Segurança da Comunicação em Rede
Visão geral
Para a administração de dispositivos de segurança e gerenciamento de rede, a Oracle exige que a equipe de TI use protocolos seguros com autenticação, autorização e criptografia forte. Os dispositivos de rede devem estar localizados em um ambiente protegido com controles de acesso físico e outros padrões de medida de segurança física definidos pela Global Physical Security (GPS).
As comunicações da rede corporativa da Oracle devem passar por dispositivos de segurança de rede no limite da rede corporativa interna da Oracle.
As conexões remotas com a rede corporativa da Oracle devem usar exclusivamente redes privadas virtuais (VPN) que foram aprovadas pelo CSSAP (Corporate Security Solution Assurance Process).
O acesso à rede corporativa da Oracle por fornecedores e terceiros está sujeito a limitações e aprovação prévia de acordo com a Política de Acesso de Terceiros da Oracle.
Gerenciamento de Ativos
Os dispositivos de rede devem ser registrados e inventariados em um sistema de informações aprovado pela Oracle de acordo com a Política de Inventário de Ativos de Sistemas de Informação da Oracle. Essa política exige o inventário preciso e a propriedade documentada de todos os sistemas de informação que processam ativos de informação ao longo do seu ciclo de vida.
Detecção de Invasão
A Oracle emprega sistemas de detecção de intrusão na intranet da Oracle para fornecer vigilância contínua para interceptar e responder a eventos de segurança conforme eles são identificados. A Oracle utiliza uma abordagem de monitoramento baseada em rede para detectar ataques em portas de firewalls abertas dentro da intranet da Oracle. Os eventos são analisados usando a detecção de assinatura, que é uma correspondência de padrões das configurações do ambiente e das atividades do usuário em um banco de dados de ataques conhecidos. A Oracle atualiza o banco de dados de assinatura assim que novas versões são disponibilizadas para distribuição comercial. Os alertas são encaminhados à segurança de TI da Oracle para análise e resposta a ameaças em potencial.
Separação de Redes Internas e Externas
Na segurança de rede, as DMZs recebem esse nome devido ao termo “zona desmilitarizada”. DMZs de rede operam de forma semelhante, como uma zona de buffer física ou lógica, fornecendo uma camada adicional de segurança entre duas redes separadas.
DMZs ("zonas desmilitarizadas") são áreas de rede crítica que fornecem separação entre sub-redes dentro da rede corporativa da Oracle e a internet. Os mecanismos de controle de acesso à rede são necessários para controlar as comunicações dentro e ao redor das DMZs, a fim de manter uma segregação de rede adequada e evitar a exposição de recursos de TI confidenciais. A Política de Segurança de Rede da Oracle define requisitos para o uso de DMZs de rede.
Redes Wireless
A Política de Segurança de Rede da Oracle estabelece requisitos formais para o fornecimento e uso de redes sem fio e conectividade para acessar a rede corporativa da Oracle, incluindo requisitos de segmentação de rede. O departamento de TI da Oracle gerencia redes sem fio e rastreia redes sem fio não autorizadas.