8.1 安全功能要求

8.1　安全功能要求

8.1.1　概述

表7列出了EAL2、EAL3和EAL4評估保障級下數據庫管理系統的安全功能要求組件。在組件元素描述中，方括號【】中的粗體字內容表示已經完成的操作，粗斜體字內容表示還需在安全目標中由ST作者確定賦值及選擇項。

8.1.2　安全審計（FAU類）

8.1.2.1　審計數據產生(FAU_GEN.1)

FAU_GEN.1.1 TSF應能夠為下述可審計事件產生審計記錄：
a) 數據庫審計功能的啟動和關閉；
b) 數據庫實例及其組件服務的啟動和關閉；
c) 數據庫安全功能【選擇：最小級、基本級、未規定】審計級別的所有可審計事件；
d) 其他面向數據庫安全審計員的，并且是可繞過訪問控制策略的特殊定義【賦值：ST作者定義的DBMS審計事件】的可審計事件。
e) 未指定審計級別（例如數據庫對象數據操作級）的所有可審計事件。
FAU_GEN.1.2 TSF應在每個審計記錄中至少記錄下列信息：
a) 事件的日期和時間、事件類型、主體身份和關聯組或角色、事件結果（成功或失敗）；

8.1.2.2　用戶身份關聯(FAU_GEN.2)

FAU_GEN.2.1對于已標識用戶行為所產生的審計事件，TSF應能將每個審計事件和引起該審計事件的用戶身份關聯起來。

8.1.2.3　安全審計查閱(FAU_SAR.1)

FAU_SAR.1.1 TSF應為【賦值：授權管理員】提供從審計記錄中閱讀和獲取下面所列出的審計信息的權力：
a) 用戶、用戶組或角色標識；
b) 審計事件類型；
c) 數據庫對象標識；
d) 【選擇: 主體標識、主機標識、無】 ；
e) 【選擇:成功可審計安全事件、失敗可審計安全事件、和 【選擇: 【賦值：基于其他選擇條件的選擇性審計事件清單】、沒有任何附加條件 】】；
f) 數據庫【選擇: 系統權限、實例權限、數據庫權限、模式對象權限、細粒度數據權限】權限 。

8.1.2.4　限制審計查閱(FAU_SAR.2)

FAU_SAR.2.1 除了授權管理員具有明確的閱讀訪問審計數據的權限外，TSF應禁止所有授權用戶對審計記錄進行讀訪問。

8.1.2.5　可選審計查閱(FAU_SAR.3)

FAU_SAR.3.1 TSF應根據【審計數據字段中的值的搜索與分類條件】提供對查閱的審計數據進行【搜索和排序】的能力。

8.1.2.6　選擇性審計（FAU_SEL.1）

FAU_SEL.1.1 TSF應能根據以下屬性從審計事件集中選擇可審計事件：
a) 用戶身份【選擇：客體身份、用戶身份、組身份、主體身份、主機身份】；
b) 操作類型【選擇：定義語句、查詢語句、更新語句、控制語句】；
c) 權限級別【選擇：系統權限、實例權限、數據庫權限、模式對象級審計、細粒度數據權限，【賦值：ST作者指定的權限列表】】
d) 可審計安全事件【選擇：成功、失敗、二者】
e) 【賦值：審計選擇所依據的附加屬性表】
f) 【選擇：【賦值：審計選擇額外的標準列表】、沒有額外標準】】

8.1.2.7　審計數據可用性保證（FAU_STG.2）

FAU_STG.2.1 TSF應保護審計跡中所存儲的審計記錄，以避免未授權的刪除。
FAU_STG.2.2 TSF應能防止對審計跡中所存審計記錄的未授權修改。

8.1.2.8　防止審計數據丟失(FAU_STG.4)

FAU_STG.4.1 如果審計記錄數據已滿，系統應【選擇，選取一個：忽略可審計事件、“阻止可審計事件，除非具有特權的授權用戶產生的審計事件”、覆蓋所存儲的最早的審計記錄】和【賦值：審計存儲失效時所采取的其他動作】。

8.1.3　密碼支持（FCS類）

8.1.3.1　密鑰生成(FCS_CKM.1)

FCS_CKM.1.1TSF應根據符合下列標準【賦值：國家、行業要求的密碼管理相關標準或規范】的一個特定的密鑰生成算法【賦值：密鑰生成算法】和規定的密鑰長度【賦值：密鑰長度】來生成密鑰。

8.1.3.2　密鑰銷毀（FCS_CKM.4）

FCS_CKM.4.1 TSF應根據符合下列標準［賦值：國家、行業要求的密碼管理相關標準或規范］的一個特定的密鑰銷毀方法［賦值：密鑰銷毀方法］來銷毀密鑰。

8.1.3.3　密碼運算(FCS_COP.1)

FCS_COP.1.1TSF應根據符合下列標準【賦值：國家、行業要求的密碼管理相關標準或規范】的特定的密碼算法【賦值：密碼算法】和密鑰長度【賦值：密鑰長度】來執行【賦值：密碼運算列表】。

8.1.4　用戶數據保護（FDP類）

8.1.4.1　子集訪問控制（FDP_ACC.1）

FDP_ACC.1.1 TSF應對授權的數據庫對象操作列表執行主體（系統和用戶）定義的下列訪問控制策略：【選擇：基于用戶控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的自主訪問控制策略】】。

8.1.4.2　基于安全屬性的訪問控制（FDP_ACF.1）

FDP_ACF.1.1TSF應基于【選擇：基于用戶控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的自主訪問控制】】對數據庫對象的操作執行訪問控制，具體應包括：
a) 與主體相關的授權用戶身份和/或角色和/或組成員關系；
b) 受控數據庫對象可實施的訪問操作和/或角色/組權限；
c) 受控數據庫對象標識
d) 對數據庫對象執行【選擇：基于用戶控制策略、基于角色控制策略、基于用戶組控制策略、【賦值：ST作者定義的自主訪問控制策略】】。
FDP_ACF.1.2TSF應執行【賦值：在受控主體和受控數據庫對象間，通過對受控數據庫對象采取受控操作來管理訪問的規則】，以確定授權用戶、授權管理員與數據庫對象間的一個操作是否被允許。
FDP_ACF.1.3TSF應基于附加規則：【選擇：【賦值：安全屬性、明確授權用戶訪問數據庫對象的規則】、無附加顯式授權規則】，明確授權用戶訪問DBMS控制的數據庫對象。

8.1.4.3　子集信息流控制（FDP_IFC.1）

FDP_IFC.1.1TSF應對【授權用戶對受基于標簽訪問控制（LBAC）的數據庫數據對象的讀、寫操作】強制應用【選擇：LBAC安全功能策略、【賦值：ST作者附加的信息流控制SFP規則】】。

8.1.4.4　分級安全屬性（FDP_IFF.2）

FDP_IFF.2.1TSF應基于授權用戶和數據庫對象安全屬性：【主體安全標簽和數據庫對象（關系行、列或單元）安全標簽的【選擇：數組、集合、樹、【賦值：ST作者定義的標簽元素】】】執行【選擇：LBAC安全功能策略、【賦值：ST作者附加的信息流控制SFP規則】】。
FDP_IFF.2.2如果滿足【賦值：規則列表】規則，TSF應允許通過授權用戶和受控數據庫對象（如關系表行、列、單元）之間的讀寫操作。
FDP_IFF.2.3TSF應強制執行以下規則【只有【選擇：安全管理員、【賦值：ST作者指定的授權管理員】】能夠改變用戶的安全標簽，具有適當權限的授權用戶/授權管理員能夠改變受LBAC保護的數據表的行、列或單元的安全標簽】。
FDP_IFF.2.4TSF應基于以下規則：【賦值：ST作者指定的一個擁有相應豁免的用戶能夠忽略對讀數組、讀集合、讀樹、寫數組、寫集合、寫樹的檢查】，明確地授權一個信息流。
FDP_IFF.2.5TSF應基于以下規則：【賦值：基于安全屬性、明確拒絕信息流的規則】明確拒絕一個信息流。
FDP_IFF.2.6TSF應對任意兩個【選擇：標簽、【賦值：ST作者定義的信息流控制】】安全屬性強制下列關系：
a) 存在一個有序函數，對于給定的兩個有效的安全屬性，函數能夠判定他們是否相等，是否其中一個大于另一個，還是兩者不可比較；
b) 在安全屬性集合中存在一個“最小上界”，對于給定的兩個有效的安全屬性，存在一個有效的安全屬性大于或者等于這兩個安全屬性；

8.1.4.5　帶有安全屬性的用戶數據輸出（FDP_ETC.2）

FDP_ETC.2.1 在SFP控制下將用戶數據輸出到TOE之外時，TSF應執行【賦值：訪問控制SFP和（/或）信息流控制SFP】。
FDP_ETC.2.2TSF應輸出用戶數據且帶有用戶數據關聯的安全屬性。
FDP_ETC.2.3TSF應確保輸出安全屬性到TOE之外時，與所輸出的用戶數據確切關聯。

8.1.4.6　不帶安全屬性的用戶數據輸入（FDP_ITC.1）

FDP_ITC.1.1 在SFP控制下從TOE之外輸入用戶數據時，TSF應執行【賦值：訪問控制SFP和（/或）信息流控制SFP】。
FDP_ITC.1.2 從TOE外部輸入用戶數據時，TSF應忽略任何與用戶數據相關的安全屬性。

8.1.4.7　基本內部傳送保護（FDP_ITT.1）

FDP_ITT.1.1 在TOE物理上分隔的部分間傳遞用戶數據時，TSF應執行【賦值：訪問控制SFP和（/或）信息流控制SFP】，以防止用戶數據的【選擇：泄露、篡改、喪失可用性】。

8.1.4.8　子集殘余信息保護（FDP_RIP.1）

FDP_RIP.1.1TSF應確保數據庫服務器共享內存和存儲空間等服務器資源的任何先前的信息內容，在資源釋放或資源被重新分配給其他模式對象之后是不再可用的。

8.1.4.9　基本回退（FDP_ROL.1）

FDP_ROL.1.1TSF應強制【選擇：子集訪問控制、子集信息流控制、【賦值：ST作者定義的訪問控制】】策略，以允許對【選擇：數據庫、模式、表空間、數據表、視圖、約束、存儲過程、存儲函數、【賦值：其他數據庫對象】】用【SQL表達的數據庫操作】執行回退操作。

8.1.4.10　存儲數據的完整性監視和行動（FDP_SDI.2）

FDP_SDI.2.1 TSF應基于下列屬性：【賦值：用戶數據屬性】，對所有客體，監視存儲在由TSF控制的載體內的用戶數據的【賦值：完整性錯誤】。

8.1.5　標識和鑒別（FIA類）

8.1.5.1　鑒別失敗處理（FIA_AFL.1）

FIA_AFL.1.1 TSF應對【賦值：登錄DBMS用戶】不滿足授權管理員定義的口令策略【選擇：達到鑒別嘗試次數、達到口令有效期、達到口令重用次數、【賦值：可接受值的范圍】】加以檢測，與【選擇：授權用戶鑒別、授權管理員鑒別、【賦值：其他鑒別事件列表】】相關的未成功鑒別嘗試進行處理。

8.1.5.2　用戶屬性定義（FIA_ATD.1）

FIA_ATD.1.1TSF應維護屬于每個數據庫用戶下列安全屬性：
a) 數據庫用戶標識，驗證數據（秘密）；
b) 安全相關的角色或用戶組；
c) 用戶口令策略；
d) 服務器資源限制；
e) 數據庫對象訪問權限；
f) 數據庫管理權限；

8.1.5.3　秘密的驗證（FIA_SOS.1）

FIA_SOS.1.1 TSF應提供一種機制以驗證秘密滿足【賦值：一個既定的質量度量】。例如用戶口令驗證應滿足：
a) 被限制在最小和最大數量的字符長度之間；
b) 包含一個大寫和小寫字符的組合；
c) 至少包含一個數字字符；
d) 至少包含一個特殊字符；
e) 不能是用戶標識或用戶名稱；
f) 被限制在一個有效期內；

8.1.5.4　鑒別的時機（FIA_UAU.1）

FIA_UAU.1.1 在數據庫用戶身份被鑒別之前，TSF應允許代表用戶的【賦值：TSF促成的行動列表】被執行。例如
a) 獲取當前數據庫管理系統版本信息；
b) 建立數據庫連接；
c) 如果不成功，返回錯誤信息
FIA_UAU.1.2 在允許任何數據庫用戶的數據庫請求行動執行前，TSF應要求該用戶已被成功鑒別。

8.1.5.5　多重鑒別機制（FIA_UAU.5）

FIA_UAU.5.1 TSF應提供【選擇：口令、證書、【賦值：ST作者提供的多重鑒別機制】】多重鑒別機制，以支持數據庫用戶鑒別。
FIA_UAU.5.2 TSF應依據選擇【選擇：數據庫鑒別、操作系統鑒別、第三方鑒別、【賦值：ST作者提供的工作規則】】為授權管理員和授權用戶鑒別任何用戶所聲稱的身份。

8.1.5.6　受保護的鑒別反饋（FIA_UAU.7）

FIA_UAU.7.1 鑒別進行時，TSF應僅向用戶提供[賦值：反饋列表]。

8.1.5.7　標識的時機（FIA_UID.1）

FIA_UID.1.1 在允許任何其他代表用戶的TSF促成的行動執行前，TSF應要求該用戶已被成功標識。

8.1.5.8　用戶-主體綁定（FIA_USB.1）

FIA_USB.1.1 TSF應將合適的用戶安全屬性與代表用戶活動的主體相關聯：【賦值：用戶安全屬性的列表】。
FIA_USB.1.2 TSF在最初關聯用戶安全屬性和代表用戶活動的主體時應實施下面的規則：【賦值：最初屬性關聯規則】。

8.1.6　安全管理（FMT類）

8.1.6.1　安全功能行為的管理（FMT_MOF.1）

FMT_MOF.1.1 TSF應僅限于【賦值：已識別授權角色】對安全管理功能【賦值：功能列表】具有【選擇：確定其行為、禁止、允許、修改其行為】的能力。例如：
a) 管理【賦值：數據庫管理系統實例安全功能組件配置參數】；
b) 限定啟動/禁用授權管理員的安全功能【賦值：有關事件審計規范】
c) 在安全告警事件中配置要【賦值：執行行為】的管理；
d) 在鑒別失敗事件中要【賦值：采取行為】的管理；
e) 在用戶成功被鑒別之前所能【賦值：采取行為】的管理；
f) 授權管理員如果能改變用戶被識別之前所能采取的行為列表，應對授權管理員的此種【賦值：行為】進行管理；
g) DBMS管理的數據及運行完整性自檢發生【選擇：初始化啟動、定期間隔、其他特定條件】時的條件的管理；

8.1.6.2　TSF數據的管理（FMT_MTD.1）

FMT_MTD_EXT.1.1TSF應僅限于具有【選擇：系統管理員、安全管理員、【賦值：授權安全管理官員】】角色的授權管理員能夠【賦值：改變默認值、查詢、修改、刪除、【或添加】】 【選擇：用戶標識、用戶組成員、安全角色】；
FMT_MTD_EXT.1.2TSF應僅限于具有【選擇：系統管理員、安全管理員、【賦值：授權安全管理官員】】角色的授權管理員能夠【賦值：改變默認值、修改、刪除、【或添加】】授權用戶的【認證數據】；
FMT_MTD_EXT.1.3TSF應僅限于具有【選擇：系統管理員、安全管理員、【賦值：授權安全管理官員】】角色的授權管理員能夠【賦值：包括或排除可審計策略】；
FMT_MTD_EXT.1.4TSF應僅限于具有【選擇：系統管理員、安全管理員、【賦值：授權安全管理官員】】角色的授權管理員能夠【刪除和【查看】】 【審計蹤跡中的審計事件集】；

8.1.6.3　撤銷（FMT_REV.1）

FMT_REV.1.1 TSF應僅限于【賦值：已標識的授權角色】能夠撤消在TSF控制下的與【選擇：用戶、主體、客體、【賦值：其他額外資源】】相關聯的所有可管理的安全屬性【選擇：口令策略、資源限制、角色和權限、【賦值：ST作者定義的安全屬性】】。

8.1.6.4　管理功能規范（FMT_SMF.1）

FMT_SMF.1.1 TSF應能夠執行如下安全管理功能：【賦值：ST作者提供的安全管理功能列表】。例如下列數據庫安全管理功能:
a) 添加和刪除數據庫用戶；
b) 改變用戶登錄數據庫管理系統狀態；
c) 在數據庫實例（服務器）級別和數據庫級別配置數據庫角色權限及其成員用戶；
d) 創建和刪除數據庫實例（服務器）級別和數據庫級別的用戶組；
e) 定義數據庫用戶認證模式（操作系統驗證、數據庫驗證、第三方驗證）；
f) 管理連接數據庫用戶會話的屬性；
g) 使能和禁用數據庫加密功能；
h) 管理數據庫加密密碼；
i) 創建和銷毀加密密鑰；
j) 啟動和停止審計；
k) 選擇審計事件；
l) 創建、刪除和查閱審計記錄數據；
m) 定義當審計文件填滿時采取的行動；
n) 創建和刪除基于標簽的訪問控制（LBAC）策略和標簽；
o) 授權和撤銷LBAC安全標簽與受控主體與受控客體的綁定；
p) 創建、刪除、授權和撤銷數據庫角色；
q) 授權、撤銷數據庫管理員訪問屬性；
r) 管理數據庫用戶口令策略；

8.1.6.5　安全角色（FMT_SMR.1）

FMT_SMR.1.1 TSF應維護角色【賦值：已標識的授權角色或組】。例如下列數據庫安全管理角色或組：
a) 安全管理員；
b) 審計管理員；
c) 數據庫管理員；
d) 系統管理員；
e) 由授權的安全管理員定義的安全角色或組；

8.1.6.6　安全角色限制（FMT_SMR.2）

FMT_SMR.2.1 TSF應維護角色【賦值：已標識的授權角色或組】。例如下列數據庫安全管理角色或組：
a) 安全管理員；
b) 審計管理員；
c) 數據庫管理員；
d) 系統管理員；
e) 由授權的安全管理員定義的安全角色或組；
FMT_SMR.2.2TSF應能夠把用戶和角色或組關聯起來。

8.1.7　TSF保護（FPT類）

8.1.7.1　失效即保持安全狀態(FPT_FLS.1)

FPT_FLS.1.1 TSF在下列失效發生時應保持一種安全狀態：【賦值：TSF的失效類型列表】。

8.1.7.2　TSF數據傳送的分離（FPT_ITT.2）

FPT_ITT.2.1 TSF應在評估對象分布式部署時保護不同節點TSF數據在傳送時不被【選擇：泄漏，篡改，丟失】。

8.1.7.3　無過度損失的自動恢復（FPT_RCV.3）

FPT_RCV.3.1TSF應保證不能從【選擇：數據庫服務器進程失效、數據庫實例失效、數據庫存儲介質失效，【賦值：ST作者定義失效或服務中斷列表】】自動恢復時，TSF應進入一種維護模式，該模式提供將數據庫服務器返回到一個安全狀態的能力。
FPT_RCV.3.2TSF應保證對【選擇：數據庫服務器進程失效、數據庫實例失效、數據庫存儲介質失效，【賦值：ST作者定義失效或服務中斷列表】】，TSF應確保通過數據庫恢復服務自動化過程使TOE返回到一個安全狀態。
FPT_RCV.3.3TSF應保證TSF提供的從服務中斷或失效狀態數據庫恢復的功能，應確保在TSF的控制內TSF數據或用戶數據不超出【賦值：數據庫完整性約束條件】的情況下，保證數據庫數據一致性。

8.1.7.4　內部TSF的一致性（FPT_TRC.1）

FPT_TRC_EXT.1.1TSF應保證TSF數據在【選擇：共享內容、磁盤、【賦值：分布式部署節點】】間出現不一致時，提供某種機制使不一致的TSF數據及時的達到一種一致的狀態。

8.1.8　資源利用（FRU類）

8.1.8.1　降級容錯 (FRU_FLT.1)

FRU_FLT.1.1 TSF應確保當以下失效：【賦值：失效類型列表 】發生時，【賦值：TOE能力列表 】能正常發揮。

8.1.8.2　最低最高配額(FRU_RSA.2)

FRU_RSA.2.1 TSF應對數據庫服務器的以下資源：【選擇：物理I/O、邏輯I/O、持久存儲空間、臨時存儲空間、一個特定事務持續使用時間或未使用時間、【賦值：ST定義指定的資源列表】】分配最高配額，以便【選擇：單個用戶、預定義用戶、主體】能在【選擇：一段指定的時間間隔內】使用。

8.1.9　TOE訪問（FTA類）

8.1.9.1　可選屬性范圍限定(FTA_LSA.1)

FTA_LSA.1.1 TSF應基于【賦值：屬性】，限制下列會話安全屬性的范圍：【賦值：會話安全屬性】。

8.1.9.2　多重并發會話的基本限定(FTA_MCS.1)

FTA_MCS.1.1 TSF應限制屬于同一用戶的并發會話的最大數目。

8.1.9.3　TSF原發會話終止（FTA_SSL.3）

FTA_SSL.3.1 TSF應在達到【賦值：用戶不活動的時間間隔】之后終止一個交互式會話。

8.1.9.4　TOE訪問歷史(FTA_TAH.1)

FTA_TAH.1.1 在會話成功建立的基礎上，TSF應向用戶顯示上一次成功建立的會話的【賦值：日期、時間、訪問應用程序、IP地址和訪問方法】。
FTA_TAH.1.2 在會話成功建立的基礎上，TSF應顯示上一次會話建立的未成功嘗試的【賦值：日期、時間、訪問應用程序、IP地址和訪問方法】和從上一次成功的會話建立以來的不成功嘗試次數。

8.1.9.5　TOE會話建立(FTA_TSE.1)

FTA_TSE.1.1TSF應能基于【選擇：用戶身份、用戶組或角色、主機標識、客戶端IP、時間、【賦值：ST作者指定屬性】】拒絕數據庫會話的建立。

8.1.10　可信路徑/信道（FTP類）

8.1.10.1　TSF間可信信道(FTP_ITC.1)

FTP_ITC.1.1TSF應在它自己和另一個可信IT產品之間提供一條通信信道，此信道在邏輯上與其他通信信道截然不同，并對其端點進行了有保障的標識，且能保護信道中數據免遭修改或泄露。
FTP_ITC.1.2 TSF應允許【選擇：TSF、另一個可信IT產品】經由可信信道發起通信。