امنیت در BPMS فراگستر – تصدیق حقوق دسترسی
زمان تقریبی مطالعه: 3 دقیقه
سیستم BPMS فراگستر از بعد امنیتی معیارهای مختلفی را پاس نموده است لذا در سلسله مقالاتی در نظر داریم به ابعاد مختلف امنیتی BPMS فراگستر بپردازیم. در این مقاله به معیارهای موجود در حوزه تصدیق حقوق دسترسی اشاره خواهد شد که سیستم BPMS فراگستر آنها را پوشش میدهد.
تصدیق حقوق دسترسی۱ فرآیندی است که طی آن شناسهی کاربر تصدیق هویت شده (و یا فرایند مربوطه) به حقوق و امتیازات خاصی نگاشت میشود. براساس این حقوق تعیین میشود کاربر به چه دادههایی میتواند دسترسی داشته باشد و یا چه عملیاتی را انجام دهد.
تصدیق حقوق دسترسی در سیستم BPMS فراگستر
BPMS فراگستر در این حوزه شاخصهای اصلی زیر را پاس نموده است:
- تصدیق حقوق دسترسی کاربران: برنامهی کاربردی باید قبل از فراخوانی فرایندها توسط کاربران و یا دسترسی به منابع سیستم حقوق دسترسی آنها را بررسی کند و مشخص کند آیا اجازهی فراخوانی توابع و یا دسترسی به منبع مربوطه توسط کاربر وجود دارد یا خیر؟
- ایجاد رابطهای کاربری برای مدیریت حقوق دسترسی: برنامهی کاربردی باید رابطهای کاربری لازم را برای ایجاد, و مدیریت لیست کنترل دسترسی ها و سایر اطلاعات حقوق دسترسی فراهم آورده باشد.
- بررسی حقوق دسترسی بین فرآیندی: برنامهی کاربردی باید کنترل حقوق دسترسی بین فرآیندهای سیستم را پیاده سازی کند.
- قاعده کمترین حق دسترسی: حقوق دسترسی اعطا شده به برنامهی کاربردی در هر زمان باید کمترین حق دسترسی مورد نیاز برای انجام فعالیتهای لازم باشد.
- استفاده از حقوق دسترسی نقشگرا: حقوق دسترسی در برنامهی کاربردی باید بهصورت نقشگرا پیادهسازی شود.
- سازگار بودن نقش و حقوق دسترسی: نقشی که به یک فرایند از یک برنامهی کاربردی نگاشت میشود باید مطابق با وظیفه و عملکرد فرایند مزبور باشد
- تفکیک وظایف نقشها: کاربر انجام وظایف خود را تنها با نگاشت یک نقش بتواند انجام دهد.
- ارجاع به مسیر نامعتبر: اگر کاربری یک آدرس URL نامعتبر را درخواست نماید، برنامهی کاربردی نباید فهرست دایرکتوری را به کاربر نشان دهد.
- عدم پذیرش ورود مستقیم URL جهت دسترسی به منابع غیر مجاز: برنامهی کاربردی نباید به کاربران اجازه دهد با تایپ مستقیم یک URL در خط آدرس مرورگر به صفحاتی که اجازهی دسترسی ندارند، دسترسی پیدا کنند.
- استفاده از دیدهای۲ پایگاه داده: امکان استفاده از دیدهای پایگاه داده به عنوان راهکار مکانیزم کنترل دسترسی نباید وجود داشته باشد.
- تنظیمپذیر بودن راهکارهای کنترل دسترسی: برنامهی کاربردی باید واسطهای لازم را برای مدیر سیستم جهت اعمال خطمشیها کنترل دسترسی به اشیا برای کاربران، نقشها و گروهها ایجاد کند.
- رعایت قاعدهی دفاع در عمق: برنامهی کاربردی نباید به یک راهکار کنترل حقوق دسترسی اکتفا کند. راهکارهای کنترل دسترسی باید در لایههای مختلف (مثل کارگزار وب، برنامهی کاربردی، پایگاه داده) ایجاد شود.
- استفاده از رویههای ذخیره شده ۳ برای دسترسی به پایگاه داده: با استفاده از رویههای ذخیره شده در پایگاه داده و تعریف نقشهای لازم برای کاربران برنامهی کاربردی، میتوان کنترل حقوق دسترسی را برای هر رویهی ذخیره شده اعمال کرد و بنابراین هر کاربر بتواند رویههای ذخیره شده خود را اجرا کند.
———————————————
۱- Authorization
۲- View
۳-Stored Procedure
سری مقالات امنیت در BPMS فراگستر:
