数据库安全标准与CISP培训

"CISP-2-数据库安全.ppt 是一份关于数据库安全的培训材料，主要探讨了数据库安全标准的历史发展以及相关国际评估体系。这份资料由中国信息安全产品测评认证中心(CNITSEC)提供，旨在教育和指导信息安全专业人士理解和实施数据库安全保障措施。" 在信息安全领域，数据库安全是至关重要的一个部分，因为它涉及到存储在数据库中的敏感信息保护。这份PPT首先介绍了自1985年以来，信息安全技术与标准的发展历程，包括： 1. 可信计算机系统评测标准(TCSEC)在1985年的颁布，这是计算机安全产品评估的里程碑，为制造商提供了制造和应用安全产品的指导。 2. 1987年的可信网络解释(TNI，又称红皮书)，是对TCSEC的进一步解释和细化，特别针对网络环境的安全要求。 3. 1991年，美国国家计算机安全中心(NCSC)推出的依赖数据库管理系统解释(TDI)，专门针对数据库管理系统安全性的评价。 4. Common Criteria(通用标准，简称CC)的出现，是国际认可的产品安全认证标准，许多数据库产品如ORACLE 9i已获得CC的EAL4级认证，标志着其达到较高的安全级别。 TCSEC-TDI标准中包含了一些基础要求，例如： - R1安全策略：规定了系统必须有明确的安全策略，包括自主存取控制(DAC)和客体重用(ObjectReuse)。 - R1.1自主存取控制：用户可以根据自己的需求设定对数据的访问权限，确保数据访问的灵活性和可控性。 - R1.2客体重用：在删除或更新数据时，必须确保不会引发安全问题，例如旧数据的不当重用。 - R1.3标记：数据应被打上安全级别的标签，以便于系统根据标签进行访问控制。 这些标准和要求为数据库管理员和安全专家提供了设计和实现安全数据库架构的框架。在实际操作中，数据库安全涉及用户认证、授权、审计、加密等多个层面，确保数据在存储、传输和处理过程中的保密性、完整性和可用性。 为了满足CISP-2（可能是指注册信息安全专业人员的第二阶段认证）的相关要求，理解并实施这些标准对于保障数据库系统的安全性至关重要。这不仅涉及到技术层面，还包括合规性、风险管理和政策制定等方面，以确保组织的信息资产得到全面的保护。