Information sharing across security domains

Informasjonssikkerhet er ansett som en av de viktigste teknologiske utfordringene for å realisere Nettverksbasert Forsvar. Spesielt byr utveksling av informasjon mellom sikkerhetsdomener på store sikkerhetsutfordringer, særlig hvis sikkerhetsspennet mellom domenene er stort. Denne rapporten vurderer ulike metoder for deling av informasjon mellom sikkerhetsdomener, med fokus på å oppnå tilstrekkelig tillit til kontrollen av informasjonsflyten. Dette inkluderer enveis dioder, manuelle review-prosesser, sikkerhetsfiltre og guard-løsninger. I tillegg diskuteres løsninger for å gi aksess til informasjon i flere sikkerhetsdomener, uten nødvendigvis å koble dem sammen. Guard-løsninger betraktes som den mest generiske tilnærmingen. Disse løsningene gir nødvendig fleksibilitet til å dekke de fleste brukstilfeller og baserer sine avgjørelser på blant annet sikkerhetsmerker knyttet til informasjonen. Korrektheten til sikkerhetsmerker er da kritisk for kontrollen av informasjonsflyten mellom sikkerhetsdomener. Det å forsikre seg om at korrekt sikkerhetsmerke blir påført informasjonen i første omgang er et vanskelig problem. Etter påføring kan imidlertid kryptografiske metoder brukes for å sikre autentisiteten av både sikkerhetsmerker og informasjon. I rapporten drøftes ulike tilnærminger for å sikre korrektheten av sikkerhetsgraderingen og andre sikkerhetsattributter som skal inngå i et sikkerhetsmerke. Flere risikoreduserende tiltak som ytterligere kan øke sikkerheten når informasjon flyttes mellom sikkerhetsdomener, blir også identifisert. Hvilken løsning som bør brukes, avhenger av det gitte scenarioet, det operasjonelle miljøet og kravene til informasjonsutveksling. Hvis det ikke er krav om å utveksle informasjon mellom domener, bør isolasjon av domener fortsatt være utgangspunktet. Dersom det kun kreves enveis informasjonsflyt fra lavt til høyt domene, bør en diodeløsning brukes. Der toveis informasjonsutveksling er nødvendig bør en guard-løsning brukes. Sikkerhetsfiltre kan også brukes for toveis informasjonsutveksling i scenarioer med lav risiko, men en guard gir betydelig bedre beskyttelse mot målrettet skadevare hvis sikkerhetsmerker er korrekte og pålitelige. I mange scenarioer kan det imidlertid være en betydelig utfordring å etablere nødvendig tillit til sikkerhetsmerker. Aksessløsninger som gir brukeren tilgang til informasjon fra flere sikkerhetsdomener, har den fordelen at informasjonen ikke flyttes mellom domenene og derfor ikke trenger å merkes. Det å ha mange terminaler knyttet opp mot flere domener samtidig er imidlertid også en sikkerhetsrisiko, da de kan kompromitteres og brukes til å omgå sikkerhetsmekanismene som skiller domenene. En slik løsning kan være aktuell for noen få brukere, men generelt vil en sentralisert løsning være nødvendig. Denne rapporten inneholder også to appendiks:Appendiks A gir en oversikt over litteratur og eksisterende guard- og sikkerhetsfilterløsninger samt løsninger for merking av informasjon. Det er mange slike løsninger tilgjengelig, med mye ulik funksjonalitet. De fleste av disse løsningene er basert på bruk av operativsystem med begrenset tillitsnivå (evaluert til EAL 4), noe som indikerer at sertifisering til høyere tillitsnivå ikke er realistisk. Appendiks B gir en oversikt over konsepter, teknologier og produkter som potensielt kan brukes til å bygge løsninger for informasjonsutveksling mellom sikkerhetsdomener. Dette inkluderer oversikt over operativsystem med høyt tillitsnivå, maskinvarebaserte sikkerhetsmekanismer på standard hyllevare samt attributtbasert tilgangskontroll.