El XTS-400 es un sistema operativo informático seguro multinivel . Es multiusuario y multitarea que utiliza programación multinivel en el procesamiento de datos e información. Funciona en entornos de red y admite Gigabit Ethernet e IPv4 e IPv6 .
El XTS-400 es una combinación de hardware Intel x86 y el sistema operativo Secure Trusted Operating Program ( STOP ) . XTS-400 fue desarrollado por BAE Systems y lanzado originalmente como versión 6.0 en diciembre de 2003.
STOP proporciona seguridad de alta seguridad y fue el primer sistema operativo de propósito general con una calificación de nivel de garantía de Criterios Comunes de EAL5 o superior. [1] El XTS-400 puede alojar y ser confiable para múltiples conjuntos de datos, usuarios y redes simultáneos y separados en diferentes niveles de sensibilidad.
El XTS-400 proporciona un entorno no confiable para el trabajo normal y un entorno confiable para el trabajo administrativo y para aplicaciones privilegiadas. El entorno que no es de confianza es similar a los entornos Unix tradicionales . Proporciona compatibilidad binaria con aplicaciones de Linux que ejecutan la mayoría de los comandos y herramientas de Linux, así como con la mayoría de las aplicaciones de Linux sin necesidad de recompilar. Este entorno que no es de confianza incluye una GUI del sistema X Window , aunque todas las ventanas de una pantalla deben tener el mismo nivel de sensibilidad.
Para respaldar el entorno confiable y diversas funciones de seguridad, STOP proporciona un conjunto de API patentadas para las aplicaciones. Para desarrollar programas que utilicen estas API propietarias, se necesita un entorno de desarrollo de software (SDE) especial. El SDE también es necesario para portar algunas aplicaciones complicadas de Linux/Unix al XTS-400.
Desde entonces se ha introducido una nueva versión del sistema operativo STOP, STOP 7 [2] , que afirma tener un rendimiento mejorado y nuevas características como RBAC .
Como sistema MLS de alta seguridad, XTS-400 se puede utilizar en soluciones entre dominios , que normalmente necesitan desarrollar una pieza de software privilegiado que pueda eludir temporalmente una o más características de seguridad de manera controlada. Este tipo de piezas quedan fuera de la evaluación CC del XTS-400, pero pueden ser acreditadas.
El XTS-400 se puede utilizar como escritorio, servidor o puerta de enlace de red. El entorno interactivo, las herramientas de línea de comandos típicas de Unix y una GUI están presentes como soporte de una solución de escritorio. Dado que el XTS-400 admite múltiples conexiones de red simultáneas con diferentes niveles de sensibilidad, se puede utilizar para reemplazar varias computadoras de escritorio de un solo nivel conectadas a varias redes diferentes.
Para respaldar la funcionalidad del servidor, el XTS-400 se puede implementar en una configuración de montaje en rack , acepta una fuente de alimentación ininterrumpida (UPS), permite múltiples conexiones de red, admite muchos discos duros en un subsistema SCSI (también ahorra bloques de disco usando una implementación de archivos dispersos ). en el sistema de archivos ) y proporciona una herramienta confiable de respaldo/guardado. El software de servidor, como un demonio de Internet, se puede trasladar para ejecutarse en el XTS-400.
Una aplicación popular para sistemas de alta seguridad como el XTS-400 es proteger el flujo de información entre dos redes con diferentes características de seguridad. Hay disponibles varias soluciones de protección de clientes basadas en sistemas XTS.
XTS-400 versión 6.0.E completó una evaluación de Criterios Comunes (CC) en marzo de 2004 en EAL4 aumentada con ALC_FLR.3 (informe de validación CCEVS-VR-04-0058). La versión 6.0.E también cumplió con los perfiles de protección titulados Seguridad Etiquetada Perfil de protección (LSPP) y Perfil de protección de acceso controlado (CAPP), aunque ambos perfiles son superados en funcionalidad y seguridad.
XTS-400 versión 6.1.E completó la evaluación en marzo de 2005 en EAL5 aumentada con ALC_FLR.3 y ATE_IND.3 (informe de validación CCEVS-VR-05-0094), aún conforme con LSPP y CAPP. La evaluación EAL5+ incluyó un análisis de canales encubiertos y análisis y pruebas de vulnerabilidad adicionales por parte de la Agencia de Seguridad Nacional .
XTS-400 versión 6.4.U4 completó la evaluación en julio de 2008 en EAL5 aumentada con ALC_FLR.3 y ATE_IND.3 (informe de validación CCEVS-VR-VID10293-2008), y también sigue cumpliendo con LSPP y CAPP. Al igual que su predecesor, también incluyó análisis de canales encubiertos y análisis y pruebas de vulnerabilidad adicionales por parte de la Agencia de Seguridad Nacional.
Las publicaciones oficiales de todas las evaluaciones del XTS-400 se pueden ver en la Lista de productos validados. [3] [4]
La principal característica de seguridad que diferencia a STOP de la mayoría de los sistemas operativos es la política de sensibilidad obligatoria. El soporte para una política de integridad obligatoria también distingue a STOP de la mayoría de MLS o sistemas confiables. Mientras que una política de sensibilidad se ocupa de prevenir la divulgación no autorizada, una política de integridad se ocupa de prevenir la eliminación o modificación no autorizada (como el daño que podría intentar un virus ). Los usuarios normales (es decir, los que no son de confianza) no tienen la discreción de cambiar los niveles de sensibilidad o integridad de los objetos. Los modelos formales Bell-LaPadula y Biba son la base de estas políticas.
Tanto la política de sensibilidad como la de integridad se aplican a todos los usuarios y a todos los objetos del sistema. STOP proporciona 16 niveles de sensibilidad jerárquica, 64 categorías de sensibilidad no jerárquicas, 8 niveles de integridad jerárquica y 16 categorías de integridad no jerárquicas. La política de confidencialidad obligatoria aplica el modelo de clasificación de confidencialidad de datos del Departamento de Defensa de los Estados Unidos (es decir, "Sin clasificar", "Secreto", "Alto Secreto"), pero se puede configurar para entornos comerciales.
Otras características de seguridad incluyen:
STOP viene en un solo paquete, para que no haya confusión sobre si un paquete en particular tiene todas las características de seguridad presentes. Las políticas obligatorias no se pueden desactivar. La configuración de políticas no requiere un proceso potencialmente complicado de definir grandes conjuntos de dominios y tipos de datos (y las correspondientes reglas de acceso).
Para mantener la confiabilidad del sistema, el XTS-400 debe ser instalado, iniciado y configurado por personal confiable. El sitio también debe proporcionar protección física de los componentes de hardware. El sistema y las actualizaciones de software se envían desde BAE Systems de forma segura.
Para los clientes que los deseen, XTS-400 admite una unidad criptográfica de soporte de misión (MSCU) y tarjetas Fortezza . La MSCU realiza criptografía tipo 1 y ha sido examinada por separado por la Agencia de Seguridad Nacional de los Estados Unidos .
La evaluación CC obliga a utilizar un hardware particular en el XTS-400. Aunque esto impone restricciones sobre las configuraciones de hardware que se pueden utilizar, son posibles varias configuraciones. El XTS-400 utiliza únicamente componentes de PC estándar, comerciales disponibles (COTS), excepto una unidad criptográfica de soporte de misión (MSCU) opcional.
El hardware se basa en una unidad central de procesamiento (CPU ) Intel Xeon ( P4 ) a velocidades de hasta 2,8 GHz, que admite hasta 2 GB de memoria principal.
Se utiliza un bus de interconexión de componentes periféricos (PCI) para tarjetas complementarias como Gigabit Ethernet . Se pueden realizar hasta 16 conexiones Ethernet simultáneas, todas las cuales se pueden configurar en diferentes niveles obligatorios de seguridad e integridad.
Se utiliza un subsistema SCSI para permitir la conexión de varios periféricos de alto rendimiento. Un periférico SCSI es un lector de tarjetas de PC compatible con Fortezza . Se pueden incluir varios adaptadores de host SCSI .
El XTS-400 ha sido precedido por varios ancestros evaluados, todos desarrollados por el mismo grupo: Secure Communications Processor (SCOMP), XTS-200 y XTS-300. Todos los productos predecesores se evaluaron según los estándares de los Criterios de evaluación de sistemas informáticos confiables (TCSEC) (también conocidos como Libro Naranja ). SCOMP completó la evaluación en 1984 al más alto nivel funcional y de garantía entonces vigente: A1. Desde entonces, el producto ha evolucionado desde interfaces y hardware propietarios hasta hardware básico e interfaces Linux.
El XTS-200 fue diseñado como un sistema operativo de propósito general que admite una aplicación y un entorno de usuario similares a Unix . XTS-200 completó la evaluación en 1992 en el nivel B3.
El XTS-300 pasó de un hardware de minicomputadora propietario a un hardware COTS, Intel x86. XTS-300 completó la evaluación en 1994 en el nivel B3. XTS-300 también pasó por varios ciclos de mantenimiento de calificaciones (también conocido como RAMP), muy similar a un ciclo de garantía de continuidad bajo CC, y finalmente terminó con la versión 5.2.E que se evaluó en 2000.
El desarrollo del XTS-400 comenzó en junio de 2000. El principal cambio visible para el cliente fue la conformidad específica con la API de Linux . Aunque las características de seguridad del sistema XTS imponen algunas restricciones a la API y requieren interfaces propietarias adicionales, la conformidad es lo suficientemente cercana como para que la mayoría de las aplicaciones se ejecuten en el XTS sin necesidad de recompilación. Se agregaron o mejoraron algunas características de seguridad en comparación con versiones anteriores del sistema y también se mejoró el rendimiento.
A partir de julio de 2006, se siguen realizando mejoras en la línea de productos XTS.
El 5 de septiembre de 2006, las Oficinas de Patentes de Estados Unidos concedieron a BAE Systems Information Technology, LLC. Patente de Estados Unidos n.° 7.103.914 "Sistema informático confiable".
STOP es un sistema operativo de kernel monolítico (al igual que Linux). Aunque proporciona una API compatible con Linux, STOP no se deriva de Unix ni de ningún sistema similar a Unix . STOP tiene muchas capas, está altamente modularizado y es relativamente compacto y simple. Estas características han facilitado históricamente las evaluaciones de alta seguridad.
STOP se divide en cuatro anillos y cada anillo se subdivide en capas. El anillo más interno tiene privilegios de hardware y las aplicaciones, incluidos los comandos privilegiados, se ejecutan en el más externo. Los tres anillos internos constituyen el núcleo . Se evita que el software en un anillo exterior altere el software en un anillo interior. El kernel es parte del espacio de direcciones de cada proceso y lo necesitan tanto los procesos normales como los privilegiados.
Un núcleo de seguridad ocupa el anillo más interno y privilegiado y aplica todas las políticas obligatorias. Proporciona un entorno de proceso virtual, que aísla un proceso de otro. Realiza toda la programación de bajo nivel, gestión de memoria y manejo de interrupciones. El núcleo de seguridad también proporciona servicios de E/S y un mecanismo de mensajes IPC . Los datos del núcleo de seguridad son globales para el sistema.
El software de servicios de sistema confiables (TSS) se ejecuta en el anillo 1. TSS implementa sistemas de archivos, implementa TCP/IP y aplica la política de control de acceso discrecional a los objetos del sistema de archivos. Los datos de TSS son locales para el proceso dentro del cual se ejecuta.
Los servicios del sistema operativo (OSS) se ejecutan en el anillo 2. OSS proporciona una API similar a Linux para las aplicaciones, además de proporcionar interfaces propietarias adicionales para utilizar las funciones de seguridad del sistema. OSS implementa señales, grupos de procesos y algunos dispositivos de memoria. Los datos de OSS son locales para el proceso dentro del cual se ejecuta.
El software se considera confiable si realiza funciones de las cuales depende el sistema para hacer cumplir la política de seguridad (por ejemplo, el establecimiento de autorización de usuario). Esta determinación se basa en el nivel de integridad y los privilegios. El software que no es de confianza se ejecuta en el nivel de integridad 3, con todas las categorías de integridad o inferior. Algunos procesos requieren privilegios para realizar sus funciones; por ejemplo, el servidor seguro necesita acceder a la base de datos de autenticación de acceso de usuario, mantenida en el nivel alto del sistema , mientras establece una sesión para un usuario en un nivel de sensibilidad más bajo.
El XTS-400 puede proporcionar un alto nivel de seguridad en muchos entornos de aplicaciones, pero se deben hacer concesiones para lograrlo. Las posibles debilidades para algunos clientes pueden incluir: