搜索结果: GB/T 20273-2019, GB/T20273-2019, GBT 20273-2019, GBT20273-2019
标准编号 | GB/T 20273-2019 (GB/T20273-2019) | 中文名称 | 信息安全技术 数据库管理系统安全技术要求 | 英文名称 | Information security technology -- Security technical requirements for database management system | 行业 | 国家标准 (推荐) | 中标分类 | L80 | 国际标准分类 | 35.040 | 字数估计 | 66,671 | 发布日期 | 2019-08-30 | 实施日期 | 2020-03-01 | 旧标准 (被替代) | GB/T 20273-2006 | 引用标准 | GB/T 18336.1-2015; GB/T 18336.2-2015; GB/T 18336.3-2015; GB/T 25069-2010; GB/T 28821-2012 | 起草单位 | 中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司 | 归口单位 | 全国信息安全标准化技术委员会(SAC/TC 260) | 提出机构 | 全国信息安全标准化技术委员会(SAC/TC 260) | 发布机构 | 国家市场监督管理总局、中国国家标准化管理委员会 | 范围 | 本标准规定了数据库管理系统评估对象描述,不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求,安全问题定义与安全目的、安全目的与安全要求之间的基本原理。本标准适用于数据库管理系统的测试、评估和采购,也可用于指导数据库管理系统的研发。 |
GB/T 20273-2019
Information security technology - Security technical requirements for database management system
ICS 35.040
L80
中华人民共和国国家标准
代替GB/T 20273-2006
信息安全技术
数据库管理系统安全技术要求
2019-08-30发布
2020-03-01实施
国 家 市 场 监 督 管 理 总 局
中国国家标准化管理委员会 发 布
目次
前言 Ⅲ
1 范围 1
2 规范性引用文件 1
3 术语、定义和缩略语 1
3.1 术语和定义 1
3.2 缩略语 1
4 评估对象描述 2
4.1 评估对象概述 2
4.2 评估对象安全特性 2
4.3 评估对象部署方式说明 3
5 安全问题定义 3
5.1 数据资产 3
5.2 威胁 4
5.3 组织安全策略 6
5.4 假设 7
6 安全目的 8
6.1 TOE安全目的 8
6.2 环境安全目的 11
7 安全要求 13
7.1 扩展组件定义 13
7.2 安全功能要求 14
7.3 安全保障要求 26
8 基本原理 39
8.1 安全目的基本原理 39
8.2 安全要求基本原理 47
8.3 组件依赖关系 54
附录A(资料性附录) 关于标准修订和使用说明 57
参考文献 60
前言
本标准按照GB/T 1.1-2009给出的规则起草。
本标准代替GB/T 20273-2006《信息安全技术 数据库管理系统安全技术要求》,与GB/T 20273-
2006相比主要技术变化如下:
---修改了“术语和定义”,增加了“缩略语”中的内容(见3.1和3.2,2006年版的3.1);
---增加了安全问题定义、安全目的、扩展组件定义、基本原理(见第5章、第6章、第7章、第8章);
---修改了评估对象描述(见第4章,2006年版的第4章);
---删除了“安全审计”安全功能中提供“潜在侵害分析”“基于异常检测”和“简单攻击探测”的要求
(见2006年版的第5章);
---删除了“SSODB自身安全保护”安全功能中提供“SSF物理安全保护”的要求(见2006年版的
第5章);
---删除了“SSF运行安全保护”安全功能中关于与“不可旁路性”“域分离”和“可信恢复”相关的要
求(见2006年版的第5章);
---删除了安全功能中提供“推理控制”的要求(见2006年版的第5章);
---增加了附录A关于标准修订和使用说明。
请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。
本标准由全国信息安全标准化技术委员会(SAC/TC260)提出并归口。
本标准起草单位:中国信息安全测评中心、清华大学、北京江南天安科技有限公司、公安部第三研究
所、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。
本标准主要起草人:张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、赵玉洁、
吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。
本标准所代替标准的历次版本发布情况为:
---GB/T 20273-2006。
信息安全技术
数据库管理系统安全技术要求
1 范围
本标准规定了数据库管理系统评估对象描述,不同评估保障级的数据库管理系统安全问题定义、安
全目的和安全要求,安全问题定义与安全目的、安全目的与安全要求之间的基本原理。
本标准适用于数据库管理系统的测试、评估和采购,也可用于指导数据库管理系统的研发。
注:本标准规定的EAL2、EAL3、EAL4级的安全要求既适用于基于GB/T 18336.1-2015、GB/T 18336.2-2015和
GB/T 18336.3-2015的数据库管理系统安全性测评,同样适用于基于GB 17859-1999的数据库第二级系统审
计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评,相关对应关系参见附录A的A.1。
2 规范性引用文件
下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件,仅注日期的版本适用于本文
件。凡是不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。
GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般
模型
GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分:安全功能组件
GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分:安全保障组件
GB/T 25069-2010 信息安全技术 术语
GB/T 28821-2012 关系数据管理系统技术要求
3 术语、定义和缩略语
3.1 术语和定义
GB/T 25069-2010、GB/T 18336.1-2015和 GB/T 28821-2012界定的术语和定义适用于本
文件。
3.2 缩略语
下列缩略语适用于本文件。
ACID:原子性、隔离性、一致性和持久性
PP:保护轮廓(ProtectionProfile)
TOE:评估对象(TargetOfEvaluation)
TSP:TOE安全策略(TOESecurityPolicy)
4 评估对象描述
4.1 评估对象概述
本标准评估对象(TOE)是指数据库管理系统(DBMS)所包含的管理软件及其管理的数据库对象。
DBMS所包含的管理软件应提供数据库语言对数据库对象进行定义、操作和管理;提供数据库控
制语言,通过数据模型语义约束条件维护DBMS运行的数据完整性;提供数据库备份、还原与恢复机
制,保证DBMS运行中出现故障时的数据库可用性。关系数据库管理系统(RDBMS)应提供事务管理
机制,保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性(ACID)。
DBMS主要包括以下组成部分:
a) 数据库:存放用户数据和TOE安全功能(TSF)数据的数据文件、存放数据库事务处理过程的
日志文件、维护DBMS运行完整性控制文件等物理文件组成。存储的数据库对象包括模式对
象、非模式对象、数据库字典对象等。
b) 数据库实例:包括查询引擎、事务管理器、数据存储管理器等部件。实现对数据库对象的定义、
管理、查询、更新、控制等基本功能。
c) 数据库语言及其访问接口:提供结构化查询语言(SQL)、开放数据库连接(ODBC)、JAVA数
据库连接(JDBC)等数据库语言和数据库开发接口规范,允许授权用户通过数据库开发接口定
义数据库结构、访问和修改数据库对象数据、展现DBMS运行相关配置参数,以及对用户数据
和DBMS运行相关数据执行各种维护操作。
d) DBMS运行维护辅助工具:提供数据库实例的启动与关闭,数据库或数据文件的联机、脱机、打
开与关闭,数据库检查点控制,数据库日志归档、外部数据导入等DBMS运行维护辅助工具或
接口。
4.2 评估对象安全特性
DBMS提供通过多种安全控制措施保证其管理数据资产安全。TOE安全特性可由DBMS本身直
接提供,也可通过DBMS运行的信息技术(IT)环境间接支持。
DBMS安全特性主要包括:
a) 用户认证:用户标识只有通过身份鉴别后才能通过TOE的访问控制引擎控制授权用户对数
据库对象的访问和操作。
b) 用户授权:每个授权用户有一组数据库安全域特性,可决定用户下列安全域特性内容:可用特
权和授权角色、可用存储空间(如表空间)限额、可用系统资源(如共享缓存、数据读写容量、处
理器使用)限制等安全属性。
c) 角色管理:提供安全管理员、安全审计员、数据库管理员等缺省的数据库角色。授权管理员也
可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式、设置数据库审计策略等数
据库安全管理功能。
d) 访问控制:在确认授权用户与授权管理员身份以及他们安全域特性基础上,TSF实施授权用
户与授权管理员的授权策略,控制主体访问客体活动。例如:自主访问控制、基于角色的访问
控制、基于标签的访问控制等。
e) 安全审计:提供与TSF相关的数据库操作是否被记录到数据库审计文件的机制。审计踪迹记
录可以存储在DBMS审计表或外部IT环境的系统文件中。TSF应提供审计记录的安全
保护。
f) 备份恢复:DBMS运行出现故障后,利用TSF数据库备份与恢复机制实现对备份数据的还原,
在数据库还原的基础上利用数据库日志进行数据库恢复,重新建立一个完整的数据库。
g) 数据加密:提供对数据库中的数据进行加密存储、传输或处理,以及密钥管理服务接口功能,从
而保证用户数据的保密性。
h) 资源限制:防止授权用户无控制地使用主机处理器(CPU)、共享缓存、数据库存储介质等数据
库服务器资源,限制每个授权用户/授权管理员的并行会话数等功能。
注:DBMS软件及其管理数据资产的安全性不是孤立的。在生产环境下,操作系统、网络系统与硬件等DBMS运行
IT环境和DBMS一起共同构筑起TOE的安全体系。安全目标(ST)作者在描述TOE时明确说明和标识评估
DBMS的体系结构与这些IT环境各个组件之间的相互关系。
4.3 评估对象部署方式说明
DBMS的任何内部和外部实体若要获取TOE管理的数据资产,应首先满足与TOE及运行环境相
应的安全策略。TOE运行环境对象可能包括多个安全控制组件,涉及设备物理安全、环境物理安全、系
统物理安全、人员安全管理等多种安全策略。这些运行环境安全策略使DBMS软件及其管理的数据库
免受DBMS运行环境中的安全威胁。
本标准可用来评估多种部署结构的DBMS安全性,包括但不限于下列体系结构:
a) 集中式体系结构:DBMS软件和数据库应用程序都安装运行在一个主机上,用户只能通过应用
终端发出存取数据库访问请求或管理命令,由通信线路传输给主机,主机上的数据库实例响应
并处理后,再将处理结果通过通信线路返回给用户终端。
b) 客户/服务器体系结构:客户端数据库应用和服务器端数据库实例通过网络连接进行通信,客
户端发送数据库访问请求或管理命令,展示数据库实例返回的数据,服务器端安全地执行用户
数据库访问请求或管理命令。前端应用可以是基于浏览器实现,通过远程 Web服务器或应用
服务器实现与数据库服务器的连接,由远程服务器负责与数据库服务器交互。
c) 分布式数据库体系结构:数据节点分别保存在多个物理上相互独立的站点数据库服务器上,这
些站点之间的数据库服务器通过网络连接,协同提供分布式数据库数据访问服务。用户可以
对本地服务器中的数据节点执行某些数据库访问请求或管理命令(局部应用),也可以对其他
站点上的数据节点执行某些数据库访问请求或管理命令(全局应用或分布应用)。
注:本标准定义了一个必要的数据库管理员角色(授权管理员),并允许ST作者定义更多的授权管理员角色。当然
对某些DBMS,提供的管理角色数量和角色责任的能力,以及这些角色的分配能力在TOE实现中都预先存在。
TSF提供这些系统权限或角色建立、分配、撤销等授权管理功能。
5 安全问题定义
5.1 数据资产
DBMS需要保护的数据资产包括:
a) TSF数据:存储在TOE中数据库字典数据,面向数据库应用的数据库对象定义数据、DBMS
运行统计数据、数据库逻辑存储与物理存储管理数据等。
b) 用户数据:存储在TOE中的非TSF数据的数据,一般指与用户数据库应用相关的、存储在数
据库中的各种数据库对象数据,如表数据、索引数据、物化视图数据、语义约束条件、业务过程
等来自用户数据库应用程序的数据。
c) 安全运行数据:TOE中的事务日志数据、安全审计数据等,包括存储在 DBMS外部,但由
DBMS维护的数据库实例、数据库配置等控制TOE安全运行相关参数配置数据。
5.2 威胁
5.2.1 概述
TOE面临过度或合法的特权滥用、软件漏洞被利用和潜在应用安全攻击(如SQL注入、拒绝服务、
特权提升等)等安全威胁。表1给出了DBMS评估保障级(EAL)2、3和4面临的不同威胁。
表1 评估对象威胁
序号 威胁
评估保障级
EAL2 EAL3 EAL4
T.1 管理员误操作T.MISO PERATION_ADMIN √ √ √
T.2 审计机制失效T.AUDIT_FAILURE √ √ √
T.3 密码攻击T.CRYPTO_COMPROMISE - √ √
T.4 数据传输窃听T.EAVESDROP - √ √
T.5 设计缺陷T.FLAWED_DESIGN - √ √
T.6 实现缺陷T.FLAWED_IMPLEMENTATION - √ √
T.7 标签数据失控T.LBAC - - √
T.8 假冒授权用户T.MASQUERADE √ √ √
T.9 测试缺陷T.POOR_TEST √ √ √
T.10 残余信息利用T.RESIDUAL_DATA - √ √
T.11 安全功能失效T.TSF_COMPROMISE - √ √
T.12 非授权访问T.UNAUTHORIZED_ACCESS √ √ √
T.13 服务失效T.UNAVAILABILITY √ √ √
T.14 未标识动作T.UNIDENTIFIED_ACTIONS - √ √
注:√ 代表在该评估保障级下DBMS面临的威胁。
- 代表在该评估保障级下无需考虑的威胁。
5.2.2 管理员误操作(T.MISO PERATION_ADMIN)
管理员误操作主要有两种:一是授权管理员可能错误地安装或配置数据库实例组件或错误地设置
数据库实例运行参数或数据库安全属性所造成TSF安全控制机制的失效;二是授权管理员恶意修改、
删除TSF数据或安全运行数据导致TSF安全控制机制的失效。
5.2.3 审计机制失效(T.AUDIT_FAILURE)
恶意用户或进程可能修改安全审计策略,使数据库审计功能停用或失效、审计记录丢失或被篡改,
也有可能通过审计数据存储失效来阻止未来审计记录被存储,从而掩盖用户的数据库操作。
5.2.4 密码攻击(T.CRYPTO_COMPROMISE)
恶意用户或进程可能导致与数据库存储和通信加密功能相关的密钥、数据或密文服务组件可执行
代码被不适当地浏览、修改或删除,从而破坏数据库加密机制和泄露加密机制所保护的数据。
5.2.5 数据传输窃听(T.EAVESDROP)
恶意用户或进程可能观察或修改TOE物理分离部件之间传递的用户数据或TSF数据(包括客户
端和服务器之间用户请求及其响应、分布式数据库不同节点间传输数据等)。
5.2.6 设计缺陷(T.FLAWED_DESIGN)
TOE需求规范或设计中的无意逻辑错误可能产生设计弱点或缺陷,恶意用户可能利用这些缺陷对
TOE进行安全攻击。
5.2.7 实现缺陷(T.FLAWED_IMPLEMENTATION)
在TOE开发过程中的无意错误可能造成TOE实现弱点或缺陷,恶意用户可能利用这些未知漏洞
对TOE进行攻击。
5.2.8 标签数据失控(T.LBAC)
恶意用户或进程可能非法浏览、修改或删除TOE的标签策略数据、受控主体分类标签数据与受控
客体绑定标签数据。授权管理员非法访问基于标签管理的受控主体的数据资产。
5.2.9 假冒授权用户(T.MASQUERADE)
恶意用户或进程假冒授权管理员或授权用户访问数据库字典、系统安全配置参数、或DBMS保护
的数据资产。
5.2.10 测试缺陷(T.POOR_TEST)
开发或测试人员对TOE(包括数据库安全选件及其支撑环境)的测试不充分,导致TOE弱点(逻辑
错误)未被发现,恶意用户可能利用这些未知漏洞对TOE进行攻击。
5.2.11 残余信息利用(T.RESIDUAL_DATA)
恶意用户或进程可能利用数据库实例共享缓存或磁盘上残留信息的处理缺陷,在数据库实例执行
过程中对未删除的残留信息进行利用,以获取敏感信息或滥用TOE的安全功能。
5.2.12 安全功能失效(T.TSF_COMPROMISE)
恶意用户或进程通过安全攻击非法地浏览、修改或删除TSF数据或可执行代码。这可能让恶意用
户或进程获得数据库实例和数据库的配置信息,或可能导致数据库实例的安全功能对于数据资产保护
的安全机制不再正常工作。
5.2.13 未授权访问(T.UNAUTHORIZED_ACCESS)
恶意用户或进程可能未经授权地访问TOE和利用系统特权提升等方法来访问TOE的安全功能
和数据,不适当地更改数据库实例和数据库配置数据及其安全功能机制。
5.2.14 服务失效(T.UNAVAILABILITY)
恶意用户或进程可能通过数据库服务器资源(CPU、RAM)的拒绝服务攻击来阻止其他用户获得
TOE管理的数据资源,数据库实例核心功能/组件的故障可能会导致用户不能访问数据库,或TOE可
能由合法授权用户的高并发服务请求,预防或延缓TSF被其他授权用户访问。
5.2.15 未标识动作(T.UNIDENTIFIED_ACTIONS)
存在授权管理员不能标识的TOE中可能发生的数据库用户的非授权操作,包括提供采取必要行
动以应对这些潜在未被授权访问操作的安全问责管理。
5.3 组织安全策略
5.3.1 概述
组织安全策略需要由DBMS或其IT运行环境或由两者一起实施。表2给出了DBMS评估保障级
(EAL)2、3和4的组织安全策略。
表2 评估对象组织安全策略
序号 组织安全策略
评估保障级
EAL2 EAL3 EAL4
P.1 责任与义务P.ACCOUNTABILITY √ √ √
P.2 密码策略P.CRYPTOGRAPHY - √ √
P.3 标签策略P.LABEL - √
P.4 角色分离策略P.ROLES √ √ √
P.5 系统完整性P.SYSTEM_INTEGRITY - √ √
P.6 脆弱性分析与测试P.VULNERABILITY_ANALYSIS_TEST - - √
注:√ 代表在该评估保障级下包括的组织安全策略。
- 代表在该评估保障级下未包括的组织安全策略。
5.3.2 责任与义务(P.ACCOUNTABILITY)
组织应制定TOE的授权用户和授权管理员在应对DBMS中的数据库操作行为负责的程序与
规范。
5.3.3 密码策略(P.CRYPTOGRAPHY)
组织应为TOE自身的应用提供数据加密存储和通信的密码策略,包括加密/解密和数字签名操作
规范(ST作者提供的密码策略需符合国家、行业要求的......
|