問：我是一個政府的博物館里的一名志愿者，我們開發(fā)了一個數(shù)據(jù)庫應(yīng)用程序，當志愿者和工作人員在史密森研究所（Smithsonian Institution）的網(wǎng)絡(luò)中工作時可以使用該應(yīng)用程序。但是現(xiàn)在我們想讓我們的注冊用戶能在家里訪問該應(yīng)用程序，這樣他們就能在家里進行他們的研究。將該應(yīng)用程序放置在DMZ區(qū)域中是否合適呢？如果合適的話，那么DMZ中的該應(yīng)用程序是否應(yīng)該為內(nèi)部交互應(yīng)用程序的一個只讀副本？

答：你的問題中包含了兩個值得關(guān)注的安全問題：該應(yīng)用程序的最佳的網(wǎng)絡(luò)位置和授權(quán)的遠程用戶的合適的訪問級別。你沒有提到任何有關(guān)于你們數(shù)據(jù)庫中的數(shù)據(jù)的敏感度的信息，所以我將假設(shè)其中沒有特別敏感的數(shù)據(jù)。

該應(yīng)用程序放置的位置與網(wǎng)絡(luò)的拓撲結(jié)構(gòu)關(guān)系很大。如果你們的組織者使用虛擬專用網(wǎng)絡(luò)（VPN），而且志愿者們也必須連接到VPN后才能使用該應(yīng)用程序，那么應(yīng)將該應(yīng)用程序的Web前端程序放置在VPN終止的地方。如果這個地方在你們的內(nèi)部網(wǎng)絡(luò)中，那么將該Web前端放在那里沒什么問題。
　　
如果你不打算使用VPN連接，那么設(shè)置DMZ區(qū)域肯定是個不錯的選擇，因為它保證了那些從外部網(wǎng)絡(luò)對該應(yīng)用程序的訪問（包括那些在沒有授權(quán)的情況下想要對該應(yīng)用程序的訪問）都不能獲得對其它應(yīng)用程序或網(wǎng)絡(luò)資源的訪問權(quán)限。
賦予遠程用戶的訪問級別應(yīng)該遵循最小特權(quán)原則；只賦予他們完成工作所需的權(quán)限。如果沒有業(yè)務(wù)需求需要用戶在離線狀態(tài)下修改數(shù)據(jù)，那么就沒有必要賦予他們這些權(quán)限。在另一方面，假如他們需要讀權(quán)限，有很多的例子可以使得數(shù)據(jù)庫驅(qū)動的應(yīng)用程序?qū)ν獠坑脩艨捎?。要確保你考慮到了Web應(yīng)用程序的安全性，因為還有一些合適的事情需要考慮，從而共同來增強托管的應(yīng)用程序的安全性。