9.1 安全目的基本原理

9.1　安全目的基本原理

9.1.1　概述

每一種威脅、組織安全策略和假設都至少有一個或一個以上的安全目的與其對應，以保證安全問題的解決方案是完備的。當然不存在任何一個安全目的沒有與其對應的威脅、組織安全策略和假設，這證明了每個安全目的都是必要的；沒有多余的安全目的不對應威脅、組織安全策略和假設，這說明安全目的是充分的。

9.1.2　威脅對應安全目的

表10說明了數據庫管理系統的TOE安全目的能應對所有可能的威脅。

表 11 說明了數據庫管理系統的環境安全目的能應對所有可能的威脅。

下面論述數據庫每一種威脅對應的安全目的及其原理說明。
T.MISOPERATION_ADMIN
O.ADMIN_GUIDANCE確保授權管理員擁有可指導他們以安全方式管理評估對象的指南文檔；O.ADMIN_ROLE指TSF提供職責分離、角色約束等數據庫管理角色功能，通過使用最小特權原則可減輕授權管理員失誤的影響； O.MANAGE提供給安全管理員查看授權管理功能和安全功能配置參數的能力，以便對授權管理員可能錯誤地安裝或配置數據庫服務器實例組件，或是惡意破壞用戶或數據庫管理系統的安全等行為，進行判斷其安全配置與安全策略的一致性，從而消除人為使用和配置安全功能的威脅；OE.NO_GENERAL_ PURPOSE確保在數據庫服務器上不會因為未授權軟件的安裝或DBMS相關服務配置端口的引入而產生意外的錯誤；OE.NO_HARM通過保證授權管理員是不敵對的、訓練有素的（能夠合理地管理數據庫管理系統），從而緩解管理員的威脅。
T.AUDIT_FAILURE
O.AUDIT_GENERATION確保能依據審計策略創建與用戶關聯的安全相關事件的記錄能力。O.AUDIT_PROTECTION或OE.AUDIT_PROTECTION提供保護存儲在數據庫內或IT環境中審計記錄的能力；O.RESIDUAL_INFORMATION防止未經授權的用戶讀取服務器共享緩存殘留的審計記錄或跟蹤審計，從而保證保證清除TSF中的任何殘余審計記錄不再需要時不可訪問來緩解該威脅；OE.SELF_PROTECTION通過確保評估對象TSF及運行環境保護自身免于用戶的攻擊，有助于對抗惡意用戶或進程可能執行的訪問、修改或刪除審計記錄操作，從而導致審計記錄丟失或被篡改，也有可能阻止未來審計記錄被篡改，從而導致產生掩蓋用戶的威脅；OE.TIME_STAMPS保證數據庫外部的IT環境提供可靠的時間戳。
T.CRYPTO_COMPROMISE
O.CRYPTOGRAGHY保證數據庫存儲加密和通訊加密功能的可靠性。O.DOCUMENTED_DESIGN要求數據庫密碼相關的運算和密鑰生成功能應該說明； O.RESIDUAL_INFORMATION通過保證清除TSF中的任何殘余數據和在加密密鑰不再需要時不可訪問來緩解該威脅；OE.SELF_PROTECTION通過確保評估對象TSF及運行環境保護自身免于用戶的攻擊，從而有助于對抗密碼相關的威脅。
T.EAVESDROP
O.CRYPTOGRAGHY加密可以消除數據庫與外部實體通訊、存儲數據讀寫等數據傳輸過程中的竊聽威脅；O.TRUSTED_PATH和OE.TRUST_IT支撐數據庫管理系統運行所需的操作系統、外部認證實體等數據庫安全性有關的IT環境應與評估對象安全策略和他們之間的關系保持一致，以避免外部實體的不可信導致DBMS的安全功能失效；OE.SECURE_COMMS通過安全的通訊線路保護用戶和TSF數據免于被修改和瀏覽，從而消除此威脅。
T.FLAWED_DESIGN
O.CONFIG要求在開發過程中對DBMS組件配置及其開發證據進行分析、跟蹤和控制，以對抗TOE設計任務被重新分配并及時糾正設計中的錯誤；O.DOCUMENTED_DESIGN要求TOE按照軟件工程原理進行開發，所有DBMS設計、設計原則和設計技術等得到充分、準確地記錄，保證在TOE審查評估中能有詳細的設計文檔； O.VULNERABILITY_ANALYSIS確保DBMS設計進行了針對設計缺陷的獨立脆弱性分析，以證明TOE的設計和實施中不包含任何明顯的缺陷。
T.FLAWED_IMPLEMENTATION
O.CONFIG要求在整個TOE開發過程中對DBMS組件配置及其開發證據進行分析、跟蹤和控制，以對抗TOE實現任務被重新分配并及時糾正實現中的錯誤 O.DOCUMENTED_DESIGN確保形式化的TOE實現文檔滿足安全功能設計要求。O.FUNCTIONAL_TEST增加了通過測試從而發現已經存在于實現中的錯誤的可能。O.VULNERABILITY_ANALYSIS確保對實現進行了適當的獨立滲透性測試和脆弱性分析，從而證明TOE的設計與實現不允許攻擊者進行潛在的安全攻擊。
T.LBAC
O.ACCESS.LBAC要求通過TOE的標簽策略控制數據庫對象的訪問，它能減輕T.LBAC的威脅；O.ADMIN_ROLE要求評估對象提供安全管理員角色功能，確保標簽策略定義的完整性和一致性。另外O.ACCESS.LBAC將支持組織安全策略P.LBAC
T.MASQUERADE
O.TOE_ACCESS確保只有認證用戶才能訪問評估對象，并保證對TOE內部的數據字典數據、用戶數據和安全功能組件實施了訪問控制措施；OE.TOE_ACCESS在允許訪問TOE或通過TOE轉發的服務前要通過IT環境進行身份鑒別；OE.TOE_NO_BYPASS確保用戶訪問TOE或通過TOE轉發的某種服務之前TSF及其環境應調用所有已配置實施的功能（身份鑒別、訪問控制規則等）。
T.POOR_TEST
O.DOCUMENTED_DESIGN確保規范化的安全功能測試用例集滿足TOE安全功能設計要求。O.FUNCTIONAL_TEST確保充分的功能測試被執行，從而證明TSF滿足安全設計要求，以及TSF運行與記錄一致要求。 O.VULNERABILITY_ANALYSIS要求進行合適的滲透性測試和獨立脆弱性分析來緩解此威脅。
T.RESIDUAL_DATA
O.RESIDUAL_INFORMATION通過確保當數據庫服務器資源（緩存、磁盤）被用戶或進程釋放并配置給其他用戶或進程時，TSF數據和用戶數據不再持久存在。
T.TSF_COMPROMISE
O.INTERNAL_TOE_DOMAINS確保TOE為授權用戶數據建立單獨的用戶安全域，保證多用戶并發訪問數據的隔離性和一致性；O.MANAGE提供了限制授權管理員使用TSF功能和TSF數據（查看、修改或刪除）或執行代碼的能力；O.RESIDUAL_INFORMATION確保服務器共享資源中刪除的TSF數據不能重新被配置給其他用戶；O.TRUSTED_PATH確保TSF和不同授權主體（遠程管理員、依賴方和可信IT實體）間存在可信通信路徑來解決此威脅；OE.CONFIG要求評估對象及其運行支撐環境提供管理與配置數據庫運行安全所需的功能和設施，并防止這些功能和設施被未授權使用；OE.SELF_PROTECTION確保TOE足以保護自身免受外部來源的威脅，所有TSP功能可以被調用，保證TOE IT環境提供與TOE相似的安全保護。OE.DOMAIN_SEPARATION 保證數據庫服務器及其網絡應用環境將為TOE運行提供獨立安全域。
T.UNAUTHORIZED_ACCESS
O.ACCESS_HISTORY確保TOE能夠存儲和檢索上一次成功登錄時，用戶不知情情況下的登錄嘗試和執行的操作信息；O.TOE_ACESS確保TOE在允許訪問TOE服務前要進行身份鑒別，要求控制登錄用戶可以訪問的TOE、TOE安全功能和TS數據，阻止授權用戶不適當地更改TOE配置數據及其安全功能威脅；O.MANAGE與 OE.CONFIG要求TOE及其環境僅限于確保管理員修改與TOE相關聯的安全屬性；OE.TOE_ACCESS在允許訪問TOE或通過TOE轉發的服務前要通過IT環境進行身份鑒別；OE.SELF_PROTECTION確保TOE足以保護自身免受外部來源的威脅，所有TSP功能可以被調用，保證TOE IT環境提供與TOE相似的安全保護。
T.UNAVAILABILITY
O.RESOURCE_SHARING要求評估對象提供關于數據庫服務器CPU時間、共享內存、可獲得的網絡連接數、服務器存儲空間的共享控制，來消除惡意進程或用戶可能通過使用資源耗盡所拒絕的服務攻擊來阻止他人獲得數據庫服務器資源的行為，或者由于TOE的主數據庫服務器故障而導致數據庫對用戶不可用，或TOE可能由于合法用戶任務請求過多導致的服務過載；O.AVAIL確保數據庫服務器磁盤介質故障的情況下，通過數據庫恢復的方法，保障數據庫服務可用性；或在主數據庫服務器對用戶不可用時，由TOE提供控制切換和故障轉移功能，提高數據庫的可用性。
T. UNIDENTIFIED_ACTIONS

9.1.3　組織安全策略對應安全目的

表12說明了數據庫管理系統的安全目的能應對所有可能的組織安全策略。

下面論述每一種組織安全策略對應的安全目的及其原理說明。
P.ACCOUNTABILITY
O.ADMIN_ROLE提供安全管理員管理DBMS安全性所必需的功能和設施，防止這些管理功能和管理設施被未授權用戶使用；O.AUDIT_GENERATION提供審計機制記錄特定用戶的操作，供管理員根據用戶ID等屬性追蹤觸發安全事件的能力。O.AUDIT_PROTECTON保護審計事件，從而確保DBMS能夠在威脅狀態發生改變時捕捉安全相關的事件；O.TOE_ACCESS要求TOE在允許任何授權用戶訪問或任何代表用戶的程序訪問之前，標識和授權所有授權用戶；OE.TIME_STAMPS保證數據庫外部的IT環境提供可靠的時間戳。
P. CRYPTOGRAPHY
O.CRYPTOGRAGHY保證TOE使用的密碼算法應符合國家、行業或組織要求的密碼管理相關標準或規范，并且TOE應提供密碼功能以維護DBMS資產的保密性和完整性; O.RESIDUAL_INFORMATION通過確保當數據庫服務器共享資源被用戶或進程釋放后并配置給其他用戶或進程時，TSF數據和用戶相關密鑰數據不再持久存在。
P.LABEL
O.ACCESS.LBAC要求評估對象提供基于標簽的訪問控制機制，組織提供基于安全標簽的數據分級、用戶分類與分組的讀/寫權限安全策略O.ADMIN_ROLE要求組織安全管理員按照評估對象的標簽訪問控制策略定義標簽，并確保標簽策略定義的完整性和一致性。
P.ROLES
O.ADMIN_ROLE 保證TOE應提供與不同數據庫管理操作相適應的授權管理員角色，以提供職責分離、角色約束等角色管理功能；O.TRUSTED_PATH要求所有可信用戶的各遠程管理會話都經由安全信道授權和引導，所有可信IT實體通過受保護信道連接，從而避免泄露和欺騙問題。
P.SYSTEM_INTEGRITY
O.FUNCTIONAL_TEST要求TSF運行一套安全功能測試用例集以證明TSF（硬件和軟件）和TSF加密組件在DBMS初始啟動后正確運行，管理員還可以通過O.FUNCTIONAL_TEST驗證TSF數據和存儲代碼的完整性，也可以利用DBMS提供的加密機制驗證TSF加密數據和存儲代碼；O.AVAIL應提供能夠定期驗證其備份與恢復數據的安全策略及其運行支撐環境正確的操作，并在管理員的幫助下，它應能夠恢復到任何被檢測到錯誤前的一致性狀態。
P. VULNERABILITY_ ANALYSIS_TEST

9.1.4　假設對應安全目的

表13說明了數據庫管理系統的安全目的能夠應對的假設。

下面論述每一種假設對應的安全目的及其原理說明。
A.DIR_PROTECTION
OE.DIR_CONTROL提供如目錄服務器的企業級別用戶身份鑒別管理與配置指南。OE.SECURE_COMMS將保證在目錄服務器和評估對象之間的用戶標識和鑒別信息的安全通訊。
注：目錄服務器不是評估對象的組成部分，因此ST作者應該明確目錄控制目的(OE.DIR_CONTROL)。
A.DOMAIN_SEPARATION
OE.DOMAIN_SEPARATION 提供一個可分離的安全執行域，不同節點間應以一種安全方式進行通訊。OE.TOE_NO_BYPASS通過確保配置數據庫客戶端、應用服務器等遠程或本地應用程序使得信息只能通過TOE在客戶端與數據庫服務器或多數據庫服務器主機（分布式數據庫）之間進行流動來緩解安全威脅。
A.MANAGER
O.ADMIN_ROLE確保在TOE中將有一個或多個指定能力的管理評估對象和TSF的不同管理員，他們之間依據最小特權、職責分離、深度防御等安全原則進行了角色分工。
A. MIDTIER
OE.DIR_CONTROL確保在分布式多層次環境中的任意中間層次都應將原始的客戶標識（ID）發送給TOE, 以阻止非法用戶訪問LDAP服務器保存的TSF數據。OE.NO_HARM確保數據庫管理員是可信的，訓練有素的，并且遵循組織安全策略和相關的目錄服務器使用指南管理數據庫。OE.AUDIT_PROTECTION 和OE.AUDIT_REVIEW確保多層應用運行的日志被IT環境安全保護，不可被篡改，但可被授權管理員查詢與瀏覽。
注：ST作者應根據數據庫管理系統針對的具體應用解決方案解釋“多層應用問責”的具體含義。
A.NO_HARM
OE.NO_HARM保證使用數據庫管理系統的組織應確保其數據庫管理員是可信的，訓練有素且遵循組織安全策略和相關的數據庫管理員指南。
A.NO_GENERAL_PURPOSE
OE.NO_GENERAL_ PURPOSE DBMS服務器除了提供DBMS運行、管理和支持的必要服務外，不存在與DBMS運行無關的計算或存儲功能。
A.PHYSICAL
OE.PHYSICAL 保證IT環境應提供與TOE和TOE所包含數據的價值相一致的物理安全。
A.SECURE_COMMS