上世纪九十年代信息安全隐患主要集中在业余黑客不定期的无商业目的的侵害,如:散发病毒、涂改网站等,而如今已演变成带有商业目的频繁犯罪,如:窃取IP地址和身份信息等。因此,信息安全问题不仅仅是IT部门的技术风险,更是触及到了业务生命线,因安全问题而导致企业“名誉受损、营收下滑、财产贬值、客户流失”等事件层出不穷。Forrester咨询公司2006年4月的《依据风险高低确定数据保护优先级》报告显示,21%的企业担心“安全问题”引起股票价格下降。
对于中国企业而言,信息安全管理也变得刻不容缓。 一方面,越来越多的中国企业需要在法规上和国际接轨;中国的网上交易在通信、银行、游戏等领域突飞猛进;中国企业的分支机构日益增多。而另一方面,许多企业仍然把信息安全只视为IT系统外部层面的安全,而不是系统内部层面的安全。因此,甲骨文公司认为,信息安全必须成为企业业务最具战略意义的组成部分之一,而且安全不是被动补救而是积极预防和控制。
Oracle信息安全管理架构帮助企业实现“由内到外”的整体安全
Oracle信息安全管理架构围绕甲骨文公司帮助用户“安全存放信息、安全访问信息”的战略,包括了以下三个层面:
保证应用层面的安全。应用安全最大的挑战来自于“访问控制”。早期单独的应用系统采用支离破碎的安全政策,如:太多的用户名和口令、孤立的账户、过期的访问权限、总体审计的缺乏,责任的不明晰等。另外,网络管理员常常意识不到机构和角色的变化。Oracle身份管理(Oracle Identity Management)解决了这些问题,它可以实现“集中式安全管理和政策管理、自动处理/取消处理、单一登录/委托管理、跨企业联合访问”等多项功能。作为Oracle融合中间件产品系列的组成部分,Oracle身份管理系统具有功能完整、便利、热插拔、基于开放标准和支持异构环境等显著特点,同时能支持法规遵从和隐私保护并能降低管理成本。
保证Web服务层面的安全。服务导向架构(SOA)的出现使企业业务逻辑和数据处于暴露状态,人们可以通过防火墙利用HTTP进行轻松访问纯文本数据,因此,监控和审计Web服务的交互过程并对横跨企业的所有服务执行一致的安全政策是实现Web服务安全的重要手段。作为Oracle融合中间件产品系列的又一组成部分,Oracle Web服务管理器(Oracle Web Services Manager)针对Web服务执行安全政策,如:类似于对真人用户的验证和授权和本机执行集中式政策管理。同时它能进行审计与监控,如:记录Web服务交互过程、通过状态显示板提供监控所需信息。Oracle Web服务管理器具有互操作性特点,能支持JAAS、JACC、WS-Security等标准及.Net和J2EE Web服务。另外,Oracle SOA套件也具备安全保护性能。
保证数据层面的安全。在企业内部,敏感数据尤其需要保护,但企业往往存在某些用户具有太高特权;访问限制不够细;数据库管理员、安全工作小组、IT部门和开发人员之间职责不清以及接口和异构系统数据环境太复杂等问题。Oracle数据保险库(Oracle Data Vault)通过建立数据保护区、建立企业数据访问规则(如时间和日期、IP地址和验证方式)、只向特权用户提供正常工作所需信息等多种方式,提供周密细致的数据安全。Oracle数据库保险库是全球第一个限制特权用户访问的数据库安全产品。在此基础之上,Oracle还通过Oracle安全备份(Oracle Secure Backup)和Oracle高级安全选配件加固数据防线。
甲骨文的信息安全管理架构把Oracle身份管理、Oracle Web服务管理器、Oracle数据保险库、Oracle安全备份、Oracle高级安全选配件和Oracle审计保险库等主打产品集成在一起,实现“访问管理自动化、责任分离、数据保密、一致的跨部门安全政策、企业审计管理和报告”等,从而确保企业满足法规遵从的要求。
Oracle信息安全解决方案得到用户、专家认可
甲骨文公司的DNA中一直包含有对信息安全的重视,它不断推出领先的安全技术,始终处于信息安全领域领先地位。甲骨文1990年率先提供可信赖的数据库,1995年率先提供网络加密技术,1996年率先提供生物识别验证技术,1998年率先提供参考数据加密技术,2006年率先提供超级用户访问限制技术,从中可以看到甲骨文公司始终领先一步的足迹。
Gartner公司Roberta Witty在2005年11月发表的《甲骨文公司的一系列并购可能影响身份与访问管理市场格局》中称:“甲骨文公司的身份与访问管理产品现在超过了竞争对手的同类产品。” Forrester Research公司Noel Yuhanna在2005年8月发表的《Forrester风暴:2005年第三季度数据库加密解决方案》中称:“甲骨文公司继续领先数据库安全解决方案市场,其解决方案提供很多先进的数据库安全功能,如:虚拟专用数据库、LDAP集成、细粒度审计和标记安全。”
甲骨文公司大中华区融合中间件销售顾问部总监雷振球说:“Oracle信息安全管理架构秉承了甲骨文公司重视信息安全的传统,它具有一致、自动、主动等特点,从而可以有效解决中国企业最头疼的法规遵从和内部安全控制等棘手问题,同时还能降低安全管理成本。”
他补充说:“中国电信和中国人寿等著名中国企业采用了Oracle信息安全解决方案,可以预测,随着中国企业对自身安全问题日益重视和对甲骨文公司所拥有的业界领先的信息安全解决方案的进一步认识,更多的中国企业将选择我们的安全方案,以满足自身日益增长的业务而带来的信息安全和法规遵从的需求。”
为了使更多中国企业了解信息安全的重要性,甲骨文公司正在北京、上海和广州举办安全管理CIO高峰会,通过丰富的演讲和演示,与企业首席技术人士和企业决策人员探讨信息安全以及甲骨文最前沿的技术。