TCSEC

(Trusted Computer System Evaluation Criteria; commonly called the "Orange Book")

美國可信計算機系統評價標準（TCSEC）

D類安全等級只包括D1一個級別。D1的安全等級最低。D1系統只為文件和用户提供安全保護。D1系統最普通的形式是本地操作系統，或者是一個完全沒有保護的網絡。

該類安全等級能夠提供審計的保護，併為用户的行動和責任提供審計能力。C類安全等級可劃分為C1和C2兩類。C1系統的可信任運算基礎體制（Trusted Computing Base，TCB）通過將用户和數據分開來達到安全的目的。在C1系統中，所有的用户以同樣的靈敏度來處理數據，即用户認為C1系統中的所有文檔都具有相同的機密性。C2系統比C1系統加強了可調的審慎控制。在連接到網絡上時，C2系統的用户分別對各自的行為負責。C2系統通過登陸過程、安全事件和資源隔離來增強這種控制。C2系統具有C1系統中所有的安全性特徵。

B類安全等級可分為B1、B2和B3三類。B類系統具有強制性保護功能。強制性保護意味着如果用户沒有與安全等級相連，系統就不會讓用户存取對象。B1系統滿足下列要求：系統對網絡控制下的每個對象都進行靈敏度標記；系統使用靈敏度標記作為所有強迫訪問控制的基礎；系統在把導入的、非標記的對象放入系統前標記它們；靈敏度標記必須準確地表示其所聯繫的對象的安全級別;當系統管理員創建系統或者增加新的通信通道或I/O設備時，管理員必須指定每個通信通道和I/O設備是單級還是多級，並且管理員只能手工改變指定;單級設備並不保持傳輸信息的靈敏度級別;所有直接面向用户位置的輸出（無論是虛擬的還是物理的）都必須產生標記來指示關於輸出對象的靈敏度;系統必須使用用户的口令或證明來決定用户的安全訪問級別;系統必須通過審計來記錄未授權訪問的企圖。

B2系統必須滿足B1系統的所有要求。另外，B2系統的管理員必須使用一個明確的、文檔化的安全策略模式作為系統的可信任運算基礎體制。B2系統必須滿足下列要求：系統必須立即通知系統中的每一個用户所有與之相關的網絡連接的改變；只有用户能夠在可信任通信路徑中進行初始化通信；可信任運算基礎體制能夠支持獨立的操作者和管理員。

B3系統必須符合B2系統的所有安全需求。B3系統具有很強的監視委託管理訪問能力和抗干擾能力。B3系統必須設有安全管理員。B3系統應滿足以下要求:除了控制對個別對象的訪問外，

B3必須產生一個可讀的安全列表；每個被命名的對象提供對該對象沒有訪問權的用户列表説明;B3系統在進行任何操作前，要求用户進行身份驗證；B3系統驗證每個用户，同時還會發送一個取消訪問的審計跟蹤消息；設計者必須正確區分可信任的通信路徑和其他路徑；可信任的通信基礎體制為每一個被命名的對象建立安全審計跟蹤；可信任的運算基礎體制支持獨立的安全管理。

A系統的安全級別最高。A類安全等級只包含A1一個安全類別。A1類與B3類相似，對系統的結構和策略不作特別要求。A1系統的顯著特徵是，系統的設計者必須按照一個正式的設計規範來分析系統。對系統分析後，設計者必須運用核對技術來確保系統符合設計規範。A1系統必須滿足下列要求：系統管理員必須從開發者那裏接收到一個安全策略的正式模型;所有的安裝操作都必須由系統管理員進行；系統管理員進行的每一步安裝操作都必須有正式文檔。

在信息安全保障階段，歐洲四國（英、法、德、荷）提出了評價滿足保密性、完整性、可用性要求的信息技術安全評價準則（ITSEC）後，美國又聯合以上諸國和加拿大，並會同國際標準化組織（ISO）共同提出信息技術安全評價的通用準則（CC for ITSEC），CC已經被五技術發達的國家承認為代替TCSEC的評價安全信息系統的標準。CC已經被採納為國家標準ISO 15408。