美女张开腿露尿与奶头图片免费,久久AV无码精品人妻出轨,波多野结衣一区二区三区AV高清,婷婷中文字幕在线观看

您好!歡迎光臨共立消防科技(廣東)有限公司,我們竭誠(chéng)為您提供優(yōu)質(zhì)服務(wù)!

專注消防維保檢測(cè)

打造消防服務(wù)行業(yè)卓越品牌

消防檢測(cè)維保服務(wù)熱線:

15322445327

GB/T 20009-2019 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估準(zhǔn)則

  • 發(fā)表時(shí)間:2023-03-22
  • 來(lái)源:共立消防
  • 人氣:

1 范圍

      本標(biāo)準(zhǔn)依據(jù)GB/T 20273-2019規(guī)定了數(shù)據(jù)庫(kù)管理系統(tǒng)安全評(píng)估總則、評(píng)估內(nèi)容和評(píng)估方法。

      本標(biāo)準(zhǔn)適用于數(shù)據(jù)庫(kù)管理系統(tǒng)的測(cè)試和評(píng)估,也可用于指導(dǎo)數(shù)據(jù)庫(kù)管理系統(tǒng)的研發(fā)。

      注:本標(biāo)準(zhǔn)規(guī)定的EAL2級(jí)、EAL3級(jí)、EAL4級(jí)的評(píng)估內(nèi)容和評(píng)估方法既適用于基于GB/T 18336-2015所有部分的數(shù)據(jù)庫(kù)管理系統(tǒng)安全性測(cè)評(píng),同樣適用于基于GB17859-1999的數(shù)據(jù)庫(kù)第二級(jí)系統(tǒng)審計(jì)保護(hù)級(jí)、第三級(jí)安全標(biāo)記保護(hù)級(jí)、第四級(jí)結(jié)構(gòu)化保護(hù)級(jí)的數(shù)據(jù)庫(kù)管理系統(tǒng)安全性測(cè)評(píng),相關(guān)對(duì)應(yīng)關(guān)系參見附錄A中A.1。

2 規(guī)范性引用文件

      下列文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,僅注日期的版本適用于本文件。凡是不注日期的引用文件,其最新版本(包括所有的修改版)適用于本文件。

      GB/T 18336.1~18336.3-2015 信息技術(shù) 安全技術(shù) 信息技術(shù)安全評(píng)估準(zhǔn)則

      GB/T 20273-2019 信息安全技術(shù) 數(shù)據(jù)庫(kù)管理系統(tǒng)安全技術(shù)要求

      GB/T 25069-2010 信息安全技術(shù) 術(shù)語(yǔ)

      GB/T 30270-2013 信息技術(shù) 安全技術(shù) 信息技術(shù)安全性評(píng)估方法

3 術(shù)語(yǔ)和定義、縮略語(yǔ)

3.1 術(shù)語(yǔ)和定義

      GB/T 25069-2010、GB/T 30270-2013和GB/T 20273-2019界定的術(shù)語(yǔ)和定義適用于本文件。

3.2 縮略語(yǔ)

      下列縮略語(yǔ)適用于本文件。

      CC:通用準(zhǔn)則(Common Criteria)

      CEM:通用準(zhǔn)則評(píng)估方法(Common Criteria Evaluation Methodology)

      CM:配置管理(Configuration Management)

      DBMS:數(shù)據(jù)庫(kù)管理系統(tǒng)(DataBase Management System)

      EAL:評(píng)估保障級(jí)(Evaluation Assurance Level)

      ETR:評(píng)估技術(shù)報(bào)告(Evaluation Technical Report)

      LBAC:基于標(biāo)簽的訪問(wèn)控制(Label Based Access Control)

      OR:觀察報(bào)告(Observation Report)

      PP:保護(hù)輪廓(Protection Profile)

      SFP:安全功能策略(Security Function Policy)

      SQL:結(jié)構(gòu)化查詢語(yǔ)言(Structured Query Language)

      ST:安全目標(biāo)(Security Target)

      TOE:評(píng)估對(duì)象(Target Of Evaluation)

      TSC:TSF控制范圍(TSF Scope of Control)

      TSF:TOE安全功能(TOE Security Functionality)

      TSFI:TSF接口(TSF Interface)

      TSP:TOE安全策略(TOE Security Policy)

      TSS:TOE概要規(guī)范(TOE Summary Specification)

4 評(píng)估總則

4.1 概述

      本標(biāo)準(zhǔn)依據(jù)GB/T 30270-2013給出了GB/T 20273-2019定義的數(shù)據(jù)庫(kù)管理系統(tǒng)(DBMS)評(píng)估對(duì)象(TOE)安全功能組件和安全保障組件的評(píng)估內(nèi)容和評(píng)估方法。

4.2 評(píng)估要求

      在對(duì)數(shù)據(jù)庫(kù)管理系統(tǒng)進(jìn)行安全評(píng)估時(shí),首先依照GB/T 30270-2013的安全目標(biāo)評(píng)估方法完成對(duì)DBMS ST的評(píng)估,在此基礎(chǔ)上對(duì)DBMS的安全功能和安全保障進(jìn)行評(píng)估:

      a)安全功能評(píng)估目標(biāo)是保證GB/T 20273-2019定義的安全功能組件設(shè)計(jì)與實(shí)現(xiàn)的完整性和正確性,一般通過(guò)對(duì)DBMS發(fā)起者提供的評(píng)估證據(jù)分析和TOE安全功能(TSF)獨(dú)立性測(cè)試,確保DBMS安全功能滿足其安全目標(biāo)聲稱的功能要求。獨(dú)立性測(cè)試應(yīng)依據(jù)數(shù)據(jù)庫(kù)產(chǎn)品廠商提供的一系列評(píng)估證據(jù)(如分析、設(shè)計(jì)與測(cè)試文檔)和TOE安全策略(TSP),由評(píng)估者按照ST中的TSS對(duì)DBMS開發(fā)者提供的評(píng)估對(duì)象證據(jù)材料進(jìn)行分析,并按照評(píng)估保障級(jí)的不同對(duì)DBMS安全功能組件進(jìn)行抽樣測(cè)試,或評(píng)估者自己設(shè)計(jì)相應(yīng)的測(cè)試用例,獨(dú)立地完成DBMS安全功能組件的功能測(cè)試,驗(yàn)證TSF的實(shí)現(xiàn)符合數(shù)據(jù)庫(kù)管理系統(tǒng)概要規(guī)范。

      b)安全保障評(píng)估目標(biāo)是發(fā)現(xiàn)DBMS在設(shè)計(jì)與實(shí)現(xiàn)中的缺陷或脆弱性,以便在評(píng)估過(guò)程中要求開發(fā)者糾正評(píng)估對(duì)象相應(yīng)的錯(cuò)誤,從而減少DBMS在發(fā)布后運(yùn)行過(guò)程中安全功能失效發(fā)生的可能性。因此安全性評(píng)估要求測(cè)試人員在模擬真實(shí)應(yīng)用環(huán)境下,測(cè)試DBMS是否能抵御各種安全攻擊,以確定該評(píng)估對(duì)象是否存在潛在的安全弱點(diǎn)或安全漏洞。穿透性測(cè)試技術(shù)是消除DBMS在設(shè)計(jì)或?qū)崿F(xiàn)中的缺陷或脆弱性的有效方法。測(cè)試人員需依照數(shù)據(jù)庫(kù)產(chǎn)品的通信協(xié)議、結(jié)構(gòu)化查詢語(yǔ)言、數(shù)據(jù)庫(kù)開發(fā)接口、存儲(chǔ)過(guò)程/函數(shù)等安全攻擊面評(píng)估證據(jù)資料,通過(guò)模糊測(cè)試等穿透性測(cè)試技術(shù)對(duì)安全功能組件實(shí)現(xiàn)機(jī)制的可信性進(jìn)行測(cè)試以確保安全功能組件的設(shè)計(jì)、實(shí)現(xiàn)和測(cè)試不存在未知的弱點(diǎn)/缺陷。

4.3 評(píng)估環(huán)境

      在不同的網(wǎng)絡(luò)環(huán)境和服務(wù)器環(huán)境支持下,通用數(shù)據(jù)庫(kù)產(chǎn)品提供多種安全策略和安全控制機(jī)制的解決方案,以滿足評(píng)估對(duì)象消費(fèi)者的安全要求。數(shù)據(jù)庫(kù)管理系統(tǒng)的測(cè)試環(huán)境分為3類:非集群數(shù)據(jù)庫(kù)服務(wù)測(cè)試環(huán)境和集群數(shù)據(jù)庫(kù)服務(wù)測(cè)試環(huán)境,集群測(cè)試環(huán)境又細(xì)分為共享存儲(chǔ)的集群測(cè)試環(huán)境和非共享存儲(chǔ)的集群測(cè)試環(huán)境。

      應(yīng)根據(jù)GB/T 30270-2013安全評(píng)估基本原則、過(guò)程和規(guī)程的體系選擇某個(gè)測(cè)試環(huán)境,對(duì)數(shù)據(jù)庫(kù)產(chǎn)品安全功能和安全保障進(jìn)行評(píng)估。數(shù)據(jù)庫(kù)管理系統(tǒng)安全組件的每個(gè)評(píng)估活動(dòng)都包含兩個(gè)通用的評(píng)估任務(wù):

      a)評(píng)估證據(jù)輸入評(píng)估:評(píng)估發(fā)起者應(yīng)向安全評(píng)估機(jī)構(gòu)提供DBMS安全評(píng)估所有必需的評(píng)估材料:評(píng)估發(fā)起者應(yīng)按照GB/T 30270-2013準(zhǔn)備或開發(fā)TOE相關(guān)的評(píng)估證據(jù),評(píng)估者應(yīng)對(duì)這些輸入要求進(jìn)行評(píng)估。

      b)評(píng)估結(jié)果輸出評(píng)估:安全評(píng)估機(jī)構(gòu)的輸出任務(wù)評(píng)估的目的是評(píng)估輸出的觀察報(bào)告和評(píng)估技術(shù)

報(bào)告應(yīng)滿足評(píng)估結(jié)果的可重復(fù)性和可再現(xiàn)性原則,并應(yīng)保持各種報(bào)告信息類型和數(shù)量的一致性。

4.4 評(píng)估流程

      根據(jù)GB/T 30270-2013的安全評(píng)估過(guò)程包括評(píng)估準(zhǔn)備、評(píng)估實(shí)施、評(píng)估結(jié)果等階段,具體如下:

      a)評(píng)估準(zhǔn)備階段:評(píng)估發(fā)起者應(yīng)按照GB/T 30270-2013給評(píng)估者提供安全目標(biāo),評(píng)估者分析其可行性。評(píng)估者可能會(huì)需要發(fā)起者提供其他評(píng)估相關(guān)的輔助信息。評(píng)估發(fā)起者或者ST開發(fā)者會(huì)給評(píng)估者提供一部分待評(píng)估物。評(píng)估者審查安全目標(biāo),然后告知發(fā)起者對(duì)某些內(nèi)容進(jìn)行必要的補(bǔ)充完善,以方便未來(lái)評(píng)估過(guò)程的實(shí)施。當(dāng)評(píng)估者認(rèn)為評(píng)估發(fā)起者對(duì)評(píng)估所需要的資料都準(zhǔn)備齊全了,則評(píng)估過(guò)程進(jìn)入下一階段。

      b)評(píng)估實(shí)施階段:評(píng)估者生成包括待評(píng)估產(chǎn)品列表,評(píng)估活動(dòng),以及基于GB/T 30270-2013評(píng)估方法的抽樣要求等文檔的可行性研究報(bào)告。發(fā)起者和評(píng)估者在評(píng)估準(zhǔn)備階段簽署一項(xiàng)協(xié)議,該協(xié)議包含評(píng)估的基本框架,同時(shí)要考慮到評(píng)估體制的局限性以及國(guó)家法律和法規(guī)的任何要求。協(xié)議簽訂后,評(píng)估者即可進(jìn)入評(píng)估實(shí)施階段。在此階段包含的主要活動(dòng)內(nèi)容有:

      1)評(píng)估者檢查發(fā)起者或者開發(fā)者應(yīng)交付的評(píng)估物,然后按照GB/T 30270-2013進(jìn)行必要的評(píng)估活動(dòng)。

      2)在評(píng)估階段,評(píng)估者可能會(huì)撰寫觀察報(bào)告。該報(bào)告里,評(píng)估者會(huì)向監(jiān)管者(評(píng)審機(jī)構(gòu))詢問(wèn)如何滿足其監(jiān)管的要求。

      3)監(jiān)管者對(duì)評(píng)估者的解釋請(qǐng)求進(jìn)行回應(yīng),然后允許進(jìn)行下一步評(píng)估。

      4)監(jiān)管者同樣可能確認(rèn)和指出一些潛在的缺陷或者威脅,然后要求發(fā)起者或者開發(fā)者提供額外的信息資料。

      c)評(píng)估最終結(jié)果階段:評(píng)估者根據(jù)文檔審核、測(cè)試情況、現(xiàn)場(chǎng)檢查結(jié)果,對(duì)TOE進(jìn)行綜合評(píng)判,并撰寫評(píng)估技術(shù)報(bào)告。

5 評(píng)估內(nèi)容

5.1 安全功能評(píng)估

5.1.1 概述

      在安全功能組件評(píng)估內(nèi)容描述中,方括號(hào)【】中的黑體字內(nèi)容表示已經(jīng)完成的操作,黑斜體字內(nèi)容表示還需在安全目標(biāo)中由ST作者確定賦值及選擇項(xiàng)。

5.1.2 安全審計(jì)(FAU類)

5.1.2.1 審計(jì)數(shù)據(jù)產(chǎn)生(FAU_GEN.1)

      審計(jì)數(shù)據(jù)產(chǎn)生組件應(yīng)按照安全目標(biāo)設(shè)定的數(shù)據(jù)庫(kù)標(biāo)準(zhǔn)審計(jì)和細(xì)粒度審計(jì)策略自動(dòng)產(chǎn)生相應(yīng)的審計(jì)事件記錄信息。該組件安全評(píng)估內(nèi)容如下:

      a)應(yīng)測(cè)試評(píng)估對(duì)象提供的不同級(jí)別審計(jì)策略能產(chǎn)生下述可審計(jì)事件記錄:

      1)數(shù)據(jù)庫(kù)審計(jì)功能的啟動(dòng)和關(guān)閉;

      2)數(shù)據(jù)庫(kù)實(shí)例及其組件服務(wù)的啟動(dòng)和關(guān)閉;

      3)數(shù)據(jù)庫(kù)實(shí)例配置參數(shù)非缺省值修改事件;

      4)數(shù)據(jù)庫(kù)對(duì)象結(jié)構(gòu)修改事件;

      5)GB/T 20273-2019列出的數(shù)據(jù)庫(kù)審計(jì)級(jí)別【最小】的可審計(jì)事件;

      6)其他面向數(shù)據(jù)庫(kù)安全審計(jì)員的,可繞過(guò)訪問(wèn)控制策略的特殊定義【賦值:ST作者定義的審計(jì)事件】的可審計(jì)事件;

      7)未指定審計(jì)級(jí)別【賦值:數(shù)據(jù)庫(kù)對(duì)象數(shù)據(jù)操作級(jí)別的細(xì)粒度審計(jì)的事件】的所有可審計(jì)事件。

      b)應(yīng)檢查審計(jì)記錄中至少包含如下信息:

      1)事件類型、事件發(fā)生日期和時(shí)間、主體關(guān)聯(lián)身份/組/角色、涉及的數(shù)據(jù)庫(kù)對(duì)象、產(chǎn)生審計(jì)事件的主機(jī)信息、事件操作結(jié)果(成功或失?。?;

      2)應(yīng)根據(jù)評(píng)估對(duì)象【賦值:ST作者指定的審計(jì)事件】和規(guī)定的格式【賦值:數(shù)據(jù)類型與格式】來(lái)生成審計(jì)數(shù)據(jù);

      3)對(duì)于每個(gè)審計(jì)事件類型,基于GB/T20273-2019中包括的安全功能組件的可審計(jì)事件定義。

      c)應(yīng)檢查數(shù)據(jù)庫(kù)管理系統(tǒng)的審計(jì)數(shù)據(jù)產(chǎn)生策略配置管理API或工具,確認(rèn)審計(jì)數(shù)據(jù)產(chǎn)生機(jī)制與功能有效性。

5.1.2.2 用戶身份關(guān)聯(lián)(FAU_GEN.2)

      用戶身份關(guān)聯(lián)組件應(yīng)將審計(jì)事件與主體身份相聯(lián)系,滿足可審計(jì)事件追溯到單個(gè)數(shù)據(jù)庫(kù)用戶身份上的要求。該組件安全評(píng)估內(nèi)容如下:

      a)審計(jì)記錄中應(yīng)能查看到每個(gè)審計(jì)事件是否與引發(fā)審計(jì)事件的用戶身份關(guān)聯(lián)信息;

      b)審計(jì)記錄中應(yīng)能查看到每個(gè)審計(jì)事件是否與引發(fā)審計(jì)事件的【賦值:ST作者指定的用戶身份鑒別方式】相關(guān)聯(lián)的數(shù)據(jù)庫(kù)會(huì)話信息;

      c)應(yīng)檢查提供將審計(jì)記錄中用戶身份與用戶所屬組/角色身份關(guān)聯(lián)查看輔助視圖或管理API/工具,確認(rèn)能看到用戶身份關(guān)聯(lián)信息。


以上為標(biāo)準(zhǔn)部分內(nèi)容,如需看標(biāo)準(zhǔn)全文,請(qǐng)到相關(guān)授權(quán)網(wǎng)站購(gòu)買標(biāo)準(zhǔn)正版。

推薦產(chǎn)品
  • IG541混合氣體滅火系統(tǒng) IG541混合氣體滅火系統(tǒng)
    IG541混合氣體滅火系統(tǒng):IG-541滅火系統(tǒng)采用的IG-541混合氣體滅火劑是由大氣層中的氮?dú)猓∟2)、氬氣(Ar)和二氧化碳(CO2)三種氣體分別以52%、40%、8%的比例混合而成的一種滅火劑
  • 二氧化碳?xì)怏w滅火系統(tǒng) 二氧化碳?xì)怏w滅火系統(tǒng)
    二氧化碳?xì)怏w滅火系統(tǒng):二氧化碳?xì)怏w滅火系統(tǒng)由瓶架、滅火劑瓶組、泄漏檢測(cè)裝置、容器閥、金屬軟管、單向閥(滅火劑管)、集流管、安全泄漏裝置、選擇閥、信號(hào)反饋裝置、滅火劑輸送管、噴嘴、驅(qū)動(dòng)氣體瓶組、電磁驅(qū)動(dòng)
  • 七氟丙烷滅火系統(tǒng) 七氟丙烷滅火系統(tǒng)
    七氟丙烷(HFC—227ea)滅火系統(tǒng)是一種高效能的滅火設(shè)備,其滅火劑HFC—ea是一種無(wú)色、無(wú)味、低毒性、絕緣性好、無(wú)二次污染的氣體,對(duì)大氣臭氧層的耗損潛能值(ODP)為零,是鹵代烷1211、130
  • 手提式干粉滅火器 手提式干粉滅火器
    手提式干粉滅火器適滅火時(shí),可手提或肩扛滅火器快速奔赴火場(chǎng),在距燃燒處5米左右,放下滅火器。如在室外,應(yīng)選擇在上風(fēng)方向噴射。使用的干粉滅火器若是外掛式儲(chǔ)壓式的,操作者應(yīng)一手緊握噴槍、另一手提起儲(chǔ)氣瓶上的
通化市| 安阳市| 苏尼特右旗| 松滋市| 桓仁| 西乌| 武宁县| 茶陵县| 慈溪市| 乌拉特后旗| 襄城县| 宣汉县| 全州县| 遂溪县| 龙川县| 太仓市| 阜平县| 通渭县| 仁布县| 辰溪县| 上虞市| 淳化县| 南丰县| 彰化县| 郓城县| 大庆市| 咸丰县| 嘉义市| 万年县| 富平县| 静乐县| 丰县| 泸州市| 赤城县| 淳安县| 博罗县| 丰宁| 临泽县| 页游| 乌兰察布市| 桐庐县|