超级会员免费看
角色工程:系统开发生命周期中的关键要素
1. 角色工程概述
基于角色的访问控制(RBAC)作为一种企业级的安全管理方法,并不局限于特定的应用程序或受保护资源。因此,企业的角色工程工作也不应局限于某个应用程序的系统开发生命周期(SDLC)。不过,在开发应用程序时,可能需要进行多次角色工程工作,以提供特定应用程序所需的角色定义。
角色工程工作应纳入应用程序的开发计划,了解角色工程活动在SDLC中的位置,有助于确保对角色工程的规划和执行给予足够重视。最终,只要每个面向项目的工作都着眼于实现企业级的成果,角色工程的结果将使整个企业受益。
为了在与系统开发项目结合进行角色工程工作时实现企业级的成果,有必要维护一个权限和角色定义的主存储库。这个存储库必须能够以一致的方式保存和维护角色定义,随着各个项目成果的加入,需要将单个项目的结果与企业级存储库中的定义进行协调。建议在提供输入的项目仍在进行时进行企业级的协调,以便及时更改项目角色定义。
角色工程活动无论是作为一项企业级活动,还是作为系统开发生命周期的一部分,都必须在项目基础上进行论证、规划、资源配置、执行和评估。需要解决的问题包括:是什么、谁来做、为什么、何时做、如何做以及在哪里做。这里主要关注“何时做”的问题。
一些对访问控制策略以及角色定义中的权限产生影响的因素来自企业外部,如立法、互操作性要求和基于常见经验建立的最佳实践等。这些外部影响必须反映在角色定义中,其直接影响涉及识别受保护对象以及特定角色对这些对象可以执行的操作,间接影响可能是延长调查和适应这些外部影响的时间线。
2. 独立开展角色工程工作
当决定采用基于角色的访问控制方法来进行企业安全管理时
订阅专栏 解锁全文
扫一扫
981
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
