2.1 信息系统TCB扩展模型及其实现方法

TCB是信息系统安全保护装置的总和，它建立了一个基本的保护环境。传统意义上的TCB主要针对单机（终端或服务器）系统，而现代信息系统一般由多个子系统（安全计算环境子系统、安全区域边界子系统与安全通信网络子系统）构成。如果各子系统的TCB独立设计，则其安全策略难以统一，很难对系统整体进行可靠的保护。此外，由于TCB涉及的范围扩大，所以它不仅是单机系统中不同层次的安全策略和机制的综合，还包括其他网络安全功能。

信息系统TCB可划分为TCB初始核心、部件级TCB和系统级TCB共3个层次。本书对信息系统TCB扩展模型的研究将从建立TCB初始核心开始，采用逐层度量及逐层验证的方法对该核心进行扩展，最终形成系统级TCB。首先建立一个足够小且可验证的TCB初始核心，在各单机上对初始TCB进行安全控制，保证TCB初始核心的完整性。然后从其出发，根据结构和功能要求通过完整性度量和隔离保护机制对TCB进行逐层扩展，构成各关键安全部件的TCB。最后确定部件级TCB之间的接口和连接方式，以可信连接为保障手段实现各部件TCB安全功能的组合。并将部件级TCB扩展到系统级TCB，实现整个信息系统的安全保护。