信息安全技术数据库管理系统安全技术要求-全国信息安全标准化技术.DOC

《信息安全技术 数据库管理系统安全技术要求》 （征求意见稿）编制说明 工作简况 按照2013年全国信息安全标准化技术委员会的国家标准制定计划，中国信息安全测评中心联合清华大学、北京大学和和武汉达梦数据库有限公司联合申报了GB/T 20273-2006《信息安全技术 数据库管理系统安全技术要求》的修订工作。本项目在2013年10月获得批准，项目编号为2013bzxd-WG5-001，主要起草单位为中国信息安全测评中心 编制原则 本标准为已有标准的修订，修订过程主要把握了如下的原则： 基于GB/T 18336-2015《信息技术 安全技术 信息技术安全评估准则 标准结构是按照GB/Z 20283-201X 《信息安全技术 保护轮廓和安全目标产生 数据库安全功能分级在参照GB/T 18336-2015的EAL基础上，尽量以GB/T 20273和通用组织认可的数据库管理系统安全保护作为首要依据，同时参考国内外相关行业的同类指南和出版物，涉及面广，取材充分。 面向国产数据库产品实际，尽量吸纳成熟的技术和已有共识的结论，尽量少涉及有争议的问题和有不稳定的技术，不涉及应用面狭窄，或纯学术性的技术。 内容尽量简明扼要。通过目录可以清楚地了解标准的各项内容。对于易于理解的内容，不赘述、不举例，对于较为复杂的内容，作准确而恰到好处的阐释。 主要内容 本标准规定了数据库管理系统安全技术要求，主要内容如下： 评估对象描述：第四章描述了通用数据库管理系统评估对象的体系结构、介绍了评估对象的体系结构及其功能组件、安全功能和应用环境，定义了评估对象的安全边界。 安全问题定义：数据库管理系统面临安全策略配置缺陷、过度或合法的特权滥用、潜在安全攻击等安全问题。这些安全问题可能来自于数据库服务器运行环境、数据库通讯的链路层、网络层、传输层、数据库管理系统本身未知漏洞。第五章按照安全保障级别EAL2、EAL3和EAL4给出了评估对象14个安全威胁，6个组织安全策略和8个安全假设。 安全目的：根据评估对象面临的安全问题，第六章分别定义了EAL2、EAL3和EAL4安全保障级别相关的18个TOE安全目的，以及14数据库管理系统 本标准只覆盖了安全保障级别EAL2、EAL3和EAL4面临的安全问题及其安全目的，规定了对EAL2、EAL3和EAL4保障级数据库管理系统软件及其数据资产进行安全保护所需的安全功能组件和安全保障组件要求，并给出了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间对应关系的基本原理。 工作过程 计划任务下达后，成立了标准编制工作组，并编制了工作计划。小组成员有序地开展标准研究与制定工作。 组建标准编制组，按照前期制定的标准大纲，重点研究GB/T 20273《信息安全技术 数据库管理系统安全技术要求》的主要修改思路与技术内容，2014年5月形成《数据库管理系统安全技术要求》标准草案初稿。 2014年9月~2014年12月，经过对国内外主流数据库产品的安全目标调研分析，对标准中EAL2、EAL3和EAL4安全功能组件进行了分级定义，形成了《数据库管理系统安全技术要求》初稿。 初稿经过参与单位的讨论，2015年4月初将初稿发送给四家国产数据库厂商，并与2015年4月29日在清华大学组织研讨会进行了对反馈意见的处理情况讨论。 2015年8月完成了对反馈意见的处理，并于2015年底形成标准草案。 2016年5月启动了第二轮标准征求意见工作。 2016年6月初，标准草案提交工作组，在工作组成员单位范围内征求意见。 2016年7月完成了对反馈意见的处理，形成征求意见稿。 与其他标准的关系 本标准按照GB/T 18336-2015《信息技术 安全技术 信息技术安全性评估准则GB/Z 20283-2006 《信息安全技术 保护轮廓和安全目标产生 本标准不涉及专利问题。 《信息安全技术 数据库管理系统安全技术要求》标准编制组 二〇一六年七月