GAT389-2002计算机信息系统安全等级保护数据库管理系统技术要求.pdf 39页

'ics35020L096A中华人民共和国公共安全行业标准GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求Databasemanagementsystemtechnologyrequirementincomputerinformationsystemclassifiedsecurityprotection2002一07门5发布2002一07一15实施中华人民共和国公安部发布 GA/T389-2002目一次Ao}IA1范围···········.........................................................................................................2规范性引用文件······。·············，····································································。，····..一3术语和定义····························································，···································⋯⋯4数据库管理系统安全技术要求·································..··...⋯⋯，二‘.........................⋯⋯4.1身份鉴别···，······。···。，··········，······················。，，································，·····⋯⋯，，.·..·一4.1.1用户标识································..........................................................·....⋯⋯4.1.2用户鉴别··········。··································。·························..········.·.....·.···.....⋯⋯4.2自主访问控制····，·········，····，“············............I....................········.·····t··⋯4.2.1访问操作·...................................................................................·...····.·..·.⋯⋯4.2.2访问规则，··········。，···················································⋯⋯，·····⋯⋯，..·.······.·....⋯⋯4.2.3授权传播限制··················································.........................，.....·..⋯⋯4.3标记与强制访问控制··············································......······.....·.....·...·........⋯⋯4.3.1标记····································。‘·····················，·············································⋯⋯4.3.2强制访问控制·······································，································.·.·..······...·⋯⋯4.3.3访问控制粒度及特点········，··································，..·.·······.....⋯⋯，......·........⋯⋯4.4客体重用4··················，，，，·········甲··················甲，，······················⋯⋯，···4⋯⋯4.5数据库安全审计·····················································....······....·....··.....·.....·.......⋯⋯4.6数据完整性············。，·······‘··，······························“·，···········，··········。，，·········，，····⋯⋯4.6.1实体完整性和参照完整性·········⋯⋯，...·.····.·.....·........⋯⋯，...⋯⋯，...........⋯⋯‘.4.6.2用户定义完整性········································································.·.....·........·.⋯⋯4.6.3数据操作的完整性·，··········。，，········，···········，，··············⋯⋯，·········.，.....⋯⋯。。，⋯⋯4.7隐蔽信道分析··································································....······.....·...‘....·.⋯⋯4.8可信路径··············，····································································。·············.····⋯⋯4.9数据库可信恢复··················，，····························.....······.·........⋯⋯‘.甲.·⋯⋯4.10推理控制································································································.·.···⋯⋯5安全等级划分技术要求···········。，···················..·.....·.......·........·..........⋯⋯“卜。.，...⋯⋯5.1第一级:用户自主保护级·········，···········，··················‘·....······................⋯⋯，.⋯⋯5.1.1安全功能···········，·······················，············································....·...····.·..·.⋯⋯5.1.2TCB自身安全保护············，················...................···....·一，一，，甲..⋯，，，.⋯5.1.3TCB设计和实现··.............................................························...··⋯⋯，....⋯⋯5.l.4TCB安全管理·····，··········‘····································，··········，···········，······..........⋯⋯5.2第二级:系统审计保护级·.........................................................⋯⋯，..⋯，，，，⋯⋯5.2.1安全功能·····⋯⋯5.2.2TCB自身安全保护一5.2.3TCB设计和实现标准分享网www.bzfxw.com免费下载 GA/T389-20025.2.4TCB安全管理·.......................................................................................·⋯⋯125.3第三级:安全标记保护级······，·······，················‘·············，·····1····⋯⋯‘⋯’】’125.3.1安全功能·············，····················，····································，························⋯⋯125.3.2TCB自身安全保护··············································································⋯⋯“’‘二135.3.3TCB设计和实现·............................................................................................145.3.4TCB安全管理························.........................................··················⋯⋯175.4第四级:结构化保护级·······································，········，·····························。·····⋯⋯175.4.1安全功能···············，··························································。························⋯⋯175.4.2TCB自身安全保护·.........................................................................................195.4.3TCB设计和实现······················，···································，，，···‘···················⋯⋯20S.4.4TCB安全管理要求·············，，·，················。，····，·······························。。。······“‘⋯235.5第五级:访问验证保护级·················，‘····················································⋯⋯‘·‘⋯‘·’235.5.1安全功能···································································································⋯⋯235.5.2TCB自身安全保护·.........................................................................................255.5.3TCB设计和实现·，········‘·。··甲············‘·····，，···················甲，··················-⋯⋯265.5.4TCB安全管理·····························‘···················································。·。··。··⋯⋯29附录A(资料性附录)标准概念说明········································································⋯⋯30A.1组成与相互关系··························································································⋯⋯30A.2数据库管理系统安全的特殊要求·····，··············，，···················，，··················，，···⋯⋯30A.3数据库管理系统的用户管理······························，··································一’·““二”’31A.4数据库管理系统的安全性·······································································⋯⋯“二‘”31A.5数据库管理系统安全等级的划分·····································································⋯⋯31A.6关于数据库管理系统中的主体与客体·....................................................................31A.7关于数据库管理系统中的TCB,TSF和TSP···，，，甲，·，，··············，，甲，··⋯⋯，’········，····⋯⋯31A.8关于推理控制·········，·················。······································，·························⋯⋯32A.9关于密码技术和数据库加密····································································⋯⋯“·‘·33参考文献·······...........................................................................................·······⋯⋯34 GA/"r389-2002oil舀GB17859-1999《计算机信息系统安全保护等级划分准则》是我国计算机信息系统安全等级管理的重要标准，已于1999年9月13日发布。为促进安全等级管理的工作的正常有序地开展，特制定一系列相关标准，包括:—计算机信息系统安全等级保护技术要求系列标准;—计算机信息系统安全等级保护管理要求;—计算机信息系统安全等级保护工程实施要求;-一计算机信息系统安全等级保护评测系列标准。其中，计算机信息系统安全等级保护技术要求系列标准由以F标准和其他相关标准组成:GA/T390-2002计算机信息系统安全等级保护通用技术要求;GA/T387-2002计算机信息系统安全等级保护网络系统技术要求;GA/T388--2002计算机信息系统安全等级保护操作系统技术要求;GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求。本标准是计算机信息系统安全等级保护技术要求系列标准中的第4项。本标准的附录A是资料性附录。本标准由中华人民共和国公安部公共信息网络安全监察局提出。本标准由公安部信息系统安全标准化技术委员会归口。本标准起草单位:江南计算技术研究所本标准主要起草人:吉增瑞、陆哗、孙炜、徐良华、袁志平凸标准分享网www.bzfxw.com免费下载 GA/"r389-2002引言本标准是计算机信息系统安全等级保护技术要求系列标准的重要组成部分，用以指导设计者如何设计和实现具有所需要的安全等级的数据库管理系统，主要从对数据库管理系统的安全保护等级进行划分的角度来说明其技术要求，即主要说明为实现GB17859-1999中每一个保护等级的安全要求对数据库管理系统应采取的安全技术措施，以及各安全技术要求在不同安全级中具体实现仁的差异本标准按照GB17859-1999五个安全等级的划分，对每一个安全等级的安全功能技术要求和安全保证技术要求做了详细描述。本标准中有关概念的说明见附录A。本标准参考的主要文件已列人参考文献中。 GA/T389-2002计算机信息系统安全等级保护数据库管理系统技术要求范围本标准规定了按照GB17859-1999对数据库管理系统进行安全保护等级划分所需要的详细技术要求本标准适用于按照GB17859-1999的安全等级保护要求所进行的数据库管理系统的设计和实现。对于按照GB17859-1999安全等级保护要求对数据库管理系统进行的测试、管理也可参照使用。2规范性引用文件下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准GB17859-1999计算机信息系统安全等级划分准则GA/T390-2002计算机信息系统安全等级保护通用技术要求3术语和定义GB17859-1999和GA/T390-2002确立的以及下列术语和定义适用于本标准。3.1实体完整性bodyintegrity实体完整性规则要求数据库中表示的任一实体是可区分的。对于关系模型，实体完整性表现为关系的主属性(主键、主码)不能是空值(NULL)，也不能是重复值，即指基本键的各个分量都不能为空。因为在关系数据库中，基本键唯一地标识各个实体。基本键为空，意味着该实体没有确定的标志，也就不能与其他实体相区别。在基本键为联合键的情况下，如果其值的某个分量为空，就意味着实体的某个属性值未知，也不能与其他实体相区别。3.2参照完整性referenceintegrity关系模型中的参照完整性是指，在任一时刻，关系RI的某些属性是关于关系x2的外键，则该外键的值必须是x2中某元组的主键值或为“空值”。空值意味着“不知道”的信息和“无意义”的信息(它不是空字符串或空格字符串，也不是零值或任何其他数值)。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。3.3用户定义完整性userdefinedintegrity是指根据应用(比如价格的有效范围等)所确定的完整性约束。系统提供定义和检查用户定义完整性规则的机制，其目的是用统一的方式由系统处理，而不是由应用程序完成，这样不仅可以简化应用程序，还提高了完整性保证的可靠性。标准分享网www.bzfxw.com免费下载 GA/T389一20024数据库管理系统安全技术要求4门身份鉴别4门.1用户标识应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息，一般以用户名和用户ID实现。为了管理方便.可将用户分组，也可使用别名。无论用户名、用户ID、用户组还是用户别名，都要遵守标识的唯一性原则。用户标识包括:a)基本标识:应在TSF实施所要求的动作之前，先对提出该动作要求的用户进行标识。b)唯一性标识应确保所标识用户在计算机信息系统生命周期内的唯一性，并将用户标识与审计相关联。c)标识信息管理应对用户标识信息进行管理、维护，确保其不被非授权地访问、修改或删除。41.2用户鉴别应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的‘.鉴别信息”的验证，证明该用户确有所声称的某种身份，这些“鉴别信息”必须是保密的，不易伪造的。用户鉴别包括:a)基本鉴别:应在TSF实施所要求地动作之前，先对提出该动作要求的用户成功地进行鉴别。b)不可伪造鉴别:应检测并防止使用伪造或复制的鉴别数据一方面，要求TSF应检测或防止由任何别的用户伪造的鉴别数据，另一方面，要求TSF应检测或防止当前用户从任何其他用户处复制的鉴别数据的使用c)一次性使用鉴别:应能提供一次性使用鉴别数据操作的鉴别机制，即TSF应防止与已标识过的鉴别机制有关的鉴别数据的重用d)多机制鉴别:应能提供不同的鉴别机制，用于鉴别特定事件的用户身份，并且TSF应根据所描述的多种鉴别机制如何提供鉴别的规则，来鉴别任何用户所声称的身份e)重新鉴别:应有能力规定需要重新鉴别用户的事件，即TSF应在需要重鉴别的条件表所指示的条件下，重新鉴别用户。例如，用户终端操作超时被断开后，重新连接时需要进行重鉴别4.2自主访问控制4.2门访问操作应由数据库子语言定义，并与数据一起存放在数据字典中。对任何SQ工_对象进行操作应有明确的权限许可，并月_权限随着操作和对象的变化而变化，安全系统应有能力判断这种权限许可。操作与对象紧密相联，即把“操作+对象”作为一个授权。表1列出了GRANT(授权)语句对象类型与相关操作表门GRANT语句的对象类型与相关操作对象操作基本表SEIEC1、INSERT、IJPDAI飞、1)EI_ETE、1吸IGGER、REFERENCES视图SEIE(、T、INSERI’、Ul〕DATE、DEIETE、REFEREN(二ES列SEI_ECT、INSERT、UPDATE、REFERENCES域USAGE字符集US八(JE一-一-一—排序一USA(妥E"...一一一一一一一一转换USAGESQI调用EXE(二UTEUDf1]NDER表中，除USAGE和UNDER外，其余操作均符合SQ工、语句中使用的动词。 GA/"r389-20024.2.2访问规则应以访问控制表或访问矩阵的形式表示，并通过执行相应的访问控制程序实现。每当执行SQI语句、有访问要求出现时，通过调用相应的访问控制程序，实现对访问要求的控制。4.2.3授权传播限制应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限，同时拥有将该权限授予其他用户的权力时，该用户才拥有对该授权的传播权。为了增强数据库系统的安全性，需要对授权传播进行某些限制。4.3标记与强制访问控制4.3门标记4.3门.1主体标记TSF应为主体指定敏感标记，这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据4.3-，.2客体标记TSF应为客体指定敏感标记，这些敏感标记是等级分类和非等级类别的组合，是实施强制访问控制的依据4.3.2强制访问控制应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模型将TCB安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规则—从下读、向上写，根据访问者主体和被访问者客体的敏感标记，实现主、客体之间每次访问的强制性控制。根据数据库管理系统的运行环境的不同，强制访问控制分为:a)在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统，访问控制所需的敏感标记存储在统一的数据库字典中，使用单一的访问规则实现。b)在网络环境的多机系统上运行的分布式数据库系统，全局应用的强制访问控制应在全局DBMS层实现，局域应用的强制访问控制应在局部DBMS层实现。其所采用的访问规则是一致的。4.3.3访问控制粒度及特点应根据数据库特点和不同安全等级的不同要求，实现不同粒度的访问控制。这些特点主要是a)数据以特定结构格式存放，客体的粒度可以是:关系数据库的表、视图、元组(记录)、列(字段)、元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、DBMS核心代码、用户应用程序、存储过程、触发器、各种访问接口等。b)数据库系统有完整定义的访问操作，如表1所示。c)数据库是数据与逻辑的统一。数据库中不仅存放了数据，还存放了大量的用于管理和使用这些数据的程序，这些程序和数据同样需要进行保护，以防止未授权的使用、篡改、增加或破坏d)数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、逻辑独立性)大大减轻数据库应用程序的维护工作量，但是由于不同的逻辑结构可能对应于相同的物理结构，给访问控制带来新的问题.应对访问规则进行一致性检查。e)分布式数据库管理系统中，全局应用的访问控制应在全局DBMS层实现，局部应用的访问控制应在局部DBMS层实现，并根据需要各自选择不同的访问控制策略4.4客体重用数据库管理系统大量使用的动态资源，多由操作系统分配。实现客体安全重用的操作系统和数据库管理系统应满足以下要求:a)数据库管理系统提出资源分配要求，如创建新库，数据库设备初始化等，所得到的资源不应包含该客体以前的任何信息内容标准分享网www.bzfxw.com免费下载 GA/T389---2002b>数据库管理系统提出资源索回要求，应确保这些资源中的全部信息被清除。c)数据库管理系统要求创建新的数据库用户进程，应确保分配给每个进程的资源不包含残留信息。d)数据库管理系统应确保已经被删除或被释放的信息不再是可用的。4.5数据库安全审计数据库管理系统的安全审计应:a)建立独立的安全审计系统b)定义与数据库安全相关的审计事件c)设置专门的安全审计员。d)设置专门用于存储数据库系统审计数据的安全审计库。e)提供适用于数据库系统的安全审计设置、分析和查阅的工具。4-6数据完整性4.6门实体完整性和参照完整性a)数据库管理系统应确保数据库中的数据具有实体完整性和参照完整性。关系之间的参照完整性规则是“连接”关系运算正确执行的前提。b)用户定义基本表时，应说明主键、外键，被引用表、列和引用行为。当数据录人、更新、删除时，由数据库管理系统应根据说明自动维护实体完整性和参照完整性。4.6.2用户定义完整性a)数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性规则的机制，其目的是用统一的方式由系统处理，而不是由应用程序完成，从而不仅可以简化应用程序，还提高了完整性保证的可靠性。b)数据库管理系统应支持为约束或断言命名(或提供默认名称)，定义检查时间、延迟模式或设置默认检查时间和延迟模式，支持约束和断言的撤消。4.6.3数据操作的完整性数据操作的完整性约束为a)用户定义基本表时应定义主键和外键。b)对于候选键，应由用户指明其唯一性。c)对于外键，用户应指明被引用关系和引用行为。d)应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求，不允许提交任何违反完整性的事务。e)删除或更新某元组时，数据库管理系统应检查该元组是否含有外键，若有，应根据用户预定义的引用行为进行删除。4.7隐蔽信道分析数据库管理系统的隐蔽信道分析与数据库管理系统的设计密切相关，应在系统开发过程中进行系统开发者应搜索隐蔽信道，并根据实际测量或工程计算确定每一个被标识的隐蔽信道的最大带宽。4.8可信路径在数据库用户进行注册或进行其他安全性操作时，应提供TCB与用户之间的可信通信通路，实现用户与TSF间的安全数据交换4.9数据库可信恢复数据库管理系统中的可信恢复具有特定含义，主要应包括:a)确保TSF能在确定不减弱保护的情况下启动安全数据库系统的DBMSb)运行中发生故障或异常情况时，能够在尽量短的时间内恢复到正确、一致、有效的状态，这个状态对于系统运行是正常、安全的状态，并且对于应用来说是一个真实、有意义的状态 GA/T389-2002c)与可信恢复相关的数据库技术有事务管理、日志、检查点、备份、分布式数据库特殊处理等。4门0推理控制应采用推理控制的方法防止数据库中的数据信息被非授权地获取。运用推理方法获取权限以外的数据库信息，是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中，应考虑对这种攻击的防御。安全等级划分技术要求按GB17859-1999对各个级别的不同要求，本部分主要从十个安全要素以及与数据库管理系统安全关系较为密切的推理控制，对安全功能的技术要求和安全保证技术要求作详细描述。表2给出了按GB17859-1999所描述的每一个安全等级对十个安全要素及安全推理的不同要求。表2每个安全级的安全功能要求飞赢之理用户自主保护级系统审计保护级安全标记保护级结构化保护级访问验证保护级自主访问控制+++++十++十+++强制访问控制++十斗一卡一朴标记+++++身份鉴别++++++++++++客体重用++++丰+审计+++十++++++数据完整性+++++十++十隐蔽信道分析+++可信路径+++可信恢复十推理控制十+注is+一一表示有要求注2:+十—表示有进一步要求.注3:+十+—表示有更进一步要求.注4:+十++-一表示有更高要求。下面对每一安全级的具体技术要求分别进行描述。其中“加粗宋体”表示所描述的内容在该级中第一次出现。5.1第一级:用户自主保护级5.1门安全功能5.1门.1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述，按GA/T390-2002中6.1-3.1身份鉴别的要求，设计数据库管理系统的身份鉴别功能。本安全等级要求a)用户标识应根据4.1.1的描述，按照GA/T390-2002中6.1.3.1.1的要求设计b)用户鉴别应根据4.1.2的描述，按照GA/T390-2002中6.1.3:1.2的要求设计c)凡需进人数据库管理系统的用户，应先进行标识(建立账号)d)数据库管理系统用户标识应使用用户名和用户标识(UID).e)采用口令进行身份鉴别，并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的，并标准分享网www.bzfxw.com免费下载 GA/T389-2002在存储时有安全保护5.1门.2自主访问控制应根据4.2中访问操作、访问规则和授权传播的描述，按GA/T390-2002中6.1.3.2的要求，设计数据库管理系统的自主访问控制功能。本安全等级要求;允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体的共享。5.1门.3数据完整性应根据4.6的描述，按GA/T390-2002中6.1.3.3的要求，设计数据库管理系统的数据完整性功能。本安全等级要求:a)对数据库管理系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能b)对数据库管理系统中处理的数据，应根据4.6-1,4.6.2,4.6.3的描述，按GA/T390-2002中6.1.3.3的要求实现实体完整性、参照完整性和用户定义完整性，按回退的要求设计相应的TCB安全功能模块，进行异常情况的事务回退，以确保数据的完整性。5.1.2TCB自身安全保护5.1-2.1TSF保护应按GA/T390--2002中6.1.4.1的要求，设计数据库管理系统的TSF保护。本安全等级中，数据库管理系统TSF保护的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。c)数据库管理系统应进行分层设计，对数据库管理系统程序和用户程序要进行隔离d)应提供设置和升级配置参数的安装机制。在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。5.1.2.2资源利用应按照GA/T390-2002中6.1-4.2的要求，设计数据库管理系统的资源利用。在本安全级中，资源利用设计的具体要求为:a)通过一定措施确保当系统出现某些确定的故障时，TSF也能维持正常运行。b)采取适当的策略，按有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配。。)按资源分配中最大限额的要求，进行TCB资源的管理和分配，确保用户和主体不会独占某种受控资源5-1-2.3TCB访问控制应按GA/丁390-2002中6.1.4.3的要求，设计数据库管理系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。5.1.3TCB设计和实现5.，3门配置管理应按照GA/T390-2002中6.1.5.1的要求，设计数据库管理系统TCB的配置管理。本安全级的 GA/T389-2002具体要求为:应具有基本的配置管理能力，即要求开发者所使用的版本号与所表示的TCB样本完全对应。5.，3.2分发和操作应按照GA/T390-2002中6.1.5.2的要求，设计数据库管理系统的TCB分发和操作。本安全级的具体要求为:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程。—安全启动和操作的过程。b)对系统的未授权修改的风险，应在交付时控制到最低限度。包装及安全分送和安装过程中的安全性由末端用户确认，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的软件是严格按照最新的版本制作的。5.1.33开发应按照GA/T390-2002中6.1.5.3的要求，进行数据库管理系统TCB的开发。本安全级的具体要求为:a)按非形式化功能说明、描述性高层设计、TSF子集实现、TSF内部结构模块化、描述性低层设计和非形式化对应性说明的要求，进行’rCB的开发b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门d)交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令、密钥，不应在未受保护的程序或文档中以明文形式存储，应以书面形式提供给用户关于软件所有权法律保护的指南。5.1.3.4指导性文档应按照GA/T390-2002中6.1-5.4的要求，编制TCB的指导性文档。本安全级的具体要求为:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章条插人到管理员指南和用户指南中。5.1.35生命周期支持应按照GA/T390-2002中6.1.5.5的要求，设计数据库管理系统的TCB。本安全级的具体要求为a)按开发者定义生命周期模型进行TCB开发。b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态标准分享网www.bzfxw.com免费下载 GA/T389-20025门.I6测试应按照GA/T390-2002中6.1.5.6的要求，对数据库管理系统的TCB进行测试。本安全级的具体要求为:a)通过一般功能测试和相符性独立测试，确认TCB的功能与所要求功能的一致性。b)所有系统的安全特性，应被全面测试。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果5.1.4TCB安全管理应按照GA/T390-2002中6.1.6的要求，实现TCB的安全管理。本安全级的具体要求为:a)对TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置等有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、身份鉴别、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试等所涉及的有关内容设计TCB安全管理。5.2第二级:系统审计保护级5.2门安全功能5.2门，1身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述，按GA/T390-2002中6.2-3.1身份鉴别的要求，设计数据库管理系统的身份鉴别功能本安全等级要求:a)用户标识应根据4.1.1的描述，按照GA/T390-2002中6.2.3.1.1的要求设计b)用户鉴别应根据4.1.2的描述，按照GA/T390-2002中6.2.3.1.2的要求设计。c)凡需进人数据库管理系统的用户，应先进行标识〔建立账号)d)数据库管理系统用户标识应使用用户名和用户标识(UID)，并在数据库管理系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。e)采用口令进行身份鉴别，并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的，并在存储和传输时有安全保护。5.2.1.2自主访问控制应根据4.2中访问操作、访问规则和授权传播的描述，按照GA/T390-2002中6.2.3.3的要求设计自主访问控制功能。本安全等级要求:。)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体的共享b)用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限c)自主访问控制的粒度应是表级。d)自主访问控制应与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任5.2.1.3客体重用应根据4.4的要求，按GA/丁390-2002中6.2.3.4的要求设计数据库管理系统的客体重用功能。本安全等级要求:应确保动态分配与管理的资源，在保持信息安全的情况下被再利用，主要包括:—确保非授权用户不能查找使用后返还系统的记录介质中的信息内容。—确保非授权用户不能查找系统现已分配给他的记录介质中以前的信息内容。 GA/T389-20025.2.14审计应根据4.5的描述，按GA/T390-2002中6.2-2.3的要求，设计审计功能。本安全等级要求:审计功能的设计应与用户标识与鉴别、自主访问控制等安全功能的设计紧密结合5.2门5数据完整性应根据4.6的描述，按GA/T39。一2002中6.2.3.5的要求，设计数据库管理系统的数据完整性功能。本安全等级要求:a)在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误b)对数据库管理系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。c)对数据库管理系统中处理的数据，应根据4.6.1A.6.2,4.6.3的描述，按照GA/T390-2002中6.2.3.5的要求实现实体完整性、参照完整性和用户定义完整性，按回退的要求设计相应的TCB安全功能模块，进行异常情况的事务回退，以确保数据的完整性5.2.2TCB自身安全保护5.2.2.1TSF保护应按GA/T390-2002中6.2.4.1的要求，设计数据库管理系统的TSF保护。本安全等级中，数据库管理系统TSF保护的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。c)数据库管理系统应进行分层设计，对数据库管理系统程序和用户程序要进行隔离。d)应提供设置和升级配置参数的安装机制，在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。e)当数据库管理系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制。f)在TCB失败或中断后，应保护文本以最小的损害得到恢复。并按照失败保护中所描述的内容，实现对TSF出现失败时的处理。5.2.2.2资源利用应按照GA/T390--2002中6.2-4.2的要求，设计数据库管理系统的资源利用。在本安全级中，资源利用设计的具体要求为:a)通过一定措施确保当系统出现某些确定的故障时，TSF也能维持正常运行。b)采取适当的策略，按有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配。c)按资源分配中最大限额的要求，进行TCB资源的管理和分配，确保用户和主体不会独占某种受控资源。d)确保在被授权的主体发出请求时，资源能被访问和利用e)当系统的服务水平降低到预先规定的最小值时，应能检测和报警。5.2.2.3TCB访问控制应按GA/T390-2002中6.2.4.3的要求，设计数据库管理系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，标准分享网www.bzfxw.com免费下载 GA/T389-2002TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份。登录机制不允许认证机制本身被旁路。e)成功登录系统后，TCB应向用户显示以下数据:—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;应显示口令到期的天数;成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法5.2.3TCB设计和实现5.2-3.1配置管理应按照GA/T390-2002中6.2.5.1的要求，设计数据库管理系统TCB的配置管理。本安全级的具体要求为:a)在配置管理能力方面应实现对版本号、配置项、授权控制等方面的要求。b)配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下。c)在系统的整个生存期，即在它的开发、测试和维护期间，只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分所有改变应被记载和检查，以确保不危及系统的安全。通过技术、物理和保安规章三方面的结合，充分保护生成系统所用到的源码免遭未授权的修改和毁坏。在软件配置管理系统中，应包含以下方面的工具规程:—从源码产生出系统新版本;—鉴定新生成的系统版本;—保护源码免遭未授权修改。5.2-3.2分发和操作应按照GA/T390-2002中6.2.5.2的要求，设计数据库管理系统的TCB分发和操作。本安全级的具体要求为:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;-一安全启动和操作的过程;一一建立日志的过程。b)对系统的未授权修改的风险，应在交付时控制到最低限度。包装及安全分送和安装过程中的安全性由末端用户确认，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的软件是严格按照最新的版本制作的5.2-3.3开发应按照GA月’390--2002中6.2.5.3的要求，进行数据库管理系统TCB的开发。本安全等级的具体要求为:a)按非形式化功能说明、完全定义的外部接口、描述性高层设计、TSF子集实现、TSF内部结构模块化和层次化、描述性低层设计、非形式化对应性说明以及非形式化安全策略模型的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，多重输人的正确处理，10 GA/"r389-2002返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户e)系统控制数据，如口令、密钥，不应在未受保护的程序或文档中以明文形式存储，应以书面形式提供给用户关于软件所有权法律保护的指南。5.2.34指导性文档应按照GA/T390-2002中6.2.5.4的要求，编制TCB的指导性文档。本安全级的具体要求为:。)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等。c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。d)应提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程等。e)应提供如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)和为灾害恢复计划所做的建议，以及描述普通侵入技术和其他威胁，并查出和阻止它们的方法。5，235生命周期支持应按照GA/T390-2002中6.2.5.5的要求，设计数据库管理系统的TCB。本安全级的具体要求为:a)按开发者定义生命周期模型进行TCB开发，并提供开发过程中的安全措施说明。b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。c)如果系统含有加强安全性的硬件，那么管理员、终端用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程5.2-3.6测试应按照GA/T390-2002中6.2-5.6的要求，对数据库管理系统的TCB进行测试。本安全级的具体要求为:a)通过一般功能测试和相符性独立测试、测试的范围分析、高层设计的测试，确认TCB的功能与所要求功能的一致性。b)所有系统的安全特性，应被全面测试。包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。c)应提供测试文档，详细描述测试计划、测试过程、测试结果。5.2.3.7脆弱性评定应按照GA/T390--2002中6.2-5.7的要求，对所开发的TCB进行脆弱性评定。本安全级的具体要求为:从指南检查、TCB安全功能强度评估和开发者脆弱性分析等方面进行脆弱性评定。标准分享网www.bzfxw.com免费下载 GA/T389-20025.2.4TCB安全管理应按照GA/T390-2002中6.2.6的要求，实现TCB的安全管理。本安全级的具体要求为:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、身份鉴别、客体重用、审计、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。5.3第三级:安全标记保护级5.3.1安全功能5.3.1门身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述，按GA/T390-2002中6.3-3.1的要求，设计数据库管理系统的身份鉴别功能。本安全等级要求:a)用户标识应根据4.1.1的描述，按照GA/T390-2002中6.3.3.1.1的要求设计用户标识功能。b)用户鉴别应根据4.1.2的描述，按照GA/T390-2002中6.3.3.1.2的要求设计用户鉴别功能c)凡需进人数据库管理系统的用户，应先进行标识(建立账号)。d)数据库管理系统用户标识应使用用户名和用户标识(UID)，并在数据库管理系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性。e)采用口令和/或高强度的安全机制，如IC卡信息、人体生物特征信息等特殊信息进行身份鉴别，并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的，并在存储和传输时按GA/T390-2002中6.3-3.8条的要求进行保护5.3.12自主访问控制应根据4.2中访问操作、访问规则和授权传播的描述，按照GA/T390-2002中6.3.3.3的要求设计自主访问控制功能。本安全级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体的共享。b)用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限。c)自主访问控制的粒度应是表级/记录、字段级。d)自主访问控制应与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)应限制授权传播，要求对不可传播的授权进行明确定义提供支持，由系统自动检查并限制这些授权的传播。5.3.1.3标记应根据4.3.1的描述，按GA/T390-2002中6.3.3.4的要求进行标记功能的设计。本安全级要求:数据库用户的敏感标记，应在用户建立注册账户后由系统安全员通过TCB所提供的安全员界面操作进行标记，而客体的敏感标记则在数据输人到由TCB安全功能所控制的范围内时以默认方式生成或由安全员通过操作界面进行标记。5.3.1.4强制访问控制应根据4.3.2的描述，按照GA/T390-2002中6.3.3.5的要求，设计数据库管理系统的强制访问控制功能。本安全等级应:a)将强制访问控制的范围应限定在所定义的主体与客体，并且，强制访问控制的客体粒度应是表12 GA/T389-2002级和/记录、字段级b)应将系统的常规管理、与安全有关的管理以及审计管理，分别由数据库系统管理员、系统安全员和系统审计员来承担，按最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并在它们之间形成相互制约的关系。5.3.1.5客体重用应根据4.4的要求，按GA/T390-2002中6.3-3.6的要求设计客体重用功能。本安全等级要求:由数据库管理系统和支持数据库系统的操作系统共同保证信息不因资源的动态分配而遭泄露。如果操作系统不支持客体安全重用功能，数据库管理系统每次进行资源分配时，应确保清除其中包含的残留信息。5.3.1.6审计应根据4.5的描述，按GA/T390-2002中6.3.2.4的要求，设计审计功能。本安全等级要求:a)审计功能的设计应与用户标识与鉴别、自主访问控制、标记与强制访问控制等安全功能的设计紧密结合。b)对与标识及强制访问控制等安全机制有关的内容，如敏感标记的操作等进行审计。c)对网络环境下运行的数据库管理系统，应建立分布式的审计系统，统一进行管理和控制。5.3.1.7数据完整性应根据4.6的描述，按GA/T390-2002中6.3.3.7的要求，设计数据完整性功能。本安全等级要求:a)在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误。b)对数据库管理系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。c)对数据库管理系统中处理的数据，应根据4.6-1,4.6.2,4.6.3的描述，按照GA/T390-2002中6.3.3.7的要求实现实体完整性、参照完整性和用户定义完整性，按回退的要求设计相应的TCB安全功能模块，进行异常情况的事务回退，以确保数据的完整性。5.3.2TCB自身安全保护5.3.2.1TSF保护应按GA/T390-2002中6.3-4.1的要求，设计数据库管理系统的TSF保护本安全等级的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构口c)数据库管理系统应进行分层设计，对数据库管理系统程序和用户程序要进行隔离。d)应提供设置和升级配置参数的安装机制，在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。e)当数据库管理系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制。f)在TCB失败或中断后，应保护文本以最小的损害得到恢复。并按照失败保护中所描述的内容，实现对TSF出现失败时的处理9)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密方式传送。h)系统应为数据库系统管理员提供一种机制，来产生安全参数值的详细报告。t3标准分享网www.bzfxw.com免费下载 GA/T389-20025.32.2资源利用应按GA/T390-2002中6.3-4,2的要求，设计数据库管理系统的资源利用。本安全等级的具体要求为:a)通过一定措施确保当系统出现某些确定的故障时，TSF也能维持正常运行。b)采取适当的策略，按有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB资源的管理和分配c)按资源分配中最大限额的要求，进行TCB资源的管理和分配，确保用户和主体不会独占某种受控资源。d)确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和报警。幻系统应提供软件及数据备份和恢复的机制。9)系统应能提供命名的或用户可访问的系统资源的修改历史记录。5.3-2.3TCB访问控制应按GA/T390-2002中6.3.4.3的要求，设计数据库管理系统的TCB访问控制。本安全等级要求a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。。)按最小级会话建立机制。对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路。e)成功登录系统后，TCB应向用户显示以下数据:—日期、时间、来源和上次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值g)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户。h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互。i)系统应提供一种机制，能按时间、进人方式、地点、网络地址或端口等条件规定哪些用户能进人系统。5‘33TCB设计和实现5-3-3.1配置管理应按GA/T390-2002中6.3-5.1的要求，设计数据库管理系统TCB的配置管理。本安全等级的具体要求为:a)在配置管理自动化方面要求部分的配置管理自动化。b)在配置管理能力方面应实现对版本号、配置项、授权控制等方面的要求。c)配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪d)在系统的整个生存期，即在它的开发、测试和维护期间，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的 GA/T389-2002基本部分。所有改变应被记载和检查，以确保不危及系统的安全。通过技术、物理和保安规章三方面的结合，充分保护生成系统所用到的源码免遭未授权的修改和毁坏。在软件配置管理系统中，应包含以下方面的工具规程:—从源码产生出系统新版本;—鉴定新生成的系统版本;—保护源码免遭未授权修改。5.13.2分发和操作应按GA/T390-2002中6.3.5.2的要求，设计数据库管理系统的TCB分发和操作。本安全等级的具体要求为:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;—安全启动和操作的过程;—建立日志的过程;—修改检测的内容;—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—在故障或硬件、软件出错后恢复系统至安全状态的规程;—对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;—所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;—在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制的方式，安全性由末端用户确认，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的软件是严格按照最新的版本制作的。f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决9)应以书面形式向用户通告新的全问题。h)可能受到威胁的所有的安全问题，均应描述其特点，并被作为主要的问题对待，直到它被解决或在用户同意下降级使用。i)为了支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档说明，并提交用户。J)安全漏洞应及时修改。安全功能的增加和改进应独立于系统版本的升级。k)没有用户授权，不应在正进行生产性运行的系统上实施新特性和简易原型的开发、测试和安装。U新版本不应违反最初的安全策略和设想，应避免在维护、增加或功能升级中引人安全漏洞。所有功能的改变和安全结构设置的默认值都应在文档中被记录。在新版本交付用户使用时，用户应能得到相应的文档。5.113开发应按GA/T390-2002中6.3.5.3的要求，进行数据库管理系统TCB的开发。本安全等级的具体15标准分享网www.bzfxw.com免费下载 GA/T389-2002要求为:a)按非形式化功能说明、完全定义的外部接口、安全加强的高层设计、TSF完全实现、TSF内部结构模块化和层次化、描述性低层设计、非形式化对应性说明以及非形式化安全策略模型的要求，进行TCB的开发。b)系统的设计和开发应保护数据的完整性.例如，检查数据更新的规则，多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令、密钥，不应在未受保护的程序或文档中以明文形式存储，应以书面形式提供给用户关于软件所有权法律保护的指南。f)在数据库管理系统开发的敏感阶段，应保持一个安全环境，该安全环境要求:—描述数据库管理系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书面记载，并可供检查;—系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;一一除授权的分发机构外，不应在开发环境外部复制或分发内部文档;-—开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;一一开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统5,3.3,4指导性文档应按GA/T390-2002中6.3.S.4的要求，编制TCB的指导性文档。本安全等级的具体要求为:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等。c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。d)应提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程等。e)应提供如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)和为灾害恢复计划所做的建议，以及描述普通侵人技术和其他威胁，并查出和阻止它们的方法f)安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:—在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装;—在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;—如何用安全的方法重建部分TCB(如内核)的方法(如果允许在系统上重建TCB);一说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;—必要时，如何调整系统的安全默认配置。 GA/T389--20025.115生命周期支持应按GA/T390-2002中6.3.5.5的要求，确定数据库管理系统TCB的生命周期支持。本安全等级的具体要求为:a)按标准的生命周期模型进行开发，提供安全措施说明，并明确定义开发工具。b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。c)如果系统含有加强安全性的硬件，那么管理员、终端用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。5-3-3.6测试应按GA/T390-2002中6.3.5.6的要求，对数据库管理系统的TCB进行测试。本安全等级的具体要求为a)应通过一般功能测试和抽样性独立测试，测试的范围分析，高层设计测试、低层设计测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致b)所有系统的安全特性，应被全面测试包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞c)应提供测试文档，详细描述测试计划、测试过程、测试结果。5.3-3.7脆弱性评定应按GA/T390-2002中6.3.5.7的要求，对所开发的TCB进行脆弱性评定。本安全等级的具体要求为:a)从指南检查、分析确认，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析等方面进行脆弱性评定5.3.4TCB安全管理应按GA/T390-2002中6.3.6TCB的要求，实现TCB的安全管理本安全等级的具体要求为:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的女装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体重用、审计、数据完整性和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。的将数据库系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“最小授权原则’，分别授予他们各自为完成自身任务所需的最小权限，并形成相互制约的关系。5.4第四级:结构化保护级5.4.1安全功能5.4.1门身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述，按GA/丁390-2002中6.4-3.1的要求，设计数据库管理系统的身份鉴别功能。本安全等级要求:a)用户标识应根据4.1.1的描述，按GA/T390-2002中6.4.3.1.1的要求设计用户标识b)用户鉴别应根据4.1.2的描述，按GA/T390-2002中6.4.3.1.2的要求设计用户鉴别口c)凡需进人数据库管理系统的用户，应先进行标识(建立账号)d)数据库管理系统用户标识应使用用户名和用户标识(U工D)，并在数据库管理系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、U工n等之间的一致性。e)采用口令和/或高强度的安全机制，如IC卡信息、人体生物特征信息等特殊信息进行身份鉴17标准分享网www.bzfxw.com免费下载 GA/r389-2002别，并要求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的，并在存储和传输时按GA/T390-2002中6.4.3.10的要求进行保护。5.4.1.2自主访问控制应根据4.2中访问操作、访问规则和授权传播的描述，按照GA/T390-2002中6.4.3.3的要求设计自主访问控制功能。本安全级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享，并阻止非授权用户对客体的共享。b)用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限c)自主访问控制的粒度应是记录、字段级/元素级d)自主访问控制应与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。e)应限制授权传播，要求对不可传播的授权进行明确定义提供支持，由系统自动检查并限制这些授权的传播。5.4.，.3标记应根据4.3.1的描述，按GA/T390-2002中6.4.3.4的要求进行标记功能的设计。本安全等级要求:a)数据库用户的敏感标记，应在用户建立注册账户后由系统安全员通过TCB所提供的安全员界面操作进行标记，而客体的敏感标记则在数据输人到由TCB安全功能所控制的范围内时以默认方式生成或由安全员通过操作界面进行标记。b)将标记扩展到信息系统中的所有主体与客体，对于从TCB控制外输人到数据库系统中的未标记信息进行默认标记或由安全管理员进行标记。对于输出到TCB控制范围以外的数据，如打印输出的数据时，应明显地表示出该数据的安全标记。5.4.1.4强制访问控制应根据4.3.2的描述，按GA/T390-2002中6.4.3.5的要求，设计数据管理系统的强制访问控制功能。本安全等级应:a)将强制访问控制扩展到数据库管理系统的所有主体与客体，并且，强制访问控制的客体粒度应是记录、字段级b)应将系统的常规管理、与安全有关的管理以及审计管理，分别由数据库系统管理员、系统安全员和系统审计员来承担，按最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并在它们之间形成相互制约的关系。5.4门.5客体重用应根据4.5的描述，按GA/T390-2002中6.4.3.6的要求进行设计本安全等级要求:a)由数据库管理系统和支持数据库系统的操作系统共同保证信息不因资源的动态分配而遭泄露。如果操作系统支持客体安全重用功能，数据库管理系统仅需保证数据库系统中逻辑上被删除的信息是物理删除的或是不能再用的;如果操作系统不支持客体安全重用功能，数据库管理系统每次进行新资源分配时，应删除其中包含的残留信息。b)在释放存储重要信息的资源时，应采用特殊的方法对其残留的信息进行彻底清除5.4.1.6审计应根据4.5的要求，按GA/T39。一2002中6.4.2.4的要求，设计审计功能。本安全等级要求:a)审计功能的设计应与用户标识与鉴别、自主访问控制、标记与强制访问控制等安全功能的设计紧密结合。b)对与标识及强制访问控制等安全机制有关的内容，如安全属性的操作等进行审计。is GA/T389-2002c)对网络环境下运行的数据库管理系统，应建立分布式的审计系统，并以审计中心进行管理和控制。5.4.1.7数据完整性应根据4.6的描述，按GA/T390-2002中6.4.3.7的要求，设计数据库管理系统的数据完整性功能。本安全等级要求:a)在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误b)对数据库管理系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能。。)对数据库管理系统中处理的数据，应根据4.6.1,4.6.2,4.6.3的描述，按GA/T390-2002中6.4.3.7的要求实现实体完整性、参照完整性和用户定义完整性，按回退的要求设计相应的TCB安全功能模块，进行异常情况的事务回退，以确保数据的完整性5.4.1.8隐蔽信道分析应根据4.7的描述，按GA/T390-2002中6.4,3.8的要求，进行隐蔽存储信道分析5.4门.9可信路径在对用户进行初始登录和鉴别时或在用户与TCB间进行数据传送时，应根据4.8的描述的和GA/T390-2002中6.4-3.9的要求进行可信路径的设计5.4.1门0推理控制应根据4.10的要求和附录A.8所描述的推理方法、用于推理的信息以及防止推理的方法实现推理控制。5.4.2TCB自身安全保护5.4-2.1TSF保护应按GA/T390-2002中6.4-4.1的要求，设计数据库管理系统的TSF保护。本安全等级中，数据库管理系统丁SF保护的具体要求为:a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人口。b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构c)数据库管理系统应进行分层设计，对数据库管理系统程序和用户程序要进行隔离d)应提供设置和升级配置参数的安装机制，在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义。e)当数据库管理系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制。f)在TCB失败或中断后，应保护文本以最小的损害得到恢复。并按照失败保护中所描述的内容，实现对TSF出现失败时的处理。9)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统，如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密方式传送。h)系统应为数据库系统管理员提供一种机制，来产生安全参数值的详细报告。5.4-2.2资源利用应按GA/T390-2002中6.4.4.2的要求，设计数据库管理系统的资源利用。在本安全级中，资源利用设计的具体要求为:a)通过一定措施确保当系统出现某些确定的故障时，TSF也能维持正常运行。b)采取适当的策略，按有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB19标准分享网www.bzfxw.com免费下载 GA/r389-2002资源的管理和分配。)按资源分配中最大限额的要求，进行‘FCB资源的管理和分配，确保用户和主体不会独占某种受控资源。d)确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和报警。f)系统应提供软件及数据备份和恢复的机制。9)系统应能提供命名的或用户可访问的系统资源的修改历史记录5.4-2.3TCB访问控制应按GA/T390-2002中6.4-4.3的要求，设计数据库管理系统的TCB访问控制。本安全等级要求:a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制。b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路。。)成功登录系统后，TCB应向用户显示以下数据:一日期、时间、来源和上次成功登录系统的情况;一上次成功访问系统以来身份识别失败的情况;一应显示口令到期的大数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值。9)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互1)系统应提供一种机制，能按时间、进人方式、地点、网络地址或端口等条件规定哪些用户能进人系统5.4.3TCB设计和实现5.4.3门配置管理应按GA/T390-2002中6.4-5.1的要求，设计数据库管理系统TCB的配置管理。本安全等级的具体要求为:。)在配置管理自动化方面要求部分的配置管理自动化。b)在配置管理能力方面应实现对版本号、配置项、授权控制、生成支持和验收过程及进一步的支持等方面的要求。。)配置管理范围方面，应将丁CB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪，还应包括开发工具配置管理。d)在系统的整个生存期.即在它的开发、测试和维护期问，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分所有改变应被记载和检查，以确保不危及系统的安全。通过技术、物理和保安规章三方面的结合，充分保护生成系统所用到的源码免遭未授权的修改和毁坏。在软件配置管理系统中，应包含以下方面的工具规程:-一从源码产生出系统新版本;20 GA/T389-2002—鉴定新生成的系统版本;—保护源码免遭未授权修改5.4.3.2分发和操作应按GA/T390-2002中6.4.5.2的要求，设计数据库管理系统的TCB分发和操作。本安全等级的具体要求为:a)应以文档形式提供对丁CB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;-一一安全启动和操作的过程;—建立日志的过程;—修改检测的内容;—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—在故障或硬件、软件出错后恢复系统至安全状态的规程;—对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;—所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;一在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度。在包装及安全分送和安装过程中，这种控制应采取软件控制的方式，安全性由末端用户确认，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装，并应有一套规程确保当前送给用户的软件是严格按照最新的版本制作的f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决9)应以书面形式向用户通告新的安全问题。h)可能受到威胁的所有的安全问题，均应描述其特点，并被作为主要的问题对待，直到它被解决或在用户同意下降级使用:)为r支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档说明，并提交用户。1)安全漏洞应及时修改安全功能的增加和改进应独立于系统版本的升级。k)没有用户授权，不应在正进行生产性运行的系统上实施新特性和简易原型的开发、测试和安装1)新版本不应违反最初的安全策略和设想，应避免在维护、增加或功能升级中引入安全漏洞。所有功能的改变和安全结构设置的默认值都应在文档中被记录在新版本交付用户使用时，用户应能得到相应的文档。5.4.3.3开发应按GA/T390-2002中6.4-5.3的要求，进行数据库管理系统TCB的开发。本安全等级的具体要求为:a)按半形式化功能说明，半形式化高层设计，TSF的结构化实现，TSF内部结构复杂度最小化，半形式化低层设计，半形式化一致性说明，以及半形式化的TCB安全策略模型的要求，进行TCB的开发21标准分享网www.bzfxw.com免费下载 GA/T389-2002系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，多重输人的正确处理，返回状态的检查，中间结果的检查，合理值输人检查，事务处理更新的正确性检查等。、C产在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。JU!有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。、e卫厂系统控制数据，如口令、密钥，不应在未受保护的程序或文档中以明文形式存储，应以书面形式提供给用户关于软件所有权法律保护的指南。护、中.1/在数据库管理系统开发的敏感阶段，应保持一个安全环境，该安全环境要求:—描述数据库管理系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书面记载，并可供检查;—系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;—除授权的分发机构外，不应在开发环境外部复制或分发内部文档;开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统。5.4.3.4指导性文档应按GA/T390-2002中6.4-5.4的要求，编制TCB的指导性文档。本安全等级的具体要求为:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明示用户的保护结构，并解释它们的用途和提供有关它们使用的指南。b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问。d)应提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程等。e)应提供如何进行系统自我评估的章节(带有网络管理、口令要求、拨号访问控制、意外事故计划的安全报告)和为灾害恢复计划所做的建议，以及描述普通侵人技术和其他威胁，并查出和阻止它们的方法。f>安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:-一在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装;-一在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;一如何用安全的方法重建部分‘I"CB〔如内核)的方法(如果允许在系统上重建TCB);—说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;—必要时，如何调整系统的安全默认配置5.4-3.5生命周期支持应按GA/T390-2002中6.4.5.5的要求，设计数据库管理系统的TCB。本安全等级的具体要求为:a)按标准的生命周期模型进行开发，提供充分的安全措施，应用部分的工具和技术应遵照实现 GA/T389-2002标准。b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态c)如果系统含有加强安全性的硬件，那么管理员、终端用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。5,4.3.6测试应按GA/T3902002中6.4.5.6的要求，对数据库管理系统的TCB进行测试。本安全等级的具体要求为:a)应通过一般功能测试和抽样性独立测试，严格的测试范围分析，高层设计测试、低层设计测试、实现表示测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致。b)所有系统的安全特性，应被全面测试。包括查找漏洞.如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，且没有引出新的漏洞。。)应提供测试文档，详细描述测试计划、测试过程、测试结果。5.4_17脆弱性评定应按GA/T390-2002中6.4-5.7的要求对所开发的TCB进行脆弱性评定。本安全等级的具体要求为从一般性的隐蔽信道分析，指南检查、分析确认、对安全状态的检查和分析，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析、中级抵抗力分析等方面进行脆弱性评定5.4.4TCB安全管理要求应按GA/T390-2002中6.4.6的要求，实现TCB的安全管理。本安全等级的具体要求为:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能，制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理。c)将数据库系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“最小授权原则”分别授予他们各自为完成自身任务所需的最小权限，并形成相互制约的关系55第五级:访问验证保护级5.5.1安全功能5.5门门身份鉴别身份鉴别应包括对用户的身份进行标识和鉴别。应根据4.1的描述，按GA/丁390-2002中6.5.3.1的要求，设计数据库管理系统的身份鉴别功能。本安全等级要求:a)用户标识应根据4.1.1的描述，按GA/丁390-2002中6.5.3.1.1的要求设计用户标识功能。b)用户鉴别应根据4.1.2的描述，按GA/T390-2002中6.5.3.1.2的要求设计用户鉴别功能c)凡需进人数据库管理系统的用户，应先进行标识<建立账号，。d)数据库管理系统用户标识应使用用户名和用户标识(UID)，并在数据库管理系统的整个生命周期实现用户的唯一性标识，以及用户名或别名、UID等之间的一致性e)采用口令和/或高强度的安全机制，如IC卡信息、人体生物特征信急等特殊信息进行身份鉴别，并耍求在每次用户登录系统时进行鉴别。鉴别信息应是不可见的，并在存储和传输时按GA/丁390一2002中6.5.3.10的要求讲行侯护标准分享网www.bzfxw.com免费下载 GA/"r389-20025.5.1.2自主访问控制应根据4.2中访问操作、访问规则和授权传播的描述，按GA/T390-2002中6.5-3.3的要求设计白主访问控制功能。本安全等级要求:a)允许命名用户以用户和/或用户组的身份规定并控制对客体的共享.并阻止非授权用户对客体的共享b)用目录表访问控制、存取控制表访问控制、能力表访问控制等访问控制表访问控制确定主体对客体的访问权限。C)自主访问控制的粒度应是记录、字段级/元素级。d)自主访问控制应与身份鉴别和审计相结合，通过确认用户身份的真实性和记录用户的各种成功的或不成功的访问，使用户对自己的行为承担明确的责任。。)应限制授权传播，要求对不可传播的授权进行明确定义提供支持，由系统自动检查并限制这些授权的传播。5.5门.3标记应根据4.3.1的描述，按GA门、390-2002中6.5-3.4的要求设计标记功能。本安全等级要求:a)数据库用户的敏感标记，应在用户建立注册账户后由系统安全员通过TCB所提供的安全员界面操作进行标记，而客体的敏感标记则在数据输人到由TCB安全功能所控制的范围内时以默认方式生成或由安全员通过操作界面进行标记。b)将标记扩展到信息系统中的所有主体与客体，对于从TCB控制外输人到数据库系统中的未标记信息进行默认标记或由安全管理员进行标记对于输出到TCB控制范围以外的数据，如打印输出的数据时，应明显的表示出该数据的安全标记。5.5门.4强制访问控制应根据4.3.2的描述，按GA/T390-2002中6.5-3.5的要求，设计数据管理系统的强制访问控制功能。本安全等级应:a)将强制访问控制扩展到数据库管理系统的所有主体与客体，并且，强制访问控制的客体粒度应是记录、字段和/元素级b)应将系统的常规管理、与安全有关的管理以及审计管理，分别由数据库系统管理员、系统安全员和系统审计员来承担，按最小授权原则分别授予它们各自为完成自己所承担任务所需的最小权限，并在它们之间形成相互制约的关系。5.5.1-5客体重用应根据4.4的要求，按GA/T390-2002中6.5.3.6的要求设计客体重用功能。本安全等级要求:a)由数据库管理系统和支持数据库系统的操作系统共同保证信息不因资源的动态分配而遭泄露。如果操作系统支持客体安全重用功能，数据库管理系统仅需保证数据库系统中逻辑上被删除的信息是物理删除的或是不能再用的;如果操作系统不支持客体安全重用功能，数据库管理系统每次进行新资源分配时，应删除其中包含的残留信息。b)在释放存储重要信息的资源时，应采用特殊的方法对其残留的信息进行彻底清除5.5门.6审计应按照4.5的描述，按GA/T390-2002中6.5.2.4的要求，设计审计功能。本安全等级要求:a)审计功能的设计应与用户标识与鉴别、自主访问控制、标记与强制访问控制等安全功能的设计紧密结合。b)对与标识及强制访问控制等安全机制有关的内容，如安全属性的操作等进行审计口对网络环境下运行的数据库管理系统，应建立分布式的审计系统，并以审计中心进行管理和控制。 GA/T389-20025，5.1.了数据完整性应根据4.6的描述，按GA/T390-2002中6.5-3.7的要求，设计数据库管理系统的数据完整性功能。本安全等级要求:a)在对数据进行访问操作时，检查以库结构形式存储在数据库中的用户数据是否出现完整性错误。b)对数据库管理系统内部进行的数据传输，如进程间的通信，应提供保证数据完整性的功能c)对数据库管理系统中处理的数据，应根据4.6.1,4.6.2,4.6.3的描述，按GA/T390-2002中6.5-3.7的要求实现实体完整性、参照完整性和用户定义完整性，按回退的要求设计相应的TCB安全功能模块，进行异常情况的事务回退。以确保数据的完整性。5.5.1.8隐蔽信道分析应根据标准4.7的描述，按GA/T390-2002中6.5,3.8的要求，进行隐蔽信道分析5.5.1-9可信路径在对用户进行初始登录和鉴别时或在用户与TCB间进行数据传送时，应根据4.8的描述，按GA/T390-2002中6-5.3.9的要求进行可信路径的设计。5.5门.10可信恢复应根据4.9的描述，按GA/T390--2002中6.5-2.6的要求，进行可信恢复的功能设计5.5门.11推理控制应根据附录A.8中描述的推理方法、用于推理的信息以及防止推理的方法中对数据重新分级或对约束重新分级的方法实现推理控制。5.5.2TCB自身安全保护5.5-2.1TSF保护应按GA/T390-2002中6.5-4,1的要求，设计数据库管理系统的丁SF保护。本安全等级的具体要求为a)系统在设计时不应留有“后门”。即不应以维护、支持或操作需要为借口，设计有违反或绕过安全规则的任何类型的人口和文档中未说明的任何模式的人「7,b)安全结构应是一个独立的、严格定义的系统软件的一个子集，并应防止外部干扰和破坏，如修改其代码或数据结构。c)数据库管理系统应进行分层设计，对数据库管理系统程序和用户程序要进行隔离d)应提供设置和升级配置参数的安装机制，在初始化和对与安全有关的数据结构进行保护之前，应对用户和管理员的安全策略属性应进行定义e)当数据库管理系统安装完成后，在普通用户访问之前，系统应配置好初始用户和管理员职责、审计参数、系统审计跟踪设置以及对客体的合适的访问控制f)在TCB失败或中断后，应保护文本以最小的损害得到恢复。并按照失败保护中所描述的内容，实现对TSF出现失败时的处理。9)系统应能识别由通信渠道接收的信息的来源者，所有待确认的数据应能从进人点被安全地传送到确认系统」如口令不应由公共的或共享的网络以明文发送，可使用数据加密设备或通过加密信道用加密方式传送。h)系统应为数据库系统管理员提供一种机制，来产生安全参数值的详细报告。5.5.2.2资源利用应按GA/T390--2002中6.5.4.2的要求，设计数据库管理系统的资源利用。本安全等级的具体要求为:a)通过一定措施确保当系统出现某些确定的故障时，丁SF也能维持正常运行。b)采取适当的策略，按有限服务优先级提供主体使用TSC内某个资源子集的优先级，进行TCB2弓标准分享网www.bzfxw.com免费下载 GA/T389-2002资源的管理和分配。C按资源分配中最大限额的要求，进行TCB资源的管理和分配，确保用户和主体不会独占某种受控资源d)确保在被授权的主体发出请求时，资源能被访问和利用。e)当系统的服务水平降低到预先规定的最小值时，应能检测和报警。f)系统应提供软件及数据备份和恢复的机制。9)系统应能提供命名的或用户可访问的系统资源的修改历史记录5.5-2.3TCB访问控制应按GA/T390-2002中6.5.4.3的要求，设计数据库管理系统的TCB访问控制。本安全等级要求a)按可选属性范围限定最小级的要求，选择某种会话安全属性的所有失败的尝试，对用来建立会话的安全属性的范围进行限制b)按多重并发会话限定中基本限定的要求，进行会话管理的设计。在基于基本标识的基础上，TSF应限制系统的并发会话的最大数量，并应利用默认值作为会话次数的限定数。c)按最小级会话建立机制，对会话建立的管理进行设计。d)在建立TCB会话之前，应认证用户的身份，不允许认证机制被旁路e)成功登录系统后，TCB应向用户显示以下数据:—日期、时间、来源和七次成功登录系统的情况;—上次成功访问系统以来身份识别失败的情况;—应显示口令到期的天数;—成功或不成功的事件次数的显示可以用整数计数、时间戳列表等表述方法。f)在规定的未使用时限后，系统应断开会话或重新认证用户，系统应提供时限的默认值9)系统应提供锁定用户键盘的机制，键盘开锁过程应要求验证用户。h)当用户认证过程不正确的次数达到系统规定的次数时，系统应退出登录过程并终止与用户的交互。i)系统应提供一种机制，能按时间、进入方式、地点、网络地址或端口等条件规定哪些用户能进人系统。5.5.3TCB设计和实现5.5.I，配置管理应按GA/T390-2002中6.5-5.1的要求，设计数据库管理系统TCB的配置管理。本安全等级的具体要求为:a)在配置管理自动化方面要求完全的配置管理自动化。b)在配置管理能力方面应实现对版本号、配置项、授权控制、生成支持和验收过程及进一步的支持等方面的要求c)配置管理范围方面，应将TCB的实现表示、设计文档、测试文档、用户文档、管理员文档以及配置管理文档等置于配置管理之下，要求实现对配置管理范围内的问题，特别是安全缺陷问题进行跟踪，还应包括开发工具配置管理。d)在系统的整个生存期，即在它的开发、测试和维护期问，应有一个软件配置管理系统处于保持对改变源码和文件的控制状态。只有被授权的代码和代码修改才允许被加进已交付的源码的基本部分。所有改变应被记载和检查，以确保不危及系统的安全。通过技术、物理和保安规章三方面的结合，充分保护生成系统所用到的源码免遭未授权的修改和毁坏。在软件配置管理系统中，应包含以下方面的工具规程:--一从源码产生出系统新版本; GA/T389-2002—鉴定新生成的系统版本;—保护源码免遭未授权修改。5.5-3.2分发和操作应按GA/T390-2002中6.5-5.2的要求，设计数据库管理系统的TCB分发和操作。本安全等级的具体要求为:a)应以文档形式提供对TCB安全地进行分发的过程，以及安装、生成和启动的过程进行说明，并最终生成安全的配置。文档中所描述的内容应包括:—提供分发的过程;—安全启动和操作的过程;—建立日志的过程;—修改检测的内容:—对任何安全加强功能在启动、正常操作维护时能被撤消或修改的阐述;—一在故障或硬件、软件出错后恢复系统至安全状态的规程;一对含有加强安全性的硬件部件，应说明用户或自动的诊断测试的操作环境和使用方法;一一所有诊断测试过程中，为加强安全性的硬件部件所提供例证的结果;—在启动和操作时产生审计踪迹输出的例证。b)对系统的未授权修改的风险，应在交付时控制到最低限度在包装及安全分送和安装过程中，这种控制应采取软件控制的方式，安全性由末端用户确认，所有安全机制都应以功能状态交付。c)所有软件应提供安全安装默认值，在客户不做选择时，默认值应使安全机制有效地发挥安全功能。d)随同系统交付的全部默认用户标识码，应在交付时处于非激活状态，并在使用前由管理员激活。e)用户文档应同交付的软件一起包装并应有一套规程确保当前送给用户的软件是严格按照最新的版本制作的f)以安全方式开发并交付系统后，仍应提供对产品的长期维护和评估的支持，包括产品中的安全漏洞和现场问题的解决9)应以书面形式向用户通告新的安全问题。h)可能受到威胁的所有的安全问题，均应描述其特点，并被作为主要的问题对待，直到它被解决或在用户同意下降级使用。1)为了支持已交付的软件的每个版本，对所有已有的安全漏洞都应有文档说明，并提交用户。J)安全漏洞应及时修改。安全功能的增加和改进应独立于系统版本的升级。k)没有用户授权，不应在正进行生产性运行的系统上实施新特性和简易原型的开发、测试和安装。ll新版本不应违反最初的安全策略和设想，应避免在维护、增加或功能升级中引人安全漏洞。所有功能的改变和安全结构设置的默认值都应在文档中被记录。在新版本交付用户使用时，用户应能得到相应的文档5.5.3.3开发应按GA/T390-2002中6.5-5.3的要求、进行数据库管理系统丁CB的开发。本安全等级的具体要求为:a)按形式化功能说明，形式化高层设计，TSF的结构化实现，TSF内部结构复杂度最小化，半形式化低层设计，形式化一致性说明，以及形式化的TCB安全策略模型的要求，进行TCB的开发标准分享网www.bzfxw.com免费下载 GA/T389-2002b)系统的设计和开发应保护数据的完整性，例如，检查数据更新的规则，多重输人的正确处理，返回状态的检查，中间结果的检查合理值输人检查，事务处理更新的正确性检查等。c)在内部代码检查时，应解决潜在的安全缺陷，关闭或取消所有的后门。d)有交付的软件和文档，应进行关于安全缺陷的定期的和书面的检查，并将检查结果告知用户。e)系统控制数据，如口令、密钥，不应在未受保护的程序或文档中以明文形式存储，应以书面形式提供给用户关于软件所有权法律保护的指南f)在数据库管理系统开发的敏感阶段，应保持一个安全环境，该安全环境要求:—描述数据库管理系统开发所使用的计算机系统的安全使用和维护情况的安全策略和措施应有书面记载，并可供检查;-一系统开发过程中使用的所有计算机系统应接受定期的和有书面记载的内部安全审计，描述审计过程的文件和真实的审计报告应可供检查;—除授权的分发机构外，不应在开发环境外部复制或分发内部文档;—开发环境的计算机系统使用的所有软件应当合法地从确定的渠道获得;一开发者个人独自开发的软件，应在被开发管理者审核后才能用于开发的系统5.53.4指导性文档应按GA/T390-2002中6.5.5.4的要求，编制TCB的指导性文档。本安全等级的具体要求为:a)用户文档应提供关于不同用户的可见的安全机制以及如何利用它们的信息，描述没有明不用户的保护结构，并解释它们的用途和提供有关它们使用的指南b)安全管理员文档应提供有关如何设置、维护和分析系统安全的详细指导，包括当运行一个安全设备时，需要控制的有关功能和特权的警告，以及与安全有关的管理员功能的详细描述，包括增加和删除一个用户、改变主、客体的安全属性等。c)文档中不应提供任何一旦泄露将会危及系统安全的信息。有关安全的指令和文档应划分等级分别提供给用户、数据库系统管理员和系统安全员。这些文档应为独立的文档，或作为独立的章节插人到管理员指南和用户指南中。文档也可为硬拷贝、电子文档或联机文档。如果是联机文档应控制对其的访问d)应提供关于所有审计工具的文档，包括为检查和保持审计文件所推荐的过程、针对每种审计事件的详细审计记录文件、为周期性备份和删除审计记录所推荐的过程等。。)应提供如何进行系统自我评估的章节(带有网络管理、CA令要求、拨号访问控制、意外事故计划的安全报告)和为灾害恢复计划所做的建议，以及描述普通侵人技术和其他威胁，并查出和阻止它们的方法。f)安全管理员文档应提供安全管理员了解如何用安全的方式管理系统，除了给出一般的安全忠告，还要明确:一在系统用安全的方法设置时，围绕用户、用户账户、用户组成员关系、主体和客体的属性等，应如何安装或终止安装;一一在系统的生命周期内如何用安全的方法维护系统，包括为了防止系统被破坏而进行的每天、每周、每月的安全常规备份等;一如何用安全的力法重建部分TCB(如内核)的方法(如果允许在系统L重建TCB);—说明审计跟踪机制，使授权用户可以有效地使用审计跟踪来执行本地的安全策略;一一必要时，如何调整系统的安全默认配置5.5.15生命周期支持应按GA/T390-2002中6.5.5.5生命周期支持的要求，设计数据库管理系统的TCB。本安全等级的具体要求为:a)应按可测量的生命周期模型进行开发，提供充分的安全措施，所有部分的工具和技术应遵照实28 GA/T389-2002现标准。b)文档应详细阐述安全启动和操作的过程，详细说明安全功能在启动、正常操作维护时是否能被撤消或修改，说明在故障或系统出错时如何恢复系统至安全状态。c)如果系统含有加强安全性的硬件，那么管理员、终端用户或自动的诊断测试，应能在各自的操作环境中运行它并详细说明操作过程。5.5.I6测试应按GA/T390-2002中6.5.5.6的要求，对数据库管理系统的‘CCB进行测试。本安全等级的具体要求为:a)应通过一般功能测试和完全性独立测试，严格的测试范围分析，高层设计测试、低层设计测试、实现表示测试，顺序的功能测试等，确认TCB的功能与所要求的功能相一致b)所有系统的安全特性，应被全面测试包括查找漏洞，如允许违反系统访问控制要求、允许违反资源访问控制要求、允许拒绝服务、允许多审计或验证数据进行未授权访问等。所有发现的漏洞应被改正、消除或使其无效，并在消除漏洞后重新测试，以证实它们已被消除，日_没有引出新的漏洞C应提供测试文档，详细描述测试计划、测试过程、测试结果。5.5.3.7脆弱性评定应按GA/T390-2002中6.5.5.7的要求对所开发的TCB进行脆弱性评定。本安全等级的具体要求为从系统化的隐蔽信道分析，指南检查、分析确认、对安全状态的检查和分析，TCB安全功能强度评估，开发者脆弱性分析、独立脆弱性分析、高级抵抗力分析等方面进行脆弱性评定。5.5.4TCB安全管理应按GA/T390-2002中6.5.6TCB安全管理所描述的要求，实现TCB的安全管理。本安全等级的具体要求为:a)对相应的TCB的访问控制、鉴别控制、审计和安全属性管理等相关的功能，以及与一般的安装、配置和维护有关的功能.制定相应的操作、运行规程和行为规章制度。b)根据本级中安全功能技术要求所涉及的自主访问控制、标记、强制访问控制、身份鉴别、客体重用、审计、数据完整性、隐蔽信道分析、可信路径、可信恢复和安全保证技术要求所涉及的配置管理、分发和操作、开发、指导性文档、生命周期支持、测试、脆弱性评定等所涉及的有关内容设计TCB安全管理c)将数据库系统管理员、安全员和审计员等重要安全角色分别设置专人担任，并按“最小授权原则”分别授予他们各自为完成自身任务所需的最小权限，并形成相互制约的关系。标准分享网www.bzfxw.com免费下载 GA/"r389--2002附录A(资料性附录)标准概念说明A.1组成与相互关系一个安全的数据库管理系统，无论其安全等级达到《准则》所规定的哪一个级，都应从安全功能和安全保证两方面考虑其安全性。安个功能主要说明数据库管理系统所实现的安全策略和安全机制符合《准则》中哪一级的要求，安全保证则是通过一定的方法保证数据库管理系统所提供的安全功能确实达到了确定的功能要求。本标准描述数据库管理系统的每一安个级所应达到的安全功能要求和安全保证要求。图A.I给出木标准的主要组成成分与相互关系。1等级划分..|厂访问验证保护级.1卜结构化保护级||.比安全标记保护级|esl叫系统审计保护级几隐月口r苗c数蔽设B客据信可可推自计安体完道信信理身与全用户自主保护级重审整分路恢控安实管用计性析径复制全现理I一-J一一以一一~以一匕一一土一一日一一一』二一一1—L一二一-土~安全特性图A门数据库管理系统技术要求的组成与相互关系A.2数据库管理系统安全的特殊要求数据库管理系统(DBMS)是指对对以库结构形式存储在计算机系统中的数据进行管理的人机系统。安全的数据库管理系统需要有相应的安全硬件、安全操作系统来支持，并在硬件、软件和人员管理方面有自身的特殊要求硬件方面，由于数据库存放大量数据,DBMS自身体积大，因此对硬件资源提出了较高要求，主要是:应有足够大的内存用来运行操作系统、DBMS核心模块和应用程序及作为数据缓冲区;应有大容量的直接存取存储设备和用作数据备份的存储介质(如磁带等);一应有较高的数据传输能力，应尽量降低因安全策略叻口加密传输、事务管理)的实施带来的附加开销，保证系统的可用性;一实现某些安全功能(如数据加密/解密)可能需要附加硬件，及对附加硬件的管理软件方面，包括DBMS、支持DBMS运行的操作系统及其接口的安全与数据库管理系统的安全密切相关，应为数据库管理系统提供安全的支待人员管理方面，数据库管理系统应有专门的安全管理机构和人员设置，包括:数据库系统管理员、数据库系统安全员、数据库系统审计员。 GA/T389--2002A.3数据库管理系统的用户管理数据库管理系统的用户管理具有以下特点:—拥有大量用户，且用户具有不同身份，享有不同权限;需要对特权用户，如数据库管理系统管理员、安全管理员、审计员进行严格管理;—一个数据库系统可以包含多个数据库，一个用户可以同时使用多个数据库。同一用户可以通过“假名”对应于多个数据库用户名。A.4数据库管理系统的安全性数据库管理系统的安全性主要体现在:—保密性:保护存储在数据库中的数据不被泄露和未授权的获取;—一完整性:保护存储在数据库中的数据不被破坏和删除;-—一致性:确保存储在数据库中的数据满足实体完整性、参照完整性和用户定义完整性要求;—可用性确保存储在数据库中的数据不因人为的和自然的原因对授权用户不可用。A.5数据库管理系统安全等级的划分这里所讨论的数据库管理系统，主要是指多用户系统。对于单处理机环境的数据库管理系统，安全等级的划分相对简单，而对于多处理机环境的数据库管理系统，由于其组成成分具有相对的独立性，并且这些数据库管理系统运行于网络环境，因而在考虑对其进行安全等级划分时，应首先考虑各组成成分的安全等级划分，并充分考虑网络传输中的安全因素，然后，综合考虑整个数据库管理系统的安全等级。其基本原则是:以各组成成分的安全等级应不低于整体系统的安全等级。数据库管理系统一般是在操作系统的支持下运行的。支持数据库管理系统运行的操作系统的安全等级也应不低于数据库管理系统的安全等级。A.6关于数据库管理系统中的主体与客体在一个数据库管理系统中，每一个实体成分都必须或者是主体，或者是客体，或者既是主体又是客体。系统中最基本的主体应该是用户(包括一般用户和数据库系统管理员、系统安全员、系统审计员等特殊用户)。每个进人系统的用户必须是唯一标识的，并经过鉴别确定为真实的。系统中的所有事件要求，几乎全是由用户激发的。进程是系统中最活跃的实体，用户的所有事件要求都要通过DBMS进程的运行来处理。进程作为用户的客体，同时又是其访问对象的主体在数据库系统中，客体可以是按照一定格式存储在一定记录介质上的数据信息(通常以数据库的库结构格式存储数据)，也可以是数据库系统中的进程，而最终的客体是一定记录介质上的数据信息。从用户到进程，再到数据信息，构成一个服务链。服务者是要求者的客体，要求者是服务者的主体。按照不同安全等级的不同要求，数据库客体的粒度可以是整个库，也可以是表、视图、存储过程等，还可以是表中的一个记录、字段或元素等等A7关于数据库管理系统中的TCB,TSF和TSP在一个通用数据管理库系统中，TCB是所有安全保护装置的组合体。一个TCB可以包含多个安全功能模块(TSF)，每一个TSF实现一个安全功能策略(TSP)，这些TSP共同构成一个安全域，以防止不可信主体的干扰和篡改。实现TSF有两种方法，一种是设置前端过滤器，另一种是设置访问监督器。两者都是在一定硬件和操作系统基础上，通过软件实现确定的安全策略和提供所要求的附加服务比如，作为前端过滤器的TSF，能防止非法进人系统，作为访问监督器的TSF，能防止越权访问。31标准分享网www.bzfxw.com免费下载 GA/T359-2002对于网络环境下的多处理机环境的数据库系统，一个TSF可能跨网络实现。这些TSF协同工作，构成一个物理上分散、逻辑仁统一的分布式安全系统。其所提供的安全策略和附加服务则为各个TSF的总和A.$关于推理控制推理是自然界和人类社会中普遍存在的现象。由于关系数据库中元组、属性、元素之间的相互关联性，推理问题成为数据库安全的重要内容。运用推理方法获取权限以外的数据库信息，是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中，应考虑对这种攻击的防御。数据库安全中推理的特定含义为:用户根据较低安全级别的、可见的数据推出同级或较高安全级别的不可见信息由于人类用以进行推理的信息千差万别，用推理获取新信息的方式也极为不同，所以要防止未授权的推理是非常复杂的，也不可能给出通用的解决方案。这里，仅对推理方法、用于推理的信息和防止推理的方法做简单描述。a)推理方法推理方法的多种多样是造成推理问题复杂的首要因素。可用的推理方法有:-一演绎推理;—归纳推理;—类似推理，例如，‘，X象Y",当给定Y的性质时，就推理出了X的性质;—经验推理;—语义联系推理，从实体自身的知识推理出实体间的联系;—存在性推理，从某些信息可推理出实体的存在，例如，由信息“U属于人事部”，可推理出“有一个称为U的实体”;—统计推理，对一群实体进行不同的统计性研究(均值、中值、总和、计数等等)可以得到关于个体的信息。b>用于推理的信息推理信息的广泛性是造成推理问题复杂的另一因素可用于推理的信息类型有—模式元数据，包括关系名和属性名;—其他元数据，例如，值约束、由触发器/过程实现的其他约束;—关系中的数据，即数据的值;统计数据;派生数据;—数据的存在性;—数据的改变或消失(如安全级别上升);-一未存于数据库中，但在应用域已知的数据语义;—未存于数据库中，关于应用域(进程和数据)的专门信息;—普通知识和普通常识。防止推理的方法如果要防止所有的未授权泄露，应遵循多级数据库的基本安全原则:一个数据项的安全类级别应支配所有施加影响于该数据项的安全类级别即:给定数据项X,Y，若X影响Y，则X的安全类级别应受Y的安全类级别支配。虽然有许多这样的推理问题可以通过仔细地考虑数据项的安全类级别的设置而防止，但是，预测或检测所有的推理问题是很难的。比较可行的办法是:一一对数据重新分级;—对约束重新分级 GA/"r389-2002A.9关于密码技术和数据库加密密码技术已成为当今计算机信息系统安全保护的关键技术，在较高安全等级保护中所采用的安全策略，必须以密码技术作为构成信息安全保护的重要机制，或将密码技术与系统安全技术相结合，组成统一的安全机制数据库管理系统中密码技术的主要应用领域包括关键信息的存储加密保护和传输加密保护，以及以PKI为基础的CA认证系统实现对用户身份和设备的真实性的认证各个安全等级密码技术的具体配置由国家密码主管部门决定。标准分享网www.bzfxw.com免费下载 GA/T389-2002参考文献1.ISO/IEC9075:1999数据库语言SQL2.ISO/IEC15408-1:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforITsecurityPart1:Introductionandgeneralmodel,Version2.0(ISO/IEC15408-1:1999信息安全安全技术IT安全评估准则第1部分:引言和通用模型,2.。版)3.ISO/IEC15408-2:1999Informationtechnology-Securitytechniques-EvaluationcriteriaforITsecurityPart2:Securityfunctionalrequirements,Version2.0(ISO/IEC15408-2:1999信息安全安全技术IT安全评估准则第2部分:安全功能要求，2.0版)4.ISO/IEC15408-3:1999Informationtechnology-Securitytechniques-Evaluationcriteriafor叮securityPart3:Securityassurancerequirements,Version2.0(ISO/IEC15408-3:1999信息安全安全技术IT安全评估准则第3部分:安全保证要求，2。版)'