TCSEC,也就是俗称的橘皮书(Orange Book),它是第一个被广泛接受的安全评估标准,由美国国防部于1985年提出,目的在于评估所部署系统的安全程度。TCSEC评估产品的出发点基于三个:
◆有效性,安全功能的使用是否满足所需要提供的安全级别;
◆认可度:授权机构对系统所提供的安全级别的认可程度。
◆物件标记:是否对系统内的物件根据敏感程度的不同进行标记
◆使用者识别:使用者必须经过识别和验证
◆审计:安全相关的事件必须进行日志记录
◆保证性:指:1.操作保证性,比如系统架构、对执行域的保护、系统完整性;2.生命周期保证性,如设计方法、安全测试和设置管理等
◆文档:用户和管理员应该了解如何安装和使用系统的安全功能,测试人员也需要文档去进行测试
◆持续保护:保护机制本身不容易被干扰或破坏
根据这些分级标准,TCSEC的4个安全等级再细分为7个等级,这些等级的名字和详细内容如下:
分级 |
安全功能 |
A1 ( Verified Security ) |
A1 级等于 B3 级,它提供最高的安全性,并设有系统安全管理员这一角色,不过A1级别系统的部署和维护成本也是非常高的,现实中只有极少数的系统要求达到这一安全级别。 |
B1 、 B2 、 B3( Mandatory Protection ) |
B1 级( Labeled protection )是安全等级 B 中最低一级,要求提供满足强制访问控制策略的模型,数据标签、已命名的访问者及访问目标控制、更详细的文档和测试、文档 / 源代码 / 目标代码需要经过分析,这个安全等级常用于 Compartment 环境 |
B2 级( Structured Protection )在 B1 的基础上,增加了更多系统设计要求。其中,要求实现规范的安全模型,隐蔽信道分析、更强的验证方式和可信机房管理。 | |
B3 级( Security Domains )是安全等级 B 中最强的一级,它在 B2 的基础上增加的新元素是安全管理,包括安全事件的自动通知、安全管理员的支持等 | |
C1 、 C2 ( Discretionary Protection ) |
C1 级( Discretionary Security Protection )主要用于多用户环境,只提供防止用户的数据被其他用户修改或破坏的基本保护功能 |
C2 级( Controlled Access Protection )在 C1 的基础上增加了用户登录和审计功能,并使用 DAC 访问控制,尽管 C2 的安全功能较弱,但 C2 级是较适合用于商用系统和程序的安全级别,常见的 MS Windows 和 Linux 都是属于 C2 级别 | |
D ( Minimal Protection ) |
只提交给 TCSEC 评估,自身没有部署安全措施的系统都属于 D 级。 |
◆完整性:TNI使用了Biba安全模型来保证数据的完整性,并使用了信息源/目标认证、加密等方法来保证信息传输的完整性
◆标签:在使用和TCSEC类似的保密性标签之外,TNI还加入了完整性标签,以进行强制访问控制
◆其他安全服务,主要可分成以下几个类型:通讯完整性,包括验证、通讯域完整性、抗抵赖性;拒绝服务防御:操作持续性、基于协议的保护和网络管理;威胁保护:数据保密性和通讯保密性。
功能性F:
功能性等级( F ) |
内容 |
F1-F5 |
和 TCSEC 安全等级所提供的功能相同 |
F6 |
有高完整性要求的系统和应用程序(如数据库系统) |
F7 |
有高可用性要求或特殊要求的系统 |
F8 |
有通信完整性要求的系统 |
F9 |
有高保密性要求的系统(如加密系统) |
F10 |
网络要求高的保密性和完整性 |
确定性等级( E ) |
内容 |
E0 |
无要求 |
E1 |
有安全目标和 TOE 的描述,满足安全目标的测试 |
E2 |
要求具体设计的描述,测试证据需要加以评估,配置管理,分发控制 |
E3 |
需要进行源代码和结构评估,安全机制的测试证据需要加以评估 |
E4 |
安全策略模型、需要有安全增强功能、架构设计和详细设计 |
E5 |
具体设计和源代码必须相符,并需要使用源代码进行漏洞分析 |
E6 |
TOE 的强制标准、安全策略模型的实施 |
ITSEC |
TCSEC |
E0 |
D |
F1 + E1 |
C1 |
F2 + E2 |
C2 |
F3 + E3 |
B1 |
F4 + E4 |
B2 |
F5 + E5 |
B3 |
F5 + E6 |
A1 |
F6 |
系统提供高完整性 |
F7 |
系统提供高可用性 |
F8 |
系统提供通信时的数据完整性 |
F9 |
系统提供高保密性 ( 如加密设备 ) |
F10 |
网络要求高的保密性和完整性 |
CC保留了ITSEC的灵活性,并结合了美国联邦准则(FC)的保护轮廓(Protection Profile)及预定义安全级别。CC的关键概念有:
◆评估对象—— TOE(Target of Evaluation)
◆保护轮廓——PP (Protection Profile)
◆安全目标——ST( Security Target)
◆功能(Function)
◆保证(Assurance)
◆组件(Component)
◆包(Package)
◆评估保证级——EAL( Evaluation Assurance Level)
◆表达一类产品或系统的用户需求
◆组合安全功能要求和安全保证要求
◆技术与需求之间的内在完备性
◆提高安全保护的针对性、有效性
◆安全标准
◆有助于以后的兼容性
◆同TCSEC级类似
CC 标准 |
美国 TCSEC |
欧洲 ITSEC |
-- |
D: 最小保护 |
E0 |
EAL1- 功能测试 |
-- |
-- |
EAL2- 结构测试 |
C1: 任意安全保护 |
F1+E1 |
EAL3- 方法测试和检验 |
C2: 控制存取保护 |
F2+E2 |
EAL4- 方法设计,测试和评审 |
B1: 标识安全保护 |
F3+E3 |
EAL5- 半正式设计和测试 |
B2: 结构保护 |
F4+E4 |
EAL6- 半正式验证的设计和测试 |
B3: 安全域 |
F5+E5 |
EAL7- 正式验证的设计和测试 |
A1: 验证设计 |
F6+E6 |