Sisteme de operare securizate. Mecanisme de protecție a sistemului de operare

Sistemele de operare securizate sunt versiuni speciale ale omologilor lor „în cutie”, caracterizate printr-un sistem de securitate îmbunătățit.

Charles Calco este un mare fan al sistemelor de operare de încredere. sistem de operare). Folosind setul de instrumente PitBull de la Argus Systems Group, el se ocupă de izolarea componentelor vitale care stau la baza site-ului său, unde se întâlnesc companiile interesate de tot felul de barter. Ca urmare, el reușește să obțină o mai mare securitate și o mai mare stabilitate a sistemului, fie și doar pentru că administratorii au mai puține oportunități de a comite orice acțiuni nerezonabile în legătură cu acesta.

Dar sistemele de operare sigure, așa cum a remarcat Calko, inginer senior de securitate la Bigvine.com, sunt ca bombele cu neutroni - „pot rezolva foarte repede multe probleme, dar și să creeze altele noi. Săvârșind acțiuni neplăcute, îți poți distruge serios viața.” Cu alte cuvinte, managerii IT ar trebui să utilizeze sisteme de operare securizate numai atunci când beneficiile pe care le oferă justifică costurile de formare și timpul necesar pentru menținerea acestora.

Sistemele de operare sigure sunt soiuri speciale sisteme de operare „în cutie”, precum Windows NT și Unix, cu protecție avansată. Este logic să instalați o versiune securizată a NT pe un server Web care conține sau are acces la informații corporative esențiale. Cu toate acestea, rețineți că sistemele de operare securizate sunt de obicei mult mai dificil de învățat și întreținut decât omologii lor standard.

De exemplu, un sistem de operare sigur ar putea include aplicațiile în „costume” impenetrabile, caz în care administratorul de sistem poate simți că aplicația s-a prăbușit atunci când pur și simplu nu i s-a acordat dreptul de a aceasta aplicație Control. Și întrucât astfel de sisteme de operare distribuie rolurile administrative între multe persoane, cei implicați în întreținerea lor trebuie să își coordoneze acțiunile cu deosebită atenție.

Comandă nouă

Există o schimbare dramatică în modul în care organizațiile se gândesc la protejarea aplicațiilor și a datelor. Economia web modernă obligă organizațiile să se asigure că infrastructura lor corporativă este cât mai sigură posibil de hackeri, asigurând în același timp accesul utilizatorilor la aplicații. În același timp, concurența impune companiilor să își implementeze sistemele de comerț electronic cât mai repede posibil, chiar dacă unele componente ale acestor sisteme au unele defecte de securitate.

„Trebuie să determinați care sisteme sunt esențiale pentru afacerea dumneavoastră”, a spus Chuck Ryan, director de securitate a informațiilor la Molex. „Este pur și simplu imposibil să protejezi totul.”

Sistemele de operare, în special pe servere, pot fi cel mai slab punct dat fiind rolul fundamental pe care îl joacă în managementul datelor.

Orice sistem de operare standard poate fi făcut mai sigur sau consolidat proceduri simple- de exemplu, eliminați valorile evidente ale parolei de administrator sau dezactivați conexiunile Web atunci când nu sunt utilizate. Dar acești pași de bun simț pot consuma timp și, din păcate, nu sunt întotdeauna capabili să protejeze critici server important de la un hacker hotărât.

Un adevărat sistem de operare securizat este construit de la început având în vedere securitatea. După cum a remarcat Paul McNabb, director de tehnologie la Argus Systems, un sistem de operare sigur se distinge prin prezența următoarelor trei „pârghii”.

• Politica obligatorie de control al accesului. Să luăm în considerare o problemă simplă partajarea fișier - banal dacă ești un utilizator legitim și posibil periculos dacă ești un hacker. „Când lucrați cu NT sau Sistem de operare Unix sistemul nu indică dacă poate fi partajat acest fișier sau trimiteți-l prin poștă”, a menționat McNabb. „Dar atunci când implementați controale de acces autorizate, cum ar fi cele utilizate de PitBull, puteți configura sistemul în avans pentru a determina că un anumit utilizator nu va putea niciodată să acceseze anumite resurse sau să-și transfere drepturile de acces altcuiva.”
• Administrarea privilegiilor care pot fi utilizate pentru a controla și limita capabilitățile unui utilizator sau aplicație care controlează un sistem sau o parte a unui sistem. „Într-un sistem de operare securizat, puteți instala un program care nu poate schimba niciodată alocarea privilegiilor, chiar dacă cumva programul cade sub controlul complet al unui hacker”, a menționat McNabb. Această soluție va împiedica un hacker să intre în sistem printr-o aplicație dacă, să zicem, reușește să dezactiveze parola care protejează alte aplicații.
• O analiză independentă efectuată, de exemplu, de Institutul Național de Standarde și Tehnologie sau Agenția Națională de Securitate din SUA.

Pe baza acestor criterii, cele mai comune sisteme de operare - Microsoft Windows NT și Windows 2000, precum și diverse versiuni de Unix - nu sunt sisteme securizate, deși Windows 2000 reprezintă un pas semnificativ înainte datorită „protecției fișierelor de sistem” care permite securitatea unor componente critice.

Sistemele de operare securizate de la principalii furnizori Unix, cum ar fi Sun Microsystems și Hewlett-Packard, există de mult timp, dar nu au fost deosebit de populare din cauza complexității managementului și a lipsei unor caracteristici importante pe care le au omologii lor comerciali. În plus, după cum a subliniat John Pescatore, analist la GartnerGroup, acestea nu erau pe deplin compatibile cu aplicațiile care funcționau cu variantele lor mai puțin sigure.

De regulă, aceste sisteme de operare securizate au fost utilizate numai în medii cu risc ridicat - în bănci și agenții guvernamentale care își puteau permite să aloce suficient timp și resurse pentru gestionarea unor astfel de sisteme.

Versiunile mai noi de software, cum ar fi HP Virtual Vault (o versiune securizată a HP-UX) și PitBull (care îmbunătățește caracteristicile de securitate ale Sun Solaris, IBM AIX și NT) sunt mult mai ușor de utilizat, dar, așa cum a subliniat Pescatore, sunt încă semnificativ mai scumpe decât omologii lor standard. Astfel, nevoia de sisteme de operare suficient de ieftine și de încredere crește pe măsură ce este din ce în ce mai mare sisteme corporative stabilirea de legături cu lumea exterioară.

Potrivit experților, nu numai sistemele de operare în sine conțin destul de multe defecte de securitate, dar și multe aplicații pe care utilizatorii le instalează cresc vulnerabilitatea sistemelor corporative. Sunt descoperite sute, dacă nu mii, de defecte de securitate, de la parole slabe la conturi de utilizator sau structuri de fișiere, care rămân adesea practic deschise hackerilor.

Protecție pe mai multe niveluri

Cele mai multe sisteme de operare securizate separă serviciile pe care le oferă (cum ar fi acces la fișiere, imprimare sau rețea) în medii software izolate (numite sandbox), astfel încât doar anumiți utilizatori finali, administratori sau aplicații să aibă acces la aceste zone.

Pentru a se asigura că modificările la o astfel de configurare a sistemului pot fi făcute numai de către administratorii autorizați, sistemele de operare securizate pot solicita ca administratorii să fie autentificați cu o parolă și o carte de identitate specială și să permită autentificarea numai de la anumite gazde sau adrese de rețea specifice.

Limitarea listei de persoane care au capacitatea de a face modificări, potrivit lui Kalko, ne permite să reducem așa-numita „abatere a sistemului” - modificări nedocumentate în configurație care nu numai că deschid găuri de securitate, ci și afectează negativ stabilitatea sistemului. sistem.

Cu toate acestea, crearea multor straturi de management poate fi extrem de complexă. Fragmentarea managementului sistemului și accesul la directorul rădăcină (care permite accesul la toate celelalte directoare și fișiere) a necesitat o pregătire specială pentru fiecare dintre cei zece oameni din echipa de administratori de sistem Calco.

Sistemele existente

Software-ul QSecure de la Qiave Technologies (achizitionat recent de WatchGuard Technologies) blocheaza accesul la portiuni ale serverelor aflate in modul de productie si ofera o consola pentru gestionarea securitatii retelei. După cum a subliniat Jack Donahue, directorul companiei, în modul de funcționare, nici un administrator de sistem autorizat nu poate întreprinde acțiuni care ar putea perturba funcționarea sistemului.

În plus, QSecure utilizează criptarea curbei eliptice pe 239 de biți pentru a transmite cereri către nucleu sistem de operare.

„De fiecare dată când doriți să accesați unul dintre fișierele sistemului de fișiere de pe propriul computer, va trebui să vă autentificați din nou la sistemul de fișiere”, a menționat Donahue. În ceea ce privește ușurința în utilizare, el a menționat că versiunea de bază a serverului NT necesită doar cinci clicuri și o parolă de două ori.

La fel, după cum a subliniat Harry Sevounts, director de marketing pentru Hewlett-Packard securitatea internetului Division, „versiunea actuală a HP Virtual Vault împarte funcțiile sistemului de operare în doar patru blocuri, mai degrabă decât să plaseze fiecare proces în propriul bloc, ceea ce ar face munca mult mai complicată”.

Noul software HP Web Proxy este chiar mai ușor de utilizat. Este mai puțin configurabil, dar mult mai ușor de utilizat ca caracteristică externă de securitate pentru serverele web populare.

Această ușurință în operare face o diferență enormă pentru unii manageri IT.

"Noi companie internationala, așa că trebuie să fim capabili să ne gestionăm software-ul la nivel central”, a subliniat Ryan. El ar dori rapoarte care să arate care vulnerabilități sunt cele mai importante, mai degrabă decât o listă cu 500 de pericole posibile. „Nu putem preda o astfel de listă serviciilor de sprijin și să le cerem să elimine toate acestea”, a menționat el. În cele din urmă, Ryan și-ar dori să aibă instrumente care să funcționeze pe NT, Unix și poate chiar pe NetWare, astfel încât să nu fie nevoie să aibă specialiști separati să monitorizeze fiecare platformă.

Karl Tianen, Director de Securitate a Sistemelor Informaționale la Halliburton Corporation, a menționat că este foarte îngrijorat de costul menținerii unui sistem de operare securizat: „Uitați-vă la Windows NT și evaluați efortul necesar pentru a-l administra. Când îi adăugați straturi de securitate, sistemul poate deveni foarte complex.”

Din aceste motive, Pescatore sugerează instalarea sistemelor de operare securizate în primul rând pe servere care sunt folosite pentru a transmite tranzacții financiare prin Web și numai dacă grupul protecţie corporativă poate ajuta administratorii de sistem sisteme similare serviciu.

„Când același sistem este accesat de persoane diferite, clase diferite de utilizatori sau când aceeași mașină este conectată la diferite clase de rețele”, a spus McNabb, „sistemele de operare securizate devin critice”.

Ca exemplu, McNabb a citat servere care sunt conectate atât la Web, cât și la sistemele informaționale interne; sisteme care gestionează sistemele de criptare a infrastructurii cu chei publice; servere care acceptă firewall-uri.

Sisteme de operare securizate și costurile acestora

Argus Systems Group

Produs: Familia PitBull de sisteme de operare securizate care îmbunătățesc securitatea Sun Solaris, IBM AIX și Linux
Preț: de la 5 mii USD pentru un sistem de operare care rulează pe un server Web cu un singur procesor, până la 50 mii USD pentru implementare într-o întreagă corporație Sistem informatic

Produs: Virtual Vault (o versiune securizată a HP-UX), care rulează numai pe platformele hardware HP și HP Praesidium WebEnforcer, care este un set de instrumente pentru monitorizare continuăși remedieri pentru defecte de securitate în Windows NT
Preț: Virtual Vault costă de la 15.000 USD; WebEnforcer - 3 mii USD per server

Asociații de calculatoare

Produs: eTrust Access Control, care poate fi folosit pentru a consolida Windows NT și diferite variante Unix. Controlează accesul la fișiere, execuția în mod critic aplicatii importante si acces la servicii de rețea
Preț: de la 4 mii de dolari

Qiave Technologies (achizitionat recent de WatchGuard Technologies)

Produs: QSecure Enterprise Suite pentru Windows NT, Windows 2000 și Sun Solaris. Blochează orice modificare atunci când sistemul de operare este în modul de lucru; efectuarea de modificări la sistem în modul de administrare este permisă numai după o autentificare completă
Preț: de la 1295 USD

Sistem de operare securizat certificat în Rusia

Lista produselor certificate de la 1 decembrie 2000

SecretNet NT 4.0

Clasa de securitate: al treilea
Trimis pentru certificare: NIP „Informzashita”

Sistem de operare NetWare 5.1 cu subsistem Trusted NetWare Unit

Clasa de securitate: Al patrulea
Trimis pentru certificare: Reprezentanta Novell

Complex „AccordSet-NDS” pentru sistemele de operare NetWare

Clasa de securitate: Al patrulea
Trimis pentru certificare: OKB SAPR, LLP „Firm InfoCrypt LTD”

Sistem de operare „Sistemul mobil al forțelor armate”

Clasa de securitate: versiunea 1.5 - a treia, versiunea 2.0 - a doua
Trimis pentru certificare: Institutul de Cercetare din întreaga Rusie pentru Automatizarea Controlului în Sectorul Neindustrial

Sistem de protecție a informațiilor „Snow” pentru computerele care rulează MS DOS 5.0, 6.0

Clasa de securitate: versiunea 1.0 - a treia, versiunea 2.0 - a doua
Trimis pentru certificare: TsNIIAtoinform Minatom din Rusia

Tipuri de sisteme protejate

Un sistem de operare securizat diferă de unul obișnuit prin faptul că corespunde unei clase de securitate superioare. De exemplu, conform clasificării adoptate în SUA, grupa C include sisteme de operare cu protecție mai puțin sofisticată decât cele care îndeplinesc cerințele uneia dintre clasele B. Aceste clase diferă prin faptul că asigură controlul accesului forțat, în timp ce cu control arbitrar, proprietarul setului de resurse are drepturi de acces pentru alți utilizatori. În Rusia, clasele de securitate sunt determinate de Documentul de orientare al Comisiei Tehnice de Stat sub președintele Federației Ruse. Cu toate acestea, chiar și în aceste documente există clase - de la a doua la a patra - în care se folosește „protecția obligatorie”, sau controlul accesului forțat. Un sistem de operare protejat trebuie să fie certificat pentru a se conforma cu una dintre aceste clase.

Să numim trăsăturile caracteristice ale unui sistem de operare protejat. Drepturile de acces în astfel de sisteme sunt stabilite de sistemul însuși în conformitate cu etichetele de securitate care sunt atribuite tuturor obiectelor și subiectelor sistemului de operare. Etichetele de securitate sunt similare cu nivelurile de confidențialitate, așa că pentru claritate, vom formula reguli de acces pentru nivelurile de confidențialitate. Regulile de acces la obiecte sunt definite după cum urmează: un subiect poate citi un obiect cu un nivel de securitate mai mic sau egal și poate scrie pe un obiect cu un nivel de securitate mai mare sau egal. În plus, un subiect poate controla alți subiecți cu un nivel de securitate mai mic sau egal. Aceste reguli oferă un nivel de bază de acces obligatoriu.

Sistemul de operare poate fi fie securizat de la început, fie poate fi creat un produs special care să îi asigure protecția. Dacă te uiți la lista produselor certificate de Comisia Tehnică de Stat pentru clasele de securitate de la a patra la a doua, poți găsi sisteme de operare și produse pentru creșterea securității sistemelor de operare. De menționat că Comisia Tehnică de Stat nu certifică producția de produse străine, ci doar loturi specifice ale acestora.

Valeri Korzhov

Atacuri de hackeri...

...OS protejat

A.În timpul unui atac asupra unui sistem de operare protejat, hackerul fie copiază, ghicește sau decodifică parola de administrator B. Chiar dacă hackerul reușește să uzurpare identitatea unui administrator, el nu poate folosi caracteristicile sistemului de operare care sunt blocate în timp ce sistemul rulează

Un sistem de operare este un set special organizat de programe care gestionează resursele sistemului (calculatoare, sisteme informatice, alte componente ale unui sistem informatic) în scopul utilizării lor cât mai eficiente și oferă o interfață de utilizator cu resurse.

Sistemele de operare, precum hardware-ul computerelor, au trecut prin mai multe generații pe parcursul dezvoltării lor.

Sistemele de operare din prima generație au avut ca scop accelerarea și simplificarea tranziției de la o sarcină utilizator la alta (un alt utilizator), ceea ce a ridicat problema asigurării securității datelor aparținând diferitelor sarcini.

A doua generație a sistemului de operare a fost caracterizată prin extinderea software-ului pentru operațiunile I/O și standardizarea gestionării întreruperilor. Securitatea sigură a datelor, în general, rămâne o problemă nerezolvată.

Până la sfârșitul anilor 60. secolul XX Trecerea la o organizare multiprocesor a tehnologiei informatice a început să aibă loc, astfel încât problemele de distribuție a resurselor și de protecție a acestora au devenit mai acute și insolubile. Rezolvarea acestor probleme a condus la organizarea adecvată a sistemului de operare și la utilizarea pe scară largă a protecției hardware (protecția memoriei, controlul hardware, diagnosticare etc.).

Principala tendință în dezvoltarea tehnologiei informatice a fost și rămâne ideea de a maximiza accesibilitatea acesteia pentru utilizatori, ceea ce contrazice cerința de a asigura securitatea datelor.

Prin mecanisme de protecție a sistemului de operare înțelegem toate instrumentele și mecanismele de protecție a datelor care funcționează ca parte a sistemului de operare. Sistemele de operare care conțin instrumente și mecanisme de protecție a datelor sunt adesea numite sisteme securizate.

Prin securitatea sistemului de operare înțelegem o stare a sistemului de operare în care este imposibil să perturbați accidental sau intenționat funcționarea sistemului de operare, precum și să încălcați securitatea resurselor sistemului gestionate de sistemul de operare. Să subliniem următoarele caracteristici ale sistemului de operare, care ne permit să separăm problemele de securitate ale sistemului de operare într-o categorie specială:

gestionarea tuturor resurselor sistemului;

prezența mecanismelor încorporate care afectează direct sau indirect securitatea programelor și datelor care rulează în mediul OS;

furnizarea unei interfețe de utilizator cu resurse de sistem;

dimensiunea și complexitatea sistemului de operare.

Majoritatea sistemelor de operare au defecte în ceea ce privește asigurarea securității datelor în sistem, ceea ce se datorează sarcinii de a asigura disponibilitatea maximă a sistemului pentru utilizator.

Să ne uităm la defectele funcționale tipice ale sistemului de operare care pot duce la crearea unor canale de scurgere de date.

Identificare. Fiecare resursă din sistem trebuie să i se atribuie un nume unic - un identificator. În multe sisteme, utilizatorii nu au nicio modalitate de a verifica dacă resursele pe care le folosesc aparțin de fapt sistemului.

Parole. Majoritatea utilizatorilor aleg parole simple care sunt ușor de ghicit sau de ghicit.

Lista parolelor. Stocarea unei liste de parole în formă necriptată face posibilă compromiterea acesteia cu accesul ulterioar neautorizat la date.

Valori de prag. Pentru a preveni încercările de conectare neautorizate prin ghicirea unei parole, este necesar să se limiteze numărul de astfel de încercări, ceea ce nu este prevăzut în unele sisteme de operare.

Încredere implicită. În multe cazuri, programele OS presupun că alte programe funcționează corect.

Memoria comună. Când se utilizează memoria partajată, secțiunile memoriei cu acces aleatoriu (RAM) nu sunt întotdeauna șterse după executarea programelor.

Deconectare. Dacă conexiunea eșuează, sistemul de operare trebuie să încheie imediat sesiunea utilizatorului sau să re-autentifice subiectul.

Un sistem poate conține multe elemente (de exemplu, programe) care au privilegii diferite.

Principala problemă a asigurării securității sistemului de operare este problema creării mecanismelor de control al accesului la resursele sistemului. Procedura de control al accesului consta in verificarea conformitatii cererii subiectului cu drepturile ce i se acorda de acces la resurse. În plus, sistemul de operare conține ajutoare protecții precum monitorizarea, controalele preventive și auditul. Împreună, mecanismele de control al accesului și controalele auxiliare de securitate constituie mecanisme de control al accesului.

Controalele preventive sunt necesare pentru a elimina utilizatorul de la efectuarea directă a operațiunilor critice pentru securitate și pentru a transfera aceste operațiuni la controlul sistemului de operare. Pentru a asigura securitatea datelor, lucrul cu resursele sistemului se efectuează folosind programe speciale OS, la care accesul este limitat.

Instrumentele de monitorizare mențin continuu un jurnal, care înregistrează toate evenimentele din sistem. Sistemul de operare poate utiliza alarme de neconformitate care sunt utilizate atunci când este detectată o încălcare a securității datelor sau o încercare de încălcare.

Controlul accesului la date. La crearea mecanismelor de control al accesului, este necesar, în primul rând, definirea unor seturi de subiecte și obiecte de acces. Subiectele pot fi, de exemplu, utilizatori, sarcini, procese și proceduri. Obiecte - fișiere, programe, semafoare, directoare, terminale, canale de comunicare, dispozitive, blocuri OP etc. Subiectele pot fi considerate și obiecte, deci un subiect poate avea drepturi de acces la un alt subiect. Într-un proces specific la un moment dat de timp, subiecții sunt elemente active, iar obiectele sunt pasive.

Pentru a accesa un obiect, subiectul trebuie să aibă permisiunile corespunzătoare. Autoritatea este un anumit simbol, a cărui posesie dă subiectul anumite drepturi accesul în raport cu un obiect, sfera de protecție determină drepturile de acces ale unui anumit subiect la un set de obiecte protejate și reprezintă totalitatea tuturor puterilor unui subiect dat.

Când sistemul funcționează, este necesar să se poată crea noi subiecte și obiecte. Atunci când un obiect este creat, autoritatea subiecților de a utiliza acest obiect este creată simultan. Entitatea care a creat autoritatea o poate folosi pentru a accesa un obiect sau poate crea mai multe copii ale autorității pentru a le transfera altor entități.

Dintr-o perspectivă tradițională, controalele de acces vă permit să specificați și să controlați acțiunile pe care subiecții (utilizatori și procese) le pot efectua asupra obiectelor (informații și alte resurse informatice). ÎN aceasta sectiune Vom vorbi despre controlul accesului logic, care, spre deosebire de controlul accesului fizic, este implementat de software. Controlul logic al accesului este un mecanism de bază al sistemelor multi-utilizator conceput pentru a asigura confidențialitatea și integritatea obiectelor și, într-o oarecare măsură, disponibilitatea acestora (prin interzicerea serviciilor către utilizatori neautorizați).

Să luăm în considerare formularea formală a problemei în interpretarea tradițională. Există un set de subiecte și un set de obiecte. Sarcină control logic accesul este de a defini pentru fiecare pereche „subiect-obiect” un set de operații valide și de a controla execuția ordinii stabilite.

Relația „subiecte-obiecte” poate fi reprezentată ca o matrice de acces, ale cărei rânduri listează subiecte, coloanele conțin obiecte, iar celulele situate la intersecția rândurilor și coloanelor conțin conditii suplimentare(de exemplu, ora și locația) și tipurile de acces permise. Un fragment al matricei poate arăta, de exemplu, așa cum se arată în tabel. 1.

Tabelul 1. Fragment al matricei de acces

Tema controlului logic al accesului este una dintre cele mai complexe din domeniu. securitatea informatiei. Faptul este că însuși conceptul de obiect (și cu atât mai mult de tipuri de acces) se schimbă de la serviciu la serviciu. Pentru un sistem de operare, obiectele includ fișiere, dispozitive și procese. În ceea ce privește fișierele și dispozitivele, sunt de obicei luate în considerare drepturile de citire, scriere, executare (pentru fișiere de program) și uneori de ștergere și adăugare. Un drept separat poate fi capacitatea de a transfera drepturi de acces către alte entități (așa-numitul drept de proprietate). Procesele pot fi create și distruse. Sistemele de operare moderne pot suporta alte obiecte.

Pentru sistemele de gestionare a bazelor de date relaționale, un obiect este o bază de date, tabel, vizualizare, procedură stocată. Operațiunile de căutare, adăugare, modificare și ștergere a datelor din alte obiecte sunt aplicabile tabelelor. Ca urmare, atunci când setați o matrice de acces, trebuie să țineți cont nu numai de principiul distribuirii privilegiilor pentru fiecare serviciu, ci și de conexiunile existente între servicii (trebuie să aveți grijă de consistența diferitelor părți ale matricei). ). O dificultate similară apare la exportul/importul de date, când informațiile despre drepturile de acces se pierd de obicei (deoarece nu are nicio semnificație la noul serviciu).

În consecință, schimbul de date între diferite servicii prezintă un pericol deosebit din punct de vedere al controlului accesului, iar la proiectarea și implementarea unei configurații eterogene trebuie avută grijă să se asigure o distribuție consecventă a drepturilor de acces ale subiecților la obiecte și să se minimizeze numărul de moduri de export/import de date.

Datorită rarii (majoritatea celulelor sunt goale), este nerezonabil să stocați matricea de acces ca o matrice bidimensională. De obicei este stocat în coloane, de ex. Pentru fiecare obiect, se menține o listă de subiecți „permisi” împreună cu drepturile acestora. Elementele listelor pot fi nume de grup și șabloane de subiecte, ceea ce este de mare ajutor pentru administrator. Unele probleme apar doar la ștergerea unui subiect, ceea ce necesită eliminarea numelui subiectului din toate listele de acces; totuşi, această operaţie este efectuată rar.

Listele de acces sunt extrem de flexibile. Cu ajutorul lor, este ușor să îndepliniți cerința de granularitate a drepturilor până la utilizator. Folosind liste, este ușor să adăugați drepturi sau să interziceți în mod explicit accesul (de exemplu, pentru a pedepsi mai mulți membri ai unui grup de utilizatori). De departe, listele sunt cele mai bune mijloace de control ale accesului aleatoriu.

Marea majoritate a sistemelor de operare și a sistemelor de gestionare a bazelor de date implementează controlul accesului aleatoriu. Principalul avantaj al controlului arbitrar este flexibilitatea. Din păcate, abordarea „arbitrară” are o serie de dezavantaje. Controlul accesului dispers înseamnă că mulți utilizatori trebuie să fie de încredere, nu doar operatorii de sistem sau administratorii. Din cauza abstinenței sau incompetenței unui angajat care deține informații secrete, toți ceilalți utilizatori pot afla aceste informații. În consecință, arbitrariul controlului trebuie completat de un control strict asupra implementării politicii de securitate alese.

Al doilea dezavantaj, care pare a fi principalul, este că drepturile de acces există separat de date. Nimic nu împiedică un utilizator care are acces la informații secrete să le scrie într-un fișier accesibil tuturor sau să le înlocuiască utilitate utilă omologul său „troian”. O astfel de „separare” a drepturilor și a datelor complică semnificativ implementarea unei politici de securitate agreate de către mai multe sisteme și, cel mai important, face aproape imposibil controlul efectiv al coerenței.

Revenind la problema reprezentării matricei de acces, subliniem că pentru aceasta puteți utiliza și o metodă funcțională, atunci când matricea nu este stocată în mod explicit, dar conținutul celulelor corespunzătoare este calculat de fiecare dată. De exemplu, aplicarea controlului accesului implică compararea etichetelor de securitate ale unui subiect și ale unui obiect.

Un add-on convenabil la instrumentele logice de control al accesului este o interfață restrictivă, atunci când utilizatorul este privat de posibilitatea de a încerca să efectueze acțiuni neautorizate, inclusiv doar cele la care are acces printre obiectele vizibile pentru el. Această abordare este de obicei implementată printr-un sistem de meniu (utilizatorului i se arată doar opțiuni valide) sau prin shell-uri restrictive, cum ar fi shell-ul restricționat în Unix.

Figura 1. Diagrama modelului Harrison, Ruzzo și Ullman

Atunci când decideți dacă să acordați acces, următoarele informații sunt de obicei analizate:

identificatorul subiectului (ID utilizator, adresă de rețea calculator etc.). Astfel de identificatori stau la baza controlului accesului aleatoriu (sau discreționar);

atributele subiectului (etichetă de securitate, grup de utilizatori etc.). Etichetele de securitate stau la baza controlului obligatoriu al accesului.

Gestionarea directă a drepturilor de acces se realizează pe baza unuia dintre modelele de acces:

model de acces matrice (model Harrison-Ruzzo-Ullman);

model de acces pe mai multe niveluri (modelul Bell-Lapadula).

Dezvoltare și implementare practică diverse sisteme de operare sigure i-au determinat pe Harrison, Ruzzo și Ullman să construiască un model formal de sisteme securizate. Diagrama modelului Harrison, Ruzzo și Ullman (modelul HRU) este prezentată în Fig. 1.

Definiții de bază

(Protecție în sistemele de operare)

Instrumente de analiză a securității sistemului de operare

Instrumentele din această clasă sunt concepute pentru a verifica setările sistemului de operare care îi afectează securitatea. Aceste setări includ: Despre conturile de utilizator (cont), de exemplu, lungimea parolei și perioada de valabilitate a acesteia; Despre drepturile utilizatorilor de acces critic fișiere de sistem; O, cei vulnerabili...
(Protecția informațiilor computerului)

Abordări de bază pentru construirea sistemelor de operare sigure

Există două abordări principale pentru a crea sisteme de operare sigure - fragmentate și complexe. Cu o abordare fragmentată, protecția este organizată mai întâi de o amenințare, apoi de alta, etc. Un exemplu de abordare fragmentată este o situație în care un sistem de operare neprotejat este luat ca bază...
(Protecție în sistemele de operare)

ABORDĂRI PENTRU CONSTRUIREA FUNCȚIILOR DE PRODUCTIE

METODA DE SETARE A ACCESIBILITATEÎn curs de analiză model matematic cu variabile exogene, pe care în acest caz le vom considera controale, sunt luate în considerare unele variabile agregate, care sunt indicatori ai funcționării sistemului studiat. Din moment ce relația dintre indicatori...
(Metode matematice dinamica economica)

Conceptul de sistem de operare securizat

Definiții de bază Vom numi un sistem de operare sigur dacă oferă mijloace de protecție împotriva principalelor amenințări la adresa confidențialității, integrității și disponibilității informațiilor, actualizate ținând cont de particularitățile funcționării acestui instanță specifică sistem de operare....
(Protecție în sistemele de operare)

Standarde de securitate ale sistemului de operare

Analiza amenințărilor, care începe formarea unei politici de securitate, este o procedură foarte laborioasă și dificil de oficializat. De regulă, amenințările de care se presupune că este protejată un sistem informatic sau o rețea sunt foarte eterogene, compară-le între ele și identifică cele mai periculoase dintre ele...
(Protecție în sistemele de operare)

Sistemul de operare este numit protejat, dacă oferă protecţie împotriva principalelor clase de ameninţări. Un sistem de operare protejat trebuie să conțină în mod necesar mijloace pentru limitarea accesului utilizatorului la resursele sale, precum și mijloace pentru autentificarea utilizatorului care începe să lucreze cu sistemul de operare. În plus, un sistem de operare protejat trebuie să conțină mijloace pentru a contracara defecțiunea accidentală sau intenționată a sistemului de operare.

Dacă un sistem de operare oferă protecție nu împotriva tuturor claselor majore de amenințări, ci numai împotriva unora, se numește un astfel de sistem de operare parțial protejată .

Abordări pentru construirea de sisteme de operare sigure

Există două abordări principale pentru a crea sisteme de operare sigure - fragmentate și complexe. La fragmentar abordare, protecția este organizată mai întâi de o amenințare, apoi de alta etc. Un exemplu de abordare fragmentată este o situație în care este luat ca bază un sistem de operare neprotejat (de exemplu, Windows 98), un pachet antivirus, o criptare. sistem, un sistem pentru înregistrarea acțiunilor utilizatorului etc.

Când se utilizează o abordare fragmentată, subsistemul de securitate al sistemului de operare este un set de produse software disparate, de obicei de la diferiți producători. Aceste software lucrează independent unul de celălalt, în timp ce este aproape imposibil să se organizeze interacțiunea lor strânsă. În plus, este posibil ca elementele individuale ale unui astfel de subsistem de protecție să nu funcționeze corect unul în prezența celuilalt, ceea ce duce la o scădere bruscă a fiabilității sistemului.

La cuprinzătoareÎn această abordare, funcțiile de protecție sunt introduse în sistemul de operare în faza de proiectare a arhitecturii sistemului de operare și sunt parte integrantă a acestuia. Elementele individuale ale subsistemului de securitate, create pe baza unei abordări integrate, interacționează strâns între ele atunci când rezolvă diverse probleme legate de organizarea securității informațiilor, astfel încât conflictele între componentele sale individuale sunt practic imposibile. Un subsistem de securitate, creat pe baza unei abordări integrate, poate fi proiectat în așa fel încât, în cazul unor defecțiuni fatale în funcționarea elementelor sale cheie, să provoace blocarea sistemului de operare, ceea ce nu permite atacatorului să dezactiveze funcțiile de protecție ale sistemului. Cu o abordare fragmentată, o astfel de organizare a subsistemului de protecție este imposibilă.

De regulă, subsistemul de securitate al sistemului de operare, creat pe baza unei abordări integrate, este proiectat astfel încât elementele sale individuale să fie înlocuibile. Relevant module software poate fi înlocuit cu alte module.

Măsuri de protecție administrativă

Software-ul și hardware-ul de protecție a sistemului de operare trebuie completate cu măsuri administrative de protecție. Fără asistență calificată constantă din partea administratorului, chiar și protecția fiabilă a software-ului și hardware-ului poate eșua. Să enumerăm principalele măsuri administrative de protecție.

• 1. Monitorizarea constantă a funcționării corecte a sistemului de operare,în special subsistemele sale de securitate. Este convenabil să organizați un astfel de control dacă sistemul de operare acceptă înregistrarea automată a celor mai importante evenimente ( înregistrarea evenimentelor)într-o revistă specială.
• 2. Organizarea și menținerea unei politici de securitate adecvate. Politica de securitate a sistemului de operare trebuie ajustată în mod constant, răspunzând prompt la încercările atacatorilor de a depăși protecția sistemului de operare, precum și la schimbările în configurarea, instalarea și eliminarea sistemului de operare. programe de aplicație.
• 3. Instruirea utilizatorilor sistemului de operare despre necesitatea respectării măsurilor de securitate atunci când lucrați cu sistemul de operare și monitorizarea respectării acestor măsuri.
• 4. Creare și actualizare regulată copii de rezervă Programe și date OS.
• 5. Monitorizarea constantă a modificărilor datelor de configurare și a politicii de securitate a sistemului de operare. Este recomandabil să stocați informații despre aceste modificări pe medii de stocare non-electronice pentru a îngreuna ca un atacator care a depășit protecția sistemului de operare să-și ascundă acțiunile neautorizate.

Sistemele de operare specifice pot necesita alte măsuri administrative pentru protejarea informațiilor.

Politică de securitate adecvată

Selectarea și menținerea unei politici de securitate adecvate este una dintre cele mai importante sarcini ale unui administrator de sistem de operare. Dacă politica de securitate adoptată în sistemul de operare este inadecvată, acest lucru poate duce la accesul atacatorului la resursele sistemului și la scăderea fiabilității sistemului de operare.

Există o afirmație binecunoscută: cu cât sistemul de operare este mai bine protejat, cu atât este mai dificil pentru utilizatori și administratori să lucreze cu el. Acest lucru se datorează următorilor factori:

• Sistemul de securitate nu este întotdeauna capabil să determine dacă o acțiune a utilizatorului este rău intenționată. Prin urmare, sistemul de protecție fie nu oprește anumite tipuri de activități ilegale, fie interzice unele acțiuni complet legale ale utilizatorilor. Cu cât securitatea sistemului este mai mare, cu atât este mai largă clasa acelor acțiuni legale ale utilizatorului care sunt considerate neautorizate de subsistemul de securitate;
• Orice sistem care oferă funcții de securitate a informațiilor necesită anumite eforturi din partea administratorilor menite să mențină o politică de securitate adecvată. Cu cât un sistem de operare are mai multe funcții de protecție, cu atât mai mult timp și bani trebuie să cheltuiți pentru menținerea protecției;
• Subsistemul de securitate al sistemului de operare, ca orice alt pachet software, consumă resurse hardware ale computerului. Cu cât funcțiile de securitate ale sistemului de operare sunt mai complexe, cu atât resursele computerului (timp procesor, RAM, etc.) sunt cheltuite pentru menținerea funcționării subsistemului de securitate și cu atât rămân mai puține resurse pentru programele de aplicație;
• menținerea unei politici de securitate prea stricte poate afecta negativ fiabilitatea sistemului de operare. O politică de securitate prea strictă poate duce la erori și eșecuri greu de detectat în timpul funcționării sistemului de operare și chiar la blocarea acestuia.

Politica de securitate optimă adecvată este Aceasta este o politică de securitate care nu numai că împiedică atacatorii să efectueze acțiuni neautorizate, dar nici nu duce la efectele negative descrise mai sus.

O politică de securitate adecvată este determinată nu numai de arhitectura sistemului de operare, ci și de configurația acesteia, de programele de aplicație instalate etc. Formarea și menținerea unei politici de securitate adecvate a sistemului de operare poate fi împărțită în mai multe etape.

• 1. Analiza amenințărilor. Administratorul sistemului de operare ia în considerare posibilele amenințări de securitate pentru o anumită instanță a sistemului de operare. Dintre posibilele amenințări, se remarcă cele mai periculoase, împotriva cărora ar trebui să se consacre maximum de resurse protecției.
• 2. Formarea cerințelor pentru politica de securitate. Administratorul stabilește ce instrumente și metode vor fi folosite pentru a proteja împotriva anumitor amenințări. De exemplu, protecția împotriva accesului neautorizat la un anumit obiect OS poate fi rezolvată fie prin intermediul controlului accesului, fie prin mijloace criptografice, fie prin utilizarea unei combinații a acestor mijloace.
• 3. Definiție formală politici de securitate. Administratorul stabilește cum trebuie îndeplinite exact cerințele formulate în etapa anterioară. Sunt formulate cerințele necesare pentru configurarea OS, precum și cerințele pentru configurarea pachetelor suplimentare de securitate, dacă este necesară instalarea unor astfel de pachete. Rezultatul acestei etape este o listă detaliată a setărilor de configurare a sistemului de operare și a pachetelor suplimentare de protecție, indicând în ce situații ce setări trebuie instalate.
• 4. Implementarea politicii de securitate. Sarcina acestei etape este de a aduce configurația sistemului de operare și pachetele de securitate suplimentare în conformitate cu politica de securitate definită formal în etapa anterioară.
• 5. Mentinerea si ajustarea politicilor de securitate. Sarcina administratorului în această etapă este de a monitoriza conformitatea cu politica de securitate și de a face modificările necesare pe măsură ce apar modificări în funcționarea sistemului de operare.

Nu există standarde speciale de securitate pentru sistemul de operare. Pentru a evalua securitatea unui sistem de operare, sunt utilizate standardele dezvoltate pentru sistemele informatice în general. De regulă, certificarea unui sistem de operare pentru o anumită clasă de protecție este însoțită de elaborarea cerințelor pentru o politică de securitate adecvată, dacă este implementată necondiționat, securitatea unei anumite instanțe OS va îndeplini cerințele clasei de protecție corespunzătoare.

Atunci când stabilește o politică de securitate adecvată, administratorul sistemului de operare ar trebui să se concentreze în primul rând pe protejarea sistemului de operare de amenințări specifice la adresa securității acestuia.

Introducere

Există două abordări principale pentru interpretarea conceptului de sistem automatizat securizat, aplicabil sistemelor de operare (OS). Prima abordare presupune că securitatea OS este asigurată prin implementarea unor cerințe de securitate specificate inițial, inclusiv prezența unui anumit set de mecanisme de protecție, verificarea absenței unei liste predefinite de vulnerabilități etc. A doua abordare are în vedere posibilitatea folosirea sistemului de operare ca parte a unui sistem automatizat (AS), care sunt considerate critice de proprietarii lor (utilizatori) și, prin urmare, sistemul de operare trebuie să ofere un set de măsuri de protecție adecvate amenințărilor de securitate ale acestor sisteme specifice. La prima vedere, aceste două abordări nu se contrazic, deoarece este puțin probabil ca sistemele critice să folosească soluții care nu implementează cel puțin Cerințe minime pe siguranta. În același timp, sistemul de operare, dacă sunt îndeplinite toate cerințele de securitate, poate fi controlat extern, de exemplu de către dezvoltatorul său. În condițiile specificate, a doua abordare presupune că se înțelege soluțiile protejate, care în literatura de limbă engleză sunt desemnate prin termenul trusted sau, în interpretarea internă, trusted.

Astfel, este recomandabil să se considere că un sistem de operare protejat (de încredere) este un sistem de operare care nu numai că implementează cerințe de securitate specificate a priori, dar este și adecvat amenințărilor de securitate specifice sistemelor automate autohtone, inclusiv pentru care nu există posibilitatea de a fi neautorizate. influența asupra funcționării acestuia din exterior, în timp ce proprietarul (utilizatorul) unui sistem de operare protejat trebuie să aibă o înțelegere neechivocă a algoritmului de funcționare a mecanismelor sale de protecție în toate modurile de funcționare.

Această cerință devine din ce în ce mai relevantă în anul trecut. Actualizările automate, notificarea automată a dezvoltatorilor cu privire la erorile software și diverse servicii online îmbunătățesc semnificativ calitatea aplicației OS și a software-ului de sistem, dar, pe de altă parte, creează din ce în ce mai multe oportunități pentru producătorii de software, inclusiv sistemul de operare, de a controla acțiunile utilizatorului . Pentru o serie de aplicații ale sistemelor de operare securizate, problema încrederii în dezvoltatorul său se dovedește a fi mai semnificativă decât problema volumului și calității implementării mecanismelor standard de securitate în acest sistem de operare.

Aceste considerente pot explica interesul tot mai mare pentru sistemele de operare securizate interne care a fost observat recent în Federația Rusă din partea autorităților guvernamentale și a întreprinderilor industriale. Un stimulent suplimentar în acest domeniu a fost decizia luată de Guvernul Federației Ruse de a institui o interdicție privind admiterea de software provenind din țări străine în scopul achizițiilor pentru a satisface nevoile de stat și municipale. Se preconizează că, dacă Programul pentru dezvoltarea segmentului rus al internetului este aprobat și adoptat, „până în 2025, toate agențiile guvernamentale și întreprinderile strategice vor fi echipate cu calculatoare bazate pe componente rusești cu un sistem de operare intern la bord”.

În condiții moderne, un sistem de operare sigur intern promițător trebuie să îndeplinească următoarele cerințe:

• să îndeplinească cerințele pentru asigurarea independenței tehnologice (înlocuirea importurilor) a Federației Ruse în cele mai importante domenii ale informatizării, telecomunicațiilor și comunicațiilor;
• să fie adecvate pentru funcționarea în rețele de calculatoare, atât izolate, cât și conectate la Internet (sau alte rețele de telecomunicații), inclusiv cele axate pe prelucrarea informațiilor clasificate ca secrete de stat sau date cu caracter personal;
• implementează mecanisme moderne de asigurare a securității informațiilor, ținând cont de posibilitatea prelucrării informațiilor clasificate ca secrete de stat în acest OS, atât din punctul de vedere al îndeplinirii cerințelor formale ale documentelor și standardelor de reglementare relevante, cât și din punctul de vedere al furnizării protecție reală împotriva amenințărilor actuale de securitate.

Dezvoltatorul unui astfel de sistem de operare trebuie să aibă o infrastructură dezvoltată pentru dezvoltarea și întreținerea aplicației sale și a software-ului de sistem. Trebuie implementate mecanisme care să asigure încrederea în dezvoltatorul sistemului de operare și posibilitatea de fundamentare științifică a siguranței soluțiilor software și hardware implementate în acesta.

Întrebări de studiu (partea principală):

1.Prezentare generală asupra sistemelor de operare securizate Familia Linux

Este general acceptat că sistemul de operare Linux (mai precis, GNU/Linux) a fost creat în 1991 de către programatorul finlandez Linus Torvalds, în vârstă de 21 de ani. De fapt, L. Torvalds a rescris de la zero nucleul sistemului de operare Minix, o „clonă” neremarcabilă a sistemului de operare al familiei UNIX.

Pentru o lungă perioadă de timp, singurul avantaj al sistemului de operare Linux în comparație cu alte sisteme UNIX a fost puritatea licențiată a codului programului Linux OS, care vă permite să implementați o mare varietate de sisteme de informații pe baza acestuia, fără să vă faceți griji cu privire la potențialele complicații ale licențelor. Până în jurul anului 2000, sistemul de operare Linux nu s-a remarcat printre alte sisteme de operare ale familiei UNIX, fiind vizibil inferior multora dintre ele în ceea ce privește performanța și fiabilitatea.

Pentru o lungă perioadă de timp, deschiderea codului programului Linux OS a rămas singurul factor care a făcut acest sistem de operare atractiv pentru dezvoltatorii de software de aplicație. Cu toate acestea, de-a lungul timpului, varietatea de software adaptată pentru sistemul de operare Linux a atins o anumită „masă critică”, iar situația s-a schimbat. Pe măsură ce Linux a devenit standardul de facto în lumea sistemelor de operare UNIX, tot mai mulți programatori au dezvoltat aplicații și software de sistem concepute pentru a rula pe Linux, iar componentele sistemului de operare au fost supuse unor teste și optimizări din ce în ce mai riguroase. La un moment dat, popularitatea tot mai mare a sistemului de operare Linux a devenit un proces care se autosustine, iar in prezent aceste sisteme de operare reprezinta mai mult de 90% din familia de sisteme de operare UNIX.

Când se compară sistemele de operare ale familiei Linux cu cele mai populare sisteme de operare ale familiilor Microsoft Windows sau Mac OS, o trăsătură caracteristică a sistemelor Lin ux este izbitoare - acestea erau inițial mai concentrate pe utilizatorii profesioniști cu înaltă calificare. O proporție semnificativă din acțiunile necesare pentru configurarea sistemului și, în unele cazuri, pentru a-l pune în stare de funcționare, sunt efectuate de editare manuală fișiere de configurare, editarea sau scrierea diferitelor scripturi de la zero, etc. Din acest motiv, versiunile timpurii ale familiei de sisteme de operare Linux erau practic inaccesibile pentru utilizatorii de masă, acum acest dezavantaj a fost în mare măsură depășit, versiunile moderne ale familiei de sisteme de operare Linux; Instruire.

Adesea, utilizatorii nici măcar nu știu că lucrează cu un sistem de operare din această familie, de exemplu, popularul sistem de operare mobil Android este de fapt un pachet de software de sistem implementat pe platforma OS a familiei Linux.

Printre mulți utilizatori ai familiei de sisteme de operare Linux, există o opinie că acest sistem de operare se distinge printr-un subsistem de securitate neobișnuit de puternic și practic invulnerabil. Argumentele în sprijinul acestui punct de vedere sunt date de obicei de prezența în ele a unor mecanisme de bază pentru controlul discreționar al accesului, autentificarea și auditarea, care sunt similare sau chiar inferioare mecanismelor corespunzătoare ale altor sisteme de operare. Există, de asemenea, un argument că absența aproape completă a software-ului rău intenționat pentru sistemul de operare Linux este o consecință a faptului că acest sistem este mult mai bine protejat împotriva atacurilor de viruși decât, de exemplu, sistemul de operare Microsoft Windows. Acest lucru este complet fals. Într-adevăr, virușii pentru sistemele de operare Linux nu se găsesc practic niciodată „în sălbăticie” în comunitatea hackerilor, dar acest lucru nu se datorează în niciun caz securității ridicate a acestor sisteme de operare. Este ușor pentru un programator moderat calificat să se asigure că scrie virus de calculator sau alt malware pentru sistemele de operare Linux nu este mai dificil (cu excepția unor clase restrânse de malware) decât scrierea program similar, de exemplu, pentru familia de sisteme de operare Microsoft Windows. Numărul mic de viruși Linux se datorează în principal faptului că dezvoltatorii de malware preferă să se concentreze pe cei mai populari platforme software, pentru care activitățile ilegale ale infractorilor cibernetici aduc cele mai mari venituri.

Caracteristicile de bază de securitate ale familiei de sisteme de operare Linux sunt moștenite de la versiunile anterioare ale sistemului de operare al familiei UNIX, dezvoltate la începutul anilor 70 ai secolului trecut. Pe baza cerințelor compatibilitate inversă Cu versiuni mai vechi, sistemele de operare Linux continuă să accepte o serie de mecanisme și concepte de securitate învechite. În special, subsistemele de securitate ale majorității acestor sisteme de operare conțin următoarele „anacronisme”:

• toate obiectele de acces (entitățile) trebuie interpretate ca obiecte fișier; atributele de securitate ale altor tipuri de obiecte nu pot fi descrise corect mijloace regulate OS;
• Identificatorii unici la nivel global nu sunt acceptați conturi utilizatori, toți identificatorii de utilizatori și de grup sunt unici doar într-o singură instanță a sistemului de operare:
• setul de drepturi de acces ale subiecților (proceselor) la entități (fișiere, directoare) este foarte limitat, sunt acceptate doar trei drepturi de acces: citire, scriere și execuție, și este specificat proprietarul fiecărei entități;
• puterile rădăcinii superutilizatorului sunt practic nelimitate;
• nu există mecanisme de atribuire automată a atributelor de securitate entităților nou create pe baza atributelor de securitate ale containerelor (directoarelor) în care sunt create aceste entități;
• un mecanism SUID/SGID incomod și potențial periculos este utilizat pentru a schimba dinamic puterile subiecților de acces;
• Mecanismele de uzurpare a identității subiecților de acces care efectuează acces client la procesul server nu sunt acceptate;
• generarea automată a mesajelor de audit atunci când anumiți subiecți accesează anumite entități nu este suportată;
• mijloacele acceptate de minimizare a drepturilor utilizatorului sunt extrem de primitive;
• Controlul obligatoriu al integrității nu este acceptat;
• Sandboxing nu este acceptat, nici măcar parțial.

Separat, merită remarcat problemele de securitate GUI X Window System, utilizat în versiunile moderne ale sistemului de operare Linux pentru a interacționa cu procesele utilizatorului. Entuziaștilor familiei de sisteme de operare Linux le place să critice familia de sisteme de operare Microsoft Windows pentru securitatea insuficientă a subsistemului său grafic, de exemplu: „În sistemul de operare Microsoft Windows NT, orice proces, indiferent de nivelul său de privilegii, poate trimite un mesaj către fereastră. a altui proces (inclusiv unul mai privilegiat!), și nu, nu există nicio modalitate de a identifica expeditorul mesajului!... Găsim fereastra unei aplicații privilegiate (și avem o astfel de oportunitate), obținem descriptorul de elementul de control care ne interesează (butoane, elemente de meniu, linii de editare) și... emulați intrarea utilizatorului!!! Procesul privilegiat va face totul pentru noi fără să bănuim nimic!”

De fapt, această problemă este tipică nu numai pentru familia de sisteme de operare Microsoft Windows. În 1994, R. Braaten a scris un mesaj senzațional la conferința comp.security. Unix reprezintă amenințarea de deturnare de către aplicația grafică X Window System informații confidențiale, adresată unei alte aplicații grafice. În familia de sisteme de operare Microsoft Windows, începând cu sistemul de operare Windows Vista, a fost introdus controlul obligatoriu al integrității entităților grafice, ceea ce a crescut semnificativ securitatea subsistemului grafic, dar nimic similar nu s-a întâmplat în X Window System.

Încercările de a construi un sistem de operare sigur bazat pe familia de sisteme de operare Linux au fost făcute în mod repetat atât în ​​Rusia, cât și în străinătate. Din punct de vedere istoric, putem considera că primul proiect în această direcție este Linux-Mandrake Russian Edition OS, dezvoltat de un grup de entuziaști în anii 1999-2000. iar mai târziu a „crescut” în proiectul ALT Linux OS, susținut de compania Alt Linux. Din 2005, distribuția ALT Linux OS a fost complet independentă. Subsistemul de securitate ALT Linux OS are mai multe inovații interesante (stocarea separată a datelor de autentificare ale diferiților utilizatori, minimizarea numărului de programe SUID și SGID), care, totuși, nu au un impact semnificativ asupra securității generale a sistemului de operare. Pe baza acestui fapt, se poate presupune că dezvoltatorii sistemului de operare ALT Linux se concentrează pe utilizarea acestui sistem de operare în principal în acele organizații în care cerințele ridicate nu sunt impuse pentru securitatea informațiilor stocate și procesate (de exemplu, în școli, universități). , etc.).

Suid, setuid și setgid (prescurtare pentru „set user ID upon execution” și, respectiv, „set group ID upon execution”, sunt semnalizatoare de permisiuni Unix care permit utilizatorilor să ruleze fișiere executabile în mod corespunzător cu drepturile proprietarului sau grupului fișierului executabil.

Pe sisteme asemănătoare Unix, aplicația rulează cu drepturile utilizatorului care a sunat aplicație specificată. Acest lucru oferă securitate suplimentară, deoarece un proces cu drepturi de utilizator nu va putea obține acces de scriere la fișiere de sistem importante, cum ar fi /etc/passwd, care este deținut de superutilizatorul root. Dacă bitul suid este setat pe un fișier executabil, atunci când este executat, acest program schimbă automat „ID utilizator efectiv” cu identificatorul utilizatorului care deține acest fișier. Adică, indiferent de cine rulează acest program, acesta are drepturile proprietarului acestui fișier atunci când este executat.

Suid bit a fost inventat de Dennis Ritchie și brevetat în SUA de AT&T în 1979. Ulterior, brevetul 4135240 „Protecția conținutului fișierului de date” a fost făcut disponibil publicului.

Un program cu bitul suid setat este „potențial periculos”. În cazul „normal”, acesta nu va permite unui utilizator normal să facă nimic din afara autorității sale (de exemplu, programul passwd va permite utilizatorului doar să schimbe propria parolă). Dar chiar și o eroare minoră într-un astfel de program poate duce la faptul că un atacator îl poate forța să efectueze alte acțiuni neintenționate de autorul programului.

Prima încercare de a construi un sistem de operare foarte sigur bazat pe familia de sisteme de operare Linux, se pare, a fost sistemul de operare Phoenix, dezvoltat la Universitatea Politehnică de Stat din Sankt Petersburg din 2001. Acest sistem de operare a fost folosit într-o măsură limitată la JSC Jet Infosystems.

De ceva timp, cel mai sigur sistem de operare rus din familia Linux a fost Sistemul Forțelor Armate Mobile (MSWS), dezvoltat prin ordin al Ministerului Rusiei de Apărare de către Institutul de Cercetare All-Russian pentru Automatizarea Controlului în Sfera Neindustrială (VNIINS). ) bazat pe sistemul de operare Red Hat Enterprise Linux. Sistemul de operare WSWS a fost adoptat pentru a furniza forțele armate în 2002. De-a lungul anilor, a fost utilizat pe scară largă într-o varietate de sisteme informatice militare şi dublă utilizare, există versiuni desktop și server ale acestuia, concepute pentru a funcționa pe computere obișnuite de uz casnic. Cea mai recentă versiune a MSVS 5.0, certificată în 2011, conține versiunea de kernel Linux 2.6.32 și versiunea 2.5 build 2006 a bibliotecii glibc.

glibc - GNU C Library (biblioteca GNU). Glibc este o bibliotecă C care oferă apeluri de sistem și funcții de bază precum open, malloc, printf etc. Biblioteca C este folosită pentru toate programele legate dinamic. Este scris de Free Software Foundation pentru sistemele de operare GNU. glibc este lansat sub GNU LGPL.

Instalarea de software suplimentar în MSWS este foarte dificilă.

În 2006, China a început să furnizeze agențiilor militare și guvernamentale sistemul de operare Kylin, dezvoltat de Universitatea Națională de Tehnologie de Apărare din China pe baza sistemului de operare FreeBSD. Numele OS înseamnă un animal mitic, adesea menționat în folclorul chinez împreună cu dragonul și phoenixul. Distribuția Kylin OS este disponibilă pentru descărcare de ceva timp, conform experților, acest sistem de operare nu conține niciun mecanism de securitate remarcabil, nimeni nu menționează suportul pentru controlul obligatoriu al accesului, controlul obligatoriu al integrității, sandboxing, etc. În 2013 Ubuntu Kylin; Proiectul OS a fost lansat oficial, aparent neavând nimic în comun cu Kylin OS, cu excepția numelui. Ubuntu Kylin OS este o versiune a sistemului de operare Ubuntu Linux cu suport complet pentru limba chineză și mai multe aplicații preinstalate specifice Chinei (calendar lunar, acces mai ușor la rețelele sociale din China, furnizori de muzică chineză etc.).

Distribuția este disponibilă pe site-ul www.ubuntukylin.com.

Există dovezi că o distribuție Ubuntu obișnuită se poate transforma cu ușurință în sistemul de operare Ubuntu Kylin ca urmare a instalării mai multor pachete software suplimentare. Nu există informații că subsistemul de securitate al acestui sistem de operare este diferit de subsistemul de securitate al Ubuntu Linux.

Familia de sisteme de operare domestice ROSA este produsă din 2009 de grupul de companii ROSA bazat pe sistemul de operare Linux Mandriva, fiind în prezent ultima sa filială suportată. Familia ROSA OS include OS securizat certificat ROSA Chrome și ROSA Nickel (suportul pentru controlul accesului obligatoriu este declarat), ROSA Cobalt, precum și câteva distribuții distribuite gratuit, ale căror calități de consumator sunt apreciate destul de bine de utilizatori. În primăvara lui 2015, STC IT ROSA a fost unul dintre cei cinci companiile rusești care a solicitat sprijinul statului produse software autohtone.

În 2010, celebra cercetătoare poloneză în domeniul securității sistemului de operare Joanna Rutkowska a anunțat că dezvoltă un sistem de operare Qubes securizat bazat pe Fedora Linux. Caracteristicile suplimentare de securitate ale acestui sistem de operare se bazează pe încapsularea aplicației și programe de sistemîn mașini virtuale separate, a căror interacțiune este implementată prin hypervisorul Xen.

Hypervisor (în engleză Hypervisor; din greaca veche ὑπέρ „deasupra, deasupra, dincolo” + lat. vīsio „viziune; viziune”) sau monitorul unei mașini virtuale (în computere) - un program sau un circuit hardware care oferă sau permite rularea simultană, paralelă, operare multiplă sisteme de pe același computer gazdă. Hypervisorul oferă, de asemenea, izolarea sistemelor de operare unele de altele, protecție și securitate, partajarea resurselor între diferite sisteme de operare care rulează și gestionarea resurselor.

De asemenea, hipervizorul poate (și este obligat) să ofere mijloace de comunicare și interacțiune între sistemele de operare care rulează sub controlul său pe același computer gazdă (de exemplu, prin partajarea fișierelor sau conexiuni de retea) ca și cum aceste sisteme de operare ar rula pe computere fizice diferite.

Hipervizorul în sine este în anumite privințe un sistem de operare minim (microkernel sau nanokernel). Oferă un serviciu de mașină virtuală sistemelor de operare care rulează sub controlul său, virtualizând sau emulând hardware-ul real (fizic) al unei anumite mașini. Și gestionează aceste mașini virtuale, alocând și eliberând resurse pentru ele. Hipervizorul permite „pornirea”, repornirea, „oprirea” independentă a oricărei mașini virtuale care rulează un anumit sistem de operare. Cu toate acestea, un sistem de operare care rulează într-o mașină virtuală care rulează un hypervisor poate, dar nu trebuie să „știe” că rulează într-o mașină virtuală și nu pe hardware real.

Transferul de date între mașinile virtuale din sistemul de operare Qubes se realizează pe baza unei politici de securitate la nivel de sistem, potențial capabilă să suporte controlul obligatoriu al accesului, controlul obligatoriu al integrității, sandboxing etc. Prezența acestei politici devine vizibilă doar pentru utilizator. dacă încearcă să o încalce, în caz contrar munca utilizatorului este efectuată ca în sistemul de operare Linux Fedora obișnuit. Ferestrele programelor aparținând diferitelor mașini virtuale sunt executate pe un desktop comun, ca și cum modul fără întreruperi este activat în software-ul Virtual Box (în localizarea rusă acest mod se numește „Mod de integrare a afișajului”).

Mai târziu, o idee similară a fost implementată de compania națională NeoBIT, care a produs sistemul de operare hibrid „Linux over Febos”, în care programele de aplicație rulează în mașinile virtuale ale sistemului de operare Linux, care, la rândul lor, acționează ca programe de aplicație ale sistemului de operare Febos. - Dezvoltarea proprie a NeoBIT”, care nu are legătură cu familia Linux OS. De fapt, OS „Phebos”, din câte se poate judeca descrieri accesibile, nu conține nimic, cu excepția unui microkernel, un hypervisor și un monitor de securitate, toate interfețele aplicației sunt plasate în mașinile virtuale cu sistem de operare Linux;

Sistemul de operare „Zarya” a fost dezvoltat de JSC „Institutul Central de Cercetare pentru Economie a Sistemelor Informatice și de Control” (CSRI EISU) prin ordin al Ministerului Rus al Apărării în 2013. Acest sistem de operare se bazează pe sistemul de operare CentOS Linux, diagramele sale de arhitectură disponibile pe Internetul nu conține nicio caracteristică unică, diferențiându-l semnificativ de alte sisteme de operare din familia Linux. Unele surse poziționează Zarya OS drept următoarea generație de sisteme de operare MSWS. Zarya OS este compatibil cu pachetele software Libre Office, GIMP și Chromium, există versiuni de SO pentru desktop, server și sisteme încorporate.

În 2013-2014 de firma Red Soft la cerere Serviciul federal Executorii judecătorești ruși au dezvoltat sistemul de operare GosLinux, bazat tot pe sistemul de operare CentOS, care este poziționat ca un sistem de operare securizat cu funcții care permit executorului judecătoresc să prelucreze datele personale ale debitorilor și colectorilor fără fonduri suplimentare protecția informațiilor, precum și utilizarea semnăturilor electronice pentru eliberarea documentelor în în format electronic" Site-ul oficial al FSSP din Rusia afirmă că „principalele îmbunătățiri aduse de contractant au vizat subsistemul criptografic și preconfigurarea instrumentelor de securitate a informațiilor încorporate”

În general, în ciuda deficiențelor evidente de securitate ale familiei de sisteme de operare Linux, o gamă largă de dezvoltări nu întotdeauna de succes ale sistemelor de operare securizate bazate pe acestea, în prezent sistemele de operare ale acestei familii sunt încă o platformă aproape ideală pentru crearea unui sistem de operare securizat intern. Mecanismele de securitate uneori primitive și învechite utilizate în sistemele de operare Linux fac posibilă, fără reelaborare radicală, blocare sau luare în considerare a caracteristicilor acestora, implementarea mecanismelor moderne de control al accesului obligatoriu și bazat pe roluri, control obligatoriu al integrității în sistemul de operare și realizarea o justificare teoretică strictă pentru securitatea și verificarea soluției rezultate. Astfel, combinația dintre fiabilitatea ridicată, calitățile acceptabile ale consumatorilor, codul sursă deschis și posibilitatea modificării relativ ușoare a mecanismelor de securitate ale familiei de sisteme de operare Linux fac posibilă construirea unui sistem de operare intern foarte sigur pe baza lor, la un cost semnificativ mai mic. efort decât dacă ar fi creat de la zero sau construit pe alte platforme.

2.Arhitectura, scopul și domeniile de aplicare ale sistemului de operare cu scop special Astra Linux Special Edition

2.1. Scopul OSSN

La construirea de sisteme promițătoare și la modernizarea celor existente, sarcina urgentă este de a utiliza soluții standard, de a standardiza și de a unifica platformele hardware și software, inclusiv sistemul de operare, mediile de dezvoltare software, complexele software de sistem și aplicații pentru a susține funcționarea actuală. servicii de informare AC. Această abordare este asociată în primul rând cu reducerea costurilor de implementare și administrare a componentelor AS, reducerea timpului de dezvoltare și/sau portare a software-ului necesar pentru funcționarea acestora și creșterea eficienței procesului de instruire pentru personalul care administrează și operează infrastructura lor informațională.

Un aspect suplimentar care este relevant pentru condițiile moderne este problema limitării utilizării în cadrul SA (care operează în primul rând în interesele organismelor guvernamentale) a produselor fabricate străine pentru care există analogi naționali. În special, modificările aduse legilor federale „Cu privire la informații, tehnologii informaționale și protecția informațiilor” și „Cu privire la sistemul contractual în sfera achizițiilor de bunuri, lucrări și servicii pentru satisfacerea nevoilor statului și municipale” sunt direct legate de politica de substituire a importurilor bazată pe tendințele de dezvoltare a pieței ruse de software.

În același timp, în rezolvarea acestei probleme, un factor important este respectarea strictă a unor astfel de evoluții cu standardele naționale în domeniul securității informațiilor, de exemplu, pentru ASZ acesta este GOST 51583-2014 „Protecția informațiilor. Procedura de creare a sistemelor automatizate într-un design sigur. Dispoziții generale", și cerințe sistemele casnice certificarea instrumentelor de securitate a informațiilor conform cerințelor de securitate a informațiilor.

În acest sens, OSSN ia în considerare suficient majoritatea aspectelor discutate mai sus. Conform documentației tehnice, scopul de bază al OSSN este de a construi pe baza sa sisteme automatizate într-un design securizat (ASZ), care prelucrează informații care conțin informații care constituie un secret de stat clasificat nu mai mult decât „secret superior”. În cazul general, împreună cu protecția acestor informații, AS implementat folosind OSSN poate oferi protecție pentru următoarele tipuri de informații:

• informații confidențiale;
• secret comercial;
• Informații personale.

Aceste capabilități OSSN sunt confirmate de următoarele certificate de conformitate ale participanților la sistemele interne de certificare a securității informațiilor pentru cerințele de securitate a informațiilor (Tabelul 2.1).

Tabelul 2.1.

Aceste certificate oferă motive pentru utilizarea OSSN ca parte a sistemelor de diferite clase de securitate împotriva accesului neautorizat la informații (NSD) și niveluri de monitorizare a absenței capacităților nedeclarate (NDC) ca parte a componentelor sistemului (Tabelul 2.2).

Grupul AC	Difuzor pentru un singur utilizator (grupul 3)				AS multiutilizator cu puteri egale (grupul 2)				AS multiutilizator cu puteri diferite (grupul 1)
Clasa AC	ZB		IN SPATE		2B		2A		1D	1G	№	1B
clasa SVT	5	3	2	1	5	3	2	1	5	5	4	3
Nivelul de control asupra absenței materialelor de neconformitate	4	3	2	1	4	3	2	1	4	4	3	2

De la masă 2.2 rezultă că OSSN, în cazul extrem, este certificat pentru utilizare în sisteme multi-utilizator, ale căror utilizatori au puteri diferite de acces la informațiile prelucrate (clasa 1B), conform clasei 3 de protecție împotriva accesului neautorizat și nivel 2 de control a lipsei accesului neautorizat.

Astfel, în prezent OSSN este un sistem de operare certificat în toate cele trei sisteme de certificare pentru instrumentele de securitate a informațiilor conform cerințelor de securitate a informațiilor.

2.2. Arhitectura OSSN

Baza arhitecturală a OSSN este proiectul Debian GNU/Linux - o asociație de dezvoltatori de software liber, a cărei bază este familia OS GNU/Linux bazată pe Kernel-urile Linux Nucleu.

În acest sens, în general, arhitectura OSSN corespunde soluțiilor arhitecturale GNU/Linux (Fig. 2.1).

În același timp, caracteristicile de implementare corespund caracteristicilor implementării sistemului de operare a proiectului Debian GNU/Linux, în special:

• sprijin activ ultimele versiuni standarde în cadrul proiectelor Linux FSH și LSB;
• prezența a peste unsprezece porturi oficiale pentru diferite arhitecturi de procesoare;
• prezența unui sistem de management al pachetelor software APT (Advanced Packaging Tool) cu o politică strictă în raport cu software-ul în curs de dezvoltare, suport pentru o rețea extinsă de depozite și un mecanism standard de selectare a software-ului preferat dintre mai multe opțiuni (alternative);
• un număr mare (mai mult de 40 de mii) de pachete software de aplicații compatibile;
• un sistem dezvoltat de eliminare a erorilor care oferă calitate superioară cod de driver, servicii de sistem și un sistem de operare bazat pe proiectul Debian GNU/Linux care acceptă stabilitate ridicată.

Datorită faptului că distribuția proiectului Debian GNU/Linux a fost portată pe diferite arhitecturi de procesoare, OSSN acceptă și porturi pentru următoarele arhitecturi:

• amd64 - procesoare Intel si AMD cu arhitectura microprocesor a;86-64;
• armel/armhf - nuclee de procesor pe 32 și 64 de biți dezvoltate de ARM Limited;
• s390.r - spațiu de utilizator pe 64 de biți pentru mainframe-urile IBM System z.

Versiunile existente ale distribuției OSSN se bazează pe aceste transferuri. Denumirile lor diferă în ceea ce privește ediția de distribuție și numărul versiunii. Ediția de lansare a distribuției determină specificul distribuției: portarea suportată (platforma hardware) și domeniul de aplicare. Numărul versiunii - două sau trei cifre care determină versiunea de distribuție OSSN.

În distribuția OSSN instalată, denumirea completă a versiunii în fișierul /etc/astra-veision este stocată în următorul format:

EDIȚIA V.U.Y (nume)

unde se folosesc următoarele notații:

EDIȚIE - ediția versiunii de distribuție (pentru OSSN are valoarea „SE”);

V este prima cifră a numărului de lansare asociat cu numele acestuia;

U — numărul versiunii de lansare;

Y — numărul de actualizare în versiunea de lansare (dacă nu au existat astfel de actualizări, atunci numărul de actualizare lipsește);

(nume) - numele versiunii de distribuție în latină (asociat cu ediția sa și cu prima cifră a numărului versiunii), de regulă, sunt folosite pentru aceasta numele orașelor eroe ale Federației Ruse.

Versiunile de distribuție OSSN și denumirea versiunilor acestora 1.4 sunt prezentate în tabel. 2.3.

Versiunea actuală este 1.5.

Lansarea Smolensk a sistemului de operare special Astra Linux Special Edition este concepută pentru a funcționa pe computere cu arhitectură de procesor x86-64.

Versiunea Novorossiysk este concepută pentru a funcționa pe computere mobile și încorporate cu arhitectură de procesor ARM.

Arhitectura ARM (din limba engleză Advanced RISC Machine - o mașină RISC îmbunătățită; uneori - Acorn RISC Machine) este o familie de nuclee de microprocesoare licențiate pe 32 și 64 de biți dezvoltate de ARM Limited.

RISC (în engleză: computer set de instrucțiuni redus) este o arhitectură de procesor în care performanța este crescută prin simplificarea instrucțiunilor, astfel încât decodificarea acestora să fie mai simplă și timpul de execuție mai scurt. Primele procesoare RISC nu aveau nici măcar instrucțiuni de înmulțire și împărțire. De asemenea, ușurează ridicarea frecvența ceasuluiși face superscalaritatea (paralelizarea instrucțiunilor în mai multe unități de execuție) mai eficientă.

Versiunea Murmansk este proiectată să ruleze pe mainframe IBM System Z.

IBM System z (fost IBM eServer zSeries) este o marcă creată de IBM pentru a identifica linia sa de calculatoare mainframe.

Litera Z provine de la „zero down time”, care înseamnă „zero down time”, ceea ce vă permite să mențineți serverul în funcțiune 24 de ore pe zi, 7 zile pe săptămână, 365 de zile pe an.

Versiunea Sevastopol este un kit de distribuție Astra Linux Special Edition, conceput pentru a funcționa pe computere desktop, mobile și încorporate cu arhitectură de procesor MIPS.

MIPS (Microprocessor without Interlocked Pipeline Stages) este un microprocesor dezvoltat de MIPS Computer Systems (acum MIPS Technologies) în conformitate cu conceptul de proiectare al procesoarelor RISC (adică pentru procesoare cu un set de instrucțiuni simplificat). Modelele de procesoare timpurii aveau o structură de 32 de biți, au apărut mai târziu versiuni pe 64 de biți.

Versiunea Kerch este un kit de distribuție Astra Linux Special Edition, conceput pentru a funcționa pe servere de înaltă performanță bazate pe platforme cu arhitectură de procesor POWER.

POWER este o arhitectură de microprocesor cu un set limitat de instrucțiuni (RISC), dezvoltată și dezvoltată de IBM. Numele a fost ulterior descifrat ca Optimizarea performanței cu RISC îmbunătățit (optimizarea performanței bazată pe arhitectura RISC îmbunătățită). Acest cuvânt se referă și la o serie de microprocesoare care utilizează setul de instrucțiuni specificat. Sunt folosite ca procesor centralîn multe microcalculatoare, sisteme încorporate, stații de lucru, mainframe și supercalculatoare.

În viitor (cu excepția cazului în care este specificat în mod specific în text), atunci când luăm în considerare OSSN, versiunea Smolensk versiunea 1.4 este utilizată ca lansare de distribuție. Această versiune se bazează pe distribuția Debian GNU/Linux 7.0 (Wheezy). Detaliile arhitecturii sale în raport cu arhitectura generalizată GNU/Linux (Fig. 2.1) sunt prezentate în Fig. 2.2.

Arată în Fig. 2.2 Componentele de bază, bibliotecile și instrumentele de dezvoltare ca parte a kit-ului de distribuție OSSN implementează următoarele funcții de bază:

• lansarea programelor, încărcarea lor în RAM și gestionarea execuției acestora;
• suport pentru multitasking preventiv;
• Expedierea resurselor hardware de calculator între programele care rulează;
• comunicarea intraprocesuala;
• organizarea mecanismului memoriei virtuale;
• suport I/O și organizare logica dispozitive de stocare ( hard disk-uri, unități SSD, unități optice, unități USB);
• suport pentru sistemul de fișiere;
• suport pentru intrare/ieșire către dispozitive periferice;
• suport pentru stivele de protocoale de rețea;
• asigurarea modului de operare multi-utilizator;
• furnizarea de interfață de utilizator pentru linia de comandă CLI (Command Line Interface);
• Furnizarea unei GUI (Graphical User Interface) pentru o interfață grafică de utilizator, inclusiv pentru computere echipate cu ecrane tactile care acceptă intrare multipunct;
• suport pentru dezvoltarea și depanarea aplicațiilor software cu interfață de utilizator CLI și GUI.

Pentru a organiza un domeniu infrastructura retelei, implementat pe baza OSSN, distribuția sa include OpenLDAP - o implementare a protocolului LDAP cu deschidere cod sursa. Pentru a genera chei de criptare și certificate chei publiceși criptarea datelor din conexiunile SSL/TLS, distribuția OSSN include pachetul criptografic OpenSSL.

Suportul OpenLDAP și OpenSSL activează această funcție un singur spațiu utilizatorii (UPP) din cadrul infrastructurii de domeniu Astra Linux Directory (ALD) cu suport pentru rezervarea controlerelor de domeniu și stabilirea de relații de încredere între aceștia.

Pe lângă componentele de bază, bibliotecile și instrumentele de dezvoltare, distribuția OSSN include software general care implementează următoarele funcții:

• prelucrarea informațiilor documentare (editor de text, foi de calcul și instrumente pentru crearea materialelor de prezentare și accesarea bazelor de date relaționale);
• scanare, imprimare și transmitere de informații documentare;
• acces la informațiile stocate în baze de date relaționale, inclusiv suport pentru software 1C și software pentru lucrul cu obiecte geografice PostGIS;

Tabelul 2.5. Numele și versiunile software-ului general al distribuției OSSN.

Sistem securizat de gestionare a bazelor de date (DBMS)
PostgreSQL	9.2.14 și 9.4.5
Lucrați cu documente. Pachetul software de birou.
LibreOffice (editor de text, editor de foi de calcul, program de pregătire a prezentărilor, mecanism de conectare la SGBD extern, vector editor grafic, editor de formule)	5.0.2
Complex securizat de programe de prelucrare a datelor hipertext
Server web Apache2	2.2.22
browser Firefox	44.0
Medii de transmisie sigure E-mail
Server de e-mail Exim4	4.82
Server de e-mail Dovecot	2.1.7
Client de e-mail Thunderbird	38.5.0
Editor de grafică raster
GIMP	2.8.14

acces la informații printr-un server de prelucrare a datelor hipertext (server HTTP și client);

• schimb de mesaje de e-mail (servere SMTP/IMAP și client);
• lucrul cu grafică și multimedia (sunet, video).

Numele și versiunile tipurilor de software enumerate sunt prezentate în tabel. 2.5.

O caracteristică cheie a kitului de distribuție OSSN este că include sisteme de securitate a informațiilor care asigură implementarea următoarelor funcții:

• autentificarea utilizatorilor folosind infrastructura PAM (Pluggable Authentication Modules) local și în cadrul EPP, autentificare cu doi factori bazată pe o semnătură digitală și infrastructură de cheie publică susținută de purtătorul extern de informații de autentificare „Rutoken”;
• identificarea utilizatorului folosind mediul modular NSS (Name Service Switch) local și în cadrul EPP;
• controlul discreționar al accesului al proceselor (subiect-sesiuni) la resurse (entități) cu suport pentru standardele Minimal ACL și Extended ACL (în versiunile ulterioare ale OSSN, controlul discreționar al accesului va fi înlocuit cu controlul accesului bazat pe roluri în combinație cu controlul accesului obligatoriu și controlul integrității, implementat pe baza modelului DP obligatoriu entitate-rol - modelul DP MROSL, ale cărui elemente de bază vor fi discutate în prelegerile următoare);

În loc de sistemul de control al accesului obligatoriu SELinux, Astra Linux Special Edition utilizează un model DP obligatoriu brevetat de entitate pentru controlul accesului și fluxurile de informații (modelul MROSL DP)

• pe baza modelului MROSL DP, controlul obligatoriu al accesului procesului la resurse, a cărui implementare în OSSN se realizează la nivelurile mecanismului de comunicare interproces, inclusiv sistemele de fișiere ptos și tmpfs, stiva de protocoale TCP/IP (IPv4) , la nivel de sistem de fișiere virtual (VFS) și în sistemele de fișiere din familia extfs (Ext2, Ext3, Ext4);
• izolarea spațiului de adrese de proces;
• înregistrarea (logging) și auditarea evenimentelor, implementate ca sistem centralizat cu funcția de a sesiza administratorul de securitate despre încercările de acces neautorizat;
• Ștergerea memoriei RAM și a zonelor de date eliberate de pe medii cu sisteme de fișiere Ext2, Ext3, Ext4:
• controlul de reglementare al integrității entităților sistemului de fișiere, inclusiv imuabilitatea fișierelor executabile și conformitatea cu distribuția de referință OSSN, bazată pe biblioteca libgost, care implementează o funcție de hashing în conformitate cu GOST R 34.11-94 și controlul obligatoriu al integrității care împiedică accesul la informații protejate de către entitățile compromise după interceptarea controlului și ridicarea privilegiilor (elementele de control obligatoriu al integrității sunt specificate și în cadrul modelului MROSL DP și sunt discutate în capitolul 2);
• un mediu software închis, bazat pe controlul obligatoriu al integrității, care vă permite să definiți pentru fiecare cont de utilizator o listă individuală de software permis pentru utilizare, cu posibilitatea de a descărca lanțuri de chei ierarhice pentru a verifica semnătura digitală a fișierelor executabile în ELF (Executable and Linkable). Format) format, implementat în conformitate cu GOST R 34.10-2001;
• marcarea documentelor cu niveluri de confidențialitate la imprimarea acestora;
• asigurarea recuperării fiabile a OSSN după defecțiuni;
• implementarea regulilor de control al accesului către mediile externe (pentru aceasta, în cadrul modelului MROSL DP sunt specificate entități cu etichete indirecte);
• asigurarea accesului la bazele de date relaționale în conformitate cu cerințele de gestionare a accesului la informațiile care conțin informații constitutive de secret de stat clasificate nu mai mult de „secret superior”, compatibile cu controlul obligatoriu al accesului și controlul obligatoriu al integrității implementate în OSSN (în acest scop, MROSL DP - modelul a fost extins pentru utilizare cu standardul PostgreSQL DBMS pentru OSSN);
• asigurarea accesului la informații prin intermediul unui server de prelucrare a datelor hipertext, schimbul de mesaje de e-mail în conformitate cu cerințele de gestionare a accesului la informații care conțin informații care constituie un secret de stat clasificat nu mai mult decât „top secret”. În plus, la nucleul kit-ului de distribuție OSSN a fost adăugat un pachet de suplimente pentru modulul PaX (un instrument pentru limitarea drepturilor de acces la paginile de memorie), asigurând execuția software-ului în cel mai mic mod de privilegii și protecție împotriva exploatării diverselor vulnerabilități în el prin:
• interzicerea scrierii într-o zonă de memorie marcată ca executabilă;
• interzicerea creării de zone de memorie executabilă;
• interzicerea mișcării unui segment de cod;
• interzicerea creării unei stive executabile;
• distribuția aleatorie a spațiului de adrese ale procesului. O componentă importantă a OSSN este subsistemul de securitate PARSEC, care extinde sistemul de operare standard pentru familia OS. sistem Linux privilegii concepute pentru a transfera utilizatorilor drepturile de a îndeplini funcțiile unui administrator OSSN cu suport pentru controlul obligatoriu al accesului și controlul obligatoriu al integrității. Subsistemul PARSEC acceptă următoarele privilegii extinse:
• trimite semnale către procese, ignorând regulile discreționare și obligatorii de control al accesului;
• modificați nivelurile de acces (etichete de acreditări) ale conturilor de utilizator și setați alte privilegii;
• modificarea nivelurilor de confidențialitate (etichete obligatorii) de confidențialitate a fișierelor;
• gestionarea politicii de audit;
• ignorați regulile obligatorii de control al accesului la citirea și căutarea fișierelor (excluzând funcția de scriere);

• creați un socket privilegiat și modificați nivelul de confidențialitate al acestuia;
• modificarea timpului de acces la fișier;
• ignora controlul obligatoriu al accesului pe niveluri de confidențialitate și categorii neierarhice;
• setați privilegii de fișier;
• setați orice set consistent de privilegii pentru procesul selectat;
• modificați nivelul de confidențialitate al punctului de conectare la rețea.

Subsistemul de securitate PARSEC implementează aceste privilegii extinse folosind un mecanism de interceptare a apelurilor de sistem (cârlig), care interceptează și analizează argumentele cererii procesului și le permite sau le refuză în conformitate cu regulile obligatorii de control al accesului stabilite. Astfel, în OSSN, contextul mandatului (nivelurile de confidențialitate, acces și integritate utilizate în cerere) este citit atunci când fiecare cerere este executată local sau de la distanță (în cadrul EPP) a procesului în derulare.

O caracteristică unică a subsistemului de securitate PARSEC este implementarea sa ca modul XPARSEC, care extinde funcționalitatea serverului X.Org și a managerului de ferestre Fly-wm. Datorită acestui modul, serverul X.Org este capabil să determine privilegiile clientului X.Org (un program cu interfață GUI) și să le transfere folosind un protocol X modificat către managerul de ferestre Fly-wm, care efectuează operațiuni privilegiate. la lansarea clientului X.Org cu diverse contexte mandatate. În acest caz, desktopul Fly afișează:

• contextul obligatoriu al sesiunii utilizator în zona de notificare din bara de activități;
• nivelul obligatoriu de confidențialitate și integritate a fiecărei ferestre;
• nivelul de confidențialitate al ferestrei pentru aplicații care rulează local și de la distanță (cadru color - cadru fereastră aplicație);
• nivelul obligatoriu și integritatea tuturor aplicațiilor situate pe desktopul Fly.

2.3. Domenii de aplicare ale OSSN

Caracteristicile arhitecturale luate în considerare ale OSSN, precum implementarea EPP pe baza infrastructurii de rețea a domeniului ALD, și complexul de securitate a informațiilor integrat în kitul de distribuție OSSN, determină principalele sale domenii de aplicare, care în cazul general sunt specificate prin dezvoltatorul în următoarele domenii: complexe software și hardware și complexe de echipamente de automatizare;

• rețele de calculatoare locale (corporate);
• AS distribuit geografic.

În prezent, pe baza kit-ului de distribuție OSSN, au fost implementate o serie de proiecte ASZI în ministere și departamente: FSB al Rusiei, FSO al Rusiei, Ministerul Apărării al Rusiei, SVR al Rusiei, FSKN al Rusiei, FSIN al Rusiei, FTS al Rusiei. Rusia, GUPS al Rusiei, Ministerul Sănătății al Rusiei, Ministerul Educației și Științei din Rusia, Trupele interne ale Ministerului Afacerilor Interne al Rusiei; corporații și agenții de stat: Rosatom, Roscosmos, Russian Technologies, o serie de întreprinderi ale complexului militar-industrial; în cadrul sistemului informatic interdepartamental al sistemului automatizat de stat al ordinii de apărare a statului (GAS GOZ).

În fig. 2.3 prezintă o opțiune de implementare pentru o rețea locală (LAN) securizată corporativă, care susține un sistem de comunicații multi-servicii care asigură implementarea serviciilor protejate:

• videoconferinta;
• telefonie IP;
• portal de informare bazat pe un server Web;
• servere de baze de date;
• server de mail.

Aceste servicii sunt implementate pe baza platformelor de server care funcționează în versiunea de server a instalării OSSN a versiunii Smolensk. Calculatoarele client ale unui astfel de LAN sunt:

• calculatoare staționare sau mobile cu arhitectură de procesor Intel x86-64, care funcționează în versiunea client a instalării OSSN a versiunii Smolensk;
• tablete cu arhitectură de procesor ARM care funcționează în versiunea client a instalării OSSN a versiunii Novorossiysk.

În fig. 2.3 arată că pentru abonații unui WLAN corporativ, un EPP este organizat pe baza domeniului infrastructurii de rețea ALD cu un controler de domeniu dedicat care funcționează în versiunea de server a instalării OSSN a versiunii Smolensk. În plus, în cadrul unui astfel de LAN, poate fi implementat un serviciu de cloud privat (Private Cloud), implementat folosind tehnologiile de virtualizare OSSN ale ediției Smolensk (Fig. 2.4).

În condițiile accesului de la distanță la resurse discutate în Fig. 2.3 ZLAN prin canale de comunicații închiriate de la furnizorul de servicii de telecomunicații, stațiile de lucru mobile ale abonaților la distanță ai ZLAN se pot conecta la serverele ZLAN folosind, de exemplu, mecanisme VPN/MPLS. În același timp, un router criptografic de frontieră este instalat la granița segmentului corporativ al rețelei WLAN - firewall, care poate funcționa pe baza versiunii OSSN „Tula”. Un exemplu de diagramă a unei astfel de implementări a accesului de la distanță la o rețea LAN este prezentat în Fig. 2.5.

Astfel, setul de versiuni OSSN oferă posibilitatea de a crea atât ASZI pe diverse platforme software și hardware, cât și diverse configurații protejat retele de calculatoare, inclusiv tehnologii cloud și mecanisme securizate de acces la distanță.