امنیت

امنیت درBPMSفراگستر-تصدیق حقوق دسترسی

سیستم BPMS فراگستر از بعد امنیتی معیارهای مختلفی را پاس نموده است لذا در سلسله مقالاتی در نظر داریم به ابعاد مختلف امنیتی BPMS فراگستر بپردازیم. در این مقاله به معیارهای موجود در حوزه تصدیق حقوق دسترسی اشاره خواهد شد که سیستم BPMS فراگستر آنها را پوشش می‌دهد.

تصدیق حقوق دسترسی۱ فرآیندی است که طی آن شناسه‌ی کاربر تصدیق هویت شده (ویا فرایند مربوطه) به حقوق و امتیازات خاصی نگاشت می‌شود. براساس این حقوق تعیین می‌شود کاربر به چه داده‌هایی می‌تواند دسترسی داشته باشد و یا چه عملیاتی را انجام دهد.

BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:

  • تصدیق حقوق دسترسی کاربران: برنامه‌ی کاربردی باید قبل از فراخوانی فرایندها توسط کاربران و یا دسترسی به منابع سیستم حقوق دسترسی آنها را بررسی کند و مشخص کند آیا اجازه‌ی فراخوانی توابع و یا دسترسی به منبع مربوطه توسط کاربر وجود دارد یا خیر؟
  • ایجاد رابط‌های کاربری برای مدیریت حقوق دسترسی: برنامه‌ی کاربردی باید رابط‌های کاربری لازم را برای ایجاد, و مدیریت لیست کنترل دسترسی ها و سایر اطلاعات حقوق دسترسی فراهم آورده باشد.
  • بررسی حقوق دسترسی بین فرآیندی: برنامه‌ی کاربردی باید کنترل حقوق دسترسی بین فرآیندهای سیستم را پیاده سازی کند.
  • قاعده‌ کمترین حق دسترسی: حقوق دسترسی اعطا شده به برنامه‌ی کاربردی در هر زمان باید کمترین حق ‌دسترسی مورد نیاز برای انجام فعالیت‌های لازم باشد.
  •  استفاده از حقوق دسترسی نقش‌گرا: حقوق دسترسی در برنامه‌ی کاربردی باید به‌صورت نقش‌گرا پیاده‌سازی شود.
  •  سازگار بودن نقش و حقوق دسترسی: نقشی که به یک فرایند از یک برنامه‌ی کاربردی نگاشت می‌شود باید مطابق با وظیفه و عملکرد فرایند مزبور باشد
  • تفکیک وظایف نقش‌ها: کاربر انجام وظایف خود را تنها با نگاشت یک نقش بتواند انجام دهد.
  •  ارجاع به مسیر نامعتبر: اگر کاربری یک آدرس URL نامعتبر را درخواست نماید، برنامه‌ی کاربردی نباید فهرست دایرکتوری را به کاربر نشان دهد.
  • عدم پذیرش ورود مستقیم URL جهت دسترسی به منابع غیر مجاز: برنامه‌ی کاربردی نباید به کاربران اجازه دهد با تایپ مستقیم یک URL در خط آدرس مرورگر به صفحاتی که اجازه‌ی دسترسی ندارند، دسترسی پیدا کنند.
  • استفاده از دیدهای۲ پایگاه داده: امکان استفاده از دیدهای پایگاه داده به عنوان راهکار مکانیزم کنترل دسترسی نباید وجود داشته باشد.
  • تنظیم‌پذیر بودن راه‌کارهای کنترل دسترسی: برنامه‌ی کاربردی باید واسط‌های لازم را برای مدیر سیستم جهت اعمال خط‌مشی‌ها کنترل دسترسی به اشیا برای کاربران، نقش‌ها و گروه‌ها ایجاد کند.
  • رعایت قاعده‌ی دفاع در عمق: برنامه‌ی کاربردی نباید به یک راهکار کنترل حقوق دسترسی اکتفا کند. راه‌کارهای کنترل دسترسی باید در لایه‌های مختلف (مثل کارگزار وب، برنامه‌ی کاربردی، پایگاه داده) ایجاد شود.
  • استفاده از رویه‌های ذخیره شده ۳ برای دسترسی به پایگاه داده: با استفاده از رویه‌های ذخیره شده در پایگاه داده و تعریف نقش‌های لازم برای کاربران برنامه‌ی کاربردی، می‌توان کنترل حقوق دسترسی را برای هر رویه‌ی ذخیره شده اعمال کرد و بنابراین هر کاربر بتواند رویه‌های ذخیره شده‌ خود را اجرا کند.

———————————————

۱- Authorization

۲- View

۳-Stored Procedure

0 پاسخ

دیدگاه خود را ثبت کنید

Want to join the discussion?
Feel free to contribute!

Got Something To Say: