امنیت در BPMS فراگستر – محرمانگی
زمان تقریبی مطالعه: 2 دقیقه
در راستای انتشار مقالات قبلی در رابطه با امنیت نرم افزار bpms فراگستر، در این مقاله به معیارهای موجود در حوزه محرمانگی اشاره خواهد شد که سیستم BPMS فراگستر آنها را پوشش میدهد.
هدف از محرمانگی [۱] در برنامههای کاربردی جلوگیری از افشا و یا دسترسی غیرمجاز کاربران و یا فرآیندها به دادههایی است که برنامهی کاربردی از آنها استفاده کرده و یا تولید مینماید. برنامهی کاربردی مسئول محرمانگی دادههایی است که ذخیره میکند و یا برروی شبکه انتقال میدهد.
محرمانگی توسط یکی از ۳ راهکار زیر بدست میآید:
- فراخوانی سرویسهای رمزنگاری زیرساخت برای رمزنگاری دادهها و یا اتصالات شبکه که دادههای حساس برروی آن منتقل میشود.
- با قرار دادن برچسب طبقهبندی برروی دادههایی که تولید میشوند و یا انتقال مییابند.
- با حذف و یا پاک کردن دادههای موقت ایجاد شده، حافظههای نهان و فایلهایی که در طول اجرای برنامهی کاربردی بوجود آمده است.
BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:
- رمزنگاری دادههای حساس در رسانههای ذخیرهسازی: برنامهی کاربردی باید دادههای حساس را بصورت رمزنگاری شده در رسانهها، ذخیرهسازی کند.
- حفاظت از کلیدهای رمزنگاری: راهکارهای رمزنگاری باید بگونهای باشد تا مانع از دسترسی غیر مجاز به کلیدهای رمزنگاری شود.
- ذخیره داده در اسکریپت: برنامهی کاربردی نباید هیچگونه داده را در اسکریپتها ذخیره کند.
- استفاده از متد HTTP POST: برای انتقال دادهها حتی اگر از پروتکل SSL هم استفاده شده باشد باید بجای متد GET از متد POST استفاده شود.
- استفاده از قابلیتهای مرورگر: از Plug-inها، کوکیها و دیگر قابلیتهای مرورگر تنها در صورتی باید استفاده شود که راهکار جایگزینی برای پیادهسازی عملکرد موردنظر وجود نداشته باشد.
- انتقال دادههای حساس توسط کوکیهای رمزنگاری شده: برای انتقال دادههای حساس از کوکیهای ناپایدار که رمزنگاری شدهاند باید استفاده کرد.
- استفاده از اطلاعات حساس در نوعهای تغییر ناپذیر [۲]: برنامهی کاربردی نباید دادههای حساس نظیر کلمات عبور را در نوعهای تغییرناپذیر نظیر رشتههای زبان Java و یا نوعهایی که توسط سرویسهای جمع آوری زباله (Garbage Collected Service) از حافظه پاک میشوند، قرار دهد.
- ذخیرهی دادههای حساس در سمت کاربر: هیچ دادهی حساسی نباید در سمت واسطهای سمت کاربر نگهداری شود.
- ذخیره دادههای حساس در کد برنامه: دادههای حساس نظیر کلمههای عبور و کلیدهای رمزنگاری نباید در کد برنامه ذخیره گردد.
_____________________________
[۱] Immutable Type
[۲] Confidentiality
سری مقالات امنیت در BPMS فراگستر:
