ГОСТ Р ИСО ТО 13569-2007; Страница 48

или поделиться

Ещё ГОСТы из 41757, используйте поиск в верху страницы

ГОСТ Р 52992-2008 Колбасы полукопченые для детского питания. Технические условия Semi-smoked sausages for children's nutrition. Specifications (Настоящий стандарт распространяется на полукопченые колбасы, предназначенные для питания детей старше шести лет) ГОСТ Р 52958-2008 Шкурки меховые и овчины выделанные. Правила приемки, методы отбора образцов и подготовка их для контроля Dressed fur and sheеpskins. Rules of acceptance, methods of sampling and their preparation for control (Настоящий стандарт распространяется на выделанные меховые шкурки, овчины и меховые изделия и устанавливает правила приемки, методы отбора образцов для механических и физико-химических испытаний и подготовку их для контроля) ГОСТ Р ИСО 13397-4-2008 Стоматологические кюретки, инструменты для снятия зубных отложений и экскаваторы. Часть 4. Стоматологические экскаваторы – дисковидный тип. Конструкция и размеры. Методы испытаний Dental curettes, scalers and excavators. Part 4. Dental excavators - discoid type. Construction and sizes. Test methods (Настоящий стандарт устанавливает размеры для стоматологических экскаваторов с дисковидными рабочими частями)

Страница 48

Страница 1

Untitled document

ГОСТ Р ИСО ТО 13569 —2007

Приложение В

(справочное)

Пример анализа безопасности веб-сервисов

В.1 Методические подходы к анализу безопасности

В.1.1 Обзор

Подобно политикам, которые могут быть высокоуровневыми или крайне детализированными, анализ рис

ка может быть осуществлен с различными степенями детализации. В настоящем подпункте предоставлено об

суждение высоких уровней веб-сервисов, новой технологии, которая имеет значение для многих компаний,

предоставляющих финансовые услуги, и других компаний, использующих Интернет для бизнеса. Данный пример

анализа является иллюстративным и не должен рассматриваться в качестве конкретной рекомендации для

обеспечения безопасности. Как отмечается на протяжении всего данного примера, каждая организация должна

составить свое собственное определение риска и безопасности на основе своих конкретных политик и потребно

стей бизнеса.

Веб-сервисы являются общим термином для международных стандартов, сформированных на базе языка

XML. которые позволяют компьютерам обмениваться данными и выполнять бизнес-функции и операции через

Интернет. Основные функции веб-сервисов позволяют создавать информационные услуги доступа к другим

компьютерам, чем визуально, через браузеры. Веб-сервисы являются достаточно мощными и способны обеспе

чивать взаимодействие внутри систем, подразделений и компаний.

Основными компонентами веб-сервисов являются:

- сервер приложений, где размещается сервис (т. е. где функционирует ПО сервера):

- интерфейс сервиса (часто описываемый на языке веб-сервисов. WSDL);

- хранилище данных или справочник с описанием интерфейса на WSDL. чтобы клиенты веб-сервисов могли

найти (и использовать) интерфейс;

- клиент веб-сервиса, желающий использовать веб-сервис;

- протокол связи (простой протокол доступа к объектам, то есть SOAP), позволяющий клиенту веб-сервиса

общаться с сервисом.

Существует большое число «определений* того, что составляет веб-сервис, но обычно общепринятым оп

ределением является информационная услуга, раскрывающая информацию через SOAP стандарта W3C [20].

Клиент интерфейса SOAP должен знать, как получить доступ к этим информационным услугам. Данный доступ

гложет описываться в формате другого стандарта W3C. языка описания веб-сервисов (WSDL). Создатели серви

сов на базе SOAP публикуют файлы WSDL.

В.1.2 Безопасность веб-сервисов

При обеспечении безопасности веб-сервисов необходимо рассматривать сервер приложений, поддержи

вающий сервис, описание сервиса, хранилище сервиса, клиента, использующего сервис, и протокол связи. Раз

личными поставщиками была разработана структура безопасности веб-сервисов и ряд спецификаций. Кроме

того, можно использовать универсальное решение проблемы веб-безопасности. SSL для обеспечения частич

ной безопасности веб-сервисов. В настоящем подпункте обсуждаются дополнительные подробности обеспече

ния безопасности веб-сервисов.

В.1.3 Стандарты безопасности

Файлы SOAP и WSDL представляют собой описание процедур обмена сообщениями и предоставления

услуг соответственно, которые должны быть защищены для каждой из бизнес-услуг, в которой они используются.

Однако в настоящее время они не являются совершенным средством обеспечения целостности данных, аутенти

фикации источника или услуг обеспечения конфиденциальности для приложений ееб-сервисое. Ожидается появ

ление новых требований, а файл SOAP имеет структуру расширения, предусматривающую добавление элементов

безопасности и протоколов в стандартизованном виде. Ниже приведен обзор некоторых стандартов безопасно

сти. связанных с ввб-сврвисами.

Язык разметки систем гарантированной безопасности (SAML) определяет основанную на языке XML струк

туру обмена информацией по обеспечению безопасности, выраженной в виде утверждений в отношении логичес

кой единицы, имеющей тождество в некотором домене безопасности. Эти утверждения передаются в сообщени ях

запроса и ответных сообщениях на SAML. Обмен информацией по обеспечению безопасности происходит 8

форме утверждений на SAf.1L. в которых могут передаваться подробности о предыдущих событиях аутентифика

ции. атрибутах человеческих или компьютерных субьектов и решениях о санкционировании, разрешающих или

запрещающих субьекту доступ к компьютерным ресурсам. Развитие SAML тщательно контролируется промыш

ленностью, так как в перспективе он может стать стандартным средством передачи регистрационной информа

ции для веб-сервисов, основанных на SOAP. В настоящее время у SAML существует описание SOAP.

Безопасность веб-сервисов представляет собой предлагаемую совокупность расширений SOAP, благодаря

которой для операций веб-сервисов обеспечивается целостность и конфиденциальность. Целью безопасности