XTS-400

XTS-400
Udvikler	BAE systemer
Kilde	lukket
nyeste version	7.5.1
Understøttede platforme	x86
Kernel type	monolitisk kerne
Stat	aktiv
Internet side	www.baesystems.com

XTS-400 - sikkert operativsystem på flere niveauer, multi-bruger og multi-tasking; bruger flerlagsplanlægning til data- og informationsbehandling og fungerer i netværksmiljøer, understøtter Gigabit Ethernet, IPv4 og IPv6.

XTS-400 er en kombination af Intel x86 hardware og et Secure Trusted Operating Program (STOP) [1] operativsystem . XTS-400 blev udviklet af BAE Systems og udgav oprindeligt version 6.0 i december 2003.

STOP giver en høj grad af sikkerhed og er det første generelle operativsystem, der opnår en Common Criteria EAL5 [2] certificeringsniveau eller højere.

Udviklingshistorie

Den originale løsning blev udviklet fra bunden tilbage i begyndelsen af 80'erne og hed SCOMP (Secure Communications Processor), den kørte på en Honeywell Level 6 minicomputer.

SCOMP modtog NSA A1-godkendelse (da Orange Book karaktererne A, B, C blev brugt), hvilket er den højeste karakter NSA nogensinde har givet. OS skulle skrives fra bunden, fordi det skulle konfrontere formelle beviser for sin sikkerhedsarkitektur for at blive valideret på A1-niveau.

Efterfølgeren til SCOMP var XTS-200, som kørte på Honeywells DPS6plus minicomputer, som stadig var en proprietær hardwareplatform. XTS-200 introducerede først et *nix-lignende brugermiljø og API til udvikling af applikationer designet til at køre i den tredje ring, men det primære OS er forblevet (til denne dag) baseret på den originale SCOMP. XTS-200 er blevet bekræftet i B3 af NSA. Både XTS-300 og XTS-400 var baseret på Intels mikroprocessorteknologi og Wintel-hardwarearkitekturen. * Det Nix-lignende bruger/dev-miljø er blevet yderligere forbedret på disse platforme.

XTS-400 er ligesom sine forgængere designet som en lagdelt, sikker kommunikationssikkerhedsplatform, der tillader kontrolleret sammenkobling af flere netværk, der hver især opererer i et forskelligt sikkerhedsdomæne. Denne udvikling var aldrig beregnet til at være en desktop, lagdelt, sikker platform, der optager den plads, Trusted Solaris optager.

Honeywell arbejdede faktisk sammen med Sun, DEC og andre for at hjælpe dem med at udvikle lagdelte, sikre desktopløsninger, men SCOMP/XTS var aldrig beregnet til den rolle.

På det tidspunkt, selvom Honeywell udviklede det velkendte MULTICS OS, blev dette OS ikke brugt som base for XTS [3] .

Brug

XTS-400 kan bruges i løsninger på tværs af domæner, der typisk kræver udvikling af et stykke privilegeret software, der midlertidigt kan omgå et eller flere sikkerhedselementer på en kontrolleret måde.

Operativsystemets sikkerhed og beskyttende egenskaber

Den vigtigste sikkerhedsfunktion, der adskiller STOP fra de fleste operativsystemer, er den obligatoriske følsomhedspolitik. Der er opbakning til en obligatorisk integritetspolitik. Mens følsomhedspolitik handler om at forhindre uautoriseret videregivelse af oplysninger, handler integritetspolitik om at forhindre uautoriseret sletning eller ændring (såsom den skade, en virus kan forårsage). Almindelige (det vil sige upålidelige) brugere har ikke ret til at ændre objekters følsomhed eller integritetsniveau.

Politikker for følsomhed og integritet gælder for alle brugere og alle objekter i systemet. STOP giver 16 niveauer af hierarkisk følsomhed, 64 ikke-hierarkiske følsomhedsklasser, 8 niveauer af hierarkisk integritet og 16 ikke-hierarkiske integritetskategorier. Den obligatoriske følsomhedspolitik anvender US Department of Defense Data Sensitivity Classification-modellen, men kan tilpasses til modellen til brug i et kommercielt miljø.

Andre sikkerhedsfunktioner omfatter:

Identifikation og autentificering, som tvinger brugere til entydigt at identificere og autentificere, før de bruger nogen systemtjenester eller får adgang til nogen information; brugeridentitet bruges til at træffe beslutninger om adgangskontrol og ansvarlighed gennem en revisionsmekanisme;
Discretionary Access Control (DAC), som vises på samme måde som i Unix, inklusive tilstedeværelsen af adgangskontrollister på hvert objekt; set-id-funktionen opretholdes på en kontrolleret måde;
Påkrævet undertypepolitik, som tillader nogle af funktionerne i betroede systemer, der understøtter politikker for tvungen adgang eller domænepolitikker;
Revision af alle sikkerhedsrelaterede hændelser og robuste værktøjer for at gøre det muligt for administratorer at opdage og analysere potentielle sikkerhedsbrud;
Trusted Path, som giver brugeren mulighed for at være sikker på, at han/hun interagerer direkte med Trusted Security Functions (TSF'er) under følsomme operationer; dette forhindrer f.eks. trojanske heste-programmer i at blive brugt til at forfalske login-processen og stjæle brugerens adgangskode;
Isolering af operativsystemets kode og datafiler fra aktiviteten af ikke-pålidelige brugere og processer, som især forhindrer skade fra malware eller på anden måde påvirker systemet;
Adskillelse af processer fra hinanden (så en proces/bruger ikke kan forstyrre en anden process interne data og kode);
Kontroller skærmfunktionalitet, - ingen adgang kan omgå kontrol af operativsystemet;
Stærk adskillelse af administrator-, operatør- og brugerrettigheder ved hjælp af obligatorisk integritetspolitik;
Genbrug af objekter for at forhindre dataindsamling;
Pålidelige værktøjer af høj kvalitet til systemjustering, styring af sikkerhedskritiske data og gendannelse af filsystemer;
Selvtest af sikkerhedsmekanismer efter behov;
Udelukkelse af netværkstjenester på højere niveau fra TSF, så TSF ikke er modtagelig for velkendte sårbarheder i disse tjenester.

STOP kommer kun i én pakke, så der er ingen forvirring om, hvorvidt en bestemt pakke har alle sikkerhedsfunktionerne. Påkrævede politikker kan ikke deaktiveres. Politikkonfiguration kræver ikke den potentielt komplekse proces med at definere store sæt af domæner og datatyper (og tilsvarende adgangsregler).

Arkitektur

STOP er et monolitisk kerneoperativsystem (som Linux). Selvom det giver en Linux-kompatibel API, er STOP ikke afledt af Unix eller noget Unix-lignende system. STOP er højt niveau, meget modulopbygget og relativt kompakt og enkelt.

STOP er underopdelt i fire "ringe" (se OS Multitics), og hver ring er yderligere opdelt i lag. Den inderste ring har hardwareprivilegier og applikationer, inklusive privilegerede kommandoer, der udføres i den yderste. De indre tre ringe udgør kernen. Softwaren i den ydre ring forhindres i at forstyrre softwaren i den indre ring. Kernen er en del af adresserummet for hver proces og kræves af både normale og privilegerede processer.

Sikkerhedskernen indtager den inderste og mest privilegerede ring og håndhæver alle obligatoriske politikker. Det giver et virtuelt procesmiljø, der isolerer en proces fra en anden. Den klarer al planlægning på lavt niveau, hukommelsesstyring og afbrydelseshåndtering. Sikkerhedskernen leverer også I/O-tjenester og IPC-meddelelsesmekanismen. Sikkerhedskernedata er globale for systemet.

Trusted System Services (TSS)-software kører i første ring. TSS implementerer filsystemer, implementerer TCP/IP og håndhæver diskretionær adgangskontrolpolitik på filsystemobjekter. TSS-data er lokale for den proces, de kører i.

Operating System Services (OSS) kører i anden ring. OSS leverer en Linux API til applikationer og giver også yderligere native grænseflader til brug af systemets sikkerhedsfunktioner. OSS implementerer signaler, procesgrupper og nogle hukommelsesenheder. OSS-data er lokale for den proces, de kører i.

Software betragtes som betroet, hvis det udfører funktioner, som systemet er afhængigt af for at håndhæve sikkerhedspolitik (f.eks. etablering af brugerautorisation). Denne definition er baseret på integritetsniveau og privilegier. Forkert software fungerer på det tredje integritetsniveau med alle integritetskategorier eller derunder. Nogle processer kræver privilegier for at udføre deres funktioner, for eksempel skal en sikker server have adgang til en brugergodkendelsesdatabase gemt på systemniveau, når der etableres en session for en bruger med et lavere følsomhedsniveau.

Noter

↑ STOP 7 . Hentet 27. juni 2018. Arkiveret fra originalen 6. oktober 2014. (ubestemt)
↑ Arkiveret kopi . Hentet 27. juni 2018. Arkiveret fra originalen 15. maj 2018. (ubestemt)
↑ OSNews Staff. Unix OS modtager fælles kriterier EAL 5 Augmented > Kommentarer . www.osnews.com. Hentet 27. juni 2018. Arkiveret fra originalen 27. juni 2018. (ubestemt)