《MSTL_JGF_04-021信息安全技术数据库管理系统安全技术要求》.pdf

ICS 35.240 A 90 GF 公安部计算机信息系统安全产品质量监督检验中心检验规范 MSTL_JGF_04-021 0101—2006 信息安全技术 数据库安全审计产品检验规范 2006-01-01 发布 2006-02-01 实施 公安部计算机信息系统安全产品质量监督检验中心 发布 MSTL_JGF_04-021 0101—2006 目 次 前 言 II 1 范围 1 2 规范性引用文件 1 3 术语和定义 1 4 产品安全功能要求 1 4.1 审计功能要求 1 4.2 自身安全功能要求 2 5 产品安全保证要求 3 6 数据库安全审计产品安全技术要求的等级划分 3 I MSTL_JGF_04-021 0101—2006 前 言 为了规范全国数据库安全审计产品的开发与应用，保障公共信息网络安全，根据公安部公共信息网 络安全监察局的要求，本规范对数据库安全审计产品提出了安全功能要求和保证要求，作为对其进行检 测的依据。 本规范由中华人民共和国公安部公共信息网络安全监察局批准。 本规范起草单位：公安部计算机信息系统安全产品质量监督检验中心。 公安部计算机信息系统安全产品质量监督检验中心负责对本规范的解释、提升和更改。 II MSTL_JGF_04-021 0101—2006 信息安全技术 数据库安全审计产品检验规范 1 范围 本规范规定了数据库安全审计产品的安全功能要求和安全保证要求。 本规范适用于数据库安全审计产品的开发及检测。 2 规范性引用文件 下列文件中的条款通过本标准的引用而成为本标准的条款。凡是注日期的引用文件，其随后所有的 修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励根据本标准达成协议的各方研究 是否可使用这些文件的必威体育精装版版本。凡是不注日期的引用文件，其必威体育精装版版本适用于本标准。 GB/T 18336.3－2001 信息技术 安全技术 信息技术安全性评估准则 第3部分：安全保证要求（idt ISO/IEC 15408-3:1999） 3 术语和定义 下列术语和定义适用于本规范： 3.1 数据库安全审计 数据库安全审计产品是对网络中指定数据库的使用状态进行跟踪并记录的产品。 3.2 审计日志 审计日志是指数据库安全审计产品自身审计产生的信息。 3.3 审计记录 审计记录是指跟踪指定数据库的使用状态产生的信息。 3.4 审计信息 审计信息是指所有的审计日志和审计记录的总称。 4 产品安全功能要求 4.1 审计功能要求 4.1.1 审计记录 4.1.1.1 数据库访问信息采集 应对下列数据库访问内容进行审计 a) 访问对象和被访问对象：应记录访问的用户名和被访问对象的名称（包括数据库服务器名称， 数据库名称和表名等等）对于网络数据库安全审计产品，还必须对网络数据库通讯的源地址和 目标地址（地址包括I