【赛迪网独家报道】2004年内大多数Web服务布署将会变得简单而保守，但那些在Web服务安全性方面尚未制定相应战略的企业将在恶意攻击面前出现漏洞。

　　安全标准未成熟

　　2006年以前，高级Web服务安全规范不会达到适度成熟或普及的程度(可能性70%)。

　　2006年以前，提供Web服务接口的主要非定制类企业应用，将受到定期出现的巨大安全漏洞以及无数自动化攻击的危害(可能性70%)。

　　Web服务安全机制的安全因素及复杂性将导致2004年内大多数Web服务布署变得简单而保守。Web服务正在逐渐普及，相关的安全机制与标准正在成熟，那些在Web服务与安全性方面尚未开始制定相应策略的企业，将在电脑攻击面前出现漏洞。

　　到2005年五种布署中最多只有一种布署会受到复杂的业务模式或高级安全性要求等因素的推动，这些因素将促进企业公共密钥基础设施或更高级Web服务安全标准的使用。

　　WS-Security层上的Web服务安全标准易混淆之处在于“超前”功能方面，比如自动化策略协议等。大多数企业近期内不需要这些功能。企业应布署适当满足其安全需要的安全机制。

　　建议：大多数企业应该只采用那些稳定的且在支持其业务需求方面所需的Web服务安全标准。在2004年内主要是WS-Security与SAML，同时要遵循堆叠中更高的标准开发。

　　标准成熟不等于安全

　　标准努力将提供第一代保护，主要是针对Web服务的合法使用方面。然而，居心不良的人却会找到各种办法来滥用并攻击Web服务，尤其是会连接广泛应用的非定制类企业应用(面向服务的业务应用)。企业必须能保护规划中且受到支持的Web服务使用，同时，它们还必须能检测并取消计划外且不受支持的使用。

　　下述四个因素将影响Web服务的安全。

　　首先，Web服务允许对可执行内容及其它恶意内容进行隐藏传输。其次，目前的标准没有解决恶意攻击方面的问题。第三，企业软件厂商正在或很快就要在其非定制类产品中布署Web服务接口，那些以前受模糊保护的或不能直接与其建立接口的遗留代码将易受攻击，而这些攻击以前能被防火墙拦截。第四，Web服务安全厂商及其它周边安全厂商在2006年以前不大可能做到：在大多形式的恶意攻击面前形成强力保护。

　　这四个因素表明，至少到2006年，高位值的、贯穿防火墙的Web服务布署，尤其是那些与流行的非定制类企业应用接在一起的布署，将容易受到恶意攻击的严重危害。

　　因此，2006年以前，所有提供Web服务接口的主要非定制类企业应用，将受到定期发现的巨大安全漏洞以及无数自动化攻击的危害(可能性70%)。

　　建议：流行的企业级系统布署外部Web服务时要当心它们很可能成为恶意攻击的早期目标。

　　只终于被细心设置的、受监控并可备份的处理区中的Web服务。

　　确保所有已布署的内外部接口对非授权的流量上得到保护和监控。

　　确保周边安全控制与企业级Web服务一样块速地演变。

　　市场合并是趋势

　　对企业而言，Web服务最具吸引力之一就在于集中控制的前景方面。Web服务使企业能从应用层到集中式平台层等各领域具有移动管理、监控与安全功能，这使其能集中化控制策略与性能。此外，防火墙无力在应用层或会话层执行网速分析功能，这就导致创造了两个占据适当位置的分段：集中式Web服务安全产品、Web服务管理产品。

　　同时，那些布署Web服务的企业看不到布署单独的管理及安全产品方面的价值。那些使用Web服务的企业将需要一个单独控制台中的安全与管理功能。因此，Web服务安全与管理产品厂商将会越来越多地提供叠加功能，这将大大模糊这两个市场分段之间的界限。由于一些厂商正用强大的安全组件来制造管理产品，因此这种趋势将导致明显的市场合并。

　　2006年底以前，集中式Web服务安全厂商将消失，Web服务安全技术将被添加到周边安全机制与集中式Web服务管理产品中(可能性80%)。

　　建议：那些正在期限上（会延伸到2004年以后）利用集中式安全(与管理)来计划Web服务基础结构的企业，会得到Web服务管理产品的更好服务。

　　要选择那些提供了强大的功能性以及与标准相关技术兼容的产品。

　　总之，企业应在2004年及以后，在Web服务布署方面采取小心谨慎的态度。企业应继续开展内部教育培训与开发工作，以便在移入高位值布署之前提升专业技能，并增加对Web服务标准与技术的熟悉程度。虽然针对那些正在布署不只一些简单的Web服务的企业推荐了集中式安全机制，但2006年以前，那些拥有强大安全功能的管理产品都将在这个市场上占主导地位。

　　链接

　　Web服务两大标准制订组织

　　W3C：Web领域主要标准的制订者。2002年1月，W3C成立了WebServicesActivity,由IBM和微软领导。下面包含三个工作组：Web Services ArchitectureWG（WorkingGroup）、XML Protocol WG和Web Services Detion WG。WebServices WebArchitecture WG致力于整体的Web服务技术框架。

　　WS-I：由微软和IBM、Oracle、HP、BEA、SAP等为首的计算机巨头们共同创建的，致力于推动WebService解决方案全面应用的技术组织。WSI中的I是Interoperability，互操作性。其途径是符合各个Web服务规范中的二义性进行重新定义，在语义上确保交互的一致性，同时开发并提供多种测试工具，以测试具体的平台实现是否满足互操作性的要求。