2012 下半年信息系统项目管理师真题参考答案+解析

原创

已于 2025-04-25 09:56:08 修改 · 1k 阅读

11 ·

CC 4.0 BY-SA版权

文章标签：

#信息系统项目管理师

于 2025-04-25 09:47:46 首次发布

2012 下半年 信息系统项目管理师 真题参考答案+解析

某信息系统项目采用原型法开发，以下做法中不正确的是（1）。

(1)A.前期花足够的时间与客户充分沟通，完全明确需求后再开发实现 B.系统分析、设计和实现工作之间不做严格的界限划分

C.动态响应用户的需求，逐步纳入用户的具体要求，逐步修改系统开发计划

D.本着开发人员对需求的初步理解，快速开发一个原型系统，再反复修改

【答案】A 【解析】

原型法：原型法的基本思想与结构化方法不同，原型法认为在很难一下子全面准确地提出用户需求的情况下，首先不要求一定要对系统做全面、详细的调查、分析，而是本着开发人员对用户需求的初步理解，先快速开发一个原型系统，然后通过反复修改来实现用户的最终系统需求。

是在投入大量的人力，物力之前，在限定的时间内，用最经济的方法开发出一个可实际运行的系统模型，用户在运行使用整个原型的基础上，通过对其评价，提出改进意见，对原型进行修改，统一使用，评价过程反复进行，使原型逐步完善，直到完全满足用户的需求为止。适用范围：处理过程明确、简单系统；涉及面窄的小型系统

不适用范围：大型、复杂系统，难以模拟；存在大量运算、逻辑性强的处理系统；管理基础工作不完善、处理过程不规范；大量批处理系统原型应当具备的特点如下。

（1）实际可行。

（2）具有最终系统的基本特征。

（3）构造方便、快速，造价低。

原型法的特点在于原型法对用户的需求是动态响应、逐步纳入的，系统分析、设计与实现都是随着对一个工作模型的不断修改而同时完成的，相互之间并无明显界限，也没有明确分工。系统开发计划就是一个反复修改的过程。适于用户需求开始时定义不清的系统开发，开发方法更宜被用户接受；但如果用户配合不好，盲目修改，就会拖延开发过程。

在软件产品即将面世前，为发现产品中的错误并及时修正，软件企业通常要组织内部人员模拟各类用户进行应用，即对该产品进行（2）.

(2)A.Alpha 测试 B.Beta 测试 C.冒烟测试 D.静态测试

【答案】A 【解析】

Alpha 测试由用户在开发者的场所进行，并且在开发者对用户的“指导 ”下进行测试。开发者负责记录发现在错误和使用中遇到的问题。总之，Alpha 测试是在受控的环境中进行的。

Beta 测试是用户公司组织各方面的典型终端用户在日常工作中实际使用beta 版本，并要求用户报告异常情况，提出批评意见。

两者区别：两者的主要区别是测试的场所不同。Alpha 测试是指把用户请到开发方的场所来测试，Beta 测试是指在一个或多个用户的场所进行的测试。Alpha 测试的环境是受开发方控制的，用户的数量相对比较少，时间比较集中。而 Beta 测试的环境是不受开发方控制的，谁也不知道用户如何折磨软件，用户数量相对比较多，时间不集中。一般地，Alpha 测试先于 Beta 测试执行。通用的软件产品需要较大规模的Beta 测试，测试周期比较长。如果产品通过了Beta 测试，那么就可以正式发行了。

“ 冒烟测试 ”（英文：smoke testing)这一术语源自硬件行业。对一个硬件或硬件组件进行更改或修复后，直接给设备加电。如果没有冒烟，则该组件就通过了测试。在软件中，“冒烟测试 ”这一术语描述的是在将代码更改嵌入到产品的源树中之前对这些更改进行验证的过程。在检查了代码后，冒烟测试是确定和修复软件缺陷的最经济有效的方法。冒烟测试设计用于确认代码中的更改会按预期运行，且不会破坏整个版本的稳定性。

静态测试包括代码检查、静态结构分析、代码质量度量等。它可以由人工进行，充分发挥人的逻辑思维优势，也可以借助软件工具自动进行。代码检查包括代码走查、桌面检查、代码审查等，主要检查代码和设计的一致性，代码对标准的遵循、可读性，代码的逻辑表达的正确性，代码结构的合理性等方面；可以发现违背程序编写标准的问题，程序中不安全、不明确和模糊的部分，找出程序中不可移植部分、违背程序编程风格的问题，包括变量检查、命名和类型审查、程序逻辑审查、程序语法检查和程序结构检查等内容。

在实际使用中，代码检查比动态测试更有效率，能快速找到缺陷；代码检查看到的是问题本身而非征兆。但是代码检查非常耗费时间，而且代码检查需要知识和经验的积累。代码检査应在编译和动态测试之前进行，在检查前，应准备好需求描述文档、程序设计文档、程序的源代码清单、代码编码标准和代码缺陷检查表等。

电子商务有多种物流模式，在（3）模式下，物流供应商是一个供应链盒物流方案的集成商，它对公司内部和具有互补性的服务供应商所拥有的不同资源、能力和技术能进行整合和管理，并提供一整套供应链解决方案，也是货主的物流方案集成商。

(3)A.物流联盟 B.第三方物流 C.第四方物流 D.物流一体化

【答案】C

【解析】

联盟是介于独立的企业与市场交易关系之间的一种组织形态，是企业间由于自身某些方面发展的需要而形成的相对稳定的、长期的契约关系。

物流联盟是以物流为合作基础的企业战略联盟，它是指两个或多个企业之间，为了实现自己物流战略目标，通过各种协议、契约而结成的优势互补、风险共担、利益共享的松散型网络组织。在现代物流中，是否组建物流联盟，作为企业物流战略的决策之一，其重要性是不言而喻的。在中国，物流水平还处于初级阶段，组建联盟便显得尤为重要。第三方物流是指生产经营企业为集中精力搞好主业，把原来属于自己处理的物流活动，以合同方式委托给专业物流服务企业，同时通过信息系统与物流企业保持密切联系，以达到对物流全程管理的控制的一种物流运作与管理方式。

第四方物流专门为第一方物流、第二方物流和第三方物流提供物流规划、咨询、物流信息系统、供应链管理等活动。第四方物流是物流业者提供一个整合性的物流，包括：金融、保险、多站式物流配送的安排。和第三方物流的差别则在第二物流只单纯的提供物流服务，第四方物流则是整合性的，例如：可协助进出口关税问题、收款等功能。第四方物流是提供物流系统设计与整合者。

所谓“物流一体化 ”就是以物流系统为核心的由生产企业、经由物流企业、销售企业直至消费者供应链的整体化和系统化。它是指物流业发展的一个高级和成熟的阶段。只有当物流业高度发达，物流系统日趋完善，物流业成为社会生产链条的领导者和协调者，才能够为社会提供全方位的物流服务。物流一体化的发展可分为三个层次：物流自身一体化；微观物流一体化；宏观物流一体化。

需求分析师为某电子商务网站制定的总体功能需求如下图所示，关于电子商务多网站的能共需求，下面说法不正确的是（4）。

(4)A.企业客户和个人客户在注册之后不可以完善资料和相互留言

B.个人客户在注册后不可以发布产品信息和供求信息 C.企业客户在注册后不可以发布竞拍信息并参与竞拍 D.该电子商务网站同时提供B2B 和 B2C 功能

【答案】A 【解析】

从图示看，企业客户和个人客户是“ 网络客户 ”的一种，或者说企业客户和个人客户属于“ 网络客户 ”，因“ 网络客户 ”在注册之后可以完善资料和相互留言。因此企业客户和个人客户在注册之后，也可以完善资料和相互留言。

边界值分析是一种常用的黑盒测试法。某程序循环体最少执行 0 次，最多执行 100 次，采用边界值分析法，宜选择（5）作为测试用例。

(5)A.循环 0 次、循环 1 次、循环 99 次、循环 100 次 B.循环 0 次、循环 100 次、循环 49 次、循环 50 次 C.循环 1 次、循环 99 次、循环 49 次、循环 50 次 D.循环 0 次、循环 100 次

【答案】A 【解析】

边界值分析法就是对输入或输出的边界值进行测试的一种黑盒测试方法。通常边界值分

析法是作为对等价类划分法的补充，这种情况下，其测试用例来自等价类的边界；使用边界值分析方法设计测试用例，首先应确定边界情况。通常输入和输出等价类的边界，就是应着重测试的边界情况。应当选取正好等于，刚刚大于或刚刚小于边界的值作为测试数据，而不是选取等价类中的典型值或任意值作为测试数据。边界值分析法设计测试用例时,应选取正好等于、刚刚大于、刚刚小于边界的值作为测试数据。

在设计和实现软件系统的功能模块时，（6）最不利于软件维护。

(6)A.系统的主要功能应该由一个模块实现 B.一个模块应该只实现一个主要功能

C.模块之间的相互作用和耦合应尽量小

D.一个模块应该只有一个控制入口和控制出口

【答案】A 【解析】

功能模块是指数据说明、可执行语句等程序元素的集合，它是指单独命名的可通过名字来访问的过程、函数、子程序或宏调用。功能模块化是将程序划分成若干个功能模块，每个功能模块完成一个子功能，再把这些功能模块总起来组成一个整体。以满足所要求的整个系统的功能。功能模块化的根据是，如果一个问题有多个问题组合而成，那么这个组合问题的复杂程度将大于分别考虑这个问题时的复杂程度之和。这个结论使得人们乐于利用功能模块化方法将复杂的问题分解成许多容易解决的局部问题。软件的设计和实现，应该遵循：“髙内聚，低耦合 ”，一个模块负责一个主要功能的实现，也应该只有一个控制入口和控制出口。否则，修改维护起来，很不方便。

某软件主要由操作系统程序和数据库程序组成。受前任项目经理的安排，甲正在开发该软件的数据库程序。乙和丙都在开发软件的操作系统。新任项目经理曾和甲、乙、丙共事，统计过他们开发类似程序的缺陷率水平。如下表所示，为保证该软件的代码质量，新任项目

经理应（7）。

(7)A.调换甲、丙的工作，各自在对方编写的代码基础上继续开发

B.维持开发任务分工不变，同时让乙培训丙

C.维持开发任务分工不变，同时让甲培训丙

D.维持开发任务分工不变，同时让甲培训乙，乙培训丙

【答案】B 【解析】

甲开发数据库程序缺陷率低，所以由甲开发数据库程序；乙开发操作系统程序缺陷率低，所以由乙开发操作系统程序，丙开发操作系统程序和数据库程序的缺陷率都比较高，所以需要乙进行培训。

CMMI 中的已管理级包含的七个过程域中，（8）的目的在于使工作人员和管理者客观洞察过程和相关的工作产品。

(8)A.度量和分析 B.供应商协定管理 C.过程和产品质量保证 D.项目策划

【答案】C 【解析】

CMMI 全称是 Capability Maturity Model Integration,即软件能力成熟度模型集成模型。分为如下 5 个级别：

台阶一：CMMI 一级，完成级。在完成级水平上，企业对项目的目标与要做的努力很清晰，项目的目标得以实现。但是由于任务的完成带有很大的偶然性，企业无法保证在实施同类项目的时候仍然能够完成任务。企业在一级上的项目实施对实施人员有很大的依赖性。

台阶二：CMMI 二级，管理级。在管理级水平上，企业在项目实施上能够遵守既定的计划与流程，有资源准备，权责到人，对相关的项目实施人员有相应的培训，对整个流程有监测与控制，并与上级单位对项目与流程进行审查。企业在二级水平上体现了对项目的一系列的管理程序。这一系列的管理手段排除了企业在一级时完成任务的随机性，保证了企业的所有项目实施都会得到成功。

台阶三：CMMI 三级，定义级。在定义级水平上，企业不仅能够对项目的实施有一整套的管理措施，并保障项目的完成；而且，企业能够根据自身的特殊情况以及自己的标准流程，将这套管理体系与流程予以制度化这样，企业不仅能够在同类的项目航得到成功的实施，在不同类的项目上一样能够得到成功的实施。科学的管理成为企业的一种文化，企业的组织财富。台阶四：CMMI 四级，量化管理级。在量化管理级水平上，企业的项目管理不仅形成了一种制度，而且要实现数字化的管理。对管理流程要做到量化与数字化。通过量化技术来实现流程的稳定性，实现管理的精度，降低项目实施在质量上的波动。

台阶五：CMMI 五级，优化级。在优化级水平匕企业的项目管理达到了最高的境界。企业不仅能够通过信息手段与数字化手段来实现对项目的管理，而且能够充分利用信息资料，对企业在项目实施的过程中可能出现的次品予以预防。能够主动地改善流程，运用新技术，实现流程的优化。

过程和产品质量保证的目的在于使工作人员和管理者客观洞察过程和相关的工作产品。

根据 GB/T11457-2006 的规定，使客户能确认是否接受系统的正式测试为（9）。

(9)A.合格性测试 B.验收测试 C.运行测试 D.系统测试

【答案】B 【解析】

单元测试：集中对用源代码实现的每一个程序单元进行测试，检查各个程序模块是否正确地实现了规定的功能。

集成测试：把已测试过的模块组装起来，主要对与设计相关的软件体系结构的构造进行测试。确认测试：则是要检查已实现的软件是否满足了需求规格说明中确定了的各种需求，以及软件配置是否完全、正确。

系统测试：把已经经过确认的软件纳入实际运行环境中，与其它系统成份组合在一起进行测试。

验收测试：系统开发生命周期方法论的一个阶段，这时相关的用户和／或独立测试人员根据测试计划和结果对系统进行测试和接收。它让系统用户决定是否接收系统。它是一项确定产品是否能够满足合同或用户所规定需求的测试。这是管理性和防御性控制。

根据《软件工程术语 GB/T11457-2006》，（10）是一个正式的过程，通过这个过程决定产品是否符合它的规格说明，是否可在目标环境中使用。

(10)A.走查 B.审计 C.认证 D.鉴定

【答案】D 【解析】

根据《软件工程术语 GB/T11457-2006》，鉴定是一个正式的过程，通过这个过程决定产品是否符合它的规格说明，是否可在目标环境中使用。

某软件系统投入运行 10 天，计划运行时间为每早 8 点至晚 6 点。第二天上午发生一次失效，故障恢复用了 1 小时。第 4 天上午发生一次失效，故障恢复用了 4 小时。第 9 天上午发生一次失效，故障恢复用了 1 小时。根据《软件工程产品质量 GB/16260-2006》，该软件系统的有效性（或可用性，availability）为（11）。

(11)A.98% B.95% C.80% D.94%

【答案】D 【解析】

可用性：在要求的外部资源得到保证的前提下，产品在规定的条件下和规定的时刻或时间区间内处于可执行规定功能状态的能力。它是产品可靠性、维修性和维修保障性的综合反映。

可用性=系统无故障运行时间/(系统无故障运行时间+系统故障维护时间）系统无故障运行时间=7*10+9+6+9=94 小时

系统故障维护时间=1+4+1=6 小时可用性=94/(94+6)=94%

总可用时间为 10 天*10 小时/天=100 小时，实际可用时间为 100-1-4-1=94 小时，所以可用性=94%

根据《软件可靠性和可维护性管理 GB/T14394-2008》，在软件开发各阶段都要求进行评审，其中与软件可靠性和可维护性有关的具体评审除包括需求评审和设计评审外，还包括

（12）。

(12)A.系统架构评审、测试评审、安装和验收评审、用户满意度评审 B.概念评审、测试评审、安装和验收评审、软件用户手册评审

C.配置项评审、测试评审、安装和验收评审、软件用户手册评审 D.代码走查、测试评审、安装和验收评审、用户满意度评审

【答案】B 【解析】

用户满意度评审根据与软件可靠性和可维护性无关，排除 A 和 D，概念评审是与软件可靠性和可维护性有关的具体评审。

《软件可靠性和可维护性管理 GB/T14394-2008》对软件可靠性和可维护性相关的评审包括，需求分析、概要设计、详细设计、软件验证与确认计划评审、文件和数据、培训等。

GB/T14394-2008，对软件的可靠性和可维护性管理做出了详细的规定，其中进行软件可行性分析制定初步软件开发计划，提出软件可靠性和可维护性分解目标，要求及经费的是（13）活动中的可靠性和可维护性要求。

(13)A.概念 B.需求 C.设计 D.实现

【答案】A 【解析】

参考《GB/T14394-2008》4.1.3.1 在概念活动中，进行软件可靠性分析，制定初步开发计划，提出目标，要求及经费。

概念活动中的可靠性和可维护性要求是进行软件可行性分析，制定初步软件开发计划，提出软件可靠性和可维护性分解目标、要求及经费。

信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害，根据《信息系统安全等级保护定级指南GB/T22240-2008》，该信息系统的安全保护等级至少应定为（14）级。

(14)A.一 B.二 C.三 D.四

【答案】C 【解析】

国标，等级划分指向国标定级指南：

根据等级保护相关管理文件，信息系统的安全保护等级分为以下五级：

第一级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益造成损害，但不损害国家安全、社会秩序和公共利益。

第二级，信息系统受到破坏后，会对公民、法人和其他组织的合法权益产生严重损害，或者对社会秩序和公共利益造成损害，但不损害国家安全。

第三级，信息系统受到破坏后，会对社会秩序和公共利益造成严重损害，或者对国家安全造成损害。

第四级，信息系统受到破坏后，会对社会秩序和公共利益造成特别严重损害，或者对国家安全造成严重损害。

第五级，信息系统受到破坏后，会对国家安全造成特别严重损害。

甲向乙发送其数据签名，要验证该签名，乙可使用（15）对该签名进行解密。

(15)A.甲的私钥 B.甲的公钥 C.乙的私钥 D.乙的公钥

【答案】B 【解析】

对文件进行加密只解决了传送信息的保密问题，而防止他人对传输的文件进行破坏，以及如何确定发信人的身份还需要采取其他的手段，这一手段就是数字签名 (Digital Signature)。在电子商务安全保密系统中，数字签名技术有着特别重要的地位，在电子商务安全服务中的源鉴别、完整性服务、不可否认服务中，都要用到数字签名技术。在电子商务中，完善的数字签名应具备签字方不能抵赖、他人不能伪造、在公证人面前能够验证真伪的能力。

目前的数字签名是建立在公共密钥体制基础上，它是公用密钥加密技术的另一类应用。它的主要方式是，报文的发送方从报文文本中生成一个 128 位的散列值（或报文摘要）。发送方用自己的私人密钥对这个散列值进行加密来形成发送方的数字签名。然后，这个数字签名将作为报文的附件和报文一起发送给报文的接收方。报文的接收方首先从接收到的原始报文中计算出 128 位的散列值（或报文摘要），接着再用发送方的公用密钥来对报文附加的数字签名进行解密。如果两个散列值相同、那么接收方就能确认该数字签名是发送方的。通过数字签名能够实现对原始报文的鉴别。

假设 A 和 B 之间要进行加密通信，则正确的非对称加密流程是（16）。

①A 和 B 都要产生一对用于加密和解密的加密密钥和解密密钥

②A 将公钥传送给 B，将私钥自己保存，B 将公钥传送给 A，将私钥自己保存

③A 发送消息给 B 时，先用 B 的公钥对信息进行加密，再将密文发送给 B

④B 收到A 发来的消息时，用自己的私钥解密

(16)A.①②③④ B.①③④② C.③①②④ D.②③①④

【答案】A 【解析】

与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（piiblickey)和私有密钥（privatekey)。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密：如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

我国强制性国家标准《计算机信息安全保护等级划分准则》将计算机信息系统分为 5 个安全保护等级，其中适用于地方各级国家机关、金融机构、邮电通信、能源与水源供给部门的信息系统适用（17）。

(17)A.安全标记保护级 B.结构化保护级

C.访问验证保护级 D.系统审计保护级

【答案】A 【解析】

本标准规定了计算机系统安全保护能力的五个等级，即：

第一级：用户自主保护级。本级的计算机信息系统可信计算基通过隔离用户与数据，使用户具备自主安全保护的能力。它具有多种形式的控制能力，对用户实施访问控制，即为用户提供可行的手段，保护用户和用户组信息，避免其他用户对数据的非法读写与破坏。

第二级：系统审计保护级。与用户自主保护级相比，本级的计算机信息系统可信计算基实施了粒度更细的自主访问控制，它通过登录规程、审计安全性相关事件和隔离资源，使用户对自己的行为负责。

第三级：安全标记保护级。本级的计算机信息系统可信计算基具有系统审计保护级所有功能。此外，还提供有关安全策略模型、数据标记以及主体对客体强制访问控制的非形式化描述；具有准确地标记输出信息的能力；消除通过测试发现的任何错误。

第四级：结构化保护级。本级的计算机信息系统可信计算基建立于一个明确定义的形式化安全策略模型之上，它要求将第三级系统中的自主和强制访问控制扩展到所有主体与客体。此外，还要考虑隐蔽通道。本级的计算机信息系统可信计算基必须结构化为关键保护元素和非关键保护元素。计算机信息系统可信计算基的接口也必须明确定义，使其设计与实现能经受更充分的测试和更完整的复审。加强了鉴别机制；支持系统管理员和操作员的职能；提供可信设施管理；增强了配置管理控制。系统具有相当的抗渗透能力。

第五级：访问验证保护级。本级的计算机信息系统可信计算基满足访问监控器需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。

关于入侵检测系统（IDS），下面说法不正确的是（18）。

(18)A. IDS 的主要功能是对计算机和网络资源上的恶意使用行为进行识别和响应 B. IDS 需要配合安全审计系统才能应用，后者为前者提供审计分析资料

C. IDS 主要用于检测来自外部的入侵行为

D. IDS 可用于发现合法用户是否滥用特权

【答案】B 【解析】

入侵检测系统（简称 IDS)是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于， IDS 是一种积极主动的安全防护技术。专业上讲就是依照一定的安全策略，通过软、硬件，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、攻击行为或者攻击结果，以保证网络系统资源的机密性、完整性和可用性。

对一个成功的入侵检测系统来讲，它不但可使系统管理员时刻了解网络系统（包括程序、文件和硬件设备等）的任何变更，还能给网络安全策略的制订提供指南。更为重要的一点是，它应该管理、配置简单，从而使非专业人员非常容易地获得网络安全。而且，入侵检测的规模还应根据网络威胁、系统构造和安全需求的改变而改变。入侵检测系统在发现入侵后，会及时作出响应，包括切断网络连接、记录事件和报警等。具体来说，入侵检测系统的主要功能有：

•监测并分析用户和系统的活动；

•核查系统配置和漏洞；

•评估系统关键资源和数据文件的完整性；

•识别已知的攻击行为；

•统计分析异常行为；

•操作系统日志管理，并识别违反安全策略的用户活动。

在安全审计系统中，审计 Agent（代理）是直接同被审计网络和系统连接的部分，审计 Agent 主要可以分为网络监听型 Agent、（19）、主动信息获取型 Agent 等。

(19)A.流量检测 Agent B.文件共享 Agent

C.入侵检测 Agent D.系统嵌入型 Agent

【答案】D 【解析】

审计 Agent 的分类：网络监听型、系统嵌入型、主动信息获取型。

对于网络监听型的审计 Agent,需要运行在一个网络监听专用硬件平台上，在系统中，该硬件被称为网探。根据所处的网络平台的不同，网探分为百兆网探、千兆网探。