SOA为什么与现有的应用架构有如此大的不同呢?整体来说，在一个简单的两三层网络应用软件环境中，你能清楚的知道哪一个是消费型数据，以及他们是否有权限来操作。但如果你在这些数据源上建立一个Web服务界面，那么所有的联系都变得松散了。这样一来，任何地方的任何应用程序都能对这些数据提出疑义。

　　如果发展的好，认证和权限控制的类型将极大的增加，要使用这些数据源，你将需要申请。 反过来说，如果情况不好的话，需要预备和管理的数据消费者将呈指数增加。SOA对应用程序安全产生的改变的重要性并不亚于其给应用架构带来的改变。对于任何应用程序来说，保护信息访问的安全都是最基本的要求。由于按 SOA 原则而构造实现的服务、应用程序以及跨组织操作所具有的松耦合特性，这种环境往往更加容易暴露现有安全实现的弱点或局限性，因此缺乏良好的编程模型将严重威胁Web服务的安全。

　　在网络发展初期，大的网站都倾向于在为自己的网络应用建立自己的认证和权限技术。一度，这种做法运转得很好，也提供了基本得保护。但不久之后，企业就开始实施独立得WAM产品。目前，WAM已经成为了大规模网站架构中认可的一部分。网络服务最常见的安全隐患大概就是信息泄露和欺诈，如果你和你的合作伙伴之间交易的敏感信息被竞争对手获得，如果有人在网络上以你的名义向你的供应商发送订单，如果来自合作伙伴的发货请求被人篡改，等等，所有这些都是商业活动中不希望发生的。当然，也不用为此因噎废食，企业级SOA在一开始就应当考虑信息安全保证，在技术手段方面有各种有效的防范措施可选用。

　　安全职能的集中管理才是关键之所在。企业需要“采取政策驱动的执行模式，允许安全部门实际决定受保护内容、保护方式并对这些安全措施尽可能具体化”。核心安全问题是很困难的，而实际安全管理执行则显得难上加难。因为安全威胁和条件是经常变化的。许多新的攻击类型已被确定，也有新的规则实施，然后你又产生新的公司政策。又可能是因为你使用了新的基础架构，想确保它使用新来源的识别信息。任何一种安全标准或所支持的标准总数，都不足以评估SOA或Web服务平台的效能。因此，对安全标准的支持并不就意味着安全。在许多情况下，安全标准只是定义了让各种服务模式能彼此互操作的框架，实际上它并不等于任何一种特殊服务模式都能良好运行。许多的SOA网络安全策略和许多的基于Web的应用程序是采用相同的策略的，他们采用的方式都可以归结为创建一个虚拟局域网(virtual private network)来排除服务器和客户端的交互，使用数字证书来建立SSL(secure socket layer)保护或者HTTPS，或者通过在软件或者硬件上部署防火墙基础架构来检测通过SOA进来的可疑请求。

　　现在的担心是，人们不会去等候解决方案，或者不会尝试的去正确的使用它，从而增加了安全暴露，就会带来安全缺陷。因为SOA非常强大，而且可以被用来轻松的利用外部程序和其他外部可信任伙伴的程序，这种缺陷可能会变得非常大。企业需要谨慎的制定安全策略，加上对用户的安全意识和培训，再辅以合适的技术，来将所面临的危险降到最小。

　　但如果你在这些数据源上建立一个Web服务界面，那么所有的联系都变得松散了。如果发展的好，认证和权限控制的类型将极大的增加，要使用这些数据源，你将需要申请。SOA平台：为一套SOA应用软件提供管理功能，不仅如此，还在认证和权限方面提供一些简单的安全功能。