即使Web服务的基本安全标准已经出现,人们对Web服务安全问题的担心仍将在2003年继续存在。在大规模部署Web服务之前,绝大多数企业采取了谨慎作法,一方面继续进行内部教育,使企业上下员工对Web服务的安全机制进一步熟悉,另一方面继续观望Web服务安全标准的出台情况。有关专家称,这种保守作法有利于Web服务市场随着安全标准的稳定而成熟。对于Web服务的安全机制和应用推广在2003的进展,专家作了以下预测。
预测一:安全标准之争将会更加激烈,部分基本标准将会出台
到目前为止,Web服务市场的主要参与者已经显示出合作开发安全标准的意愿,因为他们已经意识到在缺少足够保护交易的隐私性、机密性和完整性机制的情况下,Web服务不会得到广泛使用。相关专家预测,随着业界注意力转向Web服务的一致性和复杂性,Web服务的安全标准之争将会变得更加激烈。
不过,一些Web服务的基本安全标准将会走向统一,这些标准包括:
a. 用于完整性的Web服务描述语言(WSDL);
b. 用于认证与授权的安全断言标记语言(ASAML);
c.用于信道保密性的安全套接层(SSL);
d. 用于颗粒度保密性的XML加密;
e. 用于颗粒度不可否认的XML数字签名。
其他几项关键安全标准也有望在近期发布,这些标准包括:
a. Web服务安全机制(包括XML加密和XML数字签名);
b. 用于管理密钥的XML密钥管理规范;
c. 用于认证的扩展访问控制标记语言(XACML)。
对2003年的影响:多数企业不会部署复杂的、大规模的Web服务。一直困扰PKI实施的安全成本问题也在通向全面实现Web服务的道路上投下一丝暗影。不能证明部署PKI的安全成本是合理的企业,将不能为复杂的Web服务部署所需要的同样成本提供理由,尤其是在目前低靡的市场条件下。
用户的反应:企业近期将只考虑内部的或低价值的外部Web服务部署。在2003年,对于大多数企业来说,在与合作伙伴连接的基础上实现更高价值的交易是不可能的。
预测二:安全和成本问题将把Web服务部署限制在一定范围之内
Web服务安全性和XML密钥管理规范要在2004年左右才能全部出台。可以说,安全和基础设施成本的问题将把Web服务部署限制在企业内部使用和企业之间低价值交易领域。
对2003年的影响:对Web服务安全的担心将由关注Web服务的安全标准转移到对Web服务的监测和控制方面。随着部分基本安全标准部署到位,Web服务的周边产品将开始成熟。大型开发商将进入市场或收购较小的新兴企业。到2004年时,准备跨企业周边部署Web服务的企业将能够从许多比较成熟的安全产品中进行选择。
用户的反应:到2003年底,企业将能够安全地部署精心设计的具有周边机制(而非内置机制)的Web服务,并会出现成功的商业案例。
预测三:已经部署Web服务的用户需要弥补内部应用的安全缺陷
企业内部开发人员将意识到Web服务的价值。Web服务技术对于试图解决应用集成和通信问题的开发人员极具吸引力,并被誉为是发挥企业内部协调作用的强大工具。与使用任何功能强大的通用工具一样,开发人员意识到这项技术的可能性之后,就会匆忙使用Web服务而没有充分考虑其安全和效率问题。考虑到这种情况,许多用户正在加紧弥补Web服务在企业内部应用中的安全缺陷。
对2003年的影响:多数Web服务是由希望解决特殊运营业务问题的机构和部门临时部署的,因而不可避免地带有“粗制滥造”之嫌,存在重大的安全缺陷或完全忽视了安全问题。
用户的反应:Web服务将成为未来应用集成和新应用部署的事实标准。企业越早开始了解这项技术,越早为Web服务在企业内和跨企业周边的应用制定监控政策,企业的处境就会越好,系统的脆弱性就会越小。
预测四:安全问题日益复杂,人们需要对Web服务中的传输进行应用级检查
人们开始认识到Web服务中安全问题的复杂性,并开始考虑采用复杂的解决方案。在Web服务变得越来越普遍时,用户就会担心利用超文本传输协议(HTTP)或安全超文本传输协议(S-HTTP)跨企业周边传输的数据安全。Gartner预测,由于Web服务可以绕过传统的周边保护,传输任何类型的有效载荷都会影响企业的资源,因此Web服务将重新打开70%在过去十年中被防火墙关闭的攻击通道。为保证企业的安全,人们将必须对Web服务中的传输进行应用级检查。
到2005年,高安全性的Web服务将要求未注册的HTTP和S-HTTP传输流必须在企业周边上接受检查,这将需要周边安全技术具有应用级检查功能,具体地说,扩展标记语言(XML)、简单对象访问协议(SOAP)将会得到广泛使用。
对2003年的影响:当更多应用使用XML和SOAP进行通信时,企业将经历HTTP和S-HTTP传输流高于平均值的增长。Microsoft的.NET服务器和利用Web服务功能的新版本的Windows操作系统与Office套件的发布,将对HTTP与S-HTTP传输流的增长起到推波助澜的作用。Web服务协议和产品中存在的安全缺陷将使人们对管理与控制系统(包括安全系统)产生兴趣。
用户的反应:企业开始为涉及到基础设施各个方面的未来的Web服务架构制定战略计划。大多数Web服务安全机制可以是基于周边的。因此,企业应当对安全工具进行调查,如安全网关、SSL集中器与加速器、线速度SOAP/XML检查硬件。战略规划将使企业能够决定最适合企业需要的Web服务架构的类型。
预测五:寻求简单、易于实现的安全机制将成为多数用户部署Web服务的前提
“保持简单”将主导Web服务的部署。由于Web服务技术和保证其安全的机制仍处于初级阶段,多数企业将会保守地采用Web服务,Web服务的安全机制在被证明是可靠之前,许多企业不会考虑在关键应用中采用。此外,复杂的由多方参与的Web服务需要多方对安全机制做出承诺,这会促使大多数企业首先考虑简单的、低价值的Web服务,并在短期内寻求简单、廉价的安全机制。
一直到2005年底,在部署费用、复杂性和缺少经验等因素的影响下,80%的跨防火墙Web服务将在只受SSL服务器证书保护的点到点架构中得到部署。
对2003年的影响:由于Web服务技术的不确定性,不会有太多企业尝试进行复杂的Web服务部署。大多数Web服务产品(甚至那些被认为是简单的Web服务)将要求服务提供商能够为最终用户提供连接配置支持。
用户的反应:还未部署PKI的企业近期不应当采用PKI,除非这部分企业拥有需要密钥管理的令人信服的应用。购买Web服务安全平台的企业应当确信它们能够充分发挥标准SSL服务器证书的能力,不仅将其用于信道加密,而且还用于双向认证和交易的数字扫描。考虑大量使用Web服务技术的企业应当准备投资SSL加速/集中机制。总之,企业应当小心谨慎地进行Web服务的部署。
