基于SOA的新體制可能在安全性方面帶來與以往不同的新問題。但是，愛爾蘭大型金融服務公司EBS營建協會的IT部門負責人David Yates認為：盡管如此，SOA仍有其引進價值。”筆者就該公司引進SOA的理由和實施進程，以及該公司在確保安全性方面所采取的措施等問題對David Yates進行了采訪。

來源:中國服務外包網作者:Bill Brenner 張天曄/譯

引進SOA的理由和確保安全性的有效途徑

從安全性角度來看，SOA（Service Oriented Architecture）確實可以說是一種較難處理的體系架構。一般來說，由于引入SOA的系統在面對SQL注入及捕獲答復、XML服務拒絕等攻擊時比較脆弱，一但攻擊者使用上述方法，保護企業數據庫的防護墻”將可能被攻破。

但是，盡管如此愛爾蘭大型金融服務公司EBS營建協會仍然引進了SOA。其理由在于，導入SOA之后將使短時期內進行商業程序的設計和修改變為可能。筆者就EBS營建協會如何實現高安全性的SOA系統問題，采訪了該公司系統安全負責人David Yates.

——盡管在安全性方面存在擔憂，您依舊判斷應該引入SOA的理由是什么？

SOA中隱藏著成為商業戰略中極為重要的體系架構的可能性。長遠來看，正如甲骨文公司的「Oracle Fusion Middleware」以及IBM的組件化業務模型所顯示出來的一樣，構建應對不同業務機能、將各元件組合起來的系統”這樣的SOA式想法將越來越受到重視。

此外，雖然金融應用正在日趨復雜化，但通過SOA實現企業間的實時鏈接，將面向進行企業間營銷（B2B）客戶的各種應用作為Web服務加以提供仍值得期待。

綜上所述，對于面臨加強對應Web服務的IT管理、服務管理、統籌安全性基礎構造的我公司來說，我認為引入SOA具有重大意義。

——貴公司在考慮到安全性方面問題的基礎上采用了怎樣的實施進程？

基于SOA的原則，執行應用基礎部分時，我公司主要分四個階段進行。

首先，實施公司內系統的簡單協同作業。在此階段，實現了應用和規模不一的各種服務間的對等化通信。

接下來，進行公司內正式協同作業。在此階段主要致力于解決分散應用等被無序連接的環境、路由應用、數據變換應用、多通道應用等產生的復雜問題以及成本方面的問題

之后實施的是同企業合作伙伴的系統協同。具體來說，是擴張基于SOA的應用基礎設施建設，使之可以進行B2B服務的提供與利用。
最后完善的是商業視角來看的核心機能。在此階段導入了商務計劃指向的開發手法、具體Web服務的統籌機能以及商務計劃的設計和管理機能。

——對于SOA系統產生的問題以及對應措施，貴公司得出了怎樣的結論？

基于SOA的應用系統同以往的僵化應用系統有著根本的區別。構成應用系統的Web服務是動態的，在應用實行環境的基礎上尋找適時必要的服務，與之協同動作。使用商務計劃的開發手法，可以發揮Web服務的靈活性，實現商務計劃設計與變更的高度靈活的應用系統。

但是，隨著應用靈活性的提高，應用變更管理、服務管理和順從性（compliance）等方面組織工作將可能面臨重大的問題。例如、交易系統層面上的安全性確保將極為復雜，應謀求對可能出現的問題的迅捷化應對。

我公司得出的結論是：對于以上問題，將安全監察和管理工作同個別應用分離開來，引入網絡基礎建設將成為理想的解決辦法。