【IT168 信息化】面向服務架構(Service-Oriented Architecture,SOA)向第三方團體敞開了你的系統的大門,因此增加了你要面對的系統漏洞。但是分析家稱SOA並沒有引入多少新的安全風險,而只是加重了已有的安全風險。
由於引入了對第三方應用程序開發和運作的更大的信任,人們認爲面向服務的體系架構(SOA)改變了企業的安全平衡。但是根據Gartner公司負責信息安全和隱私的管理副總裁Ray Wagner表示,這只是一個程度的問題,而不是帶來了一個全新的安全問題。
一、外部服務安全問題
舉個例子來說,一個SOA應用程序可能會依靠一個基於Web的第三方服務來提供重要的功能和服務,這具有非常明顯的安全問題。但是這種問題在企業用戶激活了微軟的自動更新時就已經存在了。
從根本上說,這是一個信任的問題,你決定是否信任微軟來發送給你好的程序。然後你的計算機通過使用像哈希和數字簽名之類的加密操作,來確認它已經收到微軟發送的內容。
SOA可能會大大增加使用外部服務的次數。一個小時進行數百次這樣的交互,可能意味着會影響你的計算機的運算負載,但是它真的只是一個度的改變,而不是性質上的改變。
正常的值得信賴的合作伙伴可能偶爾也會意外的發送壞的代碼或一個壞的身份驗證。但是,總體上來說,更多的可能是,因爲某些惡意的站點假裝提供某種功能或服務,而欺騙某些人決定信任它。惡意軟件通常僞裝成有用代碼,而且有時候也會提供一些它承諾的功能,但是同時又在悄悄的進行用戶不希望的事情。
這是SOA可能會給企業帶來的的三個主要安全影響之一,當員工從他們的工作計算機上訪問了錯誤的站點,意外地把惡意軟件引入到企業中,企業已經經歷過這個問題。反擊惡意軟件需要有個綜合技術和教育的戰略,無論它是與SOA相關的行爲,還是企業中某個人從一個文件共享站點上下載“免費”音樂,這些行爲都要受到約束。
圖1、制定安全策略
在惡意軟件感染企業網絡之前,這個安全技術能夠成功阻擋它們。但是最佳解決方案是教育用戶具有安全風險意識,讓他們知道未知站點的危險性,從而在第一位置將風險最小化。
| 第1頁: 外部服務安全問題 | 第2頁: 二、XML文件攜帶攻擊代碼 |
| 第3頁: 三、身份驗證問題 |