美国国家计算机安全中心(NCSC)于1983年形成了DOD标准“可信计算机系统评估准则”(TCSEC，Trusted Computer System Evaluation Criteria)并发布施行，1985年进行了修订。因该标准出版时封面为橘红色，通常被称为“橘皮书”。

美国国家计算机安全中心(NCSC)于1983年形成了DOD标准“可信计算机系统评估准则”(TCSEC，Trusted Computer System Evaluation Criteria)并发布施行，1985年进行了修订。因该标准出版时封面为橘红色，通常被称为“橘皮书”。它起起初仅仅应用于美国政府和军方的计算机系统，后来其影响逐渐扩展到商业领域，目前已经成为得到广泛公认的事实上的标准，许多公司都以专门的标记标明其产品按该标准规定所属的安全级别。

“橘皮书”将计算机系统的安全等级分为4个档次8个等级，在安全策略、责任、保证、文档等4个方面共设定了27条评估准则。不同的计算机信息系统可以此为依据，按按系统的实际需要和可能，从中选取具有不同安全保密强度的安全等级标准。现将该标准的4个档次8个安全等级，由低到高依次简述如下。


 
1.D档

D档为无保护档级，是安全等级的最低档。其主要特征是没有专『门的安全保护，此档只有一个级别，即D级。

D级:安全保护欠缺级。凡经评估，达不到C1及其以上安全等级的计算机系统均列入此级。这一等级的计算机系统，没有有访问控制机制，对于于来自任何用户的访问，没有任何身份认证措施与访问权限控制。早期商业领域的计算机系统往往属于这一安全等级。

2.C档

C档为自主保护档级。此档又分两个安全等级，共同特征是采用了自主访问控制机制。C档的两个安全等级由低到高依次为C1级和C2级。

C1级:自主安全保护级。采用普通的自主访问控制机制，主要特征是能将用户与数据隔离，针对多个协作用户在同一敏感级别上处理数据的工作环境，由用户自主地确定如何控制对属于自己的资源所进行的访问，达到保护用户自身资源安全的目的。例如，早期的UNIX计算机系统就属于这一安全等级。

C2级:受控访问保护级。采用比C1级更为精细的自主访问控制机制。相对于C1级，增加了安全事件审计功能，能够跟踪每一个主体对每一个客体的每一次访问或访问企图，加上若干其他措施，使用户的行为具有个体独自的可查性。C2级是军用计算机系统所能采用的最低安全级别，也常用于金融系统。

3.B档

B档为强制保护档级。此档又分为3个安全等级，共同特征是采用强制访问控制机制。B档的3个安全等级由低到高依次为B1级、B2级和B3级。

B1级:有标记的安全保护级。所谓有标记的安全保护(Labeled Security Protection)，是指对每一个受控的客体都加有标明其安全级的标记，保护系统就据此在客体被访问时进行相应的控制。B1级的访问控制机制是采取对受控客体加标记的方式实现强制访问控制，但也支持有限的用户自主访问控制功能。

B2级:结构化保护级。所谓结构化保护( Structured Protection)，是指在设计上把系统内部结构化地划分成若干大体上相互独立而明确的模块，并按最小特权原则进行管理。所最小特权原则，就是当系统中的某一主体执行授权任务时，只授予它为完成任务所必需的最

小权利，从而保证任何一个人都不可能享有对计算机系统进行操纵和管理的全部权利。B2级将强制访问控制扩展到计算机系统的全部主体和全部客体，并且通过分析发现和消除能够造成信息泄露的隐蔽倌道和安全漏洞。

B3级:安全域保护级。所谓安全域保护(Security Domain Protection)，是指用户的程序或操作被限定在某个安全域之内，而对安全域之间的访问实行严格控制。为了更充分地体现最小特权原则，B3级要求专设安全管理员，使系统管理员、系统操作员、安全管理员三者的职能分离，以保证人为因素对计算机系统安全的威胁减到最小。B3级还具有更强的审计功能，不仅能记录危害安全的事件，还能发出报警信号。实际上，就安全功能而言，B3级已经达到了目前的最高等级。
 
4.A档

A档为验证保护档级。此档又分两个安全等级，由低到高依次为A1级和超A1级。它们共同的特征是，在系统设计阶段就能够对预期的安全功能进行严格的验证。

A1级:经验证的设计保护级。所谓经验证的设计保护(Verified Design Protection)，是指计算机系统的设计必须通过数学的形式化证明方法加以验证，以证明其确实具有预期的安全功能。就A1级所具有的安全功能本身而言，是和B3级相同的。由于A1级的整个要求极高，目前达到这一要求的实际系统是很少的。

超A1级:验证实现级。所谓验证实现，是指对安全实现的验证进入代码级，只有当设计说明接近于实际实现的代码时，才能达到对预期安全功能实现成功的验证。

B3级、A1级和超A1级，都属于最高的安全等级，相应地对成本的要求也高，只有极其重要的应用场合才采用。

“可信计算机系统评估准则”( TCSEC)的制定与颁布施行原本是针对单个计算机系统的，由于一切计算机网络或信息网络都建立在单机系统的基础之上，所以当我们研究网络安全的评估问题时，TCSEC作为得到广泛公认的事实上的标准，仍然值得加以重视。然而如果微信网站制作仅有TCSEC这类针对单机系统的标准，要解决计算机网络或信息网络安全的评估问题，又确实是远远不够的。正是基于这样的背景，美国国防部的国家计算机安全中心又制定并出版了 TCSEC的三个解释性文件，它们分别别是可信网络解释、计算机安全子系统解释及可信数据库解释。至此，形成了美国计算机系统及网络的安全评估标准系列一“彩虹系列”(Rainbow Series)。