1 范围

      本标准依据GB/T 20273-2019规定了数据库管理系统安全评估总则、评估内容和评估方法。

      本标准适用于数据库管理系统的测试和评估，也可用于指导数据库管理系统的研发。

      注：本标准规定的EAL2级、EAL3级、EAL4级的评估内容和评估方法既适用于基于GB/T 18336-2015所有部分的数据库管理系统安全性测评，同样适用于基于GB17859-1999的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库管理系统安全性测评，相关对应关系参见附录A中A.1。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）适用于本文件。

      GB/T 18336.1～18336.3-2015 信息技术 安全技术 信息技术安全评估准则

      GB/T 20273-2019 信息安全技术 数据库管理系统安全技术要求

      GB/T 25069-2010 信息安全技术 术语

      GB/T 30270-2013 信息技术 安全技术 信息技术安全性评估方法

3 术语和定义、缩略语

3.1 术语和定义

      GB/T 25069-2010、GB/T 30270-2013和GB/T 20273-2019界定的术语和定义适用于本文件。

3.2 缩略语

      下列缩略语适用于本文件。

      CC：通用准则（Common Criteria）

      CEM：通用准则评估方法（Common Criteria Evaluation Methodology）

      CM：配置管理（Configuration Management）

      DBMS：数据库管理系统（DataBase Management System）

      EAL：评估保障级（Evaluation Assurance Level）

      ETR：评估技术报告（Evaluation Technical Report）

      LBAC：基于标签的访问控制（Label Based Access Control）

      OR：观察报告（Observation Report）

      PP：保护轮廓（Protection Profile）

      SFP：安全功能策略（Security Function Policy）

      SQL：结构化查询语言（Structured Query Language）

      ST：安全目标（Security Target）

      TOE：评估对象（Target Of Evaluation）

      TSC：TSF控制范围（TSF Scope of Control）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

      TSS：TOE概要规范（TOE Summary Specification）

4 评估总则

4.1 概述

      本标准依据GB/T 30270-2013给出了GB/T 20273-2019定义的数据库管理系统（DBMS）评估对象（TOE）安全功能组件和安全保障组件的评估内容和评估方法。

4.2 评估要求

      在对数据库管理系统进行安全评估时，首先依照GB/T 30270-2013的安全目标评估方法完成对DBMS ST的评估，在此基础上对DBMS的安全功能和安全保障进行评估：

      a）安全功能评估目标是保证GB/T 20273-2019定义的安全功能组件设计与实现的完整性和正确性，一般通过对DBMS发起者提供的评估证据分析和TOE安全功能（TSF）独立性测试，确保DBMS安全功能满足其安全目标声称的功能要求。独立性测试应依据数据库产品厂商提供的一系列评估证据（如分析、设计与测试文档）和TOE安全策略（TSP），由评估者按照ST中的TSS对DBMS开发者提供的评估对象证据材料进行分析，并按照评估保障级的不同对DBMS安全功能组件进行抽样测试，或评估者自己设计相应的测试用例，独立地完成DBMS安全功能组件的功能测试，验证TSF的实现符合数据库管理系统概要规范。

      b）安全保障评估目标是发现DBMS在设计与实现中的缺陷或脆弱性，以便在评估过程中要求开发者纠正评估对象相应的错误，从而减少DBMS在发布后运行过程中安全功能失效发生的可能性。因此安全性评估要求测试人员在模拟真实应用环境下，测试DBMS是否能抵御各种安全攻击，以确定该评估对象是否存在潜在的安全弱点或安全漏洞。穿透性测试技术是消除DBMS在设计或实现中的缺陷或脆弱性的有效方法。测试人员需依照数据库产品的通信协议、结构化查询语言、数据库开发接口、存储过程/函数等安全攻击面评估证据资料，通过模糊测试等穿透性测试技术对安全功能组件实现机制的可信性进行测试以确保安全功能组件的设计、实现和测试不存在未知的弱点/缺陷。

4.3 评估环境

      在不同的网络环境和服务器环境支持下，通用数据库产品提供多种安全策略和安全控制机制的解决方案，以满足评估对象消费者的安全要求。数据库管理系统的测试环境分为3类：非集群数据库服务测试环境和集群数据库服务测试环境，集群测试环境又细分为共享存储的集群测试环境和非共享存储的集群测试环境。

      应根据GB/T 30270-2013安全评估基本原则、过程和规程的体系选择某个测试环境，对数据库产品安全功能和安全保障进行评估。数据库管理系统安全组件的每个评估活动都包含两个通用的评估任务：

      a）评估证据输入评估：评估发起者应向安全评估机构提供DBMS安全评估所有必需的评估材料：评估发起者应按照GB/T 30270-2013准备或开发TOE相关的评估证据，评估者应对这些输入要求进行评估。

      b）评估结果输出评估：安全评估机构的输出任务评估的目的是评估输出的观察报告和评估技术

报告应满足评估结果的可重复性和可再现性原则，并应保持各种报告信息类型和数量的一致性。

4.4 评估流程

      根据GB/T 30270-2013的安全评估过程包括评估准备、评估实施、评估结果等阶段，具体如下：

      a）评估准备阶段：评估发起者应按照GB/T 30270-2013给评估者提供安全目标，评估者分析其可行性。评估者可能会需要发起者提供其他评估相关的辅助信息。评估发起者或者ST开发者会给评估者提供一部分待评估物。评估者审查安全目标，然后告知发起者对某些内容进行必要的补充完善，以方便未来评估过程的实施。当评估者认为评估发起者对评估所需要的资料都准备齐全了，则评估过程进入下一阶段。

      b）评估实施阶段：评估者生成包括待评估产品列表，评估活动，以及基于GB/T 30270-2013评估方法的抽样要求等文档的可行性研究报告。发起者和评估者在评估准备阶段签署一项协议，该协议包含评估的基本框架，同时要考虑到评估体制的局限性以及国家法律和法规的任何要求。协议签订后，评估者即可进入评估实施阶段。在此阶段包含的主要活动内容有：

      1）评估者检查发起者或者开发者应交付的评估物，然后按照GB/T 30270-2013进行必要的评估活动。

      2）在评估阶段，评估者可能会撰写观察报告。该报告里，评估者会向监管者（评审机构）询问如何满足其监管的要求。

      3）监管者对评估者的解释请求进行回应，然后允许进行下一步评估。

      4）监管者同样可能确认和指出一些潜在的缺陷或者威胁，然后要求发起者或者开发者提供额外的信息资料。

      c）评估最终结果阶段：评估者根据文档审核、测试情况、现场检查结果，对TOE进行综合评判，并撰写评估技术报告。

5 评估内容

5.1 安全功能评估

5.1.1 概述

      在安全功能组件评估内容描述中，方括号【】中的黑体字内容表示已经完成的操作，黑斜体字内容表示还需在安全目标中由ST作者确定赋值及选择项。

5.1.2 安全审计（FAU类）

5.1.2.1 审计数据产生（FAU＿GEN.1）

      审计数据产生组件应按照安全目标设定的数据库标准审计和细粒度审计策略自动产生相应的审计事件记录信息。该组件安全评估内容如下：

      a）应测试评估对象提供的不同级别审计策略能产生下述可审计事件记录：

      1）数据库审计功能的启动和关闭；

      2）数据库实例及其组件服务的启动和关闭；

      3）数据库实例配置参数非缺省值修改事件；

      4）数据库对象结构修改事件；

      5）GB/T 20273-2019列出的数据库审计级别【最小】的可审计事件；

      6）其他面向数据库安全审计员的，可绕过访问控制策略的特殊定义【赋值：ST作者定义的审计事件】的可审计事件；

      7）未指定审计级别【赋值：数据库对象数据操作级别的细粒度审计的事件】的所有可审计事件。

      b）应检查审计记录中至少包含如下信息：

      1）事件类型、事件发生日期和时间、主体关联身份/组/角色、涉及的数据库对象、产生审计事件的主机信息、事件操作结果（成功或失败）；

      2）应根据评估对象【赋值：ST作者指定的审计事件】和规定的格式【赋值：数据类型与格式】来生成审计数据；

      3）对于每个审计事件类型，基于GB/T20273-2019中包括的安全功能组件的可审计事件定义。

      c）应检查数据库管理系统的审计数据产生策略配置管理API或工具，确认审计数据产生机制与功能有效性。

5.1.2.2 用户身份关联（FAU＿GEN.2）

      用户身份关联组件应将审计事件与主体身份相联系，满足可审计事件追溯到单个数据库用户身份上的要求。该组件安全评估内容如下：

      a）审计记录中应能查看到每个审计事件是否与引发审计事件的用户身份关联信息；

      b）审计记录中应能查看到每个审计事件是否与引发审计事件的【赋值：ST作者指定的用户身份鉴别方式】相关联的数据库会话信息；

      c）应检查提供将审计记录中用户身份与用户所属组/角色身份关联查看辅助视图或管理API/工具，确认能看到用户身份关联信息。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 20009-2019 信息安全技术 数据库管理系统安全评估准则》