1、ICS 35.040 L 80 GB 中华人民共和国国家标准GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求Information security technology一Security techniques requirement for database management system 2006-05-31发布中华人民共和国国家质量监督检验检茂总局中国国家标准化管理委员会F2006-12-01实施GB/T 20273-2006 目次前言.皿引言.N I 范围.2 规范性引用文件-3 术语、定义和缩略语3. 1 术语和定义3. 2 缩略语24 数据库管理系统安全功
2、能基本要求24.1 身份鉴别24. 1. 1 用户标识4. 1. 2 用户鉴别34.2 自主访问控制. 4.2.1 访问操作34.2.2 访问规则4.2.3 授权传播限制34.3 标记44.3.1 主体标记44.3.2 客体标记44.4 强制访问控制44.4. 1 访问控制安全策略44. 4. 2 访问控制粒度及特点44. 5 数据流控制44. 6 安全审计.44. 7 用户数据完整性44.7.1 实体完整性和参照完整性44.7.2 用户定义完整性4.7.3 数据操作的完整性.4.8 用户数据保密性4.8.1 存储数据保密性4. 8. 2 传输数据保密性4.8.3 客体重用4. 9 可信路径5
3、4. 10 推理控制.5 数据库管理系统安全技术分等级要求-5. 1 第一级:用户自主保护级5. 1. 1 安全功能55. 1. 2 SSODB自身安全保护.5. 1. 3 SSODB设计和实现G/T 20273-2006 888902224588801144468122233333456 -1lA11-A-1-i1Aq?9?99JqJnJJ可uquqdqdnJqJndnJ系关分体阻叶川叫VFT办1求剧目1湖要.级体叹说殊理.等主耳J密念特管性护的白HU级护.级护.护.求级护.概的户全保中?库护保现.护保现级保现要护保现.准全用安全统任据理保全实理保全实理护全实理保全实理相安的的安系hk数管计
4、安和管记安和管保安和管证安和管系统统统统理指.日全审身计全标身计全化身计全验身计全和关系系系系管缸制术安统B自设安全t自设安构t自设安问能自设安附互理理理理库D控技BA剧mmm杰明mmmA驹mmmd功mmm性相管管管管据理码O级全000级全000级全000级全000料与库库库库数S推密回二安mmsu三安smmmw四安岱白白五安mmuJU资成据据据据于于于于.第第S第第川组数数数数关关关关埔A性119qJA吐110年nJA哇1i今年quA吐1AqqJA丛Ad手123456789考119?9年9?nJJqdquqdA哇4A44A哇44JRU-d三、41641111iLLrLFLEL-旦旦旦旦旦旦E
5、L-附人A凡人A.AA.人人A.参日GB/T 20273-2006 目。吕本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位:北京思源新创信息安全资讯有限公司,江南计算技术研究所技术服务中心。本标准主要起草人:吉增瑞、王志强、陈冠直、陆畔、孙炜、景乾元、宋健平。I HMH GB/T 20273-2006 寻|本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的数据库管理系统,主要说明为实现GB17859-1999中每一个保护等级的安全要求,数据库管理系统应采取的安全技术措施,以及各安全技术要求在不同安全保护等级中具体实现上的差异。数据库管理系统是
6、信息系统的重要组成部分,特别是对于存储和管理数据资源的数据服务器是必不可少的。数据库管理系统的主要功能是对数据信息进行结构化组织与管理,并提供方便的检索和使用。当前,常见的数据库结构为关系模式,多以表结构形式表示。数据库管理系统安全就是要对数据库中存储的数据信息进行安全保护,使其免遭由于人为的和自然的原因所带来的泄露、破坏和不可用的情况。大多数的数据库管理系统是以操作系统文件作为建库的基础。所以操作系统安全、特别是文件系统的安全便成为数据库管理系统安全的基础。当然,安全的硬件环境(即物理安全)也是必不可少的。这些显然不在数据库管理系统安全之列。数据库管理系统的安全既要考虑数据库管理系统的安全运
7、行保护,也要考虑对数据库管理系统中所存储、传输和处理的数据信息的保护(包括以库结构形式存储的用户数据信息和以其他形式存储的由数据库管理系统使用的数据信息)。由于攻击和威胁既可能是针对数据库管理系统运行的,也可能是针对数据库管理系统中所存储、传输和处理的数据信息的保密性、完整性和可用性的,所以对数据库管理系统的安全保护的功能要求,需要从系统安全运行和信息安全保护两方面综合进行考虑。根据GB17859一1999所列安全要素及GB/T20271-2006关于信息系统安全功能要素的描述,本标准从身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、安全审计、数据完整性、数据保密性、可信路径、推理控制
8、等方面对数据库管理系统的安全功能要求进行更加具体的描述。通过推理从数据库中的己知数据获取未知数据是对数据库的保密性进行攻击的一种特有方法。推理控制是对这种推理方法的对抗。本标准对较高安全等级的数据库管理系统提出了推理控制的要求,将其作为一个安全要素。为了确保安全功能要素达到所确定的安全性要求,需要通过一定的安全保证机制来实现,根据GB/T20271-2006关于信息系统安全保证要素的描述,本标准从数据库管理系统的SSODB自身安全保护、数据库管理系统SSODB的设计和实现以及数据库管理系统SSODB的安全管理等方面,对数据库管理系统的安全保证要求进行更加具体的描述。本标准按照GB17859-1
9、999的五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全保证技术要求做详细的描述。在第4章对数据库管理系统安全功能基本要求进行简要说明的基础上,第5章分别从安全功能技术要求和安全保证技术要求两方面,对数据库管理系统安全技术的分等级要求进行了详细说明。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强,在第5章的描述中,每一级的新增部分用宋体加粗字表示。E GB/T 20273-2006 信息安全技术数据库管理系统安全技术要求1 范围本标准依据GB17859-1999的五个安全保护等级的划分,根据数据库管理系统在信息系统中的作用.规定了各个安全等级的数据库管理系统所
10、需要的安全技术要求。本标准适用于按等级化要求进行的安全数据库管理系统的设计和实现,对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用。2 规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。GB 17859-1999 计算机信息系统安全保护等级划分准则GB/T 20271-2006 信息安全技术信息系统通用安全技术要求3 术语、定义和缩略语3.1 术语和定义GB 1785
11、9-1999和GB/T20271-2006确立的以及下列术语和定义适用于本标准。3. 1. 1 数据库管理系统安全security of database management system 数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。3.1.2 数据库管理系统安全技术security technology of database management system 实现各种类型的数据库管理系统安全需要的所有安全技术。3. 1.3 数据库管理系统安全子系统security subsystem of database management system 数据库管理中安全
12、保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的数据库管理系统安全保护环境,并提供安全数据库管理系统所要求的附加用户服务。注:按照GB17859 1999对TCB(可信计算基)的定义,SS()J)B(数据库管理系统安全子系统)就是数据库管理系统的TCB。3. 1. 4 SSODB安全策略SSODB security policy 对SSOD13巾的资源进行管理、保护和分配的一组规则。一个SSODB中可以有一个或多个安全策略。3. 1.5 安全功能策略security function policy 为实现SSODB安全要素要求的功能所采用的安全策略。3. 1.
13、 6 安全要素security element 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分。GB/T 20273-2006 3. 1. 7 SSODB安全功能SSODB security function 正确实施SSODB安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成一个SSODB安全功能模块。一个SSODB的所有安全功能模块共同组成该SSODB的安全功能。3. 1. 8 SSF控制范围SSF scope of control SSODB的操作所涉及的主体和客体的范围。3. 1. 9 数据完整性data integrity 数据完整性泛指数据库中整
14、性。3. 1. 10 实体完整性关系模型中的中3. 1. 11 如果关系Rl值(空值意味嗣前提。3. 1. 12 用户定义关系模型了完整性保证的口3.2 缩略语下列缩略语适用SFP 安全功SSC SSF控SSF SSODB安全 . SSODB 数据库管理系统安SSP SSODB安全策略SSODB security policy 4 数据库管理系统安全功能基本要求4.1 身份鉴别4. 1. 1 用户标识应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息,一般以用户名和用户ID实现。为了管理方便,可将用户分组,也可使用别名。无论用户名、用户ID、用户组还是用户别名,都要遵守标识的唯一
15、性原则。用户标识分为:a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识;2 GBjT 20273-2006 b) 唯一性标识:应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与审计相关联;c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。4. 1. 2 用户鉴别应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的鉴别信息的验证,证明该用户确有所声称的某种身份,这些鉴别信息必须是保密的,不易伪造的。用户鉴别分为:a) 基本鉴别:应在SSF实施所要求地动作之前,先对提出该动作要求的用户成功地进行鉴别。b
16、) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求SSF应检测或防止由任何别的用户伪造的鉴另蚓费帽?穷一方面?要喝SF应检测或防止当前用户从任何其他用d) 对象基本表视图列域字符集排序转换SQL调用UDT I USAGE I USAGE EXECUTE UNDER 制,即SSF应防止与己标识过份,并且只SF应根据所描份。鉴别的条件表所指示需要进行重鉴别。操作应有明确的表中,除USAGE和UNDER外,其余操作均符合SQL语句中使用的动词L4. 2.2 访问规则应以访问控制表或访问矩阵的形式表示,并通过执行相应的访问控制程序实现。每当执行SQL语句、有访问要求出现时,通过调用相
17、应的访问控制程序,实现对访问要求的控制。4. 2.3 授权传播限制应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限,同时拥有将该权限授予其他用户的权力时,该用户才拥有对该授权的传播权。为了增强数据库系统的安全性,需要对授权传播进行某些限制。3 GB/T 20273-2006 4. 3 标记4.3. 1 主体标记SSF应为主体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。4.3.2 害体标记SSF应为客体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制的依据。4.4 强制访问控制4.4.1 访问控制安全策略应采用确
18、定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模型将SSODB安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规则一一从下读、向上写,根据访问者主体和被访问者客体的敏感标记,实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行环境的不同,强制访问控制分为:a) 在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的敏感标记存储在统一的数据库字典中,使用单一的访问规则实现;b) 在网络环境的多机系统上运行的分布式数据库系统,全局应用的强制访问控制应在全局DBMS层实现,局域应用的强制访问控制应在局部DB
19、MS层实现。其所采用的访问规则是一致的。4.4.2 访问控制粒度及特点应根据数据库特点和不同安全保护等级的不同要求,实现不同粒度的访问控制。这些特点主要是:a) 数据以特定结构格式存放,客体的粒度可以是:关系数据库的表、视图、元组(记录)、列(宇段)、元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、存储过程、触发器、各种访问接口等;b) 数据库系统有完整定义的访问操作,如表1所示;c) 数据库是数据与逻辑的统一,数据库中不仅存放了数据,还存放了大量的用于管理和使用这些数据的程序,这些程序和数据同样需要进行保护,以防止未授权的使用、篡改、增加或破坏;d
20、) 数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、逻辑独立性)大大减轻数据库应用程序的维护工作量,但是由于不同的逻辑结构可能对应于相同的物理结构,给访问控制带来新的问题,应对访问规则进行一致性检查;e) 分布式数据库管理系统中,全局应用的访问控制应在全局DBMS层实现,局部应用的访问控制应在局部DBMS层实现,并根据需要各自选择不同的访问控制策略。4.5 数据流控制在以数据流方式实现数据流动的数据库管理系统中,应采用数据流控制机制实现对数据流动的控制,以防止具有高等级安全的数据信息向低等级的区域流动。4.6 安全审计数据库管理系统的安全审计应:a) 建立独
21、立的安全审计系统;b) 定义与数据库安全相关的审计事件;c) 设置专门的安全审计员;d) 设置专门用于存储数据库系统审计数据的安全审计库;e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。4. 7 用户数据完整性4.7.1 实体完整性和参照完整性a) 数据库管理系统应确保数据库中的用户数据具有实体完整性和参照完整性。关系之间的参照4 G/T 20273-2006 完整性规则是连接关系运算正确执行的前提。b) 用户定义基本表时,应说明主键、外键,被引用表、列和引用行为。当数据录入、更新、删除时,应由数据库管理系统根据说明自动维护实体完整性和参照完整性。4.7.2 用户定义完整性a) 数
22、据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,从而不仅可以简化应用程序,还提高了完整性保证的可靠性。b) 数据库管理系统应支持为约束或断言命名(或提供默认名称),定义检查时间、延迟模式或设置默认检查时间和延迟模式,支持约束和断言的撤消。4.7.3 数据操作的完整性数据操作的完整性约束为:a) 用户定义基本表时应定义主键和外键;b) 对于候选键,应由用户指明其唯一性;c) 对于外键,用户应指明被引用关系和引用行为;d) 应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求,不允许提交
23、任何违反完整性的事务:e) 删除或更新某元组时,数据库管理系统应检查该元组是否含有外键,若有,应根据用户预定义的引用行为进行删除。4.8 用户数据保密性4.8.1 存储数据保密性数据库管理系统应确保数据库中存储的用户数据的保密性。4.8.2 传输数据保密性数据库管理系统应确保数据库中传输的用户数据的保密性。4. 8. 3 害体重用数据库管理系统大量使用的动态资掘,多由操作系统分配。实现客体安全重用的操作系统和数据库管理系统应满足以下要求:a) 数据库管理系统提出资源分配要求,如创建新库、数据库设备初始化等,所得到的资源不应包含该客体以前的任何信息内容;b) 数据库管理系统提出资源索回要求,应确
24、保这些资源中的全部信息被清除;c) 数据库管理系统要求创建新的数据库用户进程,应确保分配给每个进程的资源不包含残留信息;d) 数据库管理系统应确保己经被删除或被释放的信息不再是可用的。4. 9 可信路径在数据库用户进行注册或进行其他安全性操作时,应提供SSODB与用户之间的可信通信通路,实现用户与SSF间的安全数据交换。4.10 推理控制应采用推理控制的方法防止数据库中的用户数据被非授权地获取。运用推理方法获取权限以外的数据库信息,是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中,应考虑对这种攻击的防御。5 数据库管理系统安全技术分等级要求5. 1 第一级:用户自主保护级5.
25、 1. 1 安全功能5 GB/ T 20273-2006 5: 1. 1. 1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别。可根据4.1的描述,按GB/T20271-2006中6. 1. 3. 1的要求,从以下方面设计和实现数据库管理系统的身份鉴别功能:a) 对进入数据库管理系统的用户进行身份标识,根据4.1.1的描述,按以下要求设计:一一凡需进入数据库管理系统的用户,应先进行标识(建立账号); 一一数据库管理系统用户标识一般使用用户名和用户标识符(UID)。b) 对登录到数据库管理系统的用户身份的真实性进行鉴别,根据4.1. 2的描述,按以下要求设计:-一采用口令进行鉴别,并在每次用户登
26、录系统时进行鉴别;一一口令应是不可见的,并在存一通过对不成功的鉴步而(包括尝试次数达到该值时应采c) 对注册到数据库一一将用户进程局矗撞在首何户植盘磁叫吏用蜻幢幢融面方吨以追溯i1J进程的所有者用户;E 一一将系统逝在却毫施与当疆圃跚跚锢阳明院提螺融在系装进程随行为可以追溯到当前服5. 1. 1.2 自主访可根据4.2设计和实现数据对客体的访问,5. 1. 1. 3 用户可根据4.7系统的用户a) 对数b) 对数5.1. 2 5. 1. 2. 1 SSF物理按GB/T20271 现以物理方式的攻击按GB/T20271-2006飞阴.4亏空啪要求-tr芳面i尉的运每接全保护:6. 1. 3. 2
27、的要求,的身份规定并控制实现数据库管理GB/ T 20271一回退的要求设计性。a) 系统在设计时不应留替电tH丁。即宋应棋维!J!:支持或瑰,需要为借口,设计有违反或绕过安全规则的任何类型的入口和英中未说明的任何握真钢人口。b) 安全结构应是一个独立的、严格定文前絮赘慧轩的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构。c) 应提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义。d) 在SSODB失败或中断后,应确保其以最小的损害得到恢复,并按照失败保护中所描述的内容,实现对SSF出现失败时的处理。5. 1. 2.
28、 3 SSF数据安全保护按GB/T20271-2006中6.1.4. 3的要求,对在SSODB内传输的SSF数据,实现SSOD,B内SSF6 GB/T 20273-2006 数据传输的基本保护。5. 1. 2. 4 资源利用按GB/T20271-2006中6.1.4. 4的要求,从以下方面实现SSODB的资源利用:a) 通过一定措施确保当系统出现某些确定的故障时,SSF也能维持正常运行;b) 采取适当的策略,按有限服务优先级提供主体使用SSC内某个资源子集的优先级,进行SSODB资源的管理和分配;c) 按资源分配中最大限额的要求,进行SSODB资源的管理和分配,确保用户和主体不会独占某种受控资
29、源。5.1 . 2.5 SSODB访问控制b) SSF应限制系勾c) 按可选属性电全属性的范5. 1. 3 SSODB i:峙口5. 1.3. 1 配置管5. 1.3.2 分发按GB/T操作:b) 对系统安全性c) 所有软件Id) 随同系统气川、激活。e) 用户文档应同新的版本制作的。5. 1. 3. 3 开发吭,并在使用前由管理员按GB/T20271一2附中6.1市耀萃,从以因而摇SSODB的开发:a) 按非形式化功能说明、描述性高层设计、SSF子集实现、SSF内部结构模块化、描述性低层设计和非形式化对应性说明的要求,进行SSODB的设计;b) 系统的设计和开发应保护数据的完整性,例如,检查
30、数据更新的规则,多重输入的正确处理,返回状态的检查,中间结果的检查,合理值输入检查,事务处理更新的正确性检查等;。在内部代码检查时,应解决潜在的安全缺陷,关闭或取消所有的后门;d) 交付的软件和文档,应进行关于安全缺陷的定期的和书面的检查,并将检查结果告知用户;e) 由系统控制的敏感数据,如口令、密钥等,不应在未受保护的程序或文档中以明文形式存储zf) 应以书面形式提供给用户关于软件所有权法律保护的指南。7 GB/T 20273-2006 5. 1. 3. 4 文档要求按GB/T20271一2006中6.1.5. 4的要求,从以下方面编制SSODB的文档:a) 用户文档应提供关于不同用户的可见
31、的安全机制以及如何利用它们的信息,并说明它们的用途和提供有关它们使用的指南;b) 安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导,以及与安全有关的管理员功能的详细描述,包括增加和删除一个用户、改变主、窑体的安全属性等;c) 文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档,或作为独立的章条插入到管理员指南和用户指南中。5. 1. 3. 5 生存周期支持按GB/T20271二2006中6.1.5. 5的要求,从以下方面实现SSODB的生存周期支持:a) 按开发者定义生存周期模型进行
32、SSODB开发Fb) 文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态。5. 1. 3. 6 测试按GB/T20271-2006中6.1.5. 6的要求,从以下方面对SSODB进行测试:a) 通过一般功能测试和相符独立性测试,确认SSODB的功能与所要求功能的一致性;b) 所有系统的安全特性,应被全面测试;c) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞;d) 应提供测试文档,详细描述测试计划、测试过程、测试结果。5.1.4 SSODB安全缸里按
33、GB/T20271-2006中6.1.6的要求,实现SSODB的安全管理,对SSODB的访问控制、鉴别控制、审计等相关的功能,以及与一般的安装、配置等有关的功能,制定相应的操作、运行规程和行为规章制度。5.2 第二级t系统审计保护级5.2. 1 安全功能5. 2. 1. 1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别。根据4.1的描述,按GB/T20271-2006中6.2.3.1的要求,从以下方面设计和实现数据库管理系统的身份鉴别功能:8 a) 应对进入数据库管理系统的用户进行身份标识,根据4.1. 1的描述,按以下要求设计:凡需进入数据库管理系统的用户,应先进行标识(建立账号); 一数
34、据库管理系统用户标识一般使用用户名和用户标识符(UID),并在数据库管理系统的整个生存周期实现用户的唯一性标识,以及用户名或别名、UID等之间的一致性。b) 应对登录到数据库管理系统的用户身份的真实性进行鉴别,根据4.1. 2的描述,按以下要求设计:一一一采用强化管理的口令鉴别/基于令牌的动态口令鉴别等机制进行身份鉴别,并在每次用户登录系统时进行鉴别;一一鉴别信息应是不可见的,并在存储和传输时有安全保护;通过对不成功的鉴别尝试的值(包括尝试次数和时间的阔值)进行预先定义,并明确规定达到该值时应采取的措施来实现鉴别失败的处理。c) 对注册到数据库管理系统的用户,应按以下要求设计和实现用户-主体绑
35、定功能:将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;GB/T 20273-2006 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务的要求者用户。5.2. 1. 2 自主访问控制根据4.2中访问操作、访问规则和授权传播的描述,按照GB/T20271-2006中6.2. 3. 2的要求,从以下方面设计和实现数据库管理系统的自主访问控制功能:a) 允许命名用户以用户的身份规定并控制对客体的访问,并阻止非授权用户对客体的访问;b) 用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限;c) 自主访
36、问控制主体的粒度应是用户级,客体的粒度应是表级和/或记录、宇段级;d) 自主访问控制应与身份鉴别和审计相结合,通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问,使用户对自己的行为承担明确的责任。5.2. 1.3 安全审计根据4.6的描述,按GB/T20271-2006中6.2.2.3的要求,设计安全审计功能。本安全保护等级要求:a) 安全审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合;b) 提供审计日志,潜在侵害分析,基本审计查阅和有限审计查阅,安全审计事件选择,以及受保护的审计踪迹存储等功能;c) 能够生成、维护及保护审计过程,使其免遭修改、非法访问及破坏
37、,特别要保护审计数据,要严格限制未经授权的用户访问;d) 能够创建并维护一个对受保护客体访问的审计踪踪,保护审计记录不被未授权的访问、修改和破坏。5.2. 1. 4 用户数据完整性根据4.7的描述,按GB/T20271-2006中6.2.3.3的要求,从以下方面设计和实现数据库管理系统的用户数据完整性功能:a) 在对数据进行访问操作时,检查以库结构形式存储在数据库中的用户数据是否出现完整性错误;b) 对数据库管理系统内部传输的用户数据,如进程间的通信,应提供保证数据完整性的功能;c) 对数据库管理系统中处理的用户数据,根据4.7. 1、4.7.2、4.7.3的描述,按照GB/T20271 20
38、06中6.2.3.5的要求实现实体完整性、参照完整性和用户定义完整性,按回退的要求设计相应的SSODB安全功能模块,进行异常情况的事务回退,以确保数据的完整性。5.2. 1. 5 用户数据保密性根据4.8.1、4.8.2和4.8.3中a)的描述,按GB/T20271-2006中6.2.3.4的要求,设计和实现数据库管理系统的用户数据保密性保护功能。5.2.2 SSODB自身安全保护5.2.2.1 SSF物理安全保护按GB/T20271-2006中6.2.4.1的要求,实现SSF的物理安全保护,通过对物理攻击的检查,发现以物理方式的攻击对SSF造成的威胁和破坏。5.2.2.2 SSF运行安全保护
39、按GB/T20271-2006中6.2.4.2的要求,从以下方面实现SSF的运行安全保护:a) 系统在设计时不应留有后门。即不应以维护、支持或操作需要为借口,设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的入口;b) 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修改其代码或数据结构;9 GB/ T 20273-2006 c) 应提供设置和升级配置参数的安装机制,在初始化和对与安全有关的数据结构进行保护之前,应对用户和管理员的安全策略属性进行定义;d) 当数据库管理系统安装完成后,在普通用户访问之前,系统应配置好初始用户和管理员职责、审计参数
40、、系统审计跟踪设置以及对客体的合适的访问控制;e) 在SSODB失败或中断后,应保护其以最小的损害得到恢复,并按照失败保护中所描述的内容,实现对SSF出现失败时的处理。5.2.2.3 SSF数据安全保护按GB/T20271-2006中6.2. 4. 3的要求,对在SSODB内传输的SSF数据进行以下安全保护:、,EO 5.2.2.4 资源利用按GB/T2027120063a) 通过一定措施确b) SSODB资源吗c) 按资源分配种受控资源d ) 确保在被e) 当系统资5. 2. 2. 5 SSODB t 按GB/T2027 a ) 按会话建的身份。JW间阳知肘性录期属登日全功一安成一,d -一
41、应显示口令到一一成功或不成功的5. 2. 3 SSODB设计和实现5. 2. 3. 1 配置管理按GB/T20271-2006中6.2.5.1的要求,从以下方面实现SSODB的配置管理:a) 在配置管理能力方面应实现对版本号、配置项、授权控制等方面的管理要求。b) 配置管理范围方面,应将SSODB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下。在系统的整个生存期,即在它的开发、测试和维护期间,只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查,以确保不危及系统的安全。通过技术、物理和保安规章三方面的结合,充分保护生成系统
42、所用到的源码免遭未授权的修改和毁坏。在软件配置管理系统中,应包含以下方面的工具规程:一一从源码产生出系统新版本;10 GBjT 20273-2006 一一鉴定新生成的系统版本;一一保护源码免遭未授权修改。5.2.3.2 分发和操作按GBjT20271-2006中6.2.5.2的要求,从以下方面实现SSODB的分发和操作:a) 应以文档形式提供对SSODB安全地进行分发的过程,并对安装、生成和启动的过程进行说明,最终生成安全的配置。文档中所描述的内容应包括:提供分发的过程;安全启动和操作的过程;建立日志的过程。b ) 对系统的未授权修改自JJX蝉JE.在交付时控制到最低限度。安全性由末端用户确如
43、有放州鄂应以精阳交付。,使d) 用前由管理员激活。软件是严格按照最b) 系统的t返回状态c) 在内部代d) 的正确处理,等;按GBjT2027 1 a) 用户文档应mJ、1、制如控划建口贝-一百理时管备全设安全.hu c) 文档中不应提供任何一旦f主文档应为独立的文挡,或作为独立的章节插入到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。d) 应提供关于所有审计工具的文挡,包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程等。e) 应提供如何进行系统自我评估的章节(带有网络管理、口令要求
44、、拨号访问控制、意外事故计划的安全报告)和为灾害恢复计划所做的建议,以及描述普通入侵技术和其他威胁及查出及阻止的方法。5. 2. 3. 5 生存周期支持按GB/T20271-2006中6.2.5.5的要求,从以下方面实现SSODB的生存周期支持:11 GB/T 20273-2006 a) 按开发者定义生存周期模型明确定义开发工具的要求进行SSODB开发,并提供开发过程中的安全措施说明;b) 文档应详细阐述安全启动和操作的过程,详细说明安全功能在启动、正常操作维护时是否能被撤消或修改,说明在故障或系统出错时如何恢复系统至安全状态;c) 如果系统含有加强安全性的硬件,那么管理员、终端用户或自动的诊
45、断测试,应能在各自的操作环境中运行它并详细说明操作过程。5.2.3.6 测试按GB/T20271-2006中6.2.5.6的要求,从以下方面对SSODB进行测试:a) 通过一般功能测试,相符独立性测试、范围证据和范围分析,高层设计的测试,确认SSODB的功能与所要求功能的一致性;b) 所有系统的安全特性,应被全面测试,包括查找漏洞,如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等;c) 所有发现的漏洞应被改正、消除或使其无效,并在消除漏洞后重新测试,以证实它们已被消除,且没有引出新的漏洞;d) 应提供测试文档,详细描述测试计划、测试过程、
46、测试结果。5.2.3.7 脆弱性评定按GB/T20271一2006中6.2.5.7的要求,从以下方面对SSODB进行脆弱性评定:a) 对防止误用的评定,通过对文档的检查,查找SSODB以不安全的方式进行使用或配置而不为人们所察觉的情况;b) 对SSODB安全功能强度评估,通过对安全机制的安全行为的合格性或统计结果的分析,证明其达到或超过安全目标要求所定义的最低强度;c) 开发者脆弱性分析,通过确定明显的安全脆弱性的存在,并确认在所期望的环境中所存在的脆弱性不会被利用。5.2.4 SSODB安全管理按GB/T20271-2006中6.2.6的要求,从以下方面实现SSODB的安全管理:a) 对相应的SSODB的访问控制、鉴别控制、审计等相关的安全功能,以及与一般的安装、配置和维护有关的功能,制定相应的操作、运行规程和行为规章制度;b) 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全属性,实现SSODB安全属性的管理;c) 根据本级中安全功能技术要求和安全保证技术要求所涉及的安全数据,实现SSODB安全数据的管理。5.3 第三级:安全标记保护级5.3.1 安全功能5.3.1.1 身份鉴别身份鉴别包括对用户的身份进行标识和鉴别。应根据4.1的描述,按GB/T20271-2006中6.3.3. 1的要求,从以下方面设计和实现数