當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 福建OA系統(tǒng) > 廈門OA系統(tǒng) > 廈門OA快博
機(jī)遇與隱患并存 您企業(yè)的SOA架構(gòu)是否安全
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
來源:泛普軟件面向服務(wù)架構(gòu)(SOA,service-oriented architecture)為公司進(jìn)行跨部門、跨系統(tǒng)以及跨企業(yè)整合創(chuàng)造了巨大的機(jī)遇,整合可以幫助公司簡(jiǎn)化業(yè)務(wù)流程、提高上市速度,共享數(shù)據(jù)和服務(wù),并且能夠讓公司對(duì)商業(yè)變化更快地做出反應(yīng)。
舉例來說,正確的SOA架構(gòu)可以將電子商務(wù)網(wǎng)站毫無痕跡地與該網(wǎng)站的供應(yīng)商、分銷商、信用卡公司以及消費(fèi)者整合在一起,這樣的話,當(dāng)消費(fèi)者發(fā)出訂單時(shí),系統(tǒng)就能夠在無需請(qǐng)求用戶或者系統(tǒng)的情況下將信息即時(shí)向各相關(guān)方面發(fā)布。
SOA同樣還可以通過抽取某些業(yè)務(wù)流程、服務(wù)或者數(shù)據(jù)點(diǎn)來幫助公司重新恢復(fù)他們的遺留系統(tǒng),而不需要丟棄或者取代那些系統(tǒng)。公司在建設(shè)新的系統(tǒng)時(shí)可以將新系統(tǒng)與舊系統(tǒng)進(jìn)行無縫整合,那樣就可以降低公司的投資成本。
對(duì)于終端用戶來說,這的確是好消息。但是對(duì)于安全部門的工作人員來說,卻是他們最大的噩夢(mèng)。
公司整合的負(fù)面影響
雖然正如上文所述,一體化整合存在很多好處,但同時(shí)也會(huì)給安全、隱私以及合規(guī)帶來巨大的安全風(fēng)險(xiǎn),對(duì)于能夠輕易與其他服務(wù)整合的服務(wù)(兩者都在防火墻后面或者防火墻外部),這兩種服務(wù)必須是可以被發(fā)現(xiàn)的以及易于轉(zhuǎn)換的。
為此,很多SOA部署都使用了Web服務(wù),web服務(wù)使用的是WSDL(Web服務(wù)描述語(yǔ)言),這種語(yǔ)言能夠描述如何行使該服務(wù)。 UDDI(統(tǒng)一描述、發(fā)現(xiàn)和集成)是web服務(wù)中常用的一個(gè)標(biāo)準(zhǔn),它能夠允許服務(wù)被發(fā)現(xiàn)以及檢索。
SOA中經(jīng)常使用的另外兩個(gè)重要標(biāo)準(zhǔn)就是XML和SOAP(簡(jiǎn)單對(duì)象訪問協(xié)議),XML是一種自我描述格式,它包含了信息的清晰的文本描述,而SOAP是用于交換基于XML信息的協(xié)議并且也能提供重要信息的清晰的描述。
然而,盡管這些標(biāo)準(zhǔn)能夠幫助公司更加方便地進(jìn)行服務(wù)整合,但是如果適當(dāng)?shù)陌踩胧]有到位,就必然讓黑客有機(jī)可乘。
很多舊系統(tǒng)并沒有設(shè)計(jì)為能夠接觸到其他系統(tǒng),尤其是防火墻外的系統(tǒng)?,F(xiàn)在有了SOA,就使黑客能夠進(jìn)入他們以前不能訪問的系統(tǒng)和數(shù)據(jù),這還得歸功于SOA的發(fā)現(xiàn)以及自我描述特性。
公司內(nèi)部面臨的挑戰(zhàn)
我采訪過很多架構(gòu)師、供應(yīng)商、培訓(xùn)人員和安全專家,問過他們這樣一個(gè)簡(jiǎn)單的問題: 在部署SOA的時(shí)候你認(rèn)為存在的最大安全風(fēng)險(xiǎn)是什么?我將收到的答案歸類為以下幾部分:
· 對(duì)于公司內(nèi)部巨大的安全風(fēng)險(xiǎn)缺乏意識(shí)或認(rèn)識(shí)
· 在各服務(wù)間、各系統(tǒng)間以及企業(yè)間普及使用授權(quán)證書
· 監(jiān)控、審計(jì)和執(zhí)行政策的能力
缺乏安全風(fēng)險(xiǎn)意識(shí)或認(rèn)識(shí)
軟件構(gòu)架師(EA)必須接受適當(dāng)?shù)呐嘤?xùn)來更好地理解SOA部署,從而鑒定安全風(fēng)險(xiǎn)級(jí)別。很多SOA部署是由軟件構(gòu)架師團(tuán)隊(duì)從技術(shù)的角度來驅(qū)動(dòng)的。如果架構(gòu)師們對(duì)于安全風(fēng)險(xiǎn)問題沒有足夠的意識(shí),那么他們就不知道該如何部署安全措施來保護(hù)服務(wù),同樣他們也不會(huì)知道什么時(shí)候需要調(diào)動(dòng)安全和審計(jì)專家。
安全部署應(yīng)該建立在前期,而不是事后才考慮的問題。向每個(gè)服務(wù)部署安全措施會(huì)對(duì)每個(gè)服務(wù)的性能和可維護(hù)性造成一定的負(fù)擔(dān),安全措施應(yīng)該作為核心服務(wù)來部署,這樣安全措施就能進(jìn)行集中管理和維護(hù)。此外,管理層必須明白存在的安全風(fēng)險(xiǎn),并提供適當(dāng)?shù)闹С趾唾Y金來有效地保障企業(yè)的安全。
普及使用授權(quán)證書
很多服務(wù)都是“無頭的”,這就是說這些服務(wù)與用戶界面沒有關(guān)系。這些服務(wù)被其他服務(wù)啟用并且啟用其他服務(wù),啟用服務(wù)必須通過授權(quán)認(rèn)證以便正給系統(tǒng)的流動(dòng)從開始到技術(shù)都不被中斷。使問題更具挑戰(zhàn)性的是,一條簡(jiǎn)單的信息可能包含多個(gè)服務(wù)客戶的XML數(shù)據(jù)。例如,我們繼續(xù)使用電子商務(wù)網(wǎng)站的例子,客戶的一條請(qǐng)求可以觸發(fā)包含XML數(shù)據(jù)的信息,XML數(shù)據(jù)是有關(guān)供應(yīng)商、分銷商和信用卡公司的數(shù)據(jù),而且每部分有不同的安全要求。只有信用卡公司能夠訪問信用卡信息(應(yīng)該加密為PCI兼容),供應(yīng)商需要知道那些產(chǎn)品被運(yùn)出存活區(qū),而分銷商需要知道產(chǎn)品和送貨地址等信息。
從這個(gè)例子中你會(huì)發(fā)現(xiàn)過去單純使用SSL是遠(yuǎn)遠(yuǎn)不夠的。在這個(gè)例子中,同樣的訊息被發(fā)送給不同的三個(gè)公司而不需要他們各自登錄。很多公司都采用的是WS-*標(biāo)準(zhǔn)(WS-安全, WS-信任, WS- 聯(lián)合, WS-政策, 等等.)來解決存在的安全風(fēng)險(xiǎn)。
最佳解決方法包括XML加密,使用公鑰和/或者令牌以及一個(gè)政策驅(qū)動(dòng)辦法來解決相對(duì)于硬編碼的安全問題。
但是當(dāng)我們執(zhí)行這些最佳解決方法的時(shí)候事情會(huì)變得更加復(fù)雜,XML加密可能導(dǎo)致系統(tǒng)性能退化,這就帶來對(duì)XML工具/加速器的需要。政策驅(qū)動(dòng)安全增加了公司對(duì)更新、維護(hù)和審計(jì)安全政策工具的需要,這就將我們引入了下一部分的內(nèi)容。
審計(jì)、監(jiān)控和執(zhí)行政策
那些回答了我問題的人都強(qiáng)調(diào)了對(duì)所有服務(wù)實(shí)行端到端監(jiān)控和審計(jì)的重要性,這是我們?cè)谟懻撓蚣軜?gòu)中部署適當(dāng)?shù)陌踩胧r(shí)需要考慮的一個(gè)重要問題,我們可以通過另外一件事來證明這一點(diǎn)。
架構(gòu)師在將安全措施作為一項(xiàng)服務(wù)來部署時(shí),需要從審計(jì)和監(jiān)管的角度來考慮需求問題。我們有SOX,HIPAA,PCI和很多其他規(guī)章制度,有時(shí)候這些規(guī)章會(huì)直接與另外的規(guī)章相沖突。
舉例來說,SOX需要我們存儲(chǔ)所有有關(guān)金融交易的信息,而PCI則指出我們不能存儲(chǔ)信用卡號(hào)碼,然而同時(shí)我們需要將信用卡信息通過金融指示。要想做到這一點(diǎn),我們可以使用各種的加密法和其他安全措施來幫助公司實(shí)行審計(jì),為了通過這些審計(jì),我們必須根據(jù)每項(xiàng)服務(wù)的請(qǐng)求來記錄信息的正確級(jí)別,以此來提供一種方法向不同的審計(jì)師和監(jiān)管機(jī)構(gòu)證明我們是在遵守他們的準(zhǔn)則,僅僅一次壞的交易就可能使一次審計(jì)失敗。
還存在的一個(gè)巨大挑戰(zhàn)是,外部服務(wù)客戶使用某些服務(wù)的方式是被認(rèn)為不合適的。服務(wù)性消費(fèi)必須加以主動(dòng)監(jiān)控來查明那些破壞安全政策的不恰當(dāng)?shù)姆?wù)使用事件,這樣就能在發(fā)生災(zāi)難性后果之前快速的部署解決方案。在解決方案產(chǎn)生之前,我們必須確保我們?cè)谡_的時(shí)間向正確的客戶發(fā)送了正確的數(shù)據(jù)。
我們能做什么?
我想到有兩種方法可以幫助減輕這些安全風(fēng)險(xiǎn)。首先是提高認(rèn)識(shí)。公司應(yīng)該加大培訓(xùn)的力度來培訓(xùn)每一個(gè)人,而不只是對(duì)開發(fā)人員培訓(xùn)。管理層需要一個(gè)高層次的培訓(xùn),而架構(gòu)師、安全專家、審計(jì)師、開發(fā)人員、測(cè)試師、業(yè)務(wù)分析師、系統(tǒng)管理員、網(wǎng)絡(luò)工程師和其他人則應(yīng)該根據(jù)他們各自的需求進(jìn)行培訓(xùn)。
第二點(diǎn)就是,安全是每一個(gè)人的責(zé)任,而不僅僅是軟件架構(gòu)師或者安全架構(gòu)師的責(zé)任,整個(gè)公司應(yīng)該承擔(dān)起保護(hù)公司安全的責(zé)任。我強(qiáng)烈推薦公司可以雇傭一名有經(jīng)驗(yàn)的SOA安全專家或者聘用一名安全顧問,在公司內(nèi)部的安全部門傳播安全知識(shí)。
此外,我強(qiáng)烈推薦Ramarao Kanneganti 和Prasad Chodavarapu合著的《Enterprise SOA》以及《SOA Security》這兩本書。來自Progress Software的Dan Foody給我們帶來了很多有關(guān)從安全角度SOA帶來的挑戰(zhàn)的生動(dòng)有趣的例子,他采用造訪白宮的比喻來解釋SOA需要解決的不同級(jí)別的安全問題。
造訪白宮的第一個(gè)安全級(jí)別是進(jìn)入白宮,在這個(gè)安全級(jí)別中,會(huì)有一名警衛(wèi)來檢查你的身份,讓你通過一個(gè)金屬探測(cè)器并且使用X光來檢查你的物品。進(jìn)入白宮里面后,你會(huì)發(fā)現(xiàn)第二個(gè)安全級(jí)別:白宮里面每個(gè)門前面的保安人員。在你進(jìn)入那些門時(shí)你需要提供其他必要信息,但是這里就不再會(huì)使用金屬探測(cè)器和X光機(jī)器了,因?yàn)槟阋呀?jīng)經(jīng)過檢查了。在第三個(gè)安全級(jí)別中,你的向?qū)?huì)將你領(lǐng)入白宮內(nèi)某個(gè)特定區(qū)域,在這個(gè)區(qū)域你不能隨意的散步,并且你正在被你所看不見的眼睛所監(jiān)視著。
這是一個(gè)很好的例子,讓我們認(rèn)識(shí)到保護(hù)SOA必要的安全級(jí)別,不幸的是,很多公司只是在大門口配備了幾個(gè)保安人員。(IT專家網(wǎng))
- 1西安OA快博
- 2武漢OA快博
- 3深圳OA快博
- 4南京OA快博
- 5南昌OA快博
- 6長(zhǎng)沙OA快博
- 7杭州OA快博
- 8太原OA快博
- 9沈陽(yáng)OA快博
- 10長(zhǎng)春OA快博
- 11哈爾濱OA快博
- 12福州OA快博
- 1談一談SOA設(shè)計(jì)的時(shí)間治理
- 2影響中小企業(yè)運(yùn)用電子商務(wù)之五大問題
- 3租用軟件:中小企業(yè)精細(xì)化管理解決之道
- 4陜西千億民資進(jìn)退兩難 擬啟動(dòng)“金改試點(diǎn)”
- 5廈門最好的OA軟件公司是哪家?
- 6從聽?wèi)蚍治鲎稍兊男问脚c價(jià)值
- 7淺析數(shù)據(jù)挖掘在精細(xì)化營(yíng)銷中的應(yīng)用研究
- 8企業(yè)應(yīng)該如何創(chuàng)造性解決管理問題
- 9廈門泛普OA軟件目標(biāo)績(jī)效管理模塊賣點(diǎn)
- 10雅芳董事長(zhǎng)鐘彬嫻年底離職
- 11東北電網(wǎng)公司編制完成國(guó)網(wǎng)公司水電物資編碼
- 12項(xiàng)目管理的目標(biāo)是什么
- 13怎樣從策略上保證SOA滿足業(yè)務(wù)需求
- 14中小企業(yè)“云”中漫步 云計(jì)算為SMB帶來實(shí)惠
- 15多企業(yè)SOA實(shí)施方案是最新的抗衰退趨勢(shì)
- 16錦上添花還是雪中送炭 企業(yè)信息化價(jià)值探討
- 17分析:是什么阻礙了SaaS型廈門OA的發(fā)展?
- 18AMT源天與微創(chuàng)醫(yī)療三度合 提升知識(shí)管理
- 19ERP模式:應(yīng)做到最佳實(shí)踐的應(yīng)需而變
- 20SAP系統(tǒng)財(cái)務(wù)模塊的集團(tuán)公司處理模式
- 21寶鋼回購(gòu)6億股票 業(yè)內(nèi)建議拓寬用途
- 22銷售機(jī)會(huì)追蹤在CRM管理中難點(diǎn)的解析
- 23開源與SOA改寫信息系統(tǒng)規(guī)劃方程式成主流
- 24帳務(wù)、運(yùn)營(yíng)到戰(zhàn)略 解析ERP三大應(yīng)用層級(jí)
- 25Gartner評(píng)選Teradata為“多渠道CRM領(lǐng)導(dǎo)廠商”
- 26Forrester:微軟Dynamics CRM成行業(yè)領(lǐng)軍者
- 27富士康稱鄭州工廠曠工持續(xù)2小時(shí) 高層短信召員工復(fù)工
- 28中化集團(tuán)IT審計(jì)“蛛網(wǎng)”脫困記
- 29企業(yè)管理信息系統(tǒng)的瓦解與重構(gòu)
- 30曝低價(jià)雪白蓮子用硫磺熏制 售價(jià)不超30元/斤
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓