Domino® 安全小組
每個組織都應具有負責建置、實作及管理安全性基礎架構的安全小組。
執行這項作業的原因和時機
入門
執行這項作業的原因和時機
您需要為您的組織開發一組安全文件。任何安全性實作都需要四種基本類型的安全文件:
- 「原則」是業務的驅動文件。這些通常是業務之安全需要的高層次說明。您的組織可能已經在總體上擁有了組織的原則文件。您可以建置,並在必要時展開它們,以開發 Domino® 環境的安全原則。
- 「準則」提供如何支援並維護企業安全性的整體指引。
- 「標準」是企業中將發生事件及不會發生事件的既定規則。審核可能涉及所有四種類型的文件,但審核者實際上僅將重點放在公司所制定的標準上。標準通常涵蓋最小的密碼長度、密碼到期間隔、伺服器作業系統與實體環境、網際網路與撥接存取權控制、管理員的背景檢查以及審核需求。
- 「程序」通常包括如何實作企業中安全性的特定步驟。這是一堆 Domino® 安全文件,涵蓋從如何控制 Domino® 及 X.509 發證者,到當使用者忘記其 Notes® 或網際網路密碼時要怎麼做,到當員工離開組織時應採取哪些步驟等內容。開發程序之前,要先安裝安全防火牆。
Domino® 安全小組負責這些文件的起始方向、意見及審核。該小組必須包括企業中每個部門的代表。使用此方法,所建立的安全文件將會符合整個公司的需要。這具有的額外好處是參予的部門都會欣然接收。
大部分公司都具有類似下面表格中的責任矩陣:
| 角色 |
責任 |
|---|---|
| CEO |
CEO 必須是小組虛擬的成員。安全性必須遵循由上而下及由下而上的原則。 |
| CIO / CTO |
所有的技術主管都必須是該小組的成員。這些成員可以將其角色委派給其他人,只要該代表有權作決定。 |
| 安全主管 |
此人員是組織中安全性的決策者。 |
| 每個功能部門的代表 |
這些代表指定業務需要及需求。他們必須具有決策權。 |
| 統計 |
他們將提供風險分析的資訊。 |
| IT 部門 |
這些小組成員可以將業務需要及需求轉換成技術。 |
| HR / 訓練 |
HR 必須協助使用者訓練。HR 亦處理背景檢查、個人資訊隱私權及終止原則及程序。 |
| 法律小組 |
這些小組成員會提供與員工、風險管理或資訊出版品有關之任何事件的法律問題資訊。 |
| 文件專家/技術作者 |
此群組建立並編輯文件。 |
| 偶然事件回應小組 |
此小組將處理實作之安全練習未涵蓋的偶然事件。 |
| 通訊專家 |
關於安全性的問題與終端使用者進行通訊十分重要。 |
| Domino® 管理員 |
提供有關 Domino® 運算環境的專門知識。 |
善用終端使用者
執行這項作業的原因和時機
使用者是安全性實作的重要部分。您應向他們傳達您開發之安全性指導及標準以及安全性計劃努力的重要性。技術本身無法保護您組織的安全。在確保安全性基礎架構成功方面,使用者與任何防火牆或憑證管理中心同樣重要。
將使用者加入安全性計劃的一種方法是進行調查,以判斷使用者預期的企業安全性層次及他們認為應保護的資產。匿名調查是發現使用者可能不願意公開表達之問題的好方法。
核心小組
程序
伺服器管理員
執行這項作業的原因和時機
伺服器管理員負責管理 Domino® 伺服器的整體性能及狀態。伺服器管理員的主要責任,包括為 Notes® 用戶端及網路使用者定義及管理伺服器存取清單及伺服器限制。在大型組織中,可在數個伺服器管理員中間委派管理任務。在小型組織中,伺服器管理員可以充當 Domino® 憑證管理員,以及系統資料庫(如 Domino® 名錄及日誌檔 (LOG.NSF))的資料庫管理程式。伺服器管理員也可負責建立及維護 HTTP 存取的「檔案保護」文件,及其他與網路相關的安全方法。
如果您組織的 IT 結構容許這樣做,則最佳作法是將 Domino® 伺服器管理與作業系統伺服器管理分開。
您可以為組織的管理員定義數個層次,這取決於各種管理資源所需的存取權。例如,您可以將管理員設定為僅具有遠端控制台存取權,或僅具有系統管理存取權。這些管理存取權層次定義於 Domino® 伺服器的「伺服器」文件中。