信息安全技术数据库管理系统安全技术要求

ICS

35.040L80OB中华人民共和I家标准GB/T20273—201X代替GB/T20273-2006信息安全技术数据库管理系统安全技术要求Information securitytechniques一Security requirementsfor databasemanagement systems点击此处添加与国际标准一致性程度的标识（征求意见稿）在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上发布实施201X-XX-XX201X-XX-XX中华人民共和国国家质量监督检验检疫总局国家标准化管理委员会

4.3评估对象应用环境任何内部和外部实体若要获取评估对象管理的数据资产，应首先满足与评估对象及应用环境相应的安全策略TOE运行环境对象可能包括多个安全控制组件，涉及设备物理安全、环境物理安全、系统物理安全、人员安全管理等多种安全策略这些安全策略使数据库管理系统及其管理的数据库免受环境中的安全威胁本标准可用来评估多种部署结构的数据库管理系统安全性，包括但不限于下列体系结构a）集中式体系结构数据库管理系统软件和用户应用程序都安装运行在一个主机上，用户只能通过终端发出存取数据SQL请求或管理命令，由通信线路传输给主机，主机响应并处理后，再将处理结果通过通信线路返回给用户终端b）客户/服务器体系结构客户端数据库应用和服务器端数据库管理系统实例通过网络连接进行通信，客户端发送数据库访问请求或管理命令，展示数据库管理系统返回的数据，服务器端安全地执行用户SQL请求或管理命令前端应用可以是基于浏览器实现，通过远程Web服务器或应用服务器实现与数据库服务器的连接，由远程服务器负责与数据库服务器交互c）分布式数据库体系结构数据节点分别保存在多个物理上相互独立的站点数据库服务器上，这些站点之间的数据库服务器通过网络系统连接，协同提供分布式数据库数据访问服务用户可以对本地服务器中的数据节点执行某些SQL请求或管理命令（局部应用），也可以对其他站点上的数据节点执行某些SQL请求或管理命令（全局应用或分布应用）本标准定义了一个必要的数据库管理员角色（授权管理员），并允许ST作者定义更多的授权管理员角色当然对某具体的数据库管理系统，提供的管理角色数量和角色责任的能力，以及这些角色的分配能力在TOE实现中都应预先存在TSF应提供这些系统权限或角色建立、分配、撤销等授权管理功能5安全问题定义

5.1资产需要保护的评估对象数据资产a）TSF数据存储在评估对象中数据库字典数据（主要包括用户鉴别、授权控制、授权角色、安全配置、安全审计、管理密钥等安全元数据），面向应用的数据库对象定义数据（模式对象数据）、数据库对象的运行统计数据、数据库逻辑存储与物理存储管理数据等依据评估对象的体系结构，这些数据库字典数据一部分存放在评估对象管理的数据库内部系统表中，一部分存放在评估对象运行的数据库服务器系统文件中b）用户数据评估对象中不属于TSF数据的信息，一般指与用户应用相关的、存储在数据库中的各种数据库对象数据，如表数据、索引数据、物化视图数据、语义约束条件等来自用户/应用程序的数据用户数据还包括由用户开发的面向应用需求的各种业务过程数据，它们一般以数据库存储函数、数据库存储过程、数据库触发器等方式存放在数据库内部的系统表中，并由数据库管理系统负责其运行的安全性c）安全运行数据评估对象中的事务日志数据、数据库安全审计数据等，包括存储在DBMS外部，但由数据库管理系统维护的DBMS实例、数据库配置等控制评估对象安全运行相关参数配置数据，如DBMS的实例配置参数、数据库配置参数、用户安全属性、事务日志的归档路径、数据库运行警告与审计踪迹等数据注ST作者应根据评估对象支持的安全机制及其应用架构细化对数据资产的描述

5.2威胁

5.

2.1概述数据库管理系统面临过度或合法的特权滥用、软件漏洞被利用和潜在应用安全攻击如SQL注入、拒绝服务、特权提升等等安全威胁表1给出了数据库管理系统EAL

2、EAL3和EAL4安全保障级别面临的不同安全威胁表1评估对象安全威胁安全保障级别序号女全威胁EAL2EAL3EAL4T.1管理员误操作V V VT.2审计机制失效V V VT.3密码攻击V VT.4数据传输窃听V VT.5设计缺陷V VT.6实现缺陷V VT.7标签数据失效VT.8假冒授权用户V V VT.9测试缺陷V VT.10残余信息利用V VT.11安全功能失效V VT.12非授权访问V V VT.13服务失效V V VT.14未标识动作V注J代表在该保障级别下数据库管理系统面临的安全威胁

5.

2.2管理员误操作T.ACCIDENTAL_ADMIN管理员误操作主要有两种一是授权管理员可能错误地安装或配置数据库服务器实例组件或错误地设置数据库实例运行参数或数据库安全属性所造成TSF安全控制机制的失效；二是授权管理员恶意修改、删除TSF数据或安全运行数据导致TSF安全控制机制的失效

5.

2.3审计机制失效T.AUD IT_C0MPR0MISE恶意用户或进程可能修改数据库审计策略，使数据库审计功能停用或失效、审计记录丢失或被篡改，也有可能通过审计数据存储失效来阻止未来审计记录被存储，从而掩盖用户的操作

5.

2.4密码攻击T.CRYPT0_C0MPR0M ISE恶意用户或进程可能导致与数据库存储和通讯加密功能相关的密钥、数据或密文服务组件可执行代码被不适当地浏览、修改或删除，从而破坏数据库加密机制和泄露加密机制所保护的数据

5.

2.5数据传输窃听T.EAVESDROP恶意用户或进程可能观察或修改评估对象物理分离部件之间传递的用户数据或TSF数据包括客户端和服务器之间用户请求及其响应、分布式数据库不同节点间传输数据等

5.

2.6设计缺陷T.FLAWED_DES IGN数据库管理系统软件需求规范或设计中的无意逻辑错误可能产生设计弱点或缺陷，恶意用户可能利用这些缺陷对评估对象进行安全攻击

5.

2.7实现缺陷T.FLAWED」MPLEMENTATI0N数据库管理系统软件在开发过程中的无意错误可能造成评估对象实现弱点或缺陷，恶意用户可能利用这些未知漏洞对评估对象进行攻击

5.

2.8标签数据失控T.LBAC恶意用户或进程可能非法浏览、修改或删除数据库中的标签策略数据、受控主体分类标签数据与受控客体绑定标签数据授权数据库管理员非法访问基于标签管理的受控主体的数据资产

5.

2.9假冒授权用户T.MASQUERADE恶意用户或进程假冒授权管理员或授权用户访问数据库字典、系统安全配置参数、或数据库管理系统保护的用户数据资产

5.

2.10测试缺陷T.POOR_TEST开发或测试人员对数据库管理系统软件包括数据库安全选件及其支撑环境的测试不充分，导致评估对象弱点逻辑错误未被发现，恶意用户可能利用这些未知漏洞对评估对象进行攻击

5.

2.11残余信息利用T.RES IDUAL_DATA恶意用户或进程可能利用数据库服务器共享缓存或磁盘上残留信息的处理缺陷，在数据库实例执行过程中对未删除的残留信息进行利用，以获取敏感信息或滥用评估对象的安全功能

5.

2.12安全功能失效T.TSF_COMPROMISE恶意用户或进程通过安全攻击非法地浏览、修改或删除TSF数据或可执行代码这可能让恶意用户或进程获得数据库实例和数据库的配置信息，或可能导致数据库实例的安全功能对于数据资产保护的安全机制不再正常工作

5.

2.13未授权访问T.UNAUTHORIZED_ACCESS恶意用户或进程可能未经授权地访问评估对象和利用系统特权提升等方法来访问评估对象的安全功能和数据，不适当地更改数据库实例和数据库配置数据及其安全功能机制

5.

2.14服务失效T.UNAVAILABILITY恶意用户或进程可能通过数据库服务器资源CPU、RAM的拒绝服务攻击来阻止其他用户获得评估对象管理的数据资源，数据库服务器实例核心功能/组件的故障可能会导致用户不能访问数据库，或评估对象可能由合法授权用户任务的高并发服务请求，预防或延缓数据库管理系统的功能被其他授权用户访问

5.

2.15未标识动作T.UN IDENT IFIED_ACT IONS存在授权管理员不能标识的数据库管理系统中可能发生的数据库用户的非授权操作，包括提供采取必要行动以应对这些潜在未被授权访问操作的安全问责管理

5.3组织安全策略

5.

3.1概述对数据库运行安全来说，组织安全策略需要由数据库管理系统或其运行支持环境或由两者一起实施表2给出了评估对象安全运行保障级别EAL

2、EAL3和EAL4的组织安全策略表2评估对象组织安全策略安全保障级别序号组织安全策略EAL2EAL3EAL4P.1责任与义务VP.2密码策略V VP.3标签策略VP.4角色分离策略V V VP.5系统完整性V VP.6脆弱性分析与测试V注J代表在该保障级别下评估对象应选择的组织安全策略

5.

3.2责任与义务P.ACCOUNTABILITY组织应制定评估对象的授权用户和授权管理员在应对数据库管理系统内的数据库操作行为负责的程序与规范

5.

3.3密码策略P.CRYPTOGRAPHY组织应为评估对象自身的应用提供敏感数据加密存储和通讯功能的密码策略，包括加密/解密和数字签名操作规范ST作者提供的密码策略应符合国家、行业或组织要求的相关标准，如是自己提供的密码算法方法和实现，应提供用于密钥管理例如密钥的产生、销毁和密码服务例如加密、解密、签名的保障性证据

5.

3.4标签策略P.LABEL组织应定义面向用户数据的细粒度访问控制机制的标签策略，包括安全分级数组、范围集合、或分组树等标签组成元素，并定义数据安全分级管理的数据标签和用户安全级别分类的用户标签授权管理员应能正确地将标签与授权用户和存储在数据库表中的客体相关联

5.

3.5角色分离策略P.ROLES组织应该为其数据库管理系统的不同级别、不同粒度的安全管理设置不同的授权管理员角色授权管理员角色应提供诸如三权分立或其他授权角色区别和分离策略

5.

3.6系统完整性P.SYSTEM,INTEGRITY组织应提供能够定期验证其组织安全策略及其运行IT支撑环境正确操作规范，并在授权管理员的帮助下能够提供进程恢复、数据库实例恢复和数据库介质恢复等方法与技术，包括修正任何被检测到的错误操作修复指南ST作者提供评估对象运行设施应提供的不可抵赖性安全元数据传输服务，包括生成和验证不可抵赖性的证据，证据的时间戳等数据库管理系统运行完整性机制

5.

3.7脆弱性分析与测试P.VULNERABILITY.ANALYSIS_TEST组织应保证评估对象应经过适当的独立渗透性测试和脆弱性分析，以证明其安全功能组件实现的安全性

5.4假设

5.

4.1概述评估对象提供商可在安全目标编制过程中，依据数据库产品的安全目的不断识别出更多的假设，扩充表3列出的数据库管理系统EAL

2、EAL3和EAL4安全保障级别的安全假设表3评估对象安全假设安全保障级别序号安全假设EAL2EAL3EAL4A.1目录服务器保护VA.2安全域分离V VA.3角色分工管理V V VA.4多层应用问责VA.5人员假设V V VA.6服务器专用V VA.7物理安全V V VA.8通讯安全V V注J代表在该保障级别下评估对象应选择的安全假设

5.

4.2目录服务器保护A.DIR_PR0TECTI0NTOE所使用的目录服务器如LDAP提供保护机制，防御针对存储在目录中的TSF数据的非授权访问，包括存储在目录中的TSF数据被访问控制机制保护，存储在目录中的TSF数据被管理人员合理地管理，并且目录服务器及其网络连接从物理和逻辑上都免于非授权人员的访问和干扰

5.

4.33安全域分离A.DOMAIN_SEPARATION分布式数据库不同节点安全域之间传输的数据应通过各节点的TSF控制，数据库运行IT环境将为评估对象的分布式部署提供独立安全域，IT环境应确保无法绕过TSF以获得对T0E数据的访问

5.

4.4角色分工管理A.MANAGER假定在评估对象中将有一个或多个指定角色权限的授权管理员，他们之间依据最小特权、职责分离、深度防御等安全原则进行了角色分工ST作者应根据数据库管理系统支持的系统权限及针对的具体应用解决方案解释“安全角色”的具体含义

5.

4.5多层应用问责A.MIDTIER在多层应用环境中为了确保评估对象的安全问责制，任意中间层次的评估对象运行环境组件服务都应将原始的授权用户标识发送给TSF ST作者应根据数据库管理系统针对的具体应用解决方案解释“多层应用问责”的具体含义

5.

4.6管理员假设A.NO_EVIL使用数据库的授权用户和授权管理员具备基本的数据库安全防护知识并具有良好的使用习惯,他们训练有素且遵循评估对象的管理员指南，并且以安全的方式使用数据库

5.

4.7服务器专用A.NO_GENERAL_PURPOSE在数据库管理系统运行主机上没有安装其它获得通用的计算或存储能力的程序或服务例如编译器、编辑器或应用程序

5.

4.8物理安全A.PHYSICAL数据库服务器运行环境应提供与其所管理的数据价值相一致的物理安全例如存储在数据库之外的评估对象相关数据如配置参数、归档日志等以一种安全的方式存储和管理

5.

4.9通信安全A.SECURE_COMMS假定数据库服务器和应用终端之间、分布式数据库不同节点间的通信信道是安全可靠的如满足私密性和完整性实现方式可通过共享密钥、公/私钥对，或者利用存储的其他密钥来产生会话密钥6安全目的

6.1TOE安全目的

6.

1.1概述本标准定义的安全目的可明确追溯到数据库管理系统相关威胁或组织安全策略表4列出了不同安全保障级别的数据库管理系统安全目的表4不同安全保障级别的TOE安全目的安全保障级别序号TOE安全目的EAL2EAL3EAL

40.1访问历史V V

0.2标签访问V

0.3管理员指南V V V

0.4管理角色分离V V V

0.5审计数据产生V V

0.6审计数据保护V V

0.7数据库服务可用V V V

0.8配置标识V V V

0.9密码安全V V

0.10设计文档化V V

0.11功能测试V V V

0.12内部安全域V V V

0.13安全管理员V V V

0.14残留信息V V V

0.15资源共享V

0.16TOE访问控制V V V

0.17可信路径V V

0.18漏洞分析V注J代表在该保障级别下应选择的安全目的

6.

1.2访问历史

0.ACCESS_H ISTORY评估对象应具备存储和检索授权用户和授权管理员先前连接数据库管理系统的会话信息，包括尝试建立数据库连接/会话的相关请求历史数据

6.

1.3标签访问

0.ACCESS_LBAC评估对象应提供安全标签的数据分级、用户分类与分组的读/写权限安全策略设置，提供基于标签的访问控制机制，从而通过数据库管理系统标签机制实现集中式或细粒度的数据访问控制

6.

1.4管理员指南

0.ADMIN_GUI DANCE评估对象应为授权管理员提供数据库管理系统产品安全分发、安装配置和运行管理必要的管理指南信息，应为授权用户提供数据库对象创建和使用相关的用户操作手册文档ST作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理

6.

1.5管理角色分离

0.ADMIN_ROLE评估对象应提供与不同数据库管理操作相适应的授权管理员角色，以提供职责分离、角色约束等角色管理功能，并且这些管理功能可以在本地或以远程方式进行安全管理ST作者应依据其评估对象的安全机制，解释预配置的数据库管理员角色，以实现职责分离的授权管理

6.

1.6审计数据产生

0.AUDIT_GENERATION评估对象应提供数据库审计策略定义、审计功能启停管理、数据库管理操作、用户数据库对象操作等检测和创建与用户关联的安全相关事件的记录能力ST作者应依据评估对象的审计记录的组成和存储机制，说明审计数据保存方式数据库内部、数据库外部，以及审计数据安全管理机制

6.

1.7审计数据保护

0.AUDIT_PR0TECTI0N评估对象应安全存储审计数据，并对存储的审计事件进行保护能力数据库服务可用

0.AVAIL评估对象应提供事务、数据库实例和存储介质故障的数据恢复机制，提供数据库管理系统软件升级中数据库存储结构的自动维护能力，保证评估对象管理数据资产的可恢复性评估对象应提供主数据库服务器与备用服务器TSF控制转移和数据库实例故障切换机制，以支持分布式数据库服务高可用管理需求的分布式组件部署

6.

1.9配置标识

0.CONFIG评估对象应对产品组件配置及其文档的评估配置项进行标识，以便数据库管理系统被重新分发和纠正执行错误时提供修改和跟踪它们的方法注配置标识一般是指在评估对象组装与系统测试阶段结束时，交付给外部顾客的发行基线，它包括软件产品的全部配置项的规格说明

6.

1.10密码安全

0.CRYPTOGRAGHY评估对象应提供密钥管理和密码运算功能的调用机制，以维护数据库管理系统中数据资产在存储和传输过程中的加密保护需求ST编制中TOE使用的密码算法应符合国家、行业或组织要求的密码管理相关标准或规范

6.

1.11设计文档化

0.DOCUMENTED_DES IGN评估对象的设计、实现等软件研发工作应被充分、准确地文档化，包括在设计及其在研发过程中的所有变更证据都应被分析、追踪和控制这些过程性设计与开发文档应贯穿于评估对象的整个开发过程

6.

1.12功能测试

0.FUNCTIONAL_TEST评估对象应进行合适的安全功能测试以证明数据库管理系统的TSF满足安全功能设计要求

6.

1.13内部安全域

0.INTERNAL_TOE_DOMAINS在多用户并发事务执行过程中，数据库查询引擎中的TSF应为不同并发用户请求维护一个私有的数据查询和数据处理安全域，保证多用户并发访问数据的隔离性和一致性

6.

1.14安全管理员

0.MANAGE评估对象应提供系统管理、安全管理、安全审计等安全管理员角色管理数据库管理系统安全性所必需的功能和设施，并防止这些管理功能和管理设施被未授权用户使用

6.

1.15残留信息

0.RES IDUAL_INFORMAT ION评估对象应确保数据库服务器共享缓存、磁盘存储等服务器资源中重要的数据在使用完成或意外掉电后会被删除或被安全处理，从而保证不会留下可被攻击者利用的残留数据信息

6.

1.16资源限制

0.RESOURCE_SHARING评估对象应提供数据库服务器资源即共享缓存、CPU使用、存储空间等共享资源使用的控制机制，以避免耗尽数据库服务器资源的安全威胁

6.

1.17TOE访问控制

0.TOE_ACCESS评估对象应对在数据字典数据、用户数据、运行日志数据和数据库安全功能组件实施访问控制措施，防止在未授权情况下被访问、修改或删除注数据库会话提供数据库用户安全控制机制，控制用户对DBMS的逻辑访问，需要时明确拒绝特定用户的访问

6.

1.18可信路径

0.TRUSTED_PATH评估对象应提供方法保证用户提供标识和授权数据时，与其通信的不是伪装成数据库管理系统的其它IT实体例如针对用户/程序与数据库服务器之间的通讯，评估对象提供合适的数据加密传输控制机制，保护数据库实例运行过程中与外部用户/程序交换的数据库通讯安全

6.

1.19漏洞分析

0.VULNERABILI TY_ANALYS IS评估对象应进行合适的独立渗透性测试和脆弱性分析以证明其设计和实现不存在安全弱点或缺陷，能阻止违反数据库安全策略的数据库攻击行为

6.2环境安全目的

6.

2.1概述DBMS环境安全目的分为操作系统环境安全目的、目录服务器如LDAP安全目的和非IT技术相关的环境安全目的等方面表5列出了不同安全保障级别的评估对象IT环境安全目的表5评估对象IT环境安全目的安全保障级别序号IT环境安全目的EAL2EAL3EAL40E.1运行环境安全审计保护V V V0E.2运行环境审计信息查看V V0E.3运行环境管理V V0E.4目录访问控制保护0E.5IT域分离V V0E.6管理员诚信V V0E.7数据库服务器专用V V V0E.8物理安全一致性V7V0E.9通讯安全环境V0E.10IT环境自我保护V0E.11IT时间戳V V V0E.12IT环境访问控制V VV0E.13IT环境无旁路VVV0E.14可信IT环境V注J代表在该保障级别下的环境安全目的

6.

2.2运行环境安全审计保护0E.AUD IT_PR0TECT ION评估对象运行支撑环境应提供保护数据库审计信息和用户鉴别证书的能力数据库服务器应维护一个保护自身及其审计痕迹资源免受外部干扰、破坏或通过自身接口未授权泄漏的执行域运行环境审计信息查看0E.AUDIT_REVIEW评估对象运行支撑环境应提供选择性查看数据库与运行环境审计信息的能力

6.

2.4运行环境管理0E.CONFIG评估对象运行支撑环境应具备数据库管理员组或角色，提供管理与配置数据库运行安全所需的功能和设施，并防止这些功能和设施被未授权使用

7.

2.5目录访问控制保护0E.DIR_CONTROL支持LDAP服务器的数据库运行环境应提供用户标识、身份验证、访问控制等机制，以阻止非法用户访问LDAP服务器保存的TSF数据LDAP服务器的访问控制机制应提供TSF控制数据的导入/导出的安全保护措施

8.

2.6IT域分离0E.DOMAIN_SEPARATION评估对象运行分布式环境应该为评估对象运行节点提供一个可分离的安全执行域，不同节点间应以一种安全方式进行通讯

6.

2.7管理员诚信0E.NO_EVIL使用评估对象组织应保证其授权管理员是可信的，训练有素且遵循企业组织安全策略和相关的数据库管理员指南

6.

2.8数据库服务器专用0E.NO_GENERAL_PURPOSE数据库服务器除了提供评估对象运行、管理和支持的必要服务外，不存在与数据库实例运行无关的计算或存储功能如编译器、编辑器或应用程序

6.

2.9物理安全一致性0E.PHYSICAL数据库服务器运行环境应提供与数据库管理系统及其管理数据资产价值相一致的物理安全

6.

2.10通讯安全环境0E.SECURE_COMMSIT环境应在远程用户/程序和数据库服务器之间提供安全的通信线路

6.

2.11IT环境自我保护0E.SELF_PR0TECTI0NDBMS的运行环境应维护一个保护自身及其资源免受外部干扰、破坏或未授权泄漏的执行域

7.

2.12IT时间戳0E.TIME_STAMPSIT环境应提供可靠的时间戳

8.

2.13IT环境访问控制0E.T0E_ACCESSDBMS的运行环境应提供有助于DBMS控制IT环境用户对TOE进行逻辑访问的机制

9.

2.14IT环境无旁路0E.TOE_NO_BYPASSDBMS客户端与数据库服务器或多数据库服务器主机分布式数据库之间传输的数据应通过TOE的安全控制引擎来实现

10.

2.15可信IT环境0E.TRUST_IT评估对象运行所依赖的IT环境实体应正确地安装、配置、管理和维护，并与DBMS安全策略和IT环境安全策略之间的关系保持一致性7扩展组件定义

10.1展组件原理表6列出了本标准中基于GB/T18336第二部分安全功能组件扩展要求的基本原理，扩展组件在组件名称后加上二EXT”表示表6扩展要求的基本原理标识符组件名称基本原理FPT TRCEXT.1内部TSF的一致性数据库产品的TSF数据可能缓存在服务器共享内存和磁盘中，在分布式部署时可能在不同节点存在多副本这些数据是评估对象查询引擎正确运行的基础，需要及时的保证它们之间是一致的FPT_TRC_EXT.1明确了这些内部TSF数据一致性和及时性要求数据库产品一般提供多种访问控制机制，其中最主要的是自主访问控制和标签机制，这两种机制的属性管理权限不同因此FMT MSA_EXT.1安全属性的管理本组件从这两个角度对评估对象安全属性管理给出了相应的要求GB/T18336并不允许PP/ST编制者指定不可修改的限制值,因此本标准从组件FMT_MSA_EXT.3中取消了元素FMT_MSA_EXT.

3.FMT_MSA_EXT.3静态属性初始化2,而且通过要求对象的安全属性在创建时受到限制使得这个组件更加安全，而且并不允许用户能够覆盖这个限制的默认值FMT_MTD_EXT.1TSF数据的管理针对GB17859安全要素概念和三权分立原则，本标准对TSE数据细化为系统权限、实例权限、数据库权限、对象权限和数据权限，授权管理员细化为系统管理员、安全管理员和安全审计员组件元素由GB/T18336一个增加到5个在GB/T18336中没有组件来指定主备用数据库实例控制切换和FPT OVREXT.1TSF故障切换/转移故障转移的功能FPT_OVR_EXT.1组件定义了备用服务器数据库可用性功能中内部TSF一致性功能的及时性

10.2展功能组件

11.

2.1TSF故障切换/转移FPT_0VR_EXT.

111.

1.

1.1类另ljFPTTSF保护

11.

1.

1.2族FPT_OVR:评估对象主备用数据库TSF的故障切换和转移

11.

1.

1.3行为这个族提供从一个数据库服务器TSF组件到另外一个数据库服务器TSF组件的TSF控制切换和故障转移的安全要求定义

11.

1.

1.4管理对于FMT中的管理函数，下列的行为应当被考虑a TSF控制切换函数的管理b TSF故障转移函数的管理

11.

1.

1.5审计a TSF控制切换的启动bTSF控制切换的完成c TSF故障转移的启动d TSF故障转移的完成

11.

1.

1.6定义数据库服务器TSF控制切换/故障转移FPT_OVR_EXT.lFPT_OVR_EXT.L1TSF应当提供从正在运行数据库【选择主节点，【赋值指定节点八切换到另外一个数据库服务器【选择备用节点，【赋值指定节点】】故障转移的能力，即一旦授权管理员发起TSF故障切换命令，在不丢失分布式事务处理数据的情况下，两个节点的TSF控制都能够保证在切换时事务继续正常的执行FPT_OVR_EXT.L2TSF应当提供从正在运行数据库【选择主节点，【赋值指定节点八切换到另外一个数据库服务器【选择备用节点，【赋值指定节点】】故障转移的能力，即一旦授权管理员发起故障转移，仅仅会丢失已经被提交到正在运行数据库节点上的事务，而不会影响到转移节点上的事务8安全要求

11.

1.

1.7求

8.

1.1概述表7列出了EAL

2、EAL3和EAL4安全保障级别数据库管理系统软件的安全功能要求组件,包括组件扩展操作（赋值（A）、选择（S）、细化（R）和替代（I））的备注说明在组件元素描述中，方括号【】中的内容表示已经完成的操作，豺然字内容表示还需在安全目标（ST）中由ST作者确定赋值及选择项表7安全功能要求组件安全保障级别扩展备注功能类功能组件EAL2EAL3EAL4A SR IFAU_GEN.1审计数据产生VVV VVFAU_GEN.2用户身份关联V VFAU_SAR.1安全审计查阅V VFAU_SAR.2限制审计查阅VV安全审计FAU_SAR.3可选审计查阅VFAU_SEL.1选择审计事件VFAU_STG.2审计数据可用性保证VVFAU_STG.4防止审计数据丢失VV VV密码支持FCS_CKM.1密钥生成V VFCS_C0P.1密码运算7FDP_ACC.1子集访问控制FDP_ACF.1基于安全属性的访问控制VV7FDP-IFC.1子集信息流控制7用户数据保护FDP_IFF.2分级安全属性V7FDP_RIP.1子集残余信息保护VV7FDP_R0L.1基本回退VVV77FIA_AFL.1鉴别失败处理V77FIA_ATD.1用户属性定义VVV7FIA_S0S.1秘密的验证VVV7标识和鉴别FIA_UAU.1鉴别的时机VV7FIA_UAU.5多重鉴别机制7FIA.UID,1标识的时机V VVFIA_USB.1用户-主体绑定VVV7安全管理FMT.M0F.1安全功能行为的管理VVVFMT_MSA_EXT.1安全属性的管理VVVFMT_MSA_EXT.3静态属性初始化V77FMT_MTD_EXT.1TSF数据的管理VVV7FMT_REV.1撤消VVV7FMT_SMF.1管理功能规范VV7FMT_SMR.2安全角色限制VVVVVFPT_ITT.1内部TSF数据传输的基本保护FPT_RCV.3无过度损失的自动恢复VVV7TSF保护FPT_TRC_EXT.1内部TSF的一致性FPT_OVR_EXT.1TSF控制切换/故障转移VV资源利用FRLRSA.1最高配额V VFTA.MCS.1多重并发会话的基本限定VVV7T0E访问FTA_TAH.1TOE访问历史V VFTA_TSE.1TOE会话建立VVVVV可信信道FTP_ITC.1TSF间可信信道V VVJ代表在该保障级别下应选择的安全功能组件

12.

1.2审计数据产生（FAU_GEN.1）FAU_GEN.

1.1TSF应能够为下述可审计事件产生审计记录a）数据库审计功能的启动和关闭；b）数据库实例及其组件服务的启动和关闭；c）数据库安全功能【选择最小级、基本级、未规定】审计级别的所有可审计事件；d）其它面向数据库安全审计员的，并且是可绕过访问控制策略的特殊定义【赋值ST作者定义的DBMS审计事件1的可审计事件e）未指定审计级别（例如数据库对象数据操作级）的所有可审计事件应在每个审计记录中至少记录下列信息a）事件的日期和时间、事件类型、主体身份和关联组或角色、事件结果（成功或失败）；b）对于每个审计事件类型，基于本标准定义的安全功能组件的可审计事件定义，表8列出了最小审计级别的数据库安全功能可审计事件表8可审计安全事件类型安全功能要求可审计事件FAU_GEN.1无审计事件FAU_GEN.2无审计事件FAU_SAR.1无审计事件FAU SAR.2无审计事件FAU_SAR.3无审计事件FAU_SEL.1当审计选项打开，审计数据采集或搜集功能正在运行时，所有因审计配置修改而产生的事件FAU_STG.2无审计事件FAU_STG.4因审计存储失效而采取的动作FCS_CKM.1密钥生成操作成功和失败FCS_COP.1成功和失败，以及密码运算的类型FDP_ACC.1无审计事件FDP ACF.1在安全功能策略覆盖的数据库对象上执行某个操作的成功请求FDP_IFC.1无审计事件FDP_IFF.2允许请求的信息流动的决定FDP_RIP.1无审计事件FDP_ROL.1所有成功的回退操作FIA_AFL.1未成功鉴别尝试达到阈值、达到阈值后所采取的动作（如，锁定账户），及后来（适当时）还原到正常状态（如，解锁）FIA_ATD.1无审计事件FIA_SOS.1试图修改用户密码的成功或失败的尝试FIA_UAU.1所有数据库鉴别机制的使用，包括鉴别成功或失败的尝试F1A UAU.5鉴别的最终裁决FIA_UID.1未成功用户标识机制的使用，包括所提供的用户身份FIA_USB.1用户安全属性和数据库主体的成功或失败的绑定FMT_MOF.1无审计事件FMT_MSA_EXT.1无审计事件FMT_MSA_EXT.3无审计事件FMT—MTD EXT.1无审计事件FMT REV.1安全属性的未成功撤消FMT_SMF.1对充当某个角色的某用户/用户组的修改FMT_SMR.2对属于某个角色某用户/用户组的修改；由于对角色的限制条件，而导致使用某个角色时的未成功尝试FPT_RCV.3失效或服务中断的发生,正常运行的恢复FPT_ITT.1无审计事件FPT_TRC_EXT.1重新连接时恢复数据一致性FPT_OVR_EXT.1控制切换开始/完成、故障转移/切换开始/完成FRU RSA.1由于数据库服务器资源的限制导致分配操作的拒绝FTAJ1CS.1基于多重并发会话限定对新会话的拒绝FTA_TAH.1无审计事件FTA_TSE.1依据会话建立机制拒绝一个会话的建立FTA_ITC.1可信信道功能的失效，失效的可信信道功能的发起者和目标端的标识用户身份关联（FAU_GEN.2）对于已标识用户行为所产生的审计事件，TSF应能将每个审计事件和引起该审计事件的用户身份关联起来注ST作者可以扩展用户身份概念，要求T0E实现通过用户所属组身份或某个角色来满足访问控制策略这个扩展需求从而允许审计功能组件使用用户身份或者用户所属组/角色身份，或者共同使用这两种身份

8.

1.4安全审计查阅（FAU_SAR.1）FAU_SAR.L1TSF应为【赋值授权管理员】提供从审计记录中阅读和获取下面所列出的审计信息的权力a）用户、用户组或角色标识；b）审计事件类型；c）数据库对象标识；d【选择主体标识、主机标识、无】；e I选凝•,成功可审计安全事件、失败可审计安全事件、和【选择【赋值基于其它选择条件的选择性审计事件清单】、没有任何附加条件]]]:f数据库【选择系统权限、实例权限、数据库权限、模式对象权限、细粒度数据权限、权限o注“事件类型”和数据库权限由ST作者定义，例如数据库系统权限、审计选项配置、模式对象创建与修改等重要的数据库操作FAU_SAR.

1.2TSF应以使用授权用户理解的方式提供审计记录

8.

1.5限制审计查阅FAU_SAR.2除了授权管理员具有明确的阅读访问审计数据的权限外，TSF应禁止所有授权用户对审计记录进行读访问

8.

1.6可选审计查阅FAU_SAR.3FAU_SAR.

3.1TSF应根据【审计数据字段中的值的搜索与分类条件】提供对查阅的审计数据进行【搜索和排序】的能力注GB/T18336定义的第一个赋值为“赋值具有逻辑关系的标准”评估对象审计数据一般是以关系模式存储在数据库中的，被测DBMS允许授权用户使用SQL搜索审计数据和对审计数据排序，因此本标准修改成“审计数据字段中的值的搜索与分类条件”

8.

1.7选择审计事件FAU_SEL.1FAU_SEL.

1.1TSF应能根据以下属性从审计事件集中选择可审计事件a用户身份【选择客体身份、用户身份、组身份、主体身份、主机身份Xb操作类型【选择定义语句、查询语句、更新语句、控制语句】;c权限级别【选择系统权限、实例权限、数据库权限、模式对象级审计、细粒度数据权限,【赋值ST作者指定的权限列表Nd可审计安全事件【选择成功、失败、二者】e【赋值审计选择所依据的附加属性表】f【选择【赋值审计选择额外的标准列表】、没有额外标准]]注该功能目的是为了捕获充分的审计数据以允许授权管理员执行任务，ST作者在细化时可依据审计目的给出更多的审计数据审计数据可用性保证FAU_STG.2FAU_STG.

2.1TSF应保护审计迹中所存储的审计记录，以避免未授权的删除FAU_STG.

2.2TSF应能防止对审计迹中所存审计记录的未授权修改当下列情况发生时【选择审计存储耗尽、失效、受攻击1,TSF应能应确保【赋值保存审计记录的度量1审计记录将维持有效防止审计数据丢失FAU_STG.4如果审计记录数据已满，系统应【选择，选取一个忽略可审计事件、“阻止可审计事件,除非具有特权的授权用户产生的审计事件”、覆盖所存储的最早的审计记和【赋值审计存储失效时所采取的其它动作

8.

1.10密钥生成（FCS_CKM.1）应根据符合下列标准【赋值国家、行业或组织要求的密码管理相关标准或规范】的一个特定的密钥生成算法【赋值密钥生成算法】和规定的密钥长度【赋值密钥长度、来生成密钥注若密钥由外部环境生成，则可以不选择此组件该组件仅适用于由数据库管理系统软件本身完成的情况，此时ST作者应根据密码算法的具体情况，赋值评估对象用户单位主管部门认可的相关标准及参数注对于同一种密钥生成算法和多种不同的密钥长度的情况，本组件只需使用一次密钥长度对于不同的实体可能是相同的或不同的，可以作为方法的输入，也可以作为方法的输出管理功能可考虑下列行为对密钥属性更改的管理，密钥属性的例子包括用户密钥类型（如公开密钥、私有密钥、秘密密钥）、有效期和使用（如数字签名、密钥加密、密钥协商、数据加密）

8.

1.11密码运算（FCS_C0P.1）应根据符合下列标准【赋值国家、行业或组织要求的密码管理相关标准或规范】的特定的密码算法【赋值密码算法、和密钥长度【赋值密翎长度】来执行【赋值密码运算列表1注密码运算可用于支持一个或多个数据库管理系统安全服务，本组件可以根据需要重复多次，这取决于a）使用安全服务的用户应用；b）不同密码算法或密钥长度的使用；c）所运算数据的类型或敏感度ST作者应根据密码算法的具体情况赋值国家、行业或组织主管部门认可的相关标准及参数注以下密码运算事件应被审计a）密码运算的类型可以包括数字签名的产生或验证、用于完整性校验的密码校验和的产生、安全散列（消息摘要）的计算、数据加密或解密、密钥加密或解密、密钥协商和随机数生成；b）主体属性可包括同主体有关的主体角色和用户；c）客体属性可包括密钥的指定用户、用户角色、使用密钥的密码运算、密钥标识和密钥有效期

8.

1.12子集访问控制（FDP_ACC.1）FDP_ACC.

1.1TSF应对所有数据库对象操作列表执行主体（系统和用户）定义的下列访问控制策略【选择基于用户控制策略、基于角色控制策略、基于用户组控制策骼、【赋值ST作者定义的自主访问控制策略口注ST作者应根据具体产品数据库管理功能细化数据库对象和操作列表，且根据用户和管理员操作客体以及相应控制策略的不同，应在ST中将此组件分为不同的点进行描述基于安全属性的访问控制（FDP_ACF.1）FDP_ACF.L1TSF应基于【选择基于用户控制策略、基于角色控制策略、基于用户组控制策骼、【赋值ST作者定义的自主访问控制口对数据库对象的操作执行访问控制，具体应包括a）与主体相关的授权用户身份和/或角色和/或组成员关系；b）受控数据库对象可实施的访问操作和/或角色/组权限；c）受控数据库对象标识d）对数据库对象执行【选择基于用户控制策略、基于角色控制策略、基于用户组控制策略、I臃耀:ST作者定义的自主访问控制策略口FDP_ACF,L2TSF应执行【赋值在受控主体和受控数据库对象间,通过对受控数据库对象采取受控操作来管理访问的规则】,以确定授权用户、授权管理员与数据库对象间的一个操作是否被允许注ST作者编制的访问控制策略机制应该根据以下顺序的规则，或者通过明确的授权用户行为，或者通过默认的方式，保护评估对象数据资产避免未授权的访问这些规则包括a）如果受控主体是访问数据库对象的所有者，则允许授权用户的访问请求；b）如果访问控制策略允许授权用户在受控数据库对象的访问，则允许用户的访问请求;c）如果授权用户作为一个用户组或角色（直接角色或间接角色）的成员执行请求，访问控制策略允许授权用户在受控数据库对象执行相关的访问请求；d）如果PUBLIC能访问受控的数据库对象，则允许授权用户的访问请求；e）其它情况拒绝授权用户的访问请求应基于附力口规则【选择【赋值安全属性、明确授权用户访问数据库对象的规贝C、无附加显式授权规贝C，明确授权用户访问DBMS控制的数据库对象FDP_ACF.L4TSF应基于【选择【赋值安全属性,明确拒绝主体访问客体的规贝门、无附加的显式拒绝规则明确拒绝授权用户访问DBMS控制的数据库对象子集信息流控制（FDPJFC.1）应对【授权用户对受基于标签访问控制（LBAC）的数据库数据对象的读、写操作】强制应用【选择LBAC安全功能策略、X歉苴:ST作者附加的信息流控制SFP规则口

8.

1.15分级安全属性（FDP_IFF.2）FDP」FF21TSF应基于授权用户和数据库对象安全属性【主体安全标签和数据库对象（关系行、列或单元）安全标签的【选择数组、集合、孙【赋值ST作者定义的标签元素】】】执行【选择LBAC安会功能菊略、【赋值ST作者附加的信息流控制SFP规贝2FDP」FF22TSF应允许通过授权用户和受控数据库对象（如关系表行、歹U、单元）之间的读写操作，如果满足以下基于安全属性之间的序关系的规则a）为了读取【选择LBAC安全功能第珞、【赋值ST作者附加的信息流控制SFP规贝2保护的客体（即数据库表的行、列或单元）1）用户安全标签的数组组件应大于或等于客体安全标签的数组组件；2）用户安全标签的集合组件应包含客体安全性标签的集合组件；3）用户安全标签的树组件应至少包含客体安全标签的树组件中的一个元素（或者这样一个元素的祖先）；b）为了写【选择LBAC安全功能策略、I歉意:ST作者附加的信息流控制SFP规贝2保护的客体（即数据库表的行、列或单元）1）用户安全标签的数组组件应等于客体安全标签的数组组件；2）用户安全标签的集合组件应包含客体安全标签的集合组件3）用户安全标签的树组件应至少包含客体安全标签的树组件中的一个元素（或者这样一个元素的祖先）；c）每一种情况中，子集访问控制的规则都应被满足FDPJFF23TSF应强制执行以下规则【只有【选择安全管理员、【赋值ST作者指定的授权管理员】】能够改变用户的安全标签，具有适当权限的授权用户/授权管理员能够改变受LBAC保护的数据表的行、列或单元的安全标签】FDP」FF24TSF应基于以下规则【赋值ST作者指定的一个拥有相应豁免的用户能够忽略对读数组、读集合、读树、写数组、写集合、写树的检查】,明确地授权一个信息流FDP」应基于以下规则【赋值基于安全属性、明确拒绝信息流的规贝C明确拒绝一个信息流FDP」应对任意两个【选择标餐、【赋值ST作者定义的信息流控制口安全属性强制下列关系a存在一个有序函数，对于给定的两个有效的安全属性，函数能够判定它们是否相等，是否其中一个大于另一个，还是两者不可比较；b在安全属性集合中存在一个“最小上界”，对于给定的两个有效的安全属性，存在一个有效的安全属性大于或者等于这两个安全属性；c在安全属性集合中存在一个“最大下界对于给定的两个有效的安全属性，存在一个有效的安全属性不大于这两个属性子集残余信息保护FDP.RIP.1应确保数据库服务器共享内存和存储空间等服务器资源的任何先前的信息内容，在资源释放或资源被重新分配给其他模式对象之后是不再可用的

8.

1.17基本回退FDP_R0L.1FDP_ROL.L1TSF应强制【选择子集访问控制、子集信息流控制、I歉苴:ST作者定义的访问控制2策略,以允许对【选择数握摩、模式、表空间、数据表、视图、约束、存储过程、存循的数、【赋值其它数据库对象》用【SQL表达的数据库操作】执行回退操作FDP_ROL.L2TSF允许对数据库实例重启中实例恢复事务中【用户事务请求集合中未提交SQL语句】进行回退操作

8.

1.18鉴别失败处理FIA_AFL.1FIA_AFL.

1.1TSF应对【赋值登筋3Ms用户】不满足授权管理员定义的口令策略【选择达到鉴别尝试次数、达到口令有效期、达到口令重用次数、【赋值可接受值的范围口加以检测，与【选择授权用户鉴别、授权管理员鉴别、I班意:其他鉴别事件列表口相关的未成功鉴别尝试进行处理当不成功鉴别尝试的指定次数已达到或超出【赋值可接受值的范围】,TSF应阻止受控主体的登录，直到安全管理员采取行动或直到安全管理员配置的时间【赋值可接受值的范围】已经到达注本组件与安全数据管理组件FMT_MTD_EXT.1和管理功能规范组件FMT_SMF.1组合能允许授权管理员限制不成功的身份验证尝试次数注本组件没有要求T0E允许远程管理可是，如果TOE确实允许管理员远程登录TOE例如从有线接口，那么TOE应提供防止对管理帐户进行蛮力攻击的机制用户属性定义FIA_ATD.1FIA_ATD.L1TSF应维护属于每个数据库用户下列安全属性a数据库用户标识，验证数据秘密；b安全相关的角色或用户组；c用户口令策略；d）服务器资源限制；e）数据库对象访问权限；f）数据库管理权限；g）【赋值任何附加的授权管理员安全属性】注1）这个组件用来描述决定访问控制的主体安全属性，如登录次数、口令有效期、服务器资源使用限制等这些外部属性可能由外部环境（如操作系统，轻量级访问目录等）控制，也可能由数据库管理系统本身控制如果采用的是外部认证，TSF应能提供这些属性，并设置为他分配的本地及全局角色和权限组合注2）ST作者应指明与管理员帐户相关的附加管理员安全属性如果T0E没有使用附加安全属性，那么赋值应指明“无附加属性”

8.

1.20秘密的验证（FIA_SOS.1）FIA_SOS.

1.1TSF应提供一种机制以验证秘密满足【赋值一个既定的质量度量】例四用户口令验证应满足a）被限制在最小和最大数量的字符长度之间；b）包含一个大写和小写字符的组合；c）至少包含一个数字字符；d）至少包含一个特殊字符；e）不能是用户标识或用户名称；f）被限制在一个有效期内；g）以前使用的口令应在多少天数内无法再度使用等

9.

1.21鉴别的时机（FIA_UAU.1）在数据库用户身份被鉴别之前，TSF应允许代表用户的【赋值TSF促成的行动列表】被执行例如a）获取当前数据库管理系统版本信息；b）建立数据库连接；c）如果不成功，返回错误信息在允许任何数据库用户的数据库请求行动执行前，TSF应要求该用户已被成功鉴别注本组件针对TOE本地鉴别的用户，不包括鉴别以前应在客户端和服务DBMS之间传输的管理和控制数据包

10.

1.22多重鉴别机制（FIA_UAU.5）FIA_UAU51TSF应提供【选择口令、/分、【赋值ST作者提供的多重鉴别机帘2多重鉴别机制，以支持数据库用户鉴别FIAJAU.

5.2TSF应依据选择I迭群•.数据库鉴别、操作系统鉴别、第三方鉴别、口毅苴・.ST侬老速供的工作魏敏1】为授权管理员和授权用户鉴别任何用户所声称的身份注本标准规定外部鉴别是TOE通过IT环境提供的鉴别服务器对用户身份进行的鉴别（如操作系统鉴别、第三方鉴别）对于提供外部鉴别机制的TSF应为本地管理员提供鉴别方法，以避免TOE不能与鉴别服务器进行通信

11.

1.23标识的时机（FIA_UID.1）在允许任何其它代表用户的TSF促成的行动执行前，TSF应要求该用户已被成功标识本标准是参照GB/T18336-2015的安全功能组件和安全保障组件形式，在描述了数据库管理系统基本功能、安全功能和应用环境的基础上，按照GB/Z20283-2006结构方式定义了安全保障级别EAL

2、EAL3和EAL4面临的安全问题及其安全目的，规定了EAL

2、EAL3和EAL4保障级数据库管理系统软件及其数据资产进行安全保护所需的安全功能组件和安全保障组件要求，并给出了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间对应关系的基本原理

8.

1.24用户-主体绑定FIAJJSB.1FTA_USB.

1.1TSF应将合适的用户安全属性与代表用户活动的主体相关联【赋值用户安全属性的列表、FIA_USB.L2TSF在最初关联用户安全属性和代表用户活动的主体时应实施下面的规则【赋值最初属性关联规贝门在管理与代表用户活动的主体相关联的用户安全属性的变化时应实施下面的规贝卜【赋值属性变化的规则安全功能行为的管理FMT,M0F.1FMT_MOF.

1.1TSF应仅限于【赋值已识别授权角色】对安全管理功能【赋值功能列表1具有【选择确定其行为、禁止、允许、修改其万为】的能力例如a管理I限直•,数据库管理系统实例安全功能组件配置参数1；b限定启动/禁用授权管理员的安全功能【赋值有关事件审计规范】c在安全告警事件中配置要【赋值执行行的管理；d在鉴别失败事件中要【赋值采取行的管理；e在用户成功被鉴别之前所能【赋值采取行的管理；f授权管理员如果能改变用户被识别之前所能采取的行为列表，应对授权管理员的此种【赋值行为】进行管理；g DBMS管理的数据及运行完整性自检发生【选择初始化启动、定期间隔、其它特定条件、时的条件的管理；h ST中附加【赋值安全功能列表】的管理

8.

1.26安全属性的管理FMT_MSA_EXT.1FMT_MSA_EXT.

1.1TSF应强制实施【选择基于用户控制策略、基于角色控制策略、基于用户组控制策略、I松直:ST作者定义的自主访问控制2,以仅限于【选择授权管理员、授权用户】能够对安全属性【选择数据库对象访问权限、安全角色1进行【选择改变默认值、查询、修改、掰除、【赋值真宫索您1】FMT_MSA_EXT.L2TSF应强制实施【选择基于标签访问控制安全策略、肾毅扈ST作者指定机制的信息流控制策略口,以仅限于【选择LBAC授权的用户、I敝苴:ST作者指定授权管理员》能够【【赋值安全属性】以【赋值安全标签力注访问控制属性和用户角色赋予可以由具有适当权限的用户授予和撤销，授权管理员在指派给他们的数据库上总是可以通过属性配置修改用户的访问权限，安全管理员总是可以授予和撤销数据库用户的角色注LBAC策略允许用户将标签赋给依赖受控主体和受控客体对象，只对EAL4级评估对象有效

8.

1.27静态属性初始化FMT_MSA_EXT.3FMT_MSA_EXT.

3.1TSF应执行【选择基于用户控制策略、基于角色控制策略、基于用户组控制策略、I喊电、ST作者定义的自主访问控制JX1,以便为用于执行SFP的安全属性提供【选择，决中选取一个受限的、许可的、［赋值:其它特性助默认值注这一规定适用于数据库级别如数据库或数据库表对象属性当较低级别的对象如行或单元创建时，默认情况下这些对象可能继承顶层对象的权限子对象的权限可以按默认的父对象的权限进行初始化

8.

1.28TSF数据的管理FMT_MTD_EXT.1FMTJITD.EXT.

1.1TSF应仅限于具有【选择系统管理员、安全管理员、【赋值授权安全管理官员】】角色的授权管理员能够【赋值改变默认值、查询、修改、删除、I或添勿口【选择用户标识、用户组成员、安全角色XFMT_MTD_EXT.

1.2TSF应仅限于具有【选择系统管理员、安全管理员、【赋值授权安全管理官员】】角色的授权管理员能够【赋值改变默认值、修改、删除、I或添加N授权用户的1认证数据、FMT_MTD_EXT.

1.3TSF应仅限于具有【选择系统管理员、安全管理员、I瞰强:授权安全管理官员】】角色的授权管理员能够【赋值包括或排除可审计策略1;FMT_MTD_EXT.

1.4TSF应仅限于具有I运降二系统管理员、安全管理员、【赋值授权安全管理官员】】角色的授权管理员能够I删除和I查看》【审计踪迹中的审计事件集IFMT_MTD_EXT.L5TSF应根据【赋值ST作者定义的安全元数据列表1仅限于【选择系统管理员、安全管理员、【瞰悔:授权安全管理官员】】能够在系统数据上执行操作【选择改变默认值、查询、修改、删除、清糜、【赋值其它藻作力注ST作者应依据安全目标定义的授权管理员角色和预置的TSF数据类型分别对用户标识、用户鉴别、数据库审计策略和审计记录数据管理明确相关的管理内容

8.

1.29撤销（FMT_REV.1）FMT_REV.

1.1TSF应仅限于【赋值已标识的授权角色1能够撤消在TSF控制下的与【选择用户、主体、客体、【赋值其它额外资源口相关联的所有可管理的安全属性【选择口令策略、资源限制、角色和权限、“燕意:ST作者定义的安全属性FMT_REV.L2TSF应执行规则【选择撤销数据库管理权限应在数据库用户开始下一个数据库会话前生效、或【赋值撤消规则的详细说明N

8.

1.30管理功能规范（FMT.SMF.1）FMT_SMF.

1.1TSF应能够执行如下安全管理功能【赋值ST作者提供的安全管理功能列表1例如下列数据库安全管理功能a）添加和删除数据库用户；b）改变用户登录数据库管理系统状态；c）在数据库实例（服务器）级别和数据库级别配置数据库角色权限及其成员用户;d）创建和删除数据库实例（服务器）级别和数据库级别的用户组；e）定义数据库用户认证模式（操作系统验证、数据库验证、第三方验证）；0管理连接数据库用户会话的属性；g）使能和禁用数据库加密功能；h）管理数据库加密密码；i）创建和销毁加密密钥；j）启动和停止审计；k）选择审计事件；I）创建、删除和查阅审计记录数据；m）定义当审计文件填满时采取的行动；n）创建和删除基于标签的访问控制（LBAC）策略和标签；o）授权和撤销LBAC安全标签与受控主体与受控客体的绑定；p）创建、删除、授权和撤销数据库角色；q）授权、撤销数据库管理员访问属性；r）管理数据库用户口令策略；s）管理数据库用户对系统资源使用的最大限额等

8.

1.31安全角色限制（FMT_SMR.2）FMT_SMR.

2.1TSF应维护角色【赋值己标识的授权角色或组】例如下列数据库安全管理角色或组a）安全管理员；b）加密管理员；c）审计管理员；d）数据库管理员；e）系统管理员；f）由授权的安全管理员定义的安全角色或组；g）和用户有权修改自己的身份验证数据应能够把用户和角色或组关联起来FMT_SMR23TSF应确保条件【赋值不同角色或组的条件、得醐满定,例如a）所有角色应能本地管理评估对象；b）所有角色应能远程管理评估对象；c）所有角色是不同的，每个角色所执行的操作不能重叠，但下列情况除外【赋值ST作者允许重叠的安全功能1注该TOE的安全角色限制仅限于与系统安全管理角色/组相关的能力，ST作者在编制安全目标是应明确这些数据库安全管理员角色或组权限

8.

1.32内部TSF数据传输的基本保护（FPT_ITT.1）FPTJTT.l.l TSF应在评估对象分布式部署时保护不同节点TSF数据在传送时不被【选择泄漏，篡改,去关】

8.

1.33无过度损失的自动恢复（FPT_RCV.3）FPT_RCV,

3.1TSF应保证不能从【选择数据库服务器进程失效、数据库实例失效、数据库存储介质失效，【赋值ST作者定义失效或服务中断列表》自动恢复时，TSF应进入一种维护模式，该模式提供将数据库服务器返回到一个安全状态的能力FPT_RCV32TSF应保证对【选择数据库服务器进程失效、数据库实例失效、数据库存储介质关效，【赋值ST作者定义失效或服务中断列表N,TSF应确保通过数据库恢复服务自动化过程使TOE返回到一个安全状态应保证TSF提供的从服务中断或失效状态数据库恢复的功能，应确保在TSF的控制内TSF数据或用户数据不超出I麟烟数据库完整性约束条件】的情况下，保证数据库数据一致性应保证数据库实例失效情况下数据库恢复进程提供【选择恢复到指定时间点、恢复到指定事务、恢复到实例失效点、“毅直:ST作者定义的恢复策略】的能力

8.

1.

341.34内部TSF的一致性（FPT_TRC_EXT.1）应保证TSF数据在【选择共享内容、磁盘、【赋值分布式部署节点】】间出现不一致时，提供某种机制使不一致的TSF数据及时的达到一种一致的状态注评估对象可能基于IT环境的RAID等机制保证磁盘上TSF数据的一致性，本组件要求ST作者细化TSF数据可能复制的位置及其一致性保证措施

8.

1.35TSF控制切换/故障转移FPT_0VR_EXT.1FPT_OVR_EXT,L1TSF应能在主服务器节点出现故障时，依据【赋值ST作者定义授权管理员】指定的【赋值ST作者定义正常切换指令】,保证在不丢失主/备用数据库服务器节点运行事务数据基础上提供从主控节点切换到备用服务器节点能力FPT_OVR_EXT.L2TSF应能在主服务器节点出现故障时，依据【赋值ST作者定义授权管理员】指定的【赋值ST作者定义强制勿决猎今工保证只丢失主用数据库服务器节点提交事务，而不丢失备用服务器运行事务基础上提供从主控节点切换到备用服务器节点能力注TSF故障切换/转移是针对多主副本节点数据完全复制的一致性要求定义的，确保主备用数据库可用性解决方案中TSF控制切换过程和故障转移时数据不丢失

8.

1.36最高配额FRU_RSA.1FRU_RSA.L1TSF应对数据库服务器的以下资源【选择物理I/O、逻辑I/O、持久存储空间、临时存储空间、一个特定事务持续使用时间或未使用时间、I》赳苴:ST定义指定的资源列表、分配最高配额，以便【选择单个用户、预定义用户、主体】能在【选择一段指定的时间间隔内】使用注本组件重点在对数据库服务器共享资源分配提出要求，而没有对资源本身的使用提出要求因而审计要求也适用于资源的分配，而不是资源的使用多重并发会话的基本限定FTA_MCS.1FTA_MCS.

1.1TSF应限制属于同一用户的并发会话的最大数目FTA_MCS.L2TSF应缺省地限定每个用户【赋值缺省数1次会话注ST作者应规定数据库服务器可使用的最大并发会话数的缺省值；管理功能需要考虑管理员所允许的用户并发会话数最大值的管理

8.

1.38T0E访问历史FTAJTAH.1在会话成功建立的基础上,TSF应向用户显示上一次成功建立的会话的【赋值日期、时间、访问应用程序、1P地址和访问方法1在会话成功建立的基础上,TSF应显示上一次会话建立的未成功尝试的【赋值日期、时间、访问应用程序、/P呦加初访应方法】和从上一次成功的会话建立以来的不成功尝试次数如果没有向用户提供审阅访问历史信息的机会，TSF就不能从用户接口擦除该信息注本组件要求向用户呈现数据库会话相应的信息用户应能够查阅这些会话信息、，但并不强制这么做

8.

1.39TOE会话建立FTA_TSE.1FTAJSE.LITSF应能基于【选择用户身份、用户组或角色、主机标识、客户端IP、时间、【赋值ST侬者揩定属性】】拒绝数据库会话的建立注ST作者应该考虑授权管理员对会话建立条件的管理

8.

1.40TSF间可信信道FTPJTC1FTP」TCL1TSF应评估对象分布式部署时在不同节点之间提供一条共享服务器资源与控制通信信道，此信道在逻辑上与客户端与数据库服务器之间通信信道不同，其端点具有保障标识，并且能保护信道中数据免遭修改或泄露FTPJTC.

1.2TSF应允许【选择TSF、基于外部认证的鉴别服务器、肾毅苴:ST作者指定的另一个可信IT产品N经由可信信道发起通信对于【赋值需要可信信道的功能列表1,TSF应经由可信信道发起通信注本组件用户定义分布式数据管理系统中不同数据库节点需要可信信道的动作的配置

8.2安全保障要求

8.

2.1概述表9列出了EAL

2、EAL3和EAL4保障级别的数据库管理系统软件安全保障要求组件下述各条对安全保障组件给出了详细的说明表9安全保障要求组件安全保障级别保障类保障组件EAL2EAL3EAL4ADV_ARC.1安全架构描述V7AIV_FSP.2安全执行功能规范VADV_FSP.3带完整摘要的功能规范VADV_FSP.4完备的功能规范V开发ADV_IMP.1TSF实现表示VADV_TDS.1基础设计VADV_TDS.2结构化设计VADV_TDS.3基础模块设计VAGD_0PE.1操作用户指南VVV指导性文档AGD PRE.1准备程序V VALC_CMC.2CM系统的使用VALC CMC.3授权控制V生命周期ALC.CMC.4生产支持和接受程序及其自动化VALC_CMS.2部分TOE CM覆盖VALC CMS.3实现表示CM覆盖VALC_CMS.4问题跟踪CM覆盖ALC_DEL.1交付程序VALC_FLR.2缺陷报告程序ALC_FLR.3系统的缺陷纠正ALC_DVS.1安全措施标识ALC_LCD.1开发者定义的生命周期模型VALC_TAT.1明确定义的开发工具VATE_C0V.1覆盖证据ATE_COV.2覆盖分析VATE_DPT.1测试:基本设计V测试ATE_DPT.2测试安全执行模块VATE_FUN.1功能测试V VATE_IND.2独立测试一抽样V VAVA.VAN.2脆弱性分析V脆弱性分析AVA_VAN.3关注点脆弱性分析V注J代表在该保障级别下应选择的安全保障组件

8.

2.2安全架构描述ADV.ARC.1开发者行为元素:开发者应设计并实现TOE,确保TSF的安全特性不可旁路开发者应设计并实现TSF,以防止不可信主体的破坏开发者应提供TSF安全架构的描述内容和形式元素安全架构的描述应与在TOE设计文档中对SFR-执行的抽象描述的级别一致安全架构的描述应描述与安全功能要求一致的TSF安全域安全架构的描述应描述TSF初始化过程为何是安全的ADV_ARC.1AC安全架构的描述应论证TSF可防止被破坏安全架构的描述应论证TSF可防止SFR-执行的功能被旁路评估者行为元素评估者应确认提供的信息符合证据的内容和形式要求安全执行功能规范ADV_FSP.2开发者行为元素开发者应提供一个功能规范开发者应提供功能规范到安全功能要求的追溯内容和形式元素功能规范应完整地描述TSFo功能规范应描述所有的TSFI的B的和使用方法功能规范应识别和描述每个TSFI相关的所有参数ADV_FSP24c对于每个SFR-执行TSFI,功能规范应描述TSFI相关的SFR-执行行为对于SFR-执行TSFI,功能规范应描述由SFR-执行行为相关处理而引起的直接错误消息ADV_FSP26c功能规范应论证安全功能要求到TSFI的追溯评估者行为元素ADV_FSP21E评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确定功能规范是安全功能要求的一个准确且完备的实例化

8.

2.4带完整摘要的功能规范ADV_FSP.3开发者行为元素开发者应提供一个功能规范ADV_FSP.

3.2D开发者应提供功能规范到安全功能要求的追溯内容和形式元素功能规范应完全描述TSF功能规范应描述所有的TSFI的目的和使用方法功能规范应识别和描述每个TSFI相关的所有参数对于每个SFR-执行TSFI,功能规范应描述TSFI相关的SFR-执行行为对于每个SFR-执行TSFL功能规范应描述与TSFI的调用相关的安全实施行为和异常而引起的直接错误消息功能规范需总结与每个TSFI相关的SFR-支撑和SFR-无关的行为功能规范应论证安全功能要求到TSFI的追溯评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确定功能规范是安全功能要求的一个准确且完备的实例化

8.

2.5完备的功能规范ADV_FSP.4开发者应提供一个功能规范开发者应提供功能规范到安全功能要求的追溯开发者行为元素ADV_FSP41D功能规范应完全描述TSFADV_FSP42D内功能规范应描述所有的TSFI的目的和使用方法容和形式元素功能规范应识别和描述每个TSFI相关的所有参数ADV_FSP41cADV_FSP44c对于每个SFR-执行TSFI,功能规范应描述TSFI相关的所有行为ADV_FSP45c功能规范应描述可能由每个TSFI的调用而引起的所有直接错误消息ADV_FSP46c功能规范应证实安全功能要求到TSFI的追溯评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求ADV_FSP42E评估者应确定功能规范是安全功能要求的一个准确且完备的实例化

8.

2.6TSF实现表示ADV_IMP.1开发者行为元素ADV」MP.L1D开发者应为全部TSF提供实现表示ADV」MPL2D开发者应提供TOE设计描述与实现表示示例之间的映射内容和形式元素实现表示应按详细级别定义TSF,且详细程度达到无须进一步设计就能生成TSF的程度ADV」MP.L2c实现表示应以开发人员使用的形式提供ADVJMP.

1.3C TOE设计描述与实现表示示例之间的映射应能证明它们的一致性评估者行为元素对于选取的实现表示示例，评估者应确认提供的信息满足证据的内容和形式的所有要求

8.

2.7基础设计ADV_TDS.1开发者行为元素开发者应提供TOE的设计开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素ADVJTDS.L1C设计应根据子系统描述TOE的结构ADV_TDS.L2C设计应标识TSF的所有子系统设计应对每一个SFR-支撑或SFR-无关的TSF子系统的行为进行足够详细的描述，以确定它不是SFR-执行设计应概括SFR-执行子系统的SFR-执行行为ADVJTDS.L5c设计应描述TSF的SFR-执行子系统间的相互作用和TSF的SFR-执行子系统与其它TSF子系统间的相互作用映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFL评估者行为元素ADV_TDS.L1E评估者应确认提供的信息满足证据的内容与形式的所有要求评估者应确定设计是所有安全功能要求的正确且完备的实例

8.

2.8结构化设计ADVJDS.2开发者行为元素开发者应提供TOE的设计开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射内容和形式元素设计应根据子系统描述TOE的结构ADV_TDS.

2.2C TSF内部描述应证明指定的整个TSF结构合理ADV_TDS23c设计应对每一个TSF的SFR-无关子系统的行为进行足够详细的描述，以确定它是SFR-无关ADV_TDS24c设计应描述SFR-执行子系统的SFR-执行行为设计应概括SFR.执行子系统的SFR.支撑和SFR-无关行为设计应概括SFR.支撑子系统的行为ADV_TDS27c设计应描述TSF所有子系统间的相互作用映射关系应证实TOE设计中描述的所有行为能够映射到调用它的TSFL评估者行为元素ADV_TDS21E评估者应确认提供的信息满足证据的内容与形式的所有要求评估者应确定设计是所有安全功能要求的正确且完全的实例基础模块设计ADVJDS.3开发者行为元素:开发者应提供TOE的设计内容和形式元素开发者应提供从功能规范的TSFI到TOE设计中获取到的最低层分解的映射设计应根据子系统描述TOE的结构ADV_TDS35c设计应根据模块描述TSFo设计应标识TSF的所有子系统设计应描述每一个TSF子系统设计应描述TSF所有子系统间的相互作用设计应提供TSF子系统到TSF模块间的映射关系设计应描述每一个SFR-执行模块，包括它的目的及与其它模块间的相互作用设计应描述每一个SFR-执行模块，包括它的安全功能要求相关接口、其它接口的返回值、与其它模块间的相互作用及调用的接口设计应描述每一个SFR-支撑或SFR-无关模块，包括它的的目的及与其它模块间的相互作用映射关系应论证TOE设计中描述的所有行为能够映射到调用它的TSFI评估者行为元素评估者应确认提供的信息满足证据的内容与形式的所有要求评估者应确定设计是所有安全功能要求的正确且完全的实例

8.

2.10操作用户指南AGD_0PE,1开发者行为元素开发者应提供操作用户指南内容和形式元素操作用户指南应对每一种用户角色在安全处理环境中应被控制的用户可访问的功能和特权进行描述，包含适当的警示信息操作用户指南应对每一种用户角色怎样以安全的方式使用TOE提供的可用接口进行描述操作用户指南应对每一种用户角色可用的功能和接口、尤其是受用户控制的所有安全参数进行描述，适当时应指明安全值操作用户指南应对每一种用户角色与需要执行的用户可访问功能有关的每一种安全相关事件明确说明，包括改变TSF所控制实体的安全特性操作用户指南应标识TOE运行的所有可能状态（包括操作导致的失败或者操作性错误），它们与维持安全运行之间的因果关系操作用户指南应对每一种用户角色为了充分实现ST中描述的运行环境安全目的所应执行的安全策略进行描述AGD_OPE.L7c操作用户指南应是明确和合理的评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.11准备程序AGD_PRE.1开发者行为元素开发者应提供TOE,包括它的准备程序内容和形式元素准备程序应描述与开发者交付程序相一致的安全接收所交付TOE必需的所有步骤准备程序应描述安全安装TOE以及安全准备与ST中描述的运行环境安全目的一致的运行环境必需的所有步骤评估者行为元素AGD_PRE.

1.IE评估者应确认所提供的信息满足证据的内容和形式的所有要求AGD_PRE.

1.2E评估者应运用准备程序确认TOE运行能被安全的准备

8.

2.12CM系统的使用ALC_CMC.2开发者行为元素开发者应提供TOE及其参照号开发者应提供CM文档开发者应使用CM系统内容和形式元素应给TOE标记唯一参照号ALC_CMC.

2.2C CM文档应描述用于唯一标识配置项的方法ALC_CMC.

2.3C CM系统应唯一标识所有配置项评估者行为元素ALC_CMC21E评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

3.13授权控制ALC_CMC.3开发者行为元素开发者应提供TOE及其参照号ALC_CMC.

3.3D内开发者应提供CM文档容和形式元素开发者应使用CM系统ALC_CMC.

3.2C CM文档应描述用于应给TOE标记唯一参照号唯一标识配置项的方法ALC_CMC.

3.3C CM系统应唯一标识所有配置项ALC_CMC.

3.4C CM系统应提供措施使得只能对配置项进行授权变更ALC_CMC.

3.5C CM文档应包括一个CM计划ALC_CMC.

3.6C CM计划应描述CM系统是如何应用于TOE的开发过程证据应证实所有配置项都正在CM系统下进行维护ALC_CMC38c证据应证实CM系统的运行与CM计划是一致的评估者行为元素ALC_CMC31E评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.14生产支持和接受程序及其自动化ALC_CMC.4开发者行为元素开发者应提供TOE及其参照号开发者应提供CM文档开发者应使用CM系统内容和形式元素应给TOE标记唯一参照号ALC_CMC.

4.2C CM文档应描述用于唯一标识配置项的方法ALC_CMC.

4.3C CM系统应唯一标识所有配置项ALC_CMC.

4.4C CM系统应提供自动化的措施使得只能对配置项进行授权变更ALC_CMC.

4.5C CM系统应以自动化的方式支持TOE的生产ALC_CMC.

4.6C CM文档应包括CM计划ALC_CMC.

4.7C CM计划应描述CM系统是如何应用于TOE的开发的ALC_CMC.

4.8C CM计划应描述用来接受修改过的或新创建的作为TOE组成部分的配置项的程序证据应论证所有配置项都正在CM系统下进行维护证据应论证CM系统的运行与CM计划是一致的评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.15部分TOE CM覆盖ALC_CMS.2开发者行为元素开发者应提供TOE配置项列表内容和形式元素配置项列表应包括TOE本身、安全保障要求的评估证据和TOE的组成部分配置项列表应唯一标识配置项对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.2,16实现表示CM覆盖ALC_CMS.3开发者行为元素开发者应提供TOE配置项列表内容和形式元素配置项列表应包括TOE本身、安全保障要求的评估证据、TOE的组成部分和实现表示配置项列表应唯一标识配置项对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.17问题跟踪CM覆盖ALC/MS.4开发者行为元素开发者应提供TOE配置项列表内容和形式元素配置项列表应包括TOE本身、安全保障要求的评估证据、TOE的组成部分、实现表示和安全缺陷报告及其解决状态配置项列表应唯一标识配置项对于每一个TSF相关的配置项，配置项列表应简要说明该配置项的开发者评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.18交付程序ALC_DEL.1开发者行为元素开发者应将把TOE或其部分交付给消费者的程序文档化开发者应使用交付程序内容和形式元素交付文档应描述，在向消费者分发TOE版本时，用以维护安全性所必需的所有程序评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.19缺陷报告程序ALC_FLR.2开发者行为元素开发者应文档化缺陷纠正程序并提交给TOE开发者开发者应建立一个程序来接受和处理所有的安全缺陷报告并要求修正这些缺陷开发者应提供缺陷纠正指南给TOE用户内容和形式元素缺陷纠正程序文档应描述用于跟踪每一个TOE发布版本中所有已报告安全缺陷的程序缺陷纠正程序应要求描述所提供的每个安全缺陷的性质和影响，以及缺陷修正的情况ALC_FLR23c缺陷纠正程序应要求标识对每一个安全缺陷所采取的修正动作缺陷纠正程序文档应描述用于提供缺陷信息、修正和修正动作指南给TOE用户的方法缺陷纠正程序应描述开发者接收TOE用户报告并询问TOE中可疑安全缺陷的手段处理所报告的安全缺陷的程序应确保任何已报告的缺陷都已被纠正，并且纠正程序已发布给TOE用户处理所报告的安全缺陷的程序应提供预防措施，确保对这些安全缺陷的任何修正都不会引入任何新的缺陷缺陷纠正指南应描述TOE用户将TOE中任何可疑安全缺陷报告给开发者的手段评估者行为元素ALC_FLR21E评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.20系统的缺陷纠正ALJFLR.3开发者行为元素开发者应文档化缺陷纠正程序并提交给TOE开发者开发者应建立一个程序来接受和处理所有的安全缺陷报告并要求修正这些缺陷ALC_FLR33D开发者应提供缺陷纠正指南给TOE用户内容和形式元素缺陷纠正程序文档应描述用于跟踪每一个TOE发布版本中所有已报告安全缺陷的程序缺陷纠正程序应要求描述所提供的每个安全缺陷的性质和影响，以及缺陷修正的情况缺陷纠正程序应要求标识对每一个安全缺陷所采取的修正动作缺陷纠正程序文档应描述用于提供缺陷信息、修正和修正动作指南给TOE用户的方法缺陷纠正程序应描述开发者接收TOE用户报告并询问TOE中可疑安全缺陷的手段缺陷纠正程序应包含一个程序，要求及时反应并且自动分发安全缺陷报告和相应的修正给可能受到安全缺陷影响的注册用户处理所报告的安全缺陷的程序应确保任何已报告的缺陷都已被纠正，并且纠正程序已发布给TOE用户ALCLFLR38c处理所报告的安全缺陷的程序应提供预防措施，确保对这些安全缺陷的任何修正都不会引入任何新的缺陷缺陷纠正指南应描述TOE用户将TOE中任何可疑安全缺陷报告给开发者的手段缺陷纠正指南应描述TOE用户向开发者注册以便有资格接收安全缺陷报告和修正的手段ALC_FLR311c缺陷纠正指南应标识特定的联系点，以便完全地报告和询问涉及TOE的安全问题评估者行为元素ALC_FLR21E评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.21安全措施标识ALC_DVS.1开发者行为元素开发者应提供开发安全文档内容和形式元素开发安全文档应描述在TOE的开发环境中，保护TOE设计和实现的保密性和完整性所必需的所有物理的、程序的、人员的及其它方面的安全措施评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确认安全措施正在被使用

8.

2.22开发者定义的生命周期模型ALC.LCD,1开发者行为元素开发者应建立一个生命周期模型，用于TOE的开发和维护开发者应提供生命周期定义文档内容和形式元素生命周期定义文档应描述用于开发和维护TOE的模型ASE_ECD.

1.2D开发者应提供扩展组件的定义内容和形式元素生命周期模型应为TOE的开发和维护提供必要的控制评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.23明确定义的开发工具ALC.TAT.1开发者行为元素开发者应标识用于开发TOE的每个工具开发者应在文档中描述每个开发工具所选取的实现依赖选项内容和形式元素用于实现的每个开发工具都应是明确定义的每个开发工具的文档应无歧义地定义所有语句和实现用到的所有协定与命令的含义每个开发工具的文档应无歧义地定义所有实现依赖选项的含义评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求

8.

2.24覆盖证据ATE_COV.1开发者行为元素开发者应提供测试覆盖的证据内容和形式元素ATE_COV

1.1C测试覆盖的证据应表明测试文档中的测试与功能规范中的TSF接口之间的对应性评估者行为元素ATE_COVL1E评估者应确认所提供的信息满足证据的所有内容和形式要求

8.

2.25扩展组件定义ASE_ECD.1开发者行为元素开发者应提供安全要求的陈述安全要求陈述应标识所有扩展的安全要求扩展组件定义应为每一个扩展的安全要求定义一个扩展的组件扩展组件定义应描述每个扩展的组件与已有组件、族和类的关联性扩展组件定义应使用已有的组件、族、类和方法学作为陈述的模型扩展组件应由可测量的和客观的元素组成，以便于证实这些元素之间的符合性或不符合性评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应确认扩展组件不能利用已经存在的组件明确的表达

8.

2.26覆盖分析ATE/0V.2开发者行为元素开发者应提供对测试覆盖的分析内容和形式元素测试覆盖分析应论证测试文档中的测试与功能规范中TSF接口之间的对应性测试覆盖分析应论证已经对功能规范中的所有TSF接口都进行了测试评估者行为元素评估者应确认所提供的信息满足证据内容和形式的所有要求

8.

2.27测试基本设计ATE_DPT.1开发者行为元素开发者应提供测试深度分析内容和形式元素ATE_DPT,L1C测试深度分析应证实测试文档中的测试与TOE设计中TSF子系统之间的对应性测试深度分析应证实TOE设计中的所有TSF子系统都已经进行过测试评估者行为元素ATE_DPT

1.1E评估者应确认所提供的信息满足证据内容和形式的所有要求

8.

2.28测试安全执行模块ATE_DPT.2开发者行为元素开发者应提供测试深度分析内容和形式元素深度测试分析应论证测试文档中的测试与TOE设计中的TSF子系统、SFR-执行模块之间的一致性ATE_DPT22c测试深度分析应论证TOE设计中的所有TSF子系统都已经进行过测试测试深度分析应论证TOE设计中的SFR-执行模块都已经进行过测试评估者行为元素评估者应确认所提供的信息满足证据内容和形式的所有要求

8.

2.29功能测试ATE_FUN.1开发者行为元素开发者应测试TSF,并文档化测试结果开发者应提供测试文档内容和形式元素测试文档应包括测试计划、预期的测试结果和实际的测试结果测试计划应标识要执行的测试并描述执行每个测试的方案，这些方案应包括对于其它测试结果的任何顺序依赖性预期的测试结果应指出测试成功执行后的预期输出实际的测试结果应和预期的测试结果一致评估者行为元素评估者应确认所提供的信息满足证据内容和形式的所有要求

8.

2.30独立测试一抽样ATE_IND.2开发者行为元素开发者应提供用于测试的TOE内容和形式元素ATEJND.

2.1C TOE应适合测试开发者应提供一组与开发者TSF功能测试中同等的一系列资源评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应执行测试文档中的测试样本，以验证开发者的测试结果ATE」评估者应测试TSF的一个子集以确认TSF按照规定运行

8.

2.31脆弱性分析AVA_VAN.2开发者行为元素开发者应提供用于测试的TOE内容和形式元素AVA_VAN.

2.1C TOE应适合测试评估者行为元素评估者应确认所提供的信息满足证据的内容和形式的所有要求评估者应执行公共领域的调查以标识TOE的潜在脆弱性评估者应执行独立的TOE脆弱性分析去标识TOE潜在的脆弱性，在分析过程中使用指导性文档、功能规范、TOE设计和安全结构描述评估者应基于已标识的潜在脆弱性实施渗透性测试,确定TOE能抵抗具有基本攻击潜力的攻击者的攻击

8.

2.32关注点脆弱性分析AVA_VAN.3开发者行为元素开发者应提供用于测试的TOE内容和形式元素AVA_VAN.

3.1C TOE应适合测试信息安全技术数据库管理系统安全技术要求1范围本标准描述了数据库管理系统软件的体系结构、主要安全功能及其应用部署环境，定义了安全保障级别EAL

2、EAL3和EAL4面临的安全问题及其安全目的，规定了对EAL

2、EAL3和EAL4保障级数据库管理系统软件及其数据资产进行安全保护所需的安全功能组件和安全保障组件要求,给出了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间对应关系的基本原理本标准适用于数据库管理系统软件产品的测试、评估和采购，也可用于指导该类产品的研制和开发2规范性引用文件下列文件对于本文件的应用是必不可少的凡是注日期的引用文件，仅注日期的版本适用于本文件凡是不注日期的引用文件，其最新版本包括所有的修改单适用于本文件GB/T18336-2015信息技术安全技术信息技术安全评估准则GB/Z20283-2006信息安全技术信息系统保护轮廓和信息系统安全目标产生指南GB/T25069-2010信息安全技术术语GB/T28821-2012关系数据管理系统技术要求3术语、定义和缩略语

3.1术语和定义GB/T25069-

2010.GB/T18336-

2014、GB/Z20283-2006和GB/T28821-2012标准中界定的术语和定义适用于本文件

3.2缩略语下列缩略语适用于本文件DBMS数据库管理系统Database ManagementSystemRDBMS关系数据库管理系统Relational DatabaseManagement SystemSQL结构化查询语言Structured QueryLanguageXML可扩展标记语言ODBC开放数据库互联Open DatabaseConnectivityJDBC JAVA数据库互联Java DataBaseConnectivityIT信息技术Information TechnologyTOE评估对象Target ofEvaluationTSF TOE安全功能TOE Security FunctionalityDAC自主访问控制Label BasedAccess ControlLBAC基于标签的访问控制Label BasedAccess ControlRBAC基于角色的访问控制Role BasedAccess ControlDBA数据库管理员DatabaseAdministratorSA安全管理员Security AdministratorPP保护轮廓Protection ProfileST安全目标Security TargetSAR安全保障要求Security AssuranceRequirementsSFR安全功能要求Security FunctionalRequirementsSF安全功能Security FunctionSFP安全功能策略SecurityFunctionPolicyTSF评估对象安全功能TOE SecurityFunctionTSP TOE安全策略TOE SecurityPolicyTSC TSF控制范围TSF Scopeof ControlTSFITSF接口TSF InterfaceEAL评估保障级Evaluation AssuranceLevelCM配置管理Configuration Management4评估对象描述

4.1评估对象概述本标准的评估对象TOE是指建立、使用和维护数据库的数据库管理系统DBMS软件及其管理的数据资产数据库对象按照评估对象用户操纵的数据库对象类型，本标准将评估对象用户分为授权用户和授权管理员两大类a授权用户授权用户指数据库最终用户、数据库分析员、数据库设计员和数据库开发员，他们通过数据库应用程序或评估对象辅助工具与数据库管理系统进行交互，使用数据库语言定义、查询和更新授权用户拥有的或授权管理员授权的数据库对象；b授权管理员授权管理员指通过评估对象辅助工具或安全接口实施和管理评估对象的安全策略配置如访问控制策略、数据库完整性规则、数据库备份与恢复等、数据库对象结构管理的数据库管理员、数据库安全员、数据库审计员和系统管理员数据库管理系统软件产品应提供数据库定义和操纵语言如结构化查询语言SQL，允许评估对象用户使用它定义、操纵和管理数据库对象；提供数据库控制语言，通过数据模型语义约束条件维护数据库运行的数据完整性；提供数据库备份、还原与恢复机制，保证数据库系统运行中出现故障时的数据库可用性基于关系模型或扩展关系模型的数据库管理系统还应提供事务管理机制，保证多用户数据库并发操作时事务的原子性、隔离性、一致性和持久性数据库管理系统评估对象主要由实例和数据库两部分组成a数据库存放用户数据和TSF数据数据库字典的数据文件、存放数据库事务处理过程的日志文件、维护数据库运行完整性控制文件等物理文件组成存储的数据库对象包括模式对象、非模式对象、数据库字典对象等面向用户数据管理的模式对象一般包括表对象、索引对象、视图对象、约束对象、存储过程/函数、数据库触发器、物化视图等；面向数据库管理的非模式化对象包括数据库用户、数据库角色、数据库会话上下文以及与数据库存储结构有关的表空间、文件组、文件目录、数据库实例配置参数文件等；数据库字典包括模式对象描述信息和统计信息、数据库运行状态信息、数据库用户授权数据以及数据库存储结构信息等；b）实例包括查询引擎、事务管理器、数据存储管理器等部件查询引擎提供用户请求和数据库管理命令的编译、数据模式的翻译、数据语义检查与用户请求访问控制、执行计划有效生成等功能事务管理器主要是确保用户并发访问请求能高效、可靠的运行，并保证事务执行前后数据库的完整性基于关系模型的事务管理器应保证应用程序事务的原子性、持久性、一致性和隔离性数据存储管理器包括数据库服务器中的缓存管理和恢复管理器等数据库运行支撑环境组件，提供数据在外围储存设备上的物理组织与存取方法，以及管理外围存储设备和内存之间的有效存取等功能完整的评估对象除了提供数据库管理系统系统管理员手册、结构化查询语言（SQL）手册及其相的数据库管理操作指南文档外，还应提供外部程序/用户与数据库管理系统交互的调用接口规范驱动程序，以保证用户/程序与数据库管理系统实例进行交互因此评估对象一般包括以下组成部分a）数据库管理系统实例，提供下列基本功能1）通过查询引擎，响应授权用户和授权管理员请求，控制他们访问评估对象管理的用户数据、数据库字典数据等数据库对象数据；2）通过与底层操作系统、磁盘存储与网络设备的交互，存储和展现评估对象管理的用户数据、数据库字典数据等数据库对象数据；3）通过提供索引机制或不同的数据库存储方式，改变数据库中数据的存储结构和物理访问方式，提高数据库查询和更新效率；4）提供多用户并发使用数据库，处理评估对象遇到进程、系统或介质出现故障时的数据库恢复事务功能，包括保证评估对象高可用的配置参数管理功能；5）提供用户鉴别与认证和数据库对象授权管理的机制，控制用户/程序访问数据库对象的访问权限；6）提供数据库审计等授权用户/授权管理员操作是否是安全操作数据库的执行跟踪功能；7）提供数据库结构定义、外部数据装载、数据库备份与恢复、数据转储等面向数据库管理的辅助工具b）数据组织与存储管理功能:关系模型（包括扩展关系模型）是通用数据库管理系统用以描述用户数据结构及其操作的基本模型基于此类结构化数据模型，数据库分析与设计人员可以对其组织的数据进行概念模型设计，数据库开发与实施人员就可依据评估对象的结构化查询定义语句对数据库对象（表、视图、索引、约束、存储过程、触发器等）的模式结构、逻辑存储和物理存储结构、操作权限等进行定义、维护和管理c）数据库语言及其访问接口提供结构化查询语言、开放数据库互连（ODBC）、Java数据库互连（JDBC）等开发接口规范，允许授权用户通过数据库开发接口定义数据库结构、访问和修改数据库对象数据、展现数据库运行相关配置参数，以及对用户数据和DBMS相关数据执行各种维护操作等进行管理d）数据库运行维护辅助工具提供数据库管理系统实例的启动与关闭，数据库、表空间或数据文件的联机、脱机、打开与关闭，数据库检查点控制，数据库日志归档、外部数据导入等数据库运行维护辅助工具或接口与数据库管理系统交互的外部IT实体可能是下列对象a）客户端应用程序数据库用户通过应用程序与数据库服务器进行交互；b）服务器操作系统评估对象安装和运行的数据库服务器主机操作系统支撑环境；c）网络、数据存储或其它装置与服务设施实现数据库管理系统和数据库用户之间交互的网络、数据存储等基础设施；d）其它信息技术产品如应用服务器、Web服务器、认证服务器、审计服务器、分布式事务管理器等，评估对象通过与这些IT产品的交互实现数据组织、存储与管理如果数据库管理系统运行的主机操作系统不在评估对象之内，ST作者应说明依赖主机提供的相关安全特性评估对象的机密性，完整性和可用性目的应由与其进行交互的外部IT实体一起协作提供在任何情况下，评估对象应按照其管理指南对其运行环境安装配置

4.2评估对象安全功能数据库管理系统提供多种安全控制措施保证其管理数据资产安全通过鉴别和授权机制控制用户访问数据库对象的能力；通过安全审计提供授权用户和授权管理员数据库行为跟踪能力；通过资源限制策略控制访问用户使用数据库服务器资源的能力；通过数据通信与存储加密机制等提供数据通讯、处理与存储安全保护的能力这些安全服务管理能力可能由数据库管理系统本身直接提供，也可能通过其运行的IT环境间接支持数据库管理系统安全功能（TSF）主要包括a）用户标识与鉴别用户只有通过鉴别后才能通过访问控制引擎控制授权用户对数据库对象的操作数据库用户除了通过其自身的口令、指纹、令牌等机制标识与鉴别外，也可以委托支撑其运行的操作系统进行标识和鉴别或委托专门的全局验证服务器进行标识和鉴别评估对象应提供缺省的数据库管理员和系统管理员标识，并允许数据库管理系统实例在无法正常启动时能正确地鉴别这些缺省授权管理员b）授权用户管理每个授权用户有一组安全域特性，可决定下列内容可用特权和授权角色、可用存储空间（如表空间）限额、可用系统资源（如共享缓存、数据读写容量、CPU使用）限制等安全属性TSF应提供授权用户安全域管理能力，包括授权用户权限信息维护、授权用户数据的缺省存储位置等安全域特性参数管理能力c）授权管理员管理提供安全管理员、安全审计员、数据库管理员等面向数据库管理系统系统权限和对象权限管理的缺省的数据库角色授权管理员也可以面向授权用户配置其访问控制策略、定义用户标识与鉴别方式、设置数据库审计策略等数据库安全管理功能注数据库管理系统一般有预先定义多个管理角色授权管理员有能力用其指定的安全角色管理数据库管理系统例如授权管理员查看评估对象特权用户的授予权限是否进行分离（即是否内置系统管理员、安全管理员、安全审计员等不同角色）；查看是否支持最小授权原则（如系统管理员只能对支撑DBMS运行的环境系统安全性进行维护，安全管理员只能进行DBMS安全策略配置、授权设置，安全审计员只能设置审计策略、维护审计信息等）d）访问控制在确认授权用户与授权管理员（简称主体）身份以及（或）他们安全域特性基础上，TSF实施授权用户与授权管理员的授权策略，控制主体访问客体活动自主访问控制的主体可以按自己的意愿决定哪些授权用户可以访问他们的数据资源;基于角色访问控制是通过主体集合与客体权限集合之间的角色映射关系控制角色中主体访问客体数据的活动；基于标签访问控制是对主体及其所控制的客体（即各种数据库对象）指定敏感标记（简称标签），强制主体服从授权管理员定义的标签控制政策主体及客体指定的标签是敏感等级分类和非等级类别元素的组合，是TSF实施访问控制的依据TSF通过比较主体和客体的标签来决定一个主体是否能够访问某个客体用户程序不能改变它自己及任何其它客体的标签，只能由授权管理员定义他们的标签控制政策，以防止特洛伊木马等安全攻击注数据库一般提供多种访问控制，通过它们的结合使用实施一些附加的、更强的访问限制例如自主访问控制或角色访问控制可用来防范其它用户对客体对象的粗粒度攻击由于用户不能直接改变标签访问控制属性，所以标签访问控制提供了一个不可逾越的、更强的细粒度安全保护层以防止其它用户偶然或故意地滥用自主或角色访问控制一个主体只有通过了粗粒度与细粒度访问限制检查后，才能访问某个客体或客体数据e）数据库审计:安全审计提供与TSF相关的数据库操作是否被记录到数据库审计文件的机制TSF应提供最基本的数据库审计，安全管理员只要审阅审计记录便可掌握已审计的操作类型、执行操作的用户标识、操作的时间、客体对象等用户行为相关信息审计记录可以存储在数据库中专用审计表或外部操作系统上的系统文件中TSF应提供审计记录的安全保护提供高级数据库审计功能的TSF应提供基于内容的用户行为细粒度审计功能f）数据库备份与恢复评估对象运行出现故障后，利用TSF数据库备份与恢复机制实现对备份数据的还原，在数据库还原的基础上利用数据库日志进行数据库恢复，重新建立一个完整的数据库，然后继续运行数据库恢复的基础是用户基于评估对象的备份/恢复机制有效管理的数据库备份数据和数据库归档日志数据g）数据库加密为阻止直接利用操作系统工具窃取或篡改数据库文件内容，TSF提供对数据库中的敏感数据进行加密处理及密钥管理服务接口功能授权管理员无法对授权用户加密存储的数据进行正常解密，从而保证了用户数据的机密性另外，通过数据库加密，数据库的备份内容成为密文，从而能减少因备份介质失窃或丢失而造成的损失h）资源限制资源限制防止授权用户无控制地使用数据库服务器处理器（CPU）、共享缓存、数据库存储介质等数据库服务器资源，限制每个授权用户/授权管理员的并行会话数等功能数据库管理系统及其管理数据资产的安全性不是孤立的在生产环境下，操作系统、网络系统与硬件等IT环境和数据库管理系统共同构筑起评估对象的安全体系因此支持评估对象安全运行的IT环境可能提供的安全服务包括a）用户标识与鉴别数据库用户标识与鉴别可以委托支撑其运行的操作系统或委托专门的全局验证服务器进行标识和鉴别b）审计数据存储T0E运行环境对存储在数据库管理系统之外的审计记录提供安全管理服务，对所有和数据库管理系统交互的所有用户行为数据（记录）进行安全存储c）审计数据分析允许系统管理员审查存储在TOE运行环境中的审计记录，以便发现潜在的和实际的安全威胁d）IT系统资源控制允许授权管理员控制数据库管理系统对IT环境的CPU、内存、磁盘、网络带宽等资源限额的设置，以实现对用户可用的各种系统资源总量的限制ST作者应该明确说明和标识评估数据库管理系统软件的体系结构与这些IT环境各个组件之间的相互关系数据库管理系统不能提供下列非技术的安全功能a）使用评估对象的行政管理规范；组织安全策略定义的数据库物理安全、运行安全管理等相关的使用规范，包括安全问题中的数据库物理安全保护机制等假设b）保证评估对象管理数据可用性机制数据库管理系统可以对数据库服务器资源（如服务器缓存大小、CPU使用等）限额进行定义，以防止用户垄断服务器资源但评估对象无法检测或防止可能出现的物理或环境灾难、存储设备故障、对底层操作系统的黑客攻击对于这样的环境威胁，IT环境安全保障措施应提供必要的对策c）授权用户对检索数据保护职责与义务组织安全策略应定义用户使用和管理数据库管理系统的数据检索、存储和处置的责任d）授权管理员使用访问控制职责与义务数据库管理系统支持多种访问控制机制，但评估对象并不能控制授权管理员正确地设置授权策略授权管理员需要履行自己的职责，控制用户和/或组被授予只能访问的数据资产。