我刚刚在新工作中继承了一个遗留的ERP系统,该系统具有Oracle 11g数据库。ERP基于Java和Oracle表单。它太旧了,需要运行IE和特定的JRE 8.121要求。
因此,在目前的系统中,用户可以使用服务器的公共IP在内部网络之外访问ERP。Oracle11gDB的侦听器端口是打开的,并且是从路由器转发的。这是我对这个设置的担忧。连接到数据库非常容易。
有哪些可能的方法来改进此设置?
这里可以做很多事情。。。
- 部署Oracle连接管理器以反向代理您的数据库连接:https://pmdba.wordpress.com/2013/12/01/deploying-an-oracle-11gr2-connection-manager/
- 使用强化检查表,如DISA Security Technical Implementation Guide for Oracle 11g:https://www.stigviewer.com/stig/oracle_database_11g_instance/,https://pmdba.wordpress.com/2020/03/03/how-to-complete-a-stig-review/
- 应用Oracle 11g的所有修补程序集更新,并在可能的情况下尽快升级到Oracle 19c。11g的安全补丁将于今年晚些时候结束,19c将很快成为唯一长期支持的版本。https://pmdba.wordpress.com/2020/04/28/top-stig-part-3-software-support/
- 启用审核,并进行某种监控或日志文件分析,以便您能够收到任何异常行为的警报。https://pmdba.wordpress.com/2013/12/01/real-time-oracle-11g-log-file-analysis/
关键是确保您的数据库不能从公共网络直接访问,尽可能加强您的基础设施,并了解用户在任何给定时间都在做什么。别忘了确保备份也是安全的,并定期进行测试/验证,以确保您可以从中恢复。