GB／T 20009-2019 标准规范下载简介：

内容预览由机器从pdf转换为word，准确率92%以上，供参考

GB／T 20009-2019 信息安全技术 数据库管理系统安全评估准则

GB/T200092019

审计数据的【赋值：ST作者指定角色/系统权限】 应测试是否允许安全管理员或授予审计数据查阅权限的授权管理员访问审计数据视图或 接口； 应测试是否禁止所有未授权用户对审计数据的访问

可选审计查阅组件允许授权管理员根据指定的搜索条件来选择要查阅的审计数据。该组件安全评 舌内容如下： a）应测试是否能依据审计数据字段中值的搜索与分类条件对审计记录进行搜索，筛选授权管理 员关心的审计数据； b 应测试是否能对返回审计数据进行排序和汇总统计； C 应测试是否允许授权管理员使用【选择：SQL语句、【赋值：ST作者指定方式】]搜索审计数据利 对审计数据排序； d） 应测试是否提供访问审计数据的应用开发接口能力或审计数据分析辅助工具； e 应测试是否禁止所有未授权用户对审计数据的访问

5.1.2.6选择性审计(FAU SEL.1)

DB22T 3102-2020 水质 水温的测定 热敏电阻传感器法5.1.2.7审计数据可用性保证（FAUSTG.2)

防止审计数据丢失（FAU

GB/T 20009—2019

5.1.3密码支持（FCS类）

5.1.3.1密钥生成（FCSCKM.1)

若密钥由外部环境生成，则检查外部环境提供的密钥生成器是否根据国家标准规定的算法和密钥 长度来生成密钥；否则评估对象提供的用户密钥和数据密钥产生。该组件安全评估内容如下： a）应测试存储用户密钥装置或密钥管理服务器操作接口，确认数据库密钥存储位置是安全且有 据可查的，包括提供与其数据本身具有同类型的密钥备份和恢复机制。 D 应检测数据库用户密钥和数据密钥与加密的数据库本身分离存放管理接口与管理工具 C 应测试是否能根据评估对象【赋值：ST作者指定的标准与规范列表】的特定密钥生成算法【赋 值：密钥生成算法】和规定的密钥长度【赋值：密钥长度】来生成密钥。 d） 应测试密钥生成提供下列密钥管理功能： 1）应提供密钥属性配置管理，密钥属性的例子包括用户密钥类型选择：公开密钥、私有密 钥、秘密密钥【赋值：ST作者指定密钥类型】】、有效期和使用用途【选择：数字签名、密钥加 密、密钥协商、数据加密、【赋值：ST作者指定用途】】； 2） 应提供密钥的存储及其使用接口，允许评估对象与外界连接的数据库应用程序接口与加 密设备进行交互。 e）应检查密码生成算法的赋值是否符合国家主管部门认可的相关标准及参数

5.1.3.2密钥销毁(FCS CKM.4)

5.1.3.3密码运算（FCSCOP.1)

GB/T200092019

5.1.4用户数据保护（FDP类）

5.1.4.1子集访问控制（FDPACC.1）

子集访问控制组件涵盖授权用户与数据库模式对象和数据库非模式对象之间的授权策略定义。该 安全评估内容如下： a）应测试依据授权用户/授权管理员在数据库对象【选择：表对象、索引对象、视图对象、约束、同 义词、存储过程/函数、数据库文件、表空间/文件组、参数文件、【赋值：ST作者指定的数据库对 象】上授予的选择：查询、插入、更新、删除、【赋值：ST作者指定的客体操作列表力执行相关 的【选择：GRANT、REVOKE或【赋值：ST作者指定的授权接口】授权管理。 b 应测试依据级联授权方法管理【选择：自主访问控制策略、基于角色控制策略、基于用户组控 制策略、【赋值：ST作者定义的基于属性的访问控制策略力限制授权用户/授权管理员访问权 限扩散的控制能力。 C 应测试依据评估对象的【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、 【赋值：ST作者定义的基于属性的访问控制策略】】在【选择：数据库级、实例级、【赋值：ST作者 定义的级别】】执行【选择：创建、修改、删除、【赋值：ST作者指定的客体操作列表】执行相关的 【赋值：GRANT、REVOKE或【赋值：ST作者指定的授权接口】】成功的执行授权管理。 d） 应测试依据【选择：默认方式、【赋值：ST作者指定方式刀，阻止未授权用户/未授权管理员对数 据库对象【选择：表对象、索引对象、视图对象、约束、同义词、存储过程/函数、数据库文件、表 空间、参数文件、【赋值：ST作者指定的数据库对象】]的访问操作。 应测试是否能通过【选择：安全元数据视图，应用程序接口、【赋值：ST作者指定的方式】】浏览 成功授权的所有数据库级和实例级授权管理员定义的授权管理数据或评估对象安全配置 参数。 应测试基于安全目标中的附加规则【选择：【赋值：安全属性，明确授权用户/授权管理员访问 客体的规则1，“无附加规则”1，分析评估对象的测试文档，采用抽样方式或独立性设计方法验 证数据库客体对象访问控制机制的正确性。 8） 应测试基于安全目标中的【选择：【赋值：安全属性，明确拒绝主体访问客体的规则】，“无附加 的显式拒绝规则”1，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证TSF拒 绝主体访问数据库管理系统控制的客体对象的访问控制机制的正确性，

基于安全属性的访问控制组件允许评估对象依据授权用户和访问对象的安全属性/属性组允许或 拒绝某个鉴别用户对指定数据库对象的访问。该组件安全评估内容如下： a）应测试基于【选择：自主访问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作 者定义的基于属性的访问控制策略11对数据库对象的相关操作执行访问控制，具体应包括： 1）与一个授权用户/授权管理员相关的授权用户身份和/或角色/组成员关系； 2）数据库对象（模式对象和非模式对象）可实施的访问操作和/或角色/组权限：

3）对数据库对象执行【选择：目主访问控制策略、基于角色控制策略、基于用户组控制策略、 【赋值：ST作者定义的基于属性的访问控制策略】1】]，阻止未授权用户/管理员对数据库对 象访问（模式对象和非模式对象）。 b 应执行【赋值：在授权用户/授权管理员和数据库对象之间，通过对数据库对象采取受控操作 来管理访问的规则】，以决定DBMS授权用户/授权管理员与数据库对象之间的操作是否被允 许。这些规则包括： 1）如果授权用户是访问数据库对象的所有者，则允许用户的访问请求； 2） 如果访问控制策略机制允许授权用户对数据库对象的访问，则允许用户的访问请求； 3） 如果授权用户作为一个用户组或角色（直接角色或间接角色）的成员执行请求的访问模 式，则充许用户的访问请求； 4） 如果PUBLIC能访问受控的数据库对象，则允许用户的访问请求； 5） 否则拒绝用户的访问请求。 C 应测试DBMS是否能通过选择：安全元数据视图，应用程序接口、【赋值：ST作者指定的安全 元数据访问方法】】浏览成功授权的所有数据库对象操作列表和授权用户定义的【选择：自主访 问控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问 控制策略刀安全元数据

5.1.4.3子集信息流控制（FDPIFC.1)

子集信息流控制组件要求每个确定的基于标签访问控制（LBAC)安全策略适用于数据库管理系统 某些数据库对象上允许执行的访问请求。该组件安全评估内容如下： a 应测试基于授权用户/授权管理员和数据库对象安全属性【选择：用户安全标签、关系的行或 列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】】强制应用【LBAC安全策略】， 通过标签中【选择：安全分级、安全范围、安全分组值、【赋值：ST作者指定的标签元素】的访问 规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过，从而控制授权用户 对标签受控的数据库对象的访问。 b）应测试子集信息流控制是否配合评估对象提供的选择：自主访问控制策略、基于角色控制策 略、基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略刀粗粒度访问控制， 只有授权用户/授权管理员在获得访问某数据库模式权限后才应用(LBAC安全策略保护的数 据库表中数据读、写操作访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识 由他们访问数据对象。 应测试基于安全目标中的附加规则【选择：【赋值：基于安全属性，明确拒绝信息流的规则】， “无附加规则”1，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证子集信息流 控制机制对数据库客体对象访问控制的正确性 d）应测试基于安全目标中的选择：【赋值：基于安全属性，明确拒绝信息流的规则】，“无附加的 显式拒绝规则”1，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证子集信息流 控制机制拒绝授权用户访问受控数据库对象的正确性

5.1.4.4分级安全属性（FDPIFF.2）

分级安全属性组件通过用户安全标签和数据分级安全属性构成的数据库分级安全属性网格，以供 基于标签的访问控制数据安全策略使用。该组件安全评估内容如下： a） 应测试是否能具有【选择：安全分级、安全范围、安全分组、【赋值：ST作者指定数据库对象安全 属性元素刀及基于这些元素的标签定义，包括标签与被保护数据库对象和授权用户/授权管理 员的绑定关系定义接口或辅助工具，

GB/T200092019

性值)绑定标签之间的信息流交换，如果满足以下基于安全属性之间的序关系的规则：【 1）为了读取LBAC保护的数据库数据表的行、列或属性值： ·用户安全性标签的安全分级应大于或等于数据库数据表的行、列和属性值安全性标 签的安全分级； ·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安 全范围； ·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签 的安全分组中的一个元素（或者这样一个元素的祖先）。 2）为了写LBAC保护的数据库数据表行、列或属性值： ·用户安全性标签的安全分级应小于或等于数据库数据表的行、列和属性值安全性标 签的安全分级； ·用户安全性标签的安全范围应包含数据库数据表的行、列和属性值安全性标签的安 全范围； ·用户安全性标签的安全分组应至少包含数据库数据表的行、列和属性值安全性标签 的安全分组中的一个元素（或者这样一个元素的祖先）。 3）每一种情况中，在数据库对象操作的基于安全属性的访问控制策略的规则都应被满足】。 ）应测试只有授权管理员【选择：安全管理员，【赋值：ST规定的管理角色】能够改变用户的安全 性标签，具有适当权限的授权用户/授权管理员】能改变受LBAC保护的数据表的行、列和属 性值的安全性标签属性。 应测试拥有特权的安全管理员（豁免的用户）能够忽略对【选择：读元组、读元组集合、读树、写 元组、写元组集合、写树的检查、【赋值：ST作者指定数据库对象标签类型】】，明确地给数据库 对象授权一个信息流。 e）应测试基于规则【赋值：基于安全属性，明确拒绝信息流的规则】明确的拒绝一个数据库对象 的信息流。 应测试对任意两个信息流控制安全属性强制下列关系： 1）存在一个有序函数，对于给定的两个有效的安全属性，函数能够判定它们是否相等，是否 其中一个大于另一个，还是两者不可比较； 2）在安全属性集合中存在一个“最小上界”，对于给定的两个有效的安全属性，存在一个有效 的安全属性大于或等于这两个安全属性； 3 在安全属性集合中存在一个“最大下界”，对于给定的两个有效的安全属性，存在一个有效 的安全属性不大于这两个属性

5.1.4.5带有安全属性的用户数据输出(FDP ETC.2

带有安全属性的用户数据输出组件要求TSF利用一个功能执行合适的SFP，该功能准确无误地将 TOE安全属性与所输出的用户数据相关联。该组件安全评估内容如下： a 应测试基于授权用户/授权管理员和数据库对象安全属性【选择：用户安全标签、关系的行或 列安全性标签、【赋值：ST作者指定数据库对象安全属性元素】强制应用【LBAC安全策略】， 通过标签中【选择：安全分级、安全范围、安全分组值、【赋值：ST作者指定的标签元素】]的访问 规则处理得到的输出来确定用户安全分类与数据标签分级判断是否通过，从而控制授权用户 对带有安全属性的用户数据的访问：

b）应测试输出用户数据时评估对象提供相应的【选择：自主访问控制策略、基于角色控制策略、 基于用户组控制策略、【赋值：ST作者定义的基于属性的访问控制策略】]粗粒度访问控制，只 有授权用户/授权管理员在获得访问某数据库模式权限后才应用LBAC安全策略保护的数据 库表中数据读、写操作】访问控制引擎控制授权用户/授权管理员是否能够访问那些被标识由 他们访问的用户数据； C） 应测试基于安全目标中的附加规则【选择：【赋值：基于安全属性，明确拒绝信息流的规则】， “无附加规则”1，分析评估对象的测试文档，采用抽样方式或独立性设计方法验证带有安全属 性的用户数据输出机制是否将安全属性与所输出的用户数据相关联； d）应测试输出用户数据时可依据用户数据的安全属性【选择：用户安全标签、关系的行或列安全 性标签、【赋值：ST作者指定数据库对象安全属性元素】】组织输出的数据； e 应测试用户数据安全属性的脱敏或匿名机制，确认评估对象具有对输出带有安全属性的用户 数据安全保护能力： 应测试带有安全属性的输出用户数据的属性一致性检测方法和技术

不带安全属性的用户数据输入组件要求安全属性正确表示用户数据，且与客体分离。该组件安全 平估内容如下： a）应测试在【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安 全属性元素】控制下从TOE之外输入用户数据时，TSF执行某个【赋值：访问控制SFP和/或 信息流控制SFP1； b） 应测试从TOE外部输人带有安全属性的用户数据时，TSF能忽略任何与用户数据相关的安 全属性； C 应测试在【选择：用户安全标签、关系的行或列安全性标签、【赋值：ST作者指定数据库对象安 全属性元素控制下从TOE之外输入用户数据时，TSF应执行下面的规则：【选择：自主访问 控制策略、基于角色控制策略、基于用户组控制策略、【赋值：ST作者定义的输入控制规则】】]。

5.1.4.7基本内部传送保护（FDPITT.1)

基本内部传送保护组件要求用户数据在TOE的各部分间传输时受保护。该组件安全评估内容 如下： a） 应检测数据库服务器数据字典共享缓冲和用户数据共享缓存隔离策略和机制，确保两个共享 缓存间数据字典传输时受保护； b 应测试确认用户数据在数据库服务器的数据共享缓存和事务空间之间传输（逻辑1/O)时受 保护； 应测试确认用户数据在数据库服务器的数据共享缓存和磁盘存储之间传输（物理1/O)时受 保护； d） 应测试确认用户数据在分布式环境下不同数据库服务器数据共享缓存间传输（远程逻辑I/O） 时受保护； 应测试确认远程用户数据输入/输出时的传输安全

子集残余信息保护组件确保数据库对象数据在缓存、磁盘等共享存储资源分配或释放时，相关客 的任何残余信息内容都是不可再利用的。该组件安全评估内容如下： a）应测试确认数据库服务器共享内存、磁盘存储空间等服务器资源的任何先前的信息内容，在

GB/T200092019

源被分配给其他授权用户/授权管理员使用之后是不再可用的； b 应测试确认授权用户/授权管理员执行清除数据（DELETE）、删除客体（DROP)或清空数据 （TRANCATE)等数据库事务操作后，未授权用户/未授权管理员不能恢复相关数据； 应测试确认授权管理员通过评估对象清除表空间、数据文件等逻辑存储和物理存储对象后，未 授权用户/未授权管理员不能恢复相关数据存储对象； 1 应测试当依赖评估对象其他系统的安全功能来完成数据库管理系统客体重用功能时，评估对 象提供该客体重用功能的可信性的证据

5.1.4.9基本回退（FDPROL.1)

基本回退组件确保评估对象在既定的限制条件下回退或撤销有限个数据库操作，这是保证数据库 完整性的基本机制。该组件安全评估内容如下： a 应测试评估对象的检查点保存（SAVEPOINT）机制，确认是否允许对复杂事务回退到指定事 务保存点（即回滚部分SQL语句操作）； b） 应测试评估对象的事务回退（ROLLBACK）机制，确认是否充许未提交数据库事务全体SQL 语句的回滚操作； 应测试TOE数据库服务器岩机等数据库实例，重启DBMS时的数据库故障恢复功能； 应测试TOE数据库存储磁盘介质故障后的数据库恢复管理功能，包括【选择：基于时间点、 【赋值：ST作者指定恢复方式】】的数据库快速恢复功能； e 对于分布式部署环境下的数据库管理系统，应测试评估对象的两阶段提交机制，保证多副本数 据的一致性和事务的原子性

存储数据完整性监视和行动组件要求TSF监视存储在由TSF控制的载体内的用户数据是否存在 已被识别的完整性错误，如检测到某个错误时应充许采取相应动作的能力。该组件安全评估内容如下： 应测试评估对象的TSF在事务处理过程中基于【选择：唯一、非空、【赋值：ST作者指定的数据 完整性约束条件力，对涉及的用户数据监视事务操作前后是否存在【赋值：完整性错误】，并在 检测到错误时自动的启动事务回滚等机制，确保共享缓存中数据完整性； b）应测试评估对象的TSF在确保事务提交时，事务相关的日志是否通过日志写机制：【赋值：ST 作者指定的日志先写机制】将日志缓存数据存储到磁盘，并在提交事务的日志刷新到磁盘出现 故障时自动的启动事务回滚等机制，确保用户数据完整性； C 应测试评估对象的TSF是否基于数据库对象依赖关系【选择：索引数据、视图定义、存储过程、 （赋值：ST作者指定的定义的依赖关系)，对所有监控数据库对象（如表数据），监视存储在由 TSF控制的载体内的对象数据（如索引数据和用户数据）间是否存在【赋值：完整性错误】，并 给出对象间存储数据（如表数据和索引数据）完整性检测方法和处理技术； d 应测试评估对象的TSF是否提供多副本存储数据完整性检测机制，并在检测到错误时自动的 启动数据复制机制，确保副本数据的一致性； e） 应测试评估对象的TSF是否提供归档日志数据存储完整性和一致性检测机制，并在检测到错 误时指示用户采取必要的管控措施或机制，确保归档数据的完整性和可用性； ） 应测试评估对象的TSF是否提供备份数据完整性检测机制，并在检测到错误时指示用户采取 必要的管控措施或机制，确保备份数据的完整性和可用性； 应测试评估对象的TSF是否在运行过程中确保联机数据文件的数据完整性，并在检测到错误 时指示用芦采以要的誓控播施或机制确能存储数据的完整性和可用性

GB/T 20009—2019

5.1.5标识和鉴别（FIA类）

鉴别失败处理（FIAAF

5.1.5.2用户属性定义（FIAATD.1)

用户属性定义组件提供一组除用户标识外的安全属性，以用来执行评估对象受信任上下文相关的 安全策略（TSP）。该组件安全评估内容如下： a 应测试确认TSF为每个授权数据库用户会话维护一个上下文对象，提供下列安全属性： 1 用户标识/组成员及验证数据； 2 用户安全相关的授权角色； 3 用户口令与资源限制脚本标准； 4） 数据库对象访问权限； 5） 数据库管理权限； 【赋值：任何ST作者附加的管理员安全属性】 b） 应测试管理控制存储过程和用户定义函数的执行上下文切换的能力，确认提供通信协议信任 属性、网络地址信任属性、网络加密信任属性、身份验证信任属性等受信任连接管理功能

5.1.5.3秘密的验证（FIA SOS.1)

秘密验证组件对用户所提供的秘密（口令、密钥等）进行既定的质量度量以及生成满足既定度量的 秘密。该组件安全评估内容如下： a） 应测试确认TSF是否验证秘密满足【赋值：一个既定的质量度量】的秘密策略定义及秘密验证 机制能力。例如： 1） 口令将被限制在最小和最大数量的字符长度之间： 口令将包含一个大写和小写字符的组合； 3） 口令至少包含一个数字字符； 4 口令至少包含一个特殊字符； 5） 口令不能是用户标识或用户名称； 6 口令具有效期天数； 以前使用的口令可能无法再度使用的最少天数等。 D 应测试确认TSF能够为【赋值：TSF功能列表】使用TSF产生的秘密

对于TSF外部机制产生的秘密，应测试确认TSF保证秘密满足TSF定义的安全策略（例如 一定长度、密文保存等）

鉴别的时机组件允许用户在其身份被鉴别前执行某些动作。该组件安全评估内容如下： 应测试确认TSF是否允许在用户被鉴别之前，代表用户的【赋值：数据库管理系统安全功能促成的 行动列表】被执行。例如： a）获取当前数据库管理系统版本信息； b）建立数据库会话（连接信息）； c）获得用户登录帮助信息； d）如果不成功，返回错误信息

5.1.5.5多重鉴别机制（FIAUAU.5）

5.1.5.6受保护的鉴别反馈（FIAUAU.7)

5.1.5.7标识的时机(FIA UID.1)

会话状态的数据字典视图与图形化查看工！

5.1.6安全管理（FMT类）

5.1.6.1安全功能行为的管理（FMTMOF.1)

时的条件的管理； 9）ST中附加【赋值：安全功能列表】的管理。 b 应测试确认TSF以视图的方式提供安全功能管理元数据管理辅助工具或查看视图。 应测试TSF在DBMS的特定状态（如：安装或启动）中，检查安全功能的正确执行。 d） 应测试确认TSF为授权用户提供验证安全功能数据完整性的能力， 应测试确认TSF为授权用户提供验证安全功能可执行码完整性的能力

安全属性管理功能组件允许安全管理员查看和修改TSF安全属性。该组件安全评估内容如下： a 应测试TSF强制实施【赋值：自主访问控制策略、基于角色控制策略、基于用户组控制策略】 以仅限于【选择：授权管理员或授权用户】能够对安全属性【选择：数据库对蒙访问权限、安全 角色】进行【选择：改变默认值、查询、修改、删除、【赋值：其他操作】】。 b） 应测试TSF强制实施【赋值：基于标签的强制访问控制安全策略（LBACSFP)】，以仅限于【赋 值：LBAC授权的用户】能够【【赋值：安全属性】以【赋值：安全标签】】]。 C 应测试访问控制属性和用户角色赋予可以由具有适当权限的用户授予和撤销，授权管理员在 指派给他们的数据库上总是可以通过属性配置修改用户的访问权限，安全管理员总是可以授 予和撤销数据库用户的角色。 d）LBAC策略分许用户将标签赋给部分受控主体和受控客体对象

安全属性管理功能组件充许安全管理员查看和修改TSF安全属性。该组件安全评估内容如下： a）应测试TSF强制实施【赋值：自主访问控制策略、基于角色控制策略、基于用户组控制策略】 以仅限于【选择：授权管理员或授权用户】能够对安全属性【选择：数据库对象访问权限、安全 角色】进行【选择：改变默认值、查询、修改、删除、【赋值：其他操作】]。 b 应测试TSF强制实施【赋值：基于标签的强制访问控制安全策略（LBACSFP)】，以仅限于【赋 值：LBAC授权的用户】能够【【赋值：安全属性】以【赋值：安全标签】】]。 C 应测试访问控制属性和用户角色赋予可以由具有适当权限的管理员授予和撤销，授权管理员 在指派给他们的数据库上总是可以通过属性配置修改用户的访同权限，安全管理员总是可以 授予和撤销数据库用户的角色 d）LBAC策略允许用户将标签赋给所有受控主体和受控客体对象，只对EAL4级评估对象有效

5.1.6.4静态属性初始化（FMTMSAEXT.3)

静态属性初始化功能组件确保数据库安全配置参数及安全属性的默认值实际上设成了适当的允许 或限制。该组件安全评估内容如下： a）应测试TSF与底层的操作系统的权限设置相一致的特权用户、特权用户组、作业管理权限及 例级和数据库级的各种系统特权权限及其权限管理机制和方法，例如，数据库实例各种进程， 线程运行权限的设置，与主机安全属性相关的设置（在Windows平台是注册表，在unix/linux 平台是/etc/下的相关文件）等； b 应测试确认TSF是否依照【赋值：自主访问控制策略、基于角色控制策略、基于用户组控制策 略】，为用于执行安全功能策略的数据库对象的安全属性提供【赋值：受限的】默认值； C 应测试确认静态属性初始化适用的数据库对象（如数据库或数据库表），确认当较低级别的对 象（例如，行，单元）创建时，默认情况下这些对象可能继承顶层对象的权限

5.1.6.5TSF数据的管理（FMTMTD.1）

5.1.6.6撤销(FMTREV.1)

撤销组件负责处理数据库各种实体安全属性的撤销。该组件安全评估内容如下： a）应测试确认TSF是否仅限于【赋值：已标识的授权角色】能够撤销TSC内与【选择：用户、主 体、客体、【赋值：其他额外资源】相关联的所有可管理的安全属性【选择：口令策略、资源限 制、角色和权限、【赋值：其他安全属性】刀】 D 应测试执行规则选择：撤销数据库管理权限应在数据库用户开始下一个数据库会话前生效 或【赋值：撤销规则的详细说明刀等 属性管理能力

管理功能规范组件提供系统接口以便于授权管理员定义控制被测数据库管理系统安全相关操作的 参数。该组件安全评估内容如下： a 应测试确认TSF是否能执行【赋值：DBMS提供的安全管理功能列表】安全管理功能。例如下 列管理功能： 添加和删除数据库用户； 2 改变授权用户的数据库管理系统账户状态； 3 创建和删除数据库实例（服务器）级别和数据库级别的用户组； 4） 在数据库实例（服务器）级别和数据库级别配置数据库角色权限及其成员用户； 5） 配置数据库用户认证模式（操作系统验证、数据库验证、第三方验证）； 6 管理连接数据库用户会话的属性 7 使能和禁用数据库加密功能； 8） 使能和禁用数据库用户角色状态； 9 管理数据库加密密钥； 10） 创建和销毁加密密钥； 11）启动和停止审计；

GB/T200092019

定义审计策略，选择性审计； 13) 创建、删除和查阅审计记录数据； 14) 定义当审计文件填满时采取的行动； 15） 创建和删除基于标签的访问控制（LBAC)策略和标签； 16) 授权和撤销LBAC安全标签与授权用户/授权管理员与数据库对象的绑定； 17) 创建、删除、授权和撤销数据库角色； 18) 授权、撤销数据库管理员访问属性； 19) 管理数据库用户口令策略； 20） 管理数据库用户对系统资源使用的最大限额等。 b) 应测试确认TSF是否能以视图方式展示【赋值：DBMS提供的安全管理功能列表】安全元数据 或提供赋值：DBMS提供的安全管理功能列表】管理图形化工具

5.1.6.8安全角色(FMT SMR.1)

安全角色组件要求数据库管理系统的安全功能应能支持维护授权角色。该组件安全评估内容 如下： a 应测试确认TSF是否提供或安全管理定义的【赋值：已标识的授权角色】角色创建功能； b 应测试确认TSF是否提供或安全管理定义的【赋值：已标识的授权角色】角色授权管理功能； C） 应测试确认TSF是否提供角色权限管理功能； d 应测试确认TSF是否提供角色启用、禁用功能； e）应测试确认TSF是否提供角色口令管理功能

5.1.6.9安全角色限制(FMT SMR.2)

安全角色限制组件控制数据库用户的不同角色，包括控制角色之间关系的规则。该组件安全评估 内容如下： a）应测试确认TSF是否维护系统提供或安全管理定义的【赋值：已标识的授权角色】角色；例如 下列角色： 1）安全管理员； 2） 审计管理员： 3） 数据库管理员； 4）系统管理员； 5 由授权的安全管理员定义的安全角色 b） 应测试确认TSF是否能够把鉴别用户和数据库角色关联起来，通过数据库会话管理角色关联 的用户系统权限和数据库权限。 C 应测试确认TSF是否确保条件【赋值：不同角色的条件】得到满足，例如： 1） 所有角色应能本地管理评估对象； 2） 所有角色应能远程管理评估对象； 3） 所有角色是不同的，每个角色所执行的操作不能重叠，但下列情况除外：【赋值：ST作者许 重叠的安全功能】

5.1.7TSF保护（FPT类）

效即保持安全状态（FPT

a 应测试确认TSF是否保证网络通信出现暂时性故障，用户数据库会话处于安全状态； 6) 应测试确认TSF是否在数据约束条件不满足时能回退前面的操作； C 应测试确认TSF在处理用户请求的前台服务器进程故障时能保证事务的原子性和数据完 整性； 应测试确认TSF在日志写进程出席故障或日志文件存储空间出现故障时能阻止用户的请求 并提醒用户； 应测试确认TSF在归档进程出席故障或归档日志存储空间出现故障时能提醒用户； f) 应测试确认TSF在实时采集数据库缓存、CPU计算能力等系统资源状态信息，并通过视图 图形界面或应用编程接口方式提供给用户； g）应测试确认TSF是否具备数据库、表空间、数据文件读写状态控制能力。

1.7.2TSF数据传送的分离（FPTITT.2）

TSF数据传送的分离组件要求评估对象不同部分间传送时，TSF应将用户数据从TSF数据中分 离出来。该组件安全评估内容如下： a） 应测试数据库事务空间、共享数据空间、磁盘空间等不同数据操作空间之间数据传输机制： b） 应测试检查不同用户安全域数据的分离策略和实施机制； 应测试确认数据库分布式部署环境下不同节点的认证机制： d） 应测试确认数据库分布式部署时的安全功能数据在不同节点传送时不被【选择：泄漏、篡改， 丢失1。 当数据在数据库管理系统不同部分间传送时，TSF应将用户数据从TSF数据中分离出来

5.1.7.3无过度损失的自动恢复（FPTRCV.3）

无过度损失的自动恢复组件是确保数据库运行出现故障后成功完成恢复数据库，使数据库回退到 个安全状态。该组件安全评估内容如下： a）应测试确认TSF在【赋值：数据库服务器进程失效、数据库实例失效、数据库存储介质失效， 【赋值：ST作者定义失效或服务中断列表】】，数据库自动执行恢复时，TSF能进入一种维护模 式，该模式提供将TOE返回到一个安全状态的能力； D 应测试确认TSF【赋值：数据库服务器进程失效、数据库实例失效、数据库存储介质失效，【赋 值：ST作者定义失效或服务中断列表1)时，TSF能通过自动化过程使数据库服务器返回到一 个安全状态； 应测试确认TSF提供从失效或服务中断状态数据库恢复的功能，检查在TSF的控制内TSF 数据或用户数据不超出【赋值：数据库完整性约束条件】的情况下，保证数据库数据一致性； d 应测试确认TSF提供赋值：ST作者定义的数据库提交事务能被恢复机制】的能力

5.1.7.4内部TSF的一致性（FPTTRC.1)

内部TSF的一致性组件确保评估对象安全功能数据在多点复制时的一致性。该组件安全评估内 容如下： 应测试确认TSF在分布式部署时能保证TSF数据在不同节点间复制时是前后一致的； b） 应测试确认TSF在含有所复制的TSF数据的TOE部分断开连接时，数据库管理系统安全功 能在处理任何对【赋值：依赖于TSF数据赋值一致性的安全功能列表】的请求前，应确保重建 连接后所复制TSF数据的一致性，

GB/T200092019

组件的TSF切换和故障转移能力。该组件安全评估内容如下： a 应测试确认TSF能依据用户指定的切换指令，保证在不丢失主/备用节点运行事务数据基础 上提供主/备用节点TSF控制切换能力； b 应测试确认TSF能依据用户强制切换指令，保证在不丢失主/备用节点已提交事务数据基础 上提供主/备用节点切换能力； C 应测试确认TSF确保故障切换/转移是针对多主副本节点数据一致性，确保TSF切换过程中 数据不丢失，

5.1.8资源利用（FRU类）

5.1.8.1降级容错（FRUFLT.1)

降级容错组件要求如果发生了确定的失效，TOE能继续正确发挥既定能力。该组件安全评估内容 应测试DBMS是否提供验证有关客户端、服务器、网络架构硬件的数据库通信协议及其配置 的故障检测能力。 b） 应测试DBMS是否提供网络传输异常中断容错解决方案。 c）应测试DBMS是否提供数据库实例启动/关闭时错误检测和处理能力。 d）应测试DBMS是否提供数据库打开/关闭时错误检测和处理能力。 应测试DBMS是否提供以下3种加载异常数据时的错误检测和处理能力： 1）加载DBMS不支持的格式数据或较低版本的数据文件； 2）加载一组超大的数据表数据； 3）加载数据过程中，强制中断。 f 应测试DBMS是否提供集中式事务恢复或分布式事务恢复处理能力。 g） 应测试DBMS是否提供支持事务死锁检测和避免， h）应测试DBMS是否提供数据库节点故障后的恢复能力。 i)应测试DBMS是否提供故障时快速地切换到备用服务器的能力。 1 应测试DBMS重要操作的提示与及时警告能力。 k）应测试DBMS多实例快速切换时是否提供在集群环境下实现多机共享数据库并发事务处理， 是否提供自动的实现事务并行处理及均分负载、是否实现数据库在故障时的容错和无断点恢 复等容错能力。 1 应测试DBMS是否提供控制数据多路复用、在线日志多路复用和归档日志多路复用能力。 m）应测试数据库备份执行功能出现异常时，DBMS其他功能是否不出现服务停止的异常。 n）应测试备份过程中磁盘空间不足或备份用磁盘出现故障时，DBMS其他功能是否不出现服务 停止的异常。

5.1.8.2最低和最高配额（FRURSA.2）

最低和最高配额组件提供数据库服务器资源配额机制，确保用户能使用或不会独占数据库服务器 受控资源。该组件安全评估内容如下： a）应测试TSF是否提供了对授权用户的【选择：数据库查询和事务物理和逻辑I/O大小，永久数 据库空间，临时数据库空间，一个特定作业持续使用时间或未使用时间，【赋值：ST作者指定资 源】资源分配最高配额，以便【选择：单个用户、预定义用户、主体】能在【选择：一段指定的时 间间隔内1使用； b）应测试TSF是否提供了对授权用户的选择：数据库查询和事务物理和逻辑I/O大小，永久数

GB/T 200092019

据库空间，临时数据库空间，一个特定作业持续使用时间或未使用时间，【赋值：ST作者指定资 源】资源分配最高配额，以便【选择：单个用户、预定义用户、主体】能在【选择：一段指定的时 间间隔内使用； 应测试TSF是否提供了主体使用数据库服务器资源的视图、工具或API。

5.1.9TOE访问（FTA类）

可选属性范围限定（FTA

可选属性范围限定组件规定数据库会话建立时限制会话安全属性范围的要求。该组件安全评估 如下： a）应测试DBMS是否提供数据字典视图或图形化管理工具来查看下列用户会话信息： 1 会话编号； 2） 进程编号； 3） 用户标识； 4） 用户姓名； 5） 最近的用户请求命令、会话状态（在用、非活动、断开等）； 6） 连接服务器方式（共享/非共享）； 7） 缺省模式； 8） 客户应用程序； 9） 客户终端机器信息； 10） 客户操作系统信息； 11 对应SQL语句/存储过程信息； 12） 等待此会话的锁信息； 13） 登录时间； 14） 等待时间统计信息； 使用时间统计信息； 16） 会话状态（等待、执行等）； 17） 会话跟踪信息； 18） 会话服务信息。 应测试DBMS是否提供数据字典视图或图形化管理工具来查看数据库会话的连接信息： 1 连接名称； 2） 连接用户信息； 3） 状态信息； 4） 使用协议； 5） 连接类型（同构/异构）； 6） 当前事务信息。 应测试确认TSF是否依据基于【赋值：属性】，限制下列会话安全属性的范围：【赋值：会话安 属性】。 d）应测试确认TSF具备管理员对会话安全属性范围的管理能力

多重并发会话限定组件控制同一授权用户访问数据库的并发会话数，即规定基于用户安全属性 发会话的数量。该组件安全评估内容如下

GB/T200092019

5.1.9.3TSF原发会话终止（FTASSL

5.1.9.3TSF原发会话终止（FTASSL.3）

TSF原发会话终止组件要求TSF提供原发和用户原发的交互式会话的锁定、解锁和终止能力。 件安全评估内容如下： a）应测试TSF在规定的时间内用户一直不活动，系统就发起对一个交互式会话的锁定能力 b 应测试TSF提供用户锁定和解锁其拥有的交互式会话的能力； 应测试TSF提供用户在一段指定时间不活动后终止该会话的能力； d）应测试TSF为用户提供自已终止交互会话的能力。

5.1.9.4TOE访问历史（FTA TAH.1)

TOE访问历史组件为授权用户显示访问该用户账号的成功和不成功尝试历史的一些信息，并保存 和检索这些相关信息。该组件安全评估内容如下： a）应测试在TOE会话成功建立的基础上，TSF向用户显示上一次成功建立的会话的【赋值：日 期、时间、访问方法和位置】； b） 应测试在TOE会话成功建立的基础上，TSF显示上一次会话建立的未成功尝试的赋值：日 期、时间、访问方法和位置】和从上一次成功的会话建立以来的不成功尝试次数； C 应测试如果评估对象没有向授权用户提供审阅访问历史信息的机会，TSF就不能从TOE访 问历史中或使用用户接口擦除该用户的TOE访问信息； d）应检查给授权管理员提供访问TOE访问历史数据接口或视图，确认能看到TOE访问历史

5.1.9.5TOE 会话建立（FTA TSE.1)

TE会话建立组件提供了拒绝用户基于属性对T（E进行访向的要求。该组件安全评估内容 如下： 应测试确认能基于【赋值：用户身份和/或组身份，主机标识、客户端网络地址标识、时间、【赋 值：ST作者指定属性】接受或拒绝数据库会话的建立； b 应测试确认提供了TOE会话客户端应用的【选择：操作系统用户标识、客户端执行机器标识、 客户端应用程序标识、【赋值：ST作者指定属性】连接信息管理视图或应用开发接口； ） 应测试属于同一授权用户/授权管理员的并发会话的接受或拒绝数据库会话建立的最大数目； 应检查【选择：正执行SQL语句、等待操作、被标注为删、【赋值：ST作者指定状态】】会话状态 查看功能： 应测试TOE会话【赋值：用户身份和/或组身份，主机标识、客户端网络地址标识、时间、【赋 值：ST作者指定属性】1会话属性查看功能； 应测试TOE会话终止管理功能

5.1.10可信路径/信道（FTP类）

a）对于分布式部署环境下的TOE，应检查在不同节点间是否提供了一条缓存与控制通信信道， 确认此信道在逻辑上与客户端与数据库服务器之间通信信道不同，其端点具有保证标识，并且 能保护信道中数据免遭修改或泄露； b 应检查是否允许【选择：TSF、基于外部认证的鉴别服务器、【赋值：ST作者指定的另一个可信 IT产品】经由可信信道发起通信： 应检查【赋值：需要可信信道的功能列表】测试确认TSF经由可信信道发起通信

GB 7101-2015 食品安全国家标准 饮料5.2.1开发（ADV类）

5.2.1.1安全架构描述（ADVARC.1)

安全架构描述组件评估是确定数据库的TSF结构是否使TSF不能被篡改或绕过，且提供安全域 的TSF是否分离了这些域。安全评估活动的证据包括：安全目标、数据库安全功能规范、TOE设计文 档、安全架构描述、TOE实现技术资料、操作性用户指南等。该组件安全评估内容如下： a）评估者应检查安全架构的描述，以确定证据提供的信息的详细水平与在细节与功能规范和 TOE设计文件中包含的SFR强制实施抽象的描述相称； b） 评价者应检查安全架构的描述，以确定它描述了TSF维护的安全域； C 评估者应检查安全架构描述以确定初始化过程保持了安全性； d） 评估者应检查安全架构描述，以确定它包含的信息足以证明TSF能够保护自身不受非受信活 动实体的宴改； e 评估者应检查安全架构描述，以确定该描述的分析充分说明了SFR强制实施机制是如何不能 被绕过的； f 评估者也应确保安全架构描述是全面的，表现为每个接口都结合声明的SFR的全集进行了 分析。

5.2.1.2安全执行功能规范（ADVFSP.2)

安全执行功能规范组件评估是确认开发者是否对TOE安全功能接口的目的、使用方法机器参数 了充分描述。另外每个安全功能接口的行为、结果、出错信息描述应足够充分，以便评估人员能确认 SFI是安全相关的。安全执行功能规范组件评估证据包括：安全目标、功能规范、TOE设计。如果 OE的ST有评估证据的话，那么所使用的评估证据应包括：安全架构描述和用户操作指南。该组件 安全评估内容如下： a）评估者应检查功能规范，标识出TSF对应的TSFI，以确定该规范完整地描述了TSF的接口； b）评估者应检查功能规范，以确认是否描述了每个TSFI目的，以使得评估者能够理解这些 接口； 评估者应检查功能规范，以确定该规范完整地描述了每个TSFI的使用方法； d）评估者应检查TSFI的表示，以确定该表示完整地指出了与各TSFI相关的所有参数； e 评估者应检查TSFI的表示，以确定该表示完整和准确地描述了各TSFI相关的所有参数； 评估者应检查TSFI的表示所有相关行动，以确定外部TOE安全功能接口进行详细的描述 以使得评估者能够确定接口是否是与安全相关的； g 评估者应检查TSFI的表示，以确定其充分并正确地描述了各外部接口的相关参数、异常和出 错信息的TOE行为； h）评估者应检查功能规范，以确定SFR能够追溯到对应的TSFI； i）评估者应检查功能规范，以确定它是TOE安全功能要求的一个准确且完备的实例化

带完整摘要功能规范组件评估是确认开发者是否对TOE安全功能接口的目的、使用方法机器参 放作了充分描述。另外每个安全功能接口的行为、结果、出错信息描述应足够充分，以便评估人员能比 交不同TSFI之间安全相关强度。带完整摘要功能规范组件评估证据包括：安全目标、功能规范和 TOE设计。如果TOE的ST有评估证据的话，那么所使用的评估证据应包括：安全架构描述、实现表 示、TSF内部描述和用户操作指南。该组件安全评估内容如下： a）评估者应检查功能规范，标识出TSF对应的接口（TSFI)，以确定该规范完整地描述了TSF的 接口； b）评估者应检查功能规范，以确认是否描述了每个TSFI目的，以使得评估者能够理解这些 接口； c） 评估者应检查功能规范，以该规范完整地描述了每个TSFI的使用方法： 评估者应检查TSFI的表示，以确定该表示完整地指出了与各TSFI相关的所有参数： 评估者应检查TSFI的表示，以确定该表示完整和准确地描述了各TSFI相关的所有参数； f 评估者应检查TSFI的表示所有相关行动，以确定外部TOE安全功能接口进行详细的描述 以使得评估者能够确定接口是否是与安全相关的； g 评估者应检查TSFI的表示，以确定其充分并正确地描述了各外部接口的相关参数、异常和出 错信息的TOE行为； h 评估者应检查TSFI的表示，以确定每个TSFI是否概述了SFR支持和SFR不相关的行为； i 评估者应检查功能规范，以确定SFR能够追溯到对应的TSFI； 评估者应检查功能规范，以确定它是TOE安全功能要求的一个准确且完备的实例化

CQC 1105-2014 电动汽车传导充电系统用电缆技术规范 第3部分：直流充电系统用电缆5.2.1.4完备的功能规范（ADVFSP.4）

完备的功能规范组件评估时确定开发者是否完全描述了所有TSF1，描述的方式是否可使评估者能 够肯定TSFI完整精确地描述了执行ST的安全功能需求。接口的完整度是基于实现介绍判断的。完 备的功能规范组件评估证据包括：安全目标、功能规范、TOE设计和实现表示。如果TOE的ST有评 估证据的话，那么所使用的评估证据应包括：安全体系结构描述、TSF内部描述、安全策略模型。该组 件安全评估内容如下： 评估者应检查功能规范，标识出TSF对应的TSFI，以确定该规范完整地描述了TSF的接口： b）评估者应检查功能规范，以确定接口描述的结构化/半结构化、上下一致，并使用常用术语； c） 评估者应检查功能规范，以确定它说明了各TSFI接口所提供的功能的总述； 评估这应检查功能规范，以确定规范给出了各TSFI的使用方法； e） 评估者应检查功能规范，以确定TSFI的完整性； f） 评估者应检查TSFI的表示，以确定该表示完整地指出了与各TSFI相关的所有参数； g） 评估者应检查TSFI的表示，以确定该表示完整和准确地描述了各TSFI相关的所有参数； 评估者应检查TSFI的表示，以确定该表示完整地、准确地描述了与各TSFI相关的所有行动； i） 评估者应检查TSFI的表示，以确定该表示完整地、准确地描述了调用各TSFI产生的所有错 误信息； 评估者应检查TSFI的表示，以确定该表示完整和准确地描述了调用各TSFI产生的所有错误 信息； k） 评估者应检查功能规范，以确定规范完整地、准确地描述了调用一个TSFI不会产生的所有错 误信息； 1）评估者应检查功能规范,以确定对于每一个包含在 TSF实现内但不是从 TSFI 调用中产生的