当混合云计算、大数据解决方案、移动平台及开源工具这样的新技术在工作环境中变得司空见惯时，IT专业人士必须为维护系统的安全性而继续努力。随着组织添加了越来越多的应用程序、服务、数据以及日益增长的互联网领域的其他资源，IT部门发现自己已经无法准确地控制所负责的系统。如果未能强制执行，那么简单的治理规则是不足以保证数据的安全性。解决方案最开始在架构和应用中正确地建立安全系统，并保证一开始就能恰当地运行。这就意味着，不仅仅是基于网络的界面存在安全风险，移动设备和桌面应用也需要安全保护。

容易出现问题

移动化已经造成了设计人员未预测到的安全问题。《Oracle SOA SuITe 11g Performance Cookbook》的联合作者、C2B2咨询师Matt Brasier指出带来安全高风险的两个因素。首先，应用程序变得更易于编写，因此黑客更易入侵。其次，组织在消费者服务方面控制较少。Brasier说：“今后你们要格外注意架构及应用程序的编程和设计工作。即使没有通过网络服务发布过一种应用程序，但是如果即将发布的信息已经在网络上公开，那么也存在安全风险。有人会编写一个应用程序，然后盗取HTML并提取其中的数据。”此外，你不可能控制移动接口，因为接口可能是第三方组件。这就意味着你必须在这些资源中建立安全保护，对这些资源进行控制。

少数企业对此有谨慎心理

Decompiling Android的作者Godfrey Nolan说，公司主要研究展示如何轻易地打开Android APK。目前存在许多反编译工具，任何人都可以参与到编译工作中。这些工具可以轻松反向设计APK，并利用以简单纯文本形式存储的信息，这些信息可能包含敏感数据如登录名和密码，以至于严重破坏企业组织后端服务。Nolan说：“我们的团队已经下载并测试了大约100个应用程序。其中只有一个得到了适当的保护及安全编码。”Nolan建议使用如HoseDex2Jar这样的工具来建立一个反编译屏障。将这段增强型代码嵌入到程序中，可以降低反编译工具的有效性。

用户需要提高警惕

Ann Thomas Manes是高德纳公司著名的分析师，他说，首席安全官的工作内容是在产品的设计、开发或者运行阶段确保不忽略新的非功能性安全需求。“首先，你需要确定什么类型的数据是属于敏感数据。其中一些数据可以通过设备获得，而且不需要承担太多风险。需要安全性保障的数据也许有必要进行封装，防止其易于暴露。不要拖延移动性，但是确实要考虑一下如何调整你的架构策略。”物理层面、管理层面以及技术层面的解决方案在防护设计中一起发挥作用。

移动创建开放终端游戏

谈到非功能性需求，移动不仅仅影响企业如何处理安全性问题，同样也影响了性能和可用性。Matt Brasier强调移动的激增正影响着应用程序的非功能性需求，例如安全和性能，从而影响到产品的设计。他说，至少应该改变SOA设计，并将其用于移动开发中。他哀叹道，实际上，太多的企业都未关注过移动开发所引起的这类问题。不是每个人都将移动放在首位。Brasier说：“这类人将移动开发放在最末位，并不是正确的方法。”让你改变观点的唯一方法就是突然中断服务，例如当用户放弃使用或者在完成之前就终止交易。这种事情在桌面访问中是很少发生的。有了移动化，这种事情就变得很常见，并且对服务供给如何设计有明确影响。

最后的结果是用户可以与SOA直接互动，这种方式是5年、10年或者甚至15年前都未曾想过的。IT专业人士必须继续用心工作，以正确的方式确保组织数据的安全性以及组织的基于SOA的体系结构的完整性。

(责任编辑：)