数据库安全评估指标及评估方法_赵英华.pdf

1、1 引言数 据 库 管 理 系 统（D B M S）向 下 可发 挥 计 算 基 础 设 施 算 力，向 上 可 支 撑各 类 信 息 化 和 数 字 化 应 用，在 软 硬 件栈 中 起 到 了 承 上 启 下 的 作 用。国 产 数据 库 的 生 态 建 设 得 到 了 我 国 产 学 研 用各 方 大 力 支 持，在 助 力 我 国 数 字 化 转【摘 要】伴随着国产数据库产业化的迅猛发展，构建大数据环境下系统化的数据库安全评估指标体系，一方面能促进国产数据库厂商加大对数据库安全功能研发的投入，另一方面指导用户正确地对国产数据库进行安全评估，确保数据库系统运营安全可控。本文对数据库安全涉

2、及的数据内涵、安全内涵、安全技术机制和安全评估进行分析，依据我国数据安全法规需求和软件产品质量模型，提出了面向网络安全审查的数据库安全评估指标体系，给出了相应的数据库安全评估方法。【关键词】数据库管理系统 数据库安全评估 评估指标体系 数据安全风险【中图分类号】TP311.13；TP309 【文献标识码】A型、国 外 数 据 库 产 品 替 代 等 数 字 经 济 发展 活 动 中 将 发 挥 越 来 越 大 的 作 用。根据工 业 和 信 息 化 部 数 据 库 发 展 研 究 报 告（2 0 2 1）统 计，国 产 数 据 库 产 品 现有1 3 5款，其 中 关 系 型 数 据 库8 1

3、个1。按 照 数 据 安 全 法 （以 下 简 称“数 安 法”）、个 人 信 息 保 护 法（以 下 简 称“个 保 法”）、网 络 数 据数据库安全评估指标及评估方法 赵英华 叶晓俊 /清华大学软件学院12|保密科学技术|2022 年 12 月特别策划安 全 管 理 条 例 （以 下 简 称“数 安 条例”）等 法 规，数 据 库 产 品 在 党 政、金融、电 信 等 领 域 进 行 规 模 化 应 用 前 需 要对 其 进 行 安 全 风 险 评 估。大 数 据 环 境 下的 云 原 生 数 据 库、分 布 式 并 行 数 据 库 或人 工 智 能（A I）数 据 库 需 要 有 适 合

4、 法规 要 求 的 安 全 评 估 指 标，以 指 导 用 户 对各 种DBMS的 选 型，也 能 促 进 国 产 数 据库 厂 商 对 其DBMS安 全 功 能 的 研 发，确保数据库应用的安全可控。2 数据库安全数 安 法 中 将“数 据 安 全”定 义 为“通 过 采 取 必 要 措 施，确 保 数 据 处 于有 效 保 护 和 合 法 利 用 的 状 态，以 及 具备 保 障 持 续 安 全 状 态 的 能 力”。这 个定 义 不 同 于 我 国 采 用I S O/I E C 2 3 8 2国 际 标 准 制 定 的G B/T 5 2 7 1 信 息 技术 术 语 系 列 标 准 对

5、数 据 安 全 和 数 据保 护 术 语 定 义。在G B/T 5 2 7 1中，将“数 据 安 全”定 义 为“应 用 于 数 据 保 护的 计 算 机 安 全”，将“数 据 保 护”定 义为“实 施 适 当 的 管 理、技 术 或 物 理 手段，以 防 止 未 授 权 的 有 意 或 无 意 地 泄露、修 改 或 破 坏 数 据 的 活 动”。在G B/T 25069-2022信息安全技术 术语中 未 给 出 数 据 库 安 全 和 数 据 安 全 定 义，只 给 出 了 来 自I S O/I E C T R 1 5 4 4 3-1:2 0 1 2国 际 标 准 的“安 全”术 语 定义：

6、对 某 一 系 统，据 以 获 得 保 密 性、完整 性、可 用 性、可 核 查 性、真 实 性 和 可靠性的性质。从 数 据 安 全 相 关 标 准 中 术 语 定 义 看出，现 有 标 准 中 安 全 和 数 据 安 全 术 语 定义 与 我 国 相 关 法 规 要 求 的 数 据 安 全 概 念存在明显的差异。（1）数据内涵不同D B M S将 数 据 定 义 成 符 号，是 反 映客 观 事 物 属 性 的 记 录，是 物 理 性 的；信息 是 对 数 据 进 行 加 工 处 理 之 后 所 得 到 的并 对 决 策 产 生 影 响 的 数 据 语 义，是 逻 辑性 和 观 念 性 的

7、。因 此 在 传 统 信 息 安 全 概念 中，数 据 是 信 息 的 表 现 形 式，信 息 是数 据 有 意 义 的 表 示。在 数 安 法 或 个 保 法中，“数 据 是 指 任 何 以 电 子 或 者 其 他 方式 对 信 息 的 记 录”，数 据 处 理 包 括 数 据的 收 集、存 储、使 用、加 工、传 输、提供、公 开、删 除 等 活 动。这 个 定 义 不 同于 传 统 数 据 库 将 数 据 处 理 定 义 成 数 据 采集、组 织、存 储、加 工 和 检 索 这5个 活动。因 此，数 安 法 中 的 数 据 具 有 大 数 据特 征 和 生 命 周 期 概 念，即 数 据

8、 具 备“大体 量、多 样 性、速 度 快 和 多 变 性”的 大数 据 特 征（信 息 技 术 的4V特 征），具有“数 据、信 息、知 识、价 值”的 数 据价 值 特 征（数 据 语 义 空 间 特 征），以 及在 数 据 收 集、存 储、使 用、加 工、传输、提 供、公 开、删 除 等 数 据 处 理 中的 法 规 遵 从 性 要 求（数 据 生 命 周 期 特征）。（2）安全内涵不同数 安 法 中 定 义 的 数 据 安 全 概 念 来 自汉 语 字 典 安 全 本 意：安 全 通 常 指 人 或 系统 不 受 威 胁，没 有 危 险、危 害、损 失。因 此，数 安 法 将 数 据

9、安 全 定 义 为“数 据处 于 有 效 保 护 和 合 法 利 用 的 状 态”，其手 段 是“通 过 采 取 必 要 措 施”。为 此 数安 法 第 十 七 条 和 二 十 二 条 从 国 家 和 组 织层 面 都 要 求 采 取 必 要 的 措 施 进 行 数 据 安全 风 险 评 估，要 求 从 风 险 管 理 角 度 理 解数据安全内涵。2022 年 12 月|保密科学技术|13特别策划G B/T2 4 3 5 3 风 险 管 理 原 则 与 实施 指 南 （I S O3 1 0 0 0）将 风 险 定 义 为“不 确 定 性 对 目 标 的 影 响”。传 统 关 系数 据 库 管

10、理 系 统（R D B M S）是 通 过 数据 库 事 务 的 原 子 性、一 致 性、完 整 性 和持 久 性（简 称A C I D特 性）保 证 多 用 户并 发 访 问 环 境 下 的 数 据 完 整 性，通 过 事务 日 志、日 志 多 路 复 用、备 份 和 恢 复、主 备 用 服 务 器 或 数 据 复 制 等 技 术 机 制 保障 数 据 库 系 统 中 的 数 据 可 用 性。在 数 据保 密 性 方 面，数 据 库 系 统 主 要 通 过 用 户身 份 标 识 与 鉴 别、授 权 与 访 问 控 制、数据 加 密、信 息 隐 藏、安 全 审 计 等 技 术 机制 对 数 据

11、 进 行 主 动 保 护，当 然 也 可 通 过磁 盘 阵 列、数 据 备 份、异 地 容 灾 等 现 代信 息 存 储 手 段 对 数 据 丢 失 等 风 险 进 行 安全 防 护。现 代DBMS也 开 始 提 供 数 据 脱敏、密 文 计 算 等 个 人 信 息 保 护 的 技 术 机制，包 括 基 于 细 粒 度 安 全 审 计 数 据 分 析的数据溯源等安全技术机制。在 大 数 据 时 代，由 于 分 布 式 事 务 处理 复 杂 性 和 数 据 跨 安 全 域 间 流 转，特 别是 数 据 跨 境 等 法 规 要 求，数 据 库 安 全 已超 越 传 统 数 据 管理 的“三 权 分

12、 立”，需要 从 数 据 提 供 者、数 据 处 理 者、数 据 运营 者、数 据 拥 有 者、数 据 监 管 者 等 不 同角 色 综 合 考 虑 数 据 库 系 统 应 提 供 的 安 全功 能。因 此 大 数 据 时 代 的 数 据 库 安 全 评估 范 围 超 出 了 传 统 的 有 边 界 的 用 户 身 份鉴 别、访 问 控 制、数 据 库 审 计 等 基 于 标准 规 范 的 数 据 库 安 全 功 能 评 估，需 要 综合 考 虑 开 放 环 境 下 数 据 安 全 相 关 法 律 法规 需 求 和 现 代 数 据 库 安 全 技 术 的 发 展，特 别 是 云 计 算、人 工

13、 智 能、物 联 网 等 新型 信 息 技 术 与 数 据 库 技 术 融 合 对 数 据 库安 全 带 来 的 影 响。大 数 据 时 代 的 数 据 库安 全 风 险 需 要 针 对 数 据 语 义 空 间、信 息技 术 空 间 和 数 据 生 命 周 期 等 不 同 维 度 下的数据状态，从信息技术（IT）、操作技 术（O T）和 隐 私 保 护 等 方 面 考 虑 存储 在 数 据 库 中 的 数 据 安 全 风 险，需 要 从数 据 安 全 风 险 的 角 度 建 立 适 合 云 原 生 数据 库、A I数 据 库 等 现 代 数 据 库 系 统 的评估指标体系2。3 数据库安全评估

14、从 前 面 的 数 据 和 数 据 安 全 内 涵 可 以看 出，数 据 库 安 全 评 估 已 不 能 仅 局 限 在从 信 息 技 术 角 度 考 虑 安 全 风 险，还 应 该从 数 据 处 理 者、网 络 运 营 者 等 不 同 参 与者 角 度 考 虑 其 业 务 使 命 及 其 运 营 中 应 遵循 的 法 规 评 估 相 关 数 据 业 务 及 其 组 织 结构，包 括 数 据 运 营 策 略 规 范 带 来 的 潜 在数 据 安 全 风 险 和 数 据 库 系 统 运 营 生 态 中数 据 和 信 息 通 信 技 术（I C T）供 应 链 带来的供应链安全风险。按 照 数 安

15、 法、网 络 安 全 审 查 办法 （以 下 简 称 审 查 办 法）等 法 规 文件，在 运 营 中 的 数 据 库 产 品 应 安 全 可控，需 从 风 险 角 度 对 数 据 处 理 活 动 进 行安 全 评 估，综 合 数 安 法 和 审 查 办 法，顶层评估指标可分为如下4个方面。（1）安全性传 统 数 据 库“安 全 性”主 要 指D B M S对 数 据 资 产 的 保 护，包 括 介 质等 持 久 性 存 储 故 障 的 数 据 安 全 保 护 等 安全 技 术 与 实 现 机 制 的 正 确 性 和 可 信 度。因 此，D B M S安 全 评 估 一 般 依 据 相 关的

16、技 术 要 求 标 准，通 过 技 术 检 测 手 段 来判 断 其 是 否 足 够 安 全。大 数 据 时 代 的DBMS需 要 依 据 数 据 库 提 供 者 和 运 营 者14|保密科学技术|2022 年 12 月特别策划的 承 诺、信 用、信 誉、审 查、核 查、评估、评 价 等 调 查 和 分 析 手 段 对 涉 及 的 数据 对 象、数 据 处 理 活 动 及 其 数 据 安 全 风险 进 行 评 估。大 数 据 时 代 的 数 据 库“安全 性”也 应 考 虑 个 人 信 息 保 护，以 及 在领 域 应 用 中 使 用 数 据 可 能 带 来 的 安 全 风险。因 此，数 据

17、库 安 全 性 评 估 需 要 结 合其 使 用 环 境 从 组 织 与 人 员、数 据 价 值 和数 据 服 务 风 险 等 策 略 与 规 范 维 度 建 立 数据安全风险评估相关的安全性指标。（2）透明性透 明 性 指 数 据 库 产 品 及 其 数 据 服 务策 略 与 规 程、业 务 支 持，包 括D B M S的 安 全 技 术 及 实 现 机 制 等 相 关 信 息 应 以文 档 化 和 电 子 化 方 式 公 开，相 应 的 技 术手 册、实 施 指 南、软 件 功 能 与 访 问 接 口对 数 据 库 用 户 来 说 应 透 明，以 满 足 用 户对 数 据 库 安 全 模

18、型、实 现 机 制 及 各 种 管控 措 施 的 知 情 权，支 撑 用 户 对 数 据 库 产品 功 能 及 其 管 控 措 施 的 选 择 权、控 制 权和 支 配 权。以 某 个 安 全 功 能（如 用 户 身份 标 识 与 鉴 别）为 例，安 全 性 关 注 安 全功 能 开 发 设 计 文 档 是 否 存 在、安 全 实 现机 制 是 否 正 确，且 是 否 满 足DBMS针 对的 安 全 保 障 目 的；透 明 性 关 注 安 全 功 能是 依 据 何 种 安 全 模 型，采 用 了 哪 些 实 现方 式、安 全 机 制 输 入/输 出 信 息，以 及包 括 实 现 相 关 的 测

19、 试 分 析 报 告 等 方 面 是否 公 开，实 现 的 安 全 管 控 措 施 及 其 应 用开 发 接 口 或 用 户 界 面 是 否 可 访 问、可 理解、可配置等。（3）可控性可 控 性 指 对 数 据 库 产 品 的 安 全 功能、管 控 措 施，包 括 数 据 输 入 输 出 相 关的 策 略 规 程、组 织 业 务 等 具 有 可 监 测、可 管 理 和 可 控 制 的 能 力。换 句 话 说，数据 库 安 全 可 控 的 本 质 是 指 用 户 能 通 过 对DBMS相 关 的 数 据 及 其 技 术 机 制 控 制 数据 库 系 统 行 为，引 导D B M S的 行 为

20、到达 理 想 的 状 态，确 保D B M S供 应 方 或DBMS运 营 者 不 会 利 用 所 提 供 或 运 营 的DBMS来 非 法 获 取 用 户 数 据 或 用 户 使 用D B M S的 行 为 数 据，或 者 使 用D B M S非 法 控 制、非 法 操 纵D B M S服 务 组 件及 其 相 关 数 据，损 害 用 户 对 自 己 使 用 的DBMS控制权等。（4）可信性可 信 性 包 括 数 据 库 系 统 可 用 性、可靠 性、恢 复 性、维 修 性 和 保 障 性，以 及在 某 些 情 况 下 的 持 久 性、安 全 性、保 护性 等 其 他 特 性。可 信 性 还

21、 包 括 数 据 库产 品 提 供 者 和 运 营 者（包 括I C T供 应链）及企业核心人员，在 规 定 的 时 间 和范 围 内，能 够 具 备 相 应 安 全 性 和 可 控 性技 术、符 合 安 全 管 理 要 求、提 供 潜 在 问题 澄 清 材 料、回 答 质 询 及 承 受 调 查 的能 力。总 之，大 数 据 环 境 下 的 数 据 库 安 全评 估 的 目 标 是 控 制 数 据 处 理 者 或 网 络 运营 者 采 用 数 据 库 技 术 提 供 数 据 服 务 时 可能 面 临 的 潜 在 数 据 安 全 风 险。国 家 关键 信 息 基 础 设 施 安 全 保 护 条

22、 例 等 法 规都 在 数 安 法 基 础 上 进 一 步 明 确 了 数 据 库产 品 评 估 需 要 关 注 的 国 家 或 组 织 层 面 的合规性数据安全风险评估要求。4 数据库安全评估指标按 照 软 件 产 品 质 量 模 型3，数 据 库安 全 评 估 可 从 特 性、子 特 性 和 度 量 属性3个 层 次 构 建 其 评 估 指 标 体 系。安 全性、透 明 性、可 控 性 和 可 信 性 特 性 作 为2022 年 12 月|保密科学技术|15特别策划数 据 库 安 全 评 估 的 顶 层 指 标，二 级 指 标（子 特 性）就 可 结 合 第2节 的 数 据 和 数据安全内

23、涵来进行设计。4.1 安全性子特性指标安 全 性 子 特 性 指 标 需 要 从 传 统 的 数据 库 产 品 脆 弱 性 和 大 数 据 时 代 数 据 服 务涉 及 的 数 据 价 值 链 和 数 据 生 命 周 期 等 角度 关 注D B M S漏 洞 管 控 和 数 据 服 务 安全，以 对DBMS运 行 过 程 中 数 据 保 护 措施 进 行 评 估。安 全 性 子 特 性 可 从 以 下3个二级指标展开度量属性建设。（1）合规性合 规 性 子 特 性 可 从 合 法 性、合 标 性和 责 任 性 构 建 度 量 属 性，其 中 合 法 性 是检 查 数 据 库 产 品 在 设 计

24、、开 发、运 维 等阶 段 是 否 遵 循 相 关 法 规 要 求；合 标 性 是检 测 数 据 库 产 品 是 否 遵 循 相 关 的 软 件 质量 模 型，是 否 符 合D B M S技 术 要 求 和安 全 要 求 等 标 准，是 否 通 过 国 家 评 估 体制 相 关 的 测 试 和 认 证；责 任 性 是 针 对DBMS通 用 性、开 放 性、运 行 生 态 性 等基 础 软 件 生 态 需 求，其 安 全 功 能 及 其 实现 机 制 是 否 具 备 灵 活 性、开 放 性、互 操作性等可操作性能力。（2）漏洞管控漏 洞 管 控 子 特 性 可 从3个 方 面 构 建度 量 属

25、性。一 是 数 据 库 厂 商 是 否 建 立并执 行 针 对D B M S研 发、生 产、交 付、运 维 等 过 程 中 植 入 恶 意 程 序 的 监 管 机 制和 流 程，是 否 保 护 用 户 对 软 件 安 装、使用、升 级、卸 载 的 知 情 权 和 选 择 权，是否 承 诺 提 供 的 数 据 库 产 品 不 包 含 恶 意 程序、隐 蔽 接 口 或 未 明 示 功 能 模 块 等。二是 数 据 库 运 营 者 是 否 建 立 和 执 行 针 对DBMS安 全 缺 陷 和 漏 洞 的 应 急 响 应 机 制和 流 程，在 发 现 存 在 缺 陷 和 漏 洞 时，是否 有 采 取

26、修 复 或 替 代 方 案 等 保 证DBMS安 全 可 靠 运 行 的 补 救 措 施 等。三 是 从DBMS自 身 保 护 能 力、安 全 功 能 不 可 旁路 机 制、初 始 化DBMS安 全 配 置 参 数，可 用 信 息 网 络 中 执 行 脆 弱 性 证 据 调 查等，分 析 其 是 否 存 在 较 为 明 显 的 已 知 缺陷 或 逻 辑 错 误、是 否 存 在 恶 意 设 计 的 后门 接 口 等 高 危 漏 洞，以 确 定 那 些 可 能 很容 易 被 攻 击 者 发 现DBMS潜 在 缺 陷 或 潜在的未知漏洞。（3）数据安全数 据 安 全 子 特 性 度 量 属 性 可

27、围 绕 下面DBMS的 数 据 保 护 措 施 进 行 构 建：一是 从 数 安 法、数 安 条 例 等 法 规 定 义 的 数据 处 理 活 动 对D B M S的 数 据 安 全 功 能进 行 评 估；二 是 从 数 据 备 份、复 制、还原、恢 复 等 对DBMS数 据 安 全 保 护 技 术机 制 的 可 用 性 进 行 评 估；三 是 评 估 数 据库 产 品 安 装 配 置、数 据 库 元 数 据 和 数 据库 运 行 数 据（如 审 计 数 据）等 数 据 库 安全控制措施对数据安全保护的程度。4.2 透明性子特性指标按 照 数 据 库 产 品 生 命 周 期 从 设 计、开 发

28、、安 装、使 用 和 维 护 等 阶 段 要 求 数据 库 厂 商 提 供 评 估DBMS的 证 据 材 料，对 其 真 实 性、可 核 查 性、规 范 性、完 备性 等 从 技 术 和 机 制 角 度 审 查 数 据 库 产 品功 能 及 其 应 用 是 否 可 访 问、可 理 解、可配 置、可 监 控、可 分 析、可 审 计 等4，并 从 基 础 软 件 生 态 角 度 评 估 数 据 库 安全 功 能 的 开 放 性、合 规 性、持 续 保 障 性等。按 照 系 统 生 命 周 期 概 念，透 明 性 子特 性 可 从 以 下4个 二 级 指 标 展 开 度 量 属性建设。16|保密科学

29、技术|2022 年 12 月特别策划（1）设计与实现评 估 数 据 库 产 品 研 发 过 程 中 可 能 影响 其 安 全 的 设 计 文 档 及 测 试 文 档，以 及设 计 实 现 中 所 定 义 的 协 议 和 接 口 所 遵 循的 技 术 标 准、接 口 规 范 和 安 全 要 求 等。设 计 与 实 现 透 明 性 度 量 属 性 分 为 以 下3个方面。产 权 透 明 性：检 查 产 品 知 识 产 权拥 有 情 况、获 得 外 部 授 权 情 况 及 知 识 产权 纠 纷 情 况 等 相 关 材 料，对 产 品 安 全 功能及其实现知识产权进行评价。设 计 透 明 性：检 查

30、产 品 设 计 和 开发 过 程 中 可 能 影 响 安 全 的 设 计 文 档 和 相关 材 料，对 其 安 全 模 型 及 其 技 术 机 制 真实性、规范性和完备性等进行评价。实 现 透 明 性：根 据 设 计 文 档，对数 据 库 安 全 实 现 表 示、开 发 环 境、测 试与 验 证 充 分 性、安 全 认 证 结 果 与 产 品 设计实现一致性等方面进行评价。（2）技术与机制数 据 库 产 品 安 全 相 关 的 安 全 模 型、安 全 机 制、实 现 技 术 及 其 指 定 的 实 现 表示 等，包 括 实 现 的 安 全 功 能 及 提 供 的运 行 控 制 措 施 应 可

31、访 问、可 理 解、可 配置、可 监 控、可 分 析、可 审 计 等，提 供的 评 估 材 料 包 括 但 不 限 于 用 户 标 识 与 鉴别、授 权 控 制、安 全 审 计、密 码 支 持、个 人 数 据 保 护 等 策 略 规 程 及 其 管 控 机制。技 术 机 制 与 运 行 透 明 性 度 量 属 性 主要包括以下3种。公 开 性：产 品 应 公 开 不 同 用 户（个 人、组 织、国 家）对 数 据 库 对 象 访问 和 操 纵 的 途 径，不 能 有 隐 藏 的 存 在 安全 风 险 的 脆 弱 性 接 口、漏 洞 机 制 等。公开 目 的 是 为 了 使 用 户 在 使 用

32、数 据 库 过 程中 能 有 效 管 理 数 据，可 从 简 单 性、直 观性、正 确 性、一 致 性、可 执 行 性、友 好性 等 方 面 评 估 技 术 机 制 及 其 运 行 管 理 相关数据公开程度。可 操 作 性：评 估 用 户 访 问 数 据 库安 全 技 术 机 制 及 其 管 控 措 施、数 据 库 运行 行 为 数 据 的 难 易 程 度，判 断DBMS的技 术 机 制、管 控 措 施 及 其 运 行 行 为 数 据访 问 途 径 是 否 满 足 不 同 业 务、不 同 用 户的 需 求，访 问 途 径 是 否 规 范 可 行，软 件功 能、接 口、指 南、说 明 文 档 等

33、 对 用 户是 否 开 放 友 好，如 接 口 是 否 满 足 互 操 作性 要 求，相 关 文 档 之 间 是 否 一 致，以 及是 否 可 以 在 线 获 取，文 档 格 式 是 否 标 准化，数 据 交 换 与 共 享 是 否 采 用 了 业 界 规范等。可 追 溯 性：D B M S对 数 据 库 用 户活 动 和 其 本 身 安 装 配 置 及 其 运 行 维 护 行为 做 到 标 示、记 录、建 档、管 理 和 分析，使 其 具 备 对DBMS运 行 历 史、应 用情况或所处运行环境追踪溯源的能力。（3）生态及保障对 数 据 库 安 全 生 态 解 决 方 案、关 键功 能 模 块

34、 可 配 置 能 力 及 安 全 功 能 开 放 定制 能 力 进 行 评 价，包 括 对 数 据 库 产 品 供应 方 在 持 续 经 营、供 应 链 保 障 和 数 据 服务 能 力 等 方 面 透 明 性 进 行 评 价。安 全 生态 与 持 续 保 障 透 明 性 度 量 属 性 包 括 以 下2种。适 配 性：对 产 品 所 适 配 的 身 份 认证、访 问 授 权、安 全 审 计 等 安 全 加 固 解决 方 案 的 安 全 可 控 程 度 以 及 所 涉 及 密 码产 品 加 解 密 机 制 及 密 钥 管 理 合 规 性 进 行评 价，对 产 品 供 应 方 的 安 全 加 固

35、 定 制 能力 及 其 管 控 措 施 进 行 评 价；对 产 品 所 适配 中 央 处 理 器、操 作 系 统 的 安 全 可 控 程度，核 心 模 块 内 部 接 口 和 文 档 格 式 的 开2022 年 12 月|保密科学技术|17特别策划放性等进行评价。持 续 性：对 产 品 核 心 部 件 安 全 可控 程 度、设 计 生 产 过 程 所 涉 及 的 关 键 要素 供 应 链 的 安 全 保 障 能 力 进 行 评 价，对关 键 组 件 供 应 方 的 持 续 经 营 能 力 和 服 务保障能力进行评价。（4）安全管理按 照D B M S相 关 技 术 要 求 标 准 审 查数 据

36、 库 产 品 安 装 配 置 及 数 据 库 字 典 信 息的 可 访 问 性、可 理 解 性、详 实 性、实 用性 等 安 全 元 数 据 管 理 的 透 明 需 求。数据 库 安 全 管 理 度 量 属 性 主 要 分 为2个 方面：一 方 面 依 照 数 据 库 完 整 性 约 束 条 件和 数 据 库 事 务 特 性 检 查 数 据 库 中 数 据 完整 性、一 致 性 和 实 时 性；另 一 方 面 依 照数 据 库 事 务 特 性 及 数 据 库 用 户 应 用 需求,检 查 数 据 库 应 用 业 务 相 关 元 数 据 的准 确 性。完 整 性 评 估 主 要 是 审 查 数

37、据 字典 及 其 相 关 数 据 的 完 整 性，包 括DBMS安 装 配 置、运 行 日 志 等 各 种 数 据 的 完 整性。一 致 性 评 估 是 检 查 在 事 务 空 间、缓 存 空 间、磁 盘 空 间 或 归 档 空 间 数 据 的一 致 性，检 查 在 分 布 式 数 据 库 中 多 副 本数 据 的 一 致 性，或 检 查 在 高 并 发 事 务 处理 环 境 下 没 有 违 背 数 据 库 的 完 整 性 等。实 时 性 是 指 数 据字 典 应 当 根 据 其 运 行 环境、版 本 更 迭、策 略 变 化 等 情 况 及 时 更新，数 据 库 实 例 应 实 时 获 取，保

38、 持 数 据字 典 及 数 据 库 用 户 业 务 数 据 在 不 同 空 间版本数据一致性。4.3 可控性子特性指标可 控 性 本 质 上 是 要 求 能 通 过 对DBMS服 务 相 关 的 数 据 及 其 技 术 机 制 的控 制 操 作，引 导DBMS的 运 行 行 为 到 达用 户 满 意 的 状 态5。因 此，用 户 应 能 通过 数 据 库 字 典 中 的 各 种 信 息，了 解 和 掌控 所 使 用DBMS安 全 功 能 及 其 运 行 行 为安 全 控 制 技 术 和 机 制，以 防 止DBMS危害 用 户 数 据 权 利、防 范 运 行 过 程 中 的 潜在安全风险。可 控

39、 性 指 标 要 求 数 据 库 产 品 一 方 面满 足 用 户 对 其 数 据 支 配 权、安 全 功 能 选择 权 和 数 据 服 务 控 制 权；另 一 方 面 用户 应 当 能 通 过 内 部 控 制 体 系 有 效 地 维 持D B M S的 正 常 运 行，确 保 数 据 库 实 例及 其 数 据 使 用 和 数 据 交 换 共 享 的 互 操 作性，降 低 供 应 链 安 全 风 险；最 后 用 户 应当 能 通 过DBMS提 供 的 数 据 和 机 制，对数 据 库 实 例 进 行 安 全 监 管，实 现 信 息 技术 风 险 可 监 控、可 管 理，过 程 可 审 计 的目

40、 标。可 控 性 评 估 子 特 性 的 度 量 属 性 可从下面3个方面进行设计。（1）可管理性用户可对DBMS管控措施进行控制，以 防 止 潜 在 的 安 全 风 险 或 解 除 已 有 的 风险。例 如，围 绕 数 据 生 命 周 期 相 关 数 据服 务 的 输 入 输 出 控 制、组 织 管 理 等 是 否遵 循 标 准 的 安 全 管 理 体 系，提 供 了 透 明的 管 理 策 略 和 规 程，采 用 了 技 术 管 理工 具 调 控DBMS数 据 服 务 和 系 统 服 务 能力，以 及 对 各 种 服 务 能 力 的 可 预 测 性。（2）可核查性在 发 生 安 全 问 题

41、时 能 够 跟 踪 到D B M S相 关 的 策 略 规 程 或 某 一 个 可 能负 有 责 任 的 特 定 数 据 服 务 或 系 统 服 务的 特 性。DBMS不能对自己数据服务和系 统 服 务 行 为 抵 赖，并 保 证 这 些 服 务 行为 发 生 时 间、地 点 的 准 确 性 和 可 追 踪 溯源性。（3）可监督性对 数 据 库 产 品 供 应 方 背 景、D B M S18|保密科学技术|2022 年 12 月特别策划数 据 采 集、数 据 共 享 与 交 换 服 务 及 其 应用 接 口，包 括 数 据 和 资 产 供 应 链 是 否 能实 施 监 视、督 促 和 管 理，

42、数 据 库 产 品 供应 方 能 够 具 备 相 应 的 监 控 服 务 或 机 制，提 供 符 合 管 理 要 求 相 关 的 材 料，回 答 监管 设 定 的 质 询 以 及 承 受 企 业、人 员 背 景调查审查的能力。4.4 可信性子特性指标可 信 性 不 仅 取 决 于 数 据 库 产 品 的 安全 性、透 明 性 和 可 信 性，还 与 数 据 库 厂商 和 数 据 库 运 营 者 特 性 及 其 员 工 个 性 有关。数 据 库 厂 商 和 运 营 者 可 信 性 度 量 属性主要包括以下3个方面6。（1）数据库厂商能力例 如，信 息 安 全 管 理 体 系 等 策 略 规程 及

43、 其 数 据 和I T供 应 链、业 务 及 相 关IT系统和服务平台建设、运维等国家法律、法 规 及 相 关 标 准 规 范 合 规 性 能 力；再 如 数 据 库 产 品 安 全 主 要 技 术（包 括 核心 技 术、可 替 代 性 技 术、自 主 技 术 占 核心 技 术 的 比 例 等）、公 司 许 可 和 被 许 可资 格 和 资 质、公 司 主 要 商 标、专 利、非专利技术等无形资产权属能力等。（2）数据库运营者善意例 如，承 担 并 履 行 各 种 责 任 承 诺，努 力 使 社 会 不 遭 受 自 己 的 运 营 活 动、数据 库 产 品 及 服 务 的 消 极 影 响 等

44、社 会 责任、企 业 诚 信 和 风 险 管 理 相 关 标 准 规 范对 企 业 信 用 风 险 防 范、控 制 和 转 移 的 管理技术、业务操作及相关的制度等。（3）数据库生态完整性这 是 因 为 随 着 全 球 化 和 数 据 库 产 品和 服 务 复 杂 化，数 据 库 生 态 系 统 供 应 链全 球 化 趋 势 日 趋 加 强，数 据 库 安 全 可控 需 要 与 其 完 整 的 供 应 链 系 统 保 持 协调，确 保 数 据 库 产 品I C T供 应 链 可 靠 和可 控。数 据 库 产 品 任 何 组 件 或 服 务 的 变化、业 务 外 包 活 动、技 术 更 新 升

45、级 或 供应 商 关 系 的 变 化 都 将 直 接 影 响 数 据 库 产品和服务的安全性和可信性。数 据 库 产 品 厂 商 的 背 景、业 务、可信、供 应 链、安 全 等 信 息 公 开，让 用 户可 以 通 过 相 关 的 渠 道 获 取 数 据 库 安 全 运营 所 需 的 信 息，使 他 们 认 为 采 购 的 数 据库 产 品 安 全 可 信7。解 决 这 些 问 题，不仅 需 要 满 足 安 全 可 信 信 息 透 明 需 求 的 政策 和 机 制，还 需 要 相 应 的 控 制 技 术 和 机制 作 为 支 撑，所 以 数 据 库 厂 商 在 设 计 和开 发 过 程 中

46、不 仅 要 考 虑 功 能 需 求、安 全需 求、性 能 需 求 等，还 需 要 考 虑 安 全 可控需求。5 数据库安全评估方法基 于 上 述 数 据 库 安 全 评 估 的 特 性 和子 特 性 指 标，数 据 库 安 全 评 估 实 施 主 要包 括 以 下 步 骤：设 计 评 估 度 量 属 性、采集 度 量 属 性 相 关 的 评 估 用 例 数 据、对 采集 数 据 按 照 评 估 指 标 体 系 进 行 分 析 计 算和生成安全评估报告。（1）设计评估度量属性结 合 数 据 库 产 品 安 全 功 能、技 术 与机 制，数 据 库 运 营 策 略 规 程 等 评 估 内容，针 对

47、 前 面 的 评 估 指 标 就 可 建 立 对 应的 评 估 度 量 属 性。度 量 属 性 应 对 所 采 用的 测 量 方 法、测 度 及 统 计 分 析 予 以 规定，包 括 属 性 数 据 的 抽 取 方 法、抽 样 策略、测 度 计 算 等。针 对 每 个 度 量 属 性，可 采 用 手 工 和 自 动 化 方 法 生 成 评 估 用例，并 明 确 评 估 度 量 属 性 测 度、评 价计 算 公 式、结 果 解 释 和 设 计 依 据（评2022 年 12 月|保密科学技术|19特别策划估 材 料）等。评 估 用 例 一 般 包 括 编 号、名 称、描 述、目 的、参 考 信 息

48、、评 估 环境、前提条件、测试步骤和预期结果。（2）采集度量属性数据综 合 采 用 访 谈、检 查 和 测 试 等 基 本评 价 方 法，依 照 度 量 属 性 相 关 评 估 用 例定 义 的 测 量 精 确 度，对 数 据 库 厂 商 提 供的 评 估 证 据 进 行 审 查，获 取 评 估 证 据，判 断 度 量 属 性 是 否 依 赖 于 其 他 策 略 规程，如 果 是，那 是 否 需 要 获 取 更 多 证 据来 支 持 其 他 度 量 属 性 的 可 操 作 性，最 终确 定 一 个 选 择 测 试 条 目 的 有 效 方 法 来 满足度量属性评估的目标。（3）数据分析和评价通

49、过 一 定 的 方 法 和 技 术 对 获 得 度 量属 性 的 数 据 进 行 综 合 分 析 和 研 判，获 得指 标 属 性、子 特 性 和 特 性 的 评 价 结 果，用 于 支 持 数 据 库 安 全 风 险 的 评 估。图1给 出 了 评 估 度 量 属 性 指 标 测 量 和 安 全 评估目标计算与分析流程图。（4）审查报告生成对 评 定 的 评 价 结 果 数 据 按 照 指 标 体系 层 次 设 定 的 权 重 进 行 概 括，其 结 果 是对 数 据 库 安 全 可 控 满 足 需 求 程 度 的 一个 综 述，可 结 合 评 价 目 的 得 出 对 应 的 结论。为 了

50、确 保 度 量 属 性 采 集 数 据 的合 理解 释，分 析 结 论 宜 由 利 益 相 关 者 予 以 评审。为 了 与 利 益 相 关 者 沟 通，宜 对 数 据分析的结果建立相应的评估过程文件。综 上 所 述，数 据 库 评 估 评 价 需 要 根据 数 据 库 产 品 自 身 的 安 全 功 能 和 技 术 机制、数 据 库 运 营 策 略 规 程 等，将 与 实 现无 关 的 度 量 属 性 指 标 具 化 之 后 形 成 各 种评 估 用 例（基 本 测 度）才 能 采 集 到 度 量数 据。因 此，不 同 于 前 面 的 指 标 设 计，度 量 属 性 的 基 本 测 度 设