數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則(數(shù)據(jù)庫)

時(shí)間：2022-11-16 06:30:01 | 來源：信息時(shí)代

時(shí)間：2022-11-16 06:30:01 來源：信息時(shí)代

    數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則 : 評估和檢測數(shù)據(jù)庫管理系統(tǒng)中安全性管理功能而制訂的一套規(guī)范準(zhǔn)則。它既可以使用戶對數(shù)據(jù)庫管理系統(tǒng)安全性功能做出評估,同時(shí)也給數(shù)據(jù)庫管理系統(tǒng)的制造商提供一種可循的指導(dǎo)規(guī)則,使其產(chǎn)品能夠更好地滿足數(shù)據(jù)管理的安全需求。

表1 數(shù)據(jù)庫管理系統(tǒng)安全評估內(nèi)容

	用戶 自主 保護(hù)級	系統(tǒng) 審計(jì) 保護(hù)級	安全 標(biāo)記 保護(hù)級	結(jié)構(gòu)化 保護(hù)級	訪問 驗(yàn)證 保護(hù)級
自主訪問控制	+	+	+	+	++
強(qiáng)制訪問控制			+	++	++
標(biāo) 記			+	+	+
標(biāo)識(shí)與鑒別	+	++	+++	++++	+++++
客體重用		+	+	+	+
審 計(jì)		+	++	+++	++++
數(shù)據(jù)完整性	+	++	+++	++++	++++
數(shù)據(jù)傳輸	+	++	+++	++++	++++
密碼支持			+	+	+
資源利用	+	++	++	+++	+++
安全功能保護(hù)	+	+++	+++	++++	+++++
安全管理	+	++	+++	++++	+++++
生存周期保證		+	++	+++	++++
配置管理	+	+	++	+++	++++
安全功能開發(fā)過程	+	++	+++	++++	+++++
測 試	+	++	+++	++++	+++++
指導(dǎo)性文檔	+	+	++	++	++
脆弱性			+	++	+++
交付和運(yùn)行	+	++	++	+++	+++

我國制定的數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則稱為信息安全技術(shù)——數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則GB/T20009,發(fā)布于2005年11月11日,2006年5月1日正式實(shí)施。該準(zhǔn)則引用了計(jì)算機(jī)信息系統(tǒng)安全保護(hù)等級劃分準(zhǔn)則GB17859和GB/T18336確立的術(shù)語和定義。從信息技術(shù)方面規(guī)定了按照GB17859的五個(gè)安全保護(hù)等級: 用戶自主保護(hù)級,系統(tǒng)審計(jì)保護(hù)級,安全標(biāo)記保護(hù)級,結(jié)構(gòu)化保護(hù)級,訪問驗(yàn)證保護(hù)級。并參照了1991年美國國家計(jì)算機(jī)安全中心根據(jù)TCSEC制定的《可信計(jì)算機(jī)系統(tǒng)評估標(biāo)準(zhǔn)的可信數(shù)據(jù)庫系統(tǒng)說明(TCSEC-trusted database interpretation,TCSEC-TDI)》 ,對數(shù)據(jù)庫管理系統(tǒng)安全保護(hù)等級劃分所需要的評估內(nèi)容,包括: 自主訪問控制(discretionary access control,DAC),強(qiáng)制訪問控制(mandatory access control,MAC),標(biāo)記(labels),身份鑒別(identity authentication),客體重用(object reuse),審計(jì)(audit),數(shù)據(jù)完整性(data integrity),數(shù)據(jù)傳輸(data transmission),密碼支持(cipher support),資源利用(resources utilization),安全功能保護(hù)(security facility protection),安全管理(security management),生存周期保證(life cycle assurance),配置管理(configuration management),安全功能開發(fā)過程(security facility development process),測試(testing),指導(dǎo)性文檔(guide documentation),脆弱性(frailty),交付和運(yùn)行(deliver & run)等19項(xiàng)評估內(nèi)容。
信息安全技術(shù)——數(shù)據(jù)庫管理系統(tǒng)安全評估準(zhǔn)則的等級劃分及各個(gè)等級相應(yīng)的評估內(nèi)容,如表1所示。其中:+代表有評估要求,+越多則要求越高。