總覽

Oracle 保有安全專業團隊，以評估公司基礎結構、產品與服務的安全性。這些團隊執行各種層級的協同安全測試。

• 在所有Oracle的系統和服務中，操作安全掃描是執行一般系統管理的一部分。這種評估主要利用工具, 包括商業掃描工具, 以及 Oracle 自己的產品 (如Oracle Enterprise Manager)。操作安全掃描的主要目的在於檢測未經授權和不安全的安全配置
• 滲透測試也會例行執行，檢查系統是否已按照Oracle的企業標准進行設置，使這些系統可以承受其操作威脅環境，並能抗拒散佈在網際網路的惡意掃描滲透測試有二種形式:
  • 被動滲透測試使用商用掃描工具和手動步驟實施通常是透過網際網路實施，對內網的了解有限被動測試用於確認是否存在已知的安全漏洞，能建立足夠可靠、準確的測試用例，然後使用系統開發或雲端操作來測試該用例，來驗證回報問題的真實性。在被動滲透測試時，除了確認問題所需的最低需求之外，不會對產品資源實施額外開發。例如，不會插入SQL指令來過濾資料。
  • 主動滲透測試比被動滲透測試更具有侵入性，並且允許深度探索發現的安全漏洞。其範圍也比被動滲透測試更廣，因為安全團隊通常被允許從一個系統轉移至另一個系統。顯然，主動滲透測試受到嚴密控制，以避免對產品系統發生無謂的衝擊。
• 與操作安全掃描和滲透測試相比，道德入侵是一種公開的對抗，道德駭客小組可以取得技術文件，例如，設計規格和被測試產品的原始程式碼。為了對目標系統進行更具侵入性的分析，可以為道德駭客團隊提供系統管理權限，使其能取得額外的系統日誌、進入除錯模式。通常會使用專用的測試環境實施道德入侵攻擊，因為它們常會擾亂目標系統，致使系統可能需要重建。

操作安全掃描

根據Oracle的伺服器安全策略和相關技術標準，Oracle IT組織負責對他們管理的Oracle企業系統和雲端服務進行安全掃描。 所有掃描工具必須根據Corporate Security Solution Assurance Process(CSSAP) 獲得批准。 使用基於風險的方法分析掃描結果根據管理層批准，基於風險的優先級劃分，變更管理流程用於解決任何已確定的問題。

Oracle公司系統和雲端服務的操作安全掃描的相關資訊是Oracle的機密，不會對外公佈

滲透測試

Oracle要求外部接觸系統與雲端服務要通過獨立安全團隊實施的滲透測試。全球訊息安全的 滲透測試團隊負責執行滲透測試，並在其他內部安全團隊或經批准的協力廠商內部執行滲透測試活動，並對所有業務部門進行監督。此種監督旨在推動滲透測試活動及相關方法的品質、精準度和一致性。Oracle有一套正式的滲透測試需求，包括測試範圍和環境定義，批准使用的工具，調查結果分類，通過自動化和手動步驟嘗試攻擊的分類以及成果報告的程序。

Oracle的公司安全團隊將審核所有滲透測試結果和報告，以驗證是否已執行獨立且全面的測試。在允許業務將新系統或雲端服務投入生產之前，Oracle要求完成重要滲透測試結果的修復。

Oracle公司系統和雲端服務的滲透測試相關資訊是Oracle的機密，不會對外公佈。

道德入侵

道德入侵攻擊活動由道德駭客團隊 (EHT)所執行，他們是一群 全球產品安全組織所屬獨立的安全研究人員。

雖然EHT測試報告不會對外揭露，但該團隊會將其調查結果報告給公司的安全架構師，以及受影響業務部門的主管階層。此外，EHT團隊是 Oracle安全程式開發標準 的重要貢獻者，他們會定期發表濃縮的研究成果，作為Oracle開發的“經驗教訓經”。

Oracle 實驗室

Oracle 實驗室的任務非常容易理解：發現，探索和轉移有可能大幅改進Oracle軟體，Oracle雲端服務和企業營運的新技術。Oracle 實驗室的研究人員經常會為承擔高風險或不確定性的專案，或在產品開發部門中難以解決的問題，尋找解決問題的新途徑和方法。

Oracle’對&研發的承諾是推動技術發展的重要因素，這些技術使甲骨文始終處於計算機行業的領導地位。儘管Oracle的許多領先技術都源自產品開發部門，但Oracle實驗室是Oracle唯一專門致力於研究的組織。