当混合云计算、大数据解决方案、移动平台及开源工具这样的新技术在工作环境中变得司空见惯时,IT专业人士必须为维护系统的安全性而继续努力。随着组织添加了越来越多的应用程序、服务、数据以及日益增长的互联网领域的其他资源。
当混合云计算、大数据解决方案、移动平台及开源工具这样的新技术在工作环境中变得司空见惯时,IT专业人士必须为维护系统的安全性而继续努力。随着组织添加了越来越多的应用程序、服务、数据以及日益增长的互联网领域的其他资源,IT部门发现自己已经无法准确地控制所负责的系统。如果未能强制执行,那么简单的治理规则是不足以保证数据的安全性。解决方案最开始在架构和应用中正确地建立安全系统,并保证一开始就能恰当地运行。这就意味着,不仅仅是基于网络的界面存在安全风险,移动设备和桌面应用也需要安全保护。
容易出现问题
移动化已经造成了设计人员未预测到的安全问题。《Oracle SOA SuITe 11g Performance Cookbook》的联合作者、C2B2咨询师Matt Brasier指出带来安全高风险的两个因素。首先,应用程序变得更易于编写,因此黑客更易入侵。其次,组织在消费者服务方面控制较少。Brasier说:“今后你们要格外注意架构及应用程序的编程和设计工作。即使没有通过网络服务发布过一种应用程序,但是如果即将发布的信息已经在网络上公开,那么也存在安全风险。有人会编写一个应用程序,然后盗取HTML并提取其中的数据。”此外,你不可能控制移动接口,因为接口可能是第三方组件。这就意味着你必须在这些资源中建立安全保护,对这些资源进行控制。
少数企业对此有谨慎心理
Decompiling Android的作者Godfrey Nolan说,公司主要研究展示如何轻易地打开Android APK。目前存在许多反编译工具,任何人都可以参与到编译工作中。这些工具可以轻松反向设计APK,并利用以简单纯文本形式存储的信息,这些信息可能包含敏感数据如登录名和密码,以至于严重破坏企业组织后端服务。Nolan说:“我们的团队已经下载并测试了大约100个应用程序。其中只有一个得到了适当的保护及安全编码。”Nolan建议使用如HoseDex2Jar这样的工具来建立一个反编译屏障。将这段增强型代码嵌入到程序中,可以降低反编译工具的有效性。
用户需要提高警惕
Ann Thomas Manes是高德纳公司著名的分析师,他说,首席安全官的工作内容是在产品的设计、开发或者运行阶段确保不忽略新的非功能性安全需求。“首先,你需要确定什么类型的数据是属于敏感数据。其中一些数据可以通过设备获得,而且不需要承担太多风险。需要安全性保障的数据也许有必要进行封装,防止其易于暴露。不要拖延移动性,但是确实要考虑一下如何调整你的架构策略。”物理层面、管理层面以及技术层面的解决方案在防护设计中一起发挥作用。
移动创建开放终端游戏
谈到非功能性需求,移动不仅仅影响企业如何处理安全性问题,同样也影响了性能和可用性。Matt Brasier强调移动的激增正影响着应用程序的非功能性需求,例如安全和性能,从而影响到产品的设计。他说,至少应该改变SOA设计,并将其用于移动开发中。他哀叹道,实际上,太多的企业都未关注过移动开发所引起的这类问题。不是每个人都将移动放在首位。Brasier说:“这类人将移动开发放在最末位,并不是正确的方法。”让你改变观点的唯一方法就是突然中断服务,例如当用户放弃使用或者在完成之前就终止交易。这种事情在桌面访问中是很少发生的。有了移动化,这种事情就变得很常见,并且对服务供给如何设计有明确影响。
最后的结果是用户可以与SOA直接互动,这种方式是5年、10年或者甚至15年前都未曾想过的。IT专业人士必须继续用心工作,以正确的方式确保组织数据的安全性以及组织的基于SOA的体系结构的完整性。
网友评论