《信息安全技术 数据库管理系统安全技术要求》(GB/T 20273—2019)(以下称简称GB/T 20273)是我国信息安全领域的一项重要标准,旨在规范数据库管理系统(DBMS)的安全技术要求,保障信息系统的安全性和可靠性。该标准于全国信息安全标准化技术委员会(SAC/TC260)组织、审查和批准,于2019年8月30日发布,2020年3月1日实施,迄今近五个年头,此前实施的标准为GB/T 20273—2006版本。
该标准根据不同的安全需求,将数据库管理系统的安全等级划分为EAL2、EAL3、EAL4三个等级,明确了各等级的具体要求;规定了数据库管理系统在设计、开发、测试和运行过程中应满足的要求;给出了数据库管理系统应具备的安全功能要求,包括访问控制、数据加密、审计、完整性保护等。为数据库管理系统的设计、开发、测试和运行提供统一的安全技术标准,保障信息系统中数据的保密性、完整性和可用性,规范市场秩序提供了重要支持,在政务、能源、通信等多领域都有引用。2019版相比2006版本,在技术内容和适用性上都有了显著提升,更好地适应现代信息安全需求。
随着时间的推移、技术演进和实际应用和行业实践的发展,GB/T 20273显露出一些不足之处。以下试从从行业标准、数据库和安全行业实践以及行文规范等方面进行分析,敬请指正。
1、国际标准时效差距
GB/T 20173-2019引用了GBT18336-2015、GB/T 28821-2012,其中所引用的GBT18336-2015引用了ISO/IEC15408-2008,这两个标准分别在2024年、2022年进行了升级,因此GB/T 20173-2019在时效性上已经落后于国际和国内标准已近四年,这可能导致企业在技术准备与市场上面临挑战。
2、数据库行业实践差距
GB/T 20173-2019参考了GBT17859 和USA PP DBMS,V1.3,NSA,Dec24,2010和CIA for DEV USA PP r3.0 2015。国际上许多企业采用《信息技术安全评估通用标准》(CC),它是安全IT产品最广泛相互认可的标准,其组织已有18个会员国加入和互认。USA PP DBMS,V1.3也以该标准为重要参考,cPP DBMS v13继承了BSI-CC-PP-0088-V2的重要特性,于2023年3月发布。该文档在安全问题定义、安全目标、安全功能要求以及安全保障要求方面与现行的GB/T 20173-2019中的相应二级条目互有参差,在EAL2、EAL3、EAL4的安全功能选择等方面,存在较大差距,这可能导致对国内标准科学性一定程度上的信任危机,并可能造成国际产品互认障碍。
3、少量安全功能要求(SAR)可能不适用
访问控制要求等描述较为模糊。例如,标准要求DBMS应提供细粒度的访问控制功能,但未明确如何实现基于角色的访问控制(RBAC)与基于属性的访问控制(ABAC)的结合。
最低配额管理不适当:数据库应具备最高配额管理,以保障资源的合理利用和系统运行的稳定、可持续;但最低配额对于已部署的数据来说,通常不适用;如数据库系统会根据实际需求动态分配和回收磁盘空间等资源,设置最低配额可能导致资源浪费、管理的复杂性与成本的增加。
4、疑似安全功能(TSF)项说明缺失
疑似扩展要求说明缺失:在表7.2中明确提供了51项安全功能,但在后续的安全功能说明(第16页-第26页)中仅提供47项,缺少4项。分别是安全管理中的FMT_MSA_EXT.1(1)安全属性的管理、FMT_MSA_EXT.1(2)安全属性的管理、FMT_MSA_EXT.3静态属性初始化; 和TSF保护中的FPT_OVR_EXT.1TSF控制切换/故障转移。相关表述只在6安全功能要求中寻找。
疑似通信和数据隐私要求缺失:相比GBT18336-2,裁剪了FCO通信和FPR隐私要求,相应可能导致通信安全或数据匿名化(脱敏)能力要求的缺失,进面可能导致数据安全隐患。
6、缺乏整体安全策略
缺乏对整体安全策略的描述,难以指导企业如何将各个安全功能合理地整合到一个统一的安全框架中。例如,标准中分别描述了数据加密、访问控制、审计等功能,但如能将这些功能组合成一个完整的安全策略,以应对各类安全威胁更佳。
7、技术细节的滞后性
访问控制模型:标准中对访问控制的要求主要基于传统的角色访问控制(RBAC),但未涉及更先进的访问控制模型(如属性基访问控制ABAC)。如ISO/IEC 27002已推荐使用ABAC以应对复杂环境下的访问控制需求。
加密技术:GB/T 20273对加密技术的要求主要集中在传统加密算法(如AES、RSA,或国密算法),尚需考虑后量子加密算法的引入。国际上,如NIST已启动后量子加密标准的制定,而GB/T 20273—2019没有提及。
8、行文规范的不足
理解困难:GB/T 20273标准的安全功能等部分使用或借鉴了GBT18336的抽象表述,尽管可能囿于标准的规范使用,但给理解、设计、内评工作确实带来了一定阻碍。例如:FDP_ACC.1.1TSF应对授权的数据库对象操作列表执行主体(系统和用户)定义的下列访问控制策略:【选择:基于用户控制策略、基于角色控制策略、基于用户组控制策略、【赋值:ST作者定义的自主访问控制策略】】,即便是行内人士,也很难理解其奥义。
疑似缺项:第42页,OE.TIME_STAMPS 时间戳出现在说明中,但表格中即没有对应关系。此列表16、表17中的FPT_STM.1 FAU_STG.1 FMT_MSA.3 FDP_IFF.1 FMT_IFC.1 FMT_MSA.1 FMT_MSA.3 ADV_FSP.1 ALC_CMS.1 ASE_REQ.1各项也同样无法充分找到相关说明。当前,部分内容,即便是CC也可能缺失。
文本重复:威胁与安全目的的对应表中、组织策略与安全目的对应表中,有重复的表项。
9、不能充分满足行业实践需求
差异化行业适应性不足:标准中的安全功能缺乏对不同行业的适应性,难以满足不同行业的特定安全需求。例如,金融行业对数据完整性和可用性的要求较高,而医疗行业对数据隐私的保护要求较高。
云环境下的数据库安全:当前,云数据库的安全管理成为重要课题。GB/T 20273对云数据库的安全要求覆盖不足,未明确云环境下的数据隔离、多租户安全等关键问题。
缺少安全与成本的平衡:标准中的一些安全要求在实际操作中可能难以实现,例如某些安全控制措施可能需要较高的技术门槛或成本投入,企业难以在实际环境中有效实施,标准制定时建议关注成本因素。
10、缺少与相关法规衔接指导
《网络安全法》对信息安全提出了总体要求,GB/T 20273—2019在某些方面未能充分细化这些法律要求。与《网络安全法》的法律责任条款缺乏衔接或对照关系,可能导致企业在理解和遵守法律要求时存在困难。
在与《数据安全法》的衔接方面:对数据安全要求的覆盖不足,例如对数据跨境传输的安全管理、数据分类分级保护等缺乏具体指导或协调。
在与《个人信息保护法的衔接》方面,GB/T 20273—2019的要求较为宽泛,未充分考虑行业特定需求(如个人信息保护法PIPL要求)。国际上,如GDPR(欧盟通用数据保护条例)对数据隐私保护提出了严格要求。
此外,标准缺乏实施指南和明确的评估标准和方法或引导。企业在实际应用中难以根据标准要求制定具体的安全策略和操作流程。例如,对于安全功能的测试和验证,标准未提供具体的测试方法和评估指标、测试标准、验证机制,这给标准的应用、推广造成不利影响。
三、改进建议
GB/T 20273—2019作为我国数据库管理系统安全技术的重要标准,在规范数据库管理系统安全方面发挥了重要作用。然而,随着技术的快速发展和行业实践的不断变化,标准在与国际标准的兼容性、技术细节和行业实践的覆盖、行文规范和可操作性、与其他国内标准的协调性等方面存在一些不足。建议在后续修订中,加强与国际标准的对接,注重标准的体系化、规范化,细化行业特定需求,补充新兴技术的安全要求,加强与其他国内标准的协调,完善行文规范和实施指南,以更好地指导企业在数据库管理系统安全方面的实践。
梧桐 2024年12月
