國內外相關標準

TCSEC:Trusted Computer System Evaluation Criteria
ITESEC：Information Technology Security Evaluation Criteria
FC:Federal Criteria for Information Technology Security
CC：Common Criteria

TCSEC評估等級：

A1可驗證設計保護級（安全級別最高）

• 要求建立系統的安全模型，且可以形式化驗證的系統設計，對隱蔽通道進行形式分析
• 目前已獲得承認的A1級系統有Honeywell公司的SCOMP系統，我國的標準去掉了A1

B3安全域保護級

• 要求系統劃分主體客體區域
• 有能力監控對每個客體的每次訪問
• 使用者程式和操作被限定在某個安全域內
• 安全域的訪問收到嚴格的限制
• 要求有一個安全管理員來管理安全活動
• 安全策略方面，採用訪問控制表方式實現DAC

B2結構化保護級

• 要求把系統內部劃分成獨立的模組，採用最小特權原則進行管理，內部結構必須是可證明的
• 對所有主客體實施更強的MAC，從主客體擴大到IO裝置等所有資源
• TCB應支援管理員與操作員分離
• 能夠審計使用隱蔽儲存通道的標誌事件
• 必須給出可驗證的頂級設計，要求開發者對隱蔽通道進行徹底搜尋
• TCB劃分保護與非保護髮部分，存放於固定區內
• 要求給裝置，磁碟或者終端分配一個或者多個安全級

B1帶標記的訪問控制保護級：

• 具有C2的全部功能，還增加或增強了標記、MAC、責任、審計、保證等功能
• 標記：主客體都必須帶標記，並準確體現其安全級別，並且由TCB維護
• 採用強制保護機制，保護機制根據標記對客體進行保護
• B1安全級要求以安全模型為依據，要=徹底分析系統的設計檔案和原始碼，嚴格測試目的碼

C2可控安全保護級：

• 達到企業級安全要求
• C2實現更細的可控自主訪問控制，保護粒度達到單個主體和客體一級
• 要求消除殘留資訊洩露（記憶體、外存、暫存器）
• 要求審計功能（與C1的主要區別）
• 比C1增加授權服務，還有防止訪問權失控擴散的機制
• 要求TCB必須保留在特定區域，防止來自外部的修改；TCB應與被保護的資源隔離
• TCB能夠記錄對認證安全機制的使用、記錄對客體的讀入刪除等操作，記錄系統管理員的管理活動

C1自主安全保護級：

• 實現粗粒度的自主訪問控制機制
• 系統能把使用者與資料隔離
• iTCB通過賬戶和口令去確認使用者身份
• 通過擁有者自定義和控制防止自己的資料被別的使用者破壞
• 要求嚴格的測試和完善的文件資料

D:安全級最低，沒有任何安全措施，整個系統是不可信的，硬體無任何保障機制，作業系統容易受到侵害，無身份認證和訪問控制

CC標準對安全保證要求定義了七個評估保證級（括號內為對應的TESEC級別）：

• 功能性測試，EAL1
• 結構化測試，EAL2 （C1）
• 具有方法學的測試和檢查，EAL3 （C2）
• 具有方法學的設計、測試和審查， EAL4 （B1）
• 半形式化的設計和測試， EAL5（B2）
• 半形式化驗證的設計和測試EAL6（B3）
• 形式化驗證的設計和測試 EAL7（A1）