jxq
作者jxq2018-10-31 09:23
其它, gbase

数据库产品 CC 认证的最佳实践(二十一)《GBase 8t V8.5安全目标》之5.1.2 用户数据保护(FDP 功能类)

字数 2128阅读 1765评论 1赞 4

(一)前言
(二)CC 通用准则概述
(三)CC 通用准则的演进
(四)CC 安全性评估
(五)安全功能组件
(六)安全保证组件
(七)评估保证级
(八)《安全目标》编写规范
(九)《GBase 8t V8.5安全目标》之目录
……

(二十一)《GBase 8t V8.5安全目标》之5.1.2 用户数据保护(FDP 功能类)

5.1.2 用户数据保护(FDP 功能类)

5.1.2.1 子集访问控制(FDP_ACC.1)

FDP_ACC.1.1
评估对象安全功能应对【用户尝试创建、销毁或访问数据库、表、视图、同义词、类型、例程和序列】强制执行【“自主访问控制策略”】。

5.1.2.2 基于安全属性的访问控制(FDP_ACF.1)

FDP_ACF.1.1
评估对象安全功能应基于【下列表格中定义的主体和客体属性】对客体强制执行【“自主访问控制策略”】。

bomb7angeasi

bomb7angeasi

FDP_ACF.1.2
评估对象安全功能应强制执行以下规则,以决定是否允许受控主体与受控客体之间的一个操作:【对应于所请求的目标客体的操作,主体必须拥有一个分配了(访问控制列表中每一)权限的用户名,以便于成功地执行所请求的操作】。

FDP_ACF.1.3
评估对象安全功能应基于以下附加规则,明确授予主体访问客体的权限:【1)获得授权的管理员作为主体可以访问其角色允许的那些客体,而不管(访问控制列表中的)权限如何。2)其用户名为可用客体所有者的主体可以访问该客体,而不管权限如何】。

FDP_ACF.1.4
评估对象安全功能应基于【无明确的拒绝规则】来明确拒绝主体对客体的访问。

5.1.2.3 子集信息流控制(FDP_IFC.1)

FDP_IFC.1.1
评估对象安全功能应对【对受 LBAC 保护的数据库表的用户读操作和写操作】强制执行【LBAC 安全功能策略】。

5.1.2.4 分级安全属性(FDP_IFF.2)

FDP_IFF.2.1
评估对象安全功能应基于下列主体类型和信息安全属性强制执行【“LBAC 策略”】:【用户安全标签与数据库表列或行安全标签】。

应用注意事项:
请注意,安全标签包含三(3)种可用组件类型(array、set 和 tree)中的零(0)个或多个,但必须至少包括一个组件。

  • array——表示一个有序的集合;该集合中的任意元素都比该集合中的后续元素级别更高。
  • set——表示一个无序的集合;在该集合中的元素之间没有定义好的关系,且元素的顺序无关紧要。
  • tree——表示一个层级结构,用于表示组织架构图并标识拥有可应用数据的组织内部的各个部门。在树形层级结构中高于另一元素的那个元素被视为祖先。

FDP_IFF.2.2
基于安全属性间的有序关系,如果遵循下列规则,则评估对象安全功能应允许信息在受控主体与受控信息之间经由受控操作流动:

  • 为了读取数据库表中受 LBAC 保护的列或行:1)用户安全标签的 array 组件必须大于或等于客体安全标签的 array 组件,2)用户安全标签的 set 组件必须包括客体安全标签的 set 组件,3)用户安全标签的 tree 组件必须包括客体安全标签的 tree 标签中至少一个元素(或一个这样的元素的祖先)。
  • 为了写数据库表中受 LBAC 保护的列或行:1)用户安全标签的 array 组件必须等于客体安全标签的 array 组件,2)用户安全标签的 set 组件必须包括客体安全标签的 set 组件,3)用户安全标签的 tree 组件必须包括客体安全标签的 tree 标签中至少一个元素(或一个这样的元素的祖先)。
  • 在每种情况下,都必须满足“自主访问控制策略”规则。

FDP_IFF.2.3
评估对象安全功能应强制执行【无额外的规则】。

FDP_IFF.2.4
评估对象安全功能应提供如下:【只有安全管理员才可以更改对用户的安全标签,且只有获得恰当权限的用户才可以更改受 LBAC 保护的表的列或行上的安全标签】。

FDP_IFF.2.5
评估对象安全功能应根据下列规则来明确地批准一个信息流:【拥有恰当的对应豁免的用户可以忽略读 array 检查、读 set 检查、读 tree 检查、写 array(至较低的 array 值)检查、写array(至较高的 array 值)检查、写 set 检查或写 tree 检查】。

FDP_IFF.2.6
评估对象安全功能应根据下列规则来明确地拒绝一个信息流:【无】。

FDP_IFF.2.7
对于任意两个有效的信息流控制安全属性,评估对象安全功能应强制执行下列关系:1)给定两个有效的安全属性,存在一个有序函数,可判断这两个安全属性是否相等,是否一个安全属性大于另一个,或者两者不可比较;2)在安全属性集合中存在一个“最小上界”,也就是说,给定任意两个有效的安全属性,存在一个有效的安全属性大于或等于这两个有效的安全属性;在安全属性集合中存在一个“最大下界”,也就是说,给定任意两个有效的安全属性,存在一个有效的安全属性不大于这两个有效的安全属性。

5.1.2.5 完全残余信息保护(FDP_RIP.2a)

FDP_RIP.2a.1
在【将一个资源分配给】所有客体时,评估对象安全功能应确保该资源的任何先前信息内容都不可用。

如果觉得我的文章对您有用,请点赞。您的支持将鼓励我继续创作!

4

添加新评论1 条评论

xiu6011xiu6011软件开发工程师, 大数据
2022-08-16 14:32
你好。这里好像没有FDP_ITT. 这些内部缓存的怎么用测试用例来证实呢?谢谢! 基本内部传送保护 基本内部传送保护组件要求用户数据在TOE的各部分间传输时受保护。该组件安全评估内容 如下: a) 应检测数据库服务器数据字典共享缓冲和用户数据共享缓存隔离策略和机制,确保两个共享 缓存间数据字典传输时受保护; b) 应测试确认用户数据在数据库服务器的数据共享缓存和事务空间之间传输(逻辑I/O)时受 保护; c) 应测试确认用户数据在数据库服务器的数据共享缓存和磁盘存储之间传输(物理I/O)时受 保护; d) 应测试确认用户数据在分布式环境下不同数据库服务器数据共享缓存间传输(远程逻辑I/O) 时受保护; e) 应测试确认远程用户数据输入/输出时的传输安全。

jxq@xiu6011 对应的GB/T 20273-2019 7.2.4.7要求是:在TOE物理上分隔的部分间传递用户数据时,TSF应执行【赋值:访问控制SFP和(/或)信息流控制SFP】,以防止用户数据的【选择:泄露、篡改、丧失可用性】。————GB/T 20009-2019 5.1.4.7这“脑洞”开的挺大。————不妨先从评估内容e)入手。比如,使用抓包工具抓取DBMS客户端与服务器间传输的用户数据,分析数据包中是否包含明文用户数据。

2022-08-16 17:58
Ctrl+Enter 发表

作者其他文章

相关文章

相关问题

相关资料

X社区推广