Osan 2 datalinkit siirtävät viestejä. Luokittelu- ja julkaistavuuskoneisto päättää, mitkä viestit liikkuvat kenelle. STANAG 4774 määrittää luottamuksellisuusmerkintöjen muodon; STANAG 4778 määrittää kryptografisen sidonnan, joka estää merkintöjen irrottamisen niiden merkitsemästä datasta. Yhdessä ne muodostavat kaiken NATO-koalition datanjaon teknisen perustan. Alusta, joka toteuttaa ne oikein, otetaan käyttöön luokitelluissa verkoissa; alusta, joka käsittelee niitä käyttöliittymän peitteenä, epäonnistuu akkreditoinnissa ensimmäisellä arviointikierroksella. Osa 3 käsittelee toteutuksen kurinalaisuutta.

Pilaritason kehystys on artikkelissa Täydellinen opas NATO-yhteentoimivuuteen; laajemmat koalition jakamismallit artikkelissa Koalition datanjaon haasteet; RBAC-perusteet artikkelissa Roolipohjainen pääsynhallinta puolustuksen C2-järjestelmissä; fuusiopuolen propagointi artikkelissa Puolustuksen fuusioputken rakentaminen, osa 3.

Vaihe 1: Merkinnät ovat rakenteista dataa, eivät merkkijonoja

Yksittäisistä toteutusvirheistä yleisin on luokittelun käsittely datatietueisiin liitettynä merkkijonokenttänä — "SECRET", "NATO RESTRICTED". STANAG 4774 -malli on rikkaampi ja rakenteellisesti erilainen.

STANAG 4774 -luottamuksellisuusmerkintä on rakenteinen objekti, joka sisältää:

  • Käytäntötunniste. Luokittelukäytäntö, jonka mukaan merkintä määritettiin (NATO, kansallinen, FVEY, EU). Käytäntö määrittää sallitut luokittelutasot ja lokerot.
  • Luokittelutaso. Järjestetty arvo käytännön sisällä — NATO: UNCLASSIFIED, RESTRICTED, CONFIDENTIAL, SECRET, COSMIC TOP SECRET.
  • Lokerot. Nimetyt rajoitemerkinnät, jotka rajoittavat pääsyä — operatiivisesti merkittäviä, ohjelmakohtaisia, usein itsessään luokiteltuja.
  • Julkaistavuusmerkinnät. Mitkä valtiot tai organisaatiot voivat vastaanottaa merkityn datan — FVEY, REL TO NATO, REL TO tietyt valtiot.
  • Rajoitemerkinnät. Lisärajoitukset (NOFORN, ORCON, muut käytännöstä riippuen).
  • Tuottaja. Tuottava taho auditointia ja vastuullisuutta varten.
  • Luonnin aikaleima. Milloin merkintä määritettiin.

Toteuta nämä rakenteisina tyyppeinä validoinnin kanssa. Merkkijono "SECRET REL FVEY", joka jäsennetään ajonaikana merkkijonotäsmäyksellä, on suunnittelumalli, joka epäonnistuu akkreditoinnissa. Rakenteiset tyypit, jotka validoidaan skeeman mukaan jokaisella rajalla, ovat malli, joka läpäisee.

Vaihe 2: STANAG 4778 -kryptografinen sidonta

STANAG 4778 määrittää kryptografisen sidonnan, joka varmistaa, ettei merkintää voida irrottaa sen merkitsemästä datasta. Tuottaja laskee sidonnan ja jokainen kuluttaja todentaa sen; ilman todennusta merkintä voidaan poistaa, vaihtaa tai peukaloida.

Toteutusmalli:

Laske sidonta tuottavassa palvelussa. Kun sovitin, fuusiopalvelu tai muu komponentti tuottaa dataa, se laskee sidonnan (merkintä, data) -parin yli allekirjoitusavaimellaan. Avain on ankkuroitu laitteistopohjaiseen luottamusvarastoon; allekirjoitustoiminto kirjataan lokiin.

Todenna jokaisella luvulla. Kuluttajat (COP, jatkokäsittelyn analytiikka, ulkoiset API-yhdyskäytävät) todentavat sidonnan ennen datan propagointia. Todennusvirheet kirjataan lokiin näkyvästi ja data hylätään — ei hiljaisesti alenneta.

Säilytä sidonta sarjallistusten välillä. Kun data virtaa viestiväylään, tietokantaan ja siirtotietä pitkin koalitiokumppanille, sidonta liikkuu mukana. Tallennusmuodot mukautuvat sidontaan; viestintäprotokollat kantavat sitä. "Mukavuuden" vuoksi tapahtuva poisto on juuri sellainen oikotie, jota akkreditoinnin arvioijat erityisesti etsivät.

Attribuuttikohtainen sidonta tarvittaessa. Joillakin dataobjekteilla on attribuutteja eri luokitteluilla. Maalilla voi olla UNCLASSIFIED-sijainti mutta SECRET-tunniste. STANAG 4778 mukautuu attribuuttikohtaiseen sidontaan; alusta toteuttaa sen siellä, missä luokittelumalli sitä edellyttää.

Vaihe 3: Luokittelun propagointi fuusion ja johtamisen läpi

Puolustusalustat tuottavat johdettua dataa. Maali johdetaan useista lähdehavainnoista; fuusioitu tuote johdetaan useista tiedusteluraporteista. Johdetun datan luokittelu lasketaan lähteiden luokittelusta — sitä ei määritetä itsenäisesti.

Propagointisäännöt (kertaus fuusiosarjasta ja pilarista):

  • Luokittelutaso: enimmäisarvo. SECRET- ja UNCLASSIFIED-lähteistä johdettu tieto on SECRET.
  • Lokerot: yhdiste. Lokero-A- ja lokero-B-lähteistä johdettu tieto kantaa molemmat lokerot.
  • Julkaistavuus: leikkaus. Pelkästään FVEY- ja pelkästään NATO-lähteistä johdettu tieto on julkaistavissa vain leikkaukselle.
  • Rajoitemerkinnät: rajoittavin. NOFORN missä tahansa lähteessä tekee johdetusta tiedosta NOFORN.

Säännöt ovat mekaanisia. Toteuta ne kirjastona, jota jokainen fuusiopalvelu, sovitin ja johtamispiste kutsuu. Palvelukohtainen käsin tehty propagointi ajautuu ja tuottaa epäjohdonmukaisuuksia, jotka akkreditoinnin arvioijat huomaavat. Jaettu, koodista generoitu kirjasto, jota jokainen komponentti käyttää, on kurinalaisuus, joka skaalautuu.

Vaihe 4: Käytäntömoottori

Datan merkinnät ovat välttämättömiä mutta eivät riittäviä. Pääsypäätökset edellyttävät käytäntömoottoria, joka tuntee käyttäjän turvallisuusselvityksen, kansalaisuuden, roolin sekä pyydetyn datan luokittelun, lokerot ja julkaistavuuden. Jokainen alustaan kohdistuva kysely kulkee tämän moottorin läpi.

Toteutusmalli:

Käytäntö koodina. Julkaistavuussäännöt ilmaistuna versioidulla käytäntökielellä. Open Policy Agentin Rego on puolustettavin oletus; vaihtoehtoja kuten Cedar tai käsin tehdyt DSL:t on olemassa, mutta ne tuovat ylläpitokuormaa. Käytäntömuutokset kulkevat koodikatselmoinnin kautta, eivät konfiguraatiomuutoksina.

Päätösten arviointi kyselyn rajalla. Kun kuluttaja tekee kyselyn alustaan, käytäntömoottori arvioi, mitkä tietueet ovat näkyviä ja mitkä attribuutit ovat näkyviä tietuetta kohti. Tulos on suodatettu näkymä, joka lasketaan kyselyaikana. Pelkkä käyttöliittymäsuodatus — koko datan lähettäminen asiakkaalle ja sen piilottaminen CSS:llä tai JavaScriptillä — on Common Criteria -rikkomus ja välitön akkreditoinnin epäonnistuminen.

Päätöskohtainen auditointiloki. Jokainen pääsypäätös — käyttäjä, pyydetty data, luokittelu, tulos — kirjataan muuttumattomasti lokiin. Auditointiloki on todistepohja jälkikäteisarvioinnille, forensiikka-analyysille ja akkreditoinnin määräaikaisarvioinnille.

Suorituskykybudjetit. Käytäntömoottori sijaitsee COP:n kriittisellä polulla. Päätöksen viiveen on oltava alle millisekunnin. Välimuististrategiat, esikäännetyt käytäntöpaketit, käyttäjäkohtaiset käytäntösormenjäljet — kaikilla on merkitystä. Naiivi käytäntömoottori on yleisin syy COP:n hitauteen luokitelluissa käyttöönotoissa.

Attribuuttikohtaiset päätökset tarvittaessa. Moottori arvioi paitsi sen, onko tietue näkyvä, myös sen, mitkä sen attribuuteista ovat. Maali voi olla koalitiokäyttäjälle näkyvä siten, että sijainti on julkaistu mutta tunniste pidätetty.

Keskeinen oivallus: Käytäntömoottori on alustan portti luokittelun vuototapahtumia vastaan. Ohjelmat, jotka rakentavat sen ensiluokkaisena komponenttina, läpäisevät akkreditoinnin kuukausissa. Ohjelmat, jotka käsittelevät sitä käyttöliittymäominaisuutena, kohtaavat monivuotisen uudelleentyön ja hankintaseuraamukset, kun vuototapahtuma tulee esiin — ja se tulee esiin.

Vaihe 5: Enklaavien väliset datavirrat

Puolustusverkot eivät ole yksittäisiä enklaaveja. Alustan, joka toimii NATO RESTRICTED-, NATO SECRET- ja kansallisesti luokitelluissa verkoissa, on siirrettävä asianmukaista dataa niiden välillä ja estettävä samalla epäasianmukaiset virrat.

Mallit:

Enklaavikohtaiset alustainstanssit. Jokainen luokiteltu enklaavi ajaa omaa alustainstanssiaan omalla datavarastollaan, käytäntömoottorillaan ja auditointilokillaan. Instanssit on fyysisesti erotettu; alusta ei oleta niiden jakavan tilaa.

Toimialojen väliset sillat. Siellä missä data liikkuu laillisesti enklaavien välillä — UNCLASSIFIED-tason AIS virtaa ylös SECRET-enklaaviin, julkaistavuuden osalta puhdistettu tuote virtaa alas koalitioenklaaviin — siirto kulkee akkreditoidun toimialojen välisen ratkaisun kautta. Silta valvoo luokittelusääntöjä rajalla.

Yksisuuntaiset diodit tarvittaessa. Korkealta-matalalle-datasiirroissa yksisuuntaiset datadiodit valvovat suuntaa verkkokerroksessa. Alusta integroituu diodi-infrastruktuuriin sen sijaan, että toteuttaisi omansa.

Manuaalinen julkaisu siellä, minne automaatio ei yllä. Joitakin luokittelupäätöksiä ei voida turvallisesti automatisoida. HUMINT-tiedon tai lokeroidun datan tuotekohtainen julkaisu voi edellyttää ihmisen hyväksyntää. Alusta tuo ehdokkaan esiin, tallentaa ihmisen päätöksen attribuutiotietoineen ja propagoi hyväksytyn julkaisun auditoinnin kanssa.

Yksityiskohtainen koalition datanjaon tekninen käsittely on artikkelissa Koalition datanjaon haasteet.

Vaihe 6: Koalitiokohtainen julkaistavuus

Eri koalitioilla on erilaiset julkaistavuussäännöt. Alustan, joka haluaa ottaa käyttöön useissa koalitiokonteksteissa, on mukauduttava seuraaviin:

NATO-julkaistavuus. NATO-luokittelutasojen vakiojoukko ja REL TO NATO -merkintä. Useimmat operatiiviset alustat tähtäävät tähän perustasoon ensin.

Pelkkä FVEY. Five Eyes (AUS, CAN, NZ, UK, US) -tiedustelunjakojärjestely käyttää luokittelukäytäntöjä, jotka eivät kartoitu siististi NATO-tasoille. FVEY-konteksteihin tähtäävä alusta toteuttaa FVEY-käytännön NATO:n rinnalle.

Kahdenväliset järjestelyt. Monilla alustoilla on kahdenvälisiä datanjakojärjestelyjä tiettyjen kumppaneiden kanssa. Ukrainalla, Israelilla, Korealla ja Japanilla on kaikilla ohjelmakohtaisia järjestelyjä. Julkaistavuusmoottori mukautuu näihin tiettyinä REL TO -merkintöinä sekä kumppanikohtaisena lokeropääsynä.

EU-julkaistavuus. EU-rahoitteisilla ohjelmilla on oma luokittelukäytäntönsä (EU CONFIDENTIAL, EU SECRET), joka ei taivu NATO-tasoille. EDF-rahoitteisten alustojen on mukauduttava sekä NATO- että EU-luokitteluun.

Kurinalaisuus: toteuta moni­käytäntöinen luokittelumoottori, ei yksittäistä käytäntöä. Moottori tuntee NATO-, FVEY-, EU- ja kahdenväliset käytännöt nimettyinä entiteetteinä; data kantaa mukanaan käytännön, jonka mukaan se luokiteltiin; käytäntömoottori arvioi pääsyn käyttäjän turvallisuusselvitystä vasten kunkin sovellettavan käytännön mukaan.

Vaihe 7: Akkreditointitodisteiden tuottaminen

Akkreditoinnin arvioijat eivät ota alustan sanaa mistään tästä. He pyytävät todisteita. Todisteet syntyvät sivutuotteena oikein suunnitellusta luokittelukoneistosta.

Todisteet, joita akkreditoinnin arvioijat pitävät uskottavina:

  • Koodiviittaukset, jotka osoittavat, missä luokittelun propagointisäännöt on toteutettu, ja jotka mahdollistavat jäljitettävyyden käytännöstä koodiin.
  • Auditointilokin näytteet, jotka osoittavat päätöskohtaisen lokituksen kaikissa pääsyskenaarioissa.
  • Testitulokset alustan automatisoidusta testikokonaisuudesta, joka kattaa luokittelun propagoinnin, julkaistavuussuodatuksen ja sidonnan todennuksen vihamielisillä syötteillä.
  • Operatiivisen käyttöönoton todisteet — kuukausien tai vuosien tuotantokäyttö, jossa on dokumentoitu poikkeamiin reagointi, luokittelun vuodon esto ja akkreditoinnin määräaikaisarviointien läpäisyt.
  • Toimialojen väliset siirtolokit, jotka osoittavat, että liike enklaavien välillä oli perusteltua, hyväksyttyä ja tallennettua.
  • Tunkeutumistestausraportit red team -harjoituksista, jotka kohdistuvat erityisesti luokittelukoneistoon.

DevSecOps-kurinalaisuus, joka tuottaa nämä todisteet automaattisesti, käsitellään artikkelissa DevSecOps puolustusputkille. Tukevat akkreditointikehykset (ISO 27001, AQAP-2110, NIST) käsitellään artikkeleissa ISO 27001 puolustusohjelmistoissa ja NATO AQAP-2110 ohjelmistotoimittajille.

Mitä seuraavaksi

Osa 3 on toteuttanut luokittelukoneiston. STANAG 4774 -merkinnät rakenteisena datana, STANAG 4778 -sidonta todennettuna jokaisella rajalla, propagointi fuusion ja johtamisen läpi, käytäntömoottori valvomassa julkaistavuutta kyselyaikana, enklaavien väliset virrat mukautettuina, monikoalition julkaistavuus tuettuna, todisteiden tuottaminen sisäänrakennettuna.

Osa 4 päättää sarjan validointi- ja hankintakurinalaisuuksiin: vaatimustenmukaisuustestaus, CWIX-valmistelu, akkreditointipolku ja pitkän aikavälin ylläpitokurinalaisuus, joka pitää alustan käyttöönotettavissa monivuotisten operatiivisten elinkaarten ajan.