數(shù)據(jù)安全-數(shù)據(jù)監(jiān)控和審計系統(tǒng)

數(shù)據(jù)安全

數(shù)據(jù)監(jiān)控和審計系統(tǒng)2內(nèi)容提要當(dāng)前數(shù)據(jù)安全狀況分析；數(shù)據(jù)庫審計產(chǎn)品情況.數(shù)據(jù)保護與審計相關(guān)知識3數(shù)據(jù)安全認識誤區(qū)誤區(qū)1：有了防火墻系統(tǒng)就是安全的：事實：40％的Internet被入侵案例，系統(tǒng)都配備了防火墻。誤區(qū)2：黑客導(dǎo)致大部分的安全隱患：事實：80％的數(shù)據(jù)丟失都是由內(nèi)部造成的，尤其是擁有高權(quán)限的系統(tǒng)管理和維護人員；誤區(qū)3：數(shù)據(jù)安全是一個技術(shù)問題：事實：安全不僅僅是一個技術(shù)問題，也是一個管理問題，先進的安全技術(shù)需要配合嚴格的管理制度，才能更加安全。42009年數(shù)據(jù)庫泄漏數(shù)據(jù)情況DataBreach統(tǒng)計：從數(shù)據(jù)庫泄漏的數(shù)據(jù)達75%數(shù)據(jù)違規(guī)增加/resources/security/reports/2009_databreach_rp.pdf5對數(shù)據(jù)資產(chǎn)安全認識缺乏對數(shù)據(jù)資源價值的認識：數(shù)據(jù)=信息=價值；數(shù)據(jù)的泄漏或泄密導(dǎo)致資產(chǎn)的損失數(shù)據(jù)的泄漏不像銀行金庫那樣立即看到損失(病毒或攻擊看得到；數(shù)據(jù)被拷貝幾百次沒有少!)

對信息安全的投資扭曲：大量的安全開銷只注重投入到兩個領(lǐng)域：網(wǎng)絡(luò)外圍（例如，防火墻、網(wǎng)關(guān)過濾設(shè)備等）；盡管這些工具在保護設(shè)備和基礎(chǔ)架構(gòu)方面很有效，在保護數(shù)據(jù)本身方面卻幾乎無能為力。結(jié)果是：敏感數(shù)據(jù)還是存在風(fēng)險；6人為因素導(dǎo)致數(shù)據(jù)被竊高權(quán)限用戶的錯誤操作，刪除或損壞了關(guān)鍵的業(yè)務(wù)數(shù)據(jù)系統(tǒng)維護人員或高權(quán)限的超級用戶，私自在后臺查看、竊取、甚至惡意破壞業(yè)務(wù)數(shù)據(jù)內(nèi)部人員違規(guī)修改業(yè)務(wù)數(shù)據(jù)業(yè)務(wù)人員越權(quán)訪問數(shù)據(jù)和應(yīng)用維護人員把整個數(shù)據(jù)庫中的數(shù)據(jù)備份帶走典型事件：2007年10月18日英國皇家海關(guān)及稅務(wù)總署保存的兩張電腦光盤丟失，其存有大約2500萬份個人資料。7國內(nèi)數(shù)據(jù)安全常被忽視數(shù)據(jù)中心管理不規(guī)范：多數(shù)人員具有DBA權(quán)限；外包或開發(fā)商長期擁有數(shù)據(jù)庫系統(tǒng)的高權(quán)限(如DROP)內(nèi)部數(shù)據(jù)庫管理人員或DBA權(quán)限混亂(出現(xiàn)事故后難以追查)；

防范內(nèi)部威脅重視不夠：大部分的數(shù)據(jù)泄漏或威脅長時間未被發(fā)現(xiàn)備份到磁帶的數(shù)據(jù)沒有加密-容易被帶走和恢復(fù)沒有對內(nèi)部人員或DBA進行必要的監(jiān)控；8數(shù)據(jù)庫活動審計與監(jiān)控的迫切性信息安全的全方位：信息安全(數(shù)據(jù)保護)不僅僅是備份恢復(fù)；信息安全是整個數(shù)據(jù)生命期的預(yù)防、監(jiān)控、審計、及事件追蹤等系列活動；數(shù)據(jù)保護=遵循法規(guī)+權(quán)限分離+審計監(jiān)控技術(shù)。法規(guī)遵循與管理的落實：信任但要驗證；權(quán)限的獨立性；技術(shù)的實現(xiàn)：外部監(jiān)控與審計內(nèi)部的活動的審計審計數(shù)據(jù)的管理9內(nèi)容提要當(dāng)前數(shù)據(jù)安全狀況分析；數(shù)據(jù)庫審計產(chǎn)品情況.100.Oracle系統(tǒng)安全與審計Oracle10g：一般審計：DML審計、使用資源審計、系統(tǒng)權(quán)限審計；FGA：對表、視圖列或行的控制審計；觸發(fā)方法審計；不足：不能防止DBA查詢其他用戶的表。Oracle11g：一般審計：DML審計、使用資源審計、系統(tǒng)權(quán)限審計；FGA：對表、視圖列或行的控制審計；觸發(fā)方法審計；可防止DBA查詢其他用戶的表。110.Oracle系統(tǒng)安全與審計OracleAuditVault

產(chǎn)品：與11g版本一起推出，是OracledatabaseVault的一部分；AuditVault

可在9i/10g/11g版本上運行；。120.Oracle系統(tǒng)安全與審計OracleAuditVault

啟用與CPU占用率(CPUOverhead)：下面是Oracle原廠給出的AuditVault

運行時CPU占用率130.Oracle系統(tǒng)安全與審計Oracle審計與性能影響情況：觸發(fā)器方法對性能的影響為FGA對性能的影響為140.RDBMS與第三方審計比較RDBMS審計：一般的RDBMS都提供功能相當(dāng)強大的審計技術(shù)RDBMS可審計內(nèi)部的任何數(shù)據(jù)庫表的操作和對系統(tǒng)的各種命令操作，比如SQL語句、實用程序及Network訪問等。弱點是：增加RDBMS本身的負載，主要是降低系統(tǒng)性能和占用數(shù)據(jù)庫系統(tǒng)的存儲空間第三方審計產(chǎn)品：一般都提供基于旁路設(shè)備的審計技術(shù)不影響(很少影響)RDBMS系統(tǒng)的性能(零負載)但是：不能對數(shù)據(jù)庫內(nèi)部人員的直接操作的審計，比如從Oracle服務(wù)器上直接用sqlplus(無連接字串)登錄或EXP操作等151.IBMGuardiumGuardium系統(tǒng)：以色列Log-On軟件的子公司。主要產(chǎn)品是向客戶提供可擴展的企業(yè)安全平臺，可實時保護企業(yè)應(yīng)用的數(shù)據(jù)庫IBM于2009.11.30收購，并改名為IBMInfoSphereGuardium重點是：Databaseactivitymonitoring(數(shù)據(jù)庫活動監(jiān)控)Guardium特點：IBMInfoSphereGuardium解決方案通過安裝在數(shù)據(jù)庫服務(wù)器上的輕量軟件探測器連續(xù)地監(jiān)視數(shù)據(jù)庫事務(wù)；探測器在操作系統(tǒng)內(nèi)核級上監(jiān)視所有數(shù)據(jù)庫事務(wù)，包括特權(quán)用戶的事務(wù)，而不依賴于數(shù)據(jù)庫審計日志；162.Imperva產(chǎn)品Imperva：屬于：SecurityInformation&EventManagement；End-to-EndWebApplicationProtection；MonitoringAuditingReportingAssessment(數(shù)據(jù)庫配置評估)AccessControlProtection(包含策略).Imperva不足：沒有內(nèi)部的用戶審計和控制；沒有對用戶權(quán)限的分析和監(jiān)控；173.DBAuditExpert產(chǎn)品DBAuditexport產(chǎn)品：DBAuditExpert是專業(yè)的集所有功能于一身Oracle,Sybase,DB2,MSSQL和MySQL數(shù)據(jù)庫安全和審計解決方案DBAuditExpert使數(shù)據(jù)庫和系統(tǒng)管理員，安全管理員，審計員和操作人員追蹤和分析數(shù)據(jù)庫安全包括數(shù)據(jù)庫安全，訪問和使用率，數(shù)據(jù)創(chuàng)建，更改或刪除。DBAuditexport特點：安全性預(yù)防管理偵測和安全配置分析審計與監(jiān)控弱點及滲入測試校正183.DBAuditExpert產(chǎn)品DBAuditexport優(yōu)點：可捕獲常規(guī)的和從“后門”進入的被審計的數(shù)據(jù)庫系統(tǒng).功能集中的安全和審計，提供從單一位置控制方便管理多個數(shù)據(jù)庫系統(tǒng)。提供分析報告，減少審計大量數(shù)據(jù)從而輕松地識別各種數(shù)據(jù)庫的安全行為的全面數(shù)據(jù)匯總。提供分析報告，幫助確定哪些進程和用戶占用系統(tǒng)資源。提供不可用于本地數(shù)據(jù)庫審計用途的審計線索細節(jié)。當(dāng)敏感數(shù)據(jù)發(fā)生變化時，為關(guān)鍵人員提供實時電子郵件警報。支持靈活的審計配置，使安全人員選擇必須監(jiān)測和審計跟蹤的特定的數(shù)據(jù)庫操作和數(shù)據(jù)變化。提供完全透明的系統(tǒng)級的數(shù)據(jù)更改審計，而無需對當(dāng)前應(yīng)用做任何改動。完全兼容所有主機系統(tǒng)上可以運行支持的數(shù)據(jù)庫，不局限于WindowsNT,UNIX,Linux,VMS,OS/390,z/OS上。194.杭州安恒-DBAuditor審計安恒審計系統(tǒng)：明御TM數(shù)據(jù)庫審計與風(fēng)險控制系統(tǒng)(簡稱：DAS-DBAuditor)支持Oracle、MS-SQLServer、DB2及Sybase等業(yè)界主流數(shù)據(jù)庫DAS-DBAuditor可支持直連、旁路兩種模式靈活地部署到網(wǎng)絡(luò)中，在無需更改現(xiàn)有網(wǎng)絡(luò)體系結(jié)構(gòu)

安恒審計系統(tǒng)-多層監(jiān)控審計：應(yīng)用系統(tǒng)發(fā)起的數(shù)據(jù)庫操作請求、來自數(shù)據(jù)庫客戶端工具的操作請求以及通過遠程登錄服務(wù)器后的操作請求等204.杭州安恒-DBAuditor審計功能風(fēng)險評估：軟件風(fēng)險配置風(fēng)險操作風(fēng)險監(jiān)控與保護：用戶行為監(jiān)控、權(quán)限監(jiān)控、元數(shù)據(jù)監(jiān)控對象監(jiān)控、事務(wù)監(jiān)控、遠程訪問監(jiān)控實時告警或阻斷審計與分析：數(shù)據(jù)庫權(quán)限審計數(shù)據(jù)庫配置審計數(shù)據(jù)庫操作審計(select/DML/DDL...)遠程訪問安全審計(telnet/ftp/sqlplus)215.杭州帕拉迪審計產(chǎn)品杭州帕拉迪

–數(shù)據(jù)庫審計系統(tǒng)：針對外來用戶的控制；對網(wǎng)絡(luò)和OS操作的監(jiān)控；審計-記錄的操作人員的基本信息；部分數(shù)據(jù)傳輸?shù)募用?杭州帕拉迪

–數(shù)據(jù)庫審計系統(tǒng)不足：沒有內(nèi)部的用戶審計和控制；沒有對用戶權(quán)限的分析和監(jiān)控；226.中創(chuàng)軟件的審計產(chǎn)品InforGuard審計系統(tǒng)：以網(wǎng)絡(luò)審計方式為主，同時兼顧數(shù)據(jù)庫本地審計對數(shù)據(jù)庫的查詢、新增、刪除、修改、授權(quán)等各種操作行為進行解析和智能關(guān)聯(lián)，并提供多種靈活方便的查詢方法、統(tǒng)計報表，供數(shù)據(jù)庫管理者查詢、分析和決策。目前對ORACLE、MSSQLServer、Sybase等各種主流數(shù)據(jù)庫進行審計。InforGuard審計特點：審計引擎(硬件)—通過旁路監(jiān)聽的方式接入網(wǎng)絡(luò)，在網(wǎng)絡(luò)層對數(shù)據(jù)庫操作數(shù)據(jù)進行協(xié)議還原和分析，發(fā)送到審計中心。審計中心—接收并存儲引擎采集的數(shù)據(jù)，具有完善的數(shù)據(jù)分析和事件關(guān)聯(lián)功能，形成報警和決策。管理控制臺—提供人機交互界面功能，支持管理人員對系統(tǒng)實施配置、查詢等功能。23內(nèi)容提要當(dāng)前數(shù)據(jù)安全狀況分析；數(shù)據(jù)庫審計產(chǎn)品情況.數(shù)據(jù)保護與審計相關(guān)知識240.數(shù)據(jù)庫安全術(shù)語漏洞(vulnerabilities)：軟件設(shè)計本身存在的弱點(漏洞)；操作系統(tǒng)和數(shù)據(jù)庫都可能存在漏洞；漏洞可能被不法分子攻擊漏洞掃描(vulnerabilityscanning)：主要是針對不同軟件存在的缺陷進行檢查；目前出現(xiàn)許多不同環(huán)境的漏洞掃描軟件，如一個基于Web的網(wǎng)絡(luò)漏洞掃描系統(tǒng)、；250.數(shù)據(jù)庫安全術(shù)語取證分析(forensics)：證據(jù)分析Forensicsanalyze流氓軟件(rogueapplication)：主要是指那些用于破壞對方軟件系統(tǒng)，導(dǎo)致系統(tǒng)癱瘓或性能受到影響等的不法軟件260.數(shù)據(jù)庫安全知識DatabaseActivityMonitoring(DAM)：數(shù)據(jù)庫活動監(jiān)控對內(nèi)/外所有用戶的操作進行記錄；對DB的審計產(chǎn)生的數(shù)據(jù)可記錄在OS路徑下，也可記錄在數(shù)據(jù)庫內(nèi)；審計可分為普通審計和高級審計(精細的審計).SecurityInformation&EventManagement(SIEM)：主要是對數(shù)據(jù)庫操作用戶的監(jiān)控，包括用戶活動的捕獲、跟蹤及阻斷等；數(shù)據(jù)庫監(jiān)控與預(yù)防攻擊是一種主動式安全方法；270.數(shù)據(jù)庫安全知識主動式入侵預(yù)防技術(shù)：入侵預(yù)防技術(shù)-IntrusionPreventionSystem(IPS)；典型產(chǎn)品有TippingPointIPS產(chǎn)品入侵檢測：入侵檢測(IDS)產(chǎn)品只能檢測到攻擊，而不能采取任何主動的防御形式；28安全知識法規(guī)(Governance)：1.BaselII2.SarbanesOxley3.OFAC4.TurnbullReport隱私(Privacy)：1.EUDPD2.AU/NZNPP3.SB1386/AB19504.GLBA5.HIPAA6.PCI7.FCRA--“RedFlag”29安全知識法規(guī)遵循問題：Sarbanes；滿足需求的IT控制：COSO/COBIT防范內(nèi)部威脅：大部分的威脅未被發(fā)現(xiàn)外包的趨勢客戶想監(jiān)控內(nèi)部人員或DBA30數(shù)據(jù)庫審計面臨的挑戰(zhàn)數(shù)據(jù)審計面臨的問題：管理審計數(shù)據(jù)(審計數(shù)據(jù)的安全性、大規(guī)模審計數(shù)據(jù)的管理、審計數(shù)據(jù)的歸檔)分析、報告審計數(shù)據(jù)與監(jiān)控審計數(shù)據(jù)設(shè)置與修改參數(shù)審計跟蹤DBAUser啟用審計executescommand.DatabaseServer

process審計數(shù)據(jù)1審計數(shù)據(jù)2

審計數(shù)據(jù)nCRMDSS

…審計OS文件31數(shù)據(jù)庫審計面臨的挑戰(zhàn)數(shù)據(jù)審計面臨的問題：收集審計數(shù)據(jù)；報告審計數(shù)據(jù)；監(jiān)控審計數(shù)據(jù)；管理審計數(shù)據(jù)(審計數(shù)據(jù)的安全性、大規(guī)模審計數(shù)據(jù)的管理、審計數(shù)據(jù)的歸檔)32數(shù)據(jù)庫審計面臨的挑戰(zhàn)數(shù)據(jù)審計面臨的問題：收集審計數(shù)據(jù)；報告審計數(shù)據(jù)；監(jiān)控審計數(shù)據(jù)；管理審計數(shù)據(jù)(審計數(shù)據(jù)的安全性、大規(guī)模審計數(shù)據(jù)的管理、審計數(shù)據(jù)的歸檔)任務(wù)記錄分析及事后追查：可對監(jiān)控/記錄項目中重要條件進行統(tǒng)計和報告可對記錄的所有條件進行多種格式導(dǎo)出（如Excel)對審計數(shù)據(jù)進行分類整理周期性自動備份機臨界值33數(shù)據(jù)庫審計報告數(shù)據(jù)審計分析并給出報告：以Excel輸出報告以PDF格式輸出報告?345.Oracle數(shù)據(jù)庫–

審計范圍Oracle數(shù)據(jù)庫審計范圍：OracleUserAccountsandPasswordsOracleRolesDatabaseSystemPrivilegesDatabaseObjectPrivilegesOracleAuditTrailsNetworkSecurityOracle數(shù)據(jù)庫審計不足：Oracle不能對數(shù)據(jù)讀取流量進行控制Oracle

不能識別攻擊35OracleNetworkSecurityDataistransmittedinclear-textOracleAdvancedSecuritySqlnet.oraNodeCheckingTCP.VALIDNODE_CHECKING=<yes/no>TCP.EXCLUDED_NODES=

(ip_address,hostname)TCP.INVITED_NODES=(hostname,ip_address)36SQLServer-AuditAreasSQLServerSecurityConfigurationSQLServerLoginsServerRolesSQLServerDatabasesDatabaseRolesStatement&ObjectPermissionsSecurityLogsandAuditTrails37DB2AuditAreasSecurityConfigurationParametersAuthenticationDB2AuthoritiesDatabasePrivilegesObjectPrivilegesAuditTrailMechanisms38NetworkBasedInformationLeakageDetection&Prevention

Vericept,Vontu,PortAuthority,Tablus,Reconnex,Zantaz,FidelisSecurity,SurfControl,Websense,Tizor,NitroSecurity

DesktopBasedInformationLeakageDetection&Prevention

Verdasys,Orchestria,OakleyNetworks,ControlGuard,Safend,OnigmaFraudDetectionsolutions

FairIsaac,SearchSpace,Mantas,Norkom,Actimize,IntellinxDatabaseSecurityandMonitoringSolutions

Lumigent,Guardium,DataMirror,Teleran,IPLocks,Tizor,ImpervaLogAggregationandAnalysis

Consul,Vanguard,SenSage,LogLogic,Memento,BalaBit

InternalThreatsPlayers39信息安全難題安全可用性成本三者之間取得平衡40參考資源中國信息安全組織：/；中國信息安全組織--數(shù)據(jù)庫安全：/content/dbsec/dbsec.html中國信息安全認證中心：/IBMInfoSphereGuardium：/software/data/guardium/41Oracle安全漏洞檢測Oracle系統(tǒng)用戶權(quán)限過渡檢查SQL腳本：select b.owner||'.'||b.table_nameobj, b.privilegewhat_granted,b.grantable,a.usernamefrom sys.dba_usersa,sys.dba_tab_privsbwhere a.username=b.granteeorderby1,2,3;select owner||'.'||table_nameobj, privilegewhat_granted,grantable,granteefrom sys.dba_tab_privswhere notexists (select'x'fromsys.dba_users whereusername=grantee)orderby1,2,3;42數(shù)據(jù)庫監(jiān)控與審計安全系列支持不同OS環(huán)境和不同數(shù)據(jù)庫的安全產(chǎn)品系列標(biāo)準(zhǔn)版本到網(wǎng)絡(luò)版本：43BackgroundDisclaimer:Approximatepercentagesbasedontransitorymarketinginformation.Actualdatamayvary.?Copyright2006www.DBAppS44PopularDatabasesinCommonDataDictionaryOracleSQLServerDB2Versions,Tables,Columns,UsersV$versionUser_tables,cols,All_users,dba_users,sys.user$...@@versionInformation_schema.Tables,Information_schema.columns,sysobjectsSysproc.env_get_inst_info(),SYSCAT.TABLES,SYSCAT.columns,…SQLCADefaultuser/passwordsys/change_on_install,system/manager,dbsnmp/dbsnmp…sa/<blank>db2admin/db2admindb2inst1/ibmdb245Roles&PrivilegeAuditingOracleSQLServerDB2session_privsSystem_privilege_mapAll_tab_privs_madeUser_tab_privs_madeIS_MEMBERIS_SRVROLEMEMBER

SYSCAT.PASSTHRUAuthSYSCAT.SCHEMAAuthSYSCAT.DBAuthSYSCAT.TabAuthSYSCAT.COLAuth?Copyright2006www.DBAppS46SpecialSpotsforDatabasesSpotsOracleSQLServerDB2PasswordmanagementWeakpasswordhashalgorithmexposedyearsagoandstilldidnotchange.NoSalt!StoredInSysxlogins,Pwdencrypt()OSlevel,SYSADM_GRP,SYSCTRL_GRPPorts1521widelyopenunlessyoueditthesqlnet.oratolocktheIPconnectsin.1433TCP1434UDP50000

“Evil”procedures,functionsandpackagesDBMS_SCHEDULER,UTL_HTTP,UTL_TCP,UTL_SMTP,UTL_FILESp_OACreateXp_cmdshell,Xp_regread,Xp_regwrite,Xp_logininfo,Xp_grantloginXp_xxxxx>CreatetableLoadfromfile.>EasytocreateproceduretoexecOScmd?Copyright2006www.DBAppS47DatabaseConfigurationProtectingDataOracleInitParameters07_DICTIONARY_ACCESSIBILITY,Audit_sys_operations,Remote_os_authentication,UTL_FILE_DIRetc.DatabaselinkpasswordPatchinfoSQLServer

Allow_updates,RemoteAccessetcSp_trace_createfileoutputAllextendedproceduresPatchinfoDB2

Catalog_noauth,Datalinks,Trust_allclntsetcAuditinfoPatchinfo?Copyright2006www.DBAppS48資訊安全政策資訊安全組織資產(chǎn)分類與控制人員的安全管理硬體及環(huán)境的安全管理通訊及操作設(shè)備的安全管理系統(tǒng)發(fā)展及維護上的安全管理存取控制商業(yè)持續(xù)性管理符合性資訊安全的管理領(lǐng)域49控制要點及控制目標(biāo)資訊安全管理系統(tǒng)是包含10個管理領(lǐng)域，在這10個管理領(lǐng)域中又細分為36個控制目標(biāo)。為達成控制目標(biāo)時，有時常會運用一個甚至多個控制要點。在BS7799-2中總共有127個控制要點。50技術(shù)與管理的結(jié)合資訊安全管理系統(tǒng)的主軸是一套管理系統(tǒng)，針對十大管理領(lǐng)域定義資訊安全。依據(jù)十大管理領(lǐng)域來區(qū)分，75%是管理相關(guān)；25%是只能由技術(shù)相關(guān)方案來解決。例如：防火牆、入侵偵測、防毒及弱點掃描等系統(tǒng)。51安全政策管理步驟PolicyStandardsProcedures,Guidelines&PracticesESMPolicyComplianceActualEnvironment強制遵循安全政策符合業(yè)界ISO17799規(guī)範(fàn)定義安全技術(shù)的實作程序ESM弱點檢測協(xié)助企業(yè)稽核安全政策是否落實 作業(yè)系統(tǒng)和應(yīng)用軟體52AuditToolsandResourcesImplementingDatabaseSecurity&AuditingRonBenNatan(ElsevierDigitalPress)TheDatabaseHacker’sHandbookLitchfield,Anley,Heasman,Grindlay(Wiley)OracleSecurityHandbook(OraclePress)OracleDatabaseAdministration(O’Reilly)Manyusefulresourcesandscriptsscanner.sql(securityandaudittestscript)ExploitingandPenetratingOraclewhitepaper(SCOREsection–OracleAuditChecklist)53AuditTools&ResourcesSQLServerSecurity–Andrews/LitchfieldMcGrawHill/OsborneSQLServerAuditChecklistsandToolsDB2AuditPrograms/docs/IBMDB2Security/dl/articles/Securing_IBM_DB2.pdfCenterforInternetSecurity–BenchmarksC(Oracle,SQLServer,MySQL)

DB2SQLServer54Database-KeyControlsDatabasesecuritydesignDatabasehardeningSecurityalertmonitoringPatchmanagementNetworkisolationNotexposedtoInternetNotexposedininternalnetworkEncryptionintransitDatabaseEncryptionSecureApplicationCoding(e.g.toadd