ICS35040

L80.

中華人民共和國國家標準

GB/T20273—2019

代替

GB/T20273—2006

信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

Informationsecuritytechnology—

Securitytechnicalrequirementsfordatabasemanagementsystem

2019-08-30發(fā)布2020-03-01實施

國家市場監(jiān)督管理總局發(fā)布

中國國家標準化管理委員會

GB/T20273—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規(guī)范性引用文件

2…………………………1

術(shù)語定義和縮略語

3、………………………1

術(shù)語和定義

3.1…………………………1

縮略語

3.2………………1

評估對象描述

4……………2

評估對象概述

4.1………………………2

評估對象安全特性

4.2…………………2

評估對象部署方式說明

4.3……………3

安全問題定義

5……………3

數(shù)據(jù)資產(chǎn)

5.1……………3

威脅

5.2…………………4

組織安全策略

5.3………………………6

假設(shè)

5.4…………………7

安全目的

6…………………8

安全目的

6.1TOE………………………8

環(huán)境安全目的

6.2………………………11

安全要求

7…………………13

擴展組件定義

7.1………………………13

安全功能要求

7.2………………………14

安全保障要求

7.3………………………26

基本原理

8…………………39

安全目的基本原理

8.1…………………39

安全要求基本原理

8.2…………………47

組件依賴關(guān)系

8.3………………………54

附錄資料性附錄關(guān)于標準修訂和使用說明

A()………57

參考文獻

……………………60

Ⅰ

GB/T20273—2019

前言

本標準按照給出的規(guī)則起草

GB/T1.1—2009。

本標準代替信息安全技術(shù)數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求與

GB/T20273—2006《》,GB/T20273—

相比主要技術(shù)變化如下

2006:

修改了術(shù)語和定義增加了縮略語中的內(nèi)容見和年版的

———“”,“”(3.13.2,20063.1);

增加了安全問題定義安全目的擴展組件定義基本原理見第章第章第章第章

———、、、(5、6、7、8);

修改了評估對象描述見第章年版的第章

———(4,20064);

刪除了安全審計安全功能中提供潛在侵害分析基于異常檢測和簡單攻擊探測的要求

———“”“”“”“”

見年版的第章

(20065);

刪除了自身安全保護安全功能中提供物理安全保護的要求見年版的

———“SSODB”“SSF”(2006

第章

5);

刪除了運行安全保護安全功能中關(guān)于與不可旁路性域分離和可信恢復相關(guān)的要

———“SSF”“”“”“”

求見年版的第章

(20065);

刪除了安全功能中提供推理控制的要求見年版的第章

———“”(20065);

增加了附錄關(guān)于標準修訂和使用說明

———A。

請注意本文件的某些內(nèi)容可能涉及專利本文件的發(fā)布機構(gòu)不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術(shù)委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心清華大學北京江南天安科技有限公司公安部第三研究

:、、、

所北京大學武漢達夢數(shù)據(jù)庫有限公司天津南大通用數(shù)據(jù)技術(shù)股份有限公司

、、、。

本標準主要起草人張寶峰畢海英葉曉俊王峰王建民陳冠直陸臻沈亮顧健宋好好趙玉潔

:、、、、、、、、、、、

吉增瑞劉昱函劉學洋胡文蕙付銓方紅霞馮源李德軍

、、、、、、、。

本標準所代替標準的歷次版本發(fā)布情況為

:

———GB/T20273—2006。

Ⅲ

GB/T20273—2019

信息安全技術(shù)

數(shù)據(jù)庫管理系統(tǒng)安全技術(shù)要求

1范圍

本標準規(guī)定了數(shù)據(jù)庫管理系統(tǒng)評估對象描述不同評估保障級的數(shù)據(jù)庫管理系統(tǒng)安全問題定義安

,、

全目的和安全要求安全問題定義與安全目的安全目的與安全要求之間的基本原理

,、。

本標準適用于數(shù)據(jù)庫管理系統(tǒng)的測試評估和采購也可用于指導數(shù)據(jù)庫管理系統(tǒng)的研發(fā)

、,。

注本標準規(guī)定的級的安全要求既適用于基于和

:EAL2、EAL3、EAL4GB/T18336.1—2015、GB/T18336.2—2015

的數(shù)據(jù)庫管理系統(tǒng)安全性測評同樣適用于基于的數(shù)據(jù)庫第二級系統(tǒng)審

GB/T18336.3—2015,GB17859—1999

計保護級第三級安全標記保護級第四級結(jié)構(gòu)化保護級的數(shù)據(jù)庫安全性測評相關(guān)對應關(guān)系參見附錄的

、、,AA.1。

2規(guī)范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改單適用于本文件

。,()。

信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第部分簡介和一般

GB/T18336.1—20151:

模型

信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第部分安全功能組件

GB/T18336.2—20152:

信息技術(shù)安全技術(shù)信息技術(shù)安全評估準則第部分安全保障組件

GB/T18336.3—20153:

信息安全技術(shù)術(shù)語

GB/T25069—2010