Domino® 安全模型

物理安全性

从物理上保证服务器和数据库的安全性与防止未授权的用户和服务器访问同样重要。物理安全性是防御未授权或恶意用户的第一道防线，可防止这些用户直接访问 Domino® 服务器。因此，强烈建议您将所有 Domino® 服务器放在一个通风良好的安全区域，如一间上锁的房间。如果服务器在物理上不安全，那么未授权的用户可能会绕开安全性功能（如 ACL 设置）而直接访问服务器上的应用程序、使用操作系统拷贝或删除文件，或者物理损坏服务器硬件本身。

物理网络安全性考虑还应包括灾难规划和恢复。

操作系统安全性

未授权的用户或恶意用户通常会利用操作系统的弱点。作为系统管理员，应保护运行 Domino® 服务器的操作系统。例如，应限制管理员登录权限、禁用 FTP（NT 中），并且避免将映射后的文件服务器或共享 NAS 服务器目录链接用于 Domino® 服务器。应随时了解操作系统的选项，并及时地用安全性更新程序和补丁程序更新操作系统。

网络安全性

保护网络安全性的目标是防止未授权的用户访问服务器、用户和数据。有关网络物理安全性的内容已超出本书的范围，但在设置 Notes® 和 Domino® 连接安全性之前必须设置网络物理安全性。网络的物理安全性是通过使用设备（如过滤用路由器、防火墙和代理服务器）而建立的，这些设备对您要提供给用户的各种网络服务（如 LDAP、POP3、FTP 和 STMP）启用网络连接。也可使用这些设备控制网络连接安全性访问。例如，您可以定义允许访问的连接，以及被授权使用这些连接的人员。

如果配置正确，则这些设备可防止未授权的用户执行下列操作：

• 强行进入网络并通过操作系统访问服务器及其本地服务（如文件共享）。
• 冒充经授权的 Notes® 用户
• 通过窃听网络来收集数据

服务器安全性

Domino® 服务器是需要保护的最重要资源，并且是在用户或服务器获准访问网络中服务器后 Domino® 强制执行的第一级安全性。可指定哪些用户和服务器可以访问 Domino 服务器，并限制其在服务器上的活动。例如，限制可以创建新副本和使用传递连接的人员。

还可以限制并定义管理员访问权限，即根据管理员职责和任务授权访问权限。例如，您可以对系统管理员启用通过服务器控制台访问操作系统命令的权限，而将数据库访问权限授予那些负责维护 Domino® 数据库的管理员。

如果针对 Internet/Intranet 访问对服务器进行设置，则应设置 SSL、名称和密码认证，以保护通过网络传输的网络数据的安全性，并认证服务器和客户机。

标识安全性

Notes® 或 Domino® 标识可唯一识别用户或服务器。Domino® 使用标识中所含的信息控制用户和服务器对其他服务器和应用程序的访问。管理员的职责之一是保护标识，并确保未经授权的用户无法使用标识访问 Domino® 环境。

某些站点可能要求多个管理员输入密码才能批准访问验证者或服务器标识文件。这样可以防止由一个人控制标识。在这种情况下，每个管理员应确保每个密码都是安全的，以防止对标识文件的未授权访问。

也可以使用智能卡保护 Notes® 用户标识的安全性。智能卡可降低用户标识被盗的威胁，因为使用智能卡的用户需要使用用户标识、智能卡以及智能卡 PIN 才能访问 Notes®。

有关智能卡的更多信息，请参阅 HCL Notes® 帮助。

应用程序安全性

一旦用户和服务器获得对 Domino® 服务器的访问权限，您就可使用数据库访问控制列表 (ACL) 来限制特定用户和服务器对该服务器上各个 Domino® 应用程序的访问权。此外，为提供数据的保密性，应使用标识加密数据库以使未经授权的用户无法访问本地存储的数据库拷贝、对用户收发的邮件消息进行签名或加密，以及对数据库或模板进行签名以避免在工作站中运行公式。

应用程序设计元素安全性

即使用户可以访问应用程序，但他们仍然可能无法访问应用程序中的某些设计元素，如表单、视图和文件夹。设计 Domino® 应用程序时，应用程序开发人员可使用访问控制列表和特殊字段来限制对特定设计元素的访问。

工作站数据安全性

Notes® 用户可保留并使用其工作站中的重要应用程序和信息。可通过使用 ECL（执行控制列表）来保护此信息。ECL 定义了来自其他用户的活动内容对用户工作站的访问权限。