Activitiのセキュリティ機能
-
12-12-2019 - |
質問
認証、許可、データベースセキュリティ(ファイル暗号化、HTTPS接続)などのActiviti Process Engineに提供されているセキュリティ機能を収集しています。ビジネスプロセスを安全にするActivitiのセキュリティ機能についてもっと知る必要があります。 たとえば
パケットが宅配会社によって顧客に出荷された場合、このプロセスモデルの実行中にどのようなActivitiが提供するかを考慮に入れるべきです。
私が持っているのは; Activitiはを持っています
- 認証機能(適切な人のみがシステムにアクセスできます)
- 承認機能(Activitiは誰が何にアクセスしようとしているかを注意します)
- セキュアデータベース接続
他に何を?どんな体もそれを助けてくれることができますか?Activitiによって提供されるデフォルトの機能によって何があり、追加のユーザーコードやプラグインで何ができるのでしょうか。 どんな文書/研究論文?
解決
だれも私に答えていないので、私自身の研究はActivitiによって提供されたいくつかのセキュリティコントロールを見つけることができました、私の経験を共有したいと思います。 標準として提供されている2つの既存のセキュリティカタログから始めました。
- NIST(SP 800-53)
- 一般的な基準(ISO 15408)
とセキュリティ機能としてActivitiによって提供されている上記のカタログからのコントロールを見つけようとしました。初期ドラフトには;
- ユーザー認証 [Ref:Common Criteria(ISO 15408); p。 94、NIST(SP 800-53)。 p。 128]
- ユーザー識別 [REF:Common Criteria(ISO 15408); p。 99、NIST(SP 800-53)。 p。 128]
- アカウント管理 [REF:NIST(SP 800-53); p。 77]
- セキュリティ管理役割(CC)/職務の分離(NIST) [REF:共通基準(ISO 15408); p。 116、NIST(SP 800-53)、P。 82]
- 最小特権 [REF:NIST(SP 800-53)、p。 83]
- リモートアクセス [REF:NIST(SP 800-53)、p。 88]
- ロールバック [REF:共通基準(ISO 15408); p。 79]
- ストアドデータ整合性(CC)/メディアストレージ(NIST) [REF:Common Criteria(ISO 15408); p。 81、NIST(SP 800-53)。 p。 146]
- メディアアクセス [REF:NIST(SP 800-53); p。 145]
- 内部トウ転送(CC)/透過整合性(NIST) [REF:Common Criteria(ISO 15408); p。 74、NIST(SP 800-53)。 p。 185]
- 伝送機密性 [REF:NIST(SP 800-53); p。 186]
誰かが助けるかもしれないことを願っています。
Salman
所属していません StackOverflow