的目的是使项目干系人与开发团队对系统的初始规定有一个共同的理解，使之成为整个开发工作的基础。
（4）需求验证与确认：一般通过需求评审和需求测试工作来对需求进行验证。需求评审就是对SRS进行技术评审，SRS的评审可以发现那些二义性的或不确定性的需求，为项目干系人提供在需求问题上达成共识的方法。

8、统一建模语言（UML）是一种定义良好、易于表达、功能强大且普遍适用的建模语言。从总体上来说，UML的结构包括构造块、规则和公共机制三个部分。

9、UML中的事物也称为建模元素，包括结构事物、行为事物（也称动作事物）、分组事物和注释事物（也称注解事物）。这些事物是UML模型中最基本的OO构造块。

10、UML中的关系，主要有四种关系，分别为：
① 依赖：依赖是两个事物之间的语义关系，其中一个事物发生变化会影响另一个事物的语义。
② 关联：关联描述一组对象之间连接的结构关系。
③ 泛化：泛化是一般化和特殊化的关系，描述特殊元素的对象可替换一般元素的对象。
④ 实现：实现是类之间的语义关系，其中的一个累指定了由另一个类保证执行的契约。

11、UML2.0包括14种图：
① 类图：类图描述一组类、接口、协作和它们之间的关系。类图给出了系统的静态设计视图，活动类的类图给出了系统的静态进程视图。
② 对象图：对象图描述一组对象及它们之间的关系。对象图描述了在类图中所建立的事物实例的静态快照。
③ 构件图：构件图描述了一个封装的类和它的接口、端口，以及由内嵌的构件和连接件构成的内部结构。构件图用于表示系统的静态设计实现视图。
④ 组合结构图：组合结构图描述结构化类（例如，构件或类）的内部结构，包括结构化类与系统其余部分的交互点。
⑤ 用例图：用例图描述一组用例、参与者及它们之间的关系。用例图给出系统的静态用例视图。
⑥ 顺序图（序列图）：顺序图是一种交互图，交互图展现了一种交互，它由一组对象或参与者以及它们之间可能发送的消息构成。交互图专注于系统的动态视图。顺序图是强调消息的时间次序的交互图。
⑦ 通信图：通信图也是一种交互图，它强调收发消息的对象或参与者的结构组织。顺序图强调的是时序，通信图强调的是对象之间的组织结构（关系）。通信图称为协作图。
⑧ 定时图（计时图）：定时图也是一种交互图，它强调消息跨越不同对象或参与者的实际时间，而不仅仅只是关心消息的相对顺序。
⑨ 状态图：状态图描述一个状态机，它由状态、转移、事件和活动组成状态图给出了对象的动态视图。它强调事件导致的对象行为。
⑩ 活动图：活动图将进程或其他计算结构展示位计算内部一步步的控制流和数据流。活动图专注于系统的动态视图。
⑪ 部署图：部署图描述对运行时的处理节点及在其中生存的构件的配置。部署图给出了架构的静态部署视图。
⑫ 制品图：制品图描述计算机中一个系统的物理结构。制品包括文件、数据库和类似的物理比特集合。
⑬ 包图：包图描述由模型本身分解而成的组织单元，以及它们之间的依赖关系。
⑭ 交互概览图：交互概览图是活动图和顺序图的混合物。

12、UML5个系统视图：
① 逻辑视图：逻辑视图也称为设计视图，它表示了设计模型中在架构方面具有重要意义的部分，即类、子系统、包和用例实现的子集。
② 进程视图：进程视图是可执行线程和进程作为活动类的建模，它是逻辑视图的一次执行实例，描述了并发与同步结构。
③ 实现视图：实现视图对组成基于系统的物理代码的文件和构件进行建模。
④ 部署视图：部署视图把构件部署到一组物理节点上，表示软件到硬件的映射和分布结构。
⑤ 用例视图：用例视图是最基本的需求分析模型。

13、在OOA方法（面向对象分析方法）中，构件用例模型一般需要经历四个阶段，分别是识别参与者、合并需求获得用例、细化用例描述和调整用例模型。

14、结构化设计（SD）是一种·面向数据流·的方法，它以SRS和SA阶段所产生的DFD和数据字典等文档为基础，是一个自顶向下、逐步求精和模块化的过程。SD方法的基本思想是将软件设计成相对独立且具有单一功能的模块组成的结构，分为概要设计和详细设计两个阶段，其中概要设计又称为总体结构设计。在SD中，需要遵循一个基本的原则：高内聚，低耦合。

15、面向对象设计（OOD）是OOA方法的延续，其基本思想包括抽象、封装和可扩展性，其中可扩展性主要通过继承和多态来实现。

16、根据处理范围不同，设计模式可分为类模式和对象模式。类模式处理类和子类之间的关系，这些关系通过继承建立，在编译时刻就被确认下来，属于静态关系；对象模式处理对象之间的关系，这些关系在运行时刻变化，更具动态性。根据目的和用途不同，设计模式可分为创建型模式、结构型模式和行为型模式三种。
① 创建型模式主要用于创建对象；
② 结构型模式主要用于处理类或对象的组合；
③ 行为型模式主要用于描述类或对象的交互以及职责的分配。

17、软件配置管理活动包括软件配置管理计划、软件配置标识、软件配置控制、软件配置状态记录、软件配置审计、软件发布管理与交付等活动。

18、软件测试的目的是验证软件是否满足软件质量要求。通过测试发现软件缺陷，为软件产品的质量测量和评价提供依据。软件测试方法可分为静态测试和动态测试。
（1）静态测试是指被测试程序不在机器上运行，而采用人工检测和计算机辅助静态分析的手段对程序进行检测。静态测试包括对文档的静态测试和对代码的静态测试。对文档的静态测试主要以检查单的形式进行，而对代码的静态测试一般采用桌前检查、代码走查和代码审查。
（2）动态测试是指在计算机上世纪运行程序进行软件测试，一般采用白盒测试和黑盒测试方法。
① 白盒测试也称为结构测试，主要用于软件单元测试中。它的主要思想是，将程序看作是一个透明的白盒，测试人员完全清楚程序的结构和处理算法，按照程序内部逻辑结构设计测试用例，检测程序中的主要执行通路是否都能按预定要求正确工作。白盒测试方法主要有控制流测试、数据流测试和程序变异测试等。另外，使用静态测试的方法也可以实现白盒测试。例如，使用人工检查代码的方法来检查代码的逻辑问题，也属于白盒测试的范畴。白盒测试方法中，最常用的技术是逻辑覆盖，即使用测试数据运行被测程序，考查对程序逻辑的覆盖程度。主要的覆盖标准有语句覆盖、判定覆盖、条件覆盖、条件/判定覆盖、条件组合覆盖、修正的条件/判定覆盖和路径覆盖等。
② 黑盒测试也称为功能测试，主要用于集成测试、确认测试和系统测试中。黑盒测试将程序看作是一个不透明的黑盒，完全不考虑（或不了解）程序的内部结构和处理算法，而只检查程序功能是否能按照SRS的要求正常使用，程序是否能适当地接收输入数据并产生正确的输出信息，程序运行过程中能否保持外部信息（例如，文件和数据库等）的完整性等。黑盒测试根据SRS所规定的功能来设计测试用例，一般包括等价类划分、边界值分析、判定表、因果图、状态图、随机测试、猜错法和正交试验法等。

19、软件测试有可分为单元测试、集成测试、确认测试、系统测试、配置项测试和回归测试等类别。
① 单元测试：单元测试也称为模块测试。
② 集成测试：集成测试的目的是检查模块之间，以及模块和已集成的软件之间的接口关系。
③ 确认测试：确认测试主要用于验证软件的功能、性能和其他特性是否与用户需求一致。
④ 系统测试：系统测试的对象是完整的、集成的计算机系统，系统测试的目的是在真实系统工作环境下，验证完整的软件配置项能否和系统正确连接，并满足系统/子系统设计文档和软件开发合同规定的要求。
⑤ 配置项测试：配置项测试的对象是软件配置项，配置项测试的目的是检验软件配置项与SRS的一致性。
⑥ 回归测试：回归测试的目的是测试软件变更之后，变更部分的正确性和对变更需求的符合性，以及软件原有的、正确的功能、性能和其他规定的要求的不损害性。

20、持续交付是一系列开发实践方法，用来确保让代码能够快速、安全地部署到生产环境中。主要体现在：
（1）在需求阶段，抛弃了传统的需求文档的方式，使用便于开发人员理解的用户故事；
（2）在开发测试阶段，做到持续集成，让测试人员尽早进入项目开始测试；
（3）在运维阶段，打通开发和运维之间的通路，保持开发环境和运维环境的统一。

21、持续交付具备的优势主要包括：
（1）持续交付能够有效缩短提交代码到正式部署上线的时间，降低部署风险；
（2）持续交付能够自动、快速地提供反馈，及时发现和修复缺陷；
（3）持续交付让软件在整个生命周期内都处于可部署的状态；
（4）持续交付能够简化部署步骤，使软件版本更加清晰；
（5）持续交付能够让交付过程成为一种可靠的、可预期的、可视化的过程。

22、容器技术目前是部署中最流行的技术。

23、完整的镜像部署包括三个环节：Build——Ship——Run。
（1）Build：跟传统的编译类似，将软件编译形成RPM包或者Jar包；
（2）Ship：则是将所需的第三方依赖和第三方插件安装到环境中；
（3）Run：在不同的地方启动整套环境。

24、不可变服务器是一种部署模式，是指除了更新和安装补丁程序以外，不对服务器进行任何更改。

25、在部署原则中提到两大部署方式为蓝绿部署和金丝雀部署。
（1）蓝绿部署是指在部署的时候准备新旧两个部署版本，通过域名解析切换的方式将用户使用环境切换到新版本中，当出现问题的时候，可以快速地将用户环境切换旧版本，并对新版本进行修复和调整。
（2）金丝雀部署是指当有新版本发布的时候，先让少量用户使用新版本，并观察新版本是否存在问题。如果出现问题，就及时处理并重新发布；如果一切正常，就稳步地将新版本适配给所有的用户。

26、软件过程能力成熟度模型（CSMM模型）由4个能力域、20个能力子域、161个能力要求组成：
（1）治理：包括战略与治理、目标管理能力子域，用于确定组织的战略、产品的方向、组织的业务目标，并确保目标的实现。
（2）开发与交付：包括需求、设计、开发、测试、部署、服务、开源应用能力子域，这些能力子域确保通过软件工程过程交付满足需求的软件，为顾客与利益干系人增加价值。
（3）管理与支持：包括项目策划、项目监控、项目结项、质量保证、风险管理、配置管理、供应商管理能力子域，这些能力子域覆盖了软件开发项目的全过程，以确保软件项目能够按照既定的成本、进度和质量交付，能够满足顾客与利益干系人的要求。
（4）组织管理：包括过程管理、人员能力管理、组织资源管理、过程能力管理能力子域，对软件组织能力进行综合管理。

27、软件过程能力成熟度等级
（1）1级：初始级。 软件过程和结果具有不确定性。
① 能实现初步的软件交付和项目管理活动。
② 项目没有完整的管理规范，依赖于个人的主动性和能力。

（2）2级：项目规范级。 项目基本可按计划实现预期的结果。
① 项目依据选择和定义管理规范，执行软件开发和管理的基础过程。
② 组织按照一定的规范，为项目活动提供了支持保障工作。

（3）3级：组织改进级。 在组织范围内能够稳定地实现预期的项目目标。
① 在2级充分实施的基础之上进行持续改进
② 依据组织的业务目标、管理要求以及外部监管需求，建立并持续改进目标标准过程和过程资产。
③ 项目根据自身特征，依据组织标准过程和过程资产， 实现项目目标并贡献过程资产。

（4）4级：量化提升级。 在组织范围内能够量化地管理和实现预期的组织和项目目标。
① 在3级充分实施的基础上使用统计分析技术进行管理。
② 组织层面认识到能力改进的重要性，了解软件能力在业务目标实现、绩效提升等方面的重要作用，在制定业务战略时可获得项目数据的支持。
③ 组织和项目使用统计分析技术建立了量化的质量与过程绩效目标，支持组织业务目标的实现。
④ 建立了过程绩效基线与过程绩效模型。
⑤ 采用有效的数据分析技术，分析关键软件过程的能力，预测结果，识别和解决目标实现的问题以达成目标。
⑥ 应用先进实践，提升软件过程效率或质量

（5）5级：创新引领级。 通过技术和管理的创新，实现组织业务目标的持续提升，引领行业发展。
① 在4级充分实施的基础上进行优化革新。
② 通过软件过程的创新提升组织竞争力。
③ 能够使用创新的手段实现软件过程能力的持续提升，支持组织业务目标的达成。
④ 能将组织自身软件能力建设的经验作为行业最佳案例进行推广。

28、根据模型应用目的不同，可以将数据模型划分为三类：概念模型、逻辑模型和物理模型。
（1）概念模型：也称为信息模型，它是按用户的观点来对数据和信息建模，也就是说，把现实世界中的客观对象抽象为某一种信息结构，这种信息结构不依赖于具体的计算机系统，也不对应某个具体的DBMS，它是概念级别的模型。
（2）逻辑模型：是在概念模型的基础上确定模型的数据结构，目前主要的数据结构有层次模型、网状模型、关系模型、面向对象模型和对象关系模型。其中，关系模型成为目前最重要的一种逻辑数据模型。
（3）物理模型：是在逻辑数据模型的基础上，考虑各种具体的技术实现因素，进行数据库体系结构设计，真正实现数据在数据库中的存放。物理数据模型的目标是如何用数据库模式来实现逻辑数据模型，以及真正地保存数据。

29、数据建模过程包括数据需求分析、概念模型设计、逻辑模型设计和物理模型设计等过程。
（1）数据需求分析。简单地说，数据需求分析就是分析用户对数据的需要和要求。
（2）概念模型设计。将需求分析得到结果抽象为概念模型的过程就是概念模型设计，其任务是确定实体和数据及其关联。
（3）逻辑模型设计。逻辑模型设计的任务就是将概念模型中实体、属性和关联转换为关系模型结构中的关系模式。
（4）物理模型设计。将数据模型转型为真正的数据库结构，还需要针对具体的DBMS进行物理模型设计，是数据模型走向数据存储应用环节。

30、数据标准化主要为复杂的信息表达、分类和定位建立相应的原则和规范，使其简单化、结构化和标准化，从而实现信息的可理解、可比较和可共享，为信息在异构系统之间实现语义互操作提供基础支撑。数据标准化的主要内容包括元数据标准化、数据元标准化、数据模式标准化、数据分类域编码标准化和数据标准化管理。

31、元数据是关于数据的数据。元数据被定义为提供关于信息资源或数据的一种结构化数据，是对信息资源的结构化描述。其实质是用于描述信息资源或数据的内容、覆盖范围、质量、管理方式、数据的所有者、数据的提供方式等有关的信息。

32、数据元标准，要求按共同约定的规则进行统一组织、分类和标识数据，规范统一数据的含义、表示方法和取值范围等，保证数据从产生的源头就具备一致性。

33、数据元是数据库、文件和数据交换的基本数据单元。

34、数据元提取是数据元标准化的一项重要内容，为了确保数据元具有科学性和互操作性，需要采用合理的数据元提取方法。数据元提取方法有两种：自上而下提取法和自下而上提取法。

35、数据模式是数据的概念、组成、结构和相互关系的总称。为了保证能够顺畅进行信息的共享，对特定领域而言，需要一个统一的数据模式作为数据共享域交换的基础。同时也保证该领域的相关人员对同一的数据模型有准确的、无歧义的理解。

36、数据分类域编码标准化就是把数据分类域编码工作纳入标准化工作的领域，按标准化的要求和工作程序，将各种数据按照科学的原则进行分类以编码，经有关方面协商一致，由主管机构批准、注册，以标准的形式发布，作为共同遵守的准则和依据，并在其相应的级别范围宣贯和推行。

37、数据标准化阶段的具体过程包括：确定数据需求、制定数据标准、批准数据标准和实施数据标准四个阶段。
（1）确定数据需求。本阶段将产生数据需求及相关的元数据、域值等文件。
（2）制定数据标准。本阶段要处理“确定数据需求”阶段提出的数据需求。如果现有的数据标准不能满足该数据需求，可以建议制定新的数据标准，也可建议修改或者封存已有数据标准。
（3）批准数据标准。本阶段的数据管理机构对提交的数据标准建议、现行数据标准的修改或封存建议进行审查。一经批准，该数据标准将扩充或修改数据模型。
（4）实施数据标准。本阶段涉及在各信息系统中实施和改进已批准的数据标准。

38、数据备份结构可以分为四种：DAS备份结构、基于LAN的备份结构、LANFREE备份结构和SERVER-FREE备份结构。常见的备份策略主要有三种：完全备份、差分备份和增量备份。

39、数据容灾：根据容灾系统保护对象的不同，容灾系统分为应用容灾和数据容灾两类。应用容灾用于克服灾难对系统的影响，保证应用服务的完整、可靠和安全等一系列要求，使得用户在任何情况下都能得到正常的服务；数据容灾则关注于保证用户数据的高可用性，在灾难发生时能够保证应用系统中的数据尽量少丢失或不丢失，使得应用系统能不间断地运行或尽快地恢复正常运行。

40、数据质量可以通过数据质量元素赖描述，数据质量元素分为数据质量定量元素和数据质量非定量元素。

41、数据质量评价方法分为直接评价法和间接评价法：
（1）直接评价法：通过将数据与内部或外部的参照信息，如理论值等进行对比，确定数据质量。
（2）间接评价法：利用数据相关信息，如数据只对数据源、采集方法等的描述推断或评估数据质量。

42、数据产品的质量控制分成前期控制和后期控制两部分。
①前期控制包括数据录入前的质量控制、数据录入过程中的实时质量控制；
②后期控制为数据录入完成后的后处理质量控制与评价。

43、数据清理的三个步骤：
（1）数据分析：是指从数据中发现控制数据的一般规则，比如字段域、业务规则等，通过对数据的分析，定义出数据清理的规则，并选择合适的清理算法。
（2）数据检测：是指根据预定义的清理规则及相关数据清理算法，检测数据是否正确，比如是否满足字段域、业务规则等，或检测记录是否重复。
（3）数据修正：是指手工或自动地修正检测到的错误数据或重复的记录。

44、数据集成：是将驻留在不同数据源中的数据进行整合，向用户提供统一的数据视图，使得用户能以透明的方式访问数据。数据集成的目标就是充分利用自己已有数据，在尽量保持其自治性的前提下，维护数据源整体上的一致性，提高数据共享利用效率。实现数据集成的系统称为数据集成系统，它为用户提供了统一的数据源访问接口，用于执行用户对数据源的访问请求。

45、数据挖掘：是指从大量数据中提取或“挖掘”知识，即从大量的、不完全的、有噪声的、模糊的、随机的实际数据中，提取隐含在其中的、人们不知道的、却是潜在有用的知识。数据挖掘的目标是发现隐藏于数据之后的规律或数据间的关系，从而服务于决策。

46、数据服务主要包括数据目录服务、数据查询与浏览及下载服务、数据分发服务。
（1）数据目录服务。对于需要共享数据的用户来说，往往存在不知道有哪些数据、不知道想要的数据在哪里、不知道如何获取想要的数据等困难。数据目录服务就是要解决这些问题，是用来快捷地发现和定位所需数据资源的一种检索服务，是实现数据共享的重要基础功能服务之一。
（2）数据查询域浏览及下载服务。数据查询、浏览和下载是网上数据共享服务的重要方式。
（3）数据分发服务。数据分发是指数据的生产者通过各种方式将数据传送到用户的过程。

47、数据可视化主要运用计算机图形学和图像处理技术，将数据转换成为图形或图像在屏幕上显示出来，并能进行交互处理。

48、数据库安全机制包括用户的身份认证、存取控制、数据库加密、数据审计、推理控制等内容。

49、传输介质分为无线传输介质和有线传输介质两大类。常用的无线传输介质主要包括无线电波、微波、红外线等，常用的有线传输介质主要包括双绞线、同轴电缆、光纤等。

50、网络按所覆盖的区域可分为区域网、城域网和广域网，由此网络交换也可以分为局域网交换技术、城域网交换技术和广域网交换技术。

51、数据集成的目的是运用一定的技术手段将系统中的数据按一定的规则组织称为一个整体，使得用户能有效地对数据进行操作。数据集成处理的主要对象是系统中各种异构数据库中的数据。数据仓库技术是数据集成的关键。数据集成是将参与数据库的有关信息在逻辑上集成为一个属于异构分布式数据库的全局概念模式，以达到信息共享的目的。数据集成可以分为基本数据集成、多级试图集成、模式集成和多粒度数据集成四个层次。

52、异构数据集成：数据集成的目的是为应用提供统一的访问支持，因此集成后的数据必须保证一定的完整性，包括数据完整性和约束完整性。

53、CORBA：OMG的目的则是为了将对象和分布式系统技术集成为一个可相互操作的统一结构，此结构既支持现有的平台也将支持未来的平台集成。

54、COM技术要达到的基本目标是：即使对象是由不同的开发人员用不同的编程语言实现的，在开发软件系统时，仍能够有效地利用已经存在于其他已有软件系统中的对象；同时，也要使当前所开发的对象便于今后开发其他软件系统时进行重用。

55、DCOM作为COM的扩展，不仅继承了COM优点，而且针对分布环境还提供了一些新的特性，如位置透明性、网络安全性、跨平台调用等。
COM+为COM的新发展或COM跟高层次上的应用，其底层结构仍然以COM为基础，几乎包容了COM的所有内容。COM+倡导了一种新的概念，它把COM组件软件提升到应用层而不再是底层的软件结构，通过操作系统的各种支持，使组件对象模型建立在应用层上，把所有组件的底层细节留给操作系统。因此，COM+与操作系统的结合更加紧密。

56、.NET开发框架在通用语言运行环境基础上，给开发人员提供了完善的基础类库、数据库访问技术及网络开发技术，开发者可以使用多种语言快速构建网络应用。

57、J2EE为搭建具有可伸缩性、灵活性、易维护性的组织系统提供了良好机制。J2EE的体系结构可以分为客户端层、服务器端组件层、EJB层和信息系统层。

58、应用集成或组织应用集成（EAI）是指将独立的软件应用连接起来，实现协同工作。对应用集成的技术要求大致有：
（1）具有应用间的互操作性：应用的互操作性提供不同系统间信息的有意义交换。此外，它还提供系统间功能服务的使用功能，特别是资源的动态发现和动态类型检查。
（2）具有分布式环境中应用的可移植性：提供应用程序在系统中迁移的潜力并且不破坏应用所提供的或正在使用的服务。这种迁移包括静态的系统重构或重新安装以及动态的系统重构。
（3）具有系统中应用分布的透明性：分布的透明性屏蔽了由系统的分布所带来的复杂性。

59、可以帮助协调连接各种应用的组件有：
（1）应用编程接口（API）：API是定义不同软件交互方式的程序和规则，可以支持应用之间相互通信。API利用特定的数据结构，帮助开发人员快速访问其他应用的功能。
（2）事件驱动型操作：当触发器（即事件）启动一个程序或一组操作时，系统就会执行事件驱动型操作。
（3）数据映射：将数据从一个系统映射到另一个系统，可以定义数据的交换方式，从而简化后续的数据导出、分组或分析工作。

60、安全空间的五大属性为：认证、权限、完整、加密和不可否认。

61、安全服务包括对等实体认证服务、数据保密服务、数据完整性服务、数据源点认证服务、禁止否认服务和犯罪证据提供服务等。
（1）对等实体认证服务。对等实体认证服务用于两个开放系统同等层中的实体建立链接或数据传输时，对对方实体的合法性、真实性进行确认，以防假冒。
（2）数据保密服务。数据保密服务包括多种保密服务，为了防止网络中各系统之间的数据被截获或被非法存取而泄密，提供密码加密保护。数据保密服务可提供链接方式和无链接方式两种数据保密，同时也可对用户可选字段的数据进行保护。
（3）数据完整性服务。数据完整性服务用以防止非法实体对交换数据的修改、插入、删除以及在数据交换过程中的数据丢失。
（4）数据源点认证服务。数据源点认证服务用于确保数据发自真正的源点，防止假冒。
（5）禁止否认服务。禁止否认服务用以防止发送方在发送数据后否认自己发送过此数据，接受方在收到数据后否认自己收到过此数据或伪造接收数据，由两种服务组成：不得否认发送和不得否认接收。
（6）犯罪证据提供服务。指为违反国内外法律法规的行为或活动，提供各类数字证据、信息线索等。

62、信息安全系统工程能力成熟度模型（ISSE-CMM）是一种衡量信息安全系统工程实施能力的方法，是使用面向工程过程的一种方法。ISSE-CMM主要适用于工程组织、获取组织和评估组织。

63、ISSE将信息安全系统工程实施过程分解为：工程过程、风险过程和保证过程三部分。

64、ISSE-CMM体系结构：如下表所示。