XTS -400 — это многоуровневая защищенная компьютерная операционная система . Она многопользовательская и многозадачная , использующая многоуровневое планирование при обработке данных и информации. Работает в сетевых средах и поддерживает Gigabit Ethernet , а также IPv4 и IPv6 .
XTS-400 представляет собой комбинацию оборудования Intel x86 и операционной системы Secure Trusted Operating Program ( STOP ) . XTS-400 был разработан BAE Systems и первоначально выпущен как версия 6.0 в декабре 2003 года.
STOP обеспечивает высокую надежность безопасности и является первой операционной системой общего назначения с уровнем надежности Common Criteria EAL5 или выше. [1] XTS-400 может размещать и доверять отдельным нескольким параллельным наборам данных, пользователям и сетям с различными уровнями конфиденциальности.
XTS-400 предоставляет как ненадежную среду для обычной работы, так и надежную среду для административной работы и привилегированных приложений. Ненадежная среда похожа на традиционные среды Unix . Она обеспечивает двоичную совместимость с приложениями Linux , запуская большинство команд и инструментов Linux, а также большинство приложений Linux без необходимости перекомпиляции. Эта ненадежная среда включает графический интерфейс X Window System , хотя все окна на экране должны иметь одинаковый уровень чувствительности.
Для поддержки доверенной среды и различных функций безопасности STOP предоставляет набор фирменных API для приложений. Для разработки программ, использующих эти фирменные API, необходима специальная среда разработки программного обеспечения (SDE). SDE также необходима для переноса некоторых сложных приложений Linux/Unix на XTS-400.
С тех пор была представлена новая версия операционной системы STOP, STOP 7 [2] , которая, как утверждается, имеет улучшенную производительность и новые функции, такие как RBAC .
Как высоконадежная система MLS , XTS-400 может использоваться в междоменных решениях , которые обычно требуют разработки части привилегированного программного обеспечения, которая может временно обходить одну или несколько функций безопасности контролируемым образом. Такие части находятся за пределами оценки CC XTS-400, но они могут быть аккредитованы.
XTS-400 может использоваться как настольный компьютер, сервер или сетевой шлюз. Интерактивная среда, типичные инструменты командной строки Unix и графический интерфейс пользователя поддерживают решение для настольного компьютера. Поскольку XTS-400 поддерживает несколько одновременных сетевых подключений на разных уровнях чувствительности, его можно использовать для замены нескольких одноуровневых настольных компьютеров, подключенных к нескольким различным сетям.
В поддержку функциональности сервера XTS-400 может быть реализован в конфигурации для монтажа в стойку , принимает источник бесперебойного питания (ИБП), допускает несколько сетевых подключений, размещает много жестких дисков в подсистеме SCSI (также сохраняя блоки диска с помощью реализации разреженного файла в файловой системе ) и предоставляет надежный инструмент резервного копирования/сохранения. Серверное программное обеспечение, такое как интернет-демон, может быть портировано для работы на XTS-400.
Популярным применением высоконадежных систем, таких как XTS-400, является защита потока информации между двумя сетями с различными характеристиками безопасности. На основе систем XTS доступно несколько решений по защите клиентов.
Версия XTS-400 6.0.E прошла оценку Common Criteria (CC) в марте 2004 года на EAL4, дополненную ALC_FLR.3 (отчет о проверке CCEVS-VR-04-0058). Версия 6.0.E также соответствовала профилям защиты, называемым Labeled Security Protection Profile (LSPP) и Controlled Access Protection Profile (CAPP), хотя оба профиля превосходят по функциональности и надежности.
XTS-400 версии 6.1.E завершил оценку в марте 2005 года на EAL5, дополненном ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-05-0094), по-прежнему соответствующим LSPP и CAPP. Оценка EAL5+ включала анализ скрытых каналов и дополнительный анализ уязвимости и тестирование Агентством национальной безопасности .
XTS-400 версии 6.4.U4 завершил оценку в июле 2008 года на EAL5, дополненную ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-VID10293-2008), также по-прежнему соответствующую LSPP и CAPP. Как и ее предшественник, он также включал анализ скрытых каналов и дополнительный анализ уязвимостей и тестирование Агентством национальной безопасности.
Официальные публикации для всех оценок XTS-400 можно увидеть в списке проверенных продуктов. [3] [4]
Основной функцией безопасности, которая отличает STOP от большинства операционных систем, является обязательная политика чувствительности. Поддержка обязательной политики целостности также отличает STOP от большинства MLS или доверенных систем. В то время как политика чувствительности направлена на предотвращение несанкционированного раскрытия, политика целостности направлена на предотвращение несанкционированного удаления или изменения (например, повреждения, которое может попытаться нанести вирус ). Обычные (т. е. недоверенные) пользователи не имеют права по своему усмотрению изменять уровни чувствительности или целостности объектов. Формальные модели Белла–ЛаПадулы и Бибы являются основой этих политик.
Политики чувствительности и целостности применяются ко всем пользователям и всем объектам в системе. STOP предоставляет 16 иерархических уровней чувствительности, 64 неиерархические категории чувствительности, 8 иерархических уровней целостности и 16 неиерархических категорий целостности. Обязательная политика чувствительности обеспечивает соблюдение модели классификации чувствительности данных Министерства обороны США (т. е. «Несекретно», «Секретно», «Совершенно секретно»), но может быть настроена для коммерческих сред.
Другие функции безопасности включают в себя:
STOP поставляется только в одном пакете, так что не возникает путаницы относительно того, содержит ли конкретный пакет все функции безопасности. Обязательные политики не могут быть отключены. Конфигурация политики не требует потенциально сложного процесса определения больших наборов доменов и типов данных (и сопутствующих правил доступа).
Для поддержания надежности системы XTS-400 должен быть установлен, загружен и настроен доверенным персоналом. Сайт также должен обеспечивать физическую защиту аппаратных компонентов. Система и обновления программного обеспечения поставляются BAE Systems безопасным способом.
Для клиентов, которые хотят их, XTS-400 поддерживает Mission Support Cryptographic Unit (MSCU) и карты Fortezza . MSCU выполняет криптографию типа 1 и был отдельно проверен Агентством национальной безопасности США .
Оценка CC заставляет использовать определенное оборудование в XTS-400. Хотя это накладывает ограничения на конфигурации оборудования, которые могут быть использованы, возможны несколько конфигураций. XTS-400 использует только стандартные компоненты ПК, коммерческие готовые (COTS), за исключением опционального криптографического блока поддержки миссии (MSCU).
Аппаратное обеспечение основано на центральном процессоре Intel Xeon ( P4 ) с тактовой частотой до 2,8 ГГц и поддержкой до 2 ГБ основной памяти.
Шина PCI ( Peripheral Component Interconnect ) используется для дополнительных карт, таких как Gigabit Ethernet . Можно создать до 16 одновременных подключений Ethernet , все из которых могут быть настроены на различных обязательных уровнях безопасности и целостности.
Подсистема SCSI используется для подключения ряда высокопроизводительных периферийных устройств. Одно периферийное устройство SCSI — это считыватель карт PC , который может поддерживать Fortezza . Могут быть включены несколько хост-адаптеров SCSI .
XTS-400 предшествовало несколько оцененных предшественников, все разработанные той же группой: Secure Communications Processor (SCOMP), XTS-200 и XTS-300. Все предшествующие продукты были оценены по стандартам Trusted Computer System Evaluation Criteria (TCSEC) (также известным как Orange Book ). SCOMP завершила оценку в 1984 году на самом высоком функциональном и гарантийном уровне, который тогда существовал: A1. С тех пор продукт эволюционировал от фирменного оборудования и интерфейсов до товарного оборудования и интерфейсов Linux.
XTS-200 была разработана как операционная система общего назначения, поддерживающая Unix-подобные приложения и пользовательскую среду. XTS-200 завершила оценку в 1992 году на уровне B3.
XTS-300 перешел от фирменного мини-компьютерного оборудования к COTS, оборудованию Intel x86. XTS-300 завершил оценку в 1994 году на уровне B3. XTS-300 также прошел несколько циклов обслуживания рейтингов (также известных как RAMP), очень похожих на цикл обеспечения непрерывности в рамках CC, в конечном итоге завершившись версией 5.2.E, оцененной в 2000 году.
Разработка XTS-400 началась в июне 2000 года. Главным изменением, заметным для клиента, стало определенное соответствие Linux API . Хотя функции безопасности системы XTS накладывают некоторые ограничения на API и требуют дополнительных, фирменных интерфейсов, соответствие достаточно близко, чтобы большинство приложений работали на XTS без перекомпиляции. Некоторые функции безопасности были добавлены или улучшены по сравнению с более ранними версиями системы, а также была улучшена производительность.
По состоянию на июль 2006 года линейка продукции XTS продолжает совершенствоваться.
5 сентября 2006 года Патентное ведомство США выдало компании BAE Systems Information Technology, LLC патент США № 7,103,914 «Доверенная компьютерная система».
STOP — это операционная система с монолитным ядром (как и Linux). Хотя она предоставляет совместимый с Linux API, STOP не является производной от Unix или любой Unix-подобной системы. STOP имеет высокую степень многоуровневости, высокую степень модульности, относительно компактен и прост. Эти характеристики исторически способствовали высоконадежным оценкам.
STOP разделен на четыре кольца , каждое из которых далее подразделяется на слои. Самое внутреннее кольцо имеет аппаратные привилегии, а приложения, включая привилегированные команды, запускаются во внешнем. Три внутренних кольца составляют ядро . Программное обеспечение во внешнем кольце защищено от вмешательства в программное обеспечение во внутреннем кольце. Ядро является частью адресного пространства каждого процесса и необходимо как обычным, так и привилегированным процессам.
Ядро безопасности занимает самое внутреннее и самое привилегированное кольцо и применяет все обязательные политики. Оно обеспечивает виртуальную среду процессов, которая изолирует один процесс от другого. Оно выполняет все низкоуровневое планирование, управление памятью и обработку прерываний. Ядро безопасности также предоставляет службы ввода-вывода и механизм сообщений IPC . Данные ядра безопасности являются глобальными для системы.
Программное обеспечение доверенных системных служб (TSS) выполняется в кольце 1. TSS реализует файловые системы, реализует TCP/IP и применяет политику дискреционного контроля доступа к объектам файловой системы. Данные TSS являются локальными для процесса, в рамках которого они выполняются.
Службы операционной системы (OSS) выполняются в кольце 2. OSS предоставляет API-интерфейсы, подобные Linux, для приложений, а также предоставляет дополнительные фирменные интерфейсы для использования функций безопасности системы. OSS реализует сигналы, группы процессов и некоторые устройства памяти. Данные OSS являются локальными для процесса, в рамках которого они выполняются.
Программное обеспечение считается доверенным, если оно выполняет функции, от которых зависит система для обеспечения политики безопасности (например, установление авторизации пользователя). Это определение основано на уровне целостности и привилегиях. Недоверенное программное обеспечение работает на уровне целостности 3 со всеми категориями целостности или ниже. Некоторые процессы требуют привилегий для выполнения своих функций — например, защищенному серверу необходимо получить доступ к базе данных аутентификации доступа пользователей, которая хранится на системном высоком уровне , при установлении сеанса для пользователя на более низком уровне чувствительности.
XTS-400 может обеспечить высокий уровень безопасности во многих прикладных средах, но для его достижения необходимы компромиссы. Потенциальные слабые стороны для некоторых клиентов могут включать: