BKJIA.com綜合消息】Gartner指出,在Oracle產品中爆發大規模安全災難只是時間問題—這會對您的系統造成什麼樣的影響?
GARTNER認為,ORACLE掩蓋安全性真正本質的做法正將您的系統置於風險之下。
從金融服務到電信,再到國防,Adaptive Server Enterprise(ASE)為敏感應用程序提供了在當今互聯網環境下安全運行所需的安全基礎。安全性是ASE體系架構的一個基本元素,Sybase會定期加強這個元素,以主動保護客戶免受層出不窮的安全風險的影響。Sybase主動添加到ASE中的增強安全性的功能包括:基於策略的訪問控制、數據和通信加密以及可插入的身份驗證模塊。相反,其他供應商則以基於補丁的被動方式解決安全問題,從而在安全業務運營中引入了額外的故障風險。例如,最近Gartner在對一個Oracle安全補丁的評估中指出:“這個更新版中修補的安全漏洞的范圍和嚴重程度引起了我們的極大關注。”
ASE的安全體系架構是圍繞以下重要任務設計的:
1.防止對數據庫服務器的未授權訪問。
2.保護從服務器到客戶端的數據傳輸,以確保數據准確、完整的到達收件人。
3.保護數據庫服務器中的數據,以確保不被未提供適當憑證的用戶查看、修改或訪問。
選擇能夠最佳地處理這些重要任務的數據庫對於提供一個安全的數據庫基礎結構至關重要。而且,用戶選擇的數據庫對應用的修改和影響還要盡量小,數據庫的安全功能必須易於使用和管理。在安全問題成為用戶重點考慮的問題時,Sybase Adaptive Server Enterprise一直是對安全性要求苛刻的用戶的首選數據庫。
提供最高級別的國際安全認證
Sybase參加了美國信息安全保證聯盟的通用標准評估,以驗證與通用標准評估和認證方案(CCEVS)的符合度–通用標准評估和認證方案是由美國國家標准與技術研究院(NIST)和國家安全局(NSA)共同管理的一項聯合行動。
因此,ASE 12.5.2在信息技術安全性國際通用標准評估中獲得了級別4安全認證(EAL4)。該認證級別是通用軟件的最高級認證,它有力地證明了Sybase ASE令人側目的安全功能,例如進行SSL保護的通信和基於行的訪問控制。通用標准認證還能向企業保證為其計算產品的安全設計提供一個標准度量。
該測試發現,Sybase ASE 12.5.2在缺陷糾正方面政府和企業的一個重要考慮因素)提供了額外的保證,這超過了EAL4的要求。這意味著如果發現該產品中存在安全缺陷,可以采用明確定義的程序,有效、快速地發現問題、報告問題和采取糾正措施。Sybase ASE用戶可以放心,安全問題將會快速、專業地得到解決。
ASE的安全體系架構的基礎
防止對數據庫服務器的未授權訪問
提供對任何環境中的計算資源訪問的最常見方法是通過登錄ID和某種類型的密碼通常采用單詞或短語的形式)。由於生產中的絕大多數系統都使用它作為主要的授權方法,因此保護這個令牌或加強它)自然成為防止未授權用戶訪問數據庫的主要焦點。
在ASE中,有許多功能現在已經可用於多個版本)可以幫助數據庫管理員和安全管理員加強用於訪問數據庫自身的令牌,包括:
1.以加密格式在客戶端和服務器之間發送密碼。
2.與第三方安全機制集成,例如LDAP和Kerberos,從而提供了單一登錄功能。其優點在於,ASE自身內部不存儲任何密碼,憑證通過中央LDAP服務器或KDC進行管理;黑客需要首先闖入這些系統才能獲取對任何ASE服務器的訪問。
3.可插入的身份驗證模塊(PAM),提供一種可擴展、開放且強大的身份驗證機制。使用該技術,可以輕易地將多種身份驗證技術RSA、Kerberos、DCE…)插入ASE運行時間引擎。PAM設計允許以靈活、優雅的方式完成這些擴展,從而降低了管理ASE服務器的總體成本。
4.登錄觸發器。在這些觸發器中可以包括用戶為驗證ASE登錄者而定義的代碼。能夠在Transact-SQL中編寫的任何東西都可以融入到登錄觸發器中。因此,可以執行以下操作:
(1)確定用戶來自“已知的”主機。
(2)確定用戶正在運行已授權的應用程序防止惡意腳本或黑客從命令行執行代碼)。
(3)編寫有關核查數據庫登錄記錄的任何信息,然後這些信息可以用於確定訪問權和訪問人。
(4)應用環境工具(Application Context Facility)。在ASE中,可以根據工作職能設置對數據的訪問,而不管應用程序是如何編寫的或者正在使用什麼應用程序訪問數據庫)。這可以確保用戶無法使用特別的查詢工具繞過應用層安全性檢查來訪問授權之外的數據。
(5)對所用密碼類型的限制。在Sybase ASE中,安全官員可以更改密碼到期、密碼長度的規則以及要求所用的令牌必須包含字母等的規則。
(6)如果不使用LDAP,密碼本身將以加密格式存儲在syslogins表中。這是過去15年來的標准做法,因此不可能在syslogins表上運行SELECT運算和查看明文密碼信息。
在從數據庫服務器傳遞到客戶端過程中的數據保護。
一旦登錄ID和密碼進行了安全保護,這種更高級別的安全性就可以確保數據在從數據庫服務器傳遞到客戶端應用程序過程中得到保護。Sybase ASE六年前就采用了基於Secure-Socket的加密,以確保敏感數據與線路一起進行了加密,並且無法被未授權的用戶攔截和讀取。此外,Sybase Replication Server還能利用基於SSL的通信安全地傳遞數據。
此外,早在6年前,Sybase ASE就支持與第三方安全產品DCE和Kerberos)實現集成,這些產品能夠加密客戶端和數據庫服務器之間的數據。沒有任何其他一家DBMS能夠宣稱,在不需要困難的版本升級的情況下支持如此廣泛的安全協議。