2002-09-12 09:42
10大网络服务安全需求
无论你的公司有多大,也无论你的公司是做什么的,当你选择网络服务器的时候,安全是首要因素。本文列举了10大在选择网络服务器中,对安全程度影响最大,也最重要的因素。
在开始之前,让我们先大致讨论一下网络服务安全需求的关键--认证,授权,数据保护和认可。
认证是用以保证网络服务中的各个环节--请求者,提供者,入侵者(如果有的话)--能够得到相应的服务的。认证包括从这些环节接收信用证书并对它们进行确认。 授权决定请求者是否可以使用所请求的内容。基本上来说,授权检查服务请求者的信用证书。它决定是否一个服务请求者有资格进行某项网络服务操作。
数据保护保证网络服务的请求和响应不会在传输途中不出问题。这既包括数据的完整性也包括了数据的私密性。值得一提的是,数据保护并不能保证信息发送者的身份。
认可确保信息的发送者同创建者一致。
现在,我们对于网络服务安全就有了一个基本概念,我们将要开始讨论影响网络服务的10大安全因素。
10大决定性因素
决定网络服务安全需要的10大重要因素如下:
1. 网络服务器是用来进行EAI还是B2Bi?
网络服务器可以用在两个截然不同的域--企业应用整合(EAI)和B2B整合(B2Bi)。这两个域的安全要求是不一样的,EAI的安全需求是B2Bi的一个子集,因为相对于要透过企业防火墙和互联网相连接的服务器,在企业内部网络上进行EAI的网络服务器在控制、管理、建立、执行和维护上都要简单的多。
用于EAI经常会用到一个层次的认证而较少会需要加密,B2Bi的网络服务可能会包括好几个层次的认证而且总是会需要加密。而且,在B2Bi方面,网络服务请求和响应的信息可能需要用到下面几种加密形式:密码加密,数字签名,和加密套接字协议层(SSL)。但是,在企业内部网络使用的EAI项目中,应该尽可能避免使用SSL。最后,认可在B2Bi中非常有用,它可以阻止恶意用户抵赖曾某些创建并发送的信息。
2.网络服务的目的是什么?
如果网络服务器是用来在信息主导的公司里发布信息或者数据,比如今天城市的天气情况,或者某种股票的报价,那么对于安全的需求就比那些发布私有商业信息的网络服务器要低得多。
3.谁是这个网络服务的使用者?
知道谁是网络服务的使用者对于网络服务的授权和认证是非常重要的。
4.这种服务是否需要在互联网上使用?
这种网络服务是只针对特定的可靠的行业伙伴,还是任何公司都可以通过互联网使用它?这对于授权和认证非常重要,而数据保护和认可也需要这些信息。
5.底层应用需要多安全?
网络服务应该给底层应用提供怎样的接入呢?这种接入是否需要基于授权和人证?对底层应用的接入越多,就有更多认证安全需求。
6.网络服务是否是任务导向的?
如果任务是分布在不同设施之间,系统的危险性就要大得多。
7.采用何种协议?
在服务请求者和提供者之间的认证和数据传输采用何种网络协议?因为任何人都可以监听在网络上以普通XML文件传输的服务请求和响应,所以知道是否有数据安全需要很重要。如果是HTTPS,那么就不需要额外的加密/解密运算,因为HTTPS已经提供了这个功能。
8.是否需要检验发件人/收件人?
是否需要确认网络服务请求和响应信息的发送者和创建者是否一致?这些信息从审查角度来说很有必要,它确保了发送者和创建者的一致。如果是做B2Bi的网络服务,认可就非常有必要。 9.这个服务里包括了谁?
在网络服务里包括了多少不同的设施--比如,网络服务是否有设施链的功能?如果有超过一个的设施,那么就意味着更多的安全需求。
10. 是否使用组件链?
在网络服务的执行代码中是否有应用和组件链功能?如果一个应用链跨越了企业的防火墙,对于安全性的需求就会更高。
值得一提的是,在网络服务方面,诸如工业标准和对网络服务中数字签名的支持之类的安全方面的技术标准仍然很有必要。
在开始网络服务前应该把问题想清楚
安全互用性是网络服务获得长期的成功的关键。要小心网络服务中的潜在安全漏洞,因为这些漏洞非常容易有诸如否认服务,欺骗等危险。在没有能够清楚回答上述10个问题,并将他们和整个安全策略以及公司内以有的解决方案结合在一起考虑清楚之前,就开始进行一项网络服务是非常不明智的。