评测方法和准则的选择与评估

1.评测方法

一个操作系统是安全的，是指它满足某一给定的安全策略。一个操作系统的安全性是与设计密切相关的，只有保证从设计者到用户都相信设计准确地表达了模型，而代码准确地表达了设计时，该操作系统才可以说是安全的，这也是安全操作系统评测的主要内容。评测操作系统安全性的方法主要有3种：形式化验证、非形式化确认及入侵分析。这些方法可以独立使用，也可以将它们综合起来评估操作系统的安全性。

（1）形式化验证

分析操作系统安全性最精确的方法是形式化验证。在形式化验证中，安全操作系统被简化为一个要证明的“定理”。定理断言该安全操作系统是正确的，即它提供了所应提供的安全特性。然而，证明整个安全操作系统正确性的工作量是巨大的。另外，形式化验证也是一个复杂的过程，对于某些大的实用系统，试图描述及验证它都是十分困难的，特别是那些在设计时并未考虑形式化验证的系统更是如此。

（2）非形式化确认

确认是比验证更为普遍的术语。它包括验证，但也包括其他一些不太严格的让人们相信程序正确性的方法。完成一个安全操作系统的确认有如下几种不同的方法。

1）安全需求检查：通过源代码或系统运行时所表现的安全功能，交叉检查操作系统的每个安全需求。其目标是认证系统所做的每件事是否都在功能需求表中列出，这一过程有助于说明系统仅做了它应该做的每件事。但是这一过程并不能保证系统没有做它不应该做的事情。

2）设计及代码检查：设计者及程序员在系统开发时通过仔细检查系统设计或代码，试图发现设计或编程错误，如不正确的假设、不一致的动作或错误的逻辑等。这种检查的有效性依赖于检查的严格程度。

3）模块及系统测试：在程序开发期间，程序员或独立测试小组挑选数据检查操作系统的安全性。必须组织测试数据以便检查每条运行路线、每个条件语句、所产生的每种类型的报表和每个变量的更改等。在这个测试过程中，要求以一种有条不紊的方式检查所有的实体。

（3）入侵分析

入侵分析就像要求一个机修工对大量上市的汽车进行检查的情形。机修工知道可能的缺陷所在，并尽可能地多次检查。操作系统在某一次入侵分析中失效，则说明它内部有错。相反地，操作系统在某一次入侵分析中不失效，并不能保证系统中没有任何错误。入侵分析在确定错误存在方面是非常有用的。

一般来说，评价一个计算机系统安全性能的高低，应从如下两个方面进行。

1）安全功能：系统具有哪些安全功能。

2）可信性：安全功能在系统中得以实现的、可被信任的程度。通常通过文档规范、系统测试、形式化验证等安全保证来说明。

2.评估准则

（1）评估准则概况

为了对现有计算机系统的安全性进行统一的评价，为计算机系统制造商提供一个有权威的系统安全性标准，需要有一个计算机系统安全评测准则。

美国国防部于1983年推出了历史上第一个计算机安全评价标准——《可信计算机系统评测准则》（Trusted Computer System Evaluation Criteria，TCSEC）。TCSEC带动了国际上计算机安全评测的研究，德国、英国和加拿大等纷纷制定了各自的计算机系统评价标准。近年来，我国也制定了相应的强制性国家标准GB17859—1999《计算机信息系统安全保护等级划分准则》和推荐标准GB/T18336-2001《信息技术安全技术信息技术安全性评估准则》。表4-1给出了部分计算机评价标准的概况。

表4-1 部分计算机评价标准的概况

（2）美国TCSEC

TCSEC是美国国防部根据国防信息系统的保密需求制定的，首次公布于1983年。后来在美国国防部国家计算机安全中心（NCSC）的主持下制定了一系列相关准则，如可信任数据库解释（Trusted Database Interpretation）和可信任网络解释（Trusted Network Interpretation）。由于准则的每本书使用了不同颜色的书皮，所以人们将它们称为彩虹系列。1985年，TCSEC再次修改后发布，然后一直沿用至今。直到1999年，TCSEC一直是美国评估操作系统安全性的主要准则，其他子系统（如数据库和网络）的安全性，也一直是通过TCSEC的解释来评估的。按照TCSEC的标准测试系统的安全性主要包括硬件和软件部分，整个测试过程对生产厂商来说是很昂贵的，而且往往需几年才能完成。在美国，一个申请某个安全级别的系统，只有在符合所有的安全要求后才由权威评测机构NCSC颁发相应的证书。

1）美国TCSEC评测准则介绍。计算机安全评测的基础是需求说明，即把一个计算机系统称为“安全的”真实含义是什么。一般来说，安全系统规定安全特性，控制对信息的存取，使得只有授权的用户或代表他们工作的进程才拥有读、写、建立或删除信息的存取权。美国国防部早在1983年就基于这个基本的目标，给出了可信任计算机信息系统的6项基本需求，其中4项涉及信息的存取控制，另外两项涉及安全保障。

●安全策略。必须有一个显式和良好定义的安全策略由该系统实现，同时有已知标识的主体和对象。必须有一组规则，用于确定一个已知主体能否允许存取一指定对象。根据安全策略，计算机系统可以实施强制存取控制，有效地实现处理敏感（如有等级的）信息的存取规则。此外，需要建立自主存取控制机制，确保只有所选择的用户或用户组才可以存取指定数据。

●标记。存取控制标签必须对应于对象。为了控制对存储在计算机中信息的存取，按照强制存取控制规则，必须合理地为每个对象添加一个标签，可靠地标识该对象的敏感级，确定与可能存取该对象的主体相符的存取方式。

●标识。每个主体都必须予以标识。对信息的每次存取都必须通过系统决定。标识和授权信息必须由计算机系统安全地维护。

●审计。可信任系统必须能将与安全有关的事件记录到审计记录中。必须有能力选择所记录的审计事件，减少审计开销。审计数据必须予以保护，免遭修改、破坏或非授权访问。

●保证。为保证安全策略、标记、标识和审计这4种需求被正确实施，必须有某些硬件和软件实现这些功能。这组软件或硬件在典型情况下被嵌入操作系统中，并设计为以安全方式执行所赋予的任务。

●连续保护。实现这些基本需求的可信任机制必须连续保护，避免篡改和非授权改变。如果实现安全策略的基本硬件和软件机制本身易遭到非授权修改或破坏，则任何这样的计算机系统都不能被认为是真正安全的。连续保护需求在整个计算机系统生命周期中均有意义。

根据以上6项基本需求，TCSEC在用户登录、授权管理、访问控制、审计跟踪、隐蔽信道分析、可信通路建立、安全检测、生命周期保障和文档写作等各方面，均提出了规范性要求，并根据所采用的安全策略、系统所具备的安全功能将系统分为4类7个安全级别，即D类、C类、B类和A类，以层次方式排序，A类代表安全性最高的系统。其中，C类和B类又有若干子类称为级，级也以层次方式排序，各级别安全可信性依次增高，较高级别包含较低级别的安全性。

在每个级别内，准则分为4个主要部分。前3部分叙述满足安全策略、审计和保证的主要控制目标。第4部分是文档，描述文档的种类，以及编写用户指南、手册、测试文档和设计文档的主要要求。

D类只包含一个级别——D级，是安全性最低的级别。不满足任何较高安全可信性的系统全部划入D级。该级别说明整个系统都是不可信任的。对硬件来说，没有任何保护作用，操作系统容易受到损害；不提供身份验证和访问控制。

C类为自主保护类（Discretionary Protection）。C类的安全特点在于系统的对象（如文件、目录）可由其主体（如系统管理员、用户、应用程序）自定义访问权。C类依据安全从低到高，又分为C1、C2两个安全等级。

C1级：又称自主安全保护（Discretionary Security Protection）系统，实际上描述了一个典型的UNIX系统上可用的安全评测级别。对硬件来说，存在某种程度的保护。用户必须通过用户注册名和密码使系统识别，这种组合用来确定每个用户对程序和信息拥有什么样的访问权限。具体来说，这些访问权限是文件和目录的许可权限（Permission）。存在一定的自主存取控制（DAC）机制，这些自主存取控制使得文件和目录的拥有者或者系统管理员，能够阻止某个人或几组人访问部分程序或信息。UNIX操作系统的“Owner/Group/Other”存取控制机制，即是一个典型的例子。但是这一级别没有提供阻止系统管理账户行为的方法，结果是不审慎的系统管理员可能在无意中破坏了系统的安全。

另外，在这一级别中，许多日常系统管理任务只能通过超级用户执行。由于系统无法区分哪个用户以Root身份注册系统执行了超级用户命令，因而容易引发信息安全问题，且出了问题以后难以追究责任。

C2级：又称受控制的存取控制系统。它具有以用户为单位的DAC机制，且引入了审计机制。除C1级包含的安全特征外，C2级还包含其他的受控访问环境（Controlled-Access Environment）的安全特征。该环境具有进一步限制用户执行某些命令或访问某些文件的能力，这不仅基于许可权限，而且基于身份验证级别。另外，这种安全级别要求对系统加以审计，包括为系统中发生的每个事件编写一个审计记录。审计用来跟踪记录所有与安全有关的事件，如那些由系统管理员执行的活动。

B类为强制保护（Mandatory Protection）类。该类的安全特点在于由系统强制的安全保护。在强制保护模式中，每个系统对象（如文件、目录等资源）及主体（如系统管理员、用户、应用程序）都有自己的安全标签（Security Label），系统则依据主体和对象的安全标签赋予用户对访问对象的存取权限。强制保护类依据安全从低到高，又分为B1、B2、B3三个安全等级。

B1级：又称标记安全保护（Labeled Security Protection）级。B1级要求具有C2级的全部功能，并引入强制型存取控制（MAC）机制，以及相应的主体、客体安全级标记和标记管理。它是支持多级安全（如秘密和绝密）的第一个级别，这一级别说明一个处于强制性访问控制之下的对象，不允许文件的拥有者改变其存取许可权限。

B2级：又称结构保护（Structured Protection）级。B2级要求具有形式化的安全模型、描述式顶层设计说明（DTDS）、更完善的MAC机制、可信通路机制、系统结构化设计、最小特权管理、隐蔽信道分析和处理等安全特征。它要求计算机系统中所有的对象都加标记，而且给设备（如磁盘、磁带或终端）分配单个或多个安全级别。B2级是提供较高安全级别的对象与另一个较低安全级别的对象相互通信的第一个级别。

B3级：又称安全域（Security Domain）级。B3级要求具有全面的存取控制（访问监控）机制、严格的系统结构化设计及TCB最小复杂性设计、审计实时报告机制、更好的分析和解决隐蔽信道问题等安全特征。它使用安装硬件的办法增强域的安全性。例如，内存管理硬件用于保护安全域免遭无授权访问或其他安全域对象的修改。该级别也要求用户的终端通过一条可信任途径连接到系统上。

A类为验证设计保护（Verify Design）类，是当前TCSEC中最高的安全级别，它包含了一个严格的设计、控制和验证过程。与前面提到的各级别一样。这一级别包含了较低级别的所有特性。设计必须是在数学上经过验证的，而且必须进行隐蔽信道和可信任分布的分析。可信任分布（Trusted Distribution）的含义是，硬件和软件在传输过程中已经受到保护，不可能破坏安全系统。A类只有一个安全等级，即A1级。

A1级要求具有系统形式化顶层设计说明（FTDS），并形式化验证FTDS与形式化模型的一致性，以及用形式化技术解决隐蔽信道问题等。

美国国防部采购的系统要求其安全级别至少达到B类，商业用途的系统也追求达到C类安全级别。TCSEC从B1到B2的升级，在安全操作系统设计开发中，被认为是单级增强最为困难的一个阶段。

我国国家标准GB 17859—1999将计算机信息系统安全保护能力划分为5个等级，第5级是最高安全等级。一般认为，GB 17859—1999的第4级对应于TCSEC B2级，第5级对应于TCSEC B3级。

下面介绍TCSEC B2级和B3级的详细内容。其他各级别，限于篇幅就不再介绍了。

2）TCSEC的B2级详细内容。在符合TCSECB2级的安全系统中，TCB基于清晰定义和编制成文档的形式安全模型，要求将B1级建立的自主存取控制和强制存取控制实现扩充到系统的所有主体和对象。此外，隐蔽信道被指明。TCB需要仔细构造为临界保护元素和非临界保护元素。TCB接口是被严格定义的，TCB设计和实现使其能进行详细的测试和更完备的复查。认证机制被加强，并强制建立严格的配置管理机制。

对B2级系统的最低要求包括：

●自主存取控制。TCB定义和控制系统中命名用户和命名对象（如文件和程序）之间的存取。实施机制（如用户/用户组/公用控制表）允许用户指定和控制命名用户（或定义的用户组，或二者）共享命名对象，并提供控制限制存取权限的扩散。自主存取控制机制能在单个用户粒度下进行蕴含存取或取消存取。

●客体重用。释放一个客体时，将释放其目前所保存的所有信息。当它再次分配时，新主体将不能据此获得原主体的任何信息。

●标记。对于由TCB之外的主体可直接或间接存取的每个系统资源（如主体、存储对象、ROM），与其相关联的敏感标记要由TCB进行维护。这些标记被用作强制存取控制进行决策的依据。为引入无标记数据，TCB请求并从授权用户接收该数据的安全级，所有这样的活动都必须是TCB可审计的。

●标记完整性。敏感标记要准确表示指定主体和对象的安全级。当由TCB输出时，敏感标记要准确、无二义地表示内部标记，并与所输出的信息相对应。

●输出有标记的信息。对于每个通信通道和I/O设备，TCB要将其标记成单级的或多级的设备。这种标记的任何改变均要由人工完成，并要通过TCB的审计。与通信通道或I/O设备对应的安全级（一级或几级）的任何改变，TCB应能审计。

●输出到多级设备。当TCB将一个对象输出到多级I/O设备时，与此对象对应的敏感标记也要输出，并驻留在与输出信息相同的物理介质上。当TCB将一个对象在多级通信通道上输出或输入时，为使敏感标记与被发送或接收的信息之间进行准确且无二义的对应，应提供该通道所使用的协议。

●输出到单级设备。单级I/O设备和单级通道不要求保持它们所处理的信息的敏感标记。然而，TCB要提供一种供TCB和授权用户可靠通信的机制，以便经过单级通信通道或I/O设备输出或输入后，对信息加上单安全级的标记。

●人可读输出加标记。系统管理员应能指定与输出敏感标记相对应的可打印标记名。对所有的人可读输出

（如行式打印机输出）的开始和结束处，TCB都加上人可读敏感标记，以正确表示该输出的敏感性。根据默认，对人可读输出（如行式打印机输出）各页的顶部和底部，TCB都加上人可读敏感标记，以正确表示该输出的整体敏感性或正确表示该页上信息的敏感性。这些标记都是TCB可审计的。

●主体敏感标记。TCB应能立即观察到终端用户在交互会话期间与该用户对应的安全级的任何改变。

●设备标记。TCB支持为所有已连接的物理设备设置安全级，并加上设备安全标记。

●强制存取控制。TCB对于由TCB以外的主体可直接或间接存取的所有资源（即主体、存储对象和I/O设备），要实施强制存取控制策略。对这些主体和对象要赋予敏感标记，标记是有层次的级和无层次的范畴的组合，并被用作强制存取控制进行决策的依据。具体要求是：一个主体能够读一个对象，当且仅当主体安全级中有层次的级大于或等于对象安全级中有层次的级，并且主体安全级中无层次的范畴包含对象安全级中所有无层次的范畴。一个主体能够写一个对象，当且仅当主体安全级中有层次的级小于或等于对象安全级中有层次的级，并且主体安全级中无层次的范畴被对象安全级中无层次的范畴包含。标识和认证数据将由TCB使用，对用户进行标识和认证。

●标识和认证。TCB要求用户先进行自身识别，之后才开始执行需TCB控制的任何其他活动。此外，TCB要维护认证数据，不仅包括各个用户的许可证和授权信息，而且包括为验证各用户标识所需的信息（如密码）。此数据将由TCB使用，对用户标识进行认证，并对代表各个用户活动能创建的TCB之外的主体，确保其安全级和授权是受那个用户的许可证和授权支配的。TCB要保护认证数据，以便不被任何非授权用户存取。TCB还要提供关于标识和认证的审计功能。

●可信通路。TCB要支持它本身与用户之间的可信任通信路径，以便进行初始登录和认证。

●审计。TCB对于它所保护的对象，要能够建立和维护对其进行存取的审计踪迹，并保护该踪迹不被修改或非授权存取和破坏。审计数据要受TCB保护。TCB应能记录下列类型的事件：标识和认证机制的使用；对象引用用户地址空间（如文件打开、程序初始启动）；删除对象；计算机操作员和系统管理员或系统安全员进行的活动；其他与安全有关的事件。TCB还应能对人可读输出标记的任何覆盖进行审计。对所记录的每一个事件，审计记录要标识该事件的日期和时间、用户、事件类型、该事件的成功或失败。对于标识/认证事件，请求的来源（如终端ID）要包括在该审计记录中。对于将对象引进用户地址空间事件和对象删除事件，审计记录要包括该对象的安全级。系统管理员应能根据各用户标识和对象安全级，对任一个或几个用户的活动有选择地进行审计。对于可用于隐蔽存储通道使用的标识事件，TCB应能进行审计。

●系统体系结构。TCB应保护其自身执行的区域，使其免受外部干预。TCB应能提供不同的地址空间保证进程隔离。TCB要从内部被构造成具有良好定义的、基本上独立的模块，有效地利用可用硬件，将属于临界保护的元素与非临界保护元素区分开。TCB模块的设计应遵循最小特权原则。硬件特性如分段，将用于支持具有不同属性的、逻辑上不同的存储对象。对TCB的用户接口定义要完全，且TCB的全部元素要进行标识。

●隐蔽信道分析。系统开发者要对隐蔽存储通道进行全面搜索，并确定（采用实际测量或工程估价）每个被标识通道的最大带宽。

●可信任机构管理。TCB要支持单独的操作员和管理员功能。

●安全测试。系统的安全机制要经过测试，并确认依据系统文档的要求进行工作。由充分理解该TCB特定实现的人员组成的小组，对其设计文档、源代码和目标代码进行全面的分析和测试，目标是纠正所有被发现的缺陷，并重新测试TCB表明缺陷已被消除，而且没有引进新的缺陷。测试将说明，该TCB的实现符合描述性顶层规范。

●设计规范和验证。在系统的生命周期内，TCB支持的安全策略形式模型始终有效，TCB的描述性顶层规范（DTLS）始终有效。

●配置管理。在TCB的开发和维护期间，配置管理系统要保持与当前TCB版本对应的所有文档与代码之间映射关系的一致性。要提供由源代码生成新版TCB的工具。还要有适当工具，对新生成的TCB版本与前一版本进行比较，以便肯定实际使用的新版TCB代码中只进行了所要求的改变。

●安全特性用户指南。用户文档中单独的一节、一章或手册，对TCB提供的保护机制和使用方法进行描述。

●可信任机制手册。针对系统管理员的手册应当说明在运行安全机制时，应用有关功能和特权时的注意事项，每种类型审计事件的详细审计记录结构，以及检查和维护审计文件的过程。该手册还要说明与安全有关的操作员和管理员功能，如改变用户的安全特性。如何安全地生成新的TCB，也要予以说明。

●测试文档。系统开发人员要向评测人员提供一个文档，说明测试计划，描述安全机制的测试过程，以及安全机制功能测试的结果。测试文档还应包括为减小隐蔽信道带宽所用的方法，以及测试的结果。

●设计文档。设计文档提供生产厂商关于系统保护原理的描述，并且说明如何将该原理转换成TCB。设计文档应当说明，由TCB实施的安全策略模型可以实施该安全策略。文档要描述，TCB如何防篡改，不能被迂回绕过；TCB如何进行构造以便于测试和实施最小特权等。此外，描绘性顶层规范（DTLS）应准确描述TCB接口。

3）TCSEC的B3级详细内容。在符合TCSECB3级的安全系统中，可信计算基要满足访问监控器的需求。访问监控器仲裁主体对客体的全部访问。访问监控器本身是抗篡改的；必须足够小，能够分析和测试。为了满足访问监控器需求，计算机信息系统可信计算基在其构造时，排除那些对实施安全策略来说并非必要的代码；在设计和实现时，从系统工程角度将其复杂性降低到最小程度。支持安全管理员职能；扩充审计机制，当发生与安全相关的事件时发出信号；提供系统恢复机制。系统具有很高的抗渗透能力。

对B3级系统的最低要求如下：

●自主存取控制。同TCSEC B2级要求。

●客体重用。同TCSEC B2级要求。

●标记。同TCSEC B2级要求。

●标记完整性。同TCSEC B2级要求。

●输出有标记的信息。同TCSEC B2级要求。

●输出到多级设备。同TCSEC B2级要求。

●输出到单级设备。同TCSEC B2级要求。

●人可读输出加标记。同TCSEC B2级要求。

●主体敏感标记。同TCSEC B2级要求。

●设备标记。同TCSEC B2级要求。(www.xing528.com)

●强制存取控制。同TCSEC B2级要求。

●标识和认证。同TCSEC B2级要求。

●可信通路。当要求TCB到用户的连接时（如登录和改变主体安全级等），TCB要支持它本身与用户之间的可信任通信路径。可信任通信路径上的通信只能由该用户或计算机信息系统可信计算基激活，且在逻辑上与其他路径上的通信相隔离，且能正确地加以区分。

●审计。除满足TCSEC B2级要求外，TCB还应包含能监视可审计安全事件发生与积累的机制。当上述事件超过阈值时，该机制能立即向安全管理员发出警报。如果这些安全相关事件继续发生和积累，系统应以最小代价中止它们。

●系统体系结构。除满足TCSEC B2级要求外，TCB还应被设计和构造成使用完整的、概念上简单的、语义精确定义的保护机制。这个机制应在实施TCB与系统的内部构造中起到核心作用。TCB应充分使用分层化、抽象化和数据隐藏功能。应从系统工程的角度将TCB的复杂性降低到最小程度，并从TCB中排除与安全保护无关的代码。

●系统完整性。要提供可以用于周期性验证TCB硬件和固件要素的操作正确性的硬件和/或软件功能。

●隐蔽信道分析。同TCSEC B2级要求。

●可信任机构管理。TCB除要支持单独的操作员和管理员功能外，还要标识以安全管理员角色执行的函数。在采取明确的可审计动作以假定安全管理员角色后，系统管理人员仅仅可以执行安全管理功能。要严格限制用安全管理员角色执行的与安全无关的功能，使之仅能有效执行安全角色。

●可信恢复。计算机信息系统可信计算基提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

●安全测试。除满足TCSEC B2级要求外，测试后的系统应没有设计缺陷，可以有少量可以修正的实现缺陷，同时可以容忍少量缺陷未被发现。

●设计规范和验证。在系统的生命周期内，TCB支持的安全策略形式模型应始终有效，并要证明该形式模型与其公理的一致性。TCB的描述性顶层规范（DTLS）要用例外、出错消息和效果等完备并精确地描述TCB。同时，要表明对TCB接口的描述是精确的，给出DTLS与模型一致性的可信服论证。

●配置管理。同TCSEC B2级要求。

●安全特性用户指南。同TCSEC B2级要求。

●可信任机制手册。除满足TCSEC B2级要求外，还要包含确保系统以安全方式启动的过程，同时要包含在系统操作失误后重新开始系统操作的过程。

●测试文档。同TCSEC B2级要求。

●设计文档。同TCSEC B2级要求。

4）通过TCSEC评测认证的部分系统。表4-2给出美国国家计算机安全中心评测通过的若干安全系统。

表4-2 通过美国国家计算机安全中心评测的若干安全系统

（3）中国国家标准GB17859—1999

1999年10月19日，中国原国家质量技术监督局发布了中华人民共和国国家标准GB17859—1999《计算机信息系统安全保护等级划分准则》，该准则将计算机信息系统安全保护能力划分为5个等级。

第一级：用户自主保护级。

第二级：系统审计保护级。

第三级：安全标记保护级。

第四级：结构化保护级。

第五级：访问验证保护级。

计算机信息系统安全保护能力随着安全保护等级的提高，逐渐增强。

1）第一级用户自主保护级。每个用户对属于他自己的客体具有控制权，如不允许其他用户写他的文件而允许其他用户读他的文件。存取控制的权限可基于3个层次：客体的属主、同组用户和其他任何用户。另外，系统中的用户必须用一个注册名和一个密码验证其身份，目的在于标明主体是以某个用户的身份进行工作的，避免非授权用户登录系统。同时要确保非授权用户不能访问和修改“用来控制客体存取的敏感信息”和“用来进行用户身份认证的数据”。

具体说明如下：

●可信计算基要定义和控制系统中命名用户对命名客体的访问，进行自主存取控制。

●具体实施自主存取控制的机制应能控制客体属主、同组用户和其他任何用户对客体的共享以及如何共享。

●实施自主存取控制机制的敏感信息要确保不被非授权用户读取、修改和破坏。

●在用户登录时，系统通过认证机制对用户进行认证。

●认证用户的数据信息，要确保不被非授权用户访问、修改和破坏。

2）第二级系统审计保护级。与第一级“用户自主保护级”相比，增加了以下内容：

●自主存取控制的粒度更细，要达到系统中的任一单个用户。

●审计机制。审计系统中受保护客体被访问的情况（包括增加、删除等），用户身份认证机制的使用，系统管理员、系统安全管理员、操作员对系统的操作，以及其他与系统安全有关的事件。要确保审计日志不被非授权用户访问和破坏。对于每一个审计事件，审计记录包括事件的时间和日期、事件的用户、事件类型、事件是否成功等。对身份认证事件，审计记录包含请求的来源（如终端标识符）；对客体引用用户地址空间的事件及客体删除事件，审计记录包含客体名。对不能由TCB独立分辨的审计事件，审计机制提供审计记录接口，可由授权主体调用。

●TCB对系统中的所有用户进行唯一标识（如ID号），系统能通过用户标识号确认相应的用户。

●客体重用。释放一个客体时，将释放其目前所保存的信息。当它再次分配时，新主体将不能据此获得其原主体的任何信息。

3）第三级安全标记保护级。在第二级“系统审计保护级”的基础上增加了下述安全功能：

●强制存取控制机制。TCB对系统的所有主体及其控制的客体（如进程、文件、段、设备）指定敏感标记（即安全级），这些敏感标记由级别和类别组成，级别是线性的，如公开、秘密、机密和绝密等，类别是一个集合，如{外交，人事，干部调配}。敏感标记如{秘密：外交，人事}。两个敏感标记之间可以是支配关系、相等关系或无关。敏感标记1支配敏感标记2，是指敏感标记1的级别大于或等于敏感标记2的级别，并且敏感标记1的类别包含敏感标记2的类别。敏感标记1和敏感标记2相等，是指敏感标记1的级别等于敏感标记2的级别，并且敏感标记1的类别等于敏感标记2的类别。除了支配和相等以外，两个敏感标记之间的关系就是无关。仅当主体的敏感标记支配客体的敏感标记时，主体才可以读取客体；仅当客体的敏感标记支配主体的敏感标记时，主体才可以写客体。

●在网络环境中，要使用完整性敏感标记确保信息在传送过程中没有受损。

●系统要提供有关安全策略模型的非形式化描述。

●系统中主体对客体的访问要同时满足强制访问控制检查和自主访问控制检查。

●在审计记录的内容中，对客体增加和删除事件要包括客体的安全级别。另外，TCB对可读输出记号（如输出文件的安全级标记等）的更改要能审计。

具体来说，第三级“安全标记保护级”要求具有以下内容：

●自主访问控制。

●强制访问控制。

●用户身份认证。

●客体重用机制。

●审计机制。

●数据完整性机制。

4）第四级结构化保护级。该保护级明确要求具备以下安全功能：

●可信计算基建立于一个明确定义的形式化安全策略模型之上。

●对系统中的所有主体和客体实行自主访问控制和强制访问控制。

●进行隐蔽存储信道分析。

●为用户注册建立可信通路机制。

●TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口定义必须明确，其设计和实现要能经受更充分的测试和更完整的复审。

●支持系统管理员和操作员的职能划分，提供可信功能管理。

具体来说，就是要求具有以下内容：

●自主访问控制。同第三级“安全标记保护级”。

●强制访问控制。TCB对外部主体能够直接或间接访问的所有资源（主体、存储客体、输入/输出资源）实施强制访问控制。

●身份认证。同第三级“安全标记保护级”。

●客体重用。同第三级“安全标记保护级”。

●审计。同第三级“安全标记保护级”，但增加了审计隐蔽存储信道事件。

●隐蔽信道分析。系统开发者应彻底搜索隐蔽存储信道，并根据实际测量或工程，估算确定每一个被标识信道的最大带宽。

●可信任通信路径。对用户的初始登录（如Login），TCB在它与用户之间提供可信任通信路径，使用户确信其与TCB进行通信，而不是与一个“特洛伊木马”通信，其输入的用户名和密码的确被TCB接收。

5）第五级访问验证保护级。该保护级的关键功能要求在于：

●TCB满足访问监控器需求，它仲裁主体对客体的全部访问，其本身足够小，能够进行分析和测试。在构建TCB时。要清除那些对实施安全策略不必要的代码。在设计和实现时，从系统工程角度将其复杂性降低到最小程度。

●扩充审计机制，当发生与安全相关的事件时能发出信号。

●系统具有很强的抗渗透能力。

具体说明如下：

●自主访问控制。同第四级“结构化保护级”。

●强制访问控制。同第四级“结构化保护级”。

●客体重用。同第四级“结构化保护级”。

●审计。同第四级“结构化保护级”，但增加了报警机制和中止事件的能力，即TCB包含能够监控可审计安全事件的发生与积累的机制，当超过阈值时，能够立即向安全管理员发出警报。如果这些与安全相关的事件继续发生或积累，系统应能以最小的代价中止它们。

●隐蔽信道分析。系统开发者要彻底搜索隐蔽信道（包括隐蔽存储信道和隐蔽时间信道），并根据实际测量或工程，估算确定每一个被标识信道的最大带宽。

●可信任通信路径。当连接用户时（如用户的初始登录或更改主体安全级），TCB在它与用户之间提供可信任通信路径，使用户确信其正与可信计算基进行通信，而不是与一个“特洛伊木马”通信，确保输入被TCB接收。另外，可信任通信路径在逻辑上与其他路径上的通信相隔离，且能正确加以区分。

●可信恢复。TCB要提供过程和机制，保证计算机信息系统失效或中断后，可以进行不损害任何安全保护性能的恢复。

（4）国际通用安全评价准则（CC）

美国联合荷兰、法国、德国、英国和加拿大等国，于1991年1月宣布了制定通用安全评价准则（Common Criteria for IT Security Evaluation，CC）。1996年1月，发布了CC的1.0版。它的基础是欧洲的ITSEC、美国的TCSEC、加拿大的CTCPEC，以及国际标准化组织（ISO）SC27WG3的安全评价标准。1999年7月，国际标准化组织将CC2.0作为国际标准——ISO/IEC 15408公布。CC标准提出了“保护轮廓”，将评估过程分为“功能”和“保证”两部分，是目前最全面的信息技术安全评估标准。CC标准在内容上包括3部分：一是简介和一般模型，二是安全功能要求，三是安全保证要求。

（5）中国国家推荐标准GB/T 18336—2001

中国国家推荐标准GB/T 18336—2001《信息技术安全技术信息技术安全性评估准则》是由中国原国家质量技术监督局于2001年发布的信息技术安全性评估准则，其分为3部分：简介和一般模型、安全功能要求和安全保证要求。