Web服务中的信息安全:软肋 or 机会?
Web服务中的信息安全:软肋 or 机会?
薛斐
Web服务将会在企业软件系统中增加3~4个新的层次,系统安全面临的挑战更多了,问题也更加复杂了。有人说:一旦引入Web服务,暴露给黑客实施攻击的地方就更多了,我们需要防护的地方也就更多了。然而,Web服务——
Web服务炙手可热,但Web服务的安全领域却是有待开发的“大西部”
Web服务引发安全危机的一个原因是:基于Web服务的软件开发太简单、太方便了,而信息处理手段的发展必将使得信息的泄漏更加难以控制。
Borland是重要的Web服务开发工具提供商之一,其首席战略官Shelton指出:“Web服务的不当使用可能给企业信息安全带来极大的隐患。Web服务必须拥有与生俱来的安全机制,否则用户和软件开发商都会为此付出代价。”而在McAfee.com公司担任CIO的Doug Cavit则认为:“今后员工可能随手就开发出几个Web服务部件。在这种情况下,信息安全管理政策与安全技术同样重要。”
如果Web服务的应用范围推广到Extranet甚至面向公众的Internet,企业信息安全面临的威胁将会显著增加。实际上,如果信息安全问题得不到妥善解决,Web服务的推广应用将会大大延缓。
现在已经提出了一些技术措施,以使Web服务更加安全。例如SSL (Secure Sockets Layer,安全插件层)就是一种必要的措施,但仅仅如此仍然是不够的。SOAP在安全方面已经有了不错的开端,因为它允许以类似于API的方式进行访问。西部UDDI主要是用来描述自身的功能特性,对于保证系统安全性也有一定作用。但是你应该注意到,这种描述本身就可能“撒谎”——被用来进行恶意的、歪曲的欺骗性描述。这样一来,基于Web服务的软件部件完全可能变成潜伏在企业信息系统之中的“特洛伊木马”。
出于安全方面的考虑,许多企业将会首先把Web服务的应用限制在企业内部。但是,Web服务的真正价值更多地体现在企业之间。从这个意义上讲,Web服务从理想走向现实的道路上还蹲着“信息安全”这个拦路虎。问题的关键在于一个企业应用系统之中可能引用许多分布式Web服务部件,他们的整体安全性问题很难解决。从目前的情况看,Web服务的安全性仍然是有待开发的“大西部”。
Web服务的安全机制怎样才能变成淘金者的乐园?
有人说,投资于Web服务安全技术是一本万利的买卖,因为你不仅可以通过Web服务业务挣钱,而且可以通过信息安全技术来挣钱,你将成为资本和技术市场的宠儿。原因很简单,Web服务正在成为软件市场的大金矿,而缺少了信息安全,它又将是死路一条。
在基于Web服务的架构之中,信息出自多个来源,同时又提供给多个目的地,数据必须在运行过程中随时打包。在以往的信息系统之中,信息处理的节奏从来没有像Web服务这样快。难怪有人说:在Web服务之中,信息是短命的。这样的环境将会使传统的信息安全技术人员束手无策、不寒而栗。
反过来,在这个充满复杂性的环境中,找到捷径的信息安全高手将会如鱼得水、游刃有余。捷径在哪里呢?想想看:不再受制于本地的、特定的操作系统和数据库的限制,甚至连具体的应用是什么都可以不管了,信息安全问题可以独立出来、形成自己的基础架构,以各种不同的形式提供统一的认证系统,解决信息的机密性、集成性以及各种信息传递的认证和回执问题。这就等于说:“你可以轻装上阵了。”
西部淘金的先头部队已经启程了。OASIS(Organization for the Advancement of Structured Information Standards,结构化信息标准推进组织)已经提出了SAML(Security Assertion Markup Language,安全认定标记语言),可以在网站、平台和企业之间共享用户信息,通过XML实现安全的电子商务交易(参见本版小资料)。Verisign公司在密钥管理的XML标准和伙伴信任度判定等方面做出了有建树的探索。
你也许已经感到,在Web服务信息安全领域,最大的赢家很可能仍然是永远都那么风光的PKI厂商以及由它们所支持的数字签名和加密技术。可以相信,PKI将会成为Web服务乃至未来软件世界的耀眼明星。
更进一步观察,你会发现在以下几个与Web服务密切相关的信息安全领域,软件厂商最有可能找到它们梦寐以求的金矿。
身份认证的需求将会一飞冲天,因为在软件部件铺天盖地的环境中,对于个人、设备和软件部件来源的确认将会成为广泛而重要的基本业务。
适用于XML的防火墙和加密装置将会盛行,也许某种与此类似的网关设备将会出现在市场上。
入侵监测传感器将会转变成为OCSP (Online Certificate Status Protocol,在线证书状态协议) 的应答器(Responser),将“入侵”信号作为未经授权的证书予以处理。(参见第B8版小资料)
交易安全装置将会在Web服务环境中应运而生,而且由于摆脱了传统遗留系统的限制,它们完全有可能把其他的信息安全机制远远抛在后头。
在Web服务这项新技术面前,有的人感到惶恐,生怕自己被新技术所抛弃,也有人认为Web服务不值一提,因为它毫无安全性可言。但是,有远见的人总能从问题中发现机会。有专家说:“要么领先一步,要么永远退出历史舞台!Web服务是信息安全技术展示其价值的千载难逢的好时机。你最好及早着手介入这项技术并不失时机地宣布支持与Web服务相适应的业务模式,同时设计和实现Web服务的安全架构。这样不至于在别人收获的季节才后悔自己没有播种。”
小资料:SAML
SAML (Security Assertion Markup Language,安全认定标记语言) 是支持XML电子商务的第一个工业标准,它将S2ML和AuthXML结合起来,为企业之间进行B2B 和B2C业务交易提供共享安全服务的公用语言。
SAML允许企业及其供应商、客户与合作伙伴进行安全的授权、认证和基本信息交换,而与它们各自采用的软件及硬件平台无关。因此,SAML将会促进离散的安全系统之间的互操作性,可以跨越企业之间的界线,建立一个安全的电子商务交易框架。
XML信任中心(XML Trust Center)将会及时向开发者提供SAML的相关资源。更详细的资料可以从OASIS XML安全服务技术委员会(Security Services Technical Committee)的网站(S2ML.org和Authxml.org)获得。
小资料:OCSP
OCSP (Online Certificate Status Protocol,在线证书状态协议)是两个重要的服务器及网络资源安全框架之一。另一个是CRL(Certificate Revocation List,证书废除列表),这是一种包含已撤消证书列表的签名数据表,曾经是最常用的证书撤销方式。CRL的完整性和可靠性由它本身的数字签名来保证,通常CRL的签名者就是证书的签发者。目前,CRL正逐渐被OCSP所取代。
OCSP旨在帮助应用软件判定某个证书的状态,可以为应用系统提供更及时的证书撤回信息,从而提高系统的安全性。在应用过程中,OCSP客户向OCSP应答器(Responser)发出状态申请,然后就把这个证书置于等待状态,直到应答器返回确认信号为止。
OCSP比CRL向前迈进了一大步。因为实际应用中证书的状态经常被更新,在CRL架构之中要求客户端频繁地下载最新的列表。而在OCSP框架之中,当客户端希望了解某个证书的状态时只要向服务器发出申请,就会从服务器上得到待查证书的状态。服务器发回的状态信息包括“可用”、“过期”和“未知”三种。OCSP协议规定了服务器和客户端进行通信的语法,而且在证书过期后、尚未更新之前允许存在一个特定的时限。
本文原载于计算机世界报
- 1内容体现价值
- 2如何实现知识共享?
- 3e信 知识生产新生态
- 4保证Web服务安全的SAML
- 5如何识别上海OA“陷阱”
- 6评论:企业的“网络服务”时代到来了?
- 7信息生命周期管理7步法
- 8上海OA与电子商务模式
- 9如何在存储管理中最大限度发挥ROI?(by AMT 张艳编译)
- 10新“IP”与“IQ”
- 11上海OA提升企业竞争力
- 12上海OA软件市场2006年将达20亿欧元
- 13上海OA与企业信息化之路
- 14HTTP安全性和ASP.NET Web服务
- 15WEB服务的价值链
- 16如何运用上海OA促进发展
- 17数据集市:数据库的基础之一(by AMT 胡鹏)
- 18如何搭上Web服务这班车?
- 19用IP阻塞保护Web服务的安全
- 20“网络服务”巨头竞争谁输谁赢:惠普SUN表现欠佳
- 21IBM全球“大脑”:蓝色大象翩翩起舞的知识动力
- 22BEA获Web Services Journal推崇
- 23Web服务不神秘!
- 24CKM定义及规则
- 25CRM中的上海OA(一):客户支持环境的新选择(by AMT 刘宇 编译)
- 26利用已有优势 Novell不甘在Web服务作配角
- 27K-Logging:使用网络日志(Web Logs)来进行上海OA
- 28上海OA管出企业"钱途"
- 29企业知识需要流动和分享(范根定)
- 30善用你的知识财产
成都公司:成都市成华区建设南路160号1层9号
重庆公司:重庆市江北区红旗河沟华创商务大厦18楼