标准基础上的SOA实施注意安全威胁
关于SOA应该自上而下还是自下而上的实施存在着许多不同的原则,阐述不同的观点。不管你的看法如何,关键是你应该以从事任何战略项目的途径去发起SOA倡议,建立总体治理模式并投入使用。否则,你可能会为公司带来潜在的安全威胁。
随着越来越多的交易通过网络进行,不只是首席信息官意识到了安全正逐渐成为公司的关注点。
日益增长的忧虑是有道理的。网络攻击变得越来越复杂;数据更快,更广的流向越来越多的用户;新的网络开发模型,如:Web 2.0 和AJAX的出现… 网络应用程序和其支持的业务流程都变得愈加多样化和复杂。网络应用程序中暴露的一个轻微漏洞日后都可能流失上百万条记录。随着这些漏洞逐渐失去控制,对业务产生的负面影响将不可估量。
引进一个精密程度更高的IT架构――面向服务架构(SOA)也将安全的挑战带向了更高的层次。一个SOA架构设计是为了更灵活、更快捷的业务流程,但在没有恰当治理的情况下创建服务可能迅速的失去控制,而成为一个管理上的恶梦。
回顾历史,由于国际互联网的爆炸式增长,应用程序所有权保护障碍急剧退化,更不用提基础代码和平台了,公司的技术和业务服务都被公开。如今,同样的服务概念被用于推动创新性业务战略。在基础技术的支持下,这个以组件为基础的应用和再利用模式化的业务流程服务就是SOA。
关于SOA应该自上而下还是自下而上的实施存在着许多不同的原则,阐述不同的观点。不管你的看法如何,关键是你应该以从事任何战略项目的途径去发起SOA倡议,建立总体治理模式并投入使用。否则,你可能会为公司带来潜在的安全威胁。
安全第一
每一个公司都会制定与SOA有关的具体目标和目的。SOA有三个好处是所有公司都达成共识的:提高生产力、简化业务流程、通过再利用降低所有权带来的成本。
难点在于要将SOA的益处最大化,达到业务灵活性就需要公司、客户和合作伙伴都愿意打破接线进行信息共享。这将数据保护提到了一个优先的地位。
有一个清楚阐明的SOA远景,公司架构不需要昂贵的淘汰更新过程,就可以支持大大小小的市场变化。但是,一个成败关键的因素将仍然是公司对于数据保护和安全的政策。
SOA 安全领域许多新成员和近来在此市场中有过收购案的更为成熟的厂商都承认了这一需求的重要性。
在有这么多选择的市场中,要选择一款SOA安全工具似乎是很容易的。事实上恰恰相反。这是由于在谈到SOA安全“产品”的角色,是一个单一装置还是整套软件工具,亦或是一个平台方面还存在着许多模糊不清的地方。根据环境的不同,安全措施可能会包括其中一个或是所有这些情境。
SOA 安全装置
SOA安全装置代表公司SOA方案的一个重要因素。SOA装置是易于安装的硬件设备,可以通过扮演内部以及外部网关的角色简化、保护并加速公司XML和Web服务配置。它门是集SOA管理和安全功能于一身的单一装置。
快速增长的SOA安全装置应归因于其提供的功能与优点,以下就是SOA中安全装置的十大潜在价值:
节省时间和成本:SOA安全装置能够轻松快速的安装,需要最低限度的维护。
支持规则:安全装置能够在简化现存SOA管理的同时帮助公司满足一些强制要求――如健康保险便利及责任法案 (HIPAA) 和支付卡行业(PCI)的数据安全标准。
提出关键的XML漏洞: SOA安全装置能够防止未经授权的访问,破坏数据完整性或用户保密性的企图,对实际软件和系统的袭击或服务的拒绝。
提供集中的Web服务管理和监控: 一个装置能在加强SOA架构整体性的同时保证只有经过授权的用户才能访问存贮器。
降低开发成本: 将重心从实施SOA服务向单纯开发运营能力转变,你就能降低开发成本。
加速SOA部署:通过迅速的向经过授权的第三方公开安全服务,装置将促使业务部门能够迅速而容易的发现新的机遇。
主动识别潜在威胁: SOA装置能够迅速的检查流入信息,即时验证和授权,在无效请求进入末端服务器之前将之拦在门外。
治理: 安全装置通过简化和管理访问服务器以及Web服务存储器请求支持SOA治理。
提高性能: SOA装置能够帮助改善许多核心流程,包括那些会导致高网站流量的流程,如财务交易、网上购物、库存优化和同步多渠道产品等。
降低对IT的依赖性: 装置能简化架构、提高性能并且确保SOA更高层次的安全性。
优选的SOA安全装置应该通过公开服务促进与现存应用程序的整合,明确和实施XML安全、数据转化和数据验证。
安全软件――身份管理同等重要
作为SOA安全装置的补充,安全软件能够增强SOA支持的业务流程的应变能力。在整合架构中首要的角色是协助管理员和人员进行监控、管理、保全并控制SOA为基础的服务和应用程序组件端对端实施。公司越来越重视通过共享和传播信息来推动业务发展,这个战略也变得越来越重要,不久终端用户将不再忍受不可理的整合习惯。
此外,商务方面需要简单的进行交易而不需要在通过每一个门户时都停下来进行身份验证。为此,身份管理软件应该为互用提供以政策为基础的整合安全管理以确保在不需要在双方公司获取身份的情况下安全的获取信息和服务,从而节省时间并降低成本。除此以外,单一的SOA登录工具可以帮助在应用程序间整合安全,不管它们是现场的或是虚拟存在以支持公司扩大业务、合并资产或修正其在法律遵从和治理方面的做法。
拼凑一个安全平台---七大安全指导方针
既然SOA实施的关键动力在于再利用和利用公司现存IT投资,支持和将强SOA架构的环境应该符合以下7个标准:
集中处理和存储安全数据以改善整体安全操作和信息风险管理
为Web 服务提供强制安全点
对事件进行自动识别、调查和反应
为管理供应、验证和授权提供集中平台
提供综合报告,包括历史报告、自我审核和追踪能力
在易于适应公司现有和未来安全基础架构要求的模块化架构基础上提供多种实施选择
提供环境支持管理安全服务,通过自动化和快速实施来降低运营成本
由于安全问题是公司SOA成败的关键所在,在基础架构中囊括装置和软件是至关重要的。然而,这并不意味着公司应该丢弃他们现存的技术投资或是与首席信息观讨要额外预算。
在建立在标准基础上的SOA帮助下,额外的安全用具能够轻易的整合,不会对公司现有应用程序和硬件造成负面影响,也不需要大量时间和金钱投资。但重要的是SOA战略中应该包括公司长期目标,并通过使用公司商务和IT方面团队的技能和专业知识来设计、创建和部署实施。(IT专家网)
- 1呼叫中心员工作息减压技巧 充分利用假日放松
- 2泛普OA办公软件是如何帮企业提升管理水平?
- 3经济困难时期“不能省”的五项IT开销
- 4裁员促使商业机密岌岌可危
- 5SOA架构若不能虚拟化就没有灵活性?
- 6王珏林:上半年不算回暖 下半年市场依然艰难
- 7肯德基汉堡检出细菌超标6倍向卫生局喊冤变合格
- 8中石化受"PX风波"影响有限 PX产能扩容成难题
- 9CIO管理秘笈:系统思考 如何全面规划IT
- 10半年投诉超万件 质量顽疾成中国地产业难题
- 11呼叫中心离职率达20% 高离职率成行业难题
- 12开发商违规罚分新标准发布 放行限购者暂停网签
- 13物流流程再造:提升企业竞争优势
- 14如何走出“伪商业智能”的陷阱?
- 15经济危机是“破坏性创新”的恰当时机
- 16iPad mini被指分辨率偏低 定价偏高
- 17信息化项目前准备工作 有备无患
- 18越南媒体称中国制造质量差遭到消费者抵制
- 19惠普知识管理的前世今生
- 20免费OA系统将会有什么样的新发展啦?
- 21光明乳业5个月6次质量问题 消费者信心再受打击
- 22企业OA——推动企业信息化的四点捷径
- 23任重而道远 IT运维外包的春天来到了?
- 24四年耕耘 一汽丰田AAA保险续约仪式成功举行
- 25保利北京豪宅曝质量门 1700万别墅无电漏水
- 26福州OA实施 选择合适的咨询顾问是关键
- 27企业在商业智能应用方面为何鲜有作为
- 28如何提高IT服务管理成为当前最迫切的问题
- 29IT外包的三大阶段和九项注意
- 30十大方法帮助中小企业战胜出口危机