1

我正在收集 Activiti Process Engine 中提供的安全功能,例如身份验证、授权、数据库安全(文件加密、Https 连接)。我需要了解更多关于使业务流程安全的 Activiti 的安全功能。

例如; 如果一个数据包是由一家快递公司运送给客户的,那么在执行这个流程模型时应该考虑哪些实时安全测量以及 Activiti 提供了什么?

我所拥有的是;活动有

  • 身份验证功能(只有正确的人可以访问系统)
  • 授权功能(Activiti 负责谁将访问什么)
  • 安全数据库连接

还有什么?任何机构都可以帮助我吗?Activiti 默认提供的功能是什么,额外的用户代码或插件可以做什么?任何文件/研究论文?

4

1 回答 1

2

由于没有人回答我,我做了自己的研究,发现了 Activiti 提供的一些安全控制,我想分享我的经验。我从作为标准提供的两个现有安全目录开始;

  1. NIST (SP 800-53)
  2. 通用标准 (ISO 15408)

并试图从上述目录中找出 Activiti 作为安全功能提供(完全或部分)的控件。初稿包括:

  1. 用户身份验证[参考:通用标准 (ISO 15408);页。94,NIST(SP 800-53);页。128]
  2. 用户识别[参考:通用标准 (ISO 15408);页。99, NIST (SP 800-53); 页。128]
  3. 账户管理[参考:NIST (SP 800-53);页。77]
  4. 安全管理角色 (CC)/职责分离 (NIST) [参考:通用标准 (ISO 15408);页。116, NIST (SP 800-53), p. 82]
  5. 最小特权[参考:NIST (SP 800-53),p。83]
  6. 远程访问[参考:NIST (SP 800-53),p。88]
  7. 回滚[参考:通用标准 (ISO 15408);页。79]
  8. 存储数据完整性 (CC)/媒体存储 (NIST) [参考:通用标准 (ISO 15408);页。81, NIST (SP 800-53); 页。146]
  9. 媒体访问[参考:NIST (SP 800-53);页。145]
  10. 内部 TOE 传输 (CC)/传输完整性 (NIST) [参考:通用标准 (ISO 15408);页。74, NIST (SP 800-53); 页。185]
  11. 传输机密性 [参考:NIST (SP 800-53);页。186]

我希望它可以帮助某人。

萨尔曼

于 2012-08-09T07:43:00.747 回答