1.6 网络安全信任等级划分

目前计算机系统安全的分级标准，一般都是依据美国的“橘皮书”中的定义。

橘皮书的正式名称是“受信任计算机系统评量基准”（Trusted Computer System Evaluation Criteria)。

橘皮书中对可信任系统的定义是这样的：一个由完整的硬件及软件所组成的系统，在不违反访问权限的情况下，它能同时服务于不限定个数的用户，并处理从一般机密到最高机密等不同范围的信息。

橘皮书将一个计算机系统可接受的信任程度加以分级，凡符合某些安全条件、基准规则的系统即可归类为某种安全等级。

橘皮书将计算机系统的安全性能由高而低划分为A、B、C、D四大等级。

D级——最低保护（Minimal Protection)，凡没有通过其他安全等级测试项目的系统，即属于该级，如DOS，Windows个人计算机系统。

C级——自主访问控制（Discretionary Protection），该等级的安全特点在于：系统的客体（如文件、目录）可由该系统主体（如系统管理员、用户、应用程序）自主定义访问权。例如，管理员可以决定系统中任意文件的权限，当前UNIX、Linux、Windows NT等操作系统都为此安全等级。

B级——强制访问控制（Mandatory Protection)，该等级的安全特点在于：由系统强制对客体进行安全保护。在该级安全系统中，每个系统客体（如文件、目录等资源）及主体（如系统管理员、用户、应用程序），都有自己的安全标签（Security Label），系统依据用户的安全等级，赋予其对各个对象的访问权限。

A级——可验证访问控制（Verified Protection)，其特点在于：该等级的系统拥有正式的分析及数学式方法，可完全证明该系统的安全策略及安全规格的完整性与一致性。

根据定义，系统的安全级别越高，理论上该系统也越安全。可以说，系统安全级别是一种理论上的安全保证机制。在正常情况下，在某个系统的安全保证机制得以正确实现时，系统就应该可以达到该安全级别。