Web服務(wù)中的信息安全：軟肋 or 機(jī)會(huì)？

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

Web服務(wù)中的信息安全：軟肋 or 機(jī)會(huì)？

薛斐

Web服務(wù)將會(huì)在企業(yè)軟件系統(tǒng)中增加3～4個(gè)新的層次，系統(tǒng)安全面臨的挑戰(zhàn)更多了，問題也更加復(fù)雜了。有人說：一旦引入Web服務(wù)，暴露給黑客實(shí)施攻擊的地方就更多了，我們需要防護(hù)的地方也就更多了。然而，Web服務(wù)——

Web服務(wù)炙手可熱，但Web服務(wù)的安全領(lǐng)域卻是有待開發(fā)的“大西部”

Web服務(wù)引發(fā)安全危機(jī)的一個(gè)原因是：基于Web服務(wù)的軟件開發(fā)太簡(jiǎn)單、太方便了，而信息處理手段的發(fā)展必將使得信息的泄漏更加難以控制。

Borland是重要的Web服務(wù)開發(fā)工具提供商之一，其首席戰(zhàn)略官Shelton指出：“Web服務(wù)的不當(dāng)使用可能給企業(yè)信息安全帶來極大的隱患。Web服務(wù)必須擁有與生俱來的安全機(jī)制，否則用戶和軟件開發(fā)商都會(huì)為此付出代價(jià)?！倍贛cAfee.com公司擔(dān)任CIO的Doug Cavit則認(rèn)為:“今后員工可能隨手就開發(fā)出幾個(gè)Web服務(wù)部件。在這種情況下，信息安全管理政策與安全技術(shù)同樣重要。”

如果Web服務(wù)的應(yīng)用范圍推廣到Extranet甚至面向公眾的Internet，企業(yè)信息安全面臨的威脅將會(huì)顯著增加。實(shí)際上，如果信息安全問題得不到妥善解決，Web服務(wù)的推廣應(yīng)用將會(huì)大大延緩。

現(xiàn)在已經(jīng)提出了一些技術(shù)措施，以使Web服務(wù)更加安全。例如SSL (Secure Sockets Layer，安全插件層)就是一種必要的措施，但僅僅如此仍然是不夠的。SOAP在安全方面已經(jīng)有了不錯(cuò)的開端，因?yàn)樗试S以類似于API的方式進(jìn)行訪問。西部UDDI主要是用來描述自身的功能特性，對(duì)于保證系統(tǒng)安全性也有一定作用。但是你應(yīng)該注意到，這種描述本身就可能“撒謊”——被用來進(jìn)行惡意的、歪曲的欺騙性描述。這樣一來，基于Web服務(wù)的軟件部件完全可能變成潛伏在企業(yè)信息系統(tǒng)之中的“特洛伊木馬”。

出于安全方面的考慮，許多企業(yè)將會(huì)首先把Web服務(wù)的應(yīng)用限制在企業(yè)內(nèi)部。但是，Web服務(wù)的真正價(jià)值更多地體現(xiàn)在企業(yè)之間。從這個(gè)意義上講，Web服務(wù)從理想走向現(xiàn)實(shí)的道路上還蹲著“信息安全”這個(gè)攔路虎。問題的關(guān)鍵在于一個(gè)企業(yè)應(yīng)用系統(tǒng)之中可能引用許多分布式Web服務(wù)部件，他們的整體安全性問題很難解決。從目前的情況看，Web服務(wù)的安全性仍然是有待開發(fā)的“大西部”。

Web服務(wù)的安全機(jī)制怎樣才能變成淘金者的樂園?

有人說，投資于Web服務(wù)安全技術(shù)是一本萬(wàn)利的買賣，因?yàn)槟悴粌H可以通過Web服務(wù)業(yè)務(wù)掙錢，而且可以通過信息安全技術(shù)來掙錢，你將成為資本和技術(shù)市場(chǎng)的寵兒。原因很簡(jiǎn)單，Web服務(wù)正在成為軟件市場(chǎng)的大金礦，而缺少了信息安全，它又將是死路一條。

在基于Web服務(wù)的架構(gòu)之中，信息出自多個(gè)來源，同時(shí)又提供給多個(gè)目的地，數(shù)據(jù)必須在運(yùn)行過程中隨時(shí)打包。在以往的信息系統(tǒng)之中，信息處理的節(jié)奏從來沒有像Web服務(wù)這樣快。難怪有人說：在Web服務(wù)之中，信息是短命的。這樣的環(huán)境將會(huì)使傳統(tǒng)的信息安全技術(shù)人員束手無策、不寒而栗。

反過來，在這個(gè)充滿復(fù)雜性的環(huán)境中，找到捷徑的信息安全高手將會(huì)如魚得水、游刃有余。捷徑在哪里呢？想想看：不再受制于本地的、特定的操作系統(tǒng)和數(shù)據(jù)庫(kù)的限制，甚至連具體的應(yīng)用是什么都可以不管了，信息安全問題可以獨(dú)立出來、形成自己的基礎(chǔ)架構(gòu)，以各種不同的形式提供統(tǒng)一的認(rèn)證系統(tǒng)，解決信息的機(jī)密性、集成性以及各種信息傳遞的認(rèn)證和回執(zhí)問題。這就等于說：“你可以輕裝上陣了?！?

西部淘金的先頭部隊(duì)已經(jīng)啟程了。OASIS（Organization for the Advancement of Structured Information Standards，結(jié)構(gòu)化信息標(biāo)準(zhǔn)推進(jìn)組織）已經(jīng)提出了SAML（Security Assertion Markup Language，安全認(rèn)定標(biāo)記語(yǔ)言），可以在網(wǎng)站、平臺(tái)和企業(yè)之間共享用戶信息，通過XML實(shí)現(xiàn)安全的電子商務(wù)交易（參見本版小資料）。Verisign公司在密鑰管理的XML標(biāo)準(zhǔn)和伙伴信任度判定等方面做出了有建樹的探索。

你也許已經(jīng)感到，在Web服務(wù)信息安全領(lǐng)域，最大的贏家很可能仍然是永遠(yuǎn)都那么風(fēng)光的PKI廠商以及由它們所支持的數(shù)字簽名和加密技術(shù)。可以相信，PKI將會(huì)成為Web服務(wù)乃至未來軟件世界的耀眼明星。

更進(jìn)一步觀察，你會(huì)發(fā)現(xiàn)在以下幾個(gè)與Web服務(wù)密切相關(guān)的信息安全領(lǐng)域，軟件廠商最有可能找到它們夢(mèng)寐以求的金礦。

身份認(rèn)證的需求將會(huì)一飛沖天，因?yàn)樵谲浖考佁焐w地的環(huán)境中，對(duì)于個(gè)人、設(shè)備和軟件部件來源的確認(rèn)將會(huì)成為廣泛而重要的基本業(yè)務(wù)。

適用于XML的防火墻和加密裝置將會(huì)盛行，也許某種與此類似的網(wǎng)關(guān)設(shè)備將會(huì)出現(xiàn)在市場(chǎng)上。

入侵監(jiān)測(cè)傳感器將會(huì)轉(zhuǎn)變成為OCSP (Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議) 的應(yīng)答器(Responser)，將“入侵”信號(hào)作為未經(jīng)授權(quán)的證書予以處理。（參見第B8版小資料）

交易安全裝置將會(huì)在Web服務(wù)環(huán)境中應(yīng)運(yùn)而生，而且由于擺脫了傳統(tǒng)遺留系統(tǒng)的限制，它們完全有可能把其他的信息安全機(jī)制遠(yuǎn)遠(yuǎn)拋在后頭。
在Web服務(wù)這項(xiàng)新技術(shù)面前，有的人感到惶恐，生怕自己被新技術(shù)所拋棄，也有人認(rèn)為Web服務(wù)不值一提，因?yàn)樗翢o安全性可言。但是，有遠(yuǎn)見的人總能從問題中發(fā)現(xiàn)機(jī)會(huì)。有專家說：“要么領(lǐng)先一步，要么永遠(yuǎn)退出歷史舞臺(tái)！Web服務(wù)是信息安全技術(shù)展示其價(jià)值的千載難逢的好時(shí)機(jī)。你最好及早著手介入這項(xiàng)技術(shù)并不失時(shí)機(jī)地宣布支持與Web服務(wù)相適應(yīng)的業(yè)務(wù)模式，同時(shí)設(shè)計(jì)和實(shí)現(xiàn)Web服務(wù)的安全架構(gòu)。這樣不至于在別人收獲的季節(jié)才后悔自己沒有播種?！?

小資料：SAML

SAML (Security Assertion Markup Language，安全認(rèn)定標(biāo)記語(yǔ)言) 是支持XML電子商務(wù)的第一個(gè)工業(yè)標(biāo)準(zhǔn)，它將S2ML和AuthXML結(jié)合起來，為企業(yè)之間進(jìn)行B2B 和B2C業(yè)務(wù)交易提供共享安全服務(wù)的公用語(yǔ)言。

SAML允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進(jìn)行安全的授權(quán)、認(rèn)證和基本信息交換，而與它們各自采用的軟件及硬件平臺(tái)無關(guān)。因此，SAML將會(huì)促進(jìn)離散的安全系統(tǒng)之間的互操作性，可以跨越企業(yè)之間的界線，建立一個(gè)安全的電子商務(wù)交易框架。

XML信任中心（XML Trust Center）將會(huì)及時(shí)向開發(fā)者提供SAML的相關(guān)資源。更詳細(xì)的資料可以從OASIS XML安全服務(wù)技術(shù)委員會(huì)（Security Services Technical Committee）的網(wǎng)站（S2ML.org和Authxml.org）獲得。

小資料：OCSP

OCSP (Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議)是兩個(gè)重要的服務(wù)器及網(wǎng)絡(luò)資源安全框架之一。另一個(gè)是CRL(Certificate Revocation List，證書廢除列表)，這是一種包含已撤消證書列表的簽名數(shù)據(jù)表，曾經(jīng)是最常用的證書撤銷方式。CRL的完整性和可靠性由它本身的數(shù)字簽名來保證，通常CRL的簽名者就是證書的簽發(fā)者。目前，CRL正逐漸被OCSP所取代。

OCSP旨在幫助應(yīng)用軟件判定某個(gè)證書的狀態(tài)，可以為應(yīng)用系統(tǒng)提供更及時(shí)的證書撤回信息，從而提高系統(tǒng)的安全性。在應(yīng)用過程中，OCSP客戶向OCSP應(yīng)答器（Responser）發(fā)出狀態(tài)申請(qǐng)，然后就把這個(gè)證書置于等待狀態(tài)，直到應(yīng)答器返回確認(rèn)信號(hào)為止。

OCSP比CRL向前邁進(jìn)了一大步。因?yàn)閷?shí)際應(yīng)用中證書的狀態(tài)經(jīng)常被更新，在CRL架構(gòu)之中要求客戶端頻繁地下載最新的列表。而在OCSP框架之中，當(dāng)客戶端希望了解某個(gè)證書的狀態(tài)時(shí)只要向服務(wù)器發(fā)出申請(qǐng)，就會(huì)從服務(wù)器上得到待查證書的狀態(tài)。服務(wù)器發(fā)回的狀態(tài)信息包括“可用”、“過期”和“未知”三種。OCSP協(xié)議規(guī)定了服務(wù)器和客戶端進(jìn)行通信的語(yǔ)法，而且在證書過期后、尚未更新之前允許存在一個(gè)特定的時(shí)限。

本文原載于計(jì)算機(jī)世界報(bào)