还剩2页未读,继续阅读
文本内容:
一、工作简况按照2013年全国信息安全标准化技术委员会的国家标准制定计划,中国信息安全测评中心联合清华大学、北京大学和和武汉达梦数据库有限公司联合申报了GB/T20273-2006《信息安全技术数据库管理系统安全技术要求》的修订工作本项目在2013年10月获得批准,项目编号为2013bzxd-WG5-001,主要起草单位为中国信息安全测评中心、清华大学、北京江南天安科技有限公司、北京大学、武汉达梦数据库有限公司、天津南大通用数据技术股份有限公司
二、编制原则本标准为已有标准的修订,修订过程主要把握了如下的原则•基于GB/T18336-2015《信息技术安全技术信息技术安全评估准则》的安全功能和安全保障组件概念定义数据库管理系统安全要求•标准结构是按照GB/Z20283-201X《信息安全技术保护轮廓和安全目标的产生指南》组织,因此需添加数据库管理系统不同安全保障级别EAL的安全问题和安全目的•数据库安全功能分级在参照GB/T18336-2015的EAL基础上,尽量以GB/T20273和通用组织认可的数据库管理系统安全保护作为首要依据,同时参考国内外相关行业的同类指南和出版物,涉及面广,取材充分•面向国产数据库产品实际,尽量吸纳成熟的技术和已有共识的结论,尽量少涉及有争议的问题和有不稳定的技术,不涉及应用面狭窄,或纯学术性的技术•内容尽量简明扼要通过目录可以清楚地了解标准的各项内容对于易于理解的内容,不赘述、不举例,对于较为复杂的内容,作准确而恰到好处的阐释
三、主要内容本标准规定了数据库管理系统安全技术要求,主要内容如下:1)评估对象描述第四章描述了通用数据库管理系统评估对象的体系结构、介绍了评估对象的体系结构及其功能组件、安全功能和应用环境,定义了评估对象的安全边界2)安全问题定义数据库管理系统面临安全策略配置缺陷、过度或合法的特权滥用、潜在安全攻击等安全问题这些安全问题可能来自于数据库服务器运行环境、数据库通讯的链路层、网络层、传输层、数据库管理系统本身未知漏洞第五章按照安全保障级别EAL
2、EAL3和EAL4给出了评估对象14个安全威胁,6个组织安全策略和8个安全假设3)安全目的:根据评估对象面临的安全问题,第六章分别定义了EAL
2.EAL3和EAL4安全保障级别相关的18个TOE安全目的,以及14个IT环境安全目的4)扩展组件定义第七章添加了分布式数据库管理安全功能相关的TSF故障切换/转移扩展功能安全组件定义,包括GB/T18336几个功能组件的扩展说明5)安全要求第八章定义了数据库管理系统EAL
2、EAL3和EAL4安全保障级别的安全功能组件和安全保障组件要求6)安全原理第九章对评估对象安全问题定义与安全目的、安全目的与安全要求之间的对应关系基本原理进行了梳理,分析了组件之间的依赖关系、安全保障分级原则U!本标准只覆盖了安全保障级别EAL
2、EAL3和EAL4面临的安全问题及其安全目的,规定了对EAL
2、EAL3和EAL4保障级数据库管理系统软件及其数据资产进行安全保护所需的安全功能组件和安全保障组件要求,并给出了数据库管理系统安全问题定义与安全目的、安全目的与安全要求之间对应关系的基本原理
五、工作过程计划任务下达后,成立了标准编制工作组,并编制了工作计划小组成员有序地开展标准研究与制定工作1)组建标准编制组,按照前期制定的标准大纲,重点研究GB/T20273《信息安全技术数据库管理系统安全技术要求》的主要修改思路与技术内容,2014年5月形成《数据库管理系统安全技术要求》标准草案初稿2)2014年9月2014年12月,经过对国内外主流数据库产品的安全目标调研分〜析,对标准中EAL2,EAL3和EAL4安全功能组件进行了分级定义,形成了《数据库管理系统安全技术要求》初稿3)初稿经过参与单位的讨论,2015年4月初将初稿发送给四家国产数据库厂商,并与2015年4月29日在清华大学组织研讨会进行了对反馈意见的处理情况讨论4)2015年8月完成了对反馈意见的处理,并于2015年底形成标准草案5)2016年5月启动了第二轮标准征求意见工作6)2016年6月初,标准草案提交工作组,在工作组成员单位范围内征求意见7)2016年7月完成了对反馈意见的处理,形成征求意见稿
六、与其他标准的关系本标准按照GB/T18336-2015《信息技术安全技术信息技术安全性评估准则》的安全功能和安全保障组件概念和GB/Z20283-2006《信息安全技术保护轮廓和安全目标的产生指南》中的保护轮廓结构给出了数据库管理系统的安全技术要求
七、专利说明本标准不涉及专利问题《信息安全技术数据库管理系统安全技术要求》(征求意见稿)编制说明《信息安全技术数据库管理系统安全技术要求》(征求意见稿)编制说明《信息安全技术数据库管理系统安全技术要求》(征求意见稿)编制说明《信息安全技术数据库管理系统安全技术要求》(征求意见稿)编制说明。