數(shù)據(jù)庫安全等級測評工具的設(shè)計與實現(xiàn).pdf

1、為了保障數(shù)據(jù)庫管理系統(tǒng)的安全，需要對其安全等級進行檢測及評估，安全等級測評是根據(jù)數(shù)據(jù)庫安全標(biāo)準(zhǔn)對數(shù)據(jù)庫的安全功能確定一個可信級別。開發(fā)用于自動化或半自動化地評估數(shù)據(jù)庫安全等級的數(shù)據(jù)庫安全等級測評工具能提高測評效率。
　　在分析現(xiàn)有的信息系統(tǒng)安全等級測評工具架構(gòu)的基礎(chǔ)上，結(jié)合自動化測試框架STAF(Software Testing Automation Framework)，給出了數(shù)據(jù)庫安全等級測評工具的架構(gòu)。該系統(tǒng)的主要模塊包括測

2、試準(zhǔn)備模塊、數(shù)據(jù)存儲模塊、測試模塊和評估模塊。
　　測試準(zhǔn)備模塊包括用戶登錄、測試用例輸入以及測試項選擇等模塊；測試用例是根據(jù)《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求》和《信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則》來編寫的，測試用例文檔是根據(jù)用戶輸入的信息生成的，文檔采用XML語言描述。數(shù)據(jù)存儲模塊主要存儲測試用例文檔、預(yù)計結(jié)果文檔、實際測試結(jié)果文檔。在測試模塊設(shè)計中，通過詳細分析Oracle、達夢數(shù)據(jù)庫和MySQL的各個測試項，給

3、出了不同數(shù)據(jù)庫的同類型測試項可采用相同的測試流程來測試的方案。其中，針對遠程連接數(shù)據(jù)庫時的通信加密測試項，采用JpcapCaptor類提供的方法捕獲數(shù)據(jù)包并通過分析數(shù)據(jù)包中是否包含明文的用戶名和密碼的方法進行測試；針對文件操作類測試項，調(diào)用STAF的文件服務(wù)來操作文件。在評估模塊中，將測試結(jié)果與預(yù)計結(jié)果進行比對，當(dāng)兩種結(jié)果相同時，表明某個測試項測試通過，然后統(tǒng)計測試通過率，得出數(shù)據(jù)庫的安全等級。
　　對達夢數(shù)據(jù)庫和MySQL數(shù)據(jù)庫