복수 싱글 레벨

이 기사는 어떠한 출처도 인용하지 않는다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : '복수 싱글 레벨'– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2009년 12월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

MSL(Multiple Single-Level 또는 Multi-Security Level)은 각 수준별로 별도의 컴퓨터 또는 가상 시스템을 사용하여 서로 다른 수준의 데이터를 분리하는 수단입니다.OS나 애플리케이션에 특별한 변경을 가하지 않고 하드웨어 추가가 필요한 대신 멀티레벨 보안의 이점을 제공하는 것을 목표로 하고 있습니다.

MLS 운영체제 개발 추진은 1990년대 초반 데이터 처리비용의 급격한 하락으로 인해 심각한 지장을 받았습니다.데스크톱 컴퓨팅이 등장하기 전에는 기밀 처리 요건을 가진 사용자는 전용 컴퓨터를 구입하거나 MLS 운영 체제를 호스트하는 컴퓨터를 사용해야 했습니다.그러나 1990년대에 걸쳐 국방 및 인텔리전스 커뮤니티의 많은 사무실은 컴퓨팅 비용 절감을 이용하여 조직에서 사용되는 최고 등급에서만 작동하도록 분류된 데스크톱 시스템을 도입했습니다.이러한 데스크톱 컴퓨터는 시스템 하이 모드로 작동하며 컴퓨터와 동일한 수준의 트래픽을 전송하는 LAN과 연결되었습니다.

이와 같은 MSL 구현은 MLS의 복잡성을 깔끔하게 회피하면서도 공간의 비효율적인 사용을 위해 기술적 단순성을 희생했습니다.기밀 환경에 있는 대부분의 사용자도 기밀 시스템이 필요했기 때문에 사용자는 컴퓨터를 최소 2대 이상 사용하는 경우가 많았으며, 때로는 그 이상의 컴퓨터(미 기밀 처리용 컴퓨터 및 각 분류 수준별로 하나씩 처리)를 사용하는 경우도 있었습니다.또, 각 컴퓨터는 적절한 분류 레벨로 독자적인 LAN에 접속되고 있었습니다.즉, 복수의 전용 케이블 플랜트가 통합되었습니다(설치 및 유지 보수 양쪽에서 상당한 비용이 듭니다).

MSL과 MLS의 제한

MSL의 명백한 단점은 (MLS와 비교하여) 다양한 분류 수준의 혼합을 지원하지 않는다는 것입니다.예를 들어, SECRET 데이터 스트림(SECRET 파일에서 가져온)을 TOP SECRET 데이터 스트림(TOP SECRET 파일에서 읽음)과 연결하고 그 결과 생성된 TOP SECRET 데이터 스트림을 TOP SECRET 파일로 유도하는 개념은 지원되지 않습니다.본질적으로 MSL 시스템은 병렬(및 코로케이션) 컴퓨터 시스템 세트로 생각할 수 있습니다.각 시스템은 1개의 보안 수준에서만 동작하도록 제한됩니다.실제로 개별 MSL 운영체제는 단일 레벨 시스템으로 동작하기 때문에 보안 수준의 개념조차 이해하지 못할 수 있습니다.예를 들어, 코로케이션된 MSL OS 세트 중 하나가 문자열 'SECRET'을 모든 출력에 부착하도록 설정되어 있는 경우, 그 OS는 모든 출력에 문자열 'UNCLASSED'를 부가하는 피어 OS에 의해 처리되는 데이터와 감도 및 중요도 면에서 데이터가 어떻게 비교되는지를 이해하지 못합니다.

그 후, 2개 이상의 시큐러티 레벨에 걸쳐 동작하는 경우는, MSL 그 자체로서 「운영 체제」의 범위에 관계하지 않고, 「수동 리뷰」라고 불리는 사람의 개입이 필요한 방법을 사용할 필요가 있습니다.예를 들어, 복수의 MSL 피어간의 데이터 이행(예를 들어 UNCLASSED 피어에서SECRET 피어로의 데이터 파일 복사)을 지원하기 위해 독립된 모니터(Brinch Hansen의 용어 의미에 해당하지 않음)를 제공할 수 있다.연방법에 의한 엄격한 요건은 특별히 이 문제에 대응하고 있지 않지만, 이러한 모니터는 파일 Import/export, 출력 라벨 설정, 기타 유지보수/관리 등 매우 엄격하게 정의된 소수의 작업만 지원하는 것이 적절합니다.개별 단일 레벨 시스템이 아닌 하나의 유닛으로 배치된 모든 MSL 피어를 처리해야 하는 작업입니다.또한 VMware 등의 하이퍼바이저 소프트웨어 아키텍처를 사용하여 기본 OS에서 지원되는 개별 가상화 환경의 형태로 일련의 피어 MSL "OS"를 제공하는 것이 적절할 수 있습니다.이 OS는 관리자가 모든 피어에서 관리하는 모든 데이터에 액세스할 수 있는 환경입니다.사용자의 관점에서 각 피어는 기본 "유지관리 OS" 사용자 환경과 논리적으로 구분할 수 없는 로그인 또는 X 디스플레이 매니저 세션을 제공합니다.

MSL의 진보

분류 수준별로 개별 네트워크를 유지하는 데 비용과 복잡성이 수반됨에 따라 NSA(National Security Agency)는 MSL 개념의 전용 시스템 하이 시스템을 유지하면서 여러 네트워크와 컴퓨터가 요구하는 물리적 투자를 줄일 수 있는 방법을 연구하기 시작했습니다.기간 처리는 이 분야의 첫 번째 발전으로, 기관들이 컴퓨터를 한 분류의 네트워크에 연결하고, 정보를 처리하고, 시스템을 삭제하고, 다른 분류의 다른 네트워크에 연결할 수 있는 프로토콜을 확립했습니다.기간 처리 모델은 단일 컴퓨터의 가능성을 제시했지만 여러 케이블링 플랜트를 줄이는 데는 아무런 도움이 되지 않았고 사용자에게 매우 불편한 것으로 판명되었습니다. 따라서 채택이 제한되었습니다.

1990년대에 가상화 테크놀로지의 등장으로 MSL 시스템의 경쟁의 장이 바뀌었습니다.갑자기 독립된 컴퓨터처럼 동작하지만 공통 하드웨어 플랫폼에서 실행되는 가상 머신(VM)을 생성할 수 있게 되었습니다.가상화를 통해 NSA는 가상 수준에서 기간 처리를 유지할 수 있는 방법을 알게 되었습니다.시스템 부하가 높은 전용 VM 내에서 모든 처리를 실행함으로써 물리 시스템을 삭제할 필요가 없어졌습니다.다만, MSL을 가상 환경에서 안전하게 제어하고 확실하게 하기 위해서는 가상 세션 매니저를 관리할 수 있는 방법을 찾아야 했습니다.어떤 VM을 대상으로 한 타협적인 액티비티는 다른 VM을 타협할 수 없습니다.

MSL 솔루션

NSA는 가상화를 활용한 실행 가능하고 안전한 MSL 테크놀로지 구축을 목표로 여러 프로그램을 추진했습니다.지금까지 세 가지 주요 솔루션이 실현되었습니다.

• "Multiple Independent Levels of Security" 또는 MILS는 높은 보장성 보안 분리와 높은 보장성 안전 분리를 결합한 John Rushby 박사가 개발한 아키텍처 개념입니다.이후 NSA와 해군대학원이 공군연구실, 록히드 마틴, 록웰 콜린스, 객관적 인터페이스 시스템, 아이다호 대학, 보잉, 레이시온 및 MITRE와 협력하여 개선한 결과, 높은 수준의 커널 분리를 위한 공통 기준 EAL-6+ 보호 프로파일이 작성되었습니다.
• NSA가 VMWare, Inc.와 협력하여 개발한 "NetTop"은 보안 강화 Linux(SELinux)를 테크놀로지의 기본 운영체제로 사용합니다.SELinux OS는 가상 세션 관리자를 안전하게 유지하며, 이 관리자는 가상 시스템을 생성하여 처리 및 지원 기능을 수행합니다.
• 신클라이언트 모델을 기반으로 하는 상용 기성품(COTS) 시스템인 "Trusted Multi-Net"은 분류 및 분류되지 않은 네트워크에 대한 액세스를 사용자에게 제공하기 위해 마이크로소프트 Corporation, Citrix Systems, NYTOR Technologies, VMWare, Inc. 및 MITRE Corporation 등의 업계 연합에 의해 공동 개발되었습니다.이 아키텍처에서는, 복수의 케이블 플랜트가 불필요합니다.암호화에 의해, 최고 레벨의 액세스용으로 승인된 케이블을 개입시켜 모든 트래픽을 송신할 수 있습니다.

NetTop 솔루션과 Trusted Multi-Net 솔루션 모두 사용이 승인되었습니다.또한 Trusted Computer Solutions는 원래 NSA와 라이센스 계약을 통해 NetTop 기술 개념을 기반으로 한 신 클라이언트 제품을 개발했습니다.이 제품은 SecureOffice(r) Trusted Thin Client(tm)라고 불리며 Red Hat Enterprise Linux 버전 5(RHEL5)의 LSPP 구성에서 실행됩니다.

3개의 경쟁사가 MILS 분리 커널을 구현했습니다.

• Green Hills 소프트웨어
• LynuxWorks
• 윈드리버 시스템

또, 전용 하드웨어를 사용한 비가상화 MSL 시스템의 개발도 진전하고 있습니다.그 결과, 적어도 1개의 솔루션이 실현되고 있습니다.

• 호주 국방과학기술기구(DSTO)와 Tenix Pty Ltd에 의해 개발된 Starlight Technology(현재는 Interactive Link System으로 출시됨)는 특수 하드웨어를 사용하여 사용자가 "높은" 네트워크 세션에서 "낮은" 네트워크로의 데이터 흐름 없이 윈도우 내에서 "낮은" 네트워크와 상호 작용할 수 있도록 합니다.

철학적인 측면, 사용 편의성, 유연성

MSL의 「솔루션 패스」가 가져오는 철학적 의미를 고려하는 것은 흥미롭습니다.기존 OS 내에서 MLS 기능을 제공하는 것이 아니라 기본이 되는 실제 OS에서 개별적으로 또는 집합적으로 관리할 수 있는 일련의 「가상 OS」피어를 구축하는 것이 선택되는 방향입니다.기반이 되는 OS(유지보수 운영체제(MOS)라는 용어를 도입하면 TOP SECRET MSL 피어에서 UNCASSIFRED MSL 피어에 데이터를 복사하는 등 중대한 오류를 방지하기 위해 MLS 시멘틱스를 충분히 이해할 수 있는 경우, MOS는 라벨을 나타내는 기능, 엔티티와 라벨을 관련짓는 기능(여기에서는 엄밀하게 취급하고 있습니다)이 필요합니다.ly "subject"와 "object"라는 용어를 피한다. 라벨을 비교한다("기준 모니터"라는 용어를 피한다). 라벨이 의미가 있는 컨텍스트와 의미가 없는 컨텍스트를 구별한다("신뢰할 수 있는 컴퓨팅 기반"[TCB]라는 용어를 피한다). 리스트는 계속된다.MLS 아키텍처 및 설계상의 문제는 해소되지 않았으며, 단지 눈에 띄지 않게 필수 접근컨트롤의 문제를 관리하는 별도의 소프트웨어 계층에 맡겨져 있기 때문에 초인접 계층이 불필요하다는 것을 쉽게 알 수 있습니다.이 개념은 다름 아닌 DoD 스타일의 신뢰할 수 있는 시스템의 기초가 되는 (Anderson Report에서 인용한) 주원적 아키텍처 개념입니다.

다만, MSL 피어 세트의 추상화에 의해서 확실히 실현되고 있는 것은, MAC 인식 소프트웨어 메카니즘의 범위를, 작은 서브 인접 MOS 에의 근본적인 제한입니다.단, 이는 가장 기본적인 MLS 기능(비밀 삭제 사용자가 UNCLASSED 파일에서 가져온 UNCLASSED 단락을 자신의 SECRET 보고서에 추가하는 경우)을 배제하는 비용으로 실현되었습니다.MSL의 실장에서는, 모든 「재이용 가능한」리소스(이 예에서는 UNCRASSIFICED 파일)를, 편리하다고 생각되는 모든 MSL 피어간에 레플리케이션 할 필요가 있습니다.즉, 세컨더리 스토리지가 불필요하게 소비되거나, 유저의 요구에 따라 레플리케이션을 실행할 수 있는 클리어 된 관리자에게는 견딜 수 없는 부담이 됩니다.ts. (물론 SECRET 사용자는 UNCRASSED 시스템을 로그아웃하고 새로 시작하는 것 이외에는 시스템의 UNCRASSED 서비스를 "브라우징"할 수 없기 때문에 기능 및 유연성에 대한 또 다른 심각한 제한이 있습니다.)또는 기밀성이 낮은 파일 시스템을 NFS에 읽기 전용으로 마운트하여 보다 신뢰할 수 있는 사용자가 콘텐츠를 참조할 수 있지만 수정할 수는 없습니다.단, MLS OS 피어에는 (디렉토리 리스트명령어 등) NFS 마운트리소스가 로컬리소스와 다른 수준의 감도임을 구별하는 실제 수단이 없습니다.또, read-o 의 bluet-force, all-or-nothing 메카니즘 이외의 기밀 정보의 부정한 오르막 흐름을 막기 위한 엄격한 수단이 없습니다.nly NFS 마운트

이러한 「크로스 레벨의 파일 공유」의 대폭적인 효과의 실제적인 핸디캡을 나타내려면 , UNCASSIFLITED, SECRET, 및 TOP SECRET 데이터를 서포트하고 있는 MLS 시스템과 그 레벨로 시스템에 로그인하고 있는 TOP SECRET의 클리어 유저의 경우를 검토해 주세요.MLS 디렉토리 구조는 격납원칙에 근거해 구축됩니다.이 원칙은 대략적으로 말하면, 높은 감도 레벨이 트리에 있는 것을 나타냅니다.일반적으로 디렉토리의 레벨은 부모 레벨과 일치하거나 지배해야 하며, 파일(구체적으로는 링크)의 레벨은 Catalyst 디렉토리의 레벨과 일치해야 합니다.(이것은 MLS UNIX의 경우, 디렉토리, 디렉토리 엔트리, i-노드등의 다양한 개념을 서포트하는 대체 수단입니다.디렉토리 패러다임에 「브런치」의 추상화를 추가하는 멀티틱스 등, 보다 폭넓은 대체 실장을 실시합니다.)/tmp 또는 C:\ 등의 공개 공유 디렉토리 및 스풀 디렉토리에 대해 직교 메커니즘이 제공됩니다.TEMP는 OS에 의해 자동으로(눈에 띄지 않게) 파티셔닝되며 사용자의 파일 액세스 요구가 적절한 라벨이 붙은 디렉토리 파티션으로 자동으로 "디폴트"됩니다.TOP SECRET 사용자는 시스템 전체를 자유롭게 참조할 수 있으며, 유일한 제한사항은 해당 수준에서 로그인한 상태에서 특정 디렉토리 또는 그 하위 디렉토리 내에서만 새로운 TOP SECRET 파일을 작성할 수 있다는 것입니다.MSL 대체 방법에서는 브라우징 가능한 콘텐츠는 완전히 클리어된 관리자가 적용 가능한 모든 레벨에 걸쳐 무리하게 복제합니다.즉, 이 경우 모든 SECRET 데이터는 TOP SECRET MSL 피어 OS에 복제되고 모든 UN 기밀 데이터는 SECRET 피어 및 TOP SECRET 피어 모두에 복제되어야 합니다.유저의 클리어율이 높을수록, 유저의 시분할 컴퓨팅 체험이 더 어려워진다는 것을 알기 쉽게 알 수 있습니다.

기존의 신뢰할 수 있는 시스템(이론적인 의미)에서는 신뢰할 수 있는 컴퓨팅의 기반인 Orange Book에서 인용한 용어 및 개념을 기반으로 MSL 피어를 지원하는 시스템은 (B1) 이상의 보증 수준을 달성할 수 없었습니다.이는 무엇보다도 (B2) 기준이 TCB 경계에 대한 명확한 식별과 ADP 시스템의 모든 접근 가능한 자원 전체에 걸쳐 표현된 모든 데이터에 대한 접근을 판단할 수 있는 능력과 권한을 가진 식별 가능한 단일 엔터티의 존재를 요구하기 때문이다.따라서 매우 현실적인 의미에서 MSL 구현의 기술자로서 "고보증"이라는 용어를 적용하는 것은 의미가 없다. 왜냐하면 "고보증"이라는 용어는 (B3) 및 (A1) 시스템으로 적절히 제한되며 (B2) 시스템에 다소 느슨하지만 말이다.

크로스 도메인 솔루션

MSL 시스템은 가상이든 물리이든 서로 다른 분류 수준 간의 분리를 유지하도록 설계되었습니다.따라서(MLS 시스템과 달리) MSL 환경에는 어떤 레벨에서 다른 레벨로 데이터를 이동하는 타고난 기능이 없습니다.

서로 다른 분류 수준에서 작동하는 컴퓨터 간의 데이터 공유를 허용하기 위해 이러한 사이트에서는 일반적으로 게이트키퍼 또는 가드라고 하는 교차 도메인 솔루션(CDS)을 배포합니다.가드는 종종 MLS 테크놀로지 자체를 이용하기 때문에 네트워크 간의 트래픽 흐름을 필터링합니다.단, 상용 인터넷 방화벽과는 달리 가드는 훨씬 엄격한 보증 요건에 따라 구축되며 필터링은 차분하게 동작하는 LAN 간에 기밀 정보가 부적절하게 유출되지 않도록 주의 깊게 설계되었습니다.t 보안 수준

데이터 다이오드 기술은 데이터가 반대 방향으로 흐르지 않는다는 높은 수준의 보증과 함께 데이터 흐름을 수준 간에 한 방향으로 제한해야 하는 경우에 광범위하게 사용됩니다.일반적으로, 이것들은 다른 MLS 솔루션에도 과제가 되고 있는 것과 같은 제약이 적용됩니다.즉, 엄격한 보안 평가와 분류간의 정보 이동에 관한 기재된 정책과 동등한 전자 정책을 제공할 필요가 있습니다.(분류 레벨의 정보 이동은 특히 어렵고, 통상적으로 필요합니다.여러 명의 다른 사용자로부터 승인을 받았습니다.)

2005년 말 현재 수많은 고보증 플랫폼과 가드 애플리케이션이 기밀 환경에서 사용하도록 승인되었습니다.여기서 채용되는 용어 "고신뢰성"은 기밀 정보 처리를 위한 다양한 시스템의 구축 및 배치에 대한 준기술 지침인 DCID 6/3("dee slide six three")의 맥락에서 평가되어야 하며, 오렌지 북의 정확한 법적 경직성과 기본적인 수학적 리고 기준이 모두 결여되어 있다.r. (오렌지북은 다음과 같이 구성된 논리적인 "추론의 사슬"에 의해 동기 부여되어 도출된다.[a] 안전한 상태를 수학적으로 정의하고 수학적 모델을 구축하여 안전한 상태에서 시작하여 생각할 수 있는 모든 일련의 조작이 안전한 상태를 산출하도록 한다.[b]모델상의 조작 시퀀스에 현명하게 선택된 프리미티브의 매핑 및 사용자 인터페이스(시스템 호출 등)에서 처리할 수 있는 액션을 프리미티브의 시퀀스에 매핑하는 [c]의 「최상위 사양」. 단, 라이브 소프트웨어 실장이 올바른 것을 정식으로 증명하는 [d]에는 미치지 않는다.y는 전술한 액션 시퀀스를 구현한다.또는 [e] 공식적으로 실행 가능 파일, 즉 "실행 가능한" 시스템이 정확하고 신뢰할 수 있는 도구[예를 들어 컴파일러, 라이브러리, 링커]에 의해 생성된다고 주장한다.