测试和道德黑客攻击

概述

Oracle 组建了多个专业安全专家团队来负责评估公司基础设施、产品和服务的安全性。 这些团队致力于执行各种级别的补充安全测试:

  • 操作安全扫描是所有 Oracle 系统和服务中常规系统管理的一部分。 此评估主要使用商业扫描等工具以及 Oracle 自己的产品(例如 Oracle Enterprise Manager)。 操作安全扫描的目的主要是检测未经授权和不安全的安全配置。
  • 此外,通过执行常规渗透测试,可以检查系统是否已按照 Oracle 的企业标准进行设置,以及这些系统能否承受其操作威胁环境,并抵御渗透互联网的恶意扫描。 渗透测试包括两种形式:
    • 使用商业扫描工具和手动步骤执行被动渗透测试。 测试通常通过互联网执行,而且一般只需极少的内部知识。 被动测试可以足够可靠、准确地确认是否存在已知类型的漏洞,它会创建一个测试用例,随后开发人员或云运维人员可以使用该测试用例来验证是否存在报告的问题。 在被动渗透测试期间,除了确认问题所需的基本操作之外,不会对生产环境进行任何渗透。 例如,不会利用 SQL 注入来窃取数据。
    • 主动渗透测试比被动渗透测试更具侵入性,允许利用已发现的漏洞。 其范围也比被动渗透测试更广,安全团队通常可以从一个系统转向另一个系统。 当然,主动渗透测试受到严密控制,可避免对生产系统产生意外影响。
  • 与操作安全性扫描和渗透测试相比,道德黑客攻击是一项开卷活动,道德黑客团队可以访问工程文档,例如设计规范和受测试产品的源代码。 为了对目标系统进行更具侵入性的分析,可以为道德黑客团队提供管理访问权限,让他们能够使用更多日志记录和调试模式。 道德黑客攻击测试通常针对专用测试环境执行,因为它们通常会严重破坏目标系统,甚至可能需要重建。

操作安全性扫描

根据 Oracle 服务器安全政策和相关技术标准,Oracle IT 组织负责对所管理的 Oracle 企业系统和云服务进行安全扫描。 根据企业安全性解决方案保证流程 (CSSAP),所有扫描工具必须经过审批。 扫描结果将通过基于风险的方法加以分析。 变更管理流程用于按照基于风险的优先级来处理任何已识别的问题。

关于 Oracle 企业系统和云服务操作安全性扫描的信息是 Oracle 机密信息,不得与外部共享。

渗透测试

Oracle 要求面向外部的系统和云服务接受由独立安全团队执行的渗透测试。 全球信息安全性渗透测试团队负责执行渗透测试,并在其他内部安全团队或授权的第三方团队进行渗透测试活动的情况下对所有业务部门进行监督。 此监督旨在提高渗透测试活动及其相关方法的质量、准确性和一致性。 Oracle 有正式的渗透测试要求,包括测试范围和环境定义、批准的工具、结果分类、通过自动化和手动步骤尝试的攻击类别,以及报告结果的程序。

Oracle 的企业安全团队将审查所有渗透测试结果和报告,验证是否已执行独立且全面的测试。 Oracle 要求先完成对重要渗透测试结果的修复,然后才允许业务线将新系统或云服务部署至生产环境。

有关 Oracle 企业系统和云服务渗透测试的信息是 Oracle 机密信息,不得与外部共享。

道德黑客攻击

道德黑客攻击活动由道德黑客团队 (EHT) 执行,该团队是全球产品安全性组织中的一个独立安全研究人员小组。

EHT 测试报告从未向外界披露,该团队只将其调查结果报告给公司安全架构师以及受影响业务部门的高级领导。 此外,EHT 团队还是 Oracle 安全编码标准的重要贡献者,并且会定期将其测试结果的概要作为"经验总结"提供给 Oracle 开发团队。

Oracle Labs

Oracle Labs 的使命很简单: 发现、探索和传授有可能大幅改进 Oracle 软件、Oracle 云服务和企业运营的新技术。 Oracle Labs 的研究人员致力于探寻各种新的方法和方法论,经常要承担高风险或高度不确定的项目,或者处理产品开发组织难以解决的问题。

Oracle 的研发承诺是技术发展的驱动因素,这些技术让 Oracle 始终处于计算机行业的前沿。 尽管 Oracle 的许多前沿技术均源自其产品开发组织,但 Oracle Labs 是 Oracle 唯一专门从事研究的组织。