目录
4.1 数据库安全性概述
指保护数据库以防止不合法使用所造成的数据泄露、篡改或破坏
4.1.1 数据库的不安全因素
- 非授权用户对数据库的恶意存取和破坏
- 数据库中重要或敏感的数据被泄露
- 安全环境的脆弱性
4.1.2 安全标准简介
TCSEC(Trusted Computer System Evaluation Criteria),即《可信计算机系统评估准则》,通常称为“橙皮书”(Orange Book),由美国国防部制定,用于评估计算机系统的安全性
TCSEC/TDI安全级别划分
A 级(Verified Protection,验证保护)
-
A1:Verified Design(验证设计)
最先进的安全级别,系统必须经过形式化设计和验证。强调严格的开发控制、全面的文档和详细的验证。
B 级(Mandatory Protection,强制保护)
-
B1:Labeled Security Protection(标记安全保护)
支持标记的安全策略,基于访问控制的标记。 -
B2:Structured Protection(结构化保护)
增强了安全功能,采用结构化的设计和分离。 -
B3:Security Domains(安全域)
提供了更高的系统完整性,分离了关键的安全功能。
C 级(Discretionary Protection,自主保护)
-
C1:Discretionary Security Protection(自主安全保护)
提供基本的访问控制。 -
C2:Controlled Access Protection(受控访问保护)
增强了访问控制,并具备审计能力。
D 级(Minimal Protection,最低保护)
(最低安全)
TCSEC 的分级体系按从低到高的顺序递进,强调对系统安全性的不同维度(自主保护、强制保护、验证保护)。从 D 到 A1,安全级别逐渐增强,适用于不同的应用场景和需求。
CC评估保证级(EAL)的划分及与TCSEC/TDI安全级别的对应
| 评估保证级 |
定 义 |
TCSEC安全级别(近似相当) |
| EAL1 |
功能测试(functionally tested) |
|
| EAL2 |
结构测试(structurally tested) |
C1 |
| EAL3 |
系统地测试和检查 (methodically tested and checked) |
C2 |
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
