問(wèn)：我是一個(gè)政府的博物館里的一名志愿者，我們開(kāi)發(fā)了一個(gè)數(shù)據(jù)庫(kù)應(yīng)用程序，當(dāng)志愿者和工作人員在史密森研究所（Smithsonian Institution）的網(wǎng)絡(luò)中工作時(shí)可以使用該應(yīng)用程序。但是現(xiàn)在我們想讓我們的注冊(cè)用戶(hù)能在家里訪(fǎng)問(wèn)該應(yīng)用程序，這樣他們就能在家里進(jìn)行他們的研究。將該應(yīng)用程序放置在DMZ區(qū)域中是否合適呢？如果合適的話(huà)，那么DMZ中的該應(yīng)用程序是否應(yīng)該為內(nèi)部交互應(yīng)用程序的一個(gè)只讀副本？

答：你的問(wèn)題中包含了兩個(gè)值得關(guān)注的安全問(wèn)題：該應(yīng)用程序的最佳的網(wǎng)絡(luò)位置和授權(quán)的遠(yuǎn)程用戶(hù)的合適的訪(fǎng)問(wèn)級(jí)別。你沒(méi)有提到任何有關(guān)于你們數(shù)據(jù)庫(kù)中的數(shù)據(jù)的敏感度的信息，所以我將假設(shè)其中沒(méi)有特別敏感的數(shù)據(jù)。

該應(yīng)用程序放置的位置與網(wǎng)絡(luò)的拓?fù)浣Y(jié)構(gòu)關(guān)系很大。如果你們的組織者使用虛擬專(zhuān)用網(wǎng)絡(luò)（VPN），而且志愿者們也必須連接到VPN后才能使用該應(yīng)用程序，那么應(yīng)將該應(yīng)用程序的Web前端程序放置在VPN終止的地方。如果這個(gè)地方在你們的內(nèi)部網(wǎng)絡(luò)中，那么將該Web前端放在那里沒(méi)什么問(wèn)題。
　　
如果你不打算使用VPN連接，那么設(shè)置DMZ區(qū)域肯定是個(gè)不錯(cuò)的選擇，因?yàn)樗ＷC了那些從外部網(wǎng)絡(luò)對(duì)該應(yīng)用程序的訪(fǎng)問(wèn)（包括那些在沒(méi)有授權(quán)的情況下想要對(duì)該應(yīng)用程序的訪(fǎng)問(wèn)）都不能獲得對(duì)其它應(yīng)用程序或網(wǎng)絡(luò)資源的訪(fǎng)問(wèn)權(quán)限。
賦予遠(yuǎn)程用戶(hù)的訪(fǎng)問(wèn)級(jí)別應(yīng)該遵循最小特權(quán)原則；只賦予他們完成工作所需的權(quán)限。如果沒(méi)有業(yè)務(wù)需求需要用戶(hù)在離線(xiàn)狀態(tài)下修改數(shù)據(jù)，那么就沒(méi)有必要賦予他們這些權(quán)限。在另一方面，假如他們需要讀權(quán)限，有很多的例子可以使得數(shù)據(jù)庫(kù)驅(qū)動(dòng)的應(yīng)用程序?qū)ν獠坑脩?hù)可用。要確保你考慮到了Web應(yīng)用程序的安全性，因?yàn)檫€有一些合適的事情需要考慮，從而共同來(lái)增強(qiáng)托管的應(yīng)用程序的安全性。