Bảo mật đóng một vai trò trung tâm trong phát triển và hoạt động của các hệ thống phần mềm phân tán với quy mô lớn, nhƣ thƣơng mại điện tử. Tuy nhiên một phân tích quy trình phát triển phần mềm ngày nay cho thấy các kỹ nghệ thiết kế bảo mật cẩn thận trong thiết kế tổng thể thƣờng bị bỏ quên. Các tính năng bảo mật thƣờng đƣợc tích hợp sau trong giai đoạn quản trị hệ thống. Có một số lý do cho vấn đề này. Thứ nhất, bảo mật là một khía cạnh ―ngang‖ của phát triển phần mềm mà ảnh hƣởng gần nhƣ đến tất cả các thành phần của ứng dụng và sự tích hợp của nó vào trong quy trình phát triển phần mềm chƣa đƣợc hiểu đúng đắn. Thứ hai, thiếu các công cụ hỗ trợ kỹ nghệ bảo mật. Thứ ba, tích hợp bảo mật vào trong hệ thống thực hiện thủ công là rất khó và thƣờng phát sinh lỗi do các nhà phát triển cá nhân thiếu kinh nghiệm. Các nhà phát triển nói chung thì thƣờng không phải là chuyên gia về bảo mật và họ cần đƣợc hƣớng dẫn cụ thể để xây dựng các ứng dụng bảo mật. Việc tích hợp bảo mật mức độ thấp sẽ làm giảm chất lƣợng của các ứng dụng [1].
RBAC là một mô hình kiểm soát truy cập đƣợc công nhận rộng rãi. RBAC là một giải pháp đƣợc đề xuất vào năm 1992 bởi Ferraiolo và Kuhn, tích hợp các tính năng hiện có của ứng dụng xác định phƣơng pháp tiếp cận tổng quát mô hình điều khiển truy cập dựa trên vai trò. Role – Based Access Control (RBAC) [1]. Chi tiết về mô hình
31
bảo mật RBAC chúng tôi sẽ trình bày trong mục tiếp theo.