Astra linux – отечественная защищенная ос от минобороны рф
Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL». Система работает с пакетами на базе .deb. Исходные тексты ядра доступны на сайте разработчика.
Выпускаемые релизы носят названия городов-героев России и стран СНГ.
ОС специального назначения Astra Linux Special Edition предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности до уровня «совершенно секретно» . Защищенная ОС Astra Linux Special Edition создана и развивается на основе распространенных дистрибутивов Debian и Ubuntu.
Ключевой особенностьюAstra Linux Special Edition является наличие встроенных средств защиты информации, интегрированных с ее основными компонентами. Это — основа для создания защищенных высокопроизводительных масштабируемых решений широкого спектра: от автономных ЭВМ и небольших программно-технических комплексов до сложнейших территориально распределенных автоматизированных систем.
Завершена сертификация операционной системы специального назначения Astra Linux Special Edition в системе сертификации ФСТЭК (сертификат соответствия № 2557 от «27» января 2021 г.). Проведенные испытательной лабораторией «НПО «Эшелон» сертификационные испытания подтвердили соответствие операционной системы требованиям руководящих документов ФСТЭК по 3-му классу защищенности СВТ и 2-му уровню контроля отсутствия недекларированных возможностей. Операционная система может использоваться при создании автоматизированных систем до класса защищенности 1Б включительно. Cоответствие операционной системы требованиям безопасности информации также подтверждено сертификатом соответствия № 1339 от 24.09.2021 г. системы сертификации средств защиты информации Минобороны России. Сертифицирована и в системе сертификации ФСБ.
Разработчик семейства защищенных ОС Astra Linux – компания «НПО РусБИТех» – создала базовый дистрибутив ОС Astra Linux Special Edition для мобильных устройств, работающих на базе процессоров с архитектурой ARM.
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
Astra Linux Common Edition предназначена для решения задач среднего и малого бизнеса, в то время как версия Special Edition — это защищенная система специального назначения, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше “совершенно секретно”. В состав Astra Linux Special Edition включены программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Идентификация и аутентификация
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
Дискреционное разграничение доступа
В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа — ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
Модель контроля и управления доступом
Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[ мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель), которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы.
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[.
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
Защита от эксплуатации уязвимостей
В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
Другие функции
- Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
- Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
- Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
- Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
- Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
- Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1
Аттестационные требования ФСТЭК
Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.
Семь классов защищённости от НСД собраны в четыре группы, характеризующиеся разными методами защиты.
Аналогичным образом обстоят дела и с определением отсутствия в системе НДВ.
Четыре уровня контроля отсутствия НДВ определяют возможность использования системы для обработки конфиденциальной (уровень 4), секретной (уровень 3), совершенно секретной (уровень 2) информации и информации особой важности (уровень 1).
Четыре уровня контроля отсутствия НДВ определяют, какие грифованные документы может обрабатывать информационная система.
Развитие средств защиты информации
Как сообщили CNews разработчики Astra Linux Special Edition, в версии 1.7 базовые механизмы защиты данных научились работать независимо друг от друга. Это касается мандатного контроля целостности, замкнутой программной среды, а также мандатное управление доступом и гарантированное затирание удаляемых данных.
Стартовое меню будет удобным и понятным всем, кто перешел на Astra Linux с WIndows
Переход к такому режиму работы алгоритмов защиты дает возможность более гибкой настройки системы защиты. Теперь их станет проще подстраивать под требования конкретной информационной системы.
В дополнение к этому в разработчики добавили в систему фильтрацию сетевых пакетов по классификационным меткам в протоколе IPv6. Модернизации подвергся и штатный файловый сервер Samba. Теперь в нем есть поддержка упомянутого мандатного управления доступом на всех версиях протокола SMB.