SOA 安全风险 

　　随着网络性能的不断提升，使软件供应商通过互联网来发布相关应用程序变得更加容易和便利，今后这些服务的数目和种类将会持续增多。但是，赛门铁克公司全球安全咨询部门近来提醒客户，第三方服务会带来安全上的风险。

　　赛门铁克咨询师SAMir Kapuria表示，互联网上服务模式的转变，带来了不同的安全应用问题和潜在的威胁。传统的应用都是在公司内部环境中，可以用传统的安全方式来解决，但是SOA(面向服务构架)已经在很大程度上改变了这一切。

　　Kapuria认为，因为引入了第三方应用来发布、管理和维护服务，服务提供者很容易成为攻击者的对象，所以服务商必须处于一个可靠的、不受侵扰的环境，这同时也是对客户义不容辞的责任。

　　服务提供商应该有控制安全的能力，应该同第三方提供者有更广泛的沟通。 Kapuria说，赛门铁克的主要客户正在使用某些应用服务，如CRM、ERP、人力资源或者统计软件，这些客户已经遇到很多方面的应用威胁和风险，这其中主要是通讯风险。在赛门铁克近期发布的互联网威胁报告中，新发现并得到确认的受攻击点中，大约有69%的已经影响到了网络应用。这种问题会越来越严重，因为用户使用公用计算机并接入网络服务的应用已经越来越普遍，例如联网的咖啡屋或者机场的免费上网服务。

　　公司应该如何评估一个第三方服务提供者呢?首先是确认公司有一系列严格执行的安全标准;其次，所提供的应用服务，要确认是作为基于网络服务而设计和发送，而不是怀有其他目的的PC应用程序;同时，这些服务也不应该有害于公司的检查机制，例如公司自己安全构架和外包的安全性检查。

　　一些面向中小企业的第三方服务也许没有如此严格的安全需要，所以服务提供商需要针对客户的行业模式来确定他们的安全需求和范围。Kapuria说:“用户认可第三方服务提供者，只要他们不会成为安全防范系统中最薄弱的一环。”