《信息安全技术 数据库管理系统安全技术要求》编制说明

一、工作简况

按照2013年全国信息安全标准化技术委员会的国家标准制定计划，中国信

息安全测评中心联合清华大学、北京大学和和武汉达梦数据库有限公司联合申报

了GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》的修订工

作。本项目在2013年10月获得批准，项目编号为2013bzxd-WG5-001，主要起

草单位为中国信息安全测评中心、清华大学、北京江南天安科技有限公司、北京

大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司。

二、编制原则

本标准为已有标准的修订，修订过程主要把握了如下的原则：

基于GB/T18336-2015《信息技术安全技术信息技术安全评估准则》

的安全功能和安全保障组件概念定义数据库管理系统安全要求。

标准结构是按照GB/Z20283-201X《信息安全技术保护轮廓和安全目

标的产生指南》组织，因此需添加数据库管理系统不同安全保障级别

（EAL）的安全问题和安全目的。

数据库安全功能分级在参照GB/T18336-2015的EAL基础上，尽量以

GB/T20273和通用组织认可的数据库管理系统安全保护作为首要依据，

同时参考国内外相关行业的同类指南和出版物，涉及面广，取材充分。

面向国产数据库产品实际，尽量吸纳成熟的技术和已有共识的结论，

尽量少涉及有争议的问题和有不稳定的技术，不涉及应用面狭窄，或

纯学术性的技术。

内容尽量简明扼要。通过目录可以清楚地了解标准的各项内容。对于

易于理解的内容，不赘述、不举例，对于较为复杂的内容，作准确而

恰到好处的阐释。

三、主要内容

本标准规定了数据库管理系统安全技术要求，主要内容如下：

1)评估对象描述：第四章描述了通用数据库管理系统评估对象的体系结构、

介绍了评估对象的体系结构及其功能组件、安全功能和应用环境，定义

了评估对象的安全边界。

2)安全问题定义：数据库管理系统面临安全策略配置缺陷、过度或合法的

特权滥用、潜在安全攻击等安全问题。这些安全问题可能来自于数据库

服务器运行环境、数据库通讯的链路层、网络层、传输层、数据库管理

系统本身未知漏洞。第五章按照安全保障级别EAL2、EAL3和EAL4给出

了评估对象14个安全威胁，6个组织安全策略和8个安全假设。

3)安全目的：根据评估对象面临的安全问题，第六章分别定义了EAL2、EAL3

和EAL4安全保障级别相关的18个TOE安全目的，以及14个IT环境安

全目的。

4)扩展组件定义：第七章添加了分布式数据库管理安全功能相关的TSF故

障切换/转移扩展功能安全组件定义，包括GB/T18336几个功能组件的

扩展说明。

5)安全要求：第八章定义了数据库管理系统EAL2、EAL3和EAL4安全保障

级别的安全功能组件和安全保障组件要求。

6)安全原理：第九章对评估对象安全问题定义与安全目的、安全目的与安

全要求之间的对应关系基本原理进行了梳理，分析了组件之间的依赖关

系。

四、安全保障分级原则

本标准只覆盖了安全保障级别EAL2、EAL3和EAL4面临的安全问题及其安全

目的，规定了对EAL2、EAL3和EAL4保障级数据库管理系统软件及其数据资产进

行安全保护所需的安全功能组件和安全保障组件要求，并给出了数据库管理系统

安全问题定义与安全目的、安全目的与安全要求之间对应关系的基本原理。

五、工作过程

计划任务下达后，成立了标准编制工作组，并编制了工作计划。小组成员有

序地开展标准研究与制定工作。

1）组建标准编制组，按照前期制定的标准大纲，重点研究GB/T20273《信

息安全技术数据库管理系统安全技术要求》的主要修改思路与技术内

容，2014年5月形成《数据库管理系统安全技术要求》标准草案初稿。

2）2014年9月~2014年12月，经过对国内外主流数据库产品的安全目标

调研分析，对标准中EAL2、EAL3和EAL4安全功能组件进行了分级定义，

形成了《数据库管理系统安全技术要求》初稿。

3）初稿经过参与单位的讨论，2015年4月初将初稿发送给四家国产数据库

厂商，并与2015年4月29日在清华大学组织研讨会进行了对反馈意见

的处理情况讨论。

4）2015年8月完成了对反馈意见的处理，并于2015年底形成标准草案。

5）2016年5月启动了第二轮标准征求意见工作。

6）2016年6月初，标准草案提交工作组，在工作组成员单位范围内征求意

见。

7）2016年7月完成了对反馈意见的处理，形成征求意见稿。

六、与其他标准的关系

本标准按照GB/T18336-2015《信息技术安全技术信息技术安全性评估准

则》的安全功能和安全保障组件概念和GB/Z20283-2006《信息安全技术保护

轮廓和