Thứ Sáu, 26 tháng 4, 2013

Tổng quan về bảo mật trong Domino ( Domino Security overview)

Bảo mật trong Domino rất mạnh mẽ, liên quan tới cơ chế bảo mật nhiều lớp để bảo vệ máy chủ và database tránh khỏi các truy cập không hợp pháp.
Trong phần này, tôi sẽ giới thiệu tổng quan về bảo mật trong Domino, thể hiện cho các bạn theo trình tự truy cập được phần quyền từ mức thấp tới mức cao.

Mô hình bảo mật ( Security Model)

Biểu đồ dưới đây thể hiện một loạt các bước bảo mật thông qua các lớp.
Người dùng phải thỏa mãn các cơ chế bảo mật của Domino - theo chuỗi từ trái qua phải để có thể truy cập vào dữ liệu:

  • Authentication: trong suốt quá trình xác thực, người dùng chứng mình - tên của họ được xác thực
  • Server access: điều khiển truy cập tới Domino Server dựa trên tên có tồn tại trong Server Access Control List.
  • Database access: điều khiển toàn bộ quyền thiết lập tới database trong ACL

Tổng quan về mô hình bảo mật

  • Mô hình bảo mật cho Notes Client truy cập tới Domino server giống với cách Domino Server này truy cập tới Domino server khác ( ví dụ như đồng bộ hóa, định tuyến mail, chia sẻ các thông tin về lập lịch, ect), nhưng truy cập Domino theo trình duyệt và các trình Internet client khác (POP, LDAP, ...) theo một cách khác.
  • Cho phép Anonymous truy cập bằng Notes hoặc qua trình duyệt là cách "nhanh nhất" để mở một session trên server, nhưng bạn mất kiểm soát người dùng truy cập qua Database ACL và Document ACL bởi vì bạn không thể phân biệt chúng bằng tên.
  • Cuối cùng, bạn nên áp dụng tất cả các phương thức bảo mật máy chủ, điều này sẽ làm tăng chi phí, nếu bạn thực hiện không đúng thì cả người dùng hợp lệ sẽ bị khóa.

Chú ý 1: các cơ chế bảo mật khác của Notes bao gồm mã hóa CSDL trên đĩa, bắt buộc đổi mật khẩu, khóa công khai phải khớp lúc đăng nhập, ..
Chú ý 2: Cơ chế bảo mật trong phần này chủ yếu áp dụng cho giao thức Notes. Bảo mật Internet Mail và HTTP Protocol tôi sẽ nói với các bạn trong phần Cấu hình Mail

Các mức bảo mật


Mức
Chức năng
Mức1: General Access
Đây là mức thấp nhất bảo mật dữ liệu Notes, bao gồm các cơ chế bảo mật sau:
  • Bảo mật mức vật lý của máy chủ để ngăn chặn cá nhân mở local file
  • Bảo mật mức mạng ngăn chặn người dùng phá vỡ bảo mật Domino thông qua truy cập trực tiếp file hệ thống
  • Xác thực ( cho phép Anonymous truy cập nếu có thể)
  • Báo cáo truy cập máy chủ
  • Database ACL
  • Các cơ chế bảo mật này là thiết yếu và không bao giờ được bỏ qua

Mức 2: I/O Access
Khi bạn cho tổ chức khác truy cập tới máy chủ của mình, bạn nên thêm vào mức bảo mật lớp 2, bao gồm các cơ chế bảo mật sau:
  • Cổng điều khiển truy cập với danh sách người dùng và nhóm trong file NOTES.INI
  • Mã hóa dữ liệu truyền trên mạng
  • Liên kết tới thư mục với danh sách người dùng và nhóm được phép trong .DIR file

Mức 3: Firewall Dominos
Đây là mức cao được khuyến cáo khi truyền thông và đồng bộ hóa với các tổ chức khác, trực tiếp hoặc qua Internet mà bạn đã tạo firewall giữa vùng mạng bên trong và bên ngoài.
Chồng chéo chức năng network firewall: bạn có thể tạo Domino Firewall Domain bằng cách sử dụng Domino Directory và Organization Certifirer


Cơ bản bảo mật mạng

Hạn chế truy cập tới Domino Server qua mạng là một phần nhiệm vụ của người quản trị và có thể thực hiện theo cách sau:

  • Yêu cầu mật khẩu người dùng khi đăng nhập vào mạng, thiết lập thời hạn của mật khẩu và không cho phép sử dụng mật khẩu giống nhau, hạn chế khả năng đăng nhập thông qua nhiểu nguồn.Thiết lập thời gian để log out người dùng khi không sử dụng. Notes hỗ trợ đặt User IDs trên SmartCard, khuyến khích người dùng bảo mật tài khoản của họ.
  • Nếu Domino server chạy HTTP stack, hãy chạy trên cổng 80 ( 443 nếu dùng SSL)
  • Nếu định tuyến mail sử dụng SMTP, dùng cổng 35 ( 465 nếu dùng SSL)
  • Nếu hỗ trợ Lotus iNotes, cổng 80 và 443 nên sử dụng ( và cổng 1352 nếu dùng DOLS)
  • Phụ thuộc vào các dịch vụ internet khác ( ví dụ LDAP), bạn nên mở các cổng này. Nếu sử dụng Quickr, bạn nên sử dụng cổng 80/443 cho HTTP/HTTPS, 1352 for DOLS, cổng 1533 và 8080 cho online awareness và chat.

Port access list

Bạn có teher hạn chế truy cập tới mạng LAN hoặc cổng COM trên máy chủ bao gồm cả những dòng trong file NOTES.INI hoặc sử dụng câu lệnh >set config :
Allow_Access_<PortName>= <Groupname>, <groupname>
Deny_Acess_<PortName>= <Groupname>, <groupname>
Hãy nhớ những điều sau khi bạn sử dụng Port access


Tên nhóm hoặc tên tổ chức có thể sử ký tự đại diện ví dụ:
Allow_Acess_TCPIP=Admins,LocalDomainServer,*/NN

Dấu * đại diện cho mọi người có tên trong Domino Directory ví dụ
Allow_Access_TCPIP=*
Thiết lập các Port nếu bạn muốn bảo vệ sử dụng tên trong hộp thoại Ports
Thành viên trong nhóm bị cấm truy cập sẽ ghi đè thành viên trong nhóm được phép truy cập
Bạn phải khởi động lại server để Port Access có thể effect
Chú ý: Port access không áp dụng cho Notes Anonymous user hoặc tới browser. Nó chỉ điều khiển những Port nào được xác thực Notes Clients

Mã hóa dữ liệu mạng

Một khía cạnh khác của bảo mật mạng là khả năng giữa Notes Client và Domino Server có thể mã hóa dữ liệu gửi tới Domino Servers

Firewall Network

Bạn nên tạo ra các vùng mạng riêng biệt để tăng cường bảo mật cho hệ thống. Giữa các vùng nên có firewall hoặc router lọc gói tin.

Domino firewall domain

Domino firewall domain được sử dụng để điều khiển truy cập tới internal server. Việc định tuyến mail, đồng bộ hóa với các máy chủ bên ngoài chỉ được thực hiện bởi server trong Domino firewall domain.
Domain này đòi hỏi quản trị phải public một Domino Directory thứ hai có các đặc điểm sau:

  • Default ACL mặc định được set là No Access để bên ngoài không thể tìm ra các kết nối khác của bạn
  • Chứa tất cả các tài liệu Connections tới tất cả các domain bên ngoài để đồng bộ hóa và định tuyến mail.
  • Định nghĩa nhóm server cung cấp truy cập tới server trong Domino Firewall Domain
  • Cần thiết thêm vào tài liệu Cross Certificate để xác thực Internal Domino Domain Server với các server bên ngoài.

internal Domino Domain Domino Directory của bạn cần có:

  • Tài liệu Connection tới server trong Domino Firewall domain để định tuyến mail và đồng bộ hóa
  • Tài liệu Non-Adjacent Domain  để dễ dàng định giải quyết thư tin và cho phép định tuyến mail chỉ từ các Domino Domain xác định.
  • Tài liệu Server cho phép truy cập bởi server trong Domino firewall domain
  • Tài liệu Cross Certificate, nếu cần thiết để xác thực với server trong Domino firewall organization.

Chú ý:
Domino Directory không được định nghĩa các server trong Domino Domain khác
Trong phần sau tôi sẽ nói về tài liệu Connection, Cross Certificate và No-Adjacent Domain.

Trách nhiệm của người quản trị:

Để đảm bảo thành công trong việc bảo vệ ứng dụng, database developer phải làm việc với Domino Administrator, người mà:

  • Đăng ký các tài khoản cần thiết
  • Cung cấp cho Notes Client Notes User ID file
  • Cung cấp cho người dùng cách tự đăng ký qua web ( tạo tài liệu Person trong Domino Directory có Internet password)
  • Nếu chứng thực sử dụng X.509 Internet Certificate, kich hoạt SSL và tạo ra Certificate Authority Key Ring và Certificate, Server Key Ring và Certificate, và phê duyệt người dùng yêu cầu Certificate.

Trách nhiệm của người phát triển:

Như một phần tổng thể của việc thiết kế database, người phát triển phải quyết định:
Ai có thể truy cập tới các mức của mô hình bảo mật, bao gồm những truy cập gán cho người dùng nội bộ và người dùng bên ngoài, quyền được đưa cho Notes clients hoặc browsers.
Dễ dàng điều khiển bảo mật sử dụng groups và roles.
Những mục nào có thể Create và View trên menu cho người dùng xác định
Đọc mức trường ( field-level) và edit access cho Notes Clients.

Quản lý văn bản và hồ sơ công việc


QUẢN LÝ VĂN BẢN VÀ HỒ SƠ CÔNG VIỆC

(Quản lý văn bản, quan ly van ban, hồ sơ công việc, ho so cong viec, domino, lotus domino, xpages)

Vì sao VSD xây dựng sản phẩm mà trên thị trường đã có:
  • Với phương châm: (Hướng tới “end-user”) VSD luôn coi trọng lợi ích và hiệu quả khai thác của người sử dụng cuối, chúng tôi hướng đến một sản phẩm cung cấp đầy đủ các chức năng cần thiết và gắn liền với việc xử lý văn bản hàng ngày của người sử dụng.
  • Với những đặc tính mở của phần mềm, chúng tôi xây dựng đáp ứng mọi quy trình xử lý văn bản, các thao tác được rút ngắn tối đa nhất có thể trong quá trình xử lý văn bản.
  • Với đội ngũ chuyên gia có rất nhiều kinh nghiệm trong việc triển khai những phần mềm dùng cho khối hành chính nhà nước, cùng với sự kiểm tra thử nghiệm khắt khe trong suốt thời gian xây dựng phần mềm, chúng tôi đảm bảo với quý khách hàng rằng: Bạn đã lựa chọn được một sản phẩm ưng ý và có tính ổn định cao nhất.
Vì sao VSD lựa chọn IBM Lotus Domino 8.5.3:
  • IBM Lotus Domino 8.5.3 là phiên bản công nghệ mới nhất của bộ sản phẩm Lotus.
  • Với môi trường lập trình Xpages (Hỗ trợ kéo thả control giúp người lập trình thay đổi giao diện nhanh và dễ dàng)
  • Cở sở dữ liệu hướng tài liệu tạo điều kiện thuận lợi cho việc lưu trữ, quản lý và khai thác thông tin
  • Chạy tất cả các hệ điều hành.
  • Hỗ trợ tốt nhất môi trường Web 2.0
  • Hỗ trợ HTML5
  • Tích hợp với các hệ thống khác rất dễ dàng (AD, LDAP, DB2, SQL, Sharepoint, websphere…….)
  • Với Xpages giao diện web và client là một (Xây dựng chạy trên web đồng nghĩa với chạy trên notes client)
  • Chế độ bảo mật cao (Ngoài những tính năng bảo mật thông thường, Lotus Domino còn có tính năng bảo mật theo Notes ID)
  • Gửi nhận và đồng bộ dữ liệu đơn giản bằng giao thức Notes Routing, Webservice, Mail....
  • Hỗ trợ tính sẵn sàng cao của hệ thống: cluster, cân bằng tải ...
Một số hình ảnh của phần mềm
Giao diện hài hòa, bắt mắt, bố trí các chức năng hợp lý, tiện dụng cho người dùng

Địa chỉ demo phần mềm:
Phiên bản dành cho khối hành chính nhà nước: http://xsp.vsd.com.vn
STT
Tài khoản đăng nhập
Mật khẩu
Ghi chú
1
vt
1
Văn thư
2
ct
1
Chủ tịch
3
cvp
1
Chánh văn phòng
4
tpvx
1
Trưởng phòng văn xã
5
cv1vx
1
Chuyên viên 1 văn xã
6
cv2vx
1
Chuyên viên 2 văn xã
7
vttt
1
Văn thư trung tâm tin học cấp 2
8
gdtt
1
Giám đốc trung tâm
9
vtban
1
Văn thư ban quản lý CNTT cấp 3
10
tbql
1
Trưởng ban quản lý
11
quantri
12345
Quản trị hệ thống

Phiên bản dành cho doanh nghiệp: http://dn.vsd.com.vn
STT
Tài khoản đăng nhập
Mật khẩu
Ghi chú
1
gd
1
Giám đốc
2
pdg
1
Phó giám đốc
3
tphc
1
Trưởng phòng hành chính
4
vtdn
1
Văn thư doanh nghiệp
5
tpkd
1
Trưởng phòng kinh doanh
6
ppkd
1
Phó phòng kinh doanh
7
nv1pkd
1
Nhân viên 1 phòng kinh doanh
8
nv2pkd
1
Nhân viên 2 phòng kinh doanh
9
tpkt
1
Trưởng phòng kỹ thuật
10
ppkt
1
Phó phòng kỹ thuật
11
nv1pkt
1
Nhân viên 1 phòng kỹ thuật
12
nv2pkt
1
Nhân viên 2 phòng kỹ thuật
13
qtdn
12345
Quản trị doanh nghiệp

Mọi chi tiết xin liên hệ:
Hỗ trợ kinh doanh:
Nguyễn Quang Tuấn - 04.62737300,  0912.068.823 (nqtuan@vsd.com.vn)
Hỗ trợ kỹ thuật:
Ngô Sinh Nguyên - 04.62737311 (nsnguyen@vsd.com.vn)
Phùng Quốc Hoàn - 04.62737311 (pqhoan@vsd.com.vn)