Ключевые особенности Astra Linux Special Edition по реализации требований безопасности информации

  • Мандатное разграничение доступа

    В операционной системе реализован механизм мандатного разграничения доступа. При этом, принятие решения о запрете или разрешении доступа субъекта к объекту принимается на основе типа операции (чтение/запись/исполнение), мандатного контекста безопасности, связанного с каждым субъектом, и мандатной метки, связанной с объектом. Для удобства работы пользователей и разработки прикладных программ разработана системная библиотека с удобным программным интерфейсом доступа к механизму мандатного разграничения доступа. Обеспечено взаимодействие входящих в состав операционной системы клиент-серверных компонент, а также файловых систем(ext3, CIFS) с механизмом мандатного разграничения доступа.

  • Изоляция модулей

    Ядро операционной системы обеспечивает для каждого процесса в системе собственное изолированное адресное пространство. Данный механизм изоляции основан на страничном механизме защиты памяти, а также механизме трансляции виртуального адреса в физический. Любой доступ нескольких процессов к одному и тому же участку памяти обрабатывается диспетчером доступа в соответствии с дискреционными и мандатными правилами разграничения доступа.

  • Очистка оперативной и внешней памяти и гарантированное удаление файлов

    Операционная система выполняет очистку неиспользуемых блоков файловой системы непосредственно при их освобождении. Работа этой подсистемы снижает скорость выполнения операций удаления и усечения размера файла, однако возможна различная настройка данной подсистемы для обеспечения работы файловых систем с различными показателями производительности.

  • Маркировка документов

    Разработанный механизм маркировки позволяет серверу печати (CUPS) проставлять необходимые учетные данные в выводимых на печать документах. Мандатные атрибуты автоматически связываются с заданием для печати на основе мандатного контекста получаемого сетевого соединения. Вывод на печать документов без маркировки субъектами доступа, работающими в мандатном контексте с грифом выше "несекретно", невозможен.

  • Регистрация событий

    Реализована оригинальная подсистема протоколирования, интегрированная во все компоненты операционной системы и осуществляющая надёжную регистрацию событий с использованием специального сервиса.

  • Механизмы защиты информации в графической подсистеме

    Графическая подсистема включает в себя Х-сервер Xorg, пользовательский рабочий стол Fly, а также ряд программных средств, предназначенных как для пользователей, так и для администраторов системы. Проведена работа по созданию и встраиванию в графическую подсистему необходимых механизмов защиты информации, обеспечивающих выполнение мандатного разграничения доступа в графических приложениях.

    Разработанный рабочий стол пользователя Fly тесным образом интегрирован с механизмами защиты информации. В нем реализованы следующие возможности:

    • графическое отображение мандатной метки каждого окна;

    • возможность запускать приложения с разными мандатными метками.

    Менеджер файлов позволяет видеть метки объектов файловой системы (файлов и каталогов) с текстовой и цветовой индикацией.

  • Режим ограничения действий пользователя (режим "киоск")

    Режим "киоск" служит для ограничения прав пользователей в системе.

    Степень этих ограничений задается маской киоска, которая накладывается на права доступа к файлу при любой попытке пользователя получить доступ.

    Для установки прав доступа существует система профилей — файлы с готовыми наборами прав доступа для запуска каких-либо программ. Также есть средства создания таких профилей под любые пользовательские задачи.

    При входе пользователя в систему права доступа из конфигурационного файла устанавливаются автоматически.

  • Защита адресного пространства процессов

    В операционной системе для исполняемых файлов используется формат, позволяющий установить режим доступа к сегментам в адресном пространстве процесса. Централизованная система сборки программного обеспечения гарантирует установку минимального режима, необходимого для функционирования программного обеспечения. Также существует возможность использования технологии NOT EXECUTE BIT, поддерживаемой современными процессорами.

  • Механизм контроля замкнутости программной среды

    Реализован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов в формате ELF. Проверка производится на основе проверки векторов аутентичности, рассчитанных в соответствии с ГОСТ Р 34.10-2001 и внедряемых в исполняемые файлы в процессе сборки.

    Предусмотрена возможность предоставления сторонним разработчикам  программного средства для внедрения векторов аутентичности в разрабатываемое ими программное обеспечение.

  • Контроль целостности

    Для решения задач контроля целостности применяется функция хэширования в соответствии с ГОСТ Р 34.11-94. Базовой утилитой контроля целостности является программное средство на основе открытого проекта "Another File Integrity Checker".

  • Средства организации  домена

    Для организации доменной структуры разработана подсистема Astra Linux Directory (ALD) на базе открытых стандартов LDAP.  Эта подсистема предоставляет средства для организации домена и единого пространства пользователей, которые обеспечивают:

    • сквозную аутентификацию в сети;

    • централизацию хранения информации об окружении пользователей;

    • централизацию хранения настроек системы защиты информации на сервере;

    • централизацию управления серверами DNS и DHCP;

    • интеграцию в домен защищенных серверов СУБД, серверов печати, электронной почты, web-сервисов и др.;

    • централизованный аудит событий безопасности в рамках домена.

  • Защищенная реляционная СУБД

    В состав операционной системы входит объектно-реляционная СУБД PostgreSQL, в которой реализованы дискреционный и мандатный механизмы контроля доступа к защищаемым ресурсам БД.

    В основе мандатного механизма разграничения доступа лежит управление доступом к защищаемым  ресурсам БД на основе иерархических и неиерархических меток доступа. Это позволяет реализовать многоуровневую защиту с обеспечением разграничения доступа пользователей к защищаемым ресурсам БД и управление потоками информации. В качестве иерархических и неиерархических меток доступа при использовании СУБД используются метки конфиденциальности или метки безопасности операционной системы.

    Проведены необходимые работы по интеграции СУБД с подсистемой аудита и средствами организации домена.

  • Защищенный комплекс программ электронной почты

    В состав защищенного комплекса программ электронной почты входят сервер электронной почты, состоящий из агента передачи электронной почты Exim и агента доставки электронной почты Dovecot, а также клиент электронной почты Mozilla Thunderbird, обеспечивающие следующие функциональные возможности:

    • интеграции с ядром операционной системы и с базовыми библиотеками для обеспечения мандатного разграничения доступа к почтовым сообщениям, хранящимся с использованием формата Maildir;

    • автоматической маркировки создаваемых пользователем почтовых сообщений с использованием его текущего мандатного контекста.

    Агент передачи электронной почты использует протокол SMTP и обеспечивает решение следующих задач:

    • доставку исходящей почты от авторизованных клиентов до сервера, который является целевым для обработки почтового домена получателя;

    • прием и обработку почтовых сообщений доменов, для которых он является целевым;

    • передачу входящих почтовых сообщений для обработки агентом доставки электронной почты.

    Агент доставки электронной почты Dovecot предназначен для решения задач по обслуживанию почтового каталога и предоставления удаленного доступа к почтовому ящику по протоколу IMAP. Протокол POP3 отключен.

  • Защищенный комплекс программ гипертекстовой обработки данных

    В состав защищенного комплекса программ гипертекстовой обработки данных  входят браузер Mozilla Firefox и web-сервер Apache,  интегрированный со встроенными средствами защиты информации для обеспечения мандатного разграничения доступа при организации удаленного доступа к информационным ресурсам.