測試與道德入侵

總覽

了解Oracle的安全專業團隊,以評估公司基礎設施施、產品與服務的安全性。 這些團隊執行各種層級的協同安全測試。

  • 在所有Oracle的系統和服務中,操作安全掃描是執行一般系統管理的一部分。 這種評估主要利用工具, 包括商業掃描工具, 以及 Oracle 自己的產品 (如Oracle Enterprise Manager)。 操作安全掃描的主要目的在於檢測未經授權和不安全的安全配置
  • 滲透測試也會例行執行,檢查系統是否已按照Oracle的企業標准進行設置,使這些系統可以承受其操作威脅環境,並能抗拒散佈在網際網路的惡意掃描 滲透測試有二種形式:
    • 被動滲透測試使用商用掃描工具和手動步驟實施 通常是透過網際網路實施,對內網的了解有限 被動測試用於確認是否存在已知的安全漏洞,能建立足夠可靠、準確的測試用例,然後使用系統開發或雲端操作來測試該用例,來驗證回報問題的真實性。 在被動滲透測試時,除了確認問題所需的最低需求之外,不會對產品資源實施額外開發。 例如,不會插入SQL指令來過濾資料。
    • 主動滲透測試比被動滲透測試更具有侵入性,並且允許深度探索發現的安全漏洞。 其範圍也比被動滲透測試更廣,因為安全團隊通常被允許從一個系統轉移至另一個系統。 顯然,主動滲透測試受到嚴密控制,以避免對產品系統發生無謂的衝擊。
  • 與操作安全掃描和滲透測試相比,道德入侵是一種公開的對抗,道德駭客小組可以取得技術文件,例如,設計規格和被測試產品的原始程式碼。 為了對目標系統進行更具侵入性的分析,可以為道德駭客團隊提供系統管理權限,使其能取得額外的系統日誌、進入除錯模式。 通常會使用專用的測試環境實施道德入侵攻擊,因為它們常會擾亂目標系統,致使系統可能需要重建。

操作安全掃描

根據Oracle的伺服器安全策略和相關技術標準,Oracle IT組織負責對他們管理的Oracle企業系統和雲端服務進行安全掃描。 所有掃描工具必須根據Corporate Security Solution Assurance Process(CSSAP) 獲得批准。 使用基於風險的方法分析掃描結果 根據管理層批准,基於風險的優先級劃分,變更管理流程用於解決任何已確定的問題。

Oracle公司系統和雲端服務的操作安全掃描的相關資訊是Oracle的機密,不會對外公佈

滲透測試

Oracle要求外部接觸系統與雲端服務要通過獨立安全團隊實施的滲透測試。 全球訊息安全的 滲透測試團隊負責執行滲透測試,並在其他內部安全團隊或經批准的協力廠商內部執行滲透測試活動,並對所有業務部門進行監督。 此種監督旨在推動滲透測試活動及相關方法的品質、精準度和一致性。 Oracle有一套正式的滲透測試需求,包括測試範圍和環境定義,批准使用的工具,調查結果分類,通過自動化和手動步驟嘗試攻擊的分類以及成果報告的程序。

Oracle的公司安全團隊將審核所有滲透測試結果和報告,以驗證是否已執行獨立且全面的測試。 在允許業務將新系統或雲端服務投入生產之前,Oracle要求完成重要滲透測試結果的修復。

Oracle公司系統和雲端服務的滲透測試相關資訊是Oracle的機密,不會對外公佈。

道德入侵

道德入侵攻擊活動由道德駭客團隊 (EHT)所執行,他們是一群 全球產品安全組織所屬獨立的安全研究人員。

雖然EHT測試報告不會對外揭露,但該團隊會將其調查結果報告給公司的安全架構師,以及受影響業務部門的主管階層。 此外,EHT團隊是 Oracle安全程式開發標準 的重要貢獻者,他們會定期發表濃縮的研究成果,作為Oracle開發的“經驗教訓經”。

Oracle 實驗室

Oracle 實驗室的任務非常容易理解: 發現,探索和轉移有可能大幅改進Oracle軟體,Oracle雲端服務和企業營運的新技術。 Oracle 實驗室的研究人員經常會為承擔高風險或不確定性的專案,或在產品開發部門中難以解決的問題,尋找解決問題的新途徑和方法。

Oracle’對&研發的承諾是推動技術發展的重要因素,這些技術使甲骨文始終處於計算機行業的領導地位。 儘管Oracle的許多領先技術都源自產品開發部門,但Oracle實驗室是Oracle唯一專門致力於研究的組織。