Какие типы сессий поддерживает astra linux
Разработка
Выпускаемые релизы носят названия городов-героев России и стран СНГ.
Система применяется во многих государственных учреждениях. В частности, на ней построена информационная система Национального центра управления обороной РФ. В июле 2015 г. состоялись переговоры о переводе на Astra Linux госучреждений Республики Крым, в которой официальное использование популярных ОС затруднительно из-за антироссийских санкций. В ноябре 2015 года подписано соглашение о сотрудничестве с производителем серверов Huawei, который начал тестировать свои серверы на совместимость с Astra Linux.
Ос новные характеристики
- Коммерческая тайна
- Конфиденциальная информация
- Персональные данные
- Государственная тайна
Помимо базовых средств операционной системы в ее состав включены:
- защищенный графический рабочий стол Fly;
- защищенная реляционная СУБД PostgreSQL ;
- защищенные сервера Exim и Dovecot и клиент электронной почты Thunderbird;
- защищенный web-сервер Apache и браузер Firefox ;
- средство организации сетевого домена и централизованного управления учетными данными пользователей Astra Linux Directory (ALD);
- интегрированный пакет офисных приложений OpenOffice ,
- а также большое количество других приложений.
В 2013 году приказом Министра обороны РФ ОС Astra Linux Special Edition была принята на снабжение Вооруженных Сил России.
История развития
2012г: Сертификация ОС
2014г: Мобильная версия
Система может работать как на планшетах, так и на смартфонах. На основе исходных кодов базового дистрибутива компания по заказу собирает ее индивидуально под конкретное устройство клиента, каждый раз по-новому.
Помимо непосредственно необходимых заказчику компонентов ОС при сборке мобильной версии Astra Linux Special Edition учитывается также степень секретности обрабатываемой информации на устройстве и необходимая система сертификации СЗИ (Минобороны, ФСТЭК, ФСБ). Установка мобильной ОС и прошивка устройства ведутся в заводских условиях.
2015г: Astra Linux Common Edition
Особенности версии Special Edition
Функция идентификации и аутентификации пользователей в Astra Linux основывается на использовании механизма PAM. Кроме того, в состав операционной системы включены средства поддержки двухфакторной аутентификации.
В Astra Linux реализован механизм избирательного управления доступом, который заключается в том, что на защищаемые именованные объекты устанавливаются (автоматически при их создании) базовые правила разграничения доступа в виде идентификаторов номинальных субъектов (UID и GID), которые вправе распоряжаться доступом к данному объекту и прав доступа к объекту. Определяются три вида доступа: чтение (read, r), запись (write, w) и исполнение (execution, x).
В операционной системе реализован механизм мандатного разграничения доступа. Принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом.
Механизм мандатного разграничения доступа затрагивает следующие подсистемы:
- механизмы IPC;
- стек TCP/IP (IPv4);
- файловые системы Ext2/Ext3/Ext4;
- сетевую файловую систему CIFS;
- файловые системы proc, tmpfs.
- В Astra Linux Special Edition существует 256 мандатных уровней доступа (от 0 до 255) и 64 мандатных категории доступа
При работе на разных мандатных уровнях и категориях операционная система формально рассматривает одного и того же пользователя, но с различными мандатными уровнями, как разных пользователей и создает для них отдельные домашние каталоги, одновременный прямой доступ пользователя к которым не допускается.
В отличие от классической модели мандатного управления доступом, в МРОСЛ ДП-модели дополнительно к мандатному управлению доступом реализован мандатный контроль целостности дистрибутива и файловой системы (препятствующий доступу к защищаемой информации скомпрометированными субъектами после перехвата управления и повышения привилегий (получения административных прав), предусмотрено ролевое управление доступом, наличие иерархии сущностей и применено противодействие запрещённым потокам по памяти и по времени[.
В настоящее время используемая в Astra Linux Special Edition модель разграничения доступа является единственной практически реализованной моделью, не основанной на SELinux, в российских реализациях операционных систем на базе Linux.
В состав ядра операционной системы Astra Linux включен набор изменений PaX, обеспечивающий работу программного обеспечения в режиме наименьших привилегий и защиту от эксплуатации различных уязвимостей в программном обеспечении:
- запрет записи в область памяти, помеченную как исполняемая;
- запрет создания исполняемых областей памяти;
- запрет перемещения сегмента кода;
- запрет создания исполняемого стека;
- случайное распределение адресного пространства процесса.
Нормативные документы по НСД выделяют семь классов защищённости, объединённых в четыре группы. Системы, отнесённые к первой группе, в которую входит всего один класс номер 7, обладают самой низкой защищённостью. В противоположность им системы группы 1, отнесённые к классу номер 1, благодаря верифицированной защите имеют наивысший уровень защищённости. Группа 2, в состав которой входят классы номер 5 и 6, определяет системы с дискреционными методами защиты, а в третьей группе объединены классы номер 2, 3 и 4 для систем с мандатными методами защиты. В рамках каждого класса чётко определено, какие функции системы разграничения доступа должна поддерживать сертифицируемая система. Именно их наличие и определяет решение экспертов об отнесении её к тому или иному классу.
Семь классов защищённости от НСД собраны в четыре группы, характеризующиеся разными методами защиты.
Курс является вторым из цикла курсов по администрированию и разработке баз данных PostgreSQL, входящей в состав защищенной операционной системы специального назначения (ОС СН) Astra Linux SE “Смоленск“.
Данный, уникальный на сегодняшний день курс, являясь результатом многолетних практических изысканий наших администраторов и основанный на результатах реальных проектов, посвящен наиболее сложным и проблемным аспектам администрирования базы данных PostgreSQL в среде Astra Linux SE “Смоленск“.
Первая часть курса посвящена проблеме создания и настройки отказоустойчивого решения, - высокодоступного кластера PostgreSQL, с использованием программного обеспечения, входящего в состав поставки Astra Linux SE “Смоленск“.
Теоретическая часть охватывает весь спектр проблем построения высоконадежных систем, основы горизонтального и вертикального масштабирования комплексов, построенных на базе PostgreSQL, заканчивая полноценным решением на базе Corosync и Pacemaker в защищенной среде Astra Linux SE.
Практические занятия основаны на реальных примерах и предполагают создание демонстрационного кластера из двух и трех узлов (с кворумом и без), а также моделирование ситуаций, связанных с различными типами сбоев.
Вторая часть курса посвящена настройке и управлению мандатным доступом (МРД) в СУБД PostgreSQL для обработки сведений, составляющих государственную тайну.
Известно, что осуществление МРД к объектам базы данных хоть и соответствует мандатной модели (МРОСЛ), но осуществляется не посредством модулей ядра PARSEC или PARSEC CIFS, а реализуется в самой СУБД. Указанная особенность является следствием доработки СУБД «PostgreSQL» разработчиками ОС СН «Astra Linux SE».
И если МРД в операционной системе достаточно хорошо документирован и описан, то реализация механизма мандатного разграничения доступа и механизм его настройки в базе данных – тайна за семью замками. Может сложиться ситуация (обычно именно это и случается), когда манипуляция плохо документированными, скрытыми параметрами, или параметрами «по умолчанию», может неявно повлечь за собой нарушение безопасности конфиденциальных данных или нарушение всей логики работы подсистемы защиты СУБД.
Курс подробно рассматривает структуры СУБД, участвующие в реализации мандатного контроля доступа, параметры взаимодействие в контент-сессией пользователя ОС в режиме МРД, а также настройку параметров обязательного расширенного аудита в базе данных.
Теоретические знания будут закреплены в практических кейсах с моделированием различных нетипичных ситуаций.
Длительность курса: 3 дня
Аудитория:
- Администраторы БД, администраторы Astra Linux, администраторы безопасности Astra Linux
- Разработчики PostgreSQL для Astra Linux
Необходимая предварительная подготовка:
- Знания Astra Linux в объёме курса ALSE-1603 (Расширенное администрирование) и или равнозначные.
- Знания подсистемы безопасности Astra Linux в объёме курса ALSE-1605 (Astra Linux. Специальный курс)
- Знания PostgreSQL в объёме курса ALSE-1606: «Администрирование БД PostgreSQL в Astra Linux SE “Смоленск» или равнозначные.
Программа курса:
Модуль 1. Отказоустойчивый кластер PostgreSQL на в Astra Linux SE
1. Введение в кластерные технологии
- История развития PostgreSQL в плане масштабируемости
- Понятие кластера, типы кластеров. Обеспечение согласованности транзакций, механизм его реализации. Различные уровни изолированности,
- Кластер PostgreSQL в Astra Linux SE, особенности реализации
2. Стратегии масштабирования и архитектура отказоустойчивых систем на PostgreSQL.
- Проблема высокой доступности и надежности, распределение нагрузки
- Проблема целостности данных
- Отказ узла
- Разделение сети, сплитбрейн (разделение кластера) и настройка fencing
- Проблема консенсуса
- Кворум
3. PostgreSQL с точки зрения кластера.
- Установка: системные требования, настройка окружения
- Логические и физические структуры PostgreSQL с точки зрения кластера.
- Репликация, виды и настройка
- Лабораторная работа
4. Кластер на основе продуктов Corosync/Pacemaker. Создание и управление
- Архитектура Corosync и Pacemaker
- Ресурсы кластера, их параметры и настройки
- Установка, конфигурирование и настройка кластера на основе corosync/pacemaker
- Утилиты и команды управления Pacemaker
5. Подготовка для работы с postgresql
- Настройка master и реплики
- Настройка кластерного ПО и включение master и реплики в кластер
6. Настройка и администрирование кластера
- Запуск или остановка
- Замена главных и подчиненных ролей между узлами
- Update ресурса (PAF), незначительное и глобальное обновление PostgreSQL
- Добавление и удаление узла
- Выведение из эксплуатации мастера или реплики для плановых работ
- Смена ролей мастера и реплики
- Promote/demote ресурсов pacemaker
7. Виды сбоев на узлах кластера
- Восстановление работоспособности кластера после аварии (Failover) на master node
- Ошибки автоматического восстановления
- Внезапная перезагрузка master узла
- Перестройка реплики, если она была долго выключена
8. Особенности использования виртуальных машин для ОУК
9. Лабораторная работа
- Создание двухнодового кластера без кворума
- Добавление третий ноды в кластер и настройка кворума
- Настройка фенсинга
- Имитация различных типов сбоев
8. Мультиплексоры соединений и балансировщики нагрузки
- Программные мультиплексоры соединений для PostgreSQL, виды и принципы работы.
- PgBouncer и его настройка, использование HAProxy
- Лабораторная работа: Настройка PgBouncer для работы с кластером PostgreSQL
Модуль 2. Реализация и управление мандатным доступом (МРД) в СУБД PostgreSQL для обработки сведений, составляющих государственную тайну.
Курс, установленный правительством на уменьшение зависимости от зарубежных поставщиков оборудования, запчастей, микроэлектроники и программного обеспечения, среди прочего влияния на экономику, привел к развитию национальных операционных систем. Их основой стали открытые по исходному коду разработки, в настоящее время использующиеся не только в России, но и во всем мире.
Речь идет об ОС на основе ядра и экосистемы Linux . Программный фонд последней, вместе с поддержкой стороннего оборудования, покрывает любые запросы пользователей. В итоге, Linux дает возможность применять аналогичные системы, взамен их коммерческих вариантов, наподобие Microsoft Windows.
Более того, правительство РФ начало процедуру обязательного перевода государственных служб и учреждений на ПО, включенное в официальный перечень под названием «Единый реестр российских программ для электронных вычислительных машин и баз данных». В котором, среди прочих допустимых операционных систем, числится Astra Linux. Это достаточно быстрый и стабильный дистрибутив, прародителем которого выступает Debian. Характерная черта сборки – наличие уникального оконного менеджера и сопутствующих утилит.
Виды поставки
Дистрибутив распространяется двумя вариантами поставки – Astra Linux «Орел» Common Edition и Special Edition. Сокращенно, в сопутствующей документации, редакции упоминаются под аббревиатурами CE и SE. Использование юридическими лицами обеих систем – платное. Цена зависит от вида поддержки и формата поставки покупателю: физический носитель или цифровая передача через интернет. Версию Common Edition, в отличие от SE, можно скачать для персонального тестового использования на период 90 дней.
Важным моментом для некоторым государственных и муниципальных структур может стать включение Astra Linux в «Единый реестр российских программ. ». Перечень содержит только версию операционной системы «Special Edition».
Главные различия между особой и общественной редакциями Астра Линукс заключаются в силе криптографической защиты. Первый вариант, согласно сертификации ФСТЭК, Минобороны и ФСБ, обеспечивает безопасность данных на уровне «особой важности». Кроме того, Special Edition собирается разработчиками для различных процессорных архитектур.
В рамках каждой специальной редакции Astra Linux присваивается имя по городам воинской славы:
Смоленск : X86_64
Новороссийск : ARM
Керчь : Power
Севастополь : MIPS
Ленинград : Эльбрус
Отдельной сборкой идет «Брест». Он предназначен для создания облачных сервисов, управления распределенными файловыми системами и организации сетей виртуальных рабочих станций.
«Орёл» лишен всех перечисленных изысков. Сертификацию по криптографической стойкости он не проходит, дистрибутив подготовлен только для процессоров x86_64 Intel и AMD. В репозитории отсутствуют некоторые утилиты организации сетевых распределенных хранилищ. С другой стороны, программы, выполняющие и проверяющие электронную подпись, в сборке присутствуют изначально.
Главное отличие от Debian
Основой создания Astra Linux послужил Debian 9 «Stretch». Похожая структура дистрибутива, пакетный менеджер и сам формат архивов (deb), позволяет использовать репозитории последнего в Астра Линукс. К сожалению, версии софта из Debian 9 достаточно стары, а обновления касаются только безопасности. При этом в варианте установки Astra Linux SE утрачивается соответствие «Единому реестру. », что автоматически делает сопутствующие лицензии защищенности неактуальными и приводит к прекращению технической поддержки дистрибутива разработчиками.
Наполненность программным обеспечением «родных» репозиториев Astra Linux низка, но достаточна для использования операционной системы в качестве офисной рабочей станции. Установка в качестве файл-сервера или доменного контроллера доступна, но не рекомендуется. Обновления по найденным 0-day уязвимостям выходят слишком редко, что может привести к проблемам с конечной безопасностью.
В защиту сборок Astra Linux можно сказать о том, что авторы делают в своем репозитории бакпорты современных версий клиентского и серверного ПО, позволяющие ему оставаться относительно актуальным. Плюсом служит и фактор обеспечения системной безопасности дистрибутива. В нем применяется организация мандатной модели доступа программ, хорошо описанная в статье на Хабре .
Еще одно отличие Astra Linux от прочих сборок, важное при системном администрировании, – его состав. Часть пакетов безальтернативна и проприетарна. Их исходные коды разработчиками не публикуются. Сюда относятся все программы, названия которых начинающиеся с fly-*, включая оконный менеджер fly-wm, дисплейный fly-dm, диспетчер файлов fly-fm и многие элементы консоли управления – fly-admin. Все перечисленное установлено по умолчанию и служит основным отличием сборок Astra Linux во всех её редакциях от прочих дистрибутивов.
Оконный менеджер и сопутствующее ПО
Отдельного упоминания заслуживает оконный менеджер, полностью разработанный авторами Astra Linux. Речь идет о Fly-wm. Изначально он близок и понятен пользователям ОС Windows 7, 8 и 10 по причине схожести интерфейса и нахождении утилит настройки именно в тех местах, где они и должны, в теории, быть. Последнее, к примеру, не наблюдается в еще одном российском дистрибутиве – Rosa Linux. Средства контроля системы, включая требующие административных привилегий, раскиданы по его меню без какой-либо сопутствующей классификации.
Реакция на действия пользователя у оконного менеджера Fly-wm достаточно быстрая и не создает ощущения каких-либо задержек. Для слабых по мощности компьютеров доступно отключение анимации интерфейса. Среди эффектов последнего, ценимых любителями оригинального вида, присутствует установка частичной прозрачности окон и меню, выбор цветовой схемы, смена вида темы, шрифта и коллекции иконок приложений. Последние берутся из понравившихся в GTK. Как и везде, есть возможность установить собственный фон рабочего стола (правда, логотип Astra Linux снизу-справа в версии Common Edition нельзя отключить). Все перечисленные настройки доступны в пункте меню «Рабочий стол» Панели управления В ней же присутствуют административные утилиты, требующие прав суперпользователя. Ими можно выполнять конфигурацию системных параметров – от установки недостающих пакетов и до подключения внешних устройств.
Распространенные мультимедийные кодеки идут изначально в составе ОС, отдельных усилий по их интеграции не требуется. Из архиваторов установлены по умолчанию gzip, bzip2, tar, 7z, unrar. Создание и открытие архивов Rar, Zip и Arj выполняется через уже идущий в поставке 7zip-full.
Кроме оконного менеджера, для Astra Linux доступен режим киоска с запуском только избранных администратором программ и оболочек.
Минусы Fly-wm и дистрибутива в общем
Дистрибутивы Astra Linux достаточно проработаны, и ярко выраженных минусов не имеют. Из тех, что известны – относительная «старость» версий программ, малое их количество в репозитории и неторопливая работа операционной системы в виртуальной машине. Последний фактор становится критичен, когда в качестве компьютера пользователя применяют бездисковый клиент, а сама ОС запущена в пространстве вычислительных мощностей сервера или «облака».
Относительная отсталость версий пакетов не играет роли, если применяется ПО только из стандартного набора, но она станет камнем преткновения при интеграции сторонних программ. Особенно их проприетарных версий, которые невозможно самостоятельно собрать с уже присутствующими библиотеками системы. Приходится использовать последние от иных дистрибутивов или же компилировать требуемые версии из исходного кода, что, в конечном итоге, увеличивает нагрзуку на администраторов, обслуживающих парк персональных компьютеров с Астра Линукс.
Еще одним минусом сборки можно назвать отсутствие альтернативы оконному менеджеру Fly-wm. В дистрибутивах Astra Linux не предусмотрена замена его на GNOME, KDE, XFCE или любой другой. Плюсы Astra Linux
Плюсы систем SE и CE редакции – в их продуманности. Все сделано для удобства пользователя. И «родной» по виду интерфейс, и продуманность структуры меню, и сопутствующие программы вместе с их интеграцией в окружение рабочего стола.
Относительная «древность» используемых программ является одновременно и минусом, и плюсом. Ранние выпуски ПО имеют больше последующих исправлений, которые сводят ошибки их кода к минимуму.
Прикладное ПО
Программное обеспечение в составе дистрибутивов Astra Linux, или присутствующее в его репозиториях, полностью удовлетворяет все потребности среднестатистического пользователя. Офисные работники найдут комплексы электронных таблиц, текстовых документов или ПО для создания презентаций. Дизайнерам будут интересны графические редакторы, от самых простых до профессиональных, уровня Adobe Photoshop. Разработчикам ПО представлено многообразие языков написания программ. Технологам и инженерам – соответствующие утилиты расчета и визуализации электронных, гидравлических или иных схем, в том числе полноформатные CAD`ы. Есть программные комплексы для Web-дизайнеров. Не обижены и системные администраторы: им в помощь подготовлены утилиты архивации и восстановления данных, различные сетевые серверы, тестовые, наладочные и информационные программы по аппаратной составляющей ПК. Не забыта и ниша развлечений, включающая в себя медиаплееры вместе с играми.
В общем, при относительной «бедности» репозиториев Астра Линукс, включенный в них софт покрывает 90% запросов по всем нишам применения компьютера. В крайнем случае, недостающее можно брать из гигантского файлохранилища Debian или же приобретать проприетарные варианты нужного ПО. Доступна и чистовая сборка из исходных кодов. Все сопутствующие заголовочные файлы, вместе со средствами разработки, присутствуют в стандартных репозиториях.
С некоторыми ограничениями доступен через прослойку WINE запуск программ, изначально предназначенных для Windows, аналогов которых в Linux нет. В реальности список совместимого софта у подобной связки очень велик. Примером служит тот факт, что WINE используют и для старта несовместимых приложений в самой Windows 10. Естественно, в последнем случае прослойка устанавливается и конфигурируется отдельно, силами самих пользователей. В Astra Linux стабильная версия WINE изначально присутствует в репозитории.
Инновационная операционная система класса Linux, обеспечивающая защиту информации, содержащей сведения, составляющие государственную тайну с грифом не выше «совершенно секретно». Разработаны и включены в состав операционной системы программные компоненты, расширяющие ее функциональность и повышающие уровень защищенности и удобства ее использования.
Astra Linux Special Edition
Операционная система специального назначения "Astra Linux Special Edition" предназначена для создания на ее основе автоматизированных систем в защищенном исполнении, обрабатывающих информацию со степенью секретности "совершенно секретно" включительно.
Ключевые особенности Astra Linux Special Edition по реализации требований безопасности информации
Мандатное разграничение доступа
В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. Для удобства работы пользователей и разработки прикладных программ разработана системная библиотека с удобным программным интерфейсом доступа к механизму мандатного разграничения доступа. Обеспечено взаимодействие входящих в состав операционной системы клиент-серверных компонент, а также файловых систем(ext3, CIFS) с механизмом мандатного разграничения доступа.
Изоляция модулей
Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство. Данный механизм изоляции основан на страничном механизме защиты памяти, а также механизме трансляции виртуального адреса в физический. Любой доступ нескольких процессов к одному и тому же участку памяти обрабатывается диспетчером доступа в соответствии с дискреционными и мандатными правилами разграничения доступа.
Очистка оперативной и внешней памяти и гарантированное удаление файлов
Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении. Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.
Маркировка документов
Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше "несекретно", невозможен.
Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.
Механизмы защиты информации в графической подсистеме
Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.
Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:
графическое отображение мандатной метки каждого окна;
возможность запускать приложения с разными мандатными метками.
Менеджер файлов позволяет видеть метки объектов файловой системы (файлов и каталогов) с текстовой и цветовой индикацией.
Режим ограничения действий пользователя (режим "киоск")
Режим "киоск" служит для ограничения прав пользователей в системе.
Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.
Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.
При входе пользователя в систему права доступа из конфигурационного файла устанавливаются автоматически.
Защита адресного пространства процессов
В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса. Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.
Механизм контроля замкнутости программной среды
Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.
Предусмотрена возможность предоставления сторонним разработчикам программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.
Контроль целостности
Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта "Another File Integrity Checker".
Средства организации домена
Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP. Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:
сквозную аутентификацию в сети;
централизацию хранения информации об окружении пользователей;
централизацию хранения настроек системы защиты информации на сервере;
централизацию управления серверами DNS и DHCP;
интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;
централизованный аудит событий безопасности в рамках домена.
Защищенная реляционная СУБД
В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.
В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации. В качестве иерархических и неиерархических меток доступа при использовании СУБД используются метки конфиденциальности или метки безопасности операционной системы.
Проведены необходимые работы по интеграции СУБД с подсистемой аудита и средствами организации домена.
Защищенный комплекс программ электронной почты
В состав защищенного комплекса программ электронной почты входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:
Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:
доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;
Агент доставки электронной почты Dovecot предназначен для решения задач по обслуживанию почтового каталога и предоставления удаленного доступа к почтовому ящику по протоколу IMAP. Протокол POP3 отключен.
Защищенный комплекс программ гипертекстовой обработки данных
В состав защищенного комплекса программ гипертекстовой обработки данных входят браузер Mozilla Firefox и web-сервер Apache, интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.
Astra Linux Common Edition
Инновационная операционная система класса Linux, включающая в свой состав компоненты свободного программного обеспечения и авторские решения разработчиков, позволяющие расширить возможности ее применения в качестве серверной платформы или на рабочих местах пользователей.
В состав базовой программной платформы входят следующие компоненты:
БАЗОВЫЕ БИБЛИОТЕКИ | БАЗОВЫЕ УТИЛИТЫ | ВСТРОЕННЫЕ СРЕДСТВА ЗАЩИТЫ ИНФОРМАЦИИ |
СЕТЕВЫЕ СЛУЖБЫ | ГРАФИЧЕСКАЯ СИСТЕМА | СРЕДСТВА РАБОТЫ С ПЕРИФЕРИЙНЫМ ОБОРУДОВАНИЕМ |
СРЕДСТВА РАЗРАБОТКИ И ОТЛАДКИ | СРЕДСТВА УСТАНОВКИ И УДАЛЕНИЯ ПРИЛОЖЕНИЙ | СРЕДСТВА СПРАВОЧНОЙ ЭЛЕКТРОННОЙ ДОКУМЕНТАЦИИ |
В состав интегрированных ПС и ОПО входят следующие компоненты:
Читайте также: