1 范圍

      本標(biāo)準(zhǔn)依據(jù)GB/T 20273-2019規(guī)定了數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估總則、評(píng)估內(nèi)容和評(píng)估方法。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)庫(kù)管理系統(tǒng)的測(cè)試和評(píng)估，也可用于指導(dǎo)數(shù)據(jù)庫(kù)管理系統(tǒng)的研發(fā)。

      注：本標(biāo)準(zhǔn)規(guī)定的EAL2級(jí)、EAL3級(jí)、EAL4級(jí)的評(píng)估內(nèi)容和評(píng)估方法既適用于基于GB/T 18336-2015所有部分的數(shù)據(jù)庫(kù)管理系統(tǒng)安全性測(cè)評(píng)，同樣適用于基于GB17859-1999的數(shù)據(jù)庫(kù)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)、第三級(jí)安全標(biāo)記保護(hù)級(jí)、第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng)安全性測(cè)評(píng)，相關(guān)對(duì)應(yīng)關(guān)系參見附錄A中A.1。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。

      GB/T 18336.1～18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則

      GB/T 20273-2019 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 30270-2013 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估方法

3 術(shù)語(yǔ)和定義、縮略語(yǔ)

3.1 術(shù)語(yǔ)和定義

      GB/T 25069-2010、GB/T 30270-2013和GB/T 20273-2019界定的術(shù)語(yǔ)和定義適用于本文件。

3.2 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      CC：通用準(zhǔn)則（Common Criteria）

      CEM：通用準(zhǔn)則評(píng)估方法（Common Criteria Evaluation Methodology）

      CM：配置管理（Configuration Management）

      DBMS：數(shù)據(jù)庫(kù)管理系統(tǒng)（DataBase Management System）

      EAL：評(píng)估保障級(jí)（Evaluation Assurance Level）

      ETR：評(píng)估技術(shù)報(bào)告（Evaluation Technical Report）

      LBAC：基于標(biāo)簽的訪問(wèn)控制（Label Based Access Control）

      OR：觀察報(bào)告（Observation Report）

      PP：保護(hù)輪廓（Protection Profile）

      SFP：安全功能策略（Security Function Policy）

      SQL：結(jié)構(gòu)化查詢語(yǔ)言（Structured Query Language）

      ST：安全目標(biāo)（Security Target）

      TOE：評(píng)估對(duì)象（Target Of Evaluation）

      TSC：TSF控制范圍（TSF Scope of Control）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

      TSS：TOE概要規(guī)范（TOE Summary Specification）

4 評(píng)估總則

4.1 概述

      本標(biāo)準(zhǔn)依據(jù)GB/T 30270-2013給出了GB/T 20273-2019定義的數(shù)據(jù)庫(kù)管理系統(tǒng)（DBMS）評(píng)估對(duì)象（TOE）安全功能組件和安全保障組件的評(píng)估內(nèi)容和評(píng)估方法。

4.2 評(píng)估要求

      在對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行安全評(píng)估時(shí)，首先依照GB/T 30270-2013的安全目標(biāo)評(píng)估方法完成對(duì)DBMS ST的評(píng)估，在此基礎(chǔ)上對(duì)DBMS的安全功能和安全保障進(jìn)行評(píng)估：

      a）安全功能評(píng)估目標(biāo)是保證GB/T 20273-2019定義的安全功能組件設(shè)計(jì)與實(shí)現(xiàn)的完整性和正確性，一般通過(guò)對(duì)DBMS發(fā)起者提供的評(píng)估證據(jù)分析和TOE安全功能（TSF）獨(dú)立性測(cè)試，確保DBMS安全功能滿足其安全目標(biāo)聲稱的功能要求。獨(dú)立性測(cè)試應(yīng)依據(jù)數(shù)據(jù)庫(kù)產(chǎn)品廠商提供的一系列評(píng)估證據(jù)（如分析、設(shè)計(jì)與測(cè)試文檔）和TOE安全策略（TSP），由評(píng)估者按照ST中的TSS對(duì)DBMS開發(fā)者提供的評(píng)估對(duì)象證據(jù)材料進(jìn)行分析，并按照評(píng)估保障級(jí)的不同對(duì)DBMS安全功能組件進(jìn)行抽樣測(cè)試，或評(píng)估者自己設(shè)計(jì)相應(yīng)的測(cè)試用例，獨(dú)立地完成DBMS安全功能組件的功能測(cè)試，驗(yàn)證TSF的實(shí)現(xiàn)符合數(shù)據(jù)庫(kù)管理系統(tǒng)概要規(guī)范。

      b）安全保障評(píng)估目標(biāo)是發(fā)現(xiàn)DBMS在設(shè)計(jì)與實(shí)現(xiàn)中的缺陷或脆弱性，以便在評(píng)估過(guò)程中要求開發(fā)者糾正評(píng)估對(duì)象相應(yīng)的錯(cuò)誤，從而減少DBMS在發(fā)布后運(yùn)行過(guò)程中安全功能失效發(fā)生的可能性。因此安全性評(píng)估要求測(cè)試人員在模擬真實(shí)應(yīng)用環(huán)境下，測(cè)試DBMS是否能抵御各種安全攻擊，以確定該評(píng)估對(duì)象是否存在潛在的安全弱點(diǎn)或安全漏洞。穿透性測(cè)試技術(shù)是消除DBMS在設(shè)計(jì)或?qū)崿F(xiàn)中的缺陷或脆弱性的有效方法。測(cè)試人員需依照數(shù)據(jù)庫(kù)產(chǎn)品的通信協(xié)議、結(jié)構(gòu)化查詢語(yǔ)言、數(shù)據(jù)庫(kù)開發(fā)接口、存儲(chǔ)過(guò)程/函數(shù)等安全攻擊面評(píng)估證據(jù)資料，通過(guò)模糊測(cè)試等穿透性測(cè)試技術(shù)對(duì)安全功能組件實(shí)現(xiàn)機(jī)制的可信性進(jìn)行測(cè)試以確保安全功能組件的設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試不存在未知的弱點(diǎn)/缺陷。

4.3 評(píng)估環(huán)境

      在不同的網(wǎng)絡(luò)環(huán)境和服務(wù)器環(huán)境支持下，通用數(shù)據(jù)庫(kù)產(chǎn)品提供多種安全策略和安全控制機(jī)制的解決方案，以滿足評(píng)估對(duì)象消費(fèi)者的安全要求。數(shù)據(jù)庫(kù)管理系統(tǒng)的測(cè)試環(huán)境分為3類：非集群數(shù)據(jù)庫(kù)服務(wù)測(cè)試環(huán)境和集群數(shù)據(jù)庫(kù)服務(wù)測(cè)試環(huán)境，集群測(cè)試環(huán)境又細(xì)分為共享存儲(chǔ)的集群測(cè)試環(huán)境和非共享存儲(chǔ)的集群測(cè)試環(huán)境。

      應(yīng)根據(jù)GB/T 30270-2013安全評(píng)估基本原則、過(guò)程和規(guī)程的體系選擇某個(gè)測(cè)試環(huán)境，對(duì)數(shù)據(jù)庫(kù)產(chǎn)品安全功能和安全保障進(jìn)行評(píng)估。數(shù)據(jù)庫(kù)管理系統(tǒng)安全組件的每個(gè)評(píng)估活動(dòng)都包含兩個(gè)通用的評(píng)估任務(wù)：

      a）評(píng)估證據(jù)輸入評(píng)估：評(píng)估發(fā)起者應(yīng)向安全評(píng)估機(jī)構(gòu)提供DBMS安全評(píng)估所有必需的評(píng)估材料：評(píng)估發(fā)起者應(yīng)按照GB/T 30270-2013準(zhǔn)備或開發(fā)TOE相關(guān)的評(píng)估證據(jù)，評(píng)估者應(yīng)對(duì)這些輸入要求進(jìn)行評(píng)估。

      b）評(píng)估結(jié)果輸出評(píng)估：安全評(píng)估機(jī)構(gòu)的輸出任務(wù)評(píng)估的目的是評(píng)估輸出的觀察報(bào)告和評(píng)估技術(shù)

報(bào)告應(yīng)滿足評(píng)估結(jié)果的可重復(fù)性和可再現(xiàn)性原則，并應(yīng)保持各種報(bào)告信息類型和數(shù)量的一致性。

4.4 評(píng)估流程

      根據(jù)GB/T 30270-2013的安全評(píng)估過(guò)程包括評(píng)估準(zhǔn)備、評(píng)估實(shí)施、評(píng)估結(jié)果等階段，具體如下：

      a）評(píng)估準(zhǔn)備階段：評(píng)估發(fā)起者應(yīng)按照GB/T 30270-2013給評(píng)估者提供安全目標(biāo)，評(píng)估者分析其可行性。評(píng)估者可能會(huì)需要發(fā)起者提供其他評(píng)估相關(guān)的輔助信息。評(píng)估發(fā)起者或者ST開發(fā)者會(huì)給評(píng)估者提供一部分待評(píng)估物。評(píng)估者審查安全目標(biāo)，然后告知發(fā)起者對(duì)某些內(nèi)容進(jìn)行必要的補(bǔ)充完善，以方便未來(lái)評(píng)估過(guò)程的實(shí)施。當(dāng)評(píng)估者認(rèn)為評(píng)估發(fā)起者對(duì)評(píng)估所需要的資料都準(zhǔn)備齊全了，則評(píng)估過(guò)程進(jìn)入下一階段。

      b）評(píng)估實(shí)施階段：評(píng)估者生成包括待評(píng)估產(chǎn)品列表，評(píng)估活動(dòng)，以及基于GB/T 30270-2013評(píng)估方法的抽樣要求等文檔的可行性研究報(bào)告。發(fā)起者和評(píng)估者在評(píng)估準(zhǔn)備階段簽署一項(xiàng)協(xié)議，該協(xié)議包含評(píng)估的基本框架，同時(shí)要考慮到評(píng)估體制的局限性以及國(guó)家法律和法規(guī)的任何要求。協(xié)議簽訂后，評(píng)估者即可進(jìn)入評(píng)估實(shí)施階段。在此階段包含的主要活動(dòng)內(nèi)容有：

      1）評(píng)估者檢查發(fā)起者或者開發(fā)者應(yīng)交付的評(píng)估物，然后按照GB/T 30270-2013進(jìn)行必要的評(píng)估活動(dòng)。

      2）在評(píng)估階段，評(píng)估者可能會(huì)撰寫觀察報(bào)告。該報(bào)告里，評(píng)估者會(huì)向監(jiān)管者（評(píng)審機(jī)構(gòu)）詢問(wèn)如何滿足其監(jiān)管的要求。

      3）監(jiān)管者對(duì)評(píng)估者的解釋請(qǐng)求進(jìn)行回應(yīng)，然后允許進(jìn)行下一步評(píng)估。

      4）監(jiān)管者同樣可能確認(rèn)和指出一些潛在的缺陷或者威脅，然后要求發(fā)起者或者開發(fā)者提供額外的信息資料。

      c）評(píng)估最終結(jié)果階段：評(píng)估者根據(jù)文檔審核、測(cè)試情況、現(xiàn)場(chǎng)檢查結(jié)果，對(duì)TOE進(jìn)行綜合評(píng)判，并撰寫評(píng)估技術(shù)報(bào)告。

5 評(píng)估內(nèi)容

5.1 安全功能評(píng)估

5.1.1 概述

      在安全功能組件評(píng)估內(nèi)容描述中，方括號(hào)【】中的黑體字內(nèi)容表示已經(jīng)完成的操作，黑斜體字內(nèi)容表示還需在安全目標(biāo)中由ST作者確定賦值及選擇項(xiàng)。

5.1.2 安全審計(jì)（FAU類）

5.1.2.1 審計(jì)數(shù)據(jù)產(chǎn)生（FAU＿GEN.1）

      審計(jì)數(shù)據(jù)產(chǎn)生組件應(yīng)按照安全目標(biāo)設(shè)定的數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)審計(jì)和細(xì)粒度審計(jì)策略自動(dòng)產(chǎn)生相應(yīng)的審計(jì)事件記錄信息。該組件安全評(píng)估內(nèi)容如下：

      a）應(yīng)測(cè)試評(píng)估對(duì)象提供的不同級(jí)別審計(jì)策略能產(chǎn)生下述可審計(jì)事件記錄：

      1）數(shù)據(jù)庫(kù)審計(jì)功能的啟動(dòng)和關(guān)閉；

      2）數(shù)據(jù)庫(kù)實(shí)例及其組件服務(wù)的啟動(dòng)和關(guān)閉；

      3）數(shù)據(jù)庫(kù)實(shí)例配置參數(shù)非缺省值修改事件；

      4）數(shù)據(jù)庫(kù)對(duì)象結(jié)構(gòu)修改事件；

      5）GB/T 20273-2019列出的數(shù)據(jù)庫(kù)審計(jì)級(jí)別【最小】的可審計(jì)事件；

      6）其他面向數(shù)據(jù)庫(kù)安全審計(jì)員的，可繞過(guò)訪問(wèn)控制策略的特殊定義【賦值：ST作者定義的審計(jì)事件】的可審計(jì)事件；

      7）未指定審計(jì)級(jí)別【賦值：數(shù)據(jù)庫(kù)對(duì)象數(shù)據(jù)操作級(jí)別的細(xì)粒度審計(jì)的事件】的所有可審計(jì)事件。

      b）應(yīng)檢查審計(jì)記錄中至少包含如下信息：

      1）事件類型、事件發(fā)生日期和時(shí)間、主體關(guān)聯(lián)身份/組/角色、涉及的數(shù)據(jù)庫(kù)對(duì)象、產(chǎn)生審計(jì)事件的主機(jī)信息、事件操作結(jié)果（成功或失?。?；

      2）應(yīng)根據(jù)評(píng)估對(duì)象【賦值：ST作者指定的審計(jì)事件】和規(guī)定的格式【賦值：數(shù)據(jù)類型與格式】來(lái)生成審計(jì)數(shù)據(jù)；

      3）對(duì)于每個(gè)審計(jì)事件類型，基于GB/T20273-2019中包括的安全功能組件的可審計(jì)事件定義。

      c）應(yīng)檢查數(shù)據(jù)庫(kù)管理系統(tǒng)的審計(jì)數(shù)據(jù)產(chǎn)生策略配置管理API或工具，確認(rèn)審計(jì)數(shù)據(jù)產(chǎn)生機(jī)制與功能有效性。

5.1.2.2 用戶身份關(guān)聯(lián)（FAU＿GEN.2）

      用戶身份關(guān)聯(lián)組件應(yīng)將審計(jì)事件與主體身份相聯(lián)系，滿足可審計(jì)事件追溯到單個(gè)數(shù)據(jù)庫(kù)用戶身份上的要求。該組件安全評(píng)估內(nèi)容如下：

      a）審計(jì)記錄中應(yīng)能查看到每個(gè)審計(jì)事件是否與引發(fā)審計(jì)事件的用戶身份關(guān)聯(lián)信息；

      b）審計(jì)記錄中應(yīng)能查看到每個(gè)審計(jì)事件是否與引發(fā)審計(jì)事件的【賦值：ST作者指定的用戶身份鑒別方式】相關(guān)聯(lián)的數(shù)據(jù)庫(kù)會(huì)話信息；

      c）應(yīng)檢查提供將審計(jì)記錄中用戶身份與用戶所屬組/角色身份關(guān)聯(lián)查看輔助視圖或管理API/工具，確認(rèn)能看到用戶身份關(guān)聯(lián)信息。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。