1 范圍

      本標準規(guī)定了數(shù)據(jù)庫管理系統(tǒng)評估對象描述，不同評估保障級的數(shù)據(jù)庫管理系統(tǒng)安全問題定義、安全目的和安全要求，安全問題定義與安全目的、安全目的與安全要求之間的基本原理。

      本標準適用于數(shù)據(jù)庫管理系統(tǒng)的測試、評估和采購，也可用于指導數(shù)據(jù)庫管理系統(tǒng)的研發(fā)。

      注：本標準規(guī)定的EAL2、EAL3、EAL4級的安全要求既適用于基于GB/T 18336.1-2015、GB/T 18336.2-2015和GB/T 18336.3-2015的數(shù)據(jù)庫管理系統(tǒng)安全性測評，同樣適用于基于GB17859-1999的數(shù)據(jù)庫第二級系統(tǒng)審計保護級、第三級安全標記保護級、第四級結(jié)構化保護級的數(shù)據(jù)庫安全性測評，相關對應關系參見附錄A的A．1。

2 規(guī)范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改單）適用于本文件。

      GB/T 18336.1-2015 信息技術 安全技術 信息技術安全評估準則 第1部分：簡介和一般模型

      GB/T 18336.2-2015 信息技術 安全技術 信息技術安全評估準則 第2部分：安全功能組件

      GB/T 18336.3-2015 信息技術 安全技術 信息技術安全評估準則 第3部分：安全保障組件

      GB/T 25069-2010 信息安全技術 術語

      GB/T 28821-2012 關系數(shù)據(jù)管理系統(tǒng)技術要求

3 術語、定義和縮略語

3.1 術語和定義

      GB/T 25069-2010、GB/T 18336.1-2015 和 GB/T 28821-2012界定的術語和定義適用于本文件。

3.2 縮略語

      下列縮略語適用于本文件。

      ACID：原子性、隔離性、一致性和持久性

      CM：配置管理（Configuration Management）

      DBMS：數(shù)據(jù)庫管理系統(tǒng)（DataBase Management System）

      EAL：評估保障級（Evaluation Assurance Level）

      IT：信息技術（Information Technology）

      JDBC：JAVA數(shù)據(jù)庫連接（Java DataBase Connectivity）

      LBAC：基于標簽的訪問控制（Label Based Access Control）

      ODBC：開放數(shù)據(jù)庫連接（Open DataBase Connectivity）

      PP：保護輪廓（Protection Profile）

      RDBMS：關系數(shù)據(jù)庫管理系統(tǒng)（Relational DataBase Management System）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirements）

      SQL：結(jié)構化查詢語言（Structured Query Language）

      ST：安全目標（Security Target）

      TOE：評估對象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

4 評估對象描述

4.1 評估對象概述

      本標準評估對象（TOE）是指數(shù)據(jù)庫管理系統(tǒng)（DBMS）所包含的管理軟件及其管理的數(shù)據(jù)庫對象。

      DBMS所包含的管理軟件應提供數(shù)據(jù)庫語言對數(shù)據(jù)庫對象進行定義、操作和管理；提供數(shù)據(jù)庫控制語言，通過數(shù)據(jù)模型語義約束條件維護DBMS運行的數(shù)據(jù)完整性；提供數(shù)據(jù)庫備份、還原與恢復機制，保證DBMS運行中出現(xiàn)故障時的數(shù)據(jù)庫可用性。關系數(shù)據(jù)庫管理系統(tǒng)（RDBMS）應提供事務管理機制，保證多用戶數(shù)據(jù)庫并發(fā)操作時事務的原子性、隔離性、一致性和持久性（ACID）。

      DBMS主要包括以下組成部分：

      a）數(shù)據(jù)庫：存放用戶數(shù)據(jù)和TOE安全功能（TSF）數(shù)據(jù)的數(shù)據(jù)文件、存放數(shù)據(jù)庫事務處理過程的日志文件、維護DBMS運行完整性控制文件等物理文件組成。存儲的數(shù)據(jù)庫對象包括模式對象、非模式對象、數(shù)據(jù)庫字典對象等。

      b）數(shù)據(jù)庫實例：包括查詢引擎、事務管理器、數(shù)據(jù)存儲管理器等部件。實現(xiàn)對數(shù)據(jù)庫對象的定義、管理、查詢、更新、控制等基本功能。

      c）數(shù)據(jù)庫語言及其訪問接口：提供結(jié)構化查詢語言（SQL）、開放數(shù)據(jù)庫連接（ODBC）、JAVA數(shù)據(jù)庫連接（JDBC）等數(shù)據(jù)庫語言和數(shù)據(jù)庫開發(fā)接口規(guī)范，允許授權用戶通過數(shù)據(jù)庫開發(fā)接口定義數(shù)據(jù)庫結(jié)構、訪問和修改數(shù)據(jù)庫對象數(shù)據(jù)、展現(xiàn)DBMS運行相關配置參數(shù)，以及對用戶數(shù)據(jù)和DBMS運行相關數(shù)據(jù)執(zhí)行各種維護操作。

      d）DBMS運行維護輔助工具：提供數(shù)據(jù)庫實例的啟動與關閉，數(shù)據(jù)庫或數(shù)據(jù)文件的聯(lián)機、脫機、打開與關閉，數(shù)據(jù)庫檢查點控制，數(shù)據(jù)庫日志歸檔、外部數(shù)據(jù)導入等DBMS運行維護輔助工具或接口

4.2 評估對象安全特性

      DBMS提供通過多種安全控制措施保證其管理數(shù)據(jù)資產(chǎn)安全。TOE安全特性可由DBMS本身直接提供，也可通過DBMS運行的信息技術（IT）環(huán)境間接支持。

      DBMS安全特性主要包括：

      a）用戶認證：用戶標識只有通過身份鑒別后才能通過TOE的訪問控制引擎控制授權用戶對數(shù)據(jù)庫對象的訪問和操作。

      b）用戶授權：每個授權用戶有一組數(shù)據(jù)庫安全域特性，可決定用戶下列安全域特性內(nèi)容：可用特權和授權角色、可用存儲空間（如表空間）限額、可用系統(tǒng)資源（如共享緩存、數(shù)據(jù)讀寫容量、處理器使用）限制等安全屬性。

      c）角色管理：提供安全管理員、安全審計員、數(shù)據(jù)庫管理員等缺省的數(shù)據(jù)庫角色。授權管理員也可以面向授權用戶配置其訪問控制策略、定義用戶標識與鑒別方式、設置數(shù)據(jù)庫審計策略等數(shù)

據(jù)庫安全管理功能。

      d）訪問控制：在確認授權用戶與授權管理員身份以及他們安全域特性基礎上，TSF實施授權用戶與授權管理員的授權策略，控制主體訪問客體活動。例如：自主訪問控制、基于角色的訪問控制、基于標簽的訪問控制等。

      e）安全審計：提供與TSF相關的數(shù)據(jù)庫操作是否被記錄到數(shù)據(jù)庫審計文件的機制。審計蹤跡記錄可以存儲在DBMS審計表或外部IT環(huán)境的系統(tǒng)文件中。TSF應提供審計記錄的安全保護。

      f) 備份恢復：DBMS運行出現(xiàn)故障后，利用TSF數(shù)據(jù)庫備份與恢復機制實現(xiàn)對備份數(shù)據(jù)的還原，在數(shù)據(jù)庫還原的基礎上利用數(shù)據(jù)庫日志進行數(shù)據(jù)庫恢復，重新建立一個完整的數(shù)據(jù)庫。

      g）數(shù)據(jù)加密：提供對數(shù)據(jù)庫中的數(shù)據(jù)進行加密存儲、傳輸或處理，以及密鑰管理服務接口功能，從而保證用戶數(shù)據(jù)的保密性。

      h）資源限制：防止授權用戶無控制地使用主機處理器（CPU）、共享緩存、數(shù)據(jù)庫存儲介質(zhì)等數(shù)據(jù)庫服務器資源，限制每個授權用戶/授權管理員的并行會話數(shù)等功能。

      注：DBMS軟件及其管理數(shù)據(jù)資產(chǎn)的安全性不是孤立的。在生產(chǎn)環(huán)境下，操作系統(tǒng)、網(wǎng)絡系統(tǒng)與硬件等DBMS運行IT環(huán)境和DBMS一起共同構筑起TOE的安全體系。安全目標（ST）作者在描述TOE時明確說明和標識評估DBMS的體系結(jié)構與這些IT環(huán)境各個組件之間的相互關系。

4.3 評估對象部署方式說明

      DBMS的任何內(nèi)部和外部實體若要獲取TOE管理的數(shù)據(jù)資產(chǎn)，應首先滿足與TOE及運行環(huán)境相應的安全策略。TOE運行環(huán)境對象可能包括多個安全控制組件，涉及設備物理安全、環(huán)境物理安全、系統(tǒng)物理安全、人員安全管理等多種安全策略。這些運行環(huán)境安全策略使DBMS軟件及其管理的數(shù)據(jù)庫免受DBMS運行環(huán)境中的安全威脅。

      本標準可用來評估多種部署結(jié)構的DBMS安全性，包括但不限于下列體系結(jié)構：

      a）集中式體系結(jié)構：DBMS軟件和數(shù)據(jù)庫應用程序都安裝運行在一個主機上，用戶只能通過應用終端發(fā)出存取數(shù)據(jù)庫訪問請求或管理命令，由通信線路傳輸給主機，主機上的數(shù)據(jù)庫實例響應并處理后，再將處理結(jié)果通過通信線路返回給用戶終端。

      b）客戶/服務器體系結(jié)構：客戶端數(shù)據(jù)庫應用和服務器端數(shù)據(jù)庫實例通過網(wǎng)絡連接進行通信，客戶端發(fā)送數(shù)據(jù)庫訪問請求或管理命令，展示數(shù)據(jù)庫實例返回的數(shù)據(jù)，服務器端安全地執(zhí)行用戶數(shù)據(jù)庫訪問請求或管理命令。前端應用可以是基于瀏覽器實現(xiàn)，通過遠程Web服務器或應用服務器實現(xiàn)與數(shù)據(jù)庫服務器的連接，由遠程服務器負責與數(shù)據(jù)庫服務器交互。

      c）分布式數(shù)據(jù)庫體系結(jié)構：數(shù)據(jù)節(jié)點分別保存在多個物理上相互獨立的站點數(shù)據(jù)庫服務器上，這些站點之間的數(shù)據(jù)庫服務器通過網(wǎng)絡連接，協(xié)同提供分布式數(shù)據(jù)庫數(shù)據(jù)訪問服務。用戶可以對本地服務器中的數(shù)據(jù)節(jié)點執(zhí)行某些數(shù)據(jù)庫訪問請求或管理命令（局部應用），也可以對其他站點上的數(shù)據(jù)節(jié)點執(zhí)行某些數(shù)據(jù)庫訪問請求或管理命令（全局應用或分布應用）。

      注：本標準定義了一個必要的數(shù)據(jù)庫管理員角色（授權管理員），并允許ST作者定義更多的授權管理員角色。當然對某些DBMS，提供的管理角色數(shù)量和角色責任的能力，以及這些角色的分配能力在TOE實現(xiàn)中都預先存在。TSF提供這些系統(tǒng)權限或角色建立、分配、撤銷等授權管理功能。

5 安全問題定義

5.1 數(shù)據(jù)資產(chǎn)

      DBMS需要保護的數(shù)據(jù)資產(chǎn)包括：

      a） TSF數(shù)據(jù)：存儲在TOE中數(shù)據(jù)庫字典數(shù)據(jù)，面向數(shù)據(jù)庫應用的數(shù)據(jù)庫對象定義數(shù)據(jù)、DBMS運行統(tǒng)計數(shù)據(jù)、數(shù)據(jù)庫邏輯存儲與物理存儲管理數(shù)據(jù)等。

      b）用戶數(shù)據(jù)：存儲在TOE中的非TSF數(shù)據(jù)的數(shù)據(jù)，一般指與用戶數(shù)據(jù)庫應用相關的、存儲在數(shù)據(jù)庫中的各種數(shù)據(jù)庫對象數(shù)據(jù)，如表數(shù)據(jù)、索引數(shù)據(jù)、物化視圖數(shù)據(jù)、語義約束條件、業(yè)務過程等來自用戶數(shù)據(jù)庫應用程序的數(shù)據(jù)。

      c）安全運行數(shù)據(jù)：TOE中的事務日志數(shù)據(jù)、安全審計數(shù)據(jù)等，包括存儲在DBMS外部，但由DBMS維護的數(shù)據(jù)庫實例、數(shù)據(jù)庫配置等控制TOE安全運行相關參數(shù)配置數(shù)據(jù)。

以上為標準部分內(nèi)容，如需看標準全文，請到相關授權網(wǎng)站購買標準正版。