FISMA和Oracle:2005年报告卡

2002年的《联邦信息安全管理法》(FISMA)要求所有政府机构向管理和预算办公室提交整个机构对IT安全的年度评估。 这些报告的总体结果在年度报告中进行汇总和报告。"联邦计算机安全报告卡",从而使联邦政府获得D +。 

评估过程的一方面涉及对Oracle使用配置策略。 我们审查了可公开获得的代理商报告,以编译Oracle特定的报告卡,以了解代理商如何利用FISMA的一小部分进行操作。 在24家机构中,有10家发布了整个FISMA报告。

结果并不令人鼓舞 -即使获得高分的机构也没有实施Oracle的配置策略。 甲骨文的总成绩为联邦政府的D-级。

FISMA主要是作为文书工作而受到损害,实际上却很少提高整体信息安全性。 但是,大多数Oracle安全专家都认为,应用定义明确的配置策略或安全检查表可以极大地提高数据库的安全性。 这种配置策略成功的关键因素是它可以处理特定于应用程序的异常。 有许多非常好的安全检查表,包括 互联网安全中心Oracle基准测试国防部数据库STIG.

我们研究了FISMA和Oracle的合规性,因为我们认为使用标准配置策略可以使大多数(即使不是全部)Oracle实施受益。

参考:

FISMA和Oracle:2005年报告卡

 Share this post