面向信息安全等级测评的数据库安全配置核查系统
近年来,信息技术的飞速发展给人类生活带来了重大影响,越来越多的企业和部门通过信息系统处理业务。但是,在人们对信息系统的依赖性不断增强的同时,信息系统的安全问题也随之而来。信息系统不仅会受到黑客攻击等外部威胁的损害,同时还会受到人员操作错误、系统安全配置低、系统升级不及时等内部威胁的损害,因此,在这样的背景下,我国根据当前的基本国情制订了一系列与信息安全等级保护相关的标准,这些标准主要对信息系统应该具备的安全配置状态进行了详细的等级划分,用于指导我国针对信息系统而开展的等级测评工作。 然而,我国在等级测评方面起步比较晚,相关流程以及在工作过程中使用的软件、硬件等工具并不完善,因此遇到了许多难题。例如:对信息系统进行等级测评需要人工实施,所以对工作人员的要求比较高;其次,进行全面的等级测评耗费时间比较长,很浪费时间;第三,需要测评的设备比较多,工作很繁琐,效率也比较低;第四,测评结果需要人工记录与分析,出错的几率比较大,重测/补测的概率也高;第五,测评报告需要人工撰写,不同的工作人员撰写的报告在格式方面会有很大差别,并不统一。 本文针对我国在等级测评过程中遇到的难题,设计了一款面向信息安全等级测评的数据库安全配置核查系统,该系统根据我国等级保护相关标准构建了一套专用于数据库系统(例如Oracle、MySQL、SQL Server等)并且完善的安全基线知识库,为该系统的各项操作提供了标准化的框架和标准。该系统可以远程连接被测评的数据库设备,并从内嵌SQLite数据库中读取核查脚本,随后执行核查脚本并获得被测设备的安全配置核查结果,同时生成规范的测评报告,并且测评报告可以以Word、HTML、Excel、RTF、PDF、TXT等格式导出,以满足不同人员的需求。 该系统以C#为开发语言,用WPF设计用户界面,使用嵌入式开源数据库SQLite作为数据库引擎,同时利用微软的ADO.NET组件来实现与待测数据库设备的远程连接,并采用C/S方案构建系统体系结构。 本文所设计并开发的系统支持用户对被测数据库设备进行在线配置核查,能在最短时间内获得核查结果,并对核查结果进行分析判定,最后生成符合规范的测评报告,从而实现检查、分析、生成一体化,最大限度的满足了用户对于操作简易性和高效性的需求,同时本文设计的系统能够在很大程度上提高测评结果的准确性和规范性,可以减少员工的工作时间,提高工作效率。该系统在很大程度上节省了整个测评过程所需的时间,也提高了测评的准确性,具有很理想的实用价值。
数据库;安全配置;核查系统;信息安全;等级测评工作
中国海洋大学
硕士
计算机技术
曲海鹏
2015
中文
TP311.13
74
2016-01-27(万方平台首次上网日期,不代表论文的发表时间)