【问题标题】:Security Features in ActivitiActiviti 中的安全功能
【发布时间】:2012-07-26 13:25:57
【问题描述】:

我正在收集 Activiti Process Engine 中提供的安全功能,例如身份验证、授权、数据库安全(文件加密、Https 连接)。我需要了解更多关于 Activiti 的安全特性,这些特性使业务流程安全。

例如;如果一个数据包是由一家快递公司运送给客户的,那么在执行这个流程模型时应该考虑哪些实时安全测量以及 Activiti 提供了什么?

我只有; Activiti 有

  • 身份验证功能(只有正确的人可以访问系统)
  • 授权功能(Activiti 负责谁将访问什么)
  • 安全数据库连接

还有什么?任何机构都可以帮助我吗? Activiti 提供的默认功能是什么,额外的用户代码或插件可以做什么? 有任何文件/研究论文吗?

【问题讨论】:

    标签: workflow business-process-management bpmn activiti


    【解决方案1】:

    由于没有人回答我,我自己研究了一些 Activiti 提供的安全控制,我想分享我的经验。 我从作为标准提供的两个现有安全目录开始;

    1. NIST (SP 800-53)
    2. 通用标准 (ISO 15408)

    并试图从上述目录中找出由 Activiti 作为安全功能提供(完全或部分)的控件。初稿包括;

    1. 用户身份验证[参考:通用标准 (ISO 15408);页。 94,NIST(SP 800-53);页。 128]
    2. 用户标识[参考:通用标准 (ISO 15408);页。 99, NIST (SP 800-53);页。 128]
    3. 账户管理[参考:NIST (SP 800-53);页。 77]
    4. 安全管理角色 (CC)/职责分离 (NIST) [参考:通用标准 (ISO 15408);页。 116, NIST (SP 800-53), p. 82]
    5. 最小特权 [参考:NIST (SP 800-53),p. 83]
    6. 远程访问 [参考:NIST (SP 800-53),p. 88]
    7. 回滚 [参考:通用标准 (ISO 15408);页。 79]
    8. 存储数据完整性 (CC)/媒体存储 (NIST) [参考:通用标准 (ISO 15408);页。 81, NIST (SP 800-53);页。 146]
    9. 媒体访问[参考:NIST (SP 800-53);页。 145]
    10. 内部 TOE 传输 (CC)/传输完整性 (NIST) [参考:通用标准 (ISO 15408);页。 74, NIST (SP 800-53);页。 185]
    11. 传输机密性[参考:NIST (SP 800-53);页。 186]

    我希望它可以帮助某人。

    萨尔曼

    【讨论】:

    • 由于 Activiti 使用 Spring Security 来保护 API,您可以查看 Spring Security Framework 的功能来回答您的部分问题
    猜你喜欢
    • 2020-08-16
    • 1970-01-01
    • 2014-03-21
    • 2019-03-22
    • 1970-01-01
    • 2018-07-08
    • 1970-01-01
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多