准备新的套件
随着Web Services应用的发展,厂商们试图得出一套成型的方法来保证应用层信息安全。“厂商们已经开发了一整套标准来保护Web Services事务处理的安全”,Forrester研究中心的Randy Heffner说道。
这些成套的标准被称为WSS框架(Web Services Security framework),它能够保证SOAP传输的安全性,SOAP是目前最流行的一种Web Service协议。信息大都是使用HTTP协议传输,但原则上可以使用任何一种协议。WSS框架使得公司能够加密、签名和认证SOAP消息。
许多组织实现了这个层面上的安全性。“过去的几年,几乎所有的产品和开发工具都支持WSS”,Burton Group的副总裁Thomas Manes说道。
谁在另一端?
即使公司采取了这些措施,也仍然要面对安全漏洞。“现实是,公司需要一种方法知道Web Services事务处理的另一端是谁”,Heffner说道。
Liberty Alliance正致力于联合认证的研究,如果进行Web services通信的双方有同一种安全“信令”,一方就可以担保另一方的安全性。OASIS则致力于开发WS-Federation,它支持拥有不同类型的安全“信令”的双方的安全交易。
联合认证的研究正处于初期成型阶段,而且已经被许多公司的产品采用。目前的状况是:即使Web Services有安全漏洞,公司仍然通过配置使用它们。“有百分之六十的公司实现了自己的Web Services”,Zap Think的Bloomberg说道。
权衡风险 vs. 酬劳
大概有三分之一的企业使用Web Services和第三方客户合作者或者供应商进行信息交换。“公司有时宁可冒一定的风险,因为他们相对确定连接的另一方是安全的。”Heffner解释道。
另外,黑客目前不会把注意力集中在Web Services应用上。尽管取了迅速的发展,Web Services应用的数量仍然相对比较少。所以,黑客们目前还是把精力放在了利用诸如微软Windows操作系统等应用广泛的软件产品的安全漏洞上。
尽管Web Services的安全性不完美,但是由于其易用性,许多组织和公司都仍然愿意使用它。
