【正文】 標記安全保護級 B1級系統要求具有 C2級系統的所有特性 在此基礎上，還應提供安全策略模型的非形式化描述、數據標記以及命名主體和客體的強制訪問控制并消除測試中發(fā)現的所有缺陷。 C2 受控存取保護級 比 C1級具有更細粒度的自主訪問控制。 C1 自主安全保護級 TCB通過隔離用戶與數據，使用戶具備自主安全保護的能力； 具有多種形式的控制能力，對用戶實施訪問控制； 為用戶提供可行的手段，保護用戶和用戶組信息，避免其他用戶對數據的非法讀寫與破壞。 可信計算機系統評估準則 TCSEC D 安全性能達不到 C1級的劃分為 D級。 ? TCSEC開始主要是作為軍用標準，提出了美國在軍用信息技術安全性方面的要求，后來延伸至民用。 ? 2023年 3月 8日，國家質量技術監(jiān)督局正式頒布國家標準 GB/T 18336，并定于 2023年 12月 1日正式實施。 IT 安全性評估準則 ? 1999年 6月， ISO接納 ISO/IEC 15408草案，且定名為“ 信息技術 —— 安全技術 —— IT安全性評估準則 ”，但仍用 CC作為其簡稱?？尚怕窂缴系耐ㄐ胖荒苡稍撚脩艋蛴嬎銠C信息系統可信計算基激活，且在邏輯上與其他路徑上的通信相隔離，且能正確地加以區(qū)分。 隱蔽信道分析 ? 系統開發(fā)者應徹底搜索隱蔽信道，并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。 數據完整性 ? 可信計算基通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信息。 ? 可信計算基包含能夠監(jiān)控可審計安全事件發(fā)生與積累的機制，當超過閾值時，能夠立即向安全管理員發(fā)出報警。這些審計記錄區(qū)別于計算機信息系統可信計算基獨立分辨的審計記錄。此外，計算機信息系統可信計算基具有審計更改可讀輸出記號的能力。對于每一事件，其審計記錄包括：事件的日期和時間、用戶、事件類型、事件是否成功。 審計 ? 可信計算基能創(chuàng)建和維護受保護客體的訪問審計跟蹤記錄，并能阻止非授權的用戶對它訪問或破壞。 客體重用 ? 在可信計算基的空閑存儲客體空間中，對客體初始指定、分配或再分配一個主體之前，撤銷客體所含信息的所有授權。 ? 通過為用戶提供唯一標識，可信計算基能夠使用戶對自己的行為負責。 身份鑒別 ? 可信計算基初始執(zhí)行時，首先要求用戶標識自己的身份，而且，可信計算基維護用戶身份識別數據并確定用戶訪問權及授權數據。這些標記是實施強制訪問的基礎。 ? 可信計算基使用身份和鑒別數據，鑒別用戶的身份，保證用戶創(chuàng)建的可信計算基外部主體的安全級和授權受該用戶的安全級和授權的控制。 ? 可信計算基支持兩種或兩種以上成分組成的安全級。 強制訪問控制 ? 可信計算基對外部主體能夠直接或間接訪問的所有資源（例如：主體、存儲客體和輸入輸出資源）實施強制訪問控制。訪問控制能夠為每個命名客體指定命名用戶和用戶組，并規(guī)定他們對客體的訪問模式。 自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。實施機制（例如：訪問控制表）允許命名用戶和（或）以用戶組的身份規(guī)定并控制客體的共享；阻止非授權用戶讀取敏感信息。系統具有很高的抗?jié)B透能力。 ? 為了滿足訪問監(jiān)控器需求，可信計算基在其構造時，排除那些對實施安全策略來說并非必要的代碼；在設計和實現時，從系統工程角度將其復雜性降低到最小程度。訪問監(jiān)控器仲裁主體對客體的全部訪問。該路徑上的通信只能由該用戶初始化。 隱蔽信道分析 ? 系統開發(fā)者應徹底搜索隱蔽存儲信道，并根據實際測量或工程估算確定每一個被標識信道的最大帶寬。阻止非授權用戶修改或破壞敏感信息。 ? 可信計算基能夠審計利用隱蔽存儲信道時可能被使用的事件。 ? 對不能由可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。 – 對于身份鑒別事件，審計記錄包含請求的來源（例如：終端標識符）； – 對于客體引入用戶地址空間的事件及客體刪除事件，審計記錄包含客體及客體的安全級別。 ? 可信計算基能記錄下述事件： – 使用身份鑒別機制； – 將客體引入用戶地址空間（例如：打開文件、程序初始化）； – 刪除客體； – 由操作員、系統管理員或（和）系統安全管理員實施的動作，以及其他與系統安全有關的事件。 ? 當主體獲得對一個已被釋放的客體的訪問權時，當前主體不能獲得原主體活動所產生的任何信息。 ? 可信計算基還具備將身份標識與該用戶所有可審計行為相關聯的能力。 ? 可信計算基使用這些數據，鑒別用戶身份，并使用保護機制（例如：口令）來鑒別用戶的身份； ? 阻止非授權用戶訪問用戶身份鑒別數據。 ? 為了輸入未加安全標記的數據，可信計算基向授權用戶要求并接受這些數據的安全級別，且可由可信計算基審計。 標記 ? 可信計算基維護與可被外部主體直接或間接訪問到的計算機信息系統資源（例如：主體、存儲客體、只讀存儲器）相關的敏感標記。計算機信息系統可信計算基外部的所有主體對客體的直接或間接的訪問應滿足： – 僅當主體安全級中的等級分類高于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含了客體安全級中的全部非等級類別，主體才能讀客體； – 僅當主體安全級中的等級分類低于或等于客體安全級中的等級分類，且主體安全級中的非等級類別包含于客體安全級中的非等級類別，主體才能寫一個客體。為這些主體及客體指定敏感標記，這些標記是等級分類和非等級類別的組合，它們是實施強制訪問控制的依據。沒有存取權的用戶只允許由授權用戶指定對客體的訪問權。 自主訪問控制機制根據用戶指定方式或默認方式，阻止非授權用戶訪問客體。 自主訪問控制 ? 可信計算基定義和控制系統中命名用戶對命名客體的訪問。 ? 加強了鑒別機制； ? 支持系統管理員和操作員的職能； ? 提供可信設施管理； ? 增強了配置管理控制。 ? 可信計算基必須結構化為關鍵保護元素和非關鍵保護元素。 第四級：結構化保護級 ? 可信計算基建立于一個明確定義的形式化安全策略模型之上，它要求將第三級系統中的自主和強制訪問控制擴展到所有主體與客體。 數據完整性 ? 可信計算基通過自主和強制完整性策略，阻止非授權用戶修改或破壞敏感信息。 ? 對不能由可信計算基獨立分辨的審計事件，審計機制提供審計記錄接口，可由授權主體調用。 – 對于身份鑒別事件，審計記錄包含請求的來