Activiti的安全功能
问题描述:
我正在收集Activiti Process Engine中提供的安全功能,如认证,授权,数据库安全(文件加密,Https连接)。我需要更多地了解Activiti的安全特性,以确保业务流程的安全。Activiti的安全功能
例如;如果快递公司向客户发送数据包,应考虑实时安全测量以及Activiti在执行此过程模型时提供的内容?
我只有的是; Activiti的有
- 认证功能(只有合适的人可以访问系统)
- 授权功能(Activiti的照顾谁去访问哪些)
- 安全数据库连接
还有什么?任何机构能帮助我吗? Activiti提供的默认功能是什么?用额外的用户代码或插件可以做些什么? 任何文件/研究报告?
答
由于没有人回答我,我做了我自己的研究发现Activiti提供的一些安全控制,我想分享我的经验。 我从两个作为标准提供的现有安全目录开始;
- NIST(SP 800-53)
- 通用标准(ISO 15408)
和试图找出从提供其中上述控制目录(精确地或部分地)由Activiti的作为安全功能。初稿包括;
- 用户验证[编号:Common Criteria(ISO 15408);页。 94,NIST(SP 800-53);页。 128]
- 用户识别[参考:通用标准(ISO 15408);页。 99,NIST(SP 800-53);页。 128]
- 账户管理[参考:NIST(SP 800-53);页。 77]
- 安全管理角色(CC)/责任分离(NIST)[参考:通用标准(ISO 15408);页。 116,NIST(SP 800-53),p。 82]
- 最小特权[参考:NIST(SP 800-53),第83]
- 远程访问[参考:NIST(SP 800-53),第88]
- 击退[参考:通用标准(ISO 15408);页。 79]
- 存储的数据完整性(CC)/媒体存储(NIST)[参考:通用标准(ISO 15408);页。 81,NIST(SP 800-53);页。 146]
- 媒体访问[参考:NIST(SP 800-53);页。145]
- 内部TOE传输(CC)/传输完整性(NIST)[参考:通用标准(ISO 15408);页。 74,NIST(SP 800-53);页。 185]
- 传输保密[参考:NIST(SP 800-53);页。 186]
我希望它可以帮助别人。
萨尔曼
由于Activiti的使用Spring Security来保护这些API,你可以检查弹簧安全框架的功能来回答你的问题的部分 – Ben 2015-06-12 12:37:33