數(shù)據(jù)庫(kù)安全等級(jí)測(cè)評(píng)工具的設(shè)計(jì)與實(shí)現(xiàn).pdf

1、為了保障數(shù)據(jù)庫(kù)管理系統(tǒng)的安全，需要對(duì)其安全等級(jí)進(jìn)行檢測(cè)及評(píng)估，安全等級(jí)測(cè)評(píng)是根據(jù)數(shù)據(jù)庫(kù)安全標(biāo)準(zhǔn)對(duì)數(shù)據(jù)庫(kù)的安全功能確定一個(gè)可信級(jí)別。開(kāi)發(fā)用于自動(dòng)化或半自動(dòng)化地評(píng)估數(shù)據(jù)庫(kù)安全等級(jí)的數(shù)據(jù)庫(kù)安全等級(jí)測(cè)評(píng)工具能提高測(cè)評(píng)效率。
　　在分析現(xiàn)有的信息系統(tǒng)安全等級(jí)測(cè)評(píng)工具架構(gòu)的基礎(chǔ)上，結(jié)合自動(dòng)化測(cè)試框架STAF(Software Testing Automation Framework)，給出了數(shù)據(jù)庫(kù)安全等級(jí)測(cè)評(píng)工具的架構(gòu)。該系統(tǒng)的主要模塊包括測(cè)

2、試準(zhǔn)備模塊、數(shù)據(jù)存儲(chǔ)模塊、測(cè)試模塊和評(píng)估模塊。
　　測(cè)試準(zhǔn)備模塊包括用戶(hù)登錄、測(cè)試用例輸入以及測(cè)試項(xiàng)選擇等模塊；測(cè)試用例是根據(jù)《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求》和《信息安全技術(shù)數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則》來(lái)編寫(xiě)的，測(cè)試用例文檔是根據(jù)用戶(hù)輸入的信息生成的，文檔采用XML語(yǔ)言描述。數(shù)據(jù)存儲(chǔ)模塊主要存儲(chǔ)測(cè)試用例文檔、預(yù)計(jì)結(jié)果文檔、實(shí)際測(cè)試結(jié)果文檔。在測(cè)試模塊設(shè)計(jì)中，通過(guò)詳細(xì)分析Oracle、達(dá)夢(mèng)數(shù)據(jù)庫(kù)和MySQL的各個(gè)測(cè)試項(xiàng)，給

3、出了不同數(shù)據(jù)庫(kù)的同類(lèi)型測(cè)試項(xiàng)可采用相同的測(cè)試流程來(lái)測(cè)試的方案。其中，針對(duì)遠(yuǎn)程連接數(shù)據(jù)庫(kù)時(shí)的通信加密測(cè)試項(xiàng)，采用JpcapCaptor類(lèi)提供的方法捕獲數(shù)據(jù)包并通過(guò)分析數(shù)據(jù)包中是否包含明文的用戶(hù)名和密碼的方法進(jìn)行測(cè)試；針對(duì)文件操作類(lèi)測(cè)試項(xiàng)，調(diào)用STAF的文件服務(wù)來(lái)操作文件。在評(píng)估模塊中，將測(cè)試結(jié)果與預(yù)計(jì)結(jié)果進(jìn)行比對(duì)，當(dāng)兩種結(jié)果相同時(shí)，表明某個(gè)測(cè)試項(xiàng)測(cè)試通過(guò)，然后統(tǒng)計(jì)測(cè)試通過(guò)率，得出數(shù)據(jù)庫(kù)的安全等級(jí)。
　　對(duì)達(dá)夢(mèng)數(shù)據(jù)庫(kù)和MySQL數(shù)據(jù)庫(kù)