ICS35040

L80.

中華人民共和國國家標準

GB/T20009—2019

代替

GB/T20009—2005

信息安全技術

數據庫管理系統安全評估準則

Informationsecuritytechnology—

Securityevaluationcriteriafordatabasemanagementsystem

2019-08-30發布2020-03-01實施

國家市場監督管理總局發布

中國國家標準化管理委員會

GB/T20009—2019

目次

前言

…………………………Ⅲ

范圍

1………………………1

規范性引用文件

2…………………………1

術語和定義縮略語

3、………………………1

術語和定義

3.1…………………………1

縮略語

3.2………………1

評估總則

4…………………2

概述

4.1…………………2

評估要求

4.2……………2

評估環境

4.3……………2

評估流程

4.4……………3

評估內容

5…………………3

安全功能評估

5.1………………………3

安全保障評估

5.2………………………22

評估方法

5.3……………35

附錄資料性附錄標準修訂說明

A()……………………40

Ⅰ

GB/T20009—2019

前言

本標準按照給出的規則起草

GB/T1.1—2009。

本標準代替信息安全技術數據庫管理系統安全評估準則與

GB/T20009—2005《》。

相比除編輯性修改外主要技術變化如下

GB/T20009—2005,:

修改了第章術語和定義及縮略語見和年版第章

———3(3.13.2,20053);

修改了第章安全環境標題修改為評估總則描述了數據庫管理系統總體要求評估要求

———4“”,,、、

評估環境和評估流程見第章年版第章

(4,20054);

修改了第章評估內容按照定義了中的安全功能

———5,GB/T30270—2013GB/T20273—2019

組件和安全保障組件評估內容見第章年版第章

(5,20055);

刪除了附錄數據庫管理系統面臨的威脅和對策見年版附錄

———A“”(2005A);

按照評估保障級概念列出了和組件列表及評估準則

———EAL2、EAL3EAL4。

請注意本文件的某些內容可能涉及專利本文件的發布機構不承擔識別這些專利的責任

。。

本標準由全國信息安全標準化技術委員會提出并歸口

(SAC/TC260)。

本標準起草單位中國信息安全測評中心清華大學北京江南天安科技有限公司公安部第三研究

:、、、

所北京大學武漢達夢數據庫有限公司天津南大通用數據技術股份有限公司

、、、。

本標準主要起草人張寶峰畢海英葉曉俊王峰王建民陳冠直陸臻沈亮顧健宋好好

:、、、、、、、、、、

趙玉潔吉增瑞劉昱函劉學洋胡文蕙付銓方紅霞馮源李德軍

、、、、、、、、。

本標準所代替標準的歷次版本發布情況為

:

———GB/T20009—2005。

Ⅲ

GB/T20009—2019

信息安全技術

數據庫管理系統安全評估準則

1范圍

本標準依據規定了數據庫管理系統安全評估總則評估內容和評估方法

GB/T20273—2019、。

本標準適用于數據庫管理系統的測試和評估也可用于指導數據庫管理系統的研發

,。

注本標準規定的級級級的評估內容和評估方法既適用于基于所有部分

:EAL2、EAL3、EAL4GB/T18336—2015

的數據庫管理系統安全性測評同樣適用于基于的數據庫第二級系統審計保護級第三級安

,GB17859—1999、

全標記保護級第四級結構化保護級的數據庫管理系統安全性測評相關對應關系參見附錄中

、,AA.1。

2規范性引用文件

下列文件對于本文件的應用是必不可少的凡是注日期的引用文件僅注日期的版本適用于本文

。,

件凡是不注日期的引用文件其最新版本包括所有的修改版適用于本文件

。,()。

信息技術安全技術信息技術安全評估準則

GB/T18336.1~18336.3—2015

信息安全技術數據庫管理系統安全技術要求

GB/T20273—2019

信息安全技術術語

GB/T25069—2010

信息技術安全技術信息技術安全性評估方法

GB/T30270—2013

3術語和定義縮略語

、

31術語和定義

.

和界定的術語和定義適用于本文件

GB/T25069—2010、GB/T30270—2013GB/T20273—2019。

32縮略語

.

下列縮略語適用于本文件

。

通用準則

CC:(CommonCriteria)

通用準則評估方法

CEM: