GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则
- 名 称:GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则 - 下载地址1
- 下载地址:[下载地址1]
- 提 取 码:
- 浏览次数:3
发表评论 加入收藏夹 错误报告目录| 新闻评论(共有 0 条评论) |
资料介绍
ICS 35 . 040 L 80
中 华 人 民 共 和 国 国 家 标 准
GB/T 20009—2019
代替 GB/T 20009—2005
信息安全技术
数据库管理系统安全评估准则
Informationsecuritytechnology—
Securityevaluationcriteriafordatabasemanagementsystem
2019-08-30 发布 2020-03-01 实施
国家市场监督管理总局中国国家标准化管理委员会
发
布
GB/T 20009—2019
GB/T 20009—2019
前 言
本标准按照 GB/T 1 . 1—2009 给出的规则起草。
本标准 代 替 GB/T 20009—2005《信 息 安 全 技 术 数 据 库 管 理 系 统 安 全 评 估 准 则 》。 与GB/T 20009—2005 相比,除编辑性修改外主要技术变化如下:
— 修改了第 3 章术语和定义及缩略语(见 3 . 1 和 3 . 2 , 2005 年版第 3 章);
— 修改了第 4 章“安全环境”,标题修改为评估总则,描述了数据库管理系统总体要求、评估要求、评估环境和评估流程(见第 4 章,2005 年版第 4 章);
— 修改了第 5 章评估内容,按照 GB/T 30270—2013 定义了 GB/T 20273—2019 中的安全功能组件和安全保障组件评估内容(见第 5 章,2005 年版第 5 章);
— 删除了附录 A“数据库管理系统面临的威胁和对策”(见 2005 年版附录 A) ;
— 按照评估保障级概念列出了 EAL2、EAL3 和 EAL4 组件列表及评估准则。
请注意本文件的某些内容可能涉及专利。 本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC 260)提出并归口 。
本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。
本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。
本标准所代替标准的历次版本发布情况为:
—GB/T 20009—2005 。
GB/T 20009—2019
信息安全技术
数据库管理系统安全评估准则
1 范围
本标准依据 GB/T 20273—2019 规定了数据库管理系统安全评估总则、评估内容和评估方法。
本标准适用于数据库管理系统的测试和评估,也可用于指导数据库管理系统的研发。
注:本标准规定的 EAL2 级、EAL3 级、EAL4 级的评估内容和评估方法既适用于基于 GB/T 18336—2015 所有部分的数据库管理系统安全性测评,同样适用于基于 GB 17859—1999 的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库管理系统安全性测评,相关对应关系参见附录 A 中 A. 1 。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。 凡是注 日期的引用文件,仅注 日期的版本适用于本文件 。凡是不注 日期的引用文件,其最新版本(包括所有的修改版)适用于本文件。
GB/T 18336.1~18336.3—2015 信息技术 安全技术 信息技术安全评估准则
3 术语和定义、缩略语
3 . 1 术语和定义
GB/T 25069—2010、GB/T 30270—2013 和 GB/T 20273—2019 界定的术语和定义适用于本文件。
3 . 2 缩略语
下列缩略语适用于本文件。
CC:通用准则(Common Criteria)
CEM:通用准则评估方法(Common Criteria Evaluation Methodology)
CM:配置管理(Configuration Management)
DBMS:数据库管理系统(DataBase Management System)
EAL:评估保障级(Evaluation Assurance Level)
ETR:评估技术报告(Evaluation Technical Report)
LBAC:基于标签的访问控制(Label Based Access Control)
OR:观察报告(Observation Report)
PP:保护轮廓(Protection Profile)
SFP:安全功能策略(Security Function Policy)
SQL:结构化查询语言(Structured Query Language)
ST:安全目标(Security Target)
TOE:评估对象(Target Of Evaluation)
GB/T 20009—2019
TSC: TSF控制范围(TSF Scope of Control)
TSF: TOE 安全功能(TOE Security Functionality)
TSFI: TSF接 口 (TSF Interface)
TSP: TOE安全策略(TOE Security Policy)
TSS: TOE 概要规范(TOE Summary Specification)
4 评估总则
4 . 1 概述
本标准依据 GB/T 30270—2013 给出了 GB/T 20273—2019 定义的数据库管理系统(DBMS)评估对象(TOE)安全功能组件和安全保障组件的评估内容和评估方法。
4 . 2 评估要求
在对数据库管理系统进行安全评估时,首先依照 GB/T 30270—2013 的安全目标评估方法完成对DBMS ST 的评估,在此基础上对 DBMS 的安全功能和安全保障进行评估:
a) 安全功能评估目标是保证 GB/T 20273—2019 定义的安全功能组件设计与实现的完整性和正确性,一般通过对 DBMS发起者提供的评估证据分析和 TOE 安全功能(TSF)独立性测试,确保 DBMS安全功能满足其安全目标声称的功能要求。 独立性测试应依据数据库产品厂商提供的一系列评估证据(如分析、设计与测试文档)和 TOE 安全策略(TSP) , 由评估者按照 ST中的 TSS对 DBMS 开发者提供的评估对象证据材料进行分析,并按照评估保障级的不同对DBMS安全功能组件进行抽样测试,或评估者 自 己设计相应的测试用例,独立地完成 DBMS安全功能组件的功能测试,验证 TSF 的实现符合数据库管理系统概要规范。
b) 安全保障评估目标是发现 DBMS在设计与实现中的缺陷或脆弱性,以便在评估过程中要求开发者纠正评估对象相应的错误,从而减少 DBMS在发布后运行过程中安全功能失效发生的可能性。 因此安全性评估要求测试人员在模拟真实应用环境下,测试 DBMS 是否能抵御各种安全攻击,以确定该评估对象是否存在潜在的安全弱点或安全漏洞。 穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。 测试人员需依照数据库产品的通信协议、结构化查询语言、数据库开发接口 、存储过程/函数等安全攻击面评估证据资料,通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。
4 . 3 评估环境
在不同的网络环境和服务器环境支持下,通用数据库产品提供多种安全策略和安全控制机制的解决方案,以满足评估对象消费者的安全要求。 数据库管理系统的测试环境分为 3 类:非集群数据库服务测试环境和集群数据库服务测试环境,集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。
应根据 GB/T 30270—2013 安全评估基本原则、过程和规程的体系选择某个测试环境,对数据库产品安全功能和安全保障进行评估。 数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务:
a) 评估证据输入评估:评估发起者应向安全评估机构提供 DBMS 安全评估所有必需的评估材料:评估发起者应按照 GB/T 30270—2013 准备或开发 TOE 相关的评估证据,评估者应对这些输入要求进行评估。
b) 评估结果输出评估:安全评估机构的输出任务评估的 目的是评估输出的观察报告和评估技术
GB/T 20009—2019
报告应满足评估结果的可重复性和可再现性原则,并应保持各种报告信息类型和数量的 一致性。
4 . 4 评估流程
根据 GB/T 30270—2013 的安全评估过程包括评估准备、评估实施、评估结果等阶段,具体如下:
a) 评估准备阶段:评估发起者应按照 GB/T 30270—2013 给评估者提供安全目标,评估者分析其可行性。 评估者可能会需要发起者提供其他评估相关的辅助信息。 评估发起者或者 ST 开发者会给评估者提供一部分待评估物。 评估者审查安全目标,然后告知发起者对某些内容进行必要的补充完善,以方便未来评估过程的实施。 当评估者认为评估发起者对评估所需要的资料都准备齐全了,则评估过程进入下一阶段。
b) 评估实施阶段:评估者生成包括待评估产品列表,评估活动,以及基于 GB/T 30270—2013 评估方法的抽样要求等文档的可行性研究报告。 发起者和评估者在评估准备阶段签署一项协议,该协议包含评估的基本框架,同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。 协议签订后,评估者即可进入评估实施阶段。 在此阶段包含的主要活动内容有:
1) 评估者检查发起者或者开发者应交付的评估物,然后按照 GB/T 30270—2013 进行必要的评估活动。
2) 在评估阶段,评估者可能会撰写观察报告。 该报告里,评估者会向监管者(评审机构)询问如何满足其监管的要求。
3) 监管者对评估者的解释请求进行回应,然后允许进行下一步评估。
4) 监管者同样可能确认和指出一些潜在的缺陷或者威胁,然后要求发起者或者开发者提供额外的信息资料。
c) 评估最终结果阶段:评估者根据文档审核、测试情况、现场检查结果,对 TOE 进行综合评判,并撰写评估技术报告。
5 评估内容
5 . 1 安全功能评估
5 . 1 . 1 概述
在安全功能组件评估内容描述中,方括号【】中的黑体字内容表示已经完成的操作,黑斜体字内容表示还需在安全目标中由 ST作者确定赋值及选择项。
5 . 1 . 2 安全审计(FAU类)
5 . 1 . 2 . 1 审计数据产生( FAU_GEN.1 )
审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。 该组件安全评估内容如下:
a) 应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录:
1) 数据库审计功能的启动和关闭;
2) 数据库实例及其组件服务的启动和关闭;
3) 数据库实例配置参数非缺省值修改事件;
4) 数据库对象结构修改事件;
5) GB/T 20273—2019 列出的数据库审计级别【最小】的可审计事件;
6) 其他面向数据库安全审计员的,可绕过访问控制策略的特殊定义【赋值:ST作者定义的审
GB/T 20009—2019
计事件】的可审计事件;
7) 未指定审计级别【赋值:数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。
b) 应检查审计记录中至少包含如下信息:
1) 事件类型、事件发生 日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果(成功或失败);
2) 应根据评估对象【赋值:ST作者指定的审计事件】和规定的格式【赋值:数据类型与格式】来生成审计数据;
3) 对于每个审计事件类型,基于 GB/T 20273—2019 中包括的安全功能组件的可审计事件定义。
c) 应检查数据库管理系统的审计数据产生策略配置管理 API 或工具,确认审计数据产生机制与功能有效性。
5 . 1 . 2 . 2 用户身份关联(FAU_GEN.2)
用户身份关联组件应将审计事件与主体身份相联系,满足可审计事件追溯到单个数据库用户身份上的要求。 该组件安全评估内容如下:
a) 审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息;
b) 审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值:ST作者指定的用户身份鉴别方式】相关联的数据库会话信息;
c) 应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理 API/工具,确认能看到用户身份关联信息。
5 . 1 . 2 . 3 审计查阅(FAU_SAR.1 )
审计查阅组件为授权管理员提供获得和解释审计数据的能力。 该组件安全评估内容如下:
a) 应测试能否从审计记录中阅读和获取下面所列出的审计信息:
1) 用户身份标识;
2) 审计事件类型;
3) 数据库对象标识;
4) 评估对象指定的【赋值:ST作者指定的审计事件】;
b) 应测试是否以使用户理解的方式提供满足查阅条件的审计记录阅读与管理界面(如图形界面);
c) 应测试当授权用户是外部 IT 实体时,审计数据应以规范化电子方式无歧义地表示;
d) 应测试是否禁止所有未授权用户对审计数据的访问。
5 . 1 . 2 . 4 限制审计查阅(FAU_SAR.2 )
限制审计查阅组件只允许授权管理员查阅部分审计数据。 该组件安全评估内容如下:
a) 应测试是否能依据【选择:主体标识、主机标识、客体标识、【赋值:ST作者指定审计条件】】查阅审计信息;
b) 应测试是否能依据【选择:成功可审计安全事件、失败可审计安全事件、【赋值:ST作者指定其他选择条件】】查阅审计信息;
c) 应测试是否能依据【选择:数据库系统权限、数据库对象权限、【赋值:ST作者指定权限级别】】查阅审计信息;
d) 应测试管理审计数据授权控制机制和审计数据授权管理员(安全管理员)控制授权管理员访问
GB/T 20009—2019
审计数据的【赋值:ST作者指定角色/系统权限】;
e) 应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或接 口;
f) 应测试是否禁止所有未授权用户对审计数据的访问。
5 . 1 . 2 . 5 可选审计查阅(FAU_SAR.3 )
可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。 该组件安全评估内容如下:
a) 应测试是否能依据审计数据字段中值的搜索与分类条件对审计记录进行搜索,筛选授权管理员关心的审计数据;
b) 应测试是否能对返回审计数据进行排序和汇总统计;
c) 应测试是否允许授权管理员使用【选择:SQL语句、【赋值:ST作者指定方式】】搜索审计数据和对审计数据排序;
d) 应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具;
e) 应测试是否禁止所有未授权用户对审计数据的访问。
5 . 1 . 2 . 6 选择性审计(FAU_SEL.1 )
选择性审计组件定义了向可审计事件集中加入或从中排除事件的能力。 该组件安全评估内容如下:
a) 应测试是否能根据【选择:客体身份、用户身份、组身份、主体身份、主机身份、【赋值:ST作者指定主体属性】】从审计事件集中选择可审计事件;
b ) 应测试是否能根据【选择:数据库系统权限、语句级审计、权限级审计、模式对象级审计、列级数据权限、行级数据权限、【赋值:ST作者指定用户操作权限级别】】从审计事件集中选择可审计事件;
c) 应测试是否能根据【选择:成功、失败、二者可审计安全事件选项、【赋值:ST作者指定条件】】从审计事件集中选择可审计事件;
d) 应测试是否能根据产品审计功能相关的附加属性列表从审计事件集中选择可审计事件。
5 . 1 . 2 . 7 审计数据可用性保证(FAU_STG.2 )
审计数据可用性保证组件保证数据库管理系统的审计数据存储出现意外情况时,TSF 还能维护产生的审计数据。 该组件安全评估内容如下:
a) 应测试是否能提供数据库系统表或外部文件方式保存审计事件数据,维护审计数据授权控制和审计数据存储管理的能力;
b ) 应测试维护控制审计事件数据存储能力参数有效性;
c) 应测试保护所存储的审计记录,只允许安全管理员或授权管理员访问审计记录的访问机制;
d) 应测试 TSF能【选择:防止、检测】对审计迹中所存审计记录的未授权修改;
e) 应测试提供的审计数据备份、导出等管理接口/辅助工具,并且只有安全管理员或授权管理员才能操作这些辅助功能;
f) 应测试审计事件具备数据加解密存储保护能力;
g) 应测试在 TSF【选择:审计存储耗尽、失效、受攻击】时,确保【赋值:保存审计记录的度量】审计记录将维持有效。
5 . 1 . 2 . 8 防止审计数据丢失(FAU_STG.4 )
防止审计数据丢失组件规定了当存储在数据库内部审计迹溢满或存储在数据库外部磁盘中剩余空
GB/T 20009—2019
间溢满时所采取的动作。 该组件安全评估内容如下:
a) 应测试审计数据【选择:多路复用、【赋值:ST作者指定备份方式】】功能,并验证审计数据存储位置指定等管理能力;
b ) 应测试审计数据归档功能,包括远程归档功能;
c) 应检测审计数据存储可用空间查看视图/工具功能;
d) 应检查是否提供了判断审计记录数据是否已满,并提供忽略可审计事件、阻止可审计事件、覆盖所存储的最早的审计记录或【赋值:审计存储失效时所采取的其他动作】等处理机制。
5 . 1 . 3 密码支持(FCS类)
5 . 1 . 3 . 1 密钥生成(FCS_CKM.1 )
若密钥由外部环境生成,则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥长度来生成密钥;否则评估对象提供的用户密钥和数据密钥产生。 该组件安全评估内容如下:
a) 应测试存储用户密钥装置或密钥管理服务器操作接 口,确认数据库密钥存储位置是安全且有据可查的,包括提供与其数据本身具有同类型的密钥备份和恢复机制。
b) 应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放管理接口与管理工具。
c) 应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】的特定密钥生成算法【赋值:密钥生成算法】和规定的密钥长度【赋值:密钥长度】来生成密钥。
d) 应测试密钥生成提供下列密钥管理功能:
1) 应提供密钥属性配置管理,密钥属性的例子包括用户密钥类型【选择:公开密钥、私有密钥、秘密密钥【赋值:ST作者指定密钥类型】】、有效期和使用用途【选择:数字签名、密钥加密、密钥协商、数据加密、【赋值:ST作者指定用途】】;
2) 应提供密钥的存储及其使用接口,允许评估对象与外界连接的数据库应用程序接口与加密设备进行交互。
e) 应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数。
5 . 1 . 3 . 2 密钥销毁(FCS_CKM.4 )
密钥销毁组件提供符合国家规定的密码管理算法的密钥销毁功能。 该组件安全评估内容如下:
a) 应测试是否能根据评估对象【赋值:ST作者指定的密码管理算法】的密钥销毁方法【赋值:ST作者指定的密钥销毁方法】来销毁密钥;
b) 应检测数据库用户密钥、数据密钥等数据库密钥存放管理接口与管理工具;
c) 应检查密码销毁方法是否符合国家主管部门认可的相关标准。
5 . 1 . 3 . 3 密码运算(FCS_COP.1 )
密码运算组件提供根据一个特定的算法和一个规定长度的密钥来进行密码运算功能。 该组件安全评估内容如下:
a) 应测试是否能根据评估对象【赋值:ST作者指定的标准与规范列表】在评估对象上使用特定的密码算法【赋值:密码算法】和密钥长度【赋值:密钥长度】执行【赋值:密码运算列表】,以验证数据库管理系统密码运算的有效性。
b) 应测试评估对象【赋值:ST作者指定的加密算法】提供数据库透明加密功能。
c) 应测试是否能依据评估对象使用密码安全服务的用户应用、不同密码算法或密钥长度的使用策略及其机制、所运算数据的类型或敏感度密码服务等数据库管理系统安全服务测试密码运算的可用性。
GB/T 20009—2019
d) 应验证密码运算事件是否被审计:
1) 密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成;
2) 主体属性包括同主体有关的主体角色和用户;
3) 客体属性包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期。
e) 应检查评估对象的密码算法的具体赋值是否符合国家主管部门认可的相关标准及参数。
5 . 1 . 4 用户数据保护(FDP类)
5 . 1 . 4 . 1 子集访问控制(FDP_ACC.1 )
子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。 该组件安全评估内容如下:
a) 应测试依据授权用户/授权管理员在数据库对象【选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间/文件组、参数文件、【赋值:ST作者指定的数据库对象】】上授予的【选择:查询、插入、更新、删除、【赋值:ST作者指定的客体操作列表】】执行相关的【选择:GRANT、REVOKE或【赋值:ST作者指定的授权接口】】授权管理。
b) 应测试依据级联授权方法管理【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】】限制授权用户/授权管理员访问权限扩散的控制能力。
c) 应测试依据评估对象的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、 【赋值:ST作者定义的基于属性的访问控制策略】】在【选择:数据库级、实例级、【赋值:ST作者定义的级别】】执行【选择:创建、修改、删除、【赋值:ST作者指定的客体操作列表】】执行相关的 【赋值:GRANT、REVOKE或【赋值:ST作者指定的授权接口】】成功的执行授权管理。
d) 应测试依据【选择:默认方式、【赋值:ST作者指定方式】】,阻止未授权用户/未授权管理员对数据库对象【选择:表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表空间、参数文件、【赋值:ST作者指定的数据库对象】】的访问操作。
e) 应测试是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的方式】】浏览成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置参数。
f) 应测试基于安全目标中的附加规则【选择:【赋值:安全属性,明确授权用户/授权管理员访问客体的规则】,“无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证数据库客体对象访问控制机制的正确性。
g) 应测试基于安全目标中的【选择:【赋值:安全属性,明确拒绝主体访问客体的规则】,“无附加的显式拒绝规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证 TSF 拒绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性。
5 . 1 . 4 . 2 基于安全属性的访问控制(FDP_ACF.1 )
基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或拒绝某个鉴别用户对指定数据库对象的访问。 该组件安全评估内容如下:
a) 应测试基于【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】】对数据库对象的相关操作执行访问控制,具体应包括:
1) 与一个授权用户/授权管理员相关的授权用户身份和/或角色/组成员关系;
2) 数据库对象(模式对象和非模式对象)可实施的访问操作和/或角色/组权限;
GB/T 20009—2019
3) 对数据库对象执行【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、 【赋值:ST作者定义的基于属性的访问控制策略】】,阻止未授权用户/管理员对数据库对 象访问(模式对象和非模式对象)。
b) 应执行【赋值:在授权用户/授权管理员和数据库对象之间,通过对数据库对象采取受控操作来管理访问的规则】,以决定 DBMS授权用户/授权管理员与数据库对象之间的操作是否被允许 。这些规则包括:
1) 如果授权用户是访问数据库对象的所有者,则允许用户的访问请求;
2) 如果访问控制策略机制允许授权用户对数据库对象的访问,则允许用户的访问请求;
3) 如果授权用户作为一个用户组或角色(直接角色或间接角色)的成员执行请求的访问模式,则允许用户的访问请求;
4) 如果 PUBLIC 能访问受控的数据库对象,则允许用户的访问请求;
5) 否则拒绝用户的访问请求。
c) 应测试 DBMS是否能通过【选择:安全元数据视图,应用程序接口、【赋值:ST作者指定的安全元数据访问方法】】浏览成功授权的所有数据库对象操作列表和授权用户定义的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】】安全元数据。
5 . 1 . 4 . 3 子集信息流控制(FDP_IFC.1 )
子集信息流控制组件要求每个确定的基于标签访问控制(LBAC)安全策略适用于数据库管理系统内某些数据库对象上允许执行的访问请求。 该组件安全评估内容如下:
a) 应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】,通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】】的访问规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对标签受控的数据库对象的访问。
b) 应测试子集信息流控制是否配合评估对象提供的【选择:自主访问控制策略、基于角色控制策 略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】】粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数 据库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问数据对象。
c) 应测试基于安全 目标中的附加规则【选择:【赋值:基于安全属性,明确拒绝信息流的规则】, “无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制对数据库客体对象访问控制的正确性。
d) 应测试基于安全目标中的【选择:【赋值:基于安全属性,明确拒绝信息流的规则】,“无附加的显式拒绝规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证子集信息流控制机制拒绝授权用户访问受控数据库对象的正确性。
5 . 1 . 4 . 4 分级安全属性(FDP_IFF.2 )
分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格,以供基于标签的访问控制数据安全策略使用。 该组件安全评估内容如下:
a) 应测试是否能具有【选择:安全分级、安全范围、安全分组、【赋值:ST作者指定数据库对象安全
属性元素】】及基于这些元素的标签定义,包括标签与被保护数据库对象和授权用户/授权管理员的绑定关系定义接口或辅助工具。
GB/T 20009—2019
b) 应测试是否能通过授权用户/授权管理员绑定标签和数据库对象(数据库数据表的行、列或属性值)绑定标签之间的信息流交换,如果满足以下基于安全属性之间的序关系的规则:【
1) 为了读取 LBAC保护的数据库数据表的行、列或属性值:
● 用户安全性标签的安全分级应大于或等于数据库数据表的行、列和属性值安全性标签的安全分级;
● 用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
● 用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。
2) 为了写 LBAC保护的数据库数据表行、列或属性值:
● 用户安全性标签的安全分级应小于或等于数据库数据表的行、列和属性值安全性标签的安全分级;
● 用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安全范围;
● 用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签的安全分组中的一个元素(或者这样一个元素的祖先)。
3) 每一种情况中,在数据库对象操作的基于安全属性的访问控制策略的规则都应被满足】。
c) 应测试只有授权管理员【选择:安全管理员,【赋值:ST规定的管理角色】能够改变用户的安全性标签,具有适当权限的授权用户/授权管理员】能改变受 LBAC 保护的数据表的行、列和属性值的安全性标签属性。
d) 应测试拥有特权的安全管理员(豁免的用户)能够忽略对【选择:读元组、读元组集合、读树、写元组、写元组集合、写树的检查、【赋值:ST作者指定数据库对象标签类型】】,明确地给数据库对象授权一个信息流。
e) 应测试基于规则【赋值:基于安全属性,明确拒绝信息流的规则】明确的拒绝一个数据库对象的信息流。
f) 应测试对任意两个信息流控制安全属性强制下列关系:
1) 存在一个有序函数,对于给定的两个有效的安全属性,函数能够判定它们是否相等,是否其中一个大于另一个,还是两者不可比较;
2) 在安全属性集合中存在一个“最小上界”,对于给定的两个有效的安全属性,存在一个有效的安全属性大于或等于这两个安全属性;
3) 在安全属性集合中存在一个“最大下界”,对于给定的两个有效的安全属性,存在一个有效的安全属性不大于这两个属性。
5 . 1 .4 .5 带有安全属性的用户数据输出(FDP_ETC.2 )
带有安全属性的用户数据输出组件要求 TSF利用一个功能执行合适的 SFP,该功能准确无误地将TOE 安全属性与所输出的用户数据相关联。 该组件安全评估内容如下:
a) 应测试基于授权用户/授权管理员和数据库对象安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】,通过标签中【选择:安全分级、安全范围、安全分组值、【赋值:ST作者指定的标签元素】】的访问
规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过,从而控制授权用户对带有安全属性的用户数据的访问;
GB/T 20009—2019
b) 应测试输出用户数据时评估对象提供相应的【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的基于属性的访问控制策略】】粗粒度访问控制,只有授权用户/授权管理员在获得访问某数据库模式权限后才应用【LBAC安全策略保护的数据库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由他们访问的用户数据;
c) 应测试基于安全 目标中的附加规则【选择:【赋值:基于安全属性,明确拒绝信息流的规则】, “无附加规则”】,分析评估对象的测试文档,采用抽样方式或独立性设计方法验证带有安全属性的用户数据输出机制是否将安全属性与所输出的用户数据相关联;
d) 应测试输出用户数据时可依据用户数据的安全属性【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】组织输出的数据;
e) 应测试用户数据安全属性的脱敏或匿名机制,确认评估对象具有对输出带有安全属性的用户数据安全保护能力;
f) 应测试带有安全属性的输出用户数据的属性一致性检测方法和技术。
5 . 1 .4 .6 不带安全属性的用户数据输入(FDP_ITC.1 )
不带安全属性的用户数据输入组件要求安全属性正确表示用户数据,且与客体分离。 该组件安全评估内容如下:
a) 应测试在【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】控制下从 TOE之外输入用户数据时,TSF执行某个【赋值:访问控制SFP和/或信息流控制SFP】;
b) 应测试从 TOE外部输入带有安全属性的用户数据时,TSF 能忽略任何与用户数据相关的安全属性;
c) 应测试在【选择:用户安全标签、关系的行或列安全性标签、【赋值:ST作者指定数据库对象安全属性元素】】控制下从 TOE之外输入用户数据时,TSF应执行下面的规则:【选择:自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的输入控制规则】】。
5 . 1 . 4 . 7 基本内部传送保护(FDP_ITT.1 )
基本内部传送保护组件要求用户数据在 TOE 的各部分间传输时受保护。 该组件安全评估内容如下:
a) 应检测数据库服务器数据字典共享缓冲和用户数据共享缓存隔离策略和机制,确保两个共享缓存间数据字典传输时受保护;
b) 应测试确认用户数据在数据库服务器的数据共享缓存和事务空间之间传输(逻辑 I/O)时受保护;
c) 应测试确认用户数据在数据库服务器的数据共享缓存和磁盘存储之间传输(物理 I/O)时受保护;
d) 应测试确认用户数据在分布式环境下不同数据库服务器数据共享缓存间传输(远程逻辑 I/O)时受保护;
e) 应测试确认远程用户数据输入/输出时的传输安全。
5 . 1 . 4 . 8 子集残余信息保护(FDP_RIP.1 )
子集残余信息保护组件确保数据库对象数据在缓存、磁盘等共享存储资源分配或释放时,相关客体资源的任何残余信息内容都是不可再利用的。 该组件安全评估内容如下:
a) 应测试确认数据库服务器共享内存、磁盘存储空间等服务器资源的任何先前的信息内容,在资
GB/T 20009—2019
源被分配给其他授权用户/授权管理员使用之后是不再可用的;
b) 应测试确认授权用户/授权管理员执行清除数据(DELETE)、删除客体(DROP)或清空数据(TRANCATE)等数据库事务操作后,未授权用户/未授权管理员不能恢复相关数据;
c) 应测试确认授权管理员通过评估对象清除表空间、数据文件等逻辑存储和物理存储对象后,未授权用户/未授权管理员不能恢复相关数据存储对象;
d) 应测试当依赖评估对象其他系统的安全功能来完成数据库管理系统客体重用功能时,评估对象提供该客体重用功能的可信性的证据。
5 . 1 . 4 . 9 基本回退(FDP_ROL.1 )
基本回退组件确保评估对象在既定的限制条件下回退或撤销有限个数据库操作,这是保证数据库完整性的基本机制。 该组件安全评估内容如下:
a) 应测试评估对象的检查点保存(SAVEPOINT)机制,确认是否允许对复杂事务回退到指定事务保存点(即回滚部分 SQL语句操作);
b) 应测试评估对象的事务回退(ROLLBACK)机制,确认是否允许未提交数据库事务全体 SQL语句的回滚操作;
c) 应测试 TOE数据库服务器宕机等数据库实例,重启 DBMS 时的数据库故障恢复功能;
d) 应测试 TOE数据库存储磁盘介质故障后的数据库恢复管理功能,包括【选择:基于时间点、 【赋值:ST作者指定恢复方式】】的数据库快速恢复功能;
e) 对于分布式部署环境下的数据库管理系统,应测试评估对象的两阶段提交机制,保证多副本数据的一致性和事务的原子性。
5 . 1 . 4 . 10 存储数据完整性监视和行动(FDP_SDI.2 )
存储数据完整性监视和行动组件要求 TSF监视存储在由 TSF控制的载体内的用户数据是否存在已被识别的完整性错误,如检测到某个错误时应允许采取相应动作的能力。 该组件安全评估内容如下:
a) 应测试评估对象的 TSF在事务处理过程中基于【选择:唯一、非空、【赋值:ST作者指定的数据完整性约束条件】】,对涉及的用户数据监视事务操作前后是否存在【赋值:完整性错误】,并在检测到错误时自动的启动事务回滚等机制,确保共享缓存中数据完整性;
b) 应测试评估对象的 TSF在确保事务提交时,事务相关的 日志是否通过 日志写机制:【赋值:ST作者指定的日志先写机制】将 日志缓存数据存储到磁盘,并在提交事务的 日志刷新到磁盘出现故障时自动的启动事务回滚等机制,确保用户数据完整性;
c) 应测试评估对象的 TSF是否基于数据库对象依赖关系【选择:索引数据、视图定义、存储过程、 【赋值:ST作者指定的定义的依赖关系】】,对所有监控数据库对象(如表数据),监视存储在由 TSF控制的载体内的对象数据(如索引数据和用户数据)间是否存在【赋值:完整性错误】,并 给出对象间存储数据(如表数据和索引数据)完整性检测方法和处理技术;
d) 应测试评估对象的 TSF是否提供多副本存储数据完整性检测机制,并在检测到错误时自动的启动数据复制机制,确保副本数据的一致性;
e) 应测试评估对象的 TSF是否提供归档 日志数据存储完整性和一致性检测机制,并在检测到错误时指示用户采取必要的管控措施或机制,确保归档数据的完整性和可用性;
f) 应测试评估对象的 TSF是否提供备份数据完整性检测机制,并在检测到错误时指示用户采取必要的管控措施或机制,确保备份数据的完整性和可用性;
g) 应测试评估对象的 TSF是否在运行过程中确保联机数据文件的数据完整性,并在检测到错误时指示用户采取必要的管控措施或机制,确保存储数据的完整性和可用性。
GB/T 20009—2019
5 . 1 . 5 标识和鉴别(FIA类)
5 . 1 . 5 . 1 鉴别失败处理(FIA_AFL.1 )
鉴别失败处理组件为不成功的用户鉴别尝试(包括尝试次数和时间的阈值)定义一个值,并明确规定达到该值时所应采取的动作。 该组件安全评估内容如下:
a) 应测试【选择:基于口令、基于令牌、基于生物特征、【赋值:ST作者指定方式】】的用户鉴别失败处理机制,即当检测到【赋值:登录 DBMS用户】不满足授权管理员定义的鉴别策略【选择:达 到鉴别尝试次数、达到口令有效期、达到口令重用次数、【赋值:ST作者指定的可接受值范围】】时,TSF应通过合适的方式告知【选择:授权用户鉴别、授权管理员鉴别、【赋值:其他鉴别事件 列表】】相关的未成功鉴别尝试信息;
b) 应测试 TSF是否在不成功鉴别尝试的指定次数已达到或超出【赋值:ST作者指定可接受值范围】,TSF应阻止用户登录,直到授权安全管理员采取行动或直到授权安全管理员配置的时间【赋值:ST作者指定可接受值范围】已经到达;
c) 应测试在数据库会话建立的进程终止后,数据库管理系统的安全功能能使得用户账户无效,或是进行尝试的登录点无效。
5 . 1 . 5 . 2 用户属性定义(FIA_ATD.1 )
用户属性定义组件提供一组除用户标识外的安全属性,以用来执行评估对象受信任上下文相关的安全策略(TSP) 。该组件安全评估内容如下:
a) 应测试确认 TSF 为每个授权数据库用户会话维护一个上下文对象,提供下列安全属性:
1) 用户标识/组成员及验证数据;
2) 用户安全相关的授权角色;
3) 用户口令与资源限制脚本标准;
4) 数据库对象访问权限;
5) 数据库管理权限;
6) 【赋值:任何 ST作者附加的管理员安全属性】。
b) 应测试管理控制存储过程和用户定义函数的执行上下文切换的能力,确认提供通信协议信任属性、网络地址信任属性、网络加密信任属性、身份验证信任属性等受信任连接管理功能。
5 . 1 . 5 . 3 秘密的验证(FIA_SoS.1 )
秘密验证组件对用户所提供的秘密(口令、密钥等)进行既定的质量度量以及生成满足既定度量的秘密。 该组件安全评估内容如下:
a) 应测试确认 TSF是否验证秘密满足【赋值:一个既定的质量度量】的秘密策略定义及秘密验证机制能力。 例如:
1) 口令将被限制在最小和最大数量的字符长度之间;
2) 口令将包含一个大写和小写字符的组合;
3) 口令至少包含一个数字字符;
4) 口令至少包含一个特殊字符;
5) 口令不能是用户标识或用户名称;
6) 口令具有效期天数;
7) 以前使用的口令可能无法再度使用的最少天数等。
b) 应测试确认 TSF能够为【赋值:TSF功能列表】使用 TSF产生的秘密。
GB/T 20009—2019
c) 对于 TSF外部机制产生的秘密,应测试确认 TSF保证秘密满足 TSF 定义的安全策略(例如,一定长度、密文保存等)。
5 . 1 . 5 . 4 鉴别的时机(FIA_UAU.1 )
鉴别的时机组件允许用户在其身份被鉴别前执行某些动作。 该组件安全评估内容如下:
应测试确认 TSF是否允许在用户被鉴别之前,代表用户的【赋值:数据库管理系统安全功能促成的行动列表】被执行。 例如:
a) 获取当前数据库管理系统版本信息;
b) 建立数据库会话(连接信息);
c) 获得用户登录帮助信息;
d) 如果不成功,返回错误信息。
5 . 1 . 5 . 5 多重鉴别机制(FIA_UAU.5 )
多重鉴别机制组件提供多种用户鉴别机制,为特定的事件鉴别用户的身份。 该组件安全评估内容如下:
a) 应测试 TSF 的【选择:数据库鉴别、操作系统鉴别、第三方鉴别【赋值:ST作者指定鉴别机制】】等鉴别方式,以支持特定系统权限的数据库用户身份鉴别;
b) 应测试确认 TSF是否允许数据库用户为不同的【选择:数据库鉴别、操作系统鉴别、第三方鉴别【赋值:ST作者指定鉴别机制】】鉴别机制,配置相应的安全选件,提供多重鉴别机制管理接口与管理视图;
c) 应测试确认 TSF是否依据选择【赋值:多重鉴别机制的工作规则】为授权管理员和授权用户鉴别任何用户所声称的身份;
d) 应测试确认 TSF是否保证非数据库鉴别机制用户秘密的安全通信,以保证 TOE 通过鉴别服务器(IT 环境提供)对客户进行远程鉴别(操作系统鉴别、第三方鉴别)。
5 . 1 . 5 . 6 受保护的鉴别反馈(FIA_UAU.7 )
受保护的鉴别反馈组要求数据库管理系统在鉴别时仅将最少信息反馈提供给用户。 该组件安全评估内容如下:
a) 应测试当输入用户鉴别特征信息(如:打入的字符或字数)时,评估对象的反馈是否隐藏了相关信息;
b) 应测试当用户输入正确的鉴别特征信息时,鉴别成功评估对象的反馈信息是否泄露部分信息;
c) 应测试当用户输入正确的鉴别特征信息时,鉴别失败评估对象的反馈信息是否泄露部分信息。
5 . 1 . 5 . 7 标识的时机(FIA_UID.1 )
标识的时机组件要求在 TSF允许其执行任何动作之前,数据库用户识别他们 自 己 。该组件安全评估内容如下:
a) 应测试确认 TSF是否在允许任何其他代表用户的数据库管理系统安全功能促成的行动执行前,数据库管理系统安全功能应要求该用户已被成功标识;
b) 应测试确认 TSF是否在允许任何数据库用户的数据库请求行动执行前,用户应能成功连接数据库,数据库鉴别组件应提供连接标识、连接状态、连接用户相关信息的数据字典视图与图形化查看工具;
c) 应测试确认已被成功鉴别用户信息保存在数据库会话信息中,数据库会话管理应提供包括会话标识、进程/线程标识、用户标识、最近的用户请求命令、缺省模式、客户应用程序、登录时间、
GB/T 20009—2019
会话状态的数据字典视图与图形化查看工具。
5 . 1 . 5 . 8 用户-主体绑定(FIA_USB.1 )
用户-主体绑定组件建立和维护用户安全属性与代表用户活动的主体间关联关系。 该组件安全评估内容如下:
a) 应测试确认 TSF将下列用户安全属性与代表用户活动的主体相关联:
1) 用户标识;
2) 口令管理信息;
3) 用户权限;
4) 用户角色;
5) 绑定标签等。
b) 应测试确认 TSF在最初关联用户安全属性和代表用户活动的主体时应实施下面的规则:
1) 在 TSF鉴别用户身份成功,主体与数据库建立连接后,用户安全属性将保存到数据库会话中,通过主体会话可以获取用户标识等安全属性;
2) 如果在用户属性定义中已经直接定义或通过角色等定义了数据库会话中用户的数据库对象和系统对象的权限信息,则一旦用户的数据库会话建立,相关的系统和数据库对象授权将生效;
3) 用户可通过角色状态控制数据库会话中用户权限的可用性。
c) 应测试确认 TSF 在与代表用户活动的主体相关联的用户安全属性的变化时应实施下面的规则:
1) 如果授权用户会话当前的系统与对象权限被 TSF直接或间接修改,用户会话中的权限应立即生效;
2) 在用户连接数据过程中,用户能通过会话控制用户角色的启用与禁用;
3) 如果用户操纵其他用户的视图、存储过程/函数,则一旦其他用户修改了这些数据库对象授权后,用户在下次使用这些数据库视图对象或存储过程/函数对象时生效;
4) 用户在修改自己的口令策略时应符合授权管理员制定的安全策略。
5 . 1 . 6 安全管理(FMT类)
5 . 1 . 6 . 1 安全功能行为的管理(FMT_MOF.1 )
安全功能行为的管理组件允许授权用户/角色管理 TSF 中使用规则或具有指定可管理条件的功能的行为。 该组件安全评估内容如下:
a) 应测试 TSF仅限于【赋值:已识别授权角色】对安全管理功能【赋值:功能列表】具有【选择:确定其行为,禁止,允许,修改其行为】的能力。 例如:
1) 管理【赋值:数据库管理系统实例安全功能组件配置参数】;
2) 限定启动/禁用授权管理员的安全功能【赋值:有关事件审计规范】;
3) 在安全告警事件中配置要【赋值:执行行为】的管理;
4) 在鉴别失败事件中要【赋值:采取行为】的管理;
5) 在用户成功被鉴别之前所能【赋值:采取行为】的管理;
6) 授权管理员如果能改变用户被识别之前所能采取的行为列表,应对授权管理员的此种【赋值:行为】进行管理;
7) 对重放攻击中所采取【赋值:行为】的管理;
8) DBMS管理的数据及运行完整性自检发生【选择:初始化启动、定期间隔、其他特定条件】
GB/T 20009—2019
时的条件的管理;
9) ST 中附加【赋值:安全功能列表】的管理。
b) 应测试确认 TSF 以视图的方式提供安全功能管理元数据管理辅助工具或查看视图。
c) 应测试 TSF在 DBMS 的特定状态(如:安装或启动)中,检查安全功能的正确执行。
d) 应测试确认 TSF 为授权用户提供验证安全功能数据完整性的能力。
e) 应测试确认 TSF 为授权用户提供验证安全功能可执行码完整性的能力。
5 . 1 . 6 . 2 安全属性的管理[FMT_MSA_EXT.1 ( 1 )]
安全属性管理功能组件允许安全管理员查看和修改 TSF安全属性。 该组件安全评估内容如下:
a) 应测试 TSF强制实施【赋值:自主访问控制策略、基于角色控制策略、基于用户组控制策略】,以仅限于【选择:授权管理员或授权用户】能够对安全属性【选择:数据库对象访问权限、安全角色】进行【选择:改变默认值、查询、修改、删除、【赋值:其他操作】】。
b) 应测试 TSF强制实施【赋值:基于标签的强制访问控制安全策略(LBACSFP)】,以仅限于【赋值:LBAC授权的用户】能够【【赋值:安全属性】以【赋值:安全标签】】。
c) 应测试访问控制属性和用户角色赋予可以由具有适当权限的用户授予和撤销,授权管理员在指派给他们的数据库上总是可以通过属性配置修改用户的访问权限,安全管理员总是可以授予和撤销数据库用户的角色。
d) LBAC策略允许用户将标签赋给部分受控主体和受控客体对象。
5 . 1 . 6 . 3 安全属性的管理[FMT_MSA_EXT.1 ( 2 )]
安全属性管理功能组件允许安全管理员查看和修改 TSF安全属性。 该组件安全评估内容如下:
a) 应测试 TSF强制实施【赋值:自主访问控制策略、基于角色控制策略、基于用户组控制策略】,以仅限于【选择:授权管理员或授权用户】能够对安全属性【选择:数据库对象访问权限、安全角色】进行【选择:改变默认值、查询、修改、删除、【赋值:其他操作】】。
b) 应测试 TSF强制实施【赋值:基于标签的强制访问控制安全策略(LBACSFP)】,以仅限于【赋值:LBAC授权的用户】能够【【赋值:安全属性】以【赋值:安全标签】】。
c) 应测试访问控制属性和用户角色赋予可以由具有适当权限的管理员授予和撤销,授权管理员在指派给他们的数据库上总是可以通过属性配置修改用户的访问权限,安全管理员总是可以授予和撤销数据库用户的角色。
d) LBAC策略允许用户将标签赋给所有受控主体和受控客体对象,只对 EAL4 级评估对象有效。
5 . 1 . 6 . 4 静态属性初始化(FMT_MSA_EXT.3 )
静态属性初始化功能组件确保数据库安全配置参数及安全属性的默认值实际上设成了适当的允许或限制。 该组件安全评估内容如下:
a) 应测试 TSF 与底层的操作系统的权限设置相一致的特权用户、特权用户组、作业管理权限及例级和数据库级的各种系统特权权限及其权限管理机制和方法,例如,数据库实例各种进程/线程运行权限的设置,与主机安全属性相关的设置(在 Windows 平台是注册表,在 unix/linux平台是/etc/下的相关文件)等;
b) 应测试确认 TSF是否依照【赋值:自主访问控制策略、基于角色控制策略、基于用户组控制策略】,为用于执行安全功能策略的数据库对象的安全属性提供【赋值:受限的】默认值;
c) 应测试确认静态属性初始化适用的数据库对象(如数据库或数据库表),确认当较低级别的对象(例如,行,单元)创建时,默认情况下这些对象可能继承顶层对象的权限。
GB/T 20009—2019
5 . 1 . 6 . 5 TSF数据的管理(FMT_MTD.1 )
TSF数据的管理组件允许授权管理员(角色)控制评估对象安全功能管理数据的管理。 这里的TSF数据包括数据库管理系统配置参数、数据库实例和数据库配置参数、数据库审计策略与数据、数据库事务特性及各种约束条件。 该组件安全评估内容如下:
a) 应测试确认 TSF是否仅限于具有【选择:系统管理员、安全管理员、【赋值:授权管理员】】角色的授权管理员能够【赋值:替换缺省,修改,删除,【赋值:其他操作】】TOE 的【赋值:用户标识和安全角色】;
b ) 应测试确认 TSF是否仅限于具有【选择:系统管理员、安全管理员、【赋值:授权管理员】】角色的授权管理员 能 够【赋 值:替 换 缺 省,修 改,删 除,【赋 值:其 他 操 作】】TOE 的【赋 值:认 证数据】;
c) 应测试确认 TSF是否仅限于具有【选择:系统管理员、安全管理员、【赋值:授权管理员】】角色的授权管理员能够【赋值:包括或排除可审计事件】;
d) 应测试确认 TSF是否仅限于具有【选择:系统管理员、安全管理员、【赋值:授权管理员】】角色的授权管理员能够【删除和【查看】】TOE 的【赋值:审计事件集】;
e) 应测试确认 TSF是否根据【赋值:数据库对象列表】仅限于【选择:系统管理员、安全管理员、 【赋值:授权管理员】】能够在数据库对象及数据上执行操作【选择:改变默认值、查询、修改、删 除、清除、【赋值:其他操作】】。
5 . 1 . 6 . 6 撤销(FMT_REV.1)
撤销组件负责处理数据库各种实体安全属性的撤销。 该组件安全评估内容如下:
a) 应测试确认 TSF 是否仅限于【赋值:已标识的授权角色】能够撤销 TSC 内与【选择:用户、主体、客体、【赋值:其他额外资源】】相关联的所有可管理的安全属性【选择:口令策略、资源限制、角色和权限、【赋值:其他安全属性】】;
b ) 应测试执行规则【选择:撤销数据库管理权限应在数据库用户开始下一个数据库会话前生效,或【赋值:撤销规则的详细说明】】等数据库对象属性管理能力。
5 . 1 . 6 . 7 管理功能规范(FMT_SMF.1 )
管理功能规范组件提供系统接口以便于授权管理员定义控制被测数据库管理系统安全相关操作的参数。 该组件安全评估内容如下:
a) 应测试确认 TSF是否能执行【赋值:DBMS提供的安全管理功能列表】安全管理功能。例如下列管理功能:
1) 添加和删除数据库用户;
2) 改变授权用户的数据库管理系统账户状态;
3) 创建和删除数据库实例(服务器)级别和数据库级别的用户组;
4) 在数据库实例(服务器)级别和数据库级别配置数据库角色权限及其成员用户;
5) 配置数据库用户认证模式(操作系统验证、数据库验证、第三方验证);
6) 管理连接数据库用户会话的属性;
7) 使能和禁用数据库加密功能;
8) 使能和禁用数据库用户角色状态;
9) 管理数据库加密密钥;
10) 创建和销毁加密密钥;
11) 启动和停止审计;
GB/T 20009—2019
12) 定义审计策略,选择性审计;
13) 创建、删除和查阅审计记录数据;
14) 定义当审计文件填满时采取的行动;
15) 创建和删除基于标签的访问控制(LBAC)策略和标签;
16) 授权和撤销 LBAC安全标签与授权用户/授权管理员与数据库对象的绑定;
17) 创建、删除、授权和撤销数据库角色;
18) 授权、撤销数据库管理员访问属性;
19) 管理数据库用户口令策略;
20) 管理数据库用户对系统资源使用的最大限额等。
b) 应测试确认 TSF是否能以视图方式展示【赋值:DBMS提供的安全管理功能列表】安全元数据或提供【赋值:DBMS提供的安全管理功能列表】管理图形化工具。
5 . 1 . 6 . 8 安全角色(FMT_SMR.1 )
安全角色组件要求数据库管理系统的安全功能应能支持维护授权角色。 该组件安全评估内容如下:
a) 应测试确认 TSF是否提供或安全管理定义的【赋值:已标识的授权角色】角色创建功能;
b) 应测试确认 TSF是否提供或安全管理定义的【赋值:已标识的授权角色】角色授权管理功能;
c) 应测试确认 TSF是否提供角色权限管理功能;
d) 应测试确认 TSF是否提供角色启用、禁用功能;
e) 应测试确认 TSF是否提供角色口令管理功能。
5 . 1 . 6 . 9 安全角色限制(FMT_SMR.2 )
安全角色限制组件控制数据库用户的不同角色,包括控制角色之间关系的规则。 该组件安全评估内容如下:
a) 应测试确认 TSF是否维护系统提供或安全管理定义的【赋值:已标识的授权角色】角色;例如下列角色:
1) 安全管理员;
2) 审计管理员;
3) 数据库管理员;
4) 系统管理员;
5) 由授权的安全管理员定义的安全角色。
b) 应测试确认 TSF是否能够把鉴别用户和数据库角色关联起来,通过数据库会话管理角色关联的用户系统权限和数据库权限。
c) 应测试确认 TSF是否确保条件【赋值:不同角色的条件】得到满足,例如:
1) 所有角色应能本地管理评估对象;
2) 所有角色应能远程管理评估对象;
3) 所有角色是不同的,每个角色所执行的操作不能重叠,但下列情况除外:【赋值:ST作者许重叠的安全功能】。
5 . 1 . 7 TSF保护(FPT类)
5 . 1 . 7 . 1 失效即保持安全状态(FPT_FLS.1 )
失效即保持安全状态组件要求 TSF失效时保持一种安全状态。 该组件安全评估内容如下:
GB/T 20009—2019
a) 应测试确认 TSF是否保证网络通信出现暂时性故障,用户数据库会话处于安全状态;
b) 应测试确认 TSF是否在数据约束条件不满足时能回退前面的操作;
c) 应测试确认 TSF 在处理用户请求的前台服务器进程故障时能保证事务的原子性和数据完整性;
d) 应测试确认 TSF在 日志写进程出席故障或日志文件存储空间出现故障时能阻止用户的请求,并提醒用户;
e) 应测试确认 TSF在归档进程出席故障或归档 日志存储空间出现故障时能提醒用户;
f) 应测试确认 TSF在实时采集数据库缓存、CPU 计算能力等系统资源状态信息,并通过视图、图形界面或应用编程接口方式提供给用户;
g) 应测试确认 TSF是否具备
