数据安全性
介绍
Oracle 的信息资产分类明确了由 Oracle 管理的系统的企业数据安全规定。Oracle 政策为旨在提供全球指导,以便根据数据分类,利用适当控制来保护公司、云技术和客户数据。
Oracle 的企业安全控制可分为三类:行政、物理和技术安全控制。
加密
加密是指使数据在没有特定密钥解密数据的情况下无法读取的过程。Oracle 信息保护政策定义了当数据在笔记本电脑、设备和可移除介质上处于静态(存储)状态时,通过加密保护数据的高级要求。
Oracle 具备企业标准,其中定义了经过批准的加密算法和协议。根据行业实践,Oracle 产品和服务仅可以使用获得批准的、新的安全相关实施版本。Oracle 会随着行业和技术的发展而修改这些标准,并强制及时弃用较弱的加密算法。
加密数据
Oracle 实施了各种技术安全控制以保护静态和传输中的信息资产。这些控制以行业标准为指导并部署在企业基础设施中:
- 企业系统,例如应用和协作工具
- 可移除存储介质
- 笔记本电脑和移动设备
加密密钥管理
管理 Oracle 加密密钥的解决方案必须获得企业安全解决方案保证流程 (CSSAP) 的批准。Oracle 制定了加密规定,包括密码强度、密钥管理、生成、交换/传输、存储、使用和更换。本标准中的具体要求包括:
- 存储加密密钥的位置和技术
- 控制,以提供传输的加密密钥(例如数字签名)的机密性、可用性和完整性
- 更改默认加密密钥
- 各种加密密钥类型的替换计划
停用服务器和其他计算资源
Oracle 介质清理和处置政策明确规定了如何删除电子存储介质信息(清理)以及处置不再需要授权访问的检索和重建机密数据的信息。电子存储介质包括笔记本电脑、硬盘驱动器、存储设备和磁带等可移除介质。