當(dāng)前位置:工程項(xiàng)目OA系統(tǒng) > 泛普各地 > 上海OA系統(tǒng) > 上海OA快博
Web服務(wù)安全要求Top 10
申請(qǐng)免費(fèi)試用、咨詢電話:400-8352-114
AMTeam.orgWeb服務(wù)安全要求Top 10
不管你的公司規(guī)模有多大也不管它從事何種業(yè)務(wù),在為所有的應(yīng)用程序選擇Web服務(wù)時(shí)安全都是需要考慮的頭等大事。我們將在后續(xù)的3篇文章中專門討論安全方面的問題。作為這一系列開篇的本文對(duì)實(shí)現(xiàn)Web服務(wù)時(shí)決定安全級(jí)別和要求最重要的10因素進(jìn)行了闡述。第2文章將討論在J2EE平臺(tái)上如何實(shí)現(xiàn)以下目標(biāo):(a) 領(lǐng)先的J2EE應(yīng)用服務(wù)器的安全需求, (b) J2EE平臺(tái)達(dá)到目前領(lǐng)先的J2EE應(yīng)用服務(wù)器的Web服務(wù)安全需求。第3篇文章專門討論微軟.Net平臺(tái)上的同類措施。
安全要求
在我們深入討論安全要求的10個(gè)最關(guān)鍵因素以前,首先讓我們簡(jiǎn)短地概述下Web服務(wù)的安全要求問題。關(guān)鍵的Web服務(wù)安全要求不外乎以下幾個(gè)方面:認(rèn)證、授權(quán)、數(shù)據(jù)保護(hù)和認(rèn)可。
認(rèn)證
認(rèn)證保證使用某種Web服務(wù)的每一實(shí)體——也就是所謂的請(qǐng)求者(requestor)、供應(yīng)商(provider)和經(jīng)紀(jì)人(broker,如果有的話)——正是實(shí)際上宣稱其身份的實(shí)體。認(rèn)證涉及到從實(shí)體接受憑證以及通過權(quán)威認(rèn)證機(jī)構(gòu)對(duì)其進(jìn)行檢查等。
授權(quán)
授權(quán)決定服務(wù)供應(yīng)商是否同意向請(qǐng)求者授予訪問Web服務(wù)的權(quán)限。從本質(zhì)上說,授權(quán)證實(shí)了服務(wù)請(qǐng)求者的憑證。它還確定服務(wù)請(qǐng)求者是否有權(quán)執(zhí)行操作,其范圍從調(diào)用Web服務(wù)到執(zhí)行其功能不等。
數(shù)據(jù)保護(hù)
數(shù)據(jù)保護(hù)的作用是保證Web服務(wù)請(qǐng)求和響應(yīng)沒有在它們的“旅途”中被截獲乃至受到損害。它要求保護(hù)數(shù)據(jù)的完整性和私密性。值得注意的是數(shù)據(jù)保護(hù)并不保證消息發(fā)送者的身份。
認(rèn)可
認(rèn)可保證消息發(fā)送者與消息的創(chuàng)造者是一樣的。到目前為止,既然我們已經(jīng)了解了Web服務(wù)安全組成要素,接下來我們就看看影響Web服務(wù)實(shí)現(xiàn)最重要的10個(gè)安全因素到底有哪些。
最重要的10個(gè)決定性因素
確定Web服務(wù)安全要求的10個(gè)必要因素如下:
1. Web服務(wù)正被用于EAI或B2Bi嗎?
Web服務(wù)可以用在以下兩個(gè)領(lǐng)域:企業(yè)應(yīng)用集成(EAI)和B2B集成(B2Bi)。EAI領(lǐng)域的安全要求是B2Bi安全要求的子集,因?yàn)樵谄髽I(yè)內(nèi)聯(lián)網(wǎng)中Web服務(wù)的控制、管理、發(fā)現(xiàn)和維護(hù)都比在穿越企業(yè)防火墻的Internet上應(yīng)用要容易得多。用于EAI的Web服務(wù)只有一級(jí)認(rèn)證,而且?guī)缀醪徊捎眉用芗夹g(shù),而用于B2Bi的Web服務(wù)則會(huì)采用多級(jí)認(rèn)證并且總是采用加密技術(shù)。此外,在B2Bi領(lǐng)域,對(duì)應(yīng)Web服務(wù)請(qǐng)求和響應(yīng)的消息都可能需要加密,采用的技術(shù)有密碼系統(tǒng)、數(shù)字簽名和SSL等。不過,只要可能的話都盡量不要針對(duì)企業(yè)網(wǎng)絡(luò)內(nèi)的EAI項(xiàng)目為Web服務(wù)采用SSL。最后,認(rèn)可對(duì)B2Bi領(lǐng)域的Web服務(wù)是非常有用的,因?yàn)樗乐沽藧阂獾陌l(fā)送方否認(rèn)自己創(chuàng)建和發(fā)送了特定的消息。
2. Web服務(wù)的目的是什么?
如果Web服務(wù)僅僅是暴露面向公共信息的業(yè)務(wù)進(jìn)程或數(shù)據(jù)(例如某個(gè)城市內(nèi)今天的天氣或者某公司的股票信息),那么其安全要求比暴露私有業(yè)務(wù)信息的Web服務(wù)可就低多了。
3. Web服務(wù)的用戶是誰(shuí)?
知道Web服務(wù)的用戶是誰(shuí)對(duì)確定Web服務(wù)的授權(quán)和認(rèn)證特性是非常重要的。
4. 服務(wù)能在因特網(wǎng)上調(diào)用嗎?
Web服務(wù)只能供信任的貿(mào)易伙伴使用還是供因特網(wǎng)上的任何公司調(diào)用?這一問題對(duì)Web服務(wù)的授權(quán)和認(rèn)證當(dāng)然很要緊了。
5. 內(nèi)部應(yīng)用程序安全嗎?
Web服務(wù)為其內(nèi)部應(yīng)用程序提供怎樣的訪問級(jí)別呢?訪問權(quán)限的根據(jù)是建立在授權(quán)和權(quán)利基礎(chǔ)上的嗎?訪問內(nèi)部應(yīng)用程序的權(quán)限越大,授權(quán)和認(rèn)證安全要求就越高。
6. Web服務(wù)是面向交易的嗎?
如果在多個(gè)實(shí)體之間分布交易則安全威脅將更高。
7. 采用什么協(xié)議?
哪些網(wǎng)絡(luò)協(xié)議在處理服務(wù)請(qǐng)求者和供應(yīng)商之間的認(rèn)證和數(shù)據(jù)傳輸?因?yàn)槿魏稳硕寄苄崽絎eb服務(wù)的請(qǐng)求和響應(yīng),而這些請(qǐng)求和響應(yīng)都是作為XML文本在網(wǎng)絡(luò)上傳輸?shù)?,所以是否需要采取?shù)據(jù)安全保證措施就變得非常重要了。如果網(wǎng)絡(luò)協(xié)議采用的是HTTPS,那么就不必再附加其他加密/解密算法了,因?yàn)镠TTPS就提供了相應(yīng)的功能。
8. 有必要檢查發(fā)送者/接受者嗎?
有必要保證Web服務(wù)請(qǐng)求和響應(yīng)消息的發(fā)送者與消息的創(chuàng)造者的一致性嗎?出于審計(jì)的目的或者為了保證發(fā)送者和創(chuàng)造者是同一實(shí)體就需要這一信息。如果Web服務(wù)用于B2Bi,則認(rèn)可的安全要求通常都是必要的。
9. 服務(wù)涉及到誰(shuí)?
在Web服務(wù)的使用中涉及到了多少實(shí)體?也就是說,Web服務(wù)具有實(shí)體鏈特性嗎?如果實(shí)體的數(shù)量超過一個(gè),那么就需要更高的安全性。
10. 采用了組件鏈嗎?
Web服務(wù)的實(shí)現(xiàn)代碼中具有應(yīng)用程序和組件鏈的特性嗎?如果應(yīng)用程序鏈擴(kuò)展大量企業(yè)防火墻之外,則安全要求就會(huì)變得更嚴(yán)格。
必須指出,在Web服務(wù)這個(gè)舞臺(tái)上,有關(guān)安全問題的技術(shù)標(biāo)準(zhǔn),比如對(duì)Web服務(wù)數(shù)字簽名的所用的工業(yè)標(biāo)準(zhǔn)和支持仍然處于正在研究和討論中。因此,我們將在后續(xù)的文章中繼續(xù)討論有關(guān)的標(biāo)準(zhǔn)開發(fā)問題。
為實(shí)現(xiàn)Web服務(wù)打基礎(chǔ)
安全的互操作性從長(zhǎng)遠(yuǎn)來說是Web服務(wù)成功的關(guān)鍵所在。一定要警惕Web服務(wù)可能的安全漏洞因?yàn)樗鼈冋歉鞣N安全威脅(比如拒絕服務(wù)工具和假冒地址等)的攻擊之地,Web服務(wù)技術(shù)的任何實(shí)現(xiàn)都應(yīng)該首先回答上面的問題,同時(shí)考慮到公司內(nèi)的現(xiàn)有安全策略和解決方案。
- 1微軟觸角伸至網(wǎng)絡(luò)服務(wù) 軟件業(yè)同行視為最大勁敵
- 2AMT上海OA
- 3網(wǎng)絡(luò)服務(wù):壓在MSN上的賭注
- 4Microsoft.Net與Web Services
- 5互聯(lián)時(shí)代的上海OA
- 6競(jìng)爭(zhēng)情報(bào)決定你公司的未來
- 7《電子內(nèi)容》雜志信息科技100強(qiáng)(Econtent 100)(陳贛峰)
- 8性能比較:.NET Remoting與ASP.NET Web服務(wù)
- 9EJB 2.1中實(shí)現(xiàn)Web Service
- 10上海OA--衰退期成長(zhǎng)的動(dòng)力
- 11合同管理是泛普OA系統(tǒng)中的一部分
- 12安全其上海OA在管理咨詢中的重要性
- 13異構(gòu)數(shù)據(jù)庫(kù)環(huán)境下的上海OA(下)(AMT 唐曉輝 編譯)
- 14麥肯錫電子商務(wù)論叢-網(wǎng)絡(luò)報(bào)紙的新機(jī)會(huì)
- 15知識(shí)型企業(yè)的上海OA策略(By AMT 宋亮)
- 16e-Learing不是上海OA?
- 17IBM推出多項(xiàng)Websphere及DB2 力薦網(wǎng)絡(luò)服務(wù)
- 18異中有同同中有異
- 19Sun一反常態(tài) 支持微軟網(wǎng)絡(luò)服務(wù)安全規(guī)范
- 20信息生命周期管理(ILM)(田新泉)
- 21企業(yè)信息化中的上海OA
- 22Sun推出免費(fèi)軟件 欲與微軟爭(zhēng)網(wǎng)絡(luò)天下
- 23IBM Web服務(wù)安全解決方案
- 24淺談企業(yè)管理中的上海OA的重要性
- 25Web服務(wù)的標(biāo)準(zhǔn)之爭(zhēng)和商機(jī)之爭(zhēng)
- 26基于Web的工作流管理系統(tǒng)的設(shè)計(jì)與實(shí)現(xiàn)
- 27怎樣建立一個(gè)合理的知識(shí)結(jié)構(gòu)
- 28泛普(上海)OA辦公軟件2014年中期率先發(fā)布基礎(chǔ)功能模塊
- 29上海oa軟件哪家比較好?
- 30中國(guó)企業(yè)知識(shí)倉(cāng)庫(kù) 企業(yè)的福音
成都公司:成都市成華區(qū)建設(shè)南路160號(hào)1層9號(hào)
重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務(wù)大廈18樓
版權(quán)所有:泛普軟件 渝ICP備14008431號(hào)-2 渝公網(wǎng)安備50011202501700號(hào) 咨詢電話:400-8352-114