10大網(wǎng)絡(luò)服務(wù)安全需求

申請免費試用、咨詢電話：400-8352-114

10大網(wǎng)絡(luò)服務(wù)安全需求

無論你的公司有多大，也無論你的公司是做什么的，當(dāng)你選擇網(wǎng)絡(luò)服務(wù)器的時候，安全是首要因素。本文列舉了10大在選擇網(wǎng)絡(luò)服務(wù)器中，對安全程度影響最大，也最重要的因素。

在開始之前，讓我們先大致討論一下網(wǎng)絡(luò)服務(wù)安全需求的關(guān)鍵--認(rèn)證，授權(quán)，數(shù)據(jù)保護(hù)和認(rèn)可。

認(rèn)證是用以保證網(wǎng)絡(luò)服務(wù)中的各個環(huán)節(jié)--請求者，提供者，入侵者（如果有的話）--能夠得到相應(yīng)的服務(wù)的。認(rèn)證包括從這些環(huán)節(jié)接收信用證書并對它們進(jìn)行確認(rèn)。 授權(quán)決定請求者是否可以使用所請求的內(nèi)容。基本上來說，授權(quán)檢查服務(wù)請求者的信用證書。它決定是否一個服務(wù)請求者有資格進(jìn)行某項網(wǎng)絡(luò)服務(wù)操作。

數(shù)據(jù)保護(hù)保證網(wǎng)絡(luò)服務(wù)的請求和響應(yīng)不會在傳輸途中不出問題。這既包括數(shù)據(jù)的完整性也包括了數(shù)據(jù)的私密性。值得一提的是，數(shù)據(jù)保護(hù)并不能保證信息發(fā)送者的身份。

認(rèn)可確保信息的發(fā)送者同創(chuàng)建者一致。

現(xiàn)在，我們對于網(wǎng)絡(luò)服務(wù)安全就有了一個基本概念，我們將要開始討論影響網(wǎng)絡(luò)服務(wù)的10大安全因素。

10大決定性因素

決定網(wǎng)絡(luò)服務(wù)安全需要的10大重要因素如下：

1． 網(wǎng)絡(luò)服務(wù)器是用來進(jìn)行EAI還是B2Bi？

網(wǎng)絡(luò)服務(wù)器可以用在兩個截然不同的域--企業(yè)應(yīng)用整合（EAI）和B2B整合（B2Bi）。這兩個域的安全要求是不一樣的，EAI的安全需求是B2Bi的一個子集，因為相對于要透過企業(yè)防火墻和互聯(lián)網(wǎng)相連接的服務(wù)器，在企業(yè)內(nèi)部網(wǎng)絡(luò)上進(jìn)行EAI的網(wǎng)絡(luò)服務(wù)器在控制、管理、建立、執(zhí)行和維護(hù)上都要簡單的多。

用于EAI經(jīng)常會用到一個層次的認(rèn)證而較少會需要加密，B2Bi的網(wǎng)絡(luò)服務(wù)可能會包括好幾個層次的認(rèn)證而且總是會需要加密。而且，在B2Bi方面，網(wǎng)絡(luò)服務(wù)請求和響應(yīng)的信息可能需要用到下面幾種加密形式：密碼加密，數(shù)字簽名，和加密套接字協(xié)議層（SSL）。但是，在企業(yè)內(nèi)部網(wǎng)絡(luò)使用的EAI項目中，應(yīng)該盡可能避免使用SSL。最后，認(rèn)可在B2Bi中非常有用，它可以阻止惡意用戶抵賴曾某些創(chuàng)建并發(fā)送的信息。

2．網(wǎng)絡(luò)服務(wù)的目的是什么？

如果網(wǎng)絡(luò)服務(wù)器是用來在信息主導(dǎo)的公司里發(fā)布信息或者數(shù)據(jù)，比如今天城市的天氣情況，或者某種股票的報價，那么對于安全的需求就比那些發(fā)布私有商業(yè)信息的網(wǎng)絡(luò)服務(wù)器要低得多。

3．誰是這個網(wǎng)絡(luò)服務(wù)的使用者？

知道誰是網(wǎng)絡(luò)服務(wù)的使用者對于網(wǎng)絡(luò)服務(wù)的授權(quán)和認(rèn)證是非常重要的。

4．這種服務(wù)是否需要在互聯(lián)網(wǎng)上使用？

這種網(wǎng)絡(luò)服務(wù)是只針對特定的可靠的行業(yè)伙伴，還是任何公司都可以通過互聯(lián)網(wǎng)使用它？這對于授權(quán)和認(rèn)證非常重要，而數(shù)據(jù)保護(hù)和認(rèn)可也需要這些信息。

5．底層應(yīng)用需要多安全？

網(wǎng)絡(luò)服務(wù)應(yīng)該給底層應(yīng)用提供怎樣的接入呢？這種接入是否需要基于授權(quán)和人證？對底層應(yīng)用的接入越多，就有更多認(rèn)證安全需求。

6．網(wǎng)絡(luò)服務(wù)是否是任務(wù)導(dǎo)向的？

如果任務(wù)是分布在不同設(shè)施之間，系統(tǒng)的危險性就要大得多。

7．采用何種協(xié)議？

在服務(wù)請求者和提供者之間的認(rèn)證和數(shù)據(jù)傳輸采用何種網(wǎng)絡(luò)協(xié)議？因為任何人都可以監(jiān)聽在網(wǎng)絡(luò)上以普通XML文件傳輸?shù)姆?wù)請求和響應(yīng)，所以知道是否有數(shù)據(jù)安全需要很重要。如果是HTTPS，那么就不需要額外的加密/解密運算，因為HTTPS已經(jīng)提供了這個功能。

8．是否需要檢驗發(fā)件人/收件人？

是否需要確認(rèn)網(wǎng)絡(luò)服務(wù)請求和響應(yīng)信息的發(fā)送者和創(chuàng)建者是否一致？這些信息從審查角度來說很有必要，它確保了發(fā)送者和創(chuàng)建者的一致。如果是做B2Bi的網(wǎng)絡(luò)服務(wù)，認(rèn)可就非常有必要。 9．這個服務(wù)里包括了誰？

在網(wǎng)絡(luò)服務(wù)里包括了多少不同的設(shè)施--比如，網(wǎng)絡(luò)服務(wù)是否有設(shè)施鏈的功能？如果有超過一個的設(shè)施，那么就意味著更多的安全需求。

10. 是否使用組件鏈？

在網(wǎng)絡(luò)服務(wù)的執(zhí)行代碼中是否有應(yīng)用和組件鏈功能？如果一個應(yīng)用鏈跨越了企業(yè)的防火墻，對于安全性的需求就會更高。

值得一提的是，在網(wǎng)絡(luò)服務(wù)方面，諸如工業(yè)標(biāo)準(zhǔn)和對網(wǎng)絡(luò)服務(wù)中數(shù)字簽名的支持之類的安全方面的技術(shù)標(biāo)準(zhǔn)仍然很有必要。

在開始網(wǎng)絡(luò)服務(wù)前應(yīng)該把問題想清楚

安全互用性是網(wǎng)絡(luò)服務(wù)獲得長期的成功的關(guān)鍵。要小心網(wǎng)絡(luò)服務(wù)中的潛在安全漏洞，因為這些漏洞非常容易有諸如否認(rèn)服務(wù)，欺騙等危險。在沒有能夠清楚回答上述10個問題，并將他們和整個安全策略以及公司內(nèi)以有的解決方案結(jié)合在一起考慮清楚之前，就開始進(jìn)行一項網(wǎng)絡(luò)服務(wù)是非常不明智的。