Dans notre expérience en tant que vérificateurs en TI qui passent en revue les bases de données, nous avons voulu partager quelques sources d'excellentes pratiques de base de données Oracle meilleurs.
Les deux principales sources sont le Center for Internet Security (CIS) 'Configuration de référence »et de la US Defense Information Systems Agency (DISA)" base de données de sécurité Mise en oeuvre technique Guide »(STIG). La discussion qui suit donne un bref aperçu de chaque source.
Sécurité de la CEI Benchmark configuration. Ce point de référence pour Oracle 11g Database Server est un document de consensus sur la base des données fournies par les consultants, les développeurs de logiciels, les vérificateurs, les professionnels de la conformité et les employés du gouvernement.
L'indice de référence offre un «niveau I» de configuration de paramètres qui peuvent être mises en œuvre par les administrateurs système ayant une connaissance de base de sécurité. Ces paramètres sont conçus pour minimiser les perturbations pour une base de données existante. Il ya également une configuration «niveau II», qui s'adresse à l'architecture réseau et la fonction de serveur. Ce plus haut niveau exige une expérience forte de sécurité, mais les rendements des fonctionnalités de sécurité beaucoup plus élevé.
L'indice de référence contient des sections distinctes dédiées aux paramètres spécifiques du système, l'installation et de raccordement, de répertoire et les autorisations de fichiers, base de données démarrage et d'arrêt, la stratégie d'audit, la configuration utilisateur et les paramètres d'accès.
Cette configuration offre de référence les paramètres d'une base de données Oracle qui est protégé contre les menaces conventionnelles. Il ya des directives précises pour une installation, configuration sécurisée, la configuration et le fonctionnement d'un environnement Oracle Database 11g. En plus de paramètres de configuration spécifiques, il existe également des procédés «meilleures pratiques» et des procédures, par exemple les sauvegardes de données, les journaux d'archivage, de sécurité matérielle.
DISA DOD Database Security Guide d'implémentation technique (STIG). Le STIG a été publié par le US Defense Systems Agence d'information (DISA) pour le ministère de la Défense (DOD). L'objectif de la STIG est de sécuriser les systèmes de gestion de base de données DOD (SGBD). Le document couvre la sécurité des éléments de configuration connue, les vulnérabilités et les questions.
Le STIG est une norme de configuration complet et détaillé qui se compose d '«éléments de sécurité» et «les exigences de sécurité». Le STIG passe en profondeur beaucoup plus que le vendeur spécifique »des listes de contrôle» ci-dessous.
La section 'éléments de sécurité "du guide (STIG) reprend l'essentiel de la sécurité de bases de données telles que l'authentification, l'autorisation, l'intégrité des données, audit de système, de sauvegarde et de récupération. Ces éléments de sécurité sont généralement trouvés dans un système de gestion de base de données (SGBD) qui contrôle la sécurité des données réelles.
La section sur les «exigences de sécurité» contient les règles spécifiques d'accès aux données et l'exploitation des bases de données. Des conseils sont fournis sur la conception et la configuration, l'identification et l'authentification, la défense de frontière, de reprise après sinistre, la vulnérabilité et la gestion des incidents, physique et exigences environnementales.
Oracle DISA DOD 11 Liste de contrôle de sécurité de base de données. DISA a également publié des listes de contrôle spécifiques au fournisseur de sécurité de base de données pour Oracle et Microsoft SQL Server SGBD. Le «Oracle 11 Database Security Checklist" est la liste la plus récente à la date de rédaction de ce document - publié en août 2010. Séparez les listes de contrôle ont également été publiées pour les versions précédentes d'Oracle 9 et 10. La liste inclut Oracle 11 procédures d'examen de sécurité organisés dans les «articles» spécifiques de sécurité ou les «contrôles».
Conclusion. Les deux documents discuté ci-dessus a souligné les différents aspects de la sécurité de base de données. Le document de la CEI fournit une configuration de sécurité de base (Niveau I) et une configuration de sécurité avancée (niveau II). «Éléments de sécurité" Le document fournit STIG et les "exigences de sécurité». Un document plus détaillé et précis est la base de données de sécurité Liste de contrôle.
Références. Base de données de sécurité mise en oeuvre Guide technique (STIG), Version 8, Release 1 (Septembre 2007). US Department of Defense, Defense Information Systems Agency.
Oracle Database 11 Liste de contrôle de sécurité, la version 8, Release 1.8 (août 2010). US Department of Defense, Defense Information Systems Agency.
Benchmark Confguration de sécurité pour 11g Oracle Database Server. Version 1.0.1 (Janvier 2009). Le Centre pour la sécurité Internet.
Lun Jan 31, 2011 1:28 pm