- 使用XML消息作为载体的有效负载或内容威胁。“这包括许多现有的Web应用攻击有效载荷、跨站点脚本、SQL注入、请求伪造等。”
- XML滥用和误用操纵XML协议本身。XPath注入是使用合法结构做坏事的一个例子,在本例中,XPath消息中使用跨站点脚本。通过注入特制的XPath,可以破坏XML文档和数据资源
- XML基础设施组件的XML结构操作。“解析器、解释器、处理引擎—有些是开源的,有些是封闭源代码的,它们通常是有针对性的。开发这些引擎时通常不会考虑安全性。”
- SOA基础设施攻击内容路由器、身份验证、安全断言标记语言引擎、证书颁发机构服务器和其他组件。“如果我可以[拒绝服务]一个组件,我就可以从事务的角度处理整个基础架构。”
移动性(和可移植性)层的安全性
SOA已经在像特拉华电气这样的公司中与移动设备交叉。例如,有了一个现场自动化应用程序,那里的工人可以从任何使用平板电脑的地方订购系统设计的材料。电气系统设计工程师利用这些设备,从激光测量GPS点到设计和铺设电线和仪表,无所不包。
该公司首席财务官加里·克里普斯(Gary Cripps)表示:“通过SOA,我们能够将平板电脑暴露于XML接口,并将数据推送到负责材料预订和供应的会计和业务平台。”。
田纳西州纳什维尔连锁酒店盖洛德酒店(Gaylord Hotels)的IT运营和安全执行董事马克•伯内特(Mark Burnette)表示,移动首先应该通过加密来处理。只要看看隐私权信息交换所(privacy Rights Clearinghouse)网站上公布的侵犯隐私事件的数量和类型,就会发现移动笔记本电脑仍将是一个主要的漏洞。他说,它们“存在巨大的风险敞口”。
作为合规工作的一部分,盖洛德酒店去年秋天部署了Credant技术“FIPS 140-2-经验证的完整数据加密2技术。有了它,该公司在其800台Windows笔记本电脑上加密了数据。
移动设备的保护——至少是笔记本电脑和黑莓--比虚拟化和SOA更成熟。该公司首席信息官Rob Israel表示,基于网络访问控制(NAC)的端点管理即将成熟,尤其如此约翰·C·林肯医院在凤凰城。去年,林肯医院允许浏览器通过他们的台式机、笔记本电脑、黑莓和其他pda访问800名临床医生和处理合作伙伴的患者图表、报告和文档。组织正在使用Lumension安全(与其他Lumension基于nac的应用和设备安全产品相结合)来管理更新。
加密还将与端点安全管理合并;例如,本月早些时候,赛门铁克将端点加密添加到其端点安全套件中。总的来说,Gartner估计端点安全平台在2009年将成为一个36亿美元的市场。
专家说,手机已经可以进入雇主的网络,接收电子邮件和其他功能。在Mercy Medical,技术团队正在研究统一短信服务,以便今年向其手机用户群推出。其目标是取代仅支持电子邮件的应用程序。
没有补丁,在虚拟网络上没有位置
在虚拟环境中,一个关键但经常被忽略的管理任务是如何将计算机从挂起或睡眠模式安全地提升。问题在于确保处于睡眠状态的机器在允许它们在虚拟网络上运行之前得到更新和修补。根据虚拟化管理提供程序的不同,处理方式也有所不同。
例如,作为其生命周期计划的一部分,Novell在受控的“仓库”中保持虚拟服务器的不同状态。系统可以配置为在挂起的虚拟机在虚拟网络上启动之前,通过补丁进程发送它们。
当与EDM服务台集成在一起时,Configuresoft的虚拟化企业配置管理器可以通知服务台重新激活,并在重新激活之前将机器快照与安全检查表进行比较。
Fortisphere正计划为来宾开发一个微内核驱动程序,它将能够告诉虚拟机上正在发生什么。这将包括哪些进程和连接是活动的。
-德布·拉德克里夫
顾问Janulaitis说,如果这些类型的应用程序被用户拥有的手机使用,它们将越来越难以保护。他预测,在未来几年,美国网络运营商将被迫将其网络与手机断开连接,并效仿美国以外的模式。“然后用户将通过蜂窝网络使用IP语音,无论他们在哪里旅行,都可以通过Wi-Fi热点接收。”雷竞技比分
哦,是的,让我们不要忘记这一层,Wi-Fi保护访问是Wi-Fi网络的主流加密和安全标准。
位于弗吉尼亚州里士满的零售商Circuit City的信息安全架构师史蒂夫·亚历山大(Steve Alexander)表示,零售商Circuit City使用Wi-Fi标准对门店网络进行分段,以此作为安全点。一个网络是销售助理,他们使用平板电脑仅访问公共网站并回答客户问题(他们不接受客户信息)。维修部门有自己的无线网络,尤其是必须保持独立,因为进入那里的计算机通常会感染某种类型的病毒。现在,收银机都是有线的。
亚历山大说:“这不是‘做这个,修那个’的问题,你是安全的。”。“它是跨您的基础架构在多个级别上的多个安全层的组合。”
拉德克利夫是一名自由撰稿人,报道计算机犯罪。你可以通过电话联系到她deb@radcliff.com.
<返回国家数据中心主页:安全!|下一个故事:四家虚拟化公司值得关注>
了解有关此主题的更多信息
SOA的10个最佳实践02/19/07
2008年重要的三项IT技术12/20/07
新的漏洞挫败了无线安全02/26/08