監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設(shè)計管理系統(tǒng) | 甲方項目管理系統(tǒng) | 簽約案例 | 客戶案例 | 在線試用
X 關(guān)閉
上海OA快博

當(dāng)前位置:工程項目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博

Web服務(wù)中的信息安全:軟肋 or 機會?

申請免費試用、咨詢電話:400-8352-114

AMTeam.org

Web服務(wù)中的信息安全:軟肋 or 機會?

薛斐

Web服務(wù)將會在企業(yè)軟件系統(tǒng)中增加3~4個新的層次,系統(tǒng)安全面臨的挑戰(zhàn)更多了,問題也更加復(fù)雜了。有人說:一旦引入Web服務(wù),暴露給黑客實施攻擊的地方就更多了,我們需要防護的地方也就更多了。然而,Web服務(wù)——

Web服務(wù)炙手可熱,但Web服務(wù)的安全領(lǐng)域卻是有待開發(fā)的“大西部”

Web服務(wù)引發(fā)安全危機的一個原因是:基于Web服務(wù)的軟件開發(fā)太簡單、太方便了,而信息處理手段的發(fā)展必將使得信息的泄漏更加難以控制。

Borland是重要的Web服務(wù)開發(fā)工具提供商之一,其首席戰(zhàn)略官Shelton指出:“Web服務(wù)的不當(dāng)使用可能給企業(yè)信息安全帶來極大的隱患。Web服務(wù)必須擁有與生俱來的安全機制,否則用戶和軟件開發(fā)商都會為此付出代價?!倍贛cAfee.com公司擔(dān)任CIO的Doug Cavit則認(rèn)為:“今后員工可能隨手就開發(fā)出幾個Web服務(wù)部件。在這種情況下,信息安全管理政策與安全技術(shù)同樣重要。”

如果Web服務(wù)的應(yīng)用范圍推廣到Extranet甚至面向公眾的Internet,企業(yè)信息安全面臨的威脅將會顯著增加。實際上,如果信息安全問題得不到妥善解決,Web服務(wù)的推廣應(yīng)用將會大大延緩。

現(xiàn)在已經(jīng)提出了一些技術(shù)措施,以使Web服務(wù)更加安全。例如SSL (Secure Sockets Layer,安全插件層)就是一種必要的措施,但僅僅如此仍然是不夠的。SOAP在安全方面已經(jīng)有了不錯的開端,因為它允許以類似于API的方式進行訪問。西部UDDI主要是用來描述自身的功能特性,對于保證系統(tǒng)安全性也有一定作用。但是你應(yīng)該注意到,這種描述本身就可能“撒謊”——被用來進行惡意的、歪曲的欺騙性描述。這樣一來,基于Web服務(wù)的軟件部件完全可能變成潛伏在企業(yè)信息系統(tǒng)之中的“特洛伊木馬”。

出于安全方面的考慮,許多企業(yè)將會首先把Web服務(wù)的應(yīng)用限制在企業(yè)內(nèi)部。但是,Web服務(wù)的真正價值更多地體現(xiàn)在企業(yè)之間。從這個意義上講,Web服務(wù)從理想走向現(xiàn)實的道路上還蹲著“信息安全”這個攔路虎。問題的關(guān)鍵在于一個企業(yè)應(yīng)用系統(tǒng)之中可能引用許多分布式Web服務(wù)部件,他們的整體安全性問題很難解決。從目前的情況看,Web服務(wù)的安全性仍然是有待開發(fā)的“大西部”。

Web服務(wù)的安全機制怎樣才能變成淘金者的樂園?

有人說,投資于Web服務(wù)安全技術(shù)是一本萬利的買賣,因為你不僅可以通過Web服務(wù)業(yè)務(wù)掙錢,而且可以通過信息安全技術(shù)來掙錢,你將成為資本和技術(shù)市場的寵兒。原因很簡單,Web服務(wù)正在成為軟件市場的大金礦,而缺少了信息安全,它又將是死路一條。

在基于Web服務(wù)的架構(gòu)之中,信息出自多個來源,同時又提供給多個目的地,數(shù)據(jù)必須在運行過程中隨時打包。在以往的信息系統(tǒng)之中,信息處理的節(jié)奏從來沒有像Web服務(wù)這樣快。難怪有人說:在Web服務(wù)之中,信息是短命的。這樣的環(huán)境將會使傳統(tǒng)的信息安全技術(shù)人員束手無策、不寒而栗。

反過來,在這個充滿復(fù)雜性的環(huán)境中,找到捷徑的信息安全高手將會如魚得水、游刃有余。捷徑在哪里呢?想想看:不再受制于本地的、特定的操作系統(tǒng)和數(shù)據(jù)庫的限制,甚至連具體的應(yīng)用是什么都可以不管了,信息安全問題可以獨立出來、形成自己的基礎(chǔ)架構(gòu),以各種不同的形式提供統(tǒng)一的認(rèn)證系統(tǒng),解決信息的機密性、集成性以及各種信息傳遞的認(rèn)證和回執(zhí)問題。這就等于說:“你可以輕裝上陣了?!?

西部淘金的先頭部隊已經(jīng)啟程了。OASIS(Organization for the Advancement of Structured Information Standards,結(jié)構(gòu)化信息標(biāo)準(zhǔn)推進組織)已經(jīng)提出了SAML(Security Assertion Markup Language,安全認(rèn)定標(biāo)記語言),可以在網(wǎng)站、平臺和企業(yè)之間共享用戶信息,通過XML實現(xiàn)安全的電子商務(wù)交易(參見本版小資料)。Verisign公司在密鑰管理的XML標(biāo)準(zhǔn)和伙伴信任度判定等方面做出了有建樹的探索。

你也許已經(jīng)感到,在Web服務(wù)信息安全領(lǐng)域,最大的贏家很可能仍然是永遠都那么風(fēng)光的PKI廠商以及由它們所支持的數(shù)字簽名和加密技術(shù)。可以相信,PKI將會成為Web服務(wù)乃至未來軟件世界的耀眼明星。

更進一步觀察,你會發(fā)現(xiàn)在以下幾個與Web服務(wù)密切相關(guān)的信息安全領(lǐng)域,軟件廠商最有可能找到它們夢寐以求的金礦。

身份認(rèn)證的需求將會一飛沖天,因為在軟件部件鋪天蓋地的環(huán)境中,對于個人、設(shè)備和軟件部件來源的確認(rèn)將會成為廣泛而重要的基本業(yè)務(wù)。

適用于XML的防火墻和加密裝置將會盛行,也許某種與此類似的網(wǎng)關(guān)設(shè)備將會出現(xiàn)在市場上。

入侵監(jiān)測傳感器將會轉(zhuǎn)變成為OCSP (Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議) 的應(yīng)答器(Responser),將“入侵”信號作為未經(jīng)授權(quán)的證書予以處理。(參見第B8版小資料)

交易安全裝置將會在Web服務(wù)環(huán)境中應(yīng)運而生,而且由于擺脫了傳統(tǒng)遺留系統(tǒng)的限制,它們完全有可能把其他的信息安全機制遠遠拋在后頭。
在Web服務(wù)這項新技術(shù)面前,有的人感到惶恐,生怕自己被新技術(shù)所拋棄,也有人認(rèn)為Web服務(wù)不值一提,因為它毫無安全性可言。但是,有遠見的人總能從問題中發(fā)現(xiàn)機會。有專家說:“要么領(lǐng)先一步,要么永遠退出歷史舞臺!Web服務(wù)是信息安全技術(shù)展示其價值的千載難逢的好時機。你最好及早著手介入這項技術(shù)并不失時機地宣布支持與Web服務(wù)相適應(yīng)的業(yè)務(wù)模式,同時設(shè)計和實現(xiàn)Web服務(wù)的安全架構(gòu)。這樣不至于在別人收獲的季節(jié)才后悔自己沒有播種?!?

小資料:SAML

SAML (Security Assertion Markup Language,安全認(rèn)定標(biāo)記語言) 是支持XML電子商務(wù)的第一個工業(yè)標(biāo)準(zhǔn),它將S2ML和AuthXML結(jié)合起來,為企業(yè)之間進行B2B 和B2C業(yè)務(wù)交易提供共享安全服務(wù)的公用語言。

SAML允許企業(yè)及其供應(yīng)商、客戶與合作伙伴進行安全的授權(quán)、認(rèn)證和基本信息交換,而與它們各自采用的軟件及硬件平臺無關(guān)。因此,SAML將會促進離散的安全系統(tǒng)之間的互操作性,可以跨越企業(yè)之間的界線,建立一個安全的電子商務(wù)交易框架。

XML信任中心(XML Trust Center)將會及時向開發(fā)者提供SAML的相關(guān)資源。更詳細的資料可以從OASIS XML安全服務(wù)技術(shù)委員會(Security Services Technical Committee)的網(wǎng)站(S2ML.org和Authxml.org)獲得。

小資料:OCSP

OCSP (Online Certificate Status Protocol,在線證書狀態(tài)協(xié)議)是兩個重要的服務(wù)器及網(wǎng)絡(luò)資源安全框架之一。另一個是CRL(Certificate Revocation List,證書廢除列表),這是一種包含已撤消證書列表的簽名數(shù)據(jù)表,曾經(jīng)是最常用的證書撤銷方式。CRL的完整性和可靠性由它本身的數(shù)字簽名來保證,通常CRL的簽名者就是證書的簽發(fā)者。目前,CRL正逐漸被OCSP所取代。

OCSP旨在幫助應(yīng)用軟件判定某個證書的狀態(tài),可以為應(yīng)用系統(tǒng)提供更及時的證書撤回信息,從而提高系統(tǒng)的安全性。在應(yīng)用過程中,OCSP客戶向OCSP應(yīng)答器(Responser)發(fā)出狀態(tài)申請,然后就把這個證書置于等待狀態(tài),直到應(yīng)答器返回確認(rèn)信號為止。

OCSP比CRL向前邁進了一大步。因為實際應(yīng)用中證書的狀態(tài)經(jīng)常被更新,在CRL架構(gòu)之中要求客戶端頻繁地下載最新的列表。而在OCSP框架之中,當(dāng)客戶端希望了解某個證書的狀態(tài)時只要向服務(wù)器發(fā)出申請,就會從服務(wù)器上得到待查證書的狀態(tài)。服務(wù)器發(fā)回的狀態(tài)信息包括“可用”、“過期”和“未知”三種。OCSP協(xié)議規(guī)定了服務(wù)器和客戶端進行通信的語法,而且在證書過期后、尚未更新之前允許存在一個特定的時限。

本文原載于計算機世界報

發(fā)布:2007-03-25 10:35    編輯:泛普軟件 · xiaona    [打印此頁]    [關(guān)閉]
上海OA系統(tǒng)
聯(lián)系方式

成都公司:成都市成華區(qū)建設(shè)南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢