El modo de alto nivel de sistema , o simplemente sistema alto , es un modo de seguridad de uso de un sistema de información automatizado (AIS) que pertenece a un entorno que contiene datos restringidos que están clasificados en un esquema jerárquico, como Alto secreto , Secreto y Sin clasificar . El modo de alto nivel de sistema se refiere a las características de IA de la información procesada y, específicamente, no a la solidez o confiabilidad del sistema.
El modo de sistema alto se distingue de otros modos (como la seguridad multinivel ) por su falta de necesidad de que el sistema contribuya a la protección o separación de clasificaciones de seguridad desiguales. En particular, esto impide el uso de las características de los objetos (por ejemplo, contenido o formato) producidos por o expuestos a un AIS que opera en modo de sistema alto como criterio para degradar de forma segura esos objetos. Como resultado, toda la información en un AIS de sistema alto se trata como si estuviera clasificada en el nivel de seguridad más alto de todos los datos en el AIS. Por ejemplo, la información no clasificada puede existir en una computadora secreta de sistema alto, pero debe tratarse como secreta, por lo tanto, nunca se puede compartir con destinos no clasificados (a menos que se degrade mediante una revisión humana confiable, lo que en sí mismo es riesgoso debido a la falta de humanos omniscientes). No se conoce ninguna tecnología para desclasificar de forma segura la información de sistema alto por medios automatizados porque no se puede confiar en ninguna característica confiable de los datos después de haber sido potencialmente corrompidos por el host de sistema alto. Cuando se utilizan medios no confiables (incluidas las soluciones entre dominios y las protecciones de derivación ), se introduce un grave riesgo de explotación del sistema a través de la derivación. Sin embargo, se ha hecho cuando se pasa por alto o se acepta el riesgo resultante.
Ejemplo: Cuando a Daniel se le concede acceso a un sistema informático que utiliza el modo Sistema Alto, Daniel debe tener una autorización de seguridad válida para toda la información procesada por el sistema y una "necesidad de saber" válida para parte, pero no necesariamente toda, la información procesada por el sistema.