可接受使用和 Oracle 员工

Oracle 对使用 Oracle 企业网络、计算机系统、电话系统、消息传递技术、互联网访问、企业数据、客户数据以及其他 Oracle 员工、承包商和访客可用的企业资源有正式规定。

一般通信安全原则

与 Oracle 企业网络进行的双向通信都必须通过网络边界的网络安全设备。第三方访问 Oracle 企业网络需事先获得批准。与 Oracle 企业网络相连的远程连接必须专门使用经过批准的虚拟专用网络 (VPN) 解决方案。如需了解有关 Oracle 网络管理实践的更多信息，请浏览网络通信安全页面。

访问控制

运营分为多个职能小组，每个职能由不同的员工小组执行。例如，职能小组包括开发人员、数据库管理员、系统管理员和网络工程师团队。了解有关 Oracle 访问控制的更多信息。

漏洞管理

Oracle 制定了正式规定，旨在识别、分析和修复可能影响我们的企业系统和您的 Oracle Cloud Services 环境的技术安全漏洞。

Oracle IT、安全和开发团队需要密切关注相关供应商公告、行业公告以及 Oracle 自己的安全公告，以识别和评估相关安全补丁。此外，Oracle 还要求定期使用自动扫描系统对所管理的内部和外部系统执行漏洞扫描。云技术服务环境将根据系统风险级别进行渗透测试。

Oracle 在 Oracle Cloud 中处理已发现漏洞时，所采用的战略是根据漏洞的严重性和对 Oracle Cloud Services 的潜在影响程度来依次修复这些问题。通用漏洞评分系统 (CVSS) 基本评分是评估漏洞相对严重性的标准之一。Oracle 要求在缺陷跟踪系统中识别和跟踪已识别的安全漏洞。

Oracle 旨在完成云技术服务修复活动，包括在计划的维护时段内测试、实施和重启/重新配置（如果需要）。然而，按照 Oracle Cloud 托管和交付政策以及适用的相关 Pillar 文档中所述，Oracle 也可以在预定的维护时段之外执行额外的安全维护。

Oracle 软件安全保证 旨在将安全性融入 Oracle 产品的设计、构建、测试和维护中，无论这些产品是在客户本地部署环境中使用，还是通过 Oracle Cloud 交付。

客户和安全研究人员可以向 Oracle 举报可疑的安全漏洞：如何向 Oracle 报告安全漏洞或通过在指定的支持系统中提交服务请求。

Oracle 客户安全测试政策介绍了 Oracle 客户如何针对 Oracle 本地部署产品和 Oracle Cloud Services 执行安全测试活动（例如渗透测试、漏洞扫描）。

监控和保护审计日志信息

Oracle 要求系统所有者获取并保留有关操作系统、应用程序、数据库和网络设备上某些与安全相关的活动日志。系统需要记录 Oracle 系统和应用的访问情况以及系统警报、控制台消息和系统错误。Oracle 实施了防范运营问题的控制措施，包括日志文件介质耗尽、没有记录事件和/或日志被覆盖。

Oracle 规定业务线必须监控日志以进行安全事件调查和取证。已识别的异常活动必须纳入该系统所属业务线的安全事件管理流程。安全日志访问权限采用“按需知晓”原则和最低权限原则。在可能的情况下，日志文件除了其他安全控制措施外，还受到强加密技术的保护，访问也会受到监控。由可访问互联网的系统生成的日志必须迁移到无法访问互联网的系统。

资产管理

Oracle 信息系统资产清单政策要求通过企业批准的库存系统，对所有信息系统和持有信息资产的设备在整个生命周期内进行准确的盘点。此政策规定了需要记录的服务器硬件、软件、信息系统数据以及灾难恢复和业务连续性所需信息的必要识别属性。

通信技术

Oracle IT 负责管理企业解决方案，用于在 Oracle 内外与各方进行协作和沟通。Oracle 政策规定员工必须在处理机密信息时使用这些经过批准的企业工具。在这些解决方案中，每一个解决方案都利用了预防性和检测性安全控制，例如防恶意软件和杀毒技术。

Oracle 制定了与供应商和其他第三方安全交换信息的指南。

收购

作为整合过程中的一环，被 Oracle 收购的公司必须遵守这些安全实践。在整合过程中，每个环节的持续时间和结果取决于被收购公司的产品、服务、人员和运营的规模、复杂性、先前的合同承诺和适用的监管规定。