Un High Assurance Guard (HAG) es un dispositivo informático de seguridad multinivel que se utiliza para la comunicación entre diferentes dominios de seguridad , como NIPRNet y SIPRNet . Un HAG es un ejemplo de una interfaz controlada entre niveles de seguridad. Los HAG se aprueban a través del proceso Common Criteria .
Un HAG ejecuta varias máquinas virtuales o físicas: uno o más subsistemas para la clasificación más baja, uno (o más) subsistemas para la clasificación más alta. El hardware ejecuta un tipo de software de gestión de conocimiento que examina los datos que salen del subsistema de clasificación más alta y rechaza cualquier dato que esté clasificado por encima de la clasificación más baja. En general, un HAG permite que los datos de clasificación más baja que residen en un sistema de clasificación más alta se muevan a otro sistema de clasificación más baja. Por ejemplo, en los EE. UU., permitiría que la información no clasificada que reside en un sistema clasificado secreto se mueva a otro sistema no clasificado. A través de varias reglas y filtros, el HAG garantiza que los datos sean de la clasificación más baja y luego permite la transferencia.
En la capa de aplicación, el HAG ejecuta una "política de integridad obligatoria evaluada" que brinda protección a los archivos, datos y aplicaciones sensibles contra la divulgación involuntaria. En el nivel del sistema operativo, el HAG debe tener un núcleo multinivel que garantice que la información sensible, los procesos y los dispositivos almacenados y en ejecución en el sistema en diferentes niveles de sensibilidad no puedan mezclarse en violación del modelo de seguridad obligatoria del sistema.
Los sistemas se certifican a través de Common Criteria; según la clasificación, el sistema puede requerir Common Criteria Evaluated Assurance Level (EAL) 3 o superior. Por ejemplo, en los EE. UU., se requiere una evaluación de EAL 5 o EAL 5+ (EAL 5 Augmented) o superior para exportar desde un dominio secreto a un dominio no clasificado.
Algunos fabricantes pueden utilizar "Sistema informático confiable" o "Aplicaciones confiables con alta seguridad" como término equivalente a HAG.
La HAG se utiliza principalmente en entornos de correo electrónico y DMS , ya que ciertas organizaciones pueden tener solo acceso a la red no clasificado y necesitan enviar un mensaje a una organización que solo tiene acceso a la red secreto. La HAG les brinda esta capacidad.