- AstraLinux Special Edition
- Мандатное разграничение доступа
- Изоляция модулей
- Очистка оперативной и внешней памяти, гарантированное удаление файлов
- Маркировка документов
- Регистрация событий
- Механизмы защиты информации в графической подсистеме
- Режим «КИОСК». ограничение действий пользователя
- Защита адресного пространства процессов
- Механизм контроля замкнутости программной среды
- Контроль целостности
- Средства организации домена
- Защищенная реляционная СУБД
- Защищенный комплекс программ гипертекстовой обработки данных
- Защищенный комплекс программ электронной почты
- Astra Linux Special Edition 1.7 – первый уровень доверия, новое ядро и три уровня защиты
- Документация
- Эксплуатационная и дополнительная документация
- Документация для разработчиков
- Установка, настройка, сопровождение ОС
- Настройка оборудования
AstraLinux Special Edition
Операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».
Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение / запись / исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Изоляция модулей
Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство.
Очистка оперативной и внешней памяти, гарантированное удаление файлов
Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении.
Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.
Маркировка документов
Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения.
Регистрация событий
Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.
Механизмы защиты информации в графической подсистеме
Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.
Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложенияс разными мандатными метками.
Режим «КИОСК».
ограничение действий пользователя
Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.
Защита адресного
пространства процессов
В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса.
Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.
Механизм контроля замкнутости программной среды
Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF cialis online. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.
Контроль целостности
Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта «Another File Integrity Checker».
Средства организации домена
Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:
сквозную аутентификацию в сети;
централизацию хранения информации об окружении пользователей;
централизацию хранения настроек системы защиты информации на сервере;
централизацию управления серверами DNS и DHCP;
интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;
централизованный аудит событий безопасности в рамках домена.
Защищенная реляционная СУБД
В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.
В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации.
Защищенный комплекс программ гипертекстовой обработки данных
В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.
Защищенный комплекс программ электронной почты
В состав комплекса входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:
- интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;
- автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.
Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:
- доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
- прием и обработку почтовых сообщений доменов, для которых он является целевым;
- передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.
Astra Linux Special Edition 1.7 – первый уровень доверия, новое ядро и три уровня защиты
ГК Astra Linux выпустила ОС Astra Linux Special Edition 1.7 на базе Debian 10 (buster). В составе продукта – ядро 5.4 LTS, и до конца 2021 года его запланировано обновить до версии 5.10.
Другое изменение, крайне важное для пользователей, – единый дистрибутив вместо нескольких релизов системы. В зависимости от своих потребностей заказчик теперь может выбрать базовый, усиленный или максимальный режим работы средств защиты информации (СЗИ).
- Функциональные возможности базового варианта аналогичны тем, что есть в ОС Astra Linux Common Edition, и подходят для работы с общедоступной информацией в ИТ-системах различных организаций, а также для защиты информации в государственных информационных системах 3 класса защищенности, информационных системах персональных данных 3-4 уровня защищенности и значимых объектов критической информационной инфраструктуры.
- Усиленный уровень безопасности предназначен для обработки и защиты информации ограниченного доступа, не составляющей государственную тайну, в том числе в государственных информационных системах, информационных системах персональных данных и значимых объектов критической информационной инфраструктуры любого класса (уровня) защищенности (категории значимости).
- Режим максимальной защищенности обеспечивает защиту информации, содержащей государственную тайну любой степени секретности.
Развитие встроенных в ОС СЗИ стало еще одним важным нововведением. Основные защитные механизмы – замкнутую программную среду, мандатный контроль целостности, мандатное управление доступом и гарантированное затирание удаляемых данных – теперь работают независимо друг от друга, что позволяет пользователю более гибко настраивать систему защиты с учетом особенностей конкретной информационной системы. Мандатный контроль целостности автоматически защищает системные и пользовательские файлы от несанкционированных изменений:
- можно создавать больше изолированных уровней целостности, что позволило реализовать дополнительную изоляцию контейнеров;
- появились фильтрация сетевых пакетов по классификационным меткам и в протоколе IPv6;
- файловый сервер Samba теперь поддерживает мандатное управление доступом на всех версиях протокола SMB.
Astra Linux Special Edition 1.7 успешно прошла комплекс испытаний в системе сертификации СЗИ ФСТЭК России по первому, высочайшему, уровню доверия. Продукт в полной мере соответствует самым строгим критериям, изложенным в «Требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий», а также в «Требованиях безопасности информации к операционным системам» и в «Профиле защиты операционных систем типа А первого класса защиты. ИТ.ОС.А1.ПЗ». Решение может применяться в ИТ-системах, которые обрабатывают любую информацию ограниченного доступа, включая государственную тайну «особой важности» – об этом свидетельствует сертификат соответствия № 2557, переоформленный 07.10.2021. Еще один ключевой момент – в переоформленном сертификате прописано наличие в продукте функций системы управления базами данных и среды виртуализации. Это дополнительно подтверждает корректность применения встроенных средств виртуализации и СУБД в защищенных системах, а также реализацию мер защиты.
В числе других нововведений – поддержка расширенного репозитория и обновление ключевых компонентов: основного домена FreeIPA – до версии 4.8.5, файлового севера SambaDC – до 4.12.5, офисного пакета LibreOffice – до 7.1. В состав продукта вошли защищенная редакция PostgreSQL 11.10 и средства сетевого мониторинга Zabbix 5.0.4. Также в ОС реализована поддержка контейнерной виртуализации.
Для комфорта пользователей в ОС добавили новые современные цветовые схемы, тему входа, дизайн иконок панели задач и меню «Пуск», установили интерфейсный шрифт Astra Fact, аналог привычного многим проприетарного Verdana, а также расширили спектр собственных и сторонних интегрированных приложений.
«Это действительно глобальное обновление ОС: для удобства заказчиков мы объединили ряд релизов в один дистрибутив с возможностью выбрать именно тот уровень защищенности, что для них актуален. При этом компания продолжит предоставлять услуги поддержки тем клиентам, которые используют Astra Linux Special и Common Edition, выпущенные ранее», – комментирует Евгений Векшин, директор по продуктам ГК Astra Linux.
Документация
Эксплуатационная и дополнительная документация
Документация для разработчиков
Установка, настройка, сопровождение ОС
- Интернет-репозитории Astra Linux Special Edition x.7
- Рекомендации по параметрам аппаратной платформы для Astra Linux Special Edition РУСБ.10015-01 и РУСБ.10015-16 исп. 1
- Ядро lowlatency в Astra Linux
- Выбор пакетов при установке ОС Astra Linux
- Правила именования файловых объектов в Astra Linux
- Предотвращение потери контроля над машиной при неудачных настройках
- Полное выключение режима МКЦ в Astra Linux Special Edition РУСБ.10015-01 (очередное обновление x.7)
- Администрирование системы с временным снятием МКЦ с ФС
- Проверка работы механизма контроля целостности
- Создание загрузочных носителей USB flash drive
- Создание собственных ALP-live образов (Live-CD/Live-USB) в Astra Linux
- Установка Astra Linux на дисках с защитным преобразованием данных
- Установка Astra Linux на LVM и применение LVM для отката обновлений
- Установка Astra Linux на программный (soft) RAID
- Установка Astra Linux по сети (UEFI или Legacy BIOS)
- Инструменты OEM
- Восстановление содержимого каталога /boot при невозможности нормальной загрузки
- Увеличение размера boot при стандартной разметке LVM. Краткая инструкция
- Область подкачки (swap): особенности применения и обеспечения безопасности
- Организация гибернации Astra Linux без использования дискового раздела подкачки
- Загрузка Astra Linux в SecureBoot режиме
- Список пакетов ОС Astra Linux Special Edition
- Astra Linux: Режим замкнутой программной среды
- Системный Киоск-2: пакет parsec-kiosk2 (ограничения пользователя)
- Сравнение работы режима Киоск-2 и режима киоска
- Применение правил udev для учета сменных носителей
- Разделение прав доступа к устройствам CD/DVD
Настройка оборудования