2021年下半年软件水平考试(高级)系统架构师下午(论文)真题试卷
选答题1
1.论面向方面的编程技术及其应用
针对应用开发所面临的规模不断扩大、复杂度不断提升的问题,面向方面的编程(Aspect Oriented Programming,AOP)技术提供了一种有效的程序开发方法。为了理解和完成一个复杂的程序,通常要把程序进行功能划分和封装。一般系统中的某些通用功能,如安全性、持续性、日志记录等等,其代码是分散的,较难实现模块化,不利于程序演变、维护和更新。AOP技术将逻辑上关系松散的代码封装到一个具有某种公共行为的可重用模块,并将其命名为方面(Aspect)。
请围绕“面向方面的编程技术及其应用”论题,依次从以下三个方面进行论述。
1.概要叙述你参与实施的应用AOP技术的软件项目以及你在其中所担任的主要工作。
2.叙述在软件项目实践过程使用AOP技术开发的具体步骤。
3.结合项目内容,论述该项目使用AOP技术的原因,开发过程中存在的问题和解决方法,以及使用AOP技术带来的实际应用效果。
一、简要叙述所参与实施的应用AOP技术的软件项目,并明确指出在其中承担的主要任务和开展的主要工作。
二、叙述在软件项目实践过程使用AOP技术开发的具体步骤。
AOP应用程序包括以下三个主要的开发步骤:
1.将系统需求进行功能性分解,区分出普通关注点以及横切关注点,确定哪些功能是组件语言必须实现的,哪些功能可以以Aspect的形式动态加入到系统组件中。
2.单独完成每一个关注点的编码和实现,构造系统组件和系统Aspect。这里的系统组件,是实现该系统的基本模块,对OOP语言,这些组件可以是类;对于过程化程序设计语言,这些组件可以是各种函数和API。系统Aspect是指用AOP语言实现的将横切关注点封装成的独立的模块单元。
3.用联结器指定的重组规则,将组件代码和Aspect代码进行组合,形成最终系统。为达到此目的,应用程序需要利用或创造一种专门指定规则的语言,用它来组合不同应用程序片断。这种用来指定联结规则的语言可以是一种已有编程语言的扩展,也可以是一种完全不同的全新语言。
三、结合项目内容,论述该项目使用AOP技术的原因,开发过程中存在的问题和解决方法,以及使用AOP技术带来的实际应用效果。
1.该项目使用AOP技术的原因:结合项目实际情况,从项目中代码分散现象出发,分析使用AOP技术的必要性。
2.开发过程中存在的问题和解决方法:需结合自身参与项目的实际状况,围绕AOP技术的使用,阐述开发过程中遇到的问题和相应的解决方法。
3.使用AOP技术带来的实际应用效果:从可扩展性、可重用性、易理解性、易维护性等方面阐述.AOP技术的实际应用效果。
(1)可扩展性:指软件系统在需求更改时程序的易更改能力。AOP提供系统的扩展机制,通过扩展Aspect(AspectJ支持Aspect的继承机制)或增加Aspect,系统相关的各个
部分都随之产生变化。由此带来的另一个好处是在软件测试中,通过屏蔽某些Aspect,可以大大简化软件测试的复杂度,提高测试精度。
(2)可重用性:是指某个应用系统中的元素被应用到其他系统的能力。AOP中的系统模块包括系统组件和影响这些组件的特性,通过将实现基本功能的组件和特定应用的系统特性分离,使得组件(包括类或者函数)的重用性得到提高,并使不能封装为类或函数的系统元素的重用成为可能。
(3)易理解性和易维护性:是影响软件质量的内在因素,它对软件开发人员和维护人员产生影响。在AOP技术中,对一个Aspect的修改可以通过联结器影响到系统相关的各个部分,从而大大提高了系统的易维护性。另外,对系统特征的模块化封装无疑也能提高程序的易理解性。
解析:
选答题2
2.论系统安全架构设计及其应用
随着社会信息化进程的加快,计算机及网络已经被各行各业广泛应用,信息安全问题也变得愈来愈重要。它具有机密性、完整性、可用性、可控性和不可抵赖性等特征。信息系统的安全保障是以风险和策略为基础,在信息系统的整个生命周期中提供包括技术、管理、人员和工程过程的整体安全,以保障信息的安全特征。
请围绕“系统安全架构设计及其应用”论题,依次从以下三个方面进行论述。
1.概要叙述你参与管理和开发的涉及安全架构设计的软件项目以及承担的主要工作。
2.请详细论述安全架构设计中鉴别框架和访问控制框架设计的内容,并论述鉴别和访问控制所面临的主要威胁有哪些,说明其危害。
3.请简要说明在你所参与项目的开发过程中,在鉴别框架和访问控制框架设计中存在的实际问题,以及是如何解决这些问题的。
一、简要描述所参与的软件系统开发项目,并明确指出在其中承担的主要任务和开展的主要工作。
二、详细论述安全架构设计中鉴别框架和访问控制框架设计的内容,并论述鉴别和访问控制所面临的主要威胁有哪些,说明其危害。
鉴别框架:鉴别(Authentication)的基本目的,就是防止其他实体占用和独立操作被鉴别实体的身份。
鉴别的方式主要基于以下5种:
(1)已知的,如一个秘密的口令。
(2)拥有的,如IC卡、令牌等。
(3)不改变的特性,如生物特征。
(4)相信可靠的第三方建立的鉴别(递推)。
(5)环境(如主机地址等)。
访问控制框架:访问控制(Access Control)决定开放系统环境中允许使用哪些资源、在什么地方适合阻止未授权访问的过程。在访问控制实例中,访问可以是对一个系统(即对一个系统通信部分的一个实体)或对一个系统内部进行的。
ACI(访问控制信息)是用于访问控制目的的任何信息,其中包括上下文信息。ADI(访问控制判决信息)是在做出一个特定的访问控制判决时可供ADF使用的部分(或全部)ACI。ADF(访问控制判决功能)是一种特定功能,它通过对访问请求、ADI以及该访问请求的上下文使用访问控制策略规则而做出访问控制判决。AEF(访问控制实施功能)确保只有对目标允许的访问才由发起者执行。
主要的安全威胁有:
(1)信息泄露:信息被泄露或透露给某个非授权的实体。
(2)破坏信息的完整性:数据被非授权地进行增删、修改或破坏而受到损失。
(3)拒绝服务:对信息或其他资源的合法访问被无条件地阻止。
(4)非法使用(非授权访问):某一资源被某个非授权的人或以非授权的方式使用。
(5)假冒:通过欺骗通信系统(或用户)达到非法用户冒充成为合法用户,或者特权小的用户冒充成为特权大的用户的目的。黑客大多是采用假冒进行攻击。
(6)旁路控制:攻击者利用系统的安全缺陷或安全性上的脆弱之处获得非授权的权利或特权。例如,攻击者通过各种攻击手段发现原本应保密,但是却又暴露出来的一些系统“特性”。利用这些“特性”,攻击者可以绕过防线守卫者侵入系统的内部。
(7)授权侵犯:被授权以某一目的使用某一系统或资源的某个人,却将此权限用于其他非授权的目的,也称作“内部攻击”。
(8)窃取:重要的安全物品,如令牌或身份卡被盗。
三、简要说明在你所参与项目的开发过程中,在鉴别框架和访问控制框架设计中存在的实际问题,以及是如何解决的。
解析:
选答题3
3.论企业集成平台的理解与应用
企业集成平台(Enterprise Integration Platform,EIP
本文档预览:3600字符,共6269字符,源文件无水印,下载后包含无答案版和有答案版,查看完整word版点下载
