چک‌لیست ‌امنیت سایبری و توصیه‌های امنیتی مهم برای سازمان­ها – قسمت دوم (پایانی)

در قسمت اول مقاله به بررسی 5 مورد از چک لیست امنیت سایبری مهم پرداختیم، حال به ادامه مقاله خواهیم پرداخت. با شماره 6 ادامه موارد چک‌لیست ‌امنیتی را بررسی خواهیم کرد.

6. کنترل‌های دسترسی را به طور موثر اجرا کنید

هویت کاربران را به درستی احراز کنید. اگرچه احراز هویت از راه دور را می‌توان روشن کرد یعنی حالت TRUE، اما فرآیند نصب شما با خاموش کردن آن امن‌تر خواهد بود یعنی در حالت FALSE، که پیش‌فرض می­باشد. با فعال بودن احراز هویت از راه دور، پایگاه داده به طور ضمنی به تمام کاربران اعتماد می‌کند، چراکه فرض می‌کند که تمامی کاربران توسط سیستم احراز هویت از راه دور احراز هویت شده اند. با این حال، به طور کلی نمی‌توان به کاربران مانند رایانه‌های شخصی راه دور برای احراز هویت صحیح سیستم عامل اعتماد کرد، بنابراین فعال کردن این ویژگی یک اقدام امنیتی بسیار ضعیف و نامناسب است. برای اجرای صحیح احراز هویت مبتنی بر سرور برای کاربرانی که به پایگاه داده Oracle متصل می‌شوند، این ویژگی را باید رها یا غیرفعال کرد در این حالت remote_os_authentication=FALSE، می­باشد که پیش‌فرض است.

7. دسترسی به سیستم عامل را محدود کنید

این چهار روش، محدودیت‌های مناسبی را برای دسترسی به سیستم عامل ایجاد می‌کنند:

الف) تعداد کاربران سیستم عامل را محدود کنید.

ب) امتیازات حساب‌های کاربری سیستم‌عامل، مدیریتی، دارای امتیاز root یا DBA، در میزبان پایگاه داده Oracle ماشین فیزیکی، را به کمترین و محدودترین امتیاز لازم برای هر کاربر محدود کنید.

پ) تغییر مجوزهای پیش‌فرض برای نصب Oracle Database یا محتویات آن را، حتی توسط کاربران سیستم‌عامل ممتاز یا مالک Oracle، مجاز نشناسید.

ت) لینک‌های نمادین را محدود کنید. اطمینان حاصل کنید که وقتی مسیر یا فایلی به پایگاه داده ارائه می‌شود، نه خود فایل و نه هیچ بخشی از آن مسیر توسط کاربر نامعتبر قابل تغییر نیست. فایل و تمام اجزای مسیر باید متعلق به DBA یا برخی از حساب‌های قابل اعتماد مانند root یعنی حساب دارای امتیاز اساسی باشد. این توصیه برای همه‌ی انواع فایل‌ها اعمال می‌شود: فایل‌های داده، فایل‌های گزارش، فایل‌های ردیابی، جداول خارجی، Bfiles و غیره.

8. دسترسی به شبکه را محدود کنید

9. همه‌ی راهکارها و پَچ‌های امنیتی را اعمال کنید

هر حفره یا رخنه‌ی امنیتی را به محض شناساییِ اقدامات اصلاحی مسدود کنید. همواره تمام پَچ‌های امنیتی مرتبط و فعلی را برای سیستم عامل میزبان و خود Oracle Database و برای همه گزینه‌ها و مؤلفه‌های نصب شده‌ی Oracle Database اعمال کنید.

10. با Oracle تماس برقرار کنید یا از طریق شرکتی که از آن مشاوره می­گیرید مشکل را حل کنید

اگر فکر می‌کنید که یک آسیب‌پذیری امنیتی در Oracle Database پیدا کرده‌اید، با استفاده از Metalink، یک iTAR را به خدمات پشتیبانی جهانی Oracle ارسال کرده، یا شرح کاملی از مشکل از جمله: نسخه، محصول و پلتفرم، همراه با هرگونه اسکریپت و نمونه‌های سوءاستفاده را به آدرس زیر ایمیل کنید.

چک‌لیست‌های امنیت شبکه‌

استفاده از چک‌لیست‌های کاربر، مخاطب و شبکه، به‌منظور ایجاد حفاظتِ همه‌جانبه، باعث بهبود امنیت ارتباطات شبکه می‌شود. استفاده از SSL  یعنی لایه امن پروتکل عنصری ضروری در این چک‌لیست‌ها است که امنیت بالایی را برای احراز هویت و ارتباطات فراهم می‌کند.

بیشتر بخوانید: چک‌لیست مقابله با حملات سایبری

چک‌لیست SSL یا لایه امن پروتکل

SSL پروتکلِ استاندارد اینترنت برای ارتباطات ایمن است که مکانیسم‌هایی را برای یکپارچگی و رمزگذاری داده‌ها فراهم می‌کند. این مکانیسم‌ها می‌توانند از پیام‌های ارسال و دریافت شده توسط کاربر یا برنامه‌ها و سرورها محافظت کنند و از احراز هویت، صدور مجوز و پیام‌رسانی امن با استفاده از گواهی‌ها و در صورت لزوم رمزگذاری پشتیبانی کنند. شیوه‌های امنیتی خوب همه‌ی این حفاظت‌ها را به حداکثر می‌رساند و شکاف‌ها یا افشاگری‌هایی را که آن‌ها را تهدید می‌کند به حداقل می‌رساند. لیست ساده‌ی زیر جزئیات لازم برای استفاده موفق و ایمن از SSL را به تصویر می‌کشد:

2. اطمینان حاصل کنید که فایل‌های پیکربندی مانند فایل‌های کاربران و مخاطبان از پورت صحیح برای SSL استفاده می‌کنند، که این پورت هنگام نصب پیکربندی شده است. مطمئن شوید که tcpها با عنوان PROTOCOL در پارامتر ADDRESS در فایل tnsnames.ora معمولاً در دایرکتوری کاربر یا LDAP مشخص شده باشند. در فایل listener.ora باید مشخصات یکسانی ظاهر شود.

3. اطمینان حاصل کنید که حالت SSL با هر دو سر هر ارتباطی سازگار است، مثلاً، بین پایگاه داده در یک سر و کاربر یا برنامه در سر دیگر. حالات مختلف می‌تواند مشخص کند که احراز هویت کاربر یا سرور یک طرفه، احراز هویت کاربر و سرور دو طرفه یا عدم احراز هویت وجود داشته باشد.

4. اطمینان حاصل کنید که سرور از مجموعه رمزهای کاربر و الگوریتم کلیدی مجوزی، که استفاده می‌شود، پشتیبانی می‌کند.

5. رمزگذاری را از کلید خصوصی RSA خود در فایل server.key حذف نکنید، چراکه برای خواندن و تفسیر این فایل باید عبارت عبور خود را وارد کنید، می­توان گفت یک سرور بدون SSL به چنین عبارتی نیاز ندارد.

با این حال، اگر مطمئن هستید که سرور شما به اندازه کافی امن است، می‌توانید رمزگذاری را از کلید خصوصی RSA حذف کرده و در عین حال فایل اصلی را حفظ کنید. این کار اسکریپت‌های بوت سیستم را قادر می سازد تا سرور را راه اندازی کنند، چراکه هیچ عبارت عبوری لازم نخواهد بود. با این حال، مطمئن باشید که مجوزهای موجود در فایل server.key فقط به کاربر root یا وب سرور اجازه خواندن آن را می‌دهد. در حالت ایده‌آل، مجوزها را فقط به root محدود کرده و وب سرور را به‌عنوان root شروع و به‌عنوان سروری دیگر اجرا کنید. در غیر این صورت، هر کسی که این کلید را دریافت کند، می‌تواند هویت شما را در شبکه جعل کند.

چک‌لیست امنیتی کاربر

از آنجایی که احراز هویت رایانه‌ها، از طریق اینترنت، مشکل دارد، معمولاً به جای آن احراز هویت کاربر انجام می‌شود. این رویکرد از مشکلات سیستم کاربر، مانند: آدرس‌های IP جعلی، سیستم‌عامل‌ها یا برنامه‌های هک‌شده و هویت‌های جعلی یا سرقت‌شده‌ی سیستم کاربر، جلوگیری می‌کند. با این وجود، مراحل زیر امنیت اتصالات کاربر را بهبود می‌بخشد:

1. اتصال را برای استفاده از SSL پیکربندی کنید.

استفاده از ارتباطات SSL لایه امن پروتکل استراق‌سمع را بی نتیجه و استفاده از مجوزها را برای احراز هویت کاربر و سرور امکان پذیر می‌کند.

2. احراز هویت مجوز را برای کاربران و سرورها راه‌اندازی کنید.

چک‌لیست امنیتی مخاطب

از آنجایی که مخاطب به عنوان دروازه‌ی پایگاه داده به شبکه عمل می‌کند، محدود کردن پیامدهای تداخل مخرب اهمیت پیدا می‌کند:

1. امتیازات مخاطب را محدود کنید تا نتواند فایل‌ها را در پایگاه داده یا فضای آدرس سرور Oracle بخواند یا بنویسد.

این محدودیت مانع از آن می‌شود که عوامل فرآیند خارجی ایجاد شده توسط مخاطب یا فرآیندهایی که توسط چنین عاملی اجرا می شوند توانایی انجام چنین خواندن یا نوشتنی را کسب کنند. مدیرِ این فرآیندِ مربوط به مخاطبِ اختصاصی نباید مدیری باشد که Oracle را نصب کرده یا نمونه Oracle را اجرا می‌کند مانند ORACLE، مدیر پیش فرض.

2. مدیریت امن را با این چهار گام تضمین کنید:

الف) با رمز عبور در برابر مخاطب از خود محافظت کنید.

ب) از مدیریت برخط جلوگیری کنید.

پ) هنگام مدیریت مخاطب از SSL استفاده کنید.

ت) اگر قصد استفاده از چنین رویه‌هایی را ندارید، پیکربندی رویه‌ی خارجی را از فایل listener.ora حذف کنید.

3. بر فعالیت مخاطب نظارت کنید.

بیشتر بخوانید: چک‌لیست ‌امنیت سایبری و توصیه‌های امنیتی مهم برای سازمان­ها – قسمت اول

چک‌لیست امنیتی شبکه

حفاظت از شبکه و ترافیک آن در برابر دسترسی یا تغییرات نامناسب، جوهره‌ی امنیت شبکه است. اقدامات زیر امنیت شبکه را بهبود می­بخشد:

الف. دسترسی فیزیکی به شبکه را محدود کنید. اتصال دستگاه‌ها برای گوش دادن، تداخل یا ایجاد ارتباطات را سخت کنید.

ب. از نقاط دسترسی شبکه در برابر دسترسی غیرمجاز محافظت کنید. این هدف شامل حفاظت از نرم‌افزارهای مرتبط با شبکه در رایانه‌ها، پل‌ها و رهیاب‌های مورد استفاده در ارتباطات است.

پ. از آنجایی که هنگام انتقال داده‌ها با طریق اینترنت نمی‌توانید از آدرس‌های فیزیکی محافظت کنید، برای ایمن بودن این داده‌ها از رمزگذاری استفاده کنید.

ت. از فایروال‌ها استفاده کنید.

هنگامی که به کاربران داخلی اجازه‌ی دسترسی به اینترنت را می‌دهید، فایروال‌های مناسب قرار داده‌شده و پیکربندی‌شده می‌توانند از دسترسی افراد خارجی به اینترانت سازمان شما جلوگیری کنند.

• سرور پایگاه داده را پشت فایروال نگه دارید. زیرساخت شبکه‌ی Oracle Database از انواع فایروال‌های فروشندگان مختلف پشتیبانی می‌کند.
• برای محافظت از فایروال اطمینان حاصل کنید که آن در خارج از شبکه قرار دارد.
• فایروال را طوری پیکربندی کنید که فقط پروتکل‌ها، برنامه‌ها یا منابع کاربر یا سروری را بپذیرد که مطمئن اید امن هستند.
• از محصولی مانند Oracle Connection Manager برای چندگانه‌سازی چندین جلسه‌ی شبکه‌ی کاربر از طریق اتصال شبکه‌ای واحد به پایگاه داده استفاده کنید. این محصول می‌تواند منبع، مقصد و نام میزبان را فیلتر کند. این قابلیت شما را قادر می‌سازد تا اطمینان حاصل کنید که اتصالات فقط از پایانه‌های امن فیزیکی یا از سرورهای وب برنامه با آدرس‌های IP شناخته شده پذیرفته می‌شوند.

ث. هرگز در فایروال حفره ایجاد نکنید.

برای مثال، پورت 1521 Oracle Listener را باز نگذارید؛ به پایگاه داده اجازه دهید به اینترنت وصل شود و یا برعکس به اینترنت اجازه دهید به پایگاه داده متصل شود. چنین حفره‌ای آسیب‌پذیری‌های امنیتی مهمی را امکان‌پذیر می‌کند که احتمالاً هکرها از آن‌ها سوء استفاده خواهند کرد. آن‌ها می‌توانند حتی درگاه‌های بیشتری را از طریق فایروال فعال کرده، مشکلاتی را در رابطه با سرور سیستم‌عامل چند رشته‌ای ایجاد کنند و به اطلاعات مهم در پایگاه‌های داده‌ی پشت فایروال دسترسی پیدا کنند. اگر Listener بدون رمز عبور مشخص در حال اجرا باشد، آنها می‌توانند جزئیات مهمی را در مورد پایگاه داده‌هایی که آن را شنود می‌کنند بررسی کنند. این جزئیات شامل اطلاعات ردیابی و گزارش، اطلاعات بنر، و توصیفگرهای پایگاه داده و نام خدمات است که حملات مخرب را به پایگاه های داده هدف ممکن می‌کند.

ج. از مدیریت غیرمجاز Oracle Listener جلوگیری کنید.

همیشه یک رمز عبور معنادار و خوش فرم برای Oracle Lister ایجاد کنید تا از پیکربندی از راه دور Oracle Listener جلوگیری کنید.

چ. آدرس‌های IP شبکه را بررسی کنید.

از ویژگی امنیتی Oracle Net برای اجازه یا رد دسترسی کاربران شبکه‌ی دارای آدرس‌IP مشخص به فرآیندهای سرور Oracle استفاده کنید. پارامترهایی را در فایل protocol.ora فایل پیکربندی شبکه Oracle تنظیم کنید تا آدرس‌ IP کاربران به ترتیب غیرمجاز یا مجاز بودن برای اتصال به Oracle Listener مشخص شود. این اقدام از حملات احتمالی Denial of Service جلوگیری می‌کند.

ح. ترافیک شبکه را رمزگذاری کنید.

در صورت امکان، از Oracle Advanced Security برای رمزگذاری ترافیک شبکه بین کاربران، پایگاه‌های داده و سرورهای برنامه استفاده کنید. بدین صورت که توجه داشته باشید که Oracle Advanced Security فقط در نسخه‌ی Enterprise پایگاه داده Oracle در دسترس است.

خ. سیستم عامل میزبان یعنی سیستمی که Oracle Database در آن قرار دارد را مستحکم کنید.

تمامی خدمات غیر ضروری سیستم عامل را غیرفعال کنید. بسیاری از سرویس‌های یونیکس و ویندوز برای بیشتر استقرارها ضروری نیستند؛ این خدمات عبارتند از FTP، TFTP، TELNET و غیره.

برای هر سرویس غیرفعال، از بسته بودن هر دو پورت UDP و TCP اطمینان حاصل کنید.

فعال کردن هر یک از انواع پورت‌ها، سیستم عامل را آسیب‌پذیر می‌کند.

به طور خلاصه، تمام مسیرهایی که داده‌ها طی می‌کنند را در نظر بگیرید و تهدیداتی را که بر هر مسیر و گره تأثیر می‌گذارد را ارزیابی کنید. سپس اقداماتی را برای کاهش یا از بین بردن آن تهدیدات و پیامدهای رخنه‌ی موفقیت‌آمیزِ انجام دهید. همچنین، برای تشخیص افزایش تهدیدات یا نفوذ موفق، نظارت و بررسی دقیقی داشته باشید.

6. کنترل‌های دسترسی را به طور مؤثر اجرا کنید

هویت کاربران را به درستی احراز کنید. اگرچه احراز هویت از راه دور را می‌توان روشن کرد یعنی حالت TRUE، اما فرآیند نصب شما با خاموش کردن آن امن‌تر خواهد بود یعنی در حالت FALSE، که پیش‌فرض می­باشد. با فعال بودن احراز هویت از راه دور، پایگاه داده به طور ضمنی به تمام کاربران اعتماد می‌کند، چراکه فرض می‌کند که تمامی کاربران توسط سیستم احراز هویت از راه دور احراز هویت شده اند. با این حال، به طور کلی نمی‌توان به کاربران مانند رایانه‌های شخصی راه دور برای احراز هویت صحیح سیستم عامل اعتماد کرد، بنابراین فعال کردن این ویژگی یک اقدام امنیتی بسیار ضعیف و نامناسب است. برای اجرای صحیح احراز هویت مبتنی بر سرور برای کاربرانی که به پایگاه داده Oracle متصل می‌شوند، این ویژگی را باید رها یا غیرفعال کرد در این حالت remote_os_authentication=FALSE، می­باشد که پیش‌فرض است.

7. دسترسی به سیستم عامل را محدود کنید

این چهار روش، محدودیت‌های مناسبی را برای دسترسی به سیستم عامل ایجاد می‌کنند:

الف) تعداد کاربران سیستم عامل را محدود کنید.

ب) امتیازات حساب‌های کاربری سیستم‌عامل، مدیریتی، دارای امتیاز root یا DBA، در میزبان پایگاه داده Oracle ماشین فیزیکی، را به کمترین و محدودترین امتیاز لازم برای هر کاربر محدود کنید.

پ) تغییر مجوزهای پیش‌فرض برای نصب Oracle Database یا محتویات آن را، حتی توسط کاربران سیستم‌عامل ممتاز یا مالک Oracle، مجاز نشناسید.

ت) لینک‌های نمادین را محدود کنید. اطمینان حاصل کنید که وقتی مسیر یا فایلی به پایگاه داده ارائه می‌شود، نه خود فایل و نه هیچ بخشی از آن مسیر توسط کاربر نامعتبر قابل تغییر نیست. فایل و تمام اجزای مسیر باید متعلق به DBA یا برخی از حساب‌های قابل اعتماد مانند root یعنی حساب دارای امتیاز اساسی باشد. این توصیه برای همه‌ی انواع فایل‌ها اعمال می‌شود: فایل‌های داده، فایل‌های گزارش، فایل‌های ردیابی، جداول خارجی، Bfiles و غیره.

8. دسترسی به شبکه را محدود کنید

9. همه‌ی راهکارها و پَچ‌های امنیتی را اعمال کنید

هر حفره یا رخنه‌ی امنیتی را به محض شناساییِ اقدامات اصلاحی مسدود کنید. همواره تمام پَچ‌های امنیتی مرتبط و فعلی را برای سیستم عامل میزبان و خود Oracle Database و برای همه گزینه‌ها و مؤلفه‌های نصب شده‌ی Oracle Database اعمال کنید.

10. با Oracle تماس برقرار کنید یا از طریق شرکتی که از آن مشاوره می­گیرید مشکل را حل کنید

اگر فکر می‌کنید که یک آسیب‌پذیری امنیتی در Oracle Database پیدا کرده‌اید، با استفاده از Metalink، یک iTAR را به خدمات پشتیبانی جهانی Oracle ارسال کرده، یا شرح کاملی از مشکل از جمله: نسخه، محصول و پلتفرم، همراه با هرگونه اسکریپت و نمونه‌های سوءاستفاده را به آدرس زیر ایمیل کنید.

چک‌لیست‌های امنیت شبکه‌

استفاده از چک‌لیست‌های کاربر، مخاطب و شبکه، به‌منظور ایجاد حفاظتِ همه‌جانبه، باعث بهبود امنیت ارتباطات شبکه می‌شود. استفاده از SSL  یعنی لایه امن پروتکل عنصری ضروری در این چک‌لیست‌ها است که امنیت بالایی را برای احراز هویت و ارتباطات فراهم می‌کند.

چک‌لیست امنیتی SSL یا لایه امن پروتکل

SSL پروتکلِ استاندارد اینترنت برای ارتباطات ایمن است که مکانیسم‌هایی را برای یکپارچگی و رمزگذاری داده‌ها فراهم می‌کند. این مکانیسم‌ها می‌توانند از پیام‌های ارسال و دریافت شده توسط کاربر یا برنامه‌ها و سرورها محافظت کنند و از احراز هویت، صدور مجوز و پیام‌رسانی امن با استفاده از گواهی‌ها و در صورت لزوم رمزگذاری پشتیبانی کنند. شیوه‌های امنیتی خوب همه‌ی این حفاظت‌ها را به حداکثر می‌رساند و شکاف‌ها یا افشاگری‌هایی را که آن‌ها را تهدید می‌کند به حداقل می‌رساند. لیست ساده‌ی زیر جزئیات لازم برای استفاده موفق و ایمن از SSL را به تصویر می‌کشد:

2. اطمینان حاصل کنید که فایل‌های پیکربندی مانند فایل‌های کاربران و مخاطبان از پورت صحیح برای SSL استفاده می‌کنند، که این پورت هنگام نصب پیکربندی شده است. مطمئن شوید که tcpها با عنوان PROTOCOL در پارامتر ADDRESS در فایل tnsnames.ora معمولاً در دایرکتوری کاربر یا LDAP) مشخص شده باشند. در فایل listener.ora باید مشخصات یکسانی ظاهر شود.

3. اطمینان حاصل کنید که حالت SSL با هر دو سر هر ارتباطی سازگار است، مثلاً، بین پایگاه داده در یک سر و کاربر یا برنامه در سر دیگر. حالات مختلف می‌تواند مشخص کند که احراز هویت کاربر یا سرور یک طرفه، احراز هویت کاربر و سرور دو طرفه یا عدم احراز هویت وجود داشته باشد.

4. اطمینان حاصل کنید که سرور از مجموعه رمزهای کاربر و الگوریتم کلیدی مجوزی، که استفاده می‌شود، پشتیبانی می‌کند.

5. رمزگذاری را از کلید خصوصی RSA خود در فایل server.key حذف نکنید، چراکه برای خواندن و تفسیر این فایل باید عبارت عبور خود را وارد کنید، می­توان گفت یک سرور بدون SSL به چنین عبارتی نیاز ندارد.

با این حال، اگر مطمئن هستید که سرور شما به اندازه کافی امن است، می‌توانید رمزگذاری را از کلید خصوصی RSA حذف کرده و در عین حال فایل اصلی را حفظ کنید. این کار اسکریپت‌های بوت سیستم را قادر می سازد تا سرور را راه اندازی کنند، چراکه هیچ عبارت عبوری لازم نخواهد بود. با این حال، مطمئن باشید که مجوزهای موجود در فایل server.key فقط به کاربر root یا وب سرور اجازه خواندن آن را می‌دهد. در حالت ایده‌آل، مجوزها را فقط به root محدود کرده و وب سرور را به‌عنوان root شروع و به‌عنوان سروری دیگر اجرا کنید. در غیر این صورت، هر کسی که این کلید را دریافت کند، می‌تواند هویت شما را در شبکه جعل کند.

چک‌لیست کاربر

از آنجایی که احراز هویت رایانه‌ها، از طریق اینترنت، مشکل دارد، معمولاً به جای آن احراز هویت کاربر انجام می‌شود. این رویکرد از مشکلات سیستم کاربر، مانند: آدرس‌های IP جعلی، سیستم‌عامل‌ها یا برنامه‌های هک‌شده و هویت‌های جعلی یا سرقت‌شده‌ی سیستم کاربر، جلوگیری می‌کند. با این وجود، مراحل زیر امنیت اتصالات کاربر را بهبود می‌بخشد:

1. اتصال را برای استفاده از SSL پیکربندی کنید.

استفاده از ارتباطات SSL لایه امن پروتکل استراق‌سمع را بی نتیجه و استفاده از مجوزها را برای احراز هویت کاربر و سرور امکان پذیر می‌کند.

2. احراز هویت مجوز را برای کاربران و سرورها راه‌اندازی کنید.

چک‌لیست مخاطب

از آنجایی که مخاطب به عنوان دروازه‌ی پایگاه داده به شبکه عمل می‌کند، محدود کردن پیامدهای تداخل مخرب اهمیت پیدا می‌کند:

1. امتیازات مخاطب را محدود کنید تا نتواند فایل‌ها را در پایگاه داده یا فضای آدرس سرور Oracle بخواند یا بنویسد.

این محدودیت مانع از آن می‌شود که عوامل فرآیند خارجی ایجاد شده توسط مخاطب یا فرآیندهایی که توسط چنین عاملی اجرا می شوند توانایی انجام چنین خواندن یا نوشتنی را کسب کنند. مدیرِ این فرآیندِ مربوط به مخاطبِ اختصاصی نباید مدیری باشد که Oracle را نصب کرده یا نمونه Oracle را اجرا می‌کند مانند ORACLE، مدیر پیش فرض.

2. مدیریت امن را با این چهار گام تضمین کنید:

الف) با رمز عبور در برابر مخاطب از خود محافظت کنید.

ب) از مدیریت برخط جلوگیری کنید.

پ) هنگام مدیریت مخاطب از SSL استفاده کنید.

ت) اگر قصد استفاده از چنین رویه‌هایی را ندارید، پیکربندی رویه‌ی خارجی را از فایل listener.ora حذف کنید.

3. بر فعالیت مخاطب نظارت کنید.

چک‌لیست شبکه

حفاظت از شبکه و ترافیک آن در برابر دسترسی یا تغییرات نامناسب، جوهره‌ی امنیت شبکه است. اقدامات زیر امنیت شبکه را بهبود می­بخشد:

الف. دسترسی فیزیکی به شبکه را محدود کنید. اتصال دستگاه‌ها برای گوش دادن، تداخل یا ایجاد ارتباطات را سخت کنید.

ب. از نقاط دسترسی شبکه در برابر دسترسی غیرمجاز محافظت کنید. این هدف شامل حفاظت از نرم‌افزارهای مرتبط با شبکه در رایانه‌ها، پل‌ها و رهیاب‌های مورد استفاده در ارتباطات است.

پ. از آنجایی که هنگام انتقال داده‌ها با طریق اینترنت نمی‌توانید از آدرس‌های فیزیکی محافظت کنید، برای ایمن بودن این داده‌ها از رمزگذاری استفاده کنید.

ت. از فایروال‌ها استفاده کنید.

هنگامی که به کاربران داخلی اجازه‌ی دسترسی به اینترنت را می‌دهید، فایروال‌های مناسب قرار داده‌شده و پیکربندی‌شده می‌توانند از دسترسی افراد خارجی به اینترانت سازمان شما جلوگیری کنند.

• سرور پایگاه داده را پشت فایروال نگه دارید. زیرساخت شبکه‌ی Oracle Database از انواع فایروال‌های فروشندگان مختلف پشتیبانی می‌کند.
• برای محافظت از فایروال اطمینان حاصل کنید که آن در خارج از شبکه قرار دارد.
• فایروال را طوری پیکربندی کنید که فقط پروتکل‌ها، برنامه‌ها یا منابع کاربر یا سروری را بپذیرد که مطمئن اید امن هستند.
• از محصولی مانند Oracle Connection Manager برای چندگانه‌سازی چندین جلسه‌ی شبکه‌ی کاربر از طریق اتصال شبکه‌ای واحد به پایگاه داده استفاده کنید. این محصول می‌تواند منبع، مقصد و نام میزبان را فیلتر کند. این قابلیت شما را قادر می‌سازد تا اطمینان حاصل کنید که اتصالات فقط از پایانه‌های امن فیزیکی یا از سرورهای وب برنامه با آدرس‌های IP شناخته شده پذیرفته می‌شوند.

ث. هرگز در فایروال حفره ایجاد نکنید.

برای مثال، پورت 1521 Oracle Listener را باز نگذارید؛ به پایگاه داده اجازه دهید به اینترنت وصل شود و یا برعکس به اینترنت اجازه دهید به پایگاه داده متصل شود. چنین حفره‌ای آسیب‌پذیری‌های امنیتی مهمی را امکان‌پذیر می‌کند که احتمالاً هکرها از آن‌ها سوء استفاده خواهند کرد. آن‌ها می‌توانند حتی درگاه‌های بیشتری را از طریق فایروال فعال کرده، مشکلاتی را در رابطه با سرور سیستم‌عامل چند رشته‌ای ایجاد کنند و به اطلاعات مهم در پایگاه‌های داده‌ی پشت فایروال دسترسی پیدا کنند. اگر Listener بدون رمز عبور مشخص در حال اجرا باشد، آنها می‌توانند جزئیات مهمی را در مورد پایگاه داده‌هایی که آن را شنود می‌کنند بررسی کنند. این جزئیات شامل اطلاعات ردیابی و گزارش، اطلاعات بنر، و توصیفگرهای پایگاه داده و نام خدمات است که حملات مخرب را به پایگاه های داده هدف ممکن می‌کند.

ج. از مدیریت غیرمجاز Oracle Listener جلوگیری کنید.

همیشه یک رمز عبور معنادار و خوش فرم برای Oracle Lister ایجاد کنید تا از پیکربندی از راه دور Oracle Listener جلوگیری کنید.

چ. آدرس‌های IP شبکه را بررسی کنید.

از ویژگی امنیتی Oracle Net برای اجازه یا رد دسترسی کاربران شبکه‌ی دارای آدرس‌IP مشخص به فرآیندهای سرور Oracle استفاده کنید. پارامترهایی را در فایل protocol.ora فایل پیکربندی شبکه Oracle تنظیم کنید تا آدرس‌ IP کاربران به ترتیب غیرمجاز یا مجاز بودن برای اتصال به Oracle Listener مشخص شود. این اقدام از حملات احتمالی Denial of Service جلوگیری می‌کند.

ح. ترافیک شبکه را رمزگذاری کنید.

در صورت امکان، از Oracle Advanced Security برای رمزگذاری ترافیک شبکه بین کاربران، پایگاه‌های داده و سرورهای برنامه استفاده کنید. بدین صورت که توجه داشته باشید که Oracle Advanced Security فقط در نسخه‌ی Enterprise پایگاه داده Oracle در دسترس است.

خ. سیستم عامل میزبان یعنی سیستمی که Oracle Database در آن قرار دارد را مستحکم کنید.

تمامی خدمات غیر ضروری سیستم عامل را غیرفعال کنید. بسیاری از سرویس‌های یونیکس و ویندوز برای بیشتر استقرارها ضروری نیستند؛ این خدمات عبارتند از FTP، TFTP، TELNET و غیره. برای هر سرویس غیرفعال، از بسته بودن هر دو پورت UDP و TCP اطمینان حاصل کنید، فعال کردن هر یک از انواع پورت‌ها، سیستم عامل را آسیب‌پذیر می‌کند.

به طور خلاصه، تمام مسیرهایی که داده‌ها طی می‌کنند را در نظر بگیرید و تهدیداتی را که بر هر مسیر و گره تأثیر می‌گذارد را ارزیابی کنید. سپس اقداماتی را برای کاهش یا از بین بردن آن تهدیدات و پیامدهای رخنه‌ی موفقیت‌آمیزِ انجام دهید. همچنین، برای تشخیص افزایش تهدیدات یا نفوذ موفق، نظارت و بررسی دقیقی داشته باشید.

جهت دریافت چک لیست های امنیتی لطفا فرم آنرا را تکمیل نموده و نام هر یک از چک لیست های مورد نیاز در جدول را در قسمت توضیحات بیاورید تا کارشناسان ما در اسرع وقت جهت ارسال چک لیست با شما تماس حاصل نمایند.