【IT专家网】这篇文章是从一个标准和技术的金融服务业消费者的角度写的。本文仅代表作者个人的观点，与花旗无关。

　　WS-Policy是一项即将提交的W3C标准，它引起了技术产品供应商和消费者的广泛关注。同其他的类似情况一样，供应商提供一种有用的观点，而消费者则提供了另外一种。偶尔，双方会达成一致。看起来，这种一致就是Web架构中策略标准的重要性。这种结果并不令人感到意外。首先，从商业的角度，策略就是如何管理公司。其次，Web架构在全球商业架构中越来越重要。

　　公司策略影响甚至决定了公司中的人员、流程和系统的决策和行为。这样，公司策略必定超出了IT的范畴。尽管如此，我们认识到WS-Policy仍然适用于一类重要的、大量的公司策略;运营风险策略。现在让我们分析一下运营风险。

　　金融服务公司拥有世界上被高度管制的，可能也是最先进的，运营风险管理系统;同时，在巴赛尔Ⅱ条约的监管下，他们还将进一步升级。这样做的根本原因在于运营风险系统是相当重要，因为它们防范了大量未被发现的金融损失，直接对全球经济的稳定做出了贡献。运营风险策略的技术定义如下：“对由于不恰当或者失败的内部流程、人员和系统以及外部事件而引起的金融损失的风险进行管理所采取的决策和行动。”

　　上面的定义还可以用于设定运营风险损失的几个类别：内部欺诈;外部欺诈;商业中断和系统失败;执行、发布和流程管理;客户、产品和商业实践;雇佣实践和工作场所安全;物质资产的损失。我们很快就可以看到目前阶段的WS-Policy可以满足前五种运营风险损失类别的策略要求。我们需要更加详细的解释WS-Policy。然而，我们必须先介绍面向服务的架构。

　　面向服务的架构由服务和支持服务的基础架构组成。我们的服务可以分为两类：数据服务和过程服务。根据SOA的设计，SOA中的服务不包含策略。这是为了将应用程序开发和值得关注的策略分开。因此，基础架构必须负责执行策略。

　　在SOA的环境中，这是通过引入对策略定义进行处理和反应的专用桥路和网关来实现的。在下面的图中，消费者出现在左边，服务在右边。实现策略的桥路/网关用位于消费者和服务之间的红色消息表示。将被执行的策略被策略管理控制台(Policy Administrative Console)推送到节点中，这个策略管理控制台也是用红色表示的。

　　我们知道一些非常熟悉的公司运营策略已经在企业的基础架构中存在，比如，单点登陆安全(single sign-on security ，SSO)认证已经成为企业基础架构中例行的实现，在这种情况下，策略被集中管理而在本地实现。对SSO来说，策略的实现可能发生在HTTP服务器插件中，或者在代理服务器中。

　　我们注意到运营风险本质上是分布的——因此，它可以从Web架构中获益。其他的金融风险，比如市场和信用风险，趋向集中化和类似远程过程调用的使用方式。当然，面向服务的架构在这两种环境下都有效的发挥作用。WS-Policy引入了一套能够被合理解释的标准化的策略表达公式(换句话说，可以互相操作的)，同时允许具体的实现能够跨越基础架构中不同的单元。WS-Policies通过约束和条件合法的交集来表示，这些约束和条件可以监管Web服务和消费者之间如何进行交互。WS-Policy中的策略断言(policy assertion)标志出一个域(比如安全、消息、可靠性和事务)和一个在部门、商业单元和合作伙伴中可以有效管理的必要的行为。假如将刚刚谈到的WS-Policy中的域和监管者定义的前五类运营风险损失进行比较。你会发现，它们对上了。

　　运营风险策略和WS-Policy之间的联系可能对商业IT架构、监管和WS-Policy的演变产生影响。还需要注意的是WS-Policy正在接近到一个重要的里程碑。WS-Policy 1.5的候选推荐草案已经接近完成，接着一个被提议的推荐标准可能在晚春或者夏季的时候提交给W3C。

查看本文国际来源