Уровни защищенности операционной системыНачиная с очередного обновления 1.7/4.7 операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из уровней защищенности системы: - усиленный уровень защищенности;
- максимальный уровень защищенности.
панель |
---|
Базовый Усиленный уровень защищенностиВариант лицензирования c базовым уровнем защищенности по объему предоставляемых для использования функциональных возможностей соответствует действующим условиям лицензирования операционной системы общего назначения Astra Linux Common Edition и с усиленным уровнем защищенности рекомендуется для обработки общедоступной и защиты конфиденциальной информации в государственных информационных системах, в информационных системах, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, не требующих применения средств защиты информации, прошедших оценку соответствия требованиям безопасности информации в форме обязательной сертификации, а также для применения в информационных в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, совместно с сертифицированными средствами технической и криптографической защиты информациине содержащую сведения, составляющие государственную тайну. |
панель |
---|
Усиленный Максимальный уровень защищенностиВариант лицензирования с усиленным максимальным уровнем защищенности рекомендуется для обработки конфиденциальной и защиты информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, обрабатывающих персональные данные, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, не в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно. |
панель |
---|
Максимальный уровень защищенностиВариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно. | панель |
---|
Каждый из уровней защищенности ОС соответствует Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности:подсистемы безопасности: панель |
---|
Для усиленного уровня защищенности доступны следующие базовые функции безопасности: | панель |
---|
Для базового и усиленного уровней защищенности доступны следующие функции безопасности: «Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена; - «Запрет трассировки ptrace» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция включена;
- «Запрос пароля для команды sudo» — при включении данной функции будет необходим ввод пароля при использовании механизма sudo. По умолчанию функция включена;
- «Запрет установки бита исполнения» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки
. По умолчанию функция не включена; - «Запрет исполнения скриптов пользователя» трассировки ptrace» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторовисключена возможность трассировки и отладки выполнения программного кода. По умолчанию функция не включена;«Запрет исполнения макросов пользователя»
- «Запрос пароля для команды sudo» — при включении данной функции будет блокировано исполнение макросов в стандартных приложенияхнеобходим ввод пароля при использовании механизма sudo. По умолчанию функция не включена;
- «Запрет консоли» установки бита исполнения» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователяактивирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочки. По умолчанию функция не включена;
- «Системные ограничения ulimits» «Запрет исполнения скриптов пользователя» — при включении данной функции будут активированы системные ограничения, установленные в файле
/etc/security/limits.conf будет блокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена; - «Запрет автонастройки сети» исполнения макросов пользователя» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручнуюблокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;
- «Местное время для системных часов» «Запрет консоли» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часовблокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;
- «Мандатный контроль целостности» «Системные ограничения ulimits» — при включении данной функции будет активирован механизм мандатного контроля целостностибудут активированы системные ограничения, установленные в файле
/etc/security/limits.conf . По умолчанию функция не включена; - «Замкнутая программная среда» «Запрет автонастройки сети» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELFблокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;
- «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена«Местное время для системных часов» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена.;
|
панель |
---|
Для усиленного уровня защищенности доступны функции безопасности базового уровня и следующие усиленные функции безопасности: - «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
- «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
- «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.
|
панель |
---|
Для максимального уровня защищенности доступны все функции безопасности усиленного уровня, а также функция: - «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.
|
Функции подсистемы безопасности и их состояния определяются следующим образом: - Значения «по умолчанию» задаются при выборе уровня защищенности в процессе установки ОС;
- Значения «по умолчанию», определенные уровнем защищенности, могут быть изменены в процессе установки ОС;
- Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
- При изменении уровня защищенности (режимов работы ОС):
- В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
- В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.
|
Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности. панель |
---|
Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчаниюВ таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для ситемы систем с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима: Функция подсистемы безопасности | Уровень защищенности | Базовый |
---|
| Усиленный | Максимальный |
---|
Замкнутая Программная Среда (ЗПС) | Н/Д | Выкл | Выкл |
---|
Очистка освобождаемой внешней памяти | Н/Д | Выкл | Выкл |
---|
Мандатный Контроль Целостности (МКЦ) | Н/Д | Вкл | Вкл |
---|
Мандатное упРавление Доступом (МРД) | Н/Д | Н/Д | Вкл |
---|
Обозначения: - Вкл — режим по умолчанию Включен и доступен для отключения;
- Выкл — режим по умолчанию Отключен и доступен для включения;
- Н/Д — режим по умолчанию Отключен и недоступен для включения.
|
|