为你的安全策略找到适当组合的行业标准、产品、集成和框架是一个反复迭代过程，其中需要：

1、 确认安全需求

      对照一系列广泛、战略性的安全功能，评估自己的需求。这成了设计SOA安全策略和解决方案的基础。应根据你基于SOA的解决方案的主要设计重点来组织管理需求。弗雷斯特研究公司采用的一个模型按服务使用者、请求-响应、服务提供者以及安全需求来组织管理。在SOA安全设计的反复迭代过程中不断前进时，随着进一步了解标准、产品以及贵企业有没有能力为需求所带来的SOA安全支付成本，可能要重新考虑所选择的需求。

2、确定所用的SOA安全规范

      你的SOA安全需求为确定可能哪几项SOA安全规范符合需求做好了准备。不过在选择你所要使用的实际规范时，必须考虑到自身基础架构中的产品（现有产品以及可能需要为SOA购买的产品）支持哪些规范。几种主要的规范包括：Web服务安全（WS-Security）、Web服务互操作性基本安全概要（WS-I Basic Security Profile）、XML加密（XML Encryption）和XML签名（XML Signature）等规范。几种高级的规范包括：Web服务信任（WS-Trust）、Web服务安全策略（WS-SecurityPolicy）、Web服务联合（WS-Federation）、XML访问控制标记语言（XACML）和Web服务安全通话（WS-SecureConversation）等规范。

3、选择为你提供核心SOA安全功能的产品

      SOA安全解决方案的许多功能（比如使用Web服务安全标头来执行验证）可通过不同产品类别的多类产品来提供。你的设计过程必须考虑每一种选择，评估其优缺点，然后选择一款产品（或者一套相互协调的产品）来提供核心SOA安全功能。SOA安全解决方案有可能用到的关键产品类别包括：SOA硬件设备、SOA管理解决方案、企业服务总线、SOA安全服务器、应用服务器、安全令牌服务器、授权管理服务器以及身份和访问管理解决方案。

4、配置及集成产品，以便协同工作

      你可能会有多个产品来执行某项特定的SOA安全功能；这些产品必须集成起来，以便协同工作。这项集成工作可能大部分由产品配置选项（比如对SOA硬件设备进行配置，把授权工作委托给某个单次登录产品）来完成，但也可能需要使用产品编程接口来构建集成组件。

5、用框架填补漏洞

      产品集成工作完毕后，可能有必要为应用程序开发人员构建一个帮助框架，以便他们没必要在基于SOA的应用程序中编写安全代码。

      弗雷斯特研究公司建议使用反复迭代过程，主要有两个原因。首先，通常不是所有应用程序都需要满足你的所有安全需求；在构建SOA安全解决方案时，初期的轻型版应用程序也许基本上能够符合要求，而后期的应用程序需要为解决方案填充额外的功能。其次，每次你通过，就会加深了解如何利用现有的各部分内容来构建最有效的SOA安全解决方案。

      实施SOA方面处于领导地位的企业仍在为别人铺平道路。对一些企业来说，可能存在高级安全很重要的一种业务场景。这类企业可以证明有必要投入成本，来构建高级SOA安全解决方案。这些领导企业会在一路上帮助不断强化行业规范，并帮助厂商不断完善产品。如果贵企业眼下就需要高级SOA安全，市面上有许多产品和标准可以拿来使用，但要小心行事：你应当另外抽出时间，针对建立原型、产品调试以及性能和扩展性测试等方面进行相应的项目规划。