信息安全技术数据库管理系统安全技术要求(GB-T 20273-2019).pdf

《信息安全技术数据库管理系统安全技术要求(GB-T 20273-2019).pdf》由会员分享，可在线阅读，更多相关《信息安全技术数据库管理系统安全技术要求(GB-T 20273-2019).pdf（62页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 20273201X代替 GB/T 20273-2006信息安全技术数据库管理系统安全技术要求Information security techniques Security technical requirements for databasemanagement system（报批稿）201X-XX-XX 发布201X-XX-XX 实施GB/T XXXXXXXXXI目次前言.II信息安全技术数据库管理系统安全技术要求.11 范围.12 规范性引用文件.13 术语、定义和缩略语.13.1 术语和

2、定义.13.2 缩略语.14 评估对象描述.24.1 评估对象概述.24.2 评估对象安全功能.24.3 评估对象应用环境.35 安全问题定义.45.1 资产.45.2 威胁.45.3 组织安全策略.65.4 假设.86 安全目的.96.1 TOE 安全目的.96.2 环境安全目的.127 扩展组件定义.147.1 扩展组件原理.147.2 扩展功能组件.148 安全要求.158.1 安全功能要求.158.2 安全保障要求.279 基本原理.409.1 安全目的基本原理.419.2 安全要求基本原理.47附录A（资料性附录）关于标准修订和使用说明.55A.1 原标准 GB/T 20273-20

3、06 评估内容与本标准安全功能要求映射表.55参考文献.58GB/T XXXXXXXXXII前言本标准按照 GB/T 1.1-2009标准化工作导则 第 1 部分：标准的结构和编写给出的规则起草。本标准代替GB/T 20273-2006信息安全技术 数据库管理系统安全技术要求，与GB/T 20273-2006相比主要变化如下：a)删除了GB/T 20273-2006“3.1术语和定义”，增加了“3.2缩略语”中的内容。b)增加了安全问题定义、安全目的、扩展组件定义、基本原理（见第5章、第6章、第7章、第9章）；c)修改了评估对象描述（见第4章，2006年版的第4章）；d)删除了GB/T 202

4、73-2006第5章“安全审计”安全功能中提供“潜在侵害分析”、“基于异常检测”和“简单攻击探测”的要求；e)删除了GB/T 20273-2006第5章“SSODB自身安全保护”安全功能中提供“SSF物理安全保护”的要求；f)删除了GB/T 20273-2006第5章“SSF运行安全保护”安全功能中关于与“不可旁路性”、“域分离”和“可信恢复”相关的要求；g)删除了GB/T 20273-2006第5章安全功能中提供“推理控制”的要求；h)增加了附录A的原标准和新标准安全功能要求映射表。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委

5、员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人：张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军本标准所代替标准的历次版本发布情况：GB/T 20273-2006。GB/T XXXXXXXXX1信息安全技术数据库管理系统安全技术要求1范围本标准给出了 EAL2、EAL3 和 EAL4 评估保障级的数据库管理系统安全问题定义和安全目的，给出了

6、对 EAL2、EAL3 和 EAL4 评估保障级的数据库管理系统及其数据资产进行安全保护所需的安全功能要求和安全保障要求，解释了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间的对应关系。本标准适用于数据库管理系统的测试、评估和采购，也可用于指导该类产品的研制和开发。本标准规定的 EAL2、EAL3、EAL4 级的安全要求既适用于基于 GB/T 18336 标准下的数据库安全性测评，同样适用于基于 GB17859 标准下数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评，相关对应关系详见 A.1。2规范性引用文件下列文件对于本文件的应用是必不可少

7、的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。GB/T 18336.1-2015信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型GB/T 18336.2-2015信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能要求GB/T 18336.3-2015信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障要求GB/T 25069-2010信息安全技术 术语GB/T 28821-2012关系数据管理系统技术要求3术语、定义和缩略语3.1术语和定义GB/T 25069-2010、GB/T 1

8、8336.1-2015和GB/T 28821-2012标准界定的术语和定义适用于本文件。3.2缩略语下列缩略语适用于本文件。DBMS：数据库管理系统（Database Management System）RDBMS：关系数据库管理系统（Relational Database Management System）SQL：结构化查询语言（Structured Query Language）XML：可扩展置标语言(Extensible Markup Language)ODBC：开放数据库连接（Open Database Connectivity）JDBC：JAVA 数据库连接（Java DataBa

9、se Connectivity）IT：信息技术（Information Technology）TOE：评估对象（Target of Evaluation）TSF：TOE 安全功能（TOE Security Functionality）GB/T XXXXXXXXX2DAC：自主访问控制（Discretionary Access Control）LBAC：基于标签的访问控制（Label Based Access Control）RBAC：基于角色的访问控制（Role Based Access Control）DBA：数据库管理员（DatabaseAdministrator）SA：安全管理员（Sec

10、urity Administrator）PP：保护轮廓（Protection Profile）ST：安全目标（Security Target）SAR：安全保障要求（Security Assurance Requirements）SFR：安全功能要求（Security Functional Requirements）SF：安全功能（Security Function）SFP：安全功能策略（Security Function Policy）TOE：评估对象（Target Of Evaluation）TSF：TOE 安全功能（TOE Security Function）TSP：TOE 安全策略（TO

11、E Security Policy）TSC：TSF 控制范围（TSF Scope of Control）TSFI：TSF 接口（TSF Interface）EAL：评估保障级（Evaluation Assurance Level）CM：配置管理（Configuration Management）4评估对象描述4.1评估对象概述本标准的评估对象是指数据库管理系统所包含的管理软件及其管理的数据库对象。数据库管理系统所包含的管理软件应提供数据库定义和操作语言（如SQL语言）对数据库对象进行定义、操作和管理；提供数据库控制语言，通过数据模型语义约束条件维护数据库运行的数据完整性；提供数据库备份、还原与

12、恢复机制，保证数据库管理系统运行中出现故障时的数据库可用性。基于关系模型（或扩展关系模型）的数据库管理系统还应提供事务管理机制，保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性。数据库管理系统主要包括以下组成部分：a）数据库：存放用户数据和 TSF 数据的数据文件、存放数据库事务处理过程的日志文件、维护数据库运行完整性控制文件等物理文件组成。存储的数据库对象包括模式对象、非模式对象、数据库字典对象等。b）实例：包括查询引擎、事务管理器、数据存储管理器等部件。实现对数据库对象的定义、管理、查询、更新、控制等基本功能。c）数据库语言及其访问接口：提供 SQL 语言、ODBC、JDBC

13、 等开发接口规范，允许授权用户通过数据库开发接口定义数据库结构、访问和修改数据库对象数据、展现数据库运行相关配置参数，以及对用户数据和 DBMS 相关数据执行各种维护操作等进行管理。d）数据库运行维护辅助工具：提供数据库管理系统实例的启动与关闭，数据库、表空间或数据文件的联机、脱机、打开与关闭，数据库检查点控制，数据库日志归档、外部数据导入等数据库运行维护辅助工具或接口。4.2评估对象安全功能数据库管理系统提供通过多种安全控制措施保证其管理数据资产安全。安全控制措施可由数据库管GB/T XXXXXXXXX3理系统本身直接提供，也可通过其运行的 IT 环境间接支持。数据库管理系统安全功能主要包括

14、：a）用户标识与鉴别：用户只有通过鉴别后才能通过评估对象的访问控制引擎控制授权用户对数据库对象的操作。b）授权用户管理：每个授权用户有一组安全域特性，可决定下列内容：可用特权和授权角色、可用存储空间（如表空间）限额、可用系统资源（如共享缓存、数据读写容量、CPU 使用）限制等安全属性。c）管理员角色管理：提供安全管理员、安全审计员、数据库管理员等缺省的数据库角色。管理员也可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式、设置数据库审计策略等数据库安全管理功能。d）访问控制：在确认授权用户与授权管理员身份以及他们安全域特性基础上，TSF 实施授权用户与授权管理员的授权策略，控制主体访问

15、客体活动。例如：自主访问控制、基于角色的访问控制、基于标签的访问控制等。e）数据库审计：安全审计提供与 TSF 相关的数据库操作是否被记录到数据库审计文件的机制。审计记录可以存储在数据库中专用审计表或外部操作系统上的系统文件中。TSF 应提供审计记录的安全保护。f）数据库备份与恢复：评估对象运行出现故障后，利用 TSF 数据库备份与恢复机制实现对备份数据的还原，在数据库还原的基础上利用数据库日志进行数据库恢复，重新建立一个完整的数据库，然后继续运行。g）数据库加密：TSF 提供对数据库中的敏感数据进行加密处理及密钥管理服务接口功能，从而保证了用户数据的保密性。h）资源限制：资源限制防止授权用户

16、无控制地使用数据库服务器处理器（CPU）、共享缓存、数据库存储介质等数据库服务器资源，限制每个授权用户/授权管理员的并行会话数等功能。数据库管理系统及其管理数据资产的安全性不是孤立的。在生产环境下,操作系统、网络系统与硬件等 IT 环境和数据库管理系统共同构筑起评估对象的安全体系。ST 作者应该明确说明和标识评估数据库管理系统的体系结构与这些 IT 环境各个组件之间的相互关系。4.3评估对象应用环境任何内部和外部实体若要获取评估对象管理的数据资产，应首先满足与评估对象及应用环境相应的安全策略。TOE 运行环境对象可能包括多个安全控制组件，涉及设备物理安全、环境物理安全、系统物理安全、人员安全管

17、理等多种安全策略。这些安全策略使数据库管理系统及其管理的数据库免受环境中的安全威胁。本标准可用来评估多种部署结构的数据库管理系统安全性，包括但不限于下列体系结构：a)集中式体系结构：数据库管理系统和用户应用程序都安装运行在一个主机上，用户只能通过终端发出存取数据 SQL 请求或管理命令，由通信线路传输给主机，主机响应并处理后，再将处理结果通过通信线路返回给用户终端。b)客户/服务器体系结构：客户端数据库应用和服务器端数据库管理系统实例通过网络连接进行通信，客户端发送数据库访问请求或管理命令，展示数据库管理系统返回的数据，服务器端安全地执行用户 SQL 请求或管理命令。前端应用可以是基于浏览器实

18、现，通过远程 Web 服务器或应用服务器实现与数据库服务器的连接，由远程服务器负责与数据库服务器交互。c)分布式数据库体系结构：数据节点分别保存在多个物理上相互独立的站点数据库服务器上，这些站点之间的数据库服务器通过网络系统连接，协同提供分布式数据库数据访问服务。用户可以对本地服务器中的数据节点执行某些 SQL 请求或管理命令(局部应用)，也可以对其他站GB/T XXXXXXXXX4点上的数据节点执行某些 SQL 请求或管理命令(全局应用或分布应用)。本标准定义了一个必要的数据库管理员角色（授权管理员），并允许ST作者定义更多的授权管理员角色。当然对某具体的数据库管理系统，提供的管理角色数量和

19、角色责任的能力，以及这些角色的分配能力在TOE实现中都应预先存在。TSF应提供这些系统权限或角色建立、分配、撤销等授权管理功能。5安全问题定义5.1资产需要保护的评估对象数据资产包括：a)TSF 数据：存储在评估对象中数据库字典数据，面向应用的数据库对象定义数据、数据库对象的运行统计数据、数据库逻辑存储与物理存储管理数据等。b)用户数据：评估对象中不属于 TSF 数据的信息，一般指与用户应用相关的、存储在数据库中的各种数据库对象数据，如表数据、索引数据、物化视图数据、语义约束条件、业务过程等来自用户/应用程序的数据。c)安全运行数据：评估对象中的事务日志数据、数据库安全审计数据等，包括存储在

20、DBMS 外部，但由数据库管理系统维护的 DBMS 实例、数据库配置等控制评估对象安全运行相关参数配置数据。5.2威胁5.2.1概述数据库管理系统面临过度或合法的特权滥用、软件漏洞被利用和潜在应用安全攻击（如SQL注入、拒绝服务、特权提升等）等安全威胁。表1给出了数据库管理系统EAL2、EAL3和EAL4评估保障级面临的不同安全威胁。表 1评估对象安全威胁序号序号安全威胁安全威胁评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4T.1管理员误操作 T.MISOPERATION_ADMINT.2审计机制失效 T.AUDIT_FAILURET.3密码攻击 T.CRYPTO_COM

21、PROMISET.4数据传输窃听 T.EAVESDROPT.5设计缺陷 T.FLAWED_DESIGNT.6实现缺陷 T.FLAWED_IMPLEMENTATIONT.7标签数据失控 T.LBACT.8假冒授权用户 T.MASQUERADET.9测试缺陷 T.POOR_TESTGB/T XXXXXXXXX5表 1（续）序号序号安全威胁安全威胁评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4T.10残余信息利用 T.RESIDUAL_DATAT.11安全功能失效 T.TSF_COMPROMISET.12非授权访问 T.UNAUTHORIZED_ACCESST.13服务失效 T

22、.UNAVAILABILITYT.14未标识动作 T.UNIDENTIFIED_ACTIONS注：代表在该评估保障级下数据库管理系统面临的安全威胁5.2.2管理员误操作（T.MISOPERATION_ADMIN）管理员误操作主要有两种：一是授权管理员可能错误地安装或配置数据库服务器实例组件或错误地设置数据库实例运行参数或数据库安全属性所造成 TSF 安全控制机制的失效；二是授权管理员恶意修改、删除 TSF 数据或安全运行数据导致 TSF 安全控制机制的失效。5.2.3审计机制失效（T.AUDIT_FAILURE）恶意用户或进程可能修改数据库审计策略，使数据库审计功能停用或失效、审计记录丢失或被

23、篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作。5.2.4密码攻击（T.CRYPTO_COMPROMISE）恶意用户或进程可能导致与数据库存储和通讯加密功能相关的密钥、数据或密文服务组件可执行代码被不适当地浏览、修改或删除，从而破坏数据库加密机制和泄露加密机制所保护的数据。5.2.5数据传输窃听（T.EAVESDROP）恶意用户或进程可能观察或修改评估对象物理分离部件之间传递的用户数据或TSF数据（包括客户端和服务器之间用户请求及其响应、分布式数据库不同节点间传输数据等）。5.2.6设计缺陷（T.FLAWED_DESIGN）数据库管理系统需求规范或设计中的无意逻

24、辑错误可能产生设计弱点或缺陷，恶意用户可能利用这些缺陷对评估对象进行安全攻击。5.2.7实现缺陷（T.FLAWED_IMPLEMENTATION）数据库管理系统在开发过程中的无意错误可能造成评估对象实现弱点或缺陷，恶意用户可能利用这些未知漏洞对评估对象进行攻击。5.2.8标签数据失控（T.LBAC）恶意用户或进程可能非法浏览、修改或删除数据库中的标签策略数据、受控主体分类标签数据与受控客体绑定标签数据。授权数据库管理员非法访问基于标签管理的受控主体的数据资产。GB/T XXXXXXXXX65.2.9假冒授权用户（T.MASQUERADE）恶意用户或进程假冒授权管理员或授权用户访问数据库字典、系

25、统安全配置参数、或数据库管理系统保护的用户数据资产。5.2.10测试缺陷（T.POOR_TEST）开发或测试人员对数据库管理系统（包括数据库安全选件及其支撑环境）的测试不充分，导致评估对象弱点（逻辑错误）未被发现，恶意用户可能利用这些未知漏洞对评估对象进行攻击。5.2.11残余信息利用（T.RESIDUAL_DATA）恶意用户或进程可能利用数据库服务器共享缓存或磁盘上残留信息的处理缺陷，在数据库实例执行过程中对未删除的残留信息进行利用，以获取敏感信息或滥用评估对象的安全功能。5.2.12安全功能失效（T.TSF_COMPROMISE）恶意用户或进程通过安全攻击非法地浏览、修改或删除TSF数据或

26、可执行代码。这可能让恶意用户或进程获得数据库实例和数据库的配置信息，或可能导致数据库实例的安全功能对于数据资产保护的安全机制不再正常工作。5.2.13未授权访问（T.UNAUTHORIZED_ACCESS）恶意用户或进程可能未经授权地访问评估对象和利用系统特权提升等方法来访问评估对象的安全功能和数据，不适当地更改数据库实例和数据库配置数据及其安全功能机制。5.2.14服务失效（T.UNAVAILABILITY）恶意用户或进程可能通过数据库服务器资源（CPU、RAM）的拒绝服务攻击来阻止其他用户获得评估对象管理的数据资源，数据库服务器实例核心功能/组件的故障可能会导致用户不能访问数据库，或评估对

27、象可能由合法授权用户任务的高并发服务请求，预防或延缓数据库管理系统的功能被其他授权用户访问。5.2.15未标识动作（T.UNIDENTIFIED_ACTIONS）存在授权管理员不能标识的数据库管理系统中可能发生的数据库用户的非授权操作，包括提供采取必要行动以应对这些潜在未被授权访问操作的安全问责管理。5.3组织安全策略5.3.1概述对数据库运行安全来说，组织安全策略需要由数据库管理系统或其运行支持环境或由两者一起实施。表2给出了评估保障级EAL2、EAL3和EAL4的组织安全策略。表 2评估对象组织安全策略序号序号组织安全策略组织安全策略评估保障级评估保障级EAL2EAL2EAL3EAL3EA

28、L4EAL4P.1责任与义务 P.ACCOUNTABILITYGB/T XXXXXXXXX7表 2（续）序号序号组织安全策略组织安全策略评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4P.2密码策略 P.CRYPTOGRAPHYP.3标签策略 P.LABELP.4角色分离策略 P.ROLESP.5系统完整性 P.SYSTEM_INTEGRITYP.6脆弱性分析与测试 P.VULNERABILITY_ANALYSIS_TEST注：代表在该评估保障级下评估对象应选择的组织安全策略5.3.2责任与义务（P.ACCOUNTABILITY）组织应制定评估对象的授权用户和授权管理员在应

29、对数据库管理系统内的数据库操作行为负责的程序与规范。5.3.3密码策略（P.CRYPTOGRAPHY）组织应为评估对象自身的应用提供敏感数据加密存储和通讯功能的密码策略，包括加密/解密和数字签名操作规范（ST 作者提供的密码策略应符合国家、行业要求的相关标准，如是自己提供的密码算法（方法和实现），应提供用于密钥管理（例如：密钥的产生、销毁）和密码服务（例如：加密、解密、签名）的保障性证据）。5.3.4标签策略（P.LABEL）组织应定义面向用户数据的细粒度访问控制机制的标签策略，包括安全分级数组、范围集合、或分组树等标签组成元素，并定义数据安全分级管理的数据标签和用户安全级别分类的用户标签。授

30、权管理员应能正确地将标签与授权用户和存储在数据库表中的客体相关联。5.3.5角色分离策略（P.ROLES）组织应该为其数据库管理系统的不同级别、不同粒度的安全管理设置不同的授权管理员角色。授权管理员角色应提供诸如三权分立或其他授权角色区别和分离策略。5.3.6系统完整性（P.SYSTEM_INTEGRITY）组织应提供能够定期验证其组织安全策略及其运行 IT 支撑环境正确操作规范，并在授权管理员的帮助下能够提供进程恢复、数据库实例恢复和数据库介质恢复等方法与技术，包括修正任何被检测到的错误操作修复指南（ST 作者提供评估对象运行设施应提供的不可抵赖性安全元数据传输服务，包括生成和验证不可抵赖性

31、的证据，证据的时间戳等数据库管理系统运行完整性机制）。5.3.7脆弱性分析与测试（P.VULNERABILITY_ ANALYSIS_TEST）组织应保证评估对象应经过适当的独立渗透性测试和脆弱性分析，以证明其安全功能组件实现的安GB/T XXXXXXXXX8全性。5.4假设5.4.1概述评估对象提供商可在安全目标编制过程中，依据数据库产品的安全目的不断识别出更多的假设，扩充表3列出的数据库管理系统EAL2、EAL3和EAL4评估保障级的安全假设。表 3评估对象安全假设序号序号安全安全假设假设评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4A.1目录服务器保护 A.DIR_

32、PROTECTIONA.2安全域分离 A.DOMAIN_SEPARATIONA.3角色分工管理 A.MANAGERA.4多层应用问责 A.MIDTIERA.5人员假设 A.NO_HARMA.6服务器专用 A.NO_GENERAL_PURPOSEA.7物理安全 A.PHYSICALA.8通讯安全 A.SECURE_COMMS注：代表在该评估保障级下评估对象应选择的安全假设5.4.2目录服务器保护（A.DIR_PROTECTION）TOE所使用的目录服务器（如LDAP）提供保护机制，防御针对存储在目录中的TSF数据的非授权访问，包括存储在目录中的TSF数据被访问控制机制保护，存储在目录中的TSF数

33、据被管理人员合理地管理，并且目录服务器及其网络连接从物理和逻辑上都免于非授权人员的访问和干扰。5.4.3安全域分离（A.DOMAIN_SEPARATION）分布式数据库不同节点安全域之间传输的数据应通过各节点的TSF控制，数据库运行IT环境将为评估对象的分布式部署提供独立安全域，IT环境应确保无法绕过TSF以获得对TOE数据的访问。5.4.4角色分工管理（A.MANAGER）假定在评估对象中将有一个或多个指定角色权限的授权管理员，他们之间依据最小特权、职责分离、深度防御等安全原则进行了角色分工（ST作者应根据数据库管理系统支持的系统权限及针对的具体应用解决方案解释“安全角色”的具体含义）。5.

34、4.5多层应用问责（A.MIDTIER）在多层应用环境中为了确保评估对象的安全问责制，任意中间层次的评估对象运行环境组件服务都应将原始的授权用户标识发送给TSF（ST作者应根据数据库管理系统针对的具体应用解决方案解释“多层应用问责”的具体含义）。GB/T XXXXXXXXX95.4.6管理员假设（A.NO_HARM）使用数据库的授权用户和授权管理员具备基本的数据库安全防护知识并具有良好的使用习惯，他们训练有素且遵循评估对象的管理员指南，并且以安全的方式使用数据库。5.4.7服务器专用（A.NO_GENERAL_PURPOSE）在数据库管理系统运行主机上没有安装其他获得通用的计算或存储能力的程序

35、或服务（例如：编译器、编辑器或应用程序）。5.4.8物理安全（A.PHYSICAL）数据库服务器运行环境应提供与其所管理的数据价值相一致的物理安全。例如存储在数据库之外的评估对象相关数据（如配置参数、归档日志等）以一种安全的方式存储和管理。5.4.9通信安全（A.SECURE_COMMS）假定数据库服务器和应用终端之间、分布式数据库不同节点间的通信信道是安全可靠的（如满足私密性和完整性）。实现方式可通过共享密钥、公/私钥对，或者利用存储的其他密钥来产生会话密钥。6安全目的6.1TOE 安全目的6.1.1概述本标准定义的安全目的可明确追溯到数据库管理系统相关威胁或组织安全策略。表4列出了不同评估

36、保障级的数据库管理系统安全目的。表 4评估对象的 TOE 安全目的序号序号TOETOE 安全目的安全目的评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4O.1访问历史 O.ACCESS_HISTORYO.2标签访问 O.ACCESS_LBACO.3管理员指南 O.ADMIN_GUIDANCEO.4管理角色分离 O.ADMIN_ROLEO.5审计数据产生 O.AUDIT_GENERATIONO.6审计数据保护 O.AUDIT_PROTECTIONO.7数据库服务可用 O.AVAILO.8配置标识 O.CONFIGO.9密码安全 O.CRYPTOGRAGHYO.10设计文档化

37、O.DOCUMENTED_DESIGNGB/T XXXXXXXXX10表 4（续）序号序号TOETOE 安全目的安全目的评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4O.11功能测试 O.FUNCTIONAL_TESTO.12内部安全域 O.INTERNAL_TOE_DOMAINSO.13安全管理员 O.MANAGEO.14残留信息 O.RESIDUAL_INFORMATIONO.15资源共享 O.RESOURCE_SHARINGO.16TOE 访问控制 O.TOE_ACCESSO.17可信路径 O.TRUSTED_PATHO.18漏洞分析 O.VULNERABILITY

38、_ANALYSIS注：代表在该评估保障级下应选择的安全目的6.1.2访问历史（O.ACCESS_HISTORY）评估对象应具备存储和检索授权用户和授权管理员先前连接数据库管理系统的会话信息，包括尝试建立数据库连接/会话的相关请求历史数据。6.1.3标签访问（O.ACCESS_LBAC）评估对象应提供安全标签的数据分级、用户分类与分组的读/写权限安全策略设置，提供基于标签的访问控制机制，从而通过数据库管理系统标签机制实现集中式或细粒度的数据访问控制。6.1.4管理员指南（O.ADMIN_GUIDANCE）评估对象应为授权管理员提供数据库管理系统产品安全分发、安装配置和运行管理必要的管理指南信息，

39、应为授权用户提供数据库对象创建和使用相关的用户操作手册文档（ST 作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理）。6.1.5管理角色分离（O.ADMIN_ROLE）评估对象应提供与不同数据库管理操作相适应的授权管理员角色，以提供职责分离、角色约束等角色管理功能，并且这些管理功能可以在本地或以远程方式进行安全管理（ST 作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理）。6.1.6审计数据产生（O.AUDIT_GENERATION）评估对象应提供数据库审计策略定义、审计功能启停管理、数据库管理操作、用户数据库对象操作

40、等检测和创建与用户关联的安全相关事件的记录能力（ST 作者应依据评估对象的审计记录的组成和存储机制，说明审计数据保存方式（数据库内部、数据库外部），以及审计数据安全管理机制）。6.1.7审计数据保护（O.AUDIT_PROTECTION）评估对象应安全存储审计数据，并对存储的审计事件进行保护能力。GB/T XXXXXXXXX116.1.8数据库服务可用（O.AVAIL）评估对象应提供事务、数据库实例和存储介质故障的数据恢复机制，提供数据库管理系统升级中数据库存储结构的自动维护能力，保证评估对象管理数据资产的可恢复性。评估对象应提供主数据库服务器与备用服务器 TSF 控制转移和数据库实例故障切换

41、机制，以支持分布式数据库服务高可用管理需求的分布式组件部署。6.1.9配置标识（O.CONFIG）评估对象应对产品组件配置及其文档的评估配置项进行标识，以便数据库管理系统被重新分发和纠正执行错误时提供修改和跟踪他们的方法。注：配置标识一般是指在评估对象组装与系统测试阶段结束时，交付给外部顾客的发行基线，它包括软件产品的全部配置项的规格说明。6.1.10密码安全（O.CRYPTOGRAGHY）评估对象应提供密钥管理和密码运算功能的调用机制，以维护数据库管理系统中数据资产在存储和传输过程中的加密保护需求（ST 编制中 TOE 使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范）。6.

42、1.11设计文档化（O.DOCUMENTED_DESIGN）评估对象的设计、实现等软件研发工作应被充分、准确地文档化，包括在设计及其在研发过程中的所有变更证据都应被分析、追踪和控制。这些过程性设计与开发文档应贯穿于评估对象的整个开发过程。6.1.12功能测试（O.FUNCTIONAL_TEST）评估对象应进行合适的安全功能测试以证明数据库管理系统的TSF满足安全功能设计要求。6.1.13内部安全域（O.INTERNAL_TOE_DOMAINS）在多用户并发事务执行过程中，数据库查询引擎中的TSF应为不同并发用户请求维护一个私有的数据查询和数据处理安全域，保证多用户并发访问数据的隔离性和一致性。

43、6.1.14安全管理员（O.MANAGE）评估对象应提供系统管理、安全管理、安全审计等安全管理员角色管理数据库管理系统安全性所必需的功能和设施，并防止这些管理功能和管理设施被未授权用户使用。6.1.15残留信息（O.RESIDUAL_INFORMATION）评估对象应确保数据库服务器共享缓存、磁盘存储等服务器资源中重要的数据在使用完成或意外掉电后会被删除或被安全处理，从而保证不会留下可被攻击者利用的残留数据信息。6.1.16资源共享（O.RESOURCE_SHARING）评估对象应提供数据库服务器资源（即共享缓存、CPU使用、存储空间等共享资源）使用的控制机制，以避免耗尽数据库服务器资源的安全

44、威胁。6.1.17TOE 访问控制（O.TOE_ACCESS）评估对象应对在数据字典数据、用户数据、运行日志数据和数据库安全功能组件实施访问控制措施，GB/T XXXXXXXXX12防止在未授权情况下被访问、修改或删除。6.1.18可信路径（O.TRUSTED_PATH）评估对象应提供方法保证用户提供标识和授权数据时，与其通信的不是伪装成数据库管理系统的其他IT实体。例如针对用户/程序与数据库服务器之间的通讯，评估对象提供合适的数据加密传输控制机制，保护数据库实例运行过程中与外部用户/程序交换的数据库通讯安全。6.1.19漏洞分析（O.VULNERABILITY_ANALYSIS）评估对象应进

45、行合适的独立渗透性测试和脆弱性分析以证明其设计和实现不存在安全弱点或缺陷，能阻止违反数据库安全策略的数据库攻击行为。6.2环境安全目的6.2.1概述表 5 列出了不同评估保障级的数据库管理系统的 IT 环境安全目的。表 5评估对象 IT 环境安全目的序号序号ITIT 环境安全目的环境安全目的评估保障级评估保障级EAL2EAL2EAL3EAL3EAL4EAL4OE.1运行环境安全审计保护 OE.AUDIT_PROTECTIONOE.2运行环境审计信息查看 OE.AUDIT_REVIEWOE.3运行环境管理 OE.CONFIGOE.4目录访问控制保护 OE.DIR_CONTROLOE.5IT 域分

46、离 OE.DOMAIN_SEPARATIONOE.6管理员诚信 OE.NO_HARMOE.7数据库服务器专用 OE.NO_GENERAL_ PURPOSEOE.8物理安全一致性 OE.PHYSICALOE.9通讯安全环境 OE.SECURE_COMMSOE.10IT 环境自我保护 OE.SELF_PROTECTIONOE.11IT 时间戳 OE.TIME_STAMPSOE.12环境访问控制 OE.TOE_ACCESS ITOE.13IT 环境无旁路 OE.TOE_NO_BYPASSOE.14可信 IT 环境 OE.TRUST_IT注：代表在该评估保障级下的环境安全目的6.2.2运行环境安全审计

47、保护（OE.AUDIT_PROTECTION）GB/T XXXXXXXXX13评估对象运行支撑环境应提供保护数据库审计信息和用户鉴别证书的能力。数据库服务器应维护一个保护自身及其审计痕迹资源免受外部干扰、破坏或通过自身接口未授权泄漏的执行域。6.2.3运行环境审计信息查看（OE.AUDIT_REVIEW）评估对象运行支撑环境应提供选择性查看数据库与运行环境审计信息的能力。6.2.4运行环境管理（OE.CONFIG）评估对象运行支撑环境应具备数据库管理员组或角色，提供管理与配置数据库运行安全所需的功能和设施，并防止这些功能和设施被未授权使用。6.2.5目录访问控制保护（OE.DIR_CONTRO

48、L）支持LDAP服务器的数据库运行环境应提供用户标识、身份验证、访问控制等机制，以阻止非法用户访问LDAP服务器保存的TSF数据。LDAP服务器的访问控制机制应提供TSF控制数据的导入/导出的安全保护措施。6.2.6IT 域分离（OE.DOMAIN_SEPARATION）评估对象运行分布式环境应该为评估对象运行节点提供一个可分离的安全执行域，不同节点间应以一种安全方式进行通讯。6.2.7管理员诚信（OE.NO_HARM）使用评估对象组织应保证其授权管理员是可信的，训练有素且遵循组织安全策略和相关的数据库管理员指南。6.2.8数据库服务器专用（OE.NO_GENERAL_ PURPOSE）数据库

49、服务器除了提供评估对象运行、管理和支持的必要服务外，不存在与数据库实例运行无关的计算或存储功能（如编译器、编辑器或应用程序）。6.2.9物理安全一致性（OE.PHYSICAL）数据库服务器运行环境应提供与数据库管理系统及其管理数据资产价值相一致的物理安全。6.2.10通讯安全环境（OE.SECURE_COMMS）IT环境应在远程用户/程序和数据库服务器之间提供安全的通信线路。6.2.11IT 环境自我保护（OE.SELF_PROTECTION）DBMS的运行环境应维护一个保护自身及其资源免受外部干扰、破坏或未授权泄漏的执行域。6.2.12IT 时间戳（OE.TIME_STAMPS）IT环境应提

50、供可靠的时间戳。6.2.13IT 环境访问控制（OE.TOE_ACCESS）DBMS的运行环境应提供有助于DBMS控制IT环境用户对TOE进行逻辑访问的机制。6.2.14IT 环境无旁路（OE.TOE_NO_BYPASS）GB/T XXXXXXXXX14DBMS客户端与数据库服务器或多数据库服务器主机（分布式数据库）之间传输的数据应通过TOE的安全控制引擎来实现。6.2.15可信 IT 环境（OE.TRUST_IT）评估对象运行所依赖的IT环境实体应正确地安装、配置、管理和维护，并与DBMS安全策略和IT环境安全策略之间的关系保持一致性。7扩展组件定义7.1扩展组件原理表 6 列出了本标准中基