GB T 20273—2006信息安全技术数据库管理系统安全技术要求

返回 相似
GB T 20273—2006信息安全技术数据库管理系统安全技术要求_第1页
第1页 / 共42页
GB T 20273—2006信息安全技术数据库管理系统安全技术要求_第2页
第2页 / 共42页
GB T 20273—2006信息安全技术数据库管理系统安全技术要求_第3页
第3页 / 共42页
GB T 20273—2006信息安全技术数据库管理系统安全技术要求_第4页
第4页 / 共42页
GB T 20273—2006信息安全技术数据库管理系统安全技术要求_第5页
第5页 / 共42页
点击查看更多>>
资源描述:
信息安全技术 数据库管理系统 安全技术要求 Ination security technology- Security techniques requirement for database management system ICS 35.040 L 80 中华人民共和国国家标准 GB/T 20273 2006 2006-05-31 发布 2006-12-01 实施 中华人民共和国国家质量监督检验检疫总局 中 国 国 家 标 准 化 管 理 委 员 会 发布 GB/T 20273 2006 I 目 次 前 言 ............................................................................... III 引 言 ................................................................................ IV 1 范围 ............................................................................... 1 2 规范性引用文件 ..................................................................... 1 3 术语、定义和缩略语 ................................................................. 1 3.1 术语 和 定义 ......................................................................... 1 3.2 缩略语 ............................................................................. 2 4 数据库管理系统安全功能基本要求 ..................................................... 2 4.1 身份鉴别 .......................................................................... 2 4.1.1 用户标识 ........................................................................ 2 4.1.2 用户鉴别 ........................................................................ 3 4.2 自主访问控制 ...................................................................... 3 4.2.1 访问操作 ........................................................................ 3 4.2.2 访问规则 ........................................................................ 3 4.2.3 授权传播限制 .................................................................... 3 4.3 标记 .............................................................................. 4 4.3.1 主体标记 ........................................................................ 4 4.3.2 客体标记 ........................................................................ 4 4.4 强制访问控制 ...................................................................... 4 4.4.1 访问控制安全策略 ................................................................ 4 4.4.2 访问控制粒度及特点 .............................................................. 4 4.5 数据流控制 ........................................................................ 4 4.6 安全审计 .......................................................................... 4 4.7 用户数据完整性 .................................................................... 4 4.7.1 实体完整性和参照完整性 .......................................................... 4 4.7.2 用户定义完整性 .................................................................. 5 4.7.3 数据操作的完整性 ................................................................ 5 4.8 用户数据保密性 .................................................................... 5 4.8.1 存储数据保密性 .................................................................. 5 4.8.2 传输数据保密性 .................................................................. 5 4.8.3 客体重用 ........................................................................ 5 4.9 可信路径 .......................................................................... 5 4.10 推理控制 ......................................................................... 5 5 数据库管理系统安全技术分等级要求 ................................................... 5 5.1 第一级用户自主保护级 ............................................................ 5 GB/T 20273 2006 II 5.1.1 安全功能 ........................................................................ 5 5.1.2 SSODB 自身安全保护 ............................................................. 6 5.1.3 SSODB 设计和实现 ............................................................... 7 5.1.4 SSODB 安全管理 ................................................................. 8 5.2 第二级系统审计保护级 ............................................................ 8 5.2.1 安全功能 ........................................................................ 8 5.2.2 SSODB 自身安全保护 ............................................................. 9 5.2.3 SSODB 设计和实现 .............................................................. 10 5.2.4 SSODB 安全管理 ................................................................ 12 5.3 第三级安全标记保护级 ........................................................... 12 5.3.1 安全功能 ....................................................................... 12 5.3.2 SSODB 自身安全保护 ............................................................ 14 5.3.3 SSODB 设计和实现 .............................................................. 15 5.3.4 SSODB 安全管理 ................................................................ 18 5.4 第四级结构化保护级 ............................................................. 18 5.4.1 安全功能 ....................................................................... 18 5.4.2 SSODB 自身安全保护 ............................................................ 20 5.4.3 SSODB 设计和实现 .............................................................. 21 5.4.4 SSODB 安全管理要求 ............................................................ 24 5.5 第五级访问验证保 护级 ........................................................... 24 5.5.1 安全功能 ....................................................................... 24 5.5.2 SSODB 自身安全保护 ............................................................ 26 5.5.3 SSODB 设计和实现 .............................................................. 28 5.5.4 SSODB 安全管理 ................................................................ 31 附 录 A(资料性附录) 标准概念说明 .................................................... 32 A.1 组成与相互关系 .................................................................. 32 A.2 数据库管理系统安全的特殊要求 .................................................... 32 A.3 数据库管理系统 的用户管理 ........................................................ 33 A.4 数据库管理系统的安全性 .......................................................... 33 A.5 数据库管理系统安全保护等级的划分 ................................................ 33 A.6 关于数据库管理系统中的主体与客体 ................................................ 33 A.7 关于 SSODB、 SSF、 SSP、 SFP 及其相互关系 ......................................... 33 A.8 关于推理控制 .................................................................... 34 A.9 关于密码技术和数据库加密 ........................................................ 35 参考文献 ............................................................................. 36 GB/T 20273 2006 III 前 言 (略) GB/T 20273 2006 IV 引 言 本标准是 信息安全 技术要求系列标准的重要组成部分, 用以指导设计者如何设计和实现具有所需 要的安全等级的数据库管理系统,主要从对数据库管理系统的安全保护等级进行划分的角度来说明其 技术要求,即主要说明为实现 GB17859-1999 中每一个保护等级的安全要求对数据库管理系统应采取的 安全技术措施,以及各安全技术要求在不同安全级中具体实现上的差异。 数据库管理系统是信息系统的重要组成部分,特别是对于存储和管理数据资源的数据服务器是必 不可少的。数据库管理系统的主要功能是对数据信息进行结构化组织与管理,并提供方便的检索和使 用。当前,常见的数据库结构为关系模式,多以表结构形式表示。数据库管理系统安全就是要对数据 库中存储的数据信息进行安全保护,使其免遭由于人为的和自然的原因所带来的泄露、破坏和不可用 的情况。 大多数的数据库管理系统是以操作系统文件作为建库的基础。所以操作系统安全、特别是文 件系统的安全便成为数据库管理系统安全的基础,当然还有安全的硬件环境(即物理安 全)也是必不 可少的)。这些显然不在数据库管理系统安全之列。数据库管理 系统的安全既要考虑 数据库管理系统的 安全运行保护,也要考虑对 数据库管理 系统中 所存储、传输和处理的数据信息的 保护( 包括 以 库结构 形式存储的用户数据 信息 和以其它形式存储的由数据库管理系统使用的数据信息 ) 。 由于攻击和威胁既 可能是针对 数据库管理 系统运行的,也可能是针对 数据库管理系统中所存储、传输和处理的数据 信息 的保密性、完整性和可用性的,所以对 数据库管理 系统的安全保护的功能要求,需要从系统安全运行 和信息安全保护两方面综合进行考虑。根据 GB17859-1999 所列安全 要素 及 GA/T20271 2006 关于 信 息系统 安全功能 要素 的描述,本标准从身份鉴别、自主访问控制、标记 和 强制访问控制、 数据流控制、 安全 审计、数据完整性、数据保密性、可信路径 、推理控制 等方面对 数据库管理 系统的安全功能要求 进行更加具体的描述。 通过推理从数据库中 的 已知数据获取未知数据 是对数据库的保密性进行攻击的 一种特有方法。 推理控制 是对这种推理方法的对抗。本标准对较高安全等级的数据库管理系统提出了 推理控制的要求,将其作为一个安全 要素 。 为了确保安全功能 要素 达到所确定的安全性要求,需要通 过一定的安全保证 机制来实现,根据 GA/T20271 2006 关于 信息系统 安全保证 要素 的描述,本标准从 数据库管理 系统 的 SSODB 自身安全保护、 数据库管理 系统 SSODB 的设计和实现以及 数据库管理 系统 SSODB 的安全管理等方面,对 数据库管理 系统的安全保证要求进行更加具体的描述。 本标准按照 GB17859-1999 的 五个安全等级的划分,对每一个安全等级的安全功能技术要求和安全 保证技术要求做详细的描述。 在 第 4 章 对数据库管理系统安全功能基本要求进行简要说明的基础上, 第 5 章分别从安全功能技术要求和安全保证技术要求两方面 ,对数据库管理系统安全技术的分等级要 求 进行了详细说明。 为清晰表示每一个安全等级比较低一级安全等级的安全技术要求的增加和增强, 在第 5 章的描述中,每一级的新增部分用 “宋体加粗” 表示。 GB/T 20273 2006 1 信息安全技术 数据库管理系统 安全 技术要求 1 范围 本标准 依据 GB17859-1999 的五个安全保护等级 的划分, 根据数据库管理 系统 在 信息系统中的作用, 规定了 数据库管理系统所需要的安全技术 的各个安全等级的 要求。 本标准适用于按等级化 要求进行的 安全 数据库管理系统的设计和实现 ,对按 等级 化 要求 进行的 数据 库管理系统 安全 的测试 和 管理可参照使用。 2 规范性引用文件 下列文件中的有关条款通过在 本标准有关 部分的引用而成为本部分的条款 。凡注日期或版次的引用 文件,其后的任何修改单(不包括勘误的内容)或修订版本都不适用于本标准,但提倡使用本标准的各 方探讨使用其最新版本的可能性。凡不注日期或版次的引用文件,其最新版本适用于本标准。 GB17859-1999 计算机信息系统 安全保护等级 划分准则 GB/T20271 2006 信息安全技术 信息系统 通用 安全 技术要求 3 术语 、 定义 和缩略语 3.1 术语 和 定义 GB17859-1999 和 GB/T20271 2006 确立的以及下列术语和定义适用于本标准。 3.1.1 数据库管理系统安全 security of database management system 数据库管理系统所存储、传输和处理的信息的保密性、完整性和可用性的表征 。 3.1.2 数据库管理系统安全技术 security technology of database management system 实现各种类型的数据库管理系统安全需要的所有安全技术 。 3.1.3 数据库管理系统安全子系统( SSODB) security subsystem of database management system 数据库管理中安全保护装置的总称,包括硬件、固件、软件和负责执行安全策略的组合体。它建立 了一个基本的数据库管理系统安全保护环境,并提供安全数据库管理系统所要求的附加用户服务。 按照 GB17859-1999 对可信计算基( TCB)的定义, SSODB 就是数据库管理系统的 TCB。 3.1.4 SSODB 安全策略 ( SSP) SS0DB security policy 对 SS0DB 中的资源进行管理、保护和分配的一组规则。一个 SSODB 中可以有一个或多个安全策略。 3.1.5 安全功能策略( SFP) security function policy 为实现 SSODB 安全 要素 要求的功能所采用的安全策略。 3.1.6 安全 要素 security element GB/T 20273 2006 2 本标准中各安全保护等级的安全技术要求所包含的安全内容的组成成份。 3.1.7 SSODB 安全功能 ( SSF) SSODB security function 正确实施 SSODB 安全策略的全部硬件、固件、软件所提供的功能。每一个安全策略的实现,组成 一个 SSODB 安全功能模块。一个 SSODB 的所有安全功能模块共同组成该 SSODB 的安全功能。 3.1.8 SSF 控制范围 ( SSC) SSF scope of control SSODB 的操作所涉及的主体和客体 的范围 。 3.1.9 数据完整性 data integrity 数据完整性泛指数据库中数据的正确性和一致性,包括实体完整性、参照完整性和用户定义完整性。 3.1.10 实体完整性 body integrity 关系模型中的实体完整性是指关系表中字段级的完整性,即数据类型及取值的合理性。 实体完整性 规则要求 , 数据库中表示的任一实体是可区分的。对于关系模型,实体完整性表现为关系的主属性( 基 本键 主键 /主码)不能是空值( NULL),也不能是重复值,即基本键的各个分量都不能为空。 3.1.11 参照完整性 reference integrity 关系模型中的参照完整性是指 主吗值和外码值表间的一致性。参照完整性规则要求, 在任一时刻, 如果 关系 R1 的某些属性是关于关系 R2 的外键,则该外键的值必须是 R2 中某元组的主键值或为“空值” ( 空值意味着“不知道”的信息和“无意义”的信息 )。 参照完整性规则是“连接”关系运算正确执行的 前提。 3.1.12 用户定义完整性 user defined integrity 关系模型中的用户定义完整性 是指 字段与表之间 的 断言关系 (即业务规则) 的正确性 ,也就是 根据 业务规则 (比如价格的有效范围等)所确定的完整性约束。系统提供定义和检查用户定义完整性规则的 机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,这样不仅可以简化应用程序,还提 高了完整性保证的可靠性。 3.2 缩略语 下列缩略语适用于本标准 SFP 安全功能策略 security function policy SSC SSF 控制范围 SSF scope of control SSF SSODB 安全功能 SSODB security function SSODB 数据库管理系统安全子系统 security subsystem of database management system SSP SSODB 安全策略 SSODB security policy 4 数据库管理系统安全 功能基本要求 4.1 身份鉴别 4.1.1 用户标识 应对注册到数据库管理系统中的用户进行标识。用户标识信息是公开信息,一般以用户名和用户 ID 实现。为了管理方便,可将用户分组,也可使用别名。无论用户名、用户 ID、用户组还是用户别名,都 GB/T 20273 2006 3 要遵守标识的唯一性原则。用户标识 分为 a) 基本标识应在 SSF 实施所要求的动作之前,先对提出该动作要求的用户进行标识 ; b) 唯一性标识应确保所标识用户在 信息系统 生存周期 内的唯一性,并将用户标识与审计相关联 ; c) 标识信息管理应对用户标识信息进行管理、维护,确保其不被非授权地访问、修改或删除。 4.1.2 用户 鉴别 应对登录到数据库管理系统的用户进行身份真实性鉴别。通过对用户所提供的“鉴别信息”的验证, 证明该用户确有所声称的某种身份,这些“鉴别信息”必须是保密的,不易伪造的。用户鉴别 分为 a) 基本鉴别应在 SSF 实施所要求地动作之前,先对提出该动作要求的用户成功地进行鉴别 ; b) 不可伪造鉴别应检测并防止使用伪造或复制的鉴别数据。一方面,要求 SSF 应检测或防止由 任何别的用户伪造的鉴别数据,另一方面,要求 SSF 应检测或防止当前用户从任何其它用户处 复制的鉴别数据的使用 ; c) 一次性使用鉴别应能提供一次性使用鉴别数据操作的鉴别 机制,即 SSF 应防止与已标识过的 鉴别机制有关的鉴别数据的重用 ; d) 多机制鉴别应能提供不同的鉴别机制,用于鉴别特定事件的用户身份,并且 SSF 应根据所描 述的多种鉴别机制如何提供鉴别的规则,来鉴别任何用户所声称的身份 ; e) 重新鉴别应有能力规定需要重新鉴别用户的事件,即 SSF 应在需要重鉴别的条件表所指示的 条件下,重新鉴别用户。例如,用户终端操作超时被断开后,重新连接时需要进行重鉴别。 4.2 自主访问控制 4.2.1 访问操作 应由数据库子语言定义,并与数据一起存放在数据字典中。对任何 SQL 对象进行操作应有明确的 权限许可,并且权限随着操作和对象的变化而变化,安全系统应有能力判断这种权限许可。操作与对象 紧密相联,即把“操作 对象”作为一个授权。表 1 是 GRANT(授权)语句对象类型与相关操作 的 举例 。 表 1 GRANT 语句的对象类型与相关操作 对象 操作 基本表 SELECT、 INSERT、 UPDATE、 DELETE、 TRIGGER、 REFERENCES 视图 SELECT、 INSERT、 UPDATE、 DELETE、 REFERENCES 列 SELECT、 INSERT、 UPDATE、 REFERENCES 域 USAGE 字符集 USAGE 排序 USAGE 转换 USAGE SQL 调用 CUTE UDT UNDER 表中,除 USAGE 和 UNDER 外,其余操作均符合 SQL 语句中使用的动词。 4.2.2 访问规则 应以访问控制表或访问矩阵的形式表示,并通过执行相应的访问控制程序实现。每当执行 SQL 语 句、有访问要求出现时,通过调用相应的访问控制程序,实现对访问要求的控制。 4.2.3 授权传播限制 应限制具有某一权限的用户将该权限传给其他用户。当一个用户被授予某权限,同时拥有将该权限 授予其它用户的权力时,该用户才拥有对该授权的传播权。为了增强数据库系统的安全性,需要对授权 传播进行某些限制。 GB/T 20273 2006 4 4.3 标记 4.3.1 主体标记 SSF应为主体指定敏感标记, 这些 敏感标记 是等级分类和非等级类别的组合,是实施强制访问控制的 依据。 4.3.2 客体标记 SSF应为客体指定敏感标记, 这些 敏感标记 是等级分类和非等级类别的组合,是实施强制访问控制的 依据。 4.4 强制访问控制 4.4.1 访问控制 安全策略 应采用确定的安全策略模型实现强制访问控制。当前常用的安全策略模型是多级安全模型。该模型 将 SSODB 安全控制范围内的所有主、客体成分通过标记设置敏感标记。并按简单保密性原则确定的规 则 从下读、向上写,根据访问者主体和被访问者客体的敏感标记,实现主、客体之间每次访问的强 制性控制。根据数据库管理系统的运行环境的不同,强制访问控制分为 a 在单一计算机系统上或网络环境的多机系统上运行的单一数据库管理系统,访问控制所需的敏 感标记存储在统一的数据库字典中,使用单一的访问规则实现; b 在网络环境的多机系统上运行的分布式数据 库系统,全局应用的强制访问控制应在全局 DBMS 层实现,局域应用的强制访问控制应在局部 DBMS 层实现。其所采用的访问规则是一致的。 4.4.2 访问控制 粒度及特点 应根据数据库特点和不同 安全保护等级 的不同要求,实现不同粒度的访问控制。这些特点主要是 a 数据以特定结构格式存放,客体的粒度可以是关系数据库的表、视图、元组(记录)、列(字 段)、元素(每个元组的字段)、日志、片段、分区、快照、约束和规则、 DBMS 核心代码、用 户应用程序、存储过程、触发器、各种访问接口等; b 数据库系统有完整定义的访问操作,如表 1 所示; c 数据库是数据与逻辑的统一,数据库中不仅存放了数据,还存放了大量的用于管理和使用这些 数据的程序,这些程序和数据同样需要进行保护,以防止未授权的使用、篡改、增加或破坏; d 数据库中的三级结构(物理结构、逻辑结构、概念模型结构)和两种数据独立性(物理独立性、 逻辑独立性)大大减轻数据库应用程序的维护工作量,但是由于不同的逻辑结构可能对应于相 同的物理结构,给访问控制带来新的问题,应对访问规则进行一致性检查; e 分布式数据库管理系统中,全局应用的访问控制应在全局 DBMS 层实现,局部应用的访问控制 应在局部 DBMS 层实 现,并根据需要各自选择不同的访问控制策略 。 4.5 数据流控制 在以数据流方式实现数据流动的数据库管理系统中,应采用数据流控制机制实现对数据流动的控制, 以防止具有高等级安全的数据信息向低等级的区域流动。 4.6 安全审计 数据库管理系统的安全审计应 a 建立独立的安全审计系统; b 定义与数据库安全相关的审计事件; c 设置专门的安全审计员; d 设置专门用于存储数据库系统审计数据的安全审计库; e 提供适用于数据库系统的安全审计设置、分析和查阅的工具。 4.7 用户 数据完整性 4.7.1 实体完整性和参照完整性 a 数据库管理系统应确保数据库中的 用户 数据具有实体完整性和参照完整性。关系之间的参照完 GB/T 20273 2006 5 整性规则是“连接”关系运算正确执行的前提 ; b 用户定义基本表时,应说明主键、外键,被引用表、列和引用行为。当数据录入、更新、删除 时,由数据库管理系统应根据说明自动维护实体完整性和参照完整性。 4.7.2 用户定义完整性 a 数据库管理系统应提供支持用户定义完整性的功能。系统应提供定义和检查用户定义完整性规 则的机制,其目的是用统一的方式由系统处理,而不是由应用程序完成,从而不仅可以简化应 用程序,还提高了完整性保证的可靠性 ; b 数据库管 理系统应支持为约束或断言命名(或提供默认名称),定义检查时间、延迟模式或设置 默认检查时间和延迟模式,支持约束和断言的撤消。 4.7.3 数据操作的完整性 数据操作的完整性约束为 a 用户定义基本表时应定义主键和外键; b 对于候选键,应由用户指明其唯一性; c 对于外键,用户应指明被引用关系和引用行为; d 应由数据库管理系统检查对主键、外键、候选键数据操作是否符合完整性要求,不允许提交任 何违反完整性的事务; e 删除或更新某元组时,数据库管理系统应检查该元组是否含有外键,若有,应根据用户预定义 的引用行为进行删除。 4.8 用户 数据 保密 性 4.8.1 存储数据保密 性 数据库管理系统应确保数据库中存储的 用户 数据的保密性。 4.8.2 传输数据保密 性 数据库管理系统应确保数据库中传输的 用户 数据的保密性。 4.8.3 客体重用 数据库管理系统大量使用的动态资源,多由操作系统分配。实现客体安全重用的操作系统和数据库 管理系统应满足以下要求 a 数据库管理系统提出资源分配要求,如创建新库,数据库设备初始化等,所得到的资源不应包 含该客体以前的任何信息内容; b 数据库管理系统提出资源索回要求,应确保这些资源中的全部信息被清除; c 数据库管理系统要求创建新的数据库用户进程,应确保分配给每个进程的资源不包含残留信息; d 数据库管理系统应确保已经被删除或被释放的信息不再是可用的。 4.9 可信路径 在数据库用户进行注册或进行其它安全性操作时,应提供 SSODB与用户之间的可信通信通路,实现用 户与 SSF间的安全数据交换。 4.10 推理控制 应采用推理控制的方法防止数据库中的 用户 数据被非授权地获取。运用推理方法获取权限以外的数 据库信息,是一种较为隐蔽的信息攻击方法。在具有较高安全级别要求的数据库系统中,应考虑对这种 攻击的防御。 5 数据库管理系统 安全 技术 分 等级 要求 5.1 第一级用户自主保护级 5.1.1 安全功能 GB/T 20273 2006 6 5.1.1.1 身份鉴别 身份鉴别 包括对用户的身份进行标识和鉴别。 可 根据 4.1 的描述, 按 GB/T20273 2006 中 6.1.3.1 的要求 , 从以下方面 设计 和实现数据库管理系统的 身份鉴别 功能 a 对 进入数据库管理系统 的用户 进行身份标识, 根据 4.1.1 的描述, 按以下要求设计 凡需进入数据库管理系统的用户,应先进行标识 (建立账号) ; 数据库管理系统用户标识一般使用用户名和用户标识符( UID) ; b 对登录到数据库管理系统的用户身份的真实性进行鉴别, 根据 4.1.2 的描述,按以下要求设计 采用口令进行鉴别,并在每次用户登录系统时进行鉴别; 口令应是不可见的,并在存储时有安全保护 ; 通过对不成功的鉴别尝试的值(包括尝试次数和时间的阈值)进行预先定义,并明确规定 达到该值时应采取的措施来实现鉴别失败的处理。 c 对注册 到 数据库管理 系统的用户, 应 按以下要求 设计和实现用户 -主体绑定功能 将用户进程与所有者用户相关联,使用户进程的行为可以追溯到进程的所有者用户 ; 将系统进程动态地与当前服务要求者用户相关联,使系统进程的行为可以追溯到当前服务 的 要求者用户 。 5.1.1.2 自主访问控制 可 根据 4.2 中访问操作、访问规则和授权传播的描述, 按 GB/T20273 2006 中 6.1.3.2 的要求 , 设 计 和实现数据库管理系统的 自主访问控制功能 , 允许命名用户以用户和 /或用户组的身份规定并控制对 客体的 访问 ,并阻止非授权用户 对客体的 访问 。 5.1.1.3 用户 数据完整性 可 根据 4.7 的描述, 按 GB/T20273 2006 中 6.1.3.3 的要求 , 从以下方面 设计 和实现数据库管理系 统的 用户 数据完整性 功能 a 对数据库管理系统内部 传输的用户 数据,如进程间的通信,应提供保证数据完整性的功能 ; b 对数据库管理系统中处理的 用户 数据, 可 根据 4.7.1、 4.7.2、 4.7.3 的描述,按 GB/T2
展开阅读全文
收藏
下载资源

加入会员免费下载