GBT200092019信息安全技术数据库管理系统安全评估准则

书书书犐犆犛３５．０４０犔８０中华人民共和国国家标准犌犅／犜２０００９—２０１９代替ＧＢ／Ｔ２０００９—２００５信息安全技术数据库管理系统安全评估准则犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—犛犲犮狌狉犻狋狔犲狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犱犪狋犪犫犪狊犲犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿２０１９０８３０发布２０２００３０１实施国家市场监督管理总局中国国家标准化管理委员会发布书书书目　　次前言Ⅲ…………………………………………………………………………………………………………１　范围１………………………………………………………………………………………………………２　规范性引用文件１…………………………………………………………………………………………３　术语和定义、缩略语１………………………………………………………………………………………　３．１　术语和定义１…………………………………………………………………………………………　３．２　缩略语１………………………………………………………………………………………………４　评估总则２…………………………………………………………………………………………………　４．１　概述２…………………………………………………………………………………………………　４．２　评估要求２……………………………………………………………………………………………　４．３　评估环境２……………………………………………………………………………………………　４．４　评估流程３……………………………………………………………………………………………５　评估内容３…………………………………………………………………………………………………　５．１　安全功能评估３………………………………………………………………………………………　５．２　安全保障评估２２………………………………………………………………………………………　５．３　评估方法３５……………………………………………………………………………………………附录Ａ（资料性附录）　标准修订说明４０……………………………………………………………………Ⅰ犌犅／犜２０００９—２０１９前　　言　　本标准按照ＧＢ／Ｔ１．１—２００９给出的规则起草。本标准代替ＧＢ／Ｔ２０００９—２００５《信息安全技术　数据库管理系统安全评估准则》。与ＧＢ／Ｔ２０００９—２００５相比，除编辑性修改外主要技术变化如下：———修改了第３章术语和定义及缩略语（见３．１和３．２，２００５年版第３章）；———修改了第４章“安全环境”，标题修改为评估总则，描述了数据库管理系统总体要求、评估要求、评估环境和评估流程（见第４章，２００５年版第４章）；———修改了第５章评估内容，按照ＧＢ／Ｔ３０２７０—２０１３定义了ＧＢ／Ｔ２０２７３—２０１９中的安全功能组件和安全保障组件评估内容（见第５章，２００５年版第５章）；———删除了附录Ａ“数据库管理系统面临的威胁和对策”（见２００５年版附录Ａ）；———按照评估保障级概念列出了ＥＡＬ２、ＥＡＬ３和ＥＡＬ４组件列表及评估准则。请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口。本标准起草单位：中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。本标准主要起草人：张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。本标准所代替标准的历次版本发布情况为：———ＧＢ／Ｔ２０００９—２００５。Ⅲ犌犅／犜２０００９—２０１９信息安全技术数据库管理系统安全评估准则１　范围本标准依据ＧＢ／Ｔ２０２７３—２０１９规定了数据库管理系统安全评估总则、评估内容和评估方法。本标准适用于数据库管理系统的测试和评估，也可用于指导数据库管理系统的研发。注：本标准规定的ＥＡＬ２级、ＥＡＬ３级、ＥＡＬ４级的评估内容和评估方法既适用于基于ＧＢ／Ｔ１８３３６—２０１５所有部分的数据库管理系统安全性测评，同样适用于基于ＧＢ１７８５９—１９９９的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库管理系统安全性测评，相关对应关系参见附录Ａ中Ａ．１。２　规范性引用文件下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。ＧＢ／Ｔ１８３３６．１～１８３３６．３—２０１５　信息技术　安全技术　信息技术安全评估准则ＧＢ／Ｔ２０２７３—２０１９　信息安全技术　数据库管理系统安全技术要求ＧＢ／Ｔ２５０６９—２０１０　信息安全技术　术语ＧＢ／Ｔ３０２７０—２０１３　信息技术　安全技术　信息技术安全性评估方法３　术语和定义、缩略语３．１　术语和定义ＧＢ／Ｔ２５０６９—２０１０、ＧＢ／Ｔ３０２７０—２０１３和ＧＢ／Ｔ２０２７３—２０１９界定的术语和定义适用于本文件。３．２　缩略语下列缩略语适用于本文件。ＣＣ：通用准则（ＣｏｍｍｏｎＣｒｉｔｅｒｉａ）ＣＥＭ：通用准则评估方法（ＣｏｍｍｏｎＣｒｉｔｅｒｉａＥｖａｌｕａｔｉｏｎＭｅｔｈｏｄｏｌｏｇｙ）ＣＭ：配置管理（ＣｏｎｆｉｇｕｒａｔｉｏｎＭａｎａｇｅｍｅｎｔ）ＤＢＭＳ：数据库管理系统（ＤａｔａＢａｓｅＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ）ＥＡＬ：评估保障级（ＥｖａｌｕａｔｉｏｎＡｓｓｕｒａｎｃｅＬｅｖｅｌ）ＥＴＲ：评估技术报告（ＥｖａｌｕａｔｉｏｎＴｅｃｈｎｉｃａｌＲｅｐｏｒｔ）ＬＢＡＣ：基于标签的访问控制（ＬａｂｅｌＢａｓｅｄＡｃｃｅｓｓＣｏｎｔｒｏｌ）ＯＲ：观察报告（ＯｂｓｅｒｖａｔｉｏｎＲｅｐｏｒｔ）ＰＰ：保护轮廓（ＰｒｏｔｅｃｔｉｏｎＰｒｏｆｉｌｅ）ＳＦＰ：安全功能策略（ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎＰｏｌｉｃｙ）ＳＱＬ：结构化查询语言（ＳｔｒｕｃｔｕｒｅｄＱｕｅｒｙＬａｎｇｕａｇｅ）ＳＴ：安全目标（ＳｅｃｕｒｉｔｙＴａｒｇｅｔ）ＴＯＥ：评估对象（ＴａｒｇｅｔＯｆＥｖａｌｕａｔｉｏｎ）１犌犅／犜２０００９—２０１９ＴＳＣ：ＴＳＦ控制范围（ＴＳＦＳｃｏｐｅｏｆＣｏｎｔｒｏｌ）ＴＳＦ：ＴＯＥ安全功能（ＴＯＥＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎａｌｉｔｙ）ＴＳＦＩ：ＴＳＦ接口（ＴＳＦＩｎｔｅｒｆａｃｅ）ＴＳＰ：ＴＯＥ安全策略（ＴＯＥＳｅｃｕｒｉｔｙＰｏｌｉｃｙ）ＴＳＳ：ＴＯＥ概要规范（ＴＯＥＳｕｍｍａｒｙＳｐｅｃｉｆｉｃａｔｉｏｎ）４　评估总则４．１　概述本标准依据ＧＢ／Ｔ３０２７０—２０１３给出了ＧＢ／Ｔ２０２７３—２０１９定义的数据库管理系统（ＤＢＭＳ）评估对象（ＴＯＥ）安全功能组件和安全保障组件的评估内容和评估方法。４．２　评估要求在对数据库管理系统进行安全评估时，首先依照ＧＢ／Ｔ３０２７０—２０１３的安全目标评估方法完成对ＤＢＭＳＳＴ的评估，在此基础上对ＤＢＭＳ的安全功能和安全保障进行评估：ａ）　安全功能评估目标是保证ＧＢ／Ｔ２０２７３—２０１９定义的安全功能组件设计与实现的完整性和正确性，一般通过对ＤＢＭＳ发起者提供的评估证据分析和ＴＯＥ安全功能（ＴＳＦ）独立性测试，确保ＤＢＭＳ安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据（如分析、设计与测试文档）和ＴＯＥ安全策略（ＴＳＰ），由评估者按照ＳＴ中的ＴＳＳ对ＤＢＭＳ开发者提供的评估对象证据材料进行分析，并按照评估保障级的不同对ＤＢＭＳ安全功能组件进行抽样测试，或评估者自己设计相应的测试用例，独立地完成ＤＢＭＳ安全功能组件的功能测试，验证ＴＳＦ的实现符合数据库管理系统概要规范。ｂ）　安全保障评估目标是发现ＤＢＭＳ在设计与实现中的缺陷或脆弱性，以便在评估过程中要求开发者纠正评估对象相应的错误，从而减少ＤＢＭＳ在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下，测试ＤＢＭＳ是否能抵御各种安全攻击，以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除ＤＢＭＳ在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通信协议、结构化查询语言、数据库开发接口、存储过程／函数等安全攻击面评估证据资料，通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点／缺陷。４．３　评估环境在不同的网络环境和服务器环境支持下，通用数据库产品提供多种安全策略和安全控制机制的解决方案，以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为３类：非集群数据库服务测试环境和集群数据库服务测试环境，集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。应根据ＧＢ／Ｔ３０２７０—２０１３安全评估基本原则、过程和规程的体系选择某个测试环境，对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务：ａ）　评估证据输入评估：评估发起者应向安全评估机构提供ＤＢＭＳ安全评估所有必需的评估材料：评估发起者应按照ＧＢ／Ｔ３０２７０—２０１３准备或开发ＴＯＥ相关的评估证据，评估者应对这些输入要求进行评估。ｂ）　评估结果输出评估：安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术２犌犅／犜２０００９—２０１９报告应满足评估结果的可重复性和可再现性原则，并应保持各种报告信息类型和数量的一致性。４．４　评估流程根据ＧＢ／Ｔ３０２７０—２０１３的安全评估过程包括评估准备、评估实施、评估结果等阶段，具体如下：ａ）　评估准备阶段：评估发起者应按照ＧＢ／Ｔ３０２７０—２０１３给评估者提供安全目标，评估者分析其可行性。评估者可能会需要发起者提供其他评估相关的辅助信息。评估发起者或者ＳＴ开发者会给评估者提供一部分待评估物。评估者审查安全目标，然后告知发起者对某些内容进行必要的补充完善，以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了，则评估过程进入下一阶段。ｂ）　评估实施阶段：评估者生成包括待评估产品列表，评估活动，以及基于ＧＢ／Ｔ３０２７０—２０１３评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议，该协议包含评估的基本框架，同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后，评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有：１）　评估者检查发起者或者开发者应交付的评估物，然后按照ＧＢ／Ｔ３０２７０—２０１３进行必要的评估活动。２）　在评估阶段，评估者可能会撰写观察报告。该报告里，评估者会向监管者（评审机构）询问如何满足其监管的要求。３）　监管者对评估者的解释请求进行回应，然后允许进行下一步评估。４）　监管者同样可能确认和指出一些潜在的缺陷或者威胁，然后要求发起者或者开发者提供额外的信息资料。ｃ）　评估最终结果阶段：评估者根据文档审核、测试情况、现场检查结果，对ＴＯＥ进行综合评判，并撰写评估技术报告。５　评估内容５．１　安全功能评估５．１．１　概述在安全功能组件评估内容描述中，方括号【】中的黑体字内容表示已经完成的操作，黑斜体字内容表示还需在安全目标中由ＳＴ作者确定赋值及选择项。５．１．２　安全审计（犉犃犝类）５．１．２．１　审计数据产生（犉犃犝＿犌犈犖．１）审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估内容如下：ａ）　应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录：１）　数据库审计功能的启动和关闭；２）　数据库实例及其组件服务的启动和关闭；３）　数据库实例配置参数非缺省值修改事件；４）　数据库对象结构修改事件；５）　ＧＢ／Ｔ２０２７３—２０１９列出的数据库审计