Множественный одноуровневый подход

Главный недостаток множественного одноуровневого подхода по сравнению с MLS — невозможность обрабатывать или смешивать данные разных уровней секретности. Например, невозможно объединить поток данных «СЕКРЕТНО» (из файла секретного уровня) и поток «СОВЕРШЕННО СЕКРЕТНО» (из соответствующего файла), чтобы результирующий поток сохранить как «СОВЕРШЕННО СЕКРЕТНО». По сути, MSL-система является набором параллельных компьютерных систем, каждая из которых работает ровно на одном уровне секретности. При этом отдельные MSL-ОС, как правило, не имеют встроенного понимания концепции уровней безопасности, а лишь, возможно, маркируют выводы определёнными строками («СЕКРЕТНО», «ОТКРЫТО» и т. п.), без осознания разницы в чувствительности или критичности обрабатываемых данных.

Операции между двумя и более уровнями безопасности должны выполняться вне рамок собственно MSL-«операционных систем» и обычно требуют ручного вмешательства («ручная ревизия»). Для передачи данных между одноуровневыми системами (например, копирования файла из «ОТКРЫТО» в «СЕКРЕТНО») используется внешний мониторинг (не в смысле контролей по Бринчу Хансену), реализующий строго определённые функции: импорт/экспорт файлов, настройку меток, некоторые задачи администрирования. Такие мониторы должны быть максимально небольшими по объёму кода и поддерживать исключительно заданные действия, обслуживая все связанные одноуровневые системы как целое. Иногда для размещения нескольких MSL-ОС используется гипервизор (например, VMware), позволяющий запускать независимые виртуальные среды, доступ к которым возможен только для админа, допущенного ко всем видам обрабатываемых данных. Для пользователей каждая виртуальная ОС будет выглядеть как отдельная сессия входа или экранный менеджер, не отличимый по интерфейсу от «основной» обслуживающей ОС.

Высокая стоимость и сложность обслуживания нескольких физических сетей под каждый уровень секретности подтолкнули Агентство национальной безопасности США (NSA) к поиску способов сохранить идею выделенных систем, одновременно сокращая инфраструктурные затраты. Первый шаг — режим «по периодам», в рамках которого рабочая станция подключалась к сети одного уровня, обрабатывала информацию, затем проходила очистку и могла быть присоединена к другой сети — другого уровня. Модель «по периодам» позволяла минимизировать число компьютеров, однако не избавляла от множественных кабельных систем и была крайне неудобна для пользователей, поэтому не получила широкого распространения.

Появление технологий виртуализации в 1990-х годах изменило подход к MSL: теперь стало возможным создавать виртуальные машины, имитирующие независимые компьютеры, но работающие на общем аппаратном комплексе. NSA предложило организовать «периодную обработку» на виртуальном уровне: все процессы выполняются в изолированных, одноуровневых виртуальных средах, избавляясь от необходимости физической очистки системы. Однако для этого потребовалось обеспечить безопасный контроль сессий и исключить возможность компрометации одной виртуальной машины через действия в другой.

NSA инициировало несколько программ по созданию безопасных MSL-технологий на основе виртуализации. К настоящему времени реализовано три основных решения:

• Multiple Independent Levels of Security (MILS) — архитектурная концепция, предложенная Джоном Рашби, сочетающая гарантированное разделение безопасности и надёжность. Дальнейшее развитие в сотрудничестве NSA, Военно-морской аспирантуры, лабораторий ВВС США, Lockheed Martin, Rockwell Collins, Objective Interface Systems, Университета Айдахо, Boeing, Raytheon, MITRE привело к появлению профиля защиты по общим критериям уровня EAL-6+ на основе разделяющего ядра высокой доверенности.
• NetTop — решение, разработанное совместно NSA и VMware, использует в качестве базы Linux с расширением безопасности SELinux. SELinux обеспечивает безопасную основу для виртуального менеджера сессий, который создаёт виртуальные машины для обработки данных и служебных задач.
• Trusted Multi-Net — COTS-система на основе «тонкого клиента», созданная консорциумом производителей: Microsoft, Citrix Systems, NYTOR Technologies, VMware и MITRE. Предоставляет пользователям доступ к сетям различных уровней секретности и исключает необходимость в раздельной кабельной инфраструктуре, шифруя трафик по выделенному каналу для самого высокого уровня доступа.

Решения NetTop и Trusted Multi-Net одобрены для эксплуатации. Кроме того, компания Trusted Computer Solutions выпустила тонкоклиентский продукт SecureOffice(r) Trusted Thin Client™ (изначально основанный на технологиях NetTop и лицензии NSA), работающий в LSPP-конфигурации Red Hat Enterprise Linux 5 (RHEL5).

Три коммерческие компании реализовали разделяющие ядра MILS:

• Green Hills Software
• LynuxWorks
• Wind River Systems

Существуют и аппаратные не-виртуализованные MSL-решения, например:

• Starlight Technology (ныне Interactive Link System), разработанная в сотрудничестве с Австралийской организацией оборонных научных исследований и компанией Tenix Pty Ltd. Позволяет пользователю сессии высокого уровня секретности работать с низкоуровневой сетью в отдельном окне, не позволяя передавать данные «сверху вниз».

Философски множественный одноуровневый подход интересен тем, что возможность реализации MLS не в классической ОС, а через совокупность параллельных виртуальных сред (MSL-пиров), управляемых базовой обслуживающей операционной системой (MOS, maintenance operating system). Для того чтобы базовая ОС корректно препятствовала ошибкам (например, копированию «СОВЕРШЕННО СЕКРЕТНО» в «ОТКРЫТО»), она должна понимать метки, сопоставлять их объектам, сравнивать уровни, уметь определять, где метки уместны, а где нет, хотя бы по аналогии с терминами доверенных вычислительных баз (TCB) или референс-мониторов. По существу, задачи архитектуры MLS не исчезают, а лишь делегируются на нижний уровень — сервисную ОС, невидимо управляющую механизмами разграничения доступа. Эта идея восходит к архитектурной концепции из отчёта Андерсона, заложившей основы создания доверенных систем в структурах Министерства обороны США.

Главное преимущество подхода — сужение области программ, требующих понимания мандатного управления доступом, до субъектной обслуживающей ОС. Однако достигается это за счёт устранения практически любых возможностей MLS, даже тривиальных, вроде включения абзаца из открытого файла в секретный отчёт. В реализации MSL потребуется копировать все необходимые данные на каждый уровень, что приводит либо к избыточным расходам на дисковое пространство, либо нагружает администратора, обладающего круговым допуском. Пользователь не сможет просмотреть «ОТКРЫТЫЕ» данные на своей «СЕКРЕТНОЙ» машине без раздельных сессий. Возможно, чтение менее чувствительных ресурсов через NFS-монтаж «только для чтения», но при этом OS не сможет различить чувствительность таких данных и не оградит от их копирования в секретные ресурсы, кроме жёстких технических ограничений на запись.

Для сравнения: системы MLS обычно строят структуры на принципе вложенности — чем выше уровень секретности, тем глубже директория. Пользователь уровня «СОВЕРШЕННО СЕКРЕТНО» может просматривать всю систему, но создавать файлы только в папках своего уровня. MSL потребует ручного копирования всех секретных данных на каждый верхний уровень, а открытых — сразу на все, что усложняет администрирование, особенно для допущенных к высшему уровню сотрудников.

С точки зрения критериев доверенности («Orange Book», основа доверенных систем), система c множественными одноуровневыми пир-средами не получит уровень доверия выше B1: уровень B2 (и выше) требует чётких границ TCB и наличия единого субъекта контроля доступа. Таким образом, атрибуция «высокая доверенность» к MSL технически некорректна, ведь этот термин относится лишь к системам классов B3 и A1, максимально — к B2.

MSL-системы — физические или виртуальные — обеспечивают изоляцию между уровнями секретности, но не поддерживают передачу данных между ними. Для обмена информацией используются специальные междоменные решения, часто называемые «шлюзами» или «сторожами». Такие сторожи обычно используют MLS-технологии, фильтруют межсетевой трафик и проектируются исходя из жёстких требований по допуску информации между разными укреплёнными ЛВС, когда обычный интернет-файрвол не подходит^[1].

Широко применяются и аппаратные «диоды данных», допускающие одностороннюю передачу информации между уровнями и обеспечивающие высокую степень уверенности, что обратное движение исключено. Но и они требуют весь тот же скрупулёзный аудит, что и MLS: необходим формализация политик, жёсткая проверка без утечек, а понижение уровня данных — процесс особенно сложный и зарезервированный за группой ответственных.

По состоянию на конец 2005 года одобрены к применению несколько высоконадёжных платформ и систем сторожевого контроля. Следует учитывать, что понятие «высокая доверенность» здесь трактуется в соответствии с директивой DCID 6/3 — методическим документом по созданию и внедрению систем для обработки секретной информации, который не доведён до теоретической строгости, лежащей в основе «Orange Book» (построение формализованных моделей, аксиоматически сохраняющих защищённое состояние, проверка корректности реализации и инструментов вплоть до доказательства доверия к компиляторам и линковщикам).