إدارة العمليات والاتصالات
الاستخدام المقبول وموظفي Oracle
تحظى Oracle بمتطلبات رسمية لاستخدام شبكة شركة Oracle، وأنظمة الكمبيوتر، وأنظمة الهاتف، وتقنيات المراسلة، والوصول إلى الإنترنت، والبيانات المؤسسية، وبيانات العملاء، وموارد الشركة الأخرى المتاحة لموظفي Oracle والمقاولين والزوار.
مبادئ الأمن العام للاتصالات
يجب أن تمر الاتصالات من شبكة شركة Oracle وإليها عبر أجهزة أمن الشبكة وعبر حدود الشبكة. يخضع الوصول إلى شبكة شركة Oracle من جهات خارجية إلى الموافقة المُسبقة. يجب أن تستخدم الاتصالات عن بُعد بشبكة شركة Oracle حلول الشبكة الخاصة الظاهرية (VPN) المُعتمدة بشكل حصري. لمعرفة المزيد حول ممارسات إدارة الشبكة من Oracle، يرجى الاطلاع على أمن اتصالات الشبكة.
ضوابط الوصول
يتم تنظيم العمليات في مجموعات وظيفية، إذ يتم تنفيذ كل وظيفة من مجموعات مُنفصلة من الموظفين. تتضمن أمثلة المجموعات الوظيفية المطورين ومسؤولي قاعدة البيانات ومسؤولي النظام ومهندسي الشبكات. تعرَّف على المزيد حول ضوابط الوصول من Oracle.
إدارة نقاط الضعف الأمنية
لدى Oracle متطلبات رسمية مصممة لتحديد وتحليل ومعالجة نقاط الضعف الأمنية الفنية التي قد تؤثر على أنظمة مؤسستنا وبيئة خدمات Oracle Cloud.
مطلوب من فِرق تكنولوجيا المعلومات والأمن والتطوير من Oracle مراقبة نشرات المورّدين والصناعة ذات الصلة، بما في ذلك توثيقات الأمان الخاصة بـ Oracle، لتحديد تصحيحات الأمان ذات الصلة وتقييمها. بالإضافة إلى ذلك، تتطلب Oracle إجراء مسح لنقاط الضعف الأمنية باستخدام أنظمة المسح الآلي بشكل دوري على الأنظمة الداخلية والخارجية التي تديرها. تخضع بيئات الخدمة السحابية إلى اختبار الاختراق اعتمادًا على مستوى مخاطر النظام.
تتمثل الأولوية الإستراتيجية لشركة Oracle للتعامل مع الثغرات المُكتشفة في Oracle Cloud في معالجة هذه المشكلات وفقًا إلى خطورتها والتأثير المحتمل على خدمات Oracle Cloud. تعد الدرجة الأساسية لنظام تسجيل نقاط الضعف المشتركة (CVSS) أحد المعايير المستخدمة في تقييم الخطورة النسبية لنقاط الضعف. تتطلب Oracle تحديد نقاط الضعف الأمنية المحددة وتتبعها في نظام تتبع الأخطاء.
تهدف Oracle إلى إكمال أنشطة معالجة الخدمات السحابية، بما في ذلك الاختبار والتنفيذ وإعادة التشغيل/إعادة التزويد (عند الحاجة) خلال فترات الصيانة المخطط إليها. مع ذلك، يمكن إجراء صيانة أمان إضافية خارج فترات الصيانة المجدولة، كما هو موضح في سياسات الاستضافة والتسليم في Oracle Cloud ووثائق الركيزة المرتبطة حسب المعمول به.
تُعد Oracle Software Security Assurance بمثابة منهجية من Oracle لبناء الأمن في تصميم منتجاتها وإنشائها واختبارها وصيانتها، سواء تُستخدمها محليًا بواسطة العملاء أم تُقدم عبر Oracle Cloud.
يمكن للعملاء والباحثين الأمنيين الإبلاغ عن الثغرات الأمنية المشتبه بها إلى Oracle: طريقة الإبلاغ عن الثغرات الأمنية إلى Oracle أو عن طريق إرسال طلب خدمة في نظام الدعم المُعين.
تصف سياسة اختبار أمن العملاء من Oracle أنشطة اختبار الأمن (على سبيل المثال، اختبار الاختراق ومسح الثغرات الأمنية) التي يمكن أن يقوم بها عملاء Oracle على منتجاتهم المحلية من Oracle وخدمات Oracle Cloud.
مراقبة معلومات سجل التدقيق وحمايته
تتطلب Oracle من مالكي النظام تسجيل السجلات والاحتفاظ بها لأنشطة معينة تتعلق بالأمن على أنظمة التشغيل والتطبيقات وقواعد البيانات وأجهزة الشبكة. يلزم وجود أنظمة لتسجيل الوصول إلى أنظمة Oracle وتطبيقاتها، بالإضافة إلى تسجيل تنبيهات النظام ورسائل وحدة التحكم وأخطاء النظام. تنفذ Oracle ضوابط مصممة للحماية من المشكلات التشغيلية، بما في ذلك استنفاد وسائط ملف السجل، وفشل تسجيل الأحداث، و/أو السجلات التي تتم الكتابة فوقها.
تتطلب سياسة Oracle أن تراقب خطوط الأعمال السجلات لأغراض التحقيق في أحداث الأمان والطب الشرعي. يجب أن تتغذى الأنشطة الضارة المحددة على عمليات إدارة أحداث الأمان لمجال العمل المالك لهذا النظام. يتم توفير الوصول إلى سجلات الأمن على أساس الحاجة إلى المعرفة وأقل الامتيازات. حيثما أمكن، يتم حماية ملفات السجل بالتشفير القوي بالإضافة إلى الضوابط الأمنية الأخرى، كما يتم مراقبة الوصول. يجب نقل السجلات التي يتم إنشاؤها بواسطة الأنظمة التي يمكن الوصول إليها عبر الإنترنت إلى الأنظمة التي لا يمكن الوصول إليها عبر الإنترنت.
إدارة الأصول
تتطلب سياسة جرد أصول أنظمة معلومات Oracle جردًا دقيقًا لجميع أنظمة المعلومات والأجهزة التي تحتفظ بأصول المعلومات طوال دورة حياتها من خلال نظام جرد معتمد من الشركة. تحدد هذه السياسة سمات التعريف المطلوبة التي ينبغي تسجيلها لأجهزة الخادم والبرامج والبيانات الموجودة على أنظمة المعلومات والمعلومات اللازمة لأغراض استعادة البيانات بعد الكوارث واستمرارية الأعمال.
تكنولوجيا الاتصالات
تدير Oracle IT حلول الشركات للتعاون والتواصل داخل Oracle ومع الجهات الخارجية. تتطلب سياسات Oracle من الموظفين استخدام أدوات الشركة المُعتمدة هذه عند التعامل مع المعلومات السرية. تستفيد كل من هذه الحلول من الضوابط الأمنية الوقائية والكشفية مثل تقنيات مكافحة البرامج الضارة ومكافحة الفيروسات.
حددت Oracle إرشادات لتبادل المعلومات بأمان مع المورّدين والجهات الخارجية الأخرى.
الاستحواذات
يتعين على الشركات التي تستحوذ عليها Oracle أن تتوافق مع ممارسات الأمان هذه بصفتها جزء من عملية التكامل. تعتمد مدة كل جانب من جوانب عملية التكامل ونتائجه على الحجم والتعقيد والالتزامات التعاقدية السابقة والمتطلبات التنظيمية المطبقة على منتجات الشركة وخدماتها وموظفيها وعملياتها.