随着2006年的结束，SOA从各大IT厂商推荐的概念变成了众多企业架构师需要实实在在勾勒的建设计划。并且建设的目的性一般都非常明确：“通过整合企业自身及合作方的各类技术资源，采用跨平台、跨产品的通用技术，把相关的相对分散的资源融合为一个逻辑的互联系统。”

随着2006年的结束，SOA从各大IT厂商推荐的概念变成了众多企业架构师需要实实在在勾勒的建设计划。并且建设的目的性一般都非常明确：“通过整合企业自身及合作方的各类技术资源，采用跨平台、跨产品的通用技术，把相关的相对分散的资源融合为一个逻辑的互联系统。”

本文借鉴以往系统安全上常用的“纵深防御”（In Depth Defense）来说，虽然企业服务总线上可以设计一个统一的认证和授权控制系统。但是就像SOAP调用可以很容易地穿越防火墙一样，非法的SOAP调用 一样很容易不经过企业服务总线到达每个具体的Service Endpoint上。如果这里不设防，对于一个企业级的SOA应用而言可以说埋下了很多日后安全问题的伏笔。这里笔者建议在设计上，SOA环境本身也要贯彻“纵深”的防御方法。