關于部署安全Oracle要造結實的門問題
2024-08-29 13:42:18
供稿:網友
前不久,針對SQL Server數據庫服務器而引發的Slammer病毒的蔓延,讓全球范圍內的眾多服務器遭受了巨大的災難。于是,安全問題再一次給人們敲起了警鐘。雖然微軟早已經發布了針對于此的補丁,但由于缺乏安全防范意識,依然使得眾多企業用戶蒙受重創。 難道互聯網時代就沒有安全可言嗎?在亞太地區專程傳播安全理念的Oracle首席安全官Mary Ann Davidson的答案卻是“No!”。
Oracle首席安全官Mary認為,造一扇堅固的門才是企業安全的要害
牢固的鎖和堅固的門
根據《2002CSI/FBI計算機犯罪和安全調查》報告統計,過去12個月內,有90%的受訪者發現自身的計算機安全受到攻擊,80%的受訪者承認由此造成了財務損失。另外,分別有74%的受訪者和33%的受訪者認為,他們的Internet連接和內部系統經常輕易受到攻擊。這些只是經過量化的數據,而那些未經發現且難以估計的損失則往往要大得多。
毋庸置疑,客戶也非常關注企業自身的安全。許多企業用戶不遺余力地購置了部署IDS、防火墻之類的軟硬件設施,然而是否因此就可以高枕無憂呢?
此次Slammer病毒的蔓延,再次擊碎了人們一廂情愿的幻想。這類安全攻擊的頻繁性和有效性已越來越引起軟件廠商及客戶的警覺。一方面,廠商必須提高警惕,防止一般性程序設計錯誤給自身軟件留下的巨大安全漏洞;另一方面,客戶購買軟件時也必須非凡謹慎,要選擇那些從研發之始就注重安全性的軟件,并且尤其應該注重軟件的安全部署。
Mary總結道:“假如廠商交付的產品缺乏安全性,那么,任何安全產品對系統安全都無濟于事。這就如同你用一塊不堪一擊的膠合板來制作家門,并在門上安一把鎖,以此希望能夠防范小偷撬門而入,但無論這把鎖多牢固,小偷只需在門上踢個洞即能得逞,根本無須撬開那把鎖。問題的要害是要鍛造一扇堅固的門。”
堅固的門從何而來
要鍛造企業信息系統安全堅固的大門,產品供給商首先義不容辭。長期致力安全工作的Mary,全面負責Oracle產品和公司基礎架構的安全性,以及安全策略的指定、安全性認證與評估、突發安全事件的處理。就如何保障生產安全的產品,Mary認為至少包括四個方面的內容:一套完整安全的產品開發過程、信息質量的安全保障、由于產品缺陷漏洞引起的事件相應處理以及合理安全的產品配置部署模式。
要實現安全的產品開發過程,首先就是要建立一套切實可行的標準程序。對產品開發人員進行安全教育,防止黑客侵襲系統源代碼;安全專家采用集中式治理,開發出適用于企業安全產品常用的解決方法;通過安全系列測試來保障軟件產品質量可信度。Mary就此還透露了Oracle產品發布的流程:在真正發布一個產品之前,產品研發各環節的負責人都要簽署一個清單。清單上邊羅列了安全方面可能會發生的20多個問題,唯有這些問題得到清楚的解答之后,產品才能正式出臺。而在每一個產品的開發過程中,Oracle天天晚上都會進行類似的產品測試。
信息質量的安全保障,則需要由公平的第三方機構對產品進行科學認真的評估認證。國際通行的ISO15408安全標準,已經受到廣泛的重視,并有越來越多的國家政府要求產品供給商提供這個認證。而Oracle很早以前就已經熟悉到安全評估的重要性,在過去的10年時間里就已經參加過15次類似的安全評估。Mary認為,評估更適合成熟產品。針對產品的安全評估,包括開發產品面臨的風險、安全產品保護以及用戶需要預防哪些風險,應建立什么樣的制度來化解風險。通過評估,能夠在黑客之前發現并糾正漏洞,進行有針對性的修改。Mary同時還認為,參與評估能夠幫助開發廠商建立安全開發程序,加強企業安全方面的文化建設和認知。
保障產品安全的四個主要內容
對于軟件開發過程中難以避免的安全漏洞和不足,Mary介紹說,Oracle已經擁有一套完善的應急處理機制。在發布安全警報之前,Oracle系統將使用風險計算程序,客觀判定安全弱點的級別。計算程序將就安全弱點提出一系列問題,并根據安全團隊輸入的答案,根據“高”、“中”、“低”三個級別來判定安全弱點的危險級別,以確保安全弱點的分級準確無誤。針對不同類型的安全弱點,Oracle將分別通過Metalink和OTN網絡向客戶及公眾發布警報。同時,進行回歸分析,并確保高質量的補丁包將會向客戶發送。
近年來,Oracle一直在強調使用戶的總擁有成本降至最低,并通過采用支持linux平臺的商業策略來促成實現,然而安全問題卻并不能因此而忽視。考慮到越來越多的中小企業都在使用Oracle系統,而其自身又缺乏系統治理人才,Oracle正在致力于設置缺省的安全模式,通過完善的產品發布程序,讓更多的企業可以放心地使用Oracle產品,而無需擔心系統安全性。
要造更多堅固的大門
雖然Oracle以前認證的產品多還是“堅不可摧”的數據庫平臺類產品,Mary卻表示對其他諸如Oracle應用服務器等應用類產品,也都要做類似互聯網目錄、身份識別的安全測試。為此,Oracle內部甚至雇有專門的黑客團隊來挑剔地對Oracle產品實施攻擊,尋找潛在的安全漏洞。
目前,Oracle產品策略均基于這樣一種考慮:不管用戶是否配備有防火墻之類的設施,都要求Oracle產品自身具有很強的安全性,能夠抵御外來攻擊。因此,任何一個企業用戶都應該制定自己的安全策略,了解到自身面臨什么樣的威脅及如何應對,實時對自己的策略進行評估審計。
最后,Mary還非凡強調用戶應強化部署Oracle產品的設置,而不要太迷信防火墻,應注重防火墻和Oracle產品之間的通信協議。數據安全、應用安全、網絡安全才是用戶最終希望的結果,Oracle在自己的產品開發部署過程中,已經力所能及地保障了所有這一切。剩下的就是用戶該擦亮眼睛,選擇好適合自己的安全好用的產品了。而這正是Mary在Slammer風波之后亞太一行的另一個主要目的。
