《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).pdf》由会员分享,可在线阅读,更多相关《信息安全技术数据库管理系统安全评估准则(GB-T 20009-2019).pdf(49页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、ICS 35.040L80中中 华华 人人 民民 共共 和和 国国 国国 家家 标标 准准GB/T 20009201X代替 GB/T 20009-2005信息安全技术数据库管理系统安全评估准则Information security technology Security evaluation criteria for databasemanagement system(报批稿)XXXX-XX-XX 发布XXXX-XX-XX 实施GB/T XXXXXXXXXI目次前言.II信息安全技术数据库管理系统安全评估准则.11 范围.12 规范性引用文件.13 术语和定义.13.1 术语和定义.13.2
2、 缩略语.14 评估总则.24.1 总体要求.24.2 评估要求.24.3 评估环境.24.4 评估流程.25 评估内容.35.1 安全功能评估.35.2 安全保障评估.215.3 评估方法.34附录A(资料性附录)标准修订说明.40A.1 原标准 GB/T 20009-2005 评估内容与本标准安全功能要求映射表.40A.2 基于 GB/T 20009-2005 标准的各级别所对应的安全要求.42参考文献.45GB/T XXXXXXXXXII前言本标准按照GB/T 1.1-2009标准化工作导则 第1部分:标准的结构和编写给出的规则起草。本标准代替GB/T 20009-2005 信息安全技术
3、 数据库管理系统安全评估准则,与GB/T 20009-2005相比主要技术变化参见附录A。本标准与GB/T 20009-2005相比,主要变化如下:a)重写了“GB/T 20009-2005”3 术语、定义和缩略语;b)删除了“GB/T 20009-2005”附录 A 数据库管理系统面临的威胁和对策;c)重写了 GB/T 20009-2005 第四章安全环境,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求、评估环境和评估流程;d)重写了 GB/T 20009-2005 第五章的安全评估内容,按照 GB/T 30270-2013 定义了 GB/T20273-201X 中的安全功能组件
4、和安全保障组件评估内容;e)按照评估保障级概念列出了 EAL2、EAL3 和 EAL4 组件列表及评估准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军本标准所代替标准的历次版本发
5、布情况:GB/T 20009-2005GB/T XXXXXXXXX1信息安全技术数据库管理系统安全评估准则1范围本标准依据GB/T 20273-201X 信息安全技术数据库管理系统安全技术要求中的相关要求,给出了数据库管理系统的安全评估内容和评估方法。修订后标准中 EAL2、EAL3、EAL4 级的安全要求既适用于基于 GB/T 18336 标准下的数据库安全性测评,同样适用于基于 GB17859 标准下数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评,相关对应关系详见 A.1。2规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅
6、注日期的版本适用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。GB/T 20273-201X信息安全技术数据库管理系统安全技术要求GB/T 25069-2010信息安全技术术语GB/T 30270-2013信息技术安全技术信息技术安全性评估方法3术语和定义3.1术语和定义GB/T 25069-2010、GB/T 30270-2013 和 GB/T 20273-201X 标准界定的术语和定义适用于本文件。3.2缩略语下列缩略语适用于本文件。DBMS:数据库管理系统(Database Management System)SQL:结构化查询语言(Structured
7、Query Language)TOE:评估对象(Target of Evaluation)TSF:TOE 安全功能(TOE Security Functionality)LBAC:基于标签的访问控制(Label Based Access Control)PP:保护轮廓(Protection Profile)ST:安全目标(Security Target)SFP:安全功能策略(Security Function Policy)TSP:TOE 安全策略(TOE Security Policy)TSC:TSF 控制范围(TSF Scope of Control)TSFI:TSF 接口(TSF Int
8、erface)EAL:评估保障级(Evaluation Assurance Level)CM:配置管理(Configuration Management)CC:通用准则(Common Criteria)GB/T XXXXXXXXX2CEM:通用准则评估方法(Common Criteria Evaluation Methodology)4评估总则4.1总体要求本标准依据GB/T 30270-2013,给出了GB/T 20273-201X定义的数据库管理系统评估对象(TOE)安全功能组件和安全保障组件的评估内容和测试要求。4.2评估要求在对数据库管理系统进行安全评估时,首先依照GB/T 30270
9、-2013的安全目标评估方法完成对DBMS ST的评估,在此基础上对DBMS的安全功能和安全保障进行评估:a)安全功能评估目标是保证GB/T 20273-201X定义的安全功能组件设计与实现的完整性和正确性,一般通过对DBMS发起者提供的评估证据分析和TSF独立性测试,确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据(如分析、设计与测试文档)和DBMS产品,由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析,并按照评估保障级的不同对DBMS安全功能组件进行抽样测试,或评估者自己设计相应的测试用例,独立地完成DBMS安全功
10、能组件的功能测试,验证TSF的实现符合数据库管理系统概要规范。b)安全保障评估目标是发现DBSM在设计与实现中的缺陷或脆弱性,以便在评估过程中要求开发者纠正评估对象相应的错误,从而减少DBMS在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下,测试DBMS是否能抵御各种安全攻击,以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通讯协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料,通过模糊测试等穿透性测试技术对安全功能组件实现机制的可
11、信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。4.3评估环境在不同的网络环境和服务器环境支持下,通用数据库产品提供多种安全策略和安全控制机制的解决方案,以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为三类:非集群数据库服务测试环境和集群数据库服务测试环境,集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。应根据 GB/T 30270-2013 安全评估基本原则、过程和规程的体系选择某个测试环境,对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务:a)评估证据输入评估:评估发起者应向安全评
12、估机构提供数据库安全评估所有必需的评估证据:评估发起者应参照 GB/T 30270-2013 开发相关的评估证据,评估者应对这些输入要求进行评估。b)评估结果输出评估:安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术报告应满足评估结果的可重复性和可再现性原则,并应保持各种报告信息类型和数量的一致性。4.4评估流程根据 GB/T 30270-2013 的安全评估过程包括评估准备、评估实施、评估结果等阶段,具体如下:a)评估准备阶段:评估发起者应按照 GB/T 30270-2013 给评估者提供安全目标,评估者分析其可行性。评估者可能会需要发起者提供其它评估相关的辅助信息。评估发起者
13、或者 ST 开发者会GB/T XXXXXXXXX3给评估者提供一部分待评估物。评估者审查安全目标,然后告知发起者对某些内容进行必要的补充完善,以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了,则评估过程进入下一阶段。b)评估实施阶段:评估者生成包括待评估产品列表,评估活动,以及基于 GB/T 30270-2013 评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议,该协议包含评估的基本框架,同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后,评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有:1)评估者检查发
14、起者或者开发者应交付的评估物,然后按照 GB/T 30270-2013 进行必要的评估活动。2)在评估阶段,评估者可能会撰写观察报告(ORs)。该报告里,评估者会向监管者(评审机构)询问如何满足其监管的要求。3)监管者对评估者的解释请求进行回应,然后允许进行下一步评估。4)监管者同样可能确认和指出一些潜在的缺陷或者威胁,然后要求发起者或者开发者提供额外的信息资料。c)评估最终结果阶段:评估者根据文档审核、测试情况、现场检查结果,对 TOE 进行综合评判,并撰写评估技术报告。5评估内容5.1安全功能评估5.1.1安全审计(FAU 类)5.1.1.1审计数据产生(FAU_GEN.1)审计数据产生组
15、件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估要求如下:a)应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录:1)数据库审计功能的启动和关闭;2)数据库实例及其组件服务的启动和关闭;3)数据库实例配置参数非缺省值修改事件;4)数据库对象结构修改事件;5)GB/T 20273-201X 列出的数据库审计级别【最小最小】的可审计事件;6)其它面向数据库安全审计员的,可绕过访问控制策略的特殊定义【赋值:STST 作者定义的作者定义的审计事件审计事件】的可审计事件;7)未指定审计级别【ST 作者赋值:数据库对象数据操作级别的细粒度审计的事
16、件数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。b)应检查审计记录中至少包含如下信息:1)事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果(成功或失败);2)应根据评估对象【赋值:STST 作者指定的审计事件数据作者指定的审计事件数据】和规定的格式【赋值:数据类型数据类型与格式与格式】来生成审计数据;3)对于每个审计事件类型,基于 GB/T 20273-201X 中包括的安全功能组件的可审计事件定义。GB/T XXXXXXXXX4c)应检查数据库管理系统的审计数据产生策略配置管理 API 或工具,确认审计数据产生机制与功
17、能有效性。5.1.1.2用户身份关联(FAU_GEN.2)用户身份关联组件应将审计事件与主体身份相联系,满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估要求如下:a)审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息;b)审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值:STST 作者指定的用户身份作者指定的用户身份鉴别方式鉴别方式】相关关联的数据库会话信息;c)应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理 API/工具,确认能看到用户身份关联信息。5.1.1.3审计查阅(FAU_SAR.1)审计查阅组件为授权管理员提供获
18、得和解释事件审计事件数据的能力。该组件安全评估要求如下:a)应测试能否从审计记录中阅读和获取下面所列出的审计信息:1)用户身份标识;2)审计事件类型;3)数据库对象标识;4)评估对象指定的【赋值:STST 作者指定的审计事件数据作者指定的审计事件数据】。b)应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面(如图形界面);c)应测试当授权用户是外部 IT 实体时,审计数据必须以规范化电子方式无歧义地表示;d)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.4限制审计查阅(FAU_SAR.2)限制审计查阅组件只允许授权管理员查阅部分审计数据。该组件安全评估要求如下:a
19、)应测试是否能依据【选择:主体标识主体标识、主机标识主机标识、客体标识客体标识、【赋值赋值:STST 作者指定审计条件作者指定审计条件】阅读和读取审计数据;b)应测试是否能依据【选择:选择:成功可审计安全事件、失败可审计安全事件、【赋值:成功可审计安全事件、失败可审计安全事件、【赋值:STST 作者指作者指定其他选择条件定其他选择条件】选择性审计清单等条件阅读和读取审计信息;c)应测试是否能依据【选择:数据库系统权限、数据库对数据库系统权限、数据库对象权限、象权限、【赋值:【赋值:STST 作作者指定权限级者指定权限级别别】阅读和读取审计信息;d)应测试管理审计数据授权控制机制和审计数据授权管
20、理员(安全管理员)控制授权管理员访问审计数据的【赋值:STST 作者指定角色作者指定角色/系统权限系统权限】;e)应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接口;f)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.5可选审计查阅(FAU_SAR.3)可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评估要求如下:a)应测试是否能依据审计数据字段中的值的搜索与分类条件对审计记录进行搜索,筛选授权管理员关心的审计数据;b)应测试是否能对返回审计数据进行排序和汇总统计;GB/T XXXXXXXXX5c)应测试是否允许授权管理
21、员使用【选择:SQLSQL 语句语句、【赋值:、【赋值:STST 作者指定方式作者指定方式】搜索审计数据和对审计数据排序;d)应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具;e)应测试是否禁止所有未授权用户对审计数据的访问。5.1.1.6选择性审计(FAU_SEL.1)审计事件选择组件定义了向可审计事件集中加入或从中排除事件的能力。该组件安全评估要求如下:a)应测试是否能根据【选择:客体身份、用户身份、组身份、主体身份、主机身份客体身份、用户身份、组身份、主体身份、主机身份、【赋值:、【赋值:STST 作者指定主体属性作者指定主体属性】从审计事件集中选择可审计事件;b)应测
22、试是否能根据【选择:数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值:STST 作者指定用户操作权限级别作者指定用户操作权限级别】从审计事件集中选择可审计事件;c)应测试是否能根据【选择:成功、失败、二者可审计安全事件选项成功、失败、二者可审计安全事件选项、【赋值:、【赋值:STST 作者指定条作者指定条件件】从审计事件集中选择可审计事件;d)应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。5.1.1.7审计数据可用性保证(FAU_STG.2)审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时,TSF还能维
23、护产生的审计数据。该组件安全评估要求如下:a)应测试是否能提供数据库系统表或外部文件方式保存审计事件数据,维护审计数据授权控制和审计数据存储管理的能力;b)应测试维护控制审计事件数据存储能力参数有效性;c)应测试保护所存储的审计记录,只允许安全管理员或授权管理员访问审计记录的访问机制;d)应测试 TSF 能【选择,选取一个:防止、检测防止、检测】对审计迹中所存审计记录的未授权修改;e)应测试提供的审计数据备份、导出等管理接口/辅助工具,并且只有安全管理员或授权管理员才能操作这些辅助功能;f)应测试审计事件具备数据加解密存储保护能力;g)应测试在 TSF【选择:审计存储耗尽审计存储耗尽、失效失效
24、、受攻击受攻击】时,确保【赋值:保存审计记录的度量保存审计记录的度量】审计记录将维持有效。5.1.1.8防止审计数据丢失(FAU_STG.4)防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空间溢满时所采取的动作。该组件安全评估要求如下:a)应测试审计数据【选择:多路复用、【赋值:多路复用、【赋值:STST 作者指定备份方式】作者指定备份方式】功能,并验证审计数据存储位置指定等管理能力;b)应测试审计数据归档功能,包括远程归档功能;c)应检测审计数据存储可用空间查看视图/工具功能;d)应检查是否提供了判断审计记录数据是否已满,并提供忽略可审计事件、阻止可审计事
25、件、覆盖所存储的最早的审计记录或【赋值:【赋值:审计存储失效时所采取的其它动作审计存储失效时所采取的其它动作】等处理机制。5.1.2密码支持(FCS 类)5.1.2.1密钥生成(FCS_CKM.1)GB/T XXXXXXXXX6若密钥由外部环境生成,则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥;否则评估对象提供的用户密钥和数据密钥产生。该组件安全评估要求如下:a)应测试存储用户密钥装置或密钥管理服务器操作接口,确认数据库密钥存储位置是安全且有据可查的,包括提供与其数据本身具有同类型的密钥备份和恢复机制;b)应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放
26、管理接口与管理工具;c)应测试是否能根据评估对象【赋值:STST 作者指定的作者指定的标准标准与规范列表与规范列表】的特定密钥生成算法【赋值:密钥生成算法密钥生成算法】和规定的密钥长度【赋值:密钥长度密钥长度】来生成密钥;d)应测试密钥生成提供下列密钥管理功能:1)应提供密钥属性配置管理,密钥属性的例子包括用户密钥类型【选择:公开密钥公开密钥、私有密私有密钥钥、秘密密钥秘密密钥【赋值赋值:STST 作者指定密钥类型作者指定密钥类型】、有效期和使用用途【选择:数字签名数字签名、密钥加密、密钥协商、数据加密、密钥加密、密钥协商、数据加密、【赋值赋值:STST 作者指定用途】作者指定用途】;2)应提
27、供密钥的存储及其使用接口,允许评估对象与外界连接的数据库应用程序接口与加密设备进行交互。e)应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数。5.1.2.2密钥销毁(FCS_CKM.4)数据库管理系统的安全功能应根据符合下列标准【赋值:国家规定的密码管理算法国家规定的密码管理算法】的一个特定的密钥销毁方法【赋值:密钥销毁方法密钥销毁方法】来销毁密钥。密钥销毁组件提供符合国家规定的密码管理算法的密钥销毁功能。该组件安全要求评估如下:a)应测试是否能根据评估对象【赋值:STST作者指定的密码管理算法作者指定的密码管理算法】的密钥销毁方法【赋值:STST作者指定的密钥销毁方法作者指定
28、的密钥销毁方法】来销毁密钥;b)应检测数据库用户密钥、数据密钥等数据库密钥存放管理接口与管理工具;c)应检查密码销毁方法是否符合国家主管部门认可的相关标准。5.1.2.3密码运算(FCS_COP.1)密码运算组件提供根据一个特定的算法和一个规定长度的密钥来进行密码运算功能。该组件安全评估要求如下:a)应测试是否能根据评估对象【赋值:STST 作者指定的作者指定的标准标准与规范列表与规范列表】在评估对象上使用特定的密码算法【赋值:密码算法密码算法】和密钥长度【赋值:密钥长度密钥长度】执行【赋值:密码运算密码运算列表列表】,以验证数据库管理系统密码运算的有效性;b)应测试评估对象【赋值:STST
29、作者指定的加密作者指定的加密算法算法】提供数据库透明加密功能;c)应测试是否能依据评估对象使用密码安全服务的用户应用、不同密码算法或密钥长度的使用策略及其机制、所运算数据的类型或敏感度密码服务等数据库管理系统安全服务测试密码运算的可用性;d)应验证密码运算事件是否被审计:1)密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成;2)主体属性包括同主体有关的主体角色和用户;3)客体属性包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期。e)应检查评估对象的密码算法的具体赋值是否符合国
30、家主管部门认可的相关标准及参数。5.1.3用户数据保护(FDP 类)5.1.3.1子集访问控制(FDP_ACC.1)GB/T XXXXXXXXX7子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。该组件安全评估要求如下:a)应测试依据授权用户/授权管理员在数据库对象【选择:表对象表对象、索引对象索引对象、视图对象视图对象、约束约束、同义词、存储过程同义词、存储过程/函数、数据库文件、表空间函数、数据库文件、表空间/文件组、参数文件、【文件组、参数文件、【赋值:赋值:STST 作者指定的作者指定的数据库对象】数据库对象】上授予的【选择:查询、插入、更新、删除、查询
31、、插入、更新、删除、【赋值:【赋值:STST 作者指定的客体操作者指定的客体操作列表】作列表】执行相关的执行相关的【选择选择:GRANTGRANT、REVOKEREVOKE 或或【赋值:【赋值:STST 作者指定的授权接口作者指定的授权接口】授权管理;b)应测试依据级联授权方法管理【选择:自主访问控制策略、基于角色控制策略、基于用户组自主访问控制策略、基于角色控制策略、基于用户组控制策略控制策略、【赋值赋值:STST 作者定义的基于属性的访问控制策略作者定义的基于属性的访问控制策略】限制授权用户/授权管理员访问权限扩散的控制能力;c)应测试依据评估对象的【选择:自主访问控制策略、基于角色控制策
32、略、基于用户组控制策自主访问控制策略、基于角色控制策略、基于用户组控制策略略、【赋值赋值:STST 作者定义的基于属性的访问控制策略作者定义的基于属性的访问控制策略】在【选择:数据库级数据库级、实例级实例级、【赋赋值值:STST 作者定义的作者定义的级别级别】执行【选择:创建创建、修改修改、删除删除、【赋值:STST 作者指定的客体操作者指定的客体操作列表作列表】执行相关的】执行相关的【赋值:【赋值:GRANTGRANT、REVOKEREVOKE 或或【赋值:【赋值:STST 作者指定的授权接口作者指定的授权接口】成功的执行授权管理;d)应测试依据【选择:默认方式默认方式、【赋值:STST 作
33、者指定方式作者指定方式】,阻止未授权用户阻止未授权用户/未授权管理未授权管理员对数据库对象员对数据库对象【选择选择:表对象表对象、索引对象索引对象、视图对象视图对象、约束约束、同义词同义词、存储过程存储过程/函数函数、数数据库文件、表空间、参数文件、【据库文件、表空间、参数文件、【赋值:赋值:STST 作者指定的数据库对象】作者指定的数据库对象】的访问操作;e)应测试是否能能通过【选择:安全元数据视图安全元数据视图,应用程序接口应用程序接口、【赋值赋值:STST 作者指定的方式作者指定的方式】浏览成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置参数;f)应测试基于安
34、全目标中的附加规则【选择:【赋值赋值:安全属性安全属性,明确授权用户明确授权用户/授权管理员访授权管理员访问客体的规则】,问客体的规则】,“无附加规则无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证数据库客体对象访问控制机制的正确性。g)应测试基于安全目标中的【选择:【赋值赋值:安全属性安全属性,明确拒绝主体访问客体的明确拒绝主体访问客体的规则规则】,“无无附加的显式拒绝规则附加的显式拒绝规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证TSF 拒绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性。5.1.3.2基于安全属性的访问控制(FDP_
35、ACF.1)基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或拒绝某个鉴别用户对指定数据库对象的访问。该组件安全评估要求如下:a)应测试基于【选择:自主访问控制策略自主访问控制策略、基于角色控制策略基于角色控制策略、基于用户组控制策略基于用户组控制策略、【赋值赋值:STST 作者定义的作者定义的基于属性的基于属性的访问控制访问控制策略策略】对数据库对象的相关操作执行访问控制,具体应包括:1)与一个授权用户/授权管理员相关的授权用户身份和/或角色/组成员关系;2)数据库对象(模式对象和非模式对象)可实施的访问操作和/或角色/组权限;3)对数据库对象执行【选择:自
36、主访问控制策略、基于角色控制策略、基于用户组控制策自主访问控制策略、基于角色控制策略、基于用户组控制策略略、【赋值:STST 作者定义的基于属性的访问控制策略作者定义的基于属性的访问控制策略】,阻止未授权用户/管理员对数据库对象访问(模式对象和非模式对象)。b)应执行【赋值:在授权用户在授权用户/授权管理员和数据库对象授权管理员和数据库对象之间之间,通过对数据库对象采取受控操作通过对数据库对象采取受控操作来管理访问的规则来管理访问的规则】,以决定 DBMS 授权用户/授权管理员与数据库对象之间的操作是否被允许。这些规则包括:1)如果授权用户是访问数据库对象的所有者,则允许用户的访问请求;GB/
37、T XXXXXXXXX82)如果访问控制策略机制允许授权用户对数据库对象的访问,则允许用户的访问请求;3)如果授权用户作为一个用户组或角色(直接角色或间接角色)的成员执行请求的访问模式,则允许用户的访问请求;4)如果 PUBLIC 能访问受控的数据库对象,则允许用户的访问请求;5)否则拒绝用户的访问请求。c)应测试是否能能通过【选择:安全元数据视图,应用程序接口安全元数据视图,应用程序接口、【赋值:STST 作者指定的安全作者指定的安全元数据访问方法元数据访问方法】浏览成功授权的所有数据库对象操作列表和授权用户定义的【选择:自主自主访问控制策略、基于角色控制策略、基于用户组控制策略访问控制策略
38、、基于角色控制策略、基于用户组控制策略、【赋值:STST 作者定义的基于属性作者定义的基于属性的访问控制策略的访问控制策略】安全元数据。5.1.3.3子集信息流控制(FDP_IFC.1)子集信息流控制组件要求每个确定的基于标签访问控制(LBAC)安全策略适用于数据库管理系统内某些数据库对象上允许执行的访问请求。该组件安全评估要求如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或用户安全标签、关系的行或列安全性标签列安全性标签、【赋值:STST 作者指定数据库对象安全属性元素作者指定数据库对象安全属性元素】强制应用【LBACLBAC 安全策略安全策略】,
39、通过标签中【选择:安全分级安全分级、安全范围安全范围、安全分组值安全分组值、【赋值:STST 作者指定的标签元素作者指定的标签元素】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对标签受控的数据库对象的访问;b)应测试子集信息流控制是否配合评估对象提供的【选择:自主访问控制策略、基于角色控制自主访问控制策略、基于角色控制策略、基于用户组控制策略策略、基于用户组控制策略、【赋值:STST 作者定义的作者定义的基于属性的基于属性的访问控制访问控制策略策略】粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBACLBAC 安全策略保
40、安全策略保护的数据库表中数据读护的数据库表中数据读、写操作写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问数据对象;c)应测试基于安全目标中的附加规则【选择:【赋值赋值:基于安全属性基于安全属性,明确拒绝信息流的规则明确拒绝信息流的规则】,无附加规则无附加规则】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制对数据库客体对象访问控制的正确性;d)应测试基于安全目标中的【选择:【赋值:基于安全属性,明确拒绝信息流的规则【赋值:基于安全属性,明确拒绝信息流的规则】,无附无附加的显式拒绝规则加的显式拒绝规则】,分析评估对象的测试文档,采用抽样方
41、式或独立性设计方法验证子集信息流控制机制拒绝授权授权用户访问受控数据库对象的正确性。5.1.3.4分级安全属性(FDP_IFF.2)分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格,以供基于标签的访问控制数据安全策略使用。该组件安全评估要求如下:a)应测试是否能具有【选择:安全分级、安全范围、安全分组安全分级、安全范围、安全分组、【赋值:STST 作者指定数据库对作者指定数据库对象安全属性元素】象安全属性元素】及基于这些元素的标签定义,包括标签与被保护数据库对象和授权用户/授权管理员的绑定关系定义接口或辅助工具;b)应测试是否能通过授权用户/授权管理员绑定标签和数
42、据库对象(数据库数据表的行、列或属性值)绑定标签之间的信息流交换,如果满足以下基于安全属性之间的序关系的规则:【1)为了读取为了读取 LBACLBAC 保护的数据库数据表的行、列或属性值:保护的数据库数据表的行、列或属性值:(1)用户安全性标签的安全分级必须大于或等于数据库数据表的行、列和属性值安用户安全性标签的安全分级必须大于或等于数据库数据表的行、列和属性值安全性标签的安全分级;全性标签的安全分级;(2)用户安全性标签的安全范围必须包含数据库数据表的行、列和属性值安全性标用户安全性标签的安全范围必须包含数据库数据表的行、列和属性值安全性标签的安全范围;签的安全范围;GB/T XXXXXXX
43、XX9(3)用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先);性标签的安全分组中的一个元素(或者这样一个元素的祖先);2)为了写为了写 LBACLBAC 保护的数据库数据表行、列或属性值:保护的数据库数据表行、列或属性值:(1)用户安全性标签的安全分级必须用户安全性标签的安全分级必须小于或小于或等于数据库数据表的行、列和属性值安等于数据库数据表的行、列和属性值安全性标签的安全分级;全性标签的安全分级;(2)用户安全性标签的安全范围必须包含数据库数据表的行
44、、列和属性值安全性标用户安全性标签的安全范围必须包含数据库数据表的行、列和属性值安全性标签的安全范围;签的安全范围;(3)用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全用户安全性标签的安全分组必须至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先);性标签的安全分组中的一个元素(或者这样一个元素的祖先);3)每一种情况中,在数据库对象操作的每一种情况中,在数据库对象操作的基于安全属性的访问控制基于安全属性的访问控制策略的规则都必须被满策略的规则都必须被满足足】。c)应测试只有授权管理员【选择:安全管理员安全管理员,【赋值:STST
45、 规定的管理角色规定的管理角色】能够改变用户能够改变用户的安全性标签,具有适当权限的授权用户的安全性标签,具有适当权限的授权用户/授权管理员授权管理员】能改变受 LBAC 保护的数据表的行、列和属性值的安全性标签属性;d)应测试拥有特权的安全管理员(豁免的用户)能够忽略对【选择;读元组读元组、读元组集合读元组集合、读树读树、写元组、写元组集合、写树的检查写元组、写元组集合、写树的检查、【赋值:STST 作者指定数据库对象标签类型作者指定数据库对象标签类型】,明确地给数据库对象授权一个信息流;e)应测试基于规则【赋值:基于安全属性,明确拒绝信息流的规则基于安全属性,明确拒绝信息流的规则】明确的拒
46、绝一个数据库对象的信息流;f)应测试对任意两个信息流控制安全属性强制下列关系:1)存在一个有序函数,对于给定的两个有效的安全属性,函数能够判定它们是否相等,是否其中一个大于另一个,还是两者不可比较;2)在安全属性集合中存在一个“最小上界”,对于给定的两个有效的安全属性,存在一个有效的安全属性大于或者等于这两个安全属性;3)在安全属性集合中存在一个“最大下界”,对于给定的两个有效的安全属性,存在一个有效的安全属性不大于这两个属性。5.1.3.5带有安全属性的用户数据输出(FDP_ETC.2)带有安全属性的用户数据输出组件要求TSF利用一个功能执行合适的SFP,该功能准确无误地将安全属性与所输出的
47、用户数据相关联。该组件安全评估要求如下:a)应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签用户安全标签、关系的行或关系的行或列安全性标签列安全性标签、【赋值:STST作者指定数据库对象安全属性元素作者指定数据库对象安全属性元素】强制应用【LBACLBAC安全策略安全策略】,通过标签中【选择:安全分级安全分级、安全范围安全范围、安全分组值安全分组值、【赋值:STST作者指定的标签元素作者指定的标签元素】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对带有安全属性的用户数据的访问;b)应测试输出用户数据时评估对象提供相应的【选择:自主
48、访问控制策略自主访问控制策略、基于角色控制策略基于角色控制策略、基于用户组控制策略基于用户组控制策略、【赋值赋值:STST作者定义的作者定义的基于属性的基于属性的访问控制访问控制策略策略】粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问的用户数据;c)应测试基于安全目标中的附加规则【选择:【赋值赋值:基于安全属性基于安全属性,明确拒绝信息流的规则明确拒绝信息流的规则】,无附加规则无附加规则】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证带有
49、安全属性的用户数据输出机制是否将安全属性与所输出的用户数据相关联;GB/T XXXXXXXXX10d)应测试输出用户数据时可依据用户数据的安全属性【选择:用户安全标签、关系的行或列安用户安全标签、关系的行或列安全性标签、【赋值:全性标签、【赋值:STST作者指定数据库对象安全属性元素】作者指定数据库对象安全属性元素】组织输出的数据;e)应测试用户数据安全属性的脱敏或匿名机制,确认评估对象具有对输出带有安全属性的用户数据安全保护能力;f)应测试带有安全属性的输出用户数据的属性一致性检测方法和技术。5.1.3.6不带安全属性的用户数据输入(FDP_ITC.1)不带安全属性的用户数据输入组件要求安全
50、属性正确表示用户数据,且与客体分离。该组件安全评估要求如下:a)应测试在【选择:用户安全标签、关系的行或列安全性标签、【赋值:用户安全标签、关系的行或列安全性标签、【赋值:STST作者指定数据库对作者指定数据库对象安全属性元素象安全属性元素】控制下从TOE之外输入用户数据时,TSF执行某个【赋值:访问控制访问控制SFPSFP和和/或信息流控制或信息流控制SFPSFP】;b)应测试从TOE外部输入带有安全属性的用户数据时,TS应忽略任何与用户数据相关的安全属性;c)应测试在【选择:用户安全标签、关系的行或列安全性标签、【赋值:用户安全标签、关系的行或列安全性标签、【赋值:STST作者指定数据库对