軟件體系結(jié)構(gòu)軟件體系結(jié)構(gòu)的質(zhì)量屬性

《軟件體系結(jié)構(gòu)軟件體系結(jié)構(gòu)的質(zhì)量屬性》由會員分享，可在線閱讀，更多相關(guān)《軟件體系結(jié)構(gòu)軟件體系結(jié)構(gòu)的質(zhì)量屬性（86頁珍藏版）》請在裝配圖網(wǎng)上搜索。

1、1軟件體系結(jié)構(gòu)質(zhì)量屬性張平健華南理工大學軟件學院2Relationship of Functionality and Quality AttributesFunctionalityQuality3功能與體系結(jié)構(gòu)lFunctionality and quality attributes are orthogonal. lFunctionality may be achieved through the use of any of a number of possible structures. 456l 軟件體系結(jié)構(gòu)技術(shù)的核心是在系統(tǒng)開發(fā)過程中盡可能早地處理相關(guān)質(zhì)量問題。7l 可用性l 可修改性

2、l 性能l 安全性l 可測試性l 易用性通過軟件的執(zhí)行才可見的質(zhì)量因素通過軟件的執(zhí)行才可見的質(zhì)量因素非執(zhí)行可見的質(zhì)量因素非執(zhí)行可見的質(zhì)量因素8l 中國地球系統(tǒng)科學數(shù)據(jù)共享網(wǎng)：提供科學數(shù)據(jù)共享服務(wù)的軟件平臺，要為科學數(shù)據(jù)共享提供廣泛的技術(shù)環(huán)境支持。9特點：數(shù)據(jù)來源分散。l 科學數(shù)據(jù)的采集和獲取，是從科學工作者的研究工作中一點一滴地收集起來的。它們掌握在各個科研院所、科研人員手中。因此，作為科學數(shù)據(jù)共享網(wǎng)的主要服務(wù)內(nèi)容科學數(shù)據(jù)，可能是分布在全國各地，甚至還可能來自國外。10特點：數(shù)據(jù)的海量存儲l 目前人們掌握的科學數(shù)據(jù)是經(jīng)歷了數(shù)年、數(shù)十年地收集整理而得到的?？梢韵胂?，數(shù)據(jù)量是相當龐大的；尤其是氣象

3、、地震、地學等學科領(lǐng)域的數(shù)據(jù)資源，更是巨大。顯然，這需要借助海量存儲技術(shù)對科學數(shù)據(jù)資源進行存儲和管理。11特點：運算量大l 由于數(shù)據(jù)量的龐大，所以科學數(shù)據(jù)資源的收集、搜索方面的運算量是可觀的。此外，科學數(shù)據(jù)共享網(wǎng)不僅僅提供數(shù)據(jù)共享的功能，還會提供科學數(shù)據(jù)計算等增值服務(wù)，這無形中也增加了系統(tǒng)的運算量。12特點：使用人員廣泛l 科學數(shù)據(jù)有其廣泛深遠的研究價值、社會價值和經(jīng)濟價值。所以，對科學數(shù)據(jù)有使用需求的人員是來自各行各業(yè)的，既有科研單位和學者，也有政府機構(gòu)和企業(yè)單位。13l 能夠快捷地收集數(shù)據(jù)。科學數(shù)據(jù)分散在科研院所和科學家科學數(shù)據(jù)分散在科研院所和科學家當中。要設(shè)計開發(fā)一套收集數(shù)據(jù)的機制，使其

4、能夠快速地整當中。要設(shè)計開發(fā)一套收集數(shù)據(jù)的機制，使其能夠快速地整合到系統(tǒng)中，提供數(shù)據(jù)共享服務(wù)。數(shù)據(jù)收集的途徑主要通過合到系統(tǒng)中，提供數(shù)據(jù)共享服務(wù)。數(shù)據(jù)收集的途徑主要通過網(wǎng)絡(luò)媒介，而且不能影響系統(tǒng)所提供的網(wǎng)絡(luò)服務(wù)的正常運行。網(wǎng)絡(luò)媒介，而且不能影響系統(tǒng)所提供的網(wǎng)絡(luò)服務(wù)的正常運行。l 有效存儲和管理海量的數(shù)據(jù)，并快速定位數(shù)據(jù)。該系該系統(tǒng)能夠提供目錄服務(wù)，合理地管理數(shù)據(jù)；提供給用戶查閱、統(tǒng)能夠提供目錄服務(wù)，合理地管理數(shù)據(jù)；提供給用戶查閱、下載、使用數(shù)據(jù)的服務(wù)。當用戶在系統(tǒng)中查找數(shù)據(jù)時，希望下載、使用數(shù)據(jù)的服務(wù)。當用戶在系統(tǒng)中查找數(shù)據(jù)時，希望能夠快速定位數(shù)據(jù)，提供服務(wù)，平均響應(yīng)時間最長不超過能夠快速定位

5、數(shù)據(jù)，提供服務(wù)，平均響應(yīng)時間最長不超過20秒。秒。l 保護數(shù)據(jù)版權(quán)，保證數(shù)據(jù)的安全性?？茖W數(shù)據(jù)存在著版科學數(shù)據(jù)存在著版權(quán)的問題。在數(shù)據(jù)使用上，需要版權(quán)保護。此外，由于一些權(quán)的問題。在數(shù)據(jù)使用上，需要版權(quán)保護。此外，由于一些數(shù)據(jù)有其時效性和保密性，所以在提供服務(wù)時需要對數(shù)據(jù)訪數(shù)據(jù)有其時效性和保密性，所以在提供服務(wù)時需要對數(shù)據(jù)訪問進行相應(yīng)的安全控制。問進行相應(yīng)的安全控制。14 質(zhì)量屬性 針對質(zhì)量屬性的需求 可用性可用性/可靠性可靠性 系統(tǒng)應(yīng)能長期穩(wěn)定地提供服務(wù)，近似系統(tǒng)應(yīng)能長期穩(wěn)定地提供服務(wù)，近似7 X 24小時工作強度；小時工作強度； 在負載過重或是系統(tǒng)崩潰的情況下，能保證用戶請求不丟失；在負載

6、過重或是系統(tǒng)崩潰的情況下，能保證用戶請求不丟失； 當系統(tǒng)出現(xiàn)故障或崩潰時，恢復(fù)時間不超過兩小時；當系統(tǒng)出現(xiàn)故障或崩潰時，恢復(fù)時間不超過兩小時； 可維護性可維護性 修改某個子系統(tǒng)或服務(wù)時，不影響其他子系統(tǒng)或服務(wù)；修改某個子系統(tǒng)或服務(wù)時，不影響其他子系統(tǒng)或服務(wù)； 性能性能 高峰時系統(tǒng)的平均響應(yīng)時間控制在高峰時系統(tǒng)的平均響應(yīng)時間控制在20秒以內(nèi)；秒以內(nèi)； 系統(tǒng)能夠滿足系統(tǒng)能夠滿足100個并發(fā)的用戶查詢請求；個并發(fā)的用戶查詢請求； 系統(tǒng)至少能夠支持系統(tǒng)至少能夠支持2000個用戶的在線服務(wù)；個用戶的在線服務(wù)； 安全性安全性 對有保密性要求的數(shù)據(jù)實施安全控制；對有保密性要求的數(shù)據(jù)實施安全控制； 提供系統(tǒng)運

7、行日志監(jiān)控信息，供管理員了解系統(tǒng)運行狀態(tài)；提供系統(tǒng)運行日志監(jiān)控信息，供管理員了解系統(tǒng)運行狀態(tài)； 商業(yè)屬性商業(yè)屬性 2005年中期完成系統(tǒng)，年底前投入正式使用；年中期完成系統(tǒng)，年底前投入正式使用； 能夠利用現(xiàn)有系統(tǒng)的可利用資源；能夠利用現(xiàn)有系統(tǒng)的可利用資源； 初期總共投資初期總共投資2000萬，分別用于系統(tǒng)的集成建設(shè)和開發(fā)、共享萬，分別用于系統(tǒng)的集成建設(shè)和開發(fā)、共享 數(shù)據(jù)標準的制定。數(shù)據(jù)標準的制定。15l 一般兩種途徑：l 用戶直接主動地提供的需求。主要是一些功能性需求和領(lǐng)域知識。l 另一條是構(gòu)架師設(shè)計“對話問題”，通過對用戶提問，進一步與他們溝通，從而得到更明確的需求。（構(gòu)架師以軟件系統(tǒng)各方面

8、的質(zhì)量屬性為索引，系統(tǒng)地啟發(fā)用戶談出他們實際需要、 但沒有表達出來或是表達不完全的內(nèi)容。這些需求雖不是具體的功能，但是對系統(tǒng)設(shè)計和實現(xiàn)具有巨大的影響）16人，計算機系統(tǒng)或其它激勵源可以是整個系統(tǒng)，或系統(tǒng)的一部分17l 刻畫質(zhì)量屬性的手段,6部分組成：l 刺激源刺激源l 刺激刺激l 環(huán)境環(huán)境l 制品制品l 響應(yīng)響應(yīng)l 響應(yīng)度量響應(yīng)度量l 以一種統(tǒng)一規(guī)范的方式來表達“質(zhì)量屬性”的需求。1819l 可用性l 可修改性l 性能l 安全性l 可測試性l 易用性20l 與系統(tǒng)故障及其相關(guān)后果有關(guān)。l 所關(guān)注的方面：l 如何檢測系統(tǒng)故障如何檢測系統(tǒng)故障l 系統(tǒng)故障發(fā)生的頻度系統(tǒng)故障發(fā)生的頻度l 出現(xiàn)故障時會

9、發(fā)生什么情況出現(xiàn)故障時會發(fā)生什么情況l 允許系統(tǒng)有多長時間非正常運行允許系統(tǒng)有多長時間非正常運行l(wèi) 什么時候可以安全地消除故障什么時候可以安全地消除故障l 如何防止故障的發(fā)生以及發(fā)生故障時要求進行哪種通知如何防止故障的發(fā)生以及發(fā)生故障時要求進行哪種通知21場景的部分 可能的值l 源源 系統(tǒng)內(nèi)部，系統(tǒng)外部系統(tǒng)內(nèi)部，系統(tǒng)外部l 刺激刺激 缺陷：疏忽未響應(yīng)、崩潰、時間錯誤、響應(yīng)錯誤缺陷：疏忽未響應(yīng)、崩潰、時間錯誤、響應(yīng)錯誤l 制品制品 系統(tǒng)的處理器、通信通道、持久存儲器、進程系統(tǒng)的處理器、通信通道、持久存儲器、進程l 環(huán)境環(huán)境 正常操作、降級模式正常操作、降級模式l 響應(yīng)響應(yīng) 系統(tǒng)應(yīng)該檢測事件，并進

10、行如下一個或多個活動系統(tǒng)應(yīng)該檢測事件，并進行如下一個或多個活動l 將其紀錄下來；將其紀錄下來；l 通知適當?shù)母鞣?，包括用戶和其它系統(tǒng)；通知適當?shù)母鞣?，包括用戶和其它系統(tǒng)；l 根據(jù)已定義的規(guī)則禁止導(dǎo)致錯誤或故障的事件源；根據(jù)已定義的規(guī)則禁止導(dǎo)致錯誤或故障的事件源； l 在一段預(yù)先指定的時間間隔內(nèi)不可用，其中，時在一段預(yù)先指定的時間間隔內(nèi)不可用，其中，時 間間隔取決于系統(tǒng)的關(guān)鍵程度；繼續(xù)或降級運行。間間隔取決于系統(tǒng)的關(guān)鍵程度；繼續(xù)或降級運行。l 響應(yīng)度量響應(yīng)度量 系統(tǒng)必須可用的時間間隔系統(tǒng)必須可用的時間間隔 可用時間可用時間 系統(tǒng)可在降級模式下運行的時間系統(tǒng)可在降級模式下運行的時間 修復(fù)時間修復(fù)時

11、間22 這個屬性對于一些安全性非常關(guān)鍵的系統(tǒng)是十分重要的，例如：飛機上的軟件，醫(yī)院使用的系統(tǒng)等等，如果系統(tǒng)“down”掉，會傷及人或有威脅生命危險的一些系統(tǒng)。 它是在系統(tǒng)、組件或是應(yīng)用程序發(fā)生故障時快速恢復(fù)基本服務(wù)的系統(tǒng)管理策略。其目的是最大程度地減少服務(wù)中斷，而不是容錯。23l 是系統(tǒng)正常運行的時間比例。一般將系統(tǒng)可用性定義為：l 在計算可用性時，通常不考慮預(yù)定的停機時間l 可理解為計算機在任一時刻正常工作的概率。平均修復(fù)時間）（平均正常工作時間平均正常工作時間24設(shè)計決策或策略，實現(xiàn)質(zhì)量屬性所采用的方法或解決方案。l 可用性戰(zhàn)術(shù)用于以下幾方面：錯誤檢測（錯誤檢測（ Fault Detect

12、ion ）錯誤恢復(fù)（錯誤恢復(fù)（ Fault Recovery ）錯誤預(yù)防（錯誤預(yù)防（ Fault Prevention）l 可用性戰(zhàn)術(shù)阻止錯誤發(fā)展成故障；或者把錯誤的影響限制在一定范圍內(nèi)，從而使修復(fù)成為可能。25 系統(tǒng)必須能夠檢測任何潛在的錯誤,從這些錯誤中恢復(fù)或在第一時間阻止它們的發(fā)生.避免錯誤發(fā)展成為故障。l 命令/響應(yīng)l 心跳l 異常26命令/響應(yīng)(ping/echo)l 類似于ping命令, 在客戶和服務(wù)器之間發(fā)送一個packet來判斷系統(tǒng)是否正常運行.這個戰(zhàn)術(shù)一般用于網(wǎng)絡(luò)系統(tǒng)。27心跳(Heartbeat monitor)l 類似于“命令/響應(yīng)”, 所不同的是“心跳”一般用于軟件組件

13、之間。一個組件每隔一定的時間發(fā)出一個心跳消息，另一個組件收聽該消息；利用這種方式告訴收聽消息的組件它在正常運轉(zhuǎn)。28例子：集群式服務(wù)器29例子：ATMl 自動柜員機可以定期向服務(wù)器發(fā)送上一次交易的日志。該消息不僅起到了心跳的作用，而且傳送了要處理的數(shù)據(jù)。30異常（Exception）l 錯誤類：l 疏忽：組件未能對某個輸入做出響應(yīng)l 崩潰：組件不斷遭受疏忽的錯誤l 時間：組件做出了響應(yīng)，但做出響應(yīng)的時間太早或太遲l 響應(yīng)：組件用了一個不正確的值做出了響應(yīng) 當識別出了上述錯誤類中的某一個時，就會出現(xiàn)異常，異常處理程序通常在引入該異常的相同進程中執(zhí)行。例如：java和C+中的異常處理機制31異常（

14、Exception） 當出現(xiàn)某些指定的硬件故障或軟件錯誤時，系統(tǒng)仍能執(zhí)行規(guī)定的一組程序，或者說程序不會因系統(tǒng)中的故障而中止或被修改，并且執(zhí)行結(jié)果也不包含系統(tǒng)中故障所引起的差錯。32Basic Input Value12341. Voter sends out simple value to different processes at same time.2. Each processes does a simple calculation on the input value.3. The result is sent back to the voter process.4. If a pr

15、ocess result is incorrect (fault), the process may be terminated/restarted.Think about voting for your favourite sports star, if one candidate does something bad, you might not vote for him/her!Process 1Process 2Process 3Voter同時也可用于錯誤檢測33 版本版本1版本版本2版本版本N表表決決器器結(jié)果結(jié)果告警告警多數(shù)少數(shù)34 Do Some Action1231. Contr

16、oller requests processes to do an action.2. Each process receives request and works on the action.3. A response is sent back from each process.If there is a fault, a recovery will be very fast. The controller could send out requests to check if a process is down and expect a receipt to show process

17、up.Process 1Process 2Process 3Controller35 1. The main component receives new data. 2. The main component sends old data/state to backup components.3. If fault happens, decision has to be made to what backup component to switch. Main Component Data Backup1Old Data Backup2Old DataNew Data12336一般用于硬件/

18、操作系統(tǒng)的解決方案l 出現(xiàn)故障時，必須將其重新啟動為適當?shù)能浖渲茫ζ錉顟B(tài)進行初始化，一般用原來組件的數(shù)據(jù)和狀態(tài)。37 設(shè)置出現(xiàn)故障的組件可以在短時間內(nèi)以“Shadow模式”運行，以確保在恢復(fù)該組件之前，模仿工作組件的行為。38 Restore the new active component to that of the state of the previously active component dependent on downtime/upgrades/patches, etc. 一般用于主動/被動冗余.39l 在執(zhí)行的程序中設(shè)置若干測試點，在每個測試點上檢查輸出結(jié)果。當測試程

19、序檢測出錯誤時，就認為正在執(zhí)行的程序是一個錯誤運行的系統(tǒng)，這段程序要被重新執(zhí)行，即程序的回滾。40Fault Preventionl Removal from service (via reboot, etc)l Transactions l Process monitor (kill the nonperforming process and create a new instance of it, initialized to some appropriate state as in the spare tactic. )41Summary of availability tactics

20、42Example: Availability tactics of an information systeml Fault detectionPing: about every 5 secondsHeartbeat: should receive a notice every 5 secondsException handlingl RecoveryHot restart/switch: redirect to backup serverBackup communication pathState resynchronization: backup db files, redo logl

21、PreventionRemoval from service: keep only minimal servicesTransaction43l 有關(guān)變更的成本問題，它提出兩個關(guān)注點：l （1）可以修改什么（制品）？）可以修改什么（制品）？l （2）何時進行變更以及由誰進行變更（環(huán)境）？）何時進行變更以及由誰進行變更（環(huán)境）？44場景的部分 可能的值l 源 最終用戶，開發(fā)人員，系統(tǒng)管理員l 刺激 希望增加/刪除/修改/改變功能、質(zhì)量屬 性、容量l 制品 系統(tǒng)用戶界面、平臺、環(huán)境或與目標系統(tǒng) 交互的系統(tǒng)l 環(huán)境 在運行時、編譯時、構(gòu)建時、設(shè)計時l 響應(yīng) 查找構(gòu)架中需要修改的位置，進行修改且 不會

22、影響其它功能，對所做的修改進行測 試，部署所作的修改l 響應(yīng)度量 根據(jù)所影響的元素的數(shù)量度量的成本、努 力、資金；該修改對其他功能或質(zhì)量屬性 所造成的影響程度45 局部化修改防止連鎖反應(yīng)推遲綁定時間46l “局部化”修改戰(zhàn)術(shù)l “防止連鎖反應(yīng)”戰(zhàn)術(shù)l “推遲綁定時間”戰(zhàn)術(shù)47l 目標：把變更限制在一定范圍內(nèi)l 在“設(shè)計”期間為模塊分配責任，以把預(yù)期變更限制在一定范圍內(nèi)。48l 維持語義的一致性l 預(yù)期期望的變更l 泛化該模塊l 限制可能的選擇49l 指模塊中責任之間的關(guān)系；目標是確保這些責任協(xié)同工作。責任越單一越好。（Java類和方法的設(shè)計原則，Unix哲學）l 子戰(zhàn)術(shù)：抽象出通用服務(wù)：例如：

23、Visual Studio框架；中間件的使用。50l 考慮所預(yù)想變更的集合。l 戰(zhàn)術(shù)目標是降低變更的影響，由于無法預(yù)期所有的變更，實踐中很難單獨應(yīng)用，通常結(jié)合語義一致性來使用。l 例如虛函數(shù)void* 指針51泛化模塊泛化模塊l 模塊越廣泛，需要作的變更越有可能通過調(diào)整輸入?yún)?shù)達到，而不用修改模塊。l 例如：C+模板庫、通用編程概念52限制可能的選擇限制可能的選擇l 如果修改的范圍非常大，影響很多模塊，則限制能進行的修改，從而降低影響。l 例如，軟件產(chǎn)品線限制支持主流平臺53l （1）語法（數(shù)據(jù)格式、服務(wù)簽名）l （2）語義（數(shù)據(jù)、服務(wù)語義）l （3）順序（數(shù)據(jù)順序、時間約束）l （4）A的一

24、個接口的身份l （5）A的位置l （6）A提供的數(shù)據(jù)/服務(wù)質(zhì)量l （7）A的存在l （8）A的資源行為5455l 添加接口l 添加適配器l stub程序：如果修改要求刪除A,且B依賴于A的簽名，則為A提供一個stub程序可使B保持不變模塊A適配器56l限制通信路徑 reduce the number of modules that consume data produced by the given module and the number of modules that produce data consumed by it. l仲裁者的使用：管理依賴關(guān)系data (syntax). Re

25、positories (both blackboard and passive) act as intermediaries between the producer and consumer of data to convert data format etc.57l 仲裁者的使用service (syntax). The facade, bridge, mediator, strategy, proxy, and factory patterns to convert interface.identity of an interface of A. A broker pattern to

26、hide identity.location of A (runtime). A name server enables the location of A to be changed without affecting B. A resource manager is an intermediary that is responsible for resource allocation. existence of A. The factory pattern has the ability to create instances as needed. 58推遲綁定時間l 在運行時注冊：即插即

27、用l 配置文件：在啟動時設(shè)置參數(shù)l 多態(tài)：允許方法調(diào)用的后期綁定l 組件更換：允許載入時間綁定l 遵守已定義的協(xié)議：允許獨立進程的運行時綁定59Summary of modifiability tactics 60Example: modifiability tactics of DWl Localize changesSemantic coherence: modularizationAnticipated expected changes: interface/inheritanceGeneralize module: use STLAbstract common service: CWM

28、, SOAP, MDXl Prevention of ripple effectInformation hiding: OOPUse intermediary: design patterns, factoryl Defer binding timeConfiguration fileAdherence to defined protocol: XMLA61性能（performance）l 性能與時間有關(guān)。性能與事件發(fā)生時，將要耗費多長時間做出響應(yīng)有關(guān)。62性能的一般場景l(fā) 刺激源：刺激來自外部（有可能是多個）或內(nèi)部源l 刺激： 刺激是事件到達?？梢园训竭_模式刻畫為周期性的、隨機的或是偶然的。

29、l 制品：總是系統(tǒng)的服務(wù)l 環(huán)境：系統(tǒng)可以處在各種操作模式下，如正常、緊急或超載模式l 響應(yīng)：系統(tǒng)必須處理到達的事件。這可能會導(dǎo)致系統(tǒng)環(huán)境的變化。l 響應(yīng)度量：響應(yīng)度量就是系統(tǒng)處理到達的事件所用的時間（等待時間或必須處理事件的期限）、該時間的變化（抖動）、在某一特定時間間隔內(nèi)可以處理的事件數(shù)量（吞吐量）或?qū)Σ荒芴幚淼氖录拿枋觯ㄈ笔省?數(shù)據(jù)丟失）。63性能戰(zhàn)術(shù)Three tactic categories l resource demandl resource managementl resource arbitration64Resource Demand Tacticsl Increas

30、e computational efficiency (improve algorithm)l Reduce computational overhead (pass-by-ref)l Manage event rate (reduce the sampling frequency)l Bound execution times (limit the number of iterations )l Bound queue sizes65Resource Management Tactics l Introduce concurrency l Maintain multiple copies o

31、f either data or computations (client cache)l Increase available resources 66Resource Arbitration Tactics-scheduling policiesl First-in/First-out l Fixed-priority scheduling (based on semantic importance, deadline monotonic or rate monotonic )l Dynamic priority scheduling (round robin, earliest dead

32、line first )l Static scheduling (pre-emption points and the sequence of assignment to the resource are determined offline )67Summary of performance tactics 68Example: performance tactics of DWl Resource demandIncrease computation efficiency: new QC algorithmReduce computation overhead: various mappi

33、ngsl Resource managementIntroduce concurrency: MPI based multithreadingMaintain multiple copies: result set cachel Resource arbitrationScheduling policy: timing + on-demand: FIFO69l 衡量系統(tǒng)向合法用戶提供服務(wù)的同時，阻止非授權(quán)使用的能力。70安全性的一般場景安全性的一般場景l(fā) 刺激源：刺激源：攻擊源可能是人，也可能是另一個系統(tǒng)。正確識別、非正確識別，可能來自內(nèi)部/外部；經(jīng)過了授權(quán)/未經(jīng)授權(quán)l(xiāng) 刺激：刺激：刺激就是攻

34、擊或試圖違反違反安全性。未經(jīng)授權(quán)的人或系統(tǒng)試圖顯示信息、改變和/或刪除信息、訪問系統(tǒng)服務(wù)或降低系統(tǒng)服務(wù)的可用性。l 制品：制品：攻擊的目標可能是系統(tǒng)提供的服務(wù)，也可能是系統(tǒng)中的數(shù)據(jù)。l 環(huán)境：環(huán)境：遇到攻擊時有很多種可能的情形：在線或離線；聯(lián)網(wǎng)或與網(wǎng)絡(luò)斷開；連接有防火墻或直接連到了網(wǎng)絡(luò)上。l 響應(yīng)：響應(yīng)：對用戶進行身份驗證；隱藏用戶的身份；阻止對數(shù)據(jù)和/或服務(wù)的訪問；允許訪問數(shù)據(jù)和/或服務(wù)；授予或收回對訪問數(shù)據(jù)和/或服務(wù)的許可；根據(jù)身份記錄訪問/修改或試圖訪問/修改數(shù)據(jù)/服務(wù)；以一種不可讀的格式存儲數(shù)據(jù)；識別無法解釋的對服務(wù)的高需求；通知用戶或另外一個系統(tǒng)，并限制服務(wù)的可用性。l 響應(yīng)度量：響

35、應(yīng)度量：用成功的概率表示、避開安全防范措施所需要的時間/努力/資源；檢測到攻擊的可能性、確定攻擊或訪問/修改數(shù)據(jù)和/或服務(wù)的個人的可能性；在拒絕服務(wù)攻擊的情況下仍可以獲得的服務(wù)的百分比；恢復(fù)數(shù)據(jù)/服務(wù)；被破壞的數(shù)據(jù)/服務(wù)和/或被拒絕的合法訪問的范圍71攻擊l 試圖突破安全防線的行為被稱為攻擊。l 例如未經(jīng)授權(quán)試圖訪問數(shù)據(jù)或服務(wù)試圖修改數(shù)據(jù)試圖使系統(tǒng)拒絕向合法用戶提供服務(wù)72Security Tactics resisting attacks l Goals: non-repudiation, confidentiality, integrity, and assurancel Authenti

36、cate users (CA)l Authorize users (roles)l Maintain data confidentiality (VPN, SSL)l Maintain integrity (checksum)l Limit exposure (limited services are available on each host)l Limit access (firewalls)73Security Tactics detecting attacksl Intrusion system: compare the access pattern to known attacki

37、ng patternsl Recovering from attacksRestoration using availability tacticsIdentifying intruder using audit trail74Summary of tactics for security 75Example: Security tactics of an information systeml Detecting attacksIntrusion detection: via firewall, watch on db listening port and ftp portl Resisti

38、ng attacksAuthenticate users: complex enough password for dbaAuthorize users: users cant modify dataLimit access: black list/white list 76l 通過測試揭示軟件缺陷的容易程度77可測試性的一般場景l(fā) 刺激源：該測試由單元測試人員、集成測試人員、系統(tǒng)測試人 員或客戶執(zhí)行?？捎善渌_發(fā)人員或外部小組執(zhí)行設(shè) 計測試。 刺激： 到達了開發(fā)過程中的一個里程碑。 制品： 設(shè)計過程、一段代碼或整個系統(tǒng)。 環(huán)境： 測試可以在設(shè)計時、開發(fā)時、編譯時或部署時進行 響應(yīng)： 由于可測

39、試性與可觀察性和可控制性相關(guān)，因此所期望 的響應(yīng)就是可以控制系統(tǒng)以執(zhí)行所期望的測試，并可以 觀察到對每個測試的響應(yīng)。響應(yīng)度量： 在某些測試中執(zhí)行的語句的百分比。最長測試鏈的長度 （對執(zhí)行測試的困難的度量）以及對發(fā)現(xiàn)額外的缺陷的可 能性的估計。78Testability Tacticsl Record/playback (capture input/output info across interface for testing suite)l Separate interface from implementation (test stub w/o skeleton)l Specialize

40、access routes/interfaces (separated from required functionality)l Built-in monitors (A component can implement tactics based on internal state to support the testing process) 79Summary of testability tactics 80l 對用戶來說完成某個期望的任務(wù)的容易程度和系統(tǒng)所提供的用戶支持的種類。81場景的部分 可能的值l 源 最終用戶l 刺激 想要學習系統(tǒng)特性、有效使用系統(tǒng)、使錯誤的影響 最低、適配系

41、統(tǒng)、對系統(tǒng)滿意l 制品 系統(tǒng)l 環(huán)境 在運行時、配置時l 響應(yīng) 系統(tǒng)提供以下一個或多個響應(yīng)來支持“學習系統(tǒng)特 性”; 幫助系統(tǒng)與環(huán)境聯(lián)系緊密；界面為用戶所熟悉；在 不熟悉的環(huán)境中，界面是可以使用的; 系統(tǒng)提供以下一個或多個響應(yīng)來支持“有效使用系統(tǒng)”: 數(shù)據(jù)和/或命令的聚合；已經(jīng)輸入的數(shù)據(jù)和/或命令的 重用；支持在界面中的有效導(dǎo)航；具有一致操作的不 同視圖；全面搜索；多個同時進行的活動 系統(tǒng)提供以下一個或多個響應(yīng)來“使錯誤的影響最低” 撤銷；取消；從系統(tǒng)故障中恢復(fù)；識別并糾正用戶錯 誤；檢索忘記的密碼；驗證系統(tǒng)資源 82易用性的一般場景 系統(tǒng)提供以下一個或多個響應(yīng)來“適配系統(tǒng)” 定制能力；國際化

42、 系統(tǒng)提供以下一個或多個響應(yīng)來使用戶對系統(tǒng)“滿意” 顯示系統(tǒng)狀態(tài)；與用戶的節(jié)奏合拍l 響應(yīng)度量 任務(wù)時間、錯誤的數(shù)量、解決的問題的數(shù)量、用戶滿 意度、用戶知識的獲取、成功操作在總操作中所占的 比例、損失的時間/丟失的數(shù)據(jù)83Usability tacticsl Maintain a model of the task. (context about a task, auto completion, auto correction, context help)l Maintain a model of the user. (users behavior and capability: color

43、/sound/motion) l Maintain a model of the system. (expected system behavior, internal state)l Separate the user interface from the rest of the application. 84Summary of runtime usability tactics 85l 上市時間l 成本和收益l 所希望的系統(tǒng)生命期的長短l 目標市場推出計劃l 與老系統(tǒng)的集成86構(gòu)架的質(zhì)量屬性l 概念完整性：是在各個層次上統(tǒng)一系統(tǒng)設(shè)計的根本指導(dǎo)思想。l 正確性和完整性：構(gòu)架能夠滿足系統(tǒng)的各種需求及運行時的資源要求的必要條件。l 可構(gòu)建性：保證能夠由指定的開發(fā)小組在規(guī)定的時間里及時開發(fā)系統(tǒng)，并允許在開發(fā)過程中做某些更改。