Information Flow Based Security Control Beyond RBAC: How to enable fine-grained security policy enforcement in business processes beyond limitations of role-based access control (RBAC)

کنترل دسترسی مبتنی بر نقش (RBAC) یک فناوری پرکاربرد برای کنترل جریان‌های اطلاعات و همچنین کنترل جریان‌های درون و بین برنامه‌ها با رعایت محدودیت‌های مستلزم سیاست‌های امنیتی، به ویژه برای جلوگیری از افشای اطلاعات یا دسترسی به منابع است. فراتر از محدودیت های تعریف شده توسط آن سیاست های امنیتی. از آنجایی که RBAC تنها گزینه‌های اعطای یا رد دسترسی را ارائه می‌کند، کنترل دقیق‌تر جریان‌های اطلاعاتی مانند «اعطای دسترسی به اطلاعات به شرطی که در طول پردازش بیشتر برای اهداف خارج از سازمان ما فاش نشود» امکان‌پذیر نیست. در فرآیندهای تجاری، به ویژه آنهایی که چندین سازمان را در بر می گیرند، که معمولاً با استفاده از زبان اجرای فرآیند کسب و کار (BPEL) تعریف می شوند، در صورتی که فقط از قابلیت های کنترل دسترسی ارائه شده توسط RBAC استفاده شود، از جریان های اطلاعات مفیدی که محدودیت های ضمنی سیاست امنیتی را نقض نمی کند، جلوگیری می شود. این کتاب روشی را برای ارائه روش‌های دقیق‌تر کنترل جریان اطلاعات نشان می‌دهد که امکان دسترسی به اطلاعات یا منابع را با در نظر گرفتن جریان اطلاعات قبلی یا بیشتر در یک فرآیند تجاری که درخواست این دسترسی را دارد، می‌دهد. روش‌های پیشنهادی نسبتاً آسان به کار می‌روند و ثابت شده‌اند که تا حد زیادی توسط یک واقعیت اولیه قابل اجرا توسط ماشین هستند. علاوه بر این، این روش‌ها گسترش یافته‌اند تا برای گردش‌های کاری تعریف‌شده توسط BPEL که از سرویس‌های Grid یا سرویس‌های Cloud استفاده می‌کنند نیز قابل اجرا باشند. متخصصان امنیت فناوری اطلاعات افسران ارشد اطلاعات (CIO) افسران ارشد امنیت (CSOs) سیاست‌های امنیتی و تضمین کیفیت افسران و مدیران فرآیند کسب‌وکار و وب/گرید/سرویس ابری طراحان، توسعه‌دهندگان، مدیران عملیاتی یادگیرندگان/دانشجویان علاقه‌مند در زمینه مدیریت امنیت.< /p>

Role-based access control (RBAC) is a widely used technology to control information flows as well as control flows within and between applications in compliance with restrictions implied by security policies, in particular, to prevent disclosure of information or access to resources beyond restrictions defined by those security policies. Since RBAC only provides the alternatives of either granting or denying access, more fine-grained control of information flows such as “granting access to information provided that it will not be disclosed to targets outside our organisation during further processing” is not possible. In business processes, in particular those spanning several organisations, which are commonly defined using business process execution language (BPEL), useful information flows not violating security policy-implied limitations would be prevented if only the access control capabilities offered by RBAC are in use. The book shows a way of providing more refined methods of information flow control that allow for granting access to information or resources by taking in consideration the former or further information flow in a business process requesting this access. The methods proposed are comparatively easy to apply and have been proven to be largely machine-executable by a prototypical realisation. As an addition, the methods are extended to be also applicable to BPEL-defined workflows that make use of Grid services or Cloud services. IT Security Specialists Chief Information Officers (CIOs) Chief Security Officers (CSOs) Security Policy and Quality Assurance Officers and Managers Business Process and Web/Grid/Cloud Service Designers, Developers, Operational Managers Interested Learners / Students in the Field of Security Management.