基于SOA架构的业务安全性研究_SOA治理

SOA（Service-Oriented Architecture，面向服务的体系结构）是一个组件模型，它将应用程序的不同功能单元通过这些单元之间定义良好的接口和契约联系起来。这些接口独立于实现服务的硬件平台、操作系统和编程语言，使得构建在各种各样的系统中的服务可以以一种统一和通用的方式进行交互。和以往联网的分布式的系统不同，SOA 与平台相独立，其通信和特定的平台和技术没有必然的联系。

在企业中，将日常的各种业务应用划分为若干服务，然后通过SOA，用户可以构建、部署和整合这些服务，且无须依赖应用程序及其运行平台，从而提高业务流程的灵活性。例如，一个电子商务网站建立SOA 架构后能够使自己与供应商、分销商、信用卡公司和消费者无缝地集成在一起。在一个客户下订单之后，系统将自动编排大量的信息，而不需要在每一次登录时都询问用户或者系统。对于企业来说，这种业务灵活性可以大大加快开发新业务的速度，并降低总体拥有成本，同时改善对及时、准确性业务信息的访问。

不过，SOA 在带给企业灵活性，便捷性的同时，对于现实的要求也是很高的。因为整个SOA 应用架构相当于企业的信息平台，而企业本身对于平台本身的安全性、可靠性以及相关的服务质量都有相当高的要求。为了确保SOA 能够切实给企业带来效益，企业必须通盘考虑这种新架构的运行平台。因为，SOA 在提供价值链上企业之间信息共享和业务流程自动化的同时，也给业务信息安全带来了负面影响，且存在安全隐患。

一 SOA架构的负面影响SOA架构是一种松耦合服务模式，通过标准化的接口来联系各种形式的服务，无论服务置于何地，均能通过一种便捷而统一的方式实现相关功能，这对信息资源的二次利用和服务模式的二次重整具有极大的作用。但是，如果没有适当的安全措施，它也会把这个服务平台的钥匙交给黑客。另外，SOA安全标准的不成熟加剧了互操作性方面的难题。如果想严加保护涉及多个企业的庞大Web服务网络，每个企业必须就采用的技术、甚至安全策略达成共识。

此外，企业中使用Web服务进行相互操作的系统对于内、外部攻击的防御能力越来越差。当这些系统使用的Web服务由供应商和业务伙伴等外部机构提供时，SOA和Web服务的部署工作将变得更加复杂，不得不谨慎部署最新的安全解决方案，如应用级防火墙、IDP、SSL VPN 和SSL卸载产品等，以便为企业中的SOA环境提供安全保护。

二 基于SOA架构的业务安全隐患SOA虽然在某些方面使安全简化，但是在其他方面却使安全问题变得复杂。由于在基础设施中使用了XML一类的数据结构通用协议、IP 通信协议和通用操作系统，SOA 有助于简化某些安全决策；但在模块程序中，由于许多移动部件作为最终应用要集成在一起，使得安全决策变得复杂。

2.1 企业机构中缺乏对安全风险严重性的认识和知识企业机构中的人员普遍认为被攻击的几率极低，不可能发生在他们身上，因此对安全风险缺乏认识。没有安全意识，则导致对保障系统信息安全的知识不重视。事实上，安全应该作为一套核心的服务实施，允许集中管理和维护安全。此外，管理层必须理解这个风险并且提供适当的支持和资金以便有效地保证企业的安全。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友