国家标准 GB/T20273一2019 代替GB/T202732006 信息安全技术数据库管理系统安全技术要求 Informationsecuritytechnology- Seeuritytechnicalreguirementsfordatabasemanagementsystem 2019-08-30发布 2020-03-01实施国家市场监督管理总局发布币国国家标准化管理委员会国家标准
GB/T20273一2019 目次前言范围 2 规范性引用文件术语,定义和缩略语 3.1术语和定义 3.2缩略语评估对象描述 4.l评估对象概述 4.2评估对象安全特性 4.3评估对象部署方式说明安全问题定义数据赏产 5.l 5,2威胁 5.3组织安全策略 5.4假设安全目的 6.1TOE安全目的 6.2环境安全目的安全要求 13 7.1扩展组件定义 13 7.2安全功能要求 14 7.3安全保障要求 26 基本原理 8 39 8.1安全目的基本原理 39 8.2安全要求基本原理 47 8.3组件依赖关系 54 附录A资料性附录关于标准修订和使用说明 57 参考文献 60
GB/T20273一2019 前言本标准按照GB/T1.1一2009给出的规则起草本标准代替GB/T202732006《信息安全技术数据库管理系统安全技术要求》,与GB/T20273 2006相比主要技术变化如下 -修改了“术语和定义”,增加了“缩略语”中的内容(见3.1和3.2,2006年版的3.1); -增加了安全问题定义、安全目的、扩展组件定义,基本原理(见第5章,第6章,第7章、第8章) -修改了评估对象描述(见第4章,2006年版的第4章); -删除了“安全审计”安全功能中提供“潜在侵害分析”“基于异常检测”和“简单攻击探测”的要求见2006年版的第5章) 删除了“ssoDB自身安全保护"安全功能中提供"ssF物理安全保护”的要求(见20年版的第5章); -朋除了“ssF运行安全保护"安全功能中关于与"不可旁路性""城分离"和"可信恢复"相关的要求(见2006年版的第5章); 删除了安全功能中提供“推理控制”的要求(见2006年版的第5章); 增加了附录A关于标准修订和使用说明请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任本标准由全国信息安全标准化技术委员会(sAc/Tc26o)提出并归口本标准起草单位;信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司本标准主要起草人;张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻,沈亮、顾健、宋好好,赵玉洁、吉增瑞、刘昱丽、刘学洋,胡文惠、付铃、方红霞、冯源,李德军本标准所代替标准的历次版本发布情况为 GB/T202732006
GB/T20273一2019 信息安全技术数据库管理系统安全技术要求范围本标准规定了数据库管理系统评估对象描述,不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求,安全问题定义与安全目的、安全目的与安全要求之间的基本原理本标准适用于数据库管理系统的测试,评估和采购,也可用于指导数据库管理系统的研发注:本标准规定的EAL2,EAL.3,EAL4级的安全要求既适用于基于GB/T18336.1-2015,GB/T18336.2一2015和 GB/T18336.32015的数据库管理系统安全性测评,同样适用于基于GB17859一1999的数据库第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级的数据库安全性测评,相关对应关系参见附录A的A.1 规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件,仅注日期的版本适用于本文件凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件 GBT1836.1一2015信息技术安全技术信息技术安全评估准则第1部分;简介和一般模型 GB/T18336.22015 信息技术安全技术信息技术安全评估准则第2部分安全功能组件 GB:/T18338.3一2015信息技术安全技术信息技术安全评估准则第3部分;安全保障组件信息安全技术 GB/T250692010 术语 GB/T28821-2012关系数据管理系统技术要求术语、定义和缩略语 3.1术语和定义 GB/T250692010,GB/T18336.1一2015和GB/T28821一2012界定的术语和定义适用于本文件 3.2缩略语下列缩略语适用于本文件 ACD;原子性、隔离性、一致性和持久性 CM;配置管理(ConfigurationManagement) DBMS;数据库管理系统(DataBaseManagementsystem EAL;评估保障级(EvaluationAssurancelevel) T:信息技术(InformationTechnology) JDBC:JAVA数据库连接(JavaDataBaseConneetivity LBAC;基于标签的访问控制(LabelBasedAccessControl ODBC;开放数据库连接(OpenDatalBaseConnectivity Proffile PP:保护轮廓(Protectionl
GB/T20273一2019 ionalDataBaseM RDBMS:关系数据库管理系统(Relat system) lanagement SFP;安全功能策略(SecurityFunectionPoliey SFR:安全功能要求(SecurityFuncionalRequirements) sQL;结构化查询语言(Str ruecturedQueryLanguage ST:安全目标(SecurityTarget ToE.评估对象(Tugee OfEvaluation TSF:TOE安全功能(TOESecurityFunctionality TSFI;TsF接口(TSFInterface) TSP:TOE安全策略(ToESecurityPoliey 评估对象描述 4.1评估对象概述本标准评估对象(TOE)是指数据库管理系统(DBMS)所包含的管理软件及其管理的数据库对象 DBMS所包含的管理软件应提供数据库语言对数据库对象进行定义、操作和管理;提供数据库控制语言,通过数据模型语义约束条件维护DBMS运行的数据完整性;提供数据库备份,还原与恢复机制,保证DBMS运行中出现故障时的数据库可用性关系数据库管理系统(RDBMS)应提供事务管理机制,保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性(ACID). DBMS主要包括以下组成部分 a 数据库:存放用户数据和TOE安全功能(TSF)数据的数据文件、存放数据库事务处理过程的日志文件、维护DBMS运行完整性控制文件等物理文件组成存储的数据库对象包括模式对象、非模式对象、数据库字典对象等数据库实例;包括查询引擎、事务管理器、数据存储管理器等部件实现对数据库对象的定义、 b 管理、查询,更新、控制等基本功能数据库语言及其访问接口;提供结构化查询语言(sQL,开放数据库连接(ODBC),JAVA数据库连接(JDBC)等数据库语言和数据库开发接口规范,允许授权用户通过数据库开发接口定义数据库结构、访问和修改数据库对象数据、展现DBMS运行相关配置参数,以及对用户数据和DBMS运行相关数据执行各种维护操作 d DBMS运行维护辅助工具:提供数据库实例的启动与关闭,数据库或数据文件的联机、脱机、打开与关闭,数据库检查点控制,数据库日志归档、外部数据导人等DBMS运行维护辅助工具或接口 4.2评估对象安全特性 DBMS提供通过多种安全控制施保证其管理数据资产安全 TOE安全特性可由DBMS本身直接提供,也可通过DEBMs运行的信息技术(IT)环境间接支持 DBMS安全特性主要包括用户认证;用户标识只有通过身份鉴别后才能通过TOE的访问控制引擎控制授权用户对数 a 据库对象的访问和操作用户授权;每个授权用户有一组数据库安全域特性,可决定用户下列安全域特性内容;可用特权和授权角色、可用存储空间(如表空间)限额、可用系统资源(如共享缓存、数据读写容量、处理器使用)限制等安全属性角色管理:提供安全管理员、安全审计员、数据库管理员等缺省的数据库角色授权管理员也可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式,设置数据库审计策略等数
GB/T20273一2019 据库安全管理功能 d 访问控制:在确认授权用户与授权管理员身份以及他们安全域特性基础上,TSF实施授权用户与授权管理员的授权策略,控制主体访问客体活动例如:自主访问控制,基于角色的访问控制、基于标签的访问控制等安全审计:提供与TSF相关的数据库操作是否被记录到数据库审计文件的机制审计踪迹记录可以存储在DBMS审计表或外部IT环境的系统文件中 TSF应提供审计记录的安全保护备份恢复:DBMS运行出现故障后,利用TSF数据库备份与恢复机制实现对备份数据的还原，在数据库还原的基础上利用数据库日志进行数据库恢复,重新建立一个完整的数据库数据加密:提供对数据库中的数据进行加密存储、传输或处理,以及密钥管理服务接口功能,从而保证用户数据的保密性 h 资源限制:防止授权用户无控制地使用主机处理器(CPU),共享缓存,数据库存储介质等数据库服务器资源,限制每个授权用户/授权管理员的并行会话数等功能注:DBMS软件及其管理数据资产的安全性不是孤立的在生产环境下,操作系统、网络系统与硬件等DBMS运行 T环境和DBMs一起共同构筑起ToE的安全体系安全目标(ST)作者在描述ToE时明确说明和标识评估 DBMS的体系结构与这些IT环境各个组件之间的相互关系 4.3评估对象部署方式说明 DBMS的任何内部和外部实体若要获取ToE管理的数据资产,应首先满足与ToE及运行环境相应的安全策略 ToE运行环境对象可能包括多个安全控制组件.涉及设备物理安全、环境物理安全、系统物理安全、人员安全管理等多种安全策略这些运行环境安全策略使DBMS软件及其管理的数据库免受DBMS运行环境中的安全威胁本标准可用来评估多种部署结构的DBMS安全性,包括但不限于下列体系结构集中式体系结构;DBMS软件和数据库应用程序都安装运行在一个主机上,用户只能通过应用 a 终端发出存取数据库访问请求或管理命令,由通信线路传输给主机,主机上的数据库实例响应并处理后,再将处理结果通过通信线路返回给用户终端客户/服务器体系结构;客户端数据库应用和服务器端数据库实例通过网络连接进行通信,客 b 展示数据库实例返回的数据,服务器端安全地执行用户户端发送数据库访问请求或管理命前端应用可以是基于浏览器实现,通过远程web服务器或应用数据库访问请求或管理命 ,由远程服务器负责与数据库服务器交互分布式数据库体系结构:数据节点分别保存在多个物理上相互独立的站点数据库服务器上,这些站点之间的数据库服务器通过网络连接,协同提供分布式数据库数据访问服务用户可以对本地服务器中的数据节点执行某些数据库访问请求或管理命令(局部应用,也可以对其他站点上的数据节点执行某些数据库访问请求或管理命令(全局应用或分布应用注本标准定义了一个必要的数据库管理员角色(授权管理员),并允许ST作者定义更多的授权管理员角色当然对某些DBMS,提供的管理角色数量和角色责任的能力,以及这些角色的分配能力在T(OE实现中都预先存在 TSF提供这些系统权限或角色建立,分配、撒销等授权管理功能安全问题定义 5.1数据资产 DBMS需要保护的数据资产包括 TSF数据:存储在TOE中数据库字典数据,面向数据库应用的数据库对象定义数据、,DBMS a
GB/T20273一2019 运行统计数据、数据库逻辑存储与物理存储管理数据等 b 用户数据:存储在TOE中的非TsSF数据的数据,一般指与用户数据库应用相关的、存储在数据库中的各种数据库对象数据,如表数据、索引数据、物化视图数据、语义约束条件、业务过程等来自用户数据库应用程序的数据安全运行数据:TOE中的事务日志数据、安全审计数据等,包括存储在DBMS外部,但由 DBMS维护的数据库实例、数据库配置等控制TOE安全运行相关参数配置数据 5.2威胁 5.2.1概述 TOE面临过度或合法的特权滥用、软件漏洞被利用和潜在应用安全攻击(如sQL注人、拒绝服务、特权提升等)等安全威胁表1给出了DEMs评估保障级(EAL)2、3和4面临的不同威胁表1评估对象威胁评估保障级序号威胁 EAl2 EAL3 EAL4 T. 管理员误操作T.MISOPERATION_ADMIN T.2 审计机制失效T.AUDIT_FAIlURE 密码攻击T.cRYPro._coMPRoMIs;8 T.3 T.4 数据传输窃听T.EAVEsDRoP T.5 设计缺陷T.FL.AwED_DEsIGN T.6 实现缺陷T.FLAwED_IMPLEMENTATION T." 标签数据失控TLBAC T.8 假冒授权用户T.MAsQUERADE T.9 测试缺陷T.POORR_TEST 残余信息利用T.REsIDUAL_DATA T.10 T.1l 安全功能失效T.TsF_cOMPROMISE T.12 非授权访问T.UNAUTHORIZEDAcCEss T.13 服务失效T.UNAVAILABILITY T.14 未标识动作T.UNIDENTIFIED_ACTIONS 注: 代表在该评估保障级下DBMS面临的威胁代表在该评估保障级下无需考虑的威胁 5.2.2管理员误操作(T.MIsoPERAToN_ADMIN) 管理员误操作主要有两种;一是授权管理员可能错误地安装或配置数据库实例组件或错误地设置数据库实例运行参数或数据库安全属性所造成TSF安全控制机制的失效;二是授权管理员恶意修改、删除TSF数据或安全运行数据导致TSF安全控制机制的失效 5.2.3审计机制失效(T.AUDI_FALURE) 恶意用户或进程可能修改安全审计策略,使数据库审计功能停用或失效,审计记录丢失或被篡改，
GB/T20273一2019 也有可能通过审计数据存储失效来阻止未来审计记录被存储,从而掩盖用户的数据库操作 5.2.4密码攻击(T.CRYPIo_coMRoISE) 恶意用户或进程可能导致与数据库存储和通信加密功能相关的密钥、数据或密文服务组件可执行代码被不适当地浏览、修改或删除,从而破坏数据库加密机制和泄露加密机制所保护的数据 5.2.5数据传输窃听(T.EAVESDRoP 恶意用户或进程可能观察或修改TOE物理分离部件之间传递的用户数据或TSF数据包括客户端和服务器之间用户请求及其响应,分布式数据库不同节点间传输数据等) 5.2.6设计缺陷(T.FL.AwED_DESsIGN TOE需求规范或设计中的无意逻辑错误可能产生设计弱点或缺陷,恶意用户可能利用这些缺陷对 TOE进行安全攻击 5.2.7实现缺陷(T.FLAwED_IMIPLEMENTATION) 在ToE开发过程中的无意错误可能造成ToE实现弱点或缺陷-恶意用户可能利用这些未知漏洞对TOE进行攻击 5.2.8标签数据失控(T.LBAC 恶意用户或进程可能非法浏览、修改或删除TOE的标签策略数据、受控主体分类标签数据与受控客体绑定标签数据授权管理员非法访问基于标签管理的受控主体的数据资产 5.2.9假冒授权用户(T.MIAsQUERADE 恶意用户或进程假冒授权管理员或授权用户访问数据库字典、系统安全配置参数、或DBMs保护的数据资产 5.2.10测试缺陷(I.ooR_TEST) 开发或测试人员对TOE包括数据库安全选件及其支撑环境)的测试不充分,导致TOE弱点(逻辑错误)未被发现,恶意用户可能利用这些未知漏洞对TOE进行攻击 5.2.11残余信息利用(I.RESIDUAL_DATA 恶意用户或进程可能利用数据库实例共享缓存或磁盘上残留信息的处理缺陷,在数据库实例执行过程中对未删除的残留信息进行利用,以获取敏感信息或滥用TOE的安全功能 5.2.12安全功能失效(T.TISF_coMPROMIISE) 恶意用户或进程通过安全攻击非法地浏览、修改或删除TSF数据或可执行代码这可能让恶意用户或进程获得数据库实例和数据库的配置信息,或可能导致数据库实例的安全功能对于数据资产保护的安全机制不再正常工作 5.2.13未授权访问T.UNAUTHORIZED_ACCESS 恶意用户或进程可能未经授权地访同ToE和利用系统特权提升等方达来访同TOE的安全功能和数据,不适当地更改数据库实例和数据库配置数据及其安全功能机制
GB/T20273一2019 5.2.14服务失效(T.UNAVAlLABL.ITY) 恶意用户或进程可能通过数据库服务器资源(CPURAM)的拒绝服务攻击来阻止其他用户获得 ToE管理的数据资源,数据库实例核心功能/组件的故障可能会导致用户不能访问数据库,或TOE可能由合法授权用户的高并发服务请求,预防或延缓TSF被其他授权用户访问 5.2.15未标识动作(T.UNIDENTIFIED_ACTIoNS 存在授权管理员不能标识的TOE中可能发生的数据库用户的非授权操作,包括提供采取必要行动以应对这些潜在未被授权访问操作的安全问责管理 5.3组织安全策略 5.3.1概述组织安全策略需要由DBMS或其IT运行环境或由两者一起实施表2给出了DBMs评估保障级 EAL)2,3和4的组织安全策略表2评估对象组织安全策略评估保障级序号组织安全策略 EAL2 EAL3 EAL4 P. 责任与义务P.AccoUNTABLITY P.2 密码策略P.CRYPTOGRAPHY P.3 标签策略P.LABEL P.4 角色分离策略P,ROLES P.5 系统完整性P.SYSTEM_INTEGRITY 脆弱性分析与测试P.vULNERABn.IrY_ANAL.YsIs_TEsr P.6 注代表在该评估保障级下包括的组织安全策略代表在该评估保障级下未包括的组织安全策略 5.3.2责任与义务(P.ACCoUNTABL.IrY 组织应制定ToE的授权用户和授权管理员在应对DBMs中的数据库操作行为负责的程序与规范 5.3.3密码策略(P.CRYPIoGRAPHYm 组织应为TOE自身的应用提供数据加密存储和通信的密码策略,包括加密/解密和数字签名操作规范(ST作者提供的密码策略需符合国家、行业要求的相关标准,如是自己提供的密码算法(方法和实现),需提供用于密钥管理和密码服务的保障性证据 5.3.4标签策略(P.LABEL) 组织应定义适合细粒度访问控制机制的标签策略,包括安全分级数组、范围集合、或分组树等标签组成元素,并定义数据安全分级管理的数据标签和用户安全级别分类的用户标签授权管理员应能正确地将标签与授权用户和存储在数据库表中的客体相关联
GB/T20273一2019 5.3.5角色分离策略(P.RoLES) 组织应为其TOE的不同级别、不同粒度的安全管理设置适当的授权管理员角色授权管理员角色应提供诸如三权分立或其他授权角色区别和分离策略 5.3.6系统完整性(P.SYSTEM_INTEGRITY 组织应提供能够定期验证其组织安全策略及其IT运行环境正确操作规范,并在授权管理员的帮助下能够提供数据库进程恢复、数据库实例恢复和数据库介质恢复等方法与技术,包括修正任何被检测到的错误操作修复指南(ST作者提供ToE运行设施需提供的不可抵赖性安全元数据传输服务,包括生成和验证不可抵赖性的证据,证据的时间戳等DBMS运行完整性机制. 5.3.7脆弱性分析与测试(P.vUINERABLIrY_ANALYsIsTESr) 组织应保证TOE经过适当的渗透性测试和脆弱性分析,以证明其TSF组件实现的安全性 5.4假设 5.4.1概述依据DBMS的安全目的不断识别出更多的假设,ST作者扩充表3列出的DBMS评估保障级 EAL)2,3和4级的假设表3评估对象假设评估保障级序号假设 EAL2 EAL3 EAL4 A.1 目录服务器保护A.DIR_PROTECTON A.2 安全域分离A.D(O)MAIN_SEPARATION A.3 角色分工管理A.MANAGER A.4 多层应用问责A.MIDTIER 人员假设A.No_HARM A.5 服务器专用A.No_GENERAL_PURPOsE A.6 A.7 物理安全A.PHYscA A.8 通信安全A.SEcURE_coMIMs 注: 代表在该评估保障级下包括的假设代表在该评估保障级下未包括的假设 5.4.2目录服务器保护(A.DIR_PRoTECIIoN TOE所使用的目录服务器(如LDAP)能防御针对存储在目录中的TSF数据的非授权访问,包括存储在目录中的TSF数据被管理人员合理地使用,并且目录服务器及其网络连接从物理和逻辑上都免于非授权人员的访问和干扰 5.4.3安全域分离(A.oIAIN_SEPARAToN) 分布式数据库不同节点安全域之间传输的数据应通过各节点的TSF控制,DBMS运行IT环境将
GB/T20273一2019 为TOE的分布式部署提供独立安全域,IT环境应确保无法绕过TSF以获得对TOE数据的访问 5.4.4角色分工管理(A.MANAGER 假定在TOE中将有一个或多个指定角色权限的授权管理员,他们之间依据最小特权、职责分离、深度防御等安全原则进行了角色分工(ST作者需根据DBMS支持的系统权限及针对的具体应用解决方案解释“安全角色”的具体含义) 5.4.5多层应用问责(A.MDIIER) 在多层应用环境中为了确保TOE的安全问责制,任意中间层次的TOE运行环境组件服务都应将原始的授权用户标识发送给TSF(ST作者应根据DBMS针对的具体应用解决方案解释“多层应用问责”的具体含义. 5.4.6管理员假设(A.NO_IHAR 使用数据库的授权用户和授权管理员具备基本的数据库安全防护知识并具有良好的使用习惯,他们训练有素且遵循TOE的管理员指南,并且以安全的方式使用数据库 5.4.7服务器专用A.No_GENERALPURPOSE) 在DBMs运行主机上没有安装其他获得通用的计算或存储能力的程序或服务(例如;编译器,编辑器或应用程序) 5.4.8物理安全(A.PHYSICAL DBMS运行环境应提供与其所管理的数据价值相一致的物理安全例如存储在数据库之外的 TOE相关数据(如配置参数,归档日志等)以一种安全的方式存储和管理 5.4.9通信安全(A.SEcURE_coIMs 假定数据库服务器和应用终端之间、分布式数据库不同节点间的通信信道是安全可靠的如满足私密性和完整性) 实现方式可通过共享密钥、公/私钥对,或者利用存储的其他密钥来产生会话密钥 o 安全目的 6.1ToE安全目的 6.1.1概述本标准定义的安全目的可明确追溯到TOE相关威胁或组织安全策略表4列出了DBMS评估保障级(EAL)2、3和4的TOE安全目的表4评估对象的ToE安全目的评估保障级序号 TOE安全目的 EAl2 EAI3 EAL4 访间历史o.AcCESs_HISToRY O. O.2 标签访问o.AcCEss_LBAcC O.3 管理员指南o.ADMN_GUDANCE
GB/T20273一2019 表4(续评估保障级序号 ToE安全目的 EAL2 EAL3 EAl4 管理角色分离o.ADMIN_RoLE O.4 审计数据产生o.AUDIT_GENERAToN O.5 O.6 市计数据保护o.AUDIT_PRoTEcIoN o.7 数据库服务可用o.AVAL O.8 配置标识(O.C(ONFIG 0.9 密码安全O.CRYPTOGRAGHY O.10 设计文档化O.D(0CUMENTED_DESIGN 功能测试o.FUNcToNAI_TEsT O.l1 O.12 内部安全域o.INTERNAL_TOE_DoMAINs O.13 安全管理员o.MANAGE O.14 残留信息o.REsIDUAL_INFoRMATIo O.15 资源共享O.RESOURCE_SHARING O.l6 TOE访问控制O,.TOE_ACCESS O.17 可信路径O.TRUSTED_PATH 漏洞分析o.vULNERAEBLIrY_ANALYsIs O,18 注代表在该评估保障级下包括的安全目的代表在该评估保障级下未包括的安全目的 6.1.2访问历史(o.AcCESs_HIsSIoRY TOE应具备存储和检索授权用户和授权管理员先前连接数据库实例的会话信息,包括尝试建立数据库连接/会话的相关请求历史数据 6.1.3标签访问(o.AcCESs_LBAc) TOE应提供安全标签的数据分级、用户分类与分组的读/写权限安全策略设置,提供基于标签的访问控制机制,从而通过DBMS标签机制实现集中式或细粒度的数据访问控制 6.1.4管理员指南(o.ADMINcUIDANCE) TOoE应为授权管理员提供DBMs产品安全分发,安装配置和运行管理必要的管理指南信息,应为授权用户提供数据库对象创建和使用相关的用户操作手册文档(ST作者应依据其ToE的安全机制解释预配置的数据库管理员角色,以实现职责分离的授权管理 6.1.5管理角色分离(O.ADMIN_RoLE TOE应提供与不同数据库管理操作相适应的授权管理员角色以提供职责分离将角色约束等角色管理功能,并且这些管理功能可以在本地或以远程方式进行安全管理(ST作者应依据其TOE的安全机制,解释预配置的数据库管理员角色,以实现职责分离的授权管理.
GB/T20273一2019 6.1.6审计数据产生(o.AUD_GENERATIoN TOE应提供数据库审计策略定义,审计功能启停管理、数据库管理操作、用户数据库对象操作等检测和创建与用户关联的安全相关事件的记录能力(ST作者应依据TOE的审计记录的组成和存储机制,说明审计数据保存方式(数据库内部、数据库外部),以及审计数据安全管理机制 6.1.7审计数据保护(o.AUDI_PRoTECTIoN TOE应安全存储审计数据,并对存储的审计事件进行保护能力 6.1.8数据库服务可用(o.AVAIL TOE应提供事务、数据库实例和存储介质故障的数据恢复机制,提供DBMS升级中数据库存储结构的自动维护能力,保证TOE管理数据资产的可恢复性 TOE应提供主数据库服务器与备用服务器TSF控制转移和数据库实例故障切换机制,以支持分布式数据库服务高可用管理需求的分布式组件部署 6.1.9配置标识(o.cONFIG) TOE应对产品组件配置及其文档的评估配置项进行标识,以便DBMS被重新分发和纠正执行错误时提供修改和跟踪他们的方法注:配置标识一般是指在TOE组装与系统测试阶段结束时,交付给外部顾客的发行基线,它包括软件产品的全部配置项的规格说明 6.1.10密码安全(o.CRYPIoGRAGHY TOE应提供密钥管理和密码运算功能的调用机制,以维护TOE中数据资产在存储和传输过程中的加密保护需求(ST编制中TOE使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范). 6.1.11设计文档化(o.DocCUMENTED_DEsIGN) TOE的设计,实现等软件研发工作应被充分、准确地文档化,包括在设计及其在研发过程中的所有变更证据都应被分析、追踪和控制这些过程性设计与开发文档应贯穿于TOE的整个开发过程 6.1.12功能测试(o.FUNCTIoNAL_TEST) ToE应进行合适的安全功能测试以证明DBMS的TsF满足安全功能设计要求 6.1.13内部安全域(o.INTERNAL_ToE_DoMIAINs) 在多用户并发事务执行过程中,数据库查询引擎中的TSF应为不同并发用户请求维护一个私有的数据查询和数据处理安全域,保证多用户并发访问数据的隔离性和一致性 6.1.14安全管理员(o.MIANAGE TOE应提供系统管理,安全管理,安全审计等安全管理员角色管理DBMS安全性所必需的功能和设施,并防止这些管理功能和管理设施被未授权用户使用 6.1.15残留信息(o.RESIUAL_INFORMAToON) TOE应确保数据库服务器共享缓存,磁盘存储等服务器资源中重要的数据在使用完成或意外掉电 10
GB/T20273一2019 后会被删除或被安全处理,从而保证不会留下可被攻击者利用的残留数据信息 6.1.16资源共享(o.RESoURCE_SHHARING TOE应提供数据库服务器资源(即共享缓存,CPU使用、存储空间等共享资源)使用的控制机制，以避免耗尽数据库服务器资源的安全威胁 6.1.17ToE访问控制(o.ToE_AcCESS) TOE应对在数据字典数据、用户数据、运行日志数据和数据库安全功能组件实施访问控制措施,防止在未授权情况下被访问、修改或删除 6.1.18可信路径(o.TRUSTED_PATH) TOE应提供方法保证用户提供标识和授权数据时,与其通信的不是伪装成DBMS的其他IT实体例如针对用户/程序与数据库服务器之间的通信,ToOE提供合适的数据加密传输控制机制保护数据库实例运行过程中与外部用户/程序交换的数据库通信安全 6.1.19漏洞分析(o.VUNERABILImY_ANALYSIS) TOE应进行合适的独立渗透性测试和脆弱性分析以证明其设计和实现不存在安全弱点或缺陷,能阻止违反数据库安全策略的数据库攻击行为 6.2环境安全目的 6.2.1概述表5列出了DBMS评估保障级(EAL)23和4的运行环境安全目的表5评估对象运行环境安全目的评估保障级序号环境安全目的 EAL2 EAL3 EAl4 OE.1 运行环境安全审计保护O)E.AUDITPROTCTION OE.2 运行环境审计信息查看OE.AUDITREVIEw OE.3 运行环境管理OE.CONFIG OE.4 目录访问控制保护OE.DIR_CONTROL OE.5 I域分离OE.DOMAIN_EPARATON OE.6 管理员诚信OE.N(O_HARM OE.7 数据库服务器专用O)E.NO_GENERAL_PURPOSE OE.8 物理安全一致性OE.PHYSICAL OE.9 通信安全环境OE.SEcURE_cOMMS OE.1o IT环境自我保护O)E.SLF_PROTCTION OE.11 IT时间戳OE.TIME_STAMPs OE.12 IT环境访问控制OE,.TOE_ACCESS OE.13 I环境无旁路OE.TOE_NO_BYPASs OE.14 可信IT环境OE,TRUSTIT 代表在该评估保障级下包括的环境安全目的注: 代表在该评估保障级下未包括的环境安全目的 1
GB/T20273一2019 6.2.2运行环境安全审计保护(oE.AUDI_PRoTECToN) TOE运行环境应提供保护数据库安全审计信息和用户鉴别证书的能力数据库服务器应维护- 个保护自身及其审计痕迹资源免受外部干扰、做坏或通过自身接口未授权泄漏的执行域 6.2.3运行环境审计信息查看(oB.AUDr_REVIEw) TOE运行环境应提供选择性查看DBMS与运行环境安全审计信息的能力 6.2.4运行环境管理(OE.coNFG TOE运行环境应具备数据库管理员组或角色,提供管理与配置DBMS运行安全所需的功能和设施,并防止这些功能和设施被未授权使用 6.2.5目录访问控制保护(oE.DIR_coNTRoL) 支持目录服务(如LDAP服务器)的DBMS运行环境应提供用户标识、身份验证、访问控制等机制，以阻止非法用户访问目录服务保存的TSF数据目录服务的访问控制机制应提供TSF控制数据的导人/导出的安全保护措施 6.2.6r域分离(oE.DoAIN_SEPARATION 分布式部署TOE的运行环境应为TOE运行节点提供一个可分离的安全执行域,不同DBMs节点间应以一种安全方式进行通信 6.2.7管理员诚信(OE.NO_HARM 使用TOE的组织应保证其授权管理员是可信的,训练有素且遵循组织安全策略和相关的数据库管理员使用指南 6.2.8数据库服务器专用(oE.No_GENERALPURPOSE 数据库服务器除了提供TOE运行、管理和支持的必要服务组件外,不存在与数据库实例运行无关的计算或存储功能组件(如编译器、编辑器或应用程序). 6.2.9物理安全一致性(oE.PHYSICAL TOE运行环境应提供与DBMs及其管理数据资产价值相一致的物理安全 6.2.10通信安全环境(oE.SECURE_cOMINMIS TOE运行环境应在远程用户/程序和数据库服务器之间提供安全的通信线路 6.2.11Ir环境自我保护(oE.SEL.r_PRoIEcCToN) rOE运行环境应维护一个保护DBMS及其运行环境资源免受外部干扰、破坏或未授权泄漏的执行域 6.2.12IT时间戳OE.TIMIE_STAMPS) TOE运行环境应为DEMs提供可靠的时间截 6.2.13I环境访问控制(oE.ToE_AcCESS) TOE运行环境应提供有助于DEBMS控制其运行环境用户对TOE进行逻辑访问的机制 12
GB/T20273一2019 6.2.14I环境无旁路(oE.ToE_No_BYPASs) DBMS客户端与数据库服务器或多数据库服务器主机(分布式数据库)之间传输的数据应通过 TOE的安全控制引擎来实现 6.2.15可信IT环境(OE.TRUSTIT TOE运行所依赖的IT环境实体应正确地安装、配置、管理和维护,并与DBMS安全策略和IT环境安全策略之间的关系保持一致性安全要求 7.1扩展组件定义 7.1.1概述表6列出了本标准中基于GB/T18336.2-2015安全功能要求扩展组件的基本原理,扩展组件在 GB/T18336.2一2015标准组件名称后加上“_EXT”表示在组件元素描述中,方括号】中的宋体加粗字内容表示已经完成的操作,粗斜体字内容表示还需在安全目标中由ST作者确定赋值及选择项表6扩展组件的基本原理序号组件名称基本原理 DBMs一般提供多种访问控制机制,其中最主要的是自主访间 FMT_MSA_EXT,1安全属性的管理控制和标签机制,这两种机制的属性管理权限不同,需从这两个角度对ToE安全属性管理给出相应的要求本标准对TsF数据细化为系统权限,实例权限,数据库权限、 ,对象权限和数据权限,授权管理员细化为系统管理员、安全管理 FMT_MTDExT.ITsF数据的管理员和安全审计员组件元素由GB/T18336.2-2015一个增加到5个 GB/T18336,2一2015并不允许PP/ST编制者指定不可修改的限制值,因此本标准从组件FMT_MsA_ExT.3中取消了无素 FMT_MSA_EXT3静态属性初始化 FMT_MSA_EXT.3.2,而且通过要求对象的安全属性在创建时受到限制使得这个组件更加安全,而且并不允许用户能够覆盖这个限制的默认值在GB/T18336.2一2015中没有组件来指定主备用数据库实例控制切换和故障转移的功能 FPT_ovR_ExT.1组件定义了 FPT_oVR_EXT.1TSF故障切换/转移备用服务器数据库可用性功能中内部TSF一致性功能的及时性 7.1.2TSr保护(FPT类 ISsF控制切换/故障转移(FPT_oVREXT.1 FPT_OVR_EXT1.1TSF应提供从正在运行数据库实例【选择;主节点.,【赋值指定节点]切换到另外一个数据库实例【选择备用节点，【赋值:指定节点】故障转移的能力,即一旦授权管理员发起 TSF故障切换命令,在不丢失分布式事务处理数据的情况下,两个节点的TSF控制都能够保证在切换 13
GB/T20273一2019 时事务继续正常的执行 FPT_OVR_EXT.1.2TSF应提供从正在运行数据库实例【选择;主节点,【赋值:指定节点】切换到另外一个数据库实例选择:备用节点,【赋值指定节点】故障转移的能力,即一旦授权管理员发起故障转移,仅仅会丢失已经被提交到正在运行数据库实例节点上的事务,而不会影响到转移节点上的数据库事务 7.1.3安全管理(FMI类) 7.1.3.1安全属性的管理[FM_NMSA_EXT.1(1门 FMT_MSA_EXT.1.1TSF应实施【选择:基于用户控制策略,基于角色控制策略,基于用户组控制策略、【赋值.Sr作者定义的自主访问控制】,以仅限于【选择:授权管理员、授权用户】能够对安全属性【选择;数据库对象访间权展、安全角色】进行【选择;改变默认值,查询,修改,删除【赋值.其他操作1. RMT_M5AExT.1.2TsF应实随【选择;基于标签访问控制安全莱睛.【威值.sT作青指定视制的信息流控制策略】以仅限于【选择lBAC授权的用户、【赋值.Sr作者指定授权管理员】能够【【赋值安全属性】以【赋值:安全标签】】注该要求适用于EAL3评估保障级 7.1.3.2安全属性的管理[FI_MSA_EXT.1(2)] FMT_MSA_EXT.1.1TSF应实施【选择;基于用户控制策略,基于角色控制策略,基于用户组控制策略、【赋值.ST作者定义的强制访问控制],以仅限于【选择;授权管理员,授权用户】能够对安全属性【选择;数据库对象访问权限、安全角色】进行【选择:改变默认值,查询,修改、删除、【赋值:其他操作】】 FMT_MSA_EXT1.2TSF应实施【选择:基于标签访问控制安全策略、【赋值sSr作者指定机制的信息流控制策略】,以仅限于【选择:LBAC授权的用户,【赋值.sr作者指定授权管理员】能够赋值: 安全属性】以【赋值:安全标签】. 注:该要求适用于EAL4评估保障级 7.1.3.3静态属性初始化(FrMI_MSA_XT.3 FMT_MSA_EXT.3.1TSF应执行【选择;基于用户控制策略,基于角色控制策略,基于用户组控制策略【赋值Sr作者定义的自主访问控制】以便为用于执行SFP的安全属性提供【选择,从中选取一个;受限的,许可的、【赋值;其他恃性】默认值 7.2安全功能要求 7.2.1概述表7列出了DBMS评估保障级(EAL)2,3和4的TOE安全功能组件在安全功能组件元素描述中,方括号【]中的粗体字内容表示已经完成的操作,粗斜体字内容表示还需在安全目标中由ST作者确定赋值及选择项表7安全功能组件评估保障级功能类功能组件 EAL2 EAL4 EAH3 FAU_GEN.1审计数据产生安全审计 FAU_GEN.2用户身份关联 14
GB/T20273一2019 表7(续评估保障级功能类功能组件 EA2 EAI3 EAI4 FAU_SAR.1安全审计查阅 FAU_sAR.2限制审计查阅 FAU_SAR.3可选审计查阅安全审计 FAU_SEL.l选择性审计 FAU_STG,2审计数据可用性保证 FAUu_sTG.4防止审计数据丢失 .GKM密钥生成 FCS_G 密码支持 Fcs_CKM.4密钥销毁 FCScOP1密码运算 FDP_ACC.1子集访问控制 FDP_ACF.1基于安全属性的访问控制 FDP_IFC.1子集信息流控制 FDP_IFF.2分级安全属性 FDP_ETc.2带有安全属性的用户数据输出用户数据保护 FDP_ITC.1不带安全属性的用户数据输人 FDP_ITT.1基本内部传送保护 FDP_RIP.1子集残余信息保护 FDP_ROL1基本回退 FDP_SDL.2存储数据完整性监视和行动 FIA_AFLl鉴别失败处理 FIA_ATD,1用户属性定义 FIA_s0os.1秘密的验证 FIA_UAU.1鉴别的时机标识和鉴别 FIA_UAU.5多重鉴别机制 FIA_UAU,7受保护的鉴别反馈 FIAUID.1标识的时机 FIA_USB1用户-主体绑定 MoF.1安全功能行为的管理 FMT FMT_MSA_ExT.1I)安全属性的管理 FMT_MsA_EXT.1(2)安全属性的管理安全管理 FNMT_MsAExT.3静态属性初始化 FMT_MTD.1TSF数据的管理 FMT_REV.1撤销 15
GB/T20273一2019 表7(续评估保障级功能类功能组件 FAI2 EA4 EAI3 RNTSM管理功能规范安全管理 FMT_SMR.1安全角色 FMT_SMR.2安全角色限制 FPT_FIS.1失效即保持安全状态 FPT_ITT.2TSF数据传送的分离 FPT_Rcv.3无过度损失的自动恢复 TSF保护 FPT_TRc.1内部TsF的一致性 FPT_oVR_EXT.1TsF控制切换/故障转移 FRU_FLT.1降级容错资源利用 FRU_RSA.2最低最高配额 FTA_ISA.1可选属性范围限定 FTA_MCS.1多重并发会话的基本限定 TOE访问 FTA_SSL.3TSF原发会话终止 TATAH1oE访同历更 FTA_TsE.1ToE会话建立可信路径 FTPIrc.1TsF间可信信道信道注: 代表在该评估保障级下包括的安全功能组件，代表在该评估保障级下未包括的安全功能组件 7.2.2安全审计(FAU类) 7.2.2.1审计数据产生(FAU_GEN.1) FAU_GEN.1.1TSF应能够为下述可审计事件产生审计记录数据库审计功能的启动和关闭 a b) 数据库实例及其组件服务的启动和关闭 c 数据库安全功能【选择;最小级,基本级,未规定】审计级别的所有可审计事件; 其他面向数据库安全审计员的,并且是可绕过访问控制策略的特殊定义【赋值;Sr作者定义的 d DMS审计事件】的可审计事件; 未指定审计级别(例如数据库对象数据操作级)的所有可审计事件 e FAU_GEN.1.2TSF应在每个审计记录中至少记录下列信息事件的日期和时间,事件类型,主体身份和关联组或角色、事件结果(成功或失败); a b 对于每个审计事件类型,基于本标准定义的安全功能组件的可审计事件定义,表8列出了最小审计级别的数据库安全功能可审计事件 16
GB/T20273一2019 表8可审计安全事件类型安全功能要求可审计事件无审计事件 FAU_GEN.l FAU_SAR.1 无审计事件 FAU_SAR.2 无审计事件 FAU_SAR.3 无审计事件 FAU_SEL.. 当审计选项开启,数据采集功能正在运行时,所有因审计配置修改而产生的事件 FAU_STG,.2 无审计事件因审计存储失效而采取的动作 FAU_STG.4 :CsCKM.1 密钥生成操作成功和失败 Fcs.CKM.4 密钥销毁操作成功和失败 FCSC(OP,1 成功和失败,以及密码运算的类型 FDP_ACC.1 无审计事件 FDP_ACF.1 在安全功能策略覆盖的数据库对象上执行某个操作的成功请求 FDP_IFC.1 无审计事件允许请求的信息流动的决定 FDP_IFF.2 FDP_ETc.2 输出信息的所有尝试 FDPIrC. 授权用户提供的用于输人的用户数据的安全属性规范 FDPITT.1 用户数据传送的所有尝试,包括所用的保护方法和出现的任何错误 FDPRIP,1 无审计事件 FDPROLl 所有成功的回退操作 FDP_SDL,2 检测到完整性误时所采取的行动未成功鉴别尝试达到岗值,达到闵值后所采取的动作(如,锁定账户),及后来(适当时)还原到 FA_AFL1 正常状态如,解锁 FA_ATD. 无审计事件 FASO)S.1l 试图修改用户密码的成功或失败的尝试 FIALUAU.1 所有数据库鉴别机制的使用,包括鉴别成功或失败的尝试 FIAUAU.5 鉴别的最终裁决 FIALUAU.7 尚无预见的可审计事件未成功用户标识机制的使用,包括所提供的用户身份 FIA_UID,1 用户安全属性和数据库主体的成功或失败的绑定 FIA_USB1 FMTMOF1 无审计事件 FMTMSAEXT.l 所有对安全属性值的改动 FMT_MSA_EXT.3 对允许或限制规则默认设置的修改 FMT_MTD 无审计事件 FMT__REV.l 安全属性的未成功撒消 17
GB/T20273一2019 表8(续安全功能要求可审计事件 FMT_SMF.1 对充当某个角色的某用户/用户组的修改 FMT_SMR.l 对属于某个角色某用户/用户组的修改对属于某个角色某用户/用户组的修改;由于对角色的限制条件,而导致使用某个角色时的未 FMT_SMR.2 成功尝试 FPTRcV.3 失效或服务中断的发生,正常运行的恢复 FPTFIS.1 要求TSF当确定的失效出现时保持一种安全状态 FPT_ITT.2 无审计事件 FP'T_TRC_1 重新连接时恢复数据一致性 FPT_OVR_EXT. 控制切换开始/完成,故障转移/切换开始/完成 FRU_FLT.l TSF检测出的任何失效由于数据库服务器资源的限制导致分配操作的拒绝,确保用户可用资源 FRU_RSA.2 FTALSA. 选择某种会话安全属性时的所有失败尝试 FTAMCS. 基于多重并发会话限定对新会话的拒绝 FTAsSL.3 利用会话锁定机制对交互式会话的锁定 FTA_TAH.1 无审计事件 FTA_TSE.1 依据会话建立机制拒绝一个会话的建立 FTA_ITC.1 可信信道功能的失效,失效的可信信道功能的发起者和目标端的标识 7.2.2.2用户身份关联(FAU_GEN.2) FAU_GEN.2.1对于已标识用户行为所产生的审计事件,TSF应能将每个审计事件和引起该审计事件的用户身份关联起来 7.2.2.3安全审计查阅(FAU_SAR.1 FAU_SAR.1.1TSF应为【赋值:授权管理员】提供从审计记录中阅读和获取下面所列出的审计信息的权力用户、用户组或角色标识; a 审计事件类型 b) 数据库对象标识 c d 选择;主体标识,主机标识,无】选择;成功可审计安全事件,失败可审计安全事件、和【选择【赋值:基于其他选择条件的选 e 择性审计事件清单】.没有任何附加条件] 数据库权限【选择系统权展,实例权限,数据库权展,模式对象权展,细粒座数据权股】 f FAU_SAR.1.2TSF应以使用授权用户理解的方式提供审计记录 7.2.2.4限制审计查阅(FAUSAR.2) FAU_SAR.2.1除了授权管理员具有明确的阅读访问审计数据的权限外,TSF应禁止所有授权用 18
GB/T20273一2019 户对审计记录进行读访问 7.2.2.5可选审计查阅(FAU_SAR.3 FAU_SAR.3.1TSF应根据【审计数据字段中的值的搜索与分类条件】提供对查阅的审计数据进行搜索和排序】的能力 7.2.2.6选择性审计(FAUsSEL.1) FAU_SEL.1.1TSF应能根据以下属性从审计事件集中选择可审计事件 a 用户身份【选择;客体身份,用户身份,组身份,主体身份,主机身份】操作类型【选择;定义语句,查询语句,更新语句,控制语句. b 权限级别【选择系统权展,实例权展、数据库权限,模式对象级审计,细粒座数据权限.【赋值 ST作者指定的权限列表1 可审计安全事件【选择;成功,失败,二者】 d 【赋值:审计选择所依据的附加属性表】; e 【选择【赋值审计选择额外的标准列表】没有额外标准 f 注，该功能目的是为了捕获充分的审计数据以允许授权管理员执行任务,ST作者在细化时可依据审计目的给出更多的审计数据 7.2.2.7审计数据可用性保证(FAUSTG.2 FAU_STG.2.1TSF应保护审计迹中所存储的审计记录以避免未授权的删除 FAU_STG.2.2TSF应能防止对审计迹中所存审计记录的未授权修改 FAU_STG.2.3当下列情况发生时:【选择审计存储耗尽,失效,受攻击】,TSF应能确保【赋值保存审计记录的度量】审计记录将维持有效 7.2.2.8防止审计数据丢失(FAU_SG.4) FAU_STG.4.1如果审计记录数据已满,系统应【选择,选取一个:忽略可审计事件,“阻止可审计事件,除非具有特权的授权用户产生的审计事件”,覆盖所存储的最早的审计记录】和【赋值:审计存储失效时所采取的其他动作】 7.2.3密码支持(FCS类 7.2.3.1密钥生成FCSCKM.1 FCs_CKM.1.1TsF应根据符合下列标准[赋值,国家、行业要求的密码管理相关标准或规范】的个特定的密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值;密钥长度】来生成密钥注，若密钥由外部环境生成,可以不选择此组件该组件仅适用于由DBMS本身完成的情况,此时ST作者可根据密码算法的具体情况,赋值TOE用户单位主管部门认可的相关标准及参数 7.2.3.2密钥销毁(FCs_CKM.4) FCS_CKM.4.1TSF应根据符合下列标准【赋值;国家,行业要求的密码管理相关标准或规范】的个特定的密钥销毁方法【赋值;密钥销毁方法】来销毁密钥 7.2.3.3密码运算(FCs_coP.1 FCs_COP1.1TSF应根据符合下列标准【赋值:国家、行业要求的密码管理相关标准或规范】的特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】来执行【赋值:密码运算列表】. 19
GB/T20273一2019 7.2.4用户数据保护(FDP类 7.2.4.1子集访问控制(FDP_ACC.1 FDPAcC.1.1TSF应对授权的数据库对象操作列表执行主体(系统和用户)定义的下列访问控制策略【选择;基于用户控制策略,基于角色控制策略基于用户组控制策略、【赋值Sr作者定义的自主访问控制策略]1 7.2.4.2基于安全属性的访问控制(FDPACF.1) FDPACF.1.1TSF应基于【选择;基于用户控制策略,基于角色控制策略,基于用户组控制策略、【赋值.sr作者定义的自主访问控制对数据库对象的操作执行访问控制,具体应包括与主体相关的授权用户身份和/或角色和/或组成员关系 a 受控数据库对象可实施的访问操作和/或角色/组权限， b 受控数据库对象标识; c 对数据库对象执行【选择;基于用户控制策略,基于角色控制策略,基于用户组控制策略、【赋 d 值.S作青定义的自主访间控制策略】 FDPACF.1.2TsF应执行【赋值;在受控主体和受控数据库对象间,通过对受控数据库对象采敢受控操作来管理访问的规则】以确定授权用户、授权管理员与数据库对象间的一个操作是否被允许 DP_ACF1.3TsF应基于附加规则.【选择.【赋值安全属性、明确授权用户访问数握库对象的规则】,无附加显式授权规则】,明确授权用户访问DBMS控制的数据库对象 FDP_ACF.1.4TSF应基于【选择【赋值安全属性,明确拒绝主体访问客体的规则】、无附加的显式拒绝规则】,明确拒绝授权用户访问DBMS控制的数据库对象 7.2.4.3子集信息流控制(FDP_IFC.1 FDP_IFC.1.1TSF应对【授权用户对受基于标签访问控制(LBAC)的数据库数据对象的读、写操作】应用选择LBAC安全功能策略、【赋值Sr作者附加的信息流控制SFP规则】 7.2.4.4分级安全属性(FDP_IFF.2) FDP_IFF.2.1TsF应基于授权用户和数据库对象安全属性【主体安全标签和数据库对象(关系行、列或单元)安全标签的【选择数组,集合、树、【赋值.ST作者定义的标签元素】执行【选择;LBAC安全功能策略、【赋值.sr作者附加的信息流控制sF规则1. FDP_IFF.2.2如果满足【赋值;规则列表】规则,TSF应允许通过授权用户和受控数据库对象(如关系表行、列,单元)之间的读写操作， FDP_IFF.2.3TsF应执行以下规则【只有【选择;安全管理员、【赋值,Sr作者指定的授权管理员】1 能够改变用户的安全标签,具有适当权限的授权用户/授权管理员能够改变受LBAc保护的数据表的行,列或单元的安全标签】 FDP_IFF.2.4TSF应基于以下规则:【赋值:sT作者指定的一个拥有相应豁免的用户能够忽略对读数组,读集合,读树,写数组,写集合,写树的检查】,明确地授权一个信息流 FDP_IFF.2.5TSF应基于以下规则:.【赋值;基于安全属性,明确拒绝信息流的规则明确拒绝信息流 FDP_IFF.2.6TSF应对任意两个【选择;标签、【赋值S作者定义的信息流控制】安全属性判定下列关系: 存在一个有序函数,对于给定的两个有效的安全属性,函数能够判定他们是否相等,是否其中 a 20
GB/T20273一2019 一个大于另一个,还是两者不可比较; b 在安全属性集合中存在一个“最小上界”,对于给定的两个有效的安全属性,存在一个有效的安全属性大于或者等于这两个安全属性在安全属性集合中存在一个“最大下界”,对于给定的两个有效的安全属性,存在一个有效的安全属性不大于这两个属性 7.2.4.5带有安全属性的用户数据输出(FDPEIc.2) FDP_ETc.2.1在SFP控制下将用户数据输出到ToE之外时,TSF应执行【赋值;访问控制SFP'和 C 或)信息流控制sFP】 FDP_ETC.2.2TSF应输出用户数据且带有用户数据关联的安全属性 FDP_ETC.2.3TSF应确保输出安全属性到TOE之外时,与所输出的用户数据确切关联 FDP_ETC.2.4当从TOE输出用户数据时,TSF应执行下列规则【赋值:附加的输出控制规则】 7.2.4.6不带安全属性的用户数据输入(FDP_ITc.1 FDP_ITC.1.1在SFP控制下从TOE之外输人用户数据时,TSF应执行【赋值:访问控制SF和或)信息流控制SFP】 FDPITc.1.2从ToE外部输人用户数据时,TSF应忽略任何与用户数据相关的安全属性 FDP_ITc.1.3在sPF控制下从TOE之外输人用户数据时,TsF应执行下面的规则【赋值:附加的输人控制规则】 7.2.4.7基本内部传送保护(FDPIrr.1 FDP_ITT.1.1在TOE物理上分隔的部分间传递用户数据时,TSF应执行【赋值;访问控制sFP和或)信息流控制sFP】以防止用户数据的选择:泄露,篡改,丧失可用性】 7.2.4.8子集残余信息保护(FDP_RIP.1 FDP_RIP.1.1ITsF应确保数据库服务器共享内存和存储空间等服务器资源的任何先前的信息内容,在资源释放或资源被重新分配给其他模式对象之后是不再可用的 7.2.4.9基本回退(FDPRoL..1 FDP_ROL.1.1TSF应【选择;子集访问控制,子集信息流控制、【赋值.Sr作者定义的访问控制1策略,以允许对【选择数据库,模式,表空间,数据表,视图约束,存储过程,存储函数、【赋值;其他数据库对象】用【sQL表达的数据库操作】执行回退操作 FDP_ROL1.2TSF允许对数据库实例重启中实例恢复事务中【用户事务请求集合中未提交sQL. 语句】进行回退操作 7.2.4.10存储数据的完整性监视和行动(FDPSDL.2 FDP_SD1.2.1TSF应基于下列属性.【赋值;用户数据属性】,对所有客体,监视存储在由TsF控制的载体内的用户数据的【赋值:完整性错误】. FDPSD.2.1检测到数据完整性错误时,TSF应【赋值;采取的动作】. 7.2.5标识和鉴别(FIA类 7.2.5.1鉴别失败处理(FIA_AFL.1 FIA_AFL.1.1TSF应对赋值:登录DBMS用户】不满足授权管理员定义的口令策略【选择;达到 21
GB/T20273一2019 鉴别尝试次数,达到口令有效期,达到口令重用次数、【赋值:可接受值的范围】加以检测,与【选择;授权用户鉴别,授权管理员鉴别.【赋值;其他鉴别事件列表】】相关的未成功鉴别尝试进行处理 FIA_AFL1.2当不成功鉴别尝试的指定次数已达到或超出【赋值:可接受值的范围】,TSF应阻止受控主体的登录,直到安全管理员采取行动或直到安全管理员配置的时间【赋值;可接受值的范围】已经到达 7.2.5.2用户属性定义(FIA_ATD.1) FIA_ATD.1.1TSF应维护属于每个数据库用户下列安全属性数据库用户标识,验证数据(秘密) a 安全相关的角色或用户组 b 用户口令策略; c 服务器资源限制 d 数据库对象访问权限; e fD 数据库管理权限; 【赋值:任何附加的授权管理员安全属性】. 日 7.2.5.3秘密的验证(FIA_sOS.1 FIA_SOS.1.1TsF应提供一种机制以验证秘密满足【赋值;一个既定的质量度量】例如用户口令验证需满足: 被限制在最小和最大数量的字符长度之间 a b) 包含一个大写和小写字符的组合; 至少包含一个数字字符 e' d 至少包含一个特殊字符; 不能是用户标识或用户名称; e fD 被限制在一个有效期内" 以前使用的口令需在多少天数内无法再度使用等 8 7.2.5.4鉴别的时机(FIA_UAU.1) FIA_UAU.1.1在数据库用户身份被鉴别之前,TSF应允许代表用户的【赋值;ISr促成的行动列表】被执行例如获取当前DBMS版本信息 a b) 建立数据库连接; 如果不成功,返回错误信息 c FIA_UAU.1.2在允许任何数据库用户的数据库请求行动执行前,TSF应要求该用户已被成功鉴别注本组件针对ToE本地鉴别的用户,不包括鉴别以前应在客户端和服务DBMs之间传输的管理和控制数据包 7.2.5.5多重鉴别机制(FIA_UAU.5) FIA_UAU.5.1TSF应提供选择:口令,证书、【赋值:S作者提供的多重鉴别机制】多重鉴别机制,以支持数据库用户鉴别 FIA_UAU.5.2TSF应依据选择【选择数据库鉴别,操作系统鉴别第三方鉴别.【赋值Sr作者提供的工作规则】为授权管理员和授权用户鉴别任何用户所声称的身份注:本标准规定外部鉴别是TOE通过IT环境提供的鉴别服务器对用户身份进行的鉴别如操作系统鉴别、第三方鉴别 22
GB/T20273一2019 7.2.5.6受保护的鉴别反馈(FIA_UAU.7 FIA_UAU.7.1鉴别进行时,TSF应仅向用户提供【赋值:反馈列表】 7.2.5.7标识的时机(FIA_UD.1 FA_UID.1.1在允许任何其他代表用户的TSF促成的行动执行前,TSF应要求该用户已被成功标识 7.2.5.8用户-主体绑定(FIA_USB.1)y FIA_USB.1.1TsF应将合适的用户安全属性与代表用户活动的主体相关联.【赋值:用户安全属性的列表】 FIA_USB.1.2TsF在最初关联用户安全属性和代表用户活动的主体时应实施下面的规则【赋值: 最初属性关联规则们】. FA_USB.1.3在管理与代表用户活动的主体相关联的用户安全属性的变化时应实施下面的规则【赋值:属性变化的规则】 7.2.6安全管理(FM类 7.2.6.1安全功能行为的管理(FMT_MOF.1 FMT_MOF.1.1TSF应仅限于【赋值:已识别授权角色】对安全管理功能【赋值:功能列表】具有【选择;确定其行为,禁止,允许,修改其行为】的能力例如 a 管理【赋值;数据库实例安全功能组件配置参数】 b 限定启动/禁用授权管理员的安全功能【赋值:有关事件审计规范】在安全告警事件中配置要【赋值;执行行为】的管理; c 在鉴别失败事件中要【赋值:采取行为】的管理 d 在用户成功被鉴别之前所能【赋值;采取行为】的管理 e 授权管理员如果能改变用户被识别之前所能采取的行为列表,应对授权管理员的此种【赋值行为】进行管理" DBMS管理的数据及运行完整性自检发生【选择;初始化启动,定期间隔,其他特定条件】时的条件的管理; h)ST中附加【赋值;安全功能列表】的管理 7.2.6.2TSr数据的管理(FMIr_MrD.1 FMT_MTD_EXT.1.1TSF应仅限于具有【选择;系统管理员,安全管理员、【赋值:授权安全管理官员】角色的授权管理员能够赋值:改变默认值、查询、修改、删除、【或添加【选择:用户标识,用户组成员安全角色】应仅限于具有【选择;系统管理员、安全管理员【赋值授权安全管理官 FMT_MTDEXT.1.2TSF 员】角色的授权管理员能够[赋值;改变默认值,修改,删除【或添加]授权用户的【认证数据】. FMIT_MTD_ExT.1.3TsF应仅限于具有【选择系统管理员,安全管理员、【赋值.授权安全管理官员】角色的授权管理员能够【赋值:包括或排除可审计策略】 FMT_MTD_EXT.1.4TSF应仅限于具有【选择:系统管理员,安全管理员、【赋值:授权安全管理官员】角色的授权管理员能够删除和【查看】】【审计踪迹中的审计事件集】 FMT_MTD_EXT.1.5TSF应根据【赋值:Sr作者定义的安全元数据列表】仅限于【选择:系统管理 23
GB/T20273一2019 员、安全管理员、【赋值;授权安全管理官员】能够在系统数据上执行操作【选择;改变默认值,查询,修改,删除,清除、【赋值;其他操作】】. 7.2.6.3撤销(F_REv.1) FM_REV.1.1TSF应仅限于【赋值:已标识的授权角色】能够撤消在TSF控制下的与【选择;用户,主体,客体、【赋值.其他额外资源1相关联的所有可管理的安全属性【选择口令策略、资源限制,角色和权展、【赋值.Sr作者定义的安全属性】. FMT_REV.1.2TSF应执行规则【选择:撤销数据库管理权限应在数据库用户开始下一个数据库会话前生效,或赋值:撤消规则的详细说明】 7.2.6.4管理功能规范(FMIT_SME.1 FMT_SMF.1.1TSF应能够执行如下安全管理功能【赋值sST作者提供的安全管理功能列表】. 例如下列数据库安全管理功能添加和删除数据库用户; a b 改变用户登录数据库实例状态在数据库实例服务器)级别和数据库级别配置数据库角色权限及其成员用户 c d 创建和删除数据库实例服务器)级别和数据库级别的用户组定义数据库用户认证模式(操作系统验证、数据库验证,第三方验证) 嗯理连接数据库用户会话的属性使能和禁用数据库加密功能管理数据库加密密码; h 创建和销毁加密密钥; 启动和停止审计; 选择审计事件; 创建、删除和查阅审计记录数据定义当审计文件填满时采取的行动， m 创建和删除基于标签的访问控制(LBAC)策略和标签 n 授权和撒销LBAC安全标签与受控主体与受控客体的绑定; O 创建、删除、授权和撤销数据库角色授权、撤销数据库管理员访问属性管理数据库用户口令策略管理数据库用户对系统资源使用的最大限额等 7.2.6.5安全角色(FM_SMIR.1 FMT_SMR.1.1TsF应维护角色【赋值:已标识的授权角色或组】例如下列数据库安全管理角色或组: 安全管理员 a b 审计管理员; 数据库管理员 c d 系统管理员; e 由授权的安全管理员定义的安全角色或组 FMT_SMR.2.2TSF应能够把用户和角色或组关联起来 24
GB/T20273一2019 7.2.6.6安全角色限制FMT_SMR.2) FMT_SMR.2.1TSF应维护角色【赋值:已标识的授权角色或组】例如下列数据库安全管理角色或组安全管理员; a b 审计管理员; 数据库管理员; c d 系统管理员; 由授权的发全管理员定义的安全角色或组 e FMT_SMR.2.2TSF应能够把用户和角色或组关联起来 FMT_SMR.2.3TsF应确保条件【赋值:不同角色或组的条件】得到满足 7.2.7TSF保护(FPT类 7.2.7.1失效即保持安全状态(FPI_HISs.1 FPT_FLs.1.1TSF在下列失效发生时应保持一种安全状态【赋值:S的失效类型列表】 7.2.7.2IsF数据传送的分离(PPr_II.2) FPT_ITT.2.1TSF应在TOE分布式部署时保护不同节点TSF数据在传送时不被【选择;泄漏，篡改,丢失】 FPT_ITT.2.2当数据在TOE分布式部署的不同部分间传送时,TSF应将用户数据从TSF数据中分离出来 7.2.7.3无过度损失的自动恢复(FP_Rcv.3) F:PT_RCV.3.1TSF应保证不能从【选择;数据库服务器进程失效、数据库实例失效,数据库存储介质失效,【赋值:sr作者定义失效或服务中断列表】自动恢复时,TSF应进人一种维护模式,该模式提供将数据库服务器返回到一个安全状态的能力 FPT_RcV.3.2TsF应保证对选择数据库服务器进程失效、数据库实例失效数据库存储介质失效,【赋值.sr作青定义失效或服务中断列表】,TsF应确保通过数据库恢复服务自动化过程使ToE 返回到一个安全状态 FPT_RCV.3.3TSF应保证TSF提供的从服务中断或失效状态数据库恢复的功能,应确保在TSF 的控制内TSF数据或用户数据不超出【赋值;数据库完整性约束条件】的情况下,保证数据库数据一致性 FPT_RCcVv.3.4TSF应保证数据库实例失效情况下数据库恢复进程提供【选择;恢复到指定时间点、恢复到指定事务、恢复到实例失效点、【赋值.sr作者定义的恢复策略】】的能力 7.2.7.4内部ISs的一致性(FPr_TRc.1 FPT_TRC_EXT.1.1TSF应保证TSF数据在【选择:共享内容,磁盘、【赋值:分布式部署节点】间出现不一致时,提供某种机制使不一致的TsF数据及时的达到一种一致的状态 7.2.8资源利用(FRU类》 7.2.8.1降级容错FRU_HLI.1 FRU_FLT.1.1TSF应确保当以下失效:【赋值:失效类型列表】发生时，,【赋值:oE能力列表】能正常发挥 25
GB/T20273一2019 7.2.8.2最低最高配额(FRU_RSA.2) FRU_RSA.2.1TSF应对数据库服务器的以下资源:【选择:物理!o,逻辑!o持久存储空间、临时存储空间、一个定事务持续使用时间或未使用时间、【赋值.sST定义指定的资源列表】分配最高配额,以便【选择;单个用户,预定义用户,主体】能在【选择;一段指定的时间间隔内】使用 FRU_RSA.2.2TSF应确保数据库服务器的以下资源:【选择;物理o,逻辑!o持久存储空间、临时存储空间、一个特定事务持续使用时间或未使用时间、【赋值Sr定义指定的资源列表】的最低供应量,以便【选择单个用户,预定义的用户组,主体】能【选择:同时,规定的时间间隔内】使用 7.2.9ToE访问(FrTA类 7.2.9.1可选属性范围限定(FTA_L.sA.1 FTA_LSA.1.1ISF应基于【赋值:属性】,限制下列会话安全属性的范围:【赋值:会话安全属性】 7.2.9.2多重并发会话的基本限定(FTA_MCs.1) FTA_Mcs.1.1TsF应限制属于同一用户的并发会话的最大数目 FTA_MCs,1.2TsF应缺省地限定每个用户【赋值缺省数】次会话 7.2.9.3IS原发会话终止(IASsL.3) FTA_ssL.3.1TSF应在达到【赋值:用户不活动的时间间隔】之后终止一个交互式会话 7.2.9.4IOE访问历史(FTA_TAH.1)y F:TA_TAH.1.1在会话成功建立的基础上,TSF应向用户显示上一次成功建立的会话的【赋值;日期,时间,访问应用程序,P地址和访问方法】 FTA_TAH.1.2在会话成功建立的基础上.TsF应显示上一次会话建立的未成功尝试的【赋值:日期,时间,访问应用程序、Ir地址和访问方法】和从上一次成功的会话建立以来的不成功尝试次数 FTA_TAH.1.3如果没有向用户提供审阅访问历史信息的机会,TSF就不能从用户接口擦除该信息 7.2.9.5IoE会话建立(FTA_ISE.1y FTATsE.1.1TSF应能基于【选择;用户身份,用户组或角色,主机标识,客户端1P,时间、【赋值 ST作者指定属性拒绝数据库会话的建立 7.2.10可信路径/信道(FIP类 Ts间可信信道(FTP_IIc.1 F:TP_ITC.1.1TSF应在它自已和另一个可信IT产品之间提供一条通信信道,此信道在逻辑上与其他通信信道截然不同,并对其端点进行了有保障的标识,且能保护信道中数据免遭修改或泄露 FTP_ITc.1.2TSF应允许【选择;TsF,另一个可信1r产品】经由可信信道发起通信 FTP_ITC.1.3对于数据库客户端认证、外部用户身份鉴别、分布式数据部署处理节点间数据通信等采用加密传输的通信信道,TSF应经由可信信道发起通信 7.3安全保障要求 7.3.1概述表9列出了DBMS评估保障级(EAL)2,3和4的TOE安全保障组件 26
GB/T20273一2019 表9安全保障组件评估保障级保障类保障组件 EA2 EAI3 EAI4 ADv_ARC.1安全架构描述 ADv_FsP.2安全执行功能规范 ADV_FSP.3带完整摘要的功能规范 ADV_FSP.4完备的功能规范开发 ADV_IMP,1TSF实现表示 ADv_TDs.1基础设计 ADv_TDs.2结构化设计 ADw_TDs.3基础模块设计 AGD_oPE.1操作用户指南指导性文档 AGD_PRE.1准备程序 AlC_CMC.2CM系统的使用 ALC_CMC.3授权控制 ALc_cMc.4生产支持和接受程序及其自动化 CMs2部分TOEcM覆盗 AC ALc_cMS.3实现表示cM覆盖生命周期支持 ALc_CMs.4问题跟踪cM覆盖 ALC_DEL1交付程序 ALC_DVS.1安全措施标识 ALC_LCD.1开发者定义的生命周期模型 ALC_TAT.1明确定义的开发工具 AsE_cCL.1符合性声明 AsE_ECD.l扩展组件定义 AsE_INT.1ST引育安全目标 ASE_OB.2安全目的 ASEREQ.2推导出的安全要求 ASE_SPD.1安全问题定义 ASE_TSS.1TOE概要规范 ATE_cov.1覆盖证据 ATE_cov.2覆盖分析 ATE_DPT.1测试;基本设计测试 ATE_DPT.2测试:安全执行模块 ATE_FUN.1功能测试 ATE_IND.2独立测试抽样 27
GB/T20273一2019 表9(续评估保障级保障类保障组件 EAl2 EAL3 EAL4 AVA_VAN.2脆弱性分析脆弱性分析 AVA_VAN.3关注点脆弱性分析注代表在该评估保障级下包括的安全保障组件代表在该评估保障级下未包括的安全保障组件 7.3.2开发(ADv类) 安全架构描述(ADw_ARc.1) 7.3.2.1 开发者行为元素: ADV_ARC.1.1D开发者应设计并实现TOE,确保TSF的安全特性不可旁路 ADv_ARCc.1.2D开发者应设计并实现TsF,以防止不可信主体的破坏 ADV_ARC.1.3D开发者应提供TSF安全架构的描述内容和形式元素: ADV_ARC.1.1C安全架构的描述应与在TOE设计文档中对SFR执行的抽象描述的级别一致 ADV_ARC1.2C安全架构的描述应描述与安全功能要求一致的TSF安全域 ADV_ARC.1.3C安全架构的描述应描述TsF初始化过程为何是安全的 ADV_ARC.1.4C安全架构的描述应论证TsF可防止被破坏 ADv_ARc.1.5C安全架构的描述应论证TsSF可防止SFR-执行的功能被旁路评估者行为元素: ADV_ARC.1.1E评估者应确认提供的信息符合证据的内容和形式要求 7.3.2.2安全执行功能规范(AvrSP.2) 开发者行为元素: ADV_FSP.2.1D开发者应提供一个功能规范 ADV_FSP.2.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: ADV_FSP.2.1C功能规范应完整地描述TSF ADv_FsP.2.2C功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.2.3C功能规范应识别和描述每个TSF相关的所有参数 ADV_FSP.2.4C对于每个SFR执行TSFI,功能规范应描述TSFI相关的SFR执行行为 ADV_FSP.2.5C对于SFR执行TSFI,功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息 ADV_FSP.2.6C功能规范应论证安全功能要求到TSFI的追溯评估者行为元素 ADv_FsP.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.2.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 28
GB/T20273一2019 7.3.2.3带完整摘要的功能规范(AV_FSP3) 开发者行为元素: ADV_FSP.3.1D开发者应提供一个功能规范 ADV_FSP.3.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素: ADV_FSP.3.1C功能规范应完全描述TSF ADV_FSP.3.2C功能规范应描述所有的TSFI的目的和使用方法 ADV_FSP.3.3C功能规范应识别和描述每个TSF相关的所有参数 ADV_FSP.3.4C对于每个SFR执行TSFI,功能规范应描述TSFI相关的SFR-执行行为 ADV_FSP.3.5C对于每个SFR-执行TSFI,功能规范应描述与TSFI的调用相关的安全实施行为和异常而引起的直接错误消息 ADv_FsP.3.6C功能规范需总结与每个TsFI相关的sFR支撑和sFR-无关的行为 ADV_FSP.3.7C功能规范应论证安全功能要求到TSFI的追溯评估者行为元索 ADv_FSP.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADv_FsP.3.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.3.2.4完备的功能规范(ADVFSP.4 开发者行为元素 ADv_FSP.4.1D开发者应提供一个功能规范 ADv_FsP.4.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素 ADv_FsP.4.1c功能规范应完全描述TsSF ADv_FSP.4.2C功能规范应描述所有的TSFI的目的和使用方法 ADv_FSP.4.3C功能规范应识别和描述每个TSF相关的所有参数 ADv_FSP.4.4C对于每个SFR-执行TsFI,功能规范应描述TsFI相关的所有行为 ADV_FsP.4.5c功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息 ADv_FSP.4.6C功能规范应证实安全功能要求到TSFI的追溯评估者行为元素 ADV_FSP.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ADV_FSP.4.2E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化 7.3.2.5ISF实现表示(Av_IMP.1) 开发者行为元素: ADV_IMP1.1D开发者应为全部TSF提供实现表示 ADV_IMP1.2D开发者应提供TOE设计描述与实现表示示例之间的映射内容和形式元素: ADV_IMP1.1C实现表示应按详细级别定义TSF,且详细程度达到无需进一步设计就能生成TSF 的程度 ADV_IMP1.2C实现表示应以开发人员使用的形式提供 ADV_IMP.1.3CTOE设计描述与实现表示示例之间的映射应能证明他们的一致性评估者行为元素: 29
GB/T20273一2019 ADV_IMP1.1E对于选取的实现表示示例,评估者应确认提供的信息满足证据的内容和形式的所有要求 7.3.2.6基础设计(ADV_TDs.1 开发者行为元素: ADV_TDS.1.1D开发者应提供TOE的设计 ADV_TDS.1.2D开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素: ADV_TDS.1.1C设计应根据子系统描述TOE的结构 ADV_TDS.1.2C设计应标识TSF的所有子系统 ADV_TDS.1.3C设计应对每一个SFR支撑或SFR无关的TSF子系统的行为进行足够详细的描述,以确定它不是SFR执行 ADv_TDs.1.C设计应概括SFR执行子系统的sFR执行行为 v-_TDS.1.5C设计应描述TsF的sFR-执行子系统间的相互作用和TsF的SFR执行子系统与 ADV 其他TsF子系统间的相互作用 ADv_TDs.L.6C映射关系应证实ToE设计中描述的所有行为能够映射到调用它的TsFl 评估者行为元素 ADv_TDs.1.IE评估者应确认提供的信息满足证据的内容与形式的所有要求 AD_TDS.1.2E评估者应确定设计是所有安全功能要求的正确且完备的实例结构化设计(ADv_TDs.2) 7.3.2.7 开发者行为元素 ADV_TDs.2.1D开发者应提供TOE的设计 ADv_TDs.2.2D开发者应提供从功能规范的TsFI到ToE设计中获取到的最低层分解的映射内容和形式元素 ADvTDS.2.1c设计应根据子系统描述TOE的结构 ADV_TDs.2.2CTSF内部描述应证明指定的整个TSF结构合理 ADv_TDS.2.3C设计应对每一个TSF的SFR-无关子系统的行为进行足够详细的描述.以确定它是SFR-无关 ADV_TDS.2.4C设计应描述sFR-执行子系统的SFR执行行为 ADV_TS.2.5C设计应概括SFR执行子系统的sFR支撑和SFR-无关行为 ADV_TDS.2.6C设计应概括SFR-支撑子系统的行为 ADVv_TDS.2.7C设计应描述TSF所有子系统间的相互作用 ADV_TDS.2.8C映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSF 评估者行为元素 ADV_TDS.2.1E评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.2.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.3.2.8基础模块设计(ADV_ITDSs.3 开发者行为元素 ADV_TDS.3.1D开发者应提供TOE的设计 ADV_TDS.3.2D开发者应提供从功能规范的TSF到TOE设计中获取到的最低层分解的映射内容和形式元素: 30
GB/T20273一2019 ADV_TDs.3.1C设计应根据子系统描述TOE的结构 ADV_TDS.3.2C设计应根据模块描述TSF ADV_TDS.3.3C设计应标识TSF的所有子系统 ADV_TDS.3.4C设计应描述每一个TSF子系统 ADV_TDS.3.5C设计应描述TSF所有子系统间的相互作用 ADV_TDS.3.6C设计应提供TSF子系统到TSF模块间的映射关系 ADV_TDS.3.7C设计应描述每一个SFR-执行模块,包括它的目的及与其他模块间的相互作用 ADv_TDs.3.8C设计应描述每一个sSFR-执行模块,包括它的安全功能要求相关接口、其他接口的返回值与其他模块间的相互作用及调用的接口 ADV_TDs.3.9C设计应描述每一个SFR-支撑或SFR-无关模块,包括它的的目的及与其他模块间的相互作用 ADvV_TDs.3.10C映射关系应论证TOE设计中描述的所有行为能够映射到调用它的TSF 评估者行为元素 ADv_TIS5.3.1IE评估者应确认提供的信息满足证据的内容与形式的所有要求 ADV_TDS.3.2E评估者应确定设计是所有安全功能要求的正确且完全的实例 7.3.3指导性文档(AGD类 7.3.3.1操作用户指南(AGD_OPE.1) 开发者行为元素: AG;D_OPE.1.1D开发者应提供操作用户指南内容和形式元素: AGD_OPE.1.1C操作用户指南应对每一种用户角色在安全处理环境中应被控制的用户可访问的功能和特权进行描述,包含适当的警示信息 AGD_OPE.1.2C操作用户指南应对每一种用户角色怎样以安全的方式使用TOE提供的可用接口进行描述 AGD_OPE.1.3C操作用户指南应对每一种用户角色可用的功能和接口,尤其是受用户控制的所有安全参数进行描述,适当时应指明安全值 AGD_OPE.1.4C操作用户指南应对每一种用户角色与需要执行的用户可访问功能有关的每一种安全相关事件明确说明,包括改变TSF所控制实体的安全特性 AGD_OPE.1.5C操作用户指南应标识ToE运行的所有可能状态(包括操作导致的失败或者操作性错误),他们与维持安全运行之间的因果关系 AGD_OPE.1.6C操作用户指南应对每一种用户角色为了充分实现sT中描述的运行环境安全目的所应执行的安全策略进行描述 AGD_OPE.1.7C操作用户指南应是明确和合理的评估者行为元素 AGD_OPE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.3.2准备程序(AGDPRE.1 开发者行为元索: AGD_PRE.1.1D开发者应提供TOE,包括它的准备程序内容和形式元素: AGD_PRE.1.1C准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有 31
GB/T20273一2019 步骤 AGD_PRE.1.2C准备程序应描述安全安装TOE以及安全准备与sT中描述的运行环境安全目的 -致的运行环境必需的所有步骤评估者行为元素: AGD_PRE.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AGD_PRE.1.2E评估者应运用准备程序确认TOE运行能被安全的准备 7.3.4生命周期支持(AIc类 7.3.4.1CM系统的使用(AIc_CMc.2) 开发者行为元素: ALc_CMC.2.1D开发者应提供ToE及其参照号 ALC_CMC.2.2D开发者应提供CM文档 ALc_CMC,2.3D开发者应使用CM系统内容和形式元素 ALc._cMC.2.lc应给ToE标记唯一参照号标识配置项的方法 AIc.cMc.2.2cc.M文档应描述用于唯 AIC_CMC.2.3CCM系统应唯一标识所有配置项评估者行为元素: AIC_CMC,2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.2授权控制(AL.C_CMC.3) 开发者行为元素: ALC_CMC.3.1D开发者应提供TOE及其参照号 ALC_CMC.3.2D开发者应提供CM文档 ALC_CMC.3.3D开发者应使用CM系统内容和形式元素: ALc_CMC.3.1C应给TOE标记唯一参照号 ALC_CMC.3.2cCM文档应描述用于唯一标识配置项的方法 ALc_CMC.3.3CCM系统应唯一标识所有配置项 ALc_CMC.3.4CCM系统应提供措施使得只能对配置项进行授权变更 ALc_CMC.3.5cCM文档应包括一个CM计划 ALc_CMC.3.6ccM计划应描述CM系统是如何应用于ToE的开发过程 ALc_CMC.3.7c证据应证实所有配置项都正在CM系统下进行维护 ALcCcMC.3.8C证据应证实cM系统的运行与CM计划是一致的课估者行为元素 ALcCMc.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.3生产支持和接受程序及其自动化AI.C_CMC.4 开发者行为元素: AIC_CMC.4.1D开发者应提供TOE及其参照号 ALC_CMC.4.2D开发者应提供CM文档 ALC_CMC.4.3D开发者应使用CM系统 32
GB/T20273一2019 内容和形式元素 ALC_CMC.4.1C应给TOE标记唯一参照号 ALC_CMC.4.2CCM文档应描述用于唯一标识配置项的方法 ALC_CMC.4.3CCM系统应唯一标识所有配置项 ALC_CMC.4.4CCM系统应提供自动化的措施使得只能对配置项进行授权变更 ALC_CMC.4.5CCM系统应以自动化的方式支持TOE的生产 ALC_CMC.4.6CCM文档应包括CM计划 ALC_CMC.4.7cCM计划应描述CM系统是如何应用于TOE的开发的 AIC_CMC.4.8CCM计划应描述用来接受修改过的或新创建的作为TOE组成部分的配置项的程序 ALC_CMC.4.9C证据应论证所有配置项都正在CM系统下进行维护 ALC_CMC.4.10C证据应论证CM系统的运行与CM计划是一致的评估者行为元索 AIC_CMC.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.4部分TOECM覆盖(ALC_CMS.2 开发者行为冗素 ALc_CMs.2.1D开发者应提供ToE配置项列表内容和形式元素 ALc_CMs.2.1c配置项列表应包括:ToE本身、安全保障要求的评估证据和TOE的组成部分 AIc_CcMs.2.2C配置项列表应唯一标识配置项 ALc_CMs.,2.3C对于每一个rSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素 ALc_CMs.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.5实现表示CM覆盖(ALc_CMIs.3) 开发者行为元素 AIc_CMS.3.1D开发者应提供TOE配置项列表内容和形式元素 ALC_CMS.3.1C配置项列表应包括:TOE本身,安全保障要求的评估证据、TOE的组成部分和实现表示 ALC_CMS.3.2C配置项列表应唯一标识配置项 ALc_CMS.3.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素: ALC_CMS.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.6问题跟踪CM覆盖(ALC_CMS.4 开发者行为元素 ALC_CMS.4.1D开发者应提供TOE配置项列表内容和形式元素 ALC_CMS.4.1C配置项列表应包括:ToE本身、安全保障要求的评估证据、TOE的组成部分,实现表示和安全缺陷报告及其解决状态 ALC_CMS.4.2C配置项列表应唯一标识配置项 33
GB/T20273一2019 ALC_CMS.4.3C对于每一个TSF相关的配置项,配置项列表应简要说明该配置项的开发者评估者行为元素: ALC_CMS.4.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.7交付程序(ALCDEL.1) 开发者行为元素: AIC_DEL.l.1D开发者应将把TOE或其部分交付给消费者的程序文档化. AL.C_DEL1.2D开发者应使用交付程序内容和形式元素: AIC_DEL1.1C交付文档应描述,在向消费者分发TOE版本时,用以维护安全性所必需的所有程序评估者行为元素 AIC_DELl.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.8安全措施标识(ALC_DVS.1 开发者行为元素 AC_Dws.l.D开发者应提供开发发全文档内容和形式元素 ALcDvs.1.1c开发安全文档应描述在TOE的开发环境中,保护TOE设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其他方面的安全措施评估者行为元素 ALc_Dvs.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ALc_Dvs.1.2E评估者应确认安全措施正在被使用 7.3.4.9开发者定义的生命周期模型(AIc_LCD.1) 开发者行为元素 ALc_ICD.1.1D开发者应建立一个生命周期模型,用于TOE的开发和维护 ALc_ICD.1.2D开发者应提供生命周期定义文档内容和形式元素: ALC_ICD.1.1C生命周期定义文档应描述用于开发和维护TOE的模型 ALc_LCD.1.2C生命周期模型应为TOE的开发和维护提供必要的控制评估者行为元素: ALc_LCD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.4.10明确定义的开发工具(ALC_IAT.1) 开发者行为元素 ALC_TAT.1.1D开发者应标识用于开发TOE的每个工具 ALC_TAT.1.2D开发者应在文档中描述每个开发工具所选取的实现依赖选项内容和形式元素: ALC_TAT.1.1C用于实现的每个开发工具都应是明确定义的 ALC_TAT.1.2C每个开发工具的文档应无歧义地定义所有语句和实现用到的所有协定与命令的含义 ALC_TAT.1.3C每个开发工具的文档应无歧义地定义所有实现依赖选项的含义 34
GB/T20273一2019 评估者行为元素 ALC_TAT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5安全目标评估(ASE类) 7.3.5.1符合性声明(ASE_cCL.1 开发者行为元素: ASE_cCL.1.1D开发者应提供符合性声明 ASE_cCL.1.2D开发者应提供符合性声明的基本原理内容和形式元素 AsE_cCL.1.1csT应声明其与GB/T18336.12015.GB/T18336.22015.GB/T18336.3 2015的符合性,标识出sT和TOE的符合性遵从的GB/T18336.12015.GB/T18336.2一2015、 GB/T18336.32015的版本 ASE_CCL.1.2C符合性声明应描述ST与GB/T18336.2一2015的符合性,无论是与GB/T18336.2 2015相符或还是对GB/T18336.2一2015的扩展 ASE_CCLl.3C符合性声明应描述ST与GB/T18336.3 -2015的符合性,无论是与GB/T1838.3 2015相符还是对GB/T18336.32015的扩展 AsE_ccLl.4C符合性声明应与扩展组件定义是相符的 AsE_CCL1.5C符合性声明应标识sT声明遵从的所有即和安全要求包 ASE_CCL.l.6C符合性声明应描述ST和包的符合性,无论是与包的相符或是与扩展包相符 ASE_CCL.1.7C符合性声明的基本原理应证实TOE类型与符合性声明所遵从的PP中的TOE类型是相符的 ASE_CCL.l.8C符合性声明的基本原理应证实安全问题定义的陈述与符合性声明所遵从的PP中的安全问题定义陈述是相符的 ASE_CCL.1.9C符合性声明的基本原理应证实安全目的陈述与符合性声明所遵从的PP中的安全目的陈述是相符的 ASE_cCL1.10C符合性声明的基本原理应证实安全要求的陈述与符合性声明所遵从的PP中的安全要求的陈述是相符的评估者行为元素: ASE_cCL.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.2扩展组件定义(AS_CD.1 开发者行为元素 AsE_ECD.1.1D开发者应提供安全要求的陈述 AsEECD.1.2D开发者应提供扩展组件的定义内容和形式元素 ASE_ECD.1.1C安全要求陈述应标识所有扩展的安全要求 AsE_ECD.1.2C扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件 ASEEECD.1.3C扩展组件定义应描述每个扩展的组件与已有组件、族和类的关联性 ASE_ECD.1.4C扩展组件定义应使用已有的组件、族、类和方法学作为陈述的模型 AsE_ECD.1.5C扩展组件应由可测量的和客观的元素组成,以便于证实这些元素之间的符合性或不符合性评估者行为元素: 35
GB/T20273一2019 ASE_ECD.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_ECD.1.2E评估者应确认扩展组件不能利用已经存在的组件明确的表达 7.3.5.3S引言(ASsE_INT.1 开发者行为元素 ASE_INT.1.1D开发者应提供ST引言内容和形式元素 ASE_INT.1.1CST引言应包含ST参照号,TOE参照号,TOE概述和TOE描述 AsE_INT.1.2CST参照号应唯一标识sT ASE_INT.1.3CTOE参照号应标识TOE ASE_INT.1.4CTOE概述应概括TOE的用法及其主要安全特性 AsE_INT.1.5CTOE概述应标识TOE类型 AsEINT.1.6CTOE概述应标识任何TOE要求的非TOE范围内的硬件/软件/固件 ASE_INT.1.7CTOE描述应描述TOE的物理范围 ASE_INT.1.8CTOE描述应描述TOE的逻辑范围评估者行为元素 AsE_INT.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_INT.1.2E评估者应确认roE参考、ToE概述和TOE描述是相互一致的 7.3.5.4安全目的ASE_oBJ.2 开发者行为元素 ASE_OB.2.,1D开发者应提供安全目的的陈述 AsE_oB.2.2D开发者应提供安全目的的基本原理内容和形式元素 AsE_oB.2.1C安全目的的陈述应描述ToE的安全目的和运行环境安全目的 ASE_OB.2.2C安全目的基本原理应追溯到ToE的每一个安全目的,以便于能追溯到安全目的所对抗的威胁及安全目的实施的组织安全策略 ASE_OB.2.3C安全目的基本原理应追溯到运行环境的每一个安全目的.以便于能追溯到安全目的所对抗的威胁、安全目的实施的组织安全策略和安全目的支持的假设 ASE_OB.2.4C安全目的基本原理应证实安全目的能抵抗所有威胁 ASE_OB.2.5C安全目的基本原理应证实安全目的执行所有组织安全策略 ASE_OB.2.6C安全目的基本原理应证实运行环境安全目的支持所有的假设评估者行为元素 ASE_OB.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.5推导出的安全要求(ASE_REQ.2) 开发者行为元素 ASE_REQ.2.1D开发者应提供安全要求的陈述 ASE_REQ.2.2D开发者应提供安全要求的基本原理内容和形式元素 ASE_REQ.2.1C安全要求的陈述应描述安全功能要求和安全保障要求 ASE_REQ.2.2C应对安全功能要求和安全保障要求中使用的所有主体、客体、操作,安全属性,外部实体及其他术语进行定义 36
GB/T20273一2019 ASE_REQ.2.3C安全要求的陈述应对安全要求的所有操作进行标识 ASE_REQ.2.4C所有操作应被正确地执行 ASE_REQ.2.5C应满足安全要求间的依赖关系,或者安全要求基本原理应论证不需要满足某个依赖关系 ASE_REQ.2.6C安全要求基本原理应描述每一个安全功能要求可追溯至对应的TOE安全目的 AsE_REQ,2.7c安全要求基本原理应证实安全功能要求可满足所有的ToE安全目的 ASE_REQ.2.8C安全要求基本原理应说明选择安全保障要求的理由 AsE_REQ.2.9C安全要求的陈述应是内在一致的评估者行为元素 ASE_REQ.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.6安全问题定义ASE_SPD.1 开发者行为元素: ASE_SPD.1.1D开发者应提供安全问题定义内容和形式元素: AsE_SPD.1.1c安全问题定义应描述威胁 AsE_SPD.1.2C所有的按摩器威胁都应根据威胁主体,资产和敌对行为进行描述 ASE_SPD.1.3C安全问题定义应描述组织安全策略 ASE_SPD.1.4C安全问题定义应描述TOE运行环境的相关假设评估者行为元素: ASE_SPD.1.lE评估者应确认所提供的信息满足证据的内容和形式的所有要求 7.3.5.7ToE概要规范(ASE_TsS.1 开发者行为元素: AsE_Tss.1.1D开发者应提供ToE概要规范内容和形式元素 ASE_Tss.1.1cTOE概要规范应描述TOE是如何满足每一项安全功能要求的评估者行为元素 ASE_TSS.1.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ASE_TSS.1.2E评估者应确认TOE概要规范与TOE概述、TOE描述是一致的 7.3.6测试(ATE类 7.3.6.1 覆盖证据(ATE_CoV.1 开发者行为元素: ATE_COV.1.ID开发者应提供测试覆盖的证据内容和形式死素 ATE_cov.1.1C测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性评估者行为元素: ATE_cOV.1.1E评估者应确认所提供的信息满足证据的所有内容和形式要求 7.3.6.2覆盖分析(ATE_cov.2) 开发者行为元素: 37
GB/T20273一2019 ATE_COV.2.1D开发者应提供对测试覆盖的分析内容和形式元素: ATE_COV.2.1C测试覆盖分析应论证测试文档中的测试与功能规范中TSF接口之间的对应性 ATE_COV2.2C测试覆盖分析应论证已经对功能规范中的所有TsF接口都进行了测试评估者行为元素: ATE_CoV.2.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.3.6.3测试:基本设计(ATE_DPr.1 开发者行为元素: ATEDPT.1.1D开发者应提供测试深度分析内容和形式元素: ATE_DPT.1.1C测试深度分析应证实测试文档中的测试与TOE设计中TSF子系统之间的对应性 ATE_DPT.1.2C测试深度分析应证实TOE设计中的所有TSF子系统都已经进行过测试评估者行为元素: ATE_DPT1.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.3.6.4测试:安全执行模块(ATEDPT.2 开发者行为元素 ATEDPT.2.1D开发者应提供测试深度分析内容和形式元素 ATEDPT.2.1C深度测试分析应论证测试文档中的测试与ToE设计中的TSF子系统、SFR-执行模块之间的一致性 ATE_DPT.2.2C测试深度分析应论证ToE设计中的所有TsF子系统都已经进行过测试 ATEDPT.2.3C测试深度分析应论证TOE设计中的sFR执行模块都已经进行过测试评估者行为元素 ATEDPT.2.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.3.6.5功能测试(ATE_FUN.1 开发者行为元素: ATE_FUN.1.1D开发者应测试TSF,并文档化测试结果 ATE_FUN.1.2D开发者应提供测试文档内容和形式元素 ATE_FUN.1.1C测试文档应包括测试计划、预期的测试结果和实际的测试结果 ATE_FUN.1.2C测试计划应标识要执行的测试并描述执行每个测试的方案,这些方案应包括对于其他测试结果的任何顺序依赖性 ATE_FUN.1.3C预期的测试结果应指出测试成功执行后的预期输出 ATE_FUN.1.4C实际的测试结果应和预期的测试结果一致评估者行为元素: ATE_FUN.1.1E评估者应确认所提供的信息满足证据内容和形式的所有要求 7.3.6.6独立测试一抽样(ATE_IND.2 开发者行为元素 38
GB/T20273一2019 ATE_IND.2.1D开发者应提供用于测试的TOE 内容和形式元素: ATE_IND.2.1CTOE应适合测试 ATE_IND.2.2C开发者应提供一组与开发者TSF功能测试中同等的一系列资源评估者行为元素: ATE_IND.2.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 ATE_IND.2.2E评估者应执行测试文档中的测试样本,以验证开发者的测试结果 ATE_IND.2.3E评估者应测试TsF的一个子集以确认TSF按照规定运行 7.3.7脆弱性评定(AVA类 7.3.7.1脆弱性分析(AVA_VAN.2) 开发者行为元素 AVA_VAN.2.1D开发者应提供用于测试的TOE 内容和形式元素: AVA_VAN.2.1CTOE应适合测试评估者行为元素: AVA_vAN.2.IE评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.2.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.2.3E评估者应执行独立的ToE脆弱性分析去标识ToE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、ToE设计和安全结构描述 AVA_VAN.2.4E评估者应基于已标识的潜在脆弱性实施渗透性测试,确定ToE能抵抗具有基本攻击潜力的攻击者的攻击 7.3.7.2关注点脆弱性分析(AVA_VAN.3) 开发者行为元素 AVA_VAN.3.1D开发者应提供用于测试的TOE 内容和形式元素: AVA_VAN.3.1CTOE应适合测试评估者行为元素: AVA_VAN.3.1E评估者应确认所提供的信息满足证据的内容和形式的所有要求 AVA_VAN.3.2E评估者应执行公共领域的调查以标识TOE的潜在脆弱性 AVA_VAN.3.3E评估者应针对ToE执行一个独立的脆弱性分析去标识ToE中潜在的脆弱性在分析过程中使用指导性文档、功能规范、ToE设计、安全结构描述和实现表示 AVA_VAN.3.4E评估者应基于已标识的潜在脆弱性实施渗透性测试,确定ToE能抵抗具有增强型基本攻击潜力的攻击者的攻击基本原理 8.1安全目的基本原理 8.1.1概述每一种威胁、组织安全策略和假设都至少有一个或一个以上的安全目的与其对应,以保证安全问题的解决方案是完备的当然不存在任何一个安全目的没有与其对应的威胁、组织安全策略和假设,这证 39
GB/T20273一2019 明了每个安全目的都是必要的;没有多余的安全目的不对应威胁、组织安全策略和假设,这说明安全目的是充分的 8.1.2威胁对应安全目的表10说明了ToE安全目的能应对所有可能的威胁表10威胁与ToE安全目的的对应关系 roE安全目的 O 9 9 威胁 a 管理员误操作T.MIS(OPERATON_ADMIN 审计机制失效T.AUDIT_FAII.URE 密码攻击T.CRYPTo._coMPROMIsE 数据传输窃听T.EAVEsDRoP 设计缺陷T.FLAwED_DEsIGN 实现缺陷T.FLAVED_IMPLEMENTATON 标签数据失控T.ILBAC 假冒授权用户T.MASQUERADE 测试缺陷T.PooRTEST 残余信息利用T.REsIDUAL_DATA 安全功能失效T.TsF_coMPROMIsE 非授权访问T.UNAUTHORIZED_ACCESS 服务失效T.UNAVAILABILITY 未标识动作T.UNDENTIFIED_ACTONS 管理员误操作T.MIsSOPERNTION_ADMIN 审计机制失效T.AUDIT_FAL.URE 密码攻击T.CRYPTo_coMPROMIsE 数据传输窃听T.EAVEsDRoP 设计缺陷T.FLAwED_DEsIGN 实现缺陷T.FLAwED_IMPLEMENTATON 标签数据失控T.LBAC 40
GB/T20273一2019 表10(续 TOE安全目的 O 9 9 9 威胁假冒授权用户T.MAsQUERADE 测试缺陷T.PO(OR_TEST 残余信息利用T.RESDUAI_DATA 安全功能失效T.TsF_coMPRoMIsE 非授权访间T.UNAUTHoRIZEDAcCEs 服务失效T.UNAVAIl.ABITY 未标识动作T.UNIDENTFIED_ACTIONNS 代丧有对应关系注代表无对应关系表11说明了DBMS运行环境安全目的能应对所有可能的威胁表11威胁与环境安全目的的对应关系环境安全目的是是条晨晨月威胁管理员误操作T.MIsoPERATIoNL_ADMIN 审计机制失效T.AUDT_FALURE 密码攻击T.cRYPTo_coMPROMIsE 数据传输窃听T.EAVEsDRoP 1
GB/T20273一2019 表11(续环境安全目的威胁假冒授权用户T.MAsQUERADE 安全功能失效T.TSFCOMPROMISE 非授权访问T.UNAUTHORIZED_ACCESS 未标识动作T,UNIDENTIFIED_ACTIONS 注:、代表有对应关系代表无对应关系下面论述每一种威胁对应的安全目的及其原理 T.MISOPERATION_ADMIN O.ADMIN_GUIDANCE确保授权管理员拥有可指导他们以安全方式管理TOE的指南文档; O.ADMIN_RROLE指TSF提供职责分离、角色约束等数据库管理角色功能,通过使用最小特权原则可减轻授权管理员失误的影响;O.MANAGE提供给安全管理员查看授权管理功能和安全功能配置参数的能力,以便对授权管理员可能错误地安装或配置数据库实例组件,或是恶意破坏用户或DBMS的安全等行为,进行判断其安全配置与安全策略的一致性,从而消除人为使用和配置安全功能的威胁; OE.NO_G;ENERAI_PURPOSE确保在数据库服务器上不会因为未授权软件的安装或DBMS相关服务配置端口的引人而产生意外的错误;OE.N0_HARM通过保证授权管理员是不敌对的、训练有素的能够合理地管理DBMS),从而缓解管理员的威胁 T.AUDT_FAILURE O.AUDT_GENERATIoN确保能依据审计策略创建与用户关联的安全相关事件的记录能力 O.AUD1_PROTECTION或OE.AUD1T_PROTECTION提供保护存储在数据库内或IT环境中审计记录的能力;O.RESIDUAL_INFORMATION防止未经授权的用户读取服务器共享缓存残留的审计记录或跟踪审计,从而保证清除TsF中的任何残余审计记录不再需要时不可访问来缓解该威胁; OE.SELF_PROTECTIoN通过确保TsF及运行环境保护自身免于用户的攻击,有助于对抗恶意用户或进程可能执行的访问、修改或删除审计记录操作,从而导致审计记录丢失或被篡改,也有可能阻止未来审计记录被篡改,从而导致产生掩盖用户的威胁;OE.TIME_STAMPs保证数据库外部的IT环境提供可靠的时间戳 T.CRYPTO_COMPROMISE O.CRYPTOGRAGHY保证数据库存储加密和通信加密功能的可靠性 O.D0cCUMENTED_DE sIGN要求数据库密码相关的运算和密钥生成功能进行说明;O.RESIDUAL_INF(ORMATION通过保证清除TSF中的任何残余数据和在加密密钥不再需要时不可访问来缓解该威胁;OE.SELF_PRO 42
GB/T20273一2019 TECTION通过确保TSF及运行环境保护自身免于用户的攻击,从而有助于对抗密码相关的威胁 T.EAVESDROP O.CRYPTOGRAGHY加密可以消除数据库与外部实体通信、存储数据读写等数据传输过程中的窃听威胁;O,TRUSTED_PATH和OE.TRUST_IT支撑DBMS运行所需的操作系统、外部认证实体等数据库安全性有关的IT环境应与TOE安全策略和他们之间的关系保持一致,以避免外部实体的不可信导致DEBMS的安全功能失效;OE.SECURE_COMMS通过安全的通信线路保护用户和TSF数据免于被修改和浏览,从而消除此威胁 T.FLAWED_DEsIGN O.CONFIG要求在开发过程中对DBMS组件配置及其开发证据进行分析、跟踪和控制,以对抗 TOE设计任务被重新分配并及时纠正设计中的错误;0.D0CUMENTED_DEsIGN要求TOE按照软件工程原理进行开发,所有DBMS设计、设计原则和设计技术等得到充分、准确地记录,保证在TOE审查评估中能有详细的设计文档;O.vULNERABL.IrY_ANAL.YsIS确保DBMs设计进行了针对设计缺陷的独立脆弱性分析,以证明TOE的设计和实施中不包含任何明显的缺陷 T.FLAWEDIMPLEMENTATION ToE开发过程中对DBMs组件配置及其开发证据进行分析,跟踪和控 O.CONFIG要求在整个" 制,以对抗ToE实现任务被重新分配并及时纠正实现中的错误o.D0cUMENTED_DEsG确保形式化的rOE实现文档满足安全功能设计要求 o),.FUNcTONAL_TEST增加了通过测试从而发现已经存在于实现中的错误的可能 O.VULNERABLITY_ANALYsIS确保对实现进行了适当的独立渗透性测试和脆弱性分析,从而证明TOE的设计与实现不允许攻击者进行潜在的安全攻击 T.LBAc O.AcCCESs.LBAC要求通过TOE的标签策略控制数据库对象的访问,它能减轻T.LBAC的威胁; O.ADMIN_ROLE要求TOE提供安全管理员角色功能,确保标签策略定义的完整性和一致性另外 O.ACCEss.LBAC将支持组织安全策略P.LBAc T.MAsQUERADE 0.ToE_AcCESS确保只有认证用户才能访问ToE,并保证对TOE内部的数据字典数据、用户数据和安全功能组件实施了访问控制措施;OE.TOE_ACCESS在允许访问TOE或通过TOE转发的服务前要通过IT环境进行身份鉴别;OE.TOE_NO_BYPASS确保用户访问TOE或通过TOE转发的某种服务之前TSF及其环境应调用所有已配置实施的功能(身份鉴别访问控制规则等) T.POOR_TEST O.D0cUMENTED_DESIGN确保规范化的安全功能测试用例集满足TOE安全功能设计要求 O.FUNCTIONALTEST确保充分的功能测试被执行,从而证明TSF满足安全设计要求,以及TsF 运行与记录一致要求 O.VUINERABILITY_ANALYSIS要求进行合适的渗透性测试和独立脆弱性分析来缓解此威胁 T.RESIDUAL_DATA O.RESIDUA_INFORMATION通过确保当数据库服务器资源(缓存、磁盘)被用户或进程释放并配置给其他用户或进程时,TSF数据和用户数据不再持久存在 T.TSF_COMPROMISE O.INTERNAL_TOEDoMAINS确保TOE为授权用户数据建立单独的用户安全域,保证多用户并发访问数据的隔离性和一致性;O.MANAGE提供了限制授权管理员使用TSF功能和TSF数据查看、修改或删除)或执行代码的能力;O.REsIDUAL_INFORMATION确保服务器共享资源中删除的 TSF数据不能重新被配置给其他用户;O.TRUSTED_PATH确保TSF和不同授权主体(远程管理员、依赖方和可信IT实体)间存在可信通信路径来解决此威胁;OE.cONFIG要求TOE及其运行支撑环境提供管理与配置DBMS运行安全所需的功能和设施,并防止这些功能和设施被未授权使用 43
GB/T20273一2019 OE.SELF_PROTECTION确保TOE足以保护自身免受外部来源的威胁,所有TSP功能可以被调用，保证TOEIT环境提供与TOE相似的安全保护 OE.DOMAIN_SEPARATION保证数据库服务器及其网络应用环境将为TOE运行提供独立安全域 T.UNAUTHORIzED_AccCEss O.ACCEss_HISTORY确保TOE能够存储和检索上一次成功登录时,用户不知情情况下的登录尝试和执行的操作信息;O.TOE_ACESS确保TOE在允许访问ToOE服务前要进行身份鉴别,要求控制登录用户可以访问的TOE、TOE安全功能和TS数据,阻止授权用户不适当地更改TOE配置数据及其安全威胁;O.MANAG;E与OE.cONFIG要求TOE及其环境仅限于确保管理员修改与TOE相关联的安全属性;OE.TOE_ACCESS在允许访问TOE或通过TOE转发的服务前要通过IT环境进行身份鉴别;OE.SELF_PROTEECTION确保TOE足以保护自身免受外部来源的威胁,所有TSP功能可以被调用,保证TOEIT环境提供与TOE相似的安全保护 T.UNAVAILABILITY O.REsoURCE_sHHARING要求ToE提供关于数据库服务器CPU时间、共享内存,可获得的网络连接数、服务器存储空间的共享控制,来消除恶意进程或用户可能通过使用资源耗尽所拒绝的服务攻击来阻止他人获得数据库服务器资源的行为,或者由于ToE的主数据库服务器故障而导致数据库对用户不可用,或ToE可能由于合法用户任务请求过多导致的服务过载;o.AVvAIL确保数据库服务器磁盘介质故障的情况下,通过数据库恢复的方法,保障数据库服务可用性;或在主数据库服务器对用户不可用时,由ToE提供控制切换和故障转移功能,提高数据库的可用性 T.UNDENTFIED_AcTONs O.AUDIT_GENERATIGN或o.AUDIT_GENERATION保证与配置审计策略相关的操作审计数据的生成,消除TOE中存在的授权管理员不能标识并且可能发生的非授权操作的威胁,提供采取必要行动以应对这些潜在未被授权访问操作的安全问责管理的措施 8.1.3组织安全策略对应安全目的表12说明了ToE及其运行环境安全目的能应对所有可能的组织安全策略表12组织安全策略与安全目的的对应关系安全目的组织安全策略责任与义务P,ACC(OUNTABILITY 密码策略P.CRYPTO(GRAPHY 标签策略P.LABEL. 角色分离策略P.ROLES 44
GB/T20273一2019 表12(续安全目的 g 组织安全策略系统完整性策略P.sYsTEML_INTEGRITY 脆弱性分析与测试策略 PvULNERABL.ITY_ANALYsIS_TESsT 责任与义务P.ACCOUNTABILITY 密码策略P.CRYPTOGRAPHY 标签策略P.LABEL 角色分离放略卫ROS 系统完整性策略P.sYsTEML_INTEGRIrY 脆弱性分析与测试策略 PVUNERABLITY_ANALYsIs_TEsT 注代表有对应关系代表无对应关系下面论述每一种组织安全策略对应的ToE安全目的及其原理 P.ACCOUNTABILITY O.ADMIN_ROLE提供安全管理员管理DBMS安全性所必需的功能和设施,防止这些管理功能和管理设施被未授权用户使用;O.AUD1T_GENERATION提供审计机制记录特定用户的操作,供管理员根据用户ID等属性追踪触发安全事件的能力 O.AUDIT_PROTECTON保护审计事件,从而确保 DBMS能够在威胁状态发生改变时捕捉安全相关的事件;O.TOE_ACCESS要求TOE在允许任何授权用户访问或任何代表用户的程序访问之前,标识和授权所有授权用户;OE.TIME_STAMPSs保证数据库外部的IT环境提供可靠的时间戳 P.CRYPTOGRAPHY 0.CRYPTOGRAGHY保证TOE使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范,并且ToE应提供密码功能以维护DBMS资产的保密性和完整性;0.RESIDUAL_IN FORMATION通过确保当数据库服务器共享资源被用户或进程释放后并配置给其他用户或进程时， TSF数据和用户相关密钥数据不再持久存在 P.LABEL O.ACCEsS.LBAC要求TOE提供基于标签的访问控制机制,组织提供基于安全标签的数据分级、 45
GB/T20273一2019 用户分类与分组的读/写权限安全策略O.ADMIN_ROLE要求组织安全管理员按照TOE的标签访问控制策略定义标签,并确保标签策略定义的完整性和一致性 P.ROLES O.ADMIN_ROLE保证TOE应提供与不同数据库管理操作相适应的授权管理员角色,以提供职责分离,角色约束等角色管理功能;(0.TRUSTED_PATH要求所有可信用户的各远程管理会话都经由安全信道授权和引导,所有可信IT实体通过受保护信道连接,从而避免泄露和欺骗问题 P.sYSTEM_INTEGRITY O.FUNCTIONALTEST要求TSF运行一套安全功能测试用例集以证明TSF硬件和软件)和 TSF加密组件在D)BMS初始启动后正确运行,管理员还可以通过O.FUNCTIONAL_TEST验证TsF 数据和存储代码的完整性,也可以利用DBMS提供的加密机制验证TSF加密数据和存储代码;O.A VAI 应提供能够定期验证其备份与恢复数据的安全策略及其运行支撑环境正确的操作,并在管理员的帮助下,它应能够恢复到任何被检测到错误前的一致性状态 P.VULNERABILITY_ANALYsIs_TEST O.VULNERABLIrY_ANALYSIS进行了合适的渗透性测试独立脆弱性分析,以证明D)BMs的设计和实现不允许拥有中等攻击潜力的攻击者通过违反DBMS安全策略来实现该组织策略 8.1.4假设对应安全目的表13说明了ToE及其运行安全目的能够应对的假设表13假设与安全目的的对应关系安全目的假设目录服务器保护A.DIR_PRoTEcTIoNN 安全域分离A.DoMAIN_SEPARAToN 角色分工管理A.MANAGER 多层应用问责A.MTIER 人员假设A.NO_HARM 服务器专用A.NO_GENERALPURP(OSE 物理安全A.PHYSICAL 通信安全A.SECURE_COMMS 注代表有对应关系代丧无对应关系 46
GB/T20273一2019 下面论述每一种假设对应的安全目的及其原理 A.DIR_PROTECTION OE.DIR_CONTROL提供企业级别用户身份鉴别管理与配置指南 OE.SECURE_COMMS将保证在目录服务器和TOE之间的用户标识和鉴别信息的安全通信注，目录服务器不是ToE的组成部分,因此sT作者需明确目录控制目的(OE.DR_coNTRoL). A.DOMAIN_SEPARATION OE.DoOMAIN_SEPARATION提供一个可分离的安全执行域,不同节点间应以一种安全方式进行通信 OE.TOE_NO_BYPAsS通过确保配置数据库客户端,应用服务器等远程或本地应用程序使得信息只能通过TOE在客户端与数据库服务器或多数据库服务器主机(分布式数据库)之间进行流动来缓解安全威胁 A.MANAGER O.ADMIN_ROLE确保在TOE中将有一个或多个指定能力的管理TOE和TSF的不同管理员，他们之间依据最小特权、职责分离、深度防御等安全原则进行了角色分工 A.MIDTIER OE.DIR_CONTROL确保在分布式多层次环境中的任意中间层次都应将原始的客户标识(ID)发送给ToE,以阻止非法用户访问LDAP服务器保存的TSF数据 OE.NG_HARM确保数据库管理员是可信的,训练有素的,并且遵循组织安全策略和相关的目录服务器使用指南管理数据库 OE. AUDIT_PROTEECTION和OE.AUDIT_REVIEw确保多层应用运行的日志被IT环境安全保护,不可被篡改,但可被授权管理员查询与浏览 A.NO_HARM OE.NO_HARM保证使用评估对象的组织应确保其数据库管理员是可信的,训练有素且遵循组织安全策略和相关的数据库管理员指南 A.NO_GENERAL_PURPOsE OE.No._GENERAL_PURPOSEDBMS服务器除了提供DBMs运行、管理和支持的必要服务外，不存在与DBMS运行无关的计算或存储功能 A.PHYSIcCAL OE.PHYsICAL保证IT环境应提供与TOE和TOE所包含数据的价值相一致的物理安全 A.SEcURE_COMMS OE.sEcURE_coMMs保证ToE与用户和应用终端之间的通信信道是安全可靠的(如满足私密性和完整性),其典型的实现方式是通过共享密钥、公/私钥对,或者利用存储的其他密钥来产生会话密钥 8.2安全要求基本原理 8.2.1概述本条说明安全功能与保证组件要求的充分必要性和基本原理,即每个安全目的都至少有一个安全要求(包括功能要求和保障要求)组件与其对应,每个安全要求都至少解决了一个安全目的因此本标准规定的TOE安全要求对TOE安全目的而言是充分和必要的 8.2.2安全功能组件表14说明了ToE的每个安全功能组件要求都至少解决了一个TOE安全目的 47
GB/T20273一2019 表14安全功能组件与ToE安全目的的对应关系安全目的 o 安全功能组件 FAU_GEN.1审计数据产生 FAU_GEN.2用户身份关联 FAU_SAR.1审计查阅 FAU_SAR.2限制审计查阅 FAU_SAR.3可选审计查阅 FAU_SEIl选择性审计 FAU _STG.2审计数据可用性保证 FAU_STG.4防止审计数据丢失 FCs_CKM.1密钥生成 Fcs_CKM.4密钥销毁 FCS_COP.1密码运算 FDP_ACC.1子集访问控制 FDP_ACF.1基于安全属性的访问控制 DP_IFC.1子集信息流控制 FDP_IFF.2分级安全属性 FDP_ETc.2带有安全属性用户数据输出 FDP_ITC.1不带安全属性用户数据输人 FDP_ITT,1基本内部传送保护 FDPRIP.1子集残余信息保护 FDP_ROL1基本回退 FDPsDL.2存储数据完整性监视和行动 FIA_AFL1鉴别失败处理 FIA_ATD1用户属性定义 FIA_S0S.1秘密的验证 FIAUAU.1鉴别的时机 FIALUAU.5多重鉴别机制 48
GB/T20273一2019 表14(续安全目的 .o 安全功能组件 FIALUAU.7受保护的鉴别反馈 FIA_UID.1标识的时机 USB.1用户-主体绑定 FMT_MoF.1安全功能行为的管理 _MSA_EXT.1安全属性的管理 FMT_MSA_EXT.3静态属性初始化 FMT_REV.1撒消 FMT_MTD.1TSF数据的管理 FMT_SMF.1管理功能规范 FMT_SMR.1安全角色 SMR.2安全角色限制 FPT_FIS.1失效即保持安全状态 FPT_ITT.2TSF数据传输的分离无过度损失的自动恢复 FP TSF的一致性 TR FP” EXT.1TSF故障切换/转移 FRU_FIT.1降级容错 FRU_PRS.1有限服务优先级 FRU_RSA.2最低最高配额 FTALSA.1可选属性范围限定 FTA_McS.1多重并发会话的基本限定 SSL.3TSF原发会话终止 FTA_TAH.1TOE访问历史 FTA_TSE.1TOE会话建立 FTP_ITC.1可信信道代表有对应关系注代表无对应关系下面论述每一种TOE安全目的对应的DBMS安全功能组件及其原理 O.ACCESs_HISTORY 49
GB/T20273一2019 FTA_TAH.1要求TOE能够存储和检索以前未经授权的登录尝试,包括每次用户登录到TOE的用户名、密码服务等帐户信息 O.ACCESS_IBAC FDP_IFC.1定义了数据库对象信息控制政策,要求绑定标签的数据库对象有确定的信息流控制 SFP;FDP_IFF.2要求SFR中有信息流控制数据库对象和授权主体使用数据库标签元素(分级安全属性)定义了信息控制策略规则;FM_MOF.1和FMT_SMF.1确保基于标签的访问控制机制信息流控制政策)的数据库对象的TSF数据免受未经授权的修改;FMT_MSA_EXT.1、FMT_SMF.1、FMT MSA_EXT.3提供标签控制的安全属性管理,这些标签组成的数据将用于控制对数据库对象的访问控制 FDP_ETC.,2要求带标签的数据导出时要求TSF利用一个功能执行合适的SFP,该功能准确无误地将安全属性与从TOE外所输出的用户数据相关联 O.ADMIN_ROLE FMT_SMR.1和FMT_SMR.2要求TOE应预定义不同角色的授权管理员特权,并提供创建和控制角色及其角色之间关系的规则,支持管理角色分离原则 O.AUDIT_GENERATION FAU_GEN.1定义TOE应记录的事件集,确保授权管理员能够控制TOE发生的安全相关事件及包含在审计记录中的每个事件信息;FAU_G;EN.2确保审计记录可以关联可审计的事件和授权用户身份或授权用户组标识;FAU_SEL.1允许授权管理员在审计策略配置时选择哪一些审计事件被记录在历史记录存储中;FIA_USB.1通过要求绑定与用户相关联的安全属性满足该目的 O.AUDIT_PROTECTION FAU_SAR.1和FAU_SAR.1确保TOE或IT环境保存为负责管理TOE的授权管理员提供查阅 TOE审计记录的设施;FAU_SAR.3为管理员提供了依据已建立的标准选择性查阅审计数据内容的能力,允许管理员把审计查阅的焦点放在特定时间发生、包含特定操作或由特定主客体对象执行的事件上;FAU_STG.2和FAU_STG.4确保所存储的审计记录避免未授权的删除或修改;FAU_SEL.1允许授权管理员在审计策略配置时选择哪一些审计事件被记录在历史记录存储中;FDP_SDL.2确保审计数据存储的完整性,并在检测到某个错误时,TOE能采取相应动作 O.AVAI FDP_ROL.l保障TOE出现故障时能快速的执行恢复操作,保证数据服务操作的原子性和持久性;FRU_FLT.1要求如果发生了确定的失效,TOE能继续正确发挥既定能力;FPT_OVR_EXT.1指定 TOE分布式部署时应提供TSF故障切换和故障转移功能;FPT_RCV.3要求TOE在发生数据库服务器进程失效、数据库存储介质失效时提供数据库自动恢复机制,从而保障数据库事务特性 O.CRYPTOGRAPHY FCS_CKM.1和FCS_CKM.4确保TOE能够产生和销毁加解密密钥,且TOE生成或销毁密钥时应符合国家、行业或组织要求的密码管理相关标准或规范,并且TOE应提供密码功能以维护DBMS资产的保密性和完整性 FCS_coPI要求使用随机数产生器,且在数据加密和解密时使用国家、行业或组织要求的算法 FPT_ITc.1要求使用加密机制的ToE在与外部TOE通信时应使用可信通道 O.MANAGE FMT_MTD_.1确保授权管理员能够管理TSF数据;FMT_MSA_EXT.1为确保授权管理员管理指定的安全属性;FMT_MSA_EXT.3确保安全属性的默认值设置为适当的允许值或限制范围内;FMT 允许授权管理员具备管理服务器资源 _REV.1提供在某一时刻将实施的安全属性撤消;FMT_MOF.1 使用规则或具有指定资源使用条件的功能行为;FMT_SMF.1通过提供对加密数据,审计记录和密钥数据的管理功能来支持该目的;FMT_sMR.1规定TSF认同的与授权管理员安全相关的一些内置数据库角色/权限;FMT_SMR.2除了规定角色外,还规定了控制角色之间约束条件的规则 FDP_SD.2确保管理员设置的数据库完整性约束条件及TOE存储数据的完整性,并在检测到某个错误时,TOE能采取相应动作 50
GB/T20273一2019 O.RESIDUA_INFORMATIONN FDP_RIP.1要求TSF确保任何资源的任何残余信息内容在资源分配或释放时,对于所有客体都是不可再利用的 FCs_CKM.1适用于TSF所使用密钥的分发,用于确保重新分配密钥时,旧的密钥内容不再可用 O.RESOURCE_SHARING FRU_RSA.2是用来减轻潜在数据库服务器共享计算资源耗尽尝试;需要消耗的数据库服务器资源应限制在FMT_MTD_EXT.1规定的限额范围内;FMT_MOF.1允许授权管理员具备管理服务器资源使用规则或具有指定资源使用条件的功能行为 O.TOE_ACCESS FIA_AFLl确保TOE可以保护自身及其用户免受对他们鉴别证书的蛮力攻击;FIA_ATD.1允许授权管理员对每个授权用户的安全属性分别加以维护;FIA_USB.1要求对用户属性及其映人的主体属性之间的关联关系的管理规则进行规范;FIA IUIID. l和FIA_S0S.1通过确保TOE在执行任何数据库用户请求前鉴别每一个用户来满足该目的;FIA_UAU.1和FIA_UAU.5通过确保授权管理员和授权用户在访问TOE及其服务之前被鉴别来实现该目的;FTA_LSA.1提供关于TOE在建立会话时限制会话安全属性范围的要求;FTA_MCS.1确保TOE可以提供多个并发会话控制;FTA_TSE.1通过限制用户对逻辑访问TOE能力有助于实现这一目标;FTA_SsL.3.1为TsF提供在用户在一段指定时间不活动后终止该会话的要求 FDP 要求访问控制策略(SFP)适用于对数据库对象客体子集可能执行的操作子集;FDP_ACF.1允许TSF基于安全属性和已命名属性组执行访问,TSF有能力根据安全属性明确地授权或拒绝对某个数据库对象进行访问;FPT_TRc_EXT.1要求TSF确保数据库安全元数据在多处复制时的一致性;FDP_ITc.1和FDP_ETC.2要求TOE在导人导出数据时要求TSF利用一个功能执行合适的SFP;FDP_ITT.1要求数据库在分布式部署时用户数据在TOE的各部分间传输时受保护 FPT_ITT.2要求对在TOE的不同部件间传送的TSF数据进行分离和保护 O.TRUSTED_PATH F:TPITC.,1为数据库外部用户身份标识或鉴别的IT环境所提供的服务建立可信信道 8.2.3安全保障组件表15是TOE安全保障组件与TOE安全目的之间的对应关系表15安全保障组件与安全目的的对应关系 ToE安全目的安全保障组件、 ADV_ARC.1安全架构描述 ADv_FSP.2安全执行功能规范 ADV_FsP.3带完整摘要的功能规范 51
GB/T20273一2019 表15(续 TOE安全目的安全保障组件 ADV_FSP.4完备的功能规范 ADV_IMP.1TSF实现表示 ADwv_TDS.1基础设计 ADV_TS.2结构化设计 ADV_TDS.3基础模块设计 AGD_oPE.1操作用户指南 AGD_PRE.1准备程序 ALC_CMC,2CM系统的使用 ALc_CMc.3授权控制 ALc_CMC,4生产支持和接受程序及其自动化 ALC_CMS.2部分TOECM覆盖 _CMs.3实现表示cM覆盖 CMS.4问题跟踪CM覆盖 AlC_DEL.l交付程序 ALc_DVS.1安全措随标识 ALc_LcD.1开发者定义的生命周期模型 ALC_TAT.1明确定义的开发工具 ATE._cov.1覆盖证掀 ATE_cov.2覆盖分析 ATEDPT.1测试;基本设计 _DPr.2测试;安全执行模块 ATED ATE_FUN.1功能测试 ATE_IND.2独立测试一抽样 AVA_VAN.2脆弱性分析 AVA_VAN.3关注点脆弱性分析注代表有对应关系代表无对应关系 52
GB/T20273一2019 下面论述每一种TOE安全目的对应的DBMS安全保障组件及其原理 O.ADNMIN_GUIDANCE AGD_OPE.1用户操作指南描述了DBMS安全机制提供的安全功能,以及提供DBMS安全使用的 -些规程和指导,包括警示信息;AG;D_PRE.1准备程序给出了包括调查DBMS组件配置或DBMs安装环境是否存在不一致,或DBMSs中存在的不安全安装方式,以避免误导用户相信DBMS的安装是合理和安全的;ALC_DEL.1保证数据库管理员拥有安装、生成、启动TOE程序文档的权利,确保管理员在操作过程中遵循了安装和配置指南,告诉他们如何正确地部署DBMS,并在数据库维护的过程中不受到干扰 O.CONFIG ALC_CMC.2,AIC_CMC.3和AIC_CMC.4要求TOE提供一种跟踪任何变化的方法和确保所有修改都是经过了授权的,并且确保他们所控制的TOE部分的完整性;AIC_CMS,2,ALC_CMS.3和 AI.c._CMs.4要求有一个现场配置管理(CM)系统,并且包含在ToE中的每个配置项是唯一标识,提供 -个清晰明确的TOE组成清单,即通过要求开发者拥有描述TOE变化和TOE评估报告管理方式的配置管理计划来满足该目的 O.DOCUMENTED_DESIGN ADv_ARC.I要求开发者提供对TsF安全架构的描述,包括描述支持隐含的声明;ADv_FsP.2要求开发者提供所有TSFI的目的、使用方法、参数和参数描述,包括对于sFR-执行TSF1,开发者应描述 SFR执行行为和直接错误消息;ADV_FsP.3除了ADv_FsP,2要求的信息之外,开发者应提供足够的关于SFR-支撑和SFR-无关行为的信息,包括开发者应文档化由调用sFR-执行的TsFI产生的所有直接错误消息;ADv_FsP.4要求所有TSFI(无论是sFR执行、SFR支撑还是sFR无关)应以同等程度来描述,包括所有的直接错误消息;ADv_TDs.1,AD_TDs.2和ADv_TDs.3提供了与TSF描述的上下文,以及对TSF的详尽描述;AL.c_DVS.1要求开发安全文档应描述在TOE的开发环境中,保护 TOE设计和实现的保密性和完整性所必需的所有物理的、,程序的、人员的及其他方面的安全措施;AIcC L.cD.1要求生命周定义文档应描述用于开发和维护TOE的生命周期模型,为ToE的开发和维护提供必要的控制;ALc_TAT.1要求开发者应标识用于开发ToE的每个工具,应无歧义地定义所有语句和实现用到的所有协定与命令的含义 O.FUNCTIONALTEST ATE_cOv.1和ATE_coV.2要求开发者提供测试覆盖范围分析以表明开发者的测试套件测试 TSFI的范围该组件也要求独立地确认测试套件的范围,这有助于确保通过测试验证TSFI的安全相关功能;ATE_FUN.1要求开发者提供必要的测试文档以允许独立地分析开发者安全功能测试的覆盖范围另外,开发者应提供测试套件的可执行代码和源代码,以便评估者可以使用这些代码从而独立地验证提供商的测试结果和支持测试覆盖范围分析;ATE_IND.2要求通过规定独立方运行测试套件的子集,独立地确认开发者的测试结果该组件也要求第三方执行附加的功能测试,以解决开发者测试套件中没有证明的功能行为 -旦成功地完成这些要求,就可以证明TOE遵循了规定的安全功能要求; ATE_DPT.1和ATE_DPT.2要求开发人员提供一个测试覆盖率分析,演示了覆盖测试套件的深度 NTERNAL_TOE_DOMAINS ADV_ARC.1提供由TSF维护的数据库用户安全域与数据库实例组件、服务器资源及用户数据管理特殊功能相一致的安全体系结构的描述;FDP_ITT.1要求在TOE的不同安全域间传输时受保护 O.VULNERABLITY_ANALYSIS AVA_VAN.2和AVA_VAN.3保证TOE应适合测试,评估者应确认所提供的信息满足证据的内容和形式的所有要求,评估者应执行公共领域的调查以标识TOE的潜在脆弱性,评估者应针对TOE 执行独立的脆弱性分析去标识TOE潜在的脆弱性,在分析过程中使用指导性文档,功能规范、TOE设计、安全结构描述和实现表示,评估者应基于已标识的潜在脆弱性实施渗透性测试,确定TOE能抵抗 53
GB/T20273一2019 具有基本攻击潜力至增强型基本攻击潜力的攻击者的攻击 8.3组件依赖关系 PP/sST作者在选取GB/T18336安全功能组件和安全保障组件时,应满足所选组件之间的相互依赖关系,表16列出了本标准所选安全功能组件的依赖关系,表17列出了所选安全保障组件的依赖关系表16安全功能组件依赖关系序号安全功能要求依赖关系 FAU.GEN.1 FPT_STM. FAUGEN.2 FAU_GEN.1,FIAUID.1l FAU_SAR.1 FAU_GEN.1 FAU_SAR.2 FAU_SAR.1 FAU_SAR.3 FAU_SAR.l FAU_GEN.1,FMT_MTD.l FAU_SEL.l FAU. STG.2 FAU_GEN. FAUSTG.4 FAU_sTG.l FCS_CKM.1 FCS_cOP.1,FCsCKM. 10 Fcs_CKM.1 FCSCKM.4 11 FCS_cOP.1 FCS_CKM.1,FCs_CKM.4 12 FDP_ACC.1 FDP_ACF 13 FDP_ACF.1 FDP_ACC.1,FMT_MSA.3 FDP_Acc.1或FDP_IFC.1 l4 FDP_ETC.2 15 FDPIFF.1 FDP_IFc. 6 FDP_IFF.2 FDP_IFc.1,FMT_MSA.3 17 FDP_ITC.1 FDP_ACC.1或FDP_IFC.1,FMT_MSA.3 18 FDP_ITT.1 FDP_ACC.1或FDPIFC.1 19 无 FDP_RIP.1 20 FDP_ROL. FDP_ACC.1或FMT_IFC. FDPsDL.2 无 21 22 FIA_UD1 无 23 FIAAFL.1l FIAUAU.1 24 FIA_UAU.1 FIA_UID.1 25 无 FIA_UAU.5 26 FIA_UAU. FIA_UAU.7 27 FA_ATD.l 无 FIA_s0os.1 28 无 29 FIAATD.1l FIA_UsB.1 54
GB/T20273一2019 表16(续序号安全功能要求依赖关系 RNr FMT_SMR.1,FMT_sMF.1 30 _MOF.l FDPAcC.或FDPRC..FMT_SMRIRMT_SME. FMT_MSA.1 31 32 FMT_MSA.3 FMT_MSA.1,FMT_SMR.1 33 FMT_MTD.1 FMT_SMR.1,FMT_SMF.1I 34 FMT_SMR.1 FIA_UID.1 35 FMT_SMR.2 FIA_UID.1 36 FMT_REV.1 FMT_SMR.1 FMr_SMF.1 37 无 38 FPT_FL.s.1 39 FPTTRc.1 FPTITT.2 40 无 FPT_ITl.2 41 FPT_RCV.3 AGD_(OPE.l 42 FRU_FLT. FPT_FLS.1 43 无 FRU_RSA.2 FTA_TsE. 44 FTASsL.3 45 46 FTALSA.1 4？7 无 FTA_TAH.1 48 FTA_MCS.,1 FIA_UID.1 49 FTP_ITC.1 无表17安全保障组件依赖关系依赖关系序号安全保障要求 ADV_ARC ADV_FSP.1,ADV_TDs.1 ADV_FSP.2 ADV_TDS.1 ADV_FSP.3 ADV_TDS.1 ADvFsP ADv_TDs.1 ADVTDS.1 ADv_FsP2 ADVTDS.2 ADv_FSP.3 ADV_TDS.3 ADV_FSP.4 ADV_IMP.1 ADV_TDS.3,AlC_TAT.1 AGD_OPE.1 ADV_FSP.1 l0 无 AGD_PRE.l 55
GB/T20273一2019 表17(续序号安全保障要求依赖关系 AIC_CMC.2 AlC_CMS.l1 2 AL.c_cMC.3 ALc_cMs.l,.AI.c_DVS.1,AL.cC_L.cD.1l 13 ALc_CMC.4 ALc_cCMS.1,ALc_Dvs.1,AL.c_ILcD.1 14 ALC_CMS.2 15 ALC_CMS.3 无 16 无 ALCCMS,4 无 17 AlC_DEL1 ALc_Dvs.I 18 ALc_LCD.1l 19 20 ADVIMP.1 AIc_TAT.1 21 ASE_CCL.l ASE_INT.1,ASEECD.1,ASE_REQ.l 无 22 ASEECD.1 无 23 ASE_INT.1 24 ASE_OB.2 ASE_SPD.l 2 AsE_REQ.2 AsE_oB.2,AsE_ECD.1 AsE_sPD.1 26 无 27 AsETSS.1 AsE_INT.1,AsE_REQ.1,ADv_FsP.1 28 ATEc(OV.1 ADV_FSP.2,ATE_FUN.1 29 ATE_COV.2 ADV_FSP.2.ATE_FUN.1 30 ATEDPT.1 ADV_ARC.1,ADV_TDS.2,ATE_FUN.1 31 ATE_DPT.2 ADV_ARC.1,ADV_TDS.3,ATE_FUN.l 32 ATE_FUN.1 ATE_COV.1 ADV_FSP.2,AGD_OPE.1,AGD_PRE.1 33 ATE_IND.2 ATE_cov.1,.ATE_FUN. ADV_ARC.l,ADV_FSP.2,ADV_TDS.1 34 AVA_VAN.2 AGD_oPE.1,AGD_PRE.1 AD_ARC.1,.ADv_FsP4.ADv_TDs.3,ADv_IMP.1 AVA_VAN.3 35 AGD_OPE.1,AGD_PRE.1,ATE_DPT. 56
GB/T20273一2019 录附 A 资料性附录关于标准修订和使用说明表A.1为GB/T202732006评估内容与本标准安全功能要求映射表,本标准中EAL.2、EAL3、 EAL4级的安全要求既适用于基于GB/T18336.12015,GB/T18336.22015,GB/T18336.3一2015 的数据库安全性测评,同样适用于基于GB17859一1999的数据库标准第二级系统审计保护级,第三级安全标记保护级,第四级结构化保护级的安全性测评表A.1GB/20273一2006评估内容与本标准安全功能要求映射表 GB/T20273一2019 GB/T20273一2006评估内容评估内容备注第 -级;用户第二级:系统第三级;安全第四级:结构第五级;访问评估内容安全功能要求自主保护级审计保护级标记保护级化保护级验证保护级 FIA_UID.1 FIA_UAU.1 IA_UAU. 身份鉴别 FIAAFL.1 HA USB, FAUAU.5 FDP_ACC.1 自主访问控制 FDP_ACF.1 FMT_MSA_EXT.1(l FMT_MSA_EXT.1(2 标记 FDP_ITc.1 FDPETc.2 安全功能 FDPACC.1 强制访问控制 FDP_ACF,1 FDP_IFC1 数据流控制 FDP_IFF.2 FAU_GEN.l FAU_GEN.2 FAU_SAA.1 FAUSAR.1 安全审计 FAU_SAR.2 FAU_SELl FAU_STG.1 FAU_ARP.1 57
GB/T20273一2019 表A.1续 GB/T20273一2019 GB/T20273一2006评估内容评估内容备注 -级;用户第二级;系统第三级;安全第四级;结构第五级;访问评估内容安全功能要求自主保护级审计保护级标记保护级化保护级验证保护级 FAU_SAA.2 FAU_sAR.3 FAUSTG.2 安全审计 FAUSTG.4 FAU_SAA.3 FAU_SAA.4 FDP_RROL.1 用户数据安全 FDP_SDL.2 完整性功能 FDP_UIT.1 用户数 FDP_UCT.1 据保密性可信路径 FTP_ITC.1 对该部分内容的评估直接依据GB/T18336.32015各推理控制级别的脆弱性评定要求进行评估 FPT_PHP.1 sSF物理 FPT_PHP,2 安全保护 FPT_PHP.3 FPT_RVM.1 FPTSEP. ssF运行 FMT_MSAEXT.3 安全保护 SODB FPT_RCV.1 自身 FPT_RCV.2 安全 FPT_ITT.2 保护 SSF数据 FPT_TRC.1 安全保护 FPT_ITA1 FRU_FLT.1 FRUPRS. 资源利用 FRU_RSA.1 FRU_RSA.2 58
GB/T20273一2019 表A.1(续》 GB/"T 2027320]9 GBy/T20273一2006评估内容评估内容备注 -级;用户第二级;系统第三级;安全第四级;结构第五级;访问安全功能要求评估内容自主保护级审计保护级标记保护级化保护级验证保护级 FTA_ISA.l SODB Mcs.1 TA 自身 SSODB FTATAH.1 安全访问控制 FTA_SSL.3 保护 FTA_TSE.1 配置管理分发和操作开发 sODB 对该部分内容的评估直接依设计文档要求据GB/T18336.3一2015备和生命周期级别的保障要求进行评估实现支持测试脆弱性评定 FMT_MOF.1 FMT_SMF.1 SSODB安全管理 FMT_MSA.1 FMT_MTD.l FMT_sMR.2 FDP_ITT. FDpRIP.1 FIA_ATD.1 FIA_SOS.1 FMT_REV. FPT_FIS.l FPT_RcV. FPToVREXT,1 FCS_CKM.1 FCs_CKM. FCSCOP.1l 注代表原标准安全功能项对应到本标准中的安全功能要求; 代表本标准中新增的安全功能要求代表本标准中删除的原标准内容灰色部分代表原标准中安全功能所覆盖的范围 59
GB/T20273一2019 考文献参 [1]GB17859一1999计算机信息系统安全保护等级划分准则 System,Version1.3,National [2]U.S.GovernmentProtectionProfileforDatabaseMe lanagement SecurityAgeney(NsA),Dee24,2010. InstructionManual，For ofUSGovernmentProtectionProfiles [3]Consisteney developmet PP),Release3.0,Feb1,2005. 60

信息安全技术数据库管理系统安全技术要求GB/T20273-2019

随着信息化时代的到来，各类数据在企业和组织中扮演着越来越重要的角色。然而，随之而来的是数据泄露、丢失等风险也随之增加。因此，建立一个安全可靠的数据库管理系统显得尤为重要。

什么是信息安全技术数据库管理系统？

信息安全技术数据库管理系统是指通过技术手段对数据库进行管理，确保其数据的完整性、机密性、可用性等方面的安全要求得到满足。该系统广泛应用于金融、医疗、政府等行业中，涉及到大量敏感数据的存储和处理。

GB/T20273-2019标准介绍

GB/T20273-2019《信息化技术数据库管理系统安全技术要求》是由中华人民共和国国家标准化管理委员会发布的标准。该标准主要规定了数据库管理系统在信息安全方面的基本要求，为企业和组织建立一个安全可靠的数据库提供了指导和保障。

GB/T20273-2019标准内容

GB/T20273-2019标准主要包含以下内容：

术语和定义
安全需求
安全服务
安全机制
安全审计

关键点分析

对于企业和组织而言，了解GB/T20273-2019标准的关键点是至关重要的。这些关键点包括：

数据备份和还原：必须对数据库进行定期备份，并确保在数据丢失或损坏时能够及时恢复。
访问控制：应该实现精细化的访问控制，只允许合法用户访问相关数据。
数据加密：对敏感数据进行加密处理，确保在传输和存储过程中不被窃取。
安全审计：对数据库的操作进行记录和审计，以便发现和追溯不当行为。

总结

GB/T20273-2019标准为企业和组织提供了一个建立安全可靠的数据库管理系统的指导和保障。在实际应用中，企业和组织应该更加注重信息安全，积极推进信息化建设，确保数据得到充分保护。