Múltiples niveles de seguridad múltiples o de un solo nivel ( MSL ) es un medio para separar diferentes niveles de datos mediante el uso de computadoras o máquinas virtuales separadas para cada nivel. Su objetivo es brindar algunos de los beneficios de la seguridad multinivel sin necesidad de cambios especiales en el sistema operativo o las aplicaciones, pero a costa de necesitar hardware adicional.
El impulso para desarrollar sistemas operativos MLS se vio gravemente obstaculizado por la drástica caída de los costos de procesamiento de datos a principios de la década de 1990. Antes de la llegada de la informática de escritorio, los usuarios con requisitos de procesamiento clasificados tenían que gastar mucho dinero en una computadora dedicada o usar una que albergara un sistema operativo MLS. A lo largo de la década de 1990, sin embargo, muchas oficinas en las comunidades de defensa e inteligencia aprovecharon la caída de los costos informáticos para implementar sistemas de escritorio clasificados para operar solo en el nivel de clasificación más alto utilizado en su organización. Estas computadoras de escritorio operaban en modo de sistema alto y estaban conectadas con LAN que transportaban tráfico al mismo nivel que las computadoras.
Las implementaciones de MSL como estas evitaron perfectamente las complejidades de MLS, pero cambiaron la simplicidad técnica por un uso ineficiente del espacio. Debido a que la mayoría de los usuarios en entornos clasificados también necesitaban sistemas no clasificados, los usuarios a menudo tenían al menos dos computadoras y, a veces, más (una para procesamiento no clasificado y otra para cada nivel de clasificación procesado). Además, cada computadora estaba conectada a su propia LAN en el nivel de clasificación apropiado, lo que significa que se incorporaron múltiples plantas de cableado dedicadas (con un costo considerable en términos de instalación y mantenimiento).
La deficiencia obvia de MSL (en comparación con MLS) es que no admite la mezcla de varios niveles de clasificación de ninguna manera. Por ejemplo, la noción de concatenar un flujo de datos SECRET (tomado de un archivo SECRET) con un flujo de datos TOP SECRET (leído de un archivo TOP SECRET) y dirigir el flujo de datos TOP SECRET resultante a un archivo TOP SECRET no es compatible. En esencia, un sistema MSL se puede considerar como un conjunto de sistemas informáticos paralelos (y coubicados), cada uno de los cuales está restringido a operar en un único nivel de seguridad. De hecho, es posible que los sistemas operativos individuales de MSL ni siquiera entiendan el concepto de niveles de seguridad, ya que funcionan como sistemas de un solo nivel. Por ejemplo, mientras que uno de un conjunto de MSL OS puede configurarse para agregar la cadena de caracteres "SECRETO" a toda la salida,su salida.
Operar a través de dos o más niveles de seguridad, entonces, debe usar métodos ajenos al ámbito de los "sistemas operativos" de MSL per se, y que necesitan intervención humana, denominada "revisión manual". Por ejemplo, se puede proporcionar un monitor independiente ( no en el sentido del término de Brinch Hansen ) para admitir la migración de datos entre varios pares de MSL ( por ejemplo ,, copiando un archivo de datos del par SIN CLASIFICAR al par SECRETO). Aunque no hay requisitos estrictos por medio de la legislación federal que aborden específicamente la preocupación, sería apropiado que dicho monitor fuera bastante pequeño, diseñado específicamente y que soportara solo una pequeña cantidad de operaciones definidas muy rígidamente, como la importación y exportación de archivos. , configurar etiquetas de salida y otras tareas de mantenimiento/administración que requieren el manejo de todos los homólogos MSL coubicados como una unidad en lugar de sistemas individuales de un solo nivel. También puede ser apropiado utilizar una arquitectura de software de hipervisor , como VMware, para proporcionar un conjunto de "SO" de MSL del mismo nivel en forma de entornos distintos y virtualizados compatibles con un sistema operativo subyacente al que solo pueden acceder los administradores autorizados para todos los datos administrados por cualquiera de los pares. Desde la perspectiva de los usuarios, cada par presentaría un inicio de sesión o una sesión de administrador de pantalla X lógicamente indistinguible del entorno de usuario del "SO de mantenimiento" subyacente.