Несколько одноуровневых

Эта статья не цитирует какие-либо источники . Пожалуйста, помогите улучшить эту статью , добавив цитаты на надежные источники . Неиспользованный материал может быть оспорен и удален . Найти источники:   «Несколько одноуровневых» — новости   · газеты   · книги   · ученый   · JSTOR ( декабрь 2009 г. ) ( Узнайте, как и когда удалить это сообщение )

Множественный одноуровневый или многоуровневый уровень безопасности ( MSL ) — это средство разделения разных уровней данных с использованием отдельных компьютеров или виртуальных машин для каждого уровня. Его цель — предоставить некоторые преимущества многоуровневой безопасности без необходимости внесения специальных изменений в ОС или приложения, но за счет необходимости дополнительного оборудования.

Стремлению к разработке операционных систем MLS серьезно препятствовало резкое падение затрат на обработку данных в начале 1990-х годов. До появления настольных компьютеров пользователям с классифицированными требованиями к обработке данных приходилось либо тратить много денег на выделенный компьютер, либо использовать компьютер, на котором была установлена ​​операционная система MLS. Однако на протяжении 1990-х годов многие подразделения оборонных и разведывательных ведомств воспользовались снижением затрат на компьютеры для развертывания настольных систем, предназначенных для работы только на самом высоком уровне классификации, используемом в их организациях. Эти настольные компьютеры работали в системном режиме высокого уровня и были подключены к локальным сетям , которые передавали трафик на том же уровне, что и компьютеры.

Реализации MSL, подобные этой, аккуратно избежали сложностей MLS, но заменили техническую простоту неэффективным использованием пространства. Поскольку большинству пользователей в секретных средах также требовались несекретные системы, у пользователей часто было как минимум два компьютера, а иногда и больше (один для несекретной обработки и по одному для каждого обрабатываемого уровня классификации). Кроме того, каждый компьютер был подключен к собственной локальной сети соответствующего уровня классификации, а это означало, что было включено несколько выделенных кабельных систем (что потребовало значительных затрат как с точки зрения установки, так и с точки зрения обслуживания).

Очевидным недостатком MSL (по сравнению с MLS) является то, что он каким-либо образом не поддерживает смешение различных уровней классификации. Например, идея объединения потока СЕКРЕТНЫХ данных (взятого из файла СЕКРЕТНО) с потоком данных СОВЕРШЕННО СЕКРЕТНО (считанного из файла СОВЕРШЕННО СЕКРЕТНО) и направления результирующего потока данных СОВЕРШЕННО СЕКРЕТНО в файл СОВЕРШЕННО СЕКРЕТНО не поддерживается. По сути, систему MSL можно рассматривать как набор параллельных (и совмещенных) компьютерных систем, каждая из которых ограничена работой на одном и только одном уровне безопасности. Действительно, отдельные операционные системы MSL могут даже не понимать концепцию уровней безопасности, поскольку они работают как одноуровневые системы. Например, хотя одна из множества совмещенных ОС MSL может быть настроена для прикрепления строки символов «СЕКРЕТНО» ко всем выводам, эта ОС не понимает, как данные сравниваются по чувствительности и критичности с данными, обрабатываемыми ее равноправной ОС, которая добавляет строку «UNCLASSIFIED» ко всем своим выводам.

В таком случае, работая на двух или более уровнях безопасности, необходимо использовать методы, выходящие за рамки «операционных систем» MSL как таковые и требующие вмешательства человека, называемого «ручной проверкой». Например, может быть предоставлен независимый монитор ( не в Бринчом Хансеном смысле этого термина, предложенном ) для поддержки миграции данных между несколькими одноранговыми узлами MSL ( например , копирование файла данных с НЕКЛАССИФИЦИРОВАННОГО однорангового узла на СЕКРЕТНЫЙ одноранговый узел). Хотя никакие строгие требования федерального законодательства конкретно не решают эту проблему, было бы целесообразно, чтобы такой монитор был довольно небольшим, специально созданным и поддерживал лишь небольшое количество очень жестко определенных операций, таких как импорт и экспорт файлов. , настройку меток вывода и другие задачи обслуживания/администрирования, которые требуют обработки всех совмещенных узлов MSL как единого целого, а не как отдельных одноуровневых систем. Также может быть целесообразным использовать архитектуру программного обеспечения гипервизора , например VMware , для предоставления набора одноранговых «ОС» MSL в виде отдельных виртуализированных сред, поддерживаемых базовой ОС, которая доступна только администраторам, имеющим разрешение на все данные, управляемые любым из узлов. С точки зрения пользователей, каждый партнер будет представлять сеанс входа в систему или диспетчера отображения X логически неотличим от базовой пользовательской среды «ОС обслуживания».

Стоимость и сложность, связанные с поддержанием отдельных сетей для каждого уровня классификации, побудили Агентство национальной безопасности (АНБ) начать исследование способов, с помощью которых можно было бы сохранить концепцию MSL о выделенных системных системах, одновременно сокращая физические инвестиции, необходимые для нескольких сетей и компьютеры. Обработка периодов была первым достижением в этой области, устанавливающим протоколы, с помощью которых агентства могли подключать компьютер к сети с одной классификацией, обрабатывать информацию, очищать систему и подключать ее к другой сети с другой классификацией. Модель обработки периодов обещала использовать один компьютер, но не позволила сократить количество кабельных систем и оказалась чрезвычайно неудобной для пользователей; соответственно, его принятие было ограниченным.

В 1990-е годы развитие технологий виртуализации изменило правила игры для систем MSL. Внезапно стало возможным создавать виртуальные машины (ВМ), которые вели себя как независимые компьютеры, но работали на общей аппаратной платформе. С помощью виртуализации АНБ увидело способ сохранить обработку периодов на виртуальном уровне и больше не нуждаться в очистке физической системы, выполняя всю обработку внутри выделенных виртуальных машин с высоким уровнем системы. Однако, чтобы заставить MSL работать в виртуальной среде, необходимо было найти способ безопасного управления диспетчером виртуальных сеансов и гарантировать, что никакая компрометирующая деятельность, направленная на одну виртуальную машину, не сможет поставить под угрозу другую.

АНБ реализовало множество программ, направленных на создание жизнеспособных и безопасных технологий MSL с использованием виртуализации. На сегодняшний день реализованы три основных решения.

• « Множественные независимые уровни безопасности » или MILS — архитектурная концепция, разработанная доктором Джоном Рашби , которая сочетает в себе высоконадежное разделение безопасности с высоконадежным разделением безопасности. Последующая доработка, проведенная АНБ и Аспирантурой ВМФ в сотрудничестве с исследовательской лабораторией ВВС , Lockheed Martin , Rockwell Collins , Objective Interface Systems , Университетом Айдахо , Boeing , Raytheon и MITRE, привела к получению по общим критериям EAL-6+ профиля защиты для высокого гарантий уровня безопасности. - ядро ​​разделения .
• « NetTop », разработанный АНБ в сотрудничестве с VMWare, Inc., использует Linux с повышенной безопасностью (SELinux) в качестве базовой операционной системы для своей технологии. ОС SELinux надежно содержит диспетчер виртуальных сеансов, который, в свою очередь, создает виртуальные машины для выполнения функций обработки и поддержки.
• Trusted Multi-Net, коммерческая готовая система (COTS), основанная на модели тонкого клиента, была разработана совместно отраслевой коалицией, включающей Microsoft Corporation , Citrix Systems , NYTOR Technologies, VMWare, Inc. и MITRE. Корпорация предложит пользователям доступ к секретным и несекретным сетям. Его архитектура устраняет необходимость в нескольких кабельных системах, используя шифрование для передачи всего трафика по кабелю, одобренному для доступа самого высокого уровня.

Оба решения NetTop и Trusted Multi-Net одобрены к использованию. Кроме того, компания Trusted Computer Solutions разработала продукт тонкого клиента, первоначально основанный на концепциях технологии NetTop, в рамках лицензионного соглашения с АНБ. Этот продукт называется SecureOffice(r) Trusted Thin Client(tm) и работает в конфигурации LSPP Red Hat Enterprise Linux версии 5 (RHEL5).

Три конкурирующие компании внедрили ядра разделения MILS:

• Программное обеспечение Зеленых холмов
• ЛинуксВоркс
• Речные системы ветра

Кроме того, были достигнуты успехи в разработке систем MSL без виртуализации за счет использования специализированного оборудования, что привело к появлению по крайней мере одного жизнеспособного решения:

• Технология Starlight (теперь продаваемая как Interactive Link System), разработанная Австралийской организацией оборонных научных технологий (DSTO) и Tenix Pty Ltd, использует специализированное оборудование, позволяющее пользователям взаимодействовать с «низкой» сетью из «высокого» сетевого сеанса. внутри окна, без передачи данных из сети «Высокая» в сеть «Низкая».

Интересно рассмотреть философские последствия «пути решения» MSL. Вместо предоставления возможностей MLS в классической ОС выбранное направление состоит в создании набора одноранговых узлов «виртуальной ОС», которыми можно управлять индивидуально и коллективно с помощью базовой реальной ОС. Если базовая ОС (введем термин «операционная система обслуживания» , или MOS ) должна иметь достаточное понимание семантики MLS, чтобы предотвратить серьезные ошибки, такие как копирование данных с СОВЕРШЕННО СЕКРЕТНОГО узла MSL на НЕКЛАССИФИЦИРОВАННЫЙ узел MSL, тогда MOS должна иметь возможность: представлять метки; ассоциировать метки с сущностями (здесь мы строго избегаем терминов «субъект» и «объект»); сравнивать метки (строго избегая термина «эталонный монитор»); различать те контексты, где метки имеют смысл, и те, где они не имеют значения (строго избегая термина «доверенная вычислительная база» [TCB]); список можно продолжить. Легко понять, что проблемы архитектуры и проектирования MLS не были устранены, а просто перенесены на отдельный уровень программного обеспечения, который незаметно управляет проблемами обязательного контроля доступа, так что не требуется необходимости в вышестоящих слоях. Эта концепция есть не что иное, как геминальная архитектурная концепция (взятая из Отчет Андерсона в стиле Министерства обороны ), лежащий в основе доверенных систем .

Что было положительно достигнуто с помощью абстракции множества MSL-одноранговых узлов, так это радикальное ограничение объема программных механизмов, распознающих MAC, небольшими, расположенными ниже MOS. Однако это было достигнуто за счет исключения любых практических возможностей MLS, даже самых элементарных, например, когда пользователь с допуском СЕКРЕТНО добавляет НЕСЕКРЕТНО абзац, взятый из НЕСЕКРЕТНОГО файла, к своему СЕКРЕТНОМУ отчету. Реализация MSL, очевидно, потребует, чтобы каждый «многоразовый» ресурс (в данном примере, НЕКЛАССИФИЦИРОВАННЫЙ файл) был реплицирован на каждом одноранговом узле MSL, который может счесть его полезным. такие репликации в ответ на запросы пользователей. (Конечно, поскольку СЕКРЕТНЫЙ пользователь не может «просматривать» НЕСЕКРЕТИРОВАННЫЕ предложения системы, кроме как выйдя из системы и заново запустив НЕСЕКРЕТНУЮ систему, это свидетельствует о еще одном серьезном ограничении функциональности и гибкости.) Альтернативно, менее конфиденциальными файловыми системами могут быть NFS- смонтированы только для чтения, чтобы более заслуживающие доверия пользователи могли просматривать, но не изменять их содержимое. Хотя у узла ОС MLS не будет реальных средств для различения (через команду просмотра списка каталогов, например ) что ресурсы, смонтированные в NFS, имеют другой уровень чувствительности, чем локальные ресурсы, и нет строгих средств для предотвращения незаконного восходящего потока конфиденциальной информации, кроме грубого подхода, механизма «все или ничего» NFS только для чтения. монтаж.

Чтобы продемонстрировать, насколько на самом деле является препятствием такое резкое осуществление «межуровневого обмена файлами», рассмотрим случай системы MLS, которая поддерживает НЕСЕКРЕТНЫЕ, СЕКРЕТНЫЕ и СОВЕРШЕННО СЕКРЕТНЫЕ данные, и пользователя с допуском СОВЕРШЕННО СЕКРЕТНО, который входит в систему по адресу этот уровень. Структуры каталогов MLS построены на основе принципа сдерживания, который, грубо говоря, предписывает, чтобы более высокие уровни чувствительности находились глубже в дереве: обычно уровень каталога должен соответствовать уровню его родительского элемента или доминировать над ним, в то время как уровень файла (более в частности, любой ссылки на него) должен соответствовать каталогу, в котором он каталогизирован. (Это строго верно для MLS UNIX: альтернативы, которые поддерживают различные концепции каталогов, записей каталогов, i-узлов и т. д. — например, Multics , который добавляет абстракцию «ветви» к своей парадигме каталогов — допускают более широкий набор альтернативных реализаций. .) Ортогональные механизмы предусмотрены для общедоступных и буферных каталогов, таких как /tmp или C:\TEMP , которые автоматически и незаметно разбиваются на разделы операционной системой, при этом запросы пользователей на доступ к файлам автоматически «перенаправляются» в каталог с соответствующей меткой. перегородка. Пользователь СОВЕРШЕННО СЕКРЕТНО может свободно просматривать всю систему, его единственным ограничением является то, что при входе в систему на этом уровне ему разрешено создавать новые файлы СОВЕРШЕННО СЕКРЕТНО только в определенных каталогах или их потомках. В альтернативе MSL, где любой контент, доступный для просмотра, должен быть специально и кропотливо реплицирован на всех применимых уровнях полностью допущенным администратором - в этом случае это означает, что все СЕКРЕТНЫЕ данные должны быть реплицированы в СОВЕРШЕННО СЕКРЕТНУЮ одноранговую ОС MSL, в то время как все НЕСЕКРЕТНЫЕ данные должны быть реплицированы как на СЕКРЕТНЫЕ, так и на СОВЕРШЕННО СЕКРЕТНЫЕ одноранговые узлы — можно легко понять, что чем более высокий уровень допуска у пользователя, тем больше разочаровывает его опыт работы на компьютере с разделением времени.

В классическом теоретическом смысле доверенных систем (полагаясь на терминологию и концепции, взятые из Оранжевой книги , основы доверенных вычислений) система, поддерживающая одноранговые узлы MSL, не может достичь уровня надежности, превышающего (B1). Это связано с тем, что критерии (B2) требуют, среди прочего, как четкого определения периметра УТС, так и существования единого идентифицируемого объекта, который имеет возможность и полномочия выносить решение о доступе ко всем данным, представленным во всех доступных ресурсах ADP. система. Таким образом, в вполне реальном смысле применение термина «высокая надежность» в качестве описания реализаций MSL бессмысленно, поскольку термин «высокая надежность» должным образом ограничен системами (B3) и (A1) – и, с некоторыми хотя и к (B2) системам.

Системы MSL, виртуальные или физические по своей природе, предназначены для сохранения изоляции между различными уровнями классификации. Следовательно, (в отличие от систем MLS) среда MSL не имеет врожденных возможностей перемещения данных с одного уровня на другой.

Чтобы обеспечить обмен данными между компьютерами, работающими на разных уровнях классификации, такие сайты развертывают междоменные решения (CDS), которые обычно называют привратниками или охранниками . Охранники, которые часто сами используют технологии MLS, фильтруют трафик, проходящий между сетями; Однако, в отличие от коммерческого интернет- брандмауэра , защита построена с учетом гораздо более строгих требований безопасности, а ее фильтрация тщательно разработана, чтобы попытаться предотвратить любую неправомерную утечку секретной информации между локальными сетями, работающими на разных уровнях безопасности.

Технологии цифровых диодов широко используются там, где потоки данных должны быть ограничены одним направлением между уровнями с высоким уровнем уверенности в том, что данные не будут течь в противоположном направлении. В целом на них распространяются те же ограничения, которые налагают проблемы на другие решения MLS: строгая оценка безопасности и необходимость предоставления электронного эквивалента заявленной политики для перемещения информации между классификациями. (Перемещение информации вниз по уровню классификации является особенно сложной задачей и обычно требует одобрения нескольких разных людей.)

По состоянию на конец 2005 года многочисленные высоконадежные платформы и охранные приложения были одобрены для использования в секретных средах. Обратите внимание , что термин «высокая надежность», используемый здесь, следует оценивать в контексте DCID 6/3 (читай «ди-скид шесть-три»), квазитехнического руководства по созданию и развертыванию различных систем для обработки секретных данных. информации, лишенной как точной юридической жесткости критериев Оранжевой книги , так и лежащей в ее основе математической строгости. (Оранжевая книга мотивирована и вытекает из логической «цепочки рассуждений», построенной следующим образом: [a] «безопасное» состояние математически определяется и строится математическая модель, операции над которой сохраняют безопасное состояние так, чтобы что любая мыслимая последовательность операций, начинающаяся с безопасного состояния, приводит к безопасному состоянию; [b] отображение разумно выбранных примитивов в последовательности операций над моделью и [c] «описательная спецификация верхнего уровня», которая отображает действия, которые могут; выполняться в пользовательском интерфейсе (например, системные вызовы ) в последовательности примитивов; но не допуская ни того, ни другого: [d] формально продемонстрировать, что действующая реализация программного обеспечения правильно реализует указанные последовательности действий; или [д] формально утверждая, что исполняемый файл, теперь «доверенный», система создается правильными, надежными инструментами [ например , компиляторами, библиотекарями, компоновщиками].)