GA/T 389-2002
基本信息
标准号: GA/T 389-2002
中文名称:计算机信息系统安全等级保护数据库管理系统技术要求
标准类别:公共安全行业标准(GA)
标准状态:现行
发布日期:2002-07-15
实施日期:2002-07-15
出版语种:简体中文
下载格式:.rar.pdf
下载大小:18682904
标准分类号
标准ICS号:信息技术、办公机械设备>>35.020信息技术(IT)综合
中标分类号:电子元器件与信息技术>>电子元器件与信息技术综合>>L09卫生、安全、劳动保护
关联标准
出版信息
出版社:中国标准出版社
页数:39页
标准价格:18.0 元
出版日期:2002-07-15
相关单位信息
起草人:吉增瑞、陆哗、孙炜、徐良华、袁志平
起草单位:江南计算技术研究所
归口单位:公安部信息系统安全标准化技术委员会
提出单位:中华人民共和国公安部公共信息网络安全监察局
发布部门:中华人民共和国公安部
标准简介
本标准规定了按照GB 17859-1999对数据库管理系统进行安全保护等级划分所需要的详细技术要求。本标准适用于按照GB 17859-1999的安全等级保护要求所进行的数据库管理系统的设计和实现。对于按照GB 17859-1999安全等级保护要求对数据库管理系统进行的测试、管理也可参照使用。 GA/T 389-2002 计算机信息系统安全等级保护数据库管理系统技术要求 GA/T389-2002 标准下载解压密码:www.bzxz.net
标准图片预览
标准内容
ICS_35.020
中华人民共和国公共安全行业标准GA/T389--2002
20022166
计算机信息系统安全等级保护
数据库管理系统技术要求
Database management system technology requirementin computer information system classified security protectionQ
2002- 07 - 15 发布
中华人民共和国公安部发布
2002-07-15实施
规范性引用文件
术语和定义
数据库管理系统安全技术要求
4.1身份鉴别
4.1.1用户标识
4.1.2用户鉴别
4.2自主访问控制
访问操作
访问规则
授权传播限制
标记与强制访问控制
强制访问控制
访问控制粒度及特点
客体重用
数据库安全审计
数据完整性
实体完整性和参照完整性
用户定义完整性
数据操作的完整性
隐蔽信道分析
4.8可信路径
4.9数据库可信恢复
推理控制·
5安全等级划分技术要求
5.1第一级:用户自主保护级
5.1.1安全功能
TCB自身安全保护
TCB设计和实现
5.1.4TCB安全管理
5.2第二级:系统审计保护级·
安全功能
TCB自身安全保护
TCB设计和实现
..........
......
........
GA/T 389—2002
GA/T389—2002
5.2.4TCB安全管理
5.3第三级:安全标记保护级
安全功能·
TCB自身安全保护
TCB设计和实现
5.3.4TCB安全管理
5.4第四级:结构化保护级
5.4.安全功能………
TCB自身安全保护
TCB设计和实现
TCB安全管理要求
5.5第五级:访问验证保护级
安全功能·
TCB自身安全保护
TCB设计和实现
TCB安全管理
附录A(资料性附录)标准概念说明A.1
组成与相互关系
数据库管理系统安全的特殊要求数据库管理系统的用户管理
数据库管理系统的安全性
数据库管理系统安全等级的划分关于数据库管理系统中的主体与客体A:6
关于数据库管理系统中的TCB、TSF和TSPA.8
关于推理控制
关于密码技术和数据库加密
参考文献
查标准上建标网wiz321.net
GA/T389—2002
GB17859一1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准,已于1999年9月13日发布。为促进安全等级管理的工作的正常有序地开展,特制定一系列相关标准,包括:
计算机信息系统安全等级保护技术要求系列标准;一计算机信息系统安全等级保护管理要求;一计算机信息系统安全等级保护工程实施要求;计算机信息系统安全等级保护评测系列标准。其中,计算机信息系统安全等级保护技术要求系列标准由以下标准和其他相关标准组成:GA/T390一2002计算机信息系统安全等级保护通用技术要求;GA/T387一2002计算机信息系统安全等级保护网络系统技术要求;GA/T388--2002计算机信息系统安全等级保护操作系统技术要求;GA/T389一2002计算机信息系统安全等级保护数据库管理系统技术要求。本标准是计算机信息系统安全等级保护技术要求系列标准中的第4项。本标准的附录A是资料性附录。
本标准由中华人民共和国公安部公共信息网络安全监察局提出。.本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:江南计算技术研究所。本标准主要起草人:吉增瑞、陆哗、孙炜、徐良华、袁志平。查标准上建标网wwwiz321.net
GA/T389-2002
本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分,用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统,主要从对数据库管理系统的安全保护等级进行划分的角度来说明其技术要求,即主要说明为实现GB17859一1999中每一个保护等级的安全要求对数据库管理系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异。本标准按照GB17859-1999五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件已列入参考文献中。
查标准上建标网wwwiz321.net
1范围
计算机信息系统安全等级保护
数据库管理系统技术要求
GA/T389—2002
本标准规定了按照GB17859-1999对数据库管理系统进行安全保护等级划分所需要的详细技术要求。
本标准适用于按照GB17859一1999的安全等级保护要求所进行的数据库管理系统的设计和实现。对于按照GB17859--1999安全等级保护要求对数据库管理系统进行的测试、管理也可参照使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859—1999计算机信息系统安全等级划分准则GA/T390一2002计算机信息系统安全等级保护通用技术要求3术语和定义
GB178591999和GA/T390—2002确立的以及下列术语和定义适用于本标准。3.1
实体完整性bodyintegrity
实体完整性规则要求数据库中表示的任一实体是可区分的。对于关系模型,实体完整性表现为关系的主属性(主键、主码)不能是空值(NULL),也不能是重复值,即指基本键的各个分量都不能为空。因为在关系数据库中,基本键唯一地标识各个实体。基本键为空,意味着该实体没有确定的标志,也就不能与其他实体相区别。在基本键为联合键的情况下,如果其值的某个分量为空,就意味着实体的某个属性值未知,也不能与其他实体相区别。3.2
参照完整性referenceintegrity关系模型中的参照完整性是指,在任一时刻,关系R1的某些属性是关于关系R2的外键,则该外键的值必须是R2中某元组的主键值或为“空值”。空值意味着“不知道”的信息和“无意义”的信息(它不是空字符串或空格字符串,也不是零值或任何其他数值)。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。
用户定义完整性userdefined integrity是指根据应用(比如价格的有效范围等)所确定的完整性约束。系统提供定义和检查用户定义完整性规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,这样不仅可以简化应用程序,还提高了完整性保证的可靠性。GA/T389—-2002
4数据库管理系统安全技术要求
4.1身份鉴别
4.1.1用户标识
应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息,一般以用户名和用户ID实现。为了管理方便,可将用户分组,也可使用别名。无论用户名、用户ID、用户组还是用户别名,都要遵守标识的唯一性原则。用户标识包括:a)基本标识:应在TSF实施所要求的动作之前,先对提出该动作要求的用户进行标识。b)唯一性标识:应确保所标识用户在计算机信息系统生命周期内的唯一性,并将用户标识与审计相关联。
c)标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。4.1.2用户鉴别
应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验证,证明该用户确有所声称的某种身份,这些“鉴别信息”必须是保密的,不易伪造的。用户鉴别包括:a)基本鉴别:应在TSF实施所要求地动作之前,先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求TSF应检测或防止由任何别的用户伪造的鉴别数据,另一方面,要求TSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。
c)一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即TSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且TSF应根据所描d)
述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份。重新鉴别:应有能力规定需要重新鉴别用户的事件,即TSF应在需要重鉴别的条件表所指示e)
的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。4.2自主访问控制
4.2.1访问操作
应由数据库子语言定义,并与数据一起存放在数据字典中。对任何SQL对象进行操作应有明确的权限许可,并且权限随着操作和对象的变化而变化,安全系统应有能力判断这种权限许可。操作与对象紧密相联,即把“操作十对象”作为一个授权。表1列出了GRANT(授权)语句对象类型与相关操作。表1GRANT语句的对象类型与相关操作对象
基本表
字符集
SQL调用
SELECT、INSERT、UPDATE、DELETE、TRIGGER、REFERENCESSELECT、INSERT、UPDATE、DELETE、REFERENCESSELECT、INSERT、UPDATE、REFERENCESUSAGE
EXECUTE
表中,除USAGE和UNDER外,其余操作均符合SQL语句中使用的动词。2
GA/T389-2002
4.2.2访问规则
应以访问控制表或访问矩阵的形式表示,并通过执行相应的访问控制程序实现。每当执行SQL语句、有访问要求出现时,通过调用相应的访问控制程序,实现对访问要求的控制。4.2.3授权传播限制
应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限,同时拥有将该权限授予其他用户的权力时,该用户才拥有对该授权的传播权。为了增强数据库系统的安全性,需要对授权传播进行某些限制。
4.3标记与强制访问控制
4.3.1标记
4.3.1.1主体标记
TSF应为主体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.1.2客体标记
TSF应为客体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.2强制访问控制
应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模型将TCB安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规则一一从下读、向上写,根据访问者主体和被访问者客体的敏感标记,实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行环境的不同,强制访问控制分为:a)在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的敏感标记存储在统一的数据库字典中,使用单一的访问规则实现。在网络环境的多机系统上运行的分布式数据库系统,全局应用的强制访问控制应在全局b)
DBMS层实现,局域应用的强制访问控制应在局部DBMS层实现。其所采用的访问规则是一致的。
4.3.3访问控制粒度及特点
应根据数据库特点和不同安全等级的不同要求,实现不同粒度的访问控制。这些特点主要是:数据以特定结构格式存放,客体的粒度可以是:关系数据库的表、视图、元组(记录)、列(字段)、a
元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、存储过程、触发器、各种访问接口等。数据库系统有完整定义的访问操作,如表1所示。b)
c)数据库是数据与逻辑的统一,数据库中不仅存放了数据,还存放了大量的用于管理和使用这些数据的程序,这些程序和数据同样需要进行保护,以防止未授权的使用、篡改、增加或破坏。数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、逻d)
辑独立性)大大减轻数据库应用程序的维护工作量,但是由于不同的逻辑结构可能对应于相同的物理结构,给访问控制带来新的问题,应对访问规则进行一致性检查。分布式数据库管理系统中,全局应用的访问控制应在全局DBMS层实现,局部应用的访问控e)
制应在局部DBMS层实现,并根据需要各自选择不同的访问控制策略。4.4客体重用
数据库管理系统大量使用的动态资源,多由操作系统分配。实现客体安全重用的操作系统和数据库管理系统应满足以下要求:
a)数据库管理系统提出资源分配要求,如创建新库,数据库设备初始化等,所得到的资源不应包含该客体以前的任何信息内容。3
GA/T389--2002
数据库管理系统提出资源索回要求,应确保这些资源中的全部信息被清除,b)
数据库管理系统要求创建新的数据库用户进程,应确保分配给每个进程的资源不包含残留c)
信息。
d)数据库管理系统应确保已经被删除或被释放的信息不再是可用的。4.5数据库安全审计
数据库管理系统的安全审计应:a)
建立独立的安全审计系统。
定义与数据库安全相关的审计事件。c)
设置专门的安全审计员。
设置专门用于存储数据库系统审计数据的安全审计库。d)
提供适用于数据库系统的安全审计设置、分析和查阅的工具。e)
4.6数据完整性
4.6.1实体完整性和参照完整性
a)数据库管理系统应确保数据库中的数据具有实体完整性和参照完整性。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。b)用户定义基本表时,应说明主键、外键,被引用表、列和引用行为。当数据录人、更新、删除时,由数据库管理系统应根据说明自动维护实体完整性和参照完整性。4.6.2用户定义完整性
数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性a)
规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,从而不仅可以简化应用程序,还提高了完整性保证的可靠性。数据库管理系统应支持为约束或断言命名(或提供默认名称),定义检查时间、延迟模式或设b)
置默认检查时间和延迟模式,支持约束和断言的撤消。4.6.3数据操作的完整性
数据操作的完整性约束为:
用户定义基本表时应定义主键和外键。a)
对于候选键,应由用户指明其唯性。b)
对于外键,用户应指明被引用关系和引用行为。c)
应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求,不允许提交任d)
何违反完整性的事务。
删除或更新某元组时,数据库管理系统应检查该元组是否含有外键,若有,应根据用户预定义e)
的引用行为进行删除。
4.7隐蔽信道分析
数据库管理系统的隐蔽信道分析与数据库管理系统的设计密切相关,应在系统开发过程中进行。系统开发者应搜索隐蔽信道,并根据实际测量或工程计算确定每一个被标识的隐蔽信道的最大带宽。4.8可信路径
在数据库用户进行注册或进行其他安全性操作时,应提供TCB与用户之间的可信通信通路,实现用户与TSF间的安全数据交换。
4.9数据库可信恢复
数据库管理系统中的可信恢复具有特定含义,主要应包括:a)确保TSF能在确定不减弱保护的情况下启动安全数据库系统的DBMS。b)运行中发生故障或异常情况时,能够在尽量短的时间内恢复到正确、一致、有效的状态,这个状态对于系统运行是正常、安全的状态,并且对于应用来说是一个真实、有意义的状态。4.
GA/T 389-—2002
c)与可信恢复相关的数据库技术有事务管理、日志、检查点、备份、分布式数据库特殊处理等。4.10推理控制
应采用推理控制的方法防止数据库中的数据信息被非授权地获取。运用推理方法获取权限以外的数据库信息,是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中,应考虑对这种攻击的防御。下载标准就来标准下载网
5安全等级划分技术要求
按GB17859--1999对各个级别的不同要求,本部分主要从十个安全要素以及与数据库管理系统安全关系较为密切的推理控制,对安全功能的技术要求和安全保证技术要求作详细描述。表2给出了按GB17859一1999所描述的每一个安全等级对十个安全要素及安全推理的不同要求。
表2每个安全级的安全功能要求
安全等级
安全要素
自主访问控制
强制访问控制
身份鉴别
客体重用
数据完整性
隐蔽信道分析
可信路径
可信恢复
推理控制
用户自主保护级
注1:+—表示有要求。
注2:十十—表示有进步要求。
系统审计保护级
注3:+++—表示有更进一步要求。注4:++++表示有更高要求。
安全标记保护级
结构化保护级
访问验证保护级
下面对每一安全级的具体技术要求分别进行描述。其中“加粗宋体”表示所描述的内容在该级中第一次出现。
5.1第一级:用户自主保护级
5.1.1安全功能
5.1.1.1.身份鉴别
身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述,按GA/T390-2002中6.1.3.1身份鉴别的要求,设计数据库管理系统的身份鉴别功能。本安全等级要求:用户标识应根据4.1.1的描述,按照GA/T390-—2002中6.1.3.1.1的要求设计。a)
用户鉴别应根据4.1.2的描述,按照GA/T390一2002中6.1.3.1.2的要求设计。凡需进人数据库管理系统的用户,应先进行标识(建立账号)。数据库管理系统用户标识应使用用户名和用户标识(UID)。采用口令进行身份鉴别,并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的,并5
GA/T389-2002
在存储时有安全保护。
5.1.1.2自主访问控制
应根据4.2中访问操作、访问规则和授权传播的描述,按GA/T390-2002中6.1.3.2的要求,设计数据库管理系统的自主访问控制功能。本安全等级要求:允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户对客体的共享。
5.1.1.3数据完整性
应根据4.6的描述,按GA/T390--2002中6.1.3.3的要求,设计数据库管理系统的数据完整性功能。本安全等级要求:
a)对数据库管理系统内部进行的数据传输,如进程间的通信,应提供保证数据完整性的功能。b)对数据库管理系统中处理的数据,应根据4.6.1、4.6.2、4.6.3的描述,按GA/T390-2002中6.1.3.3的要求实现实体完整性、参照完整性和用户定义完整性,按回退的要求设计相应的TCB安全功能模块,进行异常情况的事务回退,以确保数据的完整性。5.1.2TCB自身安全保护
5.1.2.1TSF保护
应按GA/T390一2002中6.1.4.1的要求,设计数据库管理系统的TSF保护。本安全等级中,数据库管理系统TSF保护的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修b)
改其代码或数据结构。
c)数据库管理系统应进行分层设计,对数据库管理系统程序和用户程序要进行隔离。d)应提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性应进行定义。5.1.2.2资源利用
应按照GA/T390-2002中6.1.4.2的要求,设计数据库管理系统的资源利用。在本安全级中,资源利用设计的具体要求为:
a)通过一定措施确保当系统出现某些确定的故障时,TSF也能维持正常运行。b)采取适当的策略,按有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行TCB资源的管理和分配。
c)按资源分配中最大限额的要求,进行TCB资源的管理和分配,确保用户和主体不会独占某种受控资源。
5.1.2.3TCB访问控制
应按GA/T390一2002中6.1.4.3的要求,设计数据库管理系统的TCB访问控制。本安全等级要求:
a)按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制,对会话建立的管理进行设计。5.1.3TCB设计和实现
5.1.3.1配置管理
应按照GA/T3902002中6.1.5.1的要求,设计数据库管理系统TCB的配置管理。本安全级的6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
中华人民共和国公共安全行业标准GA/T389--2002
20022166
计算机信息系统安全等级保护
数据库管理系统技术要求
Database management system technology requirementin computer information system classified security protectionQ
2002- 07 - 15 发布
中华人民共和国公安部发布
2002-07-15实施
规范性引用文件
术语和定义
数据库管理系统安全技术要求
4.1身份鉴别
4.1.1用户标识
4.1.2用户鉴别
4.2自主访问控制
访问操作
访问规则
授权传播限制
标记与强制访问控制
强制访问控制
访问控制粒度及特点
客体重用
数据库安全审计
数据完整性
实体完整性和参照完整性
用户定义完整性
数据操作的完整性
隐蔽信道分析
4.8可信路径
4.9数据库可信恢复
推理控制·
5安全等级划分技术要求
5.1第一级:用户自主保护级
5.1.1安全功能
TCB自身安全保护
TCB设计和实现
5.1.4TCB安全管理
5.2第二级:系统审计保护级·
安全功能
TCB自身安全保护
TCB设计和实现
..........
......
........
GA/T 389—2002
GA/T389—2002
5.2.4TCB安全管理
5.3第三级:安全标记保护级
安全功能·
TCB自身安全保护
TCB设计和实现
5.3.4TCB安全管理
5.4第四级:结构化保护级
5.4.安全功能………
TCB自身安全保护
TCB设计和实现
TCB安全管理要求
5.5第五级:访问验证保护级
安全功能·
TCB自身安全保护
TCB设计和实现
TCB安全管理
附录A(资料性附录)标准概念说明A.1
组成与相互关系
数据库管理系统安全的特殊要求数据库管理系统的用户管理
数据库管理系统的安全性
数据库管理系统安全等级的划分关于数据库管理系统中的主体与客体A:6
关于数据库管理系统中的TCB、TSF和TSPA.8
关于推理控制
关于密码技术和数据库加密
参考文献
查标准上建标网wiz321.net
GA/T389—2002
GB17859一1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准,已于1999年9月13日发布。为促进安全等级管理的工作的正常有序地开展,特制定一系列相关标准,包括:
计算机信息系统安全等级保护技术要求系列标准;一计算机信息系统安全等级保护管理要求;一计算机信息系统安全等级保护工程实施要求;计算机信息系统安全等级保护评测系列标准。其中,计算机信息系统安全等级保护技术要求系列标准由以下标准和其他相关标准组成:GA/T390一2002计算机信息系统安全等级保护通用技术要求;GA/T387一2002计算机信息系统安全等级保护网络系统技术要求;GA/T388--2002计算机信息系统安全等级保护操作系统技术要求;GA/T389一2002计算机信息系统安全等级保护数据库管理系统技术要求。本标准是计算机信息系统安全等级保护技术要求系列标准中的第4项。本标准的附录A是资料性附录。
本标准由中华人民共和国公安部公共信息网络安全监察局提出。.本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:江南计算技术研究所。本标准主要起草人:吉增瑞、陆哗、孙炜、徐良华、袁志平。查标准上建标网wwwiz321.net
GA/T389-2002
本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分,用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统,主要从对数据库管理系统的安全保护等级进行划分的角度来说明其技术要求,即主要说明为实现GB17859一1999中每一个保护等级的安全要求对数据库管理系统应采取的安全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异。本标准按照GB17859-1999五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件已列入参考文献中。
查标准上建标网wwwiz321.net
1范围
计算机信息系统安全等级保护
数据库管理系统技术要求
GA/T389—2002
本标准规定了按照GB17859-1999对数据库管理系统进行安全保护等级划分所需要的详细技术要求。
本标准适用于按照GB17859一1999的安全等级保护要求所进行的数据库管理系统的设计和实现。对于按照GB17859--1999安全等级保护要求对数据库管理系统进行的测试、管理也可参照使用。2规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB17859—1999计算机信息系统安全等级划分准则GA/T390一2002计算机信息系统安全等级保护通用技术要求3术语和定义
GB178591999和GA/T390—2002确立的以及下列术语和定义适用于本标准。3.1
实体完整性bodyintegrity
实体完整性规则要求数据库中表示的任一实体是可区分的。对于关系模型,实体完整性表现为关系的主属性(主键、主码)不能是空值(NULL),也不能是重复值,即指基本键的各个分量都不能为空。因为在关系数据库中,基本键唯一地标识各个实体。基本键为空,意味着该实体没有确定的标志,也就不能与其他实体相区别。在基本键为联合键的情况下,如果其值的某个分量为空,就意味着实体的某个属性值未知,也不能与其他实体相区别。3.2
参照完整性referenceintegrity关系模型中的参照完整性是指,在任一时刻,关系R1的某些属性是关于关系R2的外键,则该外键的值必须是R2中某元组的主键值或为“空值”。空值意味着“不知道”的信息和“无意义”的信息(它不是空字符串或空格字符串,也不是零值或任何其他数值)。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。
用户定义完整性userdefined integrity是指根据应用(比如价格的有效范围等)所确定的完整性约束。系统提供定义和检查用户定义完整性规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,这样不仅可以简化应用程序,还提高了完整性保证的可靠性。GA/T389—-2002
4数据库管理系统安全技术要求
4.1身份鉴别
4.1.1用户标识
应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息,一般以用户名和用户ID实现。为了管理方便,可将用户分组,也可使用别名。无论用户名、用户ID、用户组还是用户别名,都要遵守标识的唯一性原则。用户标识包括:a)基本标识:应在TSF实施所要求的动作之前,先对提出该动作要求的用户进行标识。b)唯一性标识:应确保所标识用户在计算机信息系统生命周期内的唯一性,并将用户标识与审计相关联。
c)标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。4.1.2用户鉴别
应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验证,证明该用户确有所声称的某种身份,这些“鉴别信息”必须是保密的,不易伪造的。用户鉴别包括:a)基本鉴别:应在TSF实施所要求地动作之前,先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求TSF应检测或防止由任何别的用户伪造的鉴别数据,另一方面,要求TSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。
c)一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即TSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且TSF应根据所描d)
述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份。重新鉴别:应有能力规定需要重新鉴别用户的事件,即TSF应在需要重鉴别的条件表所指示e)
的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。4.2自主访问控制
4.2.1访问操作
应由数据库子语言定义,并与数据一起存放在数据字典中。对任何SQL对象进行操作应有明确的权限许可,并且权限随着操作和对象的变化而变化,安全系统应有能力判断这种权限许可。操作与对象紧密相联,即把“操作十对象”作为一个授权。表1列出了GRANT(授权)语句对象类型与相关操作。表1GRANT语句的对象类型与相关操作对象
基本表
字符集
SQL调用
SELECT、INSERT、UPDATE、DELETE、TRIGGER、REFERENCESSELECT、INSERT、UPDATE、DELETE、REFERENCESSELECT、INSERT、UPDATE、REFERENCESUSAGE
EXECUTE
表中,除USAGE和UNDER外,其余操作均符合SQL语句中使用的动词。2
GA/T389-2002
4.2.2访问规则
应以访问控制表或访问矩阵的形式表示,并通过执行相应的访问控制程序实现。每当执行SQL语句、有访问要求出现时,通过调用相应的访问控制程序,实现对访问要求的控制。4.2.3授权传播限制
应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限,同时拥有将该权限授予其他用户的权力时,该用户才拥有对该授权的传播权。为了增强数据库系统的安全性,需要对授权传播进行某些限制。
4.3标记与强制访问控制
4.3.1标记
4.3.1.1主体标记
TSF应为主体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.1.2客体标记
TSF应为客体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。
4.3.2强制访问控制
应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模型将TCB安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规则一一从下读、向上写,根据访问者主体和被访问者客体的敏感标记,实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行环境的不同,强制访问控制分为:a)在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的敏感标记存储在统一的数据库字典中,使用单一的访问规则实现。在网络环境的多机系统上运行的分布式数据库系统,全局应用的强制访问控制应在全局b)
DBMS层实现,局域应用的强制访问控制应在局部DBMS层实现。其所采用的访问规则是一致的。
4.3.3访问控制粒度及特点
应根据数据库特点和不同安全等级的不同要求,实现不同粒度的访问控制。这些特点主要是:数据以特定结构格式存放,客体的粒度可以是:关系数据库的表、视图、元组(记录)、列(字段)、a
元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、存储过程、触发器、各种访问接口等。数据库系统有完整定义的访问操作,如表1所示。b)
c)数据库是数据与逻辑的统一,数据库中不仅存放了数据,还存放了大量的用于管理和使用这些数据的程序,这些程序和数据同样需要进行保护,以防止未授权的使用、篡改、增加或破坏。数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、逻d)
辑独立性)大大减轻数据库应用程序的维护工作量,但是由于不同的逻辑结构可能对应于相同的物理结构,给访问控制带来新的问题,应对访问规则进行一致性检查。分布式数据库管理系统中,全局应用的访问控制应在全局DBMS层实现,局部应用的访问控e)
制应在局部DBMS层实现,并根据需要各自选择不同的访问控制策略。4.4客体重用
数据库管理系统大量使用的动态资源,多由操作系统分配。实现客体安全重用的操作系统和数据库管理系统应满足以下要求:
a)数据库管理系统提出资源分配要求,如创建新库,数据库设备初始化等,所得到的资源不应包含该客体以前的任何信息内容。3
GA/T389--2002
数据库管理系统提出资源索回要求,应确保这些资源中的全部信息被清除,b)
数据库管理系统要求创建新的数据库用户进程,应确保分配给每个进程的资源不包含残留c)
信息。
d)数据库管理系统应确保已经被删除或被释放的信息不再是可用的。4.5数据库安全审计
数据库管理系统的安全审计应:a)
建立独立的安全审计系统。
定义与数据库安全相关的审计事件。c)
设置专门的安全审计员。
设置专门用于存储数据库系统审计数据的安全审计库。d)
提供适用于数据库系统的安全审计设置、分析和查阅的工具。e)
4.6数据完整性
4.6.1实体完整性和参照完整性
a)数据库管理系统应确保数据库中的数据具有实体完整性和参照完整性。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。b)用户定义基本表时,应说明主键、外键,被引用表、列和引用行为。当数据录人、更新、删除时,由数据库管理系统应根据说明自动维护实体完整性和参照完整性。4.6.2用户定义完整性
数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性a)
规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,从而不仅可以简化应用程序,还提高了完整性保证的可靠性。数据库管理系统应支持为约束或断言命名(或提供默认名称),定义检查时间、延迟模式或设b)
置默认检查时间和延迟模式,支持约束和断言的撤消。4.6.3数据操作的完整性
数据操作的完整性约束为:
用户定义基本表时应定义主键和外键。a)
对于候选键,应由用户指明其唯性。b)
对于外键,用户应指明被引用关系和引用行为。c)
应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求,不允许提交任d)
何违反完整性的事务。
删除或更新某元组时,数据库管理系统应检查该元组是否含有外键,若有,应根据用户预定义e)
的引用行为进行删除。
4.7隐蔽信道分析
数据库管理系统的隐蔽信道分析与数据库管理系统的设计密切相关,应在系统开发过程中进行。系统开发者应搜索隐蔽信道,并根据实际测量或工程计算确定每一个被标识的隐蔽信道的最大带宽。4.8可信路径
在数据库用户进行注册或进行其他安全性操作时,应提供TCB与用户之间的可信通信通路,实现用户与TSF间的安全数据交换。
4.9数据库可信恢复
数据库管理系统中的可信恢复具有特定含义,主要应包括:a)确保TSF能在确定不减弱保护的情况下启动安全数据库系统的DBMS。b)运行中发生故障或异常情况时,能够在尽量短的时间内恢复到正确、一致、有效的状态,这个状态对于系统运行是正常、安全的状态,并且对于应用来说是一个真实、有意义的状态。4.
GA/T 389-—2002
c)与可信恢复相关的数据库技术有事务管理、日志、检查点、备份、分布式数据库特殊处理等。4.10推理控制
应采用推理控制的方法防止数据库中的数据信息被非授权地获取。运用推理方法获取权限以外的数据库信息,是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中,应考虑对这种攻击的防御。下载标准就来标准下载网
5安全等级划分技术要求
按GB17859--1999对各个级别的不同要求,本部分主要从十个安全要素以及与数据库管理系统安全关系较为密切的推理控制,对安全功能的技术要求和安全保证技术要求作详细描述。表2给出了按GB17859一1999所描述的每一个安全等级对十个安全要素及安全推理的不同要求。
表2每个安全级的安全功能要求
安全等级
安全要素
自主访问控制
强制访问控制
身份鉴别
客体重用
数据完整性
隐蔽信道分析
可信路径
可信恢复
推理控制
用户自主保护级
注1:+—表示有要求。
注2:十十—表示有进步要求。
系统审计保护级
注3:+++—表示有更进一步要求。注4:++++表示有更高要求。
安全标记保护级
结构化保护级
访问验证保护级
下面对每一安全级的具体技术要求分别进行描述。其中“加粗宋体”表示所描述的内容在该级中第一次出现。
5.1第一级:用户自主保护级
5.1.1安全功能
5.1.1.1.身份鉴别
身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述,按GA/T390-2002中6.1.3.1身份鉴别的要求,设计数据库管理系统的身份鉴别功能。本安全等级要求:用户标识应根据4.1.1的描述,按照GA/T390-—2002中6.1.3.1.1的要求设计。a)
用户鉴别应根据4.1.2的描述,按照GA/T390一2002中6.1.3.1.2的要求设计。凡需进人数据库管理系统的用户,应先进行标识(建立账号)。数据库管理系统用户标识应使用用户名和用户标识(UID)。采用口令进行身份鉴别,并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的,并5
GA/T389-2002
在存储时有安全保护。
5.1.1.2自主访问控制
应根据4.2中访问操作、访问规则和授权传播的描述,按GA/T390-2002中6.1.3.2的要求,设计数据库管理系统的自主访问控制功能。本安全等级要求:允许命名用户以用户和/或用户组的身份规定并控制对客体的共享,并阻止非授权用户对客体的共享。
5.1.1.3数据完整性
应根据4.6的描述,按GA/T390--2002中6.1.3.3的要求,设计数据库管理系统的数据完整性功能。本安全等级要求:
a)对数据库管理系统内部进行的数据传输,如进程间的通信,应提供保证数据完整性的功能。b)对数据库管理系统中处理的数据,应根据4.6.1、4.6.2、4.6.3的描述,按GA/T390-2002中6.1.3.3的要求实现实体完整性、参照完整性和用户定义完整性,按回退的要求设计相应的TCB安全功能模块,进行异常情况的事务回退,以确保数据的完整性。5.1.2TCB自身安全保护
5.1.2.1TSF保护
应按GA/T390一2002中6.1.4.1的要求,设计数据库管理系统的TSF保护。本安全等级中,数据库管理系统TSF保护的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的入口和文档中未说明的任何模式的入口。安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修b)
改其代码或数据结构。
c)数据库管理系统应进行分层设计,对数据库管理系统程序和用户程序要进行隔离。d)应提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性应进行定义。5.1.2.2资源利用
应按照GA/T390-2002中6.1.4.2的要求,设计数据库管理系统的资源利用。在本安全级中,资源利用设计的具体要求为:
a)通过一定措施确保当系统出现某些确定的故障时,TSF也能维持正常运行。b)采取适当的策略,按有限服务优先级提供主体使用TSC内某个资源子集的优先级,进行TCB资源的管理和分配。
c)按资源分配中最大限额的要求,进行TCB资源的管理和分配,确保用户和主体不会独占某种受控资源。
5.1.2.3TCB访问控制
应按GA/T390一2002中6.1.4.3的要求,设计数据库管理系统的TCB访问控制。本安全等级要求:
a)按可选属性范围限定最小级的要求,选择某种会话安全属性的所有失败的尝试,对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求,进行会话管理的设计。在基于基本标识的基础上,TSF应限制系统的并发会话的最大数量,并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制,对会话建立的管理进行设计。5.1.3TCB设计和实现
5.1.3.1配置管理
应按照GA/T3902002中6.1.5.1的要求,设计数据库管理系统TCB的配置管理。本安全级的6
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。