Web服务的安全性越来越受到重视

作者：IT专家网

欢迎访问e展厅 展厅 3 CIO信息化管理展厅 电子商务/企业门户, IT运维管理, 制造执行系统MES, 流程管理BPR/BPM, SOA/SaaS/云计算, ... 面向服务体系(SOA)从根本上改变了应用程序工作的方式，这种构架体系在发展的同时，也被迫经历了一个在安全性方面快速的发展过程，因为谁也不愿意这种新的体系架构在被应用的同时，又带来新的麻烦和混乱。 就在这个星期，与安全相关的技术和产品似乎如潮水般一夜之间涌现了出来，冲入了市场。从Web服务安全设备到嵌入业务处理链的安全技术，再到测试新安全漏洞(如XPath注入漏洞)的方法，等等。 这些安全技术所涵盖的不同种类从侧面强调了Web服务安全问题领域过大的问题:大范围的分布式应用程序需要大范围的安全技术保障。 来自Zap Think的分析家Jason Bloomberg指出，“基于屏障式的安全模型现在已经完全过时了，你需要使用另一些技术来保证信息的安全。我们必须考虑内容级别的安全性。” 传统的应用程序安全保护措施工作在网络级别，例如传统的防火墙技术。相比之下，传输层上没有任何的内容检测技术，所以也就无法识别包含在Web服务数据包或元数据信息中的木马程序。 SOA软件公司在内容检测方面进行了一些尝试，他们使用类似数据采集代理的方式截获来自外界的服务包，对这些数据的来源进行验证，反加密这些数据包，最后使用自己独有的公钥体系来标识经过验证的信息，以达到安全性的要求。 “通过使用数据采集服务来捕获信息并在当前层上进行验证程序，我们能够避免终端式攻击直接和服务的接触，”来自Santa Monica分公司的产品市场部的副部长Ian Goldsmith这样告诉我们。 SOA软件公司还宣布了对Web服务策略(WS-Policy)安全标准的支持。这使得企业的外部合作伙伴能够了解在和一个已有的Web服务进行通讯时需要使用什么样的安全策略。除此之外，XML VPN设备还能够读取一个外部Web服务的安全策略，然后自动生成与之相同的策略并进行应用。 在Oracle公司近期对其支持的Web服务的安全性进行了增强，上述这种策略安全性的融合正是Oracle所使用的核心内容。来自加拿大的Redwood Shores公司的服务器技术部部长Prakash Ramamurthy注意到，在以前，一旦单一应用程序的相关组件出现了问题，在影响服务正常工作的同时也会影响到这种单一结构中提供的安全保护措施。 “我们需要为这些Web服务分配一些识别信息，然后保护这些信息的安全，”他说。通过这种方法，安全产品和技术就能够在Web服务的整个生命周期中对相关的服务包进行追踪，而不管它处于哪个阶段。 Oracle公司最近将安全性和业务处理执行语言(BPEL:Business Process Execution Language)标准结合在了一起。Oracle BPEL的Process Manager程序现在集成在该公司的Web服务增强套件之中，使业务变动和安全性之间达到了新的平衡。在服务包中包含了两种类型的信息:策略网关，用来在进入某个服务时捕获信息;策略代理，在更细微的层次上对数据进行安全检查。 “通过这种方式，用户能够在部署时间内增强相应的安全标准。” Ramamurthy说到。 尽管这样，来自McAfee公司Foundstone Professional Services部门的高级咨询顾问Mark Curphey却认为Web服务标准在解决安全的同时，也会产生很多其他的问题。他说:“我们提出了将Web服务载体进行封装的标准，但是这样就给了攻击者一定的机会，因为攻击性的数据也能够成为这样的标准。” 为了解决这个问题，Santa Clara发布了一个叫做WSDigger的免费工具，用来检测在Web服务数据包中的安全漏洞。该工具已经内置了一些用以测试漏洞的工具插件，包括SQL注入式攻击漏洞、交叉站点脚本和XPath注入攻击插件等。 这种插件体系允许用户进行穿透式的测试，用户无需知道目标服务的在代码级别的信息，就可以使用这些插件模仿来自外部的攻击者，对目标服务进行测试。 Curphey说:“这个工具能够自动搜索你提供的所有服务，你只需要拖拽一种攻击方式到某个服务上，就可以对它进行攻击测试了，然后接下来你就能够发现在该服务中存在哪些漏洞。” Curphey还强调:“安全规范并不能处理所有和安全性相关的问题。” Bloomberg也同意这一点，他说:“涵盖了一个安全相关的部分问题并不表示你就真正安全了。对于安全性来说，最大的挑战在于你是否能把所有的问题都考虑周全。” (end)

文章内容仅供参考 (投稿) (如果您是本文作者，请点击此处) (9/16/2005)