可信计算机安全评价标准 (TCSEC)
TCSEC<?xml:namespace prefix = o ns = "urn:schemas-microsoft-com:office:office" />
(Trusted Computer System Evaluation Criteria; commonly referred to as the Orange Book)
美国可信计算机安全评价标准(TCSEC)
TCSEC 标准是计算机系统安全评估中最初制定的标准,并具有重要意义。该标准于1970年发布于美国国防科学委员会,并于1985年12月正式定稿发布于美国国防部。原先仅用于军事领域后来延伸到民用领域应用。TCSEC则将计算机系统的整体安全划分为了四个等级和七个级别来进行详细评估
D 类安全等级:仅包含一个级别(D1)。处于最低的安全防护级别的系统是D类系统。该系统专设用于保障文件存储以及用户数据完整性与机密性。通常采用本地操作系统作为基础架构,并且在某些情况下可能不具备任何防护机制来限制网络访问权限。
该文档中的C类安全等级体系旨在为用户提供审慎的安全保护,并赋予其行为与责任的审计能力。该体系可划分为两类:C1级与C2级两种类型。其中,C1级系统的可信任运算基础体制(Trusted Computing Base,TBC)通过将用户与数据分离的方式来实现安全性目标。在该体系中,所有用户的处理敏感度均相同,即每个用户均认为系统中的所有文档都具有相同的机密性水平。而C2级系统则在此基础上增强了可调性,具体体现在网络接入过程中,由不同用户分别对自己的行为负责,C2级系统通过登录过程、安全事件响应以及资源隔离等措施来加强这种可控性。
B 类安全等级划分为 B1 级、B2 级和 B3 级三种等级。强制性保护规定:若用户未与当前安全等级关联,则系统将禁止该用户访问相关对象。满足以下条件要求:
- 系统对网络控制下的每个对象都进行灵敏度标记;
- 灵敏度标记将成为所有强迫访问控制的基础;
- 在导入非标记对象之前必须先为其做标记;
- 所有灵敏度标记必须准确反映其关联的安全级别;
- 在创建或增建系统时需指定通信通道及 I/O 设备是单一还是多层次属性,并规定仅允许人工更改这些设置;
- 单级设备不具备传输信息的安全级别;
- 所有直接面向用户的输出(不论是虚拟还是物理)都必须产生标记以表明输出对象的安全级别;
- 只有通过口令或证明才能确定用户的访问权限;
- 通过审计记录所有未授权访问行为。
B2系统需遵循B1系统的所有规定。
为了保障安全性,B2系统的管理员需采用明确且详尽的安全策略作为其可信运算的基础架构。
B2系统需遵守以下各项要求:
该系统需及时通知所有关联用户的任何网络连接变化情况。
只有当存在可信通信路径时才允许启动通信过程。
可信运算架构应具备独立运作的能力以应对操作者的不同需求。
为了确保符合B2系统的全部安全要求,B3系统必须具备强大的监视委托管理访问能力以及卓越的抗干扰性能。该系统需要特别配备专门的安全管理员,以保证所有操作的安全性为以下标准设定前提条件:除权限控制外,其他功能模块均需严格隔离,避免潜在的安全漏洞存在
系统必须生成一个易于阅读的安全列表;
每个被命名的对象都提供了一个无访问权限用户的详细列表说明;
在系统执行任何操作之前,必须对用户实施身份验证;
系统将对每个用户进行身份验证,并将发送一条取消访问的审计跟踪记录;
设计者必须明确地区分可信赖的通信路径与非信赖路径;
基于可信赖通信的基础架构会针对每一个被命名的对象建立安全审计日志记录;
基于可信赖计算的基础架构能够独立地实施安全管理.
在A类安全等级下,系统的安全性处于最高水平。值得注意的是,在当前体系结构中仅存在单一的安全类别属于A类等级。具有显著特征的是,在B3级别上虽然同样具备较高的安全性标准但并未对系统的结构和策略作出特殊规定。具有显著特征的是,在B3级别上虽然同样具备较高的安全性标准但并未对系统的结构和策略作出特殊规定
具有显著特征的是,在B3级别上虽然同样具备较高的安全性标准但并未对系统的结构和策略作出特殊规定
在信息安全保障阶段, 英法德荷四国列出了满足保密性. 完整性和可用性的信息技术安全评估准则 ITSEC 后, 美国继而与英法德荷等国家及加拿大共同制定并发布了这一标准
国际标准化组织(OISt)制定了信息技术安全评价的通用准则(CC for ITSEC)。这一标准已被五个技术发达国家认可并作为评估信息安全系统的标准使用,并将发展成为全球统一的标准。