操作系统安全等级的划分

1.1.2　操作系统安全等级的划分

1985年，美国国防部提出可信计算机系统评测标准TCSEC(习惯上称橘皮书)，为计算机安全产品的评测提供了测试准则和方法。TCSEC将计算机系统的安全可信性分为7个级别:D最低安全性，C1自主存取控制，C2较完善的自主访问控制(DAC)、审计，B1强制访问控制(MAC)，B2良好的机构化设计、形式化安全模型，B3全面的访问控制、可信恢复，A1形式化认证。

(1)D级是计算机安全的最低层，对整个计算机的安全是不可信任的，例如MS-DOS就属于D级操作系统。

(2)C1级要求系统硬件有一定的安全保护，用户使用前必须在系统中注册。但是，C1级不能控制进入系统的用户的访问权限，所以用户可以控制系统配置，甚至获取比系统管理员更高的权限，例如改变和控制用户名。

(3)C2级针对C1级的不足进行了改进，例如增加用户权限级别，采用了系统的安全审计机制，例如Windows 2000、Windows NT 4.0和Solaris等。

(4)B1级也称为带标签的安全性保护，对敏感信息提供更高的保护。任何对用户许可级别和成员分类的更改都受到严格控制。就TCSEC评估来说，达到B1级及以上标准的操作系统即称为安全操作系统，例如IBM大型机的MVS操作系统。

(5)B2级要求对计算机系统所有的对象加标签，把信息划分成单元，而且给不同的硬件设备分配相应的安全级别。

(6)B3级又称安全域级，要求用户工作站或终端通过可信任途径链接网络系统，并使用硬件保护安全系统的存储区。

(7)A1级为最高安全级，要求系统设计必须是从数学上经过验证的，而且必须进行隐蔽通道和可信任分布的分析，并且要求用形式化技术解决隐蔽通道等问题。目前，波音公司的MLSLAN安全网络服务器已经通过A1级评测。

当前主流的操作系统安全性远远不够，如Unix系统，Windows 2000都只能达到C2级，安全性均有待提高。

因此，为了确保电子商务系统的安全，对操作系统进行安全设置显得尤为重要。下面以Windows为例，对提高操作系统安全的策略进行介绍。