《Information-Security.docx》由会员分享,可在线阅读,更多相关《Information-Security.docx(20页珍藏版)》请在优知文库上搜索。
1、建立信息平安框架对于面对服务架构和JaCqUi切迪商业信息技术约翰内斯堡高校南非约翰内斯堡jacquicuj.ac.za抽象的面对服务架构支持分布式在异构环境中发生的商业交易在松散的连接服务。确保平安这是具有挑战性的环境基础设施。有目前各种方法来解决信息平安,每个国家都有它的好处和困难自己的一套。此外,组织可以接受供应商为基础的信息平安框架,以帮助他们执行适当的信息平安限制。不幸的是,没有标准信息平安框架,已被接受面对服务的体系结构。本文的信息平安面临的挑战分析面对服务的体系结构.信息平安组件为服务导向架构环境的建议。这些组件共同制定了从服务面对建筑的设计原理,在ISO/IEC27002:20
2、05标准等服务导向架构治理框架。信息平安框架可以帮助在确定组织的信息平安限制而对服务的体系结构,对准当前的ISO/符合IEC27002:2005标准.关键词服务导向架构,设计原则,治理,信息平安框架导言传统的信息技术IT)的环境是能够解决困难问题的有效途径。信息平安限制,以确保已经制定组织之间的平安交易。管制措施,例如KerberoS票证,X.509证书,访问限制列表的(AC1.W),防火墙,加密和消息机制摘耍发达,成熟,他们的地址识别,认证信息平安服务,授权,保密性,完整性和不行抵赖性。不幸的是,他们往往以何种方式限制随着组织机构进行商业交易被锁定到一个开展业务具体方法。而对服务架构(SoA
3、)2建立了个建筑模型3来实施业务流程,供应更多的敏捷性和灵极性。这是一个位式组织和利用分布式功能,可不同全部制下的域限制,实现运用的技术栈品种.虽然一个SOA可实现运用不同的技术,网络服务技术是常用的。这些服务Marijke库切信息技术探讨院约翰内斯堡高校南非约翰内斯堡marijkecuj.ac.za为商业交易供应互操作性和敏徒性,假如松相合的设计原则,抽型等,发觉性,组成和服务纳入合同遵循15)。他们可以供应竞争优势为组织看作是一个负担,而不是个解决方法。服务可以重空运用,降低开发成本,或结合其他服务,以创建复合应用程序。然而,以这种方式实现的服务利用开放的标准,运用不同的信息平安环境;是平
4、台无关的;公开信息的平安限制客户;可以交叉领域;而且简单信息平安的威逼。他们常常暴露的局限性对现有信息的平安性实现6。对于例如,全部用户凭据存储在一个库,如轻量级拈目访问协议(1.DAP)3,传统应用ifU问木库来验证用户。假如一个服务被调用从另个域,这仓库不能供应身份5佥证.为了克服这种限制,更多的区分SOA的信息平安须要实行的方法73b不管接受该方法,SoA的信息平安应当是政策为基础,并供应端至端爱护有关的认证,授权,加密和完整的信息.本文的目的是分析所面临的挑战希望在各组织进行平安交易而对服务的方式。此外,SOA的信息平安框架,它可以帮助组织在开发服务导向的信息平安交易,进行了探讨并提出
5、。本文的结构如下:SOA的设计原则我们接下来探讨。这些设计原则有负对信息平安,从而导致挑战Sc)A的信息平安,介绍了第三节.要确定SOA的信息平安组件信息平安框架,供应了一个第四节分析了ISo/IEC27002:2005标准,以及其他SoA治理框架。信息平安组件第五节所述,共同发展是从挑战的探讨,在ISo/IEC27002:2005标准,其他SoA治理框架。该框架第六部分介绍和探讨。第七节结论纸张。978-1-4244-5495-2/10/S26.000.2010电机及电子学工程师联合会二。SOA设计原理一个SoA的胜利取决于在多大程度上它的设计原则是适用于服务的发展3)。这些原则构成了面对服
6、务的本质,为发展服务是逻辑的指引,互操作和故捷。设计原则是列入假如是服务合同,松散耦合,抽象,可重用性,自治,无国籍,发觉性和组成31.应用传统的信息平安机制如何抑制设计原则可以应用于服务交易。这些原则在现今的探讨3专注于信息平安院患。该服务合同是探讨下一步。AaK务合同个是公共服务合同,技术文件表达r交战规则,以及要求和约束必需坚持服务相厅.作用(5卜不同于传统的平台相关资讯环境中,全都的客户端是已知的和配置事前,SoA服务消费者事先不知道,可主办的其他领域和平台。为了让服务消资者,以确保他们的信息正确,信息平安机制须要抽取参加的平台和相关规则须耍供应了一个服务合同。这将确保消费者能申请所需
7、的平安机制和限制的邮件当他们消耗了服务方法3卜服务合同是分开的某本逻辑。假如服务合同的目的是正确的,它可以用于.不同环境下不绑定到特定的业务流程。据说该服务合同,以促进松散相合,下面探讨。二松散耦介的服务松散耦合是指那些代码模块一个独立的另一个5,一个模块可以被变更没有它影响其他模块的操作。传统应用程序的模块组成,它可以包括信息与应用程序代码的平安限制。因此,有素代码与平安限制疮圉内运用一奇异的平安上卜文。对于松散耦合的信息平安,服务合同必需是通用足以爱护任何平安上下文的数量作为服务合同援引不同的平安环境不同消费者,跨平台无关的领域。信息服务中的合同金额可能曝光过度或依据公开信息的平安限制。这
8、涉及到的抽象级别,用于发展服务合同,探讨下步。C.服务抽象服务抽象是确保内的具体程度服务合同相当于暴露的具体程度服务消费者3。松散耦合的服务保留抽象。抽级层次负面影响信息平安作为一个抽象水平低导致过度暴露信息平安限制,从而导致服务攻击。结果高的抽象水平不足曝光的信息平安限制,从而导致消费界信息平安方面作出的假设1.例如,一个用户可能能铭部署一个方法没有适当的身份验证。虽然管理和限制的抽象程度是困难的,类型资讯揭露的信息也可以产生负面影响平安性。抽象规定的数量和类型的信息揭露和公布。通过实现这点,再利用的潜力,下面探讨,的大化.D.服务重用服务指的是代码的可重用性,可用于更不是一个目的,并形成骨
9、干,为服务方向是建立5这是因为很难保证选用可重其运用的服务必需能适应各种环境;通用足以容纳不同类型的消费者;供应r一个服务合同,很有弹性,并允很多用户同时访问3。因此,再利用不能孤立地看待松散的耦合和抽象。通过限制和抽象服务之间的依轼关系他们的基本逻辑可以被重用为其他环境。对手例如,平安服务,供应审计日志可以这样做对于任何应用程序。代码可重用的服务是独立的单位,可适用于不同的平安上下文。这些服务展览自主行为,探讨下一步。大肠杆菌服务自主权服务是自治实力的服务,以维持一高层次的限制他们的基本业务逻辑实现31自治是特别适合的服务单独部署,尽管服务,其中的一部分一个组合,开展相互依存关系,自主降低1
10、。实现自主性的影响信息平安。它可能难以自主服务本质上相互信任。接口不说明是否在一个服务的行为可预料的方式.无国籍,探讨下步,可能会受到自主权。楼服务无国籍无国籍是指服务不跟踪交易或公话信息5。这种设计原则急味若国家包括平安方面的数据信息,是维持在一个消息的SoAP标头。因此,假如消费者接触到正确的函数集,正确的状态相关信息,平安上下文可发觉在SOAP标头。服务可发觉,探讨将来,确保消费者只能访问为他们预定的功能集.七,服务发觉实力服务可发觉意味着,服务元数据精确界定,明确记载,集中存储,便利,轻松地搜寻,并清晰理解1。一个服务合同,在注册表中存储,供应了一个界面,面对消费者。有信息平安影响考虑
11、,如暴露信息平安限制和对消费者的机制.数量的面对消费者的信息须要被限制“对消费者类型的不同,接口供只有消费者,不应透露。迄今为止设计原则探讨的全部支持服务组成3,探讨下一步。阁下服务组合服务组合是组装的服务功能,规模较小的单位组成的逻辑来解决更大的问题3.在全部其他设计原则的应用方式,影响服务组合。服务组合,服务合同必需有足够的敏捷性;服务必需是松散耦合;隐藏的组成细微环节有利;服务必需重更运用,高度自治的水平是必需的;状态信息保存在SoAP头和精确定义对发觉的目的元数据是有益的“因此,全部信息平安的影响等设计探讨原则,适用于服务组合。此外,不同的平安环境结合起来,以反映服务业务流程是困难的.
12、设计原则,对发展中国家产生负面影晌平安服务1。挑战,探讨下E网.三。SoA的信息平安挑战要充分利用与服务相关联的好处,方向,就必需运用SOA设计原则设计服务。除了传统的信息平安,必需仔细考虑考虑确保SoA信息平安,因为这些设计原则可以创建一个挑梭S0AW1139.从前面的探讨的挑成与设计相关的服务合同和各自的服务确定为:开发一个通用的服务合同,公开一个公开的接口界面,爱护和登记册;信息平安机制须要机可读,政策为基础和平台无关供应跨域平安服务的互动;的管理和信息平安限制假如服务是由其他部署机制信息平安与未知的领域要求;松散耦合的抽象程度和须耍进行管理和限制,以确保有足够的元数据量都包含在一个服务
13、合同;信息平安水平的要求和类型须要的内容,以确保特定的消息上下文必需确定;建立信息平安要求,是足够敬捷,针对不同状况下被重用关于国家平安的信息上下文可以审计;建立信任的组成部分;虽然个SoA有可能变更的方式其中应用软件的开发和部署,有信息平安的挑战,必需加以克服。了解这些挑战,能主动作出贡献开发个SOA的信息平安框架。该下一节评估当前信息平安传统的IT环境的做法和基于SoA的环境,对发展中国家建立这样一个基线一个框架。四。SoA的信息平安评价SC)A的信息平安SOA中扮演一个重要组成部分治理。图1说明白层治理须耍一个传统的IT环境和SOA环境。在图1中,一个SOA环境是一个扩展了传统的IT环境
14、中,传统的约束信息平安服务。不同于传统的环境,它有固定的边界,是平台独立和提出了一个奇异的平安上下文,服务跨边界部署的,是平台独立的,应对多种环境。为此,个额外的层SOA治理,如图1所示,是必要的.图1.传统的IT和SC)A环境因此,额外的信息平安限制必要的,因为出现的挑战。作为传统的IT创建个环境,信息平安基准,电流实践必需首先进行分析。在ISO/IEC27002:2005(10标准,是国际最佳实戕的支持IT治理是探讨下步。答:国际标准组织/符合IEC27002:2005标准信息平安是通过,除其他外,实施管制。大韦加和埃洛夫11证明对了ISo/IEC27002:2005标润12)的力气,当解
15、决了一套全面的信息平安限制的治理。这些控件成熟,完善传统的开发环境。它们供应了一个基线内发展信息平安组织。有关的限制在ISO/IEC27002:2005是传统的IT管制,因而也适用于一SOA环境.然而,这些方式限制是个SOA实施的不同的个传统的环境。服务的设计接受r原则,供应互操作性和故捷性,这传统的信息平安威逼的做法。为此,它有利于评估当前信息平安的SoA做法和SoA框架,其中信息平安是包括在内。二SC)A治理框架SOA治理定义的政策,并介绍r他们的执法机制来限制9,信息平安政策的基本市场的发展。有各种各样的框架,以实现SoA治理12)。一些框架集中,而其他具体方面供应了一个通用的方法来治理一个这样的框架是通用的SOA治理模型9,由一个限制周期SoA治理和SoA治理模式。控件,如一个卓越中心(CS