10大網(wǎng)絡服務安全需求

申請免費試用、咨詢電話：400-8352-114

10大網(wǎng)絡服務安全需求

無論你的公司有多大，也無論你的公司是做什么的，當你選擇網(wǎng)絡服務器的時候，安全是首要因素。本文列舉了10大在選擇網(wǎng)絡服務器中，對安全程度影響最大，也最重要的因素。

在開始之前，讓我們先大致討論一下網(wǎng)絡服務安全需求的關鍵--認證，授權，數(shù)據(jù)保護和認可。

認證是用以保證網(wǎng)絡服務中的各個環(huán)節(jié)--請求者，提供者，入侵者（如果有的話）--能夠得到相應的服務的。認證包括從這些環(huán)節(jié)接收信用證書并對它們進行確認。 授權決定請求者是否可以使用所請求的內(nèi)容?；旧蟻碚f，授權檢查服務請求者的信用證書。它決定是否一個服務請求者有資格進行某項網(wǎng)絡服務操作。

數(shù)據(jù)保護保證網(wǎng)絡服務的請求和響應不會在傳輸途中不出問題。這既包括數(shù)據(jù)的完整性也包括了數(shù)據(jù)的私密性。值得一提的是，數(shù)據(jù)保護并不能保證信息發(fā)送者的身份。

認可確保信息的發(fā)送者同創(chuàng)建者一致。

現(xiàn)在，我們對于網(wǎng)絡服務安全就有了一個基本概念，我們將要開始討論影響網(wǎng)絡服務的10大安全因素。

10大決定性因素

決定網(wǎng)絡服務安全需要的10大重要因素如下：

1． 網(wǎng)絡服務器是用來進行EAI還是B2Bi？

網(wǎng)絡服務器可以用在兩個截然不同的域--企業(yè)應用整合（EAI）和B2B整合（B2Bi）。這兩個域的安全要求是不一樣的，EAI的安全需求是B2Bi的一個子集，因為相對于要透過企業(yè)防火墻和互聯(lián)網(wǎng)相連接的服務器，在企業(yè)內(nèi)部網(wǎng)絡上進行EAI的網(wǎng)絡服務器在控制、管理、建立、執(zhí)行和維護上都要簡單的多。

用于EAI經(jīng)常會用到一個層次的認證而較少會需要加密，B2Bi的網(wǎng)絡服務可能會包括好幾個層次的認證而且總是會需要加密。而且，在B2Bi方面，網(wǎng)絡服務請求和響應的信息可能需要用到下面幾種加密形式：密碼加密，數(shù)字簽名，和加密套接字協(xié)議層（SSL）。但是，在企業(yè)內(nèi)部網(wǎng)絡使用的EAI項目中，應該盡可能避免使用SSL。最后，認可在B2Bi中非常有用，它可以阻止惡意用戶抵賴曾某些創(chuàng)建并發(fā)送的信息。

2．網(wǎng)絡服務的目的是什么？

如果網(wǎng)絡服務器是用來在信息主導的公司里發(fā)布信息或者數(shù)據(jù)，比如今天城市的天氣情況，或者某種股票的報價，那么對于安全的需求就比那些發(fā)布私有商業(yè)信息的網(wǎng)絡服務器要低得多。

3．誰是這個網(wǎng)絡服務的使用者？

知道誰是網(wǎng)絡服務的使用者對于網(wǎng)絡服務的授權和認證是非常重要的。

4．這種服務是否需要在互聯(lián)網(wǎng)上使用？

這種網(wǎng)絡服務是只針對特定的可靠的行業(yè)伙伴，還是任何公司都可以通過互聯(lián)網(wǎng)使用它？這對于授權和認證非常重要，而數(shù)據(jù)保護和認可也需要這些信息。

5．底層應用需要多安全？

網(wǎng)絡服務應該給底層應用提供怎樣的接入呢？這種接入是否需要基于授權和人證？對底層應用的接入越多，就有更多認證安全需求。

6．網(wǎng)絡服務是否是任務導向的？

如果任務是分布在不同設施之間，系統(tǒng)的危險性就要大得多。

7．采用何種協(xié)議？

在服務請求者和提供者之間的認證和數(shù)據(jù)傳輸采用何種網(wǎng)絡協(xié)議？因為任何人都可以監(jiān)聽在網(wǎng)絡上以普通XML文件傳輸?shù)姆照埱蠛晚憫?，所以知道是否有?shù)據(jù)安全需要很重要。如果是HTTPS，那么就不需要額外的加密/解密運算，因為HTTPS已經(jīng)提供了這個功能。

8．是否需要檢驗發(fā)件人/收件人？

是否需要確認網(wǎng)絡服務請求和響應信息的發(fā)送者和創(chuàng)建者是否一致？這些信息從審查角度來說很有必要，它確保了發(fā)送者和創(chuàng)建者的一致。如果是做B2Bi的網(wǎng)絡服務，認可就非常有必要。 9．這個服務里包括了誰？

在網(wǎng)絡服務里包括了多少不同的設施--比如，網(wǎng)絡服務是否有設施鏈的功能？如果有超過一個的設施，那么就意味著更多的安全需求。

10. 是否使用組件鏈？

在網(wǎng)絡服務的執(zhí)行代碼中是否有應用和組件鏈功能？如果一個應用鏈跨越了企業(yè)的防火墻，對于安全性的需求就會更高。

值得一提的是，在網(wǎng)絡服務方面，諸如工業(yè)標準和對網(wǎng)絡服務中數(shù)字簽名的支持之類的安全方面的技術標準仍然很有必要。

在開始網(wǎng)絡服務前應該把問題想清楚

安全互用性是網(wǎng)絡服務獲得長期的成功的關鍵。要小心網(wǎng)絡服務中的潛在安全漏洞，因為這些漏洞非常容易有諸如否認服務，欺騙等危險。在沒有能夠清楚回答上述10個問題，并將他們和整個安全策略以及公司內(nèi)以有的解決方案結合在一起考慮清楚之前，就開始進行一項網(wǎng)絡服務是非常不明智的。