信息安全技术数据库管理系统安全技术要求

GB/T20273-2006信息安全技术数据库管理系统安全技术要求Informationsecuritytechnology—Securitytechniquesrequirementsfordatabasemanagementsystem自2006-12-1起执行目次前言引言1范围2规范性引用文件3术语、定义和缩略语3.1术语和定义3.2缩略语4数据库管理系统安全功能基本要求4.1身份鉴别4.1.1用户标识4.1.2用户鉴别4.2自主访问控制4.2.1访问操作4.2.2访问规则4.2.3授权传播限制4.3标记4.3.1主体标记4.3.2客体标记4.4强制访问控制4.4.1访问控制安全策略4.4.2访问控制粒度及特点4.5数据流控制4.6安全审计4.7用户数据完整性4.7.1实体完整性和参照完整性4.7.2用户定义完整性4.7.3数据操作的完整性4.8用户数据保密性4.8.1存储数据保密性4.8.2传输数据保密性4.8.3客体重用4.9可信路径4.10推理控制5数据库管理系统安全技术分等级要求5.1第一级：用户自主保护级5.1.1安全功能5.1.2SSODB自身安全保护5.1.3SSODB设计和实现5.1.4SSODB安全管理5.2第二级：系统审计保护级5.2.1安全功能5.2.2SSODB自身安全保护5.2.3SSODB设计和实现5.2.4SSODB安全管理5.3第三级：安全标记保护级5.3.1安全功能5.3.2SSODB自身安全保护5.3.3SSODB设计和实现5.3.4SSODB安全管理5.4第四级：结构化保护级5.4.1安全功能5.4.2SSODB自身安全保护5.4.3SSODB设计和实现5.4.4SSODB安全管理要求5.5第五级：访问验证保护级5.5.1安全功能5.5.2SSODB自身安全保护5.5.3SSODB设计和实现5.5.4SSODB安全管理附录A(资料性附录)标准概念说明A.1组成与相互关系A.2数据库管理系统安全的特殊要求A.3数据库管理系统的用户管理A.4数据库管理系统的安全性A.5数据库管理系统安全保护等级的划分A.6关于数据库管理系统中的主体与客体A.7关于SSODB、SSF、SSP、SFP及其相互关系A.8关于推理控制A.9关于密码技术和数据库加密参考文献前言本标准的附录A是资料性附录。本标准由全国信息安全标准化技术委员会提出并归口。本标准起草单位：北京思源新创信息安全资讯有限公司，江南计算技术研究所技术服务中心。本标准主要起草人：吉增瑞、王志强、陈冠直、际晔、孙炜、景乾元、宋健平。引言本标准用以指导设计者如何设计和实现具有所需要的安全保护等级的数据库管理系统，主要说明为实现GB17859—1999中每一个保护等级的安全要求，数据库管理系统应采取的安全技术措施，以及各安全技术要求在不同安全保护等级中具体实现上的差异。数据库管理系统是信息系统的重要组成部分，特别是对于存储和管理数据资源的数据服务器是必不可少的。数据库管理系统的主要功能是对数据信息进行结构化组织与管理，并提供方便的检索和使用。当前，常见的数据库结构为关系模式，多以表结构形式表示。数据库管理系统安全就是要对数据库中存储的数据信息进行安全保护，使其免遭由于人为的和自然的原因所带来的泄露、破坏和不可用的情况。大多数的数据库管理系统是以操作系统文件作为建库的基础。所以操作系统安全、特别是文件系统的安全便成为数据库管理系统安全的基础。当然，安全的硬件环境(即物理安全)也是必不可少的。这些显然不在数据库管理系统安全之列。数据库管理系统的安全既要考虑数据库管理系统的安全运行保护，也要考虑对数据库管理系统中所存储、传输和处理的数据信息的保护(包括以库结构形式存储的用户数据信息和以其他形式存储的由数据库管理系统使用的数据信息)。由于攻击和威胁既可能是针对数据库管理系统运行的，也可能是针对数据库管理系统中所存储、传输和处理的数据信息的保密性、完整性和可用性的，所以对数据库管理系统的安全保护的功能要求，需要从系统安全运行和信息安全保护两方面综合进行考虑。根据GB17859—1999所列安全要素及GB／T20271—2006关于信息系统安全功能要素的描述，本标准从身份鉴别、自主访问控制、标记和强制访问控制、数据流控制、安全审计、数据完整性、数据保密性、可信路径、推理控制等方面对数据库管理系统的安全功能要求进行更加具体的描述。通过推理从数据库中的已知数据获取未知数据是对数据库的保密性进行攻击的一种特有方法。推理控制是对这种推理方法的对抗。本标准对较高安全等级的数据库管理系统提出了推理控制的要求，将其作为一个安全要素。为了确保安全功能要素达到所确定的安全性要求，需要通过一定的安全保证机制来实现，根据GB／T20271—2006关于信息系统安全保证要素的描述，本标准从数据库管理系统的SSODB自身安全保护、数据库管理系统SSODB的设计和实现以及数据库管理系统SSODB的安全管理等方面，对数据库管理系统的安全保证要求进行更加具体的描述。本标准按照GB17859—1999的五个安全等级的划分，对每一个安全等级的安全功能技术要求和安全保证技术要求做详细的描述。在第4章对数据库管理系统安全功能基本要求进行简要说明的基础上，第5章分别从安全功能技术要求和安全保证技术要求两方面，对数据库管理系统安全技术的分等级要求进行了详细说明。为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强，在第5章的描述中，每一级的新增部分用“宋体加粗字”表示。信息安全技术数据库管理系统安全技术要求1范围本标准依据GB17859--1999的五个安全保护等级的划分，根据数据库管理系统在信息系统中的作用，规定了各个安全等级的数据库管理系统所需要的安全技术要求。本标准适用于按等级化要求进行的安全数据库管理系统的设计和实现，对按等级化要求进行的数据库管理系统安全的测试和管理可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB17859--1999计算机信息系统安全保护等级划分准则GB／T20271--2006信息安全技术信息系统通用安全技术要求3术语、定义和缩略语3.1术语和定义GB17859--1999和GB／T20271--2006确立的以及下列术语和定义适用于本标准。3.1.1数据库管理系统安全securityofdatabasemanagementsystem数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征。3.1.2数据库管理系统安全技术securitytechnologyofdatabasemanagementsystem实现各种类型的数据库管理系统安全需要的所有安全技术。3.1.3数据库管理系统安全子系统securitysubsystemofdatabasemanagementsystem数据库管理中安全保护装置的总称，包括硬件、固件、软件和负责执行安全策略的组合体。它建立了一个基本的数据库管理系统安全保护环境，并提供安全数据库管理系统所要求的附加用户服务。注：按照GB17859--1999对TcB(可信计算基)的定义，SSODB(数据库管理系统安全子系统)就是数据库管理系统的TCB。3.1.4SSODB安全策略SSODBsecuritypolicy对SSODB中的资源进行管理、保护和分配的一组规则。一个SSODB中可以有一个或多个安全策略。3.1.5安全功能策略securityfunctionpolicy为实现SSODB安全要素要求的功能所采用的安全策略。3.1.6安全要素securityelement本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成分。3.1.7SSODB安全功能SSODBsecurityfunction正确实施SSODB安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现，组成一个SSODB安全功能模块。一个SSODB的所有安全功能模块共同组成该SSODB的安全功能。3.1.8SSF控制范围SSFscopeofcontrolSSODB的操作所涉及的主体和客体的范围。3.1.9数据完整性dataintegrity数据完整性泛指数据库中数据的正确性和一致性，包括实体完整性、参照完整性和用户定义完整性。3.1.10实体完整性bodyintegrity关系模型中的实体完整性是指关系表中字段级的完整性，即数据类型及取值的合理性。实体完整性规则要求，数据库中表示的任一实体是可区分的。对于关系模型，实体完整性表现为关系的主属性(基本键：主键／主码)不能是空值(NULL)，也不能是重复值，即基本键的各个分量都不能为空。3.1.11参照完整性referenceintegrity关系模型中的参照完整性是指主码值和外码值表间的一致性。参照完整性规则要求，在任一时刻，如果关系R1的某些属性是关于关系R2的外键，则该外键的值必须是R2中某元组的主键值或为“空值”(空值意味着“不知道”的信息和“无意义”的信息)。参照完整性规则是“连接”关系运算正确执行的前提。3.1.12用户定义完整性userdefinedintegrity关系模型中的用户定义完整性是指字段与表之间的断言关系(即业务规则)的正确性，也就是根据业务规则(比如价格的有效范围等)所确定的完整性约束。系统提供定义和检查用户定义完整性规则的机制，其目的是用统一的方式由系统处理，而不是由应用程序完成，这样不仅可以简化应用程序，还提高了完整性保证的可靠性。3.2缩略语下列缩略语适用于本标准：SFP安全功能策略scourityfunctionpolicySSCSSF控制范围SSFscopeofcontrolSSFSSODB安全功能SSODBsecurityfunctionSSODB数据库管理系统安全子系统securitysubsystemofdatabasemanagementsystemSSPSSODB安全策略SSODBsecuritypolicy4数据库管理系统安全功能基本要求4.1身份鉴别4.1.1用户标识应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息，一般以用户名和用户ID实现。为了管理方便，可将用户分组，也可使用别名。无论用户名、用户ID、用户组还是用户别名，都要遵守标识的唯一性原则。用户标识分为：a)基本标识：应在SSF实施所要求的动作之前，先对提出该动作要求的用户进行标识；b)唯一性标识：应确保所标识用户在信息系统生存周期内的唯一性，并将用户标识与审计相关联；c)标识信息管理：应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。4.1.2用户鉴别应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验证，证明该用户确有所声称的某种身份，这些“鉴别信息”必须是保密的，不易伪造的。用户鉴别分为：a)基本鉴别：应在SSF实施所要求地动作之前，先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别：应检测并防止使用伪造或复制的鉴别数据。一方面，要求SSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求SSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用。c)一次性使用鉴别：应能提供一次性使用鉴别数据操作的鉴别机制，即SSF应防止与已标识过的鉴别机制有关的鉴别数据的重用。d)多机制鉴别：应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且SSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份。e)重新鉴别：应有能力规定需要重新鉴别用户的事件，即SSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别。4.2自主访问控制4.2.1访问操作应由数据库子语言定义，并与数据一