GA_T 913-2019信息安全技术 数据库安全审计产品安全技术要求.pdf

ICS_35.240A 90GA中华人民共和国公共安全行业标准GA/T 913—2019代替GA/T913—2010信息安全技术数据库安全审计产品安全技术要求Information security technology—Security technology requirements fordatabase security auditproducts2019-01-13发布2019-01-13实施中华人民共和国公安部发布 GA/T 913—2019目次前言1范围2规范性引用文件3术语和定义总体说明4.1安全技术要求分类4,2安全等级划分5安全功能要求5.1审计生成单元组件要求5,2审计响应单元组件要求5.3审计处理单元组件要求5,4标识与鉴别5.5安全管理5,6审计日志安全保障要求6.1开发6.2指导性文档6,3生合周期支持6.4测试6.5脆弱性评定不同安全等级的要求7.1安全功能要求7.2安全保障要求 GA/T 913—20196.4测试6.4,1测试覆盖开发者应提供测试覆文档，测试覆益描述应满足以下要求a)表明测试文档中所标识的测试与功能规范中所描述的产品的安全功能间的对应性；b)表明上述对应性是完备的，并证实功能规范中的所有安全功能接口都进行了测试，6.4.2测试深度开发者应提供测试深度的分析。测试深度分析描速应满足以下要求：a)证实测试文档中的测试与产品设计中的安全功能子系统和实现模块之间的一政性；b)证实产品设计中的所有安全功能子系统、实现模块都已经进行过测试。6.4.3功能测试开发者应测试产品安全功能，将结果文档化并提供测试文档。测试文档应包括以下内容；a)测试计划，标识要执行的测试，并措述执行每个测试的方案，这些方案包括对于其他测试结果的任何顺序依赖性；b)预期的测试结果，表明测试成功后的预期输出；c)实际测试结果和预期的测试结果的一致性。6.4.4独立测试开发者应提供一组与其自测安全功能时使用的同等资源，以用于安全功能的抽样测试，6.5脆弱性评定基于已标识的潜在脆弱性，产品能够抵抗以下攻击行为：具有基本攻击潜力的攻击者的改击；具有增强型基本攻击潜力的攻击者的攻击，不同安全等级的要求7.1安全功能要求不同安全等级的数据库安全审计产品的安全功能要求如表1所示。表1不同安全等级的数据库安全审计产品的安全功能要求安全功能要求基本级增强级数据采集.1采集策略5.1.2 ±)~5.1.2 c)5.1.2审计生成单元组件要求审计记录生成5.1.35,1,3对系统的影响5.1.4 5,1.4通信加密支持-5.1.590 GA/T 913—2019表1(续)安全功能要求基本级增强级安全告费5,2,1 ±)5.2.1审计响应单元告警内容5,2,25.2.2组件要求告警方式.3响应措施-5.2.4审计记录查询有限审计查5,.1.1可选舞查询报表生成 a)审计记录统计审计处理单元报表导出组件要求审计记录保护审计记录存储审计记录丢失防范 a) , b)5.3.3,2审计记录备份-会话分析5.3.4属性定义用户标识属性初始化5,4,1,唯一性标识5.4.1,35,4.1.3标识与鉴别基本蜜别鉴别数据保护5.4,.2身份墨别鉴别失败处理一5.4,2.3超时锁定或注销一安全动能管理.1安全管理安全角色管理5,5,2 a)5.5.2远程安全传输5,5,3 s)5.5,3审计日志生成5.6.1 a) ~5.6.1 c)5.6.1审计日志.2审计日志管理5.6,35,6,37,2安全保障要求不同安全等级的数据库安全审计产品的安全保障要求如表2所示，9 GA/T 913—2019表2不同安全等级的数据库安全审计产品的安全保障要求安全保障婴求基本级增强级安全果构6,1,16,1.1开发功能规6,1,2 a)~6,1,2 f)6,1.2实现表示6,1.3产品设计6.1.4 a)~6.1.4 d)6.1.4染作用户指南6.2.16,2.1指导性文档准各程序.2配置管理能力6.3.1 a) ~6.3.1 e)6.3.1配置管理范围6.3.2 8)6.3.2交付程序6.3.36,3.3生命周期支持开发安全-6,3.4生命周期定文-6,3.5工具和技术-6,3.6测试覆益6,4,1 ±)6,4.1测试保度测试-6,4.2功能测试.3独立测试.4胞弱性评定6.5 a)6.5 b)10 GA/T 913—2019中华人民共和国公共安全行业标准信息安全技术数据库安全审计产品安全技术要求GA/T 913—2019中国标准出版社出版发行北京市朝阳区和平里西街甲2号(100029)北京市西城区三里河北街16号（100045)网址 总编室：(010行中心：(010者服务部：(010国标准出版社泰皇岛印刷