Режимы работы Уровни защищенности операционной системыНачиная с очередного обновления 1.7/4.7 режим работы операционной системы операционная система специального назначения «Astra Linux Special Edition» (далее по тексту — Astra Linux) разделяется на различные уровни защищенности, каждый ОС ОН) может работать на различных уровнях защищенности, каждому из которых соответствует режиму работы набор функций подсистемы безопасности реализованной в ОС запатентованными средствами защиты информации, объединенными в единый комплекс средств защиты (КСЗ). В зависимости от приобретаемой лицензии возможен выбор одного из режимов работы уровней защищенности системы: панель |
---|
Усиленный Базовый уровень защищенностиВариант лицензирования с усиленным уровнем защищенности c базовым уровнем защищенности по объему предоставляемых для использования функциональных возможностей соответствует действующим условиям лицензирования операционной системы общего назначения Astra Linux Common Edition и рекомендуется для обработки конфиденциальной общедоступной информации в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) не требующих применения средств защиты информации, прошедших оценку соответствия требованиям безопасности информации в форме обязательной сертификации, а также для применения в информационных системах, обрабатывающих информацию ограниченного доступа, не содержащую сведения, составляющие государственную тайнусовместно с сертифицированными средствами технической и криптографической защиты информации. |
панель |
---|
Максимальный Усиленный уровень защищенностиВариант лицензирования с максимальным усиленным уровнем защищенности рекомендуется для обработки конфиденциальной информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. не содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно. |
панель |
---|
Максимальный уровень защищенностиВариант лицензирования с максимальным уровнем защищенности рекомендуется для обработки информации любой категории доступа в государственных информационных системах, в информационных системах персональных данных, в составе значимых объектов критической информационной инфраструктуры, в иных информационных (автоматизированных) системах, обрабатывающих информацию ограниченного доступа, в т.ч. содержащую сведения, составляющие государственную тайну до степени секретности «совершенно секретно» или «особой важности» (в зависимости от класса защиты, установленного в сертификате соответствия для используемого конечным пользователем варианта исполнения Astra Linux) включительно. |
панель |
---|
Каждый из уровней защищенности ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности : панель |
---|
Для базового и усиленного уровней защищенности доступны следующие функции безопасности: |
Каждый из режимов работы ОС соответствует набору доступных к включению пользователем функций подсистемы безопасности : панель |
---|
Для уровня защищенности «Усиленный» доступны следующие функции безопасности: - «Запрет вывода меню загрузчика» — при включении данной функции будет запрещен вывод меню загрузчика GRUB 2. В процессе загрузки будет загружаться ядро системы, выбранное по умолчанию. По умолчанию функция не включена;
- «Запрет трассировки ptrace» исполнения скриптов пользователя» — при включении данной функции будет исключена возможность трассировки и отладки выполнения программного кодаблокировано интерактивное использование пользователем интерпретаторов. По умолчанию функция не включена;
- «Запрос пароля для команды sudo» «Запрет исполнения макросов пользователя» — при включении данной функции будет необходим ввод пароля при использовании механизма sudoблокировано исполнение макросов в стандартных приложениях. По умолчанию функция не включена;
- «Запрет установки бита исполнения» консоли» — при включении данной функции будет активирован режим запрета установки бита исполнения, обеспечивающий предотвращение несанкционированного запуска исполняемых файлов и сценариев для командной оболочкиблокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователя. По умолчанию функция не включена;
- «Запрет исполнения скриптов пользователя» «Системные ограничения ulimits» — при включении данной функции будет блокировано интерактивное использование пользователем интерпретаторовбудут активированы системные ограничения, установленные в файле
/etc/security/limits.conf . По умолчанию функция не включена; - «Запрет исполнения макросов пользователя» автонастройки сети» — при включении данной функции будет блокировано исполнение макросов в стандартных приложенияхблокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручную. По умолчанию функция не включена;
- «Запрет консоли» «Местное время для системных часов» — при включении данной функции будет блокирован консольный вход в систему для пользователя и запуск консоли из графического интерфейса сессии пользователявключен режим интерпретации показаний аппаратных (RTC) часов. По умолчанию функция не включена;
- «Системные ограничения ulimits» «Мандатный контроль целостности» — при включении данной функции будут активированы системные ограничения, установленные в файле
/etc/security/limits.conf . будет активирован механизм мандатного контроля целостности. По умолчанию функция не включена; - «Запрет автонастройки сети» «Замкнутая программная среда» — при включении данной функции будет блокирована автоматическая настройка сети в процессе установки ОС, сеть необходимо будет настроить вручнуюактивирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
- «Местное время для системных часов» «Очистка освобождаемой внешней памяти» — при включении данной функции будет включен режим интерпретации показаний аппаратных (RTC) часовактивирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена;включена.
|
панель |
---|
Для усиленного уровня защищенности доступны функции безопасности базового уровня и следующие функции безопасности: - «Мандатный контроль целостности» — при включении данной функции будет активирован механизм мандатного контроля целостности. По умолчанию функция включена;
- «Замкнутая программная среда» — при включении данной функции будет активирован механизм, обеспечивающий проверку неизменности и подлинности загружаемых исполняемых файлов формата ELF. По умолчанию функция не включена;
- «Очистка освобождаемой внешней памяти» — при включении данной функции будет активирован режим очистки блоков файловой системы непосредственно при их освобождении, а также режим очистки разделов страничного обмена. По умолчанию функция не включена.
|
панель |
---|
Для максимального уровня защищенности «Максимальный» доступны функции безопасности усиленного уровня «Усиленный», а также функция: - «Мандатное управление доступом» — при включении данной функции будет активирован механизм мандатного управления доступом. По умолчанию функция включена.
|
Функции подсистемы безопасности и их состояния определяются следующим образом: - Значения «по умолчанию» задаются при выборе режима работы уровня защищенности в процессе установки ОС;
- Значения «по умолчанию», определенные режимом работыуровнем защищенности, могут быть изменены в процессе установки ОС;
- Функции подсистемы безопасности могут быть включены и выключены в процессе эксплуатации ОС. Порядок включения и выключения функций подсистемы безопасности после установки Astra Linux описан в документе РУСБ.10015-01 97 01-1 «Операционная система специального назначения «Astra Linux Special Edition». Руководство по КСЗ. Часть 1»;
- При изменении уровня защищенности (режимов работы ОС):
- В сторону снижения уровня защищенности — автоматически отключаются функции безопасности, которые для данного уровня защищенности недоступны;
- В сторону увеличения уровня защищенности — состояние функций безопасности автоматически не меняется. Функции безопасности становятся доступными для включения.
|
Краткое описание механизмов мандатного управления доступом и мандатного контроля целостности представлено в статье Мандатное управление доступом и мандатный контроль целостности. панель |
---|
Сводная таблица «расширенных» функций подсистемы безопасности и их состояний по умолчаниюВ таблице ниже представлен список «расширенных» функций подсистемы безопасности ( доступных к включению пользователем для ситемы с уровнями защищенности «Усиленный» и «Максимальный») и их состояний по умолчанию, задаваемых при установке в зависимости от выбранного режима: Функция подсистемы безопасности | Уровень защищенности |
---|
| Базовый | Усиленный | Максимальный |
---|
Замкнутая Программная Среда (ЗПС) | Н/Д | Выкл | Выкл |
---|
Очистка освобождаемой внешней памяти | Н/Д | Выкл | Выкл |
---|
Мандатный Контроль Целостности (МКЦ) | Н/Д | Вкл | Вкл |
---|
Мандатное упРавление Доступом (МРД) | Н/Д | Н/Д | Вкл |
---|
Обозначения: - Вкл — режим по умолчанию Включен и доступен для отключения;
- Выкл — режим по умолчанию Отключен и доступен для включения;
- Н/Д — режим по умолчанию Отключен и недоступен для включения.
|
|