您如何保护您的 Intranet Web 服务?在我们公司,我们一直在讨论保护我们的 Web 服务所需的安全级别。
- 消息加密
- HTTPS (TLS)
- 两个都?
制作高度安全的 Web 服务是否有用,因为它很难实现它们而没人使用?
您对我有任何经验或一些资源(链接/白皮书)吗?
谢谢你的帮助!
问问题
1928 次
1 回答
1
我可以保证 WS-Security 可能难以实现,但可以更好地控制消息周围的安全级别:
- 分别加密部分标题/正文
- 消息过期
- 数字签名
- 验证
- 对加密和签名算法的更多控制
但是,如果您正在查看内部 Web 服务,我会发现 SSL/TLS 更容易实现,但仍会提供强大的加密。如果要添加身份验证,可以使用服务器上的基本身份验证来完成。
我怀疑您是否需要同时使用 WSS 和 TLS,但其中一些信息安全人员会过来大喊深度防御,并说这是一个好主意,以防有人可以解密您的 HTTPS 会话。我曾经是那些人中的一员,可能是这么说的,但我一直在寻找理由来证明我老板的咨询费是合理的。
因此,这实际上取决于业务需求以及您正在查看的数据类型。
此外,我认为内部网络上的恶意人员可能会追踪您的数据源,而不是您传输中的数据。
一点个人经验:
我已经为政府网络服务实施了 WS-Security,但它们可以通过公共互联网。我为一家金融机构工作的内部服务通过 HTTPS 和基本身份验证满足审计要求。
干杯!
于 2010-12-30T18:44:14.930 回答