GB/T 20009-2019信息安全技术数据库管理系统安全评估准则

ICS35040

L80.

中华人民共和国国家标准

GB/T20009—2019

代替

GB/T20009—2005

信息安全技术

数据库管理系统安全评估准则

Informationsecuritytechnology—

Securityevaluationcriteriafordatabasemanagementsystem

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T20009—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语和定义缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………1

评估总则

4…………………2

概述

4.1…………………2

评估要求

4.2……………2

评估环境

4.3……………2

评估流程

4.4……………3

评估内容

5…………………3

安全功能评估

5.1………………………3

安全保障评估

5.2………………………22

评估方法

5.3……………35

附录资料性附录标准修订说明

A()……………………40

Ⅰ

GB/T20009—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术数据库管理系统安全评估准则与

GB/T20009—2005《》。

相比除编辑性修改外主要技术变化如下

GB/T20009—2005,:

修改了第章术语和定义及缩略语见和年版第章

———3(3.13.2,20053);

修改了第章安全环境标题修改为评估总则描述了数据库管理系统总体要求评估要求

———4“”,,、、

评估环境和评估流程见第章年版第章

(4,20054);

修改了第章评估内容按照定义了中的安全功能

———5,GB/T30270—2013GB/T20273—2019

组件和安全保障组件评估内容见第章年版第章

(5,20055);

删除了附录数据库管理系统面临的威胁和对策见年版附录

———A“”(2005A);

按照评估保障级概念列出了和组件列表及评估准则

———EAL2、EAL3EAL4。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全测评中心清华大学北京江南天安科技有限公司公安部第三研究

:、、、

所北京大学武汉达梦数据库有限公司天津南大通用数据技术股份有限公司

、、、。

本标准主要起草人张宝峰毕海英叶晓俊王峰王建民陈冠直陆臻沈亮顾健宋好好

:、、、、、、、、、、

赵玉洁吉增瑞刘昱函刘学洋胡文蕙付铨方红霞冯源李德军

、、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T20009—2005。

Ⅲ

GB/T20009—2019

信息安全技术

数据库管理系统安全评估准则

1范围

本标准依据规定了数据库管理系统安全评估总则评估内容和评估方法

GB/T20273—2019、。

本标准适用于数据库管理系统的测试和评估也可用于指导数据库管理系统的研发

,。

注本标准规定的级级级的评估内容和评估方法既适用于基于所有部分

:EAL2、EAL3、EAL4GB/T18336—2015

的数据库管理系统安全性测评同样适用于基于的数据库第二级系统审计保护级第三级安

,GB17859—1999、

全标记保护级第四级结构化保护级的数据库管理系统安全性测评相关对应关系参见附录中

、,AA.1。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则

GB/T18336.1~18336.3—2015

信息安全技术数据库管理系统安全技术要求

GB/T20273—2019

信息安全技术术语

GB/T25069—2010

信息技术安全技术信息技术安全性评估方法

GB/T30270—2013

3术语和定义缩略语

、

31术语和定义

.

和界定的术语和定义适用于本文件

GB/T25069—2010、GB/T30270—2013GB/T20273—2019。

32缩略语

.

下列缩略语适用于本文件

。

通用准则

CC:(CommonCriteria)

通用准则评估方法

CEM: