熱點推薦:
您现在的位置: 電腦知識網 >> 編程 >> Oracle >> 正文

堅不可摧:Oracle的安全性承諾

2013-11-13 16:14:49  來源: Oracle 

  為什麼堅不可摧?
  堅不可摧!是Oracle 從月開始展開的一場聲勢浩大的市場宣傳活動的主題其中的安全性部分涉及了Oracle的個獨立的安全性評估
  
  這樣粗線條的描述引伸出許多的問題
   ()如何斷言堅不可摧!安全性專家經常說安全性是一個過程而不是一個結果而且每一個軟件產品都存在缺陷其中也包括安全性缺陷
   ()為什麼聲稱堅不可摧?安全性專家並不希望成為黑客的目標一些黑客也認為這可能是Oracle的策略以獲得免費的安全性研究
   ()堅不可摧的真正含義是什麼?如何使供應商和顧客了解一個產品的安全可靠性以及這種安全性是否在每一次的版本升級中持續不變提供安全可靠的軟件是非常艱巨的任務更不用說堅不可摧了
  什麼是堅不可摧?
  堅不可摧是Oracle對我們的客戶群體在生產分布和支持等各環節向企業提供最安全的關鍵性軟件所做出的承諾
   堅不可摧是我們在過去現在和將來對我們的客戶所做出的安全性承諾
   堅不可摧不是三個星期或者半年的市場宣傳堅不可摧是建立在經過十年考驗的安全的數據庫的基礎之上的
   堅不可摧將我們的核心產品的安全開發過程擴展到整個Oracle的產品系列中
  
  堅不可摧的反義詞是什麼?
  簡單地看堅不可摧似乎是市場部輕率的舉動畢竟沒有哪家企業希望成為黑客的目標許多的黑客是非常聰明和堅韌不拔的畢竟沒有哪個產品是完美的
  
  憤世嫉俗者和持否定態度的人可能會為堅不可摧尋找一個代名詞它是許多供應商對於他們騙售給他們的客戶群體的缺乏安全性的軟件的滿意度
   ()有些安全性並不足夠好
   ()我們所創造的並且作為產品每六個月發行的安全性並不恰當
   ()補打了個最新的安全性補丁程序的安全性是不光彩的
  
  許多的供應商從沒有夢想過它們是堅不可摧因為他們在其產品的安全性上甚至可擴展到在其客戶的系統上付出的是最小的努力他們並不關心但它顯示著他們並不關心但它從多個方面增加其客戶的成本
   ()運行缺乏安全性軟件增加黑客保險的保險費
   ()忽視基本安全性機制所導致的由病毒引起的數十億美元的損失
   ()對於把安全性作為事後追加的補救措施的安全性產品為它追加各種補丁程序所增加的成本
  
  堅不可摧是Oracle基於多種原因所做出的鄭重承諾
   ()安全性的重要性喚起了人們對信息安全性如同物理安全性同樣的重視最終的恐怖襲擊可能是隱藏在暗處的一些人通過某種設備對計算機系統發動的襲擊它可以徹底摧毀我們關鍵的基礎實施
   ()企業信譽Oracle的最初的客戶都是那些在安全性方面在世界上久負盛名的企業從公司成立至今二十五年來我們的核心客戶群體始終包括那些在世界上由於安全性而久負盛名的企業我們在安全性上的良好聲譽是我們的資產如果我們不是堅不可摧我們將失去這些資產
   ()節約成本有人說現在付款或將來付出代價對安全性是十分貼切的不論是對客戶還是對我們自己而言如果Oracle從一開始就把安全性認真的解決好而不是當既成事實之後再想辦法補救都是最劃算的
  
  對於那些嘲諷堅不可摧只不過是市場噱頭的人應該自問一個問題為什麼並不是每個供應商都在安全性上承諾堅不可摧呢?
  
  堅不可摧為信息技術領域的所有供應商建立了一套必須遵守的標准即使Oracle今天不能把所有事情做得很完美但我們的安全性可以比競爭對手做得更完善客戶正是基於此決定購買我們的產品安全性將在整個行業中得到改善堅不可摧不僅是我們對我們的客戶群體所做出的承諾它還是我們的承諾如果這樣做我們將在整個行業中改善安全性
  
  堅不可摧包含那些因素?
  堅不可摧軟件的一個關鍵因素是對保證的獨立評定即通過一系列正式地安全性評估一個第三方組織可以證明我們的產品安全性聲明是有效的對保證的獨立評定是堅不可摧的關鍵因素因為從安全性的角度出發你如何建立自己的產品比你建立了何種產品更為重要而且只有當你了解了如何建立何種產品才是有效的
  堅不可摧的第二個因素是對安全產品生命周期的承諾保證是生成和維護生命周期的重要部分實際上為了建立安全性的正確性你必須保證安全產品的開發過程是可重復的從而可以保證在追加新的功能的同時沒有破化原有的安全性機制正如Gartner Group的John Pescatore所說安全性不在軟件中測試它應該在需求分析和計劃等最初階段就作為最優先的問題加以考慮
  
  下面的章節將詳細介紹Oracle的信息保證測定和安全產品的生命周期
  什麼是信息保證?
  隨著互聯網的發展信息安全性的重要性也日益增長企業信息的存儲管理以及對數據庫的訪問都迅速增長而且訪問這些數據庫的產品和工具也急劇增長同時隨著客戶將他們的企業推向網絡互聯網增加了軟件產品開發的速度
  
  在這種環境中許多供應商都力求盡可能快地在他們的產品中追加新的性能和功能但他們幾乎都忽略了這些性能的安全性這些供應商可能會在推出產品之前進行一次粗略地安全性檢測但是產品發行的主要因素是在產品發行之前可以裝填多少新的功能?而不是利用我的產品如何保證客戶系統的安全從反面看對正確實施的強有力地安全性的需求也恰好在更多的進入市場的時間強制去迎合它時開始增長網絡化的企業增加了許多安全性的冒險這是因為最新(而且可能是極少安全性)產品正在保護更加成熟的後台數據存儲而且因為進入市場的時間的壓力對於面向網絡的產品是空前巨大的
  
  在這種環境中對於信息保證的需求– 即證明產品的安全性機制是正確的和形成良好的– 是極為重要的不然客戶在供應商的市場部將顯得不知所措即使某些供應商可能每兩天半就會發布一次安全性警告所有的供應商始終都會聲稱他們的產品是安全的能夠證明供應商的安全性聲明的主要手段是按照國際基准采取獨立的(即第三方)正式的安全性評估這些基准可以被看作是下面問題的定義你的安全性宣言的含義是什麼?只有一個獨立的安全性評估才能證明供應商的安全性宣言的正當性因為所有的供應商都會聲稱自己的產品是安全的讓它有所不同正式的安全性評估是使供應商在安全性宣言的問題上做到投入與宣傳相符的一個途徑
  
  正如許多消費者不會購買沒有Underwriters Laboratory&#;(保險業實驗室)評定或沒有咨詢顧問的消費者報告的產品或設備一樣消費者也不會購買沒有獨立安全性評估的關鍵的軟件
  
  歷史上曾由一些特定國家的評估基准然而過去幾年的趨勢更趨向國際化例如共同基准是一個國際標准化組織(ISO)標准(許多國家不僅同意共同基准而且通過相互認證還接納在其他國家舉行的共同基准評估今天Oracle只在我們的服務器產品上實行共同基准評估和聯邦信息處理標准(FIPS)評估它對於暗號化模塊有效
  
  信息保證的獨立測定也需要經過美國聯邦政府的認可聯邦策略指示即國家安全性電信信息系統安全性策略(NSTISSP)需要涉及國家安全性的信息系統應具有獨立測定的保證如共同基准評估或FIPS評估在後時代按照NSTISSP #的要求對於這種評估的放棄很難獲得國家安全局的批准
  
  在正式的安全性評估方面Oracle無疑在該市場處於領先地維在過去的十年中對於每一個主要的世界級基准它共經過十四次獨立的安全性評估堅不可摧的安全性宣言正是建立在Oracle數據服務器的十四次安全性評估所提供的獨立測定保證的基礎之上它面向了每一個主要的世界級安全性評估基准包括共同基准(ISO)該基准實際上是世界級的評估標准
  
  這些正式的獨立安全性評估為Oracle同時也為我們的客戶帶來了許多益處
   ()更安全的產品在評估過程中安全性評估機構會發現安全性的薄弱環節而作為完成評估的條件之一是這些薄弱環節必須得到改善
   ()可獲得驗證的安全性開發過程一個正式的安全性評估包括對開發過程的回顧其中包括產品安全性架構功能規范設計規范測試規范以及實際的測試過程安全性必須是這些過程的集成而且是可重復的以獲得和維護安全性評估
   ()安全性文化Oracle對安全性評估的義務的最有價值的結果最終是安全性文化安全性不是一個功能的追加它從一開始就植根於我們的產品而且到現在經過十余年的時間它始終堅持正式的安全性評估
  
  正式的評估是我們的安全產品生命周期的一部分在這十四次安全性評估當中Oracle每次都要在安全性方面追加$的投資以保證其安全性機制是正確的這些成本還不包括多年來在強化我們的產品過程中所追加的特性和功能
  
  Oracle很少做正式的產品風險評定該部分內容將在本文的以後章節介紹隨著時間的推移當產品趨向更長產品生命周期的成熟時我們希望風險評定的內容能夠融合到與安全性相關的更正式的評估當中
  
  安全的產品生命周期
  除了前面提到的保證的評定之外堅不可摧還包括一個Oracle范圍內的對安全產品生命周期的承諾安全性不是在產品完成之後宣傳出來的它必須鑲嵌在產品的開發和交付過程的各個環節安全性必須是一個企業DNA的一部分應該在產品的開發和交付的各個環節融合到組織的結構當中
  
  Oracle的安全開發過程包括下列所有因素
   ()安全的編程標准
   ()對功能設計和測試規范的安全性模板
   ()安全性復原檢測
   ()
From:http://tw.wingwit.com/Article/program/Oracle/201311/18015.html
  • 上一篇文章:

  • 下一篇文章:
  • 推薦文章
    Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.