Несколько одноуровневых - Multiple single-level - Wikipedia
Эта статья не цитировать любой источники.Декабрь 2009 г.) (Узнайте, как и когда удалить этот шаблон сообщения) ( |
Несколько одноуровневых или же мультибезопасность (MSL) - это средство разделения разных уровней данных с использованием отдельных компьютеров или виртуальных машин для каждого уровня. Его цель - дать некоторые преимущества многоуровневая безопасность без необходимости внесения специальных изменений в ОС или приложения, но за счет необходимости дополнительного оборудования.
Стремлению к разработке операционных систем MLS серьезно помешало резкое падение затрат на обработку данных в начале 1990-х годов. До появления настольных компьютеров пользователи с классифицированными требованиями к обработке должны были либо потратить много денег на выделенный компьютер, либо использовать тот, на котором размещалась операционная система MLS. Однако на протяжении 1990-х годов многие офисы в оборонных и разведывательных сообществах воспользовались снижением вычислительных затрат для развертывания настольных систем, классифицированных для работы только на самом высоком уровне классификации, используемом в их организации. Эти настольные компьютеры работали в система высокая режим и были связаны с LAN которые несут трафик на том же уровне, что и компьютеры.
Реализации MSL, подобные этой, аккуратно избегают сложностей MLS, но жертвуют технической простотой в пользу неэффективного использования пространства. Поскольку большинству пользователей в классифицированных средах также нужны неклассифицированные системы, у пользователей часто было как минимум два компьютера, а иногда и больше (один для неклассифицированной обработки и один для каждого обрабатываемого уровня классификации). Кроме того, каждый компьютер был подключен к собственной локальной сети на соответствующем уровне классификации, что означало, что было включено несколько выделенных кабельных заводов (со значительными затратами как с точки зрения установки, так и обслуживания).
Пределы MSL по сравнению с MLS
Очевидный недостаток MSL (по сравнению с MLS) заключается в том, что он никоим образом не поддерживает смешение различных уровней классификации. Например, идея объединения потока данных SECRET (взятого из файла SECRET) с потоком данных TOP SECRET (считанного из файла TOP SECRET) и направления результирующего потока данных TOP SECRET в файл TOP SECRET не поддерживается. По сути, систему MSL можно рассматривать как набор параллельных (и совместно размещенных) компьютерных систем, каждая из которых ограничена работой на одном и только одном уровне безопасности. Действительно, отдельные операционные системы MSL могут даже не понимать концепции уровней безопасности, поскольку они работают как одноуровневые системы. Например, в то время как одна из набора совместно размещенных ОС MSL может быть настроена для прикрепления символьной строки «СЕКРЕТНО» ко всем выводам, эта ОС не понимает, как данные сравниваются по чувствительности и критичности с данными, обрабатываемыми ее одноранговой ОС, которая добавляет строку "UNCLASSIFIED" ко всем это выход.
Таким образом, при работе на двух или более уровнях безопасности необходимо использовать методы, не относящиеся к сфере компетенции «операционных систем» MSL как таковые и требующие вмешательства человека, что называется «ручной просмотр». Например, независимый монитор (нет в Бринч Хансен смысл этого термина) может быть предоставлен для поддержки миграции данных между несколькими одноранговыми узлами MSL (например, копируя файл данных с НЕКЛАССИФИЦИРОВАННОГО однорангового узла на СЕКРЕТНЫЙ узел). Несмотря на то, что строгие требования в федеральном законодательстве конкретно не касаются этой проблемы, было бы уместно, чтобы такой монитор был довольно маленьким, специально созданным и поддерживающим лишь небольшое количество очень строго определенных операций, таких как импорт и экспорт файлов. , настройка меток вывода и другие задачи обслуживания / администрирования, которые требуют обработки всех совместно размещенных узлов MSL как единого целого, а не как отдельных одноуровневых систем. Также может быть целесообразно использовать гипервизор программная архитектура, например VMware, чтобы предоставить набор одноранговых MSL «ОС» в форме отдельных виртуализированных сред, поддерживаемых базовой ОС, доступной только администраторам, очищенным для всех данных, управляемых любым из одноранговых узлов. С точки зрения пользователей, каждый партнер представит авторизоваться или же Диспетчер отображения X сеанс логически неотличим от базовой пользовательской среды «ОС для обслуживания».
Достижения в MSL
Стоимость и сложность поддержки отдельных сетей для каждого уровня классификации привели к Национальное Агенство Безопасности (NSA), чтобы начать исследование способов, с помощью которых можно было бы сохранить концепцию MSL о выделенных системных высоких системах при одновременном сокращении физических инвестиций, требуемых множеством сетей и компьютеров. Периоды обработки был первым достижением в этой области, установив протоколы, с помощью которых агентства могли подключать компьютер к сети по одной классификации, обрабатывать информацию, очищать систему и подключать ее к другой сети с другой классификацией. Модель обработки периодов предполагала использование одного компьютера, но ничего не делала для сокращения количества кабельных систем и оказалась чрезвычайно неудобной для пользователей; соответственно, его принятие было ограниченным.
В 1990-х годах развитие технологий виртуализации изменило правила игры для систем MSL. Внезапно появилась возможность создать виртуальные машины (ВМ), которые вели себя как независимые компьютеры, но работали на общей аппаратной платформе. С помощью виртуализации NSA увидело способ сохранить обработку периодов на виртуальном уровне, избавившись от необходимости дезинфицировать физическую систему, выполняя всю обработку на выделенных виртуальных машинах высокого уровня. Однако, чтобы заставить MSL работать в виртуальной среде, необходимо было найти способ безопасного управления виртуальным диспетчером сеансов и гарантировать, что никакие действия, направленные на одну виртуальную машину, не могут поставить под угрозу другую.
Решения MSL
NSA реализовало несколько программ, направленных на создание жизнеспособных и безопасных технологий MSL с использованием виртуализации. На сегодняшний день реализованы три основных решения.
- "Несколько независимых уровней безопасности "или MILS, архитектурная концепция, разработанная Dr. Джон Рашби который сочетает в себе разделение с высокой степенью надежности с разделением с высокой степенью безопасности. Последующее уточнение АНБ и Военно-морская аспирантура в сотрудничестве с Исследовательская лаборатория ВВС, Локхид Мартин, Роквелл Коллинз, Системы объективного интерфейса, Университет Айдахо, Боинг, Raytheon, и МИТРА привело к Общие критерии EAL-6 + Профиль защиты для надежный ядро разделения.
- "NetTop ", разработанный NSA в сотрудничестве с VMWare, Inc., использует Linux с повышенной безопасностью (SELinux) в качестве базовой операционной системы для своей технологии. ОС SELinux надежно содержит диспетчер виртуальных сеансов, который, в свою очередь, создает виртуальные машины для выполнения функций обработки и поддержки.
- "Надежная мульти-сеть", коммерческая готовая продукция (COTS) система, основанная на модели тонкого клиента, была разработана совместно отраслевой коалицией, в которую входят Корпорация Майкрософт, Citrix Systems, NYTOR Technologies, VMWare, Inc. и MITER Corporation, чтобы предложить пользователям доступ к классифицированный и несекретные сети. Его архитектура устраняет необходимость в нескольких кабельных установках, используя шифрование для передачи всего трафика по кабелю, одобренному для самого высокого уровня доступа.
Решения NetTop и Trusted Multi-Net были одобрены для использования. Кроме того, Trusted Computer Solutions разработала продукт для тонких клиентов, изначально основанный на концепциях технологии NetTop в рамках лицензионного соглашения с NSA. Этот продукт называется SecureOffice (r) Trusted Thin Client (tm) и работает в конфигурации LSPP Red Hat Enterprise Linux версии 5 (RHEL5).
Три конкурирующие компании внедрили ядра разделения MILS:
Кроме того, были достигнуты успехи в разработке систем MSL без виртуализации за счет использования специализированного оборудования, что привело по крайней мере к одному жизнеспособному решению:
- Технология Starlight (теперь позиционируется как Интерактивная ссылка System), разработанный Австралийской оборонной научно-технологической организацией (DSTO) и Tenix Pty Ltd использует специализированное оборудование, позволяющее пользователям взаимодействовать с сетью «Низкий» из сетевого сеанса «Высокий» в пределах окна, без передачи каких-либо данных из сети «Высокий» в «Низкий».
Философские аспекты, простота использования, гибкость
Интересно рассмотреть философские последствия «пути решения» MSL. Вместо предоставления возможностей MLS в классической ОС, выбранным направлением является создание набора «виртуальных ОС» одноранговых узлов, которыми можно управлять, индивидуально или коллективно, с помощью базовой реальной ОС. Если базовая ОС (введем термин операционная система обслуживания, или же MOS) должен иметь достаточное понимание семантики MLS, чтобы предотвратить серьезные ошибки, такие как копирование данных от узла TOP SECRET MSL к узлу UNCLASSIFIED MSL, тогда MOS должен иметь возможность: представлять метки; связывать метки с сущностями (здесь мы строго избегаем терминов «субъект» и «объект»); сравнивать метки (строго избегая термина «контрольный монитор»); различать контексты, в которых метки значимы, и контексты, в которых они не значимы (строго избегая термина «доверенная вычислительная база» [TCB]); список продолжается. Легко понять, что проблемы с архитектурой и дизайном MLS не были устранены, а просто перенесены на отдельный слой программного обеспечения, которое незаметно управляет проблемами обязательного контроля доступа, так что вышележащие слои не нуждаются в этом. Эта концепция есть не что иное, как архитектурная концепция Geminal (взятая из Отчет Андерсона ) лежащий в основе DoD-стиля надежные системы на первом месте.
То, что было положительно достигнуто за счет абстракции набора-одноранговых узлов MSL, хотя и является радикальным ограничением объема программных механизмов, распознающих MAC, небольшими подчиненными MOS. Однако это было достигнуто за счет устранения любых практических способностей MLS, даже самых элементарных, например, когда пользователь с секретным кодом добавляет НЕКЛАССИФИЦИРОВАННЫЙ абзац, взятый из НЕКЛАССИФИЦИРОВАННОГО файла, в свой СЕКРЕТНЫЙ отчет. Реализация MSL, очевидно, потребует репликации каждого «повторно используемого» ресурса (в данном примере, НЕКЛАССИФИЦИРОВАННОГО файла) на всех одноранговых узлах MSL, которые могут счесть его полезным, что означает либо ненужное расходование большого количества вторичного хранилища, либо непосильную нагрузку на разрешенного администратора, способного повлиять на такие репликации в ответ на запросы пользователей. (Конечно, поскольку СЕКРЕТНЫЙ пользователь не может «просматривать» НЕКЛАССИФИЦИРОВАННЫЕ предложения системы, кроме как выйти из системы и заново запустить НЕКЛАССИФИЦИРОВАННУЮ систему, это свидетельствует о еще одном серьезном ограничении функциональности и гибкости.) В качестве альтернативы, менее чувствительными файловыми системами могут быть NFS- установлен только для чтения, чтобы более надежные пользователи могли просматривать, но не изменять их содержимое. Хотя у партнера ОС MLS не было бы реальных средств для различения (с помощью команды списка каталогов, например) что подключенные к NFS ресурсы находятся на другом уровне чувствительности, чем локальные ресурсы, и нет строгих средств предотвращения незаконного потока конфиденциальной информации, кроме механизма грубой силы, все или ничего монтирования NFS только для чтения. .
Чтобы продемонстрировать, каким препятствием на самом деле является такое резкое осуществление «межуровневого обмена файлами», рассмотрим случай системы MLS, которая поддерживает НЕКЛАССИФИЦИРОВАННЫЕ, СЕКРЕТНЫЕ и СОВЕРШЕННО СЕКРЕТНЫЕ данные, и пользователя с СОВЕРШЕННО СЕКРЕТНО, который входит в систему на этот уровень. Структуры каталогов MLS построены на принципе сдерживания, который, грубо говоря, диктует, что более высокие уровни чувствительности располагаются глубже в дереве: обычно уровень каталога должен совпадать или доминировать над уровнем его родительского элемента, в то время как уровень файла (более в частности, любой ссылки на него) должен совпадать со ссылкой на каталог, в котором он находится. (Это строго верно для MLS UNIX: альтернативы, которые поддерживают различные концепции каталогов, записей каталогов, i-узлов, и Т. Д.-Такие как Мультики, который добавляет абстракцию «ветвь» к парадигме каталогов - допускает более широкий набор альтернативных реализаций.) Ортогональные механизмы предоставляются для общедоступных каталогов и каталогов спула, таких как / tmp или же C: ТЕМП., которые автоматически - и незаметно - разделяются операционной системой, при этом запросы пользователей на доступ к файлам автоматически «перенаправляются» на соответствующим образом помеченный раздел каталога. Пользователь TOP SECRET может свободно просматривать всю систему, его единственное ограничение состоит в том, что при входе в систему на этом уровне ему разрешено создавать только свежие файлы TOP SECRET в определенных каталогах или их потомках. В альтернативе MSL, где любой доступный для просмотра контент должен быть специально, кропотливо реплицирован на всех применимых уровнях полностью уполномоченным администратором - это означает, что в этом случае все СЕКРЕТНЫЕ данные должны быть реплицированы в ОС СОВЕРШЕННО СЕКРЕТНО однорангового узла MSL, в то время как все НЕКЛАССИФИЦИРОВАННЫЕ данные должны быть реплицированы как на SECRET, так и на TOP SECRET одноранговые узлы - можно легко понять, что чем выше уровень доступа пользователя, тем более разочаровывающим будет его вычислительный опыт с разделением времени.
В классическом доверенном теоретико-системном смысле - опираясь на терминологию и концепции, взятые из Оранжевая книга, основа доверенных вычислений - система, поддерживающая одноранговые узлы MSL, не может достичь уровня надежности выше (B1). Это связано с тем, что критерии (B2) требуют, среди прочего, как четкой идентификации периметра TCB, так и существования единого идентифицируемого объекта, который имеет возможность и полномочия разрешать доступ ко всем данным, представленным во всех доступных ресурсах ADP. система. Таким образом, в самом реальном смысле применение термина «высокая надежность» в качестве дескриптора реализаций MSL бессмысленно, поскольку термин «высокая надежность» должным образом ограничивается системами (B3) и (A1) - и, с некоторыми слабость к (B2) системам.
Междоменные решения
Системы MSL, виртуальные или физические по своей природе, предназначены для сохранения изоляции между различными уровнями классификации. Следовательно, (в отличие от систем MLS) среда MSL не имеет врожденных способностей перемещать данные с одного уровня на другой.
Чтобы разрешить обмен данными между компьютерами, работающими на разных уровнях классификации, такие сайты развертывают междоменные решения (CDS), которые обычно называют привратники или же охранники. Охранники, которые часто сами используют технологии MLS, фильтруют трафик между сетями; в отличие от коммерческого Интернета брандмауэр тем не менее, защита создана с учетом гораздо более строгих требований безопасности, и ее фильтрация тщательно разработана, чтобы попытаться предотвратить любую ненадлежащую утечку секретной информации между локальными сетями, работающими на разных уровнях безопасности.
Диод данных технологии широко используются там, где требуется ограничить потоки данных одним направлением между уровнями с высокой степенью уверенности в том, что данные не будут передаваться в противоположном направлении. В общем, они подчиняются тем же ограничениям, которые налагают проблемы на другие решения MLS: строгая оценка безопасности и необходимость предоставления электронного эквивалента заявленной политики для перемещения информации между классификациями. (Перемещение информации вниз на уровне классификации является особенно сложной задачей и обычно требует одобрения нескольких разных людей.)
По состоянию на конец 2005 г. надежный платформы и охранные приложения одобрены для использования в секретных средах. N.b. что термин "высокая степень уверенности", используемый здесь, следует оценивать в контексте DCID 6/3 (читайте «dee skid six three»), квазитехническое руководство по созданию и развертыванию различных систем для обработки секретной информации, в котором отсутствует как точная юридическая жесткость Оранжевая книга критерии и лежащая в основе математическая строгость. («Оранжевая книга» основана на логической «цепочке рассуждений», построенной следующим образом: [а] «безопасное» состояние определяется математически, и строится математическая модель, операции на которой сохраняют безопасное состояние таким образом что любая мыслимая последовательность операций, начиная с безопасного состояния, дает безопасное состояние; [b] отображение разумно выбранных примитивов в последовательности операций над моделью; и [c] «описательная спецификация верхнего уровня», которая отображает действия, которые могут транзакции в пользовательском интерфейсе (например, системные вызовы ) на последовательности примитивов; но не останавливаясь ни на [d], ни на формальной демонстрации того, что живая программная реализация правильно реализует указанные последовательности действий; или [e] формально утверждая, что исполняемая, теперь «доверенная» система создается с помощью правильных и надежных инструментов [например, составители, библиотекари, компоновщики].)