您所在的位置： 首页 全球要闻 国内要闻	来源:ZDNet China 日期: 2004-04-01
XML安全威胁日益增长 网络服务安全规范将出
ZDNet China3月30日报道：创建一种广泛使用的计算方式总是要带来一个大家都很熟悉的尴尬问题：安全漏洞，当然网络服务也不例外。 　　分析家声称，可扩展标识语言（ExtensibleMarkupLanguage，XML）和以XML为基础的网络服务协议，如今成为商业用户交换企业信息的通用方式。但是当这些技术被广泛采用时，这些公司还没有充分认识到相关的安全漏洞问题，而且绝大多数问题还没有被主流网络保护系统解决。 　　市场调研机构Gartner的安全分析家JohnPescatore声称：“我们相信XML将引入一些新的安全危险，而且还会导致旧的安全问题重新出现。安全人士必须理解网络服务的基本结构体系。” 　　商业用户一般使用网络服务连接企业内部的应用程序，以及与知名商业合作伙伴的网络进行信息共享。由于这些应用程序是在相互信任的合作伙伴之间使用的，所以安全威胁的程度就被削减了。 　　Gartner分析家BenoitLheureux声称，然而，一旦企业用户开始在更大范围内使用网络服务和XML时，他们就必须要重新评估企业内部数据的曝光度。由于商家到商家的应用程序暴露了很有价值的企业信息，所以通过攻击网络服务界面而渗透到企业网络中，就要比简单的攻击一个网站更具破坏性。 　　包括网络防火墙或杀毒软件在内的安全产品能把不受欢迎的入侵者堵截在企业网络之外，或者能防止毁坏计算机的攻击。通过XML文件传输信息的应用程序使用了与传统安全产品相同的互联网协议。 　　但是由于XML信息被包裹在防火墙跟踪的IP“信封”中，企业网络只能检查信封而不能查看信的内容。于是具有欺骗性的XML信息就能进入企业网络中，而不被发现。 　　Heffner指出，摧毁一个网络服务器的通用技术就是对服务器发送大量请求的分布阻断式攻击。恶意的黑客也能也伪造XML文件内容来摧毁一个系统。 　　日益增长的威胁 　　在商业网络中XML使用率的提高为黑客提供了更多的进攻目标，就像发生在网络服务器和微软Exchange服务器那样。虽然一些XML网络的安全问题仍然只是理论上存在的，但是安全漏洞已经被察觉出来。 　　幸运的是，对于企业安全专家来讲，黑客还没有开始热衷于攻击XML和网络服务，而且需要相当高的技术水平才能发起恶意攻击。 　　ChrisDarby是XML网络公司Sarvege的首席执行官，曾担任安全公司@stake的首席执行官。他声称：“那些在地下室穿着黑色体恤衫的毛头小孩是不可能攻击XML的，必须具有足够计算机知识的人才能做到。所以如果存在恶意攻击的话，那不会是很复杂的。” 　　作为过去几年成立的解决XML安全和性能公司之一的Sarvega，本月初推出了名为GuardianSecurity的新款产品。 　　象Sarvega XML GuardianSecurityGateway那样的安全网关能卸载其他网络设备或者硬件服务器处理的安全任务。它们对XML文件进行加密处理，强制执行安全条例，为跟踪潜在黑客制定网络行为的日志。 　　整合的欲望 　　IDC的一位分析家AbnerGermanow声称，最终XML网络功能将被整合到相关设备中。这些产品来自网络基础设施公司，比如思科和JuniperNeworks。他预计专业化的XML小型公司将被大型公司收购。 　　网络服务标准小组也在关注安全问题。批准网络访问的网络服务安全规范正获得结构信息标准化促进组织（Organizationforthe Advancement of StructuredInformationStandards）的最后批准。另外，网络服务互用性组织正在计划为实现多种XML安全标准提供最初的指导方针。 　　分析家预计这些标准将使得网络服务应用程序更能为企业用户所使用，但是许多相互依赖标准的复杂性也将产生更多的安全漏洞。 　　分析家声称，那些热衷于XML和网络服务的企业应该研究专门的产品，提高安全技能以便更好的理解危险度。 　　Gartner的Pescatore声称，随着XML变得更加普遍，许多企业将面临比他们所知道的更多安全危险。象微软Office2003或者甲骨文软件在内的许多应用程序包，将更广泛的使用网络服务。
关键词:

上一页 [ 1 2 3 4 5] 下一页