基于SOA的新体制可能在安全性方面带来与以往不同的新问题。但是，爱尔兰大型金融服务公司EBS营建协会的IT部门负责人David Yates认为：尽管如此，SOA仍有其引进价值。”笔者就该公司引进SOA的理由和实施进程，以及该公司在确保安全性方面所采取的措施等问题对David Yates进行了采访。

来源:中国服务外包网作者:Bill Brenner 张天晔/译

引进SOA的理由和确保安全性的有效途径

从安全性角度来看，SOA（Service Oriented Architecture）确实可以说是一种较难处理的体系架构。一般来说，由于引入SOA的系统在面对SQL注入及捕获答复、XML服务拒绝等攻击时比较脆弱，一但攻击者使用上述方法，保护企业数据库的防护墙”将可能被攻破。

但是，尽管如此爱尔兰大型金融服务公司EBS营建协会仍然引进了SOA。其理由在于，导入SOA之后将使短时期内进行商业程序的设计和修改变为可能。笔者就EBS营建协会如何实现高安全性的SOA系统问题，采访了该公司系统安全负责人David Yates.

——尽管在安全性方面存在担忧，您依旧判断应该引入SOA的理由是什么？

SOA中隐藏着成为商业战略中极为重要的体系架构的可能性。长远来看，正如甲骨文公司的「Oracle Fusion Middleware」以及IBM的组件化业务模型所显示出来的一样，构建应对不同业务机能、将各元件组合起来的系统”这样的SOA式想法将越来越受到重视。

此外，虽然金融应用正在日趋复杂化，但通过SOA实现企业间的实时链接，将面向进行企业间营销（B2B）客户的各种应用作为Web服务加以提供仍值得期待。

综上所述，对于面临加强对应Web服务的IT管理、服务管理、统筹安全性基础构造的我公司来说，我认为引入SOA具有重大意义。

——贵公司在考虑到安全性方面问题的基础上采用了怎样的实施进程？

基于SOA的原则，执行应用基础部分时，我公司主要分四个阶段进行。

首先，实施公司内系统的简单协同作业。在此阶段，实现了应用和规模不一的各种服务间的对等化通信。

接下来，进行公司内正式协同作业。在此阶段主要致力于解决分散应用等被无序连接的环境、路由应用、数据变换应用、多通道应用等产生的复杂问题以及成本方面的问题

之后实施的是同企业合作伙伴的系统协同。具体来说，是扩张基于SOA的应用基础设施建设，使之可以进行B2B服务的提供与利用。
最后完善的是商业视角来看的核心机能。在此阶段导入了商务计划指向的开发手法、具体Web服务的统筹机能以及商务计划的设计和管理机能。

——对于SOA系统产生的问题以及对应措施，贵公司得出了怎样的结论？

基于SOA的应用系统同以往的僵化应用系统有着根本的区别。构成应用系统的Web服务是动态的，在应用实行环境的基础上寻找适时必要的服务，与之协同动作。使用商务计划的开发手法，可以发挥Web服务的灵活性，实现商务计划设计与变更的高度灵活的应用系统。

但是，随着应用灵活性的提高，应用变更管理、服务管理和顺从性（compliance）等方面组织工作将可能面临重大的问题。例如、交易系统层面上的安全性确保将极为复杂，应谋求对可能出现的问题的迅捷化应对。

我公司得出的结论是：对于以上问题，将安全监察和管理工作同个别应用分离开来，引入网络基础建设将成为理想的解决办法。