标准搜索结果: 'GB/T 20273-2006'
标准编号 | GB/T 20273-2006 (GB/T20273-2006) | 中文名称 | 信息安全技术 数据库管理系统安全技术要求 | 英文名称 | Information security technology - Security techniques requirement for database management system | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 76,761 | 发布日期 | 2006-05-31 | 实施日期 | 2006-12-01 | 引用标准 | GB 17859-1999; GB/T 20271-2006 | 起草单位 | 北京思源新创信息安全资讯有限公司、江南计算技术研究所技术服务中心 | 归口单位 | 全国信息安全标准化技术委员会 | 标准依据 | 中国国家标准批准发布公告 2006年第7号(总第94号) | 提出机构 | 全国信息安全标准化技术委员会 | 发布机构 | 中华人民共和国国家质量监督检验检疫总局、中国国家标准化管理委员会 | 范围 | 本标准依据GB/T 17859-1999的五个安全保护等级的划分, 根据数据库管理系统在信息系统中的作用, 规定了各个安全等级的数据库管理系统所需要的安全技术要求。本标准适用于按等级化要求进行的安全数据库管理系统的设计和实现, 对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用。 |
GB/T 20273-2006: 信息安全技术 数据库管理系统安全技术要求
GB/T 20273-2006 英文名称: Information security technology -- Security techniques requirement for database management system
中华人民共和国国家标准
GB/T 20273-2006
信息安全技术
数据库管理系统安全技术要求
中华人民共和国国家质量监督检验检疫总局
中国国家标准化管理委员会发布
1 范围
本标准依据GB 17859-1999的五个安全保护等级的划分,根据数据库管理系统在信息系统中的
作用,规定了各个安全等级的数据库管理系统所需要的安全技术要求。
本标准适用于按等级化要求进行的安全数据库管理系统的设计和实现,对按等级化要求进行的数
据库管理系统安全的测试和管理可参照使用。
2 规范性引用文件
下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有
的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究
是否可使用这些文件的最新版本。凡是不注日期的引用文件,其最新版本适用于本标准。
4 数据库管理系统安全功能基本要求
4.1 身份鉴别
4.1.1 用户标识
应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息,一般以用户名和用户
ID实现。为了管理方便,可将用户分组,也可使用别名。无论用户名、用户ID、用户组还是用户别名,
都要遵守标识的唯一性原则。用户标识分为:
a) 基本标识:应在SSF实施所要求的动作之前,先对提出该动作要求的用户进行标识;
b) 唯一性标识:应确保所标识用户在信息系统生存周期内的唯一性,并将用户标识与审计相
关联;
c) 标识信息管理:应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。
4.1.2 用户鉴别
应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验
证,证明该用户确有所声称的某种身份,这些“鉴别信息”必须是保密的,不易伪造的。用户鉴别分为:
a) 基本鉴别:应在SSF实施所要求地动作之前,先对提出该动作要求的用户成功地进行鉴别。
b) 不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据。一方面,要求SSF应检测或防止
由任何别的用户伪造的鉴别数据,另一方面,要求SSF应检测或防止当前用户从任何其他用
户处复制的鉴别数据的使用。
c) 一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制,即SSF应防止与已标识过
的鉴别机制有关的鉴别数据的重用。
d) 多机制鉴别:应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且SSF应根据所描
述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份。
e) 重新鉴别:应有能力规定需要重新鉴别用户的事件,即SSF应在需要重鉴别的条件表所指示
的条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。
4.2 自主访问控制
4.2.1 访问操作
应由数据库子语言定义,并与数据一起存放在数据字典中。对任何SQL对象进行操作应有明确的
权限许可,并且权限随着操作和对象的变化而变化,安全系统应有能力判断这种权限许可。操作与对象
紧密相联,即把“操作+对象”作为一个授权。表1是GRANT(授权)语句对象类型与相关操作的举例。
4.2.2 访问规则
应以访问控制表或访问矩阵的形式表示,并通过执行相应的访问控制程序实现。每当执行SQL语
句、有访问要求出现时,通过调用相应的访问控制程序,实现对访问要求的控制。
4.2.3 授权传播限制
应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限,同时拥有将该权
限授予其他用户的权力时,该用户才拥有对该授权的传播权。为了增强数据库系统的安全性,需要对授
权传播进行某些限制。
4.3 标记
4.3.1 主体标记
SSF应为主体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制
的依据。
4.3.2 客体标记
SSF应为客体指定敏感标记,这些敏感标记是等级分类和非等级类别的组合,是实施强制访问控制
的依据。
4.4 强制访问控制
4.4.1 访问控制安全策略
应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模
型将SSODB安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定
的规则---从下读、向上写,根据访问者主体和被访问者客体的敏感标记,实现主、客体之间每次访问的
强制性控制。根据数据库管理系统的运行环境的不同,强制访问控制分为:
a) 在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的
敏感标记存储在统一的数据库字典中,使用单一的访问规则实现;
b) 在网络环境的多机系统上运行的分布式数据库系统,全局应用的强制访问控制应在全局
DBMS层实现,局域应用的强制访问控制应在局部DBMS层实现。其所采用的访问规则是一
致的。
4.4.2 访问控制粒度及特点
应根据数据库特点和不同安全保护等级的不同要求,实现不同粒度的访问控制。这些特点主要是:
a) 数据以特定结构格式存放,客体的粒度可以是:关系数据库的表、视图、元组(记录)、列(字段)、
元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、
存储过程、触发器、各种访问接口等;
b) 数据库系统有完整定义的访问操作,如表1所示;
c) 数据库是数据与逻辑的统一,数据库中不仅存放了数据,还存放了大量的用于管理和使用这些
数据的程序,这些程序和数据同样需要进行保护,以防止未授权的使用、篡改、增加或破坏;
d) 数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、
逻辑独立性)大大减轻数据库应用程序的维护工作量,但是由于不同的逻辑结构可能对应于相
同的物理结构,给访问控制带来新的问题,应对访问规则进行一致性检查;
e) 分布式数据库管理系统中,全局应用的访问控制应在全局DBMS层实现,局部应用的访问控
制应在局部DBMS层实现,并根据需要各自选择不同的访问控制策略。
4.5 数据流控制
在以数据流方式实现数据流动的数据库管理系统中,应采用数据流控制机制实现对数据流动的控
制,以防止具有高等级安全的数据信息向低等级的区域流动。
4.6 安全审计
数据库管理系统的安全审计应:
a) 建立独立的安全审计系统;
b) 定义与数据库安全相关的审计事件;
c) 设置专门的安全审计员;
d) 设置专门用于存储数据库系统审计数据的安全审计库;
e) 提供适用于数据库系统的安全审计设置、分析和查阅的工具。
4.7 用户数据完整性
4.7.1 实体完整性和参照完整性
a) 数据库管理系统应确保数据库中的用户数据具有实体完整性和参照完整性。关系之间的参照
完整性规则是“连接”关系运算正确执行的前提。
b) 用户定义基本表时,应说明主键、外键,被引用表、列和引用行为。当数据录入、更新、删除时,
应由数据库管理系统根据说明自动维护实体完整性和参照完整性。
4.7.2 用户定义完整性
a) 数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性
规则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,从而不仅可以简化
应用程序,还提高了完整性保证的可靠性。
b) 数据库管理系统应支持为约束或断言命名(或提供默认名称),定义检查时间、延迟模式或设
置默认检查时间和延迟模式,支持约束和断言的撤消。
4.7.3 数据操作的完整性
数据操作的完整性约束为:
a) 用户定义基本表时应定义主键和外键;
b) 对于候选键,应由用户指明其唯一性;
c) 对于外键,用户应指明被引用关系和引用行为;
d) 应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求,不允许提交任
何违反完整性的事务;
e) 删除或更新某元组时,数据库管理系统应检查该元组是否含有外键,若有,应根据用户预定义
的引用行为进行删除。
4.8 用户数据保密性
4.8.1 存储数据保密性
数据库管理系统应确保数据库中存储的用户数据的保密性。
4.8.2 传输数据保密性
数据库管理系统应确保数据库中传输的用户数据的保密性。
4.8.3 客体重用
数据库管理系统大量使用的动态资源,多由操作系统分配。实现客体安全重用的操作系统和数据
库管理系统应满足以下要求:
a) 数据库管理系统提出资源分配要求,如创建新库、数据库设备初始化等,所得到的资源不应包
含该客体以前的任何信息内容;
b) 数据库管理系统提出资源索回要求,应确保这些资源中的全部信息被清除;
c) 数据库管理系统要求创建新的数据库用户进程,应确保分配给每个进程的资源不包含残留
信息;
d) 数据库管理系统应确保已经被删除或被释放的信息不再是可用的。
4.9 可信路径
在数据库用户进行注册或进行其他安全性操作时,应提供SSODB与用户之间的可信通信通路,实
现用户与SSF间的安全数据交换。
4.10 推理控制
应采用推理控制的方法防止数据库中的用户数据被非授权地获取。运用推理方法获取权限以外的
数据库信息,是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中,应考虑对这
种攻击的防御。
5 数据库管理系统安全技术分等级要求
5.1 第一级:用户自主保护级
5.1.1 安全功能
5.1.1.1 身份鉴别
身份鉴别包括对用户的身份进行标识和鉴别。可根据4.1的描述,按 GB/T 20271-2006中
6.1.3.1的要求,从以下方面设计和实现数据库管理系统的身份鉴别功能:
a) 对进入数据库管理系统的用户进行身份标识,根据4.1.1的描述,按以下要求设计:
---凡需进入数据库管理系统的用户,应先进行标识(建立账号);
---数据库管理系统用户标识一般使用用户名和用户标识符(UID)。
b) 对登录到数据库管理系统的用户身份的真实性进行鉴别,根据4.1.2的描述,按以下要求
设计:
---采用口令进行鉴别,并在每次用户登录系统时进行鉴别;
---口令应是不可见的,并在存储时有安全保护;
---通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定
达到该值时应采取的措施来实现鉴别失败的处理。
c) 对注册到数据库管理系统的用户,应按以下要求设计和实现用户-主体绑定功能:
---将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户;
---将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服
务的要求者用户。
5.1.1.2 自主访问控制
可根据4.2中访问操作、访问规则和授权传播的描述,按GB/T 20271-2006中6.1.3.2的要求,
设计和实现数据库管理系统的自主访问控制功能,允许命名用户以用户和/或用户组的身份规定并控制
对客体的访问,并阻止非授权用户对客体的访问。
5.1.1.3 用户数据完整性
可根据4.7的描述,按GB/T 20271-2006中6.1.3.3的要求,从以下方面设计和实现数据库管理
系统的用户数据完整性功能:
a) 对数据库管理系统内部传输的用户数据,如进程间的通信,应提供保证数据完整性的功能;
b) 对数据库管理系统中处理的用户数据,可根据4.7.1、4.7.2、4.7.3的描述,按GB/T 20271-
2006中6.1.3.3的要求实现实体完整性、参照完整性和用户定义完整性,按回退的要求设计
相应的SSODB安全功能模块,进行异常情况的事务回退,以确保数据的完整性。
5.1.2 SSODB自身安全保护
5.1.2.1 SSF物理安全保护
按GB/T 20271-2006中6.1.4.1的要求,实现SSF的物理安全保护,通过对物理安全的检查,发
现以物理方式的攻击对SSF造成的威胁和破坏。
5.1.2.2 SSF运行安全保护
按GB/T 20271-2006中6.1.4.2的要求,从以下方面SSF的运行安全保护:
a) 系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口,设计有违反或绕过安
全规则的任何类型的入口和文档中未说明的任何模式的入口。
b) 安全结构应是一个独立的、严格定义的系统软件的一个子集,并应防止外部干扰和破坏,如修
改其代码或数据结构。
c) 应提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之
前,应对用户和管理员的安全策略属性进行定义。
d) 在SSODB失败或中断后,应确保其以最小的损害得到恢复,并按照失败保护中所描述的内
容,实现对SSF出现失败时的处理。
5.1.2.3 SSF数据安全保护
按GB/T 20271-2006中6.1.4.3的要求,对在SSODB内传输的SSF......
|