信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).docx

《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).docx》由会员分享，可在线阅读，更多相关《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).docx（49页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、ICS35.040L80中华人民共和国国家标准GB/T 20009201X代替GB/T 20009-2005信息安全技术数据库管理系统安全评估准则Information security technology Security evaluation criteria for database management system（报批稿）XXXX - XX - XX发布XXXX - XX - XX实施GB/T XXXXXXXXX目次前言II信息安全技术数据库管理系统安全评估准则11 范围12 规范性引用文件13 术语和定义13.1 术语和定义13.2 缩略语14 评估总则24.1 总体要求24.

2、2 评估要求24.3 评估环境24.4 评估流程25 评估内容35.1 安全功能评估35.2 安全保障评估215.3 评估方法34附录A （资料性附录） 标准修订说明40A.1 原标准GB/T 20009-2005评估内容与本标准安全功能要求映射表40A.2 基于GB/T 20009-2005标准的各级别所对应的安全要求42参考文献45前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分：标准的结构和编写给出的规则起草。本标准代替GB/T 20009-2005信息安全技术 数据库管理系统安全评估准则，与GB/T 20009-2005相比主要技术变化参见附录A。本标准与GB/T 20

3、009-2005相比，主要变化如下：a) 重写了“GB/T 20009-2005”3术语、定义和缩略语；b) 删除了“GB/T 20009-2005”附录A 数据库管理系统面临的威胁和对策；c) 重写了GB/T 20009-2005第四章安全环境，标题修改为评估总则，描述了数据库管理系统总体要求、评估要求、评估环境和评估流程；d) 重写了GB/T 20009-2005第五章的安全评估内容，按照GB/T 30270-2013定义了GB/T 20273-201X中的安全功能组件和安全保障组件评估内容；e) 按照评估保障级概念列出了EAL2、EAL3和EAL4组件列表及评估准则。请注意本文件的某些内

4、容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（SAC/TC260）提出并归口。本标准起草单位：中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人：张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军本标准所代替标准的历次版本发布情况：GB/T 20009-200545信息安全技术数据库管理系统安全评估准则1 范围本标准依据GB/T 20273-201X

5、 信息安全技术数据库管理系统安全技术要求中的相关要求，给出了数据库管理系统的安全评估内容和评估方法。修订后标准中EAL2、EAL3、EAL4级的安全要求既适用于基于GB/T 18336标准下的数据库安全性测评，同样适用于基于GB17859标准下数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评，相关对应关系详见A.1。2 规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。GB/T 20273-201X信息安全技术数据库管理系统安全技术要求G

6、B/T 25069-2010信息安全技术术语GB/T 30270-2013信息技术安全技术信息技术安全性评估方法3 术语和定义3.1 术语和定义GB/T 25069-2010、GB/T 30270-2013和GB/T 20273-201X标准界定的术语和定义适用于本文件。3.2 缩略语下列缩略语适用于本文件。DBMS：数据库管理系统（Database Management System）SQL：结构化查询语言（Structured Query Language）TOE：评估对象（Target of Evaluation）TSF： TOE安全功能（TOE Security Functionali

7、ty）LBAC：基于标签的访问控制（Label Based Access Control）PP：保护轮廓（Protection Profile）ST：安全目标（Security Target）SFP：安全功能策略（Security Function Policy）TSP：TOE安全策略（TOE Security Policy）TSC：TSF控制范围（TSF Scope of Control）TSFI：TSF接口（TSF Interface）EAL：评估保障级（Evaluation Assurance Level）CM：配置管理（Configuration Management）CC：通用准则（

8、Common Criteria）CEM：通用准则评估方法（Common Criteria Evaluation Methodology）4 评估总则4.1 总体要求本标准依据GB/T 30270-2013，给出了GB/T 20273-201X定义的数据库管理系统评估对象（TOE）安全功能组件和安全保障组件的评估内容和测试要求。4.2 评估要求在对数据库管理系统进行安全评估时，首先依照GB/T 30270-2013的安全目标评估方法完成对DBMS ST的评估，在此基础上对DBMS的安全功能和安全保障进行评估：a) 安全功能评估目标是保证GB/T 20273-201X定义的安全功能组件设计与实现的

9、完整性和正确性，一般通过对DBMS发起者提供的评估证据分析和TSF独立性测试，确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据（如分析、设计与测试文档）和DBMS产品，由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析，并按照评估保障级的不同对DBMS安全功能组件进行抽样测试，或评估者自己设计相应的测试用例，独立地完成DBMS安全功能组件的功能测试，验证TSF的实现符合数据库管理系统概要规范。b) 安全保障评估目标是发现DBSM在设计与实现中的缺陷或脆弱性，以便在评估过程中要求开发者纠正评估对象相应的错误，从而减少DBM

10、S在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下，测试DBMS是否能抵御各种安全攻击，以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通讯协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料，通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。4.3 评估环境在不同的网络环境和服务器环境支持下，通用数据库产品提供多种安全策略和安全控制机制的解决方案，以满足评估

11、对象消费者的安全要求。数据库管理系统的测试环境分为三类：非集群数据库服务测试环境和集群数据库服务测试环境，集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。应根据GB/T 30270-2013安全评估基本原则、过程和规程的体系选择某个测试环境，对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务：a）评估证据输入评估：评估发起者应向安全评估机构提供数据库安全评估所有必需的评估证据：评估发起者应参照GB/T 30270-2013开发相关的评估证据，评估者应对这些输入要求进行评估。b）评估结果输出评估：安全评估机构的输出任务评估的

12、目的是评估输出的观察报告和评估技术报告应满足评估结果的可重复性和可再现性原则，并应保持各种报告信息类型和数量的一致性。4.4 评估流程根据GB/T 30270-2013的安全评估过程包括评估准备、评估实施、评估结果等阶段，具体如下：a) 评估准备阶段：评估发起者应按照GB/T 30270-2013给评估者提供安全目标，评估者分析其可行性。评估者可能会需要发起者提供其它评估相关的辅助信息。评估发起者或者ST开发者会给评估者提供一部分待评估物。评估者审查安全目标，然后告知发起者对某些内容进行必要的补充完善，以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了，则评估过程进

13、入下一阶段。b) 评估实施阶段：评估者生成包括待评估产品列表，评估活动，以及基于GB/T 30270-2013评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议，该协议包含评估的基本框架，同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后，评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有：1) 评估者检查发起者或者开发者应交付的评估物，然后按照GB/T 30270-2013进行必要的评估活动。2) 在评估阶段，评估者可能会撰写观察报告（ORs）。该报告里，评估者会向监管者（评审机构）询问如何满足其监管的要求。3) 监管者对评估者的解释请

14、求进行回应，然后允许进行下一步评估。4) 监管者同样可能确认和指出一些潜在的缺陷或者威胁，然后要求发起者或者开发者提供额外的信息资料。c) 评估最终结果阶段：评估者根据文档审核、测试情况、现场检查结果，对TOE进行综合评判，并撰写评估技术报告。5 评估内容5.1 安全功能评估5.1.1 安全审计（FAU类）5.1.1.1 审计数据产生 （FAU_GEN.1）审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估要求如下：a) 应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录：1) 数据库审计功能的启动和关闭；2) 数据库实例

15、及其组件服务的启动和关闭；3) 数据库实例配置参数非缺省值修改事件；4) 数据库对象结构修改事件；5) GB/T 20273-201X列出的数据库审计级别【最小】的可审计事件；6) 其它面向数据库安全审计员的，可绕过访问控制策略的特殊定义【赋值：ST 作者定义的审计事件】的可审计事件；7) 未指定审计级别【ST作者赋值：数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。b) 应检查审计记录中至少包含如下信息：1) 事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果（成功或失败）；2) 应根据评估对象【赋值：ST作者指定的审计事

16、件数据】和规定的格式【赋值：数据类型与格式】来生成审计数据；3) 对于每个审计事件类型，基于GB/T 20273-201X中包括的安全功能组件的可审计事件定义。c) 应检查数据库管理系统的审计数据产生策略配置管理API或工具，确认审计数据产生机制与功能有效性。5.1.1.2 用户身份关联（FAU_GEN.2）用户身份关联组件应将审计事件与主体身份相联系，满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估要求如下：a) 审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息；b) 审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值：ST作者指定的用户身份鉴别方式

17、】相关关联的数据库会话信息；c) 应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理API/工具，确认能看到用户身份关联信息。5.1.1.3 审计查阅（FAU_SAR.1）审计查阅组件为授权管理员提供获得和解释事件审计事件数据的能力。该组件安全评估要求如下：a) 应测试能否从审计记录中阅读和获取下面所列出的审计信息：1) 用户身份标识；2) 审计事件类型；3) 数据库对象标识；4) 评估对象指定的【赋值：ST 作者指定的审计事件数据】。b) 应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面（如图形界面）；c) 应测试当授权用户是外部IT实体时，审计数

18、据必须以规范化电子方式无歧义地表示；d) 应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.4 限制审计查阅（FAU_SAR.2）限制审计查阅组件只允许授权管理员查阅部分审计数据。该组件安全评估要求如下：a) 应测试是否能依据【选择：主体标识、主机标识、客体标识、【赋值：ST 作者指定审计条件】阅读和读取审计数据；b) 应测试是否能依据【选择：成功可审计安全事件、失败可审计安全事件、【赋值：ST作者指定其他选择条件】选择性审计清单等条件阅读和读取审计信息； c) 应测试是否能依据【选择：数据库系统权限、数据库对象权限、【赋值：ST作者指定权限级别】阅读和读取审计信息；d) 应测试管理审

19、计数据授权控制机制和审计数据授权管理员（安全管理员）控制授权管理员访问审计数据的【赋值：ST作者指定角色/系统权限】；e) 应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口；f) 应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.5 可选审计查阅（FAU_SAR.3）可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评估要求如下：a) 应测试是否能依据审计数据字段中的值的搜索与分类条件对审计记录进行搜索，筛选授权管理员关心的审计数据；b) 应测试是否能对返回审计数据进行排序和汇总统计；c) 应测试是否允许授权管理员使用【选

20、择：SQL语句、【赋值：ST作者指定方式】搜索审计数据和对审计数据排序；d) 应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具；e) 应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.6 选择性审计（FAU_SEL.1）审计事件选择组件定义了向可审计事件集中加入或从中排除事件的能力。该组件安全评估要求如下：a) 应测试是否能根据【选择：客体身份、用户身份、组身份、主体身份、主机身份、【赋值：ST作者指定主体属性】从审计事件集中选择可审计事件；b) 应测试是否能根据【选择：数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值：ST作

21、者指定用户操作权限级别】从审计事件集中选择可审计事件；c) 应测试是否能根据【选择：成功、失败、二者可审计安全事件选项、【赋值：ST作者指定条件】从审计事件集中选择可审计事件；d) 应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。5.1.1.7 审计数据可用性保证（FAU_STG.2）审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时，TSF还能维护产生的审计数据。该组件安全评估要求如下：a) 应测试是否能提供数据库系统表或外部文件方式保存审计事件数据，维护审计数据授权控制和审计数据存储管理的能力；b) 应测试维护控制审计事件数据存储能力参数有效性

22、；c) 应测试保护所存储的审计记录，只允许安全管理员或授权管理员访问审计记录的访问机制；d) 应测试TSF能【选择，选取一个：防止、检测】对审计迹中所存审计记录的未授权修改；e) 应测试提供的审计数据备份、导出等管理接口/辅助工具，并且只有安全管理员或授权管理员才能操作这些辅助功能；f) 应测试审计事件具备数据加解密存储保护能力；g) 应测试在TSF【选择：审计存储耗尽、失效、受攻击】时，确保【赋值：保存审计记录的度量】审计记录将维持有效。5.1.1.8 防止审计数据丢失（FAU_STG.4）防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空间溢满时所采取的动

23、作。该组件安全评估要求如下：a) 应测试审计数据【选择：多路复用、【赋值：ST作者指定备份方式】功能，并验证审计数据存储位置指定等管理能力；b) 应测试审计数据归档功能，包括远程归档功能；c) 应检测审计数据存储可用空间查看视图/工具功能；d) 应检查是否提供了判断审计记录数据是否已满，并提供忽略可审计事件、阻止可审计事件、覆盖所存储的最早的审计记录或【赋值：审计存储失效时所采取的其它动作】等处理机制。5.1.2 密码支持（FCS类）5.1.2.1 密钥生成(FCS_CKM.1)若密钥由外部环境生成，则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥；否则评估对象提供

24、的用户密钥和数据密钥产生。该组件安全评估要求如下：a) 应测试存储用户密钥装置或密钥管理服务器操作接口，确认数据库密钥存储位置是安全且有据可查的，包括提供与其数据本身具有同类型的密钥备份和恢复机制；b) 应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放管理接口与管理工具；c) 应测试是否能根据评估对象【赋值：ST作者指定的标准与规范列表】的特定密钥生成算法【赋值：密钥生成算法】和规定的密钥长度【赋值：密钥长度】来生成密钥；d) 应测试密钥生成提供下列密钥管理功能：1) 应提供密钥属性配置管理，密钥属性的例子包括用户密钥类型【选择：公开密钥、私有密钥、秘密密钥【赋值：ST作者指定密钥类型

25、】、有效期和使用用途【选择：数字签名、密钥加密、密钥协商、数据加密、【赋值：ST作者指定用途】；2) 应提供密钥的存储及其使用接口，允许评估对象与外界连接的数据库应用程序接口与加密设备进行交互。e) 应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数。5.1.2.2 密钥销毁（FCS_CKM.4）数据库管理系统的安全功能应根据符合下列标准【赋值：国家规定的密码管理算法】的一个特定的密钥销毁方法【赋值：密钥销毁方法】来销毁密钥。密钥销毁组件提供符合国家规定的密码管理算法的密钥销毁功能。该组件安全要求评估如下：a） 应测试是否能根据评估对象【赋值：ST作者指定的密码管理算法】的密钥销

26、毁方法【赋值：ST作者指定的密钥销毁方法】来销毁密钥；b） 应检测数据库用户密钥、数据密钥等数据库密钥存放管理接口与管理工具；c） 应检查密码销毁方法是否符合国家主管部门认可的相关标准。5.1.2.3 密码运算(FCS_COP.1)密码运算组件提供根据一个特定的算法和一个规定长度的密钥来进行密码运算功能。该组件安全评估要求如下：a) 应测试是否能根据评估对象【赋值：ST作者指定的标准与规范列表】在评估对象上使用特定的密码算法【赋值：密码算法】和密钥长度【赋值：密钥长度】执行【赋值：密码运算列表】，以验证数据库管理系统密码运算的有效性；b) 应测试评估对象【赋值：ST作者指定的加密算法】提供数据

27、库透明加密功能；c) 应测试是否能依据评估对象使用密码安全服务的用户应用、不同密码算法或密钥长度的使用策略及其机制、所运算数据的类型或敏感度密码服务等数据库管理系统安全服务测试密码运算的可用性；d) 应验证密码运算事件是否被审计：1) 密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成；2) 主体属性包括同主体有关的主体角色和用户；3) 客体属性包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期。e) 应检查评估对象的密码算法的具体赋值是否符合国家主管部门认可的相关标准及参数。5

28、.1.3 用户数据保护（FDP类）5.1.3.1 子集访问控制（FDP_ACC.1）子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。该组件安全评估要求如下：a) 应测试依据授权用户/授权管理员在数据库对象【选择：表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间/文件组、参数文件、【赋值：ST作者指定的数据库对象】上授予的【选择：查询、插入、更新、删除、【赋值：ST作者指定的客体操作列表】执行相关的【选择：GRANT、REVOKE或【赋值：ST作者指定的授权接口】授权管理；b) 应测试依据级联授权方法管理【选择：自主访问控制策略、基于

29、角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】限制授权用户/授权管理员访问权限扩散的控制能力；c) 应测试依据评估对象的【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】在【选择：数据库级、实例级、【赋值：ST作者定义的级别】执行【选择：创建、修改、删除、【赋值：ST作者指定的客体操作列表】执行相关的【赋值：GRANT、REVOKE或【赋值：ST作者指定的授权接口】成功的执行授权管理；d) 应测试依据【选择：默认方式、【赋值：ST作者指定方式】，阻止未授权用户/未授权管理员对数据库对象【选择：表对象、

30、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间、参数文件、【赋值：ST作者指定的数据库对象】的访问操作；e) 应测试是否能能通过【选择：安全元数据视图，应用程序接口、【赋值：ST作者指定的方式】浏览成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置参数；f) 应测试基于安全目标中的附加规则【选择：【赋值：安全属性，明确授权用户/授权管理员访问客体的规则】，“无附加规则”】，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证数据库客体对象访问控制机制的正确性。g) 应测试基于安全目标中的【选择：【赋值：安全属性，明确拒绝主体访问客体的规则】，

31、“无附加的显式拒绝规则”】，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证TSF拒绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性。5.1.3.2 基于安全属性的访问控制（FDP_ACF.1）基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或拒绝某个鉴别用户对指定数据库对象的访问。该组件安全评估要求如下：a) 应测试基于【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】对数据库对象的相关操作执行访问控制，具体应包括：1) 与一个授权用户/授权管理员相关的授权用户身份和/或角色/组

32、成员关系；2) 数据库对象（模式对象和非模式对象）可实施的访问操作和/或角色/组权限；3) 对数据库对象执行【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】，阻止未授权用户/管理员对数据库对象访问（模式对象和非模式对象）。b) 应执行【赋值：在授权用户/授权管理员和数据库对象之间，通过对数据库对象采取受控操作来管理访问的规则】，以决定DBMS授权用户/授权管理员与数据库对象之间的操作是否被允许。这些规则包括：1) 如果授权用户是访问数据库对象的所有者，则允许用户的访问请求；2) 如果访问控制策略机制允许授权用户对数据库对象的访问，则

33、允许用户的访问请求；3) 如果授权用户作为一个用户组或角色（直接角色或间接角色）的成员执行请求的访问模式，则允许用户的访问请求；4) 如果PUBLIC能访问受控的数据库对象，则允许用户的访问请求；5) 否则拒绝用户的访问请求。c) 应测试是否能能通过【选择：安全元数据视图，应用程序接口、【赋值：ST作者指定的安全元数据访问方法】浏览成功授权的所有数据库对象操作列表和授权用户定义的【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】安全元数据。5.1.3.3 子集信息流控制（FDP_IFC.1）子集信息流控制组件要求每个确定的基于标签访问

34、控制（LBAC）安全策略适用于数据库管理系统内某些数据库对象上允许执行的访问请求。该组件安全评估要求如下：a) 应测试基于授权用户/授权管理员和数据库对象安全属性【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】强制应用【LBAC安全策略】，通过标签中【选择：安全分级、安全范围、安全分组值、【赋值：ST作者指定的标签元素】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过，从而控制授权用户对标签受控的数据库对象的访问；b) 应测试子集信息流控制是否配合评估对象提供的【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：

35、ST作者定义的基于属性的访问控制策略】粗粒度访问控制，只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问数据对象；c) 应测试基于安全目标中的附加规则【选择：【赋值：基于安全属性，明确拒绝信息流的规则】，无附加规则】，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证子集信息流控制机制对数据库客体对象访问控制的正确性；d) 应测试基于安全目标中的【选择：【赋值：基于安全属性，明确拒绝信息流的规则】，无附加的显式拒绝规则】，分析评估对象的测试文档，采用抽样方式或独立

36、性设计方法验证子集信息流控制机制拒绝授权授权用户访问受控数据库对象的正确性。5.1.3.4 分级安全属性（FDP_IFF.2）分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格，以供基于标签的访问控制数据安全策略使用。该组件安全评估要求如下：a) 应测试是否能具有【选择：安全分级、安全范围、安全分组、【赋值：ST作者指定数据库对象安全属性元素】及基于这些元素的标签定义，包括标签与被保护数据库对象和授权用户/授权管理员的绑定关系定义接口或辅助工具；b) 应测试是否能通过授权用户/授权管理员绑定标签和数据库对象（数据库数据表的行、列或属性值）绑定标签之间的信息流交换，如

37、果满足以下基于安全属性之间的序关系的规则：【1) 为了读取LBAC保护的数据库数据表的行、列或属性值：(1) 用户安全性标签的安全分级必须大于或等于数据库数据表的行、列和属性值安全性标签的安全分级；(2) 用户安全性标签的安全范围必须包含数据库数据表的行、列和属性值安全性标签的安全范围；(3) 用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素（或者这样一个元素的祖先）；2) 为了写LBAC保护的数据库数据表行、列或属性值：(1) 用户安全性标签的安全分级必须小于或等于数据库数据表的行、列和属性值安全性标签的安全分级；(2) 用户安全性标签的安全范

38、围必须包含数据库数据表的行、列和属性值安全性标签的安全范围；(3) 用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素（或者这样一个元素的祖先）；3) 每一种情况中，在数据库对象操作的基于安全属性的访问控制策略的规则都必须被满足】。c) 应测试只有授权管理员【选择：安全管理员，【赋值：ST规定的管理角色】能够改变用户的安全性标签，具有适当权限的授权用户/授权管理员】能改变受LBAC保护的数据表的行、列和属性值的安全性标签属性；d) 应测试拥有特权的安全管理员（豁免的用户）能够忽略对【选择；读元组、读元组集合、读树、写元组、写元组集合、写树的检查、【

39、赋值：ST作者指定数据库对象标签类型】，明确地给数据库对象授权一个信息流；e) 应测试基于规则【赋值：基于安全属性，明确拒绝信息流的规则】明确的拒绝一个数据库对象的信息流；f) 应测试对任意两个信息流控制安全属性强制下列关系：1) 存在一个有序函数，对于给定的两个有效的安全属性，函数能够判定它们是否相等，是否其中一个大于另一个，还是两者不可比较；2) 在安全属性集合中存在一个“最小上界”，对于给定的两个有效的安全属性，存在一个有效的安全属性大于或者等于这两个安全属性；3) 在安全属性集合中存在一个“最大下界”，对于给定的两个有效的安全属性，存在一个有效的安全属性不大于这两个属性。5.1.3.5

40、 带有安全属性的用户数据输出（FDP_ETC.2）带有安全属性的用户数据输出组件要求TSF利用一个功能执行合适的SFP，该功能准确无误地将安全属性与所输出的用户数据相关联。该组件安全评估要求如下：a) 应测试基于授权用户/授权管理员和数据库对象安全属性【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】强制应用【LBAC安全策略】，通过标签中【选择：安全分级、安全范围、安全分组值、【赋值：ST作者指定的标签元素】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过，从而控制授权用户对带有安全属性的用户数据的访问；b) 应测试输出用户数据时评

41、估对象提供相应的【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】粗粒度访问控制，只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问的用户数据；c) 应测试基于安全目标中的附加规则【选择：【赋值：基于安全属性，明确拒绝信息流的规则】，无附加规则】，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证带有安全属性的用户数据输出机制是否将安全属性与所输出的用户数据相关联；d) 应测试输出用户数据时可依据用户数据

42、的安全属性【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】组织输出的数据；e) 应测试用户数据安全属性的脱敏或匿名机制，确认评估对象具有对输出带有安全属性的用户数据安全保护能力；f) 应测试带有安全属性的输出用户数据的属性一致性检测方法和技术。5.1.3.6 不带安全属性的用户数据输入（FDP_ITC.1）不带安全属性的用户数据输入组件要求安全属性正确表示用户数据，且与客体分离。该组件安全评估要求如下：a) 应测试在【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】控制下从TOE之外输入用户数据时，TSF执行某个

43、【赋值：访问控制SFP和/或信息流控制SFP】；b) 应测试从TOE外部输入带有安全属性的用户数据时，TS应忽略任何与用户数据相关的安全属性；c) 应测试在【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】控制下从TOE之外输入用户数据时，TSF应执行下面的规则：【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的的输入控制规则】。5.1.3.7 基本内部传送保护（FDP_ITT.1）基本内部传送保护组件要求用户数据在TOE的各部分间传输时受保护。该组件安全评估要求如下：a) 应检测数据库服务器数据字典共享缓冲和用户数据

44、共享缓存隔离策略和机制，确保两个共享缓存间数据字典传输时受保护；b) 应测试确认用户数据在数据库服务器的数据共享缓存和事务空间之间传输（逻辑IO）时受保护；c) 应测试确认用户数据在数据库服务器的数据共享缓存和磁盘存储之间传输（物理IO）时受保护；d) 应测试确认用户数据在分布式环境下不同数据库服务器数据共享缓存间传输（远程逻辑IO）时受保护；e) 应测试确认远程用户数据输入/输出时的传输安全。5.1.3.8 子集残余信息保护（FDP_RIP.1）子集残余信息保护组件确保数据库对象数据在缓存、磁盘等共享存储资源分配或释放时，相关客体资源的任何残余信息内容都是不可再利用的。该组件安全评估要求如下

45、：a) 应测试确认数据库服务器共享内存、磁盘存储空间等服务器资源的任何先前的信息内容，在资源被分配给其他授权用户/授权管理员使用之后是不再可用的；b) 应测试确认授权用户/授权管理员执行清除数据（DELETE）、删除客体（DROP）或清空数据（TRANCATE）等数据库事务操作后，未授权用户/未授权管理员不能恢复相关数据；c) 应测试确认授权管理员通过评估对象清除表空间、数据文件等逻辑存储和物理存储对象后，未授权用户/未授权管理员不能恢复相关数据存储对象；d) 应测试当依赖评估对象其他系统的安全功能来完成数据库管理系统客体重用功能时，评估对象提供该客体重用功能的可信性的证据。5.1.3.9 基

46、本回退（FDP_ROL.1）基本回退组件确保评估对象在既定的限制条件下回退或撤销有限个数据库操作，这是保证数据库完整性的基本机制。该组件安全评估要求如下：a) 应测试评估对象的检查点保存（SAVEPOINT）机制，确认是否允许对复杂事务回退到指定事务保存点（即回滚部分SQL语句操作）；b) 应测试评估对象的事务回退（ROLLBACK）机制，确认是否允许未提交数据库事务全体SQL语句的回滚操作；c) 应测试评估对象的数据库服务器宕机等实例故障恢复功能；d) 应测试评估对象的数据库存储磁盘介质故障后的数据库恢复管理功能，包括【选择：基于时间点、【赋值：ST作者指定恢复方式】的快速回滚功能；e) 对

47、于分布式部署环境下的数据库管理系统，应测试评估对象的两阶段提交机制，保证多副本数据的一致性和事务的原子性。5.1.3.10 存储数据完整性监视和行动（FDP_SDI.2）存储数据完整性监视和行动组件要求TSF监视存储在由TSF控制的载体内的用户数据是否存在已被识别的完整性错误，如检测到某个错误时应允许采取相应动作的能力。该组件安全评估要求如下：a) 应测试评估对象的TSF在事务处理过程中基于【选择：唯一、非空、【赋值：ST作者指定的数据完整性约束条件】，对涉及的用户数据监视事务操作前后是否存在【赋值：完整性错误】，并在检测到错误时自动的启动事务回滚等机制，确保共享缓存中数据完整性；b) 应测试评估对象的TSF在确保事务提交时，事务相关的日志是否通过日志写机制：【赋值：ST作者指定的日志先写机制】将日志缓存数据存储到磁盘，并在提交事务的日志刷新到磁盘出现故障时自动的启动事务回滚等机制，确保用户数据完整性；c) 应测试评估对象的TSF是否基于数据库对象依赖关系【选择：索引数据、视图定义、存储过程、【赋