Astra Linux.Из википедии

Материал из ТХАБ.РФ
Перейти к: навигация, поиск

Astra Linux («А́стра Ли́нукс», от лат. astra — звезда) — операционная система специального назначения на базе ядра Linux, созданная для нужд российских силовых ведомств и спецслужб. Обеспечивает степень защиты обрабатываемой информации до уровня государственной тайны «совершенно секретно» включительно. Сертифицирована в системах сертификации средств защиты информации Минобороны, ФСТЭК и ФСБ[1] России.

Астра Линукс. Быстрая навигация. Показать ...

Разработка

Разрабатывается ОАО «НПО РусБИТех» во исполнение распоряжения Правительства РФ № 2299-р от 17 декабря 2010 г., утверждающего План перехода федеральных органов исполнительной власти и федеральных бюджетных учреждений на использование свободного программного обеспечения[2].

Производитель заявляет, что «лицензионные соглашения на операционные системы Astra Linux разработаны в строгом соответствии с положениями действующих правовых документов Российской Федерации, а также международных правовых актов», при этом они «не противоречат духу и требованиям лицензии GPL»[3]. Система работает с пакетами на базе .deb[4]. Исходные тексты ядра доступны на сайте разработчика[5].

Выпускаемые релизы носят названия городов-героев России и стран СНГ.

Применение

Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ[6]. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций[7]. В ноябре 2015 года подписано соглашение о сотрудничестве[8] с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux[9].

Основные версии

Производителем разрабатывается базовая версии Astra Linux — Common Edition (общего назначения) и её модификация Special Edition (специального назначения):

  • версия «общего назначения» — «Орёл» (Common Edition) предназначена для «решения задач среднего и малого бизнеса»[10].
  • версия «специального назначения» — «Смоленск» (Special Edition) предназначена для создания на её основе автоматизированных систем в защищённом исполнении, обрабатывающих информацию со степенью секретности «совершенно секретно» включительно[11]. Новые версии выходят с периодичностью 1 год.

Операционная система Astra Linux Special Edition основана на дистрибутиве Astra Linux Common Edition и включает в себя ряд принципиальных доработок для обеспечения соответствия требованиям руководящих документов по защите информации. Кроме того, в целях оптимизации из дистрибутива Astra Linux Special Edition исключен ряд дублирующих друг друга компонент, решающих сходные целевые задачи. Например, из двух СУБД MySQL и PostgreSQL, входящих в состав Astra Linux Common Edition, в дистрибутив операционной системы Astra Linux Special Edition включена СУБД PostgreSQL, доработанная по требованиям безопасности информации[3].

Также ведутся разработки версий «Тула» для коммутационного оборудования, «Новороссийск» для мобильных устройств на архитектуре ARM и «Мурманск» для мэйнфреймов IBM System z[12].

История версий

Версии Astra Linux Special Edition (Смоленск)
Версия Название Дата выпуска Версия ядра Linux
1.2 Astra Linux Special Edition (Смоленск) 28 октября 2011 2.6.34
1.3 Astra Linux Special Edition (Смоленск) 26 апреля 2013 3.2.0[13]
1.4 Astra Linux Special Edition (Смоленск) 19 декабря 2014[14] 3.16.0
Версии Astra Linux Сommon Edition (Орёл)
Версия Название Дата выпуска Версия ядра Linux
1.5 Astra Linux Сommon Edition (Орёл) конец 2009 2.6.31
1.6 Astra Linux Сommon Edition (Орёл) 23 ноября 2010
1.7 Astra Linux Сommon Edition (Орёл) 3 февраля 2011 2.6.34
1.9 Astra Linux Common Edition (Орёл) 12 февраля 2013 3.2.0
1.10 Astra Linux Common Edition (Орёл) 14 ноября 2014[15] 3.16.0[13]

Особенности версии Special Edition

Файл:Astra Linux SE.png
Astra Linuх Speсial Edition, релиз Смоленск, версия 1.4. На скриншоте пользователь работает в системе под третьим мандатным уровнем, что указано на индикаторе в системной панели и подтверждается цветной рамкой текущего окна.

Идентификация и аутентификация

Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.

Дискреционное разграничение доступа

В Astra Linux реализован механизм дискреционных правил разграничения доступа, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).

Кроме общей схемы разграничения доступа, Astra Linux поддерживает также список контроля доступа - ACL, с помощью которого можно для каждого объекта задавать права всех субъектов на доступ к нему.

Мандатное разграничение доступа

В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.

Механизм мандатного разграничения доступа затрагивает следующие подсистемы:

  • механизмы IPC;
  • стек TCP/IP (IPv4);
  • файловые системы Ext2/Ext3/Ext4;
  • сетевую файловую систему CIFS;
  • файловые системы proc, tmpfs.

В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа

При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.

Модель контроля и управления доступом

Вместо системы принудительного контроля доступа SELinux, в Astra Linux Special Edition используется запатентованная[16] мандатная сущностно-ролевая ДП-модель управления доступом и информационными потокам (МРОСЛ ДП-модель)[17], которая лишена недостатков модели Белла — Лападулы (деклассификация, нарушение логики доступа к данным при обработке потока информации в распределенной среде ) и содержит дополнительные способы разграничения доступа, например, два уровня целостности системы[18].

В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[19].

Указанная математическая модель реализована в программном коде специалистами ОАО «НПО „РусБИТех“» и Академии ФСБ Росиии и верифицирована Институтом Системного программирования Российской Академии Наук. В результате дедуктивной верификации[20] модель была полностью формализована и верифицирована.[21]

В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.

Защита от эксплуатации уязвимостей

В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:

  • запрет записи в область памяти, помеченную как исполняемая;
  • запрет создания исполняемых областей памяти;
  • запрет перемещения сегмента кода;
  • запрет создания исполняемого стека;
  • случайное распределение адресного пространства процесса.

Другие функции

  • Очистка оперативной и внешней памяти и гарантированное удаление файлов: операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении, используя маскирующие последовательности.
  • Маркировка документов: разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учётные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше «несекретно», невозможен.
  • Регистрация событий: расширенная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса parlogd.
  • Механизмы защиты информации в графической подсистеме: графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях, запущенных в собственном изолированном окружении.
  • Механизм контроля замкнутости программной среды: реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
  • Контроль целостности: для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94.1[22]

Системные требования

  • VGA-совместимый видеоинтерфейс;
  • не менее 512 МБ оперативной памяти;
  • не менее 4 ГБ свободного места на жестком диске[23].

Аппаратные компоненты

Производителем ОС предлагается также «аппаратно-программный модуль доверенной загрузки „МАКСИМ-М1“» («изделие М643М1») на шине PCI, обеспечивающий защиту оборудования от несанкционированного доступа и ряд других связанных с информационной безопасностью функций. Кроме Astra Linux устройством поддерживаются другие ОС с ядром Linux (2.6.x или 3.x.x) и ряд ОС семейства Microsoft Windows[24]. Контроль доступа может быть реализован с применением магнитного ключа.

См. также

Ссылки

Примечания

Ошибка цитирования Ошибочный тег <references>; можно использовать только параметр group.

Используйте <references /> или <references group="…" />
{{#invoke: Check for unknown parameters | check

| unknown = | preview = Страница использует Шаблон:Примечания с неизвестным параметром «_VALUE_» | ignoreblank = y | 1 | colwidth | group | liststyle | refs }}


{{#invoke:Navbox|navbox}} {{#invoke:Navbox|navbox}}


Яндекс | Картинки | Видео | Карты | Карты ОСМ | Спутник | Гугл | Вольфрам-Альфа | РуВики | EnWiki
  1. Получен сертификат ФСБ на Astra Linux
  2. Звезда по имени Linux: почему «военные» ОС прочнее — Компьютерра-Онлайн
  3. 3,0 3,1 Часто задаваемые вопросы
  4. Настройка apt
  5. Исходники ядра — AstraLinux Wiki
  6. Крым импортозамещается. «РусБИТех» и «Крымтехнологии» приступили к сотрудничеству
  7. Крым может стать примером для всей России по стратегически важному вопросу | иNтерМонитор.ру
  8. РусБИТех и Huawei подписали соглашение о сотрудничестве
  9. Стоечный сервер Huawei RH2288H V3, маркированный как совместимый с Astra Linux
  10. Продукция — Astra Linux Common Edition | ОАО «НПО РусБИТех»
  11. Назначение
  12. Astra Linux — сделай систему правильно!
  13. 13,0 13,1 Основные компоненты (рус.)
  14. Версия 1.4 (рус.)
  15. Версия 1.10 (рус.)
  16. Патент на изобретение №2525481. www1.fips.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
  17. П. Н. Девянин, “Условия безопасности информационных потоков по памяти в рамках МРОСЛ ДП-модели”, ПДМ. Приложение, 2014, № 7, 82–85. www.mathnet.ru. Дата обращения 29 сентября 2015.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
  18. «Хакер» - Русский бронированный Debian. Как устроена новая модель управления доступом в Astra Linux SE
  19. ОБЗОРНЫЕ ЛЕКЦИИ ПО МОДЕЛЯМ БЕЗОПАСНОСТИ КОМПЬЮТЕРНЫХ СИСТЕМ - тема научной статьи по общим и комплексным проблемам технических и прикладных наук и отраслей народного хозяйства...
  20. {{#invoke:String|replace|source=Центр верификации ОС Linux|pattern=^(%[*)(.-[^%.%]])(%]*)$|replace=%1%2%3.|plain=false}} Дедуктивная верификация модулей ядра. Linux Deductive Verification.{{#invoke:check for unknown parameters|check |unknown= |preview=В шаблоне «cite web» обнаружен параметр «_VALUE_», пожалуйста, исправьте его или удалите. |showblankpositional=1 |url|title|author|first|last|authorlink|coauthors|editor|subtitle|quote|description|date|format|website|pages|location|publisher|lang|doi|deadlink|accessdate|archiveurl|archivedate|ref|work|language|datepublished}}
  21. И. Щепетков Rodin — платформа для разработки и верификации моделей на Event-B (русский).
  22. Ключевые особенности
  23. ftp://astra-linux.com/docs/AstraLinuxSE_install.pdf
  24. АПМДЗ «Максим-М1»