محرمانگی

امنیت در BPMS فراگستر-محرمانگی

در راستای انتشار مقالات قبلی دررابطه با امنیت نرم افزار bpms فراگستر، در این مقاله به معیارهای موجود در حوزه محرمانگی اشاره خواهد شد که سیستم BPMS فراگستر آنها را پوشش میدهد.

هدف از محرمانگی [۱] در برنامه‌های کاربردی جلوگیری از افشا و یا دسترسی غیر مجاز کاربران و یا فرآیندها به داده‌هایی است که برنامه‌ی کاربردی از آنها استفاده کرده و یا تولید می‌نماید. برنامه‌ی کاربردی مسئول محرمانگی داده‌هایی است که ذخیره‌ می‌کند و یا برروی شبکه انتقال می‌دهد. محرمانگی توسط یکی از ۳ راهکار زیر بدست می‌آید:

• فراخوانی سرویس‌های رمزنگاری زیرساخت برای رمزنگاری داده‌ها و یا اتصالات شبکه که داده‌های حساس برروی آن منتقل می‌شود.

• با قرار دادن برچسب طبقه‌بندی برروی داده‌هایی که تولید می‌شوند و یا انتقال می‌یابند.

• با حذف و یا پاک کردن داده‌های موقت ایجاد شده، حافظه‌های نهان و فایل‌هایی که در طول اجرای برنامه‌ی کاربردی بوجود آمده است.

BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:

  • رمزنگاری داده‌های حساس در رسانه‌های ذخیره‌سازی: برنامه‌ی کاربردی باید داده‌های حساس را بصورت رمزنگاری شده در رسانه‌ها، ذخیره‌سازی کند.
  • حفاظت از کلیدهای رمزنگاری: راهکارهای رمزنگاری باید بگونه‌ای باشد تا مانع از دسترسی غیر مجاز به کلید‌های رمزنگاری شود.
  • ذخیره داده در اسکریپت: برنامه‌ی کاربردی نباید هیچگونه داده‌ را در اسکریپتها ذخیره کند.
  • استفاده از متد HTTP POST: برای انتقال داده‌ها حتی اگر از پروتکل SSL هم استفاده شده باشد باید بجای متد GET از متد POST استفاده شود.
  • استفاده از قابلیت‌های مرورگر: از Plug-inها،‌ کوکیها و دیگر قابلیتهای مرورگر تنها در صورتی باید استفاده شود که راهکار جایگزینی برای پیاده‌سازی عملکرد موردنظر وجود نداشته باشد.
  •  انتقال داده‌های حساس توسط کوکی‌های رمزنگاری شده: برای انتقال داده‌های حساس از کوکیهای ناپایدار که رمزنگاری شده‌اند باید استفاده کرد.
  • استفاده از اطلاعات حساس در نوع‌های تغییر ناپذیر [۲]: برنامه‌ی کاربردی نباید داده‌های حساس نظیر کلمات عبور را در نوع‌های تغییرناپذیر نظیر رشته‌های زبان Java  و یا نوع‌هایی که توسط سرویس‌های جمع آوری زباله (Garbage Collected Service) از حافظه پاک می‌شوند، قرار دهد.
  • ذخیره‌ی داده‌های حساس در سمت کاربر: هیچ داده‌ی حساسی نباید در سمت واسط‌های سمت کاربر نگهداری شود.
  • ذخیره داده‌های حساس در کد برنامه: داده‌های حساس نظیر کلمه‌های عبور و کلیدهای رمزنگاری نباید در کد برنامه ذخیره گردد.

_____________________________

[۱] Immutable Type

[۲] Confidentiality

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

Got Something To Say: