Web Services Framework (WSF)中的安全标准已经取得了显著的进展，越来越多的产品都支持WS-*安全架构的基础——Web Services Security (WS-S)。但Burton公司的高级分析师Diana Kelley认为仅有标准不代表我们已经解决了所有问题，组织仍然必须在这方面考虑很多。

　　自从安全问题被越来越多的关注，原先在Web服务和SOA部署阶段采用的安全标准被寄予了更多的厚望。但Kelley强调，标准只是安全策略的一部分。

　　她说:“我们很高兴看到安全问题在项目中考虑的更多，更早，但标准并不能做所有的事。公司必须在安全问题上更加用心。否则产品即使有丰富的安全性能，也没人愿意用。”

　　在她以前的报告"Web Services Security Standards 2006: Where Are We Now?"中，她回顾了由IBM和Microsoft在2002年首次提出的WSF安全协议栈的历史。今天，包含WS-S, Web Services Secure Exchange (WS-SX) and WS-Policy的标准在标准体系中有着不同的进展，其中WS-S走的最远。OASIS 在二月批准了WS-S 1.1版，而WS-SX和WS-Policy将在四月的World Wide Web Consortium (W3C)会议上提交给OASIS。

　　Kelley认为，WS-S提供了端到端的加密和消息安全的粒度控制。但是，她说尽管产品可以支持WS-S，但很多组织还没有实现这个级别的安全。她说，组织应该为保护SOAP消息传递使用HTTP认证、安全套接认证和SSL加密。

　　她说:“对于很多只是测试或做原型和规划的公司，很多都用简单的方法实现，即使用纯SSL和点到点安全。我们还没有发现复杂的WS-S和更简单的解决方案一样被广泛使用，但这种状况看来已经在改变，因为部署已经变复杂了。”

　　驱动力就是构建他们面向服务的架构，让它更令人满意，然后才增加其安全性。这种做法在IT部门非常普遍。即先编码，然后才考虑安全。在Web服务中这种做法并不多，但随着公司的部署，他们的安全性也越来越复杂。

　　尽管WS-S得到了关注， 但其它说明书还没有太大进展。包括三份扩展安全功能的WS-SX说明书，WS-Trust、WS-SecureConversation和WS-SecurityPolicy。根据Burton公司的报告，最终版本要到2007年6月才能发布。

　　Kelley 说，已经在W3C的手中WS-Polic更复杂更随意。它为描述和交换规则和策略方面信息提供了一个框架。但是，Kelley强调，企业依然需要确定自己的策略。

　　“这些标准可以把它们自己该做的事做好，但我们需要理解它们做的事。WS-Policy和WS-SecurityPolicy并非说明要遵守的策略，它们不会说明这是正确，那是错误的。”Kelley说。

　　她说:“当我们考虑组织内的策略时，我们总在围绕数据考虑粒度控制，问一些类似密钥得多长之类的问题。?WS-Policy 和 WS-SecurityPolicy被认为是一种表述和共享这种信息的方法。而最终策略决策依赖于组织自身实现的Web服务。”

　　待发布的说明书

　　两份安全说明书WS-Authorization 和 WS-Privacy还没有发布，Kelley说它们有可能停滞下来。WS-Federation用于跨信任域的身份认证、验证和授权共享，并不是一个标准。但是，她说:“有的人觉得Federation很重要，而有的人则觉得它会被淘汰。它已经被用在Microsoft Active Directory中，所以我觉得它不会被淘汰。”

　　Kelley说，Web服务安全说明书已经取得重大进展，但她希望组织意识到这些说明书还是崭新的，还在工作中，所以不要期待所有问题都已解决。

　　SOA安全的核心是整个应用安全的核心的一部分。Kelly说:“不管是Web应用还是一部分SOA，应用理解和数据保护和管理都变得更加关键，可见性也更高。”SOA会变得混杂，会出现访问后台数据的一层，你必须确保这种访问是非常安全的。

　　她说，只实现WS-S和相关安全说明书是不够的。组织依然需要分层的安全。这不意味着当你把安全加入到SOA后，就可以不管周边的防火墙。你依然需要担心宿主的安全性。只使用标准或产品来实现标准并不能为你决定所有的安全问题。