安全数据库产品

编号：安全数据库产品强制性认证实施规则（讨论稿）2007-xx-xx发布2007-xx-xx实施中国国家认证认可监督管理委员会发布目录1．适用范围.........................................................................12．认证模式.........................................................................13．认证的基本环节...................................................................13.1认证委托及受理...................................................................13.2型式试验委托及实施...............................................................13.3工厂审查........................................................................13.4认证结果评价与批准..............................................................13.5获证后监督......................................................................14．认证实施.........................................................................14.1认证程序........................................................................14.2认证委托及受理...................................................................24.3型式试验委托及实施...............................................................24.4工厂审查........................................................................74.5认证结果评价与批准..............................................................84.6获证后监督......................................................................85．认证证书........................................................................105.1认证证书的保持.................................................................105.2认证证书覆盖产品的扩展.........................................................115.3认证证书的暂停、注销和撤销.....................................................116．强制性产品认证标志的使用........................................................116.1准许使用的标志样式..............................................................116.2变形认证标志的使用..............................................................126.3加施方式........................................................................126.4标志位置........................................................................127．收费............................................................................12附件1：............................................................................13附件2：............................................................................161．适用范围本规则所指的安全数据库系统是指从系统设计、实现、使用和管理等各个阶段都遵循一套完整的系统安全策略的数据库系统。本规则适用的产品范围为：（1）独立的安全数据库系统软件产品；（2）集成或内置了安全数据库系统的产品。2．认证模式1）独立的安全数据库系统产品：型式试验＋工厂审查＋获证后监督2）集成或内置了安全数据库系统的产品：（1）其他强制性产品认证实施规则中已涵盖的产品：型式试验＋获证后监督（注：对于已获3C认证的产品，应按照本规则要求对未认证的检测项目进行型式试验和获证后监督。）（2）其他强制性产品认证实施规则中未涵盖的产品：型式试验＋工厂审查＋获证后监督3．认证的基本环节3.1认证委托及受理3.2型式试验委托及实施3.3工厂审查3.4认证结果评价与批准3.5获证后监督4．认证实施4.1认证程序委托人向指定的认证机构委托认证，认证机构对委托人的申请资料审1查后，由委托人按要求将样品送到指定的实验室进行型式试验；型式试验合格后，认证机构审查有关资料，并进行初始工厂检查（如适用）；认证机构对型式试验、工厂检查结果（如适用）进行综合评价，评价合格后向委托人颁发认证证书；认证机构组织对获证后的产品进行定期的监督。4.2认证委托及受理4.2.1委托时需提交的文件资料向指定认证机构提交正式委托，并随附以下文件：1）产品设计原理说明书；2）产品功能说明书；3）产品中文使用说明书/配置手册；4）产品自测情况说明；5）中文铭牌和警告标记；6）同一认证单元内各个版本之间的差异说明（如适用）；7）指定认证机构需要的其他文件。4.3型式试验委托及实施4.3.1认证的单元划分4.3.1.1按产品型号委托认证。4.3.1.2作为软件产品认证。OEM方式生产的软件产品,应按照OEM最终厂家应分为不同的认证单元。但型式试验可在原始OEM的样品上进行，试验报告可覆盖上述其他认证单元的样品。4.3.2委托型式试验时需提交的文件资料指定检测机构需要提交的文件（典型包含、但不限于以下文件）:1）产品设计原理说明书；2）产品功能说明书；3）产品中文使用说明书/配置手册；4）产品自测情况说明；25）中文铭牌和警告标记；6）同一认证单元内各个版本之间的差异说明（如适用）；7）指定检测机构需要的其他文件。4.3.3型式试验的送样4.3.3.1型式试验送样的原则认证单元中只有一个版本的，送本版本的样品。以多于一个版本的产品为同一认证单元委托认证时，应从中选取具有代表性的版本。4.3.3.2送样数量型式试验的样品由委托人负责按检测机构的要求选送，并对选送样品负责。原则上每种产品送样3套。4.3.3.3型式试验样品及相关资料的处置型式试验后，应以适当的方式处置已经确认合格的样品和/或相关资料。4.3.4检测标准、项目及方法4.3.4.1检测标准及检测项目本强制性认证实施规则检测标准是：GB/T20009-2005《信息安全技术数据库管理系统安全评估准则》GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》1．安全功能1)身份鉴别GB/T20009-2005和GB/T20273-2006中身份鉴别规定的相应等级的全部适用项目。2）自主访问控制GB/T20009-2005和GB/T20273-2006中自主访问控制规定的相应等级3的全部适用项目。3）标记GB/T20009-2005和GB/T20273-2006中标记规定的相应等级的全部适用项目。4）强制访问控制GB/T20009-2005和GB/T20273-2006中强制访问控制规定的相应等级的全部适用项目。5）数据流控制GB/T20009-2005和GB/T20273-2006中数据流控制规定的相应等级的全部适用项目。6）安全审计GB/T20009-2005和GB/T20273-2006中安全审计规定的相应等级的全部适用项目。7）用户数据完整性GB/T20009-2005和GB/T20273-2006中用户数据完整性规定的相应等级的全部适用项目。8）用户数据保密性GB/T20009-2005和GB/T20273-2006中用户数据保密性规定的相应等级的全部适用项目。9）可信路径GB/T20009-2005和GB/T20273-2006中可信路径规定的相应等级的全部适用项目。410)推理控制GB/T20009-2005和GB/T20273-2006中推理控制规定的相应等级的全部适用项目。2.SSODB自身安全保护1）SSF物理安全保护GB/T20009-2005和GB/T20273-2006中SSF物理安全保护规定的相应等级的全部适用项目。2）SSF运行安全保护GB/T20009-2005和GB/T20273-2006中SSF运行安全保护规定的相应等级的全部适用项目。3）SSF数据安全保护GB/T20009-2005和GB/T20273-2006中SSF数据安全保护规定的相应等级的全部适用项目。4）资源利用GB/T20009-2005和GB/T20273-2006中资源利用规定的相应等级的全部适用项目。5）SSODB访问控制GB/T20009-2005和GB/T20273-2006中SSODB访问控制规定的相应等级的全部适用项目。3.SSODB设计和实现1）配置管理GB/T20009-2005和GB/T20273-2006中配置管理规定的相应等级的全5部适用项目。2）分发和操作GB/T20009-2005和GB/T20273-2006中分发和操作规定的相应等级的全部适用项目。3）开发GB/T20009-2005和GB/T20273-2006中开发规定的相应等级的全部适用项目。4）文档要求GB/T20009-2005和GB/T20273-2006中文档要求规定的相应等级的全部适用项目。5）生命周期支持GB/T20009-2005和GB/T20273-2006中生命周期支持规定的相应等级的全部适用项目。6）测试GB/T20009-2005和GB/T20273-2006中测试规定的相应等级的全部适用项目。7）脆弱性评定GB/T20009-2005和GB/T20273-2006中脆弱性评定规定的相应等级的全部适用项目。4.SSODB安全管理GB/T20009-2005和GB/T20273-2006中SSODB安全管理规定的相应等级的全部适用项目。65.密码支持依照国家密码主管部门的相关规定执行。4.3.4.2检测方法依据相关产品标准的规定以及其引用的检测方法和/或标准进行检测。4.3.5型式试验的时限型式试验的检测时间一般为90个工作日（因检测项目不合格，厂商进行整改和复试的时间不计算在内）。4.4工厂审查4.4.1审查内容软件厂商审查的内容为软件厂商质量保证能力和产品一致性检查。4.4.1.1软件厂商质量保证能力审查由认证机构派审查