 |
İnternet tabanlı Workcube, internet üzerinden gelebilecek her türlü tehlikeye karşı takip ediliyor ve gelişen teknolojiler sisteme anında entegre ediliyor. Günümüzde kişisel PC’ler ve sunucular dünyayı saran bir Network’ün en önemli parçası oldu. Böylesine büyük bir ağın nimetlerinden yararlanmak bir yana diğer taraftan da güvenlik sorunlarıyla karşı karşıya kalmak karşı karşıya gelmemek neredeyse imkansız gibi.
|
Tüm bu vazgeçilemez güvenlik uygulamaları bir araya geldiğinde firmanız artık güvenlik altında olabilir ama bir de bu güvenlik uygulamalarının kurumsal yapınızı yönetmekte kullandığınız bilgi yönetim sisteminizle ne kadar entegre olduğu da çok önemlidir. Burada da karşınıza satın aldığınız yazılımın güvenlik sistemlerinizle ne kadar entegre olacağı sorusu çıkıyor. O zaman satın alacağınız yazılım da dikkat edilmesi gereken önemli bir konu da yazılımın güvenlik uygulamalarıyla uyumlu olmasıdır.
İşte bu noktada Workcube’ün diğer bir avantajı ortaya çıkıyor. Web tabanlı bir yazılım olmasının getirdiği faydayla Workcube, tüm güvenlik uygulamalarıyla tam uyumludur ve kolay çalışabilmektedir. Firmalar için kritik bir konu olan veri güvenliği, Workcube üzerinde hangi teknolojilerle sağlanıyor, birlikte inceleyelim.
Teknolojik Güvenlik Önlemleri
Workcube üzerinde hem database hem de kod dosyaları üzerinde güvenlik kontrolleri, database güvenliği olarak database server için SA kullanıcısı kullanılmamaktadır. Workcube için bir database owner açılıp bunun üzerine yetkilendirmeler yapılır. Database bağlantıları kod içinden değil, Coldfusion server tarafından yazılır, Coldfusion server yetki tanımlamaları da Workcube dışında yapılır. Kritik alanların bir çoğu sisteme geri dönülmez ve geri dönülebilir şifreleme yöntemleriyle, örneğin giriş şifreleri geri dönülmez şifre olarak kaydedilir. Database’e ulaşan bir admin bile bu şifreye ulaşamaz, giriş yapan kişinin şifresi aynı yöntemle kriptolanarak kriptolu halleri karşılaştırılır. Bu sayede bir kişinin şifresini tekrar hatırlatmak gibi bir durum yoktur, şifre kaybedildiğinde ancak tekrar atanır (Hashing Yöntemi).
Diğer bir şifreleme yöntemi ise key atamadır. Yani bir kişi kredi kartı bilgisi ile bir işlem yapacaksa o kart veya o belge için bir key ile şifre oluşturulur, oluşan şifre tahmin edilemeyeceği gibi key olmaksızın açılması imkansızdır. Kod güvenliği için ise Fusebox isimli framework kullanılmaktadır. Gelebilecek dış saldırılara Workcube üzerinde kelimelere karşı (select, update vs.) güvenlik önlemleri bulunmaktadır. Workcube üzerinde kurulumda tanımlanan (default = index.cfm) dosya dışında hiç bir dosya çalıştırılamaz. Sistem index.cfm dışındaki dosyaları engeller ve ulaşım bilgilerini admine gönderir. Yine sisteme yüklenen dosyalar her zaman yeniden isimlendirilerek sisteme kabul edilir.
Bir kişi zararlı bir dosya gönderse bile dosya ismi kriptolandığı için ulaşması imkansızdır. Olası bir şekilde rapor modülüne erişmiş veya yetkilendirilmiş kişi de delete, update, insert gibi kodları çalıştıramaz. Sistem rapor modülünde üst düzey yetkililerin dışındakilere sadece select izni verir. Bu, dosya işlemleri için de geçerlidir; sadece dosyaları okuma hakkı verilmiş, silme ve güncelleme hakkı verilmemiştir.
Workcube sistemi DB makinesiyle uygulama makinesini ayrı tutma imkanı sunar. Workcube adminleri bile uygulamayı güncellerken database’den soyutlanabilir, kullanıcılar tarafından eklenen documents isimli klasörü web root’un dışında bir klasöre koymayı destekler ve böylece sizin gösterdiklerinizin dışında o alana erişim engellenir.
Workcube Erişim Güvenliği ve Yetkilendirme
Workcube’ün erişim güvenliğini anlatmaya başlamadan önce kısaca sistemin organizasyon planlama kısmına değinmek gerekiyor. Zira sistemin içindeki organizasyon yapısı ile güvenlik katmanlarının
birbiriyle tutarlı kurgulanması çok önemlidir.
Workcube’ün temel kurgusu ve database mimarisi tek kurulumda (sistemde) birden çok şirket ve şirketlerin sınırsız sayıda şubelerini yönetmeye imkan tanır. Böylece tek kurulumda organizasyon, Şirketler>Şirketlerin Şubeleri>Şubelerin Departmanları şeklinde kurgulanmıştır.
Workcube’deki 6 katmanlı erişim güvenliği, organizasyonun tepesindeki şirketler ve sonrasında şubelerden başlar.
6 katmanlı erişim güvenliği sırasıyla;
1. Şirket Yetkisi
2. Şube Yetkisi
3. Modül Yetkisi
4. Süreç veya İşlem Kategorileri
5. Sayfa Kısıtları
6. Sayfa Kilitleri şeklindedir.
Şimdi de sırasıyla katmanların neleri ifade ettiğini inceleyelim.
1. Şirket Yetkisi
Kullanıcının, sistemde açılmış hangi şirketlerde yetkili olduğunun belirlendiği katmandır. Bu kısımda aynı zamanda kullanıcının, şirketlerin hangi muhasebe dönemlerinde de yetkili olduğu belirlenir. Kullanıcı bu kısımda yetkilendirildiği şirket ve şirketlerin muhasebe dönemlerine erişebilir ve istediği şirkette işlem yapabilir.
2. Şube Yetkisi
Kullanıcının, sistemde açılmış şirketlerin hangi şubelerinde yetkili olduğunun belirlendiği katmandır. Kullanıcı bu katmanda yetkilendirildiği şubelerle ilgili işlem yapabilir.
3. Modül Yetkisi
Kullanıcının Workcube’de yer alan modüllerden hangilerinde yetkili olduğunun belirlendiği katmandır. Kullanıcılar için tek tek belirlenebildiği gibi ortak bir modül kullanıcı grubu oluşturulup birden çok kullanıcının bu gruptaki modülleri görmesi de sağlanabilir. Kullanıcının modüllerde yetkin olmaları, bu modüllerde bulunan işlemleri gerçekleştirmeleri için yeterli değildir. Bu katmanda verilen yetkiyle sadece modüllere erişmeleri sağlanmış olur. Erişebildikleri modüllerle ilgili işlem yapabilmeleri için bir sonraki katmanda yetkilendirilmiş olmaları gerekir.
4. Süreç veya İşlem Kategorileri
Kullanıcının Workcube’de yer alan süreçler veya işlem kategorilerinden hangilerinde yetkili olduğunun belirlendiği katmandır. Workcube’de yetkili olduğunuz modüllerde işlem yapabilmek için ilgili sayfada bulunan süreç veya işlem kategorisinde yetkili olmanız gerekir. Süreçler birden fazla adım içerebileceğinden dolayı kullanıcının, süreçle ilgili gerekli adımlarda yetkilendirilmesi gerekir. İşlem kategorileri herhangi bir adım içermez. Kullanıcının gerekli işlem kategorisinde yetkilendirilmesi yeterlidir.
5. Sayfa Kısıtları
Kullanıcının Workcube’de yer alan sayfalarla ilgili görme, kaydetme/güncelleme ve silme kısıtlarının verildiği katmandır. Örneğin; kullanıcıya herhangi bir sayfayla ilgili silme kısıtı verilirse kullanıcı bu sayfayı görüntüleyebilir, sayfayla ilgili kayıt ve güncelleme yapabilir ancak bu kaydı silemez.
6. Sayfa Kilitleri
Kullanıcının Workcube’de yer alan herhangi bir kayda (herhangi bir ürün, üye veya proje) ulaşamaması için kilit eklenen katmandır. Kilitler tek tek istenilen kayıtlar için verilir. Böylece kullanıcı kilit eklenen kayda erişemez.
|
