當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博
Web服務(wù)中的信息安全:軟肋 or 機會?
Web服務(wù)中的信息安全:軟肋 or 機會?
薛斐
Web服務(wù)將會在企業(yè)軟件系統(tǒng)中增加3~4個新的層次,系統(tǒng)安全面臨的挑戰(zhàn)更多了,問題也更加復(fù)雜了。有人說:一旦引入Web服務(wù),暴露給黑客實施攻擊的地方就更多了,我們需要防護的地方也就更多了。然而,Web服務(wù)——
Web服務(wù)炙手可熱,但Web服務(wù)的安全領(lǐng)域卻是有待開發(fā)的“大西部”
Web服務(wù)引發(fā)安全危機的一個原因是:基于Web服務(wù)的軟件開發(fā)太簡單、太方便了,而信息處理手段的發(fā)展必將使得信息的泄漏更加難以控制。
Borland是重要的Web服務(wù)開發(fā)工具提供商之一,其首席戰(zhàn)略官Shelton指出:“Web服務(wù)的不當(dāng)使用可能給企業(yè)信息安全帶來極大的隱患。Web服務(wù)必須擁有與生俱來的安全機制,否則用戶和軟件開發(fā)商都會為此付出代價?!倍贛cAfee.com公司擔(dān)任CIO的Doug Cavit則認(rèn)為:“今后員工可能隨手就開發(fā)出幾個Web服務(wù)部件。在這種情況下,信息安全管理政策與安全技術(shù)同樣重要。”
如果Web服務(wù)的應(yīng)用范圍推廣到Extranet甚至面向公眾的Internet,企業(yè)信息安全面臨的威脅將會顯著增加。實際上,如果信息安全問題得不到妥善解決,Web服務(wù)的推廣應(yīng)用將會大大延緩。
現(xiàn)在已經(jīng)提出了一些技術(shù)措施,以使Web服務(wù)更加安全。例如SSL (Secure Sockets Layer,安全插件層)就是一種必要的措施,但僅僅如此仍然是不夠的。SOAP在安全方面已經(jīng)有了不錯的開端,因為它允許以類似于API的方式進行訪問。西部UDDI主要是用來描述自身的功能特性,對于保證系統(tǒng)安全性也有一定作用。但是你應(yīng)該注意到,這種描述本身就可能“撒謊”——被用來進行惡意的、歪曲的欺騙性描述。這樣一來,基于Web服務(wù)的軟件部件完全可能變成潛伏在企業(yè)信息系統(tǒng)之中的“特洛伊木馬”。
出于安全方面的考慮,許多企業(yè)將會首先把Web服務(wù)的應(yīng)用限制在企業(yè)內(nèi)部。但是,Web服務(wù)的真正價值更多地體現(xiàn)在企業(yè)之間。從這個意義上講,Web服務(wù)從理想走向現(xiàn)實的道路上還蹲著“信息安全”這個攔路虎。問題的關(guān)鍵在于一個企業(yè)應(yīng)用系統(tǒng)之中可能引用許多分布式Web服務(wù)部件,他們的整體安全性問題很難解決。從目前的情況看,Web服務(wù)的安全性仍然是有待開發(fā)的“大西部”。
Web服務(wù)的安全機制怎樣才能變成淘金者的樂園?
有人說,投資于Web服務(wù)安全技術(shù)是一本萬利的買賣,因為你不僅可以通過Web服務(wù)業(yè)務(wù)掙錢,而且可以通過信息安全技術(shù)來掙錢,你將成為資本和技術(shù)市場的寵兒。原因很簡單,Web服務(wù)正在成為軟件市場的大金礦,而缺少了信息安全,它又將是死路一條。
在基于Web服務(wù)的架構(gòu)之中,信息出自多個來源,同時又提供給多個目的地,數(shù)據(jù)必須在運行過程中隨時打包。在以往的信息系統(tǒng)之中,信息處理的節(jié)奏從來沒有像Web服務(wù)這樣快。難怪有人說:在Web服務(wù)之中,信息是短命的。這樣的環(huán)境將會使傳統(tǒng)的信息安全技術(shù)人員束手無策、不寒而栗。
反過來,在這個充滿復(fù)雜性的環(huán)境中,找到捷徑的信息安全高手將會如魚得水、游刃有余。捷徑在哪里呢?想想看:不再受制于本地的、特定的操作系統(tǒng)和數(shù)據(jù)庫的限制,甚至連具體的應(yīng)用是什么都可以不管了,信息安全問題可以獨立出來、形成自己的基礎(chǔ)架構(gòu),以各種不同的形式提供統(tǒng)一的認(rèn)證系統(tǒng),解決信息的機密性、集成性以及各種信息傳遞的認(rèn)證和回執(zhí)問題。這就等于說:“你可以輕裝上陣了?!?
西部淘金的先頭部隊已經(jīng)啟程了。OASIS(Organization for the Advancement of Structured Information Standards,結(jié)構(gòu)化信息標(biāo)準(zhǔn)推進組織)已經(jīng)提出了SAML(Security Assertion Markup Language,安全認(rèn)定標(biāo)記語言),可以在網(wǎng)站、平臺和企業(yè)之間共享用戶信息,通過XML實現(xiàn)安全的電子商務(wù)交易(參見本版小資料)。Verisign公司在密鑰管理的XML標(biāo)準(zhǔn)和伙伴信任度判定等方面做出了有建樹的探索。
你也許已經(jīng)感到,在Web服務(wù)信息安全領(lǐng)域,最大的贏家很可能仍然是永遠都那么風(fēng)光的PKI廠商以及由它們所支持的數(shù)字簽名和加密技術(shù)。可以相信,PKI將會成為Web服務(wù)乃至未來軟件世界的耀眼明星。
更進一步觀察,你會發(fā)現(xiàn)在以下幾個與Web服務(wù)密切相關(guān)的信息安全領(lǐng)域,軟件廠商最有可能找到它們夢寐以求的金礦。
身份認(rèn)證的需求將會一飛沖天,因為在軟件部件鋪天蓋地的環(huán)境中,對于個人、設(shè)備和軟件部件來源的確認(rèn)將會成為廣泛而重要的基本業(yè)務(wù)。
適用于XML的防火墻和加密裝置將會盛行,也許某種與此類似的網(wǎng)關(guān)設(shè)備將會出現(xiàn)在市場上。
入侵監(jiān)測傳感器將會轉(zhuǎn)變成為OCSP (Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議) 的應(yīng)答器(Responser),將“入侵”信號作為未經(jīng)授權(quán)的證書予以處理。(參見第B8版小資料)
交易安全裝置將會在Web服務(wù)環(huán)境中應(yīng)運而生,而且由于擺脫了傳統(tǒng)遺留系統(tǒng)的限制,它們完全有可能把其他的信息安全機制遠遠拋在后頭。
在Web服務(wù)這項新技術(shù)面前,有的人感到惶恐,生怕自己被新技術(shù)所拋棄,也有人認(rèn)為Web服務(wù)不值一提,因為它毫無安全性可言。但是,有遠見的人總能從問題中發(fā)現(xiàn)機會。有專家說:“要么領(lǐng)先一步,要么永遠退出歷史舞臺!Web服務(wù)是信息安全技術(shù)展示其價值的千載難逢的好時機。你最好及早著手介入這項技術(shù)并不失時機地宣布支持與Web服務(wù)相適應(yīng)的業(yè)務(wù)模式,同時設(shè)計和實現(xiàn)Web服務(wù)的安全架構(gòu)。這樣不至于在別人收獲的季節(jié)才后悔自己沒有播種?!?
小資料:SAML
SAML (Security Assertion Markup Language,安全認(rèn)定標(biāo)記語言) 是支持XML電子商務(wù)的第一個工業(yè)標(biāo)準(zhǔn),它將S2ML和AuthXML結(jié)合起來,為企業(yè)之間進行B2B 和B2C業(yè)務(wù)交易提供共享安全服務(wù)的公用語言。
SAML允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進行安全的授權(quán)、認(rèn)證和基本信息交換,而與它們各自采用的軟件及硬件平臺無關(guān)。因此,SAML將會促進離散的安全系統(tǒng)之間的互操作性,可以跨越企業(yè)之間的界線,建立一個安全的電子商務(wù)交易框架。
XML信任中心(XML Trust Center)將會及時向開發(fā)者提供SAML的相關(guān)資源。更詳細的資料可以從OASIS XML安全服務(wù)技術(shù)委員會(Security Services Technical Committee)的網(wǎng)站(S2ML.org和Authxml.org)獲得。
小資料:OCSP
OCSP (Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議)是兩個重要的服務(wù)器及網(wǎng)絡(luò)資源安全框架之一。另一個是CRL(Certificate Revocation List,證書廢除列表),這是一種包含已撤消證書列表的簽名數(shù)據(jù)表,曾經(jīng)是最常用的證書撤銷方式。CRL的完整性和可靠性由它本身的數(shù)字簽名來保證,通常CRL的簽名者就是證書的簽發(fā)者。目前,CRL正逐漸被OCSP所取代。
OCSP旨在幫助應(yīng)用軟件判定某個證書的狀態(tài),可以為應(yīng)用系統(tǒng)提供更及時的證書撤回信息,從而提高系統(tǒng)的安全性。在應(yīng)用過程中,OCSP客戶向OCSP應(yīng)答器(Responser)發(fā)出狀態(tài)申請,然后就把這個證書置于等待狀態(tài),直到應(yīng)答器返回確認(rèn)信號為止。
OCSP比CRL向前邁進了一大步。因為實際應(yīng)用中證書的狀態(tài)經(jīng)常被更新,在CRL架構(gòu)之中要求客戶端頻繁地下載最新的列表。而在OCSP框架之中,當(dāng)客戶端希望了解某個證書的狀態(tài)時只要向服務(wù)器發(fā)出申請,就會從服務(wù)器上得到待查證書的狀態(tài)。服務(wù)器發(fā)回的狀態(tài)信息包括“可用”、“過期”和“未知”三種。OCSP協(xié)議規(guī)定了服務(wù)器和客戶端進行通信的語法,而且在證書過期后、尚未更新之前允許存在一個特定的時限。
本文原載于計算機世界報
- 1內(nèi)容體現(xiàn)價值
- 2如何實現(xiàn)知識共享?
- 3e信 知識生產(chǎn)新生態(tài)
- 4保證Web服務(wù)安全的SAML
- 5如何識別上海OA“陷阱”
- 6評論:企業(yè)的“網(wǎng)絡(luò)服務(wù)”時代到來了?
- 7信息生命周期管理7步法
- 8上海OA與電子商務(wù)模式
- 9如何在存儲管理中最大限度發(fā)揮ROI?(by AMT 張艷編譯)
- 10新“IP”與“IQ”
- 11上海OA提升企業(yè)競爭力
- 12上海OA軟件市場2006年將達20億歐元
- 13上海OA與企業(yè)信息化之路
- 14HTTP安全性和ASP.NET Web服務(wù)
- 15WEB服務(wù)的價值鏈
- 16如何運用上海OA促進發(fā)展
- 17數(shù)據(jù)集市:數(shù)據(jù)庫的基礎(chǔ)之一(by AMT 胡鵬)
- 18如何搭上Web服務(wù)這班車?
- 19用IP阻塞保護Web服務(wù)的安全
- 20“網(wǎng)絡(luò)服務(wù)”巨頭競爭誰輸誰贏:惠普SUN表現(xiàn)欠佳
- 21IBM全球“大腦”:藍色大象翩翩起舞的知識動力
- 22BEA獲Web Services Journal推崇
- 23Web服務(wù)不神秘!
- 24CKM定義及規(guī)則
- 25CRM中的上海OA(一):客戶支持環(huán)境的新選擇(by AMT 劉宇 編譯)
- 26利用已有優(yōu)勢 Novell不甘在Web服務(wù)作配角
- 27K-Logging:使用網(wǎng)絡(luò)日志(Web Logs)來進行上海OA
- 28上海OA管出企業(yè)"錢途"
- 29企業(yè)知識需要流動和分享(范根定)
- 30善用你的知識財產(chǎn)
成都公司:成都市成華區(qū)建設(shè)南路160號1層9號
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓