ХТС-400

Эта статья нуждается в дополнительных ссылок для проверки . Пожалуйста, помогите улучшить эту статью , добавив ссылки на надежные источники . Неиспользованный материал может быть оспорен и удален. Найти источники:   «XTS-400» — новости   · газеты   · книги   · ученый   · JSTOR ( ноябрь 2016 г. ) ( Узнайте, как и когда удалить это сообщение )

XTS -400 — это многоуровневая безопасная компьютерная операционная система . Это многопользовательский и многозадачный режим , в котором используется многоуровневое планирование обработки данных и информации. Он работает в сетевых средах и поддерживает Gigabit Ethernet , а также IPv4 и IPv6 .

XTS-400 представляет собой комбинацию оборудования Intel x86 и Secure Trusted Operating Program ( STOP ) операционной системы . XTS-400 был разработан BAE Systems и первоначально выпущен как версия 6.0 в декабре 2003 года.

STOP обеспечивает высокий уровень безопасности и является первой операционной системой общего назначения с уровнем безопасности по общим критериям EAL5 или выше. ^[1] XTS-400 может размещать и доверять отдельные, несколько одновременных наборов данных, пользователей и сетей с разными уровнями чувствительности.

XTS-400 обеспечивает как недоверенную среду для нормальной работы, так и надежную среду для административной работы и привилегированных приложений. Недоверенная среда аналогична традиционным средам Unix . Он обеспечивает двоичную совместимость с приложениями Linux , запускающими большинство команд и инструментов Linux, а также с большинством приложений Linux без необходимости перекомпиляции. Эта ненадежная среда включает в себя X Window System графический интерфейс , хотя все окна на экране должны иметь одинаковый уровень чувствительности.

набор собственных API Для поддержки доверенной среды и различных функций безопасности STOP предоставляет приложениям . Для разработки программ, использующих эти проприетарные API, необходима специальная среда разработки программного обеспечения (SDE). SDE также необходим для переноса некоторых сложных приложений Linux/Unix на XTS-400.

Новая версия операционной системы СТОП, СТОП 7. ^[2] с тех пор был представлен с заявлениями об улучшенной производительности и новых функциях, таких как RBAC .

Использует [ править ]

Как высоконадежная система MLS , XTS-400 может использоваться в междоменных решениях , для которых обычно требуется разработка части привилегированного программного обеспечения, которое может временно обходить одну или несколько функций безопасности контролируемым образом. Такие изделия не подлежат оценке CC XTS-400, но могут быть аккредитованы.

XTS-400 можно использовать в качестве настольного компьютера, сервера или сетевого шлюза. Интерактивная среда, типичные инструменты командной строки Unix и графический интерфейс поддерживают настольное решение. Поскольку XTS-400 поддерживает несколько одновременных сетевых подключений с разными уровнями чувствительности, его можно использовать для замены нескольких одноуровневых настольных компьютеров, подключенных к нескольким различным сетям.

Для поддержки функциональности сервера XTS-400 может быть реализован в конфигурации для монтажа в стойку , поддерживает источник бесперебойного питания (ИБП), допускает несколько сетевых подключений, поддерживает множество жестких дисков в подсистеме SCSI (также позволяет экономить дисковые блоки с использованием с разреженными файлами реализации ). в файловой системе ) и предоставляет надежный инструмент резервного копирования/сохранения. Серверное программное обеспечение, такое как Интернет-демон, можно портировать для работы на XTS-400.

Популярным применением систем высокой надежности, таких как XTS-400, является защита потока информации между двумя сетями с разными характеристиками безопасности. Доступно несколько решений для защиты клиентов на базе систем XTS.

Безопасность [ править ]

XTS-400 версии 6.0.E прошел оценку по общим критериям (CC) в марте 2004 г. на уровне EAL4, дополненную ALC_FLR.3 (отчет о проверке CCEVS-VR-04-0058). Версия 6.0.E также соответствует профилям защиты, озаглавленным «Маркированная безопасность». Профиль защиты (LSPP) и профиль защиты контролируемого доступа (CAPP), хотя оба профиля превосходят их по функциональности и надежности.

XTS-400 версии 6.1.E завершил оценку в марте 2005 года на уровне EAL5, дополненном ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-05-0094), и по-прежнему соответствует LSPP и CAPP. Оценка EAL5+ включала анализ скрытых каналов, а также дополнительный анализ уязвимостей и тестирование Агентства национальной безопасности .

XTS-400 версии 6.4.U4 завершил оценку в июле 2008 года на уровне EAL5, дополненную ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-VID10293-2008), также все еще соответствуя LSPP и CAPP. Как и его предшественник, он также включал анализ скрытых каналов, а также дополнительный анализ уязвимостей и тестирование Агентства национальной безопасности.

Официальные публикации всех оценок XTS-400 можно увидеть в проверенном списке продуктов. ^{[3] [4]}

Основной функцией безопасности, которая отличает STOP от большинства операционных систем, является обязательная политика конфиденциальности. Поддержка обязательной политики целостности также отличает STOP от большинства MLS или доверенных систем. В то время как политика конфиденциальности занимается предотвращением несанкционированного раскрытия, политика целостности занимается предотвращением несанкционированного удаления или изменения (например, ущерба, который может попытаться нанести вирус ). Обычные (т. е. не доверенные) пользователи не имеют права по своему усмотрению изменять уровни чувствительности или целостности объектов. Белла -ЛаПадулы и Бибы В основе этой политики лежат формальные модели .

Политики чувствительности и целостности применяются ко всем пользователям и всем объектам в системе. STOP обеспечивает 16 иерархических уровней чувствительности, 64 неиерархические категории чувствительности, 8 иерархических уровней целостности и 16 неиерархических категорий целостности. Политика обязательной конфиденциальности обеспечивает соблюдение США модели классификации конфиденциальности данных Министерства обороны (т. е. «Несекретно», «Секретно», «Совершенно секретно»), но ее можно настроить для коммерческих сред.

Другие функции безопасности включают в себя:

• Идентификация и аутентификация , которая заставляет пользователей проходить уникальную идентификацию и аутентификацию перед использованием каких-либо системных служб или доступом к любой информации; идентификация пользователя используется для принятия решений по контролю доступа и для подотчетности посредством механизма аудита;
• Дискреционный контроль доступа (DAC), который выглядит так же, как в Unix , включая наличие списков контроля доступа для каждого объекта; функция set-id поддерживается контролируемым образом;
• Обязательная политика подтипа , которая обеспечивает некоторые функции доверенных систем, поддерживающих политику полного соблюдения типов или политики доменного типа ;
• Аудит всех событий, связанных с безопасностью, и доверенных инструментов, позволяющий администраторам обнаруживать и анализировать потенциальные нарушения безопасности;
• Доверенный путь , который позволяет пользователю быть уверенным, что он/она напрямую взаимодействует с доверенными функциями безопасности (TSF) во время конфиденциальных операций; позволяет, например, троянскому коню подделать это не процесс входа в систему и украсть пароль пользователя;
• Изоляция кода операционной системы и файлов данных от активности недоверенных пользователей и процессов, что, в частности, предотвращает повреждение или иное влияние вредоносных программ на систему;
• Отделение процессов друг от друга (чтобы один процесс/пользователь не мог вмешиваться во внутренние данные и код другого процесса);
• Функциональность эталонного монитора , так что никакой доступ не может обойти проверку операционной системы;
• Строгое разделение ролей администратора, оператора и пользователя с использованием обязательной политики целостности;
• Механизмы остаточной информации (т. е. повторное использование объектов) для предотвращения очистки данных;
• Надежные и проверенные инструменты для настройки системы, управления критически важными с точки зрения безопасности данными и восстановления файловых систем;
• Самотестирование механизмов безопасности по запросу;
• Исключение сетевых сервисов более высокого уровня из ФБО, чтобы ФБО не были подвержены общеизвестным уязвимостям этих сервисов.

STOP поставляется только в одном пакете, поэтому не возникает путаницы относительно того, присутствуют ли в конкретном пакете все функции безопасности. Обязательные политики невозможно отключить. Конфигурация политики не требует потенциально сложного процесса определения больших наборов доменов и типов данных (и сопутствующих правил доступа).

Для обеспечения надежности системы XTS-400 должен быть установлен, загружен и настроен доверенным персоналом. На объекте также должна обеспечиваться физическая защита аппаратных компонентов. Система и обновления программного обеспечения поставляются от BAE Systems безопасным способом.

Для клиентов, которым они нужны, XTS-400 поддерживает криптографический блок поддержки миссии (MSCU) и Fortezza карты . MSCU выполняет типа 1 криптографию и был отдельно проверен Агентством США национальной безопасности .

Аппаратное обеспечение [ править ]

Оценка CC требует определенного оборудования использования в XTS-400. Хотя это накладывает ограничения на используемые конфигурации оборудования, возможны несколько конфигураций. В XTS-400 используются только стандартные ПК, готовые коммерческие компоненты (COTS), за исключением дополнительного криптографического блока поддержки миссии (MSCU).

Аппаратное обеспечение основано на (ЦП) Intel Xeon ( P4 ) центральном процессоре с частотой до 2,8 ГГц и поддержкой до 2 ГБ основной памяти.

Шина Peripheral Component Interconnect (PCI) используется для карт расширения, таких как Gigabit Ethernet . Можно создать до 16 одновременных Ethernet- соединений, каждое из которых можно настроить на различных обязательных уровнях безопасности и целостности.

Подсистема SCSI используется для подключения ряда высокопроизводительных периферийных устройств. Одно из периферийных устройств SCSI — это устройство чтения карт ПК , поддерживающее Fortezza . несколько хост-адаптеров SCSI Можно включить .

История [ править ]

XTS-400 предшествовало несколько оцененных предшественников, разработанных одной и той же группой: Secure Communications Processor (SCOMP), XTS-200 и XTS-300. Все предыдущие продукты были оценены в соответствии со стандартами Trusted Computer System Evaluation Criteria (TCSEC) (также известными как Оранжевая книга ). SCOMP завершил оценку в 1984 году на самом высоком функциональном уровне и уровне обеспечения безопасности, существовавшем на тот момент: A1. С тех пор продукт превратился из проприетарного оборудования и интерфейсов в стандартное оборудование и интерфейсы Linux.

XTS-200 был разработан как операционная система общего назначения, поддерживающая Unix-подобные приложения и пользовательскую среду. XTS-200 прошел оценку в 1992 году на уровне B3.

XTS-300 перешел от проприетарного мини-компьютера к COTS, оборудованию Intel x86. XTS-300 прошел оценку в 1994 году на уровне B3. XTS-300 также прошел несколько циклов поддержки рейтингов (также известных как RAMP), очень похожих на цикл обеспечения непрерывности в соответствии с CC, и в конечном итоге в 2000 году была оценена версия 5.2.E.

Разработка XTS-400 началась в июне 2000 года. Основным изменением, заметным для клиентов, было соответствие Linux API . Хотя функции безопасности системы XTS накладывают некоторые ограничения на API и требуют дополнительных проприетарных интерфейсов, соответствие достаточно близкое, поэтому большинство приложений могут работать на XTS без перекомпиляции. Некоторые функции безопасности были добавлены или улучшены по сравнению с более ранними версиями системы, а также была улучшена производительность.

По состоянию на июль 2006 года линейка продуктов XTS продолжает совершенствоваться.

5 сентября 2006 г. Патентное ведомство США предоставило BAE Systems Information Technology, LLC. Патент США № 7 103 914 «Надежная компьютерная система».

Архитектура [ править ]

STOP — это операционная система с монолитным ядром (как и Linux). Несмотря на то, что STOP предоставляет Linux-совместимый API, он не является производным от Unix или какой-либо Unix-подобной системы. STOP — это многоуровневая, модульная система, относительно компактная и простая. Эти характеристики исторически способствовали проведению оценок с высокой степенью достоверности.

СТОП состоит из четырех колец , каждое из которых подразделяется на слои. Самое внутреннее кольцо имеет аппаратные привилегии, а приложения, включая привилегированные команды, запускаются на самом внешнем. Три внутренних кольца составляют ядро . Программное обеспечение во внешнем кольце защищено от вмешательства в программное обеспечение во внутреннем кольце. Ядро является частью адресного пространства каждого процесса и необходимо как обычным, так и привилегированным процессам.

Ядро безопасности занимает самое внутреннее и наиболее привилегированное кольцо и обеспечивает соблюдение всех обязательных политик. Он обеспечивает виртуальную среду процессов, которая изолирует один процесс от другого. Он выполняет все низкоуровневое планирование, управление памятью и обработку прерываний. Ядро безопасности также предоставляет услуги ввода-вывода и механизм сообщений IPC . Данные ядра безопасности являются глобальными для системы.

Программное обеспечение доверенных системных служб (TSS) выполняется в кольце 1. TSS реализует файловые системы, реализует TCP/IP и применяет политику дискреционного контроля доступа к объектам файловой системы. Данные TSS являются локальными для процесса, в котором они выполняются.

Службы операционной системы (OSS) выполняются в кольце 2. OSS предоставляет приложениям Linux-подобный API, а также предоставляет дополнительные собственные интерфейсы для использования функций безопасности системы. OSS реализует сигналы, группы процессов и некоторые устройства памяти. Данные OSS являются локальными для процесса, в котором они выполняются.

Программное обеспечение считается доверенным, если оно выполняет функции, от которых зависит соблюдение политики безопасности системы (например, установление авторизации пользователя). Это определение основано на уровне целостности и привилегиях. Ненадежное программное обеспечение работает на уровне целостности 3 со всеми категориями целостности или ниже. Некоторым процессам требуются привилегии для выполнения своих функций — например, Безопасному серверу необходим доступ к базе данных аутентификации доступа пользователей, которая хранится на высоком системном уровне , при этом устанавливается сеанс для пользователя на более низком уровне чувствительности.

Потенциальные недостатки [ править ]

XTS-400 может обеспечить высокий уровень безопасности во многих прикладных средах, но для его достижения приходится идти на компромиссы. Потенциальные недостатки для некоторых клиентов могут включать в себя:

• Более низкая производительность из-за более жесткой внутренней многоуровневой структуры и модульности, а также дополнительных проверок безопасности;
• Меньше готовых функций уровня приложения;
• Некоторые изменения на уровне исходного кода могут потребоваться для запуска сложных приложений;
• Доверенный пользовательский интерфейс не использует графический интерфейс и имеет ограниченные возможности командной строки;
• Ограниченный выбор оборудования;
• Не подходит для встроенных сред или сред реального времени.

Ссылки [ править ]

Внешние ссылки [ править ]

• Официальный сайт БАЕ
• Страница продукта, сертифицированного XTS-400 EAL5+
• XTS-400 EAL5+ заархивировал проверенную страницу продукта
• XTS-400 EAL4+ заархивировал проверенную страницу продукта
• Патент США 7 103 914: Надежная компьютерная система.
• Документ о необходимости безопасных операционных систем и обязательной безопасности
• Monterey Security Architecture (MYSEA) , проект Военно-морской аспирантуры , в котором использовалась ОС STOP.
• Обзор XMPP и междоменной совместной информационной среды (CDCIE) , многонациональный обмен информацией как в однодоменных, так и в междоменных средах (использует STOP OS)