Различия

Показаны различия между двумя версиями страницы.

--- ru:h2k:doc:5 [2023/07/25 04:06] – создано symbatk
+++ ru:h2k:doc:5 [2024/09/09 08:20] (текущий) – внешнее изменение 127.0.0.1
@@ Строка 1: / Строка 1: @@
+====== Безопасность ======
+====Свойства====
+  * защита от несанкционированного физического доступа к информации;
+  * привязка к хосту, на котором запущена виртуальная машина;
+  * внешние исходящие сетевые правила позволяют связь только с 3мя фиксированными нодами (HTTPS), 2мя [[ru:h2k:terms#Управляющий сервер|управляющими серверами]] (шифрованный трафик между Domino серверами);
+  * внешние входящие сетевые правила позволяют только SSH подключение к консоли;
+  * консоль авторизует по Open SSL сертификатам;
+  * внутренний firewall повторяет внешние сетевые правила.
+----
+====HCL Notes====
+Модель безопасности Domino® основана на принципе защиты ресурсов, таких как сам сервер Domino®, базы данных, данные рабочих станций и документы. Ресурсы или объекты, которые защищаются, настраиваются для определения прав пользователей на доступ и изменение объекта. Информация о правах доступа и привилегиях хранится вместе с каждым защищаемым ресурсом. Таким образом, данный пользователь или сервер может иметь разные наборы прав доступа в зависимости от ресурсов, к которым этому пользователю или серверу требуется доступ.
+----
+====Создание BlackBox====
+  * Создание образа на [[ru:h2k:terms#Чистая машина|чистой машине]] ;
+  * Перенос образа на рабочую площадку;
+  * [[ru:h2k:terms#HCL Domino Сервер|id Domino сервера]]  создаётся на этой же чистой машине;
+  * Администрирование на стадии начальной настройки Domino осуществляется с соседней чистой машины;
+----
+====Решение BlackBox====
+===OS===
+  * Виртуальная машина VmWare;
+  * Операционная система Oracle Linux;
+  * Раздел зашифрован;
+  * При перезапуске требуется пароль расшифровки раздела;
+  * Привязка к виртуальной машине.
+===Domino===
+  * Пароль id сервера;
+  * Шифрование используемых БД (ключами id сервера);
+  * В адресной книге кросссертификаты только 2х Управляющих серверов;
+  * Шифрование трафика на уровне сетевых портов Domino;
+----
+[[ru:h2k:terms#Black box|BB]] имеет доступ только к трем фиксированным нодам, которые находятся на существующих 2х серверах и собраны с базового исходника нод. Любой человек может настроить ноду под себя в силу общедоступности ее кода, и то, что ВВ обращается только к ноде сервиса Н2К, гарантирует, что он не подключится к ноде, которая отличается от основной. Так Н2К контролирует сервер, на котором находятся закрытые ключи, и все программы на этом сервере.
+Но публичные ноды могут подключиться к одной из трех фиксированных нод, являющейся внешней. Однако на ней ничего не хранится, потому при ее взломе утечки данных не произойдет.