9.2 安全要求基本原理

9.2.1　概述

本節說明安全功能與保證組件要求的充分必要性基本原理，即每個安全目的都至少有一個安全要求（包括功能要求和保障要求）組件與其對應，每個安全要求都至少解決了一個安全目的，因此安全要求對安全目的而言是充分和必要的。

9.2.2　安全功能組件

表14說明了每個安全功能組件要求都至少解決了一個安全目的。

下面論述每一種安全目的對應的安全功能組件及其原理說明。
O.ACCESS_HISTORY
FTA_TAH.1 要求TOE能夠存儲和檢索以前未經授權的登錄嘗試，包括每次用戶登錄到評估對象的用戶名、密碼、服務等帳戶信息。
O.ACCESS_LBAC
FDP_IFC.1定義了數據庫對象信息控制政策，要求綁定標簽的數據庫對象有確定的信息流控制SFP；FDP_IFF.2要求SFR中有信息流控制數據庫對象和授權主體使用數據庫標簽元素（分級安全屬性）定義了信息控制策略規則；FMT_MOF.1 和FMT_SMF.1確保基于標簽的訪問控制機制（信息流控制政策）的數據庫對象的TSF數據免受未經授權的修改；FMT_MSA_EXT.1、FMT_SMF.1、FMT_MSA_EXT.3提供標簽控制的安全屬性管理，這些標簽組成的數據將用于控制對數據庫對象的訪問控制。FDP_ETC.2要求帶標簽的數據導出時要求TSF利用一個功能執行合適的SFP，該功能準確無誤地將安全屬性與從TOE外所輸出的用戶數據相關聯。
O.ADMIN_ROLE
FMT_SMR.1和FMT_SMR.2 要求評估對象應預定義不同角色的授權管理員特權，并提供創建和控制角色及其角色之間關系的規則，支持管理角色分離原則。
O. AUDIT_GENERATION
FAU_GEN.1定義TOE應記錄的事件集，確保授權管理員能夠控制TOE發生的安全相關事件及包含在審計記錄中的每個事件信息；FAU_GEN.2確保審計記錄可以關聯可審計的事件和授權用戶身份或授權用戶組標識；FAU_SEL.1允許授權管理員在審計策略配置時選擇哪一些審計事件被記錄在歷史記錄存儲中；FIA_USB.1通過要求綁定與用戶相關聯的安全屬性滿足該目的。
O.AUDIT_PROTECTION
FAU_SAR.1和FAU_SAR.1確保TOE或IT環境保存為負責管理TOE的授權管理員提供查閱TOE審計記錄的設施；FAU_SAR.3為管理員提供了依據已建立的標準選擇性查閱審計數據內容的能力，允許管理員把審計查閱的焦點放在特定時間發生、包含特定操作或由特定主客體對象執行的事件上；FAU_STG.2和FAU_STG.4確保所存儲的審計記錄避免未授權的刪除或修改；FAU_SEL.1允許授權管理員在審計策略配置時選擇哪一些審計事件被記錄在歷史記錄存儲中; FDP_SDI.2確保審計數據存儲的完整性，并在檢測到某個錯誤時，TOE能采取相應動作。
O.AVAIL
FDP_ROL.1保障評估對象出現故障時能快速的執行恢復操作，保證數據服務操作的原子性和持久性；FRU_FLT.1要求如果發生了確定的失效，TOE能繼續正確發揮既定能力；FPT_OVR_EXT.1指定TOE分布式部署時應提供TSF故障切換和故障轉移功能；FPT_RCV.3要求TOE在發生數據庫服務器進程失效、數據庫存儲介質失效時提供數據庫自動恢復機制，從而保障數據庫事務特性。
O.CRYPTOGRAPHY
FCS_CKM.1和FCS_CKM.4確保TOE能夠產生和銷毀加解密密鑰，且TOE生成或銷毀密鑰時應符合國家、行業或組織要求的密碼管理相關標準或規范，并且TOE應提供密碼功能以維護DBMS資產的保密性和完整性。FCS_COP.1要求使用隨機數產生器，且在數據加密和解密時使用國家、行業或組織要求的算法。FPT_ITC.1要求使用加密機制的TOE在與外部TOE通信時必須使用可信通道。
O.MANAGE
FMT_MTD_.1確保授權管理員能夠管理TSF數據；FMT_MSA_EXT.1為確保授權管理員管理指定的安全屬性；FMT_MSA_EXT.3確保安全屬性的默認值設置為適當的允許值或限制范圍內；FMT_REV.1提供在某一時刻將實施的安全屬性撤消；FMT_MOF.1允許授權管理員具備管理服務器資源使用規則或具有指定資源使用條件的功能行為；FMT_SMF.1通過提供對加密數據、審計記錄和密鑰數據的管理功能來支持該目的；FMT_SMR.1規定TSF認同的與授權管理員安全相關的一些內置數據庫角色/權限；FMT_SMR.2除了規定角色外，還規定了控制角色之間約束條件的規則。FDP_SDI.2確保管理員設置的數據庫完整性約束條件及TOE存儲數據的完整性，并在檢測到某個錯誤時，TOE能采取相應動作。
O.RESIDUAL_INFORMATION
FDP_RIP.1要求TSF確保任何資源的任何殘余信息內容在資源分配或釋放時，對于所有客體都是不可再利用的。FCS_CKM.1適用于TSF所使用密鑰的分發，用于確保重新分配密鑰時，舊的密鑰內容不再可用。
O.RESOURCE_SHARING
FRU_RSA.2是用來減輕潛在數據庫服務器共享計算資源耗盡嘗試；需要消耗的數據庫服務器資源應限制在FMT_MTD_EXT.1規定的限額范圍內；FMT_MOF.1允許授權管理員具備管理服務器資源使用規則或具有指定資源使用條件的功能行為。
O.TOE_ACCESS
FIA_AFL.1確保TOE可以保護自身及其用戶免受對他們鑒別證書的蠻力攻擊；FIA_ATD.1允許授權管理員對每個授權用戶的安全屬性分別加以維護；FIA_USB.1要求對用戶屬性及其映入的主體屬性之間的關聯關系的管理規則進行規范； FIA_UID.1和FIA_SOS.1通過確保TOE在執行任何數據庫用戶請求前鑒別每一個用戶來滿足該目的；FIA_UAU.1和FIA_UAU.5通過確保授權管理員和授權用戶在訪問TOE及其服務之前被鑒別來實現該目的；FTA_LSA.1提供關于TOE在建立會話時限制會話安全屬性范圍的要求; FTA_MCS.1確保TOE可以提供多個并發會話控制；FTA_TSE.1通過限制用戶對邏輯訪問TOE能力有助于實現這一目標; FTA_SSL.3.1為TSF提供在用戶在一段指定時間不活動后終止該會話的要求。FDP_ACC.1要求訪問控制策略（SFP）適用于對數據庫對象客體子集可能執行的操作子集；FDP_ACF.1允許TSF基于安全屬性和已命名屬性組執行訪問，TSF有能力根據安全屬性明確地授權或拒絕對某個數據庫對象進行訪問；FPT_TRC_EXT.1要求TSF確保數據庫安全元數據在多處復制時的一致性；FDP_ITC.1和FDP_ETC.2要求TOE在導入導出數據時要求TSF利用一個功能執行合適的SFP；FDP_ITT.1要求數據庫在分布式部署時用戶數據在TOE的各部分間傳輸時受保護。FPT_ITT.2要求對在TOE的不同部件間傳送的TSF數據進行分離和保護。
O.TRUSTED_PATH

9.2.3　安全保障組件

表15是安全保障組件與安全目的之間的對應關系。

O.ADMIN_GUIDANCE
AGD_OPE.1用戶操作指南描述了數據庫管理系統安全機制提供的安全功能，以及提供數據庫產品安全使用的一些規程和指導，包括警示信息；AGD_PRE.1準備程序給出了包括調查DBMS組件配置或DBMS安裝環境是否存在不一致，或DBMS中存在的不安全安裝方式，以避免誤導用戶相信DBMS的安裝是合理和安全的；ALC_DEL.1保證數據庫管理員擁有安裝、生成、啟動評估對象程序文檔的權利，確保管理員在操作過程中遵循了安裝和配置指南，告訴他們如何正確地部署數據庫管理系統，并在數據庫維護的過程中不受到干擾。
O.CONFIG
ALC_CMC.2，ALC_CMC.3和ALC_CMC.4要求TOE提供一種跟蹤任何變化的方法和確保所有修改都是經過了授權的，并且確保他們所控制的TOE部分的完整性；ALC_CMS.2，ALC_CMS.3和ALC_CMS.4要求有一個現場配置管理（CM）系統，并且包含在TOE中的每個配置項是唯一標識，提供一個清晰、明確的TOE組成清單，即通過要求開發者擁有描述TOE變化和TOE評估報告管理方式的配置管理計劃來滿足該目的。
O.DOCUMENTED_DESIGN
ADV_ARC.1要求開發者提供對TSF安全架構的描述，包括描述支持隱含的聲明；ADV_FSP.2要求開發者提供所有TSFI的目的、使用方法、參數和參數描述，包括對于SFR-執行TSFI，開發者應描述SFR-執行行為和直接錯誤消息；ADV_FSP.3除了ADV_FSP.2要求的信息之外，開發者應提供足夠的關于SFR-支撐和SFR-無關行為的信息，包括開發者應文檔化由調用SFR-執行的TSFI產生的所有直接錯誤消息；ADV_FSP.4 要求所有TSFI（無論是SFR-執行、SFR-支撐還是SFR-無關）應以同等程度來描述，包括所有的直接錯誤消息；ADV_TDS.1、 ADV_TDS.2和ADV_TDS.3提供了與TSF描述的上下文，以及對TSF的詳盡描述。；ALC_DVS.1要求開發安全文檔應描述在TOE的開發環境中，保護TOE設計和實現的保密性和完整性所必需的所有物理的、程序的、人員的及其他方面的安全措施；ALC_LCD.1要求生命周定義文檔應描述用于開發和維護TOE的生命周期模型，為TOE的開發和維護提供必要的控制；ALC_TAT.1要求開發者應標識用于開發TOE的每個工具，應無歧義地定義所有語句和實現用到的所有協定與命令的含義。
O.FUNCTIONAL_TEST
ATE_COV.1和ATE_COV.2要求開發者提供測試覆蓋范圍分析以表明開發者的測試套件測試TSFI的范圍。該組件也要求獨立地確認測試套件的范圍，這有助于確保通過測試驗證TSFI的安全相關功能；ATE_FUN.1要求開發者提供必要的測試文檔以允許獨立地分析開發者安全功能測試的覆蓋范圍。另外，開發者應提供測試套件的可執行代碼和源代碼，以便評估者可以使用這些代碼從而獨立地驗證提供商的測試結果和支持測試覆蓋范圍分析；ATE_IND.2要求通過規定獨立方運行測試套件的子集，獨立地確認開發者的測試結果。該組件也要求第三方執行附加的功能測試，以解決開發者測試套件中沒有證明的功能行為。一旦成功地完成這些要求，就可以證明TOE遵循了規定的安全功能要求；ATE_DPT.1和ATE_DPT.2要求開發人員提供一個測試覆蓋率分析，演示了覆蓋測試套件的深度。
INTERNAL_TOE_DOMAINS
ADV_ARC.1提供由TSF維護的數據庫用戶安全域與數據庫實例組件、服務器資源及用戶數據管理特殊功能相一致的安全體系結構的描述；FDP_ITT.1要求在TOE的不同安全域間傳輸時受保護。
O.VULNERABILITY_ANALYSIS