SOA目前正炙手可热, 可以毫不夸张地指出，面向服务的架构现在已经无处不在。SOA已经变得如此受欢迎，有些厂商甚至声称所有没有使用SOA的地方都应该部署它。每个人都在谈论它将如何从跟本上改变应用程序建立的方式，数据存取方式，贸易伙伴沟通方式等等.但是SOA将对安全产生怎样的影响以及人们需要采取甚么措施在以SOA为基础的世界中来确保企业数据的完整性呢?安全就是这样的一个领域，如果没有在它上面付出应有的努力，那么它就会成为使得任何SOA的举动失败。

　　这有甚么大不了的呢?SOA为什么与现有的应用架构有如此大的不同呢?整体来说，在一个简单的两三层网络应用软件环境中，你能清楚的知道哪一个是消费型数据，以及他们是否有权限来操作。但如果你在这些数据源上建立一个Web服务界面，那么所有的联系都变得松散了。这样一来，任何地方的任何应用程序都能对这些数据提出疑义。

　　如果发展的好，认证和权限控制的类型将极大的增加，要使用这些数据源，你将需要申请。 反过来说，如果情况不好的话，需要预备和管理的数据消费者将呈指数增加。SOA对应用程序安全产生的改变的重要性并不亚于其给应用架构带来的改变。对于任何应用程序来说，保护信息访问的安全都是最基本的要求。由于按 SOA 原则而构造实现的服务、应用程序以及跨组织操作所具有的松耦合特性，这种环境往往更加容易暴露现有安全实现的弱点或局限性，因此缺乏良好的编程模型将严重威胁Web服务的安全。

　　在网络发展初期，大的网站都倾向于在为自己的网络应用建立自己的认证和权限技术。一度，这种做法运转得很好，也提供了基本得保护。但不久之后，企业就开始实施独立得WAM产品。目前，WAM已经成为了大规模网站架构中认可的一部分。网络服务最常见的安全隐患大概就是信息泄露和欺诈，如果你和你的合作伙伴之间交易的敏感信息被竞争对手获得，如果有人在网络上以你的名义向你的供应商发送订单，如果来自合作伙伴的发货请求被人篡改，等等，所有这些都是商业活动中不希望发生的。当然，也不用为此因噎废食，企业级SOA在一开始就应当考虑信息安全保证，在技术手段方面有各种有效的防范措施可选用。

　　安全职能的集中管理才是关键之所在。企业需要“采取政策驱动的执行模式，允许安全部门实际决定受保护内容、保护方式并对这些安全措施尽可能具体化”。核心安全问题是很困难的，而实际安全管理执行则显得难上加难。因为安全威胁和条件是经常变化的。许多新的攻击类型已被确定，也有新的规则实施，然后你又产生新的公司政策。又可能是因为你使用了新的基础架构，想确保它使用新来源的识别信息。任何一种安全标准或所支持的标准总数，都不足以评估SOA或Web服务平台的效能。因此，对安全标准的支持并不就意味着安全。在许多情况下，安全标准只是定义了让各种服务模式能彼此互操作的框架，实际上它并不等于任何一种特殊服务模式都能良好运行。许多的SOA网络安全策略和许多的基于Web的应用程序是采用相同的策略的，他们采用的方式都可以归结为创建一个虚拟局域网(virtual private network)来排除服务器和客户端的交互，使用数字证书来建立SSL(secure socket layer)保护或者HTTPS，或者通过在软件或者硬件上部署防火墙基础架构来检测通过SOA进来的可疑请求。

　　现在的担心是，人们不会去等候解决方案，或者不会尝试的去正确的使用它，从而增加了安全暴露，就会带来安全缺陷。因为SOA非常强大，而且可以被用来轻松的利用外部程序和其他外部可信任伙伴的程序，这种缺陷可能会变得非常大。企业需要谨慎的制定安全策略，加上对用户的安全意识和培训，再辅以合适的技术，来将所面临的危险降到最小。

　　但如果你在这些数据源上建立一个Web服务界面，那么所有的联系都变得松散了。如果发展的好，认证和权限控制的类型将极大的增加，要使用这些数据源，你将需要申请。SOA平台：为一套SOA应用软件提供管理功能，不仅如此，还在认证和权限方面提供一些简单的安全功能。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。