跳到主要內容

TCSEC 橘皮書深度解析:奠定現代資安基礎的四大等級評估標準

1983 年,美國國防部發布的橘皮書(TCSEC)是史上首份系統化的電腦安全評估標準。它以機密性保護為核心,建立了沿用至今的安全分級語彙,深刻影響現代資安架構設計。

TCSEC 四大等級架構

TCSEC 將系統安全能力由低至高分為 D、C、B、A 四大等級共七個級別。D 級為最低保護,無任何安全機制。C 級分為 C1(自主安全保護)與 C2(受控存取保護),引入 DAC(自主存取控制)與審計日誌。B 級分為 B1/B2/B3,強制導入 MAC(強制存取控制)與安全標籤,B3 要求 Reference Monitor 概念完整實作。A 級(A1)為最高等級,要求形式化驗證(Formal Verification)設計規格,確保 TCB 的數學可證明性。等級愈高,對 TCB(可信計算基)的設計限制與驗證要求愈嚴格。

三大核心安全概念

橘皮書奠定了三個現代資安不可或缺的基礎概念。TCB(Trusted Computing Base)指系統中負責強制執行安全策略的所有硬體、韌體與軟體集合,TCB 範圍愈小,攻擊面愈低。Reference Monitor 是 TCB 的核心機制,必須滿足三項屬性:永遠被呼叫(Always Invoked)、防篡改(Tamper-Proof)、可驗證(Verifiable)。MAC vs DAC 則明確區分強制存取控制(由系統策略決定,用戶無法覆蓋)與自主存取控制(由資源擁有者自行設定)的本質差異。這三個概念至今仍是 SELinux、Windows Integrity Level 等現代安全機制的設計基礎。

💡 重點整理

  • 分級邏輯:D → C1 → C2 → B1 → B2 → B3 → A1,安全強度逐級遞增。
  • 機密性優先:TCSEC 以 Bell-LaPadula 模型為基礎,專注保護資料不被未授權讀取。
  • TCB 最小化:可信計算基範圍愈小,安全可驗證性愈高。
  • 歷史傳承:TCSEC 已由 Common Criteria(ISO/IEC 15408)取代,但其概念框架持續沿用。

橘皮書雖已成為歷史文件,但它所定義的 TCB、Reference Monitor 與 MAC/DAC 分類,至今仍是資安從業人員與系統設計師的共同語言,理解它就是理解現代資安思維的起點。

📚 參考文獻

  1. Department of Defense. (1985). Trusted Computer System Evaluation Criteria (DoD 5200.28-STD). National Computer Security Center. — 橘皮書官方原始文件。
  2. NIST. Common Criteria for Information Technology Security Evaluation (ISO/IEC 15408). — TCSEC 的現代繼承標準,提供完整 EAL 等級說明。

⚠️ 本文內容基於撰寫時的最新資訊,實際應用時請參考官方文件的最新版本。

留言