第4章Lotus Domino 6.5 的安全机制.docVIP

Lotus Domino 6.5 的安全机制 第4章 Lotus Domino 6.5 的安全机制 1 4.1 安全性简介 1 4.2 安全层次模型 2 4.3 服务器安全性 3 4.4 应用程序安全性（ACL） 6 4.4.1 ACL 中的项目 8 4.4.2 ACL 中的存取级别 13 4.4.3 ACL 中的用户类型 16 4.4.4 ACL 中的角色 16 4.4.5 强制实现存取控制列表的一致性 17 4.4.6 Internet 用户的最大权限 18 4.4.7 编程改变ACL设置 19 4.5 视图表单安全性 20 4.6.1 限制对视图的访问 20 4.6.2 控制对表单的访问 21 4.6 文档安全性 24 4.6.1 读访问控制 24 4.6.2 编辑访问控制 25 4.6.3 混合使用读者域和作者域 26 4.6.4 使用存取控制区段 27 4.6.5 使用隐藏公式 28 4.6.6 加密文档和域 29 4.7 Web认证 33 4.8 程序设计建议 34 4.9 规划应用程序的安全性 36 4.9.1 关键设计问题 36 4.9.2 区分真正的安全特性 36 4.10 Domino6的新特性 37 4.11 安全性总结 39 安全性简介 本部分描述Domino安全性功能。 Domino提供了多层次的方法以确保安全性。可以保护域、区段、表单、视图、数据库、服务器和网络域的安全。保证服务器的安全并且控制对网络域的存取权限是服务器管理员的职责。作为数据库设计者，您可以控制哪些人员有权访问您创建的应用程序以及单个域的内容，并且可以控制应用程序特定特性的存取权限，例如：数据库设计和运行于数据库上的代理。 所使用的特性决定了应用程序的安全程度。数据库存取控制列表和加密特性提供了真正的安全性，创建表单存取列表以及隐藏设计元素允许您限制存取权限，但是它们并不是真正的安全性特性。 安全层次模型 Domino 安全模型以保护资源（如 Domino 服务器本身、数据库、工作站数据以及文档）为前提。应对要保护的资源或对象进行设置，以定义访问和更改对象的用户权限。有关访问权限的信息与每一个受保护的资源存储在一起。这样，特定用户或服务器对需要访问的不同资源，可能拥有不同的访问权限设置。 下面是对 Domino 环境中需要保护的各种资源的简短描述。有些主题并非只针对于 Domino 安全性，将其包括在内是为了叙述的完整透彻。 物理安全性 从物理上保证服务器和数据库的安全性与防止未授权的用户和服务器访问同样重要。物理安全性是防御未授权或恶意用户访问的第一道防线，它可防止这些用户直接访问 Domino 服务器。因此，我们强烈建议您将所有的 Donimo 服务器放在一个通风良好的安全区域，如一间上锁的房间。如果服务器在物理上不安全，那么未授权的用户可能会绕开安全性功能（如 ACL 设置）而直接访问服务器上的应用程序、使用操作系统拷贝或删除文件，或者物理损坏服务器硬件本身。 物理网络安全性考虑还应包括灾难规划和恢复。 操作系统安全性 未授权的用户或恶意用户通常会利用操作系统的弱点。作为系统管理员，应保护运行 Domino 服务器的操作系统的安全性。例如，应限制管理员登录/权限、禁用 FTP，并且应避免使用映射后的与 Domino 服务器的文件服务器或共享 NAS 服务器的目录链接。应随时了解操作系统的选项，并及时地用安全性更新程序和补丁程序更新操作系统。 网络安全性 保护网络安全性的目标是防止未授权的用户访问服务器、用户和数据。有关网络物理安全性的内容已超出了本书的范围，但在设置 Notes 和 Domino 连接安全性之前必须设置网络的物理安全性。网络的物理安全性是通过使用设备（如过滤用路由器、防火墙和代理服务器）而建立的，这些设备对您要提供给用户的各种网络服务（如 LDAP、POP3、FTP 和 STMP）启用网络连接。也可使用这些设备控制网络连接安全性访问。例如，您可以定义允许访问的连接，以及被授权使用这些连接的人员。 如果配置正确，则这些设备可防止未授权的用户执行下列操作： 强行进入网络并通过操作系统访问服务器及其本地服务（如文件共享）。 冒充经授权的 Notes 用户。 通过窃听网络来收集数据。 服务器安全性 Domino 服务器是需要保护的最重要的资源，并且是在用户或服务器获准访问网络中的 Domino 服务器后，Domino 强制执行的第一级安全性。可指定哪些用户和服务器可以访问 Domino 服务器，并限制其在服务器上的活动。例如，限制可以创建新复本和使用中继连接的人员。 还可以限制并定义管理员访问权限，即根据管理员职责和任务委派访问权限。例如，您可以对系统管理员启用通过服务器控制台访问操作系统命令的权限，