学习GB/T 20273-2019（一）学习方法

（一）学习方法

GB/T 20273-2019《信息安全技术 数据库管理系统安全技术要求》（以下简称“GB20273”）于2020年3月1日开始实施，全部代替GB/T 20273-2006《信息安全技术 数据库管理系统安全技术要求》，成为数据库安全测评领域的最新标准。

GB20273规定数据库管理系统评估对象描述，不同评估保障级的数据库管理系统安全问题定义、安全目的和安全要求，安全问题定义与安全目的、安全目的与安全要求之间的基本原理。适用于数据库管理系统的测试、评估和采购，也可用于指导数据库管理系统的研发。

本文提供学习GB20273的一种方法。

我们先看看GB20273相关的标准：

1、GB/T 18336.1-2015《信息技术 安全技术 信息技术安全评估准则 第1部分：简介和一般模型》（以下简称“GB18336.1”）

GB18336.1等同采用ISO/IEC 15408-1:2009国际标准。与相应国际标准的一致性程度为“等同”，意味着与国际标准的技术内容和文本结构相同，只存在很少的编辑性修改。

GB18336.1建立IT安全评估的一般概念和原则，详细描述GB/T 18336各部分给出的一般评估模型，该模型整体上可作为评估IT产品安全属性的基础。

GB18336.1描述GB/T 18336各部分内容；定义在GB/T 18336各部分将使用的术语及缩略语；建立关于评估对象（TOE）的核心概念；论述评估背景；描述评估准则针对的读者对象；介绍IT产品评估所需的基本安全概念；定义裁剪GB/T 18336描述的功能和保障组件时可用的各种操作；详细说明保护轮廓（PP）、安全要求包和符合性这些关键概念；描述评估产生的结果和评估结论；给出规范安全目标（ST）的指导方针；描述贯穿整个模型的组件组织方法。

2、GB/T 18336.2-2015《信息技术 安全技术 信息技术安全评估准则 第2部分：安全功能组件》（以下简称“GB18336.2”）

GB18336.2等同采用ISO/IEC 15408-2:2008国际标准。

GB18336.2定义安全功能组件所需要的结构和内容。包含一个安全组件的分类目录，满足许多IT产品的通用安全功能要求。

3、GB/T 18336.3-2015《信息技术 安全技术 信息技术安全评估准则 第3部分：安全保障组件》（以下简称“GB18336.3”）

GB18336.3等同采用ISO/IEC 15408-3:2008国际标准。

GB18336.3定义保障要求，包括：评估保障级（EAL）——为度量部件TOE的保障定义的一种尺度；组合保障包（CAP）——为度量组合TOE的保障提供的一种尺度；组成保障级和保障包的单个保障组件；PP和ST的评估准则。

4、GB/T 30270-2013《信息技术 安全技术 信息技术安全性评估方法》（以下简称“GB30270”）

GB30270等同采用ISO/IEC 18045:2005国际标准。

GB30270是GB/T 18336的配套标准，描述在采用GB/T 18336所定义的准则和评估证据进行评估时，评估者应执行的最小行为集。

5、GB/T 20009-2019《信息安全技术 数据库管理系统安全评估准则》（以下简称“GB20009”）

GB20009依据GB20273规定数据库管理系统安全评估总则、评估内容和评估方法。适用于数据库管理系统的测试和评估，也可用于指导数据库管理系统的研发。

6、GB/Z 20283-2006《信息安全技术 保护轮廓和安全目标的产生指南》（以下简称“GB20283”）

GB20283非等效采用ISO/IEC TR 15446:2004国际标准。与相应国际标准的一致性程度为“非等效”，意味着与国际标准的技术内容和文本结构不同，同时这种差异没有被清楚地说明。

GB20283给出保护轮廓（PP）和安全目标（ST）文档内容的概述、示例目录清单和目标用户最关心的其他内容，陈述PP与ST之间的关系，以及PP和ST的开发编写过程。GB20283为使用者编写PP和ST提供指导，并在附录中给出若干实例，供感兴趣的读者参考。

2020年9月29日，GB/T 20283-2020《信息安全技术 保护轮廓和安全目标的产生指南》发布。新的标准非等效采用ISO/IEC TR 15446:2017国际标准，将于2021年4月1日实施，全部代替GB/Z 20283-2006。

在上述标准中，GB18336.1、GB18336.2、GB18336.3共同构成IT安全评估的CC（通用准则）；GB30270是IT安全评估的CEM（通用方法论）；GB20273是DBMS安全评估领域的CC；GB20009是DBMS安全评估领域的CEM。

接下来，基于以上认识，通过解读GB18336.2中的安全功能组件和GB18336.3中的安全保障组件，以及这些组件与GB20273评估保障级的关系，来学习GB20273。

我们再熟悉一下GB18336.1中颗粒度由细到粗的四个术语：

• 元素——一个安全需求的不可再分的陈述。
• 组件——体现安全要求的最小可选元素的集合。
• 族——具有相似目标，但在侧重点或严重程度上不同的组件的集合。
• 类——具有共同目的族的集合。