在現代戰爭的各個方面,使用先進的計算機系統和網絡作為工具的情況繼續增長。態勢感知和及時訪問關鍵任務信息越來越成為任務成功與失敗之間的區別。提供任務關鍵型信息通常涉及使不同安全分類級別的數據廣泛可用,通常提供給戰場上的系統。
新一代操作系統正在滿足不斷提高的多級安全性或MLS要求。可以使用通用和嵌入式操作系統,如SELinux,VxWorks MILS,INTEGRITY-178B和LynxSecure。但是,現代系統的連接和分布式特性決定了單個操作系統和一組應用程序是不夠的。安全通信鏈路支持將各個節點擴展到分布式系統中,該系統可以在多個安全級別共同處理數據。
以下討論探討了架構和集成分布式MLS系統所涉及的一些挑戰,以及如何通過采用基于標準的集成平臺來最好地解決這些挑戰。
構建 MLS 系統
在分布式MLS系統中實施安全策略可能非常復雜。MLS的目標是在整個分布式系統中維護安全分類級別。這些規則看似簡單明了,并且對敏感度(例如,機密或絕密)和一組類別(例如,紅色、藍色和綠色)進行操作。數據標有敏感度和一個或多個類別。代表用戶執行操作的進程應僅以相同或更低的敏感度訪問數據,并且僅當該進程已針對該特定類別集獲得授權時。
問題的根源在于計算機軟件的易錯性。即使是最好的軟件也不可避免地包含缺陷。因為即使是最小的缺陷也可能被利用,所以不可能依靠大多數軟件來實施安全策略。
那么問題就變成了如何構建軟件和系統,以便能夠處理多個安全級別的數據,而不必依賴系統中的大多數軟件,特別是應用軟件。
例如,多個獨立安全級別 (MILS) 體系結構采用操作系統,使用非常小且高度確定的內核分隔安全域。在每個分離的環境或分區中,運行應用程序或虛擬化操作系統。
圖1:例如,MILS(多獨立安全級別)架構采用操作系統,使用非常小且高度確定的內核分隔安全域。

大多數 MILS 系統還提供通信機制,允許在分區之間控制數據共享。這可用于允許在 Bell-LaPadula 架構中找到的許多通信模式,例如,向下讀取(從較低分類級別的組件或存儲讀取)。
MILS 分離內核允許需要高保證的應用程序與中低安全性應用程序在同一系統上運行。
受控信息共享的問題
分布式MLS系統的核心是跨網絡的受控信息共享。這通常需要有保證的單向信息流,這與大多數網絡或進程間通信標準不同。
在構建MLS系統時,這些通信通道的單向性質是一個持續的挑戰。大多數通信機制,即使只以一種方式傳輸數據,也具有一種機制,供讀取器與編寫器通信。例如,此通道用于可靠性流量,例如可靠性協議中數據包的正確認和負確認。如果沒有這種反向通道,大多數現有軟件(包括網絡協議)將無法在不修改的情況下工作。
某些實現具有由受信任組件控制的有限反向通道。例如,考慮在 Linux 系統上使用系統 V 消息隊列進行通信的兩個進程。在此方案中,操作系統內核向編寫器提供有限的信息,例如當隊列已滿時,允許傳輸狀態信息,而不允許讀取器傳回任意數據。任意數據通信路徑(稱為顯性通道)是受控信息共享的最大風險,因為它們是有意啟用的高帶寬通信路徑。
即使在通信通道中移除了顯性的信息流,也可能仍然存在無意的(從系統設計人員的角度來看)信息流。這些流稱為隱蔽通道,通常在讀取器可以影響提供給編寫器的可靠性數據時出現。在上述示例中,可以利用向編寫器指示隊列狀態來隨時間推移傳達大量信息。
基于標準的信息共享
解決分布式MLS系統中受控信息共享的挑戰需要一種基于標準的方法,在不同平臺上實施安全策略(圖1)。對象管理組 (OMG) 的實時系統數據分發服務 (DDS) 標準是管理分布式 MLS 通信通道的引人注目的選擇。其點對點的無代理架構直接支持 MLS 系統,而不會影響安全控制或引入必須信任以維護數據分離的特殊安全組件。
圖2:解決分布式MLS系統中受控信息共享的挑戰需要一種基于標準的方法,在不同平臺上實施安全策略。

DDS 標準提供匿名發布/訂閱通信。對于應用程序,DDS提供了一個用于發送和接收數據的接口,同時提供QoS,例如可靠的數據傳輸,發送歷史數據和熱故障轉移。此外,該標準還提供了特定的機制,有助于在MLS系統中實現受控信息共享。
域分離
分布式MLS系統最基本的要求是確保數據與網絡中不同安全級別的分離。DDS標準提供了一種稱為域的機制,可以有效地支持這些系統的分離要求,并為系統設計人員提供了滿足這一特定約束的強大工具。DDS 域表示邏輯、隔離的通信網絡。在不同 DDS 域中的同一組主機上運行的多個應用程序彼此隔離(即使它們在同一臺計算機上)。屬于不同DDS域的應用程序進程永遠不會交換數據,包括用戶和元數據。由于此方法適用于沒有跨域要求的系統,因此反向通道流量不是問題。
從低到高的通信
對于分布式MLS系統,提供任務關鍵型信息通常涉及跨安全域在網絡上提供不同安全分類級別的數據。DDS 標準提供了一個 QoS 模型,使系統開發人員能夠控制通信協議的行為。如果不允許反向通道流量,開發人員可以將 DDS 配置為使用盡力而為的傳遞協議,該協議不會返回確認。這樣,系統就可以適應單向、從低到高的數據流,從而允許實現讀/寫級別功能以及讀/寫功能。
安全的雙向信息共享
在分布式MLS系統中,安全級別之間的完全雙向信息傳輸通常涉及使用跨域解決方案(CDS)。CDS 可以在以下兩種模式之一下運行:
從低到高的可靠傳輸 – 將用戶數據從較低安全級別傳輸到較高安全級別,僅從高到低傳輸可靠性協議流量,包括正面和負面確認消息
雙向傳輸 – 從低到高和高到低的用戶和可靠性協議數據傳輸
CDS 可以是具有兩個或多個網絡接口的單獨硬件解決方案,也可以是在 MILS OS 分區中運行的軟件組件。在任一情況下,CDS 都可以橋接多個網絡級別,在 CDS 的安全策略允許的任意一對級別之間提供雙向流量。
使用基于 DDS 的 CDS 進行高到低傳輸
任何 CDS 的基本要求是,流經 CDS 的所有流量都可以根據活動安全策略進行檢查和過濾。DDS標準通過其類型系統直接支持此要求。DDS 為流經系統的所有數據提供類型信息。CDS 可以使用類型信息動態檢查通過的每個數據包的內容。數據檢查可以檢查所有數據字段,并可能允許根據安全策略修改或編輯字段。DDS 標準提供了一個架構機會來對內容執行深度檢查,以保護數據機密性(用于用戶數據的高到低傳輸),并保護不同級別的惡意代碼或數據。由于DDS交換類型信息一次(在建立通信通道時),因此數據檢查功能占用的網絡帶寬最小。
這些是基于標準的平臺如何幫助實現跨網絡安全共享任務關鍵型數據的幾個示例。一些系統集成商已經采用了基于標準的方法,并且能夠很好地應對日益增長的MLS要求。
審核編輯:郭婷
-
嵌入式
+關注
關注
5150文章
19659瀏覽量
317367 -
操作系統
+關注
關注
37文章
7143瀏覽量
125555
發布評論請先 登錄
NVIDIA Halos自動駕駛汽車安全系統發布
PoE交換機在安防監控系統中的關鍵作用
國星光電亮相2025國際智慧顯示及系統集成展
德州儀器AWRL6844雷達傳感器助力車內安全系統設計

IBMS系統集成的功能有哪些
安全系統的不間斷主機介紹,訪問至關重要

可與MES系統集成的數據采集監控平臺
天合跟蹤:跟蹤支架系統集成創新價值分析
圍繞APS為中心與ERP、MES、PLM/PDM、SRM、WMS/TMS的多系統集成

智慧園區系統集成解決方案應用
集成時間數字轉換器簡化了飛行時間測距應用的設計

系統集成提升醫院能耗管理效率和質量

評論