当SOA遇上移动 防卫设计就成了安全需求

来源: TechTarget中国   
2013/11/26 23:11:30
解决方案最开始在架构和应用中正确地建立安全系统,并保证一开始就能恰当地运行。这就意味着,不仅仅是基于网络的界面存在安全风险,移动设备和桌面应用也需要安全保护。

当混合云计算、大数据解决方案、移动平台及开源工具这样的新技术在工作环境中变得司空见惯时,IT专业人士必须为维护系统的安全性而继续努力。随着组织添加了越来越多的应用程序、服务、数据以及日益增长的互联网领域的其他资源,IT部门发现自己已经无法准确地控制所负责的系统。如果未能强制执行,那么简单的治理规则是不足以保证数据的安全性。解决方案最开始在架构和应用中正确地建立安全系统,并保证一开始就能恰当地运行。这就意味着,不仅仅是基于网络的界面存在安全风险,移动设备和桌面应用也需要安全保护。

容易出现问题

移动化已经造成了设计人员未预测到的安全问题。《Oracle SOA SuITe 11g Performance Cookbook》的联合作者、C2B2咨询师Matt Brasier指出带来安全高风险的两个因素。首先,应用程序变得更易于编写,因此黑客更易入侵。其次,组织在消费者服务方面控制较少。Brasier说:“今后你们要格外注意架构及应用程序的编程和设计工作。即使没有通过网络服务发布过一种应用程序,但是如果即将发布的信息已经在网络上公开,那么也存在安全风险。有人会编写一个应用程序,然后盗取HTML并提取其中的数据。”此外,你不可能控制移动接口,因为接口可能是第三方组件。这就意味着你必须在这些资源中建立安全保护,对这些资源进行控制。

少数企业对此有谨慎心理

Decompiling Android的作者Godfrey Nolan说,公司主要研究展示如何轻易地打开Android APK。目前存在许多反编译工具,任何人都可以参与到编译工作中。这些工具可以轻松反向设计APK,并利用以简单纯文本形式存储的信息,这些信息可能包含敏感数据如登录名和密码,以至于严重破坏企业组织后端服务。Nolan说:“我们的团队已经下载并测试了大约100个应用程序。其中只有一个得到了适当的保护及安全编码。”Nolan建议使用如HoseDex2Jar这样的工具来建立一个反编译屏障。将这段增强型代码嵌入到程序中,可以降低反编译工具的有效性。

用户需要提高警惕

Ann Thomas Manes是高德纳公司著名的分析师,他说,首席安全官的工作内容是在产品的设计、开发或者运行阶段确保不忽略新的非功能性安全需求。“首先,你需要确定什么类型的数据是属于敏感数据。其中一些数据可以通过设备获得,而且不需要承担太多风险。需要安全性保障的数据也许有必要进行封装,防止其易于暴露。不要拖延移动性,但是确实要考虑一下如何调整你的架构策略。”物理层面、管理层面以及技术层面的解决方案在防护设计中一起发挥作用。

移动创建开放终端游戏

谈到非功能性需求,移动不仅仅影响企业如何处理安全性问题,同样也影响了性能和可用性。Matt Brasier强调移动的激增正影响着应用程序的非功能性需求,例如安全和性能,从而影响到产品的设计。他说,至少应该改变SOA设计,并将其用于移动开发中。他哀叹道,实际上,太多的企业都未关注过移动开发所引起的这类问题。不是每个人都将移动放在首位。Brasier说:“这类人将移动开发放在最末位,并不是正确的方法。”让你改变观点的唯一方法就是突然中断服务,例如当用户放弃使用或者在完成之前就终止交易。这种事情在桌面访问中是很少发生的。有了移动化,这种事情就变得很常见,并且对服务供给如何设计有明确影响。

最后的结果是用户可以与SOA直接互动,这种方式是5年、10年或者甚至15年前都未曾想过的。IT专业人士必须继续用心工作,以正确的方式确保组织数据的安全性以及组织的基于SOA的体系结构的完整性。

责编:王雅京
vsharing微信扫一扫实时了解行业动态
portalart微信扫一扫分享本文给好友

著作权声明:畅享网文章著作权分属畅享网、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
网络安全热点透析

随着移动互联、大数据、云计算、物联网等技术的日益发展,在这些热点技术为个人生活带来便利的同时,也为企业发展..

数据安全医药行业解决方案

采用身份鉴别、访问控制、数据加密以及权限控制等多种安全防护技术手段,保障数据库中医药数据只能被合法用户合规..

    畅享
    首页
    返回
    顶部
    ×
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918