即使Web服务的基本安全标准已经出现，人们对Web服务安全问题的担心仍将继续存在。在大规模部署Web服务之前，绝大多数企业采取了谨慎作法，一方面继续进行内部教育，使企业上下员工对Web服务的安全机制进一步熟悉，另一方面继续观望Web服务安全标准的出台情况。有关专家称，这种保守作法有利于Web服务市场随着安全标准的稳定而成熟。对于Web服务的安全机制和应用推广的进展，专家作了以下预测。
　　预测一：安全标准之争将会更加激烈，部分基本标准将会出台
　　到目前为止，Web服务市场的主要参与者已经显示出合作开发安全标准的意愿，因为他们已经意识到在缺少足够保护交易的隐私性、机密性和完整性机制的情况下，Web服务不会得到广泛使用。相关专家预测，随着业界注意力转向Web服务的一致性和复杂性，Web服务的安全标准之争将会变得更加激烈。
　　不过，一些Web服务的基本安全标准将会走向统一，这些标准包括：
　　a. 用于完整性的Web服务描述语言（WSDL）；
　　b. 用于认证与授权的安全断言标记语言（ASAML）；
　　c.用于信道保密性的安全套接层（SSL）；
　　d. 用于颗粒度保密性的XML加密；
　　e. 用于颗粒度不可否认的XML数字签名。
　　其他几项关键安全标准也有望在近期发布，这些标准包括：
　　a. Web服务安全机制（包括XML加密和XML数字签名）；
　　b. 用于管理密钥的XML密钥管理规范；
　　c. 用于认证的扩展访问控制标记语言（XACML）。
　　影响：多数企业不会部署复杂的、大规模的Web服务。一直困扰PKI实施的安全成本问题也在通向全面实现Web服务的道路上投下一丝暗影。不能证明部署PKI的安全成本是合理的企业，将不能为复杂的Web服务部署所需要的同样成本提供理由，尤其是在目前低靡的市场条件下。
　　用户的反应：企业近期将只考虑内部的或低价值的外部Web服务部署。对于大多数企业来说，在与合作伙伴连接的基础上实现更高价值的交易是不可能的。
　　预测二：安全和成本问题将把Web服务部署限制在一定范围之内
　　Web服务安全性和XML密钥管理规范要在2004年左右才能全部出台。可以说，安全和基础设施成本的问题将把Web服务部署限制在企业内部使用和企业之间低价值交易领域。
　　影响：对Web服务安全的担心将由关注Web服务的安全标准转移到对Web服务的监测和控制方面。随着部分基本安全标准部署到位，Web服务的周边产品将开始成熟。大型开发商将进入市场或收购较小的新兴企业。到2004年时，准备跨企业周边部署Web服务的企业将能够从许多比较成熟的安全产品中进行选择。
　　用户的反应：企业将能够安全地部署精心设计的具有周边机制（而非内置机制）的Web服务，并会出现成功的商业案例。
　　预测三：已经部署Web服务的用户需要弥补内部应用的安全缺陷
　　企业内部开发人员将意识到Web服务的价值。Web服务技术对于试图解决应用集成和通信问题的开发人员极具吸引力，并被誉为是发挥企业内部协调作用的强大工具。与使用任何功能强大的通用工具一样，开发人员意识到这项技术的可能性之后，就会匆忙使用Web服务而没有充分考虑其安全和效率问题。考虑到这种情况，许多用户正在加紧弥补Web服务在企业内部应用中的安全缺陷。
　　影响：多数Web服务是由希望解决特殊运营业务问题的机构和部门临时部署的，因而不可避免地带有“粗制滥造”之嫌，存在重大的安全缺陷或完全忽视了安全问题。
　　用户的反应：Web服务将成为未来应用集成和新应用部署的事实标准。企业越早开始了解这项技术，越早为Web服务在企业内和跨企业周边的应用制定监控政策，企业的处境就会越好，系统的脆弱性就会越小。
　　预测四：安全问题日益复杂，人们需要对Web服务中的传输进行应用级检查
　　人们开始认识到Web服务中安全问题的复杂性，并开始考虑采用复杂的解决方案。在Web服务变得越来越普遍时，用户就会担心利用超文本传输协议（HTTP）或安全超文本传输协议（S-HTTP）跨企业周边传输的数据安全。Gartner预测，由于Web服务可以绕过传统的周边保护，传输任何类型的有效载荷都会影响企业的资源，因此Web服务将重新打开70%在过去十年中被防火墙关闭的攻击通道。为保证企业的安全，人们将必须对Web服务中的传输进行应用级检查。
　　高安全性的Web服务将要求未注册的HTTP和S-HTTP传输流必须在企业周边上接受检查，这将需要周边安全技术具有应用级检查功能，具体地说，扩展标记语言（XML）、简单对象访问协议（SOAP）将会得到广泛使用。
　　影响：当更多应用使用XML和SOAP进行通信时，企业将经历HTTP和S-HTTP传输流高于平均值的增长。Microsoft的。NET服务器和利用Web服务功能的新版本的Windows操作系统与Office套件的发布，将对HTTP与S-HTTP传输流的增长起到推波助澜的作用。Web服务协议和产品中存在的安全缺陷将使人们对管理与控制系统（包括安全系统）产生兴趣。
　　用户的反应：企业开始为涉及到基础设施各个方面的未来的Web服务架构制定战略计划。大多数Web服务安全机制可以是基于周边的。因此，企业应当对安全工具进行调查，如安全网关、SSL集中器与加速器、线速度SOAP/XML检查硬件。战略规划将使企业能够决定最适合企业需要的Web服务架构的类型。
　　“保持简单”将主导Web服务的部署。由于Web服务技术和保证其安全的机制仍处于初级阶段，多数企业将会保守地采用Web服务，Web服务的安全机制在被证明是可靠之前，许多企业不会考虑在关键应用中采用。此外，复杂的由多方参与的Web服务需要多方对安全机制做出承诺，这会促使大多数企业首先考虑简单的、低价值的Web服务，并在短期内寻求简单、廉价的安全机制。
　　在部署费用、复杂性和缺少经验等因素的影响下，80%的跨防火墙Web服务将在只受SSL服务器证书保护的点到点架构中得到部署。
　　影响：由于Web服务技术的不确定性，不会有太多企业尝试进行复杂的Web服务部署。大多数Web服务产品（甚至那些被认为是简单的Web服务）将要求服务提供商能够为最终用户提供连接配置支持。
　　用户的反应：还未部署PKI的企业近期不应当采用PKI，除非这部分企业拥有需要密钥管理的令人信服的应用。购买Web服务安全平台的企业应当确信它们能够充分发挥标准SSL服务器证书的能力，不仅将其用于信道加密，而且还用于双向认证和交易的数字扫描。考虑大量使用Web服务技术的企业应当准备投资SSL加速/集中机制。总之，企业应当小心谨慎地进行Web服务的部署。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。