- Создатели Astra Linux выпустили первую собственную СУБД
- Собственная СУБД «Астры»
- Что собой представляет продукт
- Конкурент Postgres Pro?
- Какими решениями располагает «Астра»
- AstraLinux Special Edition
- Мандатное разграничение доступа
- Изоляция модулей
- Очистка оперативной и внешней памяти, гарантированное удаление файлов
- Маркировка документов
- Регистрация событий
- Механизмы защиты информации в графической подсистеме
- Режим «КИОСК». ограничение действий пользователя
- Защита адресного пространства процессов
- Механизм контроля замкнутости программной среды
- Контроль целостности
- Средства организации домена
- Защищенная реляционная СУБД
- Защищенный комплекс программ гипертекстовой обработки данных
- Защищенный комплекс программ электронной почты
Создатели Astra Linux выпустили первую собственную СУБД
Группа «Астра» развивающая ОС Astra Linux, зарегистрировала в реестре отечественного ПО при Минцифры собственную СУБД. Именитая компания использовала при создании нового продукта наработки своей новой «дочки» — российской Tantor Labs.
Собственная СУБД «Астры»
Как выяснил CNews, в Реестре российского ПО при Минцифры появилась первая СУБД, правообладателем которой выступает группа «Астра» (ООО «Русбитех-Астра»), известная разработкой линейки отечественных ОС Astra Linux. Запись о продукте была внесена в реестр 3 апреля 2023 г. на основании поручения Минцифры по протоколу заседания экспертного совета от 27 марта 2023 г. №193пр.
Напомним, на данный реестр госструктуры и отчасти компании с госучастием обязаны ориентироваться при проведении своих тематических закупок. Таким образом, включение любой программы в курируемый властями список существенно расширяет для нее круг потенциальных пользователей.
Рассматриваемый продукт «Астры» называется «Aстра база данныx тантор платформа» (Astra DB Tantor Platform). Такое дословное наименование разработчиками ранее не использовалось, хотя оно в явном виде отсылает нас к российской компании Tantor Labs (ООО «Тантор лабс»), в которой в октябре 2022 г. «Астра» приобрела 75% долей.
Tantor Labs, несмотря на юный возраст (зарегистрирована в августе 2021 г.) к моменту сделки с создателями Astra Linux уже зарекомендовала себя в качестве разработчика собственной СУБД на основе открытого решения PostgreSQL. В сентябре 2022 г. (то есть до сделки с «Астрой») организация зарегистрировала в реестре Минцифры продукт «СУБД Tantor», который остается в нем по сей день.
Что собой представляет продукт
Генеральный директор «Тантор лабс» Вадим Яценко в разговоре с CNews подтвердил, что новоявленный реестровый продукт является первым программным комплексом группы «Астра», включенным в реестр по классу СУБД.
«Он представляет собой СУБД из состава сертифицированной ФСТЭК по первому уровню доверия ОС Astra Linux Special Edition со встроенными средствами защиты и платформой управления мониторинга и администрирования СУБД Tantor (также включена в реестр; — прим CNews), — отмечает он. — В следующих релизах программного комплекса запланировано обновление до последних версий ядра СУБД PostgreSQL».
Из пояснений Яценко можно заключить, что ранее данная СУБД выступала составной частью защищенной ОС Astra Linux. Теперь же, с появлением программного комплекса «Астра база данных тантор платформа», заказчики получают «практически коробочное решение, закрывающее их задачи в части СУБД в комплекте с уже готовым инструментарием по администрированию и полноценной поддержкой вендора на все его составные части».
Топ-менеджер полагает, что зарегистрированный в реестре продукт в том числе будет актуален для организаций, чьи информационные системы подлежат аттестации властей.
Конкурент Postgres Pro?
Как известно, на российском рынке реляционных СУБД наиболее популярным разработчиком на данный момент является отечественная компания Postgres Professional с линейкой продуктов Postgres Pro.
В момент вхождения в группу «Астра» Вадим Яценко прямую конкуренцию с этой компанией отрицал. «Мы смотрим на Postrgres Professional больше не как на конкурентов, а как на коллег-партнеров, с которыми совместно будем развивать сообщество Postgres в России, — пояснил тогда топ-менеджер CNews. — Более того, наш продукт «Платформа Tantor» может работать с Postgres Pro. В этой части мы дополняем друг друга».
Какими решениями располагает «Астра»
До заключения сделки с «Тонтором» и до включения в реестр при Минцифры нового решения в продуктовом портфеле группы «Астра» были представлены ОС Astra Linux для разных процессорных архитектур и сценариев применения, в том числе в оптимизированном для высоких нагрузок серверном варианте с инструментарием для автоматизированного развертывания всех решений вендора.
Также группа располагает программным комплексом «Средства виртуализации “Брест”», платформой для создания виртуальных рабочих мест Termidesk, корпоративной почтой RuPost, решением для управления доменом ALD Pro, ПО для организации мобильных рабочих мест WorksPad, средствами резервного копирования RuBackup и тремя инфраструктурными платформами.
К последним относятся DCI manager для работы с физической инфраструктурой, VM manager для построения и управления облачной виртуальной инфраструктурой, а также BILL manager, позволяющий автоматизировать выдачу сервисов и другие бизнес-процессы компаний — провайдеров различных услуг.
AstraLinux Special Edition
Операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно».
Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение / запись / исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Изоляция модулей
Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство.
Очистка оперативной и внешней памяти, гарантированное удаление файлов
Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении.
Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.
Маркировка документов
Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения.
Регистрация событий
Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.
Механизмы защиты информации в графической подсистеме
Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.
Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложенияс разными мандатными метками.
Режим «КИОСК».
ограничение действий пользователя
Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.
Защита адресного
пространства процессов
В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса.
Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.
Механизм контроля замкнутости программной среды
Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF cialis online. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.
Контроль целостности
Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта «Another File Integrity Checker».
Средства организации домена
Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:
сквозную аутентификацию в сети;
централизацию хранения информации об окружении пользователей;
централизацию хранения настроек системы защиты информации на сервере;
централизацию управления серверами DNS и DHCP;
интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;
централизованный аудит событий безопасности в рамках домена.
Защищенная реляционная СУБД
В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.
В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации.
Защищенный комплекс программ гипертекстовой обработки данных
В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.
Защищенный комплекс программ электронной почты
В состав комплекса входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:
- интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;
- автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.
Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:
- доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
- прием и обработку почтовых сообщений доменов, для которых он является целевым;
- передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.