1 范圍

      本標(biāo)準(zhǔn)規(guī)定了數(shù)據(jù)庫管理系統(tǒng)評(píng)估對(duì)象描述，不同評(píng)估保障級(jí)的數(shù)據(jù)庫管理系統(tǒng)安全問題定義、安全目的和安全要求，安全問題定義與安全目的、安全目的與安全要求之間的基本原理。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)庫管理系統(tǒng)的測(cè)試、評(píng)估和采購，也可用于指導(dǎo)數(shù)據(jù)庫管理系統(tǒng)的研發(fā)。

      注：本標(biāo)準(zhǔn)規(guī)定的EAL2、EAL3、EAL4級(jí)的安全要求既適用于基于GB/T 18336.1-2015、GB/T 18336.2-2015和GB/T 18336.3-2015的數(shù)據(jù)庫管理系統(tǒng)安全性測(cè)評(píng)，同樣適用于基于GB17859-1999的數(shù)據(jù)庫第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)、第三級(jí)安全標(biāo)記保護(hù)級(jí)、第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的數(shù)據(jù)庫安全性測(cè)評(píng)，相關(guān)對(duì)應(yīng)關(guān)系參見附錄A的A．1。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.1-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第1部分：簡(jiǎn)介和一般模型

      GB/T 18336.2-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第2部分：安全功能組件

      GB/T 18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語

      GB/T 28821-2012 關(guān)系數(shù)據(jù)管理系統(tǒng)技術(shù)要求

3 術(shù)語、定義和縮略語

3.1 術(shù)語和定義

      GB/T 25069-2010、GB/T 18336.1-2015 和 GB/T 28821-2012界定的術(shù)語和定義適用于本文件。

3.2 縮略語

      下列縮略語適用于本文件。

      ACID：原子性、隔離性、一致性和持久性

      CM：配置管理（Configuration Management）

      DBMS：數(shù)據(jù)庫管理系統(tǒng)（DataBase Management System）

      EAL：評(píng)估保障級(jí)（Evaluation Assurance Level）

      IT：信息技術(shù)（Information Technology）

      JDBC：JAVA數(shù)據(jù)庫連接（Java DataBase Connectivity）

      LBAC：基于標(biāo)簽的訪問控制（Label Based Access Control）

      ODBC：開放數(shù)據(jù)庫連接（Open DataBase Connectivity）

      PP：保護(hù)輪廓（Protection Profile）

      RDBMS：關(guān)系數(shù)據(jù)庫管理系統(tǒng)（Relational DataBase Management System）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirements）

      SQL：結(jié)構(gòu)化查詢語言（Structured Query Language）

      ST：安全目標(biāo)（Security Target）

      TOE：評(píng)估對(duì)象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

4 評(píng)估對(duì)象描述

4.1 評(píng)估對(duì)象概述

      本標(biāo)準(zhǔn)評(píng)估對(duì)象（TOE）是指數(shù)據(jù)庫管理系統(tǒng)（DBMS）所包含的管理軟件及其管理的數(shù)據(jù)庫對(duì)象。

      DBMS所包含的管理軟件應(yīng)提供數(shù)據(jù)庫語言對(duì)數(shù)據(jù)庫對(duì)象進(jìn)行定義、操作和管理；提供數(shù)據(jù)庫控制語言，通過數(shù)據(jù)模型語義約束條件維護(hù)DBMS運(yùn)行的數(shù)據(jù)完整性；提供數(shù)據(jù)庫備份、還原與恢復(fù)機(jī)制，保證DBMS運(yùn)行中出現(xiàn)故障時(shí)的數(shù)據(jù)庫可用性。關(guān)系數(shù)據(jù)庫管理系統(tǒng)（RDBMS）應(yīng)提供事務(wù)管理機(jī)制，保證多用戶數(shù)據(jù)庫并發(fā)操作時(shí)事務(wù)的原子性、隔離性、一致性和持久性（ACID）。

      DBMS主要包括以下組成部分：

      a）數(shù)據(jù)庫：存放用戶數(shù)據(jù)和TOE安全功能（TSF）數(shù)據(jù)的數(shù)據(jù)文件、存放數(shù)據(jù)庫事務(wù)處理過程的日志文件、維護(hù)DBMS運(yùn)行完整性控制文件等物理文件組成。存儲(chǔ)的數(shù)據(jù)庫對(duì)象包括模式對(duì)象、非模式對(duì)象、數(shù)據(jù)庫字典對(duì)象等。

      b）數(shù)據(jù)庫實(shí)例：包括查詢引擎、事務(wù)管理器、數(shù)據(jù)存儲(chǔ)管理器等部件。實(shí)現(xiàn)對(duì)數(shù)據(jù)庫對(duì)象的定義、管理、查詢、更新、控制等基本功能。

      c）數(shù)據(jù)庫語言及其訪問接口：提供結(jié)構(gòu)化查詢語言（SQL）、開放數(shù)據(jù)庫連接（ODBC）、JAVA數(shù)據(jù)庫連接（JDBC）等數(shù)據(jù)庫語言和數(shù)據(jù)庫開發(fā)接口規(guī)范，允許授權(quán)用戶通過數(shù)據(jù)庫開發(fā)接口定義數(shù)據(jù)庫結(jié)構(gòu)、訪問和修改數(shù)據(jù)庫對(duì)象數(shù)據(jù)、展現(xiàn)DBMS運(yùn)行相關(guān)配置參數(shù)，以及對(duì)用戶數(shù)據(jù)和DBMS運(yùn)行相關(guān)數(shù)據(jù)執(zhí)行各種維護(hù)操作。

      d）DBMS運(yùn)行維護(hù)輔助工具：提供數(shù)據(jù)庫實(shí)例的啟動(dòng)與關(guān)閉，數(shù)據(jù)庫或數(shù)據(jù)文件的聯(lián)機(jī)、脫機(jī)、打開與關(guān)閉，數(shù)據(jù)庫檢查點(diǎn)控制，數(shù)據(jù)庫日志歸檔、外部數(shù)據(jù)導(dǎo)入等DBMS運(yùn)行維護(hù)輔助工具或接口

4.2 評(píng)估對(duì)象安全特性

      DBMS提供通過多種安全控制措施保證其管理數(shù)據(jù)資產(chǎn)安全。TOE安全特性可由DBMS本身直接提供，也可通過DBMS運(yùn)行的信息技術(shù)（IT）環(huán)境間接支持。

      DBMS安全特性主要包括：

      a）用戶認(rèn)證：用戶標(biāo)識(shí)只有通過身份鑒別后才能通過TOE的訪問控制引擎控制授權(quán)用戶對(duì)數(shù)據(jù)庫對(duì)象的訪問和操作。

      b）用戶授權(quán)：每個(gè)授權(quán)用戶有一組數(shù)據(jù)庫安全域特性，可決定用戶下列安全域特性內(nèi)容：可用特權(quán)和授權(quán)角色、可用存儲(chǔ)空間（如表空間）限額、可用系統(tǒng)資源（如共享緩存、數(shù)據(jù)讀寫容量、處理器使用）限制等安全屬性。

      c）角色管理：提供安全管理員、安全審計(jì)員、數(shù)據(jù)庫管理員等缺省的數(shù)據(jù)庫角色。授權(quán)管理員也可以面向授權(quán)用戶配置其訪問控制策略、定義用戶標(biāo)識(shí)與鑒別方式、設(shè)置數(shù)據(jù)庫審計(jì)策略等數(shù)

據(jù)庫安全管理功能。

      d）訪問控制：在確認(rèn)授權(quán)用戶與授權(quán)管理員身份以及他們安全域特性基礎(chǔ)上，TSF實(shí)施授權(quán)用戶與授權(quán)管理員的授權(quán)策略，控制主體訪問客體活動(dòng)。例如：自主訪問控制、基于角色的訪問控制、基于標(biāo)簽的訪問控制等。

      e）安全審計(jì)：提供與TSF相關(guān)的數(shù)據(jù)庫操作是否被記錄到數(shù)據(jù)庫審計(jì)文件的機(jī)制。審計(jì)蹤跡記錄可以存儲(chǔ)在DBMS審計(jì)表或外部IT環(huán)境的系統(tǒng)文件中。TSF應(yīng)提供審計(jì)記錄的安全保護(hù)。

      f) 備份恢復(fù)：DBMS運(yùn)行出現(xiàn)故障后，利用TSF數(shù)據(jù)庫備份與恢復(fù)機(jī)制實(shí)現(xiàn)對(duì)備份數(shù)據(jù)的還原，在數(shù)據(jù)庫還原的基礎(chǔ)上利用數(shù)據(jù)庫日志進(jìn)行數(shù)據(jù)庫恢復(fù)，重新建立一個(gè)完整的數(shù)據(jù)庫。

      g）數(shù)據(jù)加密：提供對(duì)數(shù)據(jù)庫中的數(shù)據(jù)進(jìn)行加密存儲(chǔ)、傳輸或處理，以及密鑰管理服務(wù)接口功能，從而保證用戶數(shù)據(jù)的保密性。

      h）資源限制：防止授權(quán)用戶無控制地使用主機(jī)處理器（CPU）、共享緩存、數(shù)據(jù)庫存儲(chǔ)介質(zhì)等數(shù)據(jù)庫服務(wù)器資源，限制每個(gè)授權(quán)用戶/授權(quán)管理員的并行會(huì)話數(shù)等功能。

      注：DBMS軟件及其管理數(shù)據(jù)資產(chǎn)的安全性不是孤立的。在生產(chǎn)環(huán)境下，操作系統(tǒng)、網(wǎng)絡(luò)系統(tǒng)與硬件等DBMS運(yùn)行IT環(huán)境和DBMS一起共同構(gòu)筑起TOE的安全體系。安全目標(biāo)（ST）作者在描述TOE時(shí)明確說明和標(biāo)識(shí)評(píng)估DBMS的體系結(jié)構(gòu)與這些IT環(huán)境各個(gè)組件之間的相互關(guān)系。

4.3 評(píng)估對(duì)象部署方式說明

      DBMS的任何內(nèi)部和外部實(shí)體若要獲取TOE管理的數(shù)據(jù)資產(chǎn)，應(yīng)首先滿足與TOE及運(yùn)行環(huán)境相應(yīng)的安全策略。TOE運(yùn)行環(huán)境對(duì)象可能包括多個(gè)安全控制組件，涉及設(shè)備物理安全、環(huán)境物理安全、系統(tǒng)物理安全、人員安全管理等多種安全策略。這些運(yùn)行環(huán)境安全策略使DBMS軟件及其管理的數(shù)據(jù)庫免受DBMS運(yùn)行環(huán)境中的安全威脅。

      本標(biāo)準(zhǔn)可用來評(píng)估多種部署結(jié)構(gòu)的DBMS安全性，包括但不限于下列體系結(jié)構(gòu)：

      a）集中式體系結(jié)構(gòu)：DBMS軟件和數(shù)據(jù)庫應(yīng)用程序都安裝運(yùn)行在一個(gè)主機(jī)上，用戶只能通過應(yīng)用終端發(fā)出存取數(shù)據(jù)庫訪問請(qǐng)求或管理命令，由通信線路傳輸給主機(jī)，主機(jī)上的數(shù)據(jù)庫實(shí)例響應(yīng)并處理后，再將處理結(jié)果通過通信線路返回給用戶終端。

      b）客戶/服務(wù)器體系結(jié)構(gòu)：客戶端數(shù)據(jù)庫應(yīng)用和服務(wù)器端數(shù)據(jù)庫實(shí)例通過網(wǎng)絡(luò)連接進(jìn)行通信，客戶端發(fā)送數(shù)據(jù)庫訪問請(qǐng)求或管理命令，展示數(shù)據(jù)庫實(shí)例返回的數(shù)據(jù)，服務(wù)器端安全地執(zhí)行用戶數(shù)據(jù)庫訪問請(qǐng)求或管理命令。前端應(yīng)用可以是基于瀏覽器實(shí)現(xiàn)，通過遠(yuǎn)程Web服務(wù)器或應(yīng)用服務(wù)器實(shí)現(xiàn)與數(shù)據(jù)庫服務(wù)器的連接，由遠(yuǎn)程服務(wù)器負(fù)責(zé)與數(shù)據(jù)庫服務(wù)器交互。

      c）分布式數(shù)據(jù)庫體系結(jié)構(gòu)：數(shù)據(jù)節(jié)點(diǎn)分別保存在多個(gè)物理上相互獨(dú)立的站點(diǎn)數(shù)據(jù)庫服務(wù)器上，這些站點(diǎn)之間的數(shù)據(jù)庫服務(wù)器通過網(wǎng)絡(luò)連接，協(xié)同提供分布式數(shù)據(jù)庫數(shù)據(jù)訪問服務(wù)。用戶可以對(duì)本地服務(wù)器中的數(shù)據(jù)節(jié)點(diǎn)執(zhí)行某些數(shù)據(jù)庫訪問請(qǐng)求或管理命令（局部應(yīng)用），也可以對(duì)其他站點(diǎn)上的數(shù)據(jù)節(jié)點(diǎn)執(zhí)行某些數(shù)據(jù)庫訪問請(qǐng)求或管理命令（全局應(yīng)用或分布應(yīng)用）。

      注：本標(biāo)準(zhǔn)定義了一個(gè)必要的數(shù)據(jù)庫管理員角色（授權(quán)管理員），并允許ST作者定義更多的授權(quán)管理員角色。當(dāng)然對(duì)某些DBMS，提供的管理角色數(shù)量和角色責(zé)任的能力，以及這些角色的分配能力在TOE實(shí)現(xiàn)中都預(yù)先存在。TSF提供這些系統(tǒng)權(quán)限或角色建立、分配、撤銷等授權(quán)管理功能。

5 安全問題定義

5.1 數(shù)據(jù)資產(chǎn)

      DBMS需要保護(hù)的數(shù)據(jù)資產(chǎn)包括：

      a） TSF數(shù)據(jù)：存儲(chǔ)在TOE中數(shù)據(jù)庫字典數(shù)據(jù)，面向數(shù)據(jù)庫應(yīng)用的數(shù)據(jù)庫對(duì)象定義數(shù)據(jù)、DBMS運(yùn)行統(tǒng)計(jì)數(shù)據(jù)、數(shù)據(jù)庫邏輯存儲(chǔ)與物理存儲(chǔ)管理數(shù)據(jù)等。

      b）用戶數(shù)據(jù)：存儲(chǔ)在TOE中的非TSF數(shù)據(jù)的數(shù)據(jù)，一般指與用戶數(shù)據(jù)庫應(yīng)用相關(guān)的、存儲(chǔ)在數(shù)據(jù)庫中的各種數(shù)據(jù)庫對(duì)象數(shù)據(jù)，如表數(shù)據(jù)、索引數(shù)據(jù)、物化視圖數(shù)據(jù)、語義約束條件、業(yè)務(wù)過程等來自用戶數(shù)據(jù)庫應(yīng)用程序的數(shù)據(jù)。

      c）安全運(yùn)行數(shù)據(jù)：TOE中的事務(wù)日志數(shù)據(jù)、安全審計(jì)數(shù)據(jù)等，包括存儲(chǔ)在DBMS外部，但由DBMS維護(hù)的數(shù)據(jù)庫實(shí)例、數(shù)據(jù)庫配置等控制TOE安全運(yùn)行相關(guān)參數(shù)配置數(shù)據(jù)。

以上為標(biāo)準(zhǔn)部分內(nèi)容，如需看標(biāo)準(zhǔn)全文，請(qǐng)到相關(guān)授權(quán)網(wǎng)站購買標(biāo)準(zhǔn)正版。