當(dāng)前位置：首頁(yè) > 消費(fèi)電子 > 消費(fèi)電子

SOA安全噩夢(mèng)何時(shí)休？

時(shí)間：2009-04-21 05:38:34

關(guān)鍵字：加密 PCI 防火墻電子

手機(jī)看文章

掃描二維碼
隨時(shí)隨地手機(jī)看文章

[導(dǎo)讀]SOA為那些要實(shí)施跨部門(mén)、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機(jī)會(huì)。集成能夠幫助簡(jiǎn)化商業(yè)流程、提高產(chǎn)品上市的時(shí)間、使企業(yè)對(duì)業(yè)務(wù)、共享的數(shù)據(jù)和服務(wù)中的變化更快地做出反應(yīng)。例如，正確建立的SOA架構(gòu)能夠讓一個(gè)電

SOA為那些要實(shí)施跨部門(mén)、跨系統(tǒng)和跨企業(yè)集成的公司創(chuàng)造了巨大的機(jī)會(huì)。

集成能夠幫助簡(jiǎn)化商業(yè)流程、提高產(chǎn)品上市的時(shí)間、使企業(yè)對(duì)業(yè)務(wù)、共享的數(shù)據(jù)和服務(wù)中的變化更快地做出反應(yīng)。例如，正確建立的SOA架構(gòu)能夠讓一個(gè)電子商務(wù)網(wǎng)站與自己的供應(yīng)商、分銷(xiāo)商、信用卡公司和消費(fèi)者無(wú)縫地集成在一起。在一個(gè)客戶下訂單之后，系統(tǒng)將自動(dòng)編排大量的信息，不須要在每一次登錄時(shí)都詢(xún)問(wèn)用戶或者系統(tǒng)。

SOA還允許企業(yè)在不放棄和不更換老式系統(tǒng)的情況下通過(guò)抽象化某些商業(yè)流程、服務(wù)或者數(shù)據(jù)來(lái)重新煥發(fā)這些老系統(tǒng)的青春。企業(yè)能夠利用它們對(duì)現(xiàn)有的老式系統(tǒng)的投資，同時(shí)建立無(wú)縫地與老系統(tǒng)集成在一起的新系統(tǒng)。

對(duì)于最終用戶來(lái)說(shuō)，這是涅槃。對(duì)于安全部門(mén)的人來(lái)說(shuō)，這是他們最糟糕的噩夢(mèng)。

集成的負(fù)面影響

上面提到的SOA的好處伴隨著在安全、隱私和遵守法規(guī)方面的很大風(fēng)險(xiǎn)。對(duì)于那些輕松地把防火墻后面和防火墻外面的其它服務(wù)集成在一起的服務(wù)來(lái)說(shuō)，它們必須是可發(fā)現(xiàn)的和容易轉(zhuǎn)變的。許多SOA實(shí)施使用Web服務(wù)。Web服務(wù)使用WSDL(Web服務(wù)說(shuō)明語(yǔ)言)說(shuō)明如何啟用這個(gè)服務(wù)。UDDI(統(tǒng)一描述、發(fā)現(xiàn)和集成)是一種標(biāo)準(zhǔn)，通常與Web服務(wù)一起使用，允許發(fā)現(xiàn)和提取服務(wù)。SOA中常用的另外兩個(gè)標(biāo)準(zhǔn)是XML(可擴(kuò)展標(biāo)記語(yǔ)言)和SOAP(簡(jiǎn)單對(duì)象訪問(wèn)協(xié)議)。XML是一種自我說(shuō)明格式，包含明文形式的信息，而SOAP是交換基于XML的信息的協(xié)議并且以明文提供重要的信息。雖然這些標(biāo)準(zhǔn)讓企業(yè)更容易地集成服務(wù)，但是，如果沒(méi)有適當(dāng)?shù)陌踩胧?，它也?huì)把這個(gè)王國(guó)的鑰匙交給黑客。

許多老式的系統(tǒng)的構(gòu)造從來(lái)都不是要暴露給外部的，特別是不能暴露給防火墻外部的系統(tǒng)?，F(xiàn)在，采用SOA之后，由于SOA的可發(fā)現(xiàn)的和自我說(shuō)明的性質(zhì)，黑客能夠訪問(wèn)他們以前無(wú)法接觸的系統(tǒng)和數(shù)據(jù)。

企業(yè)中的挑戰(zhàn)

業(yè)內(nèi)人士向許多架構(gòu)師、廠商、培訓(xùn)師和安全專(zhuān)家提出了一個(gè)簡(jiǎn)單的問(wèn)題：你認(rèn)為在實(shí)施SOA的時(shí)候架構(gòu)師需要解決的最大的安全風(fēng)險(xiǎn)是什么？這個(gè)問(wèn)題的答案有如下幾類(lèi)：

機(jī)構(gòu)中缺乏對(duì)這種風(fēng)險(xiǎn)的嚴(yán)重的認(rèn)識(shí)和知識(shí)。

在服務(wù)、系統(tǒng)和企業(yè)之間傳播證書(shū)。

監(jiān)視、審計(jì)和強(qiáng)制執(zhí)行政策的能力。

缺乏認(rèn)識(shí)和知識(shí)

重要的是企業(yè)架構(gòu)師要得到適當(dāng)?shù)呐嘤?xùn)，這樣他們就能夠很好地理解SOA以識(shí)別這種風(fēng)險(xiǎn)。許多SOA計(jì)劃都是企業(yè)架構(gòu)師小組從技術(shù)的觀點(diǎn)推動(dòng)的。如果架構(gòu)師不熟悉風(fēng)險(xiǎn)和其它問(wèn)題，他們不僅不知道需要建立什么來(lái)這個(gè)服務(wù)的安全，而且他們還不知道在什么時(shí)候引進(jìn)安全和審計(jì)專(zhuān)家。安全需要提前建立，不應(yīng)該在事后建立。把安全建在每一個(gè)服務(wù)中對(duì)于每一項(xiàng)服務(wù)的性能和可維護(hù)性可能是一個(gè)負(fù)擔(dān)。安全應(yīng)該作為一套核心的服務(wù)實(shí)施，允許集中管理和維護(hù)安全。此外，管理層必須理解這個(gè)風(fēng)險(xiǎn)并且提供適當(dāng)?shù)闹С趾唾Y金以便有效地保證企業(yè)的安全。

傳播證書(shū)

許多服務(wù)是“無(wú)頭的”，也就是說(shuō)這些服務(wù)沒(méi)有相關(guān)的用戶接口。這些服務(wù)是通過(guò)啟動(dòng)其它服務(wù)并且由其它服務(wù)啟動(dòng)的，而且必須要把證書(shū)按照順序從頭到尾不間斷傳遍整個(gè)系統(tǒng)。更有挑戰(zhàn)性的是一個(gè)信息可能包含為多個(gè)服務(wù)用戶提供的XML數(shù)據(jù)。

以一個(gè)電子商務(wù)網(wǎng)站為例，一個(gè)訂單能夠引發(fā)一個(gè)包含提供給一個(gè)供應(yīng)商、分銷(xiāo)商和信用卡公司的XNL數(shù)據(jù)，每一方都有不同的安全要求。只有信用卡公司有權(quán)訪問(wèn)這個(gè)信用卡信息(信用卡信息應(yīng)該按照PCI的要求加密)。供應(yīng)商需要知道什么產(chǎn)品和在目錄的什么地方。分銷(xiāo)商需要知道有關(guān)產(chǎn)品和發(fā)貨地址的信息。因此，你從這個(gè)例子可以看出，過(guò)去簡(jiǎn)單地使用SSL的日子是不夠的。在這個(gè)例子中，同樣的信息要同時(shí)發(fā)給三個(gè)不同的公司并且不需要任何一家公司登錄。許多公司采用WS-*標(biāo)準(zhǔn)(如Ws-Security、WS-Trust、WS-Federation、Ws-Policy等)來(lái)解決這些風(fēng)險(xiǎn)。

最佳做法包括XML加密，使用公共密鑰和/或者令牌，政策驅(qū)動(dòng)的安全方法，而不是采用硬編碼。但是，在建立這些最佳做法的時(shí)候，事情會(huì)變得更加復(fù)雜。XML加密可以造成性能下降，從而產(chǎn)生XML設(shè)備/加速器的需求。政策驅(qū)動(dòng)的安全需要用于更新、維護(hù)和審計(jì)安全政策的工具。這將把我們帶到下一類(lèi)問(wèn)題...

審計(jì)、監(jiān)視和強(qiáng)制執(zhí)行政策

許多回答這個(gè)問(wèn)題的人強(qiáng)調(diào)了對(duì)于所有的服務(wù)的端對(duì)端的監(jiān)視和審計(jì)重要性。說(shuō)把適當(dāng)?shù)陌踩胧┙ㄔ谶@個(gè)架構(gòu)中是一回事。證明這個(gè)事情是另一回事。

把安全建成一種服務(wù)的架構(gòu)師需要從審計(jì)和管理規(guī)定的角度考慮這種需求。我們有SOX、HIPAA、PCI和許多其它的法規(guī)。有時(shí)候，這些法規(guī)是相互沖突的。例如，SOX要求我們存儲(chǔ)有所有關(guān)金融交易的一切記錄，而PCI法規(guī)要求我們不能用明文存儲(chǔ)信用卡號(hào)碼。而且我們同時(shí)還必須把信用卡號(hào)碼信息傳送給金融機(jī)構(gòu)。要實(shí)現(xiàn)這個(gè)目的，企業(yè)的所有種類(lèi)的加密和其它加密措施都要進(jìn)行審計(jì)。要通過(guò)這些審計(jì)，我們必須記錄每一個(gè)服務(wù)電話的正確的信息級(jí)別，向各種審計(jì)人員和管理部門(mén)提供一種方法，證明我們是遵守它們的規(guī)定的。一次糟糕的交易就會(huì)讓審計(jì)失敗。

一個(gè)大的挑戰(zhàn)是外部服務(wù)用戶以意想不到方式適應(yīng)了某些服務(wù)。必須要有預(yù)見(jiàn)性地監(jiān)視服務(wù)的消費(fèi)以便識(shí)別出出人意料的不符合安全政策的用戶，在災(zāi)難性結(jié)果出現(xiàn)之前迅速達(dá)成一個(gè)解決方案。最后，我們必須保證正確的數(shù)據(jù)在正確的時(shí)間交給正確的人。

我們能做什么？

有兩件事情能夠緩解這種風(fēng)險(xiǎn)。第一是提高認(rèn)識(shí)。投資進(jìn)行培訓(xùn)和培訓(xùn)每一個(gè)人，不僅僅使培訓(xùn)開(kāi)發(fā)人員。管理層需要高水平的培訓(xùn)課程，而架構(gòu)師、安全專(zhuān)家、審計(jì)師、開(kāi)發(fā)人員、測(cè)試人員、商業(yè)分析師和其他人需要針對(duì)他們需求的培訓(xùn)。

第二，安全是每一個(gè)人的責(zé)任，不僅僅是企業(yè)架構(gòu)師和安全架構(gòu)師的責(zé)任。機(jī)構(gòu)要全力保證企業(yè)的安全。業(yè)內(nèi)人士建議企業(yè)雇用有經(jīng)驗(yàn)的SOA安全人員或者雇用一個(gè)顧問(wèn)把這個(gè)知識(shí)傳授給機(jī)構(gòu)內(nèi)部的安全部門(mén)。

本站聲明：本文章由作者或相關(guān)機(jī)構(gòu)授權(quán)發(fā)布，目的在于傳遞更多信息，并不代表本站贊同其觀點(diǎn)，本站亦不保證或承諾內(nèi)容真實(shí)性等。需要轉(zhuǎn)載請(qǐng)聯(lián)系該專(zhuān)欄作者，如若文章內(nèi)容侵犯您的權(quán)益，請(qǐng)及時(shí)聯(lián)系本站刪除。

換一批

下好創(chuàng)新"先手棋"，安集科技功能性濕電子化學(xué)品持續(xù)發(fā)力

上海2022年10月19日 /美通社/ -- 10月17日晚間，安集科技披露業(yè)績(jī)預(yù)告。今年前三季度，公司預(yù)計(jì)實(shí)現(xiàn)營(yíng)業(yè)收入7.54億元至8.33億元，同比增長(zhǎng)60.24%至77.03%；歸母凈利潤(rùn)預(yù)計(jì)為1.73億...

關(guān)鍵字：電子安集科技 BSP EPS

[快訊]

Kakao掉線暴露科技巨頭被迫下線時(shí)所產(chǎn)生的漏洞

韓國(guó)的“萬(wàn)能應(yīng)用”Kakao周末掉線，引發(fā)了生活和商業(yè)的廣泛混亂，暴露出一個(gè)無(wú)處不在的科技巨頭被迫下線時(shí)所產(chǎn)生的漏洞。Kakao的主要服務(wù)——從即時(shí)通訊到網(wǎng)約車(chē)再到移動(dòng)支付，在上周六遭遇宕機(jī)，此前該公司大部分?jǐn)?shù)據(jù)服務(wù)器所...

關(guān)鍵字：即時(shí)通訊電子移動(dòng) 網(wǎng)約車(chē)

[快科技]

東航、南航、海航等多家航司官宣：恢復(fù)并加密多條國(guó)際航線！

近日，東航、南航、海航等多家航空公司宣布恢復(fù)并加密多條國(guó)際航線。10月17日，東方航空官宣，計(jì)劃于10月底恢復(fù)多條國(guó)際航線，包括上海—曼谷—青島、杭州/青島/南京/昆明—東京成田、青島...

關(guān)鍵字：加密 MDASH

[通信先鋒]

士蘭微擬募資65億元用于汽車(chē)半導(dǎo)體產(chǎn)線建設(shè)

近日，半導(dǎo)體龍頭企業(yè)士蘭微(600460)披露再融資預(yù)案，65億元募集資金將用于12寸芯片生產(chǎn)線、SiC功率器件生產(chǎn)線和汽車(chē)半導(dǎo)體封裝項(xiàng)目的建設(shè)。

關(guān)鍵字：士蘭微芯片電子

[產(chǎn)業(yè)新聞]

安徽首創(chuàng)，浪潮新基建助力亳州實(shí)現(xiàn)退休事項(xiàng)一次辦

濟(jì)南2022年10月14日 /美通社/ -- 近日，國(guó)務(wù)院辦公廳印發(fā)《關(guān)于加快推進(jìn)"一件事一次辦"打造政務(wù)服務(wù)升級(jí)版的指導(dǎo)意見(jiàn)》，提出加快推進(jìn)"一件事一次辦"，打造政務(wù)服務(wù)升級(jí)版，...

關(guān)鍵字：新基建電子 APP 數(shù)據(jù)共享

[美通社全球TMT]

TCL電子獲大股東及信托累計(jì)增持超1億股

（全球TMT2022年10月13日訊）TCL電子控股有限公司（“TCL電子”或“公司”）宣布，自2022年中期業(yè)績(jī)公告日（即2022年8月19日）至今，大股東TCL實(shí)業(yè)控股股份有限公司（“TCL控股”）增持TCL電子股...

關(guān)鍵字： TCL 電子 MT

[產(chǎn)業(yè)新聞]

TCL電子（01070.HK）獲大股東及信托累計(jì)增持超1億股

彰顯對(duì)公司成長(zhǎng)價(jià)值的信心香港2022年10月12日 /美通社/ -- TCL電子控股有限公司（“TCL電子”或“公司”，股份代碼：01070.HK）欣然宣布，自2022年中期業(yè)績(jī)公告日（即2022年8月19...

關(guān)鍵字： TCL 電子分布式光伏 BSP

[產(chǎn)業(yè)新聞]

TUV南德香港公司連續(xù)5年榮膺"積金好雇主嘉許計(jì)劃"獎(jiǎng)

香港2022年10月12日 /美通社/ -- 近日，南德認(rèn)證檢測(cè)香港有限公司（以下簡(jiǎn)稱(chēng)"TUV南德"）榮獲強(qiáng)制性公積金管理局（以下簡(jiǎn)稱(chēng)"積金局&...

關(guān)鍵字：數(shù)字化電子 BSP 數(shù)碼

[美通社全球TMT]

愛(ài)立信與歐洲合作伙伴加強(qiáng)在6G生態(tài)系統(tǒng)與標(biāo)準(zhǔn)化方面的合作；TCL電子獲大股東及信托累計(jì)增持超1億股

（全球TMT2022年10月13日訊）愛(ài)立信與歐洲合作伙伴加強(qiáng)在6G生態(tài)系統(tǒng)與標(biāo)準(zhǔn)化方面的合作。隨著歐盟委員會(huì)（EC）6G旗艦項(xiàng)目第二階段 -- Hexa-X-II的啟動(dòng)。愛(ài)立信將延續(xù)其在Hexa-X項(xiàng)目第一階段中的技...

關(guān)鍵字： TCL 愛(ài)立信電子生態(tài)系統(tǒng)

[消費(fèi)電子]