監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產(chǎn)品資料
X 關(guān)閉

SOA的信息安全 人的問題最重要

申請免費試用、咨詢電話:400-8352-114

來源:泛普軟件

毋庸諱言,“安全”是當前信息技術(shù)應(yīng)用領(lǐng)域熱門話題之一,無論是操作系統(tǒng),還是應(yīng)用軟件,安全總是作為一項重要考量,特別是在商業(yè)應(yīng)用領(lǐng)域,信息安全是業(yè)務(wù)運作的基本要求之一。企業(yè)級SOA在提供價值鏈上企業(yè)之間信息共享和業(yè)務(wù)流程自動化的同時,也對信息安全提出新的挑戰(zhàn)。

基于企業(yè)級SOA更加容易實現(xiàn)跨越企業(yè)邊界的業(yè)務(wù)系統(tǒng)自動化和信息共享,開放的數(shù)據(jù)訪問和網(wǎng)絡(luò)服務(wù)調(diào)用給商業(yè)運作帶來便利,同時也更加容易受到攻擊,如果沒有提供良好的安全防護機制,開放網(wǎng)絡(luò)服務(wù)無疑等于打開了潘多拉寶盒。

網(wǎng)絡(luò)服務(wù)最常見的安全隱患大概就是信息泄露和欺詐,如果你和你的合作伙伴之間交易的敏感信息被競爭對手獲得,如果有人在網(wǎng)絡(luò)上以你的名義向你的供應(yīng)商發(fā)送訂單,如果來自合作伙伴的發(fā)貨請求被人篡改,等等,所有這些都是商業(yè)活動中不希望發(fā)生的。當然,也不用為此因噎廢食,企業(yè)級SOA在一開始就應(yīng)當考慮信息安全保證,在技術(shù)手段方面有各種有效的防范措施可選用。

針對信息泄露的問題,防范措施是多層次的。首先,要部署安全的網(wǎng)絡(luò)通訊基礎(chǔ)架構(gòu),特別是通過Internet的通訊,例如:采用加密和認證技術(shù),在公共網(wǎng)絡(luò)上建立安全專用隧道的網(wǎng)絡(luò),也就是常說的VPN;其次,網(wǎng)絡(luò)服務(wù)的訪問大多數(shù)通過HTTP協(xié)議,HTTP上實現(xiàn)的安全套接字層 (Security Socket Layer, SSL)也是成熟的安全通訊方式;還有,針對XML處理專門制定的消息級別的XML加密和處理標準,它把消息轉(zhuǎn)換為一段經(jīng)過加密的XML,消息仍然是XML格式的,但是使用加密算法將內(nèi)容隱藏起。這樣做的好處在于在獲得了安全性的同時系統(tǒng)仍然基于開放標準編碼XML消息,接收消息的系統(tǒng)可以把它當作XML來接收、解密和處理,而不依賴于定制或?qū)S械南鬟f標準。

針對欺詐問題,通過身份認證和消息的數(shù)字簽名來解決。身份認證保證授權(quán)的用戶能夠進行被授權(quán)的資源訪問。企業(yè)級SOA中身份認證不局限于單一安全控制域,往往需要實現(xiàn)跨企業(yè)安全控制域的認證活動,安全斷言標記語言(Security Assertion Markup Language,SAML)標準提供了不同安全域之間認證的交互,通過一個標準的認證過程,多方可以達成一致,使用一組給定的標準來對一組指定的用戶進行身份驗證,參加這個過程的安全域組成一個身份聯(lián)邦(Identity Federation)。

聯(lián)邦身份認證結(jié)果以斷言方式加載在消息中,各個安全域都承認認證結(jié)果的合法性,所以安全斷言也實現(xiàn)了單點登錄,消息獲得的安全斷言,在整個身份聯(lián)邦中都是有效的,無需重復認證。除此之外,企業(yè)級SOA還引入網(wǎng)絡(luò)服務(wù)信賴(Web Service Trust)標準用以交換安全斷言令牌,再加上擴展訪問控制標記語言(eXtensible Access Control Markup Language, XACML)標準用以描述授權(quán)政策和規(guī)范授權(quán)決策處理,這些構(gòu)成了完整的身份認證防線。

消息的數(shù)字簽名保證消息真正創(chuàng)建者身份的真實性以及消息在發(fā)送系統(tǒng)到接受系統(tǒng)之間傳輸時未被篡改。數(shù)字簽名是一種消息級的安全措施,它結(jié)合了數(shù)字證書密鑰和加密等安全方法。數(shù)字簽名是對身份和消息內(nèi)容進行惟一的處理得到的一個基于密鑰的非常大的數(shù)。舉一個簡單的例子來說明,如果你擁有一對密鑰(私有密鑰123和公有密鑰456),要發(fā)送消息ABC,對消息ABC的數(shù)字簽名就是用密鑰123對消息運行一個特殊的算法,得到唯一的一個數(shù)字x。

當消息ABC和數(shù)字簽名x到達接收方后,接收方能夠用你的公有密鑰456來驗證你是消息的真正創(chuàng)建者以及消息在傳輸過程中沒有改變。如果消息被改變了,那么惟一的數(shù)字簽名將不再與密鑰和用于創(chuàng)建密鑰的原始消息相匹配。為此,數(shù)字簽名提供了個不可否認性,例如,數(shù)字簽名可以證明你的供應(yīng)商收到的電子訂單確實是由你發(fā)出而且在傳輸中沒有被篡改過。針對企業(yè)級SOA,專門制定了處理XML消息級別的XML數(shù)字簽名標準。

上述措施已經(jīng)公布為標準的部分,SAP Net平臺都能支持,用戶可以根據(jù)企業(yè)應(yīng)用實際需要綜合運用上述手段為企業(yè)級SOA的信息安全提供保證。如同所有的安全問題一樣,企業(yè)級SOA的信息安全保證,在依賴足夠技術(shù)防護手段之外,最大的保證還是人的問題,由專業(yè)的人員制定合理的安全控制策略,配合全員安全意識提高,再輔以上面提到的種種技術(shù)手段運用,才能建立起企業(yè)級SOA信息安全保證的“萬里長城”。(IT專家網(wǎng))

發(fā)布:2007-04-23 11:34    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
相關(guān)文章:
南京OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普南京OA快博其他應(yīng)用

南京OA軟件 南京OA新聞動態(tài) 南京OA信息化 南京OA快博 南京OA行業(yè)資訊 南京軟件開發(fā)公司 南京門禁系統(tǒng) 南京物業(yè)管理軟件 南京倉庫管理軟件 南京餐飲管理軟件 南京網(wǎng)站建設(shè)公司