XTS-400

이 글은 검증을 위해 추가 인용문이 필요합니다. 신뢰할 수 있는 출처에 인용문을 추가하여 이 기사를 개선하는 데 도움을 주십시오. 조달되지 않은 자재는 제거될 수 있습니다.출처 : 'XTS-400'– 뉴스 · 신문 · 서적 · 학자 · JSTOR (2016년 11월) (이 템플릿 메시지 삭제 방법 및 삭제 시기 확인)

XTS-400

개발자	BAE 시스템즈
동작 상태	현재의
소스 모델	폐쇄 소스
최신 릴리즈	8.2 / ???
플랫폼	x86 x86-64
커널 타입	모노리식 커널
공식 웹사이트	STOP OS 홈페이지

XTS-400은 다단계 보안 컴퓨터 운영 체제입니다.데이터 및 정보 처리에 멀티레벨 스케줄링을 사용하는 것은 멀티사용자 및 멀티태스킹입니다.네트워크 환경에서 동작하며, 기가비트 이더넷과 IPv4 및 IPv6를 모두 지원합니다.

XTS-400은 인텔 x86 하드웨어와 Secure Trusted Operating Program (STOP) 운영체제를 조합한 것입니다.XTS-400은 BAE Systems에 의해 개발되었으며 2003년 12월에 버전 6.0으로 처음 출시되었습니다.

STOP은 높은 보안성을 제공하며 공통 기준 보증 수준 등급이 EAL5 ^[1]이상인 최초의 범용 운영 체제였습니다.XTS-400은 여러 개의 동시 데이터 세트, 사용자 및 네트워크를 서로 다른 감도 수준에서 호스팅하고 신뢰할 수 있습니다.

XTS-400은 일반 작업을 위한 신뢰할 수 없는 환경과 관리 작업 및 권한 있는 애플리케이션을 위한 신뢰할 수 있는 환경을 모두 제공합니다.신뢰할 수 없는 환경은 기존 Unix 환경과 유사합니다.대부분의 Linux 명령 및 도구를 실행하는 Linux 응용 프로그램 및 대부분의 Linux 응용 프로그램과의 바이너리 호환성을 제공하며 재컴파일할 필요가 없습니다.이 신뢰할 수 없는 환경에는 X Window System GUI가 포함되어 있지만 화면상의 모든 창은 동일한 감도 수준이어야 합니다.

신뢰할 수 있는 환경과 다양한 보안 기능을 지원하기 위해 STOP은 애플리케이션에 일련의 자체 API를 제공합니다.이러한 독자적인 API를 사용하는 프로그램을 개발하려면 특별한 소프트웨어 개발 환경(SDE)이 필요합니다.복잡한 Linux/Unix 애플리케이션을 XTS-400에 이식하기 위해서도 SDE가 필요합니다.

이후 STOP 운영 체제의 새로운 버전인 STOP^[2] 7이 출시되었으며, RBAC와 같은 새로운 기능과 성능이 향상되었다는 주장이 제기되었습니다.

사용하다

높은 신뢰성의 MLS 시스템으로서 XTS-400은 크로스 도메인솔루션에 사용할 수 있습니다.이 솔루션에서는 일반적으로 1개 이상의 보안 기능을 제어 방식으로 일시적으로 회피할 수 있는 특권 소프트웨어를 개발해야 합니다.이러한 부품은 XTS-400의 CC 평가에서 제외되지만 인증할 수 있습니다.

XTS-400은 데스크톱, 서버 또는 네트워크 게이트웨이로 사용할 수 있습니다.대화형 환경, 일반적인 Unix 명령줄 도구 및 GUI가 데스크톱 솔루션을 지원합니다.XTS-400은 다양한 감도 수준에서 여러 개의 동시 네트워크 연결을 지원하므로 여러 개의 다른 네트워크에 연결된 여러 단일 수준 데스크톱을 교체하는 데 사용할 수 있습니다.

서버 기능을 지원하기 위해 XTS-400은 랙마운트 구성으로 구현할 수 있으며 무정전 전원장치(UPS)를 수용하여 여러 네트워크 접속을 허용하고 SCSI 서브시스템 상에 다수의 하드디스크를 수용할 수 있습니다(또한 파일시스템 내의 스파스 파일 구현을 사용하여 디스크 블록을 절약할 수 있습니다).신뢰할 수 있는 백업/저장 툴을 제공합니다.인터넷 데몬 등의 서버 소프트웨어는 XTS-400에서 실행되도록 이식할 수 있습니다.

XTS-400과 같이 보증성이 높은 시스템에서는 보안 특성이 다른 두 네트워크 간의 정보 흐름을 보호하는 것이 일반적입니다.XTS 시스템을 기반으로 몇 가지 고객 보호 솔루션을 사용할 수 있습니다.

보안.

XTS-400 버전 6.0E는 2004년 3월에 ALC_FLR.3으로 증강된 EAL4에서 공통기준(CC) 평가를 완료했다(검증보고서 CCEVS-VR-04-0058)버전 6.0또한 기능 및 보증 면에서 두 프로파일이 모두 월등히 우수하지만 라벨이 부착된 보안 보호 프로파일(LSPP) 및 제어된 액세스 보호 프로파일(CAPP)에 준거하고 있습니다.

XTS-400 버전 6.1E는 2005년 3월에 ALC_FLR.3 및 ATE_IND.3(검증보고서 CCEVS-VR-05-0094)으로 증강된 EAL5에서 평가를 완료하였으나 LSPP 및 CAPP에 준거하고 있습니다.EAL5+ 평가에는 비밀 채널의 분석과 국가안보국의 추가 취약성 분석 및 테스트가 포함되었다.

XTS-400 버전 6.4U4는 2008년7월에 ALC_FLR.3 및 ATE_IND.3(검증보고서 CCEVS-VR-VID10293-2008)으로 증강된 EAL5에서 평가를 완료하였으며 LSPP 및 CAP에도 준거하고 있습니다.전작과 마찬가지로 비밀 경로의 분석과 국가안전보장국의 추가 취약성 분석 및 테스트도 포함되었다.

모든 XTS-400 평가의 공식 게시물은 Validated Product List(^[3][4]검증된 제품 목록)에서 확인할 수 있습니다.

대부분의 운영 체제와 STOP을 구별하는 주요 보안 기능은 필수 감도 정책입니다.필수 무결성 정책을 지원하여 대부분의 MLS 또는 신뢰할 수 있는 시스템과 STOP을 구분합니다.감도 정책은 무단 공개를 방지하는 데 사용되는 반면 무결성 정책은 무단 삭제 또는 수정 방지(바이러스로 인해 발생할 수 있는 손상 등)를 방지합니다.일반(즉, 신뢰할 수 없는) 사용자는 개체의 민감도 또는 무결성 수준을 변경할 수 없습니다.Bell-LaPadula 및 Biba 공식 모델이 이러한 정책의 기초가 됩니다.

감도 정책과 무결성 정책은 모두 시스템의 모든 사용자와 모든 개체에 적용됩니다.STOP은 16개의 계층적 감도 수준, 64개의 비계층적 감도 범주, 8개의 계층적 무결성 수준 및 16개의 비계층적 무결성 범주를 제공합니다.의무 민감도 정책은 미국 국방부의 데이터 민감도 분류 모델(즉, "Unclassified", "Secret", "Top Secret")을 적용하지만 상업 환경에 맞게 구성할 수 있습니다.

기타 보안 기능은 다음과 같습니다.

• 시스템 서비스를 사용하거나 정보에 액세스하기 전에 사용자를 고유하게 식별하고 인증하도록 강제하는 식별 및 인증. 사용자의 식별은 액세스 제어 결정 및 감사 메커니즘을 통한 설명 책임에 사용됩니다.
• Unix와 마찬가지로 표시되는 임의 접근컨트롤(DAC). 모든 오브젝트에 접근컨트롤 리스트가 존재하는지 여부.set-id 함수는 제어된 방식으로 지원됩니다.
• 필수 서브타입 정책: 완전한 타입의 적용 또는 도메인 타입의 적용 정책을 지원하는 신뢰할 수 있는 시스템의 일부 기능을 허용합니다.
• 보안 관련 모든 이벤트 및 신뢰할 수 있는 도구의 감사.관리자는 잠재적인 보안 위반을 검출하고 분석할 수 있습니다.
• 신뢰할 수 있는 경로: 사용자는 중요한 조작 중에 신뢰할 수 있는 보안 기능(TSF)과 직접 대화할 수 있습니다.이를 통해 트로이 목마가 로그인 프로세스를 스푸핑하여 사용자의 비밀번호를 도용하는 것을 방지할 수 있습니다.
• 운영체제 코드 및 데이터 파일을 신뢰할 수 없는 사용자 및 프로세스에서 격리하여 특히 말웨어가 손상되거나 시스템에 영향을 미치지 않도록 합니다.
• 프로세스 간의 분리(한 프로세스/사용자가 다른 프로세스의 내부 데이터 및 코드를 조작할 수 없도록 한다)
• 오퍼레이팅시스템에 의한 조사를 회피할 수 없는 액세스에 의한 레퍼런스 모니터 기능
• 필수 무결성 정책을 사용하여 관리자, 운영자 및 사용자 역할의 강력한 분리
• 데이터 소거를 방지하기 위한 잔여 정보(즉, 객체 재사용) 메커니즘
• 시스템 구성, 보안에 중요한 데이터 관리 및 파일 시스템 복구를 위한 신뢰할 수 있는 평가 도구
• 온디맨드 보안 메커니즘의 자가 테스트
• TSF에서 상위 레이어 네트워크 서비스를 제외하여 TSF가 이러한 서비스의 공공연한 취약성에 영향을 받지 않도록 합니다.

STOP은 단일 패키지로만 제공되므로 특정 패키지에 모든 보안 기능이 있는지 여부를 혼동하지 않습니다.필수 정책은 비활성화할 수 없습니다.정책 설정에서는 도메인 및 데이터 유형의 대규모 세트(및 어텐던트액세스 규칙)를 정의하는 복잡한 프로세스가 필요 없습니다.

시스템의 신뢰성을 유지하기 위해서는 신뢰할 수 있는 담당자가 XTS-400을 설치, 부팅 및 구성해야 합니다.사이트에서는 하드웨어 컴포넌트를 물리적으로 보호해야 합니다.시스템 및 소프트웨어 업그레이드는 안전한 방법으로 BAE 시스템에서 출고됩니다.

필요한 고객을 위해 XTS-400은 Mission Support Cryptographic Unit(MSCU) 및 Forteza 카드를 지원합니다.MSCU는 타입 1의 암호화를 실시해, 미국 국가안보국에 의해서 개별적으로 조사를 받고 있습니다.

하드웨어

CC 평가는 XTS-400에서 특정 하드웨어를 사용하도록 강제합니다.이로 인해 사용할 수 있는 하드웨어 구성에 제한이 생기지만 몇 가지 구성이 가능합니다.XTS-400은 옵션인 MSCU(Mission Support Cryptographic Unit)를 제외하고 표준 PC, 상용 기성품(COTS) 컴포넌트만 사용합니다.

하드웨어는 인텔 Xeon(P4) 중앙처리장치(CPU)를 탑재하여 최대 2.8GHz의 속도로 메인 메모리를 지원합니다.

기가비트 이더넷 등의 애드인 카드에는 PCI(Peripheral Component Interconnect) 버스가 사용됩니다.최대 16개의 이더넷 접속을 동시에 확립할 수 있습니다.이러한 접속은 모두 다른 필수 보안 및 무결성 수준으로 설정할 수 있습니다.

SCSI 서브시스템을 사용하여 다수의 고성능 주변기기를 연결할 수 있습니다.SCSI 주변기기 중 하나는 Forteza를 지원하는 PC카드 리더입니다.여러 SCSI 호스트 어댑터를 포함할 수 있습니다.

역사

XTS-400은 이전 평가 대상 제품 중 몇 가지와 동일한 그룹에서 개발되었습니다.시큐어 통신 프로세서(SCOMP), XTS-200, XTS-300.모든 이전 제품은 Trusted Computer System Evaluation Criteria (TCSEC; 신뢰할 수 있는 컴퓨터 시스템 평가 기준) (일명.k.a)에 따라 평가되었습니다.Orange Book) 규격.SCOMP는 1984년에 당시 가장 높은 기능 및 보증 수준인 A1에서 평가를 완료했다.그 후, 이 제품은 독자 사양의 하드웨어와 인터페이스에서 범용 하드웨어와 Linux 인터페이스로 진화했습니다.

XTS-200은 Unix와 유사한 애플리케이션과 사용자 환경을 지원하는 범용 운영체제로 설계되었습니다. XTS-200은 1992년에 B3 레벨에서 평가를 완료했습니다.

XTS-300은 전용 미니 컴퓨터 하드웨어에서 인텔 x86 하드웨어인 COTS로 이행했습니다.XTS-300은 1994년 B3 레벨에서 평가를 완료했습니다.또한 XTS-300은 CC의 보증 연속성 사이클과 매우 유사한 몇 가지 등급 유지 보수 사이클(RAMP)을 거쳤으며 최종적으로 버전 5.2로 종료되었습니다.E는 2000년에 평가되고 있다.

XTS-400의 개발은 2000년 6월에 시작되었습니다.고객이 볼 수 있는 주요 변경 사항은 Linux API에 대한 특정 준수입니다.XTS 시스템의 보안 기능에 따라 API에 약간의 제약이 있고 추가 전용 인터페이스가 필요하지만, 대부분의 애플리케이션이 재컴파일 없이 XTS에서 실행될 수 있을 정도로 호환성이 높습니다.일부 보안 기능은 이전 버전의 시스템에 비해 추가 또는 개선되었으며 성능도 향상되었습니다.

2006년 7월 현재 XTS 제품 라인은 계속 개선되고 있습니다.

2006년 9월 5일 미국 특허청은 BAE Systems Information Technology, LLC를 승인했습니다.미국 특허번호 7,103,914 "신뢰할 수 있는 컴퓨터 시스템"

아키텍처

STOP은 Linux와 마찬가지로 일체형 커널 운영 체제입니다.Linux 호환 API를 제공하지만 STOP은 Unix 또는 Unix 유사 시스템에서 파생되지 않습니다.STOP은 고도로 계층화되어 모듈화되어 있으며 비교적 작고 단순합니다.이러한 특성은 역사적으로 높은 보장성 평가를 촉진해 왔다.

STOP은 4개의 링으로 레이어되고 각 링은 한층 더 레이어로 분할됩니다.가장 안쪽 링에는 하드웨어 특권이 있으며, 가장 바깥쪽에서 특권 명령을 포함한 응용 프로그램이 실행됩니다.안쪽 3개의 고리가 알맹이를 구성합니다.외륜 내의 소프트웨어가 내륜 내의 소프트웨어를 조작하는 것을 방지한다.커널은 모든 프로세스의 주소 공간의 일부이며 일반 프로세스와 권한 있는 프로세스 모두에 필요합니다.

보안 커널은 가장 안쪽의 가장 특권 링을 점유하고 모든 필수 정책을 적용합니다.가상 프로세스 환경을 제공하여 한 프로세스를 다른 프로세스에서 분리합니다.저수준 스케줄링, 메모리 관리 및 인터럽트 처리를 모두 수행합니다.보안 커널은 I/O 서비스와 IPC 메시지 메커니즘도 제공합니다.보안 커널의 데이터는 시스템에 대해 글로벌합니다.

Trusted System Services(TSS; 신뢰할 수 있는 시스템서비스) 소프트웨어는 링 1에서 실행됩니다.TSS는 파일시스템을 구현하고 TCP/IP를 구현하며 파일시스템 오브젝트에 임의 접근컨트롤 정책을 적용합니다.TSS의 데이터는 실행 중인 프로세스에 대해 로컬입니다.

operating system services(OSS; 운영체제서비스)는 링2에서 실행됩니다.OSS는 Linux와 같은 API를 응용 프로그램에 제공할 뿐만 아니라 시스템의 보안 기능을 사용하기 위한 추가 전용 인터페이스를 제공합니다.OSS는 신호, 프로세스 그룹 및 일부 메모리 디바이스를 구현합니다.OSS의 데이터는 OSS가 실행 중인 프로세스에 따라 로컬입니다.

소프트웨어가 보안 정책을 적용하기 위해 시스템이 의존하는 기능(사용자 인가 확립 등)을 수행하는 경우 신뢰할 수 있는 것으로 간주됩니다.이 판정은 무결성 수준과 권한을 기반으로 합니다.신뢰할 수 없는 소프트웨어는 모든 무결성 카테고리에서 무결성 수준 3 이하로 실행됩니다.일부 프로세스에서는 기능을 수행하기 위해 특권이 필요합니다.예를 들어 Secure Server는 사용자 액세스 인증 데이터베이스에 액세스하여 시스템 높이를 유지하면서 사용자의 세션을 낮은 감도 수준으로 확립해야 합니다.

잠재적인 약점

XTS-400은 많은 애플리케이션 환경에서 높은 수준의 보안을 제공할 수 있지만 이를 실현하기 위해 단점이 있습니다.일부 고객의 잠재적인 약점은 다음과 같습니다.

• 엄격한 내부 계층화 및 모듈화 및 추가 보안 검사로 인한 성능 저하
• 즉시 사용할 수 있는 애플리케이션 수준의 기능 감소
• 복잡한 애플리케이션을 실행하기 위해서는 소스 수준의 변경이 필요할 수 있습니다.
• 신뢰할 수 있는 사용자 인터페이스는 GUI를 사용하지 않으며 명령줄 기능이 제한되어 있습니다.
• 하드웨어 선택지가 한정되어 있다.
• 임베디드 환경 또는 실시간 환경에는 적합하지 않습니다.

레퍼런스

외부 링크

• 공식 웹사이트 BAE
• XTS-400 EAL5+ 검증된 제품 페이지
• XTS-400 EAL5+ 아카이브 검증된 제품 페이지
• XTS-400 EAL4+ 아카이브 검증된 제품 페이지
• 미국 특허 7,103,914: 신뢰할 수 있는 컴퓨터 시스템
• 안전한 운영 체제와 필수 보안의 필요성에 관한 문서
• MONTEREY Security Architecture(MYSEA)는 STOP OS를 사용한 해군 대학원 프로젝트입니다.
• XMPP & Cross Domain Collaborative Information Environment (CDCIE)의 개요, 단일 및 크로스 도메인 환경에서의 다국적 정보 공유 (STOP OS 사용)