面向信息安全等級測評的數(shù)據(jù)庫安全配置核查系統(tǒng).pdf

1、近年來，信息技術(shù)的飛速發(fā)展給人類生活帶來了重大影響，越來越多的企業(yè)和部門通過信息系統(tǒng)處理業(yè)務(wù)。但是，在人們對信息系統(tǒng)的依賴性不斷增強的同時，信息系統(tǒng)的安全問題也隨之而來。信息系統(tǒng)不僅會受到黑客攻擊等外部威脅的損害，同時還會受到人員操作錯誤、系統(tǒng)安全配置低、系統(tǒng)升級不及時等內(nèi)部威脅的損害，因此，在這樣的背景下，我國根據(jù)當(dāng)前的基本國情制訂了一系列與信息安全等級保護(hù)相關(guān)的標(biāo)準(zhǔn)，這些標(biāo)準(zhǔn)主要對信息系統(tǒng)應(yīng)該具備的安全配置狀態(tài)進(jìn)行了詳細(xì)的等級劃分，

2、用于指導(dǎo)我國針對信息系統(tǒng)而開展的等級測評工作。
　　然而，我國在等級測評方面起步比較晚，相關(guān)流程以及在工作過程中使用的軟件、硬件等工具并不完善，因此遇到了許多難題。例如:對信息系統(tǒng)進(jìn)行等級測評需要人工實施，所以對工作人員的要求比較高;其次，進(jìn)行全面的等級測評耗費時間比較長，很浪費時間;第三，需要測評的設(shè)備比較多，工作很繁瑣，效率也比較低;第四，測評結(jié)果需要人工記錄與分析，出錯的幾率比較大，重測/補測的概率也高;第五，測評報告需要人

3、工撰寫，不同的工作人員撰寫的報告在格式方面會有很大差別，并不統(tǒng)一。
　　本文針對我國在等級測評過程中遇到的難題，設(shè)計了一款面向信息安全等級測評的數(shù)據(jù)庫安全配置核查系統(tǒng)，該系統(tǒng)根據(jù)我國等級保護(hù)相關(guān)標(biāo)準(zhǔn)構(gòu)建了一套專用于數(shù)據(jù)庫系統(tǒng)（例如Oracle、MySQL、SQL Server等）并且完善的安全基線知識庫，為該系統(tǒng)的各項操作提供了標(biāo)準(zhǔn)化的框架和標(biāo)準(zhǔn)。該系統(tǒng)可以遠(yuǎn)程連接被測評的數(shù)據(jù)庫設(shè)備，并從內(nèi)嵌SQLite數(shù)據(jù)庫中讀取核查腳本，隨后

4、執(zhí)行核查腳本并獲得被測設(shè)備的安全配置核查結(jié)果，同時生成規(guī)范的測評報告，并且測評報告可以以Word、HTML、Excel、RTF、PDF、TXT等格式導(dǎo)出，以滿足不同人員的需求。
　　該系統(tǒng)以C＃為開發(fā)語言，用WPF設(shè)計用戶界面，使用嵌入式開源數(shù)據(jù)庫SQLite作為數(shù)據(jù)庫引擎，同時利用微軟的ADO.NET組件來實現(xiàn)與待測數(shù)據(jù)庫設(shè)備的遠(yuǎn)程連接，并采用C/S方案構(gòu)建系統(tǒng)體系結(jié)構(gòu)。
　　本文所設(shè)計并開發(fā)的系統(tǒng)支持用戶對被測數(shù)據(jù)庫設(shè)備