GB∕T 20009-2019 信
标准分类号
关联标准
出版信息
相关单位信息
标准简介
标准号:GB∕T 20009-2019
标准名称:信息安全技术 数据库管理系统安全评估准则
英文名称:Information security technology-security evaluation criteria for database management system
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:3.4M
标准介绍:本标准依据GB/T20273-2019规定了数据库管理系统安全评估总则、评估内容和评估方法。
本标准适用于数据库管理系统的测试和评估,也可用于指导数据库管理系统的研发。
注:本标准规定的EAL2级、EAL3级、EALA级的评估内容和评估方法既适用于基于GB/T18336-2015所有部分的数据库管理系统安全性测评,同样适用于基于GB17859—199的数据库第二级系统审计保护级、第三级安标记保护级、第四级结构化保护级的数据库管理系统安全性测评,相关对应关系参见附录A中A.1
本标准按照GB/T1.1-2009给出的规则起草。
本标准代替GB/T20009—2005《信息安全技术数据库管理系统安全评估准则》。与GB/T20009—2005相比,除编辑性修改外主要技术变化如下:
修改了第3章术语和定义及缩略语(见3.1和32,2005年版第3章);多改了第4章“安全环境”,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求
评估环境和评估流程(见第4章,2005年版第4章);
參改了第5章评估内容,按照GB/T30270—2013定义了GBT20273-2019中的安全功能组件和安全保障组件评估内容(见第5章,2005年版第5章);
删除了附录A“数据库管理系统面临的威胁和对策”(见2005年版附录A);
按照评估保障级概念列出了EAL2、EA.3和EAIA组件列表及评估准则。
标准名称:信息安全技术 数据库管理系统安全评估准则
英文名称:Information security technology-security evaluation criteria for database management system
标准格式:PDF
发布时间:2019-08-30
实施时间:2020-03-01
标准大小:3.4M
标准介绍:本标准依据GB/T20273-2019规定了数据库管理系统安全评估总则、评估内容和评估方法。
本标准适用于数据库管理系统的测试和评估,也可用于指导数据库管理系统的研发。
注:本标准规定的EAL2级、EAL3级、EALA级的评估内容和评估方法既适用于基于GB/T18336-2015所有部分的数据库管理系统安全性测评,同样适用于基于GB17859—199的数据库第二级系统审计保护级、第三级安标记保护级、第四级结构化保护级的数据库管理系统安全性测评,相关对应关系参见附录A中A.1
本标准按照GB/T1.1-2009给出的规则起草。
本标准代替GB/T20009—2005《信息安全技术数据库管理系统安全评估准则》。与GB/T20009—2005相比,除编辑性修改外主要技术变化如下:
修改了第3章术语和定义及缩略语(见3.1和32,2005年版第3章);多改了第4章“安全环境”,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求
评估环境和评估流程(见第4章,2005年版第4章);
參改了第5章评估内容,按照GB/T30270—2013定义了GBT20273-2019中的安全功能组件和安全保障组件评估内容(见第5章,2005年版第5章);
删除了附录A“数据库管理系统面临的威胁和对策”(见2005年版附录A);
按照评估保障级概念列出了EAL2、EA.3和EAIA组件列表及评估准则。
标准图片预览
标准内容
ICS35.040
iiiAa~cJouakAa-
中华人民共和国国家标准
GB/T20009—2019
代替GB/T20009—2005
信息安全技术
数据库管理系统安全评估准则
Informationsecuritytechnology-Security evaluation criteria for database management system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
iiiKAa~cJouaKAa-
规范性引用文件
术语和定义、缩略语
术语和定义
缩略语
评估总则
评估要求
评估环境
评估流程
5评估内容
安全功能评估
安全保障评估
评估方法
附录A(资料性附录)
标准修订说明
GB/T20009—2019
iiiKAacJouaKAa=
本标准按照GB/T1.1一2009给出的规则起草。GB/T20009—2019
本标准代替GB/T200092005《信息安全技术数据库管理系统安全评估准则》。与GB/T20009一2005相比,除编辑性修改外主要技术变化如下:修改了第3章术语和定义及缩略语(见3.1和3.2,2005年版第3章):修改了第4章“安全环境”,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求、评估环境和评估流程(见第4章,2005年版第4章);修改了第5章评估内容,按照GB/T30270—2013定义了GB/T20273—2019中的安全功能组件和安全保障组件评估内容(见第5章,2005年版第5章);删除了附录A\数据库管理系统面临的威胁和对策”(见2005年版附录A);按照评估保障级概念列出了EAL2、EAL3和EAL4组件列表及评估准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。本标准所代替标准的历次版本发布情况为:GB/T200092005。
1范围
iiiKAa~cJouaKAa=
信息安全技术
数据库管理系统安全评估准则
GB/T20009—2019
本标准依据GB/T20273一2019规定了数据库管理系统安全评估总则评估内容和评估方法本标准适用于数据库管理系统的测试和评估,也可用于指导数据库管理系统的研发。注:本标准规定的EAL2级、EAL3级、EAL4级的评估内容和评估方法既适用于基于GB/T18336一2015所有部分的数据库管理系统安全性测评.同样适用于基于GB17859一1999的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库管理系统安全性测评,相关对应关系参见附录A中A.1。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T18336.1~18336.3—2015信息技术安全技术信息技术安全评估准则GB/T20273—2019信息安全技术数据库管理系统安全技术要求信息安全技术术语
GB/T25069—2010
GB/T30270一2013信息技术安全技术信息技术安全性评估方法术语和定义、缩略语
术语和定义
GB/T250692010、GB/T302702013和GB/T20273一2019界定的术语和定义适用于本文件3.2缩略语
下列缩略语适用于本文件。
CC:通用准则(CommonCriteria)CEM:通用准则评估方法(CommonCriteriaEvaluationMethodology)CM:配置管理(ConfigurationManagement)DBMS:数据库管理系统(DataBaseManagementSystem)EAL:评估保障级(EvaluationAssuranceLevel)ETR:评估技术报告(EvaluationTechnicalReport)LBAC:基于标签的访问控制(LabelBasedAccessControl)OR:观察报告(ObservationReport)PP:保护轮廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SQL:结构化查询语言(StructuredQueryLanguage)ST:安全目标(SecurityTarget)TOE:评估对象(TargetOfEvaluation)n
GB/T20009—2019wwW.bzxz.Net
iiiKAa~cJouaKAa=
TSC:TSF控制范围(TSFScopeofControl)TSF:TOE安全功能(TOESecurityFunctionality)TSFI:TSF接(TSFInterface)
TSP:TOE安全策略(TOESecurityPolicy)TSS:TOE概要规范(TOESummarySpecification)4评估总则
4.1概述
本标准依据GB/T30270一2013给出了GB/T20273一2019定义的数据库管理系统(DBMS)评估对象(TOE)安全功能组件和安全保障组件的评估内容和评估方法4.2评估要求
在对数据库管理系统进行安全评估时,首先依照GB/T30270一2013的安全目标评估方法完成对DBMSST的评估,在此基础上对DBMS的安全功能和安全保障进行评估:a)安全功能评估目标是保证GB/T20273一2019定义的安全功能组件设计与实现的完整性和正确性,一般通过对DBMS发起者提供的评估证据分析和TOE安全功能(TSF)独立性测试,确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据(如分析、设计与测试文档)和TOE安全策略(TSP),由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析,并按照评估保障级的不同对DBMS安全功能组件进行抽样测试,或评估者自已设计相应的测试用例,独立地完成DBMS安全功能组件的功能测试,验证TSF的实现符合数据库管理系统概要规范b)安全保障评估目标是发现DBMS在设计与实现中的缺陷或脆弱性,以便在评估过程中要求开发者纠正评估对象相应的错误,从而减少DBMS在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下,测试DBMS是否能抵御各种安全攻击,以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通信协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料,通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。4.3评估环境
在不同的网络环境和服务器环境支持下,通用数据库产品提供多种安全策略和安全控制机制的解决方案,以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为3类:非集群数据库服务测试环境和集群数据库服务测试环境,集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。
应根据GB/T30270一2013安全评估基本原则、过程和规程的体系选择某个测试环境,对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务:
a)评估证据输入评估:评估发起者应向安全评估机构提供DBMS安全评估所有必需的评估材料:评估发起者应按照GB/T30270一2013准备或开发TOE相关的评估证据,评估者应对这些输人要求进行评估。
b)评估结果输出评估:安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术2
iiiKAacJouaKAa=
GB/T20009—2019
报告应满足评估结果的可重复性和可再现性原则,并应保持各种报告信息类型和数量的致性。
4.4评估流程
根据GB/T30270一2013的安全评估过程包括评估准备评估实施、评估结果等阶段,具体如下a)评估准备阶段:评估发起者应按照GB/T302702013给评估者提供安全目标,评估者分析其可行性。评估者可能会需要发起者提供其他评估相关的辅助信息。评估发起者或者ST开发者会给评估者提供一部分待评估物。评估者审查安全目标,然后告知发起者对某些内容进行必要的补充完善,以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了,则评估过程进入下一阶段,b):评估实施阶段:评估者生成包括待评估产品列表,评估活动,以及基于GB/T30270—2013评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议,该协议包含评估的基本框架,同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后,评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有1)评估者检查发起者或者开发者应交付的评估物,然后按照GB/T30270一2013进行必要的评估活动,
2)在评估阶段,评估者可能会撰写观察报告。该报告里,评估者会向监管者(评审机构)询问如何满足其监管的要求。
监管者对评估者的解释请求进行回应,然后允许进行下一步评估。3)1
监管者同样可能确认和指出一些潜在的缺陷或者威胁,然后要求发起者或者开发者提供4)1
额外的信息资料。
c)评估最终结果阶段:评估者根据文档审核、测试情况、现场检查结果,对TOE进行综合评判,并撰写评估技术报告。
5评估内容
5.1安全功能评估
5.1.1概述
在安全功能组件评估内容描述中,方括号]中的黑体字内容表示已经完成的操作,黑斜体字内容表示还需在安全目标中由ST作者确定赋值及选择项5.1.2安全审计(FAU类)
5.1.2.1审计数据产生(FAU_GEN.1)审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估内容如下:a)应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录:数据库审计功能的启动和关闭;1
数据库实例及其组件服务的启动和关闭;3)
数据库实例配置参数非缺省值修改事件;数据库对象结构修改事件;
5)GB/T20273—2019列出的数据库审计级别【最小】的可审计事件:6)
其他面向数据库安全审计员的,可绕过访问控制策略的特殊定义【赋值:ST作者定义的审GB/T20009—2019
iiiKAa~cJouaKAa=
计事件的可审计事件;
7)未指定审计级别【赋值:数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。
b)应检查审计记录中至少包含如下信息:1)事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果(成功或失败);2)应根据评估对象【赋值:ST作者指定的审计事件】和规定的格式【赋值:数据类型与格式】来生成审计数据;
3)对于每个审计事件类型,基于GB/T202732019中包括的安全功能组件的可审计事件定义。
c)应检查数据库管理系统的审计数据产生策略配置管理API或工具,确认审计数据产生机制与功能有效性。
5.1.2.2用户身份关联(FAU_GEN.2)用户身份关联组件应将审计事件与主体身份相联系,满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估内容如下:a)审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息:b)审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值:ST作者指定的用户身份鉴别方式1相关联的数据库会话信息;c
应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理API/工具,确认能看到用户身份关联信息。5.1.2.3审计查阅(FAU_SAR.1)审计查阅组件为授权管理员提供获得和解释审计数据的能力。该组件安全评估内容如下:a)应测试能否从审计记录中阅读和获取下面所列出的审计信息:1)用户身份标识;
2)审计事件类型;
3)数据库对象标识;
4)评估对象指定的【赋值:ST作者指定的审计事件】应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面(如图形界b)
面);
应测试当授权用户是外部IT实体时,审计数据应以规范化电子方式无歧义地表示;c
d)应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.4限制审计查阅(FAU_SAR.2)限制审计查阅组件只充许授权管理员查阅部分审计数据。该组件安全评估内容如下:应测试是否能依据【选择:主体标识、主机标识、客体标识、【赋值:ST作者指定审计条件】】查阅a)
审计信息;
应测试是否能依据【选择:成功可审计安全事件、失败可审计安全事件、【赋值:ST作者指定其他选择条件查阅审计信息;
C)应测试是否能依据【选择:数据库系统权限、数据库对象权限、【赋值:ST作者指定权限级别】】查阅审计信息;
d)应测试管理审计数据授权控制机制和审计数据授权管理员(安全管理员)控制授权管理员访问4
iiiKAa~cJouaKAa=
审计数据的【赋值:ST作者指定角色/系统权限】GB/T20009—2019
e)应测试是否充许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口:
应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.5可选审计查阅(FAU_SAR.3)可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评估内容如下:
a)应测试是否能依据审计数据字段中值的搜索与分类条件对审计记录进行搜索,筛选授权管理员关心的审计数据;
应测试是否能对返回审计数据进行排序和汇总统计;应测试是否允许授权管理员使用【选择:SQL语句、【赋值:ST作者指定方式刀搜索审计数据和c
对审计数据排序;
应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具:e
应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.6选择性审计(FAU_SEL.1)选择性审计组件定义了向可审计事件集中加人或从中排除事件的能力。该组件安全评估内容如下:
a)应测试是否能根据【选择:客体身份、用户身份、组身份、主体身份、主机身份、【赋值:ST作者指定主体属性力从审计事件集中选择可审计事件;b)应测试是否能根据【选择:数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值:ST作者指定用户操作权限级别刀从审计事件集中选择可审计事件;
应测试是否能根据【选择:成功、失败、二者可审计安全事件选项、【赋值:ST作者指定条件】从审计事件集中选择可审计事件;d)应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。5.1.2.7审计数据可用性保证(FAUSTG.2)审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时,TSF还能维护产生的审计数据。该组件安全评估内容如下:a)应测试是否能提供数据库系统表或外部文件方式保存审计事件数据,维护审计数据授权控制和审计数据存储管理的能力;
应测试维护控制审计事件数据存储能力参数有效性:应测试保护所存储的审计记录,只充许安全管理员或授权管理员访问审计记录的访问机制;c
应测试TSF能【选择:防止、检测】对审计迹中所存审计记录的未授权修改;d)
应测试提供的审计数据备份、导出等管理接口/辅助工具,并且只有安全管理员或授权管理员才能操作这些辅助功能;
应测试审计事件具备数据加解密存储保护能力:应测试在TSF【选择:审计存储耗尽、失效、受攻击】时,确保【赋值:保存审计记录的度量】审计g)
记录将维持有效。
5.1.2.8防止审计数据丢失(FAU_STG.4)防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空5
GB/T20009—2019
iiiKAacJouaKAa=
间溢满时所采取的动作。该组件安全评估内容如下a)应测试审计数据选择:多路复用、【赋值:ST作者指定备份方式刀功能:并验证审计数据存储位置指定等管理能力;
b)应测试审计数据归档功能,包括远程归档功能;应检测审计数据存储可用空间查看视图/工具功能;c
应检查是否提供了判断审计记录数据是否已满,并提供忽略可审计事件、阻止可审计事件、覆d)
盖所存储的最早的审计记录或【赋值:审计存储失效时所采取的其他动作】等处理机制。5.1.3密码支持(FCS类
5.1.3.1密钥生成(FCS_CKM.1)若密钥由外部环境生成,则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥;否则评估对象提供的用户密钥和数据密钥产生。该组件安全评估内容如下:a)应测试存储用户密钥装置或密钥管理服务器操作接口,确认数据库密钥存储位置是安全且有据可查的,包括提供与其数据本身具有同类型的密钥备份和恢复机制。b)应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放管理接口与管理工具应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】的特定密钥生成算法【赋c)
值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。d)应测试密钥生成提供下列密钥管理功能:1)应提供密钥属性配置管理,密钥属性的例子包括用户密钥类型【选择:公开密钥、私有密钥、秘密密钥【赋值:ST作者指定密钥类型】、有效期和使用用途【选择:数字签名、密钥加密、密钥协商、数据加密、【赋值:ST作者指定用途】应提供密钥的存储及其使用接口,允许评估对象与外界连接的数据库应用程序接口与加2)
密设备进行交互。
e)应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数5.1.3.2密钥销毁(FCS_CKM.4)密钥销毁组件提供符合国家规定的密码管理算法的密钥销毁功能。该组件安全评估内容如下:a)应测试是否能根据评估对象【赋值:ST作者指定的密码管理算法】的密钥销毁方法【赋值:ST作者指定的密钥销毁方法】来销毁密钥:b)应检测数据库用户密钥、数据密钥等数据库密钥存放管理接口与管理工具;c
应检查密码销毁方法是否符合国家主管部门认可的相关标准。5.1.3.3密码运算(FCS_COP.1)密码运算组件提供根据一个特定的算法和一个规定长度的密钥来进行密码运算功能。该组件安全评估内容如下
a)应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】在评估对象上使用特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】执行【赋值:密码运算列表】,以验证数据库管理系统密码运算的有效性。b)应测试评估对象【赋值:ST作者指定的加密算法】提供数据库透明加密功能。应测试是否能依据评估对象使用密码安全服务的用户应用、不同密码算法或密钥长度的使用策略及其机制、所运算数据的类型或敏感度密码服务等数据库管理系统安全服务测试密码运算的可用性。
iiiKAa~cJouaKAa=
d)应验证密码运算事件是否被审计:GB/T20009—2019
1)密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成;主体属性包括同主体有关的主体角色和用户:2)
3)客体属性包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期。e)应检查评估对象的密码算法的具体赋值是否符合国家主管部门认可的相关标准及参数5.1.4用户数据保护(FDP类)
5.1.4.1子集访问控制(FDP_ACC.1)子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。该组件安全评估内容如下:
a)应测试依据授权用户/授权管理员在数据库对象【选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间/文件组、参数文件、【赋值:ST作者指定的数据库对象】】上授予的【选择:查询、插入、更新、删除、【赋值:ST作者指定的客体操作列表刀执行相关的选择:GRANT、REVOKE或【赋值:ST作者指定的授权接口I授权管理b)
应测试依据级联授权方法管理【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略刀限制授权用户/授权管理员访问权限扩散的控制能力。
c)应测试依据评估对象的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】在【选择:数据库级、实例级、【赋值:ST作者定义的级别刀执行【选择:创建、修改、删除,【赋值:ST作者指定的客体操作列表】刀执行相关的【赋值:GRANT、REVOKE或【赋值:ST作者指定的授权接口】】成功的执行授权管理。d)
应测试依据【选择:默认方式、【赋值:ST作者指定方式刀.阻止未授权用户/未授权管理员对数据库对象选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间、参数文件、【赋值:ST作者指定的数据库对象的访问操作。e)应测试是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的方式】浏览成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置参数。
f)应测试基于安全目标中的附加规则【选择:【赋值:安全属性,明确授权用户/授权管理员访问客体的规则】,“无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证数据库客体对象访问控制机制的正确性。g)
应测试基于安全目标中的【选择:【赋值:安全属性,明确拒绝主体访问客体的规则】,“无附加的显式拒绝规则”,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证TSF拒绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性,5.1.4.2基于安全属性的访问控制(FDP_ACF.1)基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或拒绝某个鉴别用户对指定数据库对象的访问。该组件安全评估内容如下:a)应测试基于【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略力对数据库对象的相关操作执行访问控制,具体应包括:1)与一个授权用户/授权管理员相关的授权用户身份和/或角色/组成员关系;2)数据库对象(模式对象和非模式对象)可实施的访问操作和/或角色/组权限:7
GB/T20009—2019
iiiKAacJouaKAa=
3)对数据库对象执行【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略刀,阻止未授权用户/管理员对数据库对象访间(模式对象和非模式对象)。b)应执行【赋值:在授权用户/授权管理员和数据库对象之间,通过对数据库对象采取受控操作来管理访问的规则】.以决定DBMS授权用户/授权管理员与数据库对象之间的操作是否被允许。这些规则包括:
如果授权用户是访问数据库对象的所有者,则允许用户的访问请求;1)
如果访问控制策略机制允许授权用户对数据库对象的访问,则允许用户的访问请求;如果授权用户作为一个用户组或角色(直接角色或间接角色)的成员执行请求的访问模3)
式,则允许用户的访问请求;
如果PUBLIC能访问受控的数据库对象,则允许用户的访问请求;4)
5)否则拒绝用户的访问请求。
C)应测试DBMS是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的安全元数据访问方法】力浏览成功授权的所有数据库对象操作列表和授权用户定义的选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、赋值:ST作者定义的基于属性的访问控制策略】安全元数据。
5.1.4.3子集信息流控制(FDP_IFC.1)子集信息流控制组件要求每个确定的基于标签访问控制(LBAC)安全策略适用于数据库管理系统内某些数据库对象上允许执行的访问请求。该组件安全评估内容如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】的访间规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对标签受控的数据库对象的访问。b)应测试子集信息流控制是否配合评估对象提供的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问数据对象。
应测试基于安全自标中的附加规则【选择:【赋值:基于安全属性,明确拒绝信息流的规则】c
“无附加规则”,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制对数据库客体对象访问控制的正确性。d)应测试基于安全目标中的【选择:【赋值:基于安全属性,明确拒绝信息流的规则】,“无附加的显式拒绝规则”】.分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制拒绝授权用户访问受控数据库对象的正确性。5.1.4.4分级安全属性(FDP_IFF.2)分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格,以供基于标签的访问控制数据安全策略使用。该组件安全评估内容如下:a)应测试是否能具有【选择:安全分级、安全范围、安全分组、【赋值:ST作者指定数据库对象安全属性元素及基于这些元素的标签定义,包括标签与被保护数据库对象和授权用户/授权管理员的绑定关系定义接口或辅助工具。8
iiiKAacJouaKAa=
GB/T20009—2019
b)应测试是否能通过授权用户/授权管理员绑定标签和数据库对象(数据库数据表的行、列或属性值)绑定标签之间的信息流交换,如果满足以下基于安全属性之间的序关系的规则:1)为了读取LBAC保护的数据库数据表的行、列或属性值:·用户安全性标签的安全分级应大于或等于数据库数据表的行、列和属性值安全性标签的安全分级:
·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。2)为了写LBAC保护的数据库数据表行、列或属性值:用户安全性标签的安全分级应小于或等于数据库数据表的行、列和属性值安全性标·
签的安全分级;
·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。3)每一种情况中,在数据库对象操作的基于安全属性的访问控制策略的规则都应被满足】。c)应测试只有授权管理员【选择:安全管理员,【赋值:ST规定的管理角色】能够改变用户的安全性标签,具有适当权限的授权用户/授权管理员能改变受LBAC保护的数据表的行、列和属性值的安全性标签属性。
d)应测试拥有特权的安全管理员(豁免的用户)能够忽略对【选择:读元组、读元组集合、读树、写元组、写元组集合、写树的检查、【赋值:ST作者指定数据库对象标签类型】】,明确地给数据库对象授权一个信息流。
e)应测试基于规则【赋值:基于安全属性,明确拒绝信息流的规则】明确的拒绝一个数据库对象的信息流。
f)应测试对任意两个信息流控制安全属性强制下列关系:1)存在一个有序函数,对于给定的两个有效的安全属性,函数能够判定它们是否相等·是否其中二个大于另一个,还是两者不可比较;2)在安全属性集合中存在一个“最小上界”,对于给定的两个有效的安全属性,存在一个有效的安全属性大于或等于这两个安全属性:3)
在安全属性集合中存在一个“最天下界”,对于给定的两个有效的安全属性,存在一个有效的安全属性不大于这两个属性。5.1.4.5带有安全属性的用户数据输出(FDP_ETC.2)带有安全属性的用户数据输出组件要求TSF利用一个功能执行合适的SFP,该功能准确无误地将TOE安全属性与所输出的用户数据相关联。该组件安全评估内容如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对带有安全属性的用户数据的访问;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。
iiiAa~cJouakAa-
中华人民共和国国家标准
GB/T20009—2019
代替GB/T20009—2005
信息安全技术
数据库管理系统安全评估准则
Informationsecuritytechnology-Security evaluation criteria for database management system2019-08-30发布
国家市场监督管理总局
中国国家标准化管理委员会
2020-03-01实施
iiiKAa~cJouaKAa-
规范性引用文件
术语和定义、缩略语
术语和定义
缩略语
评估总则
评估要求
评估环境
评估流程
5评估内容
安全功能评估
安全保障评估
评估方法
附录A(资料性附录)
标准修订说明
GB/T20009—2019
iiiKAacJouaKAa=
本标准按照GB/T1.1一2009给出的规则起草。GB/T20009—2019
本标准代替GB/T200092005《信息安全技术数据库管理系统安全评估准则》。与GB/T20009一2005相比,除编辑性修改外主要技术变化如下:修改了第3章术语和定义及缩略语(见3.1和3.2,2005年版第3章):修改了第4章“安全环境”,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求、评估环境和评估流程(见第4章,2005年版第4章);修改了第5章评估内容,按照GB/T30270—2013定义了GB/T20273—2019中的安全功能组件和安全保障组件评估内容(见第5章,2005年版第5章);删除了附录A\数据库管理系统面临的威胁和对策”(见2005年版附录A);按照评估保障级概念列出了EAL2、EAL3和EAL4组件列表及评估准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。本标准所代替标准的历次版本发布情况为:GB/T200092005。
1范围
iiiKAa~cJouaKAa=
信息安全技术
数据库管理系统安全评估准则
GB/T20009—2019
本标准依据GB/T20273一2019规定了数据库管理系统安全评估总则评估内容和评估方法本标准适用于数据库管理系统的测试和评估,也可用于指导数据库管理系统的研发。注:本标准规定的EAL2级、EAL3级、EAL4级的评估内容和评估方法既适用于基于GB/T18336一2015所有部分的数据库管理系统安全性测评.同样适用于基于GB17859一1999的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库管理系统安全性测评,相关对应关系参见附录A中A.1。2规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T18336.1~18336.3—2015信息技术安全技术信息技术安全评估准则GB/T20273—2019信息安全技术数据库管理系统安全技术要求信息安全技术术语
GB/T25069—2010
GB/T30270一2013信息技术安全技术信息技术安全性评估方法术语和定义、缩略语
术语和定义
GB/T250692010、GB/T302702013和GB/T20273一2019界定的术语和定义适用于本文件3.2缩略语
下列缩略语适用于本文件。
CC:通用准则(CommonCriteria)CEM:通用准则评估方法(CommonCriteriaEvaluationMethodology)CM:配置管理(ConfigurationManagement)DBMS:数据库管理系统(DataBaseManagementSystem)EAL:评估保障级(EvaluationAssuranceLevel)ETR:评估技术报告(EvaluationTechnicalReport)LBAC:基于标签的访问控制(LabelBasedAccessControl)OR:观察报告(ObservationReport)PP:保护轮廓(ProtectionProfile)SFP:安全功能策略(SecurityFunctionPolicy)SQL:结构化查询语言(StructuredQueryLanguage)ST:安全目标(SecurityTarget)TOE:评估对象(TargetOfEvaluation)n
GB/T20009—2019wwW.bzxz.Net
iiiKAa~cJouaKAa=
TSC:TSF控制范围(TSFScopeofControl)TSF:TOE安全功能(TOESecurityFunctionality)TSFI:TSF接(TSFInterface)
TSP:TOE安全策略(TOESecurityPolicy)TSS:TOE概要规范(TOESummarySpecification)4评估总则
4.1概述
本标准依据GB/T30270一2013给出了GB/T20273一2019定义的数据库管理系统(DBMS)评估对象(TOE)安全功能组件和安全保障组件的评估内容和评估方法4.2评估要求
在对数据库管理系统进行安全评估时,首先依照GB/T30270一2013的安全目标评估方法完成对DBMSST的评估,在此基础上对DBMS的安全功能和安全保障进行评估:a)安全功能评估目标是保证GB/T20273一2019定义的安全功能组件设计与实现的完整性和正确性,一般通过对DBMS发起者提供的评估证据分析和TOE安全功能(TSF)独立性测试,确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据(如分析、设计与测试文档)和TOE安全策略(TSP),由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析,并按照评估保障级的不同对DBMS安全功能组件进行抽样测试,或评估者自已设计相应的测试用例,独立地完成DBMS安全功能组件的功能测试,验证TSF的实现符合数据库管理系统概要规范b)安全保障评估目标是发现DBMS在设计与实现中的缺陷或脆弱性,以便在评估过程中要求开发者纠正评估对象相应的错误,从而减少DBMS在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下,测试DBMS是否能抵御各种安全攻击,以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通信协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料,通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。4.3评估环境
在不同的网络环境和服务器环境支持下,通用数据库产品提供多种安全策略和安全控制机制的解决方案,以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为3类:非集群数据库服务测试环境和集群数据库服务测试环境,集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。
应根据GB/T30270一2013安全评估基本原则、过程和规程的体系选择某个测试环境,对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务:
a)评估证据输入评估:评估发起者应向安全评估机构提供DBMS安全评估所有必需的评估材料:评估发起者应按照GB/T30270一2013准备或开发TOE相关的评估证据,评估者应对这些输人要求进行评估。
b)评估结果输出评估:安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术2
iiiKAacJouaKAa=
GB/T20009—2019
报告应满足评估结果的可重复性和可再现性原则,并应保持各种报告信息类型和数量的致性。
4.4评估流程
根据GB/T30270一2013的安全评估过程包括评估准备评估实施、评估结果等阶段,具体如下a)评估准备阶段:评估发起者应按照GB/T302702013给评估者提供安全目标,评估者分析其可行性。评估者可能会需要发起者提供其他评估相关的辅助信息。评估发起者或者ST开发者会给评估者提供一部分待评估物。评估者审查安全目标,然后告知发起者对某些内容进行必要的补充完善,以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了,则评估过程进入下一阶段,b):评估实施阶段:评估者生成包括待评估产品列表,评估活动,以及基于GB/T30270—2013评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议,该协议包含评估的基本框架,同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后,评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有1)评估者检查发起者或者开发者应交付的评估物,然后按照GB/T30270一2013进行必要的评估活动,
2)在评估阶段,评估者可能会撰写观察报告。该报告里,评估者会向监管者(评审机构)询问如何满足其监管的要求。
监管者对评估者的解释请求进行回应,然后允许进行下一步评估。3)1
监管者同样可能确认和指出一些潜在的缺陷或者威胁,然后要求发起者或者开发者提供4)1
额外的信息资料。
c)评估最终结果阶段:评估者根据文档审核、测试情况、现场检查结果,对TOE进行综合评判,并撰写评估技术报告。
5评估内容
5.1安全功能评估
5.1.1概述
在安全功能组件评估内容描述中,方括号]中的黑体字内容表示已经完成的操作,黑斜体字内容表示还需在安全目标中由ST作者确定赋值及选择项5.1.2安全审计(FAU类)
5.1.2.1审计数据产生(FAU_GEN.1)审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估内容如下:a)应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录:数据库审计功能的启动和关闭;1
数据库实例及其组件服务的启动和关闭;3)
数据库实例配置参数非缺省值修改事件;数据库对象结构修改事件;
5)GB/T20273—2019列出的数据库审计级别【最小】的可审计事件:6)
其他面向数据库安全审计员的,可绕过访问控制策略的特殊定义【赋值:ST作者定义的审GB/T20009—2019
iiiKAa~cJouaKAa=
计事件的可审计事件;
7)未指定审计级别【赋值:数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。
b)应检查审计记录中至少包含如下信息:1)事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果(成功或失败);2)应根据评估对象【赋值:ST作者指定的审计事件】和规定的格式【赋值:数据类型与格式】来生成审计数据;
3)对于每个审计事件类型,基于GB/T202732019中包括的安全功能组件的可审计事件定义。
c)应检查数据库管理系统的审计数据产生策略配置管理API或工具,确认审计数据产生机制与功能有效性。
5.1.2.2用户身份关联(FAU_GEN.2)用户身份关联组件应将审计事件与主体身份相联系,满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估内容如下:a)审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息:b)审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值:ST作者指定的用户身份鉴别方式1相关联的数据库会话信息;c
应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理API/工具,确认能看到用户身份关联信息。5.1.2.3审计查阅(FAU_SAR.1)审计查阅组件为授权管理员提供获得和解释审计数据的能力。该组件安全评估内容如下:a)应测试能否从审计记录中阅读和获取下面所列出的审计信息:1)用户身份标识;
2)审计事件类型;
3)数据库对象标识;
4)评估对象指定的【赋值:ST作者指定的审计事件】应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面(如图形界b)
面);
应测试当授权用户是外部IT实体时,审计数据应以规范化电子方式无歧义地表示;c
d)应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.4限制审计查阅(FAU_SAR.2)限制审计查阅组件只充许授权管理员查阅部分审计数据。该组件安全评估内容如下:应测试是否能依据【选择:主体标识、主机标识、客体标识、【赋值:ST作者指定审计条件】】查阅a)
审计信息;
应测试是否能依据【选择:成功可审计安全事件、失败可审计安全事件、【赋值:ST作者指定其他选择条件查阅审计信息;
C)应测试是否能依据【选择:数据库系统权限、数据库对象权限、【赋值:ST作者指定权限级别】】查阅审计信息;
d)应测试管理审计数据授权控制机制和审计数据授权管理员(安全管理员)控制授权管理员访问4
iiiKAa~cJouaKAa=
审计数据的【赋值:ST作者指定角色/系统权限】GB/T20009—2019
e)应测试是否充许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口:
应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.5可选审计查阅(FAU_SAR.3)可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评估内容如下:
a)应测试是否能依据审计数据字段中值的搜索与分类条件对审计记录进行搜索,筛选授权管理员关心的审计数据;
应测试是否能对返回审计数据进行排序和汇总统计;应测试是否允许授权管理员使用【选择:SQL语句、【赋值:ST作者指定方式刀搜索审计数据和c
对审计数据排序;
应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具:e
应测试是否禁止所有未授权用户对审计数据的访问。5.1.2.6选择性审计(FAU_SEL.1)选择性审计组件定义了向可审计事件集中加人或从中排除事件的能力。该组件安全评估内容如下:
a)应测试是否能根据【选择:客体身份、用户身份、组身份、主体身份、主机身份、【赋值:ST作者指定主体属性力从审计事件集中选择可审计事件;b)应测试是否能根据【选择:数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值:ST作者指定用户操作权限级别刀从审计事件集中选择可审计事件;
应测试是否能根据【选择:成功、失败、二者可审计安全事件选项、【赋值:ST作者指定条件】从审计事件集中选择可审计事件;d)应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。5.1.2.7审计数据可用性保证(FAUSTG.2)审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时,TSF还能维护产生的审计数据。该组件安全评估内容如下:a)应测试是否能提供数据库系统表或外部文件方式保存审计事件数据,维护审计数据授权控制和审计数据存储管理的能力;
应测试维护控制审计事件数据存储能力参数有效性:应测试保护所存储的审计记录,只充许安全管理员或授权管理员访问审计记录的访问机制;c
应测试TSF能【选择:防止、检测】对审计迹中所存审计记录的未授权修改;d)
应测试提供的审计数据备份、导出等管理接口/辅助工具,并且只有安全管理员或授权管理员才能操作这些辅助功能;
应测试审计事件具备数据加解密存储保护能力:应测试在TSF【选择:审计存储耗尽、失效、受攻击】时,确保【赋值:保存审计记录的度量】审计g)
记录将维持有效。
5.1.2.8防止审计数据丢失(FAU_STG.4)防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空5
GB/T20009—2019
iiiKAacJouaKAa=
间溢满时所采取的动作。该组件安全评估内容如下a)应测试审计数据选择:多路复用、【赋值:ST作者指定备份方式刀功能:并验证审计数据存储位置指定等管理能力;
b)应测试审计数据归档功能,包括远程归档功能;应检测审计数据存储可用空间查看视图/工具功能;c
应检查是否提供了判断审计记录数据是否已满,并提供忽略可审计事件、阻止可审计事件、覆d)
盖所存储的最早的审计记录或【赋值:审计存储失效时所采取的其他动作】等处理机制。5.1.3密码支持(FCS类
5.1.3.1密钥生成(FCS_CKM.1)若密钥由外部环境生成,则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥;否则评估对象提供的用户密钥和数据密钥产生。该组件安全评估内容如下:a)应测试存储用户密钥装置或密钥管理服务器操作接口,确认数据库密钥存储位置是安全且有据可查的,包括提供与其数据本身具有同类型的密钥备份和恢复机制。b)应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放管理接口与管理工具应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】的特定密钥生成算法【赋c)
值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。d)应测试密钥生成提供下列密钥管理功能:1)应提供密钥属性配置管理,密钥属性的例子包括用户密钥类型【选择:公开密钥、私有密钥、秘密密钥【赋值:ST作者指定密钥类型】、有效期和使用用途【选择:数字签名、密钥加密、密钥协商、数据加密、【赋值:ST作者指定用途】应提供密钥的存储及其使用接口,允许评估对象与外界连接的数据库应用程序接口与加2)
密设备进行交互。
e)应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数5.1.3.2密钥销毁(FCS_CKM.4)密钥销毁组件提供符合国家规定的密码管理算法的密钥销毁功能。该组件安全评估内容如下:a)应测试是否能根据评估对象【赋值:ST作者指定的密码管理算法】的密钥销毁方法【赋值:ST作者指定的密钥销毁方法】来销毁密钥:b)应检测数据库用户密钥、数据密钥等数据库密钥存放管理接口与管理工具;c
应检查密码销毁方法是否符合国家主管部门认可的相关标准。5.1.3.3密码运算(FCS_COP.1)密码运算组件提供根据一个特定的算法和一个规定长度的密钥来进行密码运算功能。该组件安全评估内容如下
a)应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】在评估对象上使用特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】执行【赋值:密码运算列表】,以验证数据库管理系统密码运算的有效性。b)应测试评估对象【赋值:ST作者指定的加密算法】提供数据库透明加密功能。应测试是否能依据评估对象使用密码安全服务的用户应用、不同密码算法或密钥长度的使用策略及其机制、所运算数据的类型或敏感度密码服务等数据库管理系统安全服务测试密码运算的可用性。
iiiKAa~cJouaKAa=
d)应验证密码运算事件是否被审计:GB/T20009—2019
1)密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成;主体属性包括同主体有关的主体角色和用户:2)
3)客体属性包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期。e)应检查评估对象的密码算法的具体赋值是否符合国家主管部门认可的相关标准及参数5.1.4用户数据保护(FDP类)
5.1.4.1子集访问控制(FDP_ACC.1)子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。该组件安全评估内容如下:
a)应测试依据授权用户/授权管理员在数据库对象【选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间/文件组、参数文件、【赋值:ST作者指定的数据库对象】】上授予的【选择:查询、插入、更新、删除、【赋值:ST作者指定的客体操作列表刀执行相关的选择:GRANT、REVOKE或【赋值:ST作者指定的授权接口I授权管理b)
应测试依据级联授权方法管理【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略刀限制授权用户/授权管理员访问权限扩散的控制能力。
c)应测试依据评估对象的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】在【选择:数据库级、实例级、【赋值:ST作者定义的级别刀执行【选择:创建、修改、删除,【赋值:ST作者指定的客体操作列表】刀执行相关的【赋值:GRANT、REVOKE或【赋值:ST作者指定的授权接口】】成功的执行授权管理。d)
应测试依据【选择:默认方式、【赋值:ST作者指定方式刀.阻止未授权用户/未授权管理员对数据库对象选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间、参数文件、【赋值:ST作者指定的数据库对象的访问操作。e)应测试是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的方式】浏览成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置参数。
f)应测试基于安全目标中的附加规则【选择:【赋值:安全属性,明确授权用户/授权管理员访问客体的规则】,“无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证数据库客体对象访问控制机制的正确性。g)
应测试基于安全目标中的【选择:【赋值:安全属性,明确拒绝主体访问客体的规则】,“无附加的显式拒绝规则”,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证TSF拒绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性,5.1.4.2基于安全属性的访问控制(FDP_ACF.1)基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或拒绝某个鉴别用户对指定数据库对象的访问。该组件安全评估内容如下:a)应测试基于【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略力对数据库对象的相关操作执行访问控制,具体应包括:1)与一个授权用户/授权管理员相关的授权用户身份和/或角色/组成员关系;2)数据库对象(模式对象和非模式对象)可实施的访问操作和/或角色/组权限:7
GB/T20009—2019
iiiKAacJouaKAa=
3)对数据库对象执行【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略刀,阻止未授权用户/管理员对数据库对象访间(模式对象和非模式对象)。b)应执行【赋值:在授权用户/授权管理员和数据库对象之间,通过对数据库对象采取受控操作来管理访问的规则】.以决定DBMS授权用户/授权管理员与数据库对象之间的操作是否被允许。这些规则包括:
如果授权用户是访问数据库对象的所有者,则允许用户的访问请求;1)
如果访问控制策略机制允许授权用户对数据库对象的访问,则允许用户的访问请求;如果授权用户作为一个用户组或角色(直接角色或间接角色)的成员执行请求的访问模3)
式,则允许用户的访问请求;
如果PUBLIC能访问受控的数据库对象,则允许用户的访问请求;4)
5)否则拒绝用户的访问请求。
C)应测试DBMS是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的安全元数据访问方法】力浏览成功授权的所有数据库对象操作列表和授权用户定义的选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、赋值:ST作者定义的基于属性的访问控制策略】安全元数据。
5.1.4.3子集信息流控制(FDP_IFC.1)子集信息流控制组件要求每个确定的基于标签访问控制(LBAC)安全策略适用于数据库管理系统内某些数据库对象上允许执行的访问请求。该组件安全评估内容如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】的访间规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对标签受控的数据库对象的访问。b)应测试子集信息流控制是否配合评估对象提供的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问数据对象。
应测试基于安全自标中的附加规则【选择:【赋值:基于安全属性,明确拒绝信息流的规则】c
“无附加规则”,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制对数据库客体对象访问控制的正确性。d)应测试基于安全目标中的【选择:【赋值:基于安全属性,明确拒绝信息流的规则】,“无附加的显式拒绝规则”】.分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制拒绝授权用户访问受控数据库对象的正确性。5.1.4.4分级安全属性(FDP_IFF.2)分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格,以供基于标签的访问控制数据安全策略使用。该组件安全评估内容如下:a)应测试是否能具有【选择:安全分级、安全范围、安全分组、【赋值:ST作者指定数据库对象安全属性元素及基于这些元素的标签定义,包括标签与被保护数据库对象和授权用户/授权管理员的绑定关系定义接口或辅助工具。8
iiiKAacJouaKAa=
GB/T20009—2019
b)应测试是否能通过授权用户/授权管理员绑定标签和数据库对象(数据库数据表的行、列或属性值)绑定标签之间的信息流交换,如果满足以下基于安全属性之间的序关系的规则:1)为了读取LBAC保护的数据库数据表的行、列或属性值:·用户安全性标签的安全分级应大于或等于数据库数据表的行、列和属性值安全性标签的安全分级:
·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。2)为了写LBAC保护的数据库数据表行、列或属性值:用户安全性标签的安全分级应小于或等于数据库数据表的行、列和属性值安全性标·
签的安全分级;
·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。3)每一种情况中,在数据库对象操作的基于安全属性的访问控制策略的规则都应被满足】。c)应测试只有授权管理员【选择:安全管理员,【赋值:ST规定的管理角色】能够改变用户的安全性标签,具有适当权限的授权用户/授权管理员能改变受LBAC保护的数据表的行、列和属性值的安全性标签属性。
d)应测试拥有特权的安全管理员(豁免的用户)能够忽略对【选择:读元组、读元组集合、读树、写元组、写元组集合、写树的检查、【赋值:ST作者指定数据库对象标签类型】】,明确地给数据库对象授权一个信息流。
e)应测试基于规则【赋值:基于安全属性,明确拒绝信息流的规则】明确的拒绝一个数据库对象的信息流。
f)应测试对任意两个信息流控制安全属性强制下列关系:1)存在一个有序函数,对于给定的两个有效的安全属性,函数能够判定它们是否相等·是否其中二个大于另一个,还是两者不可比较;2)在安全属性集合中存在一个“最小上界”,对于给定的两个有效的安全属性,存在一个有效的安全属性大于或等于这两个安全属性:3)
在安全属性集合中存在一个“最天下界”,对于给定的两个有效的安全属性,存在一个有效的安全属性不大于这两个属性。5.1.4.5带有安全属性的用户数据输出(FDP_ETC.2)带有安全属性的用户数据输出组件要求TSF利用一个功能执行合适的SFP,该功能准确无误地将TOE安全属性与所输出的用户数据相关联。该组件安全评估内容如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对带有安全属性的用户数据的访问;9
小提示:此标准内容仅展示完整标准里的部分截取内容,若需要完整标准请到上方自行免费下载完整标准文档。