第六章 Domino Intranet网络的安全性 1，2，3章（转）

郑瑞城

任何信息系统都必须考虑安全性要求，信息安全是应用系统成功的必要条件，特
别是对于当今以网络计算为特点的Intranet/Internet系统。Intranet/Internet
应用必然涉及重要的金融信息，因此安全性更应该成为信息网络系统首先考虑的
因素。本章讨论信息系统安全性控制的需求，以及Domino／Notes安全性解决方案
的功能与特点。


第一节 信息系统安全性需求

　　尽管每一个信息系统对安全性的需求不尽相同，但是根据ISO 7498安全性标
准，它们都可以归类到以下的几个方面：权限控制、身份识别与验证、保密性、
数据完整性与不可篡改性。一个信息系统只有完整地满足上述安全性要求，才可
以被认为是安全的（从技术上），换句话说，安全性信息系统必须提供上述几种
安全性控制服务。即：

l 权限控制（Access Control）：即只允许经过授权（Authorized）和经过验证
（Authenticated）的用户存取某一信息资源，不管信息资源是在服务器上，还是
在个人工作站里。对资源存取控制可以由资源拥有者赋予，或者是由信息系统根
据某种规则赋予。权限控制的内容包括：谁可以存取、存取方式、何时存取、存
取条件等。
l 身份识别与验证（Identification and Authentication）： 目的是确认访问
者的身份。访问者可能是人或者程序，识别与验证就是验证它们提交的身份识别
标志。验证的过程最简单的是单向的，即系统验证访问者的身份；也可以是双向
或三方的，用于分布式环境下对于客户机与服务器的身份验证。身份验证是权限
控制的基础和必要条件。身份识别与验证的技术包括：口令字、智能令牌（Smar
t Token）、智能卡（Smart Card）和生物测量法（如指纹、基因等）。
l 保密性（Confidentiality）：目的是保护敏感信息。当敏感信息被保存在本地
时，必须使用权限控制或加密技术，使之得以保护；当敏感信息在网络上传输时
，应该被加密。
l 数据完整性（Data Integrity）：目的是保证信息未经非授权的修改。用户或
程序在使用数据时，或者数据在网络上传输时，必须有手段保证和检测信息未被
非法修改过。非法修改的可能性有两种：硬件或传输错误，和受到攻击。相应地
，为保证数据完整性，采用各种校验技术和产品以及网络协议确保存储与传输正
确，采用符合国际标准的密码技术保证不受到别有用心者的攻击。
l 不可篡改性（Non-repudiation）：可以看成是身份识别与验证的延伸。一般情
况下用于电子传输，目的是确认信息传送双方，即保护信息的接收方防止发送人
否认已发出信息，保护信息的发送方防止接收方否认已收到信息。如同手写体签
名用于确认重要的法律文件，不可篡改性服务在电子信息上附加特定人的个人信
息。


第二节 Domino/Notes安全机制  

Domino/Notes从产品的第一版起即提供保证信息系统安全性完整的技术与手段，
至今已经过近九年的发展和完善。业界公认， 安全性是Domino/Notes最有价值的
特性之一。
Domino/Notes中每一项数据操作都在安全性控制之下，符合本章第一节中信息系
统安全性的所有要求。Domino/Notes的安全性控制手段包括：

l 身份识别与验证：Domino提供基于工业标准RSA的Notes公共密钥基础架构（Pu
blic Key Infrastructure, PKI ），即层次化或平面化的验证字发放与验证、交
叉验证体系。Domino服务器与Notes客户机均需要在系统中注册，获得合法的ID文
件。ID文件具有口令保护（可以是多重的），而且具有时效性。在通讯和访问时
，需要首先通过公共密钥／私用密钥验证技术，由系统验证双方身份。系统认为
合法和真实身份后，才能进行下一步的操作。浏览器用户的身份验证则通过口令
字与SSL认证实实现。浏览器用户可以注册到Domino目录里（否则视为匿名用户）
，每一次访问时必须输入口令，当口令准确无误时，Domino服务器认可浏览器用
户在本信息系统的身份；或者采用更安全有效的SSL认证机制。Domino服务器支持
SSL V3，利用标准的X.509数字证书为身份识别与验证的凭据。Domino可作为X.5
09证书的CA（发放与认证机构），也可接受由其他CA发放的X.509证书。一旦Dom
ino服务器与浏览器用户可以验证通过对方的X.509证书，即可建立保密的通讯通
道供信息的安全传输。Domino/Notes的下一版将统一Notes公共密钥基础架构与X
.509公共密钥基础架构。
l 权限控制：包括服务器访问权限、数据库访问权限、表单与视图访问权限、文
档访问权限、文档字段访问权限、区段与字段访问权限控制等多个级别。这些权
限控制手段按层次逐渐细化，需要的话可以对Intranet/Internet系统中的每一个
数据或设计元素控制访问权限。
l 数字签名：数字签名技术保证了数据的完整性和不可篡改性。数字签名过程简
要说明如下：首先 根据数据内容生成一个128位的密文，并使用作者（签名者）
的私人密钥来加密之，然后将加密过的密文附加到数据上，同时将签名者的公共
密钥和验证字信息附加到数据上。当其它人访问签字后的数据时，Domino/Notes
首先确认签字人的验证字是否可信，如果成功Domino/Notes使用与签名时使用的
私人密钥相对应的公共密钥进行解密，如解密成功则表明确认此数字签名。 数字
签名过程中使用了数据内容和时间等参数，不管是数据或签名在存储还是传输过
程中受到损坏或被恶意篡改，都可以通过数字签名技术验证出来。
l 加密机制： Domino/Notes提供双密钥加密技术与单密钥加密技术。前者使用R
SA算法，后者使用RC2与RC4算法。可以对数据字段、数据库文件存储加密，以及
在报文传递与网络通讯时加密处理。此外，Domino支持SSL，可以加密保护服务器
与服务器、服务器与浏览器（即端对端）的会话层数据传输通讯。
l 日志与审计功能：Domino的日志记录非常广泛，任何对服务器的操作都可以记
录下来，用于分析和统计、审计。通过这个办法，可以检测所有尝试过的恶意攻
击，不管是来自Notes客户机的还是浏览器的。
l ECL（执行控制权限表）：Internet技术包括电子邮件、Java与HTML都可以包含
内嵌对象（程序）。这些对象可以是邮件炸弹、特洛伊木马（非法驻留窃听程序
）或病毒，一旦对象运行即对计算机与信息的安全性构成威胁。ECL可以控制这些
内嵌对象的运行，从而保证安全性。
　　Domino的安全性控制可以用以下图示表明，用户只有经过多层次的认证与权
限控制允许后才能访问到想要访问的信息。



图6-1 Domino的多级别安全保护

Domino提供的这些安全性控制手段，必须合理地运用于Intranet/Internet应用的
开发和管理中，使之发挥效力。


第三节 其它安全机制与安全管理制度  

必须认识到，物理和网络的安全性控制是同样重要的。尽管Domino的安全性控制
能够确保保存在Domino数据库里（服务器或工作站上）的信息的安全性以及部分
的网络通讯时的安全，即使非法侵入者已破坏了物理与网络的安全。但是，作为
一个完整的信息系统，因为许多信息是保存或传输在文件系统、硬盘、网络服务
器等等存储与传输介质上，所以，物理与网络的安全性控制也是必须考虑的。

l 物理安全性控制谁可以直接操作机器以及能执行何种操作。
l 网络安全性管理谁可以通过网络端口访问操作系统。
l Domino安全性控制谁可以访问Domino服务器、服务器上的数据库以及数据库里
的数据等。

　　对于物理安全性，应该采用下列手段：
l 服务器放置在安全的环境内，一般情况下只有系统管理员才能接触，房间加锁
。
l 硬件加锁。应利用服务器硬件上的机器锁、硬盘锁等设施。
l 操作系统权限管理。如加入屏幕保护口令、启动口令等等。

网络安全性控制是通过网络软件和协议来控制对服务器的网络访问。Intranet/I
nternet系统采用TCP/IP协议构建，而该协议本身的安全性控制是很弱的。因此本
系统应该采取下列几方面措施限制将本系统中的服务器的访问。
l 防火墙与网络缓冲隔离。放火墙用以隔离Intranet与Internet，防止来自外部
的非法访问。防火墙技术通常包括三种：Packet Filtering，Socks Server与Pr
oxy Agents。在Intranet与Internet之间设置缓冲网络区段（也称为非军事区，
DMZ）。
l 远程服务器。外界用户可能通过拨号方式访问服务器，必须设置必要的权限控
制加以控制。
l 用口令等管理的办法，限制Telnet、FTP、共享目录NFS等网络操作。
l 加密网络通讯与使用SSL。目的是防止线路窃听。