勿让SOA安全隐患积重难返

来源：天极网

2010/9/29 14:14:31

关于SOA应该自上而下还是自下而上的实施存在着许多不同的原则，阐述不同的观点。不管你的看法如何，关键是你应该以从事任何战略项目的途径去发起SOA倡议，建立总体治理模式并投入使用。否则，你可能会为公司带来潜在的安全威胁。

安全软件——身份管理同等重要

作为SOA安全装置的补充，安全软件能够增强SOA支持的业务流程的应变能力。在整合架构中首要的角色是协助管理员和人员进行监控、管理、保全并控制SOA为基础的服务和应用程序组件端对端实施。公司越来越重视通过共享和传播信息来推动业务发展，这个战略也变得越来越重要，不久终端用户将不再忍受不可理的整合习惯。

此外，商务方面需要简单的进行交易而不需要在通过每一个门户时都停下来进行身份验证。为此，身份管理软件应该为互用提供以政策为基础的整合安全管理以确保在不需要在双方公司获取身份的情况下安全的获取信息和服务，从而节省时间并降低成本。除此以外，单一的SOA登录工具可以帮助在应用程序间整合安全，不管它们是现场的或是虚拟存在以支持公司扩大业务、合并资产或修正其在法律遵从和治理方面的做法。

拼凑一个安全平台——七大安全指导方针

既然SOA实施的关键动力在于再利用和利用公司现存IT投资，支持和将强SOA架构的环境应该符合以下7个标准：

1 集中处理和存储安全数据以改善整体安全操作和信息风险管理

2 为Web服务提供强制安全点

3 对事件进行自动识别、调查和反应

4 为管理供应、验证和授权提供集中平台

5 提供综合报告，包括历史报告、自我审核和追踪能力

6 在易于适应公司现有和未来安全基础架构要求的模块化架构基础上提供多种实施选择

7 提供环境支持管理安全服务，通过自动化和快速实施来降低运营成本

由于安全问题是公司SOA成败的关键所在，在基础架构中囊括装置和软件是至关重要的。然而，这并不意味着公司应该丢弃他们现存的技术投资或是与首席信息观讨要额外预算。

在建立在标准基础上的SOA帮助下，额外的安全用具能够轻易的整合，不会对公司现有应用程序和硬件造成负面影响，也不需要大量时间和金钱投资。但重要的是SOA战略中应该包括公司长期目标，并通过使用公司商务和IT方面团队的技能和专业知识来设计、创建和部署实施。

责编：刘沙