АссистентНовый вопросИсторияОбласти знаний
Партнёрские проектыСпецпроектыСтать автором
Сменить язык
О РУВИКИ

Система высокого уровня доверия

Система высокого уровня доверия (англ. cross-domain solution, CDS) — это интегрированная система информационной безопасности, представляющая собой специализированное программное или аппаратное обеспечение, обеспечивающее контролируемый интерфейс для ручного или автоматического разрешения и/или ограничения доступа или передачи информации между двумя и более доменами безопасности на основе заранее определённой политики безопасности[1][2].

Описание

Такие системы предназначены для обеспечения разделения доменов безопасности и обычно включают различные методы фильтрации содержимого, что позволяет определять информацию, запрещённую к передаче между доменами или уровнями секретности[3], например, между различными военными подразделениями, разведывательными агентствами или иными структурами, для деятельности которых важно своевременное получение потенциально чувствительной информации[4].

Цель системы высокого уровня доверия — позволить доверенному сетевому домену обмениваться информацией с иными доменами (в одностороннем или двустороннем режиме) без возникновения дополнительных угроз безопасности. Разработка, оценка и внедрение таких систем осуществляется с опорой на комплексное управление рисками. Каждая аккредитованная система обычно проходит Лабораторную оценку безопасности, что позволяет снизить потенциальные уязвимости и риски. В Соединённых Штатах оценка и аккредитация подобных решений осуществляется под эгидой Национального управления по стратегии и управлению кросс-доменных решений при Национальном агентстве безопасности США.

Системы CDS обеспечивают фильтрацию вирусов и вредоносных программ, операции анализа содержимого, а при передаче из доменов высокого уровня секретности в более низкий — процедуру аудированного ручного контроля. В ряде случаев используется защищённая операционная система, разграниченный по ролям административный доступ, резервирование аппаратных средств и другие меры.

Критерии разрешения передачи информации между доменами или обеспечения междоменной совместимости строятся строго на реализуемой политике безопасности. Такая политика может быть простой (например, сканирование антивирусным ПО и проверка по белому списку до передачи между равноправными сетями) или сложной (например, множественная фильтрация содержимого и обязательная проверка, редактирование и утверждение документа человеком до разрешения передачи из домена высокого уровня секретности[5][6]. Для безопасной передачи информации из домена низкого уровня секретности в защищённые сегменты часто используется односторонняя сеть, которая гарантирует невозможность обратной утечки данных[7][8]. Нередко такие решения включают в себя модуль высокой степени доверия.

Хотя исторически (по состоянию на 2019 год) кросс-доменные решения чаще используются в армии, разведке и правоохранительных органах, одним из гражданских примеров может служить инфраструктура авиалайнеров, где системы управления полётом и развлечений жёстко изолированы друг от друга[9].

Типы

Выделяют три типа систем высокого уровня доверия[10]. Это решения для доступа, передачи и многозуровневые, все они должны быть включены в базовый перечень до внедрения на объектах Министерства обороны США[11].

Решение для доступа — обеспечивает пользователю возможность просматривать и обрабатывать информацию из доменов с различными уровнями секретности и условиями доступа. В теории оптимальное решение соблюдает требования разделения между доменами, не допуская пересечения данных между сетями и, тем самым, предотвращая «утечки» (data spills) на всех уровнях архитектуры OSI/TCP. Однако на практике такие инциденты считаются постоянной угрозой, которую проектировщики систем стараются минимизировать до допустимого уровня риска. Для этого задача передачи данных рассматривается как отдельная функция CDS[12].

Решение для передачи — обеспечивает возможность перемещения информации между доменами разных уровней секретности или с различными условиями доступа при одинаковом уровне секретности.

Многозуровневое решение — в отличие от архитектуры Multiple Single Levels (MSL), где данные строго разделены по доменам, многозуровневое решение хранит все данные в одном домене. Оно опирается на принудительную метку и встроенную схему мандатного управления доступом для разграничения потока данных и их обработки в зависимости от полномочий и уровня допуска пользователя к чтению и записи. Таким образом, MLS представляет собой интегрированное CDS-решение, сочетающее функции доступа и передачи данных[12].

Модуль высокой степени доверия

Модуль высокой степени доверия (англ. High Assurance Guard, HAG) — это устройство с поддержкой многозуровневой безопасности, используемое для обмена информацией между различными доменами, например, между NIPRNet и SIPRNet. HAG — это разновидность контролируемого интерфейса между уровнями безопасности, одобренная по критериям Common Criteria.

HAG функционирует на множестве виртуальных машин или физических подсистем: одна или несколько отвечают за низший уровень секретности, другие — за более высокий. Аппаратная часть запускает специальное программное обеспечение управления знаниями, отслеживающее выдаваемую данные от более секретного компонента и блокирующее любую информацию, превышающую разрешённый для передачи уровень. В целом HAG позволяет перемещать данные с низким уровнем секретности, имеющиеся на системе с более высоким уровнем, в другую среду с соответствующим уровнем доступа. Например, в США HAG даёт возможность извлекать не секретную информацию из систем секретного класса и переносить её в несекретную систему. Система фильтров и правил проверки позволяет подтвердить отсутствие секретных сведений и разрешить передачу.

На уровне прикладного программного обеспечения HAG реализует обязательную политику целостности «evaluated mandatory integrity policy», защищая данные, приложения, файлы от несанкционированного раскрытия. На уровне операционной системы необходим многоуровневый ядро, исключающее смешение данных и процессов с разным уровнем секретности в обход жёсткой мандатной политики.

Такие системы проходят сертификацию по Common Criteria; в зависимости от класса информации допускается уровень доверия EAL 3 и выше. Например, при экспорте данных из секретного домена в несекретный требуется сертификация на уровне не ниже EAL 5 или EAL 5+ (расширенный).

Ряд производителей используют термины «Доверенная компьютерная система» или «Доверенные приложения высокой степени доверия» как эквиваленты термину HAG.

Модули HAG наиболее активно применяются в корпоративных системах электронной почты и рассылки сообщений (например, Defense Message System, DMS), где часть организаций пользуется только несекретной сетью, а другая часть — только секретной, и требуется гарантированная возможность передачи сообщений между ними.

Непреднамеренные последствия

В прежние десятилетия были разработаны многозуровневые средства защиты информации (MLS), обеспечивающие мандатный контроль доступа (MAC) с высокой степенью гарантии. Автоматизированные информационные системы могут иногда обмениваться сведениями, несмотря на требования не допускать раскрытия секретов перед вероятными противниками. Когда определение баланса между безопасностью и доступностью информации поручается пользователям, контроль называется дискреционным (DAC) и допускает управление рисками, в отличие от MAC, где упор делается на их избегание.

Примечания

  1. Cross Domain Enterprise Service (CDES) (англ.). Information Assurance Support Environment. Defense Information Systems Agency (DISA) (16 ноября 2011). Дата обращения: 16 января 2012. Архивировано 26 марта 2008 года.
  2. Learn About Cross Domain Solutions (англ.). Owl Cyber Defense (25 августа 2020). Дата обращения: 28 января 2024. Архивировано 21 сентября 2020 года.
  3. Cloud Computing Strategy. DTIC.MIL. Дата обращения: 28 января 2024. Архивировано 16 августа 2016 года.
  4. Aristotle, Jacob. Cross-Domain Solution : [англ.]. — Secut Press, апрель 2012. — ISBN 978-613-6-31800-4.
  5. Slater, T. Cross-Domain Interoperability (англ.). Network Centric Operations Industry Consortium (NCOIC) (2013). Дата обращения: 28 января 2024. Архивировано 1 октября 2004 года.
  6. Cross Domain Solutions - Ensuring Complete Data Security. CrossDomainSolutions.com. Дата обращения: 28 января 2024.
  7. Nexor Data Diode. Nexor. Дата обращения: 3 июня 2013.
  8. Dual Data Diode Information Transfer Products. Owl Cyber Defense, LLC. Дата обращения: 20 августа 2019.
  9. Can an Airplane Get Hacked? (Probably.) (англ.). Interset (4 января 2017). Дата обращения: 7 марта 2019.
  10. Department of Defense Instruction (DoDI) 854001p. esd.whs.mil. Дата обращения: 28 января 2024.
  11. CNSSI-4009 (англ.). RMF.org. Дата обращения: 28 февраля 2020. Архивировано 28 февраля 2020 года.
  12. 1 2 Smith, Scott Shedding Light on Cross Domain Solutions (англ.). SANS Institute Information Security Reading Room (28 февраля 2020). Дата обращения: 28 февраля 2020. Архивировано 28 февраля 2020 года.

Категории