石油管理局数据库系统安全开发和改造规范(编辑修改稿)

石油管理局数据库系统安全开发和改造规范(编辑修改稿)内容摘要：

6) 对于涉密系统，我们要求相应要求保密的数据不能以明文的形式存储在物理介质上。 这可能采用两种办法， 一种是由数据库系统本身提供的加密方法（如果具体采用的产品提供），另 一种是经过应用系统加密之后再交数据库系统操作。 7) 对于涉密系统，我们要求相应要求保密的数据不能以明文的形式在网络介质上传输。 其目的是防止被动攻击。 所采用的方法如下 :  可以是对数据进行软件应用层加密；  也可以在相应的网络硬件中加入加解密设施。  现在许多数据库在传输过程中也能用相应加密模块加密后再传输。  如果传输经过的网络范围较小 (如一个机房内 )，那么物理介质隔离是一种有效的办法。 关于数据库开发与改造的功能要求规范 对于开发与改造后的数据库应用系统的功能，我们提出以下要求： 身份鉴 别 用户标识 应对注册到数据库管理系统中的用户进行唯一性标识。 用户标识信息是 6 公开信息，一般以用户名和 /或用户 ID 实现。 为了管理方便，可将用户分组，也可使用别名。 无论用户名、用户 ID、用户组还是用户别名，都要遵守标识的唯一性原则。 用户鉴别 应对登录到数据库管理系统的用户进行身份真实性鉴别。 通过对用户所提供的“鉴别信息”的验证，证明该用户确有所声称的某种身份，这些“鉴别信息”必须是保密的，不易伪造的。 用户进入数据库管理系统时的身份鉴别，并按以下要求进行设计 ： 1) 凡需进入数据库管理系统的用户，可以选择采用该用户在操作系统中的标识信息，也可以重新进行用户标识。 重新进行用户标识应在用户注册（建立账号）时进行。 2) 当用户登录到数据库管理系统或与数据库服务器（如通过网络）进行访问连接时，应进行用户鉴别。 这可以参考 XX 油田的 CA 认证与授权系统的相关要求进行设计。 3) 数据库管理系统用户标识一般使用用户名和用户标识（ UID）。 为在整个数据库系统范围实现用户的唯一性，应确保数据库管理系统建立的用户在系统中的标识（ SID）与在各数据库系统中的标识 （用户名或别名， UID 等）之间的一致性。 4) 分布式数据库系统中，全局应用的用户标识信息和鉴别信息应存放在全局数据字典中，由全局数据库管理安全机制完成全局用户的身份鉴别。 局部应用的用户标识信息和鉴别 信息应存放于局部数据字典中，由局部数据库安全机制完成局部用户的身份鉴别。 5) 数据库用户的标识和鉴别信息应受到操作系统 (包括网络操作系统 )和数据库系统的双重保护。 操作系统应确保任 何用户不能通过数据库以外的使用方式获取和破坏数据库用户的标识和鉴别信息。 数据库系统应保证用户以安全的方式和途径使用数据库系统的标识和鉴别信息。 6) 数据库用户标识信息应在数据库系统的整个生命期有效，被撤消的用户账号的 UID 不得再次使用。 标记与访问控制 标记与安全属性管理 应通过标记为 TCB 安全功能控制范围内的主体与客体设置安全属性。 具体要求为： 1) 对于自主访问控制，标记以某种方式表明主体与客体的访问关系； 2) 对于强制访问控制，不同的访问控制模型有不同的 标记方法。 基于多级安全模型的强制访问控制，标记过程授予主体与客体一定的安全属性，这些安全属性构成采用多级安全模型的强制访问控制机制的属性 7 库 —— 强制访问控制的基础数据。 数据库管理系统需要对主、客体独立进行标记。 3) 用户安全属性应在用户建立注册帐户后由系统安全员通过 TCB 所提供的安全员界面进行标记并维护； 4) 客体安全属性应在数据输入到由 TCB 安全功能所控制的范围内时以缺省方式生成或由安全员进行标记并维护； 5) 系统管理员、系统安全员和审计员的安全属性应通过相互标记形成制约关系。 访问控制 应根据数据库特点和要求，实现不同粒度的访问控制。 这些特点主要是： 1) 数据以特定结构格式存放，客体的粒度可以是：关系数据库的表、视图、元组（记录）、列（字段）、元素（每个元组的字段）、日志、片段、分区、快照、约。