ГОСТ Р ИСО ТО 13569— 2007
веб-сервисов является обеспечение целостности и конфиденциальности посредством распространения марке
ров доступа, целостности и конфиденциальности сообщений. Предлагаемая компаниями Microsoft и IBM безо
пасность веб-сервисов и ответственность перешла к OASIS (организации по продвижению стандартов для струк
турированной информации).
Шифрование на языке XML является спецификацией W3C в формате передачи информации на языке XML
методом стандартного шифрования. Шифрование на XML дает возможность шифровать и дешифровать цифро вое
содержание, включая в себя сам документ на языке XML на элементном, а не атрибутивном уровне. Специфи кация
также позволяет осуществлять безопасную передачу информации о ключе для дешифрования содержания
документа на XML получателем.
Подпись на языке XML является проектом рекомендации объединенной группы IETF (проблемной группы
проектирования Интернет) и W3C по представлению информации о цифровой подписи в документах на языке
XML. Подписи на языке XML обеспечивают целостность, аутентификацию сообщения и/или услуги по аутентифика
ции подписавшего лица для данных любого типа, расположенных в XML. включающем в себя подпись, или в
другом месте. Подпись на языке XML является основным стандартом, на который дается ссыпка в других стандар
тах безопасности, включая шифрование на языке XML, SAML и WS-Security.
Liberty Alliance Project является промышленным консорциумом, возглавляемым крупными фирмами, пред
назначенным для совместного открытого использования технологий интегрированной идентичности. Интегриро
ванная идентичность позволяет потребителю использовать отдельную признанную идентичность во многих орга
низациях. Этот потребитель может использовать ту же доверенную информацию об идентичности в группе раз
личных организаций, и этому потребителю не надо представлять новую идентичность, мандаты идентификации
собственности.
Распределение ключей на XML — это спецификация протокола W3C для описания и регистрации открытых
ключей, которая может использоваться со спецификациями подписи и шифрования на XML. Распределение
ключей на Xf.1L является версией спецификации 2. Инструментальные средства для распределения ключей име
ются у различных поставщиков.
В.2 Стандарты веб-сервисов
В.2.1 Обзор
Стандарты для веб-сервисов постоянно совершенствуются. Тремя главными процедурами, дополняющими
основные стандарты операций SOAP, являются: обнаружение сервисов, обеспечение безопасности и бизнес-
процесс. Основным стандартом поиска сервисов служит UDDI (универсальная система предметного описания и
интеграции), описывающая, как центральное хранилище файлов WSDL в открытом или частном исполнении
позволяет пользователям находить и активизировать сервисы. Существует большое число используемых стан
дартов безопасности для обеспечения услуг по определению подлинности, шифрованию, подписанию и утверж
дению на уровне пользователя и сообщения. Стандарты бизнес-процесса связаны с ответом на вопрос: «Как я
объединяю сервисы для создания целостного полезного процесса вместо элементарных функций?»
В.2.2 Внедрение
Для внедрения веб-сервисов требуется изучение риска или угроз, с которыми сталкиваются веб-сервисы, и
мер безопасности по уменьшению этих угроз. Для такого анализа необходимо рассмотреть общую модель веб
сервисов, представленную на рисунке В.1 и относительно простой веб-сервис (WS1), который используется кли
ентами во всей сети организации. На рисунке В.1 показано, что четыре клиента могут запрашивать услуги веб
сервиса WS1. Необходимо отметить, что эти клиенты могут быть также веб-сервисами, таким образом, веб-
сервис. предоставляющий клиенту функциональные возможности, может сам действовать как клиент, запраши
вающий услуги у другого сервиса с целью осуществления собственных функциональных возможностей. Например,
веб-сервис ипотечного калькулятора может зависеть от веб-сервиса определения ставок 8 вопросе предоставле
ния услуги по расчету месячных платежей.
Возможно, что клиент S2 расположен на ближайшей сетевой шине, в том же информационном центре, что
и WS1. Клиент S3 также находится во внутренней сети компании, но может быть гораздо дальше, например в
филиале в другом городе или в другой стране. Клиент S4 находится в демилитаризованной зоне, соединенной с
Интернетом, и имеет определенный уровень связи с Интернетом и внутренней сетью компании. Наконец, клиен
там Интернета, таким как S5. возможен доступ к внутреннему сервису типа WS1.
В.2.3 Обеспечение безопасности
В отношении общих угроз требования безопасности для веб-сервиса WS1 обычно могут быть сведены к
нескольким категориям. Во-первых, существует конфиденциальность входных данных в запросе услуги и конфи
денциальность выходных данных, возвращающихся к клиенту. Целостность конфиденциальных данных также
является предполагаемым или подразумеваемым требованием. Во-вторых, существует аутентификация и авто
ризация запроса клиента, удостоверяющие личность клиента и предотвращающие использование сервиса не
санкционированными клиентами. Наконец, часто существуют некоторые регистрационные требования, позволя
ющие реконструировать операции и действия по трассировке. Для некоторых веб-сервисов могут существовать
требования целостности данных без требований конфиденциальности.
Хотя требования безопасности для WS1 являются простыми, процесс принятия решения может быть до
вольно сложным. Например, процесс безопасной аутентификации между клиентом веб-сервиса и сервером веб
сервиса может осуществляться с помощью паролей, сертификатов и. возможно, другими методами. Хотя серти-
43