Web服務中的信息安全：軟肋 or 機會？

申請免費試用、咨詢電話：400-8352-114

Web服務中的信息安全：軟肋 or 機會？

薛斐

Web服務將會在企業(yè)軟件系統(tǒng)中增加3～4個新的層次，系統(tǒng)安全面臨的挑戰(zhàn)更多了，問題也更加復雜了。有人說：一旦引入Web服務，暴露給黑客實施攻擊的地方就更多了，我們需要防護的地方也就更多了。然而，Web服務——

Web服務炙手可熱，但Web服務的安全領域卻是有待開發(fā)的“大西部”

Web服務引發(fā)安全危機的一個原因是：基于Web服務的軟件開發(fā)太簡單、太方便了，而信息處理手段的發(fā)展必將使得信息的泄漏更加難以控制。

Borland是重要的Web服務開發(fā)工具提供商之一，其首席戰(zhàn)略官Shelton指出：“Web服務的不當使用可能給企業(yè)信息安全帶來極大的隱患。Web服務必須擁有與生俱來的安全機制，否則用戶和軟件開發(fā)商都會為此付出代價。”而在McAfee.com公司擔任CIO的Doug Cavit則認為:“今后員工可能隨手就開發(fā)出幾個Web服務部件。在這種情況下，信息安全管理政策與安全技術同樣重要?！?

如果Web服務的應用范圍推廣到Extranet甚至面向公眾的Internet，企業(yè)信息安全面臨的威脅將會顯著增加。實際上，如果信息安全問題得不到妥善解決，Web服務的推廣應用將會大大延緩。

現(xiàn)在已經(jīng)提出了一些技術措施，以使Web服務更加安全。例如SSL (Secure Sockets Layer，安全插件層)就是一種必要的措施，但僅僅如此仍然是不夠的。SOAP在安全方面已經(jīng)有了不錯的開端，因為它允許以類似于API的方式進行訪問。西部UDDI主要是用來描述自身的功能特性，對于保證系統(tǒng)安全性也有一定作用。但是你應該注意到，這種描述本身就可能“撒謊”——被用來進行惡意的、歪曲的欺騙性描述。這樣一來，基于Web服務的軟件部件完全可能變成潛伏在企業(yè)信息系統(tǒng)之中的“特洛伊木馬”。

出于安全方面的考慮，許多企業(yè)將會首先把Web服務的應用限制在企業(yè)內部。但是，Web服務的真正價值更多地體現(xiàn)在企業(yè)之間。從這個意義上講，Web服務從理想走向現(xiàn)實的道路上還蹲著“信息安全”這個攔路虎。問題的關鍵在于一個企業(yè)應用系統(tǒng)之中可能引用許多分布式Web服務部件，他們的整體安全性問題很難解決。從目前的情況看，Web服務的安全性仍然是有待開發(fā)的“大西部”。

Web服務的安全機制怎樣才能變成淘金者的樂園?

有人說，投資于Web服務安全技術是一本萬利的買賣，因為你不僅可以通過Web服務業(yè)務掙錢，而且可以通過信息安全技術來掙錢，你將成為資本和技術市場的寵兒。原因很簡單，Web服務正在成為軟件市場的大金礦，而缺少了信息安全，它又將是死路一條。

在基于Web服務的架構之中，信息出自多個來源，同時又提供給多個目的地，數(shù)據(jù)必須在運行過程中隨時打包。在以往的信息系統(tǒng)之中，信息處理的節(jié)奏從來沒有像Web服務這樣快。難怪有人說：在Web服務之中，信息是短命的。這樣的環(huán)境將會使傳統(tǒng)的信息安全技術人員束手無策、不寒而栗。

反過來，在這個充滿復雜性的環(huán)境中，找到捷徑的信息安全高手將會如魚得水、游刃有余。捷徑在哪里呢？想想看：不再受制于本地的、特定的操作系統(tǒng)和數(shù)據(jù)庫的限制，甚至連具體的應用是什么都可以不管了，信息安全問題可以獨立出來、形成自己的基礎架構，以各種不同的形式提供統(tǒng)一的認證系統(tǒng)，解決信息的機密性、集成性以及各種信息傳遞的認證和回執(zhí)問題。這就等于說：“你可以輕裝上陣了。”

西部淘金的先頭部隊已經(jīng)啟程了。OASIS（Organization for the Advancement of Structured Information Standards，結構化信息標準推進組織）已經(jīng)提出了SAML（Security Assertion Markup Language，安全認定標記語言），可以在網(wǎng)站、平臺和企業(yè)之間共享用戶信息，通過XML實現(xiàn)安全的電子商務交易（參見本版小資料）。Verisign公司在密鑰管理的XML標準和伙伴信任度判定等方面做出了有建樹的探索。

你也許已經(jīng)感到，在Web服務信息安全領域，最大的贏家很可能仍然是永遠都那么風光的PKI廠商以及由它們所支持的數(shù)字簽名和加密技術?？梢韵嘈?，PKI將會成為Web服務乃至未來軟件世界的耀眼明星。

更進一步觀察，你會發(fā)現(xiàn)在以下幾個與Web服務密切相關的信息安全領域，軟件廠商最有可能找到它們夢寐以求的金礦。

身份認證的需求將會一飛沖天，因為在軟件部件鋪天蓋地的環(huán)境中，對于個人、設備和軟件部件來源的確認將會成為廣泛而重要的基本業(yè)務。

適用于XML的防火墻和加密裝置將會盛行，也許某種與此類似的網(wǎng)關設備將會出現(xiàn)在市場上。

入侵監(jiān)測傳感器將會轉變成為OCSP (Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議) 的應答器(Responser)，將“入侵”信號作為未經(jīng)授權的證書予以處理。（參見第B8版小資料）

交易安全裝置將會在Web服務環(huán)境中應運而生，而且由于擺脫了傳統(tǒng)遺留系統(tǒng)的限制，它們完全有可能把其他的信息安全機制遠遠拋在后頭。
在Web服務這項新技術面前，有的人感到惶恐，生怕自己被新技術所拋棄，也有人認為Web服務不值一提，因為它毫無安全性可言。但是，有遠見的人總能從問題中發(fā)現(xiàn)機會。有專家說：“要么領先一步，要么永遠退出歷史舞臺！Web服務是信息安全技術展示其價值的千載難逢的好時機。你最好及早著手介入這項技術并不失時機地宣布支持與Web服務相適應的業(yè)務模式，同時設計和實現(xiàn)Web服務的安全架構。這樣不至于在別人收獲的季節(jié)才后悔自己沒有播種。”

小資料：SAML

SAML (Security Assertion Markup Language，安全認定標記語言) 是支持XML電子商務的第一個工業(yè)標準，它將S2ML和AuthXML結合起來，為企業(yè)之間進行B2B 和B2C業(yè)務交易提供共享安全服務的公用語言。

SAML允許企業(yè)及其供應商、客戶與合作伙伴進行安全的授權、認證和基本信息交換，而與它們各自采用的軟件及硬件平臺無關。因此，SAML將會促進離散的安全系統(tǒng)之間的互操作性，可以跨越企業(yè)之間的界線，建立一個安全的電子商務交易框架。

XML信任中心（XML Trust Center）將會及時向開發(fā)者提供SAML的相關資源。更詳細的資料可以從OASIS XML安全服務技術委員會（Security Services Technical Committee）的網(wǎng)站（S2ML.org和Authxml.org）獲得。

小資料：OCSP

OCSP (Online Certificate Status Protocol，在線證書狀態(tài)協(xié)議)是兩個重要的服務器及網(wǎng)絡資源安全框架之一。另一個是CRL(Certificate Revocation List，證書廢除列表)，這是一種包含已撤消證書列表的簽名數(shù)據(jù)表，曾經(jīng)是最常用的證書撤銷方式。CRL的完整性和可靠性由它本身的數(shù)字簽名來保證，通常CRL的簽名者就是證書的簽發(fā)者。目前，CRL正逐漸被OCSP所取代。

OCSP旨在幫助應用軟件判定某個證書的狀態(tài)，可以為應用系統(tǒng)提供更及時的證書撤回信息，從而提高系統(tǒng)的安全性。在應用過程中，OCSP客戶向OCSP應答器（Responser）發(fā)出狀態(tài)申請，然后就把這個證書置于等待狀態(tài)，直到應答器返回確認信號為止。

OCSP比CRL向前邁進了一大步。因為實際應用中證書的狀態(tài)經(jīng)常被更新，在CRL架構之中要求客戶端頻繁地下載最新的列表。而在OCSP框架之中，當客戶端希望了解某個證書的狀態(tài)時只要向服務器發(fā)出申請，就會從服務器上得到待查證書的狀態(tài)。服務器發(fā)回的狀態(tài)信息包括“可用”、“過期”和“未知”三種。OCSP協(xié)議規(guī)定了服務器和客戶端進行通信的語法，而且在證書過期后、尚未更新之前允許存在一個特定的時限。

本文原載于計算機世界報