数据库安全性测试研究

《　《＇龃垂，ｌＪＴｌ｝　Ｓ　Ｉｌｌ：｜ｊ曩ｌ　ｌ　是否发挥作用并达到预期效果，有无漏洞。为此要　充分了解破坏数据库安全性的方法和工具，有针对　性地设计一些测试用例对系统进行测试。成功的数　（９）密码是否是明码显示；　（１０）新增用户名是否适用ｓｙｓ或ｓｙｓｔｅｍ。　２）修改用户的测试　据库安全性测试最终应能突破各种保护、控制数据　库。　（１）不输入旧密码，直接改密码；　（２）输入错误的旧密码；　（３）不输入确认新密码；　根据数据库安全设计所采取的各项措施，对其　进行数据库安全性测试时需要从以下角度来进行数　（４）新密码和确认新密码不一致；　据库安全性测试：　２．１数据库身份认证测试　用户的身份是数据库系统管理员为用户定义　的用户名（也称为用户标识、用户账号、用户ＩＤ），　并记录在计算机系统或数据库管理系统（ＤａｔａＢａｓｅ　Ｍａｎａｇｅｍｅｎｔ　Ｓｙｓｔｅｍ，ＤＢＭＳ）中。用户名是用　户在计算机系统中或ＤＢＭＳ中的惟一标识。因此，　般不允许用户自行修改用户名。　身份认证是指系统对输入的用户名与合法用户　名进行对照，鉴别此用户是否为合法用户。若是，　则可以进入下一步的核实；否则，不能使用系统。　因此，身份认证技术是对进入系统或网络的用户身　份进行验证，防止非法用户进入。可以通过身份鉴　别、检查口令或其他手段来检查用户的合法性。　根据数据库身份认证的特点，对新增用户、修　改用户、用户登录等方面进行身份认证测试。　１）新增用户的测试　（１）设置用户名、密码为边界长度；　（２）设置用户名、密码为有效用户信息；　（３）设置用户名、密码为空；　（４）设置用户名、密码长度不在边界长度范围内；　（５）用户名、密码是不符合要求的字符串，包括　空格、特殊字符等；　（６）添加用户时两次密码输入不一致（如果添加　时需要密码输入两次）；　（７）添加已存在的用户；　（８）密码是否可以复制粘贴；　（５）设置的新密码与旧密码相同；　（６）修改后的用户与已存在的用户信息相同；　（７）修改后的用户与已存在的用户信息不同。　３）用户登录的测试　（１）输入无效用户信息（包括非注册用户、特殊　字符输入等）进行登录；　（２）输入不正确的密码进行登录；　（３）输入空用户名、密码进行登录；　（４）输入有效用户信息进行登录；　（５）注销的用户登录系统；　（６）变更用户再次登录。　２．２数据库访问控制测试　访问控制保证系统的外部用户或内部用户对系　统资源的访问以及对敏感信息的访问方式符合组织　安全策略。它主要包括出入控制和存取控制。出入　控制主要是阻止非授权用户进入机构或组织。存取　控制指主体访问客体时的存取控制，如通过对授权　用户存取系统敏感信息时进行安全性检查，以实现　对授权用户存取权限的控制。　根据数据库访问控制的特点，用户访问权限控　制测试需要考虑以下几方面的测试：　（１）使用不同权限登录系统，覆盖系统所有设定　的权限；　（２）是否能够使用操作系统认证方式登录数据库；　（３）使用同一权限用户登录同一系统；　（４）使用不同权限用户登录同一系统；　（５）管理员能否增删改自己或同级别用户的权限；　２　Ｏ　１　２．１　１　圊ＥＥ朋Ｉ３４　Ｗ￣Ａ＠Ｖ　ｎｓｃｏｒｇ．ｃｎＩ　Ｃ《’ＭＩ，ｌＪ　营ｌ髓　Ｓ　｜Ｊ鲢　ｒ茔　（６）普通用户能否增删改自己、管理员或其他同　级别用户的权限；　（７）删除或修改已经登录系统并正在进行操作的　人员的权限；　（８）改变某些设置时，是否会影响上级权限及相　同权限用户的设置；　（９）系统管理员修改数据库后，其他用户登录时　数据是否改变；　（１０）系统管理员在修改数据过程中，其他用户　能否登录；　（１１）用户能否同时属于多个组；　（１２）重新添加已删除用户，是否具有以前设置　的权限。　２．３数据库机密性测试　由于数据库系统在操作系统下都是以文件形式　进行管理的，因此入侵者可以直接利用操作系统的　漏洞窃取数据库文件，或者直接利用操作系统工具　来非法伪造、篡改数据库文件内容。这种隐患一般　数据库用户难以察觉，解决这一问题的有效方法　之一是数据库管理系统对数据库文件进行加密处　理，使得即使数据不幸泄漏或者丢失，也难以被人　破译和阅读。故对数据库机密性测试时，需要从数　据文件加密与解密、数据信息密码显示方面进行测　试，查看加密文件是否以密文、密码代码的形式显　示，加密文件解密后是否以原文件显示，以及数据　库中的机密信息是否以密文或密码的形式显示。　２．４数据库完整性测试　数据库管理系统除了必须确保只有合法用户才　能更新数据，即必须有访问控制；还必须能防范非　人为的自然灾难。数据库完整性包括物理完整性、　逻辑完整性和元素完整性，这既适用于数据库的个　别元素，也适用于数据库，所以在数据库管理系统　的设计中完整性是主要的关心对象。　根据数据库完整性的设计要求，需要从数据备　份与恢复方面进行测试。　（１）备份与恢复内容的正确性；　（２）数据库运行在归档模式下，进行备份，实现　数据库的物理备份；　（３）对数据库的应用账户进行导出备份，实现数　据库的逻辑备份；　（４）备份到不同介质上，并考虑介质空间已满的　情况；　（５）在原始机、非原始机、裸机上的恢复；　（６）大数据量数据的备份与恢复；　（７）数据库备份，恢复后能否正常工作；　（８）集中备份恢复与普通备份恢复结果是否一　致；　（９）备份与恢复过程中对异常情况的处理（掉电、　网络不通、介质损坏等）；　（１０）在一台机器上进行若干次的备份与恢复；　（１　１）在数据库操作过程中，进行备份和恢复；　（１２）部分备份、全部备份、部分恢复、全部恢　复有选择的进行备份和恢复；　（１３）备份和恢复操作是否有权限限制，不同权　限进行备份和恢复；　（１４）多用户同时进行备份和恢复。　２．５数据库审计测试　为了能够跟踪用户对数据库的访问，及时发现　对数据库的非法访问和修改，可能需要对数据库的　所有访问进行记录。审计功能就是把用户对数据　库的所有操作自动记录下来放入审计日志（Ａｕｄｉｔ　Ｌｏｇ）中，一旦发生数据被非法存取，数据库管理　员可以利用审计跟踪的信息，重现导致数据库现有　状况的一系列事件，找出非法存取数据的人、时间　和内容等。因此，对数据库审计的测试，主要是针　对数据库日志管理进行如下方面的测试：　（１）数据库日志记录显示是否正确；　（２）数据库日志工作是否正常；　Ｓ　ｌｉ　ｌ　ｌＪ　Ｔ　Ｙ　—田■■●　－　■■Ｏ）　｜ＰＩＪＴＥ！｜１１　１ＴＹ（３）Ｅｌ志是否记录了所有的事务处理；　要因素之一。本文根据数据库安全设计所采取的措　（４）日志是否记录失败的错误信息；　施，分析各措施特点，同时给出了身份认证、访问　（５）日志是否在每次事务完成的时候都进行保存；　控制、数据访问机密性、数据完整性、审计能力、　（６）日志是否记录ＩＰ地址及登录信息；　可用性的数据安全测试方法，为数据库安全性测试　（７）Ｅｌ志进行删除、导出是否正确；　人员提供测试依据，同时也为数据库设计人员提供　（８）能否通过日志恢复数据库；　安全性设计的考量方向。　（９）数据库日志存储占用全部存储空间的处理。　２．６数据库可用性测试　参考文献　…蔡延光．数据库原理与应用［Ｍ】．机械工业出版社．　数据库可用性能够保证合法用户在需要时访问　２０１　０．　到相关的数据。数据库可被合法用户访问并符合用　［２】杨寅春．网络安全技术［Ｍ】．西安电子科技大学出版社．　户的使用要求，即当需要时能存取所需数据。因此，　２００９．　对数据库的可用性进行测试时需要考虑合法用户使　［５］王爱平．软件测试【Ｍ］．清华大学出版社；北京交通大　学出版社．２００８．　用数据库的情况，包括登录、检索、Ｅｌ志查看、导　［４】Ｃｈｉｐ　Ｄａｗｅｓ，Ｂｏｂ　Ｂｒｙｌａ，Ｊｏｓｅｐｈ　Ｃ．Ｊｏｈｎｓｏｎ，Ｍａｔｔｈｅｗ　出、保存、删除等操作。　Ｗｅｉｓｈａｎ．ＯＣＡ：Ｏｒａｃｌｅ　１　Ｏｇ管理１学习指南［Ｍ】．电子工业出　版社．２００５．　３结束语　［５］胡欣杰．Ｏｒａｃｌｅ　９ｉ数据库管理员指南（Ｖ９．０．１）［Ｍ】．北　数据库安全性测试是确保数据库安全的必要条　京希望电子出版社．２００２．　件，安全的数据库是保证数据库系统合理使用的重　收稿日期：２０１　２—１　Ｏ－－０６　（上接第３２页）　服务器完成病毒查杀任务。　解决方案。未来的世界将会是云计算大展身手的时　除了外部的安全防护手段之外，云服务器上部　代，我们应该抓住这样的发展契机，大力发展符合　署的操作系统自身的安全对云服务器的安全也起到　中国国情，具有自主知识产权的云安全产品，为我　至关重要的作用。目前国外的一些云服务提供商已　国的信息化健康发展保驾护航。　经推出了云安全操作系统，比如Ａｍａｚｏｎ、Ｇｏｏｇｌｅ　和Ｍｉｃｒｏｓｏｆｔ等，推出的操作系统已经具备了如身　参考文献　份认证、访问控制、行为审计等方面的安全机制。　［１］陈丹伟，黄秀丽，任勋益．云计算及安全分析［Ｊ】计算　国内这方面的研究还多停留在理论阶段，有待进一　机技术与发展．２０１　０．　［２】张云勇等．云计算安全关键技术分析［Ｊ】．电信科学，　步地实践并推出国内具有自主知识产权的系统。　２０１　０．　［５］比特网．云计算环境下安全模型与传统安全模型的差　３小结　异．ｈｔｔｐ：／／ｄａｔａｃｅｎｔｅｒ．ｃｈｉｎａｂｙｔｅ．ｃｏｍ／１　９５／１　１　４５９１　９５．ｓｈｔｍｌ　云计算是未来ＩＴ业发展的趋势，本文对云计算　中面临的安全风险进行了分析，并对每类安全风险，　作者简介：王义申（１　９７；５一），男，现在广东电网公司佛　山供电局工作，一直从事供电企业信息化建设工作。　结合现有的技术手段或者技术解决思路提出了安全　收稿日期：２０１　２－０８—１　０　２　０　１　２．１　１　圃【ＷＷＶＶ．＝＝西豳ｎＳＣ　ｏｒｇ．ｃｎｊ　Ｉ３６