数据库管理系统安全评估准则(数据库)
时间:2022-11-16 06:30:01 | 来源:信息时代
时间:2022-11-16 06:30:01 来源:信息时代
数据库管理系统安全评估准则 : 评估和检测数据库管理系统中安全性管理功能而制订的一套规范准则。它既可以使用户对数据库管理系统安全性功能做出评估,同时也给数据库管理系统的制造商提供一种可循的指导规则,使其产品能够更好地满足数据管理的安全需求。
表1 数据库管理系统安全评估内容
| | 用户
自主
保护级 | 系统
审计
保护级 | 安全
标记
保护级 | 结构化
保护级 | 访问
验证
保护级 |
| 自主访问控制 | + | + | + | + | ++ |
| 强制访问控制 | | | + | ++ | ++ |
| 标 记 | | | + | + | + |
| 标识与鉴别 | + | ++ | +++ | ++++ | +++++ |
| 客体重用 | | + | + | + | + |
| 审 计 | | + | ++ | +++ | ++++ |
| 数据完整性 | + | ++ | +++ | ++++ | ++++ |
| 数据传输 | + | ++ | +++ | ++++ | ++++ |
| 密码支持 | | | + | + | + |
| 资源利用 | + | ++ | ++ | +++ | +++ |
| 安全功能保护 | + | +++ | +++ | ++++ | +++++ |
| 安全管理 | + | ++ | +++ | ++++ | +++++ |
| 生存周期保证 | | + | ++ | +++ | ++++ |
| 配置管理 | + | + | ++ | +++ | ++++ |
| 安全功能开发过程 | + | ++ | +++ | ++++ | +++++ |
| 测 试 | + | ++ | +++ | ++++ | +++++ |
| 指导性文档 | + | + | ++ | ++ | ++ |
| 脆弱性 | | | + | ++ | +++ |
| 交付和运行 | + | ++ | ++ | +++ | +++ |
我国制定的数据库管理系统安全评估准则称为信息安全技术——数据库管理系统安全评估准则GB/T20009,发布于2005年11月11日,2006年5月1日正式实施。该准则引用了计算机信息系统安全保护等级划分准则GB17859和GB/T18336确立的术语和定义。从信息技术方面规定了按照GB17859的五个安全保护等级: 用户自主保护级,系统审计保护级,安全标记保护级,结构化保护级,访问验证保护级。并参照了1991年美国国家计算机安全中心根据TCSEC制定的《可信计算机系统评估标准的可信数据库系统说明(TCSEC-trusted database interpretation,TCSEC-TDI)》 ,对数据库管理系统安全保护等级划分所需要的评估内容,包括: 自主访问控制(discretionary access control,DAC),强制访问控制(mandatory access control,MAC),标记(labels),身份鉴别(identity authentication),客体重用(object reuse),审计(audit),数据完整性(data integrity),数据传输(data transmission),密码支持(cipher support),资源利用(resources utilization),安全功能保护(security facility protection),安全管理(security management),生存周期保证(life cycle assurance),配置管理(configuration management),安全功能开发过程(security facility development process),测试(testing),指导性文档(guide documentation),脆弱性(frailty),交付和运行(deliver & run)等19项评估内容。
信息安全技术——数据库管理系统安全评估准则的等级划分及各个等级相应的评估内容,如表1所示。其中:+代表有评估要求,+越多则要求越高。
在线咨询
