美国可信计算机系统安全评价标准

7.2.1　美国可信计算机系统安全评价标准TCSEC

TCSEC将计算机操作系统的安全从高到低分为四级（A、B、C、D），级下再细分为七小级（A1、B3、B2、B1、C2、C1、D），分别如下：

（1）D级（最小保护级）

D类安全等级只包括D1一个级别。D1的安全等级最低。D1系统只为文件和用户提供安全保护，整个计算机是不可信任的。D1级的硬件和操作系统都很容易被侵袭，任何人都可以自由地使用计算机系统，不对用户进行验证，系统要求用户登记（提供唯一的字符串来进行访问）。D1系统最普通的形式是本地操作系统，或者是一个完全没有保护的网络。

D级系统的主要特征：保护措施很少，没有安全功能。

（2）C级

C类安全等级可划分为C1和C2两类。该类安全等级能够提供审慎的保护，并为用户的行动和责任提供审计能力。

①C1级（自主安全保护）。C1系统的可信计算基（TCB）通过将用户和数据分开来达到安全的目的。C1是选择性安全保护系统，要求硬件有一定的安全保护（如硬件有带锁装置）。用户在使用计算机系统前必须先登录。另外，作为C1级保护的一部分，允许系统管理员为一些程序或者数据设立访问许可权限。但是，C1级不能控制进入系统的用户的访问级别，所以用户可以将系统中的数据任意移走。他们可以控制系统设置，获取比系统管理员允许的更高权限，比如改变和控制用户名。C1级系统的主要特征是：有选择地存取和控制。

②C2级（访问控制保护）。C2系统具有C1系统中所有的安全性特征，引进了访问控制环境（用户权限级别）的增强特性。该环境具有进一步限制用户执行某些命令或访问某些文件的权限，还加入了身份认证级别。另外，C2级系统对发生的事件还加以审计，并写入日志当中，如开机时间、登录用户信息，这样通过查看日志，就可以发现入侵的痕迹，如果多次登录失败，则可以推测出可能有人想强行闯入系统。此外，用户权限可以以个人为单位授权对某一程序所在目录进行访问。如果其他程序和数据也在同一目录下，那么用户也将自动得到访问这些信息的权限。C2系统比C1系统加强了审计控制。C2级系统的主要特征是：存取控制以用户为单位。

（3）B级

B级系统具有强制性保护功能。强制性保护意味着如果用户没有与安全等级相连，系统就不会让用户存取对象。

B类安全等级由低到高可分为B1级、B2级、B3级3类。

①B1级（标号安全保护）。B1级系统支持多级安全。“符号”是指网上的一个对象，该对象在安全防护计划中时刻被识别和保护。“多级”指这一安全防护可设置在不同级别（如网络、应用程序和工作站等），系统对网络控制下的每个对象都进行敏感标记^[1]，系统使用敏感标记作为所有强制访问控制的基础，敏感标记必须准确地表示其所联系的对象的安全级别。任何对用户许可级别和成员分类的更改都受到严格控制。采用B1级安全措施的计算机系统随着计算机系统而定，政府机构和防御承包商是B1级计算机系统的主要使用者。

②B2级（结构化安全保护）。B2级系统除必须满足B1级系统的所有要求外，系统的管理员必须使用一个明确的、文档化的安全策略模式作为系统的可信任运算基础体制。要求计算机系统中对所有的对象设置敏感标记，而且给设备（如工作站、终端和磁盘驱动器）分配安全级别。例如，允许用户访问一个工作站，但不允许访问含有职工工资资料的磁盘子系统。B2级系统的主要特征是：设计时系统必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道^[2]分析。

③B3级（安全域保护）。B3系统必须符合B2系统的所有安全需求。B3系统具有很强的监视委托管理访问能力和抗干扰能力。B3系统必须设有安全管理员。B3系统应满足以下要求：除了控制对个别对象的访问外，B3系统必然产生一个可读的安全列表；每个被命名的对象提供对其没有访问权的用户列表说明；B3系统在进行任何操作前，要求用户进行身份验证；B3系统验证每个用户，同时还会发送一个取消访问的审计跟踪消息；设计者必须正确区分可信任的通信路径和其他路径；可信任的通信基础体制为每一个被命名的对象建立安全审计跟踪；可信任的运算基础体制支持独立的安全管理。B3级系统的主要特征是：安全内核，高抗渗透能力。

（4）A级（验证设计保护）

A级系统的安全级别最高。目前，A类安全等级只包含A1级一个安全类别，与前面提到的各级级别一样，该级别包含了较低级别的所有特性。A1类包括了一个严格的设计、控制和验证过程。系统的设计者必须按照一个正式的设计规范来分析系统。设计必须是从数学角度上经过验证的，而且必须进行隐蔽通道和可信任分布的分析。可信任分布的含义是：硬件和软件在物理传输过程中已经受到保护，以防止破坏安全系统。A1系统必须满足下列要求：系统管理员必须从开发者那里接收到一个安全策略的正式模型；所有的安装操作都必须由系统管理员进行；系统管理员进行的每一步安装操作都必须有正式文档。

A1级系统的主要特征是：形式化的最高级描述和验证，形式化的隐秘信道分析，非形式化的代码一致性证明。

当然，TCSEC也具有一些缺陷：①集中考虑数据保密性，而忽略了数据完整性、系统可用性等；②将安全功能和安全保证混在一起；③安全功能规定的过于严格，不便于实际开发和测评。