Поперечные профили набережных и береговой полосы: На городских территориях берегоукрепление проектируют с учетом технических и экономических требований, но особое значение придают эстетическим...
Состав сооружений: решетки и песколовки: Решетки – это первое устройство в схеме очистных сооружений. Они представляют...
Топ:
Генеалогическое древо Султанов Османской империи: Османские правители, вначале, будучи еще бейлербеями Анатолии, женились на дочерях византийских императоров...
Характеристика АТП и сварочно-жестяницкого участка: Транспорт в настоящее время является одной из важнейших отраслей народного хозяйства...
Марксистская теория происхождения государства: По мнению Маркса и Энгельса, в основе развития общества, происходящих в нем изменений лежит...
Интересное:
Аура как энергетическое поле: многослойную ауру человека можно представить себе подобным...
Национальное богатство страны и его составляющие: для оценки элементов национального богатства используются...
Наиболее распространенные виды рака: Раковая опухоль — это самостоятельное новообразование, которое может возникнуть и от повышенного давления...
Дисциплины:
2020-01-13 | 186 |
5.00
из
|
Заказать работу |
Основные характеристики
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно». Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Виды защищаемой информации:
· Коммерческая тайна
· Конфиденциальная информация
· Персональные данные
· Государственная тайна
Сертифицированный релиз операционной системы функционирует на современных серверах и рабочих станциях с процессорной архитектурой х86-64 и имеет кодовое наименование «Смоленск».
Помимо базовых средств операционной системы в ее состав включены:
· защищенный графический рабочий стол Fly;
· защищенная реляционная СУБД PostgreSQL;
· защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
· защищенный web-сервер Apache и браузер Firefox;
· средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
· интегрированный пакет офисных приложений OpenOffice,
· а также большое количество других приложений.
Ключевой особенностью Astra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.
История развития
Г: Сертификация ОС
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2012 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2010 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Г: Мобильная версия
Разработчик семейства защищенных ОС Astra Linux - компания «НПО РусБИТех» - создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
Г: Astra Linux Common Edition
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше "совершенно секретно". В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Особенности версии Special Edition
Другие функции
· Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
· Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
· Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
· Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
· Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
· Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1
Аттестационные требования ФСТЭК
Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.
Семь классов защищённости от НСД собраны в четыре группы, характеризующиеся разными методами защиты.
Аналогичным образом обстоят дела и с определением отсутствия в системе НДВ.
Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).
Приведенные в данном разделе наборы требований к показателям каждого класса являются минимально необходимыми. Седьмой класс присваивают СВТ, к которым предъявлялись требования по защите от НСД к информации, но при оценке защищенность СВТ оказалась ниже уровня требований шестого класса.
Руководство по КСЗ.
Данный документ адресован администратору защиты и должен содержать:
описание контролируемых функций;
руководство по генерации КСЗ;
описание старта СВТ и процедур проверки правильности старта.
Тестовая документация.
Должно быть предоставлено описание тестов и испытаний, которым подвергалось СВТ и результатов тестирования.
Гарантии проектирования.
На начальном этапе проектирования СВТ должна быть построена модель защиты. Модель должна включать в себя ПРД к объектам и непротиворечивые правила изменения ПРД.
Регистрация.
КСЗ должен быть в состоянии осуществлять регистрацию следующих событий:
·использование идентификационного и аутентификационного механизма;
·запрос на доступ к защищаемому ресурсу (открытие файла, запуск программы и т.д.);
·создание и уничтожение объекта;
·действия по изменению ПРД.
·Для каждого из этих событий должна регистрироваться следующая информация:
·дата и время;
·субъект, осуществляющий регистрируемое действие;
·тип события (если регистрируется запрос на доступ, то следует отмечать объект и тип доступа);
·успешно ли осуществилось событие (обслужен запрос на доступ или нет).
КСЗ должен содержать средства выборочного ознакомления с регистрационной информацией.
Изоляция модулей.
При наличии в СВТ мультипрограммирования в КСЗ должен существовать программно-технический механизм, изолирующий программные модули одного процесса (одного субъекта), от программных модулей других процессов (других субъектов) - т.е. в оперативной памяти ЭВМ программы разных пользователей должны быть защищены друг от друга.
Маркировка документов.
При выводе защищаемой информации на документ в начале и конце проставляют штамп № 1 и заполняют его реквизиты в соответствии с Инструкцией № 0126-87 (п. 577).
Контроль модификации.
При проектировании, построении и сопровождении СВТ должно быть предусмотрено управление конфигурацией СВТ, т.е. контроль изменений в формальной модели, спецификациях (разных уровней), документации, исходном тексте, версии в объектном коде. Должно обеспечиваться соответствие между документацией и текстами программ. Должна осуществляться сравниваемость генерируемых версий. Оригиналы программ должны быть защищены.
Контроль дистрибуции.
Должен осуществляться контроль точности копирования в СВТ при изготовлении копий с образца. Изготовляемая копия должна гарантированно повторять образец.
Надежное восстановление
Процедуры восстановления после сбоев и отказов оборудования должны обеспечивать полное восстановление свойств КСЗ.
Подход второй, процессный
Вместе с архитектурным мы параллельно используем процессный подход: постоянно выявляем и собираем сведения об уязвимостях, прорабатываем эту информацию и передаем результаты в банк данных уязвимостей ФСТЭК России. Так мы готовим и выпускаем плановые и оперативные обновлений ОС. Ищем уязвимости как в открытых источниках, так и самостоятельно — особенно в тех частях ПО, которые полностью разрабатываем сами. Много информации мы получаем от партнеров, занимающихся аналогичными исследованиями — тестированием и изучением безопасности операционных систем.
Организация работ по выявлению уязвимостей
Исследования безопасности в первую очередь ведутся в отношении компонентов, которые входят в состав ОС Astra Linux Special Edition («Смоленск»). Вместе с тем уязвимости закрываются также и для версии Astra Linux Common Edition, как в рамках обновлений безопасности, так и в процессе планового обновления компонентов системы.
Как только мы получаем сведения об уязвимости, проверяем, насколько она актуальна для наших пользователей. Если уязвимость не является критической, то описываем ее в ближайшем выпуске бюллетеня безопасности на официальном сайте. Уведомления об выпуске бюллетеней отправляются пользователю по электронной̆ почте, адрес которой̆ обязательно указывается в лицензионном договоре. Для критических уязвимостей в течение нескольких дней выпускаются методические указания: каким образом можно устранить ее своими силами, не дожидаясь кумулятивного обновления безопасности. В списке бюллетеней безопасности они отмечены буквами MD (мethodical direction).
Здесь хорошим примером является уязвимость, информация о которой была опубликована здесь же, на Хабре. К слову, автор данной статьи с нами заранее не связывался и предварительно не уведомлял о том, что им выявлена данная уязвимость и готовится материал. В качестве иллюстрации мы решили привести тайминг работ над уязвимостью с момента размещения текста на ресурсе.
Итак, ночью, в 4 утра, 9 июля 2019 года была опубликована сама статья, о том, что при манипуляциях с размером экрана виртуальной машины можно увидеть окна под блокировщиком экрана.
Стоит отметить, что для эксплуатации продемонстрированной на видео уязвимости нужно совершить ряд дополнительных действий: необходимо сначала установить на виртуальную машину Astra Linux, а затем и на гостевую машину дополнительные пакеты, которые отвечают за изменение разрешения виртуальной машины «на лету», но при этом не входят в состав сертифицированной операционной системы.
10 июля 2019 года сведения об уязвимости опубликованы в БДУ ФСТЭК. Серьёзность уязвимости была определена как средняя (базовая оценка по метрике CVSS 2.0 составила 4,9, по метрике CVSS 3.0 — 4).
12 июля нами опубликован бюллетень безопасности № 20190712SE16MD для Astra Linux Special Edition версии 1.6 и бюллетень безопасности № 20190712SE15MD для Astra Linux Special Edition версии 1.5. Аналогичное обновление безопасности получил и релиз Astra Linux Common Edition.
Таким образом, с момента размещения информации об уязвимости среднего уровня опасности до выпуска корректирующего патча для всех версий Astra Linux (где возможно использование виртуализации) прошло меньше 4 дней.
Схема выпуска оперативных обновлений для Astra Linux
Не реже чем раз в квартал мы выпускаем обновления безопасности — оперативные обновления, которые устраняют ранее неизвестные уязвимости, в том числе прикладного ПО, библиотек и функций ОС, не реализующих требования безопасности. Если угрозы безопасности, реализуемые с использованием уязвимости, нельзя исключить компенсирующими мерами, проводятся работы по доработке ОС. После завершения доработки и тестирования обновления безопасности на сайте также публикуется бюллетень и само обновление. За первые полгода 2019 года было выпущено два кумулятивных обновления для ОС Astra Linux Special Edition версии 1.6, закрывших сотни различных уязвимостей. Сейчас к выпуску готовится третье.
Наконец, мы активно взаимодействуем с сообществом разработчиков:
· сообщаем в багтрекеры проектов о самостоятельно обнаруженных ошибках;
· передаем в проекты готовые исправления недостатков, закрытые нами;
· обращаемся к коммьюнити с просьбами оказать содействие в устранении недостатков — знание логики работы программы позволяет на порядок быстрее получить исправление нежели реверсивный инжиниринг, проводимый собственными силами;
· используем и включаем в свои обновления все выпускаемые сообществом исправления. Мы понимаем, что тем самым повышаем качество продукта. При этом применяем методы контроля и обеспечения доверия, о которых писали в предыдущей статье.
Открытость — это важно
Поскольку наша ОС сертифицирована ФСТЭК России, мы в первую очередь добавляем информацию о найденных уязвимостях в банк данных угроз безопасности информации (БДУ) ФСТЭК для официальной публикации: если вы зайдете в БДУ, то найдете информацию о более чем 350 устраненных уязвимостей в разных версиях Astra Linux, а также подробную информацию по ним.
Таким образом мы обеспечиваем открытость в работе. Благодаря этому пользователи — и регулятор в том числе — могут быть в определенной степени уверены в том, что безопасность действительно находится под контролем. Мало получить обновление, нужно понимать, какие конкретно уязвимости оно закрыло.
Пока что наш архитектурно-процессный подход по поддержанию безопасности ОС полностью себя оправдывает — мы успешно соблюдаем высокий уровень защищенности информационных систем с ОС Astra Linux Special Edition. А открытый доступ к информации об уязвимостях через БДУ ФСТЭК повышает уровень доверия к нашему продукту.
Основные характеристики
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно». Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Виды защищаемой информации:
· Коммерческая тайна
· Конфиденциальная информация
· Персональные данные
· Государственная тайна
Сертифицированный релиз операционной системы функционирует на современных серверах и рабочих станциях с процессорной архитектурой х86-64 и имеет кодовое наименование «Смоленск».
Помимо базовых средств операционной системы в ее состав включены:
· защищенный графический рабочий стол Fly;
· защищенная реляционная СУБД PostgreSQL;
· защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
· защищенный web-сервер Apache и браузер Firefox;
· средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
· интегрированный пакет офисных приложений OpenOffice,
· а также большое количество других приложений.
Ключевой особенностью Astra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.
История развития
Г: Сертификация ОС
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2012 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2010 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Г: Мобильная версия
Разработчик семейства защищенных ОС Astra Linux - компания «НПО РусБИТех» - создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
г: Astra Linux Common Edition
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше "совершенно секретно". В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Архитектура электронного правительства: Единая архитектура – это методологический подход при создании системы управления государства, который строится...
Общие условия выбора системы дренажа: Система дренажа выбирается в зависимости от характера защищаемого...
Типы оградительных сооружений в морском порту: По расположению оградительных сооружений в плане различают волноломы, обе оконечности...
Семя – орган полового размножения и расселения растений: наружи у семян имеется плотный покров – кожура...
© cyberpedia.su 2017-2024 - Не является автором материалов. Исключительное право сохранено за автором текста.
Если вы не хотите, чтобы данный материал был у нас на сайте, перейдите по ссылке: Нарушение авторских прав. Мы поможем в написании вашей работы!