安全性评估

概述

为了进一步证明 Oracle 的领导地位以及对产品安全的承诺,我们进行了外部安全评估和认证。这些评估包括由独立认证的实验室执行的严格测试。外部评估和验证为我们 IT 产品的安全性提供了额外保证。在全球范围内,这些认证通常是政府采购的强制性要求,并为 IT 采购者确立了可接受的信任水平,包括政府、军用和商业采购。

全球 IT 安全性评估有两个重要组成部分:执行评估所依据的标准和方法,以及控制这些标准和方法的政府计划。无论您位于哪个国家/地区,所依据的标准均是相同的,但是不同的计划执行不同的策略。目前,Oracle 积极加入了很多国际公认的安全性评估标准:

1.Common Criteria (CC) 是唯一的国际框架(ISO/IEC 15408),它定义了评估 IT 产品安全特性和功能的通用方法。CC 源于另外三个国家安全标准,多年来经过不断发展,与安全趋势和产品技术保持同步。在撰写本文时,已有 30 个国家/地区承认该框架,其中包括美国在内的 18 个国家被授权颁发证书。经 Common Criteria 认证的产品是指,经授权的政府计划认定该产品已通过拥有许可的独立评估实验室的评估。

2.联邦信息处理标准 (FIPS) 140-2 是由美国国家标准与技术研究所 (NIST) 开发的用于保护敏感但未分类数据的加密标准。经验证符合 FIPS 140-2 标准的模块将成为美国和加拿大联邦机构认可的采购对象。此认证确认加密功能已由独立实验室进行测试,并由政府计划根据标准要求进行验证。金融(支付卡行业 (PCI))、健康(健康保险流通与责任法案 (HIPAA))、政府云 (FedRAMP) 和美国军方(联合互操作性命令 (JITC) 和分类商业解决方案 (CSfC))等行业已采用 FIPS 140-2 要求。

有关详细信息,请访问安全性评估网站。有关目前正在进行和已经完成的 Oracle 安全性评估完整列表,请参见 Oracle 安全性评估状态

Oracle 安全性评估博客主要关注政府认证、验证和认可计划:

  1. 通用标准以及安全性评估的未来 (Mary Ann Davidson)
  2. 加快产品评估的速度 (Joshua Brickman)
  3. FIPS:"Catch 22"加密 (Joshua Brickman)

请发送电子邮件至 seceval_us@oracle.com,咨询有关 Oracle 安全性评估的任何问题。

评估的安全性优势

独立验证 由经过政府计划认证的公认评估机构针对产品安全执行的评估。
标准保证措施 由经过政府计划认证的公认评估机构针对产品安全执行的评估。
产品增强 安全评估可以改进认证解决方案的整体设计和安全实现
识别架构漏洞 安全评估有助于识别架构漏洞