Astra linux класс защищенности

Astra Linux Special Edition 1.7: лицензирование и сертификация, защита

22 октября вышла версия 1.7 отечественной операционной системы Astra Linux Special Edition. В этой статье рассмотрим изменения в схеме лицензирования, сертификации и сделаем обзор новинок защиты. Обзор состава новой версии в предыдущей статье.

Astra Linux Special Edition 1.7: цены.

Лицензирование

Вместо двух разных дистрибутивов Astra Linux — Сommon Edition и Special Edition — вводится один. Но в трёх видах. Лицензирование будет происходить по уровню защиты информации:

1. базовый уровень (вариант «Орёл») — аналог Astra Linux Common Edition;
2. защита конфиденциальной информации и персональных данных (вариант «Воронеж») — новый вариант в версии 1.7;
3. защита государственной тайны (вариант «Смоленск») — аналог Astra Linux Special Edition до версии 1.6 включительно.

Как разобраться, какой вам нужен?

Astra Linux Special Edition «Орёл»

Подходит для работы с общедоступной информацией в ИТ-системах, а также для защиты информации в государственных информационных системах 3 класса защищенности, информационных системах персональных данных 3-4 уровня защищенности и значимых объектов критической информационной инфраструктуры.

Astra Linux Special Edition «Воронеж»

Предназначен для обработки и защиты информации ограниченного доступа, не составляющей государственную тайну, в том числе в государственных информационных системах, информационных системах персональных данных и значимых объектов критической информационной инфраструктуры любого класса защищённости.

Astra Linux Special Edition «Смоленск»

Обеспечивает защиту информации, содержащей государственную тайну любой степени секретности. Предоставляет мандатный контроль доступа для объектов операционной системы.

Уровень лицензирования можно выбрать при установке системы (ролик с установкой есть на нашем канале):

Сертификация

Производитель переоформил сертификат ФСТЭК России № 2557 по первому уровню доверия. Продукт в полной мере соответствует самым строгим критериям, изложенным в:

• «Требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
• «Требованиях безопасности информации к операционным системам».
• «Профиле защиты операционных систем типа А первого класса защиты. ИТ.ОС.А1.ПЗ».

Новинка сертификата — наличие функций системы управления базами данных и среды виртуализации.

Новые средства защиты

Новая возможность встроенного комплекса средств защиты информации — независимое использование имеющихся механизмов защиты. Вдобавок к существующим, появились новые:

• изоляция контейнеров с помощью расширенного набора уровней целостности (ПО для контейнеров можно посмотреть здесь);
• поддержка мандатной защиты в семействе протоколов IPv6;
• доработка мандатной защиты для новых версий протокола SMB.

Экран выбора механизмов при установке ОС:

Приобрести Astra Linux Special Edition 1.7 вы можете в нашем интернет-магазине.

Источник

Содержание

Данная статья применима к:

• Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
• Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)

Подробно все особенности комплекса средств защиты информации описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».

Уровни защищенности операционной системы

Начиная с очередного обновления 1.7/4.7 операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из уровней защищенности системы:

Усиленный уровень защищенности

Вариант лицензирования с усиленным уровнем защищенности рекомендуется для обработки и защиты конфиденциальной информации в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.

Максимальный уровень защищенности

Вариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки и защиты информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно.

Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности :

Для усиленного уровня защищенности доступны следующие базовые функции безопасности:

«Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;

«Запрет трассировки ptrace» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция включена;

«Запрос пароля для команды sudo» — при включении данной функции будет необходим ввод пароля при использовании механизма sudo. По умолчанию функция включена;

«Запрет установки бита исполнения» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. По умолчанию функция не включена;

«Запрет исполнения скриптов пользователя» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена;

«Запрет исполнения макросов пользователя» — при включении данной функции будет блокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;

«Запрет консоли» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;

«Системные ограничения ulimits» — при включении данной функции будут активированы системные ограничения, установленные в файле /etc/security/limits.conf . По умолчанию функция не включена;

«Запрет автонастройки сети» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;

«Местное время для системных часов» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена;

Для усиленного уровня защищенности доступны следующие усиленные функции безопасности:

• «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
• «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
• «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.

Для максимального уровня защищенности доступны все функции безопасности усиленного уровня, а также функция:

• «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.

Функции подсистемы безопасности и их состояния определяются следующим образом:

1. Значения «по умолчанию» задаются при выборе уровня защищенности в процессе установки ОС;
2. Значения «по умолчанию», определенные уровнем защищенности, могут быть изменены в процессе установки ОС;
3. Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
4. При изменении уровня защищенности (режимов работы ОС):
   1. В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
   2. В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.

Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности.

Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию

В таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима:

Функция подсистемы безопасности

Уровень защищенности Усиленный Максимальный Замкнутая Программная Среда (ЗПС) Выкл Выкл Очистка освобождаемой внешней памяти Выкл Выкл Мандатный Контроль Целостности (МКЦ) Вкл Вкл Мандатное упРавление Доступом (МРД) Н/Д Вкл

• Вкл — режим по умолчанию Включен и доступен для отключения;
• Выкл — режим по умолчанию Отключен и доступен для включения;
• Н/Д — режим по умолчанию Отключен и недоступен для включения.

Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)

Изменения программных компонентов, относящихся к КСЗ

Обновлены и доработаны следующие основные компоненты, относящихся к КСЗ:

• FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
• SambaDC — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
• PostgreSQL — защищенная СУБД;
• CUPS – защищенный комплекс программ печати и маркировки документов;
• Zabbix — средство централизованного протоколирования;
• fly-admin-smc — управление локальной политикой безопасности и управление ЕПП;
• Parsec — комплекс средств защиты информации.

Интегрированы следующие сторонние приложения, относящиеся к КСЗ:

• docker.io — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
• bleachbit — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
• keepassxc — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
• seahorse — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.

Значения по умолчанию

• защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
• такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
• при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
• при использовании механизма sudo требуется ввести пароль;
• в настройках ядра установлены следующие параметры:
  • включена защита от неправомерного создания жестких и символических ссылок;
  • для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
  • для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
• протокол IPv6 в настройках ядра не отключен;
• межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается).

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

• включение/выключение защитного механизма МРД;
• управление ограничениями на использование дискового пространства (квотами).

Дополнительные мандатные атрибуты управления доступом

мандатный атрибут управления доступом ccnri более не используется в Astra Linux для управления доступом, при этом штатное функционирование Astra Linux соответствует функционированию с установленным мандатным атрибутом ccnri. Возможность установки и получения данного мандатного атрибута сохранена в Astra Linux для обеспечения совместимости с системами и ПО, которые его использует; мандатный атрибут управления доступом ccnra в Astra Linux приравнивается к ccnr и также сохранен только для обеспечения совместимости и не рекомендован к использованию; мандатный атрибут управления доступом whole можно присваивать только файлам с максимальной меткой (ранее можно было присваивать файлам c ненулевой классификационной меткой).

Parsec-привилегии

• исключена Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK , позволяющая игнорировать ограничения киоска;
• добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_XATTR , отключающая проверку подписи файлов в xattr ;
• добавлена новая Parsec-привилегия PARSEC_CAP_PROCFS , позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с /proc .

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

• постоянные — действуют всегда, даже после перезагрузки системы;
• временные — действуют до перезагрузки системы.

Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты:

• system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
• ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.

Защищенный комплекс программ печати и маркировки документов

Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»).

Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки.

Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже).

Наименование в 1.7	Наименование в 1.6	Назначение
mac-job-mac-label	mac-job-mac	Метка безопасности задания
mac-job-mac-level-name	stepen	Уровень (название текстом)
mac-job-mac-level-reason	punkt	Основание для степени секретности (пункт перечня)
mac-job-user-full-name	printuser-fullname	Полное имя пользователя, выполнившего маркировку («отпечатал»)
mac-job-originating-user-full-name	user-fullname	Полное имя пользователя, который создал задание («исполнитель»)

Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id (идентификатор сессии).

Добавлены следующие дополнительные запросы:

• MAC-Lock-Job — блокировка задания;
• MAC-Unock-Job — снятие блокировки задания;
• MAC-Get-Info — получение информации о станции печати (версия и т.д.);
• MAC-Get-Journal — получение журнала маркировки.

Изменены дополнительные параметры конфигурации (см. таблицу ниже).

Режим печати маркера на обратной стороне (при наличии поддержки со стороны принтера). Значения:

• off — отключено;
• marker — печать маркера на обратной стороне;
• fonarik — печать «фонарика» на обратной стороне последнего листа (будет создано задание с маркированном документом без последней страницы и задание из двух страниц — последняя страница документа и «фонарик» в дуплексном режиме).

Значение по умолчанию — «отключено».

Включить журнал маркировки.

По умолчанию журнал записывается в базу данных SQLITE:
/var/spool/cups/parsec/marking-journal.sqlite .

Требовать высокую целостность для операций администрирования (редактирование принтеров, перенос задания на другой принтер и т.д.) — работает только для локальных сокетов.

Значение по умолчанию — «отключено».

Добавлены следующие файлы конфигурации:

/etc/cups/cups-marker-vars.conf — конфигурационный файл переменных маркировки, значения которых будут запрошены у пользователя перед маркировкой;

/usr/share/cups/fonts/*.t42 — шрифты для маркировки;

/usr/share/cups/charsets/utf-8.*, /usr/share/cups/charsets/utf-8 — наборы символов для различных шрифтов маркировки.

Программное обеспечение Docker

Добавлена возможность возможность запуска контейнеров Docker на пониженном уровне целостности 2 для обеспечения еще большей изоляции и безопасности основной системы. Это позволяет изолировать работу процессоров внутри контейнера от процессов других контейнеров и хостовой ОС, что предотвращает воздействие потенциально вредоносного кода, выполняемого в контейнерах.

По умолчанию данная функция выключена. Подробнее — см. Установка и администрирование Docker в Astra Linux 1.7

Другие изменения, касающиеся встроенных средств защиты

• для файловой системы XFS добавлена поддержка таких защитных механизмов, как МКЦ, МРД и Очистка освобождаемой памяти;
• реализована поддержка мандатных меток в протоколе IPv6 и фильтрация пакетов по меткам;
• для файлового сервера Samba добавлена поддержка МРД на всех версиях протокола SMB (v1, v2, v3).

Ключ	Описание
MacDuplex

Отличительные особенности в сравнении с Astra Linux Common Edition 2.12

Изменения программных компонентов, относящихся к КСЗ

Повышены версии основных компонентов, относящихся к КСЗ:

• служба FreeIPA версии 4.8.5, доработанная для поддержки КСЗ;
• SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
• PostgreSQL версии 11.10 — защищенная СУБД, доработанная для обеспечения мандатного управления доступом к информации;
• CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов (версия CUPS в Astra Linux Common Edition 2.12 не обеспечивает маркировку выводимых на печать документов);
• Zabbix версии 5.0.7 — средство централизованного протоколирования;
• fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
• docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
• bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
• keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с браузерами Google Chrome, Chromium, Mozilla Firefox;
• seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.

Значения по умолчанию

• межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается);
• в настройках ядра включена защита от неправомерного создания жестких и символических ссылок;
• протокол IPv6 в настройках ядра не отключен;
• функции безопасности «Запрет исполнения макросов пользователя» и «Запрет установки бита исполнения» можно включить при установке ОС.

Графическая утилита «Управление политикой безопасности»

Добавлены следующие функции:

• управление расширенной подсистемой протоколирования (аудит);
• управление разграничением доступа к подключаемым устройствам;
• отображение сводки состояний функций безопасности (монитор безопасности).

Регистрация событий безопасности

В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:

• постоянные — действуют всегда, даже после перезагрузки системы;
• временные — действуют до перезагрузки системы.

Для работы с подсистемой протоколирования могут использоваться следующие графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:

• fly-admin-smc («Управление политикой безопасности») — управление протоколированием, работа с пользователями и группами;
  
• system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
• ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.

Средства разграничения доступа к подключаемым устройствам

В Astra Linux поддерживается разграничение доступа к символьным и блочным устройствам, для которых в каталоге /dev создаются файлы устройств. Разграничение доступа реализуется с использованием генерации правил менеджера устройств udev. Для разграничения доступа к устройствам типа видеокарт, сетевых карт и т.д. данный метод не используется.

Учет носителей, управление их принадлежностью и протоколированием осуществляется с помощью утилиты fly-admin-smc («Управление политикой безопасности»), в том числе и при работе в ЕПП.

Источник