文本描述
犐犆犛35.040
犔80
中 华 人 民 共 和 国 国 家 标 准
/—
犌犅犜200092019
代替 /—
GBT200092005
信息安全技术
数据库管理系统安全评估准则
犐狀犳狅狉犿犪狋犻狅狀狊犲犮狌狉犻狋狔狋犲犮犺狀狅犾狅犵狔—
犛犲犮狌狉犻狋狔犲狏犪犾狌犪狋犻狅狀犮狉犻狋犲狉犻犪犳狅狉犱犪狋犪犫犪狊犲犿犪狀犪犵犲犿犲狀狋狊狔狊狋犲犿
20190830发布
20200301实施
国家市场监督管理总局
中国国家标准化管理委员会
发布
犌犅犜/20009—2019
目 次
前言…………………………………………………………………………………………………………Ⅲ
1 范围………………………………………………………………………………………………………
2 规范性引用文件 …………………………………………………………………………………………
3 术语和定义、缩略语………………………………………………………………………………………
3.1 术语和定义 …………………………………………………………………………………………
3.2 缩略语 ………………………………………………………………………………………………
4 评估总则 …………………………………………………………………………………………………
4.1 概述 …………………………………………………………………………………………………
4.2 评估要求 ……………………………………………………………………………………………
4.3 评估环境 ……………………………………………………………………………………………
4.4 评估流程 ……………………………………………………………………………………………
5 评估内容 …………………………………………………………………………………………………
5.1 安全功能评估 ………………………………………………………………………………………
1
1
1
1
1
2
2
2
2
3
3
3
5.2 安全保障评估………………………………………………………………………………………
5.3 评估方法……………………………………………………………………………………………
22
35
附录A(资料性附录) 标准修订说明……………………………………………………………………40
Ⅰ
犌犅犜/20009—2019
前 言
本标准按照GB/T1.1—2009给出的规则起草。
— 《信息安全技术 数据库管理系统安全评估准则》。与
本标准代替GB/T200092005
GB/T20009—2005相比,除编辑性修改外主要技术变化如下 :
———修改了第3章术语和定义及缩略语 (见3.1和3.22005, 年版第3章);
———修改了第4章“安全环境”,标题修改为评估总则 ,描述了数据库管理系统总体要求 、评估要求、
评估环境和评估流程 (见第4章,2005年版第4章);
GBT30270—2013定义了GB/T20273—2019中的安全功能
———修改了第5章评估内容,按照/
组件和安全保障组件评估内容 (见第5章,2005年版第5章);
———删除了附录A“数据库管理系统面临的威胁和对策 ”(见2005年版附录A);
———按照评估保障级概念列出了 EAL2EAL3、 和EAL4组件列表及评估准则 。
请注意本文件的某些内容可能涉及专利 。本文件的发布机构不承担识别这些专利的责任 。
本标准由全国信息安全标准化技术委员会 (SAC/TC260)提出并归口。
本标准起草单位:中国信息安全测评中心 、清华大学、北京江南天安科技有限公司 、公安部第三研究
所、北京大学、武汉达梦数据库有限公司 、天津南大通用数据技术股份有限公司 。
本标准主要起草人 :张宝峰、毕海英、叶晓俊、王峰、王建民、陈冠直、陆臻、沈亮、顾健、宋好好、
赵玉洁、吉增瑞、刘昱函、刘学洋、胡文蕙、付铨、方红霞、冯源、李德军。
本标准所代替标准的历次版本发布情况为 :
———GB/T20009—2005。
Ⅲ
犌犅犜/20009—2019
信息安全技术
数据库管理系统安全评估准则
1 范围
本标准依据GB/T20273—2019规定了数据库管理系统安全评估总则 、评估内容和评估方法 。
本标准适用于数据库管理系统的测试和评估 ,也可用于指导数据库管理系统的研发 。
注:本标准规定的EAL2级、EAL3级、EAL4级的评估内容和评估方法既适用于基于 GB/T18336—2015所有部分
的数据库管理系统安全性测评 ,同样适用于基于 GB17859—1999的数据库第
==>> 点击下载文档
