|
|
| Строка 4: |
Строка 4: |
| | | | |
| | {{Astra Linux.Навигация}} | | {{Astra Linux.Навигация}} |
| − |
| |
| − | == Разработка ==
| |
| − |
| |
| − | Разрабатывается ОАО «НПО РусБИТех» во исполнение распоряжения [[Правительство|Правительства РФ]] № 2299-р от 17 декабря 2010 г., утверждающего План перехода [[Федеральные органы исполнительной власти РФ|федеральных органов исполнительной власти]] и федеральных [[Бюджетное учреждение|бюджетных учреждений]] на использование [[Свободное программное обеспечение|свободного программного обеспечения]]<ref>[http://www.computerra.ru/vision/609608/ Звезда по имени Linux: почему «военные» ОС прочнее — Компьютерра-Онлайн]</ref>.
| |
| − |
| |
| − | Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям [[GPL|лицензии GPL]]»<ref name=autogenerated1>[http://www.astra-linux.com/support/chasto-zadavaemye-voprosy.html Часто задаваемые вопросы]</ref>. Система работает с [[deb (формат файлов)|пакетами на базе .deb]]<ref>[http://www.astra-linux.com/nastrojka-apt.html Настройка apt]</ref>. Исходные тексты ядра доступны на сайте разработчика<ref>[http://astra-linux.com/wiki/index.php/Исходники_ядра Исходники ядра — AstraLinux Wiki]</ref>.
| |
| − |
| |
| − | Выпускаемые релизы носят названия [[города-герои|городов-героев]] России и стран СНГ.
| |
| − |
| |
| − | == Основные версии ==
| |
| − |
| |
| − | [[File:Astralinux minoborony.jpg|thumb|Astra Linux Special Edition в [[Национальный центр управления обороной Российской Федерации|Национальном центре управления обороной РФ]]]]
| |
| − | Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):
| |
| − |
| |
| − | * версия «общего назначения» — ''«Орёл»'' (Common Edition) предназначена для «решения задач среднего и малого бизнеса»<ref>[http://rusbitech.ru/products/os/11/ Продукция — Astra Linux Common Edition | ОАО «НПО РусБИТех»]</ref>.
| |
| − | * версия «специального назначения» — ''«Смоленск»'' (Special Edition) предназначена для создания на её основе [[Классификация автоматизированных систем|автоматизированных систем]] в защищённом исполнении, обрабатывающих информацию со [[Гриф секретности|степенью секретности]] «совершенно секретно» включительно<ref>[http://www.astra-linux.com/naznachenie.html Назначение]</ref>. Новые версии выходят с периодичностью 1 год.
| |
| − | *
| |
| − | Операционная система Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации. Кроме того, в целях оптимизации из дистрибутива Astra Linux Special Edition исключен ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД [[MySQL]] и [[PostgreSQL]], входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД [[PostgreSQL]], доработанная по требованиям безопасности информации<ref name=autogenerated1 />.
| |
| − |
| |
| − | Также ведутся разработки версий ''«Тула»'' для коммутационного оборудования, ''«Новороссийск»'' для мобильных устройств на [[ARM (архитектура)|архитектуре ARM]] и ''«Мурманск»'' для [[мэйнфрейм]]ов [[IBM System z]]<ref>[http://www.astra-linux.com/ Astra Linux — сделай систему правильно!]</ref>.
| |
| − |
| |
| − | === История версий ===
| |
| − |
| |
| − | {| class="wikitable"
| |
| − | |+ Версии Astra Linux Special Edition (Смоленск)
| |
| − | ! Версия !! Название !! Дата выпуска !! Версия [[Linux (ядро)|ядра Linux]]
| |
| − | |-
| |
| − | | 1.2 || Astra Linux Special Edition (Смоленск) || 28 октября 2011 || 2.6.34
| |
| − | |-
| |
| − | | 1.3 || Astra Linux Special Edition (Смоленск) || 26 апреля 2013 || 3.2.0<ref name=autogenerated2>[http://astralinux.ru/osnovnye-komponenty.html Основные компоненты]{{ref-ru}}</ref>
| |
| − | |-
| |
| − | | 1.4 || Astra Linux Special Edition (Смоленск) || 19 декабря 2014<ref>[http://astralinux.ru/products/new/193-new1-4.html Версия 1.4]{{ref-ru}}</ref> || 3.16.0
| |
| − | |}
| |
| − |
| |
| − | {| class="wikitable"
| |
| − | |+ Версии Astra Linux Сommon Edition (Орёл)
| |
| − | ! Версия !! Название !! Дата выпуска !! Версия [[Linux (ядро)|ядра Linux]]
| |
| − | |-
| |
| − | | 1.5 || Astra Linux Сommon Edition (Орёл) || конец 2009 || 2.6.31
| |
| − | |-
| |
| − | | 1.6 || Astra Linux Сommon Edition (Орёл) || 23 ноября 2010 ||
| |
| − | |-
| |
| − | | 1.7 || Astra Linux Сommon Edition (Орёл) || 3 февраля 2011 || 2.6.34
| |
| − | |-
| |
| − | | 1.9 || Astra Linux Common Edition (Орёл) || 12 февраля 2013 || 3.2.0
| |
| − | |-
| |
| − | | 1.10 || Astra Linux Common Edition (Орёл) || 14 ноября 2014<ref>[http://astralinux.ru/home/novosti/188-vyshla-novaya-versiya-astra-linux-common-edition-1-10-reliz-orjol.html Версия 1.10]{{ref-ru}}</ref> || 3.16.0<ref name=autogenerated2 />
| |
| − | |}
| |
| − |
| |
| − | == Особенности версии Special Edition ==
| |
| − |
| |
| − | [[Файл:Astra Linux SE.png|мини|справа|Astra Linuх Speсial Edition, релиз Смоленск, версия 1.4. На скриншоте пользователь работает в системе под третьим мандатным уровнем, что указано на индикаторе в системной панели и подтверждается цветной рамкой текущего окна.]]
| |
| − |
| |
| − | === Идентификация и аутентификация ===
| |
| − |
| |
| − | Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма [[PAM]]. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
| |
| − |
| |
| − | === Дискреционное разграничение доступа ===
| |
| − |
| |
| − | В Astra Linux реализован механизм [[Избирательное управление доступом|дискреционных правил разграничения доступа]], который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов ([[Идентификатор пользователя|UID]] и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
| |
| − |
| |
| − | Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа - [[ACL]], с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.
| |
| − |
| |
| − | === Мандатное разграничение доступа ===
| |
| − |
| |
| − | В операционной системе реализован механизм [[Мандатное управление доступом|мандатного разграничения доступа]]. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
| |
| − |
| |
| − | Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
| |
| − | * механизмы [[Межпроцессное взаимодействие|IPC]];
| |
| − | * стек [[TCP/IP]] (IPv4);
| |
| − | * файловые системы [[Ext2]]/[[Ext3]]/[[Ext4]];
| |
| − | * сетевую файловую систему [[Server Message Block|CIFS]];
| |
| − | * файловые системы [[Procfs|proc]], [[tmpfs]].
| |
| − |
| |
| − | В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
| |
| − |
| |
| − | При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
| |
| − |
| |
| − | === Модель контроля и управления доступом ===
| |
| − | Вместо системы принудительного контроля доступа [[SELinux]], в Astra Linux Special Edition используется запатентованная<ref>{{Cite web|accessdate = 2015-09-29|title = Патент на изобретение №2525481|url = http://www1.fips.ru/fips_servl/fips_servlet?DB=RUPAT&rn=528&DocNumber=2525481&TypeFile=html|publisher = www1.fips.ru}}</ref> мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)<ref>{{Cite web|accessdate = 2015-09-29|title = П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85|url = http://www.mathnet.ru/links/132a9aee98556b09f333b6bcb2da237d/pdma140.pdf|publisher = www.mathnet.ru}}</ref>, которая лишена недостатков [[Модель Белла — Лападулы|модели Белла — Лападулы]] (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы<ref>[http://www.astra-linux.com/home/pressa-o-nas/236-khaker-russkij-bronirovannyj-debian-kak-ustroena-novaya-model-upravleniya-dostupom-v-astra-linux-se.html «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE<!-- Заголовок добавлен ботом -->]</ref>.
| |
| − |
| |
| − | В отличие от классической модели [[Мандатное управление доступом|мандатного управления доступом]], в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено [[ролевое управление доступом]], наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени<ref>[http://cyberleninka.ru/article/n/obzornye-lektsii-po-modelyam-bezopasnosti-kompyuternyh-sistem ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...<!-- Заголовок добавлен ботом -->]</ref>.
| |
| − |
| |
| − | Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и [[Академия Федеральной службы безопасности России|Академии ФСБ Росиии]] и [[Верификация|верифицирована]] [[Институт системного программирования РАН|Институтом Системного программирования Российской Академии Наук]]. В результате дедуктивной верификации<ref>{{Cite web|url = http://linuxtesting.ru/astraver|title = Дедуктивная верификация модулей ядра|author = Центр верификации ОС Linux|work = Linux Deductive Verification}}</ref> модель была полностью формализована и верифицирована.<ref>{{Статья|автор = И. Щепетков|заглавие = Rodin — платформа для разработки и верификации моделей на Event-B|ссылка = http://www.ispras.ru/upload/iblock/5e5/5e5ac36633ead83d10476199d697be85.pdf|язык = русский|издание = |тип = |год = |месяц = |число = |том = |номер = |страницы = |issn = }}</ref>
| |
| − |
| |
| − | В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на [[SELinux|SELinux,]] в российских реализациях операционных систем на базе [[Linux]].
| |
| − |
| |
| − | === Защита от эксплуатации уязвимостей ===
| |
| − |
| |
| − | В состав ядра операционной системы Astra Linux включен набор изменений [[PaX]], обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
| |
| − |
| |
| − | * запрет записи в область памяти, помеченную как исполняемая;
| |
| − | * запрет создания исполняемых областей памяти;
| |
| − | * запрет перемещения сегмента кода;
| |
| − | * запрет создания исполняемого стека;
| |
| − | * случайное распределение [[Адрес (информатика)|адресного пространства процесса]].
| |
| − |
| |
| − | === Другие функции ===
| |
| − |
| |
| − | * Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
| |
| − |
| |
| − | * Маркировка документов: разработанный механизм маркировки позволяет серверу печати ([[CUPS]]) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
| |
| − |
| |
| − | * Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
| |
| − |
| |
| − | * Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя [[X Window System|Х-сервер]] [[Xorg]], пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение [[Мандатное управление доступом|мандатного разграничения доступа]] в графических приложениях, запущенных в собственном изолированном окружении.
| |
| − |
| |
| − | * Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате [[ELF]]. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с [[ГОСТ]] Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
| |
| − |
| |
| − | * Контроль целостности: для решения задач контроля целостности применяется функция [[хэширование|хэширования]] в соответствии с ГОСТ Р 34.11-94.1<ref>[http://astra-linux.com/klyuchevye-osobennosti.html Ключевые особенности]</ref>
| |
| − |
| |
| − | == Системные требования ==
| |
| − |
| |
| − | * [[VGA]]-совместимый видеоинтерфейс;
| |
| − | * не менее 512 МБ оперативной памяти;
| |
| − | * не менее 4 ГБ свободного места на жестком диске<ref>ftp://astra-linux.com/docs/AstraLinuxSE_install.pdf</ref>.
| |
| − |
| |
| − | == Аппаратные компоненты ==
| |
| − |
| |
| − | Производителем ОС предлагается также «аппаратно-программный модуль доверенной загрузки „МАКСИМ-М1“» («изделие М643М1») на [[шина PCI|шине PCI]], обеспечивающий защиту оборудования от [[Несанкционированный доступ|несанкционированного доступа]] и ряд других связанных с [[Информационная безопасность|информационной безопасностью]] функций. Кроме Astra Linux устройством поддерживаются другие ОС с ядром Linux (2.6.x или 3.x.x) и ряд ОС семейства [[Microsoft Windows]]<ref>[http://www.astra-linux.com/features/menu-example.html АПМДЗ «Максим-М1»]</ref>. Контроль доступа может быть реализован с применением [[Магнитный ключ|магнитного ключа]].
| |
| | | | |
| | == См. также == | | == См. также == |