信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).pdf
《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).pdf》由会员分享,可在线阅读,更多相关《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).pdf(49页珍藏版)》请在淘文阁 - 分享文档赚钱的网站上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 20009201X代替 GB/T 20009-2005信息安全技术数据库管理系统安全评估准则Information security technology Security evaluation criteria for databasemanagement system(报批稿)XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II信息安全技术数据库管理系统安全评估准则.11 范围.12 规范性引用文件.13 术语和定义.13.1 术语和定义.13.2
2、 缩略语.14 评估总则.24.1 总体要求.24.2 评估要求.24.3 评估环境.24.4 评估流程.25 评估内容.35.1 安全功能评估.35.2 安全保障评估.215.3 评估方法.34附录A(资料性附录)标准修订说明.40A.1 原标准 GB/T 20009-2005 评估内容与本标准安全功能要求映射表.40A.2 基于 GB/T 20009-2005 标准的各级别所对应的安全要求.42参考文献.45GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准代替GB/T 20009-2005 信息安全技术
3、 数据库管理系统安全评估准则,与GB/T 20009-2005相比主要技术变化参见附录A。本标准与GB/T 20009-2005相比,主要变化如下:a)重写了“GB/T 20009-2005”3 术语、定义和缩略语;b)删除了“GB/T 20009-2005”附录 A 数据库管理系统面临的威胁和对策;c)重写了 GB/T 20009-2005 第四章安全环境,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求、评估环境和评估流程;d)重写了 GB/T 20009-2005 第五章的安全评估内容,按照 GB/T 30270-2013 定义了 GB/T20273-201X 中的安全功能组件
4、和安全保障组件评估内容;e)按照评估保障级概念列出了 EAL2、EAL3 和 EAL4 组件列表及评估准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军本标准所代替标准的历次版本发
5、布情况:GB/T 20009-2005GB/T XXXXXXXXX1信息安全技术数据库管理系统安全评估准则1范围本标准依据GB/T 20273-201X 信息安全技术数据库管理系统安全技术要求中的相关要求,给出了数据库管理系统的安全评估内容和评估方法。修订后标准中 EAL2、EAL3、EAL4 级的安全要求既适用于基于 GB/T 18336 标准下的数据库安全性测评,同样适用于基于 GB17859 标准下数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评,相关对应关系详见 A.1。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅
6、注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T 20273-201X信息安全技术数据库管理系统安全技术要求GB/T 25069-2010信息安全技术术语GB/T 30270-2013信息技术安全技术信息技术安全性评估方法3术语和定义3.1术语和定义GB/T 25069-2010、GB/T 30270-2013 和 GB/T 20273-201X 标准界定的术语和定义适用于本文件。3.2缩略语下列缩略语适用于本文件。DBMS:数据库管理系统(Database Management System)SQL:结构化查询语言(Structured
7、Query Language)TOE:评估对象(Target of Evaluation)TSF:TOE 安全功能(TOE Security Functionality)LBAC:基于标签的访问控制(Label Based Access Control)PP:保护轮廓(Protection Profile)ST:安全目标(Security Target)SFP:安全功能策略(Security Function Policy)TSP:TOE 安全策略(TOE Security Policy)TSC:TSF 控制范围(TSF Scope of Control)TSFI:TSF 接口(TSF Int
8、erface)EAL:评估保障级(Evaluation Assurance Level)CM:配置管理(Configuration Management)CC:通用准则(Common Criteria)GB/T XXXXXXXXX2CEM:通用准则评估方法(Common Criteria Evaluation Methodology)4评估总则4.1总体要求本标准依据GB/T 30270-2013,给出了GB/T 20273-201X定义的数据库管理系统评估对象(TOE)安全功能组件和安全保障组件的评估内容和测试要求。4.2评估要求在对数据库管理系统进行安全评估时,首先依照GB/T 30270
9、-2013的安全目标评估方法完成对DBMS ST的评估,在此基础上对DBMS的安全功能和安全保障进行评估:a)安全功能评估目标是保证GB/T 20273-201X定义的安全功能组件设计与实现的完整性和正确性,一般通过对DBMS发起者提供的评估证据分析和TSF独立性测试,确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据(如分析、设计与测试文档)和DBMS产品,由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析,并按照评估保障级的不同对DBMS安全功能组件进行抽样测试,或评估者自己设计相应的测试用例,独立地完成DBMS安全功
10、能组件的功能测试,验证TSF的实现符合数据库管理系统概要规范。b)安全保障评估目标是发现DBSM在设计与实现中的缺陷或脆弱性,以便在评估过程中要求开发者纠正评估对象相应的错误,从而减少DBMS在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下,测试DBMS是否能抵御各种安全攻击,以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通讯协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料,通过模糊测试等穿透性测试技术对安全功能组件实现机制的可
11、信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。4.3评估环境在不同的网络环境和服务器环境支持下,通用数据库产品提供多种安全策略和安全控制机制的解决方案,以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为三类:非集群数据库服务测试环境和集群数据库服务测试环境,集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。应根据 GB/T 30270-2013 安全评估基本原则、过程和规程的体系选择某个测试环境,对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务:a)评估证据输入评估:评估发起者应向安全评
12、估机构提供数据库安全评估所有必需的评估证据:评估发起者应参照 GB/T 30270-2013 开发相关的评估证据,评估者应对这些输入要求进行评估。b)评估结果输出评估:安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术报告应满足评估结果的可重复性和可再现性原则,并应保持各种报告信息类型和数量的一致性。4.4评估流程根据 GB/T 30270-2013 的安全评估过程包括评估准备、评估实施、评估结果等阶段,具体如下:a)评估准备阶段:评估发起者应按照 GB/T 30270-2013 给评估者提供安全目标,评估者分析其可行性。评估者可能会需要发起者提供其它评估相关的辅助信息。评估发起者
13、或者 ST 开发者会GB/T XXXXXXXXX3给评估者提供一部分待评估物。评估者审查安全目标,然后告知发起者对某些内容进行必要的补充完善,以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了,则评估过程进入下一阶段。b)评估实施阶段:评估者生成包括待评估产品列表,评估活动,以及基于 GB/T 30270-2013 评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议,该协议包含评估的基本框架,同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后,评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有:1)评估者检查发
14、起者或者开发者应交付的评估物,然后按照 GB/T 30270-2013 进行必要的评估活动。2)在评估阶段,评估者可能会撰写观察报告(ORs)。该报告里,评估者会向监管者(评审机构)询问如何满足其监管的要求。3)监管者对评估者的解释请求进行回应,然后允许进行下一步评估。4)监管者同样可能确认和指出一些潜在的缺陷或者威胁,然后要求发起者或者开发者提供额外的信息资料。c)评估最终结果阶段:评估者根据文档审核、测试情况、现场检查结果,对 TOE 进行综合评判,并撰写评估技术报告。5评估内容5.1安全功能评估5.1.1安全审计(FAU 类)5.1.1.1审计数据产生(FAU_GEN.1)审计数据产生组
15、件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估要求如下:a)应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录:1)数据库审计功能的启动和关闭;2)数据库实例及其组件服务的启动和关闭;3)数据库实例配置参数非缺省值修改事件;4)数据库对象结构修改事件;5)GB/T 20273-201X 列出的数据库审计级别【最小最小】的可审计事件;6)其它面向数据库安全审计员的,可绕过访问控制策略的特殊定义【赋值:STST 作者定义的作者定义的审计事件审计事件】的可审计事件;7)未指定审计级别【ST 作者赋值:数据库对象数据操作级别的细粒度审计的事
16、件数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。b)应检查审计记录中至少包含如下信息:1)事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果(成功或失败);2)应根据评估对象【赋值:STST 作者指定的审计事件数据作者指定的审计事件数据】和规定的格式【赋值:数据类型数据类型与格式与格式】来生成审计数据;3)对于每个审计事件类型,基于 GB/T 20273-201X 中包括的安全功能组件的可审计事件定义。GB/T XXXXXXXXX4c)应检查数据库管理系统的审计数据产生策略配置管理 API 或工具,确认审计数据产生机制与功
17、能有效性。5.1.1.2用户身份关联(FAU_GEN.2)用户身份关联组件应将审计事件与主体身份相联系,满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估要求如下:a)审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息;b)审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值:STST 作者指定的用户身份作者指定的用户身份鉴别方式鉴别方式】相关关联的数据库会话信息;c)应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理 API/工具,确认能看到用户身份关联信息。5.1.1.3审计查阅(FAU_SAR.1)审计查阅组件为授权管理员提供获
18、得和解释事件审计事件数据的能力。该组件安全评估要求如下:a)应测试能否从审计记录中阅读和获取下面所列出的审计信息:1)用户身份标识;2)审计事件类型;3)数据库对象标识;4)评估对象指定的【赋值:STST 作者指定的审计事件数据作者指定的审计事件数据】。b)应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面(如图形界面);c)应测试当授权用户是外部 IT 实体时,审计数据必须以规范化电子方式无歧义地表示;d)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.4限制审计查阅(FAU_SAR.2)限制审计查阅组件只允许授权管理员查阅部分审计数据。该组件安全评估要求如下:a
19、)应测试是否能依据【选择:主体标识主体标识、主机标识主机标识、客体标识客体标识、【赋值赋值:STST 作者指定审计条件作者指定审计条件】阅读和读取审计数据;b)应测试是否能依据【选择:选择:成功可审计安全事件、失败可审计安全事件、【赋值:成功可审计安全事件、失败可审计安全事件、【赋值:STST 作者指作者指定其他选择条件定其他选择条件】选择性审计清单等条件阅读和读取审计信息;c)应测试是否能依据【选择:数据库系统权限、数据库对数据库系统权限、数据库对象权限、象权限、【赋值:【赋值:STST 作作者指定权限级者指定权限级别别】阅读和读取审计信息;d)应测试管理审计数据授权控制机制和审计数据授权管
20、理员(安全管理员)控制授权管理员访问审计数据的【赋值:STST 作者指定角色作者指定角色/系统权限系统权限】;e)应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口;f)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.5可选审计查阅(FAU_SAR.3)可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评估要求如下:a)应测试是否能依据审计数据字段中的值的搜索与分类条件对审计记录进行搜索,筛选授权管理员关心的审计数据;b)应测试是否能对返回审计数据进行排序和汇总统计;GB/T XXXXXXXXX5c)应测试是否允许授权管理
21、员使用【选择:SQLSQL 语句语句、【赋值:、【赋值:STST 作者指定方式作者指定方式】搜索审计数据和对审计数据排序;d)应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具;e)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.6选择性审计(FAU_SEL.1)审计事件选择组件定义了向可审计事件集中加入或从中排除事件的能力。该组件安全评估要求如下:a)应测试是否能根据【选择:客体身份、用户身份、组身份、主体身份、主机身份客体身份、用户身份、组身份、主体身份、主机身份、【赋值:、【赋值:STST 作者指定主体属性作者指定主体属性】从审计事件集中选择可审计事件;b)应测
22、试是否能根据【选择:数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值:STST 作者指定用户操作权限级别作者指定用户操作权限级别】从审计事件集中选择可审计事件;c)应测试是否能根据【选择:成功、失败、二者可审计安全事件选项成功、失败、二者可审计安全事件选项、【赋值:、【赋值:STST 作者指定条作者指定条件件】从审计事件集中选择可审计事件;d)应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。5.1.1.7审计数据可用性保证(FAU_STG.2)审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时,TSF还能维
23、护产生的审计数据。该组件安全评估要求如下:a)应测试是否能提供数据库系统表或外部文件方式保存审计事件数据,维护审计数据授权控制和审计数据存储管理的能力;b)应测试维护控制审计事件数据存储能力参数有效性;c)应测试保护所存储的审计记录,只允许安全管理员或授权管理员访问审计记录的访问机制;d)应测试 TSF 能【选择,选取一个:防止、检测防止、检测】对审计迹中所存审计记录的未授权修改;e)应测试提供的审计数据备份、导出等管理接口/辅助工具,并且只有安全管理员或授权管理员才能操作这些辅助功能;f)应测试审计事件具备数据加解密存储保护能力;g)应测试在 TSF【选择:审计存储耗尽审计存储耗尽、失效失效
24、、受攻击受攻击】时,确保【赋值:保存审计记录的度量保存审计记录的度量】审计记录将维持有效。5.1.1.8防止审计数据丢失(FAU_STG.4)防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空间溢满时所采取的动作。该组件安全评估要求如下:a)应测试审计数据【选择:多路复用、【赋值:多路复用、【赋值:STST 作者指定备份方式】作者指定备份方式】功能,并验证审计数据存储位置指定等管理能力;b)应测试审计数据归档功能,包括远程归档功能;c)应检测审计数据存储可用空间查看视图/工具功能;d)应检查是否提供了判断审计记录数据是否已满,并提供忽略可审计事件、阻止可审计事
25、件、覆盖所存储的最早的审计记录或【赋值:【赋值:审计存储失效时所采取的其它动作审计存储失效时所采取的其它动作】等处理机制。5.1.2密码支持(FCS 类)5.1.2.1密钥生成(FCS_CKM.1)GB/T XXXXXXXXX6若密钥由外部环境生成,则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥;否则评估对象提供的用户密钥和数据密钥产生。该组件安全评估要求如下:a)应测试存储用户密钥装置或密钥管理服务器操作接口,确认数据库密钥存储位置是安全且有据可查的,包括提供与其数据本身具有同类型的密钥备份和恢复机制;b)应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- 信息安全技术数据库管理系统安全评估准则GB-T 20009-2019 信息 安全技术 数据库 管理 系统安全 评估 准则 GB 20009 2019
限制150内