1　評估內容

1.1　安全功能評估

1.1.1　安全審計（FAU類）

1.1.1.1　審計數據產生 （FAU_GEN.1）

審計數據產生組件應按照安全目標設定的數據庫標準審計和細粒度審計策略自動產生相應的審計事件記錄信息。該組件安全評估要求如下：

a) 應測試評估對象提供的不同級別審計策略能產生下述可審計事件記錄：

1) 數據庫審計功能的啟動和關閉；

2) 數據庫實例及其組件服務的啟動和關閉；

3) 數據庫實例配置參數非缺省值修改事件；

4) 數據庫對象結構修改事件；

5) GB/T 20273-201X列出的數據庫審計級別【最小】的可審計事件；

6) 其它面向數據庫安全審計員的，可繞過訪問控制策略的特殊定義【賦值：ST 作者定義的審計事件】的可審計事件；

7) 未指定審計級別【ST作者賦值：數據庫對象數據操作級別的細粒度審計的事件】的所有可審計事件。

b) 應檢查審計記錄中至少包含如下信息：

1) 事件類型、事件發生日期和時間、主體關聯身份/組/角色、涉及的數據庫對象、產生審計事件的主機信息、事件操作結果（成功或失敗）；

2) 應根據評估對象【賦值：ST作者指定的審計事件數據】和規定的格式【賦值：數據類型與格式】來生成審計數據；

3) 對于每個審計事件類型，基于GB/T 20273-201X中包括的安全功能組件的可審計事件定義。

c) 應檢查數據庫管理系統的審計數據產生策略配置管理API或工具，確認審計數據產生機制與功能有效性。

1.1.1.2　用戶身份關聯（FAU_GEN.2）

用戶身份關聯組件應將審計事件與主體身份相聯系，滿足可審計事件追溯到單個數據庫用戶身份上的要求。該組件安全評估要求如下：

a) 審計記錄中應能查看到每個審計事件是否與引發審計事件的用戶身份關聯信息；

b) 審計記錄中應能查看到每個審計事件是否與引發審計事件的【賦值：ST作者指定的用戶身份鑒別方式】相關關聯的數據庫會話信息；

c) 應檢查提供將審計記錄中用戶身份與用戶所屬組/角色身份關聯查看輔助視圖或管理API/工具，確認能看到用戶身份關聯信息。

1.1.1.3　審計查閱（FAU_SAR.1）

審計查閱組件為授權管理員提供獲得和解釋事件審計事件數據的能力。該組件安全評估要求如下：

a) 應測試能否從審計記錄中閱讀和獲取下面所列出的審計信息：

1) 用戶身份標識；

2) 審計事件類型；

3) 數據庫對象標識；

4) 評估對象指定的【賦值：ST 作者指定的審計事件數據】。

b) 應測試是否以使用戶理解的方式提供滿足查閱條件的審計記錄閱讀與管理界面（如圖形界面）；

c) 應測試當授權用戶是外部IT實體時，審計數據必須以規范化電子方式無歧義地表示；

d) 應測試是否禁止所有未授權用戶對審計數據的訪問。

1.1.1.4　限制審計查閱（FAU_SAR.2）

限制審計查閱組件只允許授權管理員查閱部分審計數據。該組件安全評估要求如下：

a) 應測試是否能依據【選擇：主體標識、主機標識、客體標識、【賦值：ST 作者指定審計條件】】閱讀和讀取審計數據；

b) 應測試是否能依據【選擇：成功可審計安全事件、失敗可審計安全事件、【賦值：ST作者指定其他選擇條件】】選擇性審計清單等條件閱讀和讀取審計信息；

c) 應測試是否能依據【選擇：數據庫系統權限、數據庫對象權限、【賦值：ST作者指定權限級別】】閱讀和讀取審計信息；

d) 應測試管理審計數據授權控制機制和審計數據授權管理員（安全管理員）控制授權管理員訪問審計數據的【賦值：ST作者指定角色/系統權限】；

e) 應測試是否允許安全管理員或授予審計數據查閱權限的授權管理員訪問審計數據視圖或接口；

f) 應測試是否禁止所有未授權用戶對審計數據的訪問。

1.1.1.5　可選審計查閱（FAU_SAR.3）

可選審計查閱組件允許授權管理員根據指定的搜索條件來選擇要查閱的審計數據。該組件安全評估要求如下：

a) 應測試是否能依據審計數據字段中的值的搜索與分類條件對審計記錄進行搜索，篩選授權管理員關心的審計數據；

b) 應測試是否能對返回審計數據進行排序和匯總統計；

c) 應測試是否允許授權管理員使用【選擇：SQL語句、【賦值：ST作者指定方式】】搜索審計數據和對審計數據排序；

d) 應測試是否提供訪問審計數據的應用開發接口能力或審計數據分析輔助工具；

e) 應測試是否禁止所有未授權用戶對審計數據的訪問。

1.1.1.6　選擇性審計（FAU_SEL.1）

審計事件選擇組件定義了向可審計事件集中加入或從中排除事件的能力。該組件安全評估要求如下：

a) 應測試是否能根據【選擇：客體身份、用戶身份、組身份、主體身份、主機身份、【賦值：ST作者指定主體屬性】】從審計事件集中選擇可審計事件；

b) 應測試是否能根據【選擇：數據庫系統權限、語句級審計、權限級審計、模式對象級審計、列級數據權限、行級數據權限、【賦值：ST作者指定用戶操作權限級別】】從審計事件集中選擇可審計事件；

c) 應測試是否能根據【選擇：成功、失敗、二者可審計安全事件選項、【賦值：ST作者指定條件】】從審計事件集中選擇可審計事件；

d) 應測試是否能根據產品審計功能相關的附加屬性列表從審計事件集中選擇可審計事件。

1.1.1.7　審計數據可用性保證（FAU_STG.2）

審計數據可用性保證組件保證數據庫管理系統的審計數據存儲出現意外情況時，TSF還能維護產生的審計數據。該組件安全評估要求如下：

a) 應測試是否能提供數據庫系統表或外部文件方式保存審計事件數據，維護審計數據授權控制和審計數據存儲管理的能力；

b) 應測試維護控制審計事件數據存儲能力參數有效性；

c) 應測試保護所存儲的審計記錄，只允許安全管理員或授權管理員訪問審計記錄的訪問機制；

d) 應測試TSF能【選擇，選取一個：防止、檢測】對審計跡中所存審計記錄的未授權修改；

e) 應測試提供的審計數據備份、導出等管理接口/輔助工具，并且只有安全管理員或授權管理員才能操作這些輔助功能；

f) 應測試審計事件具備數據加解密存儲保護能力；

g) 應測試在TSF【選擇：審計存儲耗盡、失效、受攻擊】時，確保【賦值：保存審計記錄的度量】審計記錄將維持有效。

1.1.1.8　防止審計數據丟失（FAU_STG.4）

防止審計數據丟失組件規定了當存儲在數據庫內部審計跡溢滿或存儲在數據庫外部磁盤中剩余空間溢滿時所采取的動作。該組件安全評估要求如下：

a) 應測試審計數據【選擇：多路復用、【賦值：ST作者指定備份方式】】功能，并驗證審計數據存儲位置指定等管理能力；

b) 應測試審計數據歸檔功能，包括遠程歸檔功能；

c) 應檢測審計數據存儲可用空間查看視圖/工具功能；

d) 應檢查是否提供了判斷審計記錄數據是否已滿，并提供忽略可審計事件、阻止可審計事件、覆蓋所存儲的最早的審計記錄或【賦值：審計存儲失效時所采取的其它動作**】**等處理機制。

1.1.2　密碼支持（FCS類）

1.1.2.1　密鑰生成(FCS_CKM.1)

若密鑰由外部環境生成，則檢查外部環境提供的密鑰生成器是否根據國家標準規定的算法和密鑰長度來生成密鑰；否則評估對象提供的用戶密鑰和數據密鑰產生。該組件安全評估要求如下：

a) 應測試存儲用戶密鑰裝置或密鑰管理服務器操作接口，確認數據庫密鑰存儲位置是安全且有據可查的，包括提供與其數據本身具有同類型的密鑰備份和恢復機制；

b) 應檢測數據庫用戶密鑰和數據密鑰與加密的數據庫本身分離存放管理接口與管理工具；

c) 應測試是否能根據評估對象【賦值：ST作者指定的標準與規范列表】的特定密鑰生成算法【賦值：密鑰生成算法】和規定的密鑰長度【賦值：密鑰長度】來生成密鑰；

d) 應測試密鑰生成提供下列密鑰管理功能：

1) 應提供密鑰屬性配置管理，密鑰屬性的例子包括用戶密鑰類型【選擇：公開密鑰、私有密鑰、秘密密鑰【賦值：ST作者指定密鑰類型】】、有效期和使用用途【選擇：數字簽名、密鑰加密、密鑰協商、數據加密、【賦值：ST作者指定用途】】；

2) 應提供密鑰的存儲及其使用接口，允許評估對象與外界連接的數據庫應用程序接口與加密設備進行交互。

e) 應檢查密碼生成算法的賦值是否符合國家主管部門認可的相關標準及參數。

1.1.2.2　密鑰銷毀（FCS_CKM.4）

數據庫管理系統的安全功能應根據符合下列標準【賦值：國家規定的密碼管理算法】的一個特定的密鑰銷毀方法【賦值：密鑰銷毀方法】來銷毀密鑰。

密鑰銷毀組件提供符合國家規定的密碼管理算法的密鑰銷毀功能。該組件安全要求評估如下：

a） 應測試是否能根據評估對象【賦值：ST***作者指定的密碼管理算法】的密鑰銷毀方法【賦值：ST**作者指定的密鑰銷毀方法***】來銷毀密鑰；

b） 應檢測數據庫用戶密鑰、數據密鑰等數據庫密鑰存放管理接口與管理工具；

c） 應檢查密碼銷毀方法是否符合國家主管部門認可的相關標準。

1.1.2.3　密碼運算(FCS_COP.1)

密碼運算組件提供根據一個特定的算法和一個規定長度的密鑰來進行密碼運算功能。該組件安全評估要求如下：

a) 應測試是否能根據評估對象【賦值：ST作者指定的標準與規范列表】在評估對象上使用特定的密碼算法【賦值：密碼算法】和密鑰長度【賦值：密鑰長度】執行【賦值：密碼運算列表】，以驗證數據庫管理系統密碼運算的有效性；

b) 應測試評估對象【賦值：ST作者指定的加密算法】提供數據庫透明加密功能；

c) 應測試是否能依據評估對象使用密碼安全服務的用戶應用、不同密碼算法或密鑰長度的使用策略及其機制、所運算數據的類型或敏感度密碼服務等數據庫管理系統安全服務測試密碼運算的可用性；

d) 應驗證密碼運算事件是否被審計：

1) 密碼運算的類型可以包括數字簽名的產生或驗證、用于完整性校驗的密碼校驗和的產生、安全散列的計算、數據加密或解密、密鑰加密或解密、密鑰協商和隨機數生成；

2) 主體屬性包括同主體有關的主體角色和用戶；

3) 客體屬性包括密鑰的指定用戶、用戶角色、使用密鑰的密碼運算、密鑰標識和密鑰有效期。

e) 應檢查評估對象的密碼算法的具體賦值是否符合國家主管部門認可的相關標準及參數。

1.1.3　用戶數據保護（FDP類）

1.1.3.1　子集訪問控制（FDP_ACC.1）

子集訪問控制組件涵蓋授權用戶與數據庫模式對象和數據庫非模式對象之間的授權策略定義。該組件安全評估要求如下：

a) 應測試依據授權用戶/授權管理員在數據庫對象【選擇：表對象、索引對象、視圖對象、約束、同義詞、存儲過程/函數、數據庫文件、表空間/文件組、參數文件、【賦值：ST作者指定的數據庫對象】】上授予的【選擇：查詢、插入、更新、刪除、【賦值：ST作者指定的客體操作列表】】執行相關的【選擇：GRANT、REVOKE或【賦值：ST作者指定的授權接口】】授權管理；

b) 應測試依據級聯授權方法管理【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的基于屬性的訪問控制策略】】限制授權用戶/授權管理員訪問權限擴散的控制能力；

c) 應測試依據評估對象的【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的基于屬性的訪問控制策略】】在【選擇：數據庫級、實例級、【賦值：ST作者定義的級別】】執行【選擇：創建、修改、刪除、【賦值：ST作者指定的客體操作列表】】執行相關的【賦值：GRANT、REVOKE或【賦值：ST作者指定的授權接口】】成功的執行授權管理；

d) 應測試依據【選擇：默認方式、【賦值：ST作者指定方式】】，阻止未授權用戶/未授權管理員對數據庫對象【選擇：表對象、索引對象、視圖對象、約束、同義詞、存儲過程/函數、數據庫文件、表空間、參數文件、【賦值：ST作者指定的數據庫對象】】的訪問操作；

e) 應測試是否能能通過【選擇：安全元數據視圖，應用程序接口、【賦值：ST作者指定的方式】】瀏覽成功授權的所有數據庫級和實例級授權管理員定義的授權管理數據或評估對象安全配置參數；

f) 應測試基于安全目標中的附加規則【選擇：【賦值：安全屬性，明確授權用戶/授權管理員訪問客體的規則】，“無附加規則”】，分析評估對象的測試文檔，采用抽樣方式或獨立性設計方法驗證數據庫客體對象訪問控制機制的正確性。

g) 應測試基于安全目標中的【選擇：【賦值：安全屬性，明確拒絕主體訪問客體的規則】，“無附加的顯式拒絕規則”】，分析評估對象的測試文檔，采用抽樣方式或獨立性設計方法驗證TSF拒絕主體訪問數據庫管理系統控制的客體對象的訪問控制機制的正確性。

1.1.3.2　基于安全屬性的訪問控制（FDP_ACF.1）

基于安全屬性的訪問控制組件允許評估對象依據授權用戶和訪問對象的安全屬性/屬性組允許或拒絕某個鑒別用戶對指定數據庫對象的訪問。該組件安全評估要求如下：

a) 應測試基于【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的基于屬性的訪問控制策略】】對數據庫對象的相關操作執行訪問控制，具體應包括：

1) 與一個授權用戶/授權管理員相關的授權用戶身份和/或角色/組成員關系；

2) 數據庫對象（模式對象和非模式對象）可實施的訪問操作和/或角色/組權限；

3) 對數據庫對象執行【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略*、【賦值：**ST作者定義的基于屬性的訪問控制策略】***】，阻止未授權用戶/管理員對數據庫對象訪問（模式對象和非模式對象）。

b) 應執行【賦值：在授權用戶/授權管理員和數據庫對象之間，通過對數據庫對象采取受控操作來管理訪問的規則】，以決定DBMS授權用戶/授權管理員與數據庫對象之間的操作是否被允許。這些規則包括：

1) 如果授權用戶是訪問數據庫對象的所有者，則允許用戶的訪問請求；

2) 如果訪問控制策略機制允許授權用戶對數據庫對象的訪問，則允許用戶的訪問請求；

3) 如果授權用戶作為一個用戶組或角色（直接角色或間接角色）的成員執行請求的訪問模式，則允許用戶的訪問請求；

4) 如果PUBLIC能訪問受控的數據庫對象，則允許用戶的訪問請求；

5) 否則拒絕用戶的訪問請求。

c) 應測試是否能能通過【選擇：安全元數據視圖，應用程序接口、【賦值：ST作者指定的安全元數據訪問方法】】瀏覽成功授權的所有數據庫對象操作列表和授權用戶定義的【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略*、【賦值：**ST作者定義的基于屬性的訪問控制策略】***】安全元數據。

1.1.3.3　子集信息流控制（FDP_IFC.1）

子集信息流控制組件要求每個確定的基于標簽訪問控制（LBAC）安全策略適用于數據庫管理系統內某些數據庫對象上允許執行的訪問請求。該組件安全評估要求如下：

a) 應測試基于授權用戶/授權管理員和數據庫對象安全屬性【選擇：用戶安全標簽、關系的行或列安全性標簽、【賦值：ST作者指定數據庫對象安全屬性元素】】強制應用【LBAC安全策略】，通過標簽中【選擇：安全分級、安全范圍、安全分組值、【賦值：ST作者指定的標簽元素】】的訪問規則處理得到的輸出來確定用戶安全分類與數據標簽分級判斷是否通過，從而控制授權用戶對標簽受控的數據庫對象的訪問；

b) 應測試子集信息流控制是否配合評估對象提供的【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的基于屬性的訪問控制策略*】】粗粒度訪問控制，只有授權用戶/授權管理員在獲得訪問某數據庫模式權限后才應用【**LBAC安全策略保護的數據庫表中數據讀、寫操作***】訪問控制引擎控制授權用戶/授權管理員是否能夠訪問那些被標識由他們訪問數據對象；

c) 應測試基于安全目標中的附加規則【選擇：【賦值：基于安全屬性，明確拒絕信息流的規則】，無附加規則】，分析評估對象的測試文檔，采用抽樣方式或獨立性設計方法驗證子集信息流控制機制對數據庫客體對象訪問控制的正確性；

d) 應測試基于安全目標中的【選擇：【賦值：基于安全屬性，明確拒絕信息流的規則】，無附加的顯式拒絕規則】，分析評估對象的測試文檔，采用抽樣方式或獨立性設計方法驗證子集信息流控制機制拒絕授權授權用戶訪問受控數據庫對象的正確性。

1.1.3.4　分級安全屬性（FDP_IFF.2）

分級安全屬性組件通過用戶安全標簽和數據分級安全屬性構成的數據庫分級安全屬性網格，以供基于標簽的訪問控制數據安全策略使用。該組件安全評估要求如下：

a) 應測試是否能具有【選擇：安全分級、安全范圍、安全分組、【賦值：ST作者指定數據庫對象安全屬性元素】】及基于這些元素的標簽定義，包括標簽與被保護數據庫對象和授權用戶/授權管理員的綁定關系定義接口或輔助工具；

b) 應測試是否能通過授權用戶/授權管理員綁定標簽和數據庫對象（數據庫數據表的行、列或屬性值）綁定標簽之間的信息流交換，如果滿足以下基于安全屬性之間的序關系的規則：【

1) 為了讀取LBAC保護的數據庫數據表的行、列或屬性值：

(1) 用戶安全性標簽的安全分級必須大于或等于數據庫數據表的行、列和屬性值安全性標簽的安全分級；

(2) 用戶安全性標簽的安全范圍必須包含數據庫數據表的行、列和屬性值安全性標簽的安全范圍；

(3) 用戶安全性標簽的安全分組必須至少包含數據庫數據表的行、列和屬性值安全性標簽的安全分組中的一個元素（或者這樣一個元素的祖先）；

2) 為了寫LBAC保護的數據庫數據表行、列或屬性值：

(1) 用戶安全性標簽的安全分級必須小于或等于數據庫數據表的行、列和屬性值安全性標簽的安全分級；

(2) 用戶安全性標簽的安全范圍必須包含數據庫數據表的行、列和屬性值安全性標簽的安全范圍；

(3) 用戶安全性標簽的安全分組必須至少包含數據庫數據表的行、列和屬性值安全性標簽的安全分組中的一個元素（或者這樣一個元素的祖先）；

3) 每一種情況中，在數據庫對象操作的基于安全屬性的訪問控制策略的規則都必須被滿足】。

c) 應測試只有授權管理員【選擇：安全管理員，【賦值：ST規定的管理角色】】能夠改變用戶的安全性標簽，具有適當權限的授權用戶/授權管理員】能改變受LBAC保護的數據表的行、列和屬性值的安全性標簽屬性；

d) 應測試擁有特權的安全管理員（豁免的用戶）能夠忽略對【選擇；讀元組、讀元組集合、讀樹、寫元組、寫元組集合、寫樹的檢查、【賦值：ST作者指定數據庫對象標簽類型】，明確地給數據庫對象授權一個信息流；

e) 應測試基于規則【賦值：基于安全屬性，明確拒絕信息流的規則】明確的拒絕一個數據庫對象的信息流；

f) 應測試對任意兩個信息流控制安全屬性強制下列關系：

1) 存在一個有序函數，對于給定的兩個有效的安全屬性，函數能夠判定它們是否相等，是否其中一個大于另一個，還是兩者不可比較；

2) 在安全屬性集合中存在一個“最小上界”，對于給定的兩個有效的安全屬性，存在一個有效的安全屬性大于或者等于這兩個安全屬性；

3) 在安全屬性集合中存在一個“最大下界”，對于給定的兩個有效的安全屬性，存在一個有效的安全屬性不大于這兩個屬性。

1.1.3.5　帶有安全屬性的用戶數據輸出（FDP_ETC.2）

帶有安全屬性的用戶數據輸出組件要求TSF利用一個功能執行合適的SFP，該功能準確無誤地將安全屬性與所輸出的用戶數據相關聯。該組件安全評估要求如下：

a) 應測試基于授權用戶/授權管理員和數據庫對象安全屬性【選擇：用戶安全標簽、關系的行或列安全性標簽、【賦值：ST***作者指定數據庫對象安全屬性元素】】強制應用【LBAC**安全策略】，通過標簽中【選擇：安全分級、安全范圍、安全分組值、【賦值：ST**作者指定的標簽元素】***】的訪問規則處理得到的輸出來確定用戶安全分類與數據標簽分級判斷是否通過，從而控制授權用戶對帶有安全屬性的用戶數據的訪問；

b) 應測試輸出用戶數據時評估對象提供相應的【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的基于屬性的訪問控制策略】】粗粒度訪問控制，只有授權用戶/授權管理員在獲得訪問某數據庫模式權限后才應用【LBAC**安全策略保護的數據庫表中數據讀、寫操作】訪問控制引擎控制授權用戶/授權管理員是否能夠訪問那些被標識由他們訪問的用戶數據；

c) 應測試基于安全目標中的附加規則【選擇：【賦值：基于安全屬性，明確拒絕信息流的規則】，無附加規則】，分析評估對象的測試文檔，采用抽樣方式或獨立性設計方法驗證帶有安全屬性的用戶數據輸出機制是否將安全屬性與所輸出的用戶數據相關聯；

d) 應測試輸出用戶數據時可依據用戶數據的安全屬性【選擇：用戶安全標簽、關系的行或列安全性標簽、【賦值：ST作者指定數據庫對象安全屬性元素】】組織輸出的數據；

e) 應測試用戶數據安全屬性的脫敏或匿名機制，確認評估對象具有對輸出帶有安全屬性的用戶數據安全保護能力；

f) 應測試帶有安全屬性的輸出用戶數據的屬性一致性檢測方法和技術。

1.1.3.6　不帶安全屬性的用戶數據輸入（FDP_ITC.1）

不帶安全屬性的用戶數據輸入組件要求安全屬性正確表示用戶數據，且與客體分離。該組件安全評估要求如下：

a) 應測試在【選擇：用戶安全標簽、關系的行或列安全性標簽、【賦值：ST作者指定數據庫對象安全屬性元素】】控制下從TOE之外輸入用戶數據時，TSF執行某個【賦值：訪問控制SFP和/或信息流控制SFP】；

b) 應測試從TOE外部輸入帶有安全屬性的用戶數據時，TS應忽略任何與用戶數據相關的安全屬性；

c) 應測試在【選擇：用戶安全標簽、關系的行或列安全性標簽、【賦值：ST作者指定數據庫對象安全屬性元素】】控制下從TOE之外輸入用戶數據時，TSF應執行下面的規則：【選擇：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的的輸入控制規則】】。

1.1.3.7　基本內部傳送保護（FDP_ITT.1）

基本內部傳送保護組件要求用戶數據在TOE的各部分間傳輸時受保護。該組件安全評估要求如下：

a) 應檢測數據庫服務器數據字典共享緩沖和用戶數據共享緩存隔離策略和機制，確保兩個共享緩存間數據字典傳輸時受保護；

b) 應測試確認用戶數據在數據庫服務器的數據共享緩存和事務空間之間傳輸（邏輯IO）時受保護；

c) 應測試確認用戶數據在數據庫服務器的數據共享緩存和磁盤存儲之間傳輸（物理IO）時受保護；

d) 應測試確認用戶數據在分布式環境下不同數據庫服務器數據共享緩存間傳輸（遠程邏輯IO）時受保護；

e) 應測試確認遠程用戶數據輸入/輸出時的傳輸安全。

1.1.3.8　子集殘余信息保護（FDP_RIP.1）

子集殘余信息保護組件確保數據庫對象數據在緩存、磁盤等共享存儲資源分配或釋放時，相關客體資源的任何殘余信息內容都是不可再利用的。該組件安全評估要求如下：

a) 應測試確認數據庫服務器共享內存、磁盤存儲空間等服務器資源的任何先前的信息內容，在資源被分配給其他授權用戶/授權管理員使用之后是不再可用的；

b) 應測試確認授權用戶/授權管理員執行清除數據（DELETE）、刪除客體（DROP）或清空數據（TRANCATE）等數據庫事務操作后，未授權用戶/未授權管理員不能恢復相關數據；

c) 應測試確認授權管理員通過評估對象清除表空間、數據文件等邏輯存儲和物理存儲對象后，未授權用戶/未授權管理員不能恢復相關數據存儲對象；

d) 應測試當依賴評估對象其他系統的安全功能來完成數據庫管理系統客體重用功能時，評估對象提供該客體重用功能的可信性的證據。

1.1.3.9　基本回退（FDP_ROL.1）

基本回退組件確保評估對象在既定的限制條件下回退或撤銷有限個數據庫操作，這是保證數據庫完整性的基本機制。該組件安全評估要求如下：

a) 應測試評估對象的檢查點保存（SAVEPOINT）機制，確認是否允許對復雜事務回退到指定事務保存點（即回滾部分SQL語句操作）；

b) 應測試評估對象的事務回退（ROLLBACK）機制，確認是否允許未提交數據庫事務全體SQL語句的回滾操作；

c) 應測試評估對象的數據庫服務器宕機等實例故障恢復功能；

d) 應測試評估對象的數據庫存儲磁盤介質故障后的數據庫恢復管理功能，包括【選擇：*基于時間點、【賦值：ST作者指定恢復方式】***】的快速回滾功能；

e) 對于分布式部署環境下的數據庫管理系統，應測試評估對象的兩階段提交機制，保證多副本數據的一致性和事務的原子性。

1.1.3.10　存儲數據完整性監視和行動（FDP_SDI.2）

存儲數據完整性監視和行動組件要求TSF監視存儲在由TSF控制的載體內的用戶數據是否存在已被識別的完整性錯誤，如檢測到某個錯誤時應允許采取相應動作的能力。該組件安全評估要求如下：

a) 應測試評估對象的TSF在事務處理過程中基于【選擇：唯一、非空、【賦值：ST作者指定的數據完整性約束條件】】，對涉及的用戶數據監視事務操作前后是否存在【賦值：完整性錯誤】，并在檢測到錯誤時自動的啟動事務回滾等機制，確保共享緩存中數據完整性；

b) 應測試評估對象的TSF在確保事務提交時，事務相關的日志是否通過日志寫機制：【賦值：ST***作者指定的日志先寫機制***】將日志緩存數據存儲到磁盤，并在提交事務的日志刷新到磁盤出現故障時自動的啟動事務回滾等機制，確保用戶數據完整性；

c) 應測試評估對象的TSF是否基于數據庫對象依賴關系【選擇：索引數據、視圖定義、存儲過程、【賦值：ST作者指定的定義的依賴關系】**】，對所有監控數據庫對象（如表數據），監視存儲在由TSF控制的載體內的對象數據（如索引數據和用戶數據）間是否存在【賦值：*完整性錯誤***】，并給出對象間存儲數據（如表數據和索引數據）完整性檢測方法和處理技術;

d) 應測試評估對象的TSF是否提供多副本存儲數據完整性檢測機制，并在檢測到錯誤時自動的啟動數據復制機制，確保副本數據的一致性；

e) 應測試評估對象的TSF是否提供歸檔日志數據存儲完整性和一致性檢測機制，并在檢測到錯誤時指示用戶采取必要的管控措施或機制，確保歸檔數據的完整性和可用性；

f) 應測試評估對象的TSF是否提供備份數據完整性檢測機制，并在檢測到錯誤時指示用戶采取必要的管控措施或機制，確保備份數據的完整性和可用性；

g) 應測試評估對象的TSF是否在運行過程中確保聯機數據文件的數據完整性，并在檢測到錯誤時指示用戶采取必要的管控措施或機制，確保存儲數據的完整性和可用性。

1.1.4　標識和鑒別（FIA類）

1.1.4.1　鑒別失敗處理（FIA_AFL.1）

鑒別失敗處理組件為不成功的用戶鑒別嘗試（包括嘗試次數和時間的閾值）定義一個值，并明確規定達到該值時所應采取的動作。該組件安全評估要求如下：

a) 應測試【選擇：基于口令、基于令牌、基于生物特征、【賦值：ST作者指定方式】】的用戶鑒別失敗處理機制，即當檢測到【賦值：登錄DBMS用戶】不滿足授權管理員定義的鑒別策略【選擇：達到鑒別嘗試次數、達到口令有效期、達到口令重用次數、【賦值：ST作者指定的可接受值范圍】】時，TSF應通過合適的方式告知【選擇：授權用戶鑒別、授權管理員鑒別、【賦值：其他鑒別事件列表】】相關的未成功鑒別嘗試信息；

b) 應測試TSF是否在不成功鑒別嘗試的指定次數已達到或超出【賦值：ST ***作者指定可接受值范圍】，TSF應阻止用戶登錄，直到授權安全管理員采取行動或直到授權安全管理員配置的時間【賦值：ST **作者指定可接受值范圍***】已經到達；

c) 應測試在數據庫會話建立的進程終止后，數據庫管理系統的安全功能能使得用戶賬戶無效，或是進行嘗試的登錄點無效。

1.1.4.2　用戶屬性定義（FIA_ATD.1）

用戶屬性定義組件提供一組除用戶標識外的安全屬性，以用來執行評估對象受信任上下文相關的安全策略（TSP）。該組件安全評估要求如下：

a) 應測試確認TSF為每個授權數據庫用戶會話維護一個上下文對象，提供下列安全屬性：

1) 用戶標識/組成員及驗證數據

2) 用戶安全相關的授權角色

3) 用戶口令與資源限制腳本標準

4) 數據庫對象訪問權限

5) 數據庫管理權限

6) 【ST作者賦值：任何附加的管理員安全屬性】；

b) 應測試管理控制存儲過程和用戶定義函數的執行上下文切換的能力，確認提供通信協議信任屬性、網絡地址信任屬性、網絡加密信任屬性、身份驗證信任屬性等受信任連接管理功能。

1.1.4.3　秘密的驗證（FIA_SOS.1）

秘密驗證組件對用戶所提供的秘密（口令、密鑰等）進行既定的質量度量以及生成滿足既定度量的秘密。該組件安全評估要求如下：

a) 應測試確認TSF是否驗證秘密滿足【賦值：一個既定的質量度量】的秘密策略定義及秘密驗證機制能力。例如：

1) 口令將被限制在最小和最大數量的字符長度之間

2) 口令將包含一個大寫和小寫字符的組合

3) 口令至少包含一個數字字符

4) 口令至少包含一個特殊字符

5) 口令不能是用戶標識或用戶名稱

6) 口令具有效期天數

7) 以前使用的口令可能無法再度使用的最少天數等

b) 應測試確認TSF能夠為【賦值：TSF***功能列表***】使用TSF產生的秘密；

c) 對于TSF外部機制產生的秘密，應測試確認TSF保證秘密滿足TSF定義的安全策略（例如一定長度，密文保存等）。

1.1.4.4　鑒別的時機（FIA_UAU.1）

鑒別的時機組件允許用戶在其身份被鑒別前執行某些動作。該組件安全評估要求如下：

a) 應測試確認TSF是否允許在用戶被鑒別之前，代表用戶的【賦值：數據庫管理系統安全功能促成的行動列表】被執行。例如：

1) 獲取當前數據庫管理系統版本信息

2) 建立數據庫會話（連接信息）

3) 獲得用戶登錄幫助信息

4) 如果不成功，返回錯誤信息

1.1.4.5　多重鑒別機制（FIA_UAU.5）

多重鑒別機制組件提供多種用戶鑒別機制，為特定的事件鑒別用戶的身份。該組件安全評估要求如下：

a) 應測試TSF的【選擇：數據庫鑒別，操作系統鑒別，第三方鑒別，【賦值：ST作者指定鑒別機制】】等鑒別方式，以支持特定系統權限的數據庫用戶身份鑒別；

b) 應測試確認TSF是否允許數據庫用戶為不同的【選擇：數據庫鑒別，操作系統鑒別，第三方鑒別【賦值：ST作者指定鑒別機制】】鑒別機制，配置相應的安全選件，提供多重鑒別機制管理接口與管理視圖；

c) 應測試確認TSF是否依據選擇【賦值：多重鑒別機制的工作規則】為授權管理員和授權用戶鑒別任何用戶所聲稱的身份；

d) 應測試確認TSF是否保證非數據庫鑒別機制用戶秘密的安全通信，以保證TOE通過鑒別服務器（IT環境提供）對客戶進行遠程鑒別（操作系統鑒別、第三方鑒別）。

1.1.4.6　受保護的鑒別反饋（FIA_UAU.7）

受保護的鑒別反饋組要要求數據庫管理系統在鑒別時僅將最少信息反饋提供給用戶。該組件安全評估要求如下：

a) 應測試當輸入用戶鑒別特征信息（如：打入的字符或字數）時，評估對象的反饋是否隱藏了相關信息；

b) 應測試當用戶輸入正確的鑒別特征信息時，鑒別成功評估對象的反饋信息是否泄露部分信息；

c) 應測試當用戶輸入正確的鑒別特征信息時，鑒別失敗評估對象的反饋信息是否泄露部分信息。

1.1.4.7　標識的時機（FIA_UID.1）

標識的時機組件要求在TSF允許其執行任何動作之前，數據庫用戶識別他們自己。該組件安全評估要求如下：

a) 應測試確認TSF是否在允許任何其他代表用戶的數據庫管理系統安全功能促成的行動執行前，數據庫管理系統安全功能應要求該用戶已被成功標識；

b) 應測試確認TSF是否在允許任何數據庫用戶的數據庫請求行動執行前，用戶應能成功連接數據庫，數據庫鑒別組件應提供連接標識、連接狀態、連接用戶相關信息的數據字典視圖與圖形化查看工具；

c) 應測試確認已被成功鑒別用戶信息保存在數據庫會話信息中，數據庫會話管理應提供包括會話標識、進程/線程標識、用戶標識、最近的用戶請求命令、缺省模式、客戶應用程序、登錄時間、會話狀態的數據字典視圖與圖形化查看工具。

1.1.4.8　用戶-主體綁定（FIA_USB.1）

用戶-主體綁定組件建立和維護用戶安全屬性與代表用戶活動的主體間關聯關系。該組件安全評估要求如下：

a) 應測試確認TSF將下列用戶安全屬性與代表用戶活動的主體相關聯：

1) 用戶標識

2) 口令管理信息

3) 用戶權限

4) 用戶角色

5) 綁定標簽等。

b) 應測試確認TSF在最初關聯用戶安全屬性和代表用戶活動的主體時應實施下面的規則：

1) 在TSF鑒別用戶身份成功，主體與數據庫建立連接后，用戶安全屬性將保存到數據庫會話中，通過主體會話可以獲取用戶標識等安全屬性；

2) 如果在用戶屬性定義中已經直接定義或通過角色等定義了了數據庫會話中用戶的數據庫對象和系統對象的權限信息，則一旦用戶的數據庫會話建立，相關的系統和數據庫對象授權將生效；

3) 用戶可通過角色狀態控制數據庫會話中用戶權限的可用性。

c) 應測試確認TSF在與代表用戶活動的主體相關聯的用戶安全屬性的變化時應實施下面的規則：

1) 如果授權用戶會話當前的系統與對象權限被TSF直接或間接修改，用戶會話中的權限應立即生效；

2) 在用戶連接數據過程中，用戶能通過會話控制用戶角色的啟用與禁用；

3) 如果用戶操縱其他用戶的視圖、存儲過程/函數，則一旦其他用戶修改了這些數據庫對象授權后，用戶在下次使用這些數據庫視圖對象或存儲過程/函數對象時生效；

4) 用戶在修改自己的口令策略時應符合授權管理員制定的安全策略。

1.1.5　安全管理（FMT類）

1.1.5.1　安全功能行為的管理（FMT_MOF.1）

安全功能行為的管理組件允許授權用戶/角色管理TSF中使用規則或具有指定可管理條件的功能的行為。該組件安全評估要求如下：

a) 應測試TSF僅限于【ST作者 賦值：***已識別授權角色】對安全管理功能【ST作者 賦值：功能列表】具有【選擇：確定其行為，禁止，允許，修改其行為***】的能力。例如：

1) 管理【ST作者 賦值：數據庫管理系統實例安全功能組件配置參數】；

2) 限定啟動/禁用授權管理員的安全功能【ST作者 賦值：有關事件審計規范】

3) 在安全告警事件中配置要【ST作者 賦值：執行行為】的管理；

4) 在鑒別失敗事件中要【ST作者 賦值：采取行為】的管理；

5) 在用戶成功被鑒別之前所能【ST作者 賦值：采取行為】的管理；

6) 授權管理員如果能改變用戶被識別之前所能采取的行為列表，應對授權管理員的此種【ST作者 賦值：行為】進行管理；

7) 對重放攻擊中所采取【ST***作者 賦值：行為***】的管理；

8) DBMS管理的數據及運行完整性自檢發生【選擇：初始化啟動、定期間隔、其它特定條件】時的條件的管理；

9) ST中附加【賦值：安全功能列表】的管理。

b) 應測試確認TSF以視圖的方式提供安全功能管理元數據管理輔助工具或查看視圖；

c) 應測試TSF在數據庫管理系統的特定狀態(如:啟動時，應授權用戶要求)中，檢查安全功能的正確執行；

d) 應測試確認TSF為授權用戶提供驗證安全功能數據完整性的能力；

e) 應測試確認TSF為授權用戶提供驗證安全功能可執行碼完整性的能力。

1.1.5.2　安全屬性的管理（FMT_MSA_EXT.1（1））

安全屬性管理功能組件允許安全管理員查看和修改TSF安全屬性。該組件安全評估要求如下：

a) 應測試TSF強制實施【賦值：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略】，以僅限于【選擇：授權管理員或授權用戶】能夠對安全屬性【選擇：數據庫對象訪問權限、安全角色】進行【選擇：改變默認值、查詢、修改、刪除、【賦值：其它操作】】；

b) 應測試TSF強制實施【基于標簽的強制訪問控制安全策略（LBAC SFP）】，以僅限于【賦值：***LBAC**授權的用戶】能夠【【賦值：**安全屬性】以【賦值：**安全標簽】***】；

c) 應測試訪問控制屬性和用戶角色賦予可以由具有適當權限的用戶授予和撤銷，授權管理員在指派給他們的數據庫上總是可以通過屬性配置修改用戶的訪問權限，安全管理員總是可以授予和撤銷數據庫用戶的角色。

d) LBAC策略允許用戶將標簽賦給部分受控主體和受控客體對象。

1.1.5.3　安全屬性的管理（FMT_MSA_EXT.1（2））

安全屬性管理功能組件允許安全管理員查看和修改TSF安全屬性。該組件安全評估要求如下：

a) 應測試TSF強制實施【賦值：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略】，以僅限于【選擇：授權管理員或授權用戶】能夠對安全屬性【選擇：數據庫對象訪問權限、安全角色】進行【選擇：改變默認值、查詢、修改、刪除、【賦值：其它操作】】；

b) 應測試TSF強制實施【基于標簽的強制訪問控制安全策略（LBAC SFP）】，以僅限于【賦值：LBAC***授權的用戶】能夠【【賦值：安全屬性】以【賦值：安全標簽***】】；

c) 應測試訪問控制屬性和用戶角色賦予可以由具有適當權限的用戶授予和撤銷，授權管理員在指派給他們的數據庫上總是可以通過屬性配置修改用戶的訪問權限，安全管理員總是可以授予和撤銷數據庫用戶的角色。

d) LBAC策略允許用戶將標簽賦給所有受控主體和受控客體對象，只對EAL4級評估對象有效。

1.1.5.4　靜態屬性初始化（FMT_MSA_EXT.3）

靜態屬性初始化功能組件確保數據庫安全配置參數及安全屬性的默認值實際上設成了適當的允許或限制。該組件安全評估要求如下：

a) 應測試TSF與底層的操作系統的權限設置相一致的特權用戶、特權用戶組、作業管理權限及例級和數據庫級的各種系統特權權限及其權限管理機制和方法，例如數據庫服務各種進程/服務運行權限的設置，與主機安全屬性相關的設置（在Windows平臺是注冊表，在unix/linux平臺是/etc/下的相關文件）等；

b) 應測試確認TSF是否依照【賦值：自主訪問控制策略、基于角色控制策略、基于用戶組控制策略】，為用于執行安全功能策略的數據庫對象的安全屬性提供【受限的】默認值；

c) 應測試確認靜態屬性初始化適用的數據庫對象（如數據庫或數據庫表），確認當較低級別的對象（例如，行，單元）創建時，默認情況下這些對象可能繼承頂層對象的權限。

1.1.5.5　TSF數據的管理（FMT_MTD.1）

TSF數據的管理組件允許授權管理員（角色）控制評估對象安全功能管理數據的管理。這里的TSF數據包括數據庫管理系統配置參數、數據庫實例和數據庫配置參數、數據庫審計策略與數據、數據庫事務特性及各種約束條件。該組件安全評估要求如下：

a) 應測試確認TSF是否僅限于具有【安全管理員】角色的授權管理員能夠【賦值：替換缺省，修改，刪除，【或添加】】 【用戶標識和安全角色】；

b) 應測試確認TSF是否僅限于具有【賦值：系統安全管理員和有權修改他們自己的認證數據的用戶】角色的授權管理員能夠【賦值：替換缺省，修改，刪除，【或添加】】 【認證數據】；

c) 應測試確認TSF是否僅限于具有【賦值：授權管理員，系統安全管理官員】角色的授權管理員能夠【賦值：包括或排除可審計事件】；

d) 應測試確認TSF是否僅限于具有【賦值：安全和系統管理員】角色的授權管理員能夠【刪除和【觀察】】 【審計事件集】；

e) 應測試確認TSF是否根據【賦值：數據庫對象列表】僅限于【授權管理員】能夠在數據庫對象及數據上執行操作【選擇：改變默認值、查詢、修改、刪除、清除、【賦值：其它操作】】。

1.1.5.6　撤銷（FMT_REV.1）

撤銷組件負責處理數據庫各種實體安全屬性的撤消。該組件安全評估要求如下：

a) 應測試確認TSF是否僅限于【賦值：已標識的授權角色】能夠撤消TSC內與【選擇：用戶、主體、客體、【賦值：其它額外資源】】相關聯的所有可管理的安全屬性【選擇：口令策略、資源限制、角色和權限】；

b) 應測試執行規則【選擇：撤銷數據庫管理權限應在數據庫用戶開始下一個數據庫會話前生效，或【賦值：撤消規則的詳細說明】】等數據庫對象屬性管理能力。

1.1.5.7　管理功能規范（FMT_SMF.1）

管理功能規范組件提供系統接口以便于授權管理員定義控制被測數據庫管理系統安全相關操作的參數。該組件安全評估要求如下

a) 應測試確認TSF是否能執行【賦值：系統提供的安全管理功能列表】安全管理功能。例如下列管理功能：

1) 添加和刪除數據庫用戶；

2) 改變授權用戶的數據庫管理系統帳戶狀態；

3) 創建和刪除數據庫實例（服務器）級別和數據庫級別的用戶組；

4) 在數據庫實例（服務器）級別和數據庫級別配置數據庫角色權限及其成員用戶；

5) 配置數據庫用戶認證模式（操作系統驗證、數據庫驗證、第三方驗證）；

6) 管理連接數據庫用戶會話的屬性；

7) 使能和禁用數據庫加密功能；

8) 使能和禁用數據庫用戶角色狀態

9) 管理數據庫加密密碼；

10) 創建和銷毀加密密鑰；

11) 啟動和停止審計；

12) 定義審計策略，選擇性審計；

13) 創建、刪除和查閱審計記錄數據；

14) 定義當審計文件填滿時采取的行動；

15) 創建和刪除基于標簽的訪問控制（LBAC）策略和標簽；

16) 授權和撤銷LBAC安全標簽與授權用戶/授權管理員與數據庫對象的綁定；

17) 創建、刪除、授權和撤銷數據庫角色；

18) 授權、撤銷數據庫管理員訪問屬性；

19) 管理數據庫用戶口令策略；

20) 管理數據庫用戶對系統資源使用的最大限額等。

b) 應測試確認TSF是否能以視圖方式展示【賦值：系統提供的安全管理功能列表】安全元數據或提供【賦值：系統提供的安全管理功能列表】管理圖形化工具。

1.1.5.8　安全角色（FMT_SMR.1）

安全角色組件要求數據庫管理系統的安全功能應能支持維護授權角色。該組件安全評估要求如下：

a） 應測試確認TSF是否提供或安全管理定義的【賦值：已標識的授權角色】角色創建功能；

b） 應測試確認TSF是否提供或安全管理定義的【賦值：已標識的授權角色】角色授權管理功能；

c） 應測試確認TSF是否提供角色權限管理功能；

d） 應測試確認TSF是否提供角色啟用、禁用功能；

e） 應測試確認TSF是否提供角色口令管理功能。

1.1.5.9　安全角色限制（FMT_SMR.2）

安全角色限制組件控制數據庫用戶的不同角色，包括控制角色之間關系的規則。該組件安全評估要求如下：

a) 應測試確認TSF是否維護系統提供或安全管理定義的【賦值：已標識的授權角色】角色；例如下列角色：

1) 安全管理員；

2) 審計管理員；

3) 數據庫管理員；

4) 系統管理員；

5) 由授權的安全管理員定義的安全角色。

b) 應測試確認TSF是否能夠把鑒別用戶和數據庫角色關聯起來，通過數據庫會話管理角色關聯的用戶系統權限和數據庫權限；

c) 應測試確認TSF是否確保條件【賦值：不同角色的條件】得到滿足，例如：

1) 所有角色應能本地管理評估對象；

2) 所有角色應能遠程管理評估對象；

3) 所有角色是不同的，每個角色所執行的操作不能重疊，但下列情況除外：【賦值：ST作者許重疊的安全功能】。

1.1.6　TSF保護（FPT類）

1.1.6.1　失效即保持安全狀態（FPT-_FLS.1）

失效即保持安全狀態組件要求TSF失效時保持一種安全狀態。該組件安全評估要求如下：

a) 應測試確認TSF是否保證網絡通訊出現暫時性故障，用戶數據庫會話處于安全狀態；

b) 應測試確認TSF是否在數據約束條件不滿足時能回退前面的操作；

c) 應測試確認TSF在處理用戶請求的前臺服務器進程故障時能保證事務的原子性和數據完整性；

d) 應測試確認TSF在日志寫進程出席故障或日志文件存儲空間出現故障時能阻止用戶的請求，并提醒用戶；

e) 應測試確認TSF在歸檔進程出席故障或歸檔日志存儲空間出現故障時能提醒用戶；

f) 應測試確認TSF在實時采集數據庫緩存、CPU計算能力等系統資源狀態信息，并通過視圖、圖形界面或應用編程接口方式提供給用戶；

g) 應測試確認TSF是否具備數據庫、表空間、數據文件讀寫狀態控制能力。

1.1.6.2　TSF數據傳送的分離（FPT_ITT.2）

TSF數據傳送的分離組件要求評估對象不同部分間傳送時，TSF應將用戶數據從TSF數據中分離出來。該組件安全評估要求如下：

a) 應測試數據庫事務空間、共享數據空間、磁盤空間等不同數據操作空間之間數據傳輸機制；

b) 應測試檢查不同用戶安全域數據的分離策略和實施機制；

c) 應測試確認數據庫分布式部署環境下不同節點的認證機制；

d) 應測試確認數據庫分布式部署時的安全功能數據在不同節點傳送時不被【選擇：泄漏、篡改、丟失】。

當數據在數據庫管理系統不同部分間傳送時，TSF應將用戶數據從TSF數據中分離出來。

1.1.6.3　無過度損失的自動恢復（FPT_RCV.3）

無過度損失的自動恢復組件是確保數據庫運行出現故障后成功完成恢復數據庫，使數據庫回退到一個安全狀態。該組件安全評估要求如下：

a) 應測試確認TSF在【賦值：數據庫服務器進程失效、數據庫實例失效、數據庫存儲介質失效，【賦值：ST作者定義失效或服務中斷列表】】，數據庫自動執行恢復時，TSF能進入一種維護模式，該模式提供將TOE返回到一個安全狀態的能力；

b) 應測試確認TSF【賦值：數據庫服務器進程失效、數據庫實例失效、數據庫存儲介質失效，【賦值：ST作者定義失效或服務中斷列表】】時，TSF能通過自動化過程使數據庫服務器返回到一個安全狀態；

c) 應測試確認TSF提供從失效或服務中斷狀態數據庫恢復的功能，檢查在TSF的控制內TSF數據或用戶數據不超出【賦值：數據庫完整性約束條件】的情況下，保證數據庫數據一致性；

d) 應測試確認TSF提供【賦值：ST作者定義的數據庫提交事務能被恢復機制】的能力。

1.1.6.4　內部TSF的一致性（FPT_TRC.1）

內部TSF的一致性組件確保評估對象安全功能數據在多點復制時的一致性。該組件安全評估要求如下：

a) 應測試確認TSF在分布式部署時能保證TSF數據在在不同節點間復制時是前后一致的；

b) 應測試確認TSF在含有所復制的TSF數據的TOE部分斷開連接時，數據庫管理系統安全功能在處理任何對【賦值：依賴于TSF數據賦值一致性的安全功能列表】的請求前，應確保重建連接后所復制TSF數據的一致性。

1.1.6.5　TSF控制切換/故障轉移（FPT_OVR_EXT.1）

TSF控制切換/故障 轉移組件提供從一個數據庫服務器TSF組件到另外一個數據庫服務器TSF組件的TSF切換和故障轉移能力。該組件安全評估組件要求如下：

a) 應測試確認TSF能依據用戶指定的切換指令，保證在不丟失主/備用節點運行事務數據基礎上提供主/備用節點TSF控制切換能力；

b) 應測試確認TSF能依據用戶強制切換指令，保證在不丟失主/備用節點已提交事務數據基礎上提供主/備用節點切換能力；

c) 應測試確認TSF確保故障切換/轉移是針對多主副本節點數據一致性，確保TSF切換過程中數據不丟失。

1.1.7　資源利用（FRU類）

1.1.7.1　降級容錯（FRU_FLT.1）

降級容錯組件要求如果發生了確定的失效，TOE能繼續正確發揮既定能力。該組件安全評估組件要求如下：

a) 應測試DBMS是否提供驗證有關客戶端、服務器、網絡架構硬件的數據庫通訊協議及其配置的故障檢測能力；

b) 應測試DBMS是否提供網絡傳輸異常中斷容錯解決方案；

c) 應測試DBMS是否提供數據庫實例啟動/關閉時錯誤檢測和處理能力；

d) 應測試DBMS是否提供數據庫打開/關閉時錯誤檢測和處理能力；

e) 應測試DBMS是否提供以下三種加載異常數據時的錯誤檢測和處理能力：

1) 加載DBMS不支持的格式數據或較低版本的數據文件；

2) 加載一組超大的數據表數據；

3) 加載數據過程中，強制中斷。

f) 應測試DBMS是否提供集中式事務恢復或分布式事務恢復處理能力；

g) 應測試DBMS是否提供支持事務死鎖檢測和避免；

h) 應測試DBMS是否提供數據庫節點故障后的恢復能力；

i) 應測試DBMS是否提供故障時快速地切換到備用服務器的能力；

j) 應測試DBMS重要操作的提示與及時警告能力；

k) 應測試DBMS多實例快速切換時是否提供在集群環境下實現多機共享數據庫并發事務處理、是否提供自動的實現事務并行處理及均分負載、是否實現數據庫在故障時的容錯和無斷點恢復等容錯能力；

l) 應測試DBMS是否提供控制數據多路復用、在線日志多路復用和歸檔日志多路復用能力；

m) 應測試數據庫備份執行功能出現異常時，DBMS其他功能是否不出現服務停止的異常；

n) 應測試備份過程中磁盤空間不足或備份用磁盤出現故障時，DBMS其他功能是否不出現服務停止的異常。

1.1.7.2　最低和最高配額(FRU_RSA.2)

最低最高配額組件提供數據庫服務器資源配額機制，確保用戶能使用或不會獨占數據庫服務器受控資源。該組件安全評估要求如下：

a) 應測試TSF是否提供了對授權用戶的【選擇：數據庫查詢和事務物理和邏輯I/O大小，永久數據庫空間，臨時數據庫空間，一個特定作業持續使用時間或未使用時間，【賦值：ST作者指定資源】】資源分配最高配額，以便【選擇：單個用戶、預定義用戶、主體】能在【選擇：一段指定的時間間隔內】使用；

b) 應測試TSF是否提供了對授權用戶的【選擇：數據庫查詢和事務物理和邏輯I/O大小，永久數據庫空間，臨時數據庫空間，一個特定作業持續使用時間或未使用時間，【賦值：ST作者指定資源】】資源分配最高配額，以便【選擇：單個用戶、預定義用戶、主體】能在【選擇：一段指定的時間間隔內】使用；

c) 應測試TSF是否提供了主體使用數據庫服務器資源的視圖、工具或API。

1.1.8　TOE訪問（FTA類）

1.1.8.1　可選屬性范圍限定（FTA_LSA.1）

可選屬性范圍限定組件規定數據庫會話建立時限制會話安全屬性范圍的要求。該組件安全評估要求如下：

a) 應測試DBMS是否提供數據字典視圖或圖形化管理工具來查看下列用戶會話信息：

1) 會話編號；

2) 進程編號；

3) 用戶標識；

4) 用戶姓名；

5) 最近的用戶請求命令、會話狀態（在用、非活動、斷開等）；

6) 連接服務器方式（共享/非共享）；

7) 缺省模式；

8) 客戶應用程序；

9) 客戶終端機器信息；

10) 客戶操作系統信息；

11) 對應SQL語句/存儲過程信息；

12) 等待此會話的鎖信息；

13) 登錄時間；

14) 等待時間統計信息；

15) 使用時間統計信息；

16) 會話狀態（等待、執行等）；

17) 會話跟蹤信息；

18) 會話服務信息。

b) 應測試DBMS是否提供數據字典視圖或圖形化管理工具來查看數據庫會話的連接信息：

1) 連接名稱；

2) 連接用戶信息；

3) 狀態信息；

4) 使用協議；

5) 連接類型（同構/異構）；

6) 當前事務信息

c) 應測試確認TSF是否依據基于【賦值：屬性】，限制下列會話安全屬性的范圍：【賦值：會話安全屬性】。

d) 應測試確認TSF具備管理員對會話安全屬性范圍的管理能力。

1.1.8.2　多重并發會話的基本限定(FTA_MCS.1)

多重并發會話限定組件控制同一授權用戶訪問數據庫的并發會話數，即規定基于用戶安全屬性限定并發會話的數量。該組件安全評估要求如下：

a) 應檢查限制屬于同一授權用戶的并發會話的最大數目控制參數有效性；

b) 應能查看同一授權用戶的當前并發會話信息；

c) 應能查看同一授權用戶的每一個會話的客戶端應用的【選擇：操作系統用戶標識、客戶端執行機器標識、客戶端應用程序標識、【賦值：ST作者指定屬性】】信息；

d) 應檢查每個授權用戶缺省地限定【賦值：缺省數】次會話的有效性。

1.1.8.3　TSF原發會話終止（FTA_SSL.3）

TSF原發會話終止組件要求TSF提供原發和用戶原發的交互式會話的鎖定和解鎖和終止能力。該組件安全評估要求如下：

a) 應測試TSF在規定的時間內用戶一直不活動，系統就發起對一個交互式會話的鎖定能力；

b) 應測試TSF提供用戶鎖定和解鎖其擁有的交互式會話的能力；

c) 應測試TSF提供在用戶在一段指定時間不活動后終止該會話的能力；

d) 應測試TSF為用戶提供自己終止交互會話的能力。

1.1.8.4　TOE訪問歷史(FTA_TAH.1)

TOE訪問歷史組件為授權用戶顯示訪問該用戶帳號的成功和不成功嘗試歷史的一些信息，并保存和檢索這些相關信息。該組件安全評估要求如下：

a) 應測試在TOE會話成功建立的基礎上，TSF向用戶顯示上一次成功建立的會話的【賦值：日期、時間、訪問方法和位置】；

b) 應測試在TOE會話成功建立的基礎上，TSF顯示上一次會話建立的未成功嘗試的【賦值：日期、時間、訪問方法和位置】和從上一次成功的會話建立以來的不成功嘗試次數；

c) 應測試如果評估對象沒有向授權用戶提供審閱訪問歷史信息的機會，TSF就不能從TOE訪問歷史中或使用用戶接口擦除該用戶的TOE訪問信息；

d) 應檢查給授權管理員提供訪問TOE訪問歷史數據接口或視圖，確認能看到TOE訪問歷史。

1.1.8.5　TOE會話建立(FTA_TSE.1)

TOE會話建立組件提供了拒絕用戶基于屬性對TOE進行訪問的要求。該組件安全評估要求如下：

a) 應測試確認能基于【賦值：用戶身份和/或組身份，主機標識、客戶端網絡地址標識、時間、【賦值：ST作者指定屬性】】接受或拒絕數據庫會話的建立；

b) 應測試確認提供了TOE會話客戶端應用的【選擇：操作系統用戶標識、客戶端執行機器標識、客戶端應用程序標識、【賦值：ST作者指定屬性】】連接信息管理視圖或應用開發接口；

c) 應測試屬于同一授權用戶/授權管理員的并發會話的接受或拒絕數據庫會話建立的最大數目；

d) 應檢查【選擇：正執行SQL語句、等待操作、被標注為刪、【賦值：ST作者指定狀態】】會話狀態查看功能；

e) 應測試TOE會話【賦值：用戶身份和/或組身份，主機標識、客戶端網絡地址標識、時間、【賦值：ST作者指定屬性】】會話屬性查看功能；

f) 應測試TOE會話終止管理功能。

1.1.9　可信路徑/信道（FTP類）

1.1.9.1　TSF間可信信道(FTP_ITC.1)

TSF間可信信道組件確保分布式數據處理在TSF和其他可信IT產品之間建立一個可信信道，并能保護通信數據免遭修改和泄露。該組件安全評估要求如下：

a) 對于分布式部署環境下的TOE，應檢查在不同節點間是否提供了一條緩存與控制通信信道，確認此信道在邏輯上與客戶端與數據庫服務器之間通信信道不同，其端點具有保證標識，并且能保護信道中數據免遭修改或泄露；

b) 應檢查是否允許【選擇：TSF、基于外部認證的鑒別服務器、【賦值：ST作者指定的另一個可信IT產品】】經由可信信道發起通信；

c) 應檢查【賦值：需要可信信道的功能列表】，測試確認TSF經由可信信道發起通信。