5.2 威脅

1.1　威脅

1.1.1　概述

數據庫管理系統面臨過度或合法的特權濫用、軟件漏洞被利用和潛在應用安全攻擊（如SQL注入、拒絕服務、特權提升等）等安全威脅。表1給出了數據庫管理系統EAL2、EAL3和EAL4評估保障級面臨的不同安全威脅。

1.1.2　管理員誤操作（T.MISOPERATION_ADMIN）

管理員誤操作主要有兩種：一是授權管理員可能錯誤地安裝或配置數據庫服務器實例組件或錯誤地設置數據庫實例運行參數或數據庫安全屬性所造成TSF安全控制機制的失效；二是授權管理員惡意修改、刪除TSF數據或安全運行數據導致TSF安全控制機制的失效。

1.1.3　審計機制失效（T.AUDIT_FAILURE）

惡意用戶或進程可能修改數據庫審計策略，使數據庫審計功能停用或失效、審計記錄丟失或被篡改，也有可能通過審計數據存儲失效來阻止未來審計記錄被存儲，從而掩蓋用戶的操作。

1.1.4　密碼攻擊（T.CRYPTO_COMPROMISE）

惡意用戶或進程可能導致與數據庫存儲和通訊加密功能相關的密鑰、數據或密文服務組件可執行代碼被不適當地瀏覽、修改或刪除，從而破壞數據庫加密機制和泄露加密機制所保護的數據。

1.1.5　數據傳輸竊聽（T.EAVESDROP）

惡意用戶或進程可能觀察或修改評估對象物理分離部件之間傳遞的用戶數據或TSF數據（包括客戶端和服務器之間用戶請求及其響應、分布式數據庫不同節點間傳輸數據等）。

1.1.6　設計缺陷（T.FLAWED_DESIGN）

數據庫管理系統需求規范或設計中的無意邏輯錯誤可能產生設計弱點或缺陷，惡意用戶可能利用這些缺陷對評估對象進行安全攻擊。

1.1.7　實現缺陷（T.FLAWED_IMPLEMENTATION）

數據庫管理系統在開發過程中的無意錯誤可能造成評估對象實現弱點或缺陷，惡意用戶可能利用這些未知漏洞對評估對象進行攻擊。

1.1.8　標簽數據失控（T.LBAC）

惡意用戶或進程可能非法瀏覽、修改或刪除數據庫中的標簽策略數據、受控主體分類標簽數據與受控客體綁定標簽數據。授權數據庫管理員非法訪問基于標簽管理的受控主體的數據資產。

1.1.9　假冒授權用戶（T.MASQUERADE）

惡意用戶或進程假冒授權管理員或授權用戶訪問數據庫字典、系統安全配置參數、或數據庫管理系統保護的用戶數據資產。

1.1.10　測試缺陷（T.POOR_TEST）

開發或測試人員對數據庫管理系統（包括數據庫安全選件及其支撐環境）的測試不充分，導致評估對象弱點（邏輯錯誤）未被發現，惡意用戶可能利用這些未知漏洞對評估對象進行攻擊。

1.1.11　殘余信息利用（T.RESIDUAL_DATA）

惡意用戶或進程可能利用數據庫服務器共享緩存或磁盤上殘留信息的處理缺陷，在數據庫實例執行過程中對未刪除的殘留信息進行利用，以獲取敏感信息或濫用評估對象的安全功能。

1.1.12　安全功能失效（T.TSF_COMPROMISE）

惡意用戶或進程通過安全攻擊非法地瀏覽、修改或刪除TSF數據或可執行代碼。這可能讓惡意用戶或進程獲得數據庫實例和數據庫的配置信息，或可能導致數據庫實例的安全功能對于數據資產保護的安全機制不再正常工作。

1.1.13　未授權訪問（T.UNAUTHORIZED_ACCESS）

惡意用戶或進程可能未經授權地訪問評估對象和利用系統特權提升等方法來訪問評估對象的安全功能和數據，不適當地更改數據庫實例和數據庫配置數據及其安全功能機制。

1.1.14　服務失效（T.UNAVAILABILITY）

惡意用戶或進程可能通過數據庫服務器資源（CPU、RAM）的拒絕服務攻擊來阻止其他用戶獲得評估對象管理的數據資源，數據庫服務器實例核心功能/組件的故障可能會導致用戶不能訪問數據庫，或評估對象可能由合法授權用戶任務的高并發服務請求，預防或延緩數據庫管理系統的功能被其他授權用戶訪問。

1.1.15　未標識動作（T.UNIDENTIFIED_ACTIONS）

存在授權管理員不能標識的數據庫管理系統中可能發生的數據庫用戶的非授權操作，包括提供采取必要行動以應對這些潛在未被授權訪問操作的安全問責管理。