信息安全技术数据库管理系统安全技术要求(GB-T 20273-2019).docx

ICS35.040L80中华人民共和国国家标准 GB/T 20273201X代替GB/T 20273-2006信息安全技术数据库管理系统安全技术要求Information security techniques Security technical requirements for database management system（报批稿）201X- XX - XX发布201X - XX - XX实施GB/T XXXXXXXXX目次前言II信息安全技术数据库管理系统安全技术要求11 范围12 规范性引用文件13 术语、定义和缩略语13.1 术语和定义13.2 缩略语14 评估对象描述24.1 评估对象概述24.2 评估对象安全功能24.3 评估对象应用环境35 安全问题定义45.1 资产45.2 威胁45.3 组织安全策略65.4 假设86 安全目的96.1 TOE安全目的96.2 环境安全目的127 扩展组件定义147.1 扩展组件原理147.2 扩展功能组件148 安全要求158.1 安全功能要求158.2 安全保障要求279 基本原理409.1 安全目的基本原理419.2 安全要求基本原理47附录A （资料性附录） 关于标准修订和使用说明55A.1 原标准GB/T 20273-2006评估内容与本标准安全功能要求映射表55参考文献58前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本标准代替GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求，与GB/T 20273-2006相比主要变化如下：a) 删除了GB/T 20273-2006“3.1术语和定义”，增加了“3.2缩略语”中的内容。b) 增加了安全问题定义、安全目的、扩展组件定义、基本原理（见第5章、第6章、第7章、第9章）；c) 修改了评估对象描述（见第4章，2006年版的第4章）；d) 删除了GB/T 20273-2006第5章“安全审计”安全功能中提供“潜在侵害分析”、“基于异常检测”和“简单攻击探测”的要求；e) 删除了GB/T 20273-2006第5章“SSODB自身安全保护”安全功能中提供“SSF物理安全保护”的要求；f) 删除了GB/T 20273-2006第5章“SSF运行安全保护”安全功能中关于与“不可旁路性”、“域分离”和“可信恢复”相关的要求；g) 删除了GB/T 20273-2006第5章安全功能中提供“推理控制”的要求；h) 增加了附录A的原标准和新标准安全功能要求映射表。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人：张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军本标准所代替标准的历次版本发布情况：GB/T 20273-2006。57信息安全技术数据库管理系统安全技术要求1 范围本标准给出了EAL2、EAL3和EAL4评估保障级的数据库管理系统安全问题定义和安全目的，给出了对EAL2、EAL3和EAL4评估保障级的数据库管理系统及其数据资产进行安全保护所需的安全功能要求和安全保障要求，解释了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间的对应关系。本标准适用于数据库管理系统的测试、评估和采购，也可用于指导该类产品的研制和开发。本标准规定的EAL2、EAL3、EAL4级的安全要求既适用于基于GB/T 18336标准下的数据库安全性测评，同样适用于基于GB17859标准下数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评，相关对应关系详见A.1。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能要求GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障要求GB/T 25069-2010 信息安全技术 术语GB/T 28821-2012关系数据管理系统技术要求3 术语、定义和缩略语3.1 术语和定义GB/T 25069-2010、GB/T 18336.1-2015和GB/T 28821-2012标准界定的术语和定义适用于本文件。3.2 缩略语下列缩略语适用于本文件。DBMS：数据库管理系统（Database Management System）RDBMS：关系数据库管理系统（Relational Database Management System）SQL：结构化查询语言（Structured Query Language）XML：可扩展置标语言(Extensible Markup Language)ODBC：开放数据库连接（Open Database Connectivity）JDBC：JAVA数据库连接（Java DataBase Connectivity）IT：信息技术（Information Technology）TOE：评估对象（Target of Evaluation）TSF： TOE安全功能（TOE Security Functionality）DAC：自主访问控制（Discretionary Access Control）LBAC：基于标签的访问控制（Label Based Access Control）RBAC：基于角色的访问控制（Role Based Access Control）DBA：数据库管理员（Database Administrator）SA：安全管理员（Security Administrator）PP：保护轮廓（Protection Profile）ST：安全目标（Security Target）SAR：安全保障要求（Security Assurance Requirements）SFR：安全功能要求（Security Functional Requirements）SF：安全功能（Security Function）SFP：安全功能策略（Security Function Policy）TOE：评估对象（Target Of Evaluation）TSF：TOE安全功能（TOE Security Function）TSP：TOE安全策略（TOE Security Policy）TSC：TSF控制范围（TSF Scope of Control）TSFI：TSF接口（TSF Interface）EAL：评估保障级（Evaluation Assurance Level）CM：配置管理（Configuration Management）4 评估对象描述4.1 评估对象概述本标准的评估对象是指数据库管理系统所包含的管理软件及其管理的数据库对象。数据库管理系统所包含的管理软件应提供数据库定义和操作语言（如SQL语言）对数据库对象进行定义、操作和管理；提供数据库控制语言，通过数据模型语义约束条件维护数据库运行的数据完整性；提供数据库备份、还原与恢复机制，保证数据库管理系统运行中出现故障时的数据库可用性。基于关系模型（或扩展关系模型）的数据库管理系统还应提供事务管理机制，保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性。数据库管理系统主要包括以下组成部分：a） 数据库：存放用户数据和TSF数据的数据文件、存放数据库事务处理过程的日志文件、维护数据库运行完整性控制文件等物理文件组成。存储的数据库对象包括模式对象、非模式对象、数据库字典对象等。b） 实例：包括查询引擎、事务管理器、数据存储管理器等部件。实现对数据库对象的定义、管理、查询、更新、控制等基本功能。c） 数据库语言及其访问接口：提供SQL语言、ODBC、JDBC等开发接口规范，允许授权用户通过数据库开发接口定义数据库结构、访问和修改数据库对象数据、展现数据库运行相关配置参数，以及对用户数据和DBMS相关数据执行各种维护操作等进行管理。d） 数据库运行维护辅助工具：提供数据库管理系统实例的启动与关闭，数据库、表空间或数据文件的联机、脱机、打开与关闭，数据库检查点控制，数据库日志归档、外部数据导入等数据库运行维护辅助工具或接口。4.2 评估对象安全功能数据库管理系统提供通过多种安全控制措施保证其管理数据资产安全。安全控制措施可由数据库管理系统本身直接提供，也可通过其运行的IT环境间接支持。数据库管理系统安全功能主要包括：a） 用户标识与鉴别：用户只有通过鉴别后才能通过评估对象的访问控制引擎控制授权用户对数据库对象的操作。b） 授权用户管理：每个授权用户有一组安全域特性，可决定下列内容：可用特权和授权角色、可用存储空间（如表空间）限额、可用系统资源（如共享缓存、数据读写容量、CPU使用）限制等安全属性。c） 管理员角色管理：提供安全管理员、安全审计员、数据库管理员等缺省的数据库角色。管理员也可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式、设置数据库审计策略等数据库安全管理功能。d） 访问控制：在确认授权用户与授权管理员身份以及他们安全域特性基础上，TSF实施授权用户与授权管理员的授权策略，控制主体访问客体活动。例如：自主访问控制、基于角色的访问控制、基于标签的访问控制等。e） 数据库审计：安全审计提供与TSF相关的数据库操作是否被记录到数据库审计文件的机制。审计记录可以存储在数据库中专用审计表或外部操作系统上的系统文件中。TSF应提供审计记录的安全保护。f） 数据库备份与恢复：评估对象运行出现故障后，利用TSF数据库备份与恢复机制实现对备份数据的还原，在数据库还原的基础上利用数据库日志进行数据库恢复，重新建立一个完整的数据库，然后继续运行。g） 数据库加密：TSF提供对数据库中的敏感数据进行加密处理及密钥管理服务接口功能，从而保证了用户数据的保密性。h） 资源限制：资源限制防止授权用户无控制地使用数据库服务器处理器（CPU）、共享缓存、数据库存储介质等数据库服务器资源，限制每个授权用户/授权管理员的并行会话数等功能。数据库管理系统及其管理数据资产的安全性不是孤立的。在生产环境下,操作系统、网络系统与硬件等IT环境和数据库管理系统共同构筑起评估对象的安全体系。ST作者应该明确说明和标识评估数据库管理系统的体系结构与这些IT环境各个组件之间的相互关系。4.3 评估对象应用环境任何内部和外部实体若要获取评估对象管理的数据资产，应首先满足与评估对象及应用环境相应的安全策略。TOE运行环境对象可能包括多个安全控制组件，涉及设备物理安全、环境物理安全、系统物理安全、人员安全管理等多种安全策略。这些安全策略使数据库管理系统及其管理的数据库免受环境中的安全威胁。本标准可用来评估多种部署结构的数据库管理系统安全性，包括但不限于下列体系结构：a) 集中式体系结构：数据库管理系统和用户应用程序都安装运行在一个主机上，用户只能通过终端发出存取数据SQL请求或管理命令，由通信线路传输给主机，主机响应并处理后，再将处理结果通过通信线路返回给用户终端。b) 客户/服务器体系结构：客户端数据库应用和服务器端数据库管理系统实例通过网络连接进行通信，客户端发送数据库访问请求或管理命令，展示数据库管理系统返回的数据，服务器端安全地执行用户SQL请求或管理命令。前端应用可以是基于浏览器实现，通过远程Web服务器或应用服务器实现与数据库服务器的连接，由远程服务器负责与数据库服务器交互。c) 分布式数据库体系结构：数据节点分别保存在多个物理上相互独立的站点数据库服务器上，这些站点之间的数据库服务器通过网络系统连接，协同提供分布式数据库数据访问服务。用户可以对本地服务器中的数据节点执行某些SQL请求或管理命令(局部应用)，也可以对其他站点上的数据节点执行某些SQL请求或管理命令(全局应用或分布应用)。本标准定义了一个必要的数据库管理员角色（授权管理员），并允许ST作者定义更多的授权管理员角色。当然对某具体的数据库管理系统，提供的管理角色数量和角色责任的能力，以及这些角色的分配能力在TOE实现中都应预先存在。TSF应提供这些系统权限或角色建立、分配、撤销等授权管理功能。5 安全问题定义5.1 资产需要保护的评估对象数据资产包括：a) TSF数据：存储在评估对象中数据库字典数据，面向应用的数据库对象定义数据、数据库对象的运行统计数据、数据库逻辑存储与物理存储管理数据等。b) 用户数据：评估对象中不属于TSF数据的信息，一般指与用户应用相关的、存储在数据库中的各种数据库对象数据，如表数据、索引数据、物化视图数据、语义约束条件、业务过程等来自用户/应用程序的数据。c) 安全运行数据：评估对象中的事务日志数据、数据库安全审计数据等，包括存储在DBMS外部，但由数据库管理系统维护的DBMS实例、数据库配置等控制评估对象安全运行相关参数配置数据。5.2 威胁5.2.1 概述数据库管理系统面临过度或合法的特权滥用、软件漏洞被利用和潜在应用安全攻击（如SQL注入、拒绝服务、特权提升等）等安全威胁。表1给出了数据库管理系统EAL2、EAL3和EAL4评估保障级面临的不同安全威胁。表1 评估对象安全威胁序号安全威胁评估保障级EAL2EAL3EAL4T.1 管理员误操作T.MISOPERATION_ADMIN T.2 审计机制失效T.AUDIT_FAILURE T.3 密码攻击T.CRYPTO_COMPROMISE T.4 数据传输窃听T.EAVESDROP T.5 设计缺陷T.FLAWED_DESIGN T.6 实现缺陷T.FLAWED_IMPLEMENTATION T.7 标签数据失控T.LBAC T.8 假冒授权用户T.MASQUERADE T.9 测试缺陷T.POOR_TEST 表1（续）序号安全威胁评估保障级EAL2EAL3EAL4T.10 残余信息利用T.RESIDUAL_DATA T.11 安全功能失效T.TSF_COMPROMISE T.12 非授权访问T.UNAUTHORIZED_ACCESS T.13 服务失效T.UNAVAILABILITY T.14 未标识动作T.UNIDENTIFIED_ACTIONS 注：代表在该评估保障级下数据库管理系统面临的安全威胁5.2.2 管理员误操作（T.MISOPERATION_ADMIN）管理员误操作主要有两种：一是授权管理员可能错误地安装或配置数据库服务器实例组件或错误地设置数据库实例运行参数或数据库安全属性所造成TSF安全控制机制的失效；二是授权管理员恶意修改、删除TSF数据或安全运行数据导致TSF安全控制机制的失效。5.2.3 审计机制失效（T.AUDIT_FAILURE）恶意用户或进程可能修改数据库审计策略，使数据库审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。5.2.4 密码攻击（T.CRYPTO_COMPROMISE）恶意用户或进程可能导致与数据库存储和通讯加密功能相关的密钥、数据或密文服务组件可执行代码被不适当地浏览、修改或删除，从而破坏数据库加密机制和泄露加密机制所保护的数据。5.2.5 数据传输窃听（T.EAVESDROP）恶意用户或进程可能观察或修改评估对象物理分离部件之间传递的用户数据或TSF数据（包括客户端和服务器之间用户请求及其响应、分布式数据库不同节点间传输数据等）。5.2.6 设计缺陷（T.FLAWED_DESIGN）数据库管理系统需求规范或设计中的无意逻辑错误可能产生设计弱点或缺陷，恶意用户可能利用这些缺陷对评估对象进行安全攻击。5.2.7 实现缺陷（T.FLAWED_IMPLEMENTATION）数据库管理系统在开发过程中的无意错误可能造成评估对象实现弱点或缺陷，恶意用户可能利用这些未知漏洞对评估对象进行攻击。5.2.8 标签数据失控（T.LBAC）恶意用户或进程可能非法浏览、修改或删除数据库中的标签策略数据、受控主体分类标签数据与受控客体绑定标签数据。授权数据库管理员非法访问基于标签管理的受控主体的数据资产。5.2.9 假冒授权用户（T.MASQUERADE）恶意用户或进程假冒授权管理员或授权用户访问数据库字典、系统安全配置参数、或数据库管理系统保护的用户数据资产。5.2.10 测试缺陷（T.POOR_TEST）开发或测试人员对数据库管理系统（包括数据库安全选件及其支撑环境）的测试不充分，导致评估对象弱点（逻辑错误）未被发现，恶意用户可能利用这些未知漏洞对评估对象进行攻击。5.2.11 残余信息利用（T.RESIDUAL_DATA）恶意用户或进程可能利用数据库服务器共享缓存或磁盘上残留信息的处理缺陷，在数据库实例执行过程中对未删除的残留信息进行利用，以获取敏感信息或滥用评估对象的安全功能。5.2.12 安全功能失效（T.TSF_COMPROMISE）恶意用户或进程通过安全攻击非法地浏览、修改或删除TSF数据或可执行代码。这可能让恶意用户或进程获得数据库实例和数据库的配置信息，或可能导致数据库实例的安全功能对于数据资产保护的安全机制不再正常工作。5.2.13 未授权访问（T.UNAUTHORIZED_ACCESS）恶意用户或进程可能未经授权地访问评估对象和利用系统特权提升等方法来访问评估对象的安全功能和数据，不适当地更改数据库实例和数据库配置数据及其安全功能机制。5.2.14 服务失效（T.UNAVAILABILITY）恶意用户或进程可能通过数据库服务器资源（CPU、RAM）的拒绝服务攻击来阻止其他用户获得评估对象管理的数据资源，数据库服务器实例核心功能/组件的故障可能会导致用户不能访问数据库，或评估对象可能由合法授权用户任务的高并发服务请求，预防或延缓数据库管理系统的功能被其他授权用户访问。5.2.15 未标识动作（T.UNIDENTIFIED_ACTIONS）存在授权管理员不能标识的数据库管理系统中可能发生的数据库用户的非授权操作，包括提供采取必要行动以应对这些潜在未被授权访问操作的安全问责管理。5.3 组织安全策略5.3.1 概述对数据库运行安全来说，组织安全策略需要由数据库管理系统或其运行支持环境或由两者一起实施。表2给出了评估保障级EAL2、EAL3和EAL4的组织安全策略。表2 评估对象组织安全策略序号组织安全策略评估保障级EAL2EAL3EAL4P.1 责任与义务P.ACCOUNTABILITY 表2（续）序号组织安全策略评估保障级EAL2EAL3EAL4P.2 密码策略P.CRYPTOGRAPHY P.3 标签策略P.LABEL P.4 角色分离策略P.ROLES P.5 系统完整性P.SYSTEM_INTEGRITY P.6 脆弱性分析与测试P.VULNERABILITY_ ANALYSIS_TEST 注：代表在该评估保障级下评估对象应选择的组织安全策略5.3.2 责任与义务（P.ACCOUNTABILITY）组织应制定评估对象的授权用户和授权管理员在应对数据库管理系统内的数据库操作行为负责的程序与规范。5.3.3 密码策略（P.CRYPTOGRAPHY）组织应为评估对象自身的应用提供敏感数据加密存储和通讯功能的密码策略，包括加密/解密和数字签名操作规范（ST作者提供的密码策略应符合国家、行业要求的相关标准，如是自己提供的密码算法（方法和实现），应提供用于密钥管理（例如：密钥的产生、销毁）和密码服务（例如：加密、解密、签名）的保障性证据）。5.3.4 标签策略（P.LABEL）组织应定义面向用户数据的细粒度访问控制机制的标签策略，包括安全分级数组、范围集合、或分组树等标签组成元素，并定义数据安全分级管理的数据标签和用户安全级别分类的用户标签。授权管理员应能正确地将标签与授权用户和存储在数据库表中的客体相关联。5.3.5 角色分离策略（P.ROLES）组织应该为其数据库管理系统的不同级别、不同粒度的安全管理设置不同的授权管理员角色。授权管理员角色应提供诸如三权分立或其他授权角色区别和分离策略。5.3.6 系统完整性（P.SYSTEM_INTEGRITY）组织应提供能够定期验证其组织安全策略及其运行IT支撑环境正确操作规范，并在授权管理员的帮助下能够提供进程恢复、数据库实例恢复和数据库介质恢复等方法与技术，包括修正任何被检测到的错误操作修复指南（ST作者提供评估对象运行设施应提供的不可抵赖性安全元数据传输服务，包括生成和验证不可抵赖性的证据，证据的时间戳等数据库管理系统运行完整性机制）。5.3.7 脆弱性分析与测试（P.VULNERABILITY_ ANALYSIS_TEST）组织应保证评估对象应经过适当的独立渗透性测试和脆弱性分析，以证明其安全功能组件实现的安全性。5.4 假设5.4.1 概述评估对象提供商可在安全目标编制过程中，依据数据库产品的安全目的不断识别出更多的假设，扩充表3列出的数据库管理系统EAL2、EAL3和EAL4评估保障级的安全假设。表3 评估对象安全假设序号安全假设评估保障级EAL2EAL3EAL4A.1 目录服务器保护A.DIR_PROTECTION A.2 安全域分离A.DOMAIN_SEPARATION A.3 角色分工管理A.MANAGER A.4 多层应用问责A. MIDTIER A.5 人员假设A.NO_HARM A.6 服务器专用A.NO_GENERAL_PURPOSE A.7 物理安全A.PHYSICAL A.8 通讯安全A.SECURE_COMMS 注：代表在该评估保障级下评估对象应选择的安全假设5.4.2 目录服务器保护（A.DIR_PROTECTION）TOE所使用的目录服务器（如LDAP）提供保护机制，防御针对存储在目录中的TSF数据的非授权访问，包括存储在目录中的TSF数据被访问控制机制保护，存储在目录中的TSF数据被管理人员合理地管理，并且目录服务器及其网络连接从物理和逻辑上都免于非授权人员的访问和干扰。5.4.3 安全域分离（A.DOMAIN_SEPARATION）分布式数据库不同节点安全域之间传输的数据应通过各节点的TSF控制，数据库运行IT环境将为评估对象的分布式部署提供独立安全域，IT环境应确保无法绕过TSF以获得对TOE数据的访问。5.4.4 角色分工管理（A.MANAGER）假定在评估对象中将有一个或多个指定角色权限的授权管理员，他们之间依据最小特权、职责分离、深度防御等安全原则进行了角色分工（ST作者应根据数据库管理系统支持的系统权限及针对的具体应用解决方案解释“安全角色”的具体含义）。5.4.5 多层应用问责（A. MIDTIER）在多层应用环境中为了确保评估对象的安全问责制，任意中间层次的评估对象运行环境组件服务都应将原始的授权用户标识发送给TSF（ST作者应根据数据库管理系统针对的具体应用解决方案解释“多层应用问责”的具体含义）。5.4.6 管理员假设（A.NO_HARM）使用数据库的授权用户和授权管理员具备基本的数据库安全防护知识并具有良好的使用习惯，他们训练有素且遵循评估对象的管理员指南，并且以安全的方式使用数据库。5.4.7 服务器专用（A.NO_GENERAL_PURPOSE）在数据库管理系统运行主机上没有安装其他获得通用的计算或存储能力的程序或服务（例如：编译器、编辑器或应用程序）。5.4.8 物理安全（A.PHYSICAL）数据库服务器运行环境应提供与其所管理的数据价值相一致的物理安全。例如存储在数据库之外的评估对象相关数据（如配置参数、归档日志等）以一种安全的方式存储和管理。5.4.9 通信安全（A.SECURE_COMMS）假定数据库服务器和应用终端之间、分布式数据库不同节点间的通信信道是安全可靠的（如满足私密性和完整性）。实现方式可通过共享密钥、公/私钥对，或者利用存储的其他密钥来产生会话密钥。6 安全目的6.1 TOE安全目的6.1.1 概述本标准定义的安全目的可明确追溯到数据库管理系统相关威胁或组织安全策略。表4列出了不同评估保障级的数据库管理系统安全目的。表4 评估对象的TOE安全目的序号TOE安全目的评估保障级EAL2EAL3EAL4O.1 访问历史O.ACCESS_HISTORY O.2 标签访问O.ACCESS_LBAC O.3 管理员指南O.ADMIN_GUIDANCE O.4 管理角色分离O.ADMIN_ROLE O.5 审计数据产生O. AUDIT_GENERATION O.6 审计数据保护O.AUDIT_PROTECTION O.7 数据库服务可用O.AVAIL O.8 配置标识O.CONFIG O.9 密码安全O.CRYPTOGRAGHY O.10 设计文档化O.DOCUMENTED_DESIGN 表4（续）序号TOE安全目的评估保障级EAL2EAL3EAL4O.11 功能测试O.FUNCTIONAL_TEST O.12 内部安全域O.INTERNAL_TOE_DOMAINS O.13 安全管理员O.MANAGE O.14 残留信息O.RESIDUAL_INFORMATION O.15 资源共享O.RESOURCE_SHARING O.16 TOE访问控制O.TOE_ACCESS O.17 可信路径O.TRUSTED_PATH O.18 漏洞分析O.VULNERABILITY_ANALYSIS 注：代表在该评估保障级下应选择的安全目的6.1.2 访问历史（O.ACCESS_HISTORY）评估对象应具备存储和检索授权用户和授权管理员先前连接数据库管理系统的会话信息，包括尝试建立数据库连接/会话的相关请求历史数据。6.1.3 标签访问（O.ACCESS_LBAC）评估对象应提供安全标签的数据分级、用户分类与分组的读/写权限安全策略设置，提供基于标签的访问控制机制，从而通过数据库管理系统标签机制实现集中式或细粒度的数据访问控制。6.1.4 管理员指南（O.ADMIN_GUIDANCE）评估对象应为授权管理员提供数据库管理系统产品安全分发、安装配置和运行管理必要的管理指南信息，应为授权用户提供数据库对象创建和使用相关的用户操作手册文档（ST作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理）。6.1.5 管理角色分离（O.ADMIN_ROLE）评估对象应提供与不同数据库管理操作相适应的授权管理员角色，以提供职责分离、角色约束等角色管理功能，并且这些管理功能可以在本地或以远程方式进行安全管理（ST作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理）。6.1.6 审计数据产生（O. AUDIT_GENERATION）评估对象应提供数据库审计策略定义、审计功能启停管理、数据库管理操作、用户数据库对象操作等检测和创建与用户关联的安全相关事件的记录能力（ST作者应依据评估对象的审计记录的组成和存储机制，说明审计数据保存方式（数据库内部、数据库外部），以及审计数据安全管理机制）。6.1.7 审计数据保护（O.AUDIT_PROTECTION）评估对象应安全存储审计数据，并对存储的审计事件进行保护能力。6.1.8 数据库服务可用（O.AVAIL）评估对象应提供事务、数据库实例和存储介质故障的数据恢复机制，提供数据库管理系统升级中数据库存储结构的自动维护能力，保证评估对象管理数据资产的可恢复性。评估对象应提供主数据库服务器与备用服务器TSF控制转移和数据库实例故障切换机制，以支持分布式数据库服务高可用管理需求的分布式组件部署。6.1.9 配置标识（O.CONFIG）评估对象应对产品组件配置及其文档的评估配置项进行标识，以便数据库管理系统被重新分发和纠正执行错误时提供修改和跟踪他们的方法。注： 配置标识一般是指在评估对象组装与系统测试阶段结束时，交付给外部顾客的发行基线，它包括软件产品的全部配置项的规格说明。6.1.10 密码安全（O.CRYPTOGRAGHY）评估对象应提供密钥管理和密码运算功能的调用机制，以维护数据库管理系统中数据资产在存储和传输过程中的加密保护需求（ST编制中TOE使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范）。6.1.11 设计文档化（O.DOCUMENTED_DESIGN）评估对象的设计、实现等软件研发工作应被充分、准确地文档化，包括在设计及其在研发过程中的所有变更证据都应被分析、追踪和控制。这些过程性设计与开发文档应贯穿于评估对象的整个开发过程。6.1.12 功能测试（O.FUNCTIONAL_TEST） 评估对象应进行合适的安全功能测试以证明数据库管理系统的TSF满足安全功能设计要求。6.1.13 内部安全域（O.INTERNAL_TOE_DOMAINS） 在多用户并发事务执行过程中，数据库查询引擎中的TSF应为不同并发用户请求维护一个私有的数据查询和数据处理安全域，保证多用户并发访问数据的隔离性和一致性。6.1.14 安全管理员（O.MANAGE）评估对象应提供系统管理、安全管理、安全审计等安全管理员角色管理数据库管理系统安全性所必需的功能和设施，并防止这些管理功能和管理设施被未授权用户使用。6.1.15 残留信息（O.RESIDUAL_INFORMATION） 评估对象应确保数据库服务器共享缓存、磁盘存储等服务器资源中重要的数据在使用完成或意外掉电后会被删除或被安全处理，从而保证不会留下可被攻击者利用的残留数据信息。6.1.16 资源共享（O.RESOURCE_SHARING）评估对象应提供数据库服务器资源（即共享缓存、CPU使用、存储空间等共享资源）使用的控制机制，以避免耗尽数据库服务器资源的安全威胁。6.1.17 TOE访问控制（O.TOE_ACCESS）评估对象应对在数据字典数据、用户数据、运行日志数据和数据库安全功能组件实施访问控制措施，防止在未授权情况下被访问、修改或删除。6.1.18 可信路径（O.TRUSTED_PATH）评估对象应提供方法保证用户提供标识和授权数据时，与其通信的不是伪装成数据库管理系统的其他IT实体。例如针对用户/程序与数据库服务器之间的通讯，评估对象提供合适的数据加密传输控制机制，保护数据库实例运行过程中与外部用户/程序交换的数据库通讯安全。6.1.19 漏洞分析（O.VULNERABILITY_ANALYSIS）评估对象应进行合适的独立渗透性测试和脆弱性分析以证明其设计和实现不存在安全弱点或缺陷，能阻止违反数据库安全策略的数据库攻击行为。6.2 环境安全目的6.2.1 概述表5列出了不同评估保障级的数据库管理系统的IT环境安全目的。表5 评估对象IT环境安全目的序号IT环境安全目的评估保障级EAL2EAL3EAL4OE.1 运行环境安全审计保护OE.AUDIT_PROTECTION OE.2 运行环境审计信息查看OE.AUDIT_REVIEW OE.3 运行环境管理OE.CONFIG OE.4 目录访问控制保护OE.DIR_CONTROL OE.5 IT域分离OE.DOMAIN_SEPARATION OE.6 管理员诚信OE.NO_HARM OE.7 数据库服务器专用OE.NO_GENERAL_ PURPOSE OE.8 物理安全一致性OE.PHYSICAL OE.9 通讯安全环境OE.SECURE_COMMS OE.10 IT环境自我保护OE.SELF_PROTECTION OE.11 IT时间戳OE.TIME_STAMPS OE.12 环境访问控制OE.TOE_ACCESS IT OE.13 IT环境无旁路OE.TOE_NO_BYPASS OE.14 可信IT环境OE.TRUST_IT 注：代表在该评估保