数据库产品 CC 认证的最佳实践(十六)《GBase 8t V8.5安全目标》之3.3 组织安全策略
(一)前言
(二)CC 通用准则概述
(三)CC 通用准则的演进
(四)CC 安全性评估
(五)安全功能组件
(六)安全保证组件
(七)评估保证级
(八)《安全目标》编写规范
(九)《GBase 8t V8.5安全目标》之目录
……
(十六)《GBase 8t V8.5安全目标》之3.3 组织安全策略
3.3 组织安全策略
组织安全策略是组织在其运营中强制执行的一系列规则或程序,旨在保护其敏感数据。
P.AUTHORIZED_USERS
只有已获得了授权的那些用户才能访问该评估对象内的信息。
P.NEED_TO_KNOW
对于“需要了解”受保护资源中信息的那些获得授权的用户,该评估对象必须限制对这些信息的访问、修改和销毁。
P.ACCOUNTABILITY
该评估对象的用户应当对其在评估对象内的动作负责。
P.CLASSIFICATION
系统必须能够根据客体中包含信息的敏感度(表示为标签)以及访问该信息的用户(表示为主体)的形式化许可,来限制对信息的访问权限。强制执行该访问规则,以防止主体访问敏感度高于当前操作的信息。
如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!
赞5Ctrl+Enter 发表
作者其他文章
评论 1 · 赞 1
评论 0 · 赞 2
评论 0 · 赞 2
评论 0 · 赞 0
评论 0 · 赞 1
添加新评论2 条评论
2022-07-27 15:03
xiu6011: @jxq 知道了。谢谢
jxq: @xiu6011 GB/T 20273-2019 5.3.1 表2中罗列的6项OPS,都是DBMS EAL4必需的。(这6项比本网文罗列的4项更全面。)在OPS方面,具备这6项,便可满足EAL4要求。
xiu6011: @jxq 是说以它为准?但是它不是一个强制的要求?是这个意思吗?谢谢你!
jxq: @xiu6011 GB/T 18336.1-2015《信息技术 安全技术 信息技术安全评估准则 第1部分:简介和一般模型》定义: 组织安全策略(OSP)是由一个实际的(或假想的)组织目前(和/或将来)为运行环境强制(或有可能强制)要求的一些安全规则、规程和指导原则。 ————首先,DBMS EAL4应包括GB/T 20273-2019 5.3.1规定的全部6项组织安全策略。 ————本文提及的4项OSP,基本相当于GB/T 20273-2019 5.3.1的子集。 ————总之,建议以GB/T 20273-2019 5.3.1的6项OSP为准。
2018-10-28 19:22