中国移动Domino数据库安全配置手册

整理文档很辛苦,赏杯茶钱您下走!

免费阅读已结束,点击下载阅读编辑剩下 ...

阅读已结束,您可以下载文档离线阅读编辑

资源描述

Domino数据库安全配置手册密级:文档编号:项目代号:中国移动Domino数据库安全配置手册Version1.1中国移动通信有限公司二零零四年十一月Domino数据库安全配置手册拟制:审核:批准:会签:标准化:Domino数据库安全配置手册版本控制版本号日期参与人员更新说明分发控制编号读者文档权限与文档的主要关系1创建、修改、读取负责编制、修改、审核2批准负责本文档的批准程序3标准化审核作为本项目的标准化负责人,负责对本文档进行标准化审核4读取5读取Domino数据库安全配置手册目录第一章概述.................................................................................................................1第二章数据库存取控制.............................................................................................22.1使用ACL限制访问数据库.........................................................................................................32.1.1ACL中的存取级别................................................................................................................32.1.2配置数据库ACL..................................................................................................................62.2强制实现ACL的一致性..............................................................................................................72.3加密数据库...................................................................................................................................92.4为数据库或模板签名.................................................................................................................11第三章NOTES/DOMINO认证...............................................................................123.1ID文件.........................................................................................................................................143.1.1ID文件的类型....................................................................................................................143.1.2NotesID的内容..................................................................................................................153.13验证字..................................................................................................................................163.2交叉验证字.................................................................................................................................18第四章INTERNET客户认证..................................................................................194.1基本的用户名加口令认证..........................................................................................................214.2基于会话的用户名加口令认证..................................................................................................214.3SSL认证......................................................................................................................................234.3.1服务器认证.........................................................................................................................244.3.2客户端认证..........................................................................................................................25第五章安全检查列表...............................................................................................25术语表..........................................................................................................................26Domino数据库安全配置手册第1页共25页第一章概述Notes/Domino提供了一个健壮的安全模型,可以通过裁剪来满足您所在组织的需求。Notes/Domino拥有一个六层的安全系统。网络网络安全性可以防止对服务器端网络未经授权的访问。如果在网络层阻塞了访问,未经授权的用户就不能访问任何Domino服务器。网络访问典型情况下是使用网络硬件和软件进行控制的,但是可以通过对Domino服务器端口的数据进行加密来提供进一步的安全性。对网络端口数据加密可以阻止未经授权用户通过使用网络协议分析器来读取数据。对网络传输加密,可以使用端口加密或者SSL。用户认证用户认证是一个在客户端试图访问Domino服务器时Notes客户端和Domino服务器用来进行相互确认和鉴定的过程。Notes和Domino使用存储在NotesID文件中的验证字来进行确认和鉴定。当使用Internet协议时,可以使用基于X.509的验证字或者用户名加口令来认证。服务器服务器安全性控制对Domino服务器的访问。在校验服务器安全性之前用户必须要通过认证。服务器访问通过在Domino目录中的服务器访问列表来进行控制。数据库数据库安全性控制对Domino服务器上数据库的访问。在校验数据库安全性之前用户必需访问到了服务器并且通过了认证。数据库访问通过数据库访问控制列表(ACL)进行控制。本地数据库可以通过加密来确保只有拥有正确口令和ID文件的用户才能进行访问。设计元素Domino数据库安全配置手册第2页共25页设计元素安全性控制对表单、视图和文件夹的访问。在设计元素安全性发生作用前用户必需要访问到数据库。使用设计元素安全性,可以允许用户查看数据库中某些类型的文档而阻塞其它类型。控制表单访问,使用表单访问列表和密钥。控制视图和文件夹访问,使用视图和文件夹访问列表。设计元素安全性也可以用来限制运行在Notes工作站上的公式和脚本的行为。控制工作站的访问,使用执行控制列表。文档文档安全性控制对文档中域、节和段或者整个文档的访问。这是最细粒度的安全性。可以使用读者和作者域控制对整个文档的访问。控制对节和段的访问,使用“当…时候隐藏(hide-when)”公式。控制对域的访问,使用密钥。本地数据库安全上面的六层安全性应用于存放在Domino服务器上的数据库,并且用户是通过网络来进行访问。如果某个人未经授权地访问到了用户的计算机或服务器,他可以绕过安全设置直接读取本地数据库。为了避免未经授权的访问,Notes可以加密数据库并且加强本地数据库的ACL。第二章数据库存取控制限制对Domino数据库的访问可以防止未经授权的用户访问信息有以下几种方式。任务用途使用ACL限制访问数据库控制Notes和Internet/Intranet用户以及Domino服务器对数据库的访问。强制实现ACL的一致性通过强制在一个位置进行全部的ACL更改,来保护服务器上的数据库和模板。加密数据库防止未经授权的用户访问服务器Domino数据库安全配置手册第3页共25页或工作站本地的数据库。对数据库或模板进行签名识别数据库或模板的创建者。当用户访问数据库时,系统会检查签名以确定是否允许执行此操作。例如,在Domino服务器上,代理管理器会检验代理的签名并检查签名者是否有权执行此操作。在Notes客户机上,对照工作站ECL中对签名者设定的权限来检查签名。2.1使用ACL限制访问数据库每个数据库都有一个ACL(存取控制列表)用来指定用户和服务器对该数据库的存取级别。尽管用户和服务器的存取级别的名称是一样的,但是指定给用户的级别决定用户在数据库中所能执行的任务,而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”存取级别的用户才能创建或修改ACL。要控制Notes用户的访问权限,应为每位用户或群组选择在数据库中的存取级别、用户类型和存取级别权限。创建数据库时可以设置ACL中的缺省项目。如果数据库设计者确定需要对数据库细分存取级别,则您还可以指定角色。将数据库投入使用前,应与设计者以及数据库的用户代表一起规划正确的存取级别。对于ACL中的每个用户名、服务器名或群组名,可以指定:存取级别存取级别权限用户类型角色2.1.1ACL中的存取级别在数据库ACL中指定给用户的存取级别能够控制用户在数据库中可以执Domino数据库安全配置手册第4页共25页行哪些任务。存取级别权限增强或限制了授予ACL.中每个名称的存取级别。对于ACL中的每个用户、群组或服务器,可以选择基本的存取级别和用户类型。要进一步细化访问权限,可以选择一系列访问权限。如果数据库设计者创建了角色,请将其分配给相应的用户、群组或服务器。在数据库ACL中分配给服务器的存取级别用于控制服务器可以复制数据库中的哪些信息。要访问

1 / 31
下载文档,编辑使用

©2015-2020 m.777doc.com 三七文档.

备案号:鲁ICP备2024069028号-1 客服联系 QQ:2149211541

×
保存成功