Корректность требования об установке SecretNet LSP
Со слов представителя ФСТЭК, установленная ОС Astra Linux Special Edition 1.7 Update 1 (№ 2021-1126SE17) не обеспечивает должным образом защиту от НСД. Для полной защиты необходимо установить программный продукт Secret Net LSP, который сможет контролировать незадействованные порты на АРМ, способствующие утечке информации. Справедливо ли это утверждение?
Ответ
Операционные системы в соответствии с «Требованиями безопасности информации к операционным системам», утвержденными приказом ФСТЭК России №119, являются элементами системы защиты информации и применяются для защиты информации от несанкционированного доступа. Сертификаты соответствия ФСТЭК России и Минобороны России подтверждают соответствие «Операционной системы специального назначения «Astra Linux Special Edition» вариантов исполнения РУСБ.10015-01, РУСБ.10265-01, РУСБ.10152-02 (далее — ОС Astra Linux) требованиям по безопасности информации, предъявляемым к операционным системам.
Состав сертифицированных функций безопасности ОС Astra Linux соответствует требованиям документов (в зависимости от варианта исполнения ОС Astra Linux) «Профиль защиты операционных систем типа «А» первого класса защиты ИТ.ОС.А1.ПЗ» (ФСТЭК России, 2017 г.) или «Профиль защиты операционных систем типа «А» второго класса защиты ИТ.ОС.А2.ПЗ» (ФСТЭК России, 2017 г.) и обеспечивает реализацию средствами встроенного комплекса средств защиты следующих функций:
- идентификация и аутентификация;
- управление доступом;
- регистрация событий безопасности;
- ограничение программной среды;
- изоляция процессов;
- защита памяти;
- контроль целостности;
- обеспечение надежного функционирования;
- фильтрация сетевого потока;
- маркирование документов.
Указанные функции безопасности реализованы встроенным комплексом средств защиты информации ОС Astra Linux, что подтверждено в рамках сертификационных испытаний, и не предполагают применения «наложенных» (внешних) средств защиты для реализации аналогичных (дублирующих) функций в информационных (автоматизированных) системах, функционирующих под управлением ОС Astra Linux, за исключением мер защиты, требующих применения специализированных профильных средств защиты: средств криптографической защиты информации, средств доверенной загрузки и т. п.
Эксплуатационной документацией на ОС Astra Linux («Руководство по КСЗ. Часть 1», раздел 17.3) установлены условия и ограничения, соблюдение которых обязательно для обеспечения корректной работоспособности сертифицированного встроенного комплекса средств защиты информации.
В том числе, установлены условия для программного обеспечения, функционирующего в среде ОС Astra Linux и образующее совместно с ней доверенную программную среду, предполагающие запрет изменений механизмов и параметров аутентификации пользователей, алгоритмов управления доступом, установки собственных модулей аутентификации и других механизмов, обеспечивающих реализацию сертифицированных функций безопасности.
Применение «наложенных» средств защиты информации от несанкционированного доступа, которые имеют собственные механизмы аутентификации и идентификации, управления доступом и прочие, — нарушает условия применения ОС Astra Linux. При этом, необходимость соблюдения условий и ограничений, изложенных в эксплуатационной документации, является обязательным условием эксплуатации любых сертифицированных средств защиты информации, в том числе и ОС Astra Linux.
Таким образом, применение «наложенных» средств защиты информации от несанкционированного доступа совместно с ОС Astra Linux для реализации аналогичных (дублирующих) функций в составе одной информационной (автоматизированной) системы, подлежащей аттестации на соответствие требованиям по безопасности информации, является избыточным и нарушает условия действия сертификатов соответствия на ОС Astra Linux.
В части контроля незадействованных портов на АРМ, управление доступом к устройствам и портам может быть реализовано средствами ОС Astra Linux.
Детально ознакомиться с возможностями по ограничению доступа к устройствам средствами ОС можно в статье Справочного центра Блокировка устройств и ограничение доступа к устройствам.
Проблема установки Secret Net на 1.7
Всем привет! Попытался установить SecretNet 1.10 на AstraLinux 1.7.
Пишет, что проблема с пакетами, не могу найти эти пакеты в синаптике.
Как можно решить проблему?
Посмотреть вложение 1682601110942.png
Карл
New member
вроде на 1.7 астру нужен 1.11 SecretNet
этот вопрос к разработчику SecretNet надо задавать — он должен предоставить все пакеты для установки
Fstop
New member
вроде на 1.7 астру нужен 1.11 SecretNet
этот вопрос к разработчику SecretNet надо задавать — он должен предоставить все пакеты для установки
Vosiley
New member
ALSE_User
New member
А нах. зачем он там нужен? AL SE система со встроенными механизмами защиты, имеющими высший сертификат. А Вы пытаетесь напыжить туда что-то сверху. Какая цель то?
oko
New member
to Fstop
Там же в выхлопе явно написано — нужен пакет secretnet вер. 1.12. Которого либо нет в вашем установочном дистрибе (что маловероятно), либо вы его заранее не установили (вероятнее), либо ваш репозиторий apt его не учитывает. Кажись, в SN был sh-скрипт, который решал проблему последовательности установки пакетов (но это не точно, ага).
А так, +1 ко всем вопрошающим о целесообразности. Впрочем, ситуации бывают разные.
Карл
New member
возможно астра реализует не все требования — я не знаю
если тут https://wiki.astralinux.ru/pages/viewpage.action?pageId=181666117 описаны все возможности «секретнета», то и ставить его получается и незачем
но например в астре нет встроенного сертифицированного антивируса — значит его покупать и ставить надо будет, если это требуется
Fstop
New member
to Fstop
Там же в выхлопе явно написано — нужен пакет secretnet вер. 1.12. Которого либо нет в вашем установочном дистрибе (что маловероятно), либо вы его заранее не установили (вероятнее), либо ваш репозиторий apt его не учитывает. Кажись, в SN был sh-скрипт, который решал проблему последовательности установки пакетов (но это не точно, ага).
А так, +1 ко всем вопрошающим о целесообразности. Впрочем, ситуации бывают разные.
возможно астра реализует не все требования — я не знаю
если тут https://wiki.astralinux.ru/pages/viewpage.action?pageId=181666117 описаны все возможности «секретнета», то и ставить его получается и незачем
но например в астре нет встроенного сертифицированного антивируса — значит его покупать и ставить надо будет, если это требуется
Есть задача поставить SecretNet, надо выполнить ее.
Звонил в тех поддержку продукта Secret Net сказали ясно, что должно ядро соответствовать и все поставится. Типо на астру накатывается без каких-либо бубнов.
Буду дальше решать, потом отпишу, вдруг кому-то нужно будет это))
SergSV
New member
Подскажите удалось ли подружить Astra Linux 1.7 (Smolensk) и SecretNet LSP ?
В целом, свалилось точно такой же задачей по ТЗ из тендерной документации, на одной машине Смоленск, LSP там еще будет Master Scada.
В общем отчаялся удовлетворить требования на реальной железке и накрутил несколько виртуалок с разными ядрами (в том числе и hardned) в итоге, всё упирается в одну и ту же ошибку «Unsupported kernel. тут версия отличная от перечисленной ниже»
Нашёл требования от SecretNet: «Astra Linux Special Edition 1.7 (версия ядра 5.10.0-1045 generic/hardned, 5.4.0-81 gene-ric/hardned, DE: FLY) и обновления № 2022-№ 0318SE17MD, № 2022-0407SE17MD;»
Обновления устанавливаю, но номер версии не меняется и он всегда не тот, что перечислен в требованиях.
Как быть?
Получилось ли у Вас?
И да зависимости всё настроены — там нет вопросов. Настраиваешь репозиторий и основной и базовый, цепляет что ему нужно.
Fstop
New member
Подскажите удалось ли подружить Astra Linux 1.7 (Smolensk) и SecretNet LSP ?
В целом, свалилось точно такой же задачей по ТЗ из тендерной документации, на одной машине Смоленск, LSP там еще будет Master Scada.
В общем отчаялся удовлетворить требования на реальной железке и накрутил несколько виртуалок с разными ядрами (в том числе и hardned) в итоге, всё упирается в одну и ту же ошибку «Unsupported kernel. тут версия отличная от перечисленной ниже»
Нашёл требования от SecretNet: «Astra Linux Special Edition 1.7 (версия ядра 5.10.0-1045 generic/hardned, 5.4.0-81 gene-ric/hardned, DE: FLY) и обновления № 2022-№ 0318SE17MD, № 2022-0407SE17MD;»
Обновления устанавливаю, но номер версии не меняется и он всегда не тот, что перечислен в требованиях.
Как быть?
Получилось ли у Вас?
И да зависимости всё настроены — там нет вопросов. Настраиваешь репозиторий и основной и базовый, цепляет что ему нужно.
Привет, я подружил, все работает)
Версия 1.7.1 астры нужна и репозитории именно для этой версии нужны (они на сайте гуглятся без проблем)
Подготовка к установке.
Перед установкой необходимо убедиться, что на защищаемом узле установлена поддерживаемая версия ОС, а ядро ОС входит в список поддерживаемых разработчиком СЗИ. Требования к аппаратному обеспечению также должны быть удовлетворены.
Перед началом установки настоятельно рекомендуется отключить внешние репозитории, а также подключить установочный диск ОС и репозиторий с инсталляционного диска Secret Net LSP.
Установку СЗИ настоятельно рекомендуется провести непрерывно от начала до конца.
Установка Secret Net LSP.
- Загрузить инсталляционный пакет с сайта Кода Безопасности или облачного хранилища Cloud4Y: https://nc.cloud4y.ru/index.php/s/iYmk7jPATRbDDw6.
- Найти соответствующий дистрибутив для своей версии ОС. Запустить установку.
Для ОС семейства Red Hat (RHEL, Cent OS, Red OS):
#yum install ./ sn-lsp-1.10-680.el7.x86_64.rpm
Для ОС семейства Debian (Ubuntu, Лотос):
для Альт Рабочая станция 9.0:
#apt-get update
для Альт 8 СП (в системе должен быть установлен пакет lightdm-gtkgreeter-pd):
#setenforce 0
#apt-get update
snlicensectl -c /home/ ID_key.lic
Настройка Secret Net LSP.
Для выполнения настройки параметров политик помимо графической консоли управления используется утилита snpolctl, расположенная в каталоге /opt/secretnet/bin. Утилита выполняет действия в режиме командной строки от имени текущего пользователя.
#snpolctl –p users –c users, min_passwd_size,8
#snpolctl –p users –c users, passwd_strength,1
#snpolctl –p users –c users, max_days,90
Минимальный срок, после которого пароль может быть изменен:
#snpolctl –p users –c users,min_days,0
Предупреждение о необходимости смены пароля, дней до:
#snpolctl –p users –c users, warn_days,14
Количество дней до блокировки УЗ с устаревшим паролем:
#snpolctl –p users –c users,inactive_days,0
Не блокировать при изъятия идентификатора:
#snpolctl -p token_mgr –c authentication,lock,1
Количество неудачных попыток входа:
#snpolctl -p token_mgr –c authentication,deny,1
Время блокировки после превышения допустимого количества попыток:
#snpolctl -p token_mgr –c authentication,unlock_time,15
Период неактивности до блокировки экрана:
#snpolctl -p token_mgr –c authentication,lock_delay,1
Резервное копирование конфигурации Secret Net LSP.
Для выполнения операций резервного копирования и восстановления используется утилита snbckctl, расположенная в каталоге /opt/secretnet/bin.
Связанные статьи
Проблема:При нарушении целостности файлов (для которых установлен контроль) Secret Net LSP по.
Secret net astra linux установка
Требования к аппаратным и программным средствам Secret Net LSP устанавливается на компьютеры, удовлетворяющие системным требованиям.
Процессор – архитектура x64
• Оперативная память (минимально) – 512 МБ
• Жесткий диск (свободное место) – не менее 600 МБ для раздела, в котором находится каталог /opt
• Ядро ОС Лотос – 4.14.79
Архивы дистрибутива Secret Net LSP поставляются на установочном компакт-диске в соответствующем каталоге:
• x86_64 Установочные пакеты для архитектуры х64
Процедуры установки и удаления Secret Net LSP выполняются администратором, обладающим правами суперпользователя компьютера, с использованием командной строки эмулятора терминала.
Перед началом установки программного обеспечения (ПО) на компьютер необходимо убедиться в выполнении следующих требований:
• На компьютере установлена только одна поддерживаемая операционная система с одним ядром.
• Ядро операционной системы должно входить в список ядер, заявленных как поддерживаемые компанией — разработчиком СЗИ, и соответствовать устанавливаемому дистрибутиву Secret Net LSP.
Рекомендуется перед началом установки отключить хранитель экрана и выполнить процедуру установки от начала до конца без перерыва. Так как процедура установки включает в себя замену PAM-модуля, в некоторых операционных пользователей. Системах при установке требуется смена паролей. Установка ПО Secret Net LSP осуществляется с помощью установочных пакетов (1.9.ххх — номер текущей версии СЗИ):
sn-lsp-1.9.xxx-amd64.deb.