Kezdésként Tóth László (KPMG)
nyújtott átfogó képet az informatikai rendszerek biztonságát általánosan
veszélyeztető tényezőkről, köztük említve a két legnagyobb költségűt, a
szolgáltatás megtagadást, illetve az információ-lopást. Felhívta a figyelmet,
hogy mivel az adatbázisokat sok oldalról érheti támadás, mindenképpen érdemes
és szükséges ún. fenyegetettség-modellezést végezni. A veszélyeztetettséget
növelő tipikus Oracle konfigurációs hibák között sorolta fel a következők
helytelen használatát: alapértelmezett nevek és jelszavak kezelése, PUBLIC
szerepkör, UTL_xxx csomagok, Oracle Listener, operációs rendszer elleni támadás
lehetősége, jelszó nélküli Listener, Oracle Audity Tool. Az adatbázisok
biztonsága komoly szerepet tölt be a megfelelő IT rendszer biztonságának a
kialakításában - hangsúlyozta az előadó.
Ezt követően részletesen
bemutatták az Oracle rendszerek biztonságát fokozó programozói és
rendszergazdai eszközök tárházát. Sárecz Lajos (Oracle Hungary)
"Hozzáférés-szabályozás programozási eszközei (VPD, secure application role,
database encryption, proxy authentication)" című előadásában egyebek közt
rámutatott a leggyakrabban előforduló biztonsági tévedésekre:
1. a tűzfal biztonságot ad - ezzel szemben az internetes betörések 40%-a a tűzfalon keresztül történik;
2. a hackerek okozzák a legtöbb kárt - ezzel szemben tény, hogy a károk 80%-át a belső munkatársak okozzák;
3. a kódolás védetté
tesz - ezzel szemben tény, hogy biztonságot csakis a kódolás,
hozzáférés-szabályozás és auditálás együttes
alkalmazása adhat.
Mosolygó Ferenc (Oracle
Hungary) "Oracle 10g Identity Management" című előadásában bemutatta a 10g
adatbázis-kezelő újdonságait, beszélt az adatbázis-menedzsment és
felhasználó-menedzsment kapcsolatáról, valamint a Label Security-vel történő
hozzáférés szabályozásról. Újdonság, hogy az Identity Management nevű
szoftverben integrálták a címtárat,
címtárkezelést és a Label Security funkciókat.
A negyedik előadás az Oracle
10g Alkalmazás Szerver biztonságáról szólt, külön kitérve a az Oracle
Certificate Authority-ra, az Oracle Application Server Single Sign-On 10g-re és
a címtár-szinkronizációs módszerekre.