XTS -400 — это многоуровневая безопасная компьютерная операционная система . Это многопользовательский и многозадачный режим , в котором используется многоуровневое планирование обработки данных и информации. Он работает в сетевых средах и поддерживает Gigabit Ethernet , а также IPv4 и IPv6 .
XTS-400 представляет собой комбинацию оборудования Intel x86 и операционной системы Secure Trusted Operating Program ( STOP ) . XTS-400 был разработан BAE Systems и первоначально выпущен как версия 6.0 в декабре 2003 года.
STOP обеспечивает высокий уровень безопасности и является первой операционной системой общего назначения с уровнем безопасности по общим критериям EAL5 или выше. [1] XTS-400 может размещать и надежно обслуживать отдельные, несколько одновременных наборов данных, пользователей и сетей с разными уровнями чувствительности.
XTS-400 обеспечивает как недоверенную среду для нормальной работы, так и надежную среду для административной работы и привилегированных приложений. Недоверенная среда аналогична традиционным средам Unix . Он обеспечивает двоичную совместимость с приложениями Linux , запускающими большинство команд и инструментов Linux, а также с большинством приложений Linux без необходимости перекомпиляции. Эта ненадежная среда включает в себя графический интерфейс X Window System , хотя все окна на экране должны иметь одинаковый уровень чувствительности.
Для поддержки доверенной среды и различных функций безопасности STOP предоставляет приложениям набор собственных API . Для разработки программ, использующих эти проприетарные API, необходима специальная среда разработки программного обеспечения (SDE). SDE также необходим для переноса некоторых сложных приложений Linux/Unix на XTS-400.
С тех пор была представлена новая версия операционной системы STOP, STOP 7 [2] , в которой утверждается, что она имеет улучшенную производительность и новые функции, такие как RBAC .
Как высоконадежная система MLS , XTS-400 может использоваться в междоменных решениях , для которых обычно требуется разработка части привилегированного программного обеспечения, которое может временно обходить одну или несколько функций безопасности контролируемым образом. Такие изделия не подлежат оценке CC XTS-400, но могут быть аккредитованы.
XTS-400 можно использовать в качестве настольного компьютера, сервера или сетевого шлюза. Интерактивная среда, типичные инструменты командной строки Unix и графический интерфейс поддерживают настольное решение. Поскольку XTS-400 поддерживает несколько одновременных сетевых подключений с разными уровнями чувствительности, его можно использовать для замены нескольких одноуровневых настольных компьютеров, подключенных к нескольким различным сетям.
Для поддержки функциональности сервера XTS-400 может быть реализован в конфигурации для монтажа в стойку , поддерживает источник бесперебойного питания (ИБП), допускает несколько сетевых подключений, поддерживает множество жестких дисков в подсистеме SCSI (также позволяет экономить дисковые блоки с помощью реализации с разреженными файлами). в файловой системе ) и предоставляет надежный инструмент резервного копирования/сохранения. Серверное программное обеспечение, такое как Интернет-демон, можно портировать для работы на XTS-400.
Популярным применением систем высокой надежности, таких как XTS-400, является защита потока информации между двумя сетями с разными характеристиками безопасности. Доступно несколько решений для защиты клиентов на базе систем XTS.
XTS-400 версии 6.0.E прошел оценку по общим критериям (CC) в марте 2004 г. на уровне EAL4, дополненную ALC_FLR.3 (отчет о проверке CCEVS-VR-04-0058). Версия 6.0.E также соответствует профилям защиты, озаглавленным «Маркированная безопасность». Профиль защиты (LSPP) и профиль защиты контролируемого доступа (CAPP), хотя оба профиля превосходят их по функциональности и надежности.
XTS-400 версии 6.1.E завершил оценку в марте 2005 года на уровне EAL5, дополненном ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-05-0094), и по-прежнему соответствует LSPP и CAPP. Оценка EAL5+ включала анализ скрытых каналов, а также дополнительный анализ уязвимостей и тестирование Агентства национальной безопасности .
XTS-400 версии 6.4.U4 завершил оценку в июле 2008 года на уровне EAL5, дополненную ALC_FLR.3 и ATE_IND.3 (отчет о проверке CCEVS-VR-VID10293-2008), также все еще соответствуя LSPP и CAPP. Как и его предшественник, он также включал анализ скрытых каналов, а также дополнительный анализ уязвимостей и тестирование Агентства национальной безопасности.
Официальные публикации всех оценок XTS-400 можно увидеть в проверенном списке продуктов. [3] [4]
Основной функцией безопасности, которая отличает STOP от большинства операционных систем, является обязательная политика конфиденциальности. Поддержка обязательной политики целостности также отличает STOP от большинства MLS или доверенных систем. В то время как политика конфиденциальности занимается предотвращением несанкционированного раскрытия, политика целостности занимается предотвращением несанкционированного удаления или изменения (например, ущерба, который может попытаться нанести вирус ). Обычные (т. е. не доверенные) пользователи не имеют права по своему усмотрению изменять уровни чувствительности или целостности объектов. В основе этой политики лежат формальные модели Белла -ЛаПадулы и Бибы .
Политики чувствительности и целостности применяются ко всем пользователям и всем объектам в системе. STOP обеспечивает 16 иерархических уровней чувствительности, 64 неиерархические категории чувствительности, 8 иерархических уровней целостности и 16 неиерархических категорий целостности. Политика обязательной конфиденциальности обеспечивает соблюдение модели классификации конфиденциальности данных Министерства обороны США (т. е. «Несекретно», «Секретно», «Совершенно секретно»), но ее можно настроить для коммерческих сред.
Другие функции безопасности включают в себя:
STOP поставляется только в одном пакете, поэтому не возникает путаницы относительно того, присутствуют ли в конкретном пакете все функции безопасности. Обязательные политики невозможно отключить. Конфигурация политики не требует потенциально сложного процесса определения больших наборов доменов и типов данных (и сопутствующих правил доступа).
Для обеспечения надежности системы XTS-400 должен быть установлен, загружен и настроен доверенным персоналом. На объекте также должна обеспечиваться физическая защита аппаратных компонентов. Система и обновления программного обеспечения поставляются от BAE Systems безопасным способом.
Для клиентов, которым они нужны, XTS-400 поддерживает криптографический блок поддержки миссии (MSCU) и карты Fortezza . MSCU выполняет криптографию типа 1 и был отдельно проверен Агентством национальной безопасности США .
Оценка CC требует использования определенного оборудования в XTS-400. Хотя это накладывает ограничения на используемые конфигурации оборудования, возможны несколько конфигураций. В XTS-400 используются только стандартные ПК, готовые коммерческие компоненты (COTS), за исключением дополнительного криптографического блока поддержки миссии (MSCU).
Аппаратное обеспечение основано на центральном процессоре (ЦП ) Intel Xeon ( P4 ) с частотой до 2,8 ГГц и поддержкой до 2 ГБ основной памяти.
Шина Peripheral Component Interconnect (PCI) используется для карт расширения, таких как Gigabit Ethernet . Можно создать до 16 одновременных Ethernet- соединений, каждое из которых можно настроить на различных обязательных уровнях безопасности и целостности.
Подсистема SCSI используется для подключения ряда высокопроизводительных периферийных устройств. Одно из периферийных устройств SCSI — это устройство чтения карт ПК , поддерживающее Fortezza . Можно включить несколько хост-адаптеров SCSI .
XTS-400 предшествовало несколько оцененных предков, разработанных одной и той же группой: Secure Communications Processor (SCOMP), XTS-200 и XTS-300. Все предыдущие продукты были оценены в соответствии со стандартами Trusted Computer System Evaluation Criteria (TCSEC) (также известными как Оранжевая книга ). SCOMP завершил оценку в 1984 году на самом высоком функциональном уровне и уровне обеспечения безопасности, существовавшем на тот момент: A1. С тех пор продукт превратился из проприетарного оборудования и интерфейсов в стандартное оборудование и интерфейсы Linux.
XTS-200 был разработан как операционная система общего назначения, поддерживающая Unix-подобные приложения и пользовательскую среду. XTS-200 прошел оценку в 1992 году на уровне B3.
XTS-300 перешел от проприетарного мини-компьютера к COTS, оборудованию Intel x86. XTS-300 прошел оценку в 1994 году на уровне B3. XTS-300 также прошел несколько циклов обслуживания рейтингов (также известных как RAMP), очень похожих на цикл обеспечения непрерывности в соответствии с CC, и в конечном итоге в 2000 году была оценена версия 5.2.E.
Разработка XTS-400 началась в июне 2000 года. Основным изменением, заметным для клиентов, было соответствие API Linux . Хотя функции безопасности системы XTS накладывают некоторые ограничения на API и требуют дополнительных проприетарных интерфейсов, соответствие достаточно близкое, поэтому большинство приложений могут работать на XTS без перекомпиляции. Некоторые функции безопасности были добавлены или улучшены по сравнению с более ранними версиями системы, а также была улучшена производительность.
По состоянию на июль 2006 года линейка продуктов XTS продолжает совершенствоваться.
5 сентября 2006 г. Патентное ведомство США предоставило BAE Systems Information Technology, LLC. Патент США № 7 103 914 «Надежная компьютерная система».
STOP — это операционная система с монолитным ядром (как и Linux). Несмотря на то, что STOP предоставляет Linux-совместимый API, он не является производным от Unix или какой-либо Unix-подобной системы. STOP — это многоуровневая, модульная система, относительно компактная и простая. Эти характеристики исторически способствовали проведению оценок с высокой степенью достоверности.
СТОП состоит из четырех колец , каждое из которых подразделяется на слои. Самое внутреннее кольцо имеет аппаратные привилегии, а приложения, включая привилегированные команды, запускаются на самом внешнем. Три внутренних кольца составляют ядро . Программное обеспечение во внешнем кольце защищено от вмешательства в программное обеспечение во внутреннем кольце. Ядро является частью адресного пространства каждого процесса и необходимо как обычным, так и привилегированным процессам.
Ядро безопасности занимает самое внутреннее и наиболее привилегированное кольцо и обеспечивает соблюдение всех обязательных политик. Он обеспечивает виртуальную среду процессов, которая изолирует один процесс от другого. Он выполняет все низкоуровневое планирование, управление памятью и обработку прерываний. Ядро безопасности также предоставляет услуги ввода-вывода и механизм сообщений IPC . Данные ядра безопасности являются глобальными для системы.
Программное обеспечение доверенных системных служб (TSS) выполняется в кольце 1. TSS реализует файловые системы, реализует TCP/IP и применяет политику дискреционного контроля доступа к объектам файловой системы. Данные TSS являются локальными для процесса, в котором они выполняются.
Службы операционной системы (OSS) выполняются в кольце 2. OSS предоставляет приложениям Linux-подобный API, а также дополнительные собственные интерфейсы для использования функций безопасности системы. OSS реализует сигналы, группы процессов и некоторые устройства памяти. Данные OSS являются локальными для процесса, в котором они выполняются.
Программное обеспечение считается доверенным, если оно выполняет функции, от которых зависит соблюдение политики безопасности системы (например, установление авторизации пользователя). Это определение основано на уровне целостности и привилегиях. Ненадежное программное обеспечение работает на уровне целостности 3 со всеми категориями целостности или ниже. Некоторым процессам требуются привилегии для выполнения своих функций — например, Безопасному серверу необходим доступ к базе данных аутентификации доступа пользователей, которая хранится на высоком системном уровне , при этом устанавливается сеанс для пользователя на более низком уровне чувствительности.
XTS-400 может обеспечить высокий уровень безопасности во многих прикладных средах, но для его достижения приходится идти на компромиссы. Потенциальные недостатки для некоторых клиентов могут включать в себя: