其中数据耦合的耦合程度最低。
主程序员小组属于“封闭式”。
软件调试中,“原因排除法”通过演绎或归纳并利用二分法来定位问题源。
管道和过滤器属于“数据流体系结构”。
高层次的软件复用包括项目计划和体系结构的复用,低层次的软件复用包括代码复用和界面复用。用户需求是用户对自己软件的要求和目标,不能复用!!
净室软件工程是软件开发的一种形式化方法。强调正确性验证,而不是测试,作为发现和消除错误的主要机制。
软件评估中,敏感点是一个或多个构件的特性;权衡点是影响多个质量属性的特征,是多个质量属性的敏感点。
5. 安全性知识
IPSec安全性协议是针对IPv4和IPv6的,是IPv6的组成部分,也是IPv4的可选扩展协议。IPSec的主要特征是可以支持IP级所有流量的加密/认证,增强所有分布式应用的安全性。IPSec在IP层(网络层)提供安全服务。
PGP(Pretty Good Privacy):基于RSA公钥加密体系的邮件加密软件,可以用它对邮件保密以防止非授权者阅读,它还能对邮件加上数字签名从而使收信人可以确信邮件发送者。PGP的密钥管理综合了以下算法:对称加密算法IDEA,非对称加密算法RSA,单向散列算法MD5,随机数产生器。PGP还可以用于文件存储
加密。PGP承认两种不同的证书格式:PGP证书和X.509证书。
X.509证书是一些标准字段的集合,这些字段包含了有关用户或设备及相应公钥的信息。包含:证书版本、证书序列号、签名算法标示、证书有效期、证书发行商名字、证书主体名、主题公钥信息、发布者的数字签名。不包含私钥。
数字信封功能类似于普通信封,采用密码技术保证只有规定的接收人才能阅读信息的内容。基本原理是:将原文用对称密钥加密传输,而将对称密钥用收方公钥加密发送给对方。对方收到电子信封,用自己的私钥解密信封,取出对称密钥解密得原文。
单向Hash函数:输入一个长度不固定的字符串,返回一串长度固定的字符串(128位),又称Hash值。
SSL(Security Socket Layer)在应用层和传输层之间提供安全的通道,用于在Internet上传送机密文件。SSL协议被用来在客户机与服务器真正传输应用层数之前建立安全机制。SSL主要提供三方面的服务:用户和服务器合法性认证,加密数据以隐藏被传送的数据,保护数据的完整性。客户机与服务器交换双方认可的密码发生在密码交换阶段。
Kerberos认证是一种使用对称密钥加密算法来实现通过可信第三方密钥分发中心的身份认证系统。报文中加入时间戳是为了防止重放攻击。
Kerberos中,N个用户想同时通信时,需要N(N-1)/2个密钥。 Kerberos是对称密钥,PKI是非对称密钥。
ISO7498-2涉及的5种安全服务是:鉴别服务、访问控制、数据完整性、数据保密性、抗抵赖。
DES密钥长度是56位。3DES的密钥长度是112位。IDEA是128位。
应用网关型防火墙部署在局域网内,通过代理技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是源于防火墙外部网卡一样,从而可以达到隐藏内部网结构的作用。它的核心技术就是代理服务器技术。
包过滤型防火墙工作在网络层和传输层,通过过滤规则来确定数据包是否能通过。
PKI,公共密钥基础设施,是CA安全认证体系的基础,由认证中心、证书库、密钥备份及恢复系统、证书作废处理系统及客户端证书处理系统五大系统组成。
PKI的作用包括:认证、机密性、完整性、抗抵赖性。
PKI主要借助“数字签名”技术。数字签名能确认两点:一、信息是由签名者发送的;二是信息自签发到收到为止,没做任何修改。
发送者将原文用Hash函数生成128位摘要,在用自己的私钥对摘要加密,形成数字签名,把加密后的数字签名附加在要发送的原文后面。
公钥加密算法过程是:发送方A先用自己的私钥签名报文得到DA(P),再用接受方B的公钥加密得到EB(DA(P));接收方B收到后,先用自己的私钥解密得到DA(P),在用发送方A的公钥认证,最后得到报文P。同时,接收方保存一份经过A签名的消息DA(P)作为防止A抵赖的依据。
认证中心CA是电子商务体系中的核心环节,是电子交易中信赖的基础。认证中心作为权威、可信赖、公正的第三方机构,专门负责发放并管理所有参与网上交易的实体所需的数字证书。
CA的主要功能有:证书发放、证书更新、证书撤销和证书验证。
要想验证从CA处获得的某用户的数字证书,通过CA公钥可以确认该证书的有效性,因为用户的数字证书中包含了CA签名(CA私钥加密)。 私钥用于解密和签名,公钥用于加密和验证签名。
对称密码算法加解密效率比非对称算法高很多,因此常用于对大量数据的加密。IDEA的密钥长度是128位。
VPN使用隧道作为传输通道,这个隧道是建立在公共网络或专用网络基础之上的。实现VPN的关键技术包括:安全隧道技术(Tnuueling)、加解密技术、密钥管理技术、身份认证技术、访问控制技术。
可用于构建VPN的协议包括:PPTP,IPSec等 。如果需要在传输层构建VPN,可选的协议是TLS(Transport Layer Security,传输层安全性,基于SSL并与之相似,主要目标是在两个正在通信的应用程序之间提供保密性和数据完整性。)
防火墙只能防止外部对内部的攻击,对于网络内部发生的攻击事件无能为力。
网络安全防范体系设计原则: 1. 网络信息安全的木桶原则 2. 网络信息安全的整体性原则 3. 安全性评价与平衡原则 4. 标准化与一致性原则
5. 技术与管理相结合原则:安全技术与运行管理机制,人员思想教育与技术培训,安全规章制度建设。
6. 统筹规划,分步实施原则:安全防护不可能一步到位; 7. 等级性原则:安全层次、安全级别;
8. 动态发展原则:需要根据网络安全的变化不断调整安全措施。 9. 易操作性原则:操作简单。不能影响系统的正常运行。
冲击波病毒是一种蠕虫病毒,利用Windows RPC漏洞进行传播。
木马是远程控制工具,分为控制端和服务端(被控端),具有隐秘性和非授权性的特点。
DDOS,分布式拒绝服务攻击,借助客户端/服务器技术,将多台计算机联合
起来作为攻击平台,对一个或多个目标发动DOS,成倍的提高拒绝服务攻击的威力。
典型的对称加密算法有:FEAL,IDEA,DEA,RC-5等; 典型的非对称加密算法有RSA和ESIGN。
SET(Secure Electronic Transaction,电子安全交易)协议向基于信用卡进行电子化交易的应用提供了实现安全措施的规则。
安全审计包括识别,记录,存储,分析与安全相关行为的信息,审计记录用于检查与安全相关的活动和负责人。 作用包括发现计算机的滥用情况。
防火墙把网络划分为几个不同的区域,一般把对外提供网络服务的设备放置(如FTP服务器,WWW服务器)于DMZ(DeMilitarized Zone)非军事区。非安全系统与安全系统之间的缓冲区,该区域位于企业内部网络和外部网络之间。
入侵检测系统一般包括:
? 事件产生器:收集数据,将数据转化为事件。 ? 事件分析器:分析事件;
? 事件数据库:存放有关事件的各种中间结果和最终数据;
? 响应单元:根据报警信息作出各种反应,包括断网、改变文件属性、发
出提示引起操作人员注意等。
事件产生器事件分析器响应单元Action事件数据库