1 范圍

      本標準依據GB/T 20273-2019規定了數據庫管理系統安全評估總則、評估內容和評估方法。

      本標準適用于數據庫管理系統的測試和評估，也可用于指導數據庫管理系統的研發。

      注：本標準規定的EAL2級、EAL3級、EAL4級的評估內容和評估方法既適用于基于GB/T 18336-2015所有部分的數據庫管理系統安全性測評，同樣適用于基于GB17859-1999的數據庫第二級系統審計保護級、第三級安全標記保護級、第四級結構化保護級的數據庫管理系統安全性測評，相關對應關系參見附錄A中A.1。

2 規范性引用文件

      下列文件對于本文件的應用是必不可少的。凡是注日期的引用文件，僅注日期的版本適用于本文件。凡是不注日期的引用文件，其最新版本（包括所有的修改版）適用于本文件。

      GB/T 18336.1～18336.3-2015 信息技術 安全技術 信息技術安全評估準則

      GB/T 20273-2019 信息安全技術 數據庫管理系統安全技術要求

      GB/T 25069-2010 信息安全技術 術語

      GB/T 30270-2013 信息技術 安全技術 信息技術安全性評估方法

3 術語和定義、縮略語

3.1 術語和定義

      GB/T 25069-2010、GB/T 30270-2013和GB/T 20273-2019界定的術語和定義適用于本文件。

3.2 縮略語

      下列縮略語適用于本文件。

      CC：通用準則（Common Criteria）

      CEM：通用準則評估方法（Common Criteria Evaluation Methodology）

      CM：配置管理（Configuration Management）

      DBMS：數據庫管理系統（DataBase Management System）

      EAL：評估保障級（Evaluation Assurance Level）

      ETR：評估技術報告（Evaluation Technical Report）

      LBAC：基于標簽的訪問控制（Label Based Access Control）

      OR：觀察報告（Observation Report）

      PP：保護輪廓（Protection Profile）

      SFP：安全功能策略（Security Function Policy）

      SQL：結構化查詢語言（Structured Query Language）

      ST：安全目標（Security Target）

      TOE：評估對象（Target Of Evaluation）

      TSC：TSF控制范圍（TSF Scope of Control）

      TSF：TOE安全功能（TOE Security Functionality）

      TSFI：TSF接口（TSF Interface）

      TSP：TOE安全策略（TOE Security Policy）

      TSS：TOE概要規范（TOE Summary Specification）

4 評估總則

4.1 概述

      本標準依據GB/T 30270-2013給出了GB/T 20273-2019定義的數據庫管理系統（DBMS）評估對象（TOE）安全功能組件和安全保障組件的評估內容和評估方法。

4.2 評估要求

      在對數據庫管理系統進行安全評估時，首先依照GB/T 30270-2013的安全目標評估方法完成對DBMS ST的評估，在此基礎上對DBMS的安全功能和安全保障進行評估：

      a）安全功能評估目標是保證GB/T 20273-2019定義的安全功能組件設計與實現的完整性和正確性，一般通過對DBMS發起者提供的評估證據分析和TOE安全功能（TSF）獨立性測試，確保DBMS安全功能滿足其安全目標聲稱的功能要求。獨立性測試應依據數據庫產品廠商提供的一系列評估證據（如分析、設計與測試文檔）和TOE安全策略（TSP），由評估者按照ST中的TSS對DBMS開發者提供的評估對象證據材料進行分析，并按照評估保障級的不同對DBMS安全功能組件進行抽樣測試，或評估者自己設計相應的測試用例，獨立地完成DBMS安全功能組件的功能測試，驗證TSF的實現符合數據庫管理系統概要規范。

      b）安全保障評估目標是發現DBMS在設計與實現中的缺陷或脆弱性，以便在評估過程中要求開發者糾正評估對象相應的錯誤，從而減少DBMS在發布后運行過程中安全功能失效發生的可能性。因此安全性評估要求測試人員在模擬真實應用環境下，測試DBMS是否能抵御各種安全攻擊，以確定該評估對象是否存在潛在的安全弱點或安全漏洞。穿透性測試技術是消除DBMS在設計或實現中的缺陷或脆弱性的有效方法。測試人員需依照數據庫產品的通信協議、結構化查詢語言、數據庫開發接口、存儲過程/函數等安全攻擊面評估證據資料，通過模糊測試等穿透性測試技術對安全功能組件實現機制的可信性進行測試以確保安全功能組件的設計、實現和測試不存在未知的弱點/缺陷。

4.3 評估環境

      在不同的網絡環境和服務器環境支持下，通用數據庫產品提供多種安全策略和安全控制機制的解決方案，以滿足評估對象消費者的安全要求。數據庫管理系統的測試環境分為3類：非集群數據庫服務測試環境和集群數據庫服務測試環境，集群測試環境又細分為共享存儲的集群測試環境和非共享存儲的集群測試環境。

      應根據GB/T 30270-2013安全評估基本原則、過程和規程的體系選擇某個測試環境，對數據庫產品安全功能和安全保障進行評估。數據庫管理系統安全組件的每個評估活動都包含兩個通用的評估任務：

      a）評估證據輸入評估：評估發起者應向安全評估機構提供DBMS安全評估所有必需的評估材料：評估發起者應按照GB/T 30270-2013準備或開發TOE相關的評估證據，評估者應對這些輸入要求進行評估。

      b）評估結果輸出評估：安全評估機構的輸出任務評估的目的是評估輸出的觀察報告和評估技術

報告應滿足評估結果的可重復性和可再現性原則，并應保持各種報告信息類型和數量的一致性。

4.4 評估流程

      根據GB/T 30270-2013的安全評估過程包括評估準備、評估實施、評估結果等階段，具體如下：

      a）評估準備階段：評估發起者應按照GB/T 30270-2013給評估者提供安全目標，評估者分析其可行性。評估者可能會需要發起者提供其他評估相關的輔助信息。評估發起者或者ST開發者會給評估者提供一部分待評估物。評估者審查安全目標，然后告知發起者對某些內容進行必要的補充完善，以方便未來評估過程的實施。當評估者認為評估發起者對評估所需要的資料都準備齊全了，則評估過程進入下一階段。

      b）評估實施階段：評估者生成包括待評估產品列表，評估活動，以及基于GB/T 30270-2013評估方法的抽樣要求等文檔的可行性研究報告。發起者和評估者在評估準備階段簽署一項協議，該協議包含評估的基本框架，同時要考慮到評估體制的局限性以及國家法律和法規的任何要求。協議簽訂后，評估者即可進入評估實施階段。在此階段包含的主要活動內容有：

      1）評估者檢查發起者或者開發者應交付的評估物，然后按照GB/T 30270-2013進行必要的評估活動。

      2）在評估階段，評估者可能會撰寫觀察報告。該報告里，評估者會向監管者（評審機構）詢問如何滿足其監管的要求。

      3）監管者對評估者的解釋請求進行回應，然后允許進行下一步評估。

      4）監管者同樣可能確認和指出一些潛在的缺陷或者威脅，然后要求發起者或者開發者提供額外的信息資料。

      c）評估最終結果階段：評估者根據文檔審核、測試情況、現場檢查結果，對TOE進行綜合評判，并撰寫評估技術報告。

5 評估內容

5.1 安全功能評估

5.1.1 概述

      在安全功能組件評估內容描述中，方括號【】中的黑體字內容表示已經完成的操作，黑斜體字內容表示還需在安全目標中由ST作者確定賦值及選擇項。

5.1.2 安全審計（FAU類）

5.1.2.1 審計數據產生（FAU＿GEN.1）

      審計數據產生組件應按照安全目標設定的數據庫標準審計和細粒度審計策略自動產生相應的審計事件記錄信息。該組件安全評估內容如下：

      a）應測試評估對象提供的不同級別審計策略能產生下述可審計事件記錄：

      1）數據庫審計功能的啟動和關閉；

      2）數據庫實例及其組件服務的啟動和關閉；

      3）數據庫實例配置參數非缺省值修改事件；

      4）數據庫對象結構修改事件；

      5）GB/T 20273-2019列出的數據庫審計級別【最小】的可審計事件；

      6）其他面向數據庫安全審計員的，可繞過訪問控制策略的特殊定義【賦值：ST作者定義的審計事件】的可審計事件；

      7）未指定審計級別【賦值：數據庫對象數據操作級別的細粒度審計的事件】的所有可審計事件。

      b）應檢查審計記錄中至少包含如下信息：

      1）事件類型、事件發生日期和時間、主體關聯身份/組/角色、涉及的數據庫對象、產生審計事件的主機信息、事件操作結果（成功或失敗）；

      2）應根據評估對象【賦值：ST作者指定的審計事件】和規定的格式【賦值：數據類型與格式】來生成審計數據；

      3）對于每個審計事件類型，基于GB/T20273-2019中包括的安全功能組件的可審計事件定義。

      c）應檢查數據庫管理系統的審計數據產生策略配置管理API或工具，確認審計數據產生機制與功能有效性。

5.1.2.2 用戶身份關聯（FAU＿GEN.2）

      用戶身份關聯組件應將審計事件與主體身份相聯系，滿足可審計事件追溯到單個數據庫用戶身份上的要求。該組件安全評估內容如下：

      a）審計記錄中應能查看到每個審計事件是否與引發審計事件的用戶身份關聯信息；

      b）審計記錄中應能查看到每個審計事件是否與引發審計事件的【賦值：ST作者指定的用戶身份鑒別方式】相關聯的數據庫會話信息；

      c）應檢查提供將審計記錄中用戶身份與用戶所屬組/角色身份關聯查看輔助視圖或管理API/工具，確認能看到用戶身份關聯信息。

以上為標準部分內容，如需看標準全文，請到相關授權網站購買標準正版。