l

2012年4月3日 星期二

Quality Attribute Scenarios(9):Security

March 26 21:56~22:51

image

 

因為網際網路與線上交易的新起,security這個品質因素這幾年來也變得越來越重要。根據課本85頁的定義,security是用來評量系統抵抗非授權使用的能力,而同時間系統還要提供服務給合法的使用者。企圖破壞系統安全的動作稱之為attack(攻擊)或是threat(威脅)。攻擊的方式很多,包含在未經授權的情況下存取資料、執行服務、修改資料,或是阻斷合法使用者存取系統。

依據課本86頁的解釋,安全性可以用下列六個屬性來描述:

  • Nonrepudiation:不可否認性表示一個交易不可被參與交易的任何一方所否認。例如,你不能否認你從網路銀行轉了兩萬塊到郵局的戶頭中,當然前提是如果你真的做了轉帳的交易。
  • Confidentiality:機密性表示資料或是服務在未經授權的情況下不得被取用。例如,駭客無法取得國安密帳的資料。
  • Integrity:完整性表示資料或是服務依據其所預期的方式被傳遞。完整性表示當你透過網路銀行軟體轉帳兩萬元到你自己郵局戶頭,當網路銀行伺服器收到該轉帳請求時,轉帳金額還是你原本輸入的兩萬元,而傳帳帳號也還是你的郵局帳號,資料的完整性不會被竄改。
  • Assurance:保證性表示交易中的任一方必須真的是他們所宣稱的身分。例如,如果你以為你正在PxHome上購賣東西,但是實際上你連到的是假冒的PxHome網站,這種情況之下就表示交易的安全性已經被違反了(因為違反了assurance這個屬性)。
  • Availability:可得性表示系統必須服務合法的使用者。換句話說,如果駭客對搞笑談軟工部落格發動阻斷服務攻擊(denial-of-service attack),也不能阻止鄉民們觀看搞笑談軟工的精采文章…XD。
  • Auditing:稽核性表示系統必須追蹤與紀錄各種系統中所發生的活動,以便當發生問題時系統可以重建這些活動。稽核性表示當鄉民們從自己的銀行帳號轉瞭萬元到自己的郵局帳號,那麼鄉民們的銀行必須記錄下該筆轉帳資料。

Teddy當年修課的時候沒有仔細的閱讀安全性這個品質因素,利用這次機會算是幫自己補課…XD。

***

友藏內心獨白:所以定期去銀行刷本子也是一種安全性的表現。

沒有留言:

張貼留言