TCSEC思想在国际上的继承与发展脉络

admin 2026-02-17 20:12:33 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 本文梳理了TCSEC标准的历史沿革与思想传承。TCSEC作为1983年美国国防部发布的计算机安全评估标准,确立了安全策略、机制与保证三位一体的工程思想,以Bell-LaPadula模型为基础强调保密性。因其单机时代局限性和对完整性、可用性的忽视,最终被ITSEC和CommonCriteria替代。但TCSEC的核心概念如可信计算基、参考监视器、强制访问控制等,通过CC标准的EAL等级体系得以继承,并与现代零信任架构的默认不可信、最小权限原则在逻辑内核上高度一致,完成了从标准文本向安全范式的转变。 综合评分: 78 文章分类: 技术标准,安全建设,网络安全,解决方案,其他


cover_image

TCSEC思想在国际上的继承与发展脉络

原创

何威风 何威风

河南等级保护测评

2026年2月11日 00:01 河南

在计算机安全的发展历程中,TCSEC(Trusted Computer System Evaluation Criteria)和ITSEC(Information Technology Security Evaluation Criteria)是两个非常重要的标准。它们为计算机系统的安全性提供了评估和认证的准则,对于保护信息安全起到了关键作用。

TCSEC的产生背景与基本框架

TCSEC(Trusted Computer System Evaluation Criteria),又称“橙皮书”,是美国国防部国家计算机安全中心(NCSC)于1983年发布的一套计算机系统安全评估标准,其制定背景直接源于冷战时期美国军事和政府机构对高等级计算机安全的迫切需求。TCSEC所面对的安全对象,主要是部署于封闭环境中的单机计算机系统,其目标是在高度机密场景下防止信息泄露与越权访问。为此,TCSEC将计算机系统划分为A、B、C、D四大安全等级,其中A级安全性最高,D级最低,各等级又进一步细分为多个子级别,形成一套由低到高递进的安全评估体系:D类为最小保护,C类为自主保护,B类为强制保护,A类为验证保护。这种分级体系在当时首次尝试用标准化方式,将“系统是否可信”转化为可评估、可比较的工程问题。

TCSEC的核心思想与安全工程方法

TCSEC的真正价值并不止于等级划分,而在于其所确立的一整套安全工程思想。该标准明确提出,系统安全必须建立在安全策略、安全机制与安全保证三位一体的结构之上。安全策略用于界定系统中哪些行为是允许的、哪些是禁止的;安全机制则通过访问控制、标记机制、审计等技术手段,将安全策略强制落实到系统运行过程中;安全保证则通过设计约束、测试、审计乃至形式化验证,证明系统在实现层面确实遵循既定策略。在安全模型上,TCSEC以Bell–LaPadula模型为理论基础,强调以“不可向上读、不可向下写”为核心原则保障信息的保密性。这一设计在军事与情报系统中具有高度合理性,也奠定了后续强制访问控制(MAC)体系的工程基础。

TCSEC的时代局限与被废弃的原因

尽管 TCSEC 在安全工程史上具有里程碑意义,但其作为评估“标准”最终被废弃,并非因为理念错误,而是受限于明显的时代背景。TCSEC本质上是单机时代的产物,其基本假设包括:系统边界清晰、运行环境封闭、配置固定、评估对象以操作系统产品为中心。在缺乏网络、分布式计算、虚拟化和云服务的时代,这种假设是成立的;但在互联网与商业系统环境下,TCSEC过度强调保密性,明显忽视完整性、可用性和业务连续性,难以满足实际需求。同时,其等级评估模式高度“产品导向”,强调静态实现与一次性认证,与现代软件持续交付、快速迭代的现实形成根本冲突。这些因素共同决定了TCSEC不再适合作为通用的现代安全评估标准。

从ITSEC到CC——TCSEC思想的制度性继承

TCSEC的退出并不意味着其思想消失,相反,通过后续标准完成了系统性的“基因迁移”。20世纪90年代初,欧洲国家制定的ITSEC(信息技术安全评估标准)正是针对TCSEC在商业和民用领域的不足所作出的修正。ITSEC 将安全性划分为E0至E6七个等级,并引入一个关键突破:将“安全功能”与“保证等级”相分离,允许在不同威胁模型下组合不同安全目标,从而同时覆盖保密性、完整性和可用性。此后,TCSEC、ITSEC与加拿大 CTCPEC 进一步融合,发展为 Common Criteria(ISO/IEC 15408),国内等同引用为GB/T 18336系列标准。在CC中,可信计算基(TCB)、参考监视器、保证等级(EAL)等核心概念,均可追溯至TCSEC的思想源头。虽然A1不再作为等级存在,但EAL7在本质上仍是“现代A1”的延续。

从TCSEC到零信任——范式迁移而非否定

今天人们较少直接提及TCSEC,并非因为其失去价值,而是因为安全问题发生了范式迁移。在TCSEC所处的时代,安全关注重点是防止内部越权与误用;而在当今网络化环境中,威胁更多表现为横向移动、外部入侵和身份滥用。然而,这些新问题并不是对TCSEC的替代,而是在其基础上的扩展。零信任架构所强调的“默认不可信、持续验证、最小权限”,在逻辑内核上与TCSEC的强制安全策略、全面仲裁原则高度一致。可以说,TCSEC 已不再适合作为现代系统的直接评估标准,但其提出的强制访问控制、可信计算基、参考监视器以及高保证安全工程思想,已经深度融入操作系统安全设计、Common Criteria、零信任架构和高可信系统工程之中。TCSEC 并未消亡,而是完成了从“标准文本”向“安全范式”的历史转变。

TCSEC在我国网络安全工作的“双轨继承发展”

GB 17859-1999安全保护等级划分准则

了解美国TCSEC分类及分级


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:河南等级保护测评 何威风 何威风《TCSEC思想在国际上的继承与发展脉络》

评论:0   参与:  0