總覽

了解Oracle的安全專業團隊，以評估公司基礎設施施、產品與服務的安全性。 這些團隊執行各種層級的協同安全測試。

• 在所有Oracle的系統和服務中，操作安全掃描是執行一般系統管理的一部分。 這種評估主要利用工具, 包括商業掃描工具, 以及 Oracle 自己的產品 (如Oracle Enterprise Manager)。 操作安全掃描的主要目的在於檢測未經授權和不安全的安全配置
• 滲透測試也會例行執行，檢查系統是否已按照Oracle的企業標准進行設置，使這些系統可以承受其操作威脅環境，並能抗拒散佈在網際網路的惡意掃描 滲透測試有二種形式:
  • 被動滲透測試使用商用掃描工具和手動步驟實施 通常是透過網際網路實施，對內網的了解有限 被動測試用於確認是否存在已知的安全漏洞，能建立足夠可靠、準確的測試用例，然後使用系統開發或雲端操作來測試該用例，來驗證回報問題的真實性。 在被動滲透測試時，除了確認問題所需的最低需求之外，不會對產品資源實施額外開發。 例如，不會插入SQL指令來過濾資料。
  • 主動滲透測試比被動滲透測試更具有侵入性，並且允許深度探索發現的安全漏洞。 其範圍也比被動滲透測試更廣，因為安全團隊通常被允許從一個系統轉移至另一個系統。 顯然，主動滲透測試受到嚴密控制，以避免對產品系統發生無謂的衝擊。
• 與操作安全掃描和滲透測試相比，道德入侵是一種公開的對抗，道德駭客小組可以取得技術文件，例如，設計規格和被測試產品的原始程式碼。 為了對目標系統進行更具侵入性的分析，可以為道德駭客團隊提供系統管理權限，使其能取得額外的系統日誌、進入除錯模式。 通常會使用專用的測試環境實施道德入侵攻擊，因為它們常會擾亂目標系統，致使系統可能需要重建。

操作安全掃描

根據Oracle的伺服器安全策略和相關技術標準，Oracle IT組織負責對他們管理的Oracle企業系統和雲端服務進行安全掃描。 所有掃描工具必須根據Corporate Security Solution Assurance Process(CSSAP) 獲得批准。 使用基於風險的方法分析掃描結果 根據管理層批准，基於風險的優先級劃分，變更管理流程用於解決任何已確定的問題。

Oracle公司系統和雲端服務的操作安全掃描的相關資訊是Oracle的機密，不會對外公佈

滲透測試

Oracle要求外部接觸系統與雲端服務要通過獨立安全團隊實施的滲透測試。 全球訊息安全的 滲透測試團隊負責執行滲透測試，並在其他內部安全團隊或經批准的協力廠商內部執行滲透測試活動，並對所有業務部門進行監督。 此種監督旨在推動滲透測試活動及相關方法的品質、精準度和一致性。 Oracle有一套正式的滲透測試需求，包括測試範圍和環境定義，批准使用的工具，調查結果分類，通過自動化和手動步驟嘗試攻擊的分類以及成果報告的程序。

Oracle的公司安全團隊將審核所有滲透測試結果和報告，以驗證是否已執行獨立且全面的測試。 在允許業務將新系統或雲端服務投入生產之前，Oracle要求完成重要滲透測試結果的修復。

Oracle公司系統和雲端服務的滲透測試相關資訊是Oracle的機密，不會對外公佈。

道德入侵

道德入侵攻擊活動由道德駭客團隊 (EHT)所執行，他們是一群 全球產品安全組織所屬獨立的安全研究人員。

雖然EHT測試報告不會對外揭露，但該團隊會將其調查結果報告給公司的安全架構師，以及受影響業務部門的主管階層。 此外，EHT團隊是 Oracle安全程式開發標準 的重要貢獻者，他們會定期發表濃縮的研究成果，作為Oracle開發的“經驗教訓經”。

Oracle 實驗室

Oracle 實驗室的任務非常容易理解： 發現，探索和轉移有可能大幅改進Oracle軟體，Oracle雲端服務和企業營運的新技術。 Oracle 實驗室的研究人員經常會為承擔高風險或不確定性的專案，或在產品開發部門中難以解決的問題，尋找解決問題的新途徑和方法。

Oracle’對&研發的承諾是推動技術發展的重要因素，這些技術使甲骨文始終處於計算機行業的領導地位。 儘管Oracle的許多領先技術都源自產品開發部門，但Oracle實驗室是Oracle唯一專門致力於研究的組織。