课件11：第5-1~3节安全性评估准则TCSE.ppt

信息系统安全性评估,5.1 可信计算机系统评价准则（TCSEC） 5.2 可信网络评价 5.3 我国安全评价标准,可信计算机系统评估准则,背景与目的 系统的安全性度量 可信计算机系统评价准则 操作系统的访问控制模型 计算机系统安全等级,背景资料,早在1967年美国国防科学委员会就提出计算机安全保护问题， 1970年美国国防部（DoD）在国家安全局（NSA）建立了一个计算机安全评估中心（NCSC），开始了计算机安全评估的理论与技术的研究。 计算机系统安全的核心问题是操作系统的安全问题，确认操作系统安全方面工作做的最多的组织是美国国防部（DoD），具体工作是美国国家计算机安全中心（NCSC）完成的。,1983年8月NCSC首先推出了DoD可信计算机系统安全评估准则（CSC-STD-001-83）。这套标准的文献名称是可信计算机系统评价准则（Trusted Computer System Evaluation Criteria TCSEC)，该标准又称橘皮书。 1985年美国国防部正式采用该标准，并进行了修改与完善，作为美国国防部的标准。,TCSEC推出的目的,为制造商提供一个安全评估标准，作为检查与评价产品的依据。 为国防部各部门和用户，提供一种验收度量标准。 分析、研究和制定规范时，为安全方面的需求提供一种基础。,系统的安全性度量,安全性政策：必须有一项明确而确定的安全策略。 标识（ID）：必须唯一而可靠地标识每一个主体，以便能够控制主体对目标的访问请求； 标记（marking）：必须为每一个目标作一个标记，指明该客体的安全级别，以便每次对该目标进行访问时可以进行比较；,可检查性（accountability）：系统对影响安全的活动必须维持完全而安全的记录，以便事后查验。 保证措施：系统必须包含安全机制，必须能够评价这些机制的有效性。 连带的保护：安全机制本身必须受到保护，以防止未经授权的改变。,基本概念,安全性概念包括安全政策、策略模型、安全服务和安全机制等内容，其中安全政策是为了实现软件系统的安全而制定的有关管理、保护和发布敏感信息的规定与实施细则；策略模型是指实施安全策略的模型；安全服务则是指根据安全政策和安全模型提供的安全方面的服务；安全机制是实现安全服务的方法。,参照的安全模型,评估准则中采用的可信计算机系统的安全模型采用了由Roger Sehell提出的访问监控器概念。访问监控器映射计算机系统的可信计算基TCB，即安全核，它的作用是负责实施系统的安全策略，在主体与实体之间对所有的访问操作实施监控。,访问监视器,访问监视数据库 用户身份文件 权限文件 文件属性 访问控制表,主体、用户 进程 批作业,目标文件、 盘、带、 程序、终端等,安全审计,3、操作系统的访问控制模型,网络操作系统的访问控制模型,访问监视器,访问监视器 数据库,审计,访问监视器,访问监视器 数据库,审计,主体,目标,访问监控器支持的安全策略是由BLP模型所抽象形式化处理的DoD 的安全策略。该模型使用数学和集合论的工具精确地定义保密状态、基本的访问方式和为了授予主体对客体进行特殊访问所需要的规则，再用基本的安全理论去证明规则能够保证安全操作的。,可信计算基（TCB） 是实现访问监控器的机制。它可以是一个安全核、安全过滤器或整个可信计算机系统。 TCB支持安全策略 包括操作系统与安全相关的主要元素。,访问 控制 策略,主体 集合S,目标 集合O,TCB满足： * 处理每个主体(s)对目标(o)的每次访问 * 是抗篡改的 *足够小，便于分析、测试、验证与监控,自主访问控制（DAC-Discretionary Access Control）：目标的主体可以自主地确定其他主体对其目标的访问权限。 强制访问控制（MAC-Mandatory Access Control）：任何主体无权改变其目标的访问权限。 验证保护级：系统的安全模型是形式化的，且被验证是正确的。并保证系统中无隐蔽信道。,隐蔽信道。一个进程可以在不受安全策略控制下用一种秘密的方式与另一个进程通信。有两种类型的隐蔽信道： 存储信道：两个进程通过对某个或某些存储单元（或介质）读写方式传递信息。 时钟信道：一个进程通过执行与系统时钟有关的操作把不该泄漏的信息传递给另一个进程的信道。 例如，文件的读写属性可以作为存储信道； 按某种频率创建与删除一个文件可以形成一个时钟隐蔽信道。,隐蔽信道的最重要参数是带宽，可以传递的信息量。例如，如果以一个文件的存在与否作为隐蔽信道，那么该信道所能传递的信息量为1个比特。 时钟信道的信息量可以正比与CPU时钟。但时钟隐蔽信道很难检测。 消除隐蔽信道很困难，减少的代价也较高。通常认为低于1比特的隐蔽信道是可以接受的。,计算机安全等级,1、D安全级 最低安全级，没有任何安全措施，整个系统是不可信的 硬件无任何保障机制 操作系统容易受到侵害 无身份认证与访问控制 典型系统是MS-DOS,2、C1安全级自主安全保护级 实现粗粒度的自主访问控制机制。 系统能把用户与数据隔离， TCB通过账户、口令去确认用户身份 硬件提供某种程度的保护机制 通过拥有者自定义和控制，防止自己的数据被别的用户破坏。 要求严格的测试和完善的文档资料。 这类系统适合于多个协作用户在同一个安全级上处理数据的工作环境。,3、C2安全级可控安全保护级 C2级达到企业级安全要求。可作为最低军用安全级别 C2实现更细的可控自主访问控制，保护粒度要达到单个主体和客体一级； 要求消除残留信息泄露（内存、外存、寄存器）； 要求审计功能（与C1级的主要区别），审计粒度要能够跟踪每个主体对每个客体的每一次访问。对审计记录应该提供保护，防止非法修改。,C2安全级 比C1增加授权服务，还有防止访问权失控扩散的机制。 要求TCB必须保留在一特定区域，防止来自外部的修改；TCB应与被保护的资源隔离。 TCB能够记录对认证安全机制的使用、记录对客体的读入、删除等操作，记录系统管理员的管理活动。,B1安全级 加标记的访问控制保护级 具有C2的全部功能，还增加或增强了标记、MAC、责任、审计、保证等功能。 标记：主客体都必须带有标记，并准确体现其安全级别，且由TCB维护。因此本级又称为带标记的访问控制保护级。 采用强制保护机制。保护机制根据标记对客体进行保护。 B1安全级要求以安全模型为依据，要求彻底分析系统的设计文件和源代码，严格测试目标代码。,1、在B1级中标记起着重要作用，是强制访问控制实施的依据。每个主体和存储客体有关的标记都要由TCB维护。B1级对标记的内容与使用有以下要求： 1）主体与客体的敏标记的完整性：安全标记应能唯一的指定感级别。当TCB输出敏感标记时，应准确对应内部标记，并输出相应的关联信息。 2）标记信息的输出：人工指定每个I/O信道与I/O设备是单（安全）级的还是多（安全）级的，TCB应能知晓这种指定，并能对这种指定活动进行审计。,3）多级设备输出：当TCB把一个客体输出到多级I/O设备时，敏感标记也应同时输出，并与输出信息一起留存在同一物理介质上。当TCB使用多级I/O信道通信时，协议应能支持多敏感标记信息的传输。 4）单级设备的输出：虽然不要求对单级I/O设备和单级信道所处理的信息保留敏感标志，但要求TCB提供一种安全机制，允许用户利用单级设备与单级I/O信道安全地传输单级信息。,5）对人可读输出的标记输出：系统管理员应该能够指定与输出敏感标记相关联的可打印标记名，这些敏感标记可以是秘密、机密和绝密的。TCB应能标识这些敏感标记输出的开始与结束。,2、强制访问控制 每个受控的客体都必须附加上标记，用于标明该客体的安全级，当这些客体被访问的时候，保护系统就依据这些标记对客体进行必要的控制。B1类要求每个受控的主体和客体都要配备一个安全级，但不要求保护系统控制每个客体。B1级中的访问控制机制必须依据一种安全模型，在这种模型中，主体与客体的敏感性标记既有等级性级别的，又有无等级性的类别的。TCB应该支持两个以上的安全级。在TCB控制的主、客体间的所有访问活动，并要求这些活动必须满足以下要求：,只有主体的敏感等级大于或等于客体的敏感等级时，才允许该主体去读该客体，而且该主体的信息访问类包含该客体中信息访问类的全部内容。信息访问类中所包含的信息是非等级性。 只有主体的敏感级不大于客体的敏感级时，才允许该主体去写该客体，而且该主体的信息访问类包含该客体中信息访问类。,军用安全策略可以满足这种要求，它既具有按非密、秘密、机密和绝密的等级性级别的标记，又允许某个主体知道多种级别信息组成的无等级性类别的信息。对于强制性访问控制政策的模型是Bell-LaPadula模型，在该模型中要支持军用安全策略。B1类系统对所有访问都要实现这种模型，同时也支持有限的用户自主访问控制功能。,3、可记账性 TCB应该对所有涉及敏感性活动的用户进行身份识别，TCB应该管理用户的账户、口令、签证与权限信息，防止发生非授权的用户访问。B1级的审计功能比C2级的功能更强，还增加了对任何滥用职权的人可读输出标志和对安全级记录的事件进行审计，也可以对于用户的安全性活动进行有选择的审计。,4、在实现过程中，必须彻底分析B1类系统的设计文档和源代码，测试目标代码，尽可能发现系统存在的安全缺陷，并保证消除这些缺陷。要有一种非形式的或形式化的模型来描述系统实现的安全策略。,B2安全级结构化保护级。 要求把系统内部结构化地划分成独立的模块，采用最小特权原则进行管理。内部结构必须是可证明的。 对所有主体与客体实施更强的MAC。从主体客体扩大到I/O设备等所有资源。 TCB应支持管理员与操作员的分离。 能够审计使用隐蔽存储信道的标志事件。 必须给出可验证的顶级设计，要求开发者对隐蔽信道进行彻底地搜索。 TCB划分保护与非保护部分，存放于固定区内。,B2级称为结构化保护级（Structured Protection）。B2级系统的设计中把系统内部结构化地划分成明确而大体上独立的模块，并采用最小特权原则进行管理。B2级不仅要求对所有对象加标记，而且要求给设备（磁盘、磁带或终端）分配一个或多个安全级别（实现设备标记）。必须对所有的主体与客体（包括设备）实施强制性访问控制保护，必须要有专职人员负责实施访问控制策略，其他用户无权管理。,B2 级强调实际中的评价手段，因此，增加或加强了以下功能： 1、安全策略方面：进一步加强了强制访问控制功能，把强制访问控制的对象，从主体到客体扩展到I/O设备等所有资源，并要求每种系统资源必须与安全标记相联系。,2、可记账性方面：进一步加强系统的连续保护和防渗漏能力。主要措施包括能够确保系统和用户之间开始注册与确认时路径是可信的，增加了对使用隐蔽存储信道的标记事件的审计功能。隐蔽存储信道是指进程之间通过对某存储载体的读写来完成信息隐蔽传输的信道，而这种信道是违反安全策略要求的。,3、最小特权原则：应能支持操作人员与和系统管理人员的权限分离，对每个主体只授予满足完成任务所需的最小存储权，以保证最小特权原则的执行。还应该划分保护与非保护部分，并使它们维持在一个固定的受保护的域中，防止被外界破坏或恶意篡改。,B3安全级-安全域保护级 要求系统划分主体/客体的区域。 有能力监控对每个客体的每次访问。 用户程序和操作被限定在某个安全域内。 安全域的访问受到严格控制（有硬件支持）。 系统设计要简明完善、充分利用分层、抽象和信息隐蔽等原则，要求是高度防突破的。 要求有一个安全管理员，管理安全活动。 安全策略方面，采用访问控制表方式实现DAC。用户可以指定与控制对命名客体的共享。,为了能够确实进行广泛而可信的测试，B3级系统的安全功能应该是短小精悍的。为了便于理解与实现，系统的高级设计（High Level Design）必须是简明而完善的，必须组合使用有效的分层、抽象和信息隐蔽等原则。所实现的安全功能必须是高度防突破的，系统的审计功能能够区分出何时能避免一种破坏安全的活动。为了使系统具备恢复能力，B3系统增加了一个安全策略：,（1）安全策略：采用访问控制表进行控制，允许用户指定和控制对客体的共享，也可以指定命名用户对客体的访问方式。 （2）可记账性：系统能够监视安全审计事件的发生与积累，当超出某个安全阀值时，能够立刻报警，通知安全管理人员进行处理。,（3）保障措施：只能完成与安全有关的管理功能，对其他完成非安全功能的操作要严加限制。当系统出现故障与灾难性事件后，要提供一种过程与机理，保证在不损害保护的条件，使系统得到恢复。,A1安全级-可验证设计保护 要求建立系统的安全模型，且可形式化验证的系统设计。对隐蔽信道进行形式分析。有五条确认标准： 1）对系统安全模型进行严谨与充分的证明。证明模型与公理的一致性，模型对策略的支持。 2）给出保护系统的顶层设计说明。其中包括TCB抽象功能定义和支持隔离区域的硬件软件/固件的机制。,3）说明系统的顶层设计说明与系统安全形式模型的一致性；最好能够使用验证工具，也可以使用非形式化技术说明。 4）能非形式地说明TCB的实现与该设计一致。说明顶层设计表达了保护机制与安全策略的一致性，映射到TCB的各个部件正好是保护机制的对应要素。 5）对隐蔽信道进行形式化分析与识别。对于时钟信道可以采用非形式化方法识别，在系统中必须对被识别的隐蔽信道是否连续存在给予证明。,A1级系统的要求极高，达到这种要求的系统很少，目前已获得承认的这类系统有Honeywell公司的SCOMP系统。A1级安全标准是安全信息系统的最高安全级别，一般信息系统很难达到这样的安全能力。 我国的标准去掉了A1级标准。,计算机系统安全等级,5.2 计算机网络安全等级评价标准,美国国防部计算机安全评估中心又成立了专门的研究组研究可信计算机网络的评估准则。 1987年6月NCSC首次发表了可信计算机网络安全说明，该说明是在可信计算机系统评价准则的基础上增加了网络安全评价的内容。,借用单个可信计算机系统安全评估中的可信计算基TCB的概念，在可信网络安全说明中也建立了网络可信计算基NTCB，它是由所有与网络安全有关的部分组成。 网络的安全设计与评价是建立在了解安全机制是如何被分配与指定到各个部件上的，而不考虑网络信道的脆弱性和网络部件的同步和异步操作。,可信网络安全说明要求任何被评估的网络系统必须具有清晰的网络安全结构与设计，网络安全结构中要包括对安全策略、目标与协议的说明。 网络安全策略包括自主访问控制、强制访问控制、支撑策略（加密、认证与审计）和应用策略（如DBMS的支持及其安全策略）。 为了作为一个可信实体来评价，网络安全设计要说明网络提供的接口与服务。,与计算机系统一样，计算机网络系统也划分为七个安全等级。由于网络还存在对外提供服务的问题，因此，对网络系统的安全要求除了对网络各个安全等级的具体要求外，还包括对网络安全服务的具体要求。本节以下部分分别介绍这两方面的内容。,5.2.1 网络系统的安全等级,网络系统的安全等级也划分为7个安全等级。它们的安全要求与计算机系统的相应安全等级对应。 在强制保护级中要求网络系统与系统的主要数据结构必须带有敏感标记，NTCB必须保证敏感标记的完整性，并利用这些敏感标记实现强制访问控制机制。 七个安全级别的主要内容个人自学（5.2.1）。,5.2.2 网络安全服务,在前一节描述了各安全等级网络中需要满足的安全要求和需要提供的安全机制，这些都是支持网络提供安全服务的。但除此以外还要求提供特定安全服务和辅助网络安全服务，下面介绍它们的具体内容。,一、辅助安全服务。 1、为了防止各种外部攻击，需提供各种测试方法： 网络功能测试 周期性测试 渗透测试/应力测试 死锁、活性及其他安全性测试 2、提供加密工具，防止数据泄漏或修改、防止信息流分析。,二、特定安全服务包括为保障通信的完整性、防止发生拒绝服务和防止泄漏而提供相应安全措施。 1、通信完整性 通信完整性由一组安全服务共同完成，其中包括鉴别、通信域完整性和不可否认等安全服务在内。 鉴别 鉴别主要指对等实体之间的鉴别，用于判断正在通信的双方是否是所希望的实体。鉴别的主要方法有：实体已知的东西（如口令）、加密方法和实体具有的特有特征（如指纹信息），这些用于鉴别的信息必须受到网络的保护。,通信域完整性 这里的域是指报文头信息（也称为协议信息）和用户的数据域。通信完整性保护就是指在通信过程中对这些域的保护。一个协议数据单元（PDU）中必须包括协议信息，而用户数据域则是可选的。通信域完整性要做到以下要求： 1）保证单个无连接PDU的完整性。这可以通过检测所接收的PDU是否被修改过加以验证；,2）保证在一个无缝连接的PDU内选择域的完整性。可以通过检测选择域是否被修改过加以验证； 3）保证连接方式选择域的完整性。可以通过检测选择区是否被修改、插入、删除和重放过加以验证。 4）所有用户信息的完整性。需要检测对任何PDU的修改、插入、删除或重放。,不可否认 不可否认服务提供数据的收发双方都不能伪造所收发数据的证明。这种服务能够向数据的接收方提供发送者事后不能否认已发送报文的证明；向发送方提供接收者已接收的文件是否进行过篡改或是伪造来自发送者文件的证明。采用的方法通常是数字签名技术和可信第三方认证技术。,2、拒绝服务 拒绝服务是指网络系统不能向用户提供正常应该提供的服务。产生拒绝服务的原因通常是由于网络的吞吐量下降到一定的阀值，或者不能对远程实体进行访问而引起的，也有的是由于系统资源不够而引起的。可以通过检测发现是否存在拒绝服务现象，例如，在一次会话连接时，可以通过检测最大等待时间，确定是否存在拒绝服务现象。,防止拒绝服务的发生可以通过以下措施实现： 1）保障操作的连续性 利用冗余方式（如网络部件的主、辅替换方式）使网络具有高可靠性，降低单点故障，提供剩余容量； 提供灵活的网络控制功能； 提供一种错误极限机制，以便网络维护与保障网络操作的连续性。这种功能主要包括故障检测、错误处理、风险评估、故障或错误恢复、部件和部分系统崩溃的恢复和整个网络崩溃的恢复。,2）基于拒绝服务保护机理的协议 确定拒绝服务的机制通常是以协议为基础的，也包括测试和检测。通信有效性服务一般都是尽可能地减少网络开销，但拒绝服务一般都要增加网络开销，严重影响网络性能。例如，为了创造拒绝服务的条件，要使用“请求应答”机制交换报文，这在一般情况下是不允许的。,3）网络管理 基于系统或报文完整性的拒绝服务，涉及到通信协议和网络管理。在这两种情况中，网络管理与维护的任务是监测网络健康状况、检测故障和导致拒绝服务或降低服务的隐蔽活动。通过加强一系列的网络管理功能，可以使拒绝服务减到最小情况。,3、泄漏保护 防止信息泄漏需要采取物理、管理和技术的综合措施。在技术方面，为了防止信息在线路上被搭线窃听，可以采用加密技术。加密措施会对信息的使用带来不方便，需要对密钥的粒度进行合理的折中，适当的粒度是对每个敏感级别使用一种密钥。 网络还可能受到信息流分析攻击，防护的办法除采用加密机制外，还可以采用信息流填充技术，使攻击者无法辨别哪些信息是有效的。另外，通过路由选择也可以有效地控制信息的泄漏。,5.3 我国信息安全评价标准,国家质量技术监督局于1999年9月13日正式公布了新的国家标准“计算机信息系统安全保护等级划分准则”（GB 178591999）。该标准将于2001年元旦开始实施。这是我国第一部关于计算机信息系统安全等级划分的标准，而国外同类标准是美国国防部在1985年公布的可信计算机系统评价标准TCSEC（又称秸皮书） 。,在TCSEC中划分了七个安全等级：D、C1、C2、B1、B2、B3和A1级，其中D级是没有安全机制的级别，A1级是难以达到的安全级别。在我国的GB17859中，去掉了这两个级别，对其他五个级别也赋予了新意。,5.3.1 各安全级别的主要特征,GB17859把计算机信息系统的安全保护能力划分的5个等级是：用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级和访问验证保护级。这五个级别的安全强度自低到高排列，且高一级包括低一级的安全能力。各安全级别的主要标准如下：,第1级 系统自主保护级,本级的主要特点用户具有自主安全保护能力。系统采用自主访问控制机制，该机制允许命名用户以用户或用户组的身份规定并控制客体的共享，能阻止非授权用户读取敏感信息。TCB在初始执行时需要鉴别用户的身份，不允许无权用户访问用户身份鉴别信息。该安全级通过自主完整性策略，阻止无权用户修改或破坏敏感信息。,第2级 系统审计保护级,本级也属于自主访问控制级。但和第一级相比，TCB实施粒度更细的自主访问控制，控制粒度可达单个用户级，能够控制访问权限的扩散，没有访问权的用户只能由有权用户指定对客体的访问权。身份鉴别功能通过每个用户唯一标识监控用户的每个行为，并能对这些行为进行审计。增加了客体重用要求和审计功能是本级的主要特色。,审计功能要求TCB能够记录：对身份鉴别机制的使用；将客体引入用户地址空间；客体的删除；操作员、系统管理员或系统安全管理员实施的动作以及其他与系统安全有关的事件。客体重用要求是指，客体运行结束后，在其占用的存储介质（如内存、外存、寄存器等）上写入的信息（称为残留信息）必须加以清除，防止信息泄漏给其他使用这些介质的客体。,第3级 安全标记保护级,本级在提供系统审计保护级的所有功能的基础上，提供基本的强制访问功能。TCB能够维护每个主体及其控制的存储客体的敏感标记，也可以要求授权用户确定无标记数据的安全级别。这些标记是等级分类与非等级类别的集合（后面将进一步说明），是实施强制访问控制的依据。TCB可以支持对多种安全级别（如军用安全级别可划分为绝密、机密、秘密、无密4个安全级别）的访问控制，强制访问控制规则如下：,仅当主体安全级别中的等级分类高于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含了客体安全级中的全部非等级类别，主体才能对客体有读权；仅当主体安全级中的等级分类低于或等于客体安全级中的等级分类，且主体安全级中的非等级类别包含于客体安全级中的非等级类别，主体才能写一个客体。,TCB维护用户身份识别数据，确定用户的访问权及授权数据，并且使用这些数据鉴别用户的身份。审计功能除保持上一级的要求外，还要求记录客体的安全级别，TCB还具有审计可读输出记号是否发生更改的能力。对数据完整性的要求则增加了在网络环境中使用完整性敏感标记来确信信息在传输过程中未受损。,本级要求提供有关安全策略的模型，主体对客体强制访问控制的非形式化描述，没有对多级安全形式化模型提出要求。,第4级 结构化保护级,本级TCB建立在明确定义的形式化安全策略模型之上，它要求将自主和强制访问控制扩展到所有主体与客体。它要求系统开发者应该彻底搜索隐蔽存储信道，要标识出这些信道和它们的带宽。本级最主要的特点是TCB必须结构化为关键保护元素和非关键保护元素。TCB的接口要求是明确定义的，使其实现能得到充分的测试和全面的复审。第四级加强了鉴别机制，支持系统管理员和操作员的职能，提供可信设施管理，增强了系统配置管理控制，系统具有较强的抗渗透能力。,强制访问控制的能力更强，TCB可以对外部主体能够直接或间接访问的所有资源（如主体、存储客体和输入输出资源）都实行强制访问控制。关于访问客体的主体的范围有了扩大，第四级则规定TCB外部的所有主体对客体的直接或间接访问都应该满足上一级规定的访问条件。,而第三级则仅要求那些受TCB控制的主体对客体的访问受到访问权限的限制，且没有指明间接访问也应受到限制。要求对间接访问也要进行控制，意味着TCB必须具有信息流分析能力。,为了实施更强的强制访问控制，第四级要求TCB维护与可被外部主体直接或间接访问到的计算机系统资源（如主体、存储客体、只读存储器等）相关的敏感标记。第四级还显式地增加了隐蔽信道分析和可信路径的要求。可信路径的要求如下：TCB在它与用户之间提供可信通信路径，供对用户的初始登录和鉴别，且规定该路径上的通信只能由使用它的用户初始化。对于审计功能，本级要求TCB能够审计利用隐蔽存储信道时可能被使用的事件。,第5级 访问验证保护级,本级的设计参照了访问监视器模型。它要求TCB能满足访问监视器（RM-Reference Monitor）的需求，RM仲裁主体对客体的全部访问。RM本身是足够小的，抗篡改的和能够分析测试的。在构造TCB要去掉与安全策略无关的代码，在实现时要把TCB的复杂度降到最低。系统应支持安全管理员职能，扩充审计机制，在发生安全事件后要发出信号，提供系统恢复机制，系统应该具有很高的抗渗透能力。,对于实现的自主访问控制功能，访问控制能够为每个命名客体指定命名用户和用户组，并规定它们对客体的访问模式。对于强制访问控制功能的要求与上一级别的要求相同。对于审计功能，要求TCB包括可以审计安全事件的发生与积累机制，当超过一定阈值时，能够立即向安全管理员发出报警，并且能以最小代价终止这些与安全相关的事件继续发生或积累。,对于可信路径功能要求如下：当与用户连接时（如注册、更改主体安全级），TCB要提供它与用户之间的可信通信路径。可信路径只能由该用户或TCB激活，这条路径在逻辑上与其他路径上的通信是隔离的，并且是可以正确区分的。,第五安全级还增加了可信恢复功能。TCB提供过程与机制，保证计算机系统失效或中断后，可以进行不损害任何安全保护性能的恢复。 以上5个安全等级各自提供的安全能力如表5-3-1所示。表中的“”表示在五个安全级别中首次出现的安全能力（表注中称为新增功能）。,表5.3-1 我国信息系统安全等级划分标准,5.3.2 对标准的讨论,新安全等级划分标准的一个显著特点是：评价的因素