Oracle: fokozott adatbiztonsági megoldások

Kovács Attila, 2004. április 7. 14:24
Mintegy száz résztvevővel tartott félnapos adatbiztonsági szemináriumot április 7-én Budapesten az Oracle Hungary. A szeminárium célja az Oracle környezetekben felmerülő biztonsági kérdések feltérképezése és azok megnyugtató kezelése volt az Oracle által nyújtott eszközök segítségével. Összesen négy hosszabb előadás hangzott el.

Kezdésként Tóth László (KPMG) nyújtott átfogó képet az informatikai rendszerek biztonságát általánosan veszélyeztető tényezőkről, köztük említve a két legnagyobb költségűt, a szolgáltatás megtagadást, illetve az információ-lopást. Felhívta a figyelmet, hogy mivel az adatbázisokat sok oldalról érheti támadás, mindenképpen érdemes és szükséges ún. fenyegetettség-modellezést végezni. A veszélyeztetettséget növelő tipikus Oracle konfigurációs hibák között sorolta fel a következők helytelen használatát: alapértelmezett nevek és jelszavak kezelése, PUBLIC szerepkör, UTL_xxx csomagok, Oracle Listener, operációs rendszer elleni támadás lehetősége, jelszó nélküli Listener, Oracle Audity Tool. Az adatbázisok biztonsága komoly szerepet tölt be a megfelelő IT rendszer biztonságának a kialakításában - hangsúlyozta az előadó.

Ezt követően részletesen bemutatták az Oracle rendszerek biztonságát fokozó programozói és rendszergazdai eszközök tárházát. Sárecz Lajos (Oracle Hungary) "Hozzáférés-szabályozás programozási eszközei (VPD, secure application role, database encryption, proxy authentication)" című előadásában egyebek közt rámutatott a leggyakrabban előforduló biztonsági tévedésekre:

1. a tűzfal biztonságot ad - ezzel szemben az internetes betörések 40%-a a tűzfalon keresztül történik;

2. a hackerek okozzák a legtöbb kárt - ezzel szemben tény, hogy a károk 80%-át a belső munkatársak okozzák;

3. a kódolás védetté tesz - ezzel szemben tény, hogy biztonságot csakis a kódolás, hozzáférés-szabályozás és auditálás együttes alkalmazása adhat.

Mosolygó Ferenc (Oracle Hungary) "Oracle 10g Identity Management" című előadásában bemutatta a 10g adatbázis-kezelő újdonságait, beszélt az adatbázis-menedzsment és felhasználó-menedzsment kapcsolatáról, valamint a Label Security-vel történő hozzáférés szabályozásról. Újdonság, hogy az Identity Management nevű szoftverben integrálták a címtárat, címtárkezelést és a Label Security funkciókat.

A negyedik előadás az Oracle 10g Alkalmazás Szerver biztonságáról szólt, külön kitérve a az Oracle Certificate Authority-ra, az Oracle Application Server Single Sign-On 10g-re és a címtár-szinkronizációs módszerekre.