- Смоленск 1.4 Контроль целостности.
- Dim
- kostia
- Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
- Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
- Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
- Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
Смоленск 1.4 Контроль целостности.
Ну во первых. Программа контроля целостности на соответствие дистрибутиву это Ад!
Разработчики, а нельзя ли было предусмотреть «галочку» выводить в отчеты только файлы у которых изменена контрольная сумма? Зачем пользователю отчет на 30 с лишним мегабайт где 99% информации это Ок и «Not found» ? Оперативно с этим работать решительно невозможно!
Во вторых. На свежеустановленном сервере, с поднятой ALD в отчет попадают вот такие файлы с измененной контрольной суммой
/etc/init.d/nscd e7ceb2feabe834c96024ec4b629f9a88ec0b8178ba12660b9cf2ece03e2d221e b9dc8ec8575670663efe7c9a0f5e63be5e4fe90fd860769b9ccfdabaa8e05745
/usr/bin/dumpkeys 94fabb1ac6efbf06a8ac9f9f190843afe53f658a9beb64f2be8beffcd62c1708 acf8c5c4067088d9841dd92681107f478f0b3e6b916d2b97ef30a18d8166175c
Dim
New member
Нам известна проблема с fly-admin-int-check, в операционной системе специального назначения «Astra Linux Special Edition» версии 1.5 данная проблема исправлена.
После установки пакетов ALD изменяется конфигурационный файл nscd, в связи с этим контрольная сумма отличается от исходной.
kostia
New member
Пользователем является и администратор ОБИ, а ему этот отчет очень даже к чему. По регламенту, в случае нарушения целостности, рабочая станция должна блокироваться (и вообще-то контроль целостности с блокировкой в случае нарушения должен проводиться при каждой загрузке АРМ, до логина пользователя). К документу о причинах блокировки прикладывается отчет о не соответствии контрольных сумм и начинается разбор полетов. А у вас файл отчета построен так, что сначала идут файлы с нормальным статусом, в середине файлы с нарушением целостности и в конце отсутствующие файлы. Так вот начало и конец нафиг не нужны!
Про «Статус» знаем, да это помогает посмотреть на экране, но никак не решает проблему с отчетами.
Насчет нескольких файлов с одним названием но разной контрольной суммой. У вас в файле gostsums.txt записаны файлы с полным путём. Ну согласитесь что это не правильно — проверять контрольную сумму файла без учета его месторасположения.
И ОБИ-шнику это на словах не объянишь, для него красная тряпка — файлы в системе не соответствуют файлам в дистрибутиве, к эксплутации не допущен!
Возможности по реализации мер защиты информации, содержащейся в государственных информационных системах, в соответствии с требованиями приказа ФСТЭК России №17, и способов их реализации средствами операционной системы специального назначения «Astra Linux Special Edition» (Astra Linux) релиз «Смоленск»
Меры защиты информации в информационных системах и способы реализации меры защиты с использованием штатных средств Astra Linux
Аутентификация осуществляется локально или централизованно с помощью организации единого пространства пользователей, в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации.
Многофакторная аутентификация обеспечивается совместным применением средств идентификации и аутентификации Astra Linux, средств доверенной загрузки и устройств аутентификации (например, USB-токенов).
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации (классификационными метками и контрольными суммами, вычисляемых в соответствии с ГОСТ Р 34.11-94 и ГОСТ Р 34.11-2012)
Контроль осуществляется путем анализа содержимого журналов регистрации событий безопасности для мер защиты УПД.1-УПД.6
Реализуется с применением сертифицированных межсетевых экранов.
Управление информационными потоками в информационной системе осуществляется средствами Astra Linux, реализующими функции контроля и фильтрации проходящих информационных потоков в соответствии с заданными правилами.
Правила (или цепочки) фильтрации выполняются в соответствии с атрибутами отправителя и получателя сетевых пакетов, а также атрибутами передаваемой информации
Доверенная загрузка виртуальных машин реализуется средствами создания замкнутой программной среды, настройками подсистемы эмуляции аппаратного обеспечения и контроля целостности образов виртуальных машин. Для ЭВМ — защита реализуется с применением средств доверенной загрузки
Защита периметра (физических и (или) логических границ) информационной системы при ее взаимодействии с иными информационными системами и информационно-телекоммуникационными сетями
Возможности реализации требований по защите информации в автоматизированных системах различных классов в соответствии с руководящим документом «Автоматизированные системы. Защита от несанкционированного доступа к информации. Классификация автоматизированных систем и требования по защите информации» (Гостехкомиссия России, 1992 г.) средствами операционной системы специального назначения Astra Linux Special Edition, РУСБ.10015-01 очередное обновление 1.6 и 8.1
Требования по защите информации и способы реализации меры защиты с использованием штатных средств Astra Linux
| Требования по защите информации | Классы АС | Средства реализации | Способ реализации меры защиты с использованием штатных средств Astra Linux | Компоненты Astra Linux | ||||||||||
| Раздел | Подсистемы и функции | Требования | 1Д | 2Б | 3Б | 1Г | 1В | 1Б | 3А | 2А | 1А | |||
| ОВ | ||||||||||||||
| СС | ||||||||||||||
| С | ||||||||||||||
| ДСП | ||||||||||||||
| ПД | ||||||||||||||
| 1 | I. Подсистема управления доступом | |||||||||||||
| 1 | 1.1. Идентификация, проверка подлинности и контроль доступа субъектов: | |||||||||||||
| 1 | — в систему | Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по идентификатору (коду) и паролю условно-постоянного/временного действия длиной не менее указанного количества буквенно-цифровых символов; | 6 | 6 | 6 | 6 | 6 | 8 | 6 | 6 | Средства Astra Linux | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. Решение задачи идентификации и аутентификации локальных пользователей в Astra Linux основывается на использовании механизма PAM. Если Astra Linux не настроен для работы в ЕПП, то аутентификация осуществляется с помощью локальной БД пользователей. При использовании ЕПП аутентификация пользователей осуществляется централизованно по протоколу Kerberos. Концепция ЕПП подразумевает хранение системной информации о пользователе (включая доступные мандатные уровни и категории) централизованно в службе каталогов LDAP. Для управления пользователями, группами и настройками их атрибутов используется графическая утилита, соответствующие настройки обеспечивают требования к длине пароля. | Локальная идентификация и аутентификация (PAM), Сквозная аутентификация (ЕПП), Управление политикой безопасности fly-admin-smc (Пользователи, Политики учетной записи). Управление доменным пользователями (FreeIPA,ALD) | |
| Должны осуществляться идентификация и проверка подлинности субъектов доступа при входе в систему по биометрическим характеристикам или специальным устройствам (жетонам, картам, электронным ключам) и паролю временного действия длиной не менее восьми буквенно-цифровых символов | 8 | Средства Astra Linux СДЗ, Токены | Идентификация и проверка подлинности субъектов доступа осуществляется локально (PAM) или централизованно с помощью организации единого пространства пользователей (ЕПП), в основу которого положен доменный принцип построения сети с использованием сетевого протокола сквозной доверенной аутентификации. | |||||||||||