謹(jǐn)慎防范網(wǎng)絡(luò)隱患以此來保護(hù)Oracle數(shù)據(jù)

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動(dòng)交流 >>進(jìn)入 Oracle在線數(shù)據(jù)經(jīng)常遭到威脅，一些數(shù)據(jù)竊取者編寫“Hoovers”(一種數(shù)據(jù)收集工具)來模擬在線數(shù)據(jù)庫處理來獲取有價(jià)值的信息。eBay(電子商務(wù)網(wǎng)站公司)等一些Oracle的聯(lián)機(jī)主要客戶不得不阻止“Hoovers”

歡迎進(jìn)入Oracle社區(qū)論壇，與200萬技術(shù)人員互動(dòng)交流 >>進(jìn)入

Oracle在線數(shù)據(jù)經(jīng)常遭到威脅，一些數(shù)據(jù)竊取者編寫“Hoovers”(一種數(shù)據(jù)收集工具)來模擬在線數(shù)據(jù)庫處理來獲取有價(jià)值的信息。eBay(電子商務(wù)網(wǎng)站公司)等一些Oracle的聯(lián)機(jī)主要客戶不得不阻止“Hoovers”來防止數(shù)據(jù)竊取者，但是騙子卻在不斷變化，費(fèi)盡心思來竊取你的一些有價(jià)值網(wǎng)上信息。我們同樣可以看到一些內(nèi)部數(shù)據(jù)安全事件，如萬豪國際酒店集團(tuán)數(shù)據(jù)丟失的重大損失。

對那些關(guān)注內(nèi)部安全的公司，專家們建議可以采取監(jiān)控、必要時(shí)修改其內(nèi)部處理和數(shù)據(jù)存取控制的方法。Oltsik 說，“偷取磁帶是不值得稱道，但卻是最有效的攻擊方法，很多公司會(huì)想到防范那些直接進(jìn)入其內(nèi)部服務(wù)器的黑客行為，但是如果他們公司內(nèi)部安全防范很弱的話，數(shù)據(jù)竊取者可以直接帶走一箱子的磁帶。

但是知識產(chǎn)權(quán)保護(hù)力度的缺乏已經(jīng)改變了信息分配情況。專屬性質(zhì)的原萬維網(wǎng)不見了，免費(fèi)的帶寬模式已經(jīng)取代西方聯(lián)盟來傳遞大量的有價(jià)值的信息。網(wǎng)上小偷可以數(shù)字化暢銷書籍，以及瞬間從網(wǎng)上任何地方下載并盜印出版。更糟的是，網(wǎng)上黑客正在攻擊數(shù)據(jù)庫并竊取數(shù)據(jù)。 　

盜竊知識產(chǎn)權(quán)已經(jīng)成為一種流行病，作家Steven King因?yàn)槠鋾充N書被數(shù)字化并免費(fèi)發(fā)布到網(wǎng)上而損失了幾百萬美元。即使最慎重的出版商也在冒著盜版的風(fēng)險(xiǎn)。我自己的一本書，Oracle 10g 應(yīng)用服務(wù)器管理手冊也曾被盜竊并僅以6.5美元的價(jià)格在eBay上出售。發(fā)行人并不能將盜竊者逮捕或起訴。

但是對那些敢于使其網(wǎng)上Oracle數(shù)據(jù)很容易獲取的人來說，他們的處境就更加危險(xiǎn)了，其中就有一些公司的全部數(shù)據(jù)被外國人所竊取。

推動(dòng)對知識產(chǎn)權(quán)盜竊者的逮捕行動(dòng)需要花費(fèi)數(shù)十萬美元，而騙子們知道那些小公司并沒有這樣的財(cái)力來對付他們，除非是一家擁有上億美元的公司。一般的美國出版商很少對全球性的Oracle數(shù)據(jù)竊取者訴諸于法律。因此，竊賊們竊取Oracle數(shù)據(jù)時(shí)不會(huì)擔(dān)心被拘捕，甚至入獄。

遲早，這個(gè)問題或許會(huì)更嚴(yán)重，傳統(tǒng)出版商可能遭遇破產(chǎn)，他們其高質(zhì)量的文章正在變成厚厚的垃圾或者雜亂的博客。只有世界范圍的對知識產(chǎn)權(quán)的強(qiáng)有力的保護(hù)，才可以保護(hù)我們的信息不會(huì)被大規(guī)模的盜竊。

與以往相比，Oracle數(shù)據(jù)庫管理員必須知道更多的公司數(shù)據(jù)可能被竊取的方式。在我作為Oracle數(shù)據(jù)庫管理者時(shí)，我發(fā)現(xiàn)存在各種個(gè)樣的數(shù)據(jù)竊取方式，之后我便出版了針對所有遠(yuǎn)程數(shù)據(jù)庫存取操作的《數(shù)據(jù)安全指導(dǎo)方針》：

內(nèi)部工作―有很多的國外遠(yuǎn)程數(shù)據(jù)庫管理員已經(jīng)竊取了全部的數(shù)據(jù)，并且還利用病毒來吸收新數(shù)據(jù)，Email到海外。其他的還有H-1b簽證工作人員可能竊取Oracle數(shù)據(jù)，并大量的送到海外法律上不追究的地方。

外部威脅―即使Oracle本身具有安全防護(hù)功能，某些人仍可能申請一個(gè)合法數(shù)據(jù)庫賬戶，并通過木馬之類的病毒程序來監(jiān)測并獲取數(shù)據(jù)。

已經(jīng)證明外包趨勢給公司數(shù)據(jù)帶來了風(fēng)險(xiǎn)，而且那些合同上的遠(yuǎn)程Oracle數(shù)據(jù)庫管理員提供商有時(shí)候?qū)嶋H上數(shù)據(jù)竊取行動(dòng)的幌子。一起Oracle數(shù)據(jù)盜竊之后，很多公司都不好意思或擔(dān)心對偷竊負(fù)面宣傳報(bào)道，這就使得很難準(zhǔn)確的統(tǒng)計(jì)Oracle數(shù)據(jù)失竊問題

聰明地使用Oracle遠(yuǎn)程數(shù)據(jù)庫管理員已經(jīng)成為絕對的需要，同時(shí)應(yīng)保證選擇本國的提供商，這樣就可以用法律來保護(hù)自己的數(shù)據(jù)，而不會(huì)再出現(xiàn)跨司法的問題。

互聯(lián)網(wǎng)中有很多可疑的Oracle遠(yuǎn)程數(shù)據(jù)庫管理員支持提供商，他們的業(yè)務(wù)主要針對那些法律上對數(shù)據(jù)盜竊不能強(qiáng)制執(zhí)行的國家。已經(jīng)有一些警告，說Oracle遠(yuǎn)程數(shù)據(jù)庫管理員支持提供商正是一些數(shù)據(jù)盜竊的假面具。

他們沒有公開他們公司遠(yuǎn)程數(shù)據(jù)庫管理員的姓名和簡歷

他們沒有提及他們的國家背景

Oracle數(shù)據(jù)管理人員使用Oracle遠(yuǎn)程數(shù)據(jù)庫管理員的服務(wù)是他們自己的危險(xiǎn)。如果你居住在美國，那么使用一個(gè)美國的遠(yuǎn)程數(shù)據(jù)庫管理員是絕對關(guān)鍵的，因?yàn)樵谶@兒數(shù)據(jù)隱私可以受法律保護(hù)，同時(shí)，在數(shù)據(jù)竊取案中你擁有追索權(quán)。

你還必須小心維持本國的Oracle支持，避免國外遠(yuǎn)程數(shù)據(jù)庫管理員支持。這篇名為“海外外包帶來隱私風(fēng)險(xiǎn)”的計(jì)算機(jī)方面的文章僅僅揭露了在委托Oracle數(shù)據(jù)庫給國外公司過程中很少部分的危險(xiǎn)

隱私和安全專業(yè)人員于上周表示，工作外包給境外地點(diǎn),大大提高了數(shù)據(jù)隱私的風(fēng)險(xiǎn)和進(jìn)行管理的復(fù)雜性

這個(gè)問題不僅是媒體夸張，而是相當(dāng)?shù)恼鎸?shí)，另外，很多公司已經(jīng)丟失了對竊賊的關(guān)鍵評論Oracle數(shù)據(jù)。

2004年公司收到一個(gè)客戶的電話，他一直在抱怨他們的網(wǎng)上數(shù)據(jù)庫的執(zhí)行問題，這個(gè)數(shù)據(jù)庫運(yùn)行在一個(gè)標(biāo)準(zhǔn)的Linux服務(wù)器上。這家公司的業(yè)務(wù)是給第三方公司提供信用信息，用來評估個(gè)人財(cái)政危機(jī)的概率。

在訪問他們的服務(wù)器上很顯然存在一些嚴(yán)重的問題。即使是空閑的時(shí)候，數(shù)據(jù)庫也在不停的執(zhí)行輸入/輸出操作，而處理器也是激活狀態(tài)。在咨詢一位Libux專家之后，我們發(fā)現(xiàn)了真正的問題。一個(gè)定時(shí)*被國外遠(yuǎn)程提供商激活，一個(gè)隱藏的進(jìn)程在不斷地j監(jiān)測Oracle數(shù)據(jù)庫，吸收新的數(shù)據(jù)并Email到海外郵箱

惡意的外籍雇員已取代了標(biāo)準(zhǔn)Linux命令，它是一種在互聯(lián)網(wǎng)上很容易用到的進(jìn)攻方法。Linux命令被一個(gè)掩蓋數(shù)據(jù)竊取機(jī)制的存在的別名取代。

數(shù)據(jù)竊取是如此充滿破壞性以至于把公司逼至破產(chǎn)，這些都是因?yàn)閲釵racle支持廉價(jià)的誘惑。公司發(fā)現(xiàn)太晚以至于不可能對竊取Oracle數(shù)據(jù)起訴。由于騙子們知道他們有了一道堅(jiān)不可摧的糾葛矛盾的法律和司法管轄的保障。

Oracle數(shù)據(jù)庫管理員對其管理有著誠信的責(zé)任，應(yīng)該采取一切可能的安全措施防范Oracle數(shù)據(jù)盜竊,另外還有一些新的Oracle數(shù)據(jù)庫存取控制標(biāo)準(zhǔn)：

監(jiān)控終端用戶威脅--很多Oracle數(shù)據(jù)盜竊的案件是我們的“合法”系統(tǒng)用戶，他們不停地重復(fù)交易以竊取數(shù)據(jù)。大多數(shù)公司運(yùn)用先進(jìn)的工具來審計(jì)和切斷可疑的Oracle數(shù)據(jù)庫交易模式。

避免國外Oracle支--一次又一次地，國外Oracle開發(fā)商和數(shù)據(jù)庫管理員提供商正在偷竊Oracle數(shù)據(jù)，并知道他們很少有機(jī)會(huì)被繩之以法。謹(jǐn)慎的Oracle用戶會(huì)仔細(xì)的審核所有遠(yuǎn)程提供商而只會(huì)雇傭他們本國的遠(yuǎn)程支持提供商。你應(yīng)該只和一個(gè)公開其姓名、背景以及其職員的條件等信息的可信任的供應(yīng)商。

但是并不都是壞消息，因?yàn)榻?jīng)濟(jì)實(shí)力比較強(qiáng)的大公司正在尋求正義的審判。

保護(hù)Oracle數(shù)據(jù)是一件有意義的事，但是我們在保護(hù)知識產(chǎn)權(quán)方面已經(jīng)有了一些進(jìn)展。以Hew Raymond Griffiths的案子為例，他被從澳大利亞引渡到回美國接受盜版行為的審判，應(yīng)該指出的是，受害人(微軟)大概在花費(fèi)了巨額的錢財(cái)在復(fù)雜的證據(jù)收集過程和跨司法管理問題上。

助理檢察長說，“Alice Fisher Griffiths聲稱超出了美國法律范圍之外，而今天，我們證明了另一種方式的存在，這個(gè)引渡代表了律政司的對那些其他國家公民違反本國知識產(chǎn)權(quán)保護(hù)法律也要追究的承諾”，美國律師Chuck Rosenberg也說：“我們代理商和檢察官都在不知疲倦地工作,捉住知識產(chǎn)權(quán)小偷,即使其罪行跨越國際邊界。”

在時(shí)間上 我們期待看到越來越孤立Oracle數(shù)據(jù)庫作為一個(gè)防火墻,不受外來威脅，我們也越來越清楚，所有Oracle數(shù)據(jù)庫管理員必須加大力度履行作為公司數(shù)據(jù)的管理人的職責(zé)。

聲明：本網(wǎng)頁內(nèi)容旨在傳播知識，若有侵權(quán)等問題請及時(shí)與本網(wǎng)聯(lián)系，我們將在第一時(shí)間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com