Flera en nivå

Multiple single-level eller multi-security level ( MSL ) är ett sätt att separera olika nivåer av data genom att använda separata datorer eller virtuella maskiner för varje nivå. Det syftar till att ge några av fördelarna med flernivåsäkerhet utan att behöva speciella ändringar av OS eller applikationer, men till priset av extra hårdvara.

Strävan att utveckla MLS-operativsystem hämmades allvarligt av den dramatiska nedgången i databehandlingskostnaderna i början av 1990-talet. Innan tillkomsten av stationära datorer var användare med klassificerade bearbetningskrav tvungna att antingen spendera mycket pengar för en dedikerad dator eller använda en som var värd för ett MLS-operativsystem. Under hela 1990-talet utnyttjade dock många kontor inom försvars- och underrättelsetjänsten sjunkande datorkostnader för att distribuera skrivbordssystem som klassificerades för att endast fungera på den högsta klassificeringsnivån som används i deras organisation. Dessa stationära datorer fungerade i systemhögt läge och var anslutna till LAN som transporterade trafik på samma nivå som datorerna.

MSL-implementationer som dessa undvek på ett snyggt sätt komplexiteten i MLS men bytte ut teknisk enkelhet mot ineffektiv användning av utrymmet. Eftersom de flesta användare i klassificerade miljöer också behövde oklassificerade system hade användarna ofta minst två datorer och ibland fler (en för oklassificerad bearbetning och en för varje klassificeringsnivå som bearbetades). Dessutom var varje dator ansluten till sitt eget LAN på lämplig klassificeringsnivå, vilket innebar att flera dedikerade kabelanläggningar införlivades (till avsevärda kostnader vad gäller både installation och underhåll).

Gränser för MSL kontra MLS

Den uppenbara bristen med MSL (jämfört med MLS) är att den inte stöder inblandning av olika klassificeringsnivåer på något sätt. Till exempel stöds inte idén om att sammanfoga en HEMLIG dataström (tagen från en HEMLIG fil) med en HEMLIGT HEMLIG dataström (läs från en HEMLIG fil) och styra den resulterande HEMLIGA dataströmmen till en HEMLIGT-fil. I huvudsak kan ett MSL-system ses som en uppsättning parallella (och samlokaliserade) datorsystem, vart och ett begränsat till drift på en och endast en säkerhetsnivå. Faktum är att de enskilda MSL-operativsystemen kanske inte ens förstår konceptet med säkerhetsnivåer, eftersom de fungerar som system på en nivå. Till exempel, medan ett av en uppsättning samlokaliserade MSL OS kan konfigureras för att fästa teckensträngen "SECRET" till all utdata, har det operativsystemet ingen förståelse för hur data kan jämföras i känslighet och kritiskhet med data som behandlas av dess peer OS som fäster strängen "UNCLASSIFIED" på hela dess utdata.

Om man arbetar över två eller flera säkerhetsnivåer måste man då använda metoder som ligger utanför tillämpningsområdet för MSL:s "operativsystem" i sig och kräver mänskligt ingripande, kallat "manuell granskning". Till exempel kan en oberoende monitor ( inte i Brinch Hansens mening av termen) tillhandahållas för att stödja migrering av data mellan flera MSL-peers ( t.ex. kopiering av en datafil från den OKLASSIFICERADE peeren till den HEMLIGA peeren). Även om inga strikta krav i form av federal lagstiftning specifikt behandlar problemet, skulle det vara lämpligt att en sådan monitor är ganska liten, specialbyggd och stöder endast ett litet antal mycket strikt definierade operationer, såsom import och export av filer , konfigurera utdataetiketter och andra underhålls-/administrationsuppgifter som kräver hantering av alla samlokaliserade MSL-kamrater som en enhet snarare än som individuella system på en nivå. Det kan också vara lämpligt att använda en hypervisorprogramvaruarkitektur , såsom VMware , för att tillhandahålla en uppsättning peer MSL "OS" i form av distinkta, virtualiserade miljöer som stöds av ett underliggande OS som endast är tillgängligt för administratörer som är rensade för alla data som hanteras av någon av peers. Ur användarnas perspektiv skulle varje peer presentera en inloggnings- eller X-visningshanterarsession logiskt sett omöjlig att skilja från den underliggande användarmiljön för "underhålls-OS".

Framsteg inom MSL

Kostnaden och komplexiteten som är involverad i att upprätthålla distinkta nätverk för varje klassificeringsnivå ledde till att National Security Agency (NSA) började forskning om hur MSL-konceptet med dedikerade systemhöga system kunde bevaras samtidigt som de fysiska investeringar som krävs av flera nätverk minskade. datorer. Bearbetning av perioder var det första framstegen inom detta område, och etablerade protokoll genom vilka myndigheter kunde ansluta en dator till ett nätverk vid en klassificering, bearbeta information, sanera systemet och ansluta det till ett annat nätverk med en annan klassificering. Bearbetningsmodellen för perioder erbjöd löftet om en enda dator men gjorde ingenting för att minska flera kabelanläggningar och visade sig vara oerhört obekvämt för användarna; följaktligen var dess antagande begränsat.

På 1990-talet förändrade uppkomsten av virtualiseringsteknik spelplanen för MSL-system. Plötsligt var det möjligt att skapa virtuella maskiner (VM) som betedde sig som oberoende datorer men körde på en gemensam hårdvaruplattform. Med virtualisering såg NSA ett sätt att bevara periodbearbetning på en virtuell nivå, utan att längre behöva det fysiska systemet saneras genom att utföra all bearbetning inom dedikerade, systemhöga virtuella datorer. För att få MSL att fungera i en virtuell miljö var det dock nödvändigt att hitta ett sätt att säkert kontrollera den virtuella sessionshanteraren och säkerställa att ingen kompromissaktivitet riktad mot en virtuell dator kunde äventyra en annan.

MSL-lösningar

NSA drev flera program som syftade till att skapa livskraftiga, säkra MSL-tekniker som utnyttjar virtualisering. Hittills har tre stora lösningar realiserats.

Både NetTop- och Trusted Multi-Net-lösningarna har godkänts för användning. Dessutom har Trusted Computer Solutions utvecklat en tunnklientprodukt, ursprungligen baserad på NetTop-teknologikoncepten genom ett licensavtal med NSA. Denna produkt heter SecureOffice(r) Trusted Thin Client(tm), och körs på LSPP-konfigurationen av Red Hat Enterprise Linux version 5 (RHEL5).

Tre konkurrerande företag har implementerat MILS-separationskärnor:

Dessutom har det skett framsteg i utvecklingen av icke-virtualiserade MSL-system genom användning av specialiserad hårdvara, vilket resulterat i minst en gångbar lösning:

  • Starlight Technology (nu marknadsförs som Interactive Link System), utvecklad av Australian Defense Science Technology Organization (DSTO) och Tenix Pty Ltd, använder specialiserad hårdvara för att tillåta användare att interagera med ett "lågt" nätverk från en "hög" nätverkssession inom ett fönster, utan att data flödar från nätverket "Hög" till "Låg".

Filosofiska aspekter, användarvänlighet, flexibilitet

Det är intressant att överväga de filosofiska implikationerna av MSL:s "lösningsväg". I stället för att tillhandahålla MLS-förmågor inom ett klassiskt operativsystem, är den valda riktningen att bygga en uppsättning "virtuella OS"-kamrater som kan hanteras, individuellt och som ett kollektiv, av ett underliggande verkligt operativsystem. Om det underliggande operativsystemet (låt oss introducera termen underhållsoperativsystem , eller MOS ) ska ha tillräcklig förståelse för MLS-semantik för att förhindra allvarliga fel, som att kopiera data från en TOP SECRET MSL-peer till en OKLASSIFICERAD MSL-peer, måste MOS:en ha förmågan att: representera etiketter; associera etiketter med enheter (här undviker vi strikt termerna "ämne" och "objekt"); jämför etiketter (undvik strikt termen "referensmonitor"); skilja mellan de sammanhang där etiketter är meningsfulla och de där de inte är det (undvik strikt termen "betrodd datorbas" [TCB]); listan fortsätter. Man kan lätt uppfatta att MLS-arkitekturen och designproblemen inte har eliminerats, bara skjutits upp till ett separat skikt av mjukvara som osynligt hanterar obligatoriska åtkomstkontrollproblem så att överliggande skikt inte behöver. Detta koncept är inget annat än det geminala arkitektoniska konceptet (hämtat från Anderson-rapporten) som ligger till grund för betrodda system i DoD-stil i första hand.

Vad som har uppnåtts positivt genom abstraktionen av MSL-kamrater är dock radikal begränsning av omfattningen av MAC-medvetna mjukvarumekanismer till den lilla, underliggande MOS. Detta har dock åstadkommits till priset av att eliminera alla praktiska MLS-förmågor, även de mest elementära, som när en HEMLIGT-rensad användare lägger till ett OCLASSIFIERAT stycke, hämtat från en OKLASSIFICERAD fil, till sin SECRET-rapport. MSL-implementeringen skulle uppenbarligen kräva att varje "återanvändbar" resurs (i det här exemplet den OKLASSIFICERADE filen) replikeras över varje MSL-peer som kan tycka att den är användbar – vilket innebär antingen mycket sekundär lagring som förbrukas i onödan eller oacceptabel börda på den godkända administratören som kan utföra sådana replikeringar som svar på användarnas begäran om detta. (Självklart, eftersom den HEMLIGA användaren inte kan "bläddra" i systemets OCKLASSIFICERADE erbjudanden annat än genom att logga ut och starta ett OCLASERAD system på nytt, bevisar man ännu en allvarlig begränsning av funktionalitet och flexibilitet.) Alternativt kan mindre känsliga filsystem vara NFS- monterad skrivskyddad så att mer pålitliga användare kan bläddra, men inte ändra, deras innehåll. Även om MLS OS-peern inte skulle ha några faktiska medel för att särskilja (via ett kataloglistningskommando, t.ex. ) att de NFS-monterade resurserna har en annan känslighetsnivå än de lokala resurserna, och inga strikta medel för att förhindra illegalt flöde i uppförsbacke. annan känslig information än brute-force, allt-eller-inget-mekanismen för skrivskyddad NFS-montering.

För att visa exakt vilket handikapp denna drastiska effektuering av "fildelning över flera nivåer" faktiskt är, tänk på fallet med ett MLS-system som stöder OKLASSIFICERAD, HEMLIG och TOPHEMLIGT data, och en TOP SECRET-godkänd användare som loggar in på systemet på den nivån. MLS-katalogstrukturer är uppbyggda kring inneslutningsprincipen, som löst sett dikterar att högre känslighetsnivåer finns djupare i trädet: vanligtvis måste nivån på en katalog matcha eller dominera den för dess överordnade, medan nivån på en fil (mer specifikt för alla länkar till den) måste matcha den i katalogen som katalogiserar den. (Detta är strikt sant för MLS UNIX: alternativ som stöder olika uppfattningar om kataloger, katalogposter, i-noder, etc. — som Multics , som lägger till "branch"-abstraktionen till sitt katalogparadigm — tolererar en bredare uppsättning alternativa implementeringar .) Ortogonala mekanismer tillhandahålls för offentligt delade kataloger och spoolkataloger, såsom /tmp eller C:\TEMP , som är automatiskt – och osynligt – partitionerade av operativsystemet, med användarnas förfrågningar om filåtkomst automatiskt "avböjda" till den lämpligt märkta katalogen dela. TOP SECRET-användaren är fri att bläddra i hela systemet, hans enda begränsning är att – när han är inloggad på den nivån – får han bara skapa nya TOP SECRET-filer inom specifika kataloger eller deras ättlingar. I MSL-alternativet, där allt bläddringsbart innehåll måste replikeras specifikt, mödosamt över alla tillämpliga nivåer av en fullständigt rensad administratör – vilket betyder, i det här fallet, att all HEMLIG data måste replikeras till TOP SECRET MSL peer OS, medan all OKLASSIFICERAD data måste replikeras till både SECRET och TOP SECRET peers – man kan lätt uppfatta att ju mer tydligt användaren är, desto mer frustrerande kommer hans tidsdelningsdatorupplevelse att bli.

I en klassisk betrodd systemteoretisk mening – att förlita sig på terminologi och begrepp hämtade från Orange Book , grunden för betrodd datoranvändning – kunde ett system som stöder MSL-kamrater inte uppnå en nivå av säkerhet utöver (B1). Detta beror på att (B2)-kriterierna bland annat kräver både tydlig identifiering av en TCB-omkrets och förekomsten av en enda, identifierbar enhet som har förmågan och auktoriteten att bedöma tillgången till all data representerad genom alla tillgängliga resurser i ADP:n systemet. I en mycket verklig mening är tillämpningen av termen "hög säkerhet" som en beskrivning av MSL-implementeringar meningslös, eftersom termen "hög säkerhet" är korrekt begränsad till (B3) och (A1) system – och med vissa slapphet om än till (B2) system.

Lösningar över flera domäner

MSL-system, oavsett om de är virtuella eller fysiska till sin natur, är designade för att bevara isolering mellan olika klassificeringsnivåer. Följaktligen, (till skillnad från MLS-system) har en MSL-miljö inga medfödda förmågor att flytta data från en nivå till en annan.

För att tillåta datadelning mellan datorer som arbetar på olika klassificeringsnivåer använder sådana webbplatser lösningar över flera domäner (CDS), som vanligtvis kallas gatekeepers eller guards . Väktare, som ofta använder MLS-teknik själva, filtrerar trafik som flödar mellan nätverk; till skillnad från en kommersiell Internetbrandvägg är dock en vakt byggd för mycket strängare garantikrav och dess filtrering är noggrant utformad för att försöka förhindra eventuellt felaktigt läckage av sekretessbelagd information mellan LAN som arbetar på olika säkerhetsnivåer.

Datadiodteknologier används i stor utsträckning där dataflöden måste begränsas till en riktning mellan nivåerna, med en hög grad av säkerhet att data inte kommer att flöda i motsatt riktning. I allmänhet är dessa föremål för samma restriktioner som har infört utmaningar för andra MLS-lösningar: strikt säkerhetsbedömning och behovet av att tillhandahålla en elektronisk motsvarighet till uttalad policy för att flytta information mellan klassificeringar. ner information i klassificeringsnivå är särskilt utmanande och kräver vanligtvis godkännande från flera olika personer.)

Sedan slutet av 2005 har många högsäkerhetsplattformar och skyddsapplikationer godkänts för användning i klassificerade miljöer. Observera att termen "högsäkring" som den används här ska utvärderas i samband med DCID 6/3 (läs "dee skid sex tre"), en kvasi-teknisk guide för konstruktion och användning av olika system för behandling av klassificerade information, som saknar både den exakta rättsliga stelheten i Orange Book- kriterierna och den underliggande matematiska rigoriteten. (Den orange boken är motiverad av, och härledd från, en logisk "resonemangskedja" konstruerad enligt följande: [a] ett "säkert" tillstånd definieras matematiskt, och en matematisk modell konstrueras, operationerna som bevarar ett säkert tillstånd så att varje tänkbar sekvens av operationer som börjar från ett säkert tillstånd ger ett säkert tillstånd; [b] en kartläggning av medvetet valda primitiver till sekvenser av operationer på modellen; och [c] en "beskrivande toppnivåspecifikation" som kartlägger åtgärder som kan överföras i användargränssnittet (såsom systemanrop ) till sekvenser av primitiver; men slutar med att antingen [d] formellt visa att en liveprogramvaruimplementering korrekt implementerar nämnda sekvenser av åtgärder; eller [e] formellt argumentera att den körbara nu "pålitligt" system genereras av korrekta, pålitliga verktyg [ t.ex. kompilatorer, bibliotekarier, länkare].)

Hämtad från " https://en.wikipedia.org/w/index.php?title=Multiple_single-level&oldid=1085101477 "