一 引言
信息安全的范圍很大。大到國家軍事政治等機密安全,小到防范商業(yè)企業(yè)機密泄露、防范青少年對不良信息的瀏覽、個人信息的泄露等;SOA的商業(yè)系統(tǒng)的信息安全技術(shù)是保證其信息安全的關(guān)鍵,包括各種安全協(xié)議、安全機制(數(shù)字簽名、信息認證、數(shù)據(jù)加密等),其中任何一個安全漏洞便可以威脅全局安全。信息安全服務(wù)至少應(yīng)該包括支持信息網(wǎng)絡(luò)安全服務(wù)的基本理論,以及基于新一代信息網(wǎng)絡(luò)體系結(jié)構(gòu)的網(wǎng)絡(luò)安全服務(wù)體系結(jié)構(gòu)。
信息是社會發(fā)展的重要戰(zhàn)略資源。國際上圍繞信息的獲取、使用和控制的斗爭愈演愈烈,信息安傘成為維護國家安全和社會穩(wěn)定的一個焦點,各國都對信息安全給以極大的關(guān)注和投入。信息安全已成為亟待解決、影響國家大局和長遠利益的重大關(guān)鍵問題,它不但是發(fā)揮信息革命帶來的高效率、高效益的有力保證,而且是抵御信息侵略的重要屏障,信息安全保障能力是2l世紀綜合國力、經(jīng)濟競爭實力和生存能力的重要組成部分,是世紀之交世界各國都在奮力攀登的至高點。我國的政治、軍事、經(jīng)濟、文化、社會生活的各個方面受到信息安全問題的影響,如果解決不好將使國家處于信息戰(zhàn)和高度經(jīng)濟金融風(fēng)險的威脅之中。在網(wǎng)絡(luò)信息技術(shù)高速發(fā)展的今天,信息安全已變得至關(guān)重要,信息安全已成為信息科學(xué)的熱點課題。
二 SOA架構(gòu)是商業(yè)系統(tǒng)的趨勢
2.1 SOA的概念
SOA即Service-Oriented Architecture的縮寫,也就是面向服務(wù)的架構(gòu),它是一個組件模型,是一種流行的軟件設(shè)計架構(gòu),它將應(yīng)用程序的不同單元通過這些它們之間定義良好的接口和契約聯(lián)系起來,這些單元稱為服務(wù)。服務(wù)之間通過簡單并且精確定義的接口來進行通信。SOA體系架構(gòu)中包含服務(wù)提供者、服務(wù)注冊中心和服務(wù)使用者以及三種關(guān)于服務(wù)的動作:發(fā)布、查找和綁定。其中,服務(wù)提供者進行發(fā)布和響應(yīng)服務(wù),服務(wù)注冊中心注冊、分類和搜索服務(wù)提供者,服務(wù)使用者查找和使用服務(wù)提供者提供的服務(wù)。
2.2 商業(yè)系統(tǒng)采用SOA架構(gòu)的必然性
商業(yè)系統(tǒng)的各個子模塊也可以作為一種服務(wù)來看待,它可以為用戶提供各種商業(yè)系統(tǒng)的各種服務(wù)功能,因此,商業(yè)系統(tǒng)與SOA架構(gòu)結(jié)合是非?尚械。在基于SOA的某某商業(yè)系統(tǒng)的體系結(jié)構(gòu)中,對商業(yè)系統(tǒng)服務(wù)構(gòu)件,進行詳細設(shè)計和開發(fā),可以重復(fù)使用和共享已經(jīng)實現(xiàn)的商業(yè)系統(tǒng)服務(wù)構(gòu)件,這為其他具有類似功能模塊的煙草商業(yè)系統(tǒng)的構(gòu)建提供了便利條件,能夠節(jié)省大量的時間,提高系統(tǒng)開發(fā)效率,為眾多復(fù)雜的煙草商業(yè)系統(tǒng)的構(gòu)建提供了可行的解決方案。因此,采用SOA架構(gòu)是商業(yè)系統(tǒng)的必然趨勢。
2.3 SOA對信息安全技術(shù)的要求
面向服務(wù)的體系結(jié)構(gòu)(SOA)跨越了計算機系統(tǒng)和企業(yè)邊界,一個應(yīng)用軟件的組件可以非常容易地跟屬于不同域的其他組件進行通信。但是,SOA尚未能達到事務(wù)的不可否認性、事務(wù)撤回機制等最高可靠性,所以保證相互連接的系統(tǒng)之間的安全性是比較復(fù)雜的。
SOA作為一個具有發(fā)展前景的應(yīng)用系統(tǒng)架構(gòu),仍然正在不斷地發(fā)展,其安全性問題至關(guān)重要,對信息安全技術(shù)的研究也提出了新的要求。與傳統(tǒng)系統(tǒng)相比,在基于SOA的商業(yè)系統(tǒng)中,提出請求的主體和提供服務(wù)資源的客體都具有較高的動態(tài)特性。由于主體操作方式的多樣性和用戶的計算環(huán)境的異構(gòu)性造成了主體動態(tài)特性。服務(wù)本身的動態(tài)性主要表現(xiàn)在以下兩個方面:可能擴充或修改服務(wù)提供的功能,服務(wù)的組成也具有動態(tài)的變動性。這就要求信息安全技術(shù)應(yīng)該能夠?qū)@種變化動態(tài)地適應(yīng),能夠根據(jù)安全相關(guān)地環(huán)境采取合適的信息安全技術(shù)。
三 基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)
3.1 訪問控制
在基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)中,訪問控制技術(shù)是最重要的安全技術(shù)之一,也是可信計算機系統(tǒng)評估標準中的評價系統(tǒng)安全的主要指標之一。訪問控制就是主體依據(jù)某些控制策略或權(quán)限,進行客體本身或是其資源的不同的授權(quán)訪問。訪問控制主要由以下三個要素組成:主體、客體和訪問控制策略。
(1)主體:是提出請求或要求的實體,是動作的發(fā)起者,但是它不一定是動作的執(zhí)行者。主體可以是用戶或者進程、作業(yè)和程序等任何代理用戶行為的實體。實體可以是一個物理設(shè)備、數(shù)據(jù)文件、內(nèi)存或進程等計算機資源或者是一個合法用戶。
(2)客體:是接受其他實體訪問的被動實體?腕w可以是能夠被操作的信息、資源、對象。在信息社會中,信息、文件、記錄等的集合體,網(wǎng)路上的硬件設(shè)施,無線通信中的終端,都可以看作是客體,甚至客體之間可以互相包含。
(3)訪問控制策略:是主體對客體的操作行為集和約束條件集,也就是主體對客體的訪問規(guī)則集。在這個規(guī)則集中,對主體的作用行為和客體對主體的條件約束進行了直接的定義。訪問控制策略體現(xiàn)了不超越規(guī)則集的客體對主體的權(quán)限允許這樣一種授權(quán)行為。
由于基于SOA的商業(yè)系統(tǒng)的訪問用戶往往種類繁多、數(shù)量巨大、并且動態(tài)變化,增大了授權(quán)管理的負擔。為了防止直接將訪問權(quán)限授予主體,從而方便管理,系統(tǒng)采用了基于角色的訪問控制模型RBAC。
基于角色的訪問控制模型RBAC如圖I所示。
3.2 數(shù)字簽名
在基于SOA的某商業(yè)系統(tǒng)中,使用了數(shù)字簽名技術(shù)。數(shù)字簽名是實現(xiàn)認證和非否認的一種方法。認證允許一個人進行數(shù)據(jù)和身份的確認,而非否認防止—個人對其行為進行否認。
數(shù)字簽名技術(shù)是不對稱加密算法的典型應(yīng)用。數(shù)字簽名的應(yīng)用過程是,數(shù)據(jù)源發(fā)送方使用自己的私鑰對數(shù)據(jù)校驗和或其他與數(shù)據(jù)內(nèi)容有關(guān)的變量進行加密處理,完成對數(shù)據(jù)的合法“簽名”,數(shù)據(jù)接收方則利用對方的公鑰來解讀收到的“數(shù)字簽名”,并將解讀結(jié)果用于對數(shù)據(jù)完整性的檢驗。從而對簽名的合法性進行確認。在網(wǎng)絡(luò)系統(tǒng)虛擬環(huán)境中,數(shù)字簽名技術(shù)是進行身份確認的一種重要技術(shù),可以將現(xiàn)實過程中的“親筆簽字”完全代替,在技術(shù)和法律上有保證。在數(shù)字簽名應(yīng)用中,可以很方便地得到發(fā)送者的公鑰,但是需要嚴格保密發(fā)送者的私鑰。
3.3 身份認證
身份認證是計算機及網(wǎng)絡(luò)系統(tǒng)這樣一個虛擬的數(shù)字世界確認操作者身份的過程。由于在計算機及網(wǎng)絡(luò)系統(tǒng)中,是用一組特定的數(shù)據(jù)來表示包括用戶的身份信息在內(nèi)的一切信息的,因此,計算機只能識別用戶的數(shù)字身份,也是針對用戶數(shù)字身份的授權(quán)進行所有對用戶的身份認證,F(xiàn)實世界中,每個人都擁有獨一無二的物理身份。如何保證操作者的物理身份與數(shù)字身份相對應(yīng),是一個非常重要的問題。身份認證技術(shù)解決了這個問題。主要包括以下幾種常用的用戶身份認證技術(shù):傳統(tǒng)的基于口令的身份認證、基于隨機口令的雙因素認證技術(shù)、基于PKI體制的數(shù)字證書認證技術(shù)等。
基于口令的身份認證技術(shù)是指當被認證對象要求訪問認證方的服務(wù)時,提供服務(wù)的認證方要求被認證對象提交口令,認證方將收到的口令與系統(tǒng)中存儲的口令進行比較,從而對于被認證對象是否為合法訪問者進行確認。具有構(gòu)建方便、使用靈活、投入小的優(yōu)點,適合一些封閉的小型系統(tǒng)和安全性要求不是很高的系統(tǒng)。
PKI是利用公鑰理論和技術(shù)建立的提供安全服務(wù)的基礎(chǔ)設(shè)施,是信息安全技術(shù)的核心。對于信息系統(tǒng)中的機密性、真實性、完整性、不可否認性和存取控制等安全問題,PKI能夠有效地解決。基于PKI體制的數(shù)字證書認證技術(shù)適合大型系統(tǒng)和安全性要求很高的系統(tǒng)。
結(jié)合基于SOA的商業(yè)系統(tǒng)的實際需要,本系統(tǒng)采用了基于PKI體制的數(shù)字證書技術(shù)。
3.4 分布式入侵檢測
在分布式入侵檢測技術(shù)方面,基于SOA的商業(yè)系統(tǒng)使用了基于規(guī)則分析的策略;谝(guī)則分析的策略的入侵檢測的決策依據(jù),是一些預(yù)先定義好的規(guī)則,通常情況下,由管理員進行輸入或者是系統(tǒng)自動創(chuàng)建這些規(guī)則;谝(guī)則分析的入侵檢測系統(tǒng)在實現(xiàn)中最常見的兩種形式分別是專家系統(tǒng)和神經(jīng)網(wǎng)絡(luò)。在異常入侵檢測中,已經(jīng)應(yīng)用了SOM神經(jīng)網(wǎng)絡(luò)。研究表明,由于神經(jīng)網(wǎng)絡(luò)具有高效、并行、有學(xué)習(xí)能力等多種優(yōu)勢,非常適用于建立復(fù)雜多變的基于SOA的商業(yè)系統(tǒng)。
四 結(jié)語
隨著SOA的發(fā)展,傳統(tǒng)的信息安全技術(shù)很難滿足應(yīng)用系統(tǒng)的動態(tài)性和開發(fā)性的要求。采用面向服務(wù)的架構(gòu)進行應(yīng)用系統(tǒng)的開發(fā),已經(jīng)成為一種必然的趨勢。但是,安全性和管理的復(fù)雜性已經(jīng)成為阻礙其發(fā)展的重要原因。在基于SOA的商業(yè)系統(tǒng)中,提出請求的主體和提供服務(wù)資源的客體都具有較高的動態(tài)特性,要求信息安全技術(shù)應(yīng)該能夠動態(tài)地適應(yīng)這種動態(tài)特性,信息安全技術(shù)面臨著嚴峻的挑戰(zhàn)。隨著面向服務(wù)的架構(gòu)技術(shù)的成熟,SOA的體系架構(gòu)將被更廣泛地應(yīng)用,對于信息安全技術(shù)的要求會越來越高。安全性問題是基于SOA的系統(tǒng)的一個永恒話題,信息安全技術(shù)的研究和發(fā)展應(yīng)該受到重視。
核心關(guān)注:拓步ERP系統(tǒng)平臺是覆蓋了眾多的業(yè)務(wù)領(lǐng)域、行業(yè)應(yīng)用,蘊涵了豐富的ERP管理思想,集成了ERP軟件業(yè)務(wù)管理理念,功能涉及供應(yīng)鏈、成本、制造、CRM、HR等眾多業(yè)務(wù)領(lǐng)域的管理,全面涵蓋了企業(yè)關(guān)注ERP管理系統(tǒng)的核心領(lǐng)域,是眾多中小企業(yè)信息化建設(shè)首選的ERP管理軟件信賴品牌。
轉(zhuǎn)載請注明出處:拓步ERP資訊網(wǎng)http://www.ezxoed.cn/
本文標題:基于SOA的商業(yè)系統(tǒng)的信息安全技術(shù)探討
本文網(wǎng)址:http://www.ezxoed.cn/html/consultation/1083954513.html