软件构件与中间件北京大学软件工程研究所.ppt

黑客入侵深圳福彩 篡改数据欲骗3305万巨奖 事件：2009年6月9日，双色球2009066 期开奖，全国共中出一等奖9注，其中深圳有5注。深圳市福彩中心在开奖（程序）结束后发现系统出现异常。经多次数据检验，工作人员判断，福彩中心销售系统 疑被非法入侵，中奖彩票数据记录被人为篡改，5注一等奖中奖数据系伪造。6月10日凌晨2时，福彩中心工作人员报案 结果：经调查，这是一起企图利用计算机网络信息系统技术诈骗彩票奖金的案件，所涉金额高达3305万元 原因：深圳市某信息技术公司软件开发工程师程某，利用在深圳福彩中心实施其它技术合作项目的机会，通过木马攻击程序，恶意篡改彩票数据，以达到伪造双色球一等奖中奖事实 2007年10月30日，奥运门票第二阶段阶段预售首日…… 2007年8月14日14时，美国洛杉矶国际机场电脑发生故障，60个航班的2万旅客无法入关。直至次日凌晨３时５０分，所有滞留旅客才全部入关。 原因分析： 包含旅客姓名和犯罪记录的部分数据系统(海关和边境保护系统：决定旅客是否可以进入美国领土)瘫痪 2004年9月发生过类似问题 2006年3月2日14点10分，沪深大盘忽然发生罕见大跳水，7分钟之内上证指数跌去近 20 点。 原因分析： 当日下午刚上市的招商银行认股权证成交量巨大，导致其行情显示时总成交量字段溢出，使其价格在股票分析软件上成为一条不再波动的直线，让市场产生了恐慌。 2003年8月14日下午4时10分，美国及加拿大部分地区发生历史上最大的停电事故。15日晚逐步恢复 后果：经济损失250亿到300亿之间 原因分析 俄亥俄州的第一能源（FirstEnergy）公司x下属的电力监测与控制管理系统软件 XA/21 出现错误，系统中重要的预警部分出现严重故障，负责预警服务的主服务器与备份服务器连接失控，错误没有得到及时通报和处理，最终多个重要设备出现故障，导致大规模停电 2003年国际十大 1996年6月4日，欧洲空间局的阿丽亚娜火箭，发射后37秒爆炸。损失6亿美元 原因分析： ADA语言编写的一段程序，将一个64位浮点整数转换为16位有符号整数时，产生溢出，导致系统惯性参考系统完全崩溃 1994年12月3日，美国弗吉尼亚州 Lynchburg 大学的T.R.Nicely博士使用装有 Pentium 芯片的计算机时发现错误： （4195835/3145727)*3145727-4195835==0? 后果： Intel 花费4亿多美元更换缺陷芯片 原因： Pentium 刻录了一个软件缺陷（浮点除法） 2002年6月28日 美国商务部的国家标准技术研究所（NIST）发布报告： 二、问题分析 从质量谈起 1、什么是“质量” “好坏程度” ISO 9000(2000版) 质量是 （产品）的 一组固有特性满足要求的程度 Barry Boehm的软件质量模型 ISO-9126的软件质量模型框架 3、为什么软件质量保障困难？ （2）软件的本质 规模、复杂性、演化性 网络环境 软件研发过程缺乏基础理论支撑 软件产品的验证缺乏基础理论支持 1、什么是可信？ Trusted Trustworthy Dependability Confidence Assurance 可信软件 软件是可信的, 如果: 其服务总是与用户的预期相符 (质量?) 即使在运行过程中出现一些特殊情况 2、什么样的软件是可信的？ 可用 功能：正确、不少、不多 可靠性（容错）：高 安全性（机密性、完整性）：高 响应时间（从输入到输出）：小 维护费用（监测、演化）：小 …… 质量与可信（1） 可信更多关主体与客体的关系 是系统“承诺”与实际表现的符合程度。存在这样一种情形，质量不是很高，但有具体的说明，仍然有高的可信性。 同一个系统的质量是确定的，但对不同主体的可信度可能不一样：一个受侵害的系统，对于实际用户是不可信的，对于黑客是可信的 对于同一个系统，当用户对其信息掌握得有限时，可信度低，掌握了较多的正面信息时，可信度提升 质量与可信（2） 质量主要是针对客体自身而言的 四、可信软件基本方案 1、保障软件可信性的几个关键点 如何“正向”得到缺陷少的软件“制品” 如何在不同阶段“反向”发现制品中的“缺陷” 如何在不同阶段“度量”可信属性 贯穿软件技术的各个方面: 软件语言 语言 编译 软件工程：生命周期的各个环节! 需求 设计 编码 系统软件（操作系统、数据库、中间件） 2、保障软件可信性的几个基础性问题 软件可信性度量与建模 可信软件的构造与验证 可信软件的演化与控制 （1）软件可信性建模与度量 如何认识软件的可信性？