X S Zaproszenie

X Seminarium PLOUG

„Praktyczne aspekty bezpieczeństwa produktów Oracle”

czas: 2005-04-27
miejsce: Warszawa, ul. Chałubińskiego 8, wejście od strony hotelu
Marriott

To już trzecie seminarium Polskiej Grupy Użytkowników Systemów
Oracle, poświęcone
bezpieczeństwu informacji w kontekście produktów Oracle. W tym roku
postanowiliśmy skupić się na nowościach…

Po pierwsze – nowości wprowadzone przez Oracle. W
obowiązującej
wersji 10g bazy i serwera aplikacji, producent wprowadził wiele nowych
mechanizmów, które można zastosować do skuteczniejszego i
wygodniejszego
zabezpieczenia przetwarzanych informacji. Do tych mechanizmów należy
zaliczyć:
Transparent Data Encryption, Proxy authentication, mod_security, lepszą
integrację z Identity Management i wiele innych. Szczególną uwagę
chcemy poświęcić
mechanizmowi Virtual Private Database w kontekście zastosowań
praktycznych.
Inną nowością dotyczącą serwerów aplikacji, jest wsparcie Oracle dla
PHP.
PHP jest powszechnie znane w świecie Open Source i jest językiem
pozwalającym
na proste i szybkie tworzenie aplikacji internetowych zintegrowanych z
bazami
danych. Oracle wspiera integrację PHP ze swoimi produktami a w
najnowszej
wersji Application Server 10g R2 (10.1.2), PHP w wersji 4.3, jest
dołączone na
płycie instalacyjnej. W wypadku tworzenia aplikacji internetowych
szczególną
uwagę należy zwrócić na bezpieczeństwo aplikacji, zwłaszcza w wypadku
PHP.
Drobny błąd może stworzyć możliwość ataku na aplikację (sposoby
atakowania aplikacji internetowych były omawiane na spotkaniach PLOUG w
poprzednich latach). Na szczęście PHP posiada liczne mechanizmy
pozwalające
na zabezpieczenie się przed atakami na aplikacje, dane i na samą
platformę
serwerową. Podczas naszego spotkania będziemy chcieli przybliżyć
administratorom i twórcom aplikacji te mechanizmy i zaprezentować jak
można
ich użyć w kontekście dostępu do bazy Oracle z poziomu PHP.

Po drugie – nowości w obowiązujących realiach. Od maja 2004
obowiązuje
nowelizacja ustawy o ochronie danych osobowych. Nowelizacja ta
wprowadza wiele
konkretnych wymogów dotyczących przetwarzania informacji w bazach
danych. Wykład
będzie miał na celu przybliżenie projektantom i twórcom aplikacji
ustawy o
ochronie danych osobowych ze szczególnym uwzględnieniem przetwarzania
informacji w bazach danych. Zostaną przedstawione wytyczne, jakie musi
spełniać
struktura bazy danych oraz system zarządzania bazą danych.

Serdecznie zapraszamy do uczestnictwa w Seminarium.

Program:

10:00 Otwarcie
10:05 Nowości
dotyczące bezpieczeństwa w
Oracle 10g

Paweł Chomicz
11:05 Ustawa o
ochronie danych osobowych a bazy
danych Oracle

Wojciech Dworakowski
12:05 Przerwa
12:20 Bezpieczeństwo
PHP w wydaniu Oracle

Paweł Krawczyk
13:50 Lunch
15:00 Virtual
Private Database

Paweł Chomicz
16:30 Przerwa
16:45 Virtual
Private Database c.d.

Paweł Chomicz
17:45 Zakończenie

Abstrakty

Nowości dotyczące bezpieczeństwa w Oracle 10g

Paweł Chomicz (Matrix.pl)
Wykład – 60 min

W Oracle 10g producent wprowadził i ulepszył wiele cech
pozwalających na
lepsze zabezpieczenie przetwarzanych danych. Celem wykładu będzie
przedstawienie tych nowości i modyfikacji. Między innymi zostaną
przedstawione:

  • Transparent Data Encryption – pakiet DBMS_CRYPTO jako nowa wersja
    znanego
    z Oracle 8i i 9i pakietu DBMS_OBFUSCATION_TOOLKIT;
  • Secure Application Roles;
  • Nowe możliwości Virtual Private Database (ten zakres zostanie
    poszerzony
    i zaprezentowany w praktyce podczas osobnego warsztatu);
  • Enterprise User Security;
  • Proxy Authentication;
  • Fine Grained Auditing.

Poza wprowadzaniem powyższych, nowych cech Oracle w swych produktach
od
dawna dąży do zintegrowania zarządzania bezpieczeństwem różnych
komponentów
na różnych poziomach. Elementem wokół którego Oracle buduje
infrastrukturę
do zarządzania bezpieczeństwem informacji jest Oracle Identity
Management.
Podczas wykładu zostaną krótko omówione kluczowe składowe architektury
Oracle Platform Security:

  • Oracle Internet Directory;
  • Oracle Directory Integration and Provisioning;
  • Oracle Delegated Administration Service;
  • Oracle Application Server 10g Single Sign-On;
  • Oracle Application Server 10g Certificate Authority.

Większość z tych modułów była rozwijana od Oracle 8i poprzez 9i.
Jednak
dopiero w Oracle 10g osiągnęły one taki stan dojrzałości, że ich
konfiguracja oraz użytkowanie nie stanowią już większego problemu dla
administratorów oraz deweloperów.

Ustawa o ochronie danych osobowych a bazy danych Oracle

Wojciech Dworakowski (SecuRing)
Wykład – 60 min

Ustawa o ochronie danych osobowych obowiązuje w naszym kraju już od
kilku
lat. W zeszłym roku, wraz z naszym wejściem do Unii Europejskiej weszła
w życie
nowelizacja tej ustawy. Instytucje przetwarzające dane osobowe w dniu
wejścia
nowych regulacji miały okres karencji do 01 listopada aby przystosować
się do
nowych wymagań. Cechą charakterystyczną tej nowelizacji i
towarzyszących jej
rozporządzeń jest to, że narzuca na administratorów danych dość
konkretne
wymagania techniczne dla systemów informatycznych w tym dla baz danych
i
interfejsów aplikacyjnych. Niespełnienie wymagań ustawowych może
narazić
firmę na poważne konsekwencje, włącznie z karami finansowymi i nakazem
usunięcia
zbioru danych które są przetwarzanie nieprawidłowo.

Wykład będzie miał na celu przedstawienie problematyki przetwarzania
danych osobowych w bazach danych w kontekście praktycznych zastosowań i
problemów jakie mogą napotkać projektant i administrator systemów
bazodanowych. W pierwszej części odpowiemy m.in. na pytania „co to są
dane osobowe?” i „kto podlega regulacjom ustawy?”. W drugiej części
wykładu zostaną przedstawione najważniejsze wymagania techniczne
wynikające
z obecnie obowiązujących regulacji, w szczególności wymagania, które
można
i należy implementować w bazie danych. Każdorazowo zostaną również
wymienione mechanizmy obecne w produktach Oracle pozwalające na
implementacje
omawianych wymagań. Wiedza taka pozwoli słuchaczom na szybkie
zorientowanie się
czy ich systemy bazodanowe spełniają wymagania ustawowe oraz jakie
aspekty
przetwarzania danych należy brać pod uwagę przy budowie nowych systemów
bazodanowych w których mogą być przetwarzane dane osobowe.

Bezpieczeństwo PHP w wydaniu Oracle

Paweł Krawczyk
Wykład – 90 min

Latem ubiegłego roku Oracle ogłosiło daleko idące plany wsparcia
popularnego języka PHP na platformie Oracle Application Server (http://www.oracle.com/technology/tech/opensource/php/php_ohs_sod.html).
Począwszy od wersji 10.1.2 Oracle HTTP Server, środowisko PHP jest
dostarczane
na płycie CD razem z produktami Oracle. To dobra wiadomość, bo PHP jest
nowoczesnym i szybkim językiem o potężnych mozliwościach. Równocześnie
pod
koniec 2004 nastąpił niespotykany dotąd wysyp dziur w popularnych
aplikacjach
pisanych w języku PHP, włącznie z pojawieniem się wirusów
wykorzystujących
PHP.

Czy PHP samo w sobie jest dziurawe? Czy w takim razie włączanie go
do
produktów Oracle nie jest otwarciem mitycznej puszki Pandory? Czy
ryzykuję
korzystając z PHP? Odpowiedź na większość tych pytań brzmi „nie”
ale PHP, jak każda platforma aplikacyjna posiada swoją specyfikę, którą
należy znać by uniknąć powtarzania typowych błędów.

Podczas prezentacji omówione zostaną mechanizmy bezpieczeństwa
udostępniane
natywnie przez PHP. Zostaną także omówione i przeanalizowane na
przykładach
błędy popełniane przez twórców aplikacji PHP. Jako przykłady posłużą
znane i często używane aplikacje PHP tworzone w duchu Open Source.
Omówione
zostaną również dodatkowe zabezpieczenia pozwalające na zbudowanie
bardzo
bezpiecznej platformy do budowy aplikacji webowych.

Virtual Private Database

Paweł Chomicz (Matrix.pl)
Tutorial – 2,5 godz.

Virtual Private Database jest mechanizmem umożliwiającym separacje
danych
na poziomie serwera bazy danych oraz ustalanie praw dostępu do danych z
granulacją do wiersza. VPD umożliwia zatem powiązanie praw dostępu do
danych
w tabelach z hierarchiczną strukturą organizacyjną firmy bez
konieczności
implementacji dodatkowych mechanizmów separacji użytkowników w
systemach
transakcyjnych oraz raportowych.

W 2003 roku na VIII Seminarium PLOUG prezentowany był
zaimplementowany w
Oracle 9i mechanizm Oracle Label Security który jest rozszerzeniem
mechanizmu
Virtual Private Database wprowadzonego już w Oracle 8i. W najnowszej
wersji
Oracle 10g mechanizm Virtual Private Database został znacznie
rozbudowany. Nowości
obejmują:

  • statyczne, szybkie polityki zabezpieczeń;
  • dzielenie różnych polityk zabezpieczeń dla tego samego obiektu;
  • określenie polityki zabezpieczeń w zależności od kolumn na
    których
    wykonywane są zapytania;
  • integracja z Oracle Identity Management;
  • użycie Virtual Private Database dla zapytań równoległych.

Podczas warsztatu zostanie zaprezentowany mechanizm Virtual Private
Database
w obecnym wydaniu 10g, wraz z historią jego rozwoju. Warsztat będzie
się
skupiał przede wszystkim na nowościach wprowadzonych w Oracle 10g.
Omówiony
zostanie pakiet biblioteczny dbms_rls. Zaprezentowany zostanie również
przykład
aplikacji używającej VPD do odwzorowania praw dostępu do danych
przypisanych
do komórek firmy w zależności od umiejscowienia użytkowników w
strukturze
tej firmy.

Plan warsztatu:

  • Historia VPD.
  • Nowe cechy VPD.
  • Instalacja i konfiguracja VPD i OLS.
  • Pakiet biblioteczny dbms_rls.
  • Prezentacja przykładowej aplikacji automatyzującej proces
    przepisania
    praw dostępu z hierarchii firmy.

Osobą odpowiedzialną za program jest Wojciech Dworakowski


Formularz zgłoszenia uczestnictwa

Pobierz
formularz zgłoszenia uczestnictwa…

Organizacja seminarium:
Sławomir Kwiecień
tel. +48 601 958 703, +48 12 415-82-64
fax: +48 12 632-35-24
e-mail: