前不久,针对SQL Server数据库服务器而引发的Slammer病毒的蔓延,让全球范围内的众多服务器遭受了巨大的灾难。于是,安全问题再一次给人们敲起了警钟。虽然微软早已经发布了针对于此的补丁,但由于缺乏安全防范意识,依然使得众多企业用户蒙受重创。难道互联网时代就没有安全可言吗?在亚太地区专程传播安全理念的Oracle首席安全官Mary Ann Davidson的答案却是“No!”。
Oracle首席安全官Mary认为,造一扇结实的门才是企业安全的关键
牢固的锁和结实的门 根据《2002CSI/FBI计算机犯罪和安全调查》报告统计,过去12个月内,有90%的受访者发现自身的计算机安全受到攻击,80%的受访者承认由此造成了财务损失。另外,分别有74%的受访者和33%的受访者认为,他们的Internet连接和内部系统经常容易受到攻击。这些只是经过量化的数据,而那些未经发现且难以估计的损失则往往要大得多。
毋庸置疑,客户也非常关注企业自身的安全。许多企业用户不遗余力地购置了部署IDS、防火墙之类的软硬件设施,然而是否因此就可以高枕无忧呢?
此次Slammer病毒的蔓延,再次击碎了人们一厢情愿的幻想。这类安全攻击的频繁性和有效性已越来越引起软件厂商及客户的警觉。一方面,厂商必须提高警惕,防止一般性程序设计错误给自身软件留下的巨大安全漏洞;另一方面,客户购买软件时也必须特别谨慎,要选择那些从研发之始就注重安全性的软件,并且尤其应该注意软件的安全部署。
Mary总结道:“如果厂商交付的产品缺乏安全性,那么,任何安全产品对系统安全都无济于事。这就犹如你用一块不堪一击的胶合板来制作家门,并在门上安一把锁,以此希望能够防范小偷撬门而入,但无论这把锁多牢固,小偷只需在门上踢个洞即能得逞,根本无须撬开那把锁。问题的关键是要锻造一扇结实的门。”
结实的门从何而来 要锻造企业信息系统安全结实的大门,产品供应商首先义不容辞。长期致力安全工作的Mary,全面负责Oracle产品和公司基础架构的安全性,以及安全策略的指定、安全性认证与评估、突发安全事件的处理。就如何保障生产安全的产品,Mary认为至少包括四个方面的内容:一套完整安全的产品开发过程、信息质量的安全保障、由于产品缺陷漏洞引起的事件相应处理以及合理安全的产品配置部署模式。
要实现安全的产品开发过程,首先就是要建立一套切实可行的标准程序。对产品开发人员进行安全教育,防止黑客侵袭系统源代码;安全专家采用集中式管理,开发出适用于企业安全产品常用的解决方法;通过安全系列测试来保障软件产品质量可信度。Mary就此还透露了Oracle产品发布的流程:在真正发布一个产品之前,产品研发各环节的负责人都要签署一个清单。清单上边罗列了安全方面可能会发生的20多个问题,唯有这些问题得到清楚的解答之后,产品才能正式出台。而在每一个产品的开发过程中,Oracle每天晚上都会进行类似的产品测试。
信息质量的安全保障,则需要由公平的第三方机构对产品进行科学认真的评估认证。国际通行的ISO15408安全标准,已经受到广泛的重视,并有越来越多的国家政府要求产品供应商提供这个认证。而Oracle很早以前就已经认识到安全评估的重要性,在过去的10年时间里就已经参加过15次类似的安全评估。Mary认为,评估更适合成熟产品。针对产品的安全评估,包括开发产品面临的风险、安全产品保护以及用户需要预防哪些风险,应建立什么样的制度来化解风险。通过评估,能够在黑客之前发现并纠正漏洞,进行有针对性的修改。Mary同时还认为,参与评估能够帮助开发厂商建立安全开发程序,加强企业安全方面的文化建设和认知。
保障产品安全的四个主要内容 对于软件开发过程中难以避免的安全漏洞和不足,Mary介绍说,Oracle已经拥有一套完善的应急处理机制。在发布安全警报之前,Oracle系统将使用风险计算程序,客观判断安全弱点的级别。计算程序将就安全弱点提出一系列问题,并根据安全团队输入的答案,根据“高”、“中”、“低”三个级别来判断安全弱点的危险级别,以确保安全弱点的分级准确无误。针对不同类型的安全弱点,Oracle将分别通过Metalink和OTN网络向客户及公众发布警报。同时,进行回归分析,并确保高质量的补丁包将会向客户发送。
近年来,Oracle一直在强调使用户的总拥有成本降至最低,并通过采用支持Linux平台的商业策略来促成实现,然而安全问题却并不能因此而忽视。考虑到越来越多的中小企业都在使用Oracle系统,而其自身又缺乏系统管理人才,Oracle正在致力于设置缺省的安全模式,通过完善的产品发布程序,让更多的企业可以放心地使用Oracle产品,而无需担心系统安全性。
要造更多结实的大门 虽然Oracle以前认证的产品多还是“坚不可摧”的数据库平台类产品,Mary却表示对其他诸如Oracle应用服务器等应用类产品,也都要做类似互联网目录、身份识别的安全测试。为此,Oracle内部甚至雇有专门的黑客团队来挑剔地对Oracle产品实施攻击,寻找潜在的安全漏洞。
目前,Oracle产品策略均基于这样一种考虑:不管用户是否配备有防火墙之类的设施,都要求Oracle产品自身具有很强的安全性,能够抵御外来攻击。因此,任何一个企业用户都应该制定自己的安全策略,了解到自身面临什么样的威胁及如何应对,实时对自己的策略进行评估审计。
最后,Mary还特别强调用户应强化部署Oracle产品的设置,而不要太迷信防火墙,应注意防火墙和Oracle产品之间的通信协议。数据安全、应用安全、网络安全才是用户最终希望的结果,Oracle在自己的产品开发部署过程中,已经力所能及地保障了所有这一切。剩下的就是用户该擦亮眼睛,选择好适合自己的安全好用的产品了。而这正是Mary在Slammer风波之后亚太一行的另一个主要目的。