3 安全功能

為了避免潛在的安全威脅,使用 DIVAnet 的客戶必須注意系統的認證和授權。

只要正確地設定組態且遵循附錄 A中的安裝後檢查項目,即可將這些安全威脅降至最低。

安全模型

提供保護防止安全威脅的重要安全功能如下:

  • 認證 - 確保只有經過授權的個人才能夠存取系統和資料。

  • 授權 - 控制對系統權限和資料的存取。此功能建立在認證上,以確保個人只能得到適當的存取權。

認證

DIVAnet 服務可以使用數種方法執行認證:

  • SSL / TLS 憑證 - 當 DIVAnet 對遠端 DIVAnet 服務建立外送連線時,DIVAnet 會查詢憑證信任存放區。這有助於確保 DIVAnet 連線到真正的 DIVAnet 服務。若要建立從 DIVAnet ClientAdapter 到 DIVArchive 執行處理的安全連線,您必須使用識別為 WebServices (Web 服務) 的 ConnectionType 透過 ManagerAdapter 進行連線。

  • 存取規則 - 從技術的角度看,存取規則是一種存取控制形式,可根據內送 IP 位址篩選內送連線。對於協助確保只有獲得核准的系統,才擁有適當的 DIVAnet 服務存取權,此功能不可或缺。

注意:

DIVAnet 服務使用資料庫密碼作為其組態的一部分。密碼在安裝之後必須立即變更,而且之後每隔 180 天 (最少) 都要變更一次。完成變更後,您必須將密碼以離線方式儲存在安全場所,並且在「Oracle 客戶服務部」需要時可立即取得。

存取控制

您可以建立存取規則,限制特定使用者或系統可以在分散式存檔系統中執行的作業。存取規則能夠以下列方式執行:

  • ClientAdapter /MultiDiva 模式 - 限制可執行的 DIVAnet 要求類型。

  • ManagerAdapter - 限制可執行以滿足 DIVAnet 要求的 DIVArchive 要求類型 (可能是遠端系統的要求)。

存取規則會影響從 DIVAnetUI 或從 API 通訊埠連線 (可能是由 MAM 或自動化系統所起始) 起始的要求。

DIVAnet 要求可以在 DIVAnet 層次或 DIVArchive 層次執行存取規則。在 DIVAnet 層次,ClientAdapter 會在收到要求的位置處理該要求。在 DIVArchive 層次,遠端 ManagerAdapter 會處理所發出的 DIVArchive 要求以滿足 DIVAnet 要求。

Oracle 建議您建立符合應用程式需求的最嚴格規則集。例如,如果只有管理員才需要執行全域刪除,請確實拒絕其他人員存取該功能。如果系統使用者群組僅需要存取有限的「來源與目的地」清單,請確定那些使用者只能針對那些特定的「來源與目的地」發出要求。

請同時考量用來滿足要求的網站。例如,如果本機網站上的使用者不需要在不是本機網站的來源或目標網站執行複製 (如果使用 DIVAnet 便可能發生這種情況),請在 ClientAdapter 組態中設定這些規則。

最後,請考量您要從要求中全面排除的特定建構。例如,如果您不需要處理只有「物件名稱」(沒有類別) 的物件,請排除類別空白的所有要求。

此外,每個 ClientAdapter WorkflowProfile 都包含可由指派給 WorkflowProfile 之要求進行處理的有效訊息清單。在 MultiDiva 模式中,這可以提供方法排除處理特定訊息 (包括資訊訊息)。

Oracle 建議您從 AccessRules.xml.ini 檔案中定義的預設規則開始 (即使您沒有定義自己的存取規則)。如需「DIVAnet 存取控制」功能的詳細資訊,請參閱 Oracle DIVAnet Installation, Configuration, and Operations Guide,網址為:

https://docs.oracle.com/en/storage/#csm

設定 SSL/TLS

DIVAnet 的憑證資料位於兩個地方:用於在本機系統上代管之 Web 服務的私密金鑰存放區,以及用於驗證遠端方式呼叫之 Web 服務的公用金鑰存放區。您可以使用 Java Keytool Utility (Java 金鑰工具公用程式) 來變更金鑰存放區密碼以及新增和刪除憑證。

請參閱下列以瞭解建立金鑰存放區的詳細資訊:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/jsse/JSSERefGuide.html#CreateKeystore

只有 DIVAnet Web 服務連線才使用 SSL/TLS。在此版本中,使用 DIVArchive API 通訊埠連線到 DIVArchive 或 DIVAnet 將不會使用 SSL/TLS

私密金鑰存放區

DIVAnet 私密金鑰憑證資料儲存在:

$DIVANET_HOME/Program/divanet/lib/diva129.jks

此金鑰存放區中只能有一個憑證。此憑證用於從此 $DIVANET_HOME 目錄執行之服務所代管的 Web 服務。建議您使用新憑證取代隨附的憑證,並且對您網路中的每個 DIVAnet 網站使用不同的憑證。

您必須變更此金鑰存放區的密碼。將密碼資訊儲存在名為 $DIVANET_HOME/Program/divanet/lib/diva129.properties 的新檔案中,並將此檔案設成只有 DIVAnet 服務 (在 Linux 中,此使用者為 divanetsvc) 才能夠讀取,而系統的一般使用者不可讀取 (例如,Linux 中的 diva 使用者)。請使用下列檔案格式:

keystorePassword=newpassword

公用金鑰存放區

有時候又稱為信任存放區,此資料位於:

$DIVANET_HOME/Java/lib/security/cacerts2

此憑證資料用於外送 Web 服務呼叫 (包括 DIVAnetUI)。可將多個公用金鑰載入此金鑰存放區中。

如果您已經在 DIVAnet 私密金鑰存放區新增新的自行簽署憑證,請使用金鑰工具公用程式匯出此憑證。可呼叫此網站上之 WebServices (Web 服務) 的所有應用程式 (DIVAnet 服務、DIVAnetUI 等) 接著應該將匯出的憑證新增至本身的公用金鑰存放區。