GB/T 20273-2019信息安全技术数据库管理系统安全技术要求

ICS35040

L80.

中华人民共和国国家标准

GB/T20273—2019

代替

GB/T20273—2006

信息安全技术

数据库管理系统安全技术要求

Informationsecuritytechnology—

Securitytechnicalrequirementsfordatabasemanagementsystem

2019-08-30发布2020-03-01实施

国家市场监督管理总局发布

中国国家标准化管理委员会

GB/T20273—2019

目次

前言

…………………………Ⅲ

范围

1………………………1

规范性引用文件

2…………………………1

术语定义和缩略语

3、………………………1

术语和定义

3.1…………………………1

缩略语

3.2………………1

评估对象描述

4……………2

评估对象概述

4.1………………………2

评估对象安全特性

4.2…………………2

评估对象部署方式说明

4.3……………3

安全问题定义

5……………3

数据资产

5.1……………3

威胁

5.2…………………4

组织安全策略

5.3………………………6

假设

5.4…………………7

安全目的

6…………………8

安全目的

6.1TOE………………………8

环境安全目的

6.2………………………11

安全要求

7…………………13

扩展组件定义

7.1………………………13

安全功能要求

7.2………………………14

安全保障要求

7.3………………………26

基本原理

8…………………39

安全目的基本原理

8.1…………………39

安全要求基本原理

8.2…………………47

组件依赖关系

8.3………………………54

附录资料性附录关于标准修订和使用说明

A()………57

参考文献

……………………60

Ⅰ

GB/T20273—2019

前言

本标准按照给出的规则起草

GB/T1.1—2009。

本标准代替信息安全技术数据库管理系统安全技术要求与

GB/T20273—2006《》,GB/T20273—

相比主要技术变化如下

2006:

修改了术语和定义增加了缩略语中的内容见和年版的

———“”,“”(3.13.2,20063.1);

增加了安全问题定义安全目的扩展组件定义基本原理见第章第章第章第章

———、、、(5、6、7、8);

修改了评估对象描述见第章年版的第章

———(4,20064);

删除了安全审计安全功能中提供潜在侵害分析基于异常检测和简单攻击探测的要求

———“”“”“”“”

见年版的第章

(20065);

删除了自身安全保护安全功能中提供物理安全保护的要求见年版的

———“SSODB”“SSF”(2006

第章

5);

删除了运行安全保护安全功能中关于与不可旁路性域分离和可信恢复相关的要

———“SSF”“”“”“”

求见年版的第章

(20065);

删除了安全功能中提供推理控制的要求见年版的第章

———“”(20065);

增加了附录关于标准修订和使用说明

———A。

请注意本文件的某些内容可能涉及专利本文件的发布机构不承担识别这些专利的责任

。。

本标准由全国信息安全标准化技术委员会提出并归口

(SAC/TC260)。

本标准起草单位中国信息安全测评中心清华大学北京江南天安科技有限公司公安部第三研究

:、、、

所北京大学武汉达梦数据库有限公司天津南大通用数据技术股份有限公司

、、、。

本标准主要起草人张宝峰毕海英叶晓俊王峰王建民陈冠直陆臻沈亮顾健宋好好赵玉洁

:、、、、、、、、、、、

吉增瑞刘昱函刘学洋胡文蕙付铨方红霞冯源李德军

、、、、、、、。

本标准所代替标准的历次版本发布情况为

:

———GB/T20273—2006。

Ⅲ

GB/T20273—2019

信息安全技术

数据库管理系统安全技术要求

1范围

本标准规定了数据库管理系统评估对象描述不同评估保障级的数据库管理系统安全问题定义安

,、

全目的和安全要求安全问题定义与安全目的安全目的与安全要求之间的基本原理

,、。

本标准适用于数据库管理系统的测试评估和采购也可用于指导数据库管理系统的研发

、,。

注本标准规定的级的安全要求既适用于基于和

:EAL2、EAL3、EAL4GB/T18336.1—2015、GB/T18336.2—2015

的数据库管理系统安全性测评同样适用于基于的数据库第二级系统审

GB/T18336.3—2015,GB17859—1999

计保护级第三级安全标记保护级第四级结构化保护级的数据库安全性测评相关对应关系参见附录的

、、,AA.1。

2规范性引用文件

下列文件对于本文件的应用是必不可少的凡是注日期的引用文件仅注日期的版本适用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改单适用于本文件

。,()。

信息技术安全技术信息技术安全评估准则第部分简介和一般

GB/T18336.1—20151:

模型

信息技术安全技术信息技术安全评估准则第部分安全功能组件

GB/T18336.2—20152:

信息技术安全技术信息技术安全评估准则第部分安全保障组件

GB/T18336.3—20153:

信息安全技术术语

GB/T25069—2010