犐犆犛３５．０４０ 犔８０ 中 华 人 民 共 和 国 国 家 标 准 ／ＧＢ／０Ｔ２ 犌犅 ０００９００—９２—０２０１０９５ 代替犜２ 信息安全技术 数据库管理系统安全评估准则 犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔— 犛犲犮狌狉犻狋狔犲狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犱犪狋犪犫犪狊犲犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿 ２０１９０８３０ 发布 ２０２００３０１ 实施 国家市场监督管理总局 中国国家标准化管理委员会 发布 犌犅／犜２０００９—２０１９ 目 　　 次 前言 ………………………………………………………………………………………………………… Ⅲ １　 范围 ……………………………………………………………………………………………………… １ ２　 规范性引用文件 ………………………………………………………………………………………… １ ３　 术语和定义 、缩略语 ……………………………………………………………………………………… １ 　３．１　 术语和定义 ………………………………………………………………………………………… １ 　３．２　 缩略语 ……………………………………………………………………………………………… １ ４　 评估总则 ………………………………………………………………………………………………… ２ 　４．１　 概述 ………………………………………………………………………………………………… ２ 　４．２　 评估要求 …………………………………………………………………………………………… ２ 　４．３　 评估环境 …………………………………………………………………………………………… ２ 　４．４　 评估流程 …………………………………………………………………………………………… ３ ５　 评估内容 ………………………………………………………………………………………………… ３ 　５．１　 安全功能评估 ……………………………………………………………………………………… ３ 　５．２　 安全保障评估 ……………………………………………………………………………………… ２２ 　５．３　 评估方法 …………………………………………………………………………………………… ３５ 附录 Ａ （资料性附录）　 标准修订说明 …………………………………………………………………… ４０ Ⅰ 犌犅／犜２０００９—２０１９ 前 　　 言 　　 本标准按照 ＧＢ／Ｔ１．１—２００９ 给出的规则起草 。 本标准 代 替 ＧＢ／Ｔ ２０００９—２００５《信 息 安 全 技 术 　 数 据 库 管 理 系 统 安 全 评 估 准 则 》。 与 ＧＢ／Ｔ２０００９—２００５ 相比 ，除编辑性修改外主要技术变化如下 ： ——— 修改了第 ３ 章术语和定义及缩略语 （见 ３．１ 和 ３．２，２００５ 年版第 ３ 章 ）； ——— 修改了第 ４ 章 “安全环境 ”，标题修改为评估总则 ，描述了数据库管理系统总体要求 、评估要求 、 评估环境和评估流程（见第 ４ 章 ，２００５ 年版第 ４ 章）； ——— 修改了第 ５ 章评估内容 ，按照 ＧＢ／Ｔ３０２７０—２０１３ 定义了 ＧＢ／Ｔ２０２７３—２０１９ 中的安全功能 组件和安全保障组件评估内容（见第 ５ 章 ，２００５ 年版第 ５ 章）； ——— 删除了附录 Ａ“数据库管理系统面临的威胁和对策 ”（见 ２００５ 年版附录 Ａ）； ——— 按照评估保障级概念列出了 ＥＡＬ２、ＥＡＬ３ 和 ＥＡＬ４ 组件列表及评估准则 。 请注意本文件的某些内容可能涉及专利 。 本文件的发布机构不承担识别这些专利的责任 。 本标准由全国信息安全标准化技术委员会（ＳＡＣ／ＴＣ２６０）提出并归口 。 本标准起草单位 ：中国信息安全测评中心 、清华大学 、北京江南天安科技有限公司 、公安部第三研究 所 、北京大学 、武汉达梦数据库有限公司 、天津南大通用数据技术股份有限公司 。 本标准主要起草人 ：张宝峰 、毕海英 、叶晓俊 、王峰 、王建民 、陈冠直 、陆臻 、沈亮 、顾健 、宋好好 、 赵玉洁 、吉增瑞 、刘昱函 、刘学洋 、胡文蕙 、付铨 、方红霞 、冯源 、李德军 。 本标准所代替标准的历次版本发布情况为 ： ———ＧＢ／Ｔ２０００９—２００５。 Ⅲ 犌犅／犜２０００９—２０１９ 信息安全技术 数据库管理系统安全评估准则 １　 范围 本标准依据 ＧＢ／Ｔ２０２７３—２０１９ 规定了数据库管理系统安全评估总则 、评估内容和评估方法 。 本标准适用于数据库管理系统的测试和评估 ，也可用于指导数据库管理系统的研发 。 注 ：本标准规定的 ＥＡＬ２ 级 、ＥＡＬ３ 级 、ＥＡＬ４ 级的评估内容和评估方法既适用于基于 ＧＢ／Ｔ１８３３６—２０１５ 所有部分 的数据库管理系统安全性测评 ，同样适用于基于 ＧＢ１７８５９—１９９９ 的数据库第二级系统审计保护级 、第三级安 全标记保护级 、第四级结构化保护级的数据库管理系统安全性测评 ，相关对应关系参见附录 Ａ 中 Ａ．１。 ２　 规范性引用文件 下列文件对于本文件的应用是必不可少的 。 凡是注日期的引用文件 ，仅注日期的版本适用于本文 件 。 凡是不注日期的引用文件 ，其最新版本（包括所有的修改版）适用于本文件 。 ＧＢ／Ｔ１８３３６．１～１８３３６．３—２０１５　 信息技术 　 安全技术 　 信息技术安全评估准则 ＧＢ／Ｔ２０２７３—２０１９　 信息安全技术 　 数据库管理系统安全技术要求 ＧＢ／Ｔ２５０６９—２０１０　 信息安全技术 　 术语 ＧＢ／Ｔ３０２７０—２０１３　 信息技术 　 安全技术 　 信息技术安全性评估方法 ３　 术语和定义 、缩略语 ３．１　 术语和定义 ＧＢ／Ｔ２５０６９—２０１０、ＧＢ／Ｔ３０２７０—２０１３ 和 ＧＢ／Ｔ２０２７３—２０１９ 界定的术语和定义适用于本文件 。 ３．２　 缩略语 下列缩略语适用于本文件 。 ＣＣ：通用准则（ＣｏｍｍｏｎＣｒｉｔｅｒｉａ） ＣＥＭ：通用准则评估方法（ＣｏｍｍｏｎＣｒｉｔｅｒｉａＥｖａｌｕａｔｉｏｎＭｅｔｈｏｄｏｌｏｇｙ） ＣＭ：配置管理（ＣｏｎｆｉｇｕｒａｔｉｏｎＭａｎａｇｅｍｅｎｔ） ＤＢＭＳ：数据库管理系统（ＤａｔａＢａｓｅＭａｎａｇｅｍｅｎｔＳｙｓｔｅｍ） ＥＡＬ：评估保障级（ＥｖａｌｕａｔｉｏｎＡｓｓｕｒａｎｃｅＬｅｖｅｌ） ＥＴＲ：评估技术报告（ＥｖａｌｕａｔｉｏｎＴｅｃｈｎｉｃａｌＲｅｐｏｒｔ） ＬＢＡＣ：基于标签的访问控制（ＬａｂｅｌＢａｓｅｄＡｃｃｅｓｓＣｏｎｔｒｏｌ） ＯＲ：观察报告（ＯｂｓｅｒｖａｔｉｏｎＲｅｐｏｒｔ） ＰＰ：保护轮廓（ＰｒｏｔｅｃｔｉｏｎＰｒｏｆｉｌｅ） ＳＦＰ：安全功能策略（ＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎＰｏｌｉｃｙ） ＳＱＬ：结构化查询语言（ＳｔｒｕｃｔｕｒｅｄＱｕｅｒｙＬａｎｇｕａｇｅ） ＳＴ：安全目标（ＳｅｃｕｒｉｔｙＴａｒｇｅｔ） ＴＯＥ：评估对象（ＴａｒｇｅｔＯｆＥｖａｌｕａｔｉｏｎ） １ 犌犅／犜２０００９—２０１９ ＴＳＣ：ＴＳＦ 控制范围（ＴＳＦＳｃｏｐｅｏｆＣｏｎｔｒｏｌ） ＴＳＦ：ＴＯＥ 安全功能（ＴＯＥＳｅｃｕｒｉｔｙＦｕｎｃｔｉｏｎａｌｉｔｙ） ＴＳＦＩ：ＴＳＦ 接口（ＴＳＦＩｎｔｅｒｆａｃｅ） ＴＳＰ：ＴＯＥ 安全策略（ＴＯＥＳｅｃｕｒｉｔｙＰｏｌｉｃｙ） ＴＳＳ：ＴＯＥ 概要规范（ＴＯＥＳｕｍｍａｒｙＳｐｅｃｉｆｉｃａｔｉｏｎ） ４　 评估总则 ４．１　 概述 本标准依据 ＧＢ／Ｔ３０２７０—２０１３ 给出了 ＧＢ／Ｔ２０２７３—２０１９ 定义的数据库管理系统 （ＤＢＭＳ）评估 对象（ＴＯＥ）安全功能组件和安全保障组件的评估内容和评估方法 。 ４．２　 评估要求 在对数据库管理系统进行安全评估时 ，首先依照 ＧＢ／Ｔ３０２７０—２０１３ 的安全目标评估方法完成对 ＤＢＭＳＳＴ 的评估 ，在此基础上对 ＤＢＭＳ 的安全功能和安全保障进行评估 ： ａ）　 安全功能评估目标是保证 ＧＢ／Ｔ２０２７３—２０１９ 定义的安全功能组件设计与实现的完整性和正 确性 ，一般通过对 ＤＢＭＳ 发起者提供的评估证据分析和 ＴＯＥ 安全功能 （ＴＳＦ）独立性测试 ，确 保 ＤＢＭＳ 安全功能满足其安全目标声称的功能要求 。 独立性测试应依据数据库产品厂商提 供的一系列评估证据（如分析 、设计与测试文档 ）和 ＴＯＥ 安全策略 （ＴＳＰ），由评估者按照 ＳＴ 中的 ＴＳＳ 对 ＤＢＭＳ 开发者提供的评估对象证据材料进行分析 ，并按照评估保障级的不同对 ＤＢＭＳ 安全功能组件进行抽样测试 ，或评估者自己设计相应的测试用例 ，独立地完成 ＤＢＭＳ 安全功能组件的功能测试 ，验证 ＴＳＦ 的实现符合数据库管理系统概要规范 。 ｂ）　安全保障评估目标是发现 ＤＢＭＳ 在设计与实现中的缺陷或脆弱性 ，以便在评估过程中要求开 发者纠正评估对象相应的错误 ，从而减少 ＤＢＭＳ 在发布后运行过程中安全功能失效发生的可 能性 。 因此安全性评估要求测试人员在模拟真实应用环境下 ，测试 ＤＢＭＳ 是否能抵御各种安 全攻击 ，以确定该评估对象是否存在潜在的安全弱点或安全漏洞 。 穿透性测试技术是消除 ＤＢＭＳ 在设计或实现中的缺陷或脆弱性的有效方法 。 测试人员需依照数据库产品的通信协 议 、结构化查询语言 、数据库开发接口 、存储过程／函数等安全攻击面评估证据资料 ，通过模糊 测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设 计 、实现和测试不存在未知的弱点／缺陷 。 ４．３　 评估环境 在不同的网络环境和服务器环境支持下 ，通用数据库产品提供多种安全策略和安全控制机制的解 决方案 ，以满足评估对象消费者的安全要求 。 数据库管理系统的测试环境分为 ３ 类 ：非集群数据库服务 测试环境和集群数据库服务测试环境 ，集群测试环境又细分为共享存储的集群测试环境和非共享存储 的集群测试环境 。 应根据 ＧＢ／Ｔ３０２７０—２０１３ 安全评估基本原则 、过程和规程的体系选择某个测试环境 ，对数据库产 品安全功能和安全保障进行评估 。 数据库管理系统安全组件的每个评估活动都包含两个通用的评估 任务 ： ａ）　 评估证据输入评估 ：评估发起者应向安全评估机构提供 ＤＢＭＳ 安全评估所有必需的评估材 料 ：评估发起者应按照 ＧＢ／Ｔ３０２７０—２０１３ 准备或开发 ＴＯＥ 相关的评估证据 ，评估者应对这 些输入要求进行评估 。 ） ：安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术 评估结果输出评估 ｂ　 ２ 犌犅／犜２０００９—２０１９ 报告应满足评估结果