面向信息安全等級(jí)測(cè)評(píng)的數(shù)據(jù)庫安全配置核查系統(tǒng).pdf

1、近年來，信息技術(shù)的飛速發(fā)展給人類生活帶來了重大影響，越來越多的企業(yè)和部門通過信息系統(tǒng)處理業(yè)務(wù)。但是，在人們對(duì)信息系統(tǒng)的依賴性不斷增強(qiáng)的同時(shí)，信息系統(tǒng)的安全問題也隨之而來。信息系統(tǒng)不僅會(huì)受到黑客攻擊等外部威脅的損害，同時(shí)還會(huì)受到人員操作錯(cuò)誤、系統(tǒng)安全配置低、系統(tǒng)升級(jí)不及時(shí)等內(nèi)部威脅的損害，因此，在這樣的背景下，我國根據(jù)當(dāng)前的基本國情制訂了一系列與信息安全等級(jí)保護(hù)相關(guān)的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)主要對(duì)信息系統(tǒng)應(yīng)該具備的安全配置狀態(tài)進(jìn)行了詳細(xì)的等級(jí)劃分，

2、用于指導(dǎo)我國針對(duì)信息系統(tǒng)而開展的等級(jí)測(cè)評(píng)工作。
　　然而，我國在等級(jí)測(cè)評(píng)方面起步比較晚，相關(guān)流程以及在工作過程中使用的軟件、硬件等工具并不完善，因此遇到了許多難題。例如:對(duì)信息系統(tǒng)進(jìn)行等級(jí)測(cè)評(píng)需要人工實(shí)施，所以對(duì)工作人員的要求比較高;其次，進(jìn)行全面的等級(jí)測(cè)評(píng)耗費(fèi)時(shí)間比較長，很浪費(fèi)時(shí)間;第三，需要測(cè)評(píng)的設(shè)備比較多，工作很繁瑣，效率也比較低;第四，測(cè)評(píng)結(jié)果需要人工記錄與分析，出錯(cuò)的幾率比較大，重測(cè)/補(bǔ)測(cè)的概率也高;第五，測(cè)評(píng)報(bào)告需要人

3、工撰寫，不同的工作人員撰寫的報(bào)告在格式方面會(huì)有很大差別，并不統(tǒng)一。
　　本文針對(duì)我國在等級(jí)測(cè)評(píng)過程中遇到的難題，設(shè)計(jì)了一款面向信息安全等級(jí)測(cè)評(píng)的數(shù)據(jù)庫安全配置核查系統(tǒng)，該系統(tǒng)根據(jù)我國等級(jí)保護(hù)相關(guān)標(biāo)準(zhǔn)構(gòu)建了一套專用于數(shù)據(jù)庫系統(tǒng)（例如Oracle、MySQL、SQL Server等）并且完善的安全基線知識(shí)庫，為該系統(tǒng)的各項(xiàng)操作提供了標(biāo)準(zhǔn)化的框架和標(biāo)準(zhǔn)。該系統(tǒng)可以遠(yuǎn)程連接被測(cè)評(píng)的數(shù)據(jù)庫設(shè)備，并從內(nèi)嵌SQLite數(shù)據(jù)庫中讀取核查腳本，隨后

4、執(zhí)行核查腳本并獲得被測(cè)設(shè)備的安全配置核查結(jié)果，同時(shí)生成規(guī)范的測(cè)評(píng)報(bào)告，并且測(cè)評(píng)報(bào)告可以以Word、HTML、Excel、RTF、PDF、TXT等格式導(dǎo)出，以滿足不同人員的需求。
　　該系統(tǒng)以C＃為開發(fā)語言，用WPF設(shè)計(jì)用戶界面，使用嵌入式開源數(shù)據(jù)庫SQLite作為數(shù)據(jù)庫引擎，同時(shí)利用微軟的ADO.NET組件來實(shí)現(xiàn)與待測(cè)數(shù)據(jù)庫設(shè)備的遠(yuǎn)程連接，并采用C/S方案構(gòu)建系統(tǒng)體系結(jié)構(gòu)。
　　本文所設(shè)計(jì)并開發(fā)的系統(tǒng)支持用戶對(duì)被測(cè)數(shù)據(jù)庫設(shè)備