1 范围

      本标准规定了数据库管理系统评估对象描述，不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求，安全问题定义与安全目的、安全目的与安全要求之间的基本原理。

      本标准适用于数据库管理系统的测试、评估和采购，也可用于指导数据库管理系统的研发。

      注：本标准规定的EAL2、EAL3、EAL4级的安全要求既适用于基于GB/T 18336.1-2015、GB/T 18336.2-2015和GB/T 18336.3-2015的数据库管理系统安全性测评，同样适用于基于GB17859-1999的数据库第二级系统审计保护级、第三级安全标记保护级、第四级结构化保护级的数据库安全性测评，相关对应关系参见附录A的A．1。

2 规范性引用文件

      下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

      GB/T 18336.1-2015 信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型

      GB/T 18336.2-2015 信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能组件

      GB/T 18336.3-2015 信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件

      GB/T 25069-2010 信息安全技术 术语

      GB/T 28821-2012 关系数据管理系统技术要求

3 术语、定义和缩略语

3.1 术语和定义

      GB/T 25069-2010、GB/T 18336.1-2015 和 GB/T 28821-2012界定的术语和定义适用于本文件。

3.2 缩略语

      下列缩略语适用于本文件。

      ACID：原子性、隔离性、一致性和持久性

      CM：配置管理（Configuration Management）

      DBMS：数据库管理系统（DataBase Management System）

      EAL：评估保障级（Evaluation Assurance Level）

      IT：信息技术（Information Technology）

      JDBC：JAVA数据库连接（Java DataBase Connectivity）

      LBAC：基于标签的访问控制（Label Based Access Control）

      ODBC：开放数据库连接（Open DataBase Connectivity）

      PP：保护轮廓（Protection Profile）

      RDBMS：关系数据库管理系统（Relational DataBase Management System）

      SFP：安全功能策略（Security Function Policy）

      SFR：安全功能要求（Security Functional Requirements）

      SQL：结构化查询语言（Structured Query Language）

      ST：安全目标（Security Target）

      TOE：评估对象（Target Of Evaluation）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

4 评估对象描述

4.1 评估对象概述

      本标准评估对象（TOE）是指数据库管理系统（DBMS）所包含的管理软件及其管理的数据库对象。

      DBMS所包含的管理软件应提供数据库语言对数据库对象进行定义、操作和管理；提供数据库控制语言，通过数据模型语义约束条件维护DBMS运行的数据完整性；提供数据库备份、还原与恢复机制，保证DBMS运行中出现故障时的数据库可用性。关系数据库管理系统（RDBMS）应提供事务管理机制，保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性（ACID）。

      DBMS主要包括以下组成部分：

      a）数据库：存放用户数据和TOE安全功能（TSF）数据的数据文件、存放数据库事务处理过程的日志文件、维护DBMS运行完整性控制文件等物理文件组成。存储的数据库对象包括模式对象、非模式对象、数据库字典对象等。

      b）数据库实例：包括查询引擎、事务管理器、数据存储管理器等部件。实现对数据库对象的定义、管理、查询、更新、控制等基本功能。

      c）数据库语言及其访问接口：提供结构化查询语言（SQL）、开放数据库连接（ODBC）、JAVA数据库连接（JDBC）等数据库语言和数据库开发接口规范，允许授权用户通过数据库开发接口定义数据库结构、访问和修改数据库对象数据、展现DBMS运行相关配置参数，以及对用户数据和DBMS运行相关数据执行各种维护操作。

      d）DBMS运行维护辅助工具：提供数据库实例的启动与关闭，数据库或数据文件的联机、脱机、打开与关闭，数据库检查点控制，数据库日志归档、外部数据导入等DBMS运行维护辅助工具或接口

4.2 评估对象安全特性

      DBMS提供通过多种安全控制措施保证其管理数据资产安全。TOE安全特性可由DBMS本身直接提供，也可通过DBMS运行的信息技术（IT）环境间接支持。

      DBMS安全特性主要包括：

      a）用户认证：用户标识只有通过身份鉴别后才能通过TOE的访问控制引擎控制授权用户对数据库对象的访问和操作。

      b）用户授权：每个授权用户有一组数据库安全域特性，可决定用户下列安全域特性内容：可用特权和授权角色、可用存储空间（如表空间）限额、可用系统资源（如共享缓存、数据读写容量、处理器使用）限制等安全属性。

      c）角色管理：提供安全管理员、安全审计员、数据库管理员等缺省的数据库角色。授权管理员也可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式、设置数据库审计策略等数

据库安全管理功能。

      d）访问控制：在确认授权用户与授权管理员身份以及他们安全域特性基础上，TSF实施授权用户与授权管理员的授权策略，控制主体访问客体活动。例如：自主访问控制、基于角色的访问控制、基于标签的访问控制等。

      e）安全审计：提供与TSF相关的数据库操作是否被记录到数据库审计文件的机制。审计踪迹记录可以存储在DBMS审计表或外部IT环境的系统文件中。TSF应提供审计记录的安全保护。

      f) 备份恢复：DBMS运行出现故障后，利用TSF数据库备份与恢复机制实现对备份数据的还原，在数据库还原的基础上利用数据库日志进行数据库恢复，重新建立一个完整的数据库。

      g）数据加密：提供对数据库中的数据进行加密存储、传输或处理，以及密钥管理服务接口功能，从而保证用户数据的保密性。

      h）资源限制：防止授权用户无控制地使用主机处理器（CPU）、共享缓存、数据库存储介质等数据库服务器资源，限制每个授权用户/授权管理员的并行会话数等功能。

      注：DBMS软件及其管理数据资产的安全性不是孤立的。在生产环境下，操作系统、网络系统与硬件等DBMS运行IT环境和DBMS一起共同构筑起TOE的安全体系。安全目标（ST）作者在描述TOE时明确说明和标识评估DBMS的体系结构与这些IT环境各个组件之间的相互关系。

4.3 评估对象部署方式说明

      DBMS的任何内部和外部实体若要获取TOE管理的数据资产，应首先满足与TOE及运行环境相应的安全策略。TOE运行环境对象可能包括多个安全控制组件，涉及设备物理安全、环境物理安全、系统物理安全、人员安全管理等多种安全策略。这些运行环境安全策略使DBMS软件及其管理的数据库免受DBMS运行环境中的安全威胁。

      本标准可用来评估多种部署结构的DBMS安全性，包括但不限于下列体系结构：

      a）集中式体系结构：DBMS软件和数据库应用程序都安装运行在一个主机上，用户只能通过应用终端发出存取数据库访问请求或管理命令，由通信线路传输给主机，主机上的数据库实例响应并处理后，再将处理结果通过通信线路返回给用户终端。

      b）客户/服务器体系结构：客户端数据库应用和服务器端数据库实例通过网络连接进行通信，客户端发送数据库访问请求或管理命令，展示数据库实例返回的数据，服务器端安全地执行用户数据库访问请求或管理命令。前端应用可以是基于浏览器实现，通过远程Web服务器或应用服务器实现与数据库服务器的连接，由远程服务器负责与数据库服务器交互。

      c）分布式数据库体系结构：数据节点分别保存在多个物理上相互独立的站点数据库服务器上，这些站点之间的数据库服务器通过网络连接，协同提供分布式数据库数据访问服务。用户可以对本地服务器中的数据节点执行某些数据库访问请求或管理命令（局部应用），也可以对其他站点上的数据节点执行某些数据库访问请求或管理命令（全局应用或分布应用）。

      注：本标准定义了一个必要的数据库管理员角色（授权管理员），并允许ST作者定义更多的授权管理员角色。当然对某些DBMS，提供的管理角色数量和角色责任的能力，以及这些角色的分配能力在TOE实现中都预先存在。TSF提供这些系统权限或角色建立、分配、撤销等授权管理功能。

5 安全问题定义

5.1 数据资产

      DBMS需要保护的数据资产包括：

      a） TSF数据：存储在TOE中数据库字典数据，面向数据库应用的数据库对象定义数据、DBMS运行统计数据、数据库逻辑存储与物理存储管理数据等。

      b）用户数据：存储在TOE中的非TSF数据的数据，一般指与用户数据库应用相关的、存储在数据库中的各种数据库对象数据，如表数据、索引数据、物化视图数据、语义约束条件、业务过程等来自用户数据库应用程序的数据。

      c）安全运行数据：TOE中的事务日志数据、安全审计数据等，包括存储在DBMS外部，但由DBMS维护的数据库实例、数据库配置等控制TOE安全运行相关参数配置数据。

以上为标准部分内容，也可点击下方链接下载标准原文：

下载地址：《GB/T 20273-2019 信息安全技术 数据库管理系统安全技术要求》