Несколько одноуровневых или многоуровневых уровней безопасности ( MSL ) - это средство разделения разных уровней данных с использованием отдельных компьютеров или виртуальных машин для каждого уровня. Он нацелен на предоставление некоторых преимуществ многоуровневой безопасности без необходимости внесения специальных изменений в ОС или приложения, но за счет необходимости дополнительного оборудования.
Стремлению к разработке операционных систем MLS серьезно помешало резкое падение затрат на обработку данных в начале 1990-х годов. До появления настольных компьютеров пользователи с классифицированными требованиями к обработке должны были либо тратить много денег на выделенный компьютер, либо использовать тот, на котором размещалась операционная система MLS. Однако на протяжении 1990-х годов многие офисы в сообществах обороны и разведки воспользовались снижением вычислительных затрат для развертывания настольных систем, классифицированных для работы только на самом высоком уровне классификации, используемом в их организациях. Эти настольные компьютеры работали в системном высоком режиме и были подключены к локальным сетям, которые передавали трафик на том же уровне, что и компьютеры.
Реализации MSL, такие как эти, аккуратно избегают сложностей MLS, но жертвуют технической простотой для неэффективного использования пространства. Поскольку большинству пользователей в классифицированных средах также нужны неклассифицированные системы, у пользователей часто было как минимум два компьютера, а иногда и больше (один для неклассифицированной обработки и по одному для каждого обрабатываемого уровня классификации). Кроме того, каждый компьютер был подключен к своей собственной локальной сети на соответствующем уровне классификации, что означало, что было включено несколько выделенных кабельных заводов (со значительными затратами как с точки зрения установки, так и обслуживания).
Пределы MSL по сравнению с MLS
Очевидный недостаток MSL (по сравнению с MLS) заключается в том, что он никоим образом не поддерживает смешение различных уровней классификации. Например, идея объединения потока данных SECRET (взятого из файла SECRET) с потоком данных TOP SECRET (считанного из файла TOP SECRET) и направления результирующего потока данных TOP SECRET в файл TOP SECRET не поддерживается. По сути, систему MSL можно рассматривать как набор параллельных (и совместно размещенных) компьютерных систем, каждая из которых ограничена работой на одном и только одном уровне безопасности. Действительно, отдельные операционные системы MSL могут даже не понимать концепции уровней безопасности, поскольку они работают как одноуровневые системы. Например, в то время как одна из набора совместно размещенных ОС MSL может быть настроена для прикрепления строки символов «СЕКРЕТНО» ко всем выходным данным, эта ОС не понимает, как данные сравниваются по чувствительности и критичности с данными, обрабатываемыми ее одноранговой ОС, которая добавляет строку "UNCLASSIFIED" ко всему своему выводу.
Таким образом, при работе на двух или более уровнях безопасности необходимо использовать методы, не относящиеся к сфере компетенции «операционных систем» MSL как таковые и требующие вмешательства человека, что называется «ручной просмотр». Например, может быть предоставлен независимый монитор ( не в понимании этого термина Бринчем Хансеном ) для поддержки миграции данных между несколькими одноранговыми узлами MSL ( например , копирование файла данных с НЕКЛАССИФИЦИРОВАННОГО однорангового узла на СЕКРЕТНЫЙ одноранговый узел). Несмотря на то, что строгие требования в федеральном законодательстве конкретно не касаются этой проблемы, было бы целесообразно, чтобы такой монитор был довольно небольшим, специально сконструированным и поддерживающим лишь небольшое количество очень строго определенных операций, таких как импорт и экспорт файлов. , настройка меток вывода и другие задачи обслуживания / администрирования, которые требуют обработки всех совместно размещенных одноранговых узлов MSL как единого целого, а не как отдельных одноуровневых систем. Также может быть целесообразно использовать программную архитектуру гипервизора , такую как VMware , для предоставления набора одноранговых «ОС» MSL в форме отдельных виртуализированных сред, поддерживаемых базовой ОС, доступной только администраторам, разрешенным для всех данные, которыми управляет любой из партнеров. С точки зрения пользователей, каждый одноранговый узел будет представлять сеанс входа в систему или диспетчера отображения X, логически неотличимый от базовой пользовательской среды «ОС для обслуживания».
Достижения в MSL
Стоимость и сложность, связанные с поддержанием отдельных сетей для каждого уровня классификации, побудили Агентство национальной безопасности (АНБ) начать исследование способов, с помощью которых можно было бы сохранить концепцию MSL для выделенных систем высокого уровня при одновременном сокращении физических инвестиций, требуемых несколькими сетями и компьютеры. Обработка периодов была первым достижением в этой области, установив протоколы, с помощью которых агентства могли подключать компьютер к сети по одной классификации, обрабатывать информацию, очищать систему и подключать ее к другой сети с другой классификацией. Модель обработки периодов предполагала использование одного компьютера, но не уменьшила количество кабельных систем и оказалась чрезвычайно неудобной для пользователей; соответственно, его принятие было ограниченным.
В 1990-х годах развитие технологий виртуализации изменило правила игры для систем MSL. Внезапно появилась возможность создавать виртуальные машины ( ВМ ), которые работали как независимые компьютеры, но работали на общей аппаратной платформе. С помощью виртуализации NSA увидело способ сохранить обработку периодов на виртуальном уровне, избавившись от необходимости дезинфицировать физическую систему, выполняя всю обработку на выделенных виртуальных машинах высокого уровня. Однако, чтобы заставить MSL работать в виртуальной среде, необходимо было найти способ безопасного управления виртуальным диспетчером сеансов и гарантировать, что никакая компрометирующая деятельность, направленная на одну виртуальную машину, не может скомпрометировать другую.
Решения MSL
NSA реализовало несколько программ, направленных на создание жизнеспособных и безопасных технологий MSL с использованием виртуализации. На сегодняшний день реализованы три основных решения.
- « Несколько независимых уровней безопасности » или MILS, архитектурная концепция, разработанная доктором Джоном Рашби, которая сочетает в себе разделение с высокой степенью надежности с разделением с высокой степенью надежности. Последующие доработки, проведенные АНБ и Военно-морской аспирантурой в сотрудничестве с исследовательской лабораторией ВВС , Lockheed Martin , Rockwell Collins , Objective Interface Systems , Университетом Айдахо , Boeing , Raytheon и MITER, привели к созданию профиля защиты Common Criteria EAL-6 +, обеспечивающего высокий уровень защиты. ядро разделения уверенности .
- « Неттоп », разработанный АНБ в партнерстве с VMWare, Inc., использует Security-Enhanced Linux (SELinux) в качестве базовой операционной системы для своей технологии. ОС SELinux надежно содержит диспетчер виртуальных сеансов, который, в свою очередь, создает виртуальные машины для выполнения функций обработки и поддержки.
- "Trusted Multi-Net", коммерческая готовая система (COTS), основанная на модели тонкого клиента, была разработана совместно отраслевой коалицией, включающей Microsoft Corporation , Citrix Systems , NYTOR Technologies, VMWare, Inc. и MITER. Корпорация предлагает пользователям доступ к секретным и несекретным сетям. Его архитектура устраняет необходимость в нескольких кабельных установках, используя шифрование для передачи всего трафика по кабелю, одобренному для доступа наивысшего уровня.
Решения NetTop и Trusted Multi-Net были одобрены для использования. Кроме того, Trusted Computer Solutions разработала продукт для тонких клиентов, изначально основанный на концепциях технологии NetTop в рамках лицензионного соглашения с NSA. Этот продукт называется SecureOffice (r) Trusted Thin Client (tm) и работает в конфигурации LSPP Red Hat Enterprise Linux версии 5 (RHEL5).
Три конкурирующих компании внедрили ядра разделения MILS:
Кроме того, были достигнуты успехи в разработке систем MSL без виртуализации за счет использования специализированного оборудования, что привело по крайней мере к одному жизнеспособному решению:
- Технология Starlight (теперь позиционируемая как система интерактивной связи ), разработанная Австралийской организацией оборонных научных технологий (DSTO) и Tenix Pty Ltd, использует специализированное оборудование, позволяющее пользователям взаимодействовать с сетью «Низкий» из сетевого сеанса «Высокий». внутри окна, без передачи данных из сети «Высокая» в «Низкую».
Философские аспекты, простота использования, гибкость
Интересно рассмотреть философские последствия «пути решения» MSL. Вместо того, чтобы предоставлять возможности MLS в классической ОС, выбранное направление - создать набор «виртуальных ОС» одноранговых узлов, которыми можно управлять, индивидуально или коллективно, с помощью базовой реальной ОС. Если базовая ОС (позвольте нам ввести термин обслуживающая операционная система или MOS ) должна иметь достаточное понимание семантики MLS, чтобы предотвратить серьезные ошибки, такие как копирование данных с ТОП-СЕКРЕТНОГО узла MSL на НЕКЛАССИФИЦИРОВАННЫЙ узел MSL, тогда MOS должен иметь возможность: представлять этикетки; связывать метки с сущностями (здесь мы строго избегаем терминов «субъект» и «объект»); сравнивать метки (строго избегая термина «контрольный монитор»); различать контексты, в которых метки значимы, и контексты, в которых они не значимы (строго избегая термина «доверенная вычислительная база» [TCB]); список продолжается. Легко понять, что проблемы с архитектурой и дизайном MLS не были устранены, а просто перенесены на отдельный слой программного обеспечения, которое невидимо управляет проблемами обязательного контроля доступа, так что вышележащие слои не нуждаются в этом. Эта концепция является не чем иным, как идеальной архитектурной концепцией (взятой из отчета Андерсона ), лежащей в основе доверенных систем в стиле DoD в первую очередь.
То, что было положительно достигнуто за счет абстракции набора-одноранговых узлов MSL, хотя и является радикальным ограничением объема программных механизмов, учитывающих MAC, небольшими подчиненными MOS. Однако это было достигнуто за счет устранения любых практических способностей MLS, даже самых элементарных, например, когда пользователь с секретным кодом добавляет НЕКЛАССИФИЦИРОВАННЫЙ абзац, взятый из НЕКЛАССИФИЦИРОВАННОГО файла, в свой СЕКРЕТНЫЙ отчет. Реализация MSL, очевидно, потребует репликации каждого «повторно используемого» ресурса (в данном примере, НЕКЛАССИФИЦИРОВАННОГО файла) на всех одноранговых узлах MSL, которые могут счесть его полезным, что означает либо ненужное расходование большого количества вторичного хранилища, либо непосильную нагрузку на администратора, имеющего право такие репликации в ответ на запросы пользователей. (Конечно, поскольку СЕКРЕТНЫЙ пользователь не может "просматривать" НЕКЛАССИФИЦИРОВАННЫЕ предложения системы, кроме выхода из системы и повторного запуска НЕКЛАССИФИЦИРОВАННОЙ системы, одно свидетельствует о еще одном серьезном ограничении функциональности и гибкости.) В качестве альтернативы, менее чувствительными файловыми системами могут быть NFS- установлен только для чтения, чтобы более надежные пользователи могли просматривать, но не изменять их содержимое. Albeit равноправного MLS OS не будет иметь никаких реальных средства для различения ( с помощью каталога команды листинга, например ) , что NFS-смонтированных ресурсы не находятся на разный уровне чувствительности , чем местные ресурсы, и никаких строгих средств для предотвращения незаконной нелегкой потоки конфиденциальная информация, кроме механизма прямого перебора по принципу «все или ничего» монтирования NFS только для чтения.
Чтобы продемонстрировать, каким препятствием на самом деле является такое резкое осуществление «межуровневого обмена файлами», рассмотрим случай системы MLS, которая поддерживает НЕКЛАССИФИЦИРОВАННЫЕ, СЕКРЕТНЫЕ и СОВЕРШЕННО СЕКРЕТНЫЕ данные, а также пользователя со статусом СОВЕРШЕННО СЕКРЕТНО, который входит в систему по адресу этот уровень. Структуры каталогов MLS построены на принципе сдерживания, который, грубо говоря, диктует, что более высокие уровни чувствительности располагаются глубже в дереве: обычно уровень каталога должен совпадать или преобладать над уровнем его родительского, в то время как уровень файла (более в частности, любой ссылки на него) должен совпадать со ссылкой на каталог, в котором он находится. (Это строго верно для MLS UNIX: альтернативы, которые поддерживают различные концепции каталогов, записей каталогов, i-узлов и т. Д., Такие как Multics , который добавляет абстракцию «ветвления» к своей парадигме каталогов - допускают более широкий набор альтернативных реализаций. .) Ортогональные механизмы предусмотрены для общедоступных каталогов и каталогов спула, таких как / tmp или C: \ TEMP , которые автоматически - и невидимо - разделяются операционной системой, при этом запросы доступа к файлам пользователей автоматически "отклоняются" в каталог с соответствующей пометкой. раздел. Пользователь TOP SECRET может свободно просматривать всю систему, его единственное ограничение состоит в том, что при входе в систему на этом уровне ему разрешено создавать только свежие файлы TOP SECRET в определенных каталогах или их потомках. В альтернативе MSL, где любой доступный для просмотра контент должен быть специально, кропотливо реплицирован на всех применимых уровнях полностью аттестованным администратором - это означает, что в этом случае все СЕКРЕТНЫЕ данные должны быть реплицированы в СОВЕРШЕННО СЕКРЕТНУЮ одноранговую ОС MSL, в то время как все НЕКЛАССИФИЦИРОВАННЫЕ данные должны быть реплицированы как на SECRET, так и на TOP SECRET - легко понять, что чем выше уровень доступа пользователя, тем более разочаровывающим будет его вычислительный опыт с разделением времени.
В классическом теоретико-доверительном смысле - опираясь на терминологию и концепции, взятые из Оранжевой книги , основы доверенных вычислений - система, поддерживающая равноправные узлы MSL, не может достичь уровня надежности выше (B1). Это связано с тем, что критерии (B2) требуют, среди прочего, как четкой идентификации периметра TCB, так и существования единого идентифицируемого объекта, который имеет возможность и полномочия разрешать доступ ко всем данным, представленным во всех доступных ресурсах ADP. система. Таким образом, в самом реальном смысле применение термина «высокая надежность» в качестве дескриптора реализаций MSL бессмысленно, поскольку термин «высокая надежность» должным образом ограничивается системами (B3) и (A1) - и, с некоторыми слабость, хотя и к (В2) системам.
Междоменные решения
Системы MSL, виртуальные или физические по своей природе, предназначены для сохранения изоляции между различными уровнями классификации. Следовательно, (в отличие от систем MLS) среда MSL не имеет врожденных способностей перемещать данные с одного уровня на другой.
Чтобы разрешить обмен данными между компьютерами, работающими на разных уровнях классификации, такие сайты развертывают междоменные решения (CDS), которые обычно называют привратниками или охранниками . Охранники, которые часто сами используют технологии MLS, фильтруют трафик между сетями; Однако в отличие от коммерческого брандмауэра Интернета , защита построена с учетом гораздо более строгих требований безопасности, и ее фильтрация тщательно разработана, чтобы попытаться предотвратить любую ненадлежащую утечку секретной информации между локальными сетями, работающими на разных уровнях безопасности.
Технологии диодов передачи данных широко используются там, где требуется ограничить потоки данных одним направлением между уровнями с высокой степенью уверенности в том, что данные не будут передаваться в противоположном направлении. В общем, на них распространяются те же ограничения, которые налагают проблемы на другие решения MLS: строгая оценка безопасности и необходимость предоставления электронного эквивалента заявленной политики для перемещения информации между классификациями. (Перемещение информации вниз по уровню классификации является особенно сложной задачей и обычно требует одобрения нескольких разных людей.)
По состоянию на конец 2005 года множество платформ с высоким уровнем надежности и защитных приложений были одобрены для использования в секретных средах. Обратите внимание, что термин «высокая надежность», используемый здесь, должен оцениваться в контексте DCID 6/3 (читать «dee skid six three»), квазитехнического руководства по созданию и развертыванию различных систем для обработки секретных данных. информации, в которой отсутствует как точная юридическая жесткость критериев Оранжевой книги, так и лежащая в основе математическая строгость. («Оранжевая книга» основана на логической «цепочке рассуждений», построенной следующим образом: [а] «безопасное» состояние определяется математически, и строится математическая модель, операции по которой сохраняют безопасное состояние таким образом что любая мыслимая последовательность операций, начиная с безопасного состояния, дает безопасное состояние; [b] отображение разумно выбранных примитивов в последовательности операций над моделью; и [c] «описательная спецификация верхнего уровня», которая отображает действия, которые могут быть преобразованы в пользовательский интерфейс (например, системные вызовы ) в последовательности примитивов; но не останавливаясь ни на [d] формальной демонстрации того, что действующая программная реализация правильно реализует указанные последовательности действий; либо [e] формально утверждая, что исполняемый файл, теперь "доверенная" система создается с помощью правильных и надежных инструментов ( например , компиляторов, библиотекарей, компоновщиков).