参考答案

正确答案：C
B1是标记安全保护。除了C2级的安全要求外，增加安全策略模型，数据标号(安全和属性)，托管访问控制等。B2是结构化安全保护。设计系统时必须有一个合理的总体设计方案，面向安全的体系结构，遵循最小授权原则，具有较好的抗渗透能力，访问控制应对所有的主体和客体进行保护，对系统进行隐蔽通道分析。B3是安全域机制保护。安全内核，高抗渗透能力。A1可验证安全设计。形式化的最高级描述和验证，形式化的隐秘通道分析，非形式化的代码一致性证明。根据解析，选项C符合题意，故选择C选项。