《中国移动Domino数据库安全配置手册》由会员分享,可在线阅读,更多相关《中国移动Domino数据库安全配置手册(31页珍藏版)》请在金锄头文库上搜索。
1、 据库安全配置手册密 级:文档编号:项目代号:中国移动 据库安全配置手册据库安全配置手册拟 制:审 核:批 准:会 签:标准化: 据库安全配置手册版本控制版本号 日期 参与人员 更新说明分发控制编号 读者 文档权限 与文档的主要关系1 创建、修改、读取负责编制、修改、审核2 批准 负责本文档的批准程序3 标准化审核 作为本项目的标准化负责人,负责对本文档进行标准化审核4 读取5 读取 据库安全配置手册目 录第一章 概述 .据库存取控制 . 使用 制访问数据库 .的存取级别 .置数据库 . 强制实现 一致性 . 加密数据库 . 为数据库或模板签名 .证 .件 .D 文件的类型 .D 的内容 .3
2、 验证字 . 交叉验证字 .户认证 . 基本的用户名加口令认证 . 基于会话的用户名加口令认证 . 证 .务器认证 .户端认证 .全检 查列表 .据库安全配置手册第 1 页 共 25 页第一章 概述供了一个健壮的安全模型,可以通过裁剪来满足您所在组织的需求。有一个六层的安全系统。 网络网络安全性可以防止对服务器端网络未经授权的访问。如果在网络层阻塞了访问, 未经授权的用户就不能访问任何 务器。网络访问典型情况下是使用网络硬件和软件进行控制的,但是可以通过对务器端口的数据进行加密来提供进一步的安全性。对网络端口数据加密可以阻止未经授权用户通过使用网络协议分析器来读取数据。对网络传输加密,可以使用
3、端口加密或者 用户认证用户认证是一个在客户端试图访问 务器时 户端和务器用来进行相互确认和鉴定的过程。 用存储在D 文件中的验证字来进行确认和鉴定。 当使用 议时,可以使用基于 验证字或者用户名加口令来认证。 服务器服务器安全性控制对 务器的访问。在校验服务器安全性之前用户必须要通过认证。服务器访问通过在 录中的服务器访问列表来进行控制。 数据库数据库安全性控制对 务器上数据库的访问。在校验数据库安全性之前用户必需访问到了服务器并且通过了认证。 数据库访问通过数据库访问控制列表(进行控制。本地数据库可以通过加密来确保只有拥有正确口令和件的用户才能进行访问。 设计元素 据库安全配置手册第 2 页
4、 共 25 页设计元素安全性控制对表单、视图和文件夹的访问。在设计元素安全性发生作用前用户必需要访问到数据库。使用设计元素安全性,可以允许用户查看数据库中某些类型的文档而阻塞其它类型。控制表单访问,使用表单访问列表和密钥。控制视图和文件夹访问,使用视图和文件夹访问列表。设计元素安全性也可以用来限制运行在 作站上的公式和脚本的行为 。控制工作站的访问,使用执行控制列表。 文档文档安全性控制对文档中域、节和段或者整个文档的访问。这是最细粒度的安全性。可以使用读者和作者域控制对整个文档的访问。控制对节和段的访问,使用“当时候隐藏(公式。控制对域的访问,使用密钥。 本地数据库安全上面的六层安全性应用于
5、存放在 务器上的数据库,并且用户是通过网络来进行访问。如果某个人未经授权地访问到了用户的计算机或服务器,他可以绕过安全设置直接读取本地数据库。为了避免未经授权的访问,以加密数据库并且加强本地数据库的 二章 数据库存取控制限制对 据库的访问可以防止未经授权的用户访问信息有以下几种方式。任务 用途使用 制访问数据库 控制 户以及 务器对数据库的访问。 强制实现 一致性 通过强制在一个位置进行全部的 改,来保护服务器上的数据库和模板。加密数据库 防止未经授权的用户访问服务器 据库安全配置手册第 3 页 共 25 页或工作站本地的数据库。对数据库或模板进行签名 识别数据库或模板的创建者。当用户访问数据
6、库时,系统会检查签名以确定是否允许执行此操作。 例如,在 务器上,代理管理器会检验代理的签名并检查签名者是否有权执行此操作。在 户机上,对照工作站 对签名者设定的权限来检查签名。用 制访问数据库每个数据库都有一个 取控制列表)用来指定用户和服务器对该数据库的存取级别。尽管用户和服务器的存取级别的名称是一样的,但是指定给用户的级别决定用户在数据库中所能执行的任务,而指定给服务器的级别则决定服务器可以复制数据库中的哪些信息。只有具有“管理者”存取级别的用户才能创建或修改 控制 户的访问权限,应为每位用户或群组选择在数据库中的存取级别、用户类型和存取级别权限。创建数据库时可以设置 的缺省项目。如果数据库设计者确定需要对数据库细分存取级别,则您还可以指定角色。将数据库投入使用前,应与设计者以及数据库的用户代表一起规划正确的存取级别。对于 的每个用户名、服务器名或群组名,
