摘要:近日,經過全球知名獨立認證機構SGS Brightsight實驗室的安全評估,華為雲GaussDB企業級分散式資料庫內核獲得全球權威信息技術安全性評估標準CC EAL4+級別認證 本文分享自華為雲社區《國內唯一!GaussDB拿下的安全認證CC EAL4+究竟有多難?》,作者:GaussDB ...
摘要:近日,經過全球知名獨立認證機構SGS Brightsight實驗室的安全評估,華為雲GaussDB企業級分散式資料庫內核獲得全球權威信息技術安全性評估標準CC EAL4+級別認證
本文分享自華為雲社區《國內唯一!GaussDB拿下的安全認證CC EAL4+究竟有多難?》,作者:GaussDB 資料庫。
近日,經過全球知名獨立認證機構SGS Brightsight實驗室的安全評估,華為雲GaussDB企業級分散式資料庫內核獲得全球權威信息技術安全性評估標準CC EAL4+級別認證,成為中國首個獲得當前資料庫領域國際最高級別CC EAL4+認證的資料庫產品。
CC EAL4+有多難?
CC標準是國際公認電腦維度的頂級安全認證,也是國際範圍內30多個國家官方認可的通用標準,其定義了評估信息技術產品和系統安全性所需的基礎準則,並設置了EAL1~EAL7的不同評估等級和相應的安全功能要求。
其中,EAL4+是當前資料庫領域中最高級別認證,難度有多大呢?對比目前國外常見資料庫主流版本通過的EAL2認證來說,EAL2為結構測試級,開發者可遞交設計信息、測試結果進行評估,而EAL4作為系統設計、測試和複查級,評估程式更為嚴謹,有對評估對象模塊底層設計和實現子集的分析,更有對產品代碼的審視和對產品研發環境的站點審計等。
GaussDB直面困難 穩扎穩打
認證的不易不僅因為評估要求高,還有疫情下的客觀挑戰。在本次認證過程中,面臨疫情帶來的諸多不便,GaussDB研發團隊攻堅克難,突破地域隔離障礙,堅持與認證機構持續深入地溝通和研討,不僅在沒有任何可借鑒經驗的情況下讓所有文檔及站點審查一次通過,開啟了國產資料庫國際安全高等級認證從0到1的突破;還主動探索高可用部署形態,實踐出一套可舉證、可評估、可實施的差異化認證方案,與國外常見資料庫產品形成差異化認證競爭力,保持領先水平;並建立起基於數據流動與數據等級的多層級安全防禦體系與體系化測試套件,與認證機構一起合作,最終獲得認證機構的高度肯定。
全方位測試順利告捷
為了確保整個測試計劃覆蓋到所有模塊和更多場景,認證過程採取自動測試與手動測試相結合的方式,圍繞EAL4+安全審計、用戶數據保護、用戶識別和認證、安全管理、TSF自保護、TOE訪問六大安全功能要求下的21項功能組件進行了詳盡的測試,覆蓋154項測試用例。評估結果最終不負眾望,GaussDB以優異表現全部順利通過。
安全審計——用戶可根據特定屬性自主選擇可審計事件,生成審計記錄,並將每個審計事件和相關用戶身份進行關聯。
用戶數據保護——系統可制定完善的訪問控制策略和相應的訪問控制規則,同時對殘餘信息進行保護,確保以前存留在資源中的數據在資源釋放或被重新分配後不再可用,避免敏感信息泄露問題。
用戶識別和認證——在允許用戶訪問資料庫對象之前,必須先進行用戶身份識別和認證。系統將對認證前的部分操作和驗證數據、口令等信息進行維護,並對其代表用戶進行鑒權,確保用戶信息安全。
安全管理——系統可授權管理員對安全功能、安全屬性進行維護,如審計事件、系統許可權、用戶角色變更;被授權的安全管理員也可定義不同的角色,如審計管理員、資料庫管理員、系統管理員。
TSF(評估對象安全功能)自保護——開啟數據一致性保護,即使備份數據與組件斷開連接,在相關業務請求操作之前也能確保組件中所備份數據的一致。
TOE(評估對象)訪問——系統可限制同一用戶的最高併發會話數,併為每個操作維護單獨的執行上下文,保證會話安全。
結果表明,GaussDB已經完全達到國際權威認證機構嚴格的安全標準,具備行業領先的數據安全保障能力。同時,GaussDB也將繼續潛心篤志,深耕資料庫根技術,為企業信息系統提供更專業、更安全可靠的資料庫服務。
