• 软件测试技术
  • 软件测试博客
  • 软件测试视频
  • 开源软件测试技术
  • 软件测试论坛
  • 软件测试沙龙
  • 软件测试资料下载
  • 软件测试杂志
  • 软件测试人才招聘
    暂时没有公告

字号: | 推荐给好友 上一篇 | 下一篇

SOA 安全性基础知识

发布: 2008-4-10 17:46 | 作者: John Betancourt | 来源: 转载 | 查看: 113次 | 进入软件测试论坛讨论

领测软件测试网
本系列讨论面向服务的体系结构(Service-Oriented Architecture,SOA)安全性实现路线图。本系列共包括三个部分,本文是其中的第二部分,将讨论可帮助 SOA 安全团队开发成功的高层次设计的规则。

SOA 安全实现和整个 SOA 一样,应该视为一个长期的过程。就像任何过程一样,如果要成功,您将需要某些特定的东西。

本系列的soasec1/" cmImpressionSent="1">第 1 部分重点讨论路线图,此路线图提供了简单的 10 步骤流程,可作为 SOA 安全团队的总体指南。在该流程的第 7 步“遵循 SOA 安全实现的 SDLC 流程”中,SOA 安全团队将进行任何 SOA 安全实现的高层次设计(High-Level Design,HLD)。在此步骤,将期望 SOA 安全团队遵循软件开发生命周期 (Software Development Life Cycle)

软件开发生命周期

软件开发生命周期 (SDLC) 通常包括四个阶段:

  • 需求
  • 设计
  • 编码
  • 测试

SDLC 的第二阶段(设计阶段)的目标是得到系统的总体设计。设计阶段包括两个子阶段:HLD 和详细设计(Detailed-Level Design,DLD)。对于 HLD,您作为安全企业架构师(Security Enterprise Architect,SEA)将对 SOA 安全实现的功能需求和非功能需求进行检查,并设计总体解决方案体系结构。与企业架构师(Enterprise Architect,EA)类似,SEA 负责以下事项:

  • 确定公共模式,以便了解系统之间的高级关系,从而能够对旧系统进行变更来创建新系统。
  • 获得正确的体系结构,这对于软件系统的设计至关重要。错误的体系结构会带来灾难性的后果。
  • 对软件体系结构有详细的了解,将允许团队在设计备选项之间作出明智的决策。
  • 提供体系结构表示形式,这对复杂系统的高级属性的分析和描述非常重要。

最基本的观念是,对于任意成功的 SOA 安全实现而言,构造良好的 HLD 非常关键,SEA 对带领 SOA 安全团队进行其创建工作负有最终的责任。


创建 HLD 的简单规则

尽管 SOA 安全实现 HLD 非常重要,但 SOA 安全团队并不是总能清楚地确定 HLD 的目标应为什么。在没有专用体系结构资源的情况下,团队成员经常被体系结构概念所淹没,而且不熟悉可帮助其管理整个流程的建模工具。

这里,除了建议的工具外,还提供有用的提示和规则,供 SOA 安全团队成员采用和包含到流程中,以创建成功的 SOA 安全实现 HLD。

在开始编写 HLD 文档之前,SOA 安全团队成员应该记住一些基本的首要规则。实际上 HLD 应该:

  • 为关系图或关系图组,注释尽可能少。
  • 开始时尽可能简单尽可能抽象。
  • 能够被所有涉众理解。
  • 满足需求文档中列出的整个安全需求集。
  • 使用的关系图数量尽可能少:只有一个关系图最好了,但并非总是可行。
  • 包含所有主要对象,但必须对其进行保护,并以通用的方式对其进行表示。
  • 包含对象间所有的关键安全关系。
  • 用于生成所有安全测试用例
  • 利用面向对象的概念,如封装、继承和多态性。
  • 作为生成 DLD 的起点。

您的重点应该放在提供关键问题的答案,如“我们何时开始?”“我们如何继续?”“我们如何知道何时已经完成了?”

创建 HLD

SOA 安全团队的 HLD 工作的主要目标是创建可作为沟通工具的文档:文档必须针对整个团队并代表整个团队的立场。在 SOA 团队成员陷入体系结构文档的细节之前,应该将重点放在对其需求进行全面检查上,了解其总体安全目标是什么。HLD 必须清楚地从 SOA 实现的总体安全性的角度说明其设想。

将团队就主要涉众 SOA 安全实现问题达成的协议正式化就是下一步要进行的工作。例如,文档应该包括以下问题:

  • 我们需要什么?(安全人员和需求文档)
  • 我们要构建什么?(开发人员)
  • 我们所投资的是什么?(高层管理)

HLD 还必须提供更为复杂问题的答案,如非功能需求等。这些需求包括系统审核与控制、可扩展性、弹性、垂直伸缩性和水平伸缩性、多站点问题以及第三方工具的集成。

决定何时开始 HLD 工作并不容易。受到广泛认可的行业指导原则是,将能力成熟度模型集成(Capability Maturity Model Integration,CMMI)3-4 级别(请参见参考资料)作为实现企业 SOA 安全战略的基础。在开始进行相应的工作前,应该完成很多详细的需求文档。而且,必须同时了解 SOA 安全服务实现的大部分内容。在开始 HLD 前,团队应该已经列出了其需求,了解用于满足这些需求的服务,并将这些服务与相应的需求建立了联系。

延伸阅读

文章来源于领测软件测试网 https://www.ltesting.net/

TAG: soa SOA 安全

41/41234>

关于领测软件测试网 | 领测软件测试网合作伙伴 | 广告服务 | 投稿指南 | 联系我们 | 网站地图 | 友情链接
版权所有(C) 2003-2010 TestAge(领测软件测试网)|领测国际科技(北京)有限公司|软件测试工程师培训网 All Rights Reserved
北京市海淀区中关村南大街9号北京理工科技大厦1402室 京ICP备10010545号-5
技术支持和业务联系:info@testage.com.cn 电话:010-51297073

软件测试 | 领测国际ISTQBISTQB官网TMMiTMMi认证国际软件测试工程师认证领测软件测试网