随着金融公司对面向服务架构（SOA）的兴趣不断增加，他们对于SOA安全问题的关注也在不断增加。SOA正处于金融业务IT服务的尖端——它能够将完全不同的系统结合到一个服务里——从安全角度来说这也是一个缺点。

　　SOA定义

　　SOA是将业务流程封装为服务的应用架构。和以往联网的分布式的系统不同，其通信和特定的平台和技术没有必然的联系，SOA与平台相独立。

　　SOA包含的描述语言将操作系统和程序设计语言松散地联系在一起。描述语言定义了系统中服务之间沟通并传递数据的方式。

　　人们经常把SOA和Web服务作比较，因为Web服务也将不同的系统，平台、应用联系在了一起。尽管SOA使用了一些和Web服务一样的技术，比如可扩展标记语言（XML）和简单对象访问协议（SOAP），但是SOA和任何平台和通信协议都是相独立的，并不一定要像Web服务那样以网络为基础。

　　SOA安全性

　　我们应该从三个层面考虑SOA安全性

　　第一个层面：保证SOA系统组件的安全

　　对于服务器和工作站安全来说有四个一般性规则：完善的存取控制，最新的补丁、防恶意软件保护以及防火墙保护。所有的规则都很重要，并且不同程度的应用于不同系统类型。例如对主机系统来说主要是关注存取控制，而对于分布式系统来说除了存取控制以外还要关注恶意软件以及防火墙的保护。

　　但是，对于所有系统来说，都要保证补丁随时更新。

　　第二个层面：管理系统用户身份的一致性

　　这个层面也是SOA遇到的最困难也是最基础的问题。要想一个SOA系统运转顺利，每个用户都必须验证到一个组件，同时验证并和该系统的其他组件沟通。SOA系统的每个组件都需要验证并拥有自己的用户。

　　乍一看，使用主机单一式登录（SSO）似乎将所有的用户联系在了一起。但是，由于SOA有基础技术和服务的服务层，并且这些基础技术和系统凌驾于所有组件之上，SSO并不会产生作用。

　　因为用户可以在不同的时间访问不同的系统，SOA系统——不是单个组件——必须能够保存用户的身份。要做到这一点，SOA采用了在业务系统和流程中能够复制验证身份的身份传播。这其中就引进了联邦数据管理。联邦数据管理基于系统和服务之间人们普遍认可的验证标准。

　　除了SSO准许验证到多个系统以外，联邦数据管理和SSO极为相似，联邦数据管理也准许这样的验证，不过是多个企业中的跨系统验证。SOA不止是关于在一个企业使用服务，而是关于在不同的公司之间交换业务服务，例如供应商和合伙人。

　　除了SOA使用的联邦数据管理，人们认可的标准还包括安全断言标记语言(SAML)和WS-联邦语言。这些语言用XML来交换验证和SOA系统的授权。这些语言使用不同的系统交换SOA中的验证信息，包括对话密码、标记和Kerberos标签以及书数字证书。

　　这些标准原则上是供应商中立的，并准许系统之间验证的互操作。但是这些标准的发展水平和供应商的接受程度不尽相同。

　　第三个层面：确保相同组件间的联系

　　这不仅要确保由SAML和WS-Federation建立的统一验证证书的安全，还有确保系统间数据的安全。既然XML在这些标准中的地位举足轻重，保证XML传送安全在SOA安全中也非常重要。XML传送的安全包括两个部分：基础设施安全和加密。

　　加密包括对SOA系统使用的XML文件进行加密。XML文件数字签字和加密有两个World Wide Web Consortium规范：XML-加密和XML-签名。对于在HTTP连接之上发送的XML文件，应该使用SSL保护文件传送的安全。

　　为了保证基础设施安全，硬件防火墙、安全设备都可以被用来保护网络内部和外部的通信。这些都是SOA系统所必备的。但是需要配置这些硬件防火墙和安全设备以便保证XML信息在入口和网络界限之间能正常工作。这些XML信息包括数字签署的或者拥有其它安全标记的信息。

　　从很多层面上讲，SOA安全性是一个极为复杂的话题-----应用，硬件、标准、和身份管理。但是，这篇文章简要介绍了保障SOA系统安全的基本思想。