| 出版日期:2004-4-19 总期号:564 本年期号:14 |
|
 |
安全问题,头疼不已
——XML安全问题无从回避 程士寅 威胁与日俱增 但凡创建一种新的广泛应用的计算方式,都避免不了一个如影随形的尴尬问题——安全漏洞,网络服务当然也不例外。可扩展标记语言(XML)和以XML为基础的网络服务协议,正日益成为企业用户通过网络传递信息的通用格式。但就在这些网络服务技术得到广泛应用的同时,与之相关的安全性问题却没有得到足够的重视。“许多XML的安全性问题目前还很难通过常用的网络安全防护系统解决”,分析家不止一次地这样警告。 著名IT咨询公司 Gartner的安全分析家John Pescatore曾发表声明:“XML除了将导致一些新的安全危机外,还会引发旧的安全问题重新出现。因此,合格的网络安全人士必须充分掌握网络服务的基本架构体系,熟稔漏洞所在。” 企业风险更大 针对XML和网络服务进行恶意攻击的威胁无疑是存在的,但之所以未酿大祸,是因为当前企业用户多是通过Web Service平台连接企业内部的应用程序,或是和可靠的商业合作伙伴的企业网络进行信息共享。这种半封闭的环境使得安全威胁大大减轻。然而,一旦企业用户开始在更大范围内应用网络服务和XML,他们就必须重新评估企业内部数据的曝光度。“B2B的应用服务时刻包含了许多有价值的商业信息,通过攻击网络服务界面来侵入企业网络,将比简单地攻击一个网站破坏性大得多”,分析师Benoit Lheureux做出的以上结论同样是基于Gartner长时间的深入分析。 典型的安全产品,比如网络防火墙和杀毒软件,设计的出发点都是通过网络监控将非法入侵拒之门外。通过XML文档传递信息的网络应用服务使用的同样是能被网络安全产品监控、过滤的网络传输协议;但由于XML信息都被打包在IP数据包中,企业网防火墙(封包过滤型)通常只是对数据包进行跟踪,只检查其标头,而非封包中的各个层次,所以具有欺骗性的XML信息就能够进入企业网络中而不被发现。 Forrester的分析师Randy Heffner曾指出,“与其它网络攻击相比,针对XML的攻击将更加阴险。假手网络服务架构及XML文件内容本身就可以摧毁整个系统,比如对服务器发送大量请求的分布阻断式攻击。”类似这样的新攻击手段对于丝毫没有准备的许多企业来说,一旦发生,面对的可能将是灭顶之灾。 兵来将挡 水来土掩 在企业网络中,XML使用率的提高将为黑客们提供更多的进攻目标。就像屡屡被发现于Web服务器和微软Exchange服务器上的那些漏洞一样,虽然一些XML的安全问题仍然还只是基于理论,但漏洞已暴露无遗——著名安全网站SecurityFocus的一份报告中就假设过一例典型的XML攻击。目前对于企业安全专家来说,万幸的是黑客尚未热衷于攻击XML和网络服务——因为要进行这样的恶意攻击需要极为高超的技术水平。 “要想攻击XML没那么容易,起码得有计算机专业的学历基础;如果目前存在什么恶意攻击的话,手法也还谈不上神出鬼没。”胸有成竹的Chris Darby是XML网络公司Sarvege的首席执行官,他还曾担任安全公司@stake的首席执行官。Sarvege是一家专门解决XML安全和性能问题的公司,3月初它们刚刚推出了名为Guardian Security的新产品。 Guardian Security网关可以负担原本由其他网络设备或服务器处理的安全任务,它可以对XML文件进行加密处理,强制执行安全条例,为跟踪潜在的黑客制定网络行为日志。提供类似产品的还有从事网络安全产品研发的DataPower科技、Forum系统等多家企业。Guardian Security网关这类产品与常规防火墙相比,最大的特点是能够对SOAP信息进行过滤。 小知识 SOAP(Simple Object Access Protocol ):简单对象访问协议,是在分散或分布式的环境中交换信息的基于XML的简单协议,它包括四个部分:SOAP封装envelop,封装定义了一个描述信息中的内容是什么、是谁发送的、谁应当接受并处理它以及如何处理它们的框架;SOAP编码规则(encoding rules),用于表示应用程序需要使用的数据类型的实例;SOAP RPC表示RPC representation,表示远程过程调用和应答的协定;SOAP绑定(binding),使用底层协议交换信息。 IDC的一位分析师Abner Germanow声称,在市场的驱动下,针对XML的网络安全功能最终都将被整合到一些专业设备中,而能提供这样产品的也只能是那些霸主地位的网络基础设施制造商,比如思科和Juniper网络。像Sarvege和DataPower这样一时以专业技术见长的小公司,被行业巨头并购在所难免。 网络服务标准化小组同样在关注XML的安全问题。针对网络访问认证的的网络服务安全规范正提交给结构信息标准化促进组织(Organization for the Advancement of Structured Information Standards)做最后的审批。另外,网络服务协同性组织也正计划为实现多种XML安全标准提供最初的指导方针。 分析家们预计这些制定中的标准将使得网络服务应用程序能更方便地为企业所用,但这许多相互依赖的标准之间的复杂性也将产生更多的安全漏洞。 执相同观点的还包括XML的发明者之一,Sun微系统的Tim Bray。 随着XML应用得更加普遍,许多企业都将面对前所未闻的安全威胁——微软Office 2003和Oracle的管理软件,客观上都在推广网络服务的应用。因此,分析家们也都认为:那些热衷于应用XML和网络服务的企业应该时刻关注专门的网络安全产品,提升自身的安全意识和水平,清楚地认识到随时可能面对的危险。 
图1 Web Service工作流程图 
图2 XML工作原理图 |
||||||||||||||||||||||
