1. Що таке Astra Linux?
2. А навіщо нам «новий велосипед»?
3. механізми безпеки
4. Які є особливості в ОС Astra Linux SE?
5. висновок

Запобігти витоку інформації простіше, ніж розбиратися з її наслідками. Тому, якщо ви ведете роботу з даними обмеженого поширення, то не варто відкладати питання забезпечення інформаційної безпеки в довгий ящик. Сьогодні KV.by розповість про «броньованої» операційній системі Astra Linux від російського виробника, яка може стати неоціненним помічником в захисті даних, особливо тих, які перебувають під грифом «цілком таємно».

Що таке Astra Linux?

Astra Linux Special Edition - це операційна система спеціального призначення, яка використовується для обробки як відкритої інформації, так і всіх видів інформації обмеженого доступу: персональних даних, конфіденційної, що містить службову, банківську і державну таємницю до ступеня секретності «цілком таємно» включно. А майже восьмирічний досвід практичної експлуатації показав, що дана ОС успішно використовується не тільки в державних і силових відомствах, а й в банківському, комерційному та інших секторах економіки.

Дана операційна система - це «дітище» ВАТ «НВО РусБІТех» - науково-виробничого об'єднання, яке здійснює розробку і створення засобів захисту інформації, ситуаційних центрів прийняття рішень і складних систем моделювання навколишнього оточення в режимі реального часу. Чого вартий один лише Національний центр управління обороною Російської Федерації , Який з'явився не без участі фахівців ВАТ «НВО РусБІТех». До слова, на цьому діяльність компанії не закінчується. Подробиці про виробника можна прочитати тут .

А навіщо нам «новий велосипед»?

Таким питанням задаються майже всі, хто чує про новий реліз на основі ОС Linux.

Дійсно, на даний момент існує велика кількість операційних систем, які володіють видатними можливостями по «юзабіліті» і функціоналу. Однак, коли справа доходить до безпеки інформації, то з'ясовується, що ніхто не має уявлення, як все це влаштовано «зсередини». Чи є там «закладки» і «сплячі механізми», які по команді «господаря» можуть паралізувати або саботувати роботу всієї інформаційної інфраструктури будь-якої організації.

Проблема ускладнюється ще й тим, що на рівні додатків існує величезна кількість вразливостей і «багів» (як навмисно введених на етапах налагодження, тестування і розробки, так і просто через незнання розробника і застосування новомодних технологій). Дані уразливості і служать «плацдармом» для хакерів, які використовують їх для організації атак на всю ІТ-інфраструктуру організації.

З огляду на всі перераховані вище проблеми, багато великих корпорацій і навіть цілі держави займаються розробками власних дистрибутивів ОС.

Так як ВАТ «НВО РусБІТех» перш за все була орієнтована на ВПК, то питання безпеки ставилися на перший план.

Дистрибутив Astra Linux є офіційною гілкою Debian, який не просто вільний від безлічі ліцензійних органичений, але і є незалежним від будь-якої державної юрисдикції. До слова сказати, ВАТ «НВО РусБІТех» є повноцінним срібним партнером співтовариства The Linux Foundation , Офіційно фінансує і бере участь в розвитку ком'юніті Linux.

механізми безпеки

Всі механізми безпеки були спроектовані і реалізовані з нуля. В основу лягли багаторічні наукові розробки в галузі контролю інформаційних потоків в захищених інформаційних системах з мандатних і рольовим управлінням доступу. (Для бажаючих перейнятися, можна ознайомитися з патентом № RU 2 525 481 C2 або навчальним посібником з великою кількістю технічних деталей і практики).

Завдяки власним розробкам в області засобів захисту, дистрибутиви ALSE щорічно проходять найжорсткіші дослідження вихідних кодів на недекларований функціональність. На даний момент ALSE сертифікована в усіх системах сертифікації інформаційної безпеки РФ.

На додаток до цього, розробник ALSE звернувся в Центр верифікації операційної системи Linux при Інституті системного програмування РАН РФ для математичної верифікації формальної моделі безпеки, що використовується в ОС. Це було зроблено, щоб підтвердити відповідність математичної моделі безпеки і її реалізації в ОС і, тим самим, додатково виключити всякого роду недокументовані можливості в початкових кодах ALSE. До слова сказати, аналогічних центрів і методик досліджень взагалі немає в країнах СНД.

До слова, ALSE знаходиться в одному кроці від завершення сертифікації за профілем захисту для операційних систем типу «А» по ​​2-му класу захисту. Якщо говорити простою мовою, то це аналог 5-го рівня за загальними критеріями безпеки в ІТ (найбільш близький документ ISO / IEC 15408).

З огляду на все перераховане вище, можна сказати, що були зроблені безпрецедентні заходи по тестуванню ALSE на безпеку. Планка була піднята настільки високо, що жоден світовий розробник операційних систем поки не зміг досягти такого рівня перевірок безпеки на просторах країн СНД.

Які є особливості в ОС Astra Linux SE?

Більш докладно про особливості ОС ALSE можна почитати тут .

Зупинимося на тих, які кидаються в очі:

1) Виробник ОС ALSE вийшов за рамки розробки тільки ОС. Зараз з «коробки» ви отримуєте відразу всі необхідні сервіси для ІТ-інфраструктури підприємства: як на стороні клієнта, так і на стороні сервера.

Такий підхід дозволяє максимально закрити всі потреби в життєво необхідних сервісах без придбання додаткового ПЗ. За нашою статистикою, на цьому можна істотно заощадити на ліцензійних відрахуваннях від 300% до 400%. При цьому основне прикладне ПО вже сертифіковано на безпеку.

2) Всієї інформації, що потрапляє в систему, присвоюється рівень конфіденційності. Крім цього, всі носії інформації, включаючи переносяться, також категоризується за рівнями конфіденційності. Тому, якщо носія інформації немає в базі відповідного рівня доступу, то ви просто не зможете туди записати інформацію. Якщо ви захочете вивести документ на друк, то ваш документ потрапить в захищений комплекс друку та маркування документів. Тут по налаштованому шаблоном буде сформований штамп, що відображає ступінь секретності, ПІБ, дату та інші дані про друкувальному особі. Це дозволяє значно спростити роботу з паперовим діловодством відповідно до затверджених регламентів і політиками безпеки (ПБ) з ІБ.

Даний функціонал прекрасно вписується в сучасну парадигму управління ІБ по ISO / IEC серії 27000 та інших нормативних актів, специфічних для юрисдикцій країн СНД.

3) Ще одним цікавим компонентом є механізм впровадження мандатних міток в пакети протоколу IP по RFC 1108. Це дозволяє застосовувати мандатний контроль доступу до мережевим з'єднанням (сокета). При цьому мітка сокета успадковується від суб'єкта (процесу).

4) Всі додатки, які входять в дистрибутив ОС ALSE, підтримують механізми мандатної контролю доступу. Це дозволяє створити єдине середовище безпеки, що включає ОС і основне ПО. Тому ви отримуєте не тільки захищену ОС, але ще і захищені додатки.

5) Всі розуміють, що коли справа доходить до середніх і великих мереж, на перший план виходить завдання централізованого управління. Для цих цілей в ОС ALSE був розроблений домен Astra Linux Directory (ALD).

ALD дозволяє для всіх пов'язаних мережевих ресурсів і користувачів створити єдину систему ідентифікації і аутентифікації з централізованим управлінням ПБ відповідно до правил мандатної розмежування доступу. Це істотно спрощує керованість ІТ-інфраструктурою без втрати контролю над безпекою.

6) В даний час неможливо уявити велику комп'ютерну мережу, що складається з однотипного обладнання. Виробники ОС завжди стикаються з проблемою підтримки нового обладнання. Іноді процес повсюдного внедненія Linux-подібних ОС гальмується тим, що не всі виробники «заліза» надають драйвера під Linux.

ОС ALSE пройшла 10-річний шлях розробки драйверів під різнотипну техніку: від планшетів до мейнфреймов. Були знайдені взаєморозуміння і прямий контакт навіть з такими вендорами, як HP, Dell, IBM, Huawei, Samsung і іншими. Хоча потрібно визнати, роботи в цій галузі ще дуже і дуже багато, тому що 60% робіт над кожним новим релізом ОС займає підтримка нових драйверів.

7) різнотипних обладнання створює ще одну проблему - це підтримка ОС різнотипних апаратних платформ. На даний момент ОС ALSE працює на 6 різних апаратних платформах: x86-64, ARM, System Z, Power PC, MIPS, Ельбрус (в режимі сумісності).

8) Захищена графічна система FLY запобігає реалізацію загроз порушення конфіденційності і цілісності, запускаючи графічний сеанс відповідно до мандатних контекстом сесії. Ще одна цікава особливість FLY - це колірна підфарбовування вікна запущеного додатку відповідно до мандатних рівнем і ціферний відображення в треї мандатної контексту сесії. Це дозволяє швидко побачити, під якими повноваженнями працює користувач.

9) Контроль цілісності ОС, прикладного ПО і СЗІ. ОС ALSE підтримує контроль цілісності на базі хеш-функції, як в ручному, так і в автоматичному режимі відповідно до налаштованим розкладом.

Крім цього, реалізований механізм перевірки незмінності і достовірності завантажуються виконуваних файлів в форматі ELF. Перевірка проводиться на основі ЕЦП, що впроваджується в виконувані ELF-файли. Для розробників прикладного програмного забезпечення на ALSE передбачений механізм впровадження ЕЦП в виконувані файли запускається ПО.

10) Ізоляція модулів. Ядро ОС ALSE забезпечує власне ізольоване адресний простір для кожного процесу в системі. Такий механізм ізоляції заснований на сторінковому механізмі захисту пам'яті, а також на механізмі трансляції ВА у фізичну, підтримуваний модулем управління пам'яттю. Більш докладно про дані механізми можна почитати тут , Або в документації на ALSE.

11) Очищення оперативної і зовнішньої пам'яті з гарантованим видаленням файлів. Ядро ОС ALSE гарантує, що звичайний непривілейований прогрес не отримає дані чужого процесу, якщо це явно не дозволено правилами розмежування доступу.

12) Захист робочої пам'яті ( «стек» і «купа») від виконання. Ядро ОС СН гарантує, що звичайний непривілейований процес не отримає дані чужого процесу, якщо це явно не дозволено правилами розмежування доступу. Це означає, що кошти взаємодії між процесами контролюються за допомогою правил розмежування доступу, і процес не може отримати неочищену пам'ять (як оперативну, так і дискову). В ОС ALSE реалізована очищення невикористовуваних блоків файлової системи безпосередньо при їх звільненні.

13) Засіб управління політикою безпеки. Забезпечує облік пристроїв, що підключаються і знімних носіїв в системі, установку дискреційних і мандатних атрибутів доступу користувачів до пристроїв і створення додаткових правил доступу до пристрою (наприклад, обмеження на підключення пристрою тільки в певний USB-порт).

14) Засоби обмеження прав доступу до сторінок пам'яті. Засоби обмеження прав доступу до сторінок пам'яті реалізовані на основі набору змін PaX для ядра операційної системи, який забезпечує надання найменших привілеїв для процесів при доступі до сегментів пам'яті у власному адресному просторі.

Головною функціональною можливістю набору змін PaX для ядра операційної системи є захист виконуваного коду в адресному просторі. Цей захист використовує технології біта заборони виконання в процесорі (NX-біт) для запобігання виконання довільного коду.

Завдання, які вирішуються:

• інтеграція з ядром ОС ALSE і базовими бібліотеками для забезпечення розмежування доступу
• заборона створення виконуваних областей пам'яті
• заборона переміщення сегмента коду
• заборона створення виконуваного стека
• рандомизация адресного простору процесу

Набір змін PaX запобігає виконанню довільного коду на основі контролю доступу до сегментів пам'яті наступних типів: «читання», «запис», «виконання» - або їх комбінації. Комбінація «запис» і «виконання» заборонена.

15) Засоби централізованого протоколювання. В ОС ALSE реалізована власна підсистема протоколювання, що здійснює реєстрацію подій в двійкові файли. У бібліотеках безпеки реалізований прикладний програмний інтерфейс для використання підсистеми протоколювання. Засоби централізованого аудиту забезпечують збір та подання адміністратору безпеки мережі інформації про події безпеки в автоматизованій системі.

16) Віртуалізація та термінальні режими доступу. ОС ALSE дозволяє запускати тонкі клієнти, які працюють в термінальному режимі. Підтримуються наступні протоколи: VNC, RDP, SPICE. Схема роботи приведена нижче.

Як гостьовий ОС може виступати будь-яка операційна система, навіть Windows. Таким чином можна створити замкнуту захищене середовище і запускати в ній не дуже довірена ПО. Ще одним плюсом є підвищення безпеки, тому що вся інформація зберігається централізовано в системі віртуалізації, а вимоги до клієнтських терміналів знижуються. Більш детально можна подивитися тут .

висновок

У Білорусі на даний момент у ALSE три партнера: ЗАТ "БелХард Груп" , ЗАТ "НТЦ Контакт" і ВАТ "Конструкторське бюро" Дисплей ".

ALSE допомагає поглянути на безпеку з найсерйознішою боку. Недарма, ОС ALSE застосовується в багатьох державних установах. Це ще один доказ, що вся сертифікація проводиться не «для галочки». Чи потрібно всіх рядах користувачів масово переходити на Astra Linux? Навряд чи. Чи варто задуматися про такий перехід компаніям, які хочуть суттєво підвищити свою інформаційну безпеку? Однозначно.