【正文】 些值得信任的應(yīng)用程序通過路由器。但它不像雙穴網(wǎng)關(guān),只需注意橋頭堡主機的安全性即可,它必須考慮兩方面的安全性,即橋頭堡主機和路由器。如果路由器中的訪問控制列表允許某些服務(wù)能夠通過路由器,則防火墻管理員不僅要管理橋頭堡主機中的訪問控制列表,還要管理路由器中的訪問控制列表,并使它們互相協(xié)調(diào)。當(dāng)路由器允許通過的服務(wù)數(shù)量逐漸增多時,驗證防火墻的正確性就會變得越來越困難。(3) 屏蔽子網(wǎng)網(wǎng)關(guān)一個小型的獨立網(wǎng)絡(luò)放在受保護網(wǎng)與Internet之間,對這個網(wǎng)絡(luò)的訪問受到路由器中屏蔽規(guī)則的保護。因此,屏蔽子網(wǎng)中的主機是唯一一個受保護網(wǎng)和Internet都能訪問到的系統(tǒng)。 從理論上來說,這也是一種雙穴網(wǎng)關(guān)的方法,只是將其應(yīng)用到了網(wǎng)絡(luò)上。當(dāng)防火墻被破壞后,它會出現(xiàn)與雙穴主機網(wǎng)關(guān)同樣的問題。不同的是,在雙穴主機網(wǎng)關(guān)中只需配置橋頭堡主的尋徑功能,而在屏蔽子網(wǎng)網(wǎng)關(guān)中則需配置三個網(wǎng)絡(luò)(受保護網(wǎng)、屏蔽子網(wǎng)和Internet)之間的尋徑功能,即先要闖入橋頭堡主機,再進入受保護網(wǎng)中的某臺主機,然后返回報文屏蔽路由器,分別進行配置。這對攻擊者來說顯然是極其困難的。另外,由于Internet很難直接與受保護網(wǎng)進行通信,因此,防火墻管理員不需指出受保護網(wǎng)到Internet之間的路由。這對于保護大型網(wǎng)絡(luò)來說是一種很好的方法。用戶驗證使用SSL、名稱和口令驗證來保護在網(wǎng)絡(luò)上傳輸?shù)木W(wǎng)絡(luò)數(shù)據(jù)。有一點需要注意，對于辦公自動化系統(tǒng)來說，大多數(shù)據(jù)是非常重要的，因此，應(yīng)該設(shè)置系統(tǒng)拒絕“匿名訪問”名稱和口令驗證也稱為基本口令驗證，使用基本的請求/響應(yīng)協(xié)議詢問用戶的名稱和口令，然后將它們與存儲在Domino 目錄的“個人”文檔中的有關(guān)內(nèi)容相核對，來校驗口令的正確性?？梢允褂脙煞N口令驗證方式：基于 TCP/IP 的口令驗證或 基于SSL 的名稱和口令驗證，我們推薦使用基于SSL的名稱和口令驗證。l 基于 TCP/IP 的名稱和口令驗證基于 TCP/IP 的名稱和口令驗證來驗證用戶，是一種并不安全的驗證策略，例如：當(dāng)希望根據(jù)用戶名對不同的用戶顯示不同的信息時，以及當(dāng)數(shù)據(jù)庫中的信息沒有保密時，驗證數(shù)據(jù)（名稱和口令）沒有被加密，這可能被非法用戶截取網(wǎng)絡(luò)傳輸數(shù)據(jù)并猜測口令。l 基于 SSL 的名稱和口令驗證使用這種方式，同基于 TCP/IP 的名稱和口令驗證來驗證用戶的方式類似，不同的是，輸入的名稱和口令信息將被加密傳輸?shù)椒?wù)器。SSL 為設(shè)置名稱和口令驗證的用戶提供完整的服務(wù)器和數(shù)據(jù)。存取訪問控制存取控制表（ACL）規(guī)范了什么人可以以什么方式（例如，創(chuàng)建、讀、寫 、刪除等）訪問什么樣的資源。ACL 控制的資源包括服務(wù)器、數(shù)據(jù)庫、數(shù)據(jù)庫內(nèi)的文檔和文檔的字段。存取控制保證了即使是本系統(tǒng)的用戶，由于其權(quán)限的不同，其對相應(yīng)資源的訪問和操作將受到多種安全的認證。其權(quán)限管理包括服務(wù)器訪問權(quán)限、數(shù)據(jù)庫訪問權(quán)限、表單與視圖訪問權(quán)限、文檔訪問權(quán)限、文檔字段訪問權(quán)限等等。也就是說需要的話對郵件群件系統(tǒng)中的每一個數(shù)據(jù)或設(shè)計元素，都可以控制其訪問權(quán)限。Notes ACL 包括下列層次：178。 不能訪問者：不能訪問數(shù)據(jù)庫178。 儲存者：儲存者只能向數(shù)據(jù)庫內(nèi)寫內(nèi)容。178。 讀者：只能讀數(shù)據(jù)庫的內(nèi)容。178。 作者：作者可以創(chuàng)建新的文檔和讀其他文檔，但是不能修改數(shù)據(jù)庫中已經(jīng)存在的文檔。178。 編輯者：編輯者可以讀、寫和修改數(shù)據(jù)庫中的文檔。178。 設(shè)計者：可以更新或改變數(shù)據(jù)庫的設(shè)計和結(jié)構(gòu)。178。 管理者：管理者“擁有”數(shù)據(jù)庫，并且可以對 ACL 增加或刪除用戶。加密Domino使用公用密鑰和私有密鑰來加密信息。使用其中一個密鑰加密的數(shù)據(jù)只能用另一個密鑰才能解密。公用密鑰和私有密鑰是算術(shù)相關(guān)的，并且能唯一地標(biāo)識用戶。Internet 公用和私有密鑰用于發(fā)送和接收加密的 S/MIME（多用途網(wǎng)際郵件擴充郵件），還用于加密客戶端和服務(wù)器之間的 SSL 會話。SSL安全驗證字權(quán)威 (CA)驗證字權(quán)威是一種確定服務(wù)器和客戶機身份的中介，它允許服務(wù)器和客戶機使用 SSL 進行通訊以及使用 S/MIME 交換郵件，它是服務(wù)器和客戶端都可以信任的“證書”, 它使用CA數(shù)字簽名向客戶機保證服務(wù)器的驗證字是可信的，同時向服務(wù)器保證客戶機的驗證字也是可信的。如果客戶機和服務(wù)器能相互驗證（即識別驗證字中的數(shù)字簽名），那么，它們就可以建立安全的 SSL 會話或交換安全的 S/MIME 消息。如果客戶機和服務(wù)器無法相互驗證，它們就無法建立安全的會話或交換安全的消息。驗證字權(quán)威是安全SSL會話的基礎(chǔ)。Domino本身可以提供驗證字權(quán)威（CA），或者，也可以使用第三方商業(yè)驗證，如VeriSign。我們推薦使用Domino CA，因為第三方商業(yè)驗證往往價格很高，使用Domino CA，可以避免第三方 CA 在提交、更新客戶機和服務(wù)器驗證字時的費用。另外，可以降低額外的培訓(xùn)費用。SSL協(xié)議SSL（安全套接字層）不是一種獨立的協(xié)議，它是一種安全性協(xié)議，為TCP/IP 網(wǎng)絡(luò)上的事務(wù)和數(shù)據(jù)提供通訊安全、加密和驗證服務(wù)。使用SSL可以：178。 雙向驗證：通過SSL可以使服務(wù)器和客戶端對對方的合法身份進行驗證，從高安全性的角度考慮，應(yīng)該使用客戶機驗證，以使服務(wù)器相信此客戶機身份是可靠的，而通常這種客戶機驗證是可選的而非必須的。178。 事務(wù)安全：當(dāng)數(shù)據(jù)在網(wǎng)絡(luò)上流通時，數(shù)據(jù)將被加密，以此保障事務(wù)的安全。178。 數(shù)據(jù)安全：傳輸?shù)臄?shù)據(jù)將帶會附帶有一個編碼消息，此編碼消息會檢測對消息任何的篡改，當(dāng)數(shù)據(jù)被非法篡改時，可以發(fā)出提示信息。SSL可以被絕大多數(shù)多種Internet 協(xié)議所，通常我們會使用諸如：WWW服務(wù)協(xié)議Http、郵件協(xié)議（POPIMAP、SMTP）、輕目錄訪問協(xié)議LDAP等。要使用SSL協(xié)議，必須和驗證字權(quán)威(CA)配合使用，以申請SSL服務(wù)器驗證字，同時必須對每個要使用SSL的協(xié)議單獨配置，如對HTTP、POP3設(shè)置SSL，而其他協(xié)議可以不配置，如LDAP等。應(yīng)用安全應(yīng)用安全主要包括：178。 公文設(shè)置不同的密級和不同的安全級別，并劃分明確各種不同的安全級別，保證公文不外泄。178。 對所有公文必須采用電子簽名。178。 網(wǎng)絡(luò)傳輸過程中的所有文件一律通過Notes加密技術(shù)，并嚴格控制文檔的讀者和作者域，采用密文方式進行傳送。178。 記錄公文辦理的每一個環(huán)節(jié)（諸如：擬文、審核、批示、督辦、呈辦、發(fā)送、接收、閱辦、復(fù)制、銷毀等等），所有環(huán)節(jié)的操作至少保存兩年，原件與最終件永久性歸檔。178。 提供方便快速的文件處理跟蹤、接收人身份確認回復(fù)及各種統(tǒng)計、文件查閱和全過程工作結(jié)果查詢功能。178。 通過Notes群集（Cluster）技術(shù)保證文件數(shù)據(jù)存儲完整、一致。（請參見《數(shù)據(jù)備份》部分）數(shù)據(jù)備份一般來說，對企業(yè)網(wǎng)數(shù)據(jù)進行存儲備份的主要目的有兩個：其一是數(shù)據(jù)轉(zhuǎn)存或共享；其二是用于系統(tǒng)災(zāi)難恢復(fù)。數(shù)據(jù)的災(zāi)難恢復(fù)是保證系統(tǒng)安全不可或缺的基礎(chǔ)。對企業(yè)網(wǎng)絡(luò)來說，高可靠性和高可用性是最基本的要求，企業(yè)的重要業(yè)務(wù)數(shù)據(jù)都存儲在網(wǎng)絡(luò)中，一旦丟失，后果不堪設(shè)想，因此，建立一套行之有效的災(zāi)難恢復(fù)方案尤為重要。在企業(yè)信息系統(tǒng)中，由于數(shù)據(jù)量大，且常常需要跨平臺操作，數(shù)據(jù)出錯或丟失是難免的，如果沒有事先對數(shù)據(jù)進行備份，要想恢復(fù)數(shù)據(jù)不僅難度大而且不可靠，有時甚至根本不可能進行恢復(fù)。如果定期對重要數(shù)據(jù)進行備份，那么在系統(tǒng)出現(xiàn)故障時，仍然能保證重要數(shù)據(jù)安全無恙。磁帶存儲備份磁帶方式是一種傳統(tǒng)的存儲設(shè)備，它的最大優(yōu)點是存儲容量大，可以存儲海量數(shù)據(jù)。但這種方式也有其缺點：用戶從磁帶中讀取數(shù)據(jù)不是很方便。因此，現(xiàn)在一些廠商已開始利用虛擬磁帶機技術(shù)來改進磁帶數(shù)據(jù)的讀取性能。這種虛擬磁帶服務(wù)器技術(shù)是先使用磁盤陣列來緩存數(shù)據(jù)，然后將它們堆棧成虛擬的磁帶卷，當(dāng)卷填滿數(shù)據(jù)后就將數(shù)據(jù)傳送到磁帶機上。與現(xiàn)在的磁盤技術(shù)相比，使用磁帶機的一個明顯優(yōu)勢是在存儲同等容量的數(shù)據(jù)時價格要低得多。備份軟件由于SQLServer正在運行時，不能在操作系統(tǒng)上進行常規(guī)文件拷貝，建議采用其他第三方軟件開發(fā)商提供的軟件。這些軟件可以保障在系統(tǒng)正常運行時進行數(shù)據(jù)的備份，這些軟件包括：Veritas Backup Exec For Window NT Agent for Lotus Domino、CA Backup for Lotus Domino/Notes。群集備份群集是兩臺或多臺服務(wù)器構(gòu)成的服務(wù)器組，它可以使用戶不間斷的訪問數(shù)據(jù)、平衡服務(wù)器間的工作負載、改善服務(wù)器的性能，最重要的是可以對數(shù)據(jù)進行熱備份。不斷同步復(fù)制數(shù)據(jù)庫，群集中不同服務(wù)器中的數(shù)據(jù)庫，如果設(shè)置了復(fù)本數(shù)據(jù)庫，其信息總是完全相同的。群集的主要優(yōu)勢在于：178。 數(shù)據(jù)同步備份：群集復(fù)制確保不管是數(shù)據(jù)庫還是群集成員自身的所有更改，都被立即傳遞給群集中的其他數(shù)據(jù)庫或服務(wù)器。所以，這些持續(xù)保持同步的數(shù)據(jù)庫能夠保證信息的高度可用性。可以設(shè)置一個群集服務(wù)器作為備份服務(wù)器以保護重要的數(shù)據(jù)178。 重要數(shù)據(jù)庫的高度可用性：當(dāng)發(fā)生硬件或軟件問題時，群集服務(wù)器會將數(shù)據(jù)庫打開請求重新定向到群集中的其他服務(wù)器，以保證用戶對重要數(shù)據(jù)庫的不間斷訪問。這個過程叫失效轉(zhuǎn)移。伸縮性：隨著用戶數(shù)量的增加，可以通過向群集中添加服務(wù)器來保持服務(wù)器的高性能。也可以創(chuàng)建多個數(shù)據(jù)庫復(fù)本來使數(shù)據(jù)可用性達到最高，以及按照對企業(yè)成長的規(guī)劃，將用戶移至其他的服務(wù)器或群集。隨著企業(yè)的發(fā)展，可以在群集之間分配用戶帳戶，以及在群集中平衡額外的工作負載以優(yōu)化系統(tǒng)性能。第六章 行業(yè)案例多媒體類廣西區(qū)政府辦公區(qū)引導(dǎo)系統(tǒng)2006年中國－東盟博覽會招商引資光盤（中、英、日、韓、緬甸、泰、老撾、馬來西亞、印尼、柬埔寨、越南等共11種文字語言版本）。2006年環(huán)北部灣經(jīng)濟論壇多媒體DVD視頻光盤——《蔚藍色的夢想》2006年廣西文化舟“美在廣西”——廣西旅游推介多媒體演示系統(tǒng)2006年大新縣政府宣傳光盤辦公自動化類 廣西招商局辦公自動化系統(tǒng)南寧市紀律檢查委員會 永凱集團永凱商貿(mào)辦公自動化系統(tǒng)良慶區(qū)行政審批系統(tǒng)邕寧區(qū)行政審批系統(tǒng)廣西出入境管理局辦公自動化系統(tǒng)南湖分局辦公自動化系統(tǒng)馬山縣公安局辦公自動化系統(tǒng)寶資通房地產(chǎn)公司辦公自動化系統(tǒng) ………..網(wǎng)站應(yīng)用類南博會食品監(jiān)控網(wǎng)廣西區(qū)消防總隊內(nèi)網(wǎng)南寧市邕寧公眾信息網(wǎng)南寧市體育信息網(wǎng)南寧市西鄉(xiāng)塘區(qū)黨建信息網(wǎng)賓陽縣黨建信息網(wǎng)南寧市邕寧區(qū)黨建信息網(wǎng)南寧市江南區(qū)黨建信息網(wǎng)大化政府網(wǎng)廣西福建商會 ………..應(yīng)用系統(tǒng)類廣西區(qū)黨委視頻采集分析系統(tǒng)廣西畢業(yè)生就業(yè)系統(tǒng)豐林集團木材管理系統(tǒng)四川運政管理系統(tǒng)南寧市吳圩機場固定資產(chǎn)管理系統(tǒng)………..