История создания датчика движения: Первый прибор для обнаружения движения был изобретен немецким физиком Генрихом Герцем...
Особенности сооружения опор в сложных условиях: Сооружение ВЛ в районах с суровыми климатическими и тяжелыми геологическими условиями...
Топ:
Эволюция кровеносной системы позвоночных животных: Биологическая эволюция – необратимый процесс исторического развития живой природы...
Техника безопасности при работе на пароконвектомате: К обслуживанию пароконвектомата допускаются лица, прошедшие технический минимум по эксплуатации оборудования...
Интересное:
Что нужно делать при лейкемии: Прежде всего, необходимо выяснить, не страдаете ли вы каким-либо душевным недугом...
Финансовый рынок и его значение в управлении денежными потоками на современном этапе: любому предприятию для расширения производства и увеличения прибыли нужны...
Искусственное повышение поверхности территории: Варианты искусственного повышения поверхности территории необходимо выбирать на основе анализа следующих характеристик защищаемой территории...
Дисциплины:
2020-01-13 | 180 |
5.00
из
|
Заказать работу |
|
|
Основные характеристики
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно». Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Виды защищаемой информации:
· Коммерческая тайна
· Конфиденциальная информация
· Персональные данные
· Государственная тайна
Сертифицированный релиз операционной системы функционирует на современных серверах и рабочих станциях с процессорной архитектурой х86-64 и имеет кодовое наименование «Смоленск».
Помимо базовых средств операционной системы в ее состав включены:
· защищенный графический рабочий стол Fly;
· защищенная реляционная СУБД PostgreSQL;
· защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
· защищенный web-сервер Apache и браузер Firefox;
· средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
· интегрированный пакет офисных приложений OpenOffice,
· а также большое количество других приложений.
Ключевой особенностью Astra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.
|
История развития
Г: Сертификация ОС
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2012 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2010 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Г: Мобильная версия
Разработчик семейства защищенных ОС Astra Linux - компания «НПО РусБИТех» - создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
Г: Astra Linux Common Edition
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше "совершенно секретно". В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
|
Особенности версии Special Edition
Другие функции
· Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
· Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
· Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
· Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
· Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
· Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1
Аттестационные требования ФСТЭК
Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.
|
Семь классов защищённости от НСД собраны в четыре группы, характеризующиеся разными методами защиты.
Аналогичным образом обстоят дела и с определением отсутствия в системе НДВ.
Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).
Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
Руководство по КСЗ.
Данный документ адресован администратору защиты и должен содержать:
описание контролируемых функций;
руководство по генерации КСЗ;
описание старта СВТ и процедур проверки правильности старта.
Тестовая документация.
Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ и результатов тестирования.
Гарантии проектирования.
На начальном этапе проектирования СВТ должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД.
Регистрация.
КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:
·использование идентификационного и аутентификационного механизма;
|
·запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
·создание и уничтожение объекта;
·действия по изменению ПРД.
·Для каждого из этих событий должна регистрироваться следующая информация:
·дата и время;
·субъект, осуществляющий регистрируемое действие;
·тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
·успешно ли осуществилось событие (обслужен запрос на доступ или нет).
КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.
Изоляция модулей.
При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.
Маркировка документов.
При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).
Контроль модификации.
При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т.е. контроль изменений в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Должно обеспечиваться соответствие между документацией и текстами программ. Должна осуществляться сравниваемость генерируемых версий. Оригиналы программ должны быть защищены.
Контроль дистрибуции.
Должен осуществляться контроль точности копирования в СВТ при изготовлении копий с образца. Изготовляемая копия должна гарантированно повторять образец.
Надежное восстановление
Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.
Подход второй, процессный
Вместе с архитектурным мы параллельно используем процессный подход: постоянно выявляем и собираем сведения об уязвимостях, прорабатываем эту информацию и передаем результаты в банк данных уязвимостей ФСТЭК России. Так мы готовим и выпускаем плановые и оперативные обновлений ОС. Ищем уязвимости как в открытых источниках, так и самостоятельно — особенно в тех частях ПО, которые полностью разрабатываем сами. Много информации мы получаем от партнеров, занимающихся аналогичными исследованиями — тестированием и изучением безопасности операционных систем.
Организация работ по выявлению уязвимостей
Исследования безопасности в первую очередь ведутся в отношении компонентов, которые входят в состав ОС Astra Linux Special Edition («Смоленск»). Вместе с тем уязвимости закрываются также и для версии Astra Linux Common Edition, как в рамках обновлений безопасности, так и в процессе планового обновления компонентов системы.
|
Как только мы получаем сведения об уязвимости, проверяем, насколько она актуальна для наших пользователей. Если уязвимость не является критической, то описываем ее в ближайшем выпуске бюллетеня безопасности на официальном сайте. Уведомления об выпуске бюллетеней отправляются пользователю по электронной̆ почте, адрес которой̆ обязательно указывается в лицензионном договоре. Для критических уязвимостей в течение нескольких дней выпускаются методические указания: каким образом можно устранить ее своими силами, не дожидаясь кумулятивного обновления безопасности. В списке бюллетеней безопасности они отмечены буквами MD (мethodical direction).
Здесь хорошим примером является уязвимость, информация о которой была опубликована здесь же, на Хабре. К слову, автор данной статьи с нами заранее не связывался и предварительно не уведомлял о том, что им выявлена данная уязвимость и готовится материал. В качестве иллюстрации мы решили привести тайминг работ над уязвимостью с момента размещения текста на ресурсе.
Итак, ночью, в 4 утра, 9 июля 2019 года была опубликована сама статья, о том, что при манипуляциях с размером экрана виртуальной машины можно увидеть окна под блокировщиком экрана.
Стоит отметить, что для эксплуатации продемонстрированной на видео уязвимости нужно совершить ряд дополнительных действий: необходимо сначала установить на виртуальную машину Astra Linux, а затем и на гостевую машину дополнительные пакеты, которые отвечают за изменение разрешения виртуальной машины «на лету», но при этом не входят в состав сертифицированной операционной системы.
10 июля 2019 года сведения об уязвимости опубликованы в БДУ ФСТЭК. Серьёзность уязвимости была определена как средняя (базовая оценка по метрике CVSS 2.0 составила 4,9, по метрике CVSS 3.0 — 4).
12 июля нами опубликован бюллетень безопасности № 20190712SE16MD для Astra Linux Special Edition версии 1.6 и бюллетень безопасности № 20190712SE15MD для Astra Linux Special Edition версии 1.5. Аналогичное обновление безопасности получил и релиз Astra Linux Common Edition.
Таким образом, с момента размещения информации об уязвимости среднего уровня опасности до выпуска корректирующего патча для всех версий Astra Linux (где возможно использование виртуализации) прошло меньше 4 дней.
Схема выпуска оперативных обновлений для Astra Linux
Не реже чем раз в квартал мы выпускаем обновления безопасности — оперативные обновления, которые устраняют ранее неизвестные уязвимости, в том числе прикладного ПО, библиотек и функций ОС, не реализующих требования безопасности. Если угрозы безопасности, реализуемые с использованием уязвимости, нельзя исключить компенсирующими мерами, проводятся работы по доработке ОС. После завершения доработки и тестирования обновления безопасности на сайте также публикуется бюллетень и само обновление. За первые полгода 2019 года было выпущено два кумулятивных обновления для ОС Astra Linux Special Edition версии 1.6, закрывших сотни различных уязвимостей. Сейчас к выпуску готовится третье.
Наконец, мы активно взаимодействуем с сообществом разработчиков:
· сообщаем в багтрекеры проектов о самостоятельно обнаруженных ошибках;
· передаем в проекты готовые исправления недостатков, закрытые нами;
· обращаемся к коммьюнити с просьбами оказать содействие в устранении недостатков — знание логики работы программы позволяет на порядок быстрее получить исправление нежели реверсивный инжиниринг, проводимый собственными силами;
· используем и включаем в свои обновления все выпускаемые сообществом исправления. Мы понимаем, что тем самым повышаем качество продукта. При этом применяем методы контроля и обеспечения доверия, о которых писали в предыдущей статье.
Открытость — это важно
Поскольку наша ОС сертифицирована ФСТЭК России, мы в первую очередь добавляем информацию о найденных уязвимостях в банк данных угроз безопасности информации (БДУ) ФСТЭК для официальной публикации: если вы зайдете в БДУ, то найдете информацию о более чем 350 устраненных уязвимостей в разных версиях Astra Linux, а также подробную информацию по ним.
Таким образом мы обеспечиваем открытость в работе. Благодаря этому пользователи — и регулятор в том числе — могут быть в определенной степени уверены в том, что безопасность действительно находится под контролем. Мало получить обновление, нужно понимать, какие конкретно уязвимости оно закрыло.
Пока что наш архитектурно-процессный подход по поддержанию безопасности ОС полностью себя оправдывает — мы успешно соблюдаем высокий уровень защищенности информационных систем с ОС Astra Linux Special Edition. А открытый доступ к информации об уязвимостях через БДУ ФСТЭК повышает уровень доверия к нашему продукту.
Основные характеристики
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно». Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Виды защищаемой информации:
· Коммерческая тайна
· Конфиденциальная информация
· Персональные данные
· Государственная тайна
Сертифицированный релиз операционной системы функционирует на современных серверах и рабочих станциях с процессорной архитектурой х86-64 и имеет кодовое наименование «Смоленск».
Помимо базовых средств операционной системы в ее состав включены:
· защищенный графический рабочий стол Fly;
· защищенная реляционная СУБД PostgreSQL;
· защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
· защищенный web-сервер Apache и браузер Firefox;
· средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
· интегрированный пакет офисных приложений OpenOffice,
· а также большое количество других приложений.
Ключевой особенностью Astra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.
История развития
Г: Сертификация ОС
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2012 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2010 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Г: Мобильная версия
Разработчик семейства защищенных ОС Astra Linux - компания «НПО РусБИТех» - создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
г: Astra Linux Common Edition
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше "совершенно секретно". В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
|
|
Своеобразие русской архитектуры: Основной материал – дерево – быстрота постройки, но недолговечность и необходимость деления...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Наброски и зарисовки растений, плодов, цветов: Освоить конструктивное построение структуры дерева через зарисовки отдельных деревьев, группы деревьев...
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!