可用性：场景（a）和（e）。其中（a）强调采集节点故障后30秒内切换备用节点并继续接收事件，（e）强调告警通知服务不可用时暂存并恢复后补发，都体现故障情况下继续提供服务或恢复服务的能力。
性能：场景（b）。每秒5万条日志、端到端延迟不超过3秒，属于吞吐量和响应时间要求。
安全性：场景（c）和（f）。身份认证、权限控制、审计记录，以及异常登录、暴力破解、端口扫描识别都属于安全防护和攻击检测。
可修改性：场景（d）。新增日志来源或攻击检测规则要求2人天内完成接入、测试和上线，关注的是修改成本、影响范围和上线效率。
质量属性场景通常由六个要素描述：刺激源、刺激、环境、制品、响应、响应度量。
以（a）为例，刺激源是采集节点或故障事件，刺激是采集节点故障，环境是系统运行期间，制品是数据采集链路，响应是切换备用节点并继续接收关键事件，响应度量是30秒内完成切换。

本问考查质量属性场景的识别和表达。解题时不能只凭质量属性名称判断，而要看题干中的刺激、响应和响应度量。场景（a）中“采集节点故障”“30秒内切换备用节点”“继续接收关键安全事件”说明系统在故障发生后仍能恢复并维持服务，属于可用性。场景（e）中告警通知服务暂时不可用时先暂存、恢复后补发，本质也是通过缓冲和补偿避免服务中断或告警丢失，因此也应归入可用性。这两处有时会被写成可靠性，考试中如果备选质量属性给的是可用性、安全性、性能、可修改性，通常按“故障恢复、不中断、恢复时间”归到可用性。
场景（b）给出了每秒5万条日志和端到端延迟不超过3秒，前者是吞吐量，后者是响应时间，都是性能属性的典型度量。场景（c）包含身份认证、权限控制和操作审计，场景（f）包含异常登录、暴力破解、端口扫描识别和处置建议，均围绕防护、检测、授权和追踪展开，属于安全性。场景（d）要求新增日志来源或攻击检测规则在2人天内完成接入、测试和上线，强调修改成本、影响范围和交付效率，属于可修改性。
质量属性场景的六要素要完整记忆：刺激源、刺激、环境、制品、响应、响应度量。以（a）为例，刺激源可以是故障节点或运行环境中的故障事件，刺激是采集节点失效，环境是系统正常运行或高峰运行期间，制品是数据采集链路，响应是切换备用采集节点并继续接收关键事件，响应度量是30秒内完成。答题时如果能把分类和六要素结合起来，说明你不是机械背定义，而是能把质量属性场景落到具体架构需求上。

书本上有书本上的记法，我个人比较喜欢按照上图这种方法来记：首先把它分成左右两边：左侧是刺激，右侧是响应。

1. 刺激：分为谁来刺激，以及怎么刺激。
2. 响应：分为谁来响应、怎么响应，以及怎么去评价响应。
3. 环境：整个事件触发的一个环境。
   那么在这个基础上，你再把用户的场景描述套到我们的六要素里面，就比较容易了。

那么另外几个场景描述6 要素的识别，大家可以自行去比对，试用上面的方法，看看和这里的答案对不对。

性能场景：刺激源是业务系统、安全设备、日志采集节点等日志来源，刺激是持续向系统发送大量日志并触发普通告警处理，环境是日常高峰期，制品是日志接入模块、日志处理模块和告警处理链路，响应是系统接收、解析、处理日志并生成普通告警，响应度量是系统每秒支持 5 万条日志的接入与处理，普通告警端到端延迟不超过 3 秒。

安全性场景：刺激源是安全管理员，刺激是登录系统并进行规则配置、告警处置等操作，环境是系统正常运行期间，制品是身份认证模块、权限控制模块和审计日志模块，响应是系统验证管理员身份、检查操作权限并记录规则配置和处置操作，响应度量是未授权用户不能越权操作，所有规则配置和处置操作都被完整记录、可追溯。

可修改性 / 可扩展性场景：刺激源是开发人员或提出新增需求的安全运营人员，刺激是新增一种日志来源或新增一种攻击检测规则，环境是系统需要扩展日志接入能力或攻击检测能力时，制品是日志接入模块、规则引擎、检测规则配置模块和测试发布机制，响应是系统支持开发人员完成新日志来源或新检测规则的接入、配置、测试和上线，响应度量是开发人员应在 2 人天内完成接入、测试和上线。

可靠性 / 可用性场景：刺激源是告警通知服务或外部通知通道，刺激是告警通知服务暂时不可用导致告警无法立即发送，环境是系统运行过程中通知服务发生临时故障，制品是告警通知模块、消息队列和告警事件暂存模块，响应是系统将告警事件暂存，等通知服务恢复后自动补发，响应度量是告警事件不丢失，服务恢复后能够自动补发。

功能性场景：刺激源是攻击者、异常登录行为或异常网络访问行为，刺激是出现异常登录、暴力破解、端口扫描等攻击行为，环境是系统正常进行安全监测期间，制品是攻击检测模块、规则引擎、告警分析模块和处置建议模块，响应是系统识别攻击行为、生成安全告警并给出处置建议，响应度量是能够识别异常登录、暴力破解、端口扫描等指定攻击行为，并生成对应处置建议。