1985年美国国防部发布,已成为公认的计算机系统系统安全级别的划分标准。安全产品在美国必须通过严格的评测并授予级别证书,才能出售和使用。
访问控制在该标准中有非常重要的地位。
- 计算机系统必须实施一种定义清晰明确的安全访问控制策略。即给定主体和客体,系统有一套明确的规则用来判定主体是否有权访问客体;
- 对每个客体赋予一个访问标签,以表示其安全级别;
- 主体访问客体前必须经过严格的身份鉴别和认证;
- 审计信息必须独立保存,以使安全相关的动作能够追踪到责任人。在可信系统中,安全相关时间被记录在审计日志里,审计的执行对系统整体性能的影响要尽可能小,审计数据要易于分析,能保证这些数据不被非法存取和修改;
- 系统本身必须能够独立地保证1-4的安全要求;
- 实现安全要求的可信机制自身必须得到保护,以防被篡改。
——根据这六点要求,TCSEC把计算机系统的安全划分为A、B、C、D四个等级,A级最高,D级最低。
D级(最小保护)
未通过测评,系统不可信任,硬件无任何保护,操作系统易受损害,用户访问系统无需身份认证,如早期的DOS和WINDOWS3.1;
C级(自主保护)
分为C1(任意访问控制)和C2(受限访问控制)两个子级别。C1要求用户通过口令访问系统,但系统管理员权限不受限制,如早期UNIX和Novell3.x;C2在C1的基础上引入受控访问控制,进一步限制存取,隐藏口令文件,并增加了审计机制,记录所发生的事件,如NT3.51;
B级(强制访问控制)
建立敏感标签并维护其完整性,实施强制访问控制,分为B1(标签安全保护)、B2(结构化保护)、B3(安全区域保护)三个子级别。B1要求对系统中主要数据附加敏感标签,在引用监视器(reference monitor)的控制下进行客体访问;B2要求对系统中所有对象(包括终端、磁盘驱动器等设备)定义不同的安全标签,并增加隐通道的分析和保护;B3要求提供登陆系统的可信通道,并通过硬件保护系统安全区域。DGUX和HP都有B1和B2级的UNIX产品。
A级(验证保护)
对安全访问控制模型的正确性要进行形式化的数学证明,对隐通道也要做形式化分析。这是最高安全级别,目前还正在研究当中。