初始安装和设置之后,可以使用 Oracle 硬件和软件安全功能继续控制硬件和跟踪系统资产。
可以使用软件来打开和关闭某些 Oracle 系统的电源。可以远程启用和禁用某些系统机柜的配电设备 (power distribution unit, PDU)。这些命令的授权通常在系统配置期间设置,并且通常仅限系统管理员和服务人员使用这些命令。有关详细信息,请参阅系统或机柜文档。
可使用序列号来跟踪清单。Oracle 将序列号嵌入到选件卡和系统主板上的固件中。可以通过局域网连接读取这些序列号。
还可以使用无线射频识别 (radio frequency identification, RFID) 读取器来进一步简化资产跟踪。可从以下位置获取 Oracle 白皮书《How to Track Your Oracle Sun System Assets by Using RFID》(《如何使用 RFID 跟踪 Oracle Sun 系统资产》),网址为:http://www.oracle.com/technetwork/articles/systems-hardware-architecture/o11-001-rfid-oracle-214567.pdf
请保持服务器设备上的固件以及相关主机软件(驱动程序、用户空间工具)为最新版本。
定期检查更新。
始终安装软件或固件的最新发行版本。
为您的软件安装任何必要的安全修补程序。
请记住,网络交换机之类的设备也包含固件,因此也可能需要修补程序和固件更新。
检查更新和修补程序的可用性,网址为 https://support.oracle.com
请遵循以下准则以保护对系统的本地和远程访问:
实施端口安全性,以基于 MAC 地址限制访问。对所有端口禁用自动中继。
只允许使用 SSH(而非 Telnet)从特定 IP 地址进行远程配置。Telnet 以明文形式传递用户名和密码,这可能使 LAN 段上的每个人都能看到登录凭据。为 SSH 设置强密码。
使用 SNMP 的版本 3 来提供安全传输。SNMP 的早期版本不安全,它们以未加密文本形式传输验证数据。
如果必须使用 SNMP,请将默认的 SNMP 团体字符串更改为加强的团体字符串。某些产品将 PUBLIC 设置为默认 SNMP 团体字符串。攻击者可以查询团体以绘制非常完整的网络图,并可能修改管理信息库 (Management Information Base, MIB) 值。
如果系统控制器使用浏览器界面,请始终在使用后将其注销。
禁用不必要的网络服务,如 TCP 小型服务器或 HTTP。启用必要的网络服务并以安全方式配置这些服务
请遵循以下准则以最大限度地确保数据安全:
使用外部硬盘驱动器、笔式驱动器或记忆棒等设备备份重要数据。将备份的数据存储在另一个不在现场的安全位置。
使用数据加密软件确保硬盘驱动器上的机密信息安全。
处置旧硬盘驱动器时,请物理销毁该驱动器或彻底清除该驱动器上的所有数据。删除驱动器中的文件或重新格式化驱动器后,仍可从该驱动器恢复信息。删除文件或重新格式化驱动器只会删除该驱动器中的地址表。使用磁盘擦除软件可彻底清除驱动器上的所有数据。
定期检查和维护日志文件。
查看日志以发现可能的事件,并根据安全策略将它们归档。
定期将超出合理大小的日志文件作废。保留已作废文件的副本,以备用于将来参考或统计分析。