- Astra Linux Special Edition 1.7: лицензирование и сертификация, защита
- Лицензирование
- Astra Linux Special Edition «Орёл»
- Astra Linux Special Edition «Воронеж»
- Astra Linux Special Edition «Смоленск»
- Сертификация
- Новые средства защиты
- Содержание
- Уровни защищенности операционной системы
- Усиленный уровень защищенности
- Максимальный уровень защищенности
- Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию
- Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
- Изменения программных компонентов, относящихся к КСЗ
- Значения по умолчанию
- Графическая утилита «Управление политикой безопасности»
- Дополнительные мандатные атрибуты управления доступом
- Parsec-привилегии
- Регистрация событий безопасности
- Защищенный комплекс программ печати и маркировки документов
- Программное обеспечение Docker
- Другие изменения, касающиеся встроенных средств защиты
- Отличительные особенности в сравнении с Astra Linux Common Edition 2.12
- Изменения программных компонентов, относящихся к КСЗ
- Значения по умолчанию
- Графическая утилита «Управление политикой безопасности»
- Регистрация событий безопасности
- Средства разграничения доступа к подключаемым устройствам
Astra Linux Special Edition 1.7: лицензирование и сертификация, защита
22 октября вышла версия 1.7 отечественной операционной системы Astra Linux Special Edition. В этой статье рассмотрим изменения в схеме лицензирования, сертификации и сделаем обзор новинок защиты. Обзор состава новой версии в предыдущей статье.
Astra Linux Special Edition 1.7: цены.
Лицензирование
Вместо двух разных дистрибутивов Astra Linux — Сommon Edition и Special Edition — вводится один. Но в трёх видах. Лицензирование будет происходить по уровню защиты информации:
- базовый уровень (вариант «Орёл») — аналог Astra Linux Common Edition;
- защита конфиденциальной информации и персональных данных (вариант «Воронеж») — новый вариант в версии 1.7;
- защита государственной тайны (вариант «Смоленск») — аналог Astra Linux Special Edition до версии 1.6 включительно.
Как разобраться, какой вам нужен?
Astra Linux Special Edition «Орёл»
Подходит для работы с общедоступной информацией в ИТ-системах, а также для защиты информации в государственных информационных системах 3 класса защищенности, информационных системах персональных данных 3-4 уровня защищенности и значимых объектов критической информационной инфраструктуры.
Astra Linux Special Edition «Воронеж»
Предназначен для обработки и защиты информации ограниченного доступа, не составляющей государственную тайну, в том числе в государственных информационных системах, информационных системах персональных данных и значимых объектов критической информационной инфраструктуры любого класса защищённости.
Astra Linux Special Edition «Смоленск»
Обеспечивает защиту информации, содержащей государственную тайну любой степени секретности. Предоставляет мандатный контроль доступа для объектов операционной системы.
Уровень лицензирования можно выбрать при установке системы (ролик с установкой есть на нашем канале):
Сертификация
Производитель переоформил сертификат ФСТЭК России № 2557 по первому уровню доверия. Продукт в полной мере соответствует самым строгим критериям, изложенным в:
- «Требованиях по безопасности информации, устанавливающих уровни доверия к средствам технической защиты информации и средствам обеспечения безопасности информационных технологий».
- «Требованиях безопасности информации к операционным системам».
- «Профиле защиты операционных систем типа А первого класса защиты. ИТ.ОС.А1.ПЗ».
Новинка сертификата — наличие функций системы управления базами данных и среды виртуализации.
Новые средства защиты
Новая возможность встроенного комплекса средств защиты информации — независимое использование имеющихся механизмов защиты. Вдобавок к существующим, появились новые:
- изоляция контейнеров с помощью расширенного набора уровней целостности (ПО для контейнеров можно посмотреть здесь);
- поддержка мандатной защиты в семействе протоколов IPv6;
- доработка мандатной защиты для новых версий протокола SMB.
Экран выбора механизмов при установке ОС:
Приобрести Astra Linux Special Edition 1.7 вы можете в нашем интернет-магазине.
Содержание
Данная статья применима к:
- Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.7)
- Astra Linux Special Edition РУСБ.10152-02 (очередное обновление 4.7)
Подробно все особенности комплекса средств защиты информации описаны в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1».
Уровни защищенности операционной системы
Начиная с очередного обновления 1.7/4.7 операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из уровней защищенности системы:
Усиленный уровень защищенности
Вариант лицензирования с усиленным уровнем защищенности рекомендуется для обработки и защиты конфиденциальной информации в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайну.
Максимальный уровень защищенности
Вариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки и защиты информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно.
Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности :
Для усиленного уровня защищенности доступны следующие базовые функции безопасности:
«Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;
Для усиленного уровня защищенности доступны следующие усиленные функции безопасности:
- «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
- «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
- «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.
Для максимального уровня защищенности доступны все функции безопасности усиленного уровня, а также функция:
- «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.
Функции подсистемы безопасности и их состояния определяются следующим образом:
- Значения «по умолчанию» задаются при выборе уровня защищенности в процессе установки ОС;
- Значения «по умолчанию», определенные уровнем защищенности, могут быть изменены в процессе установки ОС;
- Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
- При изменении уровня защищенности (режимов работы ОС):
- В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
- В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.
Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности.
Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчанию
В таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима:
Функция подсистемы безопасности
- Вкл — режим по умолчанию Включен и доступен для отключения;
- Выкл — режим по умолчанию Отключен и доступен для включения;
- Н/Д — режим по умолчанию Отключен и недоступен для включения.
Отличительные особенности максимального уровня защищенности в сравнении с Astra Linux Special Edition РУСБ.10015-01 (очередное обновление 1.6)
Изменения программных компонентов, относящихся к КСЗ
Обновлены и доработаны следующие основные компоненты, относящихся к КСЗ:
- FreeIPA — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП, доработанный для поддержки КСЗ;
- SambaDC — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
- PostgreSQL — защищенная СУБД;
- CUPS – защищенный комплекс программ печати и маркировки документов;
- Zabbix — средство централизованного протоколирования;
- fly-admin-smc — управление локальной политикой безопасности и управление ЕПП;
- Parsec — комплекс средств защиты информации.
Интегрированы следующие сторонние приложения, относящиеся к КСЗ:
- docker.io — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
- bleachbit — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
- keepassxc — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с web-браузерами Google Chrome, Chromium, Mozilla Firefox;
- seahorse — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.
Значения по умолчанию
- защитные механизмы МКЦ и МРД можно не включать при установке Astra Linux. Они могут быть включены и выключены в процессе эксплуатации системы (ранее можно было выключить и включить только МКЦ);
- такие защитные механизмы, как МКЦ, МРД, ЗПС и Очистка освобождаемой внешней памяти, работают независимо друг от друга;
- при включении защитного механизма МКЦ автоматически включается МКЦ на корневой файловой системе и присваиваются атрибуты МКЦ;
- при использовании механизма sudo требуется ввести пароль;
- в настройках ядра установлены следующие параметры:
- включена защита от неправомерного создания жестких и символических ссылок;
- для протокола IPv4 включена фильтрация пакетов по адресу назначения (проверка адреса получателя);
- для протокола IPv4 включена фильтрация входящих пакетов, которые были отправлены одним интерфейсом, а приняты другим;
- протокол IPv6 в настройках ядра не отключен;
- межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается).
Графическая утилита «Управление политикой безопасности»
Добавлены следующие функции:
- включение/выключение защитного механизма МРД;
- управление ограничениями на использование дискового пространства (квотами).
Дополнительные мандатные атрибуты управления доступом
|
Parsec-привилегии
- исключена Parsec-привилегия PARSEC_CAP_BYPASS_KIOSK , позволяющая игнорировать ограничения киоска;
- добавлена новая Parsec-привилегия PARSEC_CAP_BYPASS_XATTR , отключающая проверку подписи файлов в xattr ;
- добавлена новая Parsec-привилегия PARSEC_CAP_PROCFS , позволяющая игнорировать уровни конфиденциальности и уровни целостности при работе с /proc .
Регистрация событий безопасности
В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:
- постоянные — действуют всегда, даже после перезагрузки системы;
- временные — действуют до перезагрузки системы.
Помимо графической утилиты fly-admin-smc («Управление политикой безопасности») для работы с подсистемой протоколирования используются следующие новые графические утилиты:
- system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
- ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.
Защищенный комплекс программ печати и маркировки документов
Вместо web-приложения printcontrol-web («Управление печатью») для печати документов с маркировкой используется графическая утилита fly-print-station («Управление печатью документов»).
Добавлена возможность изменения шрифтов маркировки, в том числе и добавление своего шрифта маркировки.
Изменены наименования дополнительных атрибутов заданий (см. таблицу ниже).
Наименование в 1.7 | Наименование в 1.6 | Назначение |
---|---|---|
mac-job-mac-label | mac-job-mac | Метка безопасности задания |
mac-job-mac-level-name | stepen | Уровень (название текстом) |
mac-job-mac-level-reason | punkt | Основание для степени секретности (пункт перечня) |
mac-job-user-full-name | printuser-fullname | Полное имя пользователя, выполнившего маркировку («отпечатал») |
mac-job-originating-user-full-name | user-fullname | Полное имя пользователя, который создал задание («исполнитель») |
Кроме того, добавлен следующий дополнительный атрибут — mac-marking-session-id (идентификатор сессии).
Добавлены следующие дополнительные запросы:
- MAC-Lock-Job — блокировка задания;
- MAC-Unock-Job — снятие блокировки задания;
- MAC-Get-Info — получение информации о станции печати (версия и т.д.);
- MAC-Get-Journal — получение журнала маркировки.
Изменены дополнительные параметры конфигурации (см. таблицу ниже).
Ключ | Описание |
---|---|
MacDuplex |
Отличительные особенности в сравнении с Astra Linux Common Edition 2.12
Изменения программных компонентов, относящихся к КСЗ
Повышены версии основных компонентов, относящихся к КСЗ:
- служба FreeIPA версии 4.8.5, доработанная для поддержки КСЗ;
- SambaDC версии 4.12.5 — пакет программ для создания доверительных отношений с доменными службами AD и создания ЕПП Samba DC;
- PostgreSQL версии 11.10 — защищенная СУБД, доработанная для обеспечения мандатного управления доступом к информации;
- CUPS версии 2.3.3 – защищенный комплекс программ печати и маркировки документов (версия CUPS в Astra Linux Common Edition 2.12 не обеспечивает маркировку выводимых на печать документов);
- Zabbix версии 5.0.7 — средство централизованного протоколирования;
- fly-admin-smc версии 0.1.54 — управление локальной политикой безопасности и управление ЕПП;
- docker.io версии 20.10.2 — программное обеспечение для автоматизации развёртывания и управления приложениями в средах с поддержкой контейнеризации;
- bleachbit версии 2.0-3 — приложение для управления приватностью и очисткой свободного места, а также увеличения производительности операционных систем;
- keepassxc версии 2.3.4 — менеджер паролей с поддержкой различных алгоритмов защитного преобразования данных. Совместим с менеджерами паролей – KeePass2, KeePassX, KeeWeb. Поддерживает интеграцию с браузерами Google Chrome, Chromium, Mozilla Firefox;
- seahorse версии 3.30.1.1-1 — приложение для управления PGP и SSH ключами, поддерживает интеграцию с Caja, Nautilus, gedit и Evolution для защитного преобразования данных и других криптографических операций и серверами ключей HKP и LDAP.
Значения по умолчанию
- межсетевой экран ufw выключен (при установке Astra Linux соответствующий пакет только устанавливается);
- в настройках ядра включена защита от неправомерного создания жестких и символических ссылок;
- протокол IPv6 в настройках ядра не отключен;
- функции безопасности «Запрет исполнения макросов пользователя» и «Запрет установки бита исполнения» можно включить при установке ОС.
Графическая утилита «Управление политикой безопасности»
Добавлены следующие функции:
- управление расширенной подсистемой протоколирования (аудит);
- управление разграничением доступа к подключаемым устройствам;
- отображение сводки состояний функций безопасности (монитор безопасности).
Регистрация событий безопасности
В Astra Linux реализована расширенная подсистема протоколирования, осуществляющая регистрацию событий в двоичные файлы с использованием службы auditd. Протоколирование работает согласно правилам, которые делятся на два типа:
- постоянные — действуют всегда, даже после перезагрузки системы;
- временные — действуют до перезагрузки системы.
Для работы с подсистемой протоколирования могут использоваться следующие графические утилиты, которые позволяют настраивать параметры регистрации событий и просмотра протоколов:
- fly-admin-smc («Управление политикой безопасности») — управление протоколированием, работа с пользователями и группами;
- system-config-audit («Конфигурация аудита») — включение и выключение регистрации событий аудита, настройка auditd, настройка журнала аудита, а также добавление, удаление и редактирование правил аудита;
- ksystemlog («Системный журнал») — выборочный просмотр протоколов аудита.
Средства разграничения доступа к подключаемым устройствам
В Astra Linux поддерживается разграничение доступа к символьным и блочным устройствам, для которых в каталоге /dev создаются файлы устройств. Разграничение доступа реализуется с использованием генерации правил менеджера устройств udev. Для разграничения доступа к устройствам типа видеокарт, сетевых карт и т.д. данный метод не используется.
Учет носителей, управление их принадлежностью и протоколированием осуществляется с помощью утилиты fly-admin-smc («Управление политикой безопасности»), в том числе и при работе в ЕПП.