dc.description.abstract | Security is recognized as one of the main technological challenges in realizing the potential of
Network Based Defence. In particular, cross-domain information sharing is subject to significant
security concerns, especially when there is a larger security span between the domains.
This report considers alternative approaches to enable sharing of information between security
domains, with a focus on providing the necessary assurance in the information flow control. This
includes transfer mechanisms such as one-way diodes, manual review, security filters, and
guards, as well as access solutions providing users access to multiple security domains.
Guards using security labels as part of the basis for their release decisions are found to provide
the most general solution for two-way automatic information transfer between domains. The
correctness of the security labels is then critical for secure information flow control. While
cryptographic mechanisms can be used to ensure the authenticity of the labels, a more
fundamental problem is how to ensure that the security labels are correct in the first place. The
report considers different approaches to provide sufficient confidence in the correctness of
security labels, using content and origin as the two bases for establishing the security properties
(e.g., confidentiality classification) of a data object. Several mitigations are also identified to
further enhance security in cross-domain transfer scenarios.
The specific information exchange requirements of a given scenario, as well as the operational
environment, provide the basis for choosing among the different cross-domain solutions
presented. Domain isolation should still be the default unless information exchange requirements
justify a cross-domain interconnection. Where a one-way information flow from Low to High is
sufficient, a one-way diode is preferable. Where two-way transfer of information objects between
security domains is required, a label based guard should generally be used although the use of a
simpler security filter may be justified in lower risk scenarios. Provided that security labels can be
trusted to be correct, a label based guard can provide significantly better protection against data
exfiltration attempted by a human insider or targeted malware being present on the High side,
than a simpler security filter. However, in many scenarios, it can be a significant challenge to
assure the trustworthiness of security labels. Access solutions, providing access to multiple
security domains from a single machine, have the advantage of limiting actual information
transfer between security domains and do not require labelling of information. However, a
centralized approach seems to be required in the case of many users.
The report also contains two appendixes:Appendix A provides a survey of existing solutions and
literature with regard to guards, security filters, and security labelling. While many solutions are
available providing a wide range of functionality, most solutions are found to be based on
operating systems providing limited assurance (evaluated at EAL4), indicating that they are not
certifiable at higher assurance levels. Appendix B provides an overview of concepts,
technologies, and products that can potentially be used in order to build cross-domain solutions,
including a survey of high assurance operating systems, hardware security mechanisms available
on commodity platforms, and Attribute Based Access Control. | en_GB |
dc.description.abstract | Informasjonssikkerhet er ansett som en av de viktigste teknologiske utfordringene for å realisere
Nettverksbasert Forsvar. Spesielt byr utveksling av informasjon mellom sikkerhetsdomener på store
sikkerhetsutfordringer, særlig hvis sikkerhetsspennet mellom domenene er stort.
Denne rapporten vurderer ulike metoder for deling av informasjon mellom sikkerhetsdomener, med fokus
på å oppnå tilstrekkelig tillit til kontrollen av informasjonsflyten. Dette inkluderer enveis dioder, manuelle
review-prosesser, sikkerhetsfiltre og guard-løsninger. I tillegg diskuteres løsninger for å gi aksess til
informasjon i flere sikkerhetsdomener, uten nødvendigvis å koble dem sammen.
Guard-løsninger betraktes som den mest generiske tilnærmingen. Disse løsningene gir nødvendig
fleksibilitet til å dekke de fleste brukstilfeller og baserer sine avgjørelser på blant annet sikkerhetsmerker
knyttet til informasjonen. Korrektheten til sikkerhetsmerker er da kritisk for kontrollen av
informasjonsflyten mellom sikkerhetsdomener. Det å forsikre seg om at korrekt sikkerhetsmerke blir påført
informasjonen i første omgang er et vanskelig problem. Etter påføring kan imidlertid kryptografiske
metoder brukes for å sikre autentisiteten av både sikkerhetsmerker og informasjon. I rapporten drøftes ulike
tilnærminger for å sikre korrektheten av sikkerhetsgraderingen og andre sikkerhetsattributter som skal
inngå i et sikkerhetsmerke. Flere risikoreduserende tiltak som ytterligere kan øke sikkerheten når
informasjon flyttes mellom sikkerhetsdomener, blir også identifisert.
Hvilken løsning som bør brukes, avhenger av det gitte scenarioet, det operasjonelle miljøet og kravene til
informasjonsutveksling. Hvis det ikke er krav om å utveksle informasjon mellom domener, bør isolasjon av
domener fortsatt være utgangspunktet. Dersom det kun kreves enveis informasjonsflyt fra lavt til høyt
domene, bør en diodeløsning brukes. Der toveis informasjonsutveksling er nødvendig bør en guard-løsning
brukes. Sikkerhetsfiltre kan også brukes for toveis informasjonsutveksling i scenarioer med lav risiko, men
en guard gir betydelig bedre beskyttelse mot målrettet skadevare hvis sikkerhetsmerker er korrekte og
pålitelige. I mange scenarioer kan det imidlertid være en betydelig utfordring å etablere nødvendig tillit til
sikkerhetsmerker. Aksessløsninger som gir brukeren tilgang til informasjon fra flere sikkerhetsdomener,
har den fordelen at informasjonen ikke flyttes mellom domenene og derfor ikke trenger å merkes. Det å ha
mange terminaler knyttet opp mot flere domener samtidig er imidlertid også en sikkerhetsrisiko, da de kan
kompromitteres og brukes til å omgå sikkerhetsmekanismene som skiller domenene. En slik løsning kan
være aktuell for noen få brukere, men generelt vil en sentralisert løsning være nødvendig.
Denne rapporten inneholder også to appendiks:Appendiks A gir en oversikt over litteratur og eksisterende
guard- og sikkerhetsfilterløsninger samt løsninger for merking av informasjon. Det er mange slike løsninger
tilgjengelig, med mye ulik funksjonalitet. De fleste av disse løsningene er basert på bruk av operativsystem
med begrenset tillitsnivå (evaluert til EAL 4), noe som indikerer at sertifisering til høyere tillitsnivå ikke er
realistisk. Appendiks B gir en oversikt over konsepter, teknologier og produkter som potensielt kan brukes
til å bygge løsninger for informasjonsutveksling mellom sikkerhetsdomener. Dette inkluderer oversikt over
operativsystem med høyt tillitsnivå, maskinvarebaserte sikkerhetsmekanismer på standard hyllevare samt
attributtbasert tilgangskontroll. | en_GB |