TCSEC标准是计算机系统安全评估的第一个正式标准,具有划时代的意义。该准则于1970年由美国国防科学委员会提出,并于1985年12月由美国国防部公布。TCSEC标准是讨论信息安全标准过程中,绕不开的一个标准。
TCSEC最初只是军用标准,后来延至民用领域。其实,不难理解网络这个东西,最初也是产自军用,现在成为商用最彻底的一种东西。同时,我们也可以看到,很多技术都存在一个军转民的过程,这点是会随着时代进步而不断转化的。
TCSEC将计算机系统的安全划分为4个等级、7个级别。
TCSEC定义了四个大类七个级别,四个大类:D,C,B和A,其中部门A具有最高的安全性。每个类都代表个人或组织对评估系统的信任度存在显着差异。此外,C,B和A分为一系列详细分级:C1,C2,B1,B2,B3和A1。
总体上,TCSEC分级为:D、C1,C2,B1,B2,B3和A1。
以下即为四大类,七个分级的简单介绍
D - 最小保护(“Minimal protection”)
·预留给那些已经过评估但未能满足更高分部要求的系统
D类安全等级只包括D1一个级别。
D1的安全等级最低。
D1系统只为文件和用户提供安全保护。
D1系统最普通的形式是本地操作系统,或者是一个完全没有保护的网络。
C - 自主保护(“Discretionary protection”)
该类安全等级能够提供审记的保护,并为用户的行动和责任提供审计能力。
C类安全等级可划分为C1和C2两类。
C1系统的可信任运算基础体制(Trusted Computing Base,TCB)通过将用户和数据分开来达到安全的目的。
在C1系统中,所有的用户以同样的灵敏度来处理数据,即用户认为C1系统中的所有文档都具有相同的机密性。
C2系统比C1系统加强了可调的审慎控制。在连接到网络上时,C2系统的用户分别对各自的行为负责。
C2系统通过登陆过程、安全事件和资源隔离来增强这种控制。
C2系统具有C1系统中所有的安全性特征。
·C1 - 任意安全保护
·识别和认证
·分离用户和数据
·自主访问控制(DAC)能够以个人为基础实施访问限制
·所需的系统文档和用户手册
·C2 - 受控访问保护
·更细致的DAC
·通过登录程序进行个人问责
·审计跟踪
·对象重用
·资源隔离
·如:HP-UX
B - 强制性保护(“Mandatory protection”)
B类安全等级可分为B1、B2和B3三类。
B类系统具有强制性保护功能。
强制性保护意味着如果用户没有与安全等级相连,系统就不会让用户存取对象。
B1系统满足下列要求:系统对网络控制下的每个对象都进行灵敏度标记;系统使用灵敏度标记作为所有强迫访问控制的基础;系统在把导入的、非标记的对象放入系统前标记它们;灵敏度标记必须准确地表示其所联系的对象的安全级别;当系统管理员创建系统或者增加新的通信通道或I/O设备时,管理员必须指定每个通信通道和I/O设备是单级还是多级,并且管理员只能手工改变指定;单级设备并不保持传输信息的灵敏度级别;所有直接面向用户位置的输出(无论是虚拟的还是物理的)都必须产生标记来指示关于输出对象的灵敏度;系统必须使用用户的口令或证明来决定用户的安全访问级别;系统必须通过审计来记录未授权访问的企图。
·B1 - 标记的安全保护
·安全策略模型的非正式声明
·数据敏感标签
·对选定主题和对象的强制访问控制(MAC)
·标签出口能力
·一些发现的瑕疵必须被移除或以其他方式减轻(不确定)
·设计规范和验证
·B2 - 结构化保护
·安全策略模型明确定义并正式记录
·DAC和MAC强制执行扩展到所有主体和客体
·对隐蔽存储通道的出现和带宽进行分析
·仔细构建保护关键和非保护关键元素
·设计和实施可以实现更全面的测试和审查
·认证机制得到加强
·可信赖的设施管理提供管理员和运营商隔离
·强加严格的配置管理控制
·操作员和管理员角色是分开的。
·如:Multics
·B3 - 安全域
·满足参考监视器要求
·结构化以排除对安全策略实施不重要的代码
·旨在降低复杂性的重要系统工程
·安全管理员角色定义
·审计与安全有关的事件
·自动即时入侵检测,通知和响应
·用于用户认证功能的TCB的可信路径
·可信系统恢复程序
·对隐蔽定时通道进行分析以确定发生情况和带宽
·如:XTS-300的前身XTS-300
A - 验证保护(“Verified protection”)
A系统的安全级别最高。
目前,A类安全等级只包含A1一个安全类别。
A1类与B3类相似,对系统的结构和策略不作特别要求。
A1系统的显著特征是,系统的设计者必须按照一个正式的设计规范来分析系统。对系统分析后,设计者必须运用核对技术来确保系统符合设计规范。
A1系统必须满足下列要求:系统管理员必须从开发者那里接收到一个安全策略的正式模型;所有的安装操作都必须由系统管理员进行;系统管理员进行的每一步安装操作都必须有正式文档。
A1 - 已验证设计·在功能上与B3相同
·正式的设计和验证技术,包括正式的顶级规范
·正式的管理和分配程序
·A1级系统的例子有霍尼韦尔的SCOMP,Aesec的GEMSOS和波音的SNS服务器。两个未评估的产品是LOCK平台和取消的DEC VAX安全内核。
超越A1·系统架构表明参考监视器的自我保护和完整性要求已在可信计算库(TCB)中实施。
·安全测试会自动从正式的顶级规范或正式的低级规范中生成测试用例。
·形式规范和验证是在可行的情况下使用形式化验证方法将TCB验证到源代码级别的地方。
·可信设计环境是TCB设计在只有可信(清理)人员的受信任设施中的地方。
Trusted Computer System Evaluation Criteria
commonly called the "Orange Book"美国可信计算机系统评价标准
(TCSEC)
TCSEC对我国信息安全工作的启示和影响