【IT168 信息化】面向服务架构(Service-Oriented Architecture,SOA)向第三方团体敞开了你的系统的大门,因此增加了你要面对的系统漏洞。但是分析家称SOA并没有引入多少新的安全风险,而只是加重了已有的安全风险。
由于引入了对第三方应用程序开发和运作的更大的信任,人们认为面向服务的体系架构(SOA)改变了企业的安全平衡。但是根据Gartner公司负责信息安全和隐私的管理副总裁Ray Wagner表示,这只是一个程度的问题,而不是带来了一个全新的安全问题。
一、外部服务安全问题
举个例子来说,一个SOA应用程序可能会依靠一个基于Web的第三方服务来提供重要的功能和服务,这具有非常明显的安全问题。但是这种问题在企业用户激活了微软的自动更新时就已经存在了。
从根本上说,这是一个信任的问题,你决定是否信任微软来发送给你好的程序。然后你的计算机通过使用像哈希和数字签名之类的加密操作,来确认它已经收到微软发送的内容。
SOA可能会大大增加使用外部服务的次数。一个小时进行数百次这样的交互,可能意味着会影响你的计算机的运算负载,但是它真的只是一个度的改变,而不是性质上的改变。
正常的值得信赖的合作伙伴可能偶尔也会意外的发送坏的代码或一个坏的身份验证。但是,总体上来说,更多的可能是,因为某些恶意的站点假装提供某种功能或服务,而欺骗某些人决定信任它。恶意软件通常伪装成有用代码,而且有时候也会提供一些它承诺的功能,但是同时又在悄悄的进行用户不希望的事情。
这是SOA可能会给企业带来的的三个主要安全影响之一,当员工从他们的工作计算机上访问了错误的站点,意外地把恶意软件引入到企业中,企业已经经历过这个问题。反击恶意软件需要有个综合技术和教育的战略,无论它是与SOA相关的行为,还是企业中某个人从一个文件共享站点上下载“免费”音乐,这些行为都要受到约束。
图1、制定安全策略
在恶意软件感染企业网络之前,这个安全技术能够成功阻挡它们。但是最佳解决方案是教育用户具有安全风险意识,让他们知道未知站点的危险性,从而在第一位置将风险最小化。
| 第1页: 外部服务安全问题 | 第2页: 二、XML文件携带攻击代码 |
| 第3页: 三、身份验证问题 |