Flera oberoende nivåer av säkerhet

Multiple Independent Levels of Security/Safety ( MILS ) är en säkerhetsarkitektur med hög säkerhet baserad på begreppen separation och kontrollerat informationsflöde. Det implementeras av separationsmekanismer som stöder både opålitliga och pålitliga komponenter; säkerställer att den totala säkerhetslösningen är icke-förbikopplingsbar, utvärderbar, alltid åberopad och manipuleringssäker.

Översikt

En MILS-lösning möjliggör oberoende utvärdering av säkerhetskomponenter och pålitlig sammansättning. MILS bygger på de äldre Bell och La Padula teorierna om säkra system som representerar de grundläggande teorierna i DoD Orange Book .

Ett MILS-system använder en eller flera separationsmekanismer (t.ex. Separation kernel , Partitioning Communication System , fysisk separation) för att upprätthålla säker data- och processseparering. Ett MILS-system stöder upprätthållande av en eller flera applikations-/systemspecifika säkerhetspolicyer genom att tillåta informationsflöde endast mellan komponenter i samma säkerhetsdomän eller genom pålitliga säkerhetsövervakare (t.ex. åtkomstkontrollvakter, nedgraderare, kryptoenheter, etc.).

PROPERT

Egenskaper:

• Ej förbikopplingsbar : en komponent kan inte använda en annan kommunikationsväg, inklusive lägre nivåmekanismer för att kringgå säkerhetsmonitorn.
• Utvärderbar : alla betrodda komponenter kan utvärderas till den grad av säkerhet som krävs för den komponenten. Det betyder att komponenterna är modulära, väldesignade, väl specificerade, väl implementerade, små, låg komplexitet, etc.
• Alltid anropad : varje åtkomst/meddelande kontrolleras av lämpliga säkerhetsövervakare (dvs. en säkerhetsövervakare kommer inte bara att kontrollera en första åtkomst och sedan skicka alla efterföljande åtkomster/meddelanden igenom).
• Säkert manipulering : systemet kontrollerar "ändra" rättigheter till säkerhetsövervakningskoden, konfigurationen och data; förhindra obehöriga ändringar.

En bekväm akronym för dessa egenskaper är NEAT.

Trovärdighet

"Tillförlitlig" betyder att komponenten har certifierats för att uppfylla väldefinierade säkerhetspolicyer till en nivå av säkerhet som står i proportion till risknivån för den komponenten (t.ex. kan vi ha ennivåvakter för åtkomstkontroll utvärderade vid CC EAL4; separationsmekanismer utvärderade vid Hög robusthet ; separationsskydd i två nivåer vid EAL 5 ; och TYPE I-krypto allt i samma MILS-system).

"Otillförlitlig" betyder att vi inte har något förtroende för att systemet uppfyller dess specifikation med avseende på säkerhetspolicyn.

Företag

Följande företag har MILS-separationskärnprodukter:

• Green Hills programvara
• LynuxWorks
• SYSGO
• Wind River Systems
• Bertin Technologies
• OK Labs

Företag med andra separationsmetoder som skapar MILS-produkter:

• Thales

MILS forskning och teknik

MILS-gemenskapen

• MILS-gemenskapen [1] är ett globalt internationellt, öppet medlemskap, icke-vinstdrivande kompetensnätverk om MILS-arkitektur och -teknik.

Forskningsprojekt

• EURO-MILS: Säker europeisk virtualisering för pålitliga applikationer i kritiska domäner [ 2]
• D-MILS: Distribuerad MILS för pålitlig informations- och kommunikationsinfrastruktur [3] .
• certMILS: Kompositionssäkerhetscertifiering för COTS-baserade system med medel till hög säkerhet i miljöer med nya hot [ 4]

Se även

• Flera säkerhetsnivåer
• Säker genom design

• Rushby, J., 2008. Separation och integration i MILS (MILS-konstitutionen) . Teknisk rapport SRI-CSL-08-XX, SRI International.