P1-质量属性
| 质量属性 | 描述 | 设计策略 |
|---|---|---|
| 性能 | 指系统的响应能力,即要经过多长时间才能对某个功能事件做出响应,或者在这段时间内系统所能处理的事件个数。如响应时间、吞吐量。 | 优先级队列、增加计算资源、减少计算开销、引入并发机制、采用资源调度等。 |
| 可靠性 | 是软件系统在应用或系统错误面前,在意外或错误使用的情况下维持软件系统的功能特性的基本能力。可靠性通常用平均无故障时间(MTTF)和平均故障间隔时间(MTBF)来衡量。包括容错和健壮性两个方面 | 心跳、Ping/Echo、冗余、选举。 |
| 可用性 | 在是系统能够正常运行的时间比例,经常用两次故障之间的时间长度(MTBF)或在出现故障时系统能够恢复正常的速度(MTTR)来表示。 | 心跳、Ping/Echo、冗余、选举。 |
| 安全性 | 是指系统在向合法用户提供服务的同时能够阻止非授权用户使用的企图或拒绝服务的能力。如保密性、完整性、不可抵赖性、可控性。 | 入侵检测、用户认证、用户授权、追踪审计。 |
| 可修改性 | 指能够快速的以较高的性能价格比对系统进行变更的能力。通常以某些具体的变更为基准,通过考察这些变更的代价衡量。一般通过修改成本描述,比如说需要多少人/天 | 接口-实现分类、抽象、信息隐藏。 |
| 功能性 | 是系统所能完成所期望的工作的能力。一项任务的完成需要系统中许多或大多数构件的相互协作。 | - |
| 可变性 | 指体系结构经扩充或变更而成为新体系结构的能力。这种新体系结构应该符合预先定义的规则,在某些具体方面不同于原有的体系结构。 | - |
| 互操作性 | 作为系统组成部分的软件不是独立存在的,经常与其他系统或自身环境相互作用。为了支持互操作性,软件体系结构必须为外部可视的功能特性和数据结构提供精心设计的软件入口。 | 程序和用其他编程语言编写的软件系统的交互作用就是互操作性的问题,也影响应用的软件体系结构。 |
| 易用性(方才补充) | 包括易学性、易理解性和易操作性 | 例如在系统初次使用时,弹出分步式引导窗口,介绍主要功能模块;界面元素表意明确,按钮名称、图标含义清晰;操作流程精简等 |
P3-质量属性场景描述
为了精确描述软件系统的质量属性,通常采用质量属性场景 (Quality Attribute Scenario) 作为描述质量属性的手段。
质量属性场景主要关注可用性、可修改性、性能、可测试性、易用性和安全性等6类质量属性。
质量属性场景是一种面向特定质量属性的需求。它由6部分组成(重点参考加粗和标红的内容,去理解6个部分):
| 组成部分 | 描述 |
|---|---|
| 刺激源 (Source) | 这是某个生成该刺激的实体(人、计算机系统或者任何其他刺激器)。 |
| 刺激 (Stimulus) | 该刺激**是当刺激到达系统时需要考虑的条件。**和质量属性对应,能验证质量属性的操作。 |
| 环境 (Environment) | 该刺激在某些条件内发生。当激励发生时,系统可能处于过载、运行或者其他情况。 |
| 制品 (Artifact) | 某个制品被激励。这可能是整个系统,也可能是系统的一部分。 |
| 响应 (Response) | 该响应是在激励到达后所采取的行动。 为了达到质量属性,而做出的响应或者设计 |
| 响应度量 (Measurement) | 当响应发生时,应当能够以某种方式对其进行度量,以对需求进行测试。对应质量属性的可量化指标 |
用质量属性6要素描述可用性质量属性场景描述。
质量属性场景是一种标准化的描述方法,它通过六个部分来精确地定义一个质量属性在特定情况下的表现。这六个要素是:
| 组成部分 | 描述 | 备注 |
|---|---|---|
| 刺激源 | 谁/什么发起了这个刺激? | 系统内部、系统外部 |
| 刺激 | 发生了什么事件? | 疏忽、错误、崩溃、时间 |
| 环境 | 该刺激在什么条件下发生? | 正常操作、降级模式 |
| 制品 | 刺激作用于系统的哪个部分? | 系统处理器、通信信道、持久存储器、进程 |
| 响应 | 系统应该如何正确地响应这个刺激? | 检测事件并进行以下一个或多个活动:将其记录下来。通知适当的各方,包括用户和其他系统。根据已定义的规则禁止导致错误或故障的事件源。在一段预先指定的时间间隔内不可用,其中,时间间隔取决于系统的关键程度。在正常或降级模式下运行。 |
| 响应度量 | 如何量化地衡量这个响应是否满足要求? | 故障修复时间 |
可用性质量属性场景描述
可用性关注的是用户完成任务的效率、效果和满意度,以及系统是否易于学习、使用和记忆。
我们以一个具体的场景为例:用户登录失败后的处理。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 一个新手用户(可能不熟悉系统操作,容易出错)。 |
| 2. 刺激 | 在尝试登录时,输入了错误的用户名或密码,并点击了“登录”按钮。 |
| 3. 环境 | 系统处于正常运行状态(非宕机状态)。用户在正常操作阶段(非系统初始化或维护阶段)。 |
| 4. 制品 | 系统的用户认证模块和用户界面(UI)组件(特别是登录页面和提示信息模块)。 |
| 5. 响应 | 系统应该: • 清晰地提示错误:明确告知用户登录失败的原因是“用户名或密码错误”,而不是笼统的“登录失败”。 • 提供恢复路径:显示“忘记密码?”链接,引导用户重置密码。 • 保留已输入信息:保留用户名(或邮箱),只清空密码框,减少用户重复输入的工作量。 • 保持界面友好:使用非技术性、无责备的语言,避免红色粗体等过于警示性的样式造成用户紧张。 |
| 6. 响应度量 | 可用性可以通过以下指标来衡量: • 任务成功率:99%的用户能在1次额外尝试内成功找到密码重置入口或纠正错误完成登录。 • 效率:从登录失败到成功发起密码重置的操作时间平均小于30秒。 • 用户满意度:通过后续问卷,90%的用户认为错误信息“清晰且有帮助”。 • 求助率:因此问题而求助客服的比例低于0.5%。 |
另一个场景示例:用户首次使用系统
为了更全面地理解,我们再举一个例子。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 首次访问系统的新用户。 |
| 2. 刺激 | 用户希望完成核心任务(例如,在电商网站完成第一次购物)。 |
| 3. 环境 | 用户首次使用,对系统功能和界面布局完全不熟悉。 |
| 4. 制品 | 整个系统的用户界面(UI)、交互流程(UX)和帮助文档。 |
| 5. 响应 | 系统应该: • 提供引导:例如,有一个简洁的“新手指引”或分步教程。 • 设计直观:图标和文字表述清晰,符合常识,主要功能容易发现。 • 流程简化:购物车、结算等核心流程步骤清晰,无冗余操作。 • 提供即时帮助:在关键步骤有问号图标提示或实时客服聊天入口。 |
| 6. 响应度量 | • 学习成本:用户在不阅读完整手册的情况下,平均在10分钟内成功完成首次购物。 • 错误率:在首次购物流程中,操作出错(如点错按钮、找不到功能)的次数少于2次。 • 完成率:超过85% 的新用户启动了首次购物流程并成功提交订单。 • 主观评价:用户反馈中“易于使用”和“直观”等关键词出现频率高。 |
总结
通过“六要素”法来描述可用性场景,可以将模糊的“好用”概念转化为可测量、可验证、可设计的具体要求。它帮助架构师、设计师和开发者从一个共同的、精确的视角来理解可用性需求,从而在系统中做出正确的设计决策,例如:
- 设计清晰的错误提示机制(对应第一个场景的响应)。
- 引入新用户引导流程(对应第二个场景的响应)。
- 埋点收集用户操作数据(用以衡量响应度量中的各项指标)。
可修改性质量属性场景描述
可修改性关注的是系统或软件能够被高效且低成本地修改的能力,包括扩展新功能、修改现有功能、修复缺陷以及适应运行环境的变化等。
我们以两个最常见的场景为例。
场景一:为电商系统增加新的支付方式
这个场景关注的是添加新功能的难易程度。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 市场团队(代表业务方)提出新的业务需求。 |
| 2. 刺激 | 需要为系统集成一种全新的支付方式(例如,新增“数字货币”支付)。 |
| 3. 环境 | 系统处于设计和开发阶段,或者是在上线后的维护阶段。 |
| 4. 制品 | 系统的支付处理模块、订单模块以及相关的用户界面(UI)。 |
| 5. 响应 | 系统应该: • 最小化修改范围:修改应主要局限于新增加的“支付适配器”模块,对现有的核心业务逻辑(如订单创建、库存扣减)影响极小甚至无影响。 • 遵循开放-封闭原则:通过定义清晰的接口(如 PaymentProvider),使得添加新支付方式时是扩展(extension)而非修改(modification)。• 保持一致性:新的支付流程在用户体验和错误处理上与现有支付方式保持一致。 |
| 6. 响应度量 | 可修改性可以通过以下指标来衡量: • 工作量:完成此修改所需的人日数(例如,少于 5 人日)。 • 成本:完成此修改的财务成本。 • 时间:从需求确认到部署上线所需的日历时间。 • 缺陷注入率:因此次修改而引入到现有功能中的缺陷数量(例如,0个,即没有破坏任何现有功能)。 • 修改范围:需要修改的代码文件或模块的数量(例如,仅需新增1个类,修改2个配置文件)。 |
场景二:修改核心数据库的结构
这个场景关注的是修改现有数据结构的难易程度和风险,这是一个更复杂、风险更高的修改。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 数据库管理员(DBA) 或后端开发工程师为了提升性能或满足新需求。 |
| 2. 刺激 | 需要修改一个被多个服务引用的核心数据库表的结构(例如,在User表中增加一个last_login_ip字段)。 |
| 3. 环境 | 系统处于运行维护阶段,需要保证在线服务的持续可用。 |
| 4. 制品 | 系统的核心数据库表、所有依赖该表的服务(如用户服务、订单服务、评论服务)。 |
| 5. 响应 | 系统应该: • 最小化停机时间:采用向后兼容的数据库变更策略(如先加字段,再迁移数据,再弃用旧字段),实现零停机部署。 • 清晰地暴露影响:能够通过工具或依赖分析,快速准确地识别出所有需要同步更新的服务和应用模块。 • 实现解耦:理想情况下,各个服务通过一个统一的API(如用户服务)来访问数据,而不是直接连接数据库。这样数据库结构的修改仅需改动API提供方,而消费者可能无需改动。 |
| 6. 响应度量 | • 停机时间:因此次数据库变更导致的系统不可用时长(目标是 0分钟)。 • 影响分析时间:评估此次修改会影响哪些模块所需的时间(例如,在1小时内通过依赖关系图完成分析)。 • 工作量:需要投入的开发、测试和部署的总工作量。 • 回滚能力:变更出现问题后,回滚到前一版本的难易程度和时间。 |
总结
通过“六要素”法分析可修改性,可以将“系统是否好改”这个抽象问题具体化为一系列可评估的指标。这直接指导着系统架构的设计:
- 高内聚、低耦合:是提高可修改性的核心原则,如场景一中使用“支付适配器”模式。
- 清晰的模块化与接口:如场景二中通过API隐藏实现细节,避免数据库的直接耦合。
- 依赖管理:提供工具和文档来理清模块间关系,加速影响分析。
- 向后兼容性:是进行在线修改而不中断服务的关键策略。
可修改性的本质是降低“变化”的成本和风险,上述场景和度量指标为我们设计和评估一个易于演进的系统提供了明确的方向。
性能质量属性场景描述
性能关注的是系统在指定条件下执行特定功能时所表现出的响应速度和资源利用率。它通常与处理时间、吞吐量和延迟等指标相关。
我们以两个典型场景为例。
场景一:用户在高并发下访问网页
这个场景关注的是系统在高负载下的响应时间,即用户的直接体验。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 大量并发用户(例如,在促销活动开始时访问网站的购物者)。 |
| 2. 刺激 | 用户请求一个复杂的、需要动态生成内容的页面(例如,商品详情页,需要查询数据库、调用推荐服务)。 |
| 3. 环境 | 系统处于正常运行模式,但正经历预期的高负载时期(如“双十一”)。 |
| 4. 制品 | 系统的Web服务器、应用服务器(业务逻辑处理)、数据库以及缓存组件。 |
| 5. 响应 | 系统应该: • 处理请求:接收、处理并完成用户的页面请求。 • 返回响应:将完整的HTML页面数据返回给用户的浏览器。 • 保持稳定:在高负载下保持稳定,不出现宕机或错误率飙升的情况。 |
| 6. 响应度量 | 性能通过以下可测量的指标来定义: • 延迟/响应时间:95% 的页面请求应在 2 秒 内完成加载。(这是一个常见的用户体验标准) • 吞吐量:系统应能同时处理 每秒10,000个请求(QPS)。 • 资源利用率:关键资源(如CPU)的使用率应保持在 80% 以下,以为流量峰值预留缓冲空间。 • 错误率:由于超时或系统资源耗尽导致的错误请求比例应低于 0.1%。 |
场景二:后台批处理作业执行
这个场景关注的是批量数据处理的效率(完成时间),而不是单个请求的延迟。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 系统调度器(如Cron作业)或管理员手动触发。 |
| 2. 刺激 | 启动一个计算密集型或数据密集型的批处理任务(例如,生成每日财务报表、处理一夜的日志文件进行数据分析)。 |
| 3. 环境 | 系统处于批处理模式,通常在业务低峰期(如凌晨2点)运行,以减少对在线服务的影响。 |
| 4. 制品 | 系统的批处理应用程序、数据库、计算资源(CPU、内存)。 |
| 5. 响应 | 系统应该: • 执行任务:启动批处理作业,从数据源读取数据,进行计算、转换和存储。 • 完成作业:成功处理所有指定数据。 • 生成结果:输出报告、更新数据库或生成目标文件。 |
| 6. 响应度量 | • 完成时间:整个批处理作业必须在 4 小时 的维护时间窗口内完成。 • 处理速率:作业处理数据的平均速率应达到 每秒50,000条记录。 • 资源效率:作业应有效利用所有分配的CPU核心,CPU平均使用率达到 90% 以上,避免资源闲置。 • 可预测性:作业完成时间的变化幅度(方差)应很小,以便管理员能可靠地规划维护窗口。 |
总结
通过“六要素”法分解性能场景,可以将“系统快不快”这个模糊概念转化为具体、可衡量的工程目标。这直接影响了关键的架构决策:
- 对于场景一(Web响应):架构师会考虑引入缓存(Redis/Memcached)、负载均衡、数据库读写分离、CDN以及代码性能优化等手段来保证低延迟和高吞吐量。
- 对于场景二(批处理):架构师会考虑采用并行处理、分布式计算框架(如Spark)、算法优化以减少计算复杂度,并确保任务与在线服务资源隔离,避免互相干扰。
性能的本质是在满足时间要求的前提下高效地使用资源,上述场景和度量指标为设计和评估一个高性能系统提供了清晰的蓝图和验收标准。
可测试性质量属性场景描述
可测试性关注的是能够多容易地对软件进行测试,以发现其存在的缺陷。一个可测试性好的系统,意味着可以:
- 轻松地被验证是否正确。
- 高效地被注入故障并观察其响应(故障检测和隔离)。
- 经济地建立测试环境、编写测试用例和执行测试。
我们以两个关键场景为例。
场景一:开发者为新功能编写单元测试
这个场景关注的是代码层面的可测试性,即验证单个组件或模块行为的难易程度。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 开发人员或自动化测试流水线(如CI/CD平台)。 |
| 2. 刺激 | 需要验证一个新实现的业务功能(例如,一个计算折扣价格的函数)是否符合预期。 |
| 3. 环境 | 系统处于开发阶段或集成前的构建阶段。 |
| 4. 制品 | 系统的单个软件组件、类或方法(即待测试的代码单元)。 |
| 5. 响应 | 系统(通过其设计)应该使得开发者能够: • 轻松隔离单元:可以不依赖外部模块(如数据库、网络服务)而独立测试该单元。这通常通过接口和依赖注入实现。 • 简单设置测试状态:能够轻松地构造输入参数和模拟(Mock)依赖组件的返回值,以覆盖各种测试用例(正常、边界、异常)。 • 明确观察结果:能够清晰地获取函数的输出返回值或状态变化,并与预期结果进行断言(Assert)。 |
| 6. 响应度量 | 可测试性可以通过以下指标来衡量: • 准备工作量:编写一个完整测试用例(包括搭建环境、模拟依赖)所需的平均时间(例如,少于 15 分钟)。 • 测试执行时间:单个单元测试用例的运行时间(例如,小于 100 毫秒)。 • 测试代码复杂性:测试代码与生产代码的行数比(通常越低越好,表明生产代码易于测试)。 • 代码覆盖率:通过单元测试能够达到的分支覆盖率(例如,目标 >85%)。 |
场景二:测试工程师诊断一个隐蔽的缺陷
这个场景关注的是系统的可观察性和可控制性,即在测试或生产环境中定位和隔离故障根源的难易程度。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 测试工程师或运维人员(SRE) 在系统测试或线上监控中发现了异常。 |
| 2. 刺激 | 系统在特定条件下产生了错误的结果或异常行为(例如,用户下单后偶尔无法收到确认邮件)。 |
| 3. 环境 | 系统处于测试环境或生产环境(需要谨慎操作)。 |
| 4. 制品 | 涉及多个交互的子系统(如Web前端、订单服务、消息队列、邮件服务)。 |
| 5. 响应 | 系统应该提供足够的手段来: • 记录与追踪:生成包含唯一标识符(如 Request-ID)的详细日志,该标识符能跨服务传递,从而追踪一个请求的完整生命周期。• 暴露内部状态:提供诊断接口(如健康检查端点、内存状态快照)或监控工具(如Prometheus指标)来观察系统组件的健康状况。 • 辅助问题复现:能够通过配置或工具模拟导致故障的特定条件(如网络延迟、服务宕机)。 |
| 6. 响应度量 | • 故障定位时间(MTTR):从发现异常到定位根本原因所需的平均时间(例如,将平均诊断时间从4小时缩短到 30 分钟)。 • 监控覆盖率:关键组件和交互路径被日志、追踪和指标覆盖的百分比(例如,100%的跨服务调用都被追踪)。 • 诊断精度:日志和错误信息能准确指向故障源,而不是提供模糊警告的比例。 |
总结
通过“六要素”法分析可测试性,将“是否好测试”这个抽象概念转化为了具体的设计目标和衡量标准。这直接驱动着关键的架构和设计决策:
- 对于场景一(单元测试):会促使开发者遵循SOLID原则(尤其是依赖倒置),采用分层架构,编写高内聚、低耦合的代码,并大量使用接口和依赖注入框架。
- 对于场景二(系统诊断):会促使架构师引入集中式日志系统(如ELK)、分布式追踪系统(如Jaeger/Zipkin)、丰富的指标度量和功能开关等,从而极大地提升系统的可观测性。
可测试性的本质是降低验证系统正确性和定位故障的成本。在设计阶段就考虑可测试性,将会在项目的整个生命周期中节省大量的测试、调试和维护成本。
易用性质量属性场景描述
易用性关注的是用户与系统交互的效率、易学性和满意度。它衡量的是用户能否轻松地学会使用系统、高效地完成任务,并获得良好的主观体验。
请注意:在中文语境中,“可用性”常被用于翻译两个不同的英文概念:
- Availability:指系统可操作、可访问的时间比例(正常运行时间),是一个技术指标。
- Usability:指系统好用、易用的程度,是一个用户体验指标。
“易用性”明确指的是后者(Usability)。
我们以两个典型场景为例。
场景一:新用户首次完成核心任务
这个场景关注的是系统的易学性和初次使用的效率。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 一个从未使用过该系统的新用户。 |
| 2. 刺激 | 用户希望独立完成一个系统的核心任务(例如,在一个照片编辑应用中,完成一张图片的裁剪、调色并保存)。 |
| 3. 环境 | 用户处于首次使用的探索阶段,没有接受过正式培训,可能只有基本的领域知识(如知道“裁剪”是什么意思)。 |
| 4. 制品 | 系统的用户界面(UI)、交互流程(UX)、帮助系统(如提示、引导)。 |
| 5. 响应 | 系统应该通过设计使得用户能够: • 直观理解:通过清晰的图标、标签和布局,让用户能发现所需功能。 • 顺利操作:提供流畅、符合直觉的交互(如拖拽裁剪、滑块调色)。 • 获得反馈:操作后提供即时、可见的反馈(如图片实时变化)。 • 轻松完成:在无需查阅手册或求助的情况下,成功完成任务。 |
| 6. 响应度量 | 易用性可以通过以下指标来衡量: • 学习时间:超过80% 的新用户能在 10分钟 内独立完成该核心任务。 • 任务成功率:90% 的新用户能成功完成任务,而不会中途放弃或失败。 • 求助次数:用户在任务过程中平均点击“帮助”或使用在线咨询的次数少于1次。 • 主观评分:在后续的问卷调查中,用户对“易于使用”和“易于学习”项的平均打分超过4分(5分制)。 |
场景二:熟练用户高效完成复杂任务
这个场景关注的是系统对熟练用户的支持效率,即使用熟练度。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 一个对系统有丰富经验的熟练用户(例如,每天使用该系统的设计师、财务人员)。 |
| 2. 刺激 | 用户需要高效、批量地完成一个复杂、重复性的任务(例如,在IDE中调试一个程序,或在会计软件中审核100张发票)。 |
| 3. 环境 | 用户处于日常、高频的使用环境中,追求效率和速度。 |
| 4. 制品 | 系统的键盘快捷键、宏命令、自定义功能、批量操作界面。 |
| 5. 响应 | 系统应该提供支持使得用户能够: • 快速执行:通过快捷键、命令面板、右键菜单等减少鼠标移动和点击次数。 • 自动化处理:提供批量选择、批量操作、模板或脚本功能来处理重复性工作。 • 减少干扰:界面布局专注,允许全屏模式,避免不必要的弹窗和提示中断工作流。 • 个性化定制:允许用户自定义工作区、快捷键和流程,以最适合其习惯的方式操作。 |
| 6. 响应度量 | • 任务完成时间:熟练用户完成该复杂任务的时间比新手用户快50%。 • 操作步骤数:使用高级功能后,完成同一任务所需的点击/按键次数减少60%。 • 效率提升:使用批量处理等功能后,处理 100 张发票的总时间从30分钟减少到10分钟。 • 用户满意度:熟练用户对“工作效率”和“自定义能力”的满意度评分高。 |
总结
通过“六要素”法分解易用性场景,可以将“系统是否好用”这个主观感受转化为可观察、可测量、可设计的具体要求。这直接指导着用户体验(UX)和用户界面(UI)的设计决策:
- 对于场景一(新用户):会促使设计** onboarding (新用户引导)流程**、工具提示(Tooltips)、清晰的导航和信息架构、直观的图标和文案,以及渐进式披露复杂功能。
- 对于场景二(熟练用户):会促使设计键盘快捷键、高级搜索和过滤、宏录制功能、可定制的工作台和强大的批量操作工具。
易用性的本质是降低用户的认知负荷和操作成本,同时提升其完成任务的信心和满意度。 优秀的易用性设计能显著降低培训成本、减少操作错误并提高用户粘性。
安全性质量属性场景描述
安全性关注的是系统保护自身信息和资源免受未经授权的访问、修改或破坏的能力,同时确保授权用户能够正常使用。它涉及机密性、完整性、可用性、认证和不可否认性等子特性。
我们以两个最核心的场景为例。
场景一:抵御外部攻击者的恶意访问
这个场景关注的是系统的认证(Authentication) 和访问控制(Authorization) 能力,即“你是谁”和“你能做什么”。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 一个外部的恶意攻击者(可能使用自动化工具)。 |
| 2. 刺激 | 攻击者尝试以暴力破解或凭证填充等方式获取系统的合法访问权限(例如,尝试猜测用户密码以登录账户)。 |
| 3. 环境 | 系统处于正常运行且连接公共网络的状态。目标用户账户确实存在于系统中。 |
| 4. 制品 | 系统的认证模块(登录接口)、用户凭证存储库(如数据库)、访问控制逻辑。 |
| 5. 响应 | 系统应该: • 检测异常:识别出短时间内来自同一源的多次失败登录尝试。 • 抵御攻击:触发账户锁定或引入逐渐增加的延迟(如CAPTCHA验证),使自动化攻击变得低效或不可能。 • 保护数据:绝不返回具体错误信息(如“密码错误”或“用户名不存在”),而是使用通用提示(如“用户名或密码无效”),防止攻击者枚举有效账户。 • 记录日志:记录所有登录尝试(包括来源IP、时间、用户名),用于安全审计和威胁分析。 |
| 6. 响应度量 | 安全性可以通过以下指标来衡量: • 抵抗强度:系统能有效阻止攻击者,使其在 24小时 内成功破解一个弱密码账户的概率低于0.01%。 • 响应速度:在检测到异常行为(如每秒10次失败尝试)后,能在 1分钟 内触发防御机制(如账户临时锁定)。 • 信息泄露:系统响应100%不泄露任何可用于区分有效账户和无效账户的信息。 |
场景二:防止内部数据泄露与越权操作
这个场景关注的是数据的机密性(Confidentiality) 和完整性(Integrity),即防止数据被不该看的人看到,被不该改的人修改。
| 要素 | 描述 |
|---|---|
| 1. 刺激源 | 一个已通过认证但权限有限的内部用户(可能是有意的恶意内部人员,或是无意的普通员工)。 |
| 2. 刺激 | 用户尝试访问或修改其权限范围之外的敏感数据或功能(例如,一个普通员工试图访问HR的薪酬数据,或修改他人的订单信息)。 |
| 3. 环境 | 用户已成功登录系统,拥有一个有效的会话(Session)。 |
| 4. 制品 | 系统的访问控制模块(权限校验逻辑)、数据加密组件、审计日志系统。 |
| 5. 响应 | 系统应该: • 强制访问控制:在每一次数据访问请求时,都校验当前用户的权限,默认拒绝所有未明确授权的请求。 • 返回通用错误:拒绝访问时,不透露被请求资源是否存在(例如,返回“404 Not Found”而非“403 Forbidden”,以避免信息泄露)。 • 保护数据存储:对高度敏感的静态数据(如密码、个人身份证号)进行加密存储,即使数据库被拖库,攻击者也无法轻易获得明文。 • 记录审计踪迹:记录所有敏感数据的访问和操作尝试(谁、在什么时候、试图做什么),以便事后追踪和取证。 |
| 6. 响应度量 | • 权限绕过成功率:在渗透测试中,测试人员尝试的 1000次 越权访问中,成功次数为0。 • 数据泄露范围:即使部分系统被入侵,99.9% 的敏感用户数据因加密而保持机密。 • 审计覆盖率:100% 的敏感操作都被记录在不可篡改的审计日志中。 • 检测时间:安全团队能通过审计日志在 1小时 内发现异常的、成功的越权访问行为。 |
总结
通过“六要素”法分析安全性场景,可以将“系统是否安全”这个宏大命题分解为针对特定威胁的具体、可验证的需求。这直接驱动着关键的安全架构和设计决策:
- 对于场景一(外部攻击):会促使架构师引入强密码策略、多因子认证(MFA)、账户锁定机制、CAPTCHA 和 Web应用防火墙(WAF)。
- 对于场景二(内部威胁):会促使架构师实施最小权限原则、基于角色的访问控制(RBAC)、端到端加密、日志审计 和 数据脱敏 技术。
安全性的本质是在持续的对抗中管理风险。 它不是一个可以完全实现的功能,而是一个需要通过技术、流程和人员不断维护的过程。上述场景和度量指标为设计和评估一个安全的系统提供了清晰的目标和验证标准。